The Law on the Protection of Personal Data and its secondary legislation is a living law that is frequently updated since its effective date. Many procedures and principles related to data protection are determined not only by the Law, Regulation and Communiqué, but also by the Board Decisions, Principle Decisions and Board Decision Summaries. Therefore, our monthly bulletins aim to inform those concerned about the practices of the Personal Data Protection Board and to keep them up-to-date.

In February 2024, the Board published two data breach notifications and “Information Note on the Personal Data Processing Requirement Stipulated in the Laws”. This month’s Bulletin also includes the “Proposed Amendments to the Law on the Protection of Personal Data” envisaged by the 8th Judicial Package.

DATA BREACH NOTIFICATIONS

Article 12/5 of the LPPD titled “Obligations regarding data security” states that “In the event that the processed personal data is obtained by others through unlawful means, the data controller shall notify the relevant person and the Board as soon as possible. If necessary, the Board may announce this situation on its website or by any other method it deems appropriate.”

In February 2024, two data breach notifications were published on the website of the Personal Data Protection Authority, kvkk.gov.tr

Karel İletişim Hizmetleri A.Ş.

In the data breach notification submitted to the Board by Karel İletişim Hizmetleri A.Ş., which has the title of data controller, in summary;

It was reported that the data controller was subjected to a ransomware attack on 03.02.2024, and as a result of the breach, the database of the accounting software used by the data controller, company/subscriber name and debit/credit balance and some documents containing the financial information of the data controller were encrypted and captured by the attacker. The groups of people affected by the data breach were subscribers/members, customers, and potential customers, and the data categories for an estimated 1254 people were identity and contact.

Public Library of Science


In summary, in the data breach notification submitted to the Board by the Public Library of Science (“PLOS”), which has the title of data controller; Publication within PLOS, which publishes open access journals and research in science, technology, medicine and other scientific literature under an open content licence
It has been reported that an author from the Infectious Diseases and Clinical Microbiology Department of Ankara City Hospital sent an article to the relevant publisher, and that in the article sent, the author aimed to provide an anonymised version of personal data, but it was determined that the article file was openly published online on the internet without anonymising the data of the people involved in the research study.


It was stated that the data breach in question occurred on 31.01.2024 and was detected on 15.02.2024, and that 893 people affected by the breach were part of the medical research study. As a result of the relevant breach, it was stated that ‘name, age, gender’ data and ‘place of treatment, medical information, prescribed drugs, medical procedures received’ data in the category of sensitive personal data were affected.

Information Note
Information Note on the Personal Data Processing Requirement Stipulated in the Laws
I. Evaluation under Turkish Law

The 2010 amendment to the Constitution of the Republic of Turkey (“Constitution”) recognised the protection of personal data as a fundamental right. On the other hand, Article 13 of the Constitution stipulates that “Fundamental rights and freedoms may be restricted without prejudice to their essence only for the reasons specified in the relevant articles of the Constitution and only by law…”. Accordingly, the protection of personal data is not absolute; as with other rights and freedoms, it may be limited by law and in accordance with the rules set out in the Constitution.

It is understood from the wording of the aforementioned provision that it is not possible to regulate or limit fundamental rights and freedoms through instruments such as by-laws, regulations, decrees having the force of law. While some authors argue that every regulation does not mean limitation, others state that every regulation also creates the problem of protection of freedoms and therefore they are identical concepts.

The Institution states that the first view is appropriate in terms of positive law, as it does not accept the regulations that strengthen the fundamental right and enable it to be used more effectively as a limitation.

Likewise, the meaning of the provision on “limitation by law” will manifest itself when considered together with the word “only” and the provision on “limitation in accordance with the letter and spirit of the Constitution”. The fact that the restriction can “only” be made by law indicates that no direct restriction of fundamental rights can be made by the regulatory act of the administration. However, this does not mean that the administration cannot regulate fundamental rights in any way. Therefore, the administration will not be able to restrict fundamental rights by itself, in other words, it will not be able to create a new restriction other than the restriction already imposed by a certain law in accordance with the letter and spirit of the Constitution. Limitations imposed by such administrative acts have been cancelled by the Constitutional Court (“CC”). For example, with the Constitutional Court’s decision numbered E. 2013/122, K. 2014/74, the regulation granting regulatory authority to the Information and Communication Technologies Authority was cancelled in accordance with the principle of inalienability of legislative power.

