KVKK, GDPR ile uyumlu hale getirildi
Kişisel Verilerin Korunması Kanunu’nda (KVKK) mart ayında gerçekleşen kanun değişikliği ile Avrupa Birliği’ndeki General Data Protection Regulation (GDPR) ile uyumu için adımlar gerçekleşmiş oldu.
Türkiye'nin yasal düzenlemesi KVKK ilk olarak 2016 yılında resmileşerek, hayata geçti. O dönemde KVKK, Avrupa Birliği Direktifi temel alınarak hazırlanmıştı. Sonrasında AB'deki direktif yürürlükten kalkarak yerine gelişen teknoloji ve yeni ihtiyaçları karşılar şekilde GDPR geldi.
Ülkemizde 2016 yılından bu yana özel şirketler, kurumlar iş süreçlerini, bir yandan KVKK'ya uyumlu hale getirmeye başlarken, bir yandan da global ihtiyaçlar anlamında, yabancı yatırımcıların talepleri, beklentileri bağlamında eksiklikler baş göstermeye başladı. 8'inci Yargı paketi ile geçen Mart ayında gelen kanun değişikliği kapsamında mevcut KVKK'mız, Avrupa düzenlemeleri ve GDPR'a bir takım hususlar bakımından uyumlu hale getirildi.
Bu son değişiklik ile, "özel nitelikli kişisel verilerin işlenme şartları", "kişisel verilerin yurt dışına aktarılması", "kanunda yer alan cezalara" dair düzenlemeler geldi.
-Özel Nitelikli Kişisel Verilerin İşlenmesi Bakımından Neler Değişti?
Özel nitelikli kişisel verilerin işlenmesi şartları için öngörülen hukuka uygunluk kriterleri genişletildi. İlgili (i) kişinin rızası, (ii) kanunlarda açıkça öngörülmesi, (iii) fiili imkansızlık hali (örneğin; rızasını açıklayamayacak durumunda olan bir kişinin hayatı veya beden bütünlüğü korunması amaçlı hastalık, kan grubu gibi bilgilerin işlenmesi), (iv) ilgili kişi tarafından kişisel verilerin alenileşmesi, (v) bir hakkın tesisi, kullanılması veya korunması, sır saklama yükümlülüğü altında bulunan kişiler, (vi) istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukukî yükümlülüklerin yerine getirilmesi için zorunlu olması, (vii) siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kar amacı gütmeyen kuruluşların tabi oldukları mevzuata ve amaçlarına uygun olmak kaydıyla mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması gibi sebeplerin varlığı halinde özel nitelikli kişisel verilerin işlenmesi mümkün hale geldi.
-Değişiklikten önce kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamıyordu. Değişiklik ile neler geldi?
Değişiklik öncesi, Kişisel Verileri Koruma Kurulu bugüne kadar herhangi bir ülkeyi güvenli ülke olarak ilan etmediği gibi, çok az sayıda da taahhütnameye onay verdi. Yurt dışına veri aktarımında büyük zorluk yaşanıyordu.
Değişiklikle birlikte kişisel veriler artık; KVKK'da düzenlenmiş olan kişisel verilerin işlenme şartlarından veya özel nitelikteki kişisel verilerin işlenme şartlarından birinin bulunması hâlinde ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması hâlinde yurt dışına aktarılabilir hale geldi.
Hemen yukarıda bahsettiğim bu yeterlilik kararı Kişisel Verilerin Korunması Kurulu tarafından verilir ve Resmî Gazetede yayımlanır. Kişisel veriler, yeterlilik kararının bulunmaması durumunda; KVKK'da düzenlenmiş olan kişisel verilerin işlenme şartlarından veya özel nitelikteki kişisel verilerin işlenme şartlarından birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması kaydıyla, KVKK m. 9/4'te ayrıntılı şekilde belirtilen uygun güvencelerden birinin taraflarca sağlanması hâlinde yurt dışına aktarılabilir.
Hem yeterlilik kararının bulunmaması hem de yukarıdaki uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece KVKK m 9/6'daki hallerden birinin varlığı hâlinde yurt dışına kişisel veri aktarabilecek.
-Değişiklik öncesi, KVK Kurulu tarafından verilen idari para cezalarına karşı sulh ceza hakimliklerine başvurulmakta iken, yapılan değişiklik sonrasında idare mahkemelerinde dava açılabilecek hale geldi:
Sulh ceza hakimliklerinde hali hazırda başlamış ve görülmekte olan dava dosyaları, bu hakimliklerce görülmeye ve karara bağlanmaya devam edecek. Değişiklik ile beraber artık Kişisel Verileri Koruma Kurulu tarafından verilen idarî para cezalarına karşı idare mahkemelerinde dava açılabilecek.
Kişisel verilerin yurt dışına aktarımı 1 Eylül 2024 tarihinden itibaren uygulanmaya başlanıyor, diğer düzenlemeler 1 Haziran 2024 tarihinde yürürlüğe giriyor.
