Av. Gökçe: KVKK’da öngörülen değişiklikle açık rıza krizi çözülüyor
16 Şubat 2024’te Adalet Komisyonu’na iletilen Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi Kişisel Verilerin Korunması Kanunu’nda (KVKK) uzun süredir tartışmalı olan yurt dışına kişisel veri aktarımı ve özel nitelikli kişisel verilerin işlenme şartlarına dair önemli değişiklikler getiriyor. Konuya ilişkin değerlendirmelerini paylaşan Av. Görkem Gökçe, “Mevcut düzenleme ‘açık rıza’da kilitleniyordu. Kanun Teklifi ile gerekli şartlar sağlanırsa, hukuki yükümlülüklerin yerine getirilmesi için verilerin işlenmesi mümkün olabilecek” dedi.
8. Yargı Paketi olarak da adlandırılan Kanun Teklifi’ne ilişkin görüşmeler 21 Şubat’ta Türkiye Büyük Millet Meclisi Adalet Komisyonu'nda tamamlandı. Buna göre Kanun Teklifi’ndeki KVKK değişiklikleri aynen kabul edildi. Kanun Teklifi’nin yakın zamanda Genel Kurul’da da görüşülmesi bekleniyor. Paket kapsamında Kişisel Verilerin Korunması Kanunu’nda (KVKK) değişikliğe gidiliyor. Buna göre, özel nitelikle kişisel verilerin işlenme şartları, AB genel veri koruma tüzüğüne uyumlu hale getirilecek.
Kişisel Verilerin Korunması Kanunu’nda yapılacak değişikliklere ilişkin değerlendirmelerde bulunan Av. Görkem Gökçe, “Özellikle verilerin yurt dışına aktarımı için benimsenecek yeni sistem, Avrupa Birliği’nde yürürlükte olan General Data Protection Regulation (GPDR) sistematiği ile büyük ölçüde uyumlu. Uzun yıllardır hem akademide hem uygulamada hukukçuların ve esasında kişisel veri ile temas eden herkesin beklentisi, GDPR ile daha paralel bir düzenleme getirilmesiydi. Mevcut düzenlemeyle getirilen değişiklikleri karşılaştırdığımda, tamamen farklı bir bakış açısı ve sistematik benimsendiği aşikar” ifadelerini kullandı.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERDEKİ AÇIK RIZA KRİZİ ÇÖZÜLÜYOR
Kanun Teklifi’nin pratik dünyaya ve günümüz akışına daha uygun olduğunu ifade eden Av. Görkem Gökçe, şöyle devam etti:
“Mevcut düzenlemede de Kanun Teklifi’nde de sağlık, cinsel hayat, sendika ve vakıf üyeliği bilgileri ile biyometrik veriler özel nitelikli kişisel veriler olarak tanımlanıyor. Bu alandaki en önemli yenilik, pratik dünyada sıkça karşılaşılan istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki veri işleme faaliyetleri için getirilen düzenleme. Mevcut düzenleme ‘açık rıza’da kilitleniyordu. Kanun Teklifi ile gerekli şartlar sağlanırsa, bu sayılan alanlardaki hukuki yükümlülüklerin yerine getirilmesi için verilerin işlenmesi mümkün olabilecek. Böylece özel nitelikli kişisel verilerin hukuki işleme sebepleri genişleyecek, pratik dünyaya ve günümüz akışına daha uygun hale gelmiş oldu.”
“KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI SİL BAŞTAN DÜZENLENİYOR”
“Kanun Teklifi, kişisel verilerin yurt dışına aktarılması için tamamen yeni ve önceki düzenlemelerle farklı bir sistematik benimsiyor” diyen Gökçe şu bilgileri paylaştı:
“Mevcut sistemde Kişisel Verileri Koruma Kurulu (Kurul) tarafından aktarım yapılacak ülke hakkında yeterlilik kararı bulunması, yeterlilik kararı bulunmaması halinde veri sorumluları arasında yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurul’dan bunun için izin alınması ile ilgili kişilerden açık rıza alınıyordu. Ancak bugüne kadar Kurul, herhangi bir ülke hakkında yeterlilik kararı vermedi. Kurul’a ulaşan 80’i geçkin taahhütname başvurusundan ise yalnızca 8’ine izin verdi. Böyle olunca yine işleyen tek sistem, ilgili kişilerden açık rıza alınmasıydı.
Kanun Teklifi ile artık yurt dışına veri aktarımı için kademeli bir sistem öngörülüyor ve pek çok kişinin beklediği gibi açık rıza çıkmazından sıyrılmaya çalışılıyor. Buna göre; artık üç kademeli ve alternatifli bir aktarım rejimi olacak: (i) Yeterlilik kararına dayalı aktarım, (ii) uygun güvencelere dayalı aktarım, (iii) arızi durumlara dayalı aktarım.”
Gökçe, “En kritik yeniliklerden biri de özellikle GDPR’da uzun süredir uygulanan Bağlayıcı Şirket Kuralları (Binding Corporate Rules- BCR) ve Standart Sözleşme Düzenlemeleri’ne (Standart Contractual Clauses- SCC) Kanun Teklifi’nde de yer verilmesi. Bu şartlar, güvencelere dayalı yurt dışına veri aktarım şartları olarak sıralanıyor. Böylece Kanun Teklifi’nin aynen kabul edilmesiyle, yurt dışına veri aktarımı düzenlemeleri bakımından KVKK çok büyük ölçüde GDPR sistematiğine uyumlu hale geldi” dedi.
YURT DIŞINA AKTARIMDA KULLANILACAK STANDART SÖZLEŞMELER 5 İŞ GÜNÜ İÇİNDE KURUL’A BİLDİRMEYENLERE YAPTIRIM GELİYOR
Kanun Teklifi’nde öngörülen yaptırımlara ilişkin de bilgi veren Gökçe, “GDPR düzenlemelerine göre ayrışan bir konu ise veri sorumlusu veya veri işleyenin, ilgili standart sözleşmeyi 5 iş günü içinde Kurul’a bildirmekle yükümlü olması. Aksi halde, Kanun Teklifi’nde 50 bin Türk lirasından 1 milyon Türk lirasına kadar idari para cezası düzenlenebileceği öngörülüyor” diye konuştu.
İDARİ PARA CEZALARINA KARŞI İDARE MAHKEMESİNE GİDİLEBİLECEK
İdari para cezalarına karşı idari yargıya gidilebileceğini söyleyen Av. Gökçe Gökçe, “Kanun Teklifi, Kurul tarafından verilen idari para cezalarına karşı idare mahkemelerine başvurulması yolunu açıyor. Mevcut düzenlemeler uyarınca, Kurul’un idari para cezalarına karşı sulh ceza hakimliğine başvurulabiliyor, kalan kararlara ilişkin ise idari yargıya başvurulabiliyor. Kanun Teklifi yasalaşırsa, idari para cezaları için de idari yargı nezdinde daha kapsamlı hukuki tartışma ortamları söz konusu olabilecek” dedi.
1 EYLÜL 2024’E KADAR TÜM UYUM ÇALIŞMALARI GÖZDEN GEÇİRİLMELİ
Kanun Teklifi’nde iki aşamalı bir geçiş öngörüldüğünü belirten Gökçe, şu bilgileri paylaştı:
“Açık rızaya dayalı yurt dışına veri aktarımı düzenlemeleri 1 Eylül 2024’e kadar uygulanacak, bu tarihten sonra açık rızaya dayalı yurt dışına sürekli kişisel veri aktarımı gerçekleştirilemeyecek. Kalan düzenlemeler, 1 Haziran 2024’te yürürlüğe girecek.”
UYUMLULUK İÇİN NE YAPMALI?
Kanun Teklifi’nde açık rıza ile ilgili yeni kurguların benimsendiğini ifade eden Av. Görkem Gökçe, “KVKK’nın uygulanmasında pratikte yaşanan ve bir avukat olarak da en çok destek talebi aldığımız sorunlardan biri yurt dışına veri aktarımıydı. Kanun Teklifi, buna sil baştan düzenlemeler öngörüyor. Veri sorumluları ve veri işleyenlerin bu esaslı değişiklikleri bir an önce içselleştirmesi, metinlerini ve aksiyonlarını yeni düzenlemelere göre tekrar kurgulanması gerekecek. Özellikle açık rıza ile ilgili yeni kurgular benimsendiği için tüm süreçler bu perspektifle gözden geçirilmeli. İlgili değişiklikler, her ne kadar birkaç maddede değişiklik getiriyor olsa da kişisel veri işleme süreçlerinin esasında büyük değişiklikler gerektirecek. Kanun Teklifi’nin getirdiği değişikliklerle herkes için verimli bir uyum dönemi olmasını umuyoruz” diye konuştu.