Kişisel Verileri Koruma Kurumu (“Kurum”), 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndaki (“Kanun”) tartışmalı hükümlerin değiştirilmesini öngören bir kanun değişikliği önerisi hazırlayarak ilgili kurum ve kuruluşların görüşüne sundu.
Bu yazının takip eden bölümlerinde, Kurum’un üzerlerinde değişiklik önerilerinde bulunduğu Kanun’un (i) özel nitelikteki kişisel verilerin işlenmesi şartlarına dair 6. maddesi ile (ii) kişisel verilerin yurt dışına aktarılmasını konu edinen 9. maddesi ele alınacaktır.
(i) Kanun’un 6. Maddesi - Özel Nitelikteki Kişisel Verilerin İşlenmesi Şartları
Kanun’un 6. maddesi özel nitelikteki kişisel verilerin işlenmesi şartlarını düzenlemektedir. Özel nitelikteki kişisel verilerden kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri anlaşılmaktadır.
Özel nitelikli kişisel veriler, kural olarak yalnızca ilgili kişinin açık rızası alınarak ve kanunlarda öngörülmüş olması halinde ilgili kişinin rızası alınmadan işlenebilmektedir (ikinci durum sağlık ve cinsel hayata ilişkin veriler haricindeki özel nitelikteki kişisel veriler için geçerlidir).Sağlık ve cinsel hayata dair kişisel veriler için Kanun daha kısıtlayıcı yaklaşmış ve buna göre bahsi geçen kişisel veriler, ilgilinin açık rızası aranmaksızın yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilecektir.
Kanun’un özeli nitelikteki verilerin, özellikle de sağlık verilerinin, işlenmesine ilişkin böylesine kısıtlamalar getirmesi uygulamada veri sorumluları için ciddi zorluklar oluşturmuş ve oluşabilecek risklerin engellenmesi gibi hukuki yükümlülüklerin yerine getirilmesi amacıyla sağlık verileri işleyenler için bu durumun yansımaları daha da ciddi olmuştur.
- Kanun değişikliği önerisi neleri beraberinde getirmektedir?
Kanun değişikliği önerisi öncelikle sağlık ve cinsel hayata dair veriler ile diğer özeli nitelikteki veri kategorileri arasındaki ayrımı kaldırmakta ve bu verilerin işlenmesi bakımından yeni şartlar sunmaktadır.Değişiklik önerisinin olduğu gibi kabul edilmesi durumunda sağlık ve cinsel hayata dair verilerin işlenmesi için farklı bir yaklaşım benimsenmesi gerekmeyecektir.
Yukarıda da bahsedildiği üzere değişiklik önerisi, özel nitelikteki kişisel verilerin hukuka uygun olarak işlenmesi için yeni hukuki zeminler sunmaktadır. Buna göre, özel nitelikteki kişisel veriler kategorisinde yer alan veriler, (i) ilgilisinden açık rıza alınması, (ii) kanunlarda açıkça öngörülmüş olması, (iii) veri ilgilisinin kendisi tarafından alenileştirilmiş olması, (iv) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, (v) bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, (vi) istihdam, iş ve sosyal güvenlik veya sosyal hizmetler alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması, ve nihayet (vii) siyasi parti, vakıf, dernek veya sendika gibi kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik kişisel verileri işliyor olması durumlarından en az birinin mevcudiyeti halinde işlenmesi, hukuka uygun addedilecektir.
Bu genişletmeye rağmen öneri, GDPR’ın özel nitelikteki kişisel verilerin işlenmesi için sağladığı hukuki zeminlerin hepsini bünyesinde barındırmamaktadır. Dolayısıyla ve özellikle de GDPR’ın yapısı ile kıyaslandığında öneri ile getirilen hukuki zeminlerin halen oldukça sınırlı olduğunu düşünmekteyiz.
(ii) Kanun’un 9. Maddesi - Kişisel Verilerin Yurt Dışına Aktarılması
Kanun’un 9. maddesi özel nitelikteki kişisel verilerin yurt dışına aktarılmasını düzenlemektedir. Madde uyarınca kişisel veriler yurt dışına, yalnızca ilgilinin açık rızası alınması koşuluyla yahut Kanun’un 5. maddesinde ifade bulan hukuki zeminlerin bulunması (açık rıza haricinde) ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması şartlarının bir arada bulunması durumlarında aktarılabilecektir. Bu düzenlemeye rağmen yeterli korumanın bulunduğu ülkeler hâlihazırda Kurum tarafından ilan edilmiş olmadığından aslında ikinci durumun oluşması mümkün değildir. Dolayısıyla açık rıza haricindeki bir hukuki zeminin varlığı durumunda veri sorumlusunun Kurum’dan yurt dışına aktarım için onay alması gerekmektedir. Bunlara ek olarak Kurum, bağlayıcı şirket kurallarınında 9. maddenin uygulanması bağlamında kabul edilebilir bir yöntem olduğunu duyurmuştur.
Özetle, mevcut durumda açık rıza alınması yurt dışına aktarım bakımından tek uygulanabilir yol gibi gözükmektedir. Veri sorumluları bir taahhütte bulunmak suretiyle gerekli izni almak adına her zaman Kurum’a başvurabilirler veya bağlayıcı şirket kuralları onayı alabilirler, ancak unutulmaması gereken bu süreçlerin bir yıl gibi süreler neticesinde sonuçlanabilmesi ihtimalidir.
