e-Safe Zirveleri

Siber uzay var oldukça, siber güvenlikte var olacaktır. e-Safe Ulusal Güvenlik Etkinlikleri olarak, Siber Güvenlik ve Kişisel Verileri Koruma Sektörlerinin paydaşları olan; üreticiler, satıcılar, kamu, üniversite ve STK’ları bir araya getirerek sektörün sağlıklı gelişmesine katkıda bulunmaya çalışıyoruz. Bu bağlamda e-Safe, yerel sorunlara odaklanmış bir Ulusal Güvenlik Etkinlikleri platformudur.

Kişisel Verileri Koruma Kanunu’nda yapılan değişiklikler neler?


Kişisel Verileri Koruma Kanunu’nda yapılan değişiklikler neler?

7’nci e-Safe Kişisel Verileri Koruma Zirvesi, “Türkiye’de ve Dünyada Kişisel Verilerin Korunmasında Yeni Gelişmeler” temasıyla 22 Mayıs 2024 tarihinde, Ankara’da, Kişisel Verileri Koruma Kurumu (KVKK) Konferans Salonu’nda düzenlendi.

Etkinlikte konuşan KVKK Başkanlık Müşaviri Ezgi Ergüneş Duran, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yapılan değişikliklere ilişkin, “İki temel maddede değişiklik ön görüldü. Kanunun 6’ncı maddesi, 9’uncu maddesi” dedi.

İlk olarak değişikliğin gerekçesini anlatan Duran, “Öncelikle Avrupa Birliği (AB) müktesebatına uyum bunu gerektirdi. Bazı eylem planlarında, politika metinlerinde özellikle kişisel verilerin yurtdışına aktarılmasına ilişkin değişiklik yapılmasını öngören maddeler vardı. 9’uncu ve 6’ncı madde özellikle vize serbestisi diyaloğu bağlamında ele alınıyordu. Ancak diğer politika metinlerinde kanunun GDPR ile genel uyumuna yönelik bir takım yükümlülükler söz konusu. Bunun yanı sıra kamu kurum ve kuruluşları ile özel sektörden gelen taleplerde oluyordu. Çünkü özellikle 6’ncı maddede özel nitelikli kişisel veri işleme şartlarının çok dar bir kapsamda bulunması, kamu kurum ve kuruluşları ile özel sektörün veri işleme faaliyetlerine doğrudan etki eden, onları kısıtlayan ve zora sokan bir sonuç doğurdu. Bizim kanunumuz 2016 yılında yürürlüğe girdi. Bundan önce farklı mevzuat hükümlerinde düzenlemeler vardı. Dolayısıyla önceki hükümlerle genel çerçeveyi çizen kanunumuzdaki çelişki bunların nasıl uygulanacağı konusunda bir soru işareti yaratıyordu. Gelişen teknolojinin getirdiği yeniliklere ve uluslar arası platformlarda benimsenen yeni yaklaşımlara adaptasyonda kanun değişikliğini zorunlu kıldı” şeklinde konuştu.

6’ncı maddede yapılan değişikliğe değinen Duran, “Mevcut durumda özel nitelikli kişisel verilerin neler olduğu sayma usulüyle belirleniyor. Yapılan değişiklikte bu hüküm aynen korundu. Özel nitelikli veri türleri arasında bir ayrım yapılmadı. Özel nitelikli kişisel verilerin açık rızayla işlenebileceği, sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülme halinde de işlenebileceği, sağlık ve cinsel hayata ilişkin verilerin ise sadece belirli amaçlarla ve belirli kişiler tarafından işlenebileceği düzenleniyor. Kanuna yetkili kılınan, kamu kurum ve kuruluşları ve sır saklama yükümlülüğü altında bulunan kişiler bu verileri belirli amaçlarla işleyebiliyor. Bu amaçlar; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis tedavi hizmetlerinin yürütülmesi. İşverenin, iş ve sosyal güvenlik mevzuatından kaynaklanan yükümlülükleri ya da farklı mevzuat hükümlerinde sağlık verisi işlemeyi gerektiren özel durumlar var. Bu durumlarda ise, bu verileri mevcut koşullarda işlemek neredeyse imkansız hale geliyor. Dolayısıyla bu sınırlayıcı hükmün genişletilmesi ihtiyacı buradan doğdu. Yapılan değişiklik temelde şunu getirdi: Özel nitelikli kişisel veriler arasındaki önem sıralaması ortadan kalktı. Yani kişisel veri işleme şartları sıralanırken bunların tüm özel nitelikli kişisel veriler için geçerli olduğu sağlık ve cinsel hayata ilişkin verilerin belli koşullarda işlenmesi ile kısıtlanmadığını görüyoruz. Buna ek olarak da veri işleme şartları korundu ve buna ek veri işleme şartları getirildi. Bunun yanı sıra da yapılan düzenlemenin Avrupa Birliği Genel Veri Koruma Tüzüğü ile uyumlu olacak şekilde ondan referans alınarak yapıldığını ifade etmek isterim” ifadelerini kullandı.

9’uncu maddede yapılan değişikliği de anlatan Duran, “9’uncu maddede yer alan durum da son derece kısıtlayıcıydı. Yani yurt dışına bir veri aktarımı yapılacaksa ancak kanunlarda öngörülen haller saklı kalmakla birlikte üç koşulda yapılabiliyordu: İlgili kişinin açık rızası, yeterlilik kararı ile açık rıza dışında bir veri işleme şartının varlığı ve yeterli korumayı yurt dışına veri aktarımı yapacak tarafların taahüt etmeleri. Şuana kadar bir güvenli ülke tayini söz konusu olmadığı için yurt dışına veri aktarımı açık rızayla taahhütname arasında sıkışmış bir durumdaydı. Değişiklik ise GDPR’ı baz alıyor. Burada öncelikle bir yeterlilik kararı olup olmadığına bakılıyor. Yeterlilik kararına ilişkin hüküm korunmuş oldu. Yeterlilik kararının bulunmadığı hallerde ise, uygun güvencelerin sağlanması yoluyla verilerin yurt dışına aktarımının önü açıldı. Bunun yanı sıra istisnai haller, arizi durumlar öngörüldü. Temel değişikliklerden bir diğeri ise, veri işleyenlerin de yurt dışına veri aktarımının yolu açıldı. Yine kanunlarda yer alan hükümler saklı tutulmaya devam edildi. 9’uncu maddede yapılan değişiklik temel hak ve özgürlükleri güvence altına alan alternatif, kolaylaştırılmış ve maliyetsiz yolları öngören bir hukuki çerçeve sundu” dedi.

VİDEO: 765
BAŞLIK: Kişisel Verileri Koruma Kanunu’nda Yapılan Değişiklikler Neler?
KONUŞMACI: Ezgi Ergüneş Duran – KVKK Başkanlık Müşaviri
ETKİNLİK: 7.e-Safe Kişisel Verileri Koruma Zirvesi
TARİH: 22 Mayıs 2024, Çarşamba
YER: Kişisel Verileri Koruma Kurumu – Ankara