6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) yürürlüğe girmesi ve veri sorumluları tarafından uyum çalışmalarının yapılmasıyla birlikte uygulamada birtakım sorunlar belirmişti ve oldukça uzun bir süredir bu sorunları giderecek nitelikte mevzuat değişikliği beklenmekteydi. Söz konusu mevzuat değişikliğini içeren 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun, (“7499 sayılı Kanun”) 02.03.2024 tarihinde kabul edilmiş olup 12.03.2024 tarihinde de Resmî Gazete’de yayınlanmıştır. 6698 sayılı Kanun değişikliğine ilişkin maddelerin yürürlük tarihi ise 01.06.2024 olarak düzenlenmiştir. Bu noktada belirtilmesi gereken önemli bir husus ise KVKK mevcut m. 9/1 fıkrasının değiştirilen haliyle birlikte 01.09.2024 tarihine kadar yürürlükte kalacağıdır.

Kanun değişiklikleri beklendiği üzere özel nitelikli kişisel verilerin işlenmesi ve yurt dışına veri aktarımına ilişkin Kanun’un 6. ve 9. maddelerinde yoğunlaşmış olmakla birlikte diğer bazı maddelerde de etkili olmuştur. Bu değişiklikler ileride her madde bakımından detaylı bir şekilde incelenecektir. Ancak burada açıklığa kavuşturulmak istenen temel husus, nihayet uygulamadaki sorunların giderilip giderilmediğidir. Zira uygulamada Kanun’a uyum çalışmaları bazı açılardan deyim yerindeyse tıkanmış durumdadır. Veri sorumluları bir yandan Kanun’un belirlediği düzenlemelere tamamen uymak isteğindeyken diğer taraftan bunu yapmaları halinde ticari faaliyetlerine ne şekilde devam edecekleri noktasında çıkmazdadırlar. Aynı şekilde bu alanda çalışan hukukçular da süreçleri Kanun’a tamamen uygun bir şekilde tasarlamakta ve müvekkillerine tavsiyelerde bulunmakta zorlanmaktadırlar.

7499 sayılı Kanun ile yapılan değişiklikler, uygulamadaki sorunlara ışık tutabilecek ve hem veri sorumlularının hem de uygulamacıların yollarını bulabilmelerini sağlayacak mı? Yapılan değişiklikleri tek tek inceleyerek bu soruyu yanıtlamaya çalışalım.

I. Kanun’un 6. Maddesinde Yapılan Değişiklikler

Kanun’un 6. maddesinde düzenlenen özel nitelikli kişisel verilerin işlenme şartları, veri sorumluları tarafından tamamen uyum sağlanması en zor olan noktalardan biriydi. Özellikle özel nitelikli kişisel veriler altında yer alan sağlık verilerinin işlenme şartlarının çok sıkı şartlara tabi tutulması sıkça eleştirilmekte ve bu açıdan yapılacak bir mevzuat değişikliği dört gözle beklenmekteydi.

Özel nitelikli kişisel veriler, üçüncü kişiler tarafından öğrenildiğinde veri sahibinin mağdur olmasına ya da ayrımcılığa maruz kalmasına neden olabileceği öngörüldüğünden Kanun’da ayrıca düzenlenip koruma altına alınmış ve işlenmesi de haklı bir şekilde sıkı şartlara bağlanmıştır. Bu, oldukça yerinde bir bakış açısı olsa da düzenlemenin veri sorumlularının faaliyetlerini neredeyse imkânsız kılacak bir çıkmaza girmesine de neden olmamalıdır. Bu açıdan yaşanan sorunları gidermek adına ilgili maddede değişiklik yapılmış olup maddenin değiştirilmiş halinin uygulamada yaşanan sorunları büyük ölçüde gidereceğini düşünmekteyiz.

Kanun değişikliğinde beklentilere uygun bir biçimde yeni hukuki sebepler öngörülmüş ancak özel nitelikli kişisel verilerin kapsamında ve özel nitelikli kişisel verilerin işlenmesinde Kurul tarafından belirlenen diğer güvenlik önlemlerinin alınması gerektiği kuralında herhangi bir değişiklik olmamıştır.

A. Kişisel Verilerin Kapsamında Değişiklik Oldu mu?

Maddenin özel nitelikli kişisel verilerin tek tek sayıldığı (numerus clausus – sınırlı sayma olup genişletilemez) ilk fıkrasında herhangi bir değişikliğe gidilmemiştir. Bir başka ifade ile özel nitelikli kişisel verilerin kapsamında değişiklik olmamış ve özel nitelikli olarak kabul edilen veriler, halen aynı verilerdir.

B. Açık Rıza ile Diğer Hukuki İşleme Sebepleri Aynı Konumda Mı?

Maddenin ilk yayınlandığı tarihte tartışmalara konu olan “özel niteli kişisel verilerin açık rıza olmaksızın işlenemeyeceğine” ilişkin ikinci fıkrası kaldırılmış ve açık rıza alınması, hukuki şartların altında sayılmıştır.