On the other hand, the administration may make regulations that concretise the statutory limitation. As a matter of fact, sub-regulations arise from a relevant article of law. In this sense, unless cancelled, the appropriate regulatory acts established by the administration are binding within the administrative organisation and must be implemented.

On the other hand, in some cases, the administration has discretionary power. In order to be able to talk about the discretionary power of the administration in a matter, it is necessary that how the authority granted to the administration will be used is not clearly indicated in the legislation, that there is more than one legally valid way to carry out an action or transaction and that the administration can choose one of these ways.

In terms of the interpretation of Article 5 of the Law, no precise criteria are stipulated, and it is within the scope of the discretionary power of the administration to make a narrow or broad interpretation while evaluating the fulfilment of the legal obligation or its explicit provision in the law.

For example, Article 121 of the Law No. 6458 on Foreigners and International Protection stipulates that the procedures and principles regarding the implementation of the relevant law shall be determined by regulation. Pursuant to the provision of the Regulation on the Implementation of Law No. 6458, although the processing of fingerprint data is not specified in Law No. 6458, the processing condition of “explicitly stipulated in the law” may be relied upon in the processing of the relevant data type.

Pursuant to Article 5 of the Law regulating the conditions for processing personal data, exceptions have been introduced to the condition of processing personal data with explicit consent, and one of the relevant exceptions is the condition of ‘explicitly stipulated by law’. Küzeci is of the opinion that personal data may be processed if there is a clear regulation in the laws due to the presence of the phrase ‘explicit’, otherwise, the general authorisation granted by law will not be considered within the scope of the conditions for processing personal data. The Authority, on the other hand, has stated that in this case, only a literal interpretation would be contrary to the spirit of the Law and that in case of a literal interpretation, the processing condition in question may be applied in very limited cases.

II. Evaluation under EU Law

In the European Union General Data Protection Regulation (General Data Protection Regulation, “GDPR”), unlike the Turkish legislation, the provisions of “expressly provided for by law” and “fulfilment of legal obligation” are not regulated separately from each other.

In the “Guidance Note on the Legal Basis for Processing Personal Data” published by the Irish Data Protection Authority, it is stated that data controllers should clearly point out the specific law, recommendation, board or court decision, case law or guidance that gives rise to the legal obligation requiring processing. It is also stated in the relevant guidance note that the legal obligation processing requirement may be a primary legal regulation as well as secondary legislation.

Pursuant to Article 41 of the GDPR Recital, it is recognised that the general purpose of the controller is to comply with a legal obligation which has a sufficiently clear basis in general rules of law or special law. If this obligation can be identified by referring to a specific legal provision or by pointing to sources such as a recommendation, board decision or guideline that clearly sets out its application, the legal obligation will be recognised as a processing condition.

For example, a court decision may require the processing of personal data for a specific purpose and compliance with this court decision is a legal obligation. Regulatory actions taken by the administration are also considered as legal obligations if there is a legal basis supporting the implementation.

PROPOSED AMENDMENTS TO THE LAW ON THE PROTECTION OF PERSONAL DATA

On 16 February 2024, the 8th Judicial Package (“Legislative Proposal”), which envisages amendments to the LPPD, was submitted to the Presidency of the Grand National Assembly of Turkey and was adopted by the General Assembly on 2 March 2024. When the provisions of the Proposed Law, especially on the processing of special categories of personal data and the transfer of personal data abroad, are examined, it is seen that steps have been taken to ensure compliance with the GDPR.

(The provisions marked in bold below indicate the amendments envisaged by the Bill).

Article 6 of the Proposed Law, which is titled “Conditions for the processing of special categories of personal data”, is as follows

Article 6- (1) Data relating to race, ethnic origin, political opinion, philosophical belief, religion, sect or other beliefs, appearance and dress, membership to associations, foundations or trade unions, health, sexual life, criminal conviction and security measures, and biometric and genetic data are sensitive personal data.

