Dr. Öğr. Üyesi Cihan Avcı Braun, Kişisel Verileri Koruma Kanunu’nda yapılan değişikliklerle artık şirketlerin kişisel verileri açık rıza olmadan da yurt dışına aktarabileceğini belirterek yurt dışına veri aktarımının önünün açıldığını belirtti
Kişisel veriler her ne kadar birçoğumuzun çok önemsemediği bir konu olsa da, alışverişten özel alana, sağlık hizmetlerine ulaşımdan işe alınmaya kadar neredeyse her alanda kullanılan dolayısıyla hayatımızın tam da ortasında bulunan bir konu olarak karşımıza çıkıyor.
Kişisel Verilerin Korunması Kanunu’nda (KVKK), uzun zamandır beklenen değişiklikler ise geçtiğimiz günlerde TBMM’de kabul edildi ve değişiklik öngören hükümler, 1 Haziran 2024 tarihinde yürürlüğe girecek.
Değişikliklerle ilgili bilgi veren Yeditepe Üniversitesi Hukuk Fakültesi Dr. Öğr. Üyesi Cihan Avcı Braun, değişiklikle KVKK’nın Avrupa Birliği’nde uygulanan Genel Veri Koruma Tüzüğü’yle (General Data Protection Regulation-GDPR) kısmen de olsa uyumlu hale getirilmesi ve uygulamada sıkça karşılaşılan sorunlara çözüm üretilmesinin hedeflendiğini vurguladı.
Şirketler Açık Rıza Metinlerini Yeniden Gözden Geçirmeli
Değişiklikle özel nitelikli kişisel verilerin işlenmesi için gerekli olan hukuka uygunluk sebeplerinin arttırılacağını belirten Cihan Avcı Braun, “Değişikliklerin yürürlüğe girmesi ile birçok alanda özel nitelikli kişisel verilerin işlenmesinin ve sınır ötesi veri aktarımının gerçekleşmesi imkânı doğacaktır. Değişiklik ile şirketlerin gizlilik ve çerez politikalarını, açık rıza metinlerini, almış oldukları açık rıza beyanlarının geçerliliğini, yurt dışına aktarılacak veriler, veri aktarım yöntemleri ile özellikle aydınlatma metinlerini gözden geçirmesi gerekecektir. Zira hukuka uygun bir şekilde işlenmekte olan mevcut verilerin yeni kanuna uygun olarak yurt dışına aktarılabilmesi için ilgili kişinin veri aktarılmadan önce aydınlatılmış olması gerekmektedir” dedi.
Açık Rıza Olmadan Veri İşlenemiyordu ama Artık Bu Mümkün
KVKK’da yapılan değişiklikle sağlık ve cinsel hayata ilişkin veri ile diğer özel nitelikli kişisel veri ayrımının kaldırıldığını kaydeden Cihan Avcı Braun, şöyle devam etti:
“Mevcut KVKK’ya göre sağlık verisini sadece Sosyal Güvenlik Kurumu ve Sağlık Bakanlığı ile sağlık kuruluşları işleyebilirdi. Ancak yasadaki açık düzenleme nedeniyle sağlık verisine ihtiyaç duyan sigortacılık sektörü, çalışma mevzuatı, iş sağlığı ve güvenliği ile sosyal hizmetler alanlarında hizmet veren sektörler, veri sahibinin açık rızası olmadan veri işleyememekte ve bu durum uygulamacıların büyük sorunlarla karşılaşmasına neden olmaktadır.”
İşveren de Yasada
Cihan Avcı Braun, işçi-işveren ilişkisinde de önemli bir noktaya vurgu yaptı. İşçi-işveren ilişkisinde açık rızanın özgür iradeyle verilmesinin istisnai bir durum olduğunu anımsatan Braun, değişiklikle işverenler başta olmak üzere özel nitelikli kişisel verilerin işlenmesine ihtiyaç duyan veri sorumlularının bu verileri hukuka uygun olarak işleyebilmesinin önünün açıldığını kaydetti.
‘Açık Rıza’nın Aranması İstisna Oldu
Dr. Öğr. Üyesi Cihan Avcı Braun, her geçen gün gelişen teknoloji ve dijitalleşmeyle ticari hayatın dinamiğinin de değiştiğini anımsatarak yurt dışına veri aktarımıyla ilgili değişiklikleri şöyle açıkladı:
“Eskiden yurt dışına veri aktarmak için açık rıza gerekliyken şimdi açık rıza olmasa da yurt dışına veriniz aktarılabilecek. Yeni düzenlemede birçok hukuka uygunluk sebebi eklenmiş durumda. Eğer bunlardan birine uygunsa kişinin açık rızası olmadan da kişisel verileri yurt dışına aktarılabilecek. Yani açık rıza istisnai bir hukuka uygunluk sebebi oldu. Bir başka konu ise diğer ülkelere veri aktarılabilmesi için ülkeler hakkında, verileri hukuka uygun bir şekilde koruyabileceklerine dair ‘yeterlilik kararı’ verilmiş olması gerekiyordu. Önceki düzenlemeye göre ‘yeterlilik kararı’ yalnızca ülkelere verilebiliyordu. Bir ülke yeterlilik kararı verdiği ülkeye veri aktarabiliyordu ancak yeni düzenlemede ‘yeterlilik kararı’ sektörlere veya uluslararası kuruluşlara verilebilecek. Bir ülke hakkında ‘yeterlilik kararı’ verilmese bile, bir uluslararası kuruluş veya sektörün ‘güvenli liman’ olarak kabul edilmesi mümkün olacak ve yurt dışına veri aktarımı hukuka uygun sayılacak. Örneğin; Türkiye’de otomotiv sektörünün yoğun ticari ilişki kurduğu bir yabancı ülkenin tamamı yerine, o ülkedeki otomotiv sektörü için yeterlilik kararı verilmiş olması yeterli görülecek.”
Medya: sözcü | halk tv | bir gün | evrensel | dha