Kişisel Verilerin Korunması Kanunu’nda (KVKK), uzun zamandır beklenen değişiklikler geçtiğimiz günlerde TBMM’de kabul edildi ve değişiklik öngören hükümler, 1 Haziran’da yürürlüğe girecek.
Değişikliklerle ilgili bilgi veren Yeditepe Üniversitesi Hukuk Fakültesi’nden Öğretim Üyesi Cihan Avcı Braun, değişiklikle ilgili değerlendirmeler yaptı.
“AÇIK RIZA OLMADAN VERİ İŞLENEMİYORDU”
KVKK’da yapılan değişiklikle sağlık ve cinsel hayata ilişkin veri ile diğer özel nitelikli kişisel veri ayrımının kaldırıldığını kaydeden Braun, “Mevcut KVKK’ya göre sağlık verisini sadece Sosyal Güvenlik Kurumu ve Sağlık Bakanlığı ile sağlık kuruluşları işleyebilirdi. Ancak yasadaki açık düzenleme nedeniyle sağlık verisine ihtiyaç duyan sigortacılık sektörü, çalışma mevzuatı, iş sağlığı ve güvenliği ile sosyal hizmetler alanlarında hizmet veren sektörler, veri sahibinin açık rızası olmadan veri işleyememekte ve bu durum uygulamacıların büyük sorunlarla karşılaşmasına neden olmaktadır” diye konuştu.
İŞVEREN DE YASADA
Hukukçu Braun, işçi-işveren ilişkisinde de önemli bir noktaya vurgu yaptı. İşçi-işveren ilişkisinde açık rızanın özgür iradeyle verilmesinin istisnai bir durum olduğunu anımsatan Braun, değişiklikle işverenler başta olmak üzere özel nitelikli kişisel verilerin işlenmesine ihtiyaç duyan veri sorumlularının bu verileri hukuka uygun olarak işleyebilmesinin önünün açıldığını kaydetti.
“AÇIK RIZA’NIN ARANMASI İSTİSNA OLDU”
Braun, yurt dışına veri aktarımıyla ilgili değişiklikleri şöyle açıkladı:
“Eskiden yurt dışına veri aktarmak için açık rıza gerekliyken şimdi açık rıza olmasa da yurt dışına veriniz aktarılabilecek. Yeni düzenlemede birçok hukuka uygunluk sebebi eklenmiş durumda. Eğer bunlardan birine uygunsa kişinin açık rızası olmadan da kişisel verileri yurt dışına aktarılabilecek. Yani açık rıza istisnai bir hukuka uygunluk sebebi oldu. Bir başka konu ise diğer ülkelere veri aktarılabilmesi için ülkeler hakkında, verileri hukuka uygun bir şekilde koruyabileceklerine dair ‘yeterlilik kararı’ verilmiş olması gerekiyordu. Önceki düzenlemeye göre ‘yeterlilik kararı’ yalnızca ülkelere verilebiliyordu. Bir ülke yeterlilik kararı verdiği ülkeye veri aktarabiliyordu ancak yeni düzenlemede ‘yeterlilik kararı’ sektörlere veya uluslararası kuruluşlara verilebilecek. Bir ülke hakkında ‘yeterlilik kararı’ verilmese bile, bir uluslararası kuruluş veya sektörün ‘güvenli liman’ olarak kabul edilmesi mümkün olacak ve yurt dışına veri aktarımı hukuka uygun sayılacak. Örneğin; Türkiye’de otomotiv sektörünün yoğun ticari ilişki kurduğu bir yabancı ülkenin tamamı yerine, o ülkedeki otomotiv sektörü için yeterlilik kararı verilmiş olması yeterli görülecek.”