Bireylerin veri mahremiyetini koruması, şeffaflığın sağlanması, güven artırımı, kişisel veri ihlallerinin önlenmesi ve uluslararası ilişkilerde uyum tarafında bizleri yakından ilgilendiren KVKK’da tarihi değişimlere şahit olduk. Ayrıca bu tarafta para cezaları ve hukuki yaptırımlarla karşı karşıya kalmamak adına dijital dünyada oldukça önemli role sahip olan KVKK (Kişisel Verilerin Korunması Kanunu) ‘daki son değişiklikler neler ? Cevaplar yazımın devamında!
İçerisinde kişisel verilerin korunmasıyla ilgili değişiklikleri de içeren “8. Yargı Paketi” 2 Mart 2024 tarihinde TBMM Genel Kurulu’nda kabul edildi. Kanun değişikliklerinin resmi gazetede yayımlanmasının ardından 1 Haziran 2024 tarihinde yürürlüğe girmesi öngörülmektedir. Peki kanundaki ilgili değişiklikler neler? Gelin inceleyelim.
Değişiklikleri 3 Ana Başlıkta Ele Alalım;
- Özel nitelikli kişisel verilerin işlenme şartları
- Kişisel verilerin yurt dışına aktarılması
- İdari Para Cezalarına İtiraz
Özel nitelikli kişisel verilerin işlenme şartları
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
6. madde KVKK’daki değişiklikler öncesinde şu şekildeydi:
Sağlık ve cinsel hayat haricindeki özel nitelikli kişisel verilerin işlenebilmesi yalnızca kişinin açık rızası alınarak ve kanunen açıkça öngörülmesi şartı ile mümkündü. Sağlık ve cinsel hayata dair özel nitelikli kişisel veriler ise sadece ilgili maddede belirtilen amaçlar doğrultusunda kurum, kuruluş ve kişiler tarafından işlenebilmekteydi.
Değişikliğin Ardından;
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ile diğer özel nitelikli kişisel veriler arasındaki ayrım ortadan kaldırılmış, işlenme şartlarının kapsamı genişlemiştir. Böylelikle yukarıda saydığım amaçların dışında kalan kurum, kuruluş ve kişilerin de ilgili verileri açık rıza aramaksızın işlemesi mümkün duruma gelmiştir.
Özel nitelikli kişisel verilerin işlenebileceği şartlar şu şekilde belirtilmiştir:
istihdam, iş sağlığı, sosyal güvenlik ve sosyal hizmetler alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması; siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması halinde işlenebileceği düzenlenmiştir.
Bu durumda sayılan hallerden birinin mevcut olması halinde özel nitelikli kişisel verilerin işlenebilmesi mümkündür.
Yurtdışına Kişisel Veri Aktarımındaki Değişiklikleri ise size soru cevap halinde özetlemek istiyorum;
Sistematik Gerçekleşen Kişisel Veri Aktarımı
5.ve 6. Maddede Geçen işleme şartları mevcut mu?
“Evet “ise, aktarım yapılabilir.
“Hayır” ise, aktarım yapılamaz.
Özel Nitelikli Kişisel Veri İşleme Şartları Mevcut ve Aktarımın Gerçekleşeceği Ülkede Etkili Kanun Yollarına Başvurma İmkanı Var mı?
- Sektörel Anlaşma,
- Standart Sözleşme,
- Taahhütname,
- Bağlayıcı Şirket kuralları
Mevcut ise “evet” aktarım yapılabilir.
Mevcut değilse, “hayır” aktarım yapılamaz.
Arızi (Geçici) Kişisel Veri Aktarımı
Geçici Kişisel Veri Aktarımı Gerekli mi ? Evet ise “dayanak nedir?” sorusunu sormalıyız;
İlgili kişi ile veri sorumlusu arasındaki sözleşme ifası veya tedbirlerinin uygulanması amacı ile mi?
Bir hakkın tesisi, korunması ya da kullanılması için zorunlu mu ?
Fiili imkansızlık nedeni ile ilgili kişi yararına bir sonuç oluşacak mı?
Bu sorulardan bir tanesine yanıt,
“Evet “ise, aktarım yapılabilir.
“Hayır” ise, aktarım yapılamaz.
Türkiye ya da ilgili kişi büyük bir zarar görecek mi ?
“Evet “ise, aktarım yapılamaz.
“Hayır” ise, aktarım yapılabilir.
Ayrıca yurt dışına veri aktarımda uygulamayı en çok ilgilendiren bir diğer değişiklik ise veri aktarımının veri işleyen tarafından gerçekleştiriliyor olması. Aktarım sözleşmesi imzalanması sonrasında veri işleyen, 5 iş günü içerisinde kuruma bildiri yapacak. Böylece yeni karar ile birlikte ilk kez veri işleyen kişilere doğruca yüklenmiş bir sorumluluk bulunmaktadır.
İdari Para Cezalarına İtiraz İle İlgili Değişiklikler:
Standart sözleşmelerini bildirme yükümlüğünün yerine getirilmemesi durumunda ceza bedeli 50.000 TL’den 1.000.000 TL’ye kadar.
Kurul kararlarına karşı daha öncesinde sulh ceza hakimliğine başvurulması gerekirken artık idari mahkemelere dava açılacak.
Son olarak konuyu şöyle toparlamak isterim ki, kişisel verilerin korunması her geçen gün önemini artırmakta ve gündemden düşmeyen konulardan birisi olmaya devam etmekte. İlgili değişikliklerin ardından sırada GDPR uyum paketini beklediğimizi söylemek mümkün. Gelişmelerin devamı için takipte kalmaya devam et, keyifli okumalar dilerim!