Her şeyden önce belirtmek gerekir ki, bu değişiklik uygulamada herhangi bir değişikliğe sebep olmayacaksa da kanun metni ile uygulamanın yeknesak hale gelmiş olması bakımından son derece önemlidir. Zira madde metninden ilk bakışta açık rızanın diğer hukuki şartlardan daha üst bir konumda olduğu ve özel nitelikli kişisel verilerin işlenmesi için var olması gereken hukuki şartlardan herhangi biri veya birkaçı olması halinde de açık rıza alınması gerektiği veya alınabileceği anlaşılmaktaydı. Nitekim Kanun’un ilk yayınlandığı tarihte bu noktada yoğun tartışmalar yaşanmıştır. Daha sonra bu süreçte çıkarılan rehberler ve Kurul açıklamalarında özel nitelikli kişisel verilerin işlenmesinde her durumda açık rıza alınmaması gerektiği ve hatta diğer işleme şartlarının varlığı halinde açık rıza alınmasının hukuka aykırı olduğu anlaşıldı. Ancak madde metninde aynı yanlış anlaşılma devam etmekteydi. Yapılan değişiklikle ortaya çıkan madde metninde açık rıza ile diğer hukuki sebeplerin aynı konumda olduğu açık bir şekilde anlaşılır hale gelmiş ve uygulama ile madde metni uyumlu hale getirilmiştir. Dolayısıyla normatif açıdan da özel nitelikli kişisel verilerin işlenmesinde açık rıza diğer hukuka uygun işleme nedenlerinden biri olarak eşit seviyede düzenlenmiştir.

C. Hukuki İşleme Sebeplerinde Beklenen Değişiklikler Gerçekleşti Mi?

Maddenin 3. fıkrasında uzun zamandır beklenen ve uygulamayı en çok rahatlatacak türde değişiklikler yapılmıştır. Söz konusu fıkrada açık rıza alınmadan özel nitelikli kişisel verilerin işlenebileceği haller düzenlenmekteydi. Bu kapsamda veriler; sağlık ve cinsel hayata ilişkin veriler ile bunun dışında kalan diğer özel nitelikli kişisel veriler olmak üzere ikiye ayrılmaktaydı.

Sağlık ve cinsel hayata ilişkin veriler ile diğer özel nitelikli kişisel veriler şeklinde ayrım yapılmasının yerinde olmadığı yönündeki eleştirilerimizi Kanun’un yayınlandığı tarihten bu yana dile getiriyoruz. Örneğin, genetik verilerin aynı zamanda sağlık verisi olduğu düşünüldüğünde hangi kapsamda işlenebileceği bakımından tereddüt yaşanabilmekteydi. Bunun yanı sıra sağlık ve cinsel hayata ilişkin verilerin yalnızca sır saklama yükümlülüğü altında bulunan kişiler ve yetkili kurum ve kuruluşlar tarafından işlenebiliyor olması da uygulamada büyük zorluklar çıkarmaktaydı. Zira sır saklama yükümlülüğü altında bulunmayan kişi, kurum veya kuruluşlar tarafından da sağlık verilerinin işlenmesi çoğu zaman hukuki yükümlülükler doğrultusunda gereklidir. Bir yandan hukuki yükümlülüklerinin yerine getirilmesi için bu verileri işlemek zorunda olan ancak diğer yandan sır saklama yükümlülüğü altında bulunmayan ve bu nitelikte bir çalışanı da olmayan veri sorumluları, süreçleri hukuka uygun olarak yürütmekte zorlanmaktaydı. Nitekim yapılan değişikliğin gerekçesinde de aynen bu hususa yer verilmiştir: “Mevcut düzenleme uyarınca sağlık verisini sadece Sosyal Güvenlik Kurumu ve Sağlık Bakanlığı ile sağlık kuruluşları işleyebilmektedir. Ancak başta sigortacılık sektörü, çalışma mevzuatı, iş sağlığı ve güvenliği ile sosyal hizmetler alanlarında sağlık verisine ihtiyaç bulunmaktadır”.

Tüm bu hususlar göz önünde bulundurularak özel nitelikli kişisel verilerin işlenmesi ile ilgili önemli değişiklikler yapılmış olup bu hukuki sebepler aşağıda ayrı ayrı ele alınmaktadır.

1. İlgili Kişinin Açık Rızası

Kanun değişikliğinden önce ilgili kişinin açık rızası olmadan özel nitelikli kişisel verilerinin işlenemeyeceği düzenlenmekteydi. Bununla beraber KVK Kurulunun hazırladığı rehberler ve yayınlanan kararlara bakıldığında diğer işleme şartlarının varlığı halinde açık rıza alınmaması gerektiği zira bu durumda veri ilgilisinde “açık rızasını geri aldığı takdirde veri işleme faaliyetinin durdurulacağı” izleniminin uyanacağı “halbuki somut olayda mevcut olan işleme sebebi kapsamında zaten veri işlenmeye devam edileceği” ifade edilmekteydi. İşte 7499 sayılı Kanun’la getirilen değişiklik ile beraber KVKK m. 6 uygulamayla uyumlu hale getirilmiştir.

Mevcut durumda yapılması gerekenler şu şekildedir: (i) İşlenecek verinin özel nitelikli olup olmadığı belirlenmelidir, (ii) özel nitelikli olan kişisel verilerin hangi amaçla işleneceği tespit edilmelidir ve (iii) eğer açık rıza dışında kalan diğer işleme şartlarından biri veya birkaçı mevcutsa ilgili bende dayanılarak işleme faaliyeti gerçekleştirilmeli ve kişinin açık rızası talep edilmemelidir. Ancak diğer işleme şartları mevcut değilse ve söz konusu veri işleme faaliyeti gerçekleştirilmek isteniyorsa ilgili kişiden açık rıza alınabilir. Bu noktada açık rızanın geçerli olabilmesi için işleme faaliyetinin her hâlükârda genel ilkelere uygun olması gerektiği not edilmelidir.

2. Kanunlarda Açıkça Öngörülmesi

Kanunlarda açıkça özel nitelikli bir kişisel verinin işlenmesi öngörülmekteyse maddenin (b) bendi kapsamında veri işlenebilir. Burada ilk açıklanması gereken husus, “kanunlarda” ibaresinin kapsamıdır. Belirtmek gerekir ki, açıkça kanunlarda ibaresi kullanıldığından ve temel hak ve özgürlüklere ilişkin istisnalar bakımından genişletici yorum yapılamayacağından Cumhurbaşkanlığı kararnameleri, tüzükler gibi idarenin düzenleyici işlemlerinin bu kapsamda kabul edilmemesi ve yalnızca kanun formundaki hukuki düzenlemelerin esas alınması gerekir.

Bu bende ilişkin örnekler maddenin gerekçesinde sayılmıştır. 5352 sayılı Adli Sicil Kanunu uyarınca Türk mahkemeleri tarafından verilip kesinleşen mahkûmiyet hükümlerinin adli sicile kaydedilmesi ve 2559 sayılı Polis Vazife ve Salahiyet Kanunu’nu m. 5’e göre kişilerin parmak izlerinin alınması bu bent kapsamında değerlendirilebilir. Zira bu veriler ceza mahkumiyeti ve biyometrik veri kapsamında olup özel nitelikli kişisel verilerdir. Bu durumda kişisel verinin işlenmesini öngören kanun metninde öngörülen hal ile sınırlı olarak veri işlenebileceği not edilmelidir.

3. Fiili İmkânsızlık Nedeniyle Rızasını Açıklayamayacak Durumda Bulunan veya Rızasına Hukuki Geçerlilik Tanınmayan Kişinin, Kendisinin ya da Bir Başkasının Hayatı veya Beden Bütünlüğünün Korunması İçin Zorunlu Olması

Bu hukuki sebep kapsamında öncelikle fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya hukuken rızasına geçerlilik tanınmayan birinin bulunması gerekir. İlkine bilinci kapalı olan bir kişiyi ikincisine ise akıl hastalarını örnek verebiliriz. Bu kişilerin özel nitelikli verilerinin işlenebilmesi için kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması gerekir. Nitekim bu durumlarda kişilerin üstün menfaati söz konusudur. Örneğin, bilincini kaybetmiş olan bir kişiye acil müdahalede bulunması gerekli ise kan grubu verisi işlenebilecektir. Zira bu durumda kişinin rıza vermesi olanaksızdır.

Bu durum zaten hukuk düzenine yabancı değildir. Söz konusu düzenleme hali hazırda ceza hukukunda “varsayılan rıza” başlığı altında bir hukuka uygunluk nedeni olarak düzenlenen ve uygulama sıklıkla karşılan bir durumun kişisel verilerin korunması hukukunda düzenlenmiş halidir. Böylelikle hukuk düzeni açısından birlik de sağlanmıştır.

Bu hukuki sebebin yalnızca özel nitelikli olmayan kişisel verilerin işlenmesine ilişkin 5. maddede düzenlenmiş olması Kanun’un yayınlandığı tarihten bu yana eleştirdiğimiz bir diğer husustur. Zira söz konusu hukuki sebep kapsamında çoğunlukla işlenmesi gereken veri türü özel nitelikli kişisel veriyken kanun koyucu bu hukuki sebebi 6. maddede değil, 5. maddede düzenlemişti. Üstelik uygulamada zaten bu durumda olan bir kişiden rıza alınması yoluna gidilmediği gibi bu rızanın alınması çoğunlukla ya imkânsız ya da geçersiz olmaktadır. Bu durumun kanuni alt yapıya kavuşmuş olmasının oldukça yerinde bir değişiklik olduğunu düşünüyoruz.

4. İlgili Kişinin Alenileştirdiği Kişisel Verilere İlişkin ve Alenileştirme İradesine Uygun Olması

İlgili kişi, özel nitelikli kişisel verilerini alenileştirirse bu verilerin alenileştirme iradesine uygun olarak işlenmesi hukuka uygun hale gelir. Alenileştirme, 6698 sayılı Kanun’da Yer Alan Terimler Rehberine göre “herkes tarafından bilinir kılınma” anlamına gelmektedir. Verinin herkesin görebileceği bir yerde olması alenileştirme anlamına gelmez. Kişinin bu yönde bir iradesinin bulunması ve veri sorumlusu tarafından kişinin bu iradesine uygun hareket edilmesi gerekir. Öte yandan KVKK m. 4’te sayılan kişisel verilerin işlenmesine ilişkin genel ilkelere de uygun davranılması gerektiği unutulmamalıdır. Zira bu ilkeler her türlü veri işleme faaliyetinde uyulması gereken kuralları düzenlemektedir. Bu kapsamda KVKK m. 4 ve kişinin alenileştirme iradesi dikkate alınarak özel nitelikli kişisel veriler işlenebilir.

Örneğin, madde gerekçesinde de yer aldığı üzere acil durumlar için kan grubunu ve alerji bilgilerini herkesin erişebildiği bir alanda paylaşan kişinin, bu bilgilerinin amaca uygun olarak kullanılması mümkündür. Dolayısıyla pilotlarının kan grubunun üzerinde yazılı olduğu bir ralli arabasının görüntülerinin pilotların kan grubunun bulunduğu yerin mümkün mertebe sosyal medyada blurlanarak yayınlanması gerekir. Zira bu veri bir kaza anında kullanılmak üzere arabanın üzerine yerleştirilmiştir. Televizyondan canlı yayın halinde blurlama işlemi mümkün olmayacak ya da çok zor olacak ise artık bir veri ihlali söz konusu olmayacaktır, ancak birinciliği kutlayan pilotların araba önünde çekilen fotoğraflarının yayınlanması esnasında bu veri karartma işlemin yapılması gerekir. Öyle ki, kan gurubu bilgisi arabanın üzerine sosyal medyada yayınlanması için yerleştirilmemiştir. Bunların yayınlanması amaç dışında veri işleme olacaktır.

Bu noktada açıklığa kavuşturulması gereken bir diğer husus, aleni halde bulunan verinin hukuka uygun bir işlemeye konu olması için ilgili kişi tarafından mı alenileştirilmesi gerektiği yoksa 3. kişiler tarafından alenileştiren bir verinin de bu kapsamda sayılıp sayılamayacağıdır. Madde metninden bu hukuki sebebin söz konusu olması için bizzat ilgili kişi tarafından alenileştirilen bir verinin söz konusu olması gerektiği açık bir biçimde anlaşılmaktadır. Ancak özellikle sosyal medya mecralarında ilgili kişi tarafından alenileştirilmeyen birtakım sağlık verilerinin ifşa edildiği görülmektedir. Bu durumda genellikle ilgili kişi zaten verisini alenileştirecek bir durumda değildir. Örneğin, X kişisi yoğun bakımda olan arkadaşı Y’ye ait kan grubunu sosyal medya mecrasında paylaşmış ve yardım istemiştir. Bu paylaşımı gören Z, aynı bilgileri kendi sosyal medya mecrasında paylaşarak yardımcı olmaya çalışmıştır. Bu örnekte X, henüz ilgili kişi tarafından alenileştirilmemiş bir veriyi paylaştığından bu paylaşımın hukuki sebebi bir önceki fıkrada açıklanan hukuki imkansızlıktır. Z’nin, X tarafından alenileştirilen veriyi paylaşmasının hukuki sebebinin ne olduğu noktasında ise bir soru işareti vardır. Çünkü burada ilgili kişi tarafından alenileştirilmiş bir verinin söz konusu olmadığı açıktır. Bu halde dayanak hukuki sebebin yine fiili imkânsızlık olması daha makul görünmektedir. Ancak bu tür paylaşımların sosyal medya mecralarında çok sık bir biçimde yapıldığı göz önünde bulundurulduğunda kanuni alt yapıya kavuşturulması gerektiğini belirtmek gerekir.

5. Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için zorunlu ise (d) bendi kapsamında özel nitelikli kişisel verilerin işlenmesi mümkündür. Bu duruma verilecek en yaygın örnek, iş ilişkisinin sona ermesinden sonra işçi-işveren arasındaki davalarda tarafların iddialarını ispat edebilmesi için gerçekleştirdikleri kişisel veri işleme faaliyetleridir. Bu amaç doğrultusunda özel nitelikli kişisel verilerin de işlenmesinin gerekli olması halinde bu veri işleme faaliyeti KVKK m. 6-d uyarınca açık rıza alınmaksızın gerçekleştirilebilecektir. Bu noktada özel nitelikli kişisel verinin işlenmesinin zorunluluk arz etmesi, paylaşılacak olan verinin davayla doğrudan ilgili olması, iddianın başka türlü ispatlanamayacak olması gibi diğer ölçütlere de mutlaka dikkat edilmesi gerektiğini not edelim.

Madde gerekçesinde de engelli bir kişinin araç alma hakkından yararlanabilmesi için engelli raporunun vergi dairesi tarafından işlenmesi gerektiği örneğine yer verilmiştir. Benzer şekilde herhangi bir hastalık sebebiyle raporlu olan çalışanlara ait raporun işveren tarafından işlenmesinde de durum böyledir.

6. Sır Saklama Yükümlülüğü Altında Bulunan Kişiler veya Yetkili Kurum ve Kuruluşlarca, Kamu Sağlığının Korunması, Koruyucu Hekimlik, Tıbbi Teşhis, Tedavi ve Bakım Hizmetlerinin Yürütülmesi ile Sağlık Hizmetlerinin Planlanması, Yönetimi ve Finansmanı Amacıyla Gerekli Olması

Bu hukuki sebep, Kanun değişikliğinden önceki halinde yalnızca sağlık ve cinsel hayata ilişkin veriler bakımından geçerli kabul edilmekteydi. Getirilen değişiklikle beraber artık böyle bir ayrım yapılmamaktadır.

Maddenin gerekçesine göre Sağlık Bakanlığı, Sosyal Güvenlik Kurumu ve sağlık kuruluşlarının işlediği veriler bu bent kapsamında değerlendirilecektir. Bu hukuki sebep bakımından tartışılması gereken temel soru; belirtilen amaçlar, yalnızca kamu kuruluşları veya bunların yetkilendirdiği diğer kurum ve kuruluşlar açısından mı geçerlidir yoksa özel kişi ve kuruluşlar da bu amaçlar doğrultusunda veri işleyebilir mi? Zira madde metninde geçen “sağlık hizmetlerinin planlanması, yönetimi ve finansmanı” aslında doğrudan Sağlık Bakanlığı veya Sağlık Bakanlığının yetkilendirdiği kişi ve kuruluşlar tarafından yerine getirilen faaliyetlerdir. Hal böyle olunca özel hukuk kişi ve kuruluşları tarafından “biz sağlık hizmetlerinin planlanması hukuki sebebi kapsamında kişisel veri işliyoruz” şeklindeki bir gerekçenin hukuka uygun olmayacağı kanaatindeyiz. Zira bu amacın yalnızca kamu kurumları açısından geçerli olduğu izlenimi söz konusudur. Bununla birlikte madde metninde geçen her amaç bakımından böyle bir izlenim uyanmadığını da belirtmek gerekir. Örneğin, tıbbi teşhis amacıyla kişisel verilerin işlenmesi faaliyetinin her sağlık kuruluşu tarafından gerçekleştirildiği açıktır.

Dolayısıyla madde metninde geçen bazı amaçların yalnızca kamu kurum ve kuruluşları ile bunların yetkilendirdiği diğer kurum ve kuruluşlara ilişkin olduğu bazı amaçların da hem kamu hem de özel kurum ve kuruluşlara ilişkin olduğu kanaatindeyiz. Özellikle kişisel verilerin korunması hakkının temel hak ve özgürlükler arasında olması ve buna ilişkin istisnaların dar yorumlanması gerektiği göz önünde bulundurulduğunda bu şekilde bir sonuca ulaşmaktayız. Ancak bu durumun yasal düzenlemelerle ve Kurul kararlarıyla açıklığa kavuşturulması gerektiğini düşünüyoruz.

7. İstihdam, İş Sağlığı ve Güvenliği, Sosyal Güvenlik, Sosyal Hizmetler ve Sosyal Yardım Alanlarındaki Hukuki Yükümlülüklerin Yerine Getirilmesi İçin Zorunlu Olması

Düzenlenen bu hukuki sebep, uygulamada en büyük fark yaratacak olan değişikliklerden biri olup veri sorumluları açısından büyük bir kolaylık sağlayacaktır. Bu noktada kişisel verilerin işlenmesine ilişkin hukuki sebeplerin belirlenmesindeki ölçütün elbette “kolaylık” olmayacağı ancak mevcut durumda birçok süreç açısından çıkmazda olan veri sorumlularının olduğu göz önünde bulundurulduğunda bu değişikliğin nefes aldıracak nitelikte olduğunu düşünüyoruz.

Veri sorumluları, kendilerine yüklenen iş sağlığını ve güvenliğini sağlamak gibi yükümlülüklerini yerine getirmek için bazı özel nitelikli verilere ihtiyaç duymaktadır. Ancak mevcut hukuki düzenleme uyarınca söz konusu yükümlülüklerin hukuka aykırı kişisel veri işleme faaliyeti gerçekleştirilmeksizin yerine getirilmesi neredeyse imkansızdı. Bunun için çok büyük bir operasyonel emek ve zaman harcamak gerekmekteydi. Örneğin, sağlık verileri yalnızca iş yeri hekimi tarafından tutulmakta diğer birimlerin bu bilgiye ihtiyacı olduğunda ise iş yeri hekimine başvurarak oldukça sınırlı bir bilgi alabilmekteydiler. İş sağlığı ve güvenliği ekibinin gece vardiyalarını düzenlediği somut bir olay düşünelim. İş yeri hekimi tarafından İSG ekibine X kişisinin gece çalışamayacağı bildirilmektedir. İSG ekibi neden çalışamayacağını sorduğunda iş yeri hekimi tarafından bu kişinin hamile olduğu bilgisi verilmemelidir. Ancak diğer yandan İSG ekibi gece vardiyası ile diğer çalışma saatleri düzenlemesini yapabilmek için kişilerin hangi koşulda olduğunu bilmek durumundadır. Tüm bu çıkmazların çözüme kavuşturulması bakımından söz konusu hukuki sebebin düzenlenmesi oldukça yerindedir.

Kanun değişikliği ile beraber veri sorumlusu konumundaki işverenler, istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarında hukuki yükümlülüklerine yerine getirmek için zorunlu olan verileri açık rıza gerekmeksizin işleyebilecektir. Bu zorunluluk hali, her somut olayda ve her iş kolu açısından ayrı ayrı değerlendirilecektir. Maddenin gerekçesinde diyaliz hastalarının sağlık kuruluşuna taşınma hizmeti sırasında sağlık verilerinin işlenmesi bu bent kapsamında kabul edilmiştir. Benzer şekilde İş Kanunu m. 30 uyarınca engelli veya eski hükümlü çalıştırma yükümlülükleri bulunan iş yerlerinin bu yükümlülüklerini yerine getirmek için sağlık ve ceza mahkumiyeti verilerini işlemesi mümkündür. Madde gerekçesinde hukuki yükümlülükler bakımından örnekler verilmişse de uygulamada yaşanan en büyük sorunlardan biri istihdam amacıyla özel nitelikli kişisel verilerin işlenme durumudur. Bazı işlerin birtakım sağlık sorunlarına sahip kişiler tarafından yapılamayacağı gerçeği göz önünde bulundurulduğunda istihdamın sağlanabilmesi için özel nitelikli kişisel verilerin işlenmesi zorunlu hale gelmektedir.

Burada önemle dikkat edilmesi gereken husus her ne suretle olursa olsun veri işlenmesine ilişkin genel ilkelere aykırı davranılmaması gerektiğidir. Bu kapsamda ilgili departman yalnızca gerektiği kadar veriyi gereken süre kadar muhafaza edebilir. Dolayısıyla veriler işlenirken uyulması gereken ilkeler geçerliliğini korumakla birlikte bu hukuki sebebin yalnızca uygulamada yaşanan çıkmazları gidermeyi amaçladığı unutulmamalıdır.

8. Siyasi, Felsefi, Dini veya Sendikal Amaçlarla Kurulan Vakıf, Dernek ve Diğer Kâr Amacı Gütmeyen Kuruluş ya da Oluşumların, Tâbi Oldukları Mevzuata ve Amaçlarına Uygun Olmak, Faaliyet Alanlarıyla Sınırlı Olmak ve Üçüncü Kişilere Açıklanmamak Kaydıyla; Mevcut veya Eski Üyelerine ve Mensuplarına veyahut Bu Kuruluş ve Oluşumlarla Düzenli Olarak Temasta Olan Kişilere Yönelik Olması

İlgili bent kapsamında siyasi, felsefi veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların mevcut veya eski üyelerine ya da bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik özel nitelikli verileri işlenmesi mümkün hale gelmiştir. Bunun için işlemenin ilk olarak ilgili mevzuata ve amaca uygun olması, ikinci olarak faaliyet alanıyla sınırlı olması ve son olarak verilerin üçüncü kişilerle paylaşılmaması gerekir. Koşulların sağlanması halinde özel nitelikli kişisel veriler işlenebilir.

Bu kapsamda örneğin sendika üyelerinin sağlık veya dini verilerinin bu amaçla bağdaşmayacağından işlenmesi mümkün değildir. Maddenin gerekçesinde bu durum şu şekilde ifade edilmiştir: “Örneğin bu kuruluş ve oluşumların mevcut üyelerinin yanı sıra eski üyeleri ve düzenli olarak bağış yapmak suretiyle kendisiyle temas halinde olan kişilerin bu durumlarına ilişkin bilgiyi işlemesi bu bent kapsamında değerlendirilecektir. Aynı şekilde bir sendika, kendi faaliyet alanına ve amacına ilişkin olarak sadece sendika üyeliğiyle ilgili verileri işleyebilecektir. Buna karşın sendika üyelerinin sağlık veya dinine yönelik kişisel verileri, faaliyet alanıyla ve amacıyla ilgisi olmaması sebebiyle işlenemeyecektir.”

II. Kanun’un 9. Maddesine İlişkin Değişiklikler

Yurt dışına veri aktarımını düzenleyen Kanun’un 9. maddesi, veri sorumluları tarafından değişmesi dört gözle beklenen bir diğer maddeydi. Kişisel verileri yurt dışına aktaran veri sorumluları açısından mevcut durumda aslında yalnızca iki yol bulunmakta ve buna göre ya ilgili kişilerin açık rızası alınmalı ya da Kurul’a taahhütname başvurusunda bulunulmalıdır. Ancak taahhütname başvurularının çok uzun zaman alması her ilgili kişiden de açık rıza alınmasının mümkün olmaması nedeniyle aslında uygulamada kişisel verilerin yurt dışına aktarılması neredeyse imkânsız hale gelmiştir. Bu durum sunucuları yurt dışında olan bulut tabanlı yazılımlarının hukuka uygun kullanımını oldukça güç hale getirmiştir. Tam da bu sebeple çok uzun süredir bu faaliyet bakımından sıkıntılar yaşanmakta ve madde metninin düzenlenmesi beklenmekteydi. Ülkemizdeki yatırımları da engelleyeceği düşünülen bu durumun önüne geçmek, ticari hayatın ihtiyaçlarına cevap vermek ve ilgili kişinin haklarını korumak üzere GDPR ile uyumlu bir düzenleme yapılmıştır.

Yapılan düzenleme uyarınca kişisel verilerin hukuka uygun bir biçimde yurt dışına aktarılması için aşağıdaki koşulların varlığı gerekir:

KVKK m. 9/1

5. ve 6. maddede sayılan hukuki işleme şartları

Yeterli koruma

Yurt dışına veri aktarımı

KVKK m. 9/4

5. ve 6. maddede sayılan hukuki işleme şartları

Yeterli koruma

Aktarımın yapılacağı ülkede hakların kullanılması ve etkin kanun yollarına başvurma hakkının bulunması

Uygun güvenceler (KVKK m. 9/4, a, b, c ve ç)

Yurt dışına veri aktarımı

×

KVKK m. 9/6

5. ve 6. maddede sayılan hukuki işleme şartları

Yeterli Koruma

Uygun Güvenceler

Arızi Haller (KVKK m. 9/6, a, b, c, ç, d, e, f)

Yurt dışına veri aktarımı

×

×

×

A. Yeterlilik Kararının Bulunması Halinde Yurt Dışına Veri Aktarımı (m. 9/1)

Yeni düzenleme uyarınca mevcut olan en önemli değişiklik açık rızayı esas alan anlayışın terk edilmesidir. Bununla beraber yurt dışına veri aktarımının sağlanması için ilk olarak tespit edilmesi gerekenler şunlardır:

- Verilerin işlenmesi ilişkin şartları düzenleyen 5. ve 6. maddelerdeki işleme şartlarından birinin varlığı,

- Aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararının bulunması.

İşleme şartlarından biri mevcutsa ve yeterlilik kararı da bulunuyorsa yurt dışına veri aktarımı mümkün hale getirilmiştir. Burada dikkat edilmesi gereken husus, değişiklikle beraber artık kuruluş veya sektör bazında yeterlilik kararı verilebilmesidir. Böylece ülkenin tamamı hakkında yeterlilik kararı verilmesi gerekliliği ortadan kalkmıştır. Maddenin gerekçesinde de bu durum şu şekilde örneklendirilmiştir: “Ülkemizdeki otomotiv sektörünün yoğun ticari ilişki kurduğu bir yabancı ülkenin tamamı yerine, o ülkedeki otomotiv sektörü bakımından yeterlilik kararı verilmesi mümkün hale gelmektedir.

Maddenin ikinci fıkrasıyla yeterlilik kararının hangi usulde verileceği düzenlenmiştir. Buna göre yeterlilik kararını Kurul verir, gerekirse ilgili kurum ve kuruluşlardan görüş alır ve bu karar Resmî Gazete’ yayımlanır. Verilen karar en geç dört yılda bir değerlendirilir. Eğer bu süre zarfında değerlendirme yapılmazsa yeterlilik kararı geçerliliğini korur. Aynı zamanda Kurul, kararları değiştirme, askıya alma ve kaldırma hakkına da sahiptir.

Kurul’un yeterlilik kararı verirken nelere dikkat edeceği maddenin üçüncü fıkrasında şu şekilde sayılmıştır:

- Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu,

- Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar,

- Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması,

- Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu,

- Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu,

- Türkiye’nin taraf olduğu uluslararası sözleşmelerdir.

Yeterlilik kararı verilirken dikkat edilmesi gereken hususların sayılması şeffaflık açısından yerinde bir düzenleme olmuştur. Bununla beraber madde metninde tahdidi bir sayma yapılmamış yalnızca örnek olarak başlıca göz önünde bulundurulması gereken hususlar sıralanmıştır. Kurul, kararını verirken gerekli gördüğü diğer kriterleri de esas alabilir.

B. Yeterlilik Kararı Bulunmaması Halinde Yurt Dışına Veri Aktarımı (m. 9/4)

Yeterlilik kararı bulunmaması halinde yurt dışına veri aktarımı için bu kez aşağıdaki koşulların varlığı aranmalıdır:

- Verilerin işlenmesi ilişkin şartları düzenleyen 5. ve 6. maddelerdeki işleme şartlarından birinin varlığı,

- İlgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması,

- Madde metnindeki uygun güvencelerden birinin varlığı.

Maddede bahsedilen uygun güvenceler ise şu şekilde sıralanmıştır:

- Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi,

- Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı,

- Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı,

- Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

Maddenin (c) bendinde bahsedilen standart sözleşmeyi Kuruma bildirim yükümlülüğü getirilmiştir. Maddenin gerekçesine göre “Standart sözleşme; veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcı tarafından alınacak idari tedbirler, özel nitelikli kişisel veriler için alınacak ek önlemler gibi hususları ihtiva edecektir.”

Veri sorumlusu veya veri işleyen sözleşmenin imzalanmasından itibaren beş işgünü içerisinde Kuruma bildirmekle yükümlüdür. Dikkat edileceği üzere buradaki yükümlülük veri sorumlularının yanı sıra veri işleyenleri de ilgilendirmektedir. Zira ileride açıklanacağı üzere bu madde ile birlikte veri işleyene getirilen yükümlülük 18. maddede yaptırıma bağlanmıştır. Böylece ilk defa KVKK kapsamında veri işleyenlere yönelik de idari para cezası getirilmiştir.

C. Yeterlilik kararı Bulunmaması ve Uygun Güvencelerin de Sağlanamadığı Hallerde İstisnai Olarak Yurt Dışına Veri Aktarımı (m. 9/6)

Arızi olmak kaydıyla şu hallerden birinde yurt dışına veri aktarımı yapılabilir:

- İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi,

- Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,

- Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması

- Aktarımın üstün bir kamu yararı için zorunlu olması,

- Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması,

- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması,

- Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Burada dikkat edilmesi gereken husus, ilgili fıkranın istisnanın istisnası niteliğinde olup her durumda başvurulmaması gerektiğidir. Zira eski düzenlemede olduğu gibi kişiden bu konuda açık rıza alınarak yahut sözleşmenin ifası için geçerli olduğu gibi sebepler ileri sürülerek veri aktarımı yapılması hukuka aykırı olacaktır. Burada bahsedilen husus yalnızca arızi durumlar için geçerlidir. Bir başka ifade ile zorunlu olması halinde ilgili şartlar da mevcutsa yalnızca bir ya da birkaç kez başvurulması mümkün olan bir durumdur. Bu durumun süreklilik arz etmemesi gerekir. Yurt dışına veri aktarımının da prensip olarak süreklilik arz eden bir husus olduğu göz önüne alındığında bu fıkranın çok fazla uygulama alanı bulamayacağı ve bulmaması gerektiği de açıktır.

Bu fıkranın (a), (b) ve (c) bentlerinin kamu kurum ve kuruluşlarının kamu hukukuna tabi faaliyetleri için uygulanamayacağı hüküm altına alınmıştır. Bunun yanı sıra, sonraki veri aktarımlarının ve uluslararası kuruluşlara aktarımların da bu madde kapsamında koruma altına alındığı ifade edilmiştir.

Kanun’un mevcut 5. ve 6. fıkrasında herhangi bir değişikliğe gidilmeyerek değiştirilen maddenin 9. ve 10. fıkrasıyla aynen muhafaza edilmiştir. Buna göre diğer kanunlarda yer alan özel düzenlemeler mevcutsa özel düzenleme niteliğindeki kanun maddelerinin uygulanması gerekecektir. Bankacılık Kanunu buna örnek olarak verilebilir. Bankacılık Kanunu İyi Uygulamalar Rehberinde de bu durum ifade edilmiştir. Eğer diğer kanunlarda özel norm olarak nitelendirilebilecek bir düzenlenme mevcut değilse KVKK’nın uygulanması gerekecektir.

Madde metninde son olarak usul ve esasların yönetmelikle düzenleneceği hususu eklenmiştir. Konunun Yönetmelik ile daha detaylı düzenlenecek olması sevindirici bir gelişmedir. Böylece çıkarılacak yönetmelikle beraber yurt dışına veri aktarımının nasıl yapılacağı netlik kazanacaktır.

III. Kanun’un 18. Maddesine İlişkin Değişiklikler

Kabahatlerin düzenlendiği 18. maddede yapılan değişiklikler ile veri işleyenler açısından da idari para cezası öngörülmüştür. Verilen idari para cezalarına karşı idare mahkemesinde dava açılabileceği hüküm altına alınmıştır.

Kanun değişikliği ile beraber m. 9/5 uyarınca standart sözleşmeyi bildirme yükümlülüğünü yerine getirmeyen veri sorumlularına ve veri işleyenlere karşı idari para cezası öngörülmüştür. Burada dikkat edilmesi gereken husus ilk defa veri işleyenlere de bu Kanun kapsamında bir yaptırımın öngörülmesidir. Zira her ne kadar Kanun’da veri güvenliğine ilişkin yükümlülüklerde veri sorumlusu ile veri işleyenin birlikte sorumlu olduğu düzenlense de veri işleyenlere karşı herhangi bir yaptırım düzenlenmemekteydi. Kanun değişikliğinde veri güvenliğine ilişkin bir düzenleme yapılmasa da m. 9/5 kapsamında veri işleyenler açısından da yaptırım hüküm altına alınmıştır. Bu kapsamda örneğin bankalar, acente sıfatıyla hareket ettiği durumlarda veri işleyen olarak kabul edilmektedir. Bu husus Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberinde ifade edilmiştir. Buna göre artık acente sıfatıyla harekete eden bankaların da standart sözleşmeyi bildirim yükümlülüğü bulunmaktadır.

Öte yandan yaptırımlara karşı gidilecek kanun yolu açısından da önemli bir değişikliğe yer verilmiştir. Yeni düzenlemeyle beraber Kurul’un verdiği idari para cezalarına karşı idare mahkemesine gidilebilecektir. Bu bizim her platformda dile getirdiğimiz bir husustur. Daha önce idari para cezalarına itiraz mercii olarak gösterilen Sulh Ceza Hakimliklerinin böyle bir bilgisi, zamanı ve motivasyonu yoktur. Bu nedenle Kurul’u vermiş olduğu idari yaptırımlar için idari yargı yolunun açılması hem söz konusu yaptırımların daha sağlıklı denetlenmesi hem de Kişisel Verilerin Korunması Hukuku disiplinin idari yargı mercilerinin içtihatları yoluyla da gelişmesi açısından son derece önemli ve olumlu bir gelişmedir. Bu noktada 01.06.2024 tarihi itibariyle Sulh Ceza Hakimliklerince görülmekte olan başvuruların burada görülmeye devam edeceğini de not etmek gerekir.

IV.  Değerlendirme ve Sonuç

Türkiye’de 6698 sayılı Kanun’un kabul edilmesiyle birlikte kişisel verilerin korunması adına önemli bir adım atılmıştı. Ancak bu uluslararası standartlara uygun ve yeterli değildi. Kanun’daki eksiklikler KVK Kurulu kararları ve yayınlanan rehberlerle giderilmeye çalışılmaktaydı. 7499 sayılı Kanun ile yapılan değişiklikle beraber Kanun’un temel hak ve özgürlüklere zarar getirilmeksizin daha uygulanabilir hale geldiğini söylemek yanlış olmayacaktır. Özellikle 6. maddede yapılan değişikliklerin veri sorumlularının süreçlerini düzenleyebilmeleri açısından büyük önem arz edeceği açıktır. Bununla beraber yayınlanacak rehber ve yönetmelikler sonrasında da Kanun değişikliğinin uygulamaya yansımaları daha net bir biçimde ortaya çıkacaktır. Veri sorumlularının ise mevcut süreçlerini Kanun değişikliklerine uygun bir biçimde güncellemesi gereklidir.

Prof. Dr. Murat Volkan Dülger - Av. Gülçin Gümüş