Kişisel Verileri Koruma Kurumu ( KVKK ) Başkanı Faruk Bilir, Kişisel Verilerin Korunması Kanunu’nda yapılan değişikliklerin Avrupa Birliği müktesebatına uyum ve uluslararası platformlarda benimsenen yeni yaklaşımlara adaptasyon sağlanması ile yeni ihtiyaçlar doğrultusunda gerçekleştirildiğini bildirdi.
Bilir, Kişisel Verilerin Korunması Kanunu’nda yapılan düzenlemeler ve konuyla ilgili hazırlanan yönetmelik ile getirilen değişikliklere ilişkin AA muhabirine açıklamalarda bulundu.
Kanunda yapılan değişikliklerde başta Avrupa Birliği müktesebatına uyum sağlanmasının amaçlandığını aktaran Bilir, öte yandan uygulamada ortaya çıkan ihtiyaçlar ile gelişen teknolojinin getirdiği yenilikler, uluslararası platformlarda benimsenen yeni yaklaşımlara adaptasyon sağlanması gibi hususların da göz önünde bulundurulduğunu belirtti.
Kişisel Verilerin Korunması Kanunu hazırlanırken, kişisel verilerin korunmasında Avrupa ülkeleri arasında uygulama birliğini sağlayan Avrupa Birliği Veri Koruma Direktifi’nin esas alındığını kaydeden Bilir, “Bizim kanunumuzun yürürlüğe girmesinden 2 yıl sonra 2018’de, söz konusu direktif yürürlükten kaldırıldı, kısa adıyla GDPR olarak anılan ve kişisel verilerin korunması bakımından daha kapsamlı düzenlemeler içeren Avrupa Birliği Genel Veri Koruma Tüzüğü devreye alındı.” bilgisini paylaştı.
Bilir, 1 Haziran’da yürürlüğe giren değişikliklere ilişkin şunları söyledi:
“Avrupa Birliği müktesebatına uyum sağlanması, gelişen teknolojinin getirdiği yeniliklere ve uluslararası platformlarda benimsenen yeni yaklaşımlara adaptasyon sağlanması ve uygulamada ortaya çıkan ihtiyaçlar neticesinde özel nitelikli kişisel verilerin işlenme şartlarını, yurt dışına veri aktarımını ve kişisel verilerin korunmasına ilişkin kabahatleri düzenleyen ilgili maddelerde önemli değişiklikler yapıldı. Söz konusu değişiklikler 12 Mart 2024 tarihli Resmi Gazete’de yayımlandı, 1 Haziran 2024 tarihinde ise yürürlüğe girdi.”
“Özel nitelikli veriler korunmaya devam ediyor”
Kvkk Başkanı Bilir, özel nitelikli kişisel verilerin, kanunun 6. maddesinde “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayıldığını anımsattı.
Yeni düzenlemede özel nitelikli verilere herhangi bir ekleme ya da çıkarma yapılmadığı bilgisini paylaşan Bilir, “Özel nitelikli veriler önceki düzenlemede olduğu gibi yeni düzenlemede de korunmaya devam ediyor. Özel nitelikli kişisel verilerin işlenmesinin genel kural olarak yasak olduğuna ilişkin hüküm korunuyor. Bununla birlikte özel nitelikli verilerin işlenmesinde KVKK tarafından belirlenen ek tedbirlerin alınması şartı devam ediyor.” diye konuştu.
“Buradaki en önemli yenilik, özel nitelikli veriler arasındaki ayrımın kaldırılmış olması ve bu veriler için yeni veri işleme şartlarının getirilmiş olmasıdır.” ifadelerini kullanan Bilir, şöyle devam etti:
“Örneğin, yeni işleme şartlarından birine göre herhangi bir sebeple bilinç kaybından ötürü rızasını açıklayamayacak durumda olan kişilerin, hayatının veya beden bütünlüğünün korunması amacına mahsus olarak kan grubu ve geçirdiği hastalıkları gibi özel nitelikli kişisel verileri işlenebilecek. Kişisel verilerin korunması insan için temel bir ihtiyaç. Fakat gereken durumlarda kişisel verilerin işlenmesi ve aktarılması da insan için bir ihtiyaç haline gelebiliyor.”
“Yurt dışına veri aktarılması bakımından yeni bir sistem getirildi”
Faruk Bilir, Kişisel Verilerin Korunması Kanunu’nun yurt dışına kişisel veri aktarımını düzenleyen 9. maddesinin, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün esas alınarak değiştirildiğini bildirdi.
Değişiklik yapılırken teknoloji ve dijitalleşme ile şekillenen veri odaklı süreçlerin meydana getirdiği gereksinimlerin dikkate alındığını belirten Bilir, verisi işlenen kişilerin haklarını da koruyacak şekilde, yurt dışına veri aktarılması bakımından yeni bir sistem getirildiğini söyledi.
Yeni sisteme göre kanunun 5. ve 6. maddelerinde yer alan işleme şartlarından birinin varlığı halinde ilk olarak “yeterlilik kararının bulunup bulunmadığına” bakılacağını aktaran Bilir, “Yeterlilik kararı, kanun kapsamında KVKK tarafından veriliyor. Yeterlilik kararı bir ülke hakkında verilebileceği gibi, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında da verilebiliyor.” ifadelerini kullandı.
Faruk Bilir, yeterlilik kararının bulunmaması durumunda ise ikinci adım olarak yine kanunun 5. ve 6. maddelerinde yer alan işleme şartlarından birinin var olması kaydıyla, kanunda düzenlenmiş uygun güvencelerden birinin sağlanması şartı arandığını bildirdi.
Yeterlilik kararının bulunmaması ve uygun güvencelerden herhangi birinin sağlanamaması durumunda ise istisnai aktarım hallerinden birinin varlığının aranacağını belirten Bilir, “İstisnai aktarım hallerinden birinin varlığı halinde birkaç defaya mahsus olmak üzere yurt dışına kişisel veri aktarabilecek.” dedi.
KVKK Başkanı Bilir, yeni düzenlemeyle veri işleyenlere de yurt dışına aktarım yapabilme imkanı getirildiğini bildirdi.
Söz konusu düzenlemelere ilişkin yönetmelik çıkarılması adına çalışmaların tamamlandığını aktaran Bilir, kanunda yapılan değişikliklerin 1 Haziran’da yürürlüğe girdiğini anımsatarak, değişiklikten önceki açık rıza ile yurt dışına veri aktarımının 1 Eylül’e kadar uygulanmaya devam edeceğini belirtti.
KVKK’nin cezalarına karşı idare mahkemelerinde dava açılabilecek
Faruk Bilir, kanunda yapılan değişiklikle, KVKK tarafından verilen idari para cezalarına karşı idare mahkemelerinde dava açılabilmesinin sağlandığını, sulh ceza hakimliklerine başvuru yolunun kaldırıldığını kaydetti.