Kişisel Verilerin Korunması Kanunu’nda (KVKK) Büyük Dönüşüm ve GDPR Uyum Süreci
6698 sayılı KVKK’da yapılan son değişiklikler, özellikle uluslararası veri aktarımı ve idari para cezalarına itiraz süreçlerinde Avrupa Genel Veri Koruma Tüzüğü (GDPR) ile uyumu artırma yönünde köklü bir revizyon getirmiştir. Bu değişiklikler, veri sorumlularının uyum stratejilerini acilen gözden geçirmesini gerektirmektedir.
1. Uluslararası Veri Aktarımı Rejiminde Köklü Değişiklikler ve Uyum Takvimi
Veri aktarımı rejimindeki en önemli reform, kişisel verilerin yurt dışına aktarılması sürecini kolaylaştıran Standart Sözleşmeler mekanizmasının getirilmesidir. Yeni düzenlemeye göre, veri sorumlusu veya veri işleyen tarafından imzalanan bu sözleşmeler ile, Kurul’un önceden izin verme zorunluluğu ortadan kalkmıştır. Bu mekanizma, uluslararası veri trafiğinin önündeki uzun süreli bürokratik engelleri kaldırarak, Kurul izni olmaksızın aktarımın mümkün hale gelmesini sağlamaktadır. Ancak bu sözleşmelerin, imza tarihinden itibaren beş iş günü içinde Kurum’a bildirilmesi zorunluluğu bulunmaktadır.
Bu düzenlemenin temelindeki düşünce, Türkiye’nin uluslararası ticaretin gerektirdiği hızlı veri akışına uyum sağlaması ve nihayetinde Avrupa Birliği’nden yeterlilik kararı (adequacy decision) alabilme sürecine uygunluk adımlarını hızlandırmaktır. Bu durum, uluslararası operasyonları bulunan şirketler için Türkiye’deki veri aktarım rejimini daha öngörülebilir hale getirecektir.
Kanun değişikliklerinin genel yürürlük tarihi 1/6/2024 olarak belirlenmiş olup, verilerin yurt dışına aktarılmasına ilişkin mevcut 9. maddenin birinci fıkrası, değiştirilen haliyle birlikte 1/9/2024 tarihine kadar uygulanmaya devam edecektir. Bu üç aylık geçiş sürecinde veri sorumlularının, Standart Sözleşmeleri ve yeni aktarım kayıtlarını proaktif bir yönetim modeliyle hızlı ve titizlikle hazırlaması hayati önem taşımaktadır. Ayrıca, yeni mekanizmaların uygulanmasına yönelik detaylı hukuki perspektif sunan Kişisel Verilerin Yurt Dışına Aktarılması Rehberi’nin 2 Ocak 2025 tarihinde yayımlandığı bildirilmiştir. Beş iş günlük bildirim süresi, uyum ekiplerinin reaktif olmaktan ziyade sürekli hazırlık halinde bulunmasını zorunlu kılmaktadır.
2. Yeni İşleme Şartları: Çalışan Verileri ve Açık Rıza İstisnaları
KVKK’daki değişiklikler, özel nitelikli kişisel verilerin işlenmesi konusunda işverenlere yönelik önemli bir istisna getirmiştir. Yeni düzenlemeye göre, işverenler, istihdam ve sosyal güvenlik gibi hukuki yükümlülüklerini yerine getirmek için zorunlu hallerde, çalışanlara ait sağlık ve cinsel hayata ilişkin kişisel verileri açık rıza olmaksızın işleyebilecektir.
Bu istisnanın hukuki gerekçesi, işverenlerin yasal yükümlülüklerini yerine getirebilmesi ve çalışanların korunmasıdır. Örneğin, engelli çalıştırma zorunluluğu kapsamında işverenin, bu statüde çalıştırdığı kişilere ilişkin rapor ve belgeleri işlemesi bu kapsamda değerlendirilecektir.
Ancak, bu istisnanın sınırsız bir yetki olarak algılanmaması gerekmektedir. İşlenen verinin amaçla bağlantılı, sınırlı ve ölçülü olması zorunluluğu devam etmektedir. İşverenlerin bu hukuki dayanağı kullanırken, sadece yasal zorunluluğun yerine getirilmesi için kesinlikle gerekli olan veriyi işlemesi ve rıza yerine bu hukuki dayanağı net bir şekilde belgelendirmesi gerekmektedir. İşyeri sağlığı ve güvenliği kapsamındaki zorunlu işlemlerin bu yeni istisna kapsamında nasıl konumlanacağı, ilerleyen Kurul uygulamalarıyla netleşecektir.
3. İdari Para Cezalarına İtiraz Yolu Değişikliği ve Hukuki Koruma
Kurul tarafından verilen idari para cezalarına ilişkin uyuşmazlıkların çözüm yolu değiştirilmiştir. Değişiklik öncesinde bu uyuşmazlıklar Sulh Ceza Mahkemelerinde görülmekteydi. Ancak, mevcut başvuru yolunun etkin hukuki koruma sağlamadığı yönündeki eleştiriler dikkate alınarak, Kurulca verilen idari para cezalarına karşı artık İdare Mahkemelerinde dava açılabileceği açıkça düzenlenmiştir.
Bu yargı yolu değişikliği, hukuki kalitenin yükselmesi anlamına gelmektedir. İdare Mahkemelerinin idari yargılama usulünde uzmanlaşmış olması sayesinde, Kurul kararlarının hukuka uygunluk denetimi daha detaylı ve uzmanlaşmış bir heyet tarafından yapılacaktır. Bu durum, şirketler lehine daha etkin bir hukuki koruma sağlayacak ve Kurul’un idari yaptırım kararlarının gerekçelendirilmesini daha sağlam temellere oturtma zorunluluğunu artıracaktır.