Görüldüğü üzere mevcut yurt dışına aktarım rejimi oldukça sorunsaldır ve yurt dışına aktarımveri ilgilisinin açık rızasının varlığına indirgendiğindenşirketleri Türkiye’de bir altyapı kurmaya veya kullanmaya itmektedir. Ticari aktörler ve akademi çevreleri söz konusu uygulamayı oldukça eleştirmektedir. Bütün bu nedenlerle aşağıda ele alınacak değişiklik önerileri Türkiye’deki veri sorumluları tarafından uzun süredir beklenmektedir ve ciddi bir ihtiyacı karşılamaktadır.
- Kanun değişikliği önerisi neleri beraberinde getirmektedir?
Değişiklik önerisi uyarınca kişisel veriler, Kanun’un 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektör veya uluslararası kuruluş hakkında yeterlilik kararı bulunması halinde (sonraki aktarımlar da dâhil olmak üzere) yurt dışına aktarılabilecektir. Kişisel Verilerin Korunması Kurul’u (“Kurul”), diğer bazı hususlarla birlikte karşılıklılık prensibi çerçevesinde yeterlilik konusunda karara varacaktır. Kurul’un, halihazırda Avrupa Birliği ülkelerine yapılacak aktarımlar için dayandığı“Karşılıklılık” ilkesi böylece yeterlilik kararı verilmesi bakımından gözetilecek hususlardan biri olarak açıkça sayılmış olacak.
Kurul tarafından bir yeterlilik kararı bulunmadığı hallerde, kişisel veriler aşağıda sıralanan uygun güvencelerden birinin sağlanması koşuluyla yurt dışına aktarılabilecektir:
- Kurul’a, yine Kurul tarafından ilan edilmiş standart bir taahhütname ile bildirimde bulunulması,
- Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir sözleşmenin Kurul’a verilip Kurul’dan izin alınması,
- Bağlayıcı şirket kurallarının varlığı ve bunların Kurul tarafından onaylanması,
- Türkiye’deki kamu kurum ve kuruluşları ile veri aktarımı yapılacak ülkedeki muadil kurum ve kuruluşlar arasında yapılan anlaşmalarda kişisel verilerin korunmasına ilişkin hükümlerin varlığı ve Kurul’dan izin alınması.
Bütün bu açıklamalar gözetildiğinde yurt dışına aktarım bakımından Kanun’daki en önemli değişiklik şüphesiz standart bir taahhütname ile bildirimde bulunulması yönünden olacaktır. Zira artık izin mekanizmasından bahsedilmeyecek ve standart taahhütnamelerin kullanılmasıyla verilerin yurt dışına aktarımı oldukça kolay olacaktır.
Son olarak, bir yeterlilik kararı bulunmaması veya veri sorumlusu tarafından ilgili taahhütnamenin sunulmamış olması hallerinde, aşağıdaki şartlarda aktarımın arızi hallerde yapılabilmesi önerilmiştir:
(i) uygun güvencelerin yokluğundan doğacak potansiyel riskler konusunda ilgilinin bilgilendirilmesinden sonra kendisinin açık rızasının alınması,
(ii) bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşme taraflarına ait kişisel verilerin aktarılmasının zorunlu olması,
(iii) veri sorumlusunun üçüncü kişi olan ilgili kişi yararına akdettiği sözleşmenin kurulması veya ifa edilmesi için ilgili kişinin kişisel verilerinin aktarılmasının zorunlu olması,
(iv) fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan ilgili kişinin kendisinin veya bir başka gerçek kişinin hayatı veya beden bütünlüğü için veri aktarımının zaruri olması,
(v) bir hakkın tesisi, kullanılması veya korunması için veri aktarımının zorunlu olması, ve
(vi) yine sadece geçici bir durum olarak kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarının mevzuatla belirlenmiş görev ve yetkilerinin ifası için kişisel verilerin aktarılmasının zorunlu olması durumlarının mevcut olması suretiyle istisnai olarak verilerin yurt dışına aktarımı söz konusu olabilecektir.
Sonuç
Değişiklik önerisi, görüşlerinin alınması amacıyla kamu kurum ve kuruluşları ile paylaşılmış ancak henüz Türkiye Büyük Millet Meclisine sunulmamıştır. Sunulacak kanun değişikliği teklifinin Meclis tarafından kabul edilmesi hem yerel hem de uluslararası veri sorumluları tarafından olumlu karşılanacak ve 11. Kalkınma Planı’nın hedefleri arasında yer alan GDPR’a uyumluluk bağlamında önemli bir adım olarak görülecektir. Önerinin bu haliyle sunulması ve kabul edilmesinden sonra dahi GDPR ile kıyaslandığında Kanun’un birçok yönden sınırlı olduğu yadsınamaz bir gerçek olarak kalacaktır, ancak bu yazının konusu olan muhtemel gelişmelerin Türkiye için önemli bir rahatlama olarak kayda geçeceğini de belirtmek gerekir. Bu değişikliğin yürürlüğe girmesinin beklendiği 2022 yılında veri sorumlularının Kanun ile tam uyumlu hale gelmek için gerekli çalışmaları yapması beklenmektedir.