2) Processing of special categories of personal data is prohibited. However, the processing of these data
a) the explicit consent of the person concerned.
b) it is explicitly stipulated in the laws,
c) It is necessary for the protection of the life or bodily integrity of the person who is unable to disclose his/her consent due to actual impossibility or whose consent is not legally valid, himself/herself or of another person,
d) it is related to the personal data made public by the data subject and is in accordance with the will of the data subject to make it public,
d) It is mandatory for the establishment, use or protection of a right,
e) It is necessary for the protection of public health, preventive medicine, medical diagnosis, treatment and care services, planning, management and financing of health services by persons under the obligation to keep secrets or authorised institutions and organisations,
f) It is mandatory for the fulfilment of legal obligations concerning employment, occupational health and safety, social security, social services and social assistance,
g) It is possible for foundations, associations and other non-profit organisations or formations established for political, philosophical, religious or trade union purposes, provided that they comply with the legislation to which they are subject and their purposes, are limited to their fields of activity and are not disclosed to third parties; provided that they are intended for their current or former members and members or persons who are in regular contact with these organisations and formations.

(3) In the processing of special categories of personal data, it is also possible
adequate measures must be taken.

The proposed amendment to Article 9 titled “Transfer of personal data abroad” is as follows

Article 9 –

(1) Personal data may be transferred abroad by data controllers and data processors in the presence of one of the conditions specified in Articles 5 and 6 and if there is an adequacy decision on the country, international organisation or sectors within the country where the transfer will be made.

(2) Qualification decision shall be made by the Board and published in the Official Gazette. The Board shall take the opinion of the relevant institutions and organisations if necessary. The qualification decision shall be evaluated every four years at the latest. As a result of the evaluation or in other cases deemed necessary, the Board may change, suspend or revoke the qualification decision with future effect.

(3) The following issues are primarily taken into consideration while making the qualification decision:

a) The reciprocity status regarding the transfer of personal data between Turkey and the country, sectors within the country or international organisations to which personal data will be transferred.
b) The relevant legislation and practice of the country to which personal data will be transferred and the rules governing the international organisation to which personal data will be transferred.
c) The existence of an independent and effective data protection institution in the country to which personal data will be transferred or to which the international organisation is subject, and the existence of administrative and judicial remedies.
ç) The status of the country or international organisation to which personal data will be transferred as a party to international conventions on the protection of personal data or as a member of international organisations.
d) The membership status of the country or international organisation to which personal data will be transferred to global or regional organisations of which Turkey is a member.
e) International conventions to which Turkey is a party.

(4) In the absence of an adequacy decision, personal data may be transferred abroad by data controllers and data processors if one of the following appropriate safeguards is provided by the parties, provided that one of the conditions specified in Articles 5 and 6 exists, the data subject has the opportunity to exercise his/her rights and to apply for effective legal remedies in the country of transfer

a) The existence of an agreement, which is not an international agreement, between public institutions and organisations or international organisations abroad and public institutions and organisations or professional organisations in the nature of public institutions in Turkey and the Board’s authorisation of the transfer.
b) Existence of binding corporate rules approved by the Board containing provisions on the protection of personal data, which the companies within the group of undertakings engaged in joint economic activities are obliged to comply with.
c) Existence of a standard contract, announced by the Board, containing matters such as data categories, purposes of data transfer, recipients and recipient groups, technical and administrative measures to be taken by the data recipient, additional measures taken for special categories of personal data.
ç) Existence of a written undertaking containing provisions to ensure adequate protection and authorisation of the transfer by the Board.

(5) The standard contract shall be notified to the Agency by the data controller or data processor within five business days following its signature.

6) Data controllers and data processors may transfer personal data abroad only in the presence of one of the following cases, provided that it is incidental, in the absence of an adequacy decision and if any of the appropriate safeguards stipulated in the fourth paragraph cannot be provided:

a) The data subject gives explicit consent to the transfer, provided that he/she is informed about the possible risks.
b) The transfer is mandatory for the performance of a contract between the data subject and the data controller or for the implementation of pre-contractual measures taken upon the request of the data subject.
c) The transfer is mandatory for the establishment or performance of a contract between the data controller and another natural or legal person for the benefit of the data subject.
ç) The transfer is mandatory for a superior public interest.
d) The transfer of personal data is mandatory for the establishment, exercise or protection of a right.
e) The transfer of personal data is mandatory for the protection of the life or physical integrity of the person or another person who is unable to disclose his consent due to actual impossibility or whose consent is not legally valid.
f) Transfer from a register open to the public or to persons with a legitimate interest, provided that the conditions for access to the register are met in the relevant legislation and the person with a legitimate interest requests it.

(7) Subparagraphs (a), (b) and (c) of the sixth paragraph shall not apply to the activities of public institutions and organisations subject to public law.

(8) Subsequent transfers of personal data transferred abroad and transfers to international organisations by data controllers and data processors shall also be subject to the safeguards set forth in this Law and the provisions of this Article shall apply.

(9) Without prejudice to the provisions of international agreements, personal data may be transferred abroad only with the permission of the Board by obtaining the opinion of the relevant public institution or organisation in cases where the interests of Turkey or the data subject would be seriously damaged

(10) The provisions of other laws regarding the transfer of personal data abroad are reserved.

(11) The procedures and principles regarding the implementation of this article shall be regulated by regulation.

The proposed amendment to Article 18 titled “Misdemeanours” stipulates that those who fail to fulfil the notification obligation stipulated in paragraph 9/5 of Article 9 of the LPPD will be subject to an administrative fine from 50,000 Turkish Liras to 1,000,000 Turkish Liras and that the administrative fine stipulated in the relevant paragraph will be imposed on natural persons and private legal entities who are data controllers or data processors, unlike various administrative fine items.

Finally, the amendment introduced by the relevant Article is that administrative fines imposed by the Board may be challenged before the administrative courts.

GRC LEGAL Comment

In the 8th year of its entry into force, the long-awaited amendment to the LPPD is finally included in the 8th Judicial Package. In this context, it is inevitable that companies in contact with personal data should undergo a new harmonisation process in line with the proposed articles. As a matter of fact, while the exceptions to the conditions for processing special categories of personal data have been comprehensively expanded in the Law Proposal, the article on foreign transfers has been completely reorganised and thus, progress steps have been taken towards GDPR compliance.

With regard to the legal grounds for the processing of special categories of personal data, Article 5 of the LPPD lists a number of additional legal grounds together with the exceptions listed in Article 5 of the LPPD for the processing of general categories of personal data. In the relevant article, no distinction is made in terms of health information and various special categories of personal data, and with the exceptions introduced, it is tried to eliminate the problems related to explicit consent, which leads to legislative conflicts (for example, the employer, who is not obliged to have a workplace doctor, can obtain the health files of the employees without obtaining explicit consent). In this sense, it is possible to say that a regulation that facilitates the business processes and activities of data controllers and adapts to the dynamics of the real sector has been determined.

Regarding the transfer of personal data abroad, the only way to carry out the process under the current Article is to obtain explicit consent. This is because the Board has not made a qualification decision for any country of transfer to date, and in addition, the Board has approved only 8 applications for written undertakings since the effective date of the LPPD. With the Proposed Law, regarding the transfer abroad
i) a transfer based on a qualification decision,
ii) the transfer is made on the basis of appropriate safeguards,
iii) transfer based on incidental circumstances, a system with three alternatives is envisaged and the practice that requires explicit consent from the data subjects is eliminated.

It is a common situation that data controllers enter records in the Data Controllers’ Registry Information System stating that they do not perform overseas transfers. However, it is close to impossible to talk about the existence of a data controller who does not perform an overseas transfer, since the servers of the e-mail servers and the servers of the software used, which are widely used in today’s conditions, are located abroad. In this sense, the new regulation will bring a more practical application regarding these issues and will also provide convenience for data controllers whose group companies are located abroad.

Pursuant to Provisional Article 3 of the Bill, the existing Article 9 regulating the transfer abroad will continue to be applied until 1 September 2024, and the applications pending before the criminal judgeships of peace until 1 June 2024 will continue to be heard by the same judgeships.

Accordingly, the actors of the LPPD should take into consideration the relevant regulations that will lead to fundamental changes and completely change the practices. Data controllers are required to reorganise the constructs within the scope of actions such as disclosure texts, explicit consent declarations, etc. and it is important for them to enter a harmonisation process again

2024 Şubat ayında Kurul tarafından iki adet veri ihlal bildirimi ile birlikte “Kanunlarda Öngörülme Kişisel Veri İşleme Şartına İlişkin Bilgi Notu” yayımlanmıştır. Bu ayki Bültenimizde ek olarak 8. Yargı Paketi ile öngörülen “Kişisel Verilerin Korunması Kanunu’nda Teklif Edilen Değişiklikler”e yer verilmiştir.

VERİ İHLAL BİLDİRİMLERİ

“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

2024 Şubat ayında Kişisel Verileri Koruma Kurumu internet sitesi olan kvkk.gov.tr alan adlı sitede iki adet veri ihlal bildirimi yayımlanmıştır

Karel İletişim Hizmetleri A.Ş.

Veri sorumlusu sıfatını haiz Karel İletişim Hizmetleri A.Ş. tarafından Kurula iletilen veri ihlal bildiriminde özetle;

Veri sorumlusunun 03.02.2024 tarihinde fidye yazılım saldırısına maruz kaldığı, ihlal sonucunda veri sorumlusunun kullandığı muhasebe yazılımının veri tabanı, firma/abone ismi ve borç/alacak bakiyesi ile veri sorumlusunun finansal bilgilerini içeren bazı dokümanların saldırgan tarafından şifrelenerek ele geçirildiği bildirilmiştir. Veri ihlalinden etkilenen kişi gruplarının aboneler/üyeler, müşteriler ve potansiyel müşteriler olduğu ve tahmini 1254 kişiye ait veri kategorilerinin kimlik ve iletişim olduğu ifade edilmiştir.

Public Library of Science


Veri sorumlusu sıfatını haiz olan Public Library of Science (“PLOS”) tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; Açık içerik lisansı altında bilim, teknoloji, tıp ve diğer bilimsel literatürdeki açık erişimli dergileri ve araştırmaları yayımlayan PLOS bünyesinde yayımlanması
için Ankara Şehir Hastanesi Enfeksiyon Hastalıkları ve Klinik Mikrobiyoloji bölümünden bir yazarın ilgili yayıncı kuruluşa makale gönderdiği, gönderilen makalede yazarın kişisel verilerin anonimleştirilmiş versiyonunu sunmayı amaçladığı fakat makale dosyasının araştırma çalışmasında yer alan kişilere ait verilerin anonimleştirme yapılmadan çevrimiçi olarak internette açıkça yayımlandığının tespit edildiği bildirilmiştir.


Söz konusu veri ihlalinin 31.01.2024 tarihinde gerçekleştiği ve 15.02.2024 tarihinde tespit edildiği, ihlalden etkilenen 893 kişinin tıbbi araştırma çalışmasının bir parçası olduğu ifade edilmiştir. İlgili ihlal neticesinde ‘isim, yaş, cinsiyet’ verileri ile özel nitelikli kişisel veri kategorisinde yer alan ‘tedavi yeri, tıbbi bilgileri, reçete edilen ilaçlar, alınan tıbbi prosedürler’ verilerinin etkilendiği bilgilerine yer verilmiştir.

Bilgi Notu

Kanunlarda Öngörülme Kişisel Veri İşleme Şartına İlişkin Bilgi Notu

I. Türk Hukuku Kapsamında Değerlendirme

2010 yılında gerçekleştirilen Türkiye Cumhuriyeti Anayasası (“Anayasa”) değişikliğiyle kişisel verilerin korunmasına temel hak niteliği kazandırılmıştır. Diğer taraftan, Anayasa’nın 13. maddesi “Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir…” hükmünü amirdir. Bu doğrultuda, kişisel verilere ilişkin koruma mutlak değildir; diğer hak ve özgürlüklerde olduğu gibi Anayasa’da belirlenen kurallara uygun olarak ve kanun ile sınırlandırılabilecektir.

Mezkûr hükmün lafzından temel hak ve hürriyetlerin tüzük, yönetmelik, kanun hükmünde kararnameler gibi araçlarla düzenlenmesinin ya da sınırlandırılmasının mümkün olmadığı anlaşılmaktadır. Kimi yazarlar her düzenlemenin sınırlama anlamına gelmediğini savunur iken, kimileri her düzenlemenin aynı zamanda özgürlüklerin korunması sorununu da meydana getirdiğini, bu sebeple özdeş kavramlar olduğunu belirtmektedir.

Kurum, temel hakkı güçlendirici, onun daha etkin kullanılmasını sağlayan düzenlemeleri sınırlama olarak kabul etmeyip pozitif hukuk açısından ilk görüşün yerinde olduğunu belirtmektedir.

Aynı şekilde, “kanunla sınırlama” hükmünün anlamı da “ancak” sözcüğü ile ve “Anayasa’nın sözüne ve ruhuna uygun sınırlama” hükmüyle bir arada ele alındığında kendini gösterecektir. Sınırlamanın “ancak” kanunla yapılabilmesi idarenin düzenleyici işlemiyle doğrudan bir temel hak sınırlaması yapılamayacağını belirtmektedir. Ancak bundan idarenin temel hak alanında hiçbir surette düzenleme yapamayacağı anlamı çıkarılamaz. Dolayısıyla, idare kendiliğinden bir temel hak sınırlaması yapamayacak, başka bir deyişle ancak belli bir kanunun Anayasa’nın sözüne ve ruhuna uygun olarak zaten getirmiş olduğu sınırlama dışında yeni bir sınırlama yaratamayacaktır. Bu gibi idari işlemlerle yapılan sınırlandırmalar Anayasa Mahkemesi (“AYM”) tarafından iptal edilmiştir. Örneğin AYM’nin E. 2013/122, K. 2014/74 sayılı kararı ile, Bilgi Teknolojileri ve İletişim Kurumu’na düzenleme yetkisi tanıyan düzenleme, yasama yetkisinin devredilmezliği ilkesi gereğince iptal edilmiştir.

Buna karşılık, idare kanuni sınırlamayı somutlaştıran düzenlemeler yapabilecektir. Nitekim, alt düzenlemeler ilgili bir kanun maddesinden kaynaklanmaktadır. Bu anlamda idare tarafından tesis edilen uygun yürürlüğe konulmuş düzenleyici işlemler iptal edilmediği sürece idari teşkilat içerisinde bağlayıcı niteliği haizdir ve uygulanması gerekir.

Öte yandan, bazı durumlarda idarenin takdir yetkisi mevcuttur. Bir konuda idarenin takdir yetkisinden söz edebilmek için idareye verilen yetkinin nasıl kullanılacağının mevzuatta açıkça gösterilmemiş olması, bir eylem ya da işlemin yapılmasında kanunen geçerli birden fazla yolun bulunması ve idarenin bu yollardan dilediği birini seçebilmesi gerekmektedir.

Kanun’un 5. maddesinin yorumlanması açısında da kesin kıstaslar öngörülmemiş olup hukuki yükümlülüğün yerine getirilmesi veya kanunlarda açıkça öngörülmesi hususları değerlendirilirken dar veya geniş yorum yapılması idarenin takdir yetkisi kapsamındadır.

Örneğin, 6458 sayılı Yabancılar ve Uluslararası Koruma Kanunu madde 121 ile ilgili kanunun uygulanmasına ilişkin usul ve esasların yönetmelikle belirleneceği düzenlenmiştir. 6458 sayılı Kanun’un Uygulanmasına İlişkin Yönetmelik hükmü uyarınca ise, 6458 sayılı Kanun’da parmak izi verisinin işlenmesi hususu belirlenmemiş olmasına rağmen ilgili veri tipinin işlenmesinde “kanunlarda açıkça öngörülmesi” işleme şartına dayanılabilecektir.

Kanun’un kişisel verilerin işlenme şartlarını düzenleyen 5. maddesi uyarınca kişisel verilerin açık rıza ile işlenmesi şartına istisnalar getirilmiştir ve ilgili istisnalardan biri de ‘kanunlarda açıkça öngörülmesi’ şartıdır. Küzeci ‘açık’ ibaresinin olması sebebiyle kanunlarda açık düzenleme olması halinde kişisel verilerin işlenebileceği, aksi halde kanunla verilmiş genel yetkinin kişisel verilerin işlenme şartları kapsamında sayılmayacağı görüşündedir. Kurum ise, bu durumda sadece lafzi yorum yapmanın Kanun’un ruhuna aykırı olacağı ve lafzi yorum yapılması halinde söz konusu işleme şartının çok sınırlı hallerde uygulanabileceği yönünde bir belirtmede bulunmuştur.

II. AB Hukuku Kapsamında Değerlendirme

Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (General Data Protection Regulation, “GDPR”), Türk hukuku mevzuatından farklı olarak “kanunlarda açıkça öngörülme” ve “hukuki yükümlülüğünün yerine getirilmesi” hükümleri birbirinden ayrı düzenlenmemiştir.

