7’nci e-Safe Kişisel Verileri Koruma Zirvesi, “Türkiye’de ve Dünyada Kişisel Verilerin Korunmasında Yeni Gelişmeler” temasıyla 22 Mayıs 2024 tarihinde, Ankara’da, Kişisel Verileri Koruma Kurumu (KVKK) Konferans Salonu’nda düzenlendi.
Etkinlikte konuşan Bilkent Üniversitesi, Hukuk Fakültesi Medeni Hukuk Anabilim Dalı Öğretim Üyesi / Dekan Yardımcısı Doç. Dr. Hüseyin Can Aksoy, yürürlükteki düzenlemeye göre yurt dışına kişisel veri aktarımının nasıl yapıldığını şu sözlerle anlattı:
“Yürürlükteki düzenlemeye göre, yurt dışına kişisel verilerin aktarılabilmesi için 3 tane aracımız var. Bunlardan ilki güvenli ülke listesi. Yani verilerin aktarılacağı ülkede yeterli korumanın bulunduğunun Kurul tarafından kabul edilmesi ve ilgili ülkelerin güvenli liste olarak ilan edilmesi. Şimdiye kadar karşılık esası gözetildiği için güvenli ülke olarak benimsenen herhangi bir ülke ilan edilmedi. İkinci mekanizma taahhütname. Türkiye’deki ve ilgili yabanı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve bunun da Kurulun izni çerçevesinde verilerin yurtdışına aktarılmasıdır. Son olarak ilgili kişilerin açık rızasının alınması. Aslında uygulamaya baktığımızda yurt dışına veri aktarımlarının çok büyük ölçüde ilgililerinin açık rızalarına dayalı olarak yapıldığını görüyoruz. Bununla birlikte açık rızaya dayalı veri aktarımı da kendi içerisinde belli sorunları barındırıyor. İlgili kişilerin tek tek açık rızalarının alınması pratik açıdan zorluklar içeriyor. Bu açık rızaların muhafaza edilmesi de zorluklar içeriyor. Bunun dışında eğer ilgili kişi bir çalışansa, çalışanların açık rızalarını verirken ne ölçüde özgür iradeyle hareket ettikleri tartışmalı bir mesele. Özellikle sunucuları yurt dışında bulunan çoğu bulut tabanlı yazılım ve uygulamaların kullanılamaması problemini bu mekanizma ortaya çıkarıyor.”
Kanun değişikliği ile birlikte kademeli bir sisteme geçildiğini belirten Aksoy, “Mevcut olan bu kademeli sitemde öncelikle bir yeterlilik kