Kişisel Verileri Koruma Kurumu’nda yapılan 8’inci e-Safe Kişisel Verileri Koruma Zirvesi’nin bu yıl odaklandığı konu ”Kişisel Verilerin Korunmasında Yeni Hukuki ve Teknolojik Gelişmeler” oldu.
Zirvenin paneli KVKK Rehberlik, Araştırma ve Kurumsal İletişim Dairesi Başkanı Kumru Döne moderatörlüğünde gerçekleştirildi. Panelde İstanbul Teknik Üniversitesi, İşletme Fakültesi Öğretim Üyesi Dr. Çiçek Ersoy, Kişisel Verileri Koruma Kurumu Uzmanı Mustafa Koray Altun, İstanbul Bilgi Üniversitesi, Hukuk Fakültesi Öğretim Üyesi Dr. Nilgün Başalp Yıldırım yer aldı.
Panel konuşmacıları yapılandırılmış soruların ardından salondaki dinleyicilerin sorduğu soruları yanıtladı.
Kişisel Verileri Koruma Kurumu Uzmanı Mustafa Koray Altun, Yurt dışına veri aktarımında, karşı tarafın sunduğu güvenlik tedbirleri değerlendirilemediği ve test edilemediği durumlarda, ileride yaşanabilecek bir ihlalde Türkiye’deki veri sorumlusunun hukuki sorumluluğunun söz konusu olup olmayacağı konusunda değerlendirmelerde bulundu. Altun, “İlk başta bir direnç gösteriliyor ama zaman içerisinde, zaten kamuoyundan da takip ettiğimiz veya kendi faaliyetlerimizden de takip ettiğimiz kadarıyla, büyük şirketler de yavaş yavaş uyum sağlamaya başlıyor. Bunu bekliyorduk zaten. Ha, ama şöyle bir gerçek de var: GDPR uyumu isteniyor sektör tarafından; fakat sonrasındaki uyum sürecinde, tekrardan aynı yükümlülüklere iş yükümlülük noktasına geldiği zaman, aynı isteği göremeyebiliyoruz. Bunlar tabii ki bir problemdir ama zaman içerisinde yoluna girecektir diye düşünüyorum.”
İstanbul Teknik Üniversitesi İşletme Fakültesi Öğretim Üyesi Dr. Çiçek Ersoy, Avrupa merkezli ve bağlayıcı şirket kuralları (BCR) süreçlerini tamamlamış global şirketlerle veri aktarımı yapılırken yalnızca ana şirketle tek bir sözleşme imzalanmasının hukuki açıdan yeterli sayılıp sayılmayacağına; aksi durumda her bir grup şirketiyle ayrı ayrı KVKK’ya uygun sözleşme yapılmasının gerekip gerekmediğine ilişkin değerlendirmelerde bulundu. Ersoy, “Aslında geleceğe ilişkin bir vizyon da, dediğiniz gibi, rekabet hukuku alanında çok benzer bir akış gördük biz. Şöyle ki, hem birleşme-devralmalarda hem de muafiyet sisteminde, önceleri gerek Türk hukukunda gerekse Avrupa Birliği hukukunda çok benzer şekilde bildirim zorunluydu. Belli sözleşmelerin bildirimi, hem buradaki kurula hem de Avrupa Birliği’ndeki otoritelere zorunluydu. Bu bir geçiş dönemiydi; yaklaşık 10 sene sürdü. Buradaki, bizim şu an konuştuğumuz konuya paralel olarak amaç, aslında dediğiniz gibi bir farkındalık yaratmaktı. Bir süre sonra, gerek Avrupa Birliği hukuku gerek Türk hukuku rekabet hukukunda dedi ki: ‘Artık bir düzene oturdu bu iş ve ben bunun bildirimine ilişkin yükümlülüğü kaldırıyorum. Sen kendi kendine değerlendirme yapacaksın ama bir hukuka aykırılık görürsem idari para cezası veririm.’ dedi ve şu an sistem çok güzel işliyor. O tarafta bir 5-6 sene sonra, biz burada da muhtemelen standart sözleşmelerin bildirilme zorunluluğunun ya esnetilmesini ya da tamamen kaldırılmasını konuşuyor olacağız diye düşünüyorum.”
İstanbul Bilgi Üniversitesi, Hukuk Fakültesi Öğretim Üyesi Dr. Nilgün Başalp Yıldırım, Avrupa merkezli ve bağlayıcı şirket kuralları (BCR) süreçlerini tamamlamış global şirketlerle veri aktarımı yapılırken yalnızca ana şirketle tek bir sözleşme imzalanmasının hukuki açıdan yeterli sayılıp sayılmayacağına; aksi durumda her bir grup şirketiyle ayrı ayrı KVKK’ya uygun sözleşme yapılmasının gerekip gerekmediğine ilişkin değerlendirmelerde bulundu. Yıldırım, “Avrupa Birliği sürecine baktığınızda, aslında orada bir bildirim yükümlülüğünün öngörülmediğini tespit etmek kolaylıkla mümkün. DPR’ın açık metni önümüzde. Bizde ise bir bildirim yükümlülüğü benimsenmiş durumda. Farklılaşıyoruz bu açıdan. Bu, kuşkusuz ekstradan bir bürokratik yük getiriyor; aynı zamanda hem kurum açısından hem de bu işle uğraşan tüm hukukçular açısından. Meseleyi, aslında Avrupa Birliği sürecinde baktığınızda, VERBİS onlarda da öngörülmüştü. Eski direktif döneminde ve ulusal devletler nezdinde buna yönelik çözümler vardı. Sonra bunun ne kadar büyük bir bürokratik yük yarattığı ortaya konuldu ve GDPR’da ‘aman sakın olmasın’ denildi. Çok büyük bir direnç oluştu bu tarz yükümlülüklere yönelik olarak. O yüzden buradan hareketle de, VERBİS Avrupa Birliği için söz konusu değil ama bizde var.”
VİDEO: 978
BAŞLIK: BCR Süreçleri ve Türkiye’deki Sözleşme Yükümlülüğü Çıkmazı
ETKİNLİK: 8. e-Safe Kişisel Verileri Koruma Zirvesi
TARİH: 30 Nisan 2025, Çarşamba
YER: Kişisel Verileri Koruma Kurumu (KVKK) Konferans Salonu – Ankara
