Kişisel Verilerin Korunması Kanunu’nda bir süredir beklenen değişiklik gerçekleşti ve 12 Mart 2024 tarihli Resmi Gazete’de yayımlanmasıyla birlikte KVKK’nın AB’deki General Data Protection Regulation (“GDPR”) ile uyumluluğu adına oldukça önemli bir ilk adım atılmış oldu.
Yurt dışına aktarım kapsamında daha ayrıntılı düzenlemelere duyulan ihtiyacı karşılamak adına Kişisel Verileri Koruma Kurumu tarafından “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” yayınlanmıştır (1).
Mezkur düzenlemeler; sağlık hizmeti yöneticileri, hekimler ve sağlık turizmi sektöründe faaliyet gösteren aracı kurumlar açısından oldukça önem taşımaktadır.
KVKK’da Yapılan Değişiklikler Hangi Maddeleri Kapsıyor?
- KVKK’nın 6. maddesinde yer alan “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” ve 9. maddesinde yer alan “Kişisel Verilerin Yurt Dışına Aktarımı” şartları değiştirilmiştir.
Mevcut Düzenleme
KVKK’daki mevcut düzenleme (KVKK md. 6) ye göre, özel nitelikli kişisel verilerin, ilgili kişinin açık rızası olmaksızın işlenmesi prensip olarak yasaktır. Bununla birlikte (2),
- Sağlık ve cinsel hayat verileri haricindeki özel nitelikli kişisel veriler, işlenmelerinin kanunlarda öngörülmesi hâlinde,
- Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise yalnızca sınırlı sayıda belirtilen amaçlarla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın işlenebilmektedir.
Düzenlemeyle Gelen Değişiklikler
Özel nitelikli kişisel verilerin işlenme şartları yeniden düzenlenmiştir:
- İlgili kişinin açık rızası olması,
- Sağlık ve cinsel hayat verileri de dahil olmak üzere özel nitelikli kişisel verilerin tamamı için, işlenmesinin kanunlarda öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak veya rızasına hukuki geçerlilik tanınmayan kişilerin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlenmesinin zorunlu olması,
- Veri işlemenin, ilgili kişinin alenileştirdiği özel nitelikli kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
- Bir hakkın tesisi, kullanılması veya korunması için özel nitelikli kişisel veri işlenmesinin zorunlu olması,
- Özel nitelikli kişisel veri işlenmesinin sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
- İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanında hukuki yükümlülüklerin yerine getirilmesi için veri işlenmesinin zorunlu olması ve
- Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla, mevcut veya eski üyelerine ve mensuplarına veya bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.
- 2. KVKK’nın 9. Maddesinde yapılan düzenlemeyle birlikte yurt dışına kişisel veri aktarımı ile ilgili olarak önemli yenilikler getirilmiştir.
KVKK’daki mevcut düzenleme uyarınca kişisel verilerin yurt dışına aktarımı;
- Veri sahibinin açık rızası olması,
- KVKK’nın 5/2. Maddesi ile 6/3. Maddesinde sayılan hukuka uygunluk sebeplerinden birinin varlığı ve aktarımın yapılacağı yabancı ülkede yeterli korumanın bulunması,
- Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından aktarıma izin verilmesi,
- Birden çok ülkede faaliyet gösteren uluslararası grup şirketleri için, grup şirketlerin her birinin uymakla yükümlü olduğu bağlayıcı şirket kurallarının Kurul tarafından onaylanması hâllerinde mümkündür.
Düzenlemeyle Gelen Değişiklikler
- KVKK nezdinde kişisel verilerin veya özel nitelikli kişisel verilerin işlenme şartlarından KVKK ve Kurul tarafından aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması hâlinde kişisel veriler veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilecektir. Yeterlilik kararı verilirken Kurul’un karşılıklılık esası dâhil çeşitli hususları dikkate alacağı düzenlenmiştir.
- Yeni düzenleme ile hem yabancı ülkeler hakkında hem de ülke içerisindeki sektörler veya uluslararası kuruluşlar bakımından yeterlilik kararı verilmesi imkanı tanınmıştır. Lakin, ülke yeterlilik kararı seçeneği 2016 yılından beri mevcut olmakla birlikte, henüz Kurum tarafından hakkında yeterlilik kararı verilen bir ülke bulunmamaktadır.