İrlanda Veri Koruma Otoritesi tarafından yayımlanan “Kişisel Verilerin İşlenmesinin Hukuki Mesneti Rehber Notu” çalışmasında, veri sorumlularının işlemeyi gerektiren hukuki yükümlülüğü doğuran özel kanunu, tavsiyeyi, kurul veya mahkeme kararını, içtihadı veya rehberi açıkça işaret etmeleri gerektiği ifade edilmiştir. Ayrıca ilgili rehber notunda hukuki yükümlülük işleme şartının birincil kanuni düzenleme olabileceği gibi ikincil derecedeki mevzuata da işaret edebileceği belirtilmiştir.

GDPR gerekçesi madde 41 uyarınca, veri sorumlusunun genel amacının, genel hukuk kurallarında veya özel kanunda yeterince açık bir temeli olan hukuki bir yükümlülüğe uymak olduğunu kabul edilmiştir. Bu yükümlülük belirli bir kanuni hükme atıfta bulunarak veya onun uygulanmasını açıkça ortaya koyan bir tavsiye, kurul kararı veya rehber gibi kaynaklara işaret ederek tanımlanabiliyorsa hukuki yükümlülük işleme şartı olarak kabul edilecektir.

Örneğin bir mahkeme kararı ile kişisel verilerin belirli bir amaç için işlenmesi gerekli kılınabilir ve bu mahkeme kararına uyulması kanuni bir zorunluluk arz etmektedir. İdarece tesis edilen düzenleyici işlemler de ayrıca, uygulamayı destekleyen kanuni bir temelin olması durumunda hukuki yükümlülük olarak değerlendirilmiştir.

KİŞİSEL VERİLERİN KORUNMASI KANUNU’NDA TEKLİF EDİLEN DEĞİŞİKLİKLER

16 Şubat 2024 tarihinde KVKK’da değişiklikler öngören 8. Yargı Paketi (“Kanun Teklifi”) Türkiye Büyük Millet Meclisi Başkanlığı’na sunulmuş olup 2 Mart 2024 tarihinde Genel Kurul’da kabul edilmiştir. Kanun Teklifi’nin özellikle özel nitelikli kişisel verilerin işlenmesi ve kişisel verilerin yurtdışına aktarılması hususlarında önerdiği hükümler incelendiğinde, GDPR ile uyumu sağlamaya yönelik adımlar atıldığı görülmektedir.

(Aşağıda yer alan kalın punto ile işaretlenmiş hükümler, Kanun Teklifi’nin öngördüğü değişikliklere işaret etmektedir.)

  • “Özel nitelikli kişisel verilerin işlenme şartları” kenar başlıklı 6. maddesinde değişiklik yapılması önerilen Kanun Teklifi maddesi şu şekildedir:

Madde 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

2) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;
a) ilgili kişinin açık rızasının olması.
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasının açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) ilgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkündür.

(3) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen
yeterli önlemlerin alınması şarttır.

  • “Kişisel verilerin yurt dışına aktarılması” kenar başlıklı 9. maddesinde değişiklik yapılması önerilen Kanun Teklifi maddesi şu şekildedir:

Madde 9 –

(1) Kişisel veriler, 5’inci ve 6’ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.

(2) Yeterlilik kararı Kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik karan, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.

(3) Yeterlilik karan verilirken öncelikle aşağıdaki hususlar dikkate alınır:

a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.
c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
e) Türkiye’nin taraf olduğu uluslararası sözleşmeler.

(4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5’inci ve 6’ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:

a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

(5) Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir.

6) Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir:

a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
ç) Aktarımın üstün bir kamu yararı için zorunlu olması.
d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

(7) Altıncı fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz.

(8) Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da bu Kanunda yer alan güvenceler sağlanır ve bu madde hükümleri uygulanır.

(9) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir

(10) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

(11) Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.

  • “Kabahatler” kenar başlıklı 18. maddesinde değişiklik yapılması önerilen Kanun Teklifi maddesi ile KVKK madde 9/5. fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği ve ilgili fıkrada öngörülen idari para cezasının, muhtelif idari para cezası kalemlerinden farklı olarak veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacağı hükme bağlanmıştır.

Son olarak, ilgili madde ile getirilen değişiklik ise Kurul tarafından verilen idari para cezalarına karşı idare mahkemelerinde dava açılabileceği yönündedir.

GRC LEGAL Yorumu

Yürürlüğe girişinin 8. yılında, uzun zamandır beklenen KVKK değişikliği nihayet 8. Yargı Paketi içerisinde kendine yer bulmaktadır. Bu kapsamda, kişisel verilere temas eden şirketlerin önerilen maddeler doğrultusunda yeni bir uyum sürecine girmesi gerektiği kaçınılmazdır. Nitekim, Kanun Teklifi’nde özel nitelikli kişisel veri işleme şartlarına ilişkin istisnalar kapsamlı bir şekilde genişletilirken, yurtdışı aktarımına ilişkin madde topyekûn yeniden düzenlenmiş ve böylelikle GDPR uyumluluğuna doğrultusunda ilerleme adımları kaydedilmiştir.

Özel nitelikli kişisel verilerin işlenmesine yönelik hukuki sebeplere ilişkin olarak, genel nitelikli kişisel verilerin işlenmesine ilişkin KVKK madde 5 ile sayılan istisnalar ile birlikte ilave birtakım hukuki sebepler sayılmaktadır. İlgili madde hükmünde sağlık bilgileri ile muhtelif özel nitelikli kişisel veriler bakımından bir ayrıma gidilmemiş ve getirilen istisnalar ile mevzuat çatışmalarına yol açan açık rıza hususuna ilişkin sorunlar giderilmeye çalışılmıştır (örneğin, işyeri hekimi bulundurması zorunlu olmayan işverenin çalışanların sağlık dosyalarını açık rıza almadan temin edebilecek olması). Bu anlamda, veri sorumlularının iş süreç ve faaliyetlerini kolaylaştıran ve reel sektör dinamiklerine uyumlanan bir düzenlemenin belirlendiğini söylemek mümkündür.

Kişisel verilerin yurt dışına aktarılması hususuna ilişkin olarak, mevcut madde düzenlemelerinde sürecin yürütülebilmesi adına gidilebilecek tek yol açık rıza teminidir. Zira, Kurul bugüne kadar aktarım yapılacak herhangi bir ülke için bir yeterlilik kararı vermemiş, ek olarak KVKK yürürlük tarihinden itibaren yalnızca 8 adet yazılı taahhütname başvurusuna onay vermiştir. Kanun Teklifi ile ise, yurtdışı aktarımına ilişkin olarak
i)yeterlilik kararına dayalı olarak gerçekleştirilen aktarım,
ii) uygun güvencelere dayalı olarak gerçekleştirilen aktarım,
iii) arızi durumlara dayalı olarak gerçekleştirilen aktarım olmak üzere üç alternatifli bir sistem öngörülmekte olup ilgili kişilerden açık rıza temin edilmesini zorunlu kılan uygulama bertaraf edilmektedir.

Veri sorumluları tarafından Veri Sorumluları Sicil Bilgi Sistemi’ne yurtdışı aktarımı gerçekleştirmediklerine dair kayıtlar girildiği sık karşılaşılan bir durumdur. Halbuki, günümüz koşullarında kullanımı oldukça yaygın olan eposta sunucularının ve kullanılan yazılımların sunucularının yurtdışında mukim olması sebebiyle yurtdışı aktarımı gerçekleştirmeyen bir veri sorumlusu mevcudiyetinden bahsetmek imkansıza yakındır. Bu anlamda getirilen yeni düzenleme, söz konusu hususlara ilişkin daha pratik bir uygulama getirecekken aynı zamanda grup şirketi yurt dışında mukim veri sorumluları açısından da kolaylık sağlayacaktır.

Kanun Teklifi Geçici Madde 3 uyarınca, yurtdışı aktarımını düzenleyen mevcut 9. madde, 1 Eylül 2024 tarihine kadar uygulanmaya devam edecek ve 1 Haziran 2024 tarihine kadar sulh ceza hakimliklerinde görülmekte olan başvurular aynı hakimliklerde görülmeye devam edecektir.

Bu doğrultuda, KVKK aktörlerinin esaslı değişikliklere yol açacak ve uygulamaları tümden değiştirecek ilgili düzenlemeleri göz önünde bulundurmaları gerekmektedir. Veri sorumlularının aydınlatma metinleri, açık rıza beyanları vb. aksiyonlar kapsamında kurguları yeniden düzenlemeleri gerekmekte olup tekrar bir uyum sürecine girmeleri önem arz etmektedir