KVKK Başkanı Bilir, kişisel verilerin korunması kanunundaki değişiklikleri EKONOMİ gazetesine değerlendirdi.
Düzenlemelerin AB ile uyumlu olduğunu belirten KVKK Başkanı Faruk Bilir, özel nitelikli kişisel verilerin tamamının işleme şartlarına tabi haline geldiğini, diğer yandan bu verilerin işleme şartlarının, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler, sosyal yardımlar gibi hukuki zorunlulukların yerine getirilmesini sağlamak amacıyla genişletildiği ve zorunlu hale getirildiğini kaydetti.
Kişisel Verilerin Korunması Kanunu’nda da değişiklikler yapan, kamuoyunda “8. Yargı Paketi” olarak bilinen kanun değişikliği 12 Mart’ta Resmi Gazete’de yayımlanarak yürürlüğe girdi.
Düzenlemelerin AB ile uyumlu olduğunu belirten Kişisel Verileri Koruma Kurumu (KVKK) Başkanı Prof. Dr. Faruk Bilir, özel nitelikli kişisel verilerin tamamının işleme şartlarına tabi haline geldiğini belirtti. Kanun düzenlemesinde sorumluluklarda da değişiklik yapıldığını açıklayan Bilir, veri sorumluları yanında, veri işleyenlerin de yükümlülük altına alındığını bildirdi. KVKK Başkanı Prof. Dr. Faruk Bilir, temel değişiklikleri EKONOMİ’ye değerlendirdi.
8’inci yargı paketi ile KVKK’da ne gibi değişiklikler gerçekleşti?
Belirtmek gerekir ki, kanun değişikliği yapılırken Avrupa Birliği müktesebatına uyum gösterilmesi, kamu kurum ve kuruluşları ile özel sektör temsilcilerinin talepleri, uygulamada karşılaşılan problemlere yönelik ortaya çıkan ihtiyaçlar ve gelişen teknolojinin getirdiği yeniliklere uyum sağlanması amaçlandı. Bu kapsamda, özel nitelikli kişisel verilerin işlenme şartları, kişisel verilerin yurt dışına aktarılması ve kanunda yer alan kabahatlere ilişkin maddelerde değişiklik yapıldı.
Özel nitelikli kişisel verilerin işlenmesine ilişkin getirilen değişiklikler nelerdir?
Yapılan düzenlemede özel nitelikli kişisel verilerin neler olduğu konusunda herhangi bir değişiklik söz konusu değildir. Bununla birlikte, işleme şartları bakımından özel nitelikli kişisel veri kategorileri arasındaki ayrım kaldırılmış ancak özel nitelikli veriler bakımından yeni işleme şartları öngörülmüştür.
Bu değişiklikle birlikte, artık kanunda sayılan özel nitelikli kişisel verilerin tamamı aynı işleme şartlarına tabi tutulacağı için bu konudaki ayrım ortadan kalkmış olacaktır. Ayrıca, özel nitelikli kişisel verilerin işleme şartları da alternatifl er getirilerek genişletilmektedir. Örneğin, sektör ihtiyaçları da göz önüne alınarak; istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması şartı getirilmiştir.
“Kişisel verilerin yurt dışına aktarılmasında yeni dönem”
-Yeni düzenlemede yurtdışına veri aktarımında nasıl bir sistem öngörmektedir?
Veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırabilmek adına mevcut düzenlemede birtakım iyileştirmeler yapılması gerekliliği ortaya çıkmıştır. Yapılan değişiklikle, kişisel verilerin yurt dışına aktarım rejimi uygulamada ortaya çıkan ihtiyaçlar kapsamında ve AB Genel Veri Koruma Tüzüğü esas alınarak yeniden düzenlenmiştir.
Bu doğrultuda, kanunda yapılan değişiklik ile kişisel verilerin aktarılmasında temel hak ve özgürlükleri güvence altına alan yollar öngören ve alternatifl erin genişletildiği bir hukuki çerçevenin oluşturulması amaçlanmıştır. Böylece kişisel verilerin yurt dışına aktarımında, aşamalı bir veri aktarım sisteminin uygulanması amaçlanmıştır.
Buna göre; aktarım yapılacak ülkenin kurul tarafından yeterli korumanın bulunduğu ülke olarak ilan edilmiş olması, yeterli korumanın bulunmaması durumunda kanunda düzenlenmiş uygun güvencelerin sağlanması, diğer yandan yeterli korumanın bulunmaması ve kanunda düzenlenen uygun güvencelerin sağlanmaması durumunda kanuna eklenen bir maddede sınırlı sayıda belirlenmiş istisnai hâllerinden birinin varlığı halinde, kişisel verilerin yurt dışına aktarılması hususu, söz konusu kanun değişikliği çerçevesinde düzenlendi.
Ayrıca bu düzenleme ile yeterlilik kararının kapsamı genişletildi. Yeterlilik kararı ülke hakkında verilebileceği gibi uluslararası kuruluş veya ülke içerisindeki sektör hakkında da verilebilecektir. Yine bu düzenleme ile veri işleyenin de yurt dışına aktarım yapabilme imkânı getirilmiş oldu.
Kişisel veri aktarımına ilişkin geçiş süreci öngörüldü mü?
Kanunda yapılan değişiklikler 1 Haziran’da yürürlüğe girecek. Ayrıca, değişiklikten önceki açık rıza ile yurt dışına veri aktarımı 9. maddede yapılan değişiklik ile birlikte 1 Eylül’e kadar uygulanmaya devam edecek. Başka bir ifadeyle değişiklikten önceki 9. maddenin 1. fıkrasındaki açık rızaya dayalı yurt dışına veri aktarımı yapılan değişikliklerle birlikte, 1 Eylül’e kadar uygulanabilecek. Yine, 9. maddede yapılan değişiklikle bu maddenin uygulanmasına ilişkin usul ve esasların yönetmelikle düzenleneceği hükmü eklenmiştir.
Kanun değişikliği ile Kurul kararlarına karşı itirazlar için nasıl bir düzenleme getirildi?
Kurul tarafından verilen idari para cezalarına karşı sulh ceza hakimliklerine başvurulmakta iken, yapılan değişiklik sonrasında idare mahkemelerinde dava açılabilecektir. Dolayısıyla, Kanun değişikliği ile Kurul tarafından tesis edilen idari para cezalarının yargısal denetimini yapacak yolu da değişmiştir.
Kanun değişikliği sonrası veri sorumlularının alması gereken önlemler nelerdir?
Yapılan düzenlemeler çerçevesinde mevcut veri işleme süreçlerinin gözden geçirilmesi ve bu süreçlerin yeni düzenlemelere uygunluğunun değerlendirilmesi öncelikli olarak ele alınmalıdır. Veri işleme faaliyetinin parçası olan tüm çalışanlar bu düzenlemelerle ilgili olarak yeterli düzeyde bilgilendirilmelidir.
“Veri işleyenlerin yükümlülükleri artırıldı”
Veri işleyenler de yaptırım kapsamına alındı. Bu yaptırımın çerçevesi nedir?
Günümüzde teknolojik gelişmeler sonucu ortaya çıkan yeni iş modelleri, veri işleyenleri çok daha önemli bir konuma getirdi. Dolayısıyla dünya genelindeki eğilim, veri işleyenlerin yükümlülüklerinin artırılması ve bu yükümlülüklerin ihlali durumunda yaptırıma tâbi tutulması yönünde olmaya başladı. Kanunda yapılan değişiklikle veri işleyene de bir yükümlülük getirilmekte ve bu yükümlülüğün yerine getirilmemesi halinde idari para cezası uygulanması öngörülmektedir. Belirtmek gerekir ki, aynı yükümlülüğün veri sorumlusu tarafından da yerine getirilmesi gerekir. Ancak bu düzenleme ile veri işleyene doğrudan bir yükümlülük getirilmektedir.
Bu çerçevede, yurt dışına kişisel veri aktarımında uygun güvence sağlama yöntemlerinden biri olan standart sözleşmelerin kullanılması halinde, bu sözleşmenin aktarım tarafl arınca imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilmesi gerekiyor. Kanunun, kabahatleri düzenleyen 18. maddesinde yapılan değişiklikle, bu bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu veya veri işleyen hakkında idari yaptırım uygulanması da öngörülüyor. Söz konusu hükümle ilk kez veri işleyen de idari para cezasına tâbi kılınıyor.