- Düzenlemeyle birlikte belirtilen yeterlilik kararının bulunmaması hâlinde KVKK’nın 5. maddesi veya 6. maddesinde yer alan kişisel verilerin veya özel nitelikli kişisel verilerin işlenme şartlardan birinin varlığı ve ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması şartıyla,
- Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında, uluslararası sözleşme niteliğinde olmayan anlaşma akdedilmesi ve Kurul tarafından aktarıma izin verilmesi,
- Birden çok ülkede faaliyet gösteren teşebbüs grubu için teşebbüs grubu üyelerin her birinin uymakla yükümlü olduğu bağlayıcı şirket kurallarının Kurul tarafından onaylanması,
- Kurul tarafından ilan edilen, kişisel veri aktarımının amaçları, aktarılan veri kategorileri, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler ve özel nitelikli kişisel veriler için alınan ek önlemleri içeren standart sözleşmenin varlığı,
- Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul tarafından aktarıma izin verilmesi hâlinde kişisel verilerin yurt dışına aktarımı mümkün olacaktır.
- Yeterlilik kararının bulunmaması ve yeterli önlemlerden herhangi birinin sağlanamaması hâlinde, arızi olmak kaydıyla,
- İlgili kişinin muhtemel riskler hakkında bilgilendirilmesi kaydıyla aktarıma açık rıza vermesi,
- Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,
- Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,
- Aktarımın üstün bir kamu yararı için zorunlu olması,
- Aktarımın bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
- Aktarımın fiili imkânsızlık nedeniyle rızası açıklayamayacak veya rızasına hukuki geçerlilik tanınmayan kişilerin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması hâllerinde kişisel verilerin yurt dışına aktarımı mümkün olacaktır.
- 3. KVKK’nın 9. maddesinde yapılan düzenlemelerle, yurt dışına veri aktarımı için yeni şartlar düzenlenmiştir.
- Kişisel Verileri Koruma Kurulu tarafından belirlenen ve her dört yılda bir değerlendirilen yeterlilik kararına dayanarak, belirli ülkelere, uluslararası kuruluşlara veya sektörlere veri aktarımı yapılabilir.
- Yeterlilik kararının bulunmadığı hallerde; Kanun’un 5. ve 6. maddelerinde belirtilen şartlarla, aktarım yapılacak ülkede ilgili kişilerin haklarını kullanabilmeleri ve etkili yargı yollarına başvurabilmeleri gerekmektedir.
- KVKK’da belirlenen standart şartların sağlanamaması halinde, kişisel verilerin yurt dışına aktarılması için aşağıdaki geçici durumlarda da veri aktarımı mümkündür.
- İlgili kişi, muhtemel riskler konusunda tam olarak bilgilendirildikten sonra veri aktarımına açık rızasını verebilir.
- İlgili kişi ile veri sorumlusu arasındaki sözleşmenin gerekliliklerini yerine getirmek veya ilgili kişinin talebi üzerine alınacak önlemler için veri aktarımı zorunlu olabilir.
- Veri aktarımı, üstün bir kamu yararını korumak için gerekli olabilir.
- Bir hakkın tesisi, kullanılması veya korunması için veri aktarımı zorunlu hale gelebilir.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişilerin kendilerinin veya başkalarının hayatını veya beden bütünlüğünü korumak için veri aktarımı gerekebilir.
- Kamuya açık bir sicilden, mevzuat kapsamında sicile erişim için gerekli şartlar sağlandığı sürece, kişinin talebi üzerine veri aktarımı yapılabilir.
- 4. Kişisel verilerin yurt dışında sonraki aktarımları için getirilen özel yükümlülükler açısından yeni düzenlemeler yapılmıştır.
Mevcut Düzenleme
Mevcut düzenlemede, veri sorumluları veya veri işleyenlere yönelik, kişisel verilerin yurt dışına ilk aktarımından sonraki aktarımlar için bir yükümlülük öngörülmemiştir.
Düzenlemeyle Gelen Yenilikler
Kanun ile getirilen değişiklikler ile, veri sorumluları ve veri işleyenler için, hangi yöntemi kullanıyor olursa olsunlar, kişisel verilerin yurt dışına aktarılmasından sonraki aktarımlar açısından da KVKK’daki güvenceleri sağlama ve sonraki aktarımlar için de yurt dışına aktarıma ilişkin hükümleri uygulama zorunluluğu getirilmiştir.
Veri sorumluları ve veri işleyenlere veri aktarımının yapılacağı ülke ve ülkeler hukukuna yönelik kapsamlı ve daha yakın bilgi sahibi olma ve bu aktarımı her aşamada takip etme yükümlülüğü getirilmiştir.
- 5. Yurt dışına aktarım kapsamında bildirim yükümlülüğünü yerine getirmeyen veri sorumluları ve veri işleyenler açısından düzenlemeler yapılmıştır (3).
Mevcut Düzenleme
Halihazırdaki mevcut düzenlemede, standart sözleşme imzalamak sureti ile yurt dışına aktarım imkânı ve bu kapsamda bir bildirim yükümlülüğü bulunmamaktadır. Bunun yanında, kişisel verilerin yurt dışına aktarımının temel sorumlusu olarak veri sorumlusu düzenlenmekte, idari para cezalarının temel muhatabı veri sorumluları olarak belirlenmiştir. Veri işleyenlerin doğrudan sorumluluğundan bahsedilmemektedir.
Düzenlemeyle Gelen Değişiklikler
Kanun ile getirilen değişiklikler uyarınca, kişisel verilerin Kurul tarafından ilan edilecek standart sözleşmeye uygun olarak yurt dışına aktarılması hâlinde, sözleşmenin imzalanmasını takip eden beş (5) iş günü içerisinde veri sorumluları veya veri işleyenler tarafından Kurum’a bildirilmesi gerekmektedir.
- 6. Kurul kararlarına karşı başvurulacak yargı yolu ve idari para cezaları konularında düzenlemeler getirilmiştir.
Mevcut Düzenleme
KVKK’ da yer alan mevcut düzenlemeye göre, Kurul tarafından uygulanan idari para cezalarına karşı sulh ceza hakimliklerine başvuru yapılabilmektedir.
Düzenlemeyle Gelen Değişiklikler
Kurul tarafından verilen idari para cezalarına karşı idare mahkemelerinde dava açılabileceği hükmü getirilmiştir. Aynı zamanda 01.06.2024 tarihi itibariyle sulh ceza hakimlikleri önünde bulunan dosyaların, bu hakimliklerce nihai karara bağlanacağı düzenlenmiştir.
KVKK kapsamında belirli yükümlülüklerin yerine getirilmemesi durumunda uygulanacak idari para cezaları düzenlenmiştir.
Ayrıca;
- Aydınlatma Yükümlülüğü: Kanunun 10. maddesi kapsamında, aydınlatma yükümlülüğünü yerine getirmeyenlere 5.000 Türk Lirası’ndan 100.000 Türk Lirasına kadar idari para cezası uygulanabileceği,
- Veri Güvenliği Yükümlülükleri:12. maddede belirtilen veri güvenliği yükümlülüklerini yerine getirmeyenlere 15.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar ceza verilebileceği,
- Kurul Kararlarına Uymama: 15. Maddede belirtilen Kişisel Verileri Koruma Kurulu tarafından verilen kararları yerine getirmeyenler için 25.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar ceza ile karşı karşıya kalabileceği,
- Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğü: 16. maddede öngörülen Veri Sorumluları Siciline (VERBİS) kayıt ve bildirim yükümlülüğüne aykırı hareket edenlere 20.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar idari para cezası uygulanabileceği,
- Yurt Dışına Veri Aktarımı Bildirim Yükümlülüğü: 9. maddenin ikinci fıkrasında öngörülen yurt dışına veri aktarımı bildirim yükümlülüğünü yerine getirmeyen veri sorumlularına ve veri işleyenlere 50.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar ceza verilebileceği düzenlenmiştir.
KVKK’da Yapılan Değişiklikler Ne Zaman Yürürlüğe Girecek?
Yurt dışına veri aktarımına ilişkin 9. maddede yer alan düzenlemeler 1 Eylül 2024’de yürürlüğe girecek, diğer düzenlemeler ise 1 Haziran 2024’te yürürlüğe girmiş bulunmaktadır.
Bunun yanında KVKK’nın 18. Maddesi kapsamında Kişisel Verileri Koruma Kurulu kararlarına yapılan itirazlar açısından yeni düzenlemeyle İdare Mahkemeleri yetkili kılınmış olup, 1 Haziran 2024 tarihinden önce Sulh Ceza Hakimliklerinde görülmekte olan dosyalar, yine bu hakimliklerde işlem görmeye devam edecektir.
Yazar Hakkında
2010 yılında Yeditepe Üniversitesi Hukuk Fakültesinden mezun olan Av. Tutam Okşak, 2017 yılında Bahçeşehir Üniversitesi Kamu Hukuku bölümünde yüksek lisansını tamamlamıştır. 2011 yılından itibaren İstanbul Barosu’na kayıtlı olarak özellikle Sağlık Hukuku, Ceza Hukuku, İş Hukuku, Ticaret Hukuku, Aile Hukuku, İdare Hukuku, Anayasa Hukuku ve Avrupa İnsan Hakları Hukuku alanlarında avukatlık ve arabuluculuk yapmaya devam etmektedir.
KAYNAKÇA:
- https://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf (erişim tarihi 10.06.2024)
- https://www.kvkk.gov.tr/Icerik/5412/Acik-Rizanin-Hizmet-Sartina-Baglanmasi(erişim tarihi 10.06.2024)
- https://www.kvkk.gov.tr/Icerik/2053/Yurtdisina-Aktarim (erişim tarihi 10.06.2024)
Bu makale, Dişhekimliği Dergisi’nin 149’uncu sayısında yayınlanmıştır.