Avukat Görkem Gökçe: ”Kişisel Verilerin Korunması Kanunu’nda Kritik Değişiklikler Gerçekleşiyor”
AK Parti tarafından hazırlanan 8. yargı paketinde Kişisel Verilen Korunması Kanunu’nda (KVKK) yapılacak değişiklikleri değerlendiren Avukat Görkem Gökçe, “Uzun yıllardır hem akademide hem uygulamada hukukçuların ve esasında kişisel veri ile temas eden herkesin beklentisi, Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (GDPR) ile daha paralel bir düzenleme getirilmesiydi. Mevcut düzenlemeyle getirilen değişiklikleri karşılaştırdığımda, tamamen farklı bir bakış açısı ve sistematik benimsendiği aşikar” dedi.
TBMM Adalet Komisyonu’nda AK Parti’nin getirdiği 8. yargı paketi olarak sunulan, “Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi” kabul edildi. Teklifin önümüzdeki hafta TBMM Genel Kurulu’nda görüşülmesi bekleniyor.
Teklifle Kişisel Verilerin Korunması Kanunu’nda (KVKK) da değişiklik yapılıyor. Teklifle KVKK’da getirilen düzenlemeyi değerlendiren Avukat Görkem Gökçe, “Mevcut düzenlemede de kanun teklifinde de sağlık, cinsel hayat, sendika ve vakıf üyeliği bilgileri ile biyometrik veriler özel nitelikli kişisel veriler olarak tanımlanıyor. Bu alandaki en önemli yenilik, pratik dünyada sıkça karşılaşılan istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki veri işleme faaliyetleri için getirilen düzenleme” dedi.
Gökçe konuya ilişkin değerlendirmeleri şöyle:
“2016’da yayımlandığı günden bu yana gerek biz hukukçuların gerekse kişisel verilerle temas eden şirketlerin gündeminden düşmeyen Kişisel Verilerin Korunması Kanunu’nda (KVKK) kritik değişiklikler gerçekleşiyor. KVKK, kişisel verilerin işlenmesine dair veri sorumlularının uyması gereken yükümlülükleri düzenliyor. 16 Şubat 2024’te Adalet Komisyonu’na iletilen Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi (Kanun Teklifi), KVKK’da uzun süredir tartışmalı olan yurt dışına kişisel veri aktarımı ve özel nitelikli kişisel verilerin işlenme şartlarına dair önemli değişiklikler getiriyor.
GDPR ile paralel olacak düzenlemeler geliyor
Özellikle verilerin yurt dışına aktarımı için benimsenecek yeni sistem, Avrupa Birliği’nde yürürlükte olan General Data Protection Regulation (GPDR) sistematiği ile büyük ölçüde uyumlu. Uzun yıllardır hem akademide hem uygulamada hukukçuların ve esasında kişisel veri ile temas eden herkesin beklentisi, GDPR ile daha paralel bir düzenleme getirilmesiydi. Mevcut düzenlemeyle getirilen değişiklikleri karşılaştırdığımda, tamamen farklı bir bakış açısı ve sistematik benimsendiği aşikar.
“Özel nitelikli kişisel verilerdeki ‘açık rıza’ krizi çözülüyor
Mevcut düzenlemede de kanun teklifinde de sağlık, cinsel hayat, sendika ve vakıf üyeliği bilgileri ile biyometrik veriler özel nitelikli kişisel veriler olarak tanımlanıyor. Bu alandaki en önemli yenilik, pratik dünyada sıkça karşılaşılan istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki veri işleme faaliyetleri için getirilen düzenleme. Mevcut düzenleme ‘açık rıza’ da kilitleniyordu. Kanun teklifi ile gerekli şartlar sağlanırsa, bu sayılan alanlardaki hukuki yükümlülüklerin yerine getirilmesi için verilerin işlenmesi mümkün olabilecek. Böylece özel nitelikli kişisel verilerin hukuki işleme sebepleri genişleyecek, pratik dünyaya ve günümüz akışına daha uygun hale gelmiş oldu.
“KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI SİL BAŞTAN DÜZENLENİYOR”
Kanun Teklifi, kişisel verilerin yurt dışına aktarılması için tamamen yeni ve önceki düzenlemelerle farklı bir sistematik benimsiyor. Mevcut sistemde Kişisel Verileri Koruma Kurulu tarafından aktarım yapılacak ülke hakkında yeterlilik kararı bulunması, yeterlilik kararı bulunmaması halinde veri sorumluları arasında yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurul’dan bunun için izin alınması ile ilgili kişilerden açık rıza alınıyordu. Ancak bugüne kadar Kurul, herhangi bir ülke hakkında yeterlilik kararı vermedi. Kurul’a ulaşan 80’i geçkin taahhütname başvurusundan ise yalnızca 8’ine izin verdi. Böyle olunca yine işleyen tek sistem, ilgili kişilerden açık rıza alınmasıydı.
Kanun Teklifi ile artık yurt dışına veri aktarımı için kademeli bir sistem öngörülüyor ve pek çok kişinin beklediği gibi açık rıza çıkmazından sıyrılmaya çalışılıyor. Buna göre; artık üç kademeli ve alternatifli bir aktarım rejimi olacak: Yeterlilik kararına dayalı aktarım, uygun güvencelere dayalı aktarım, arızi durumlara dayalı aktarım.
En kritik yeniliklerden biri de özellikle GDPR’da uzun süredir uygulanan Bağlayıcı Şirket Kuralları (Binding Corporate Rules- BCR) ve Standart Sözleşme Düzenlemeleri’ne (Standart Contractual Clauses- SCC) kanun teklifinde de yer verilmesi. Bu şartlar, güvencelere dayalı yurt dışına veri aktarım şartları olarak sıralanıyor.
Böylece Kanun Teklifi’nin aynen kabul edilmesiyle, yurt dışına veri aktarımı düzenlemeleri bakımından KVKK çok büyük ölçüde GDPR sistematiğine uyumlu hale geldi. Yurt Dışına Aktarımda Kullanılacak Standart Sözleşmeler 5 iş günü içinde kurula bildirilecek ve bu yeni bir yaptırım türü olarak sınıflanacak. GDPR düzenlemelerine göre ayrışan bir konu ise; veri sorumlusu veya veri işleyenin, ilgili standart sözleşmeyi 5 iş günü içinde kurula bildirmekle yükümlü olması. Aksi halde, kanun teklifi’nde 50 bin Türk lirası’ndan 1 milyon Türk lirasına kadar idari para cezası düzenlenebileceği öngörülüyor.
“İDARİ PARA CEZALARINA KARŞI İDARE MAHKEMESİNE GİDİLEBİLECEK”
Kanun Teklifi, Kurul tarafından verilen idari para cezalarına karşı idare mahkemelerine başvurulması yolunu açıyor. Mevcut düzenlemeler uyarınca, kurulun idari para cezalarına karşı sulh ceza hakimliğine başvurulabiliyor, kalan kararlara ilişkin ise idari yargıya başvurulabiliyor. Kanun Teklifi yasalaşırsa, idari para cezaları için de idari yargı nezdinde daha kapsamlı hukuki tartışma ortamları söz konusu olabilecek.
“1 EYLÜL 2024’E KADAR TÜM UYUM ÇALIŞMALARI GÖZDEN GEÇİRİLMELİ”
Kanun Teklifi, iki aşamalı bir geçiş öngörüyor:
-Açık rızaya dayalı yurt dışına veri aktarımı düzenlemeleri 1 Eylül 2024’e kadar uygulanacak, bu tarihten sonra açık rızaya dayalı yurt dışına sürekli kişisel veri aktarımı gerçekleştirilemeyecek.
-Kalan düzenlemeler, 1 Haziran 2024’te yürürlüğe girecek.
“UYUMLULUK İÇİN NE YAPMALI”
KVKK’nın uygulanmasında pratikte yaşanan ve bir avukat olarak da en çok destek talebi aldığımız sorunlardan biri yurt dışına veri aktarımıydı. Kanun Teklifi, buna sil baştan düzenlemeler öngörüyor. Veri sorumluları ve veri işleyenlerin bu esaslı değişiklikleri bir an önce içselleştirmesi, metinlerini ve aksiyonlarını yeni düzenlemelere göre tekrar kurgulanması gerekecek. Özellikle açık rıza ile ilgili yeni kurgular benimsendiği için tüm süreçler bu perspektifle gözden geçirilmeli.
İlgili değişiklikler, her ne kadar birkaç maddede değişiklik getiriyor olsa da; kişisel veri işleme süreçlerinin esasında büyük değişiklikler gerektirecek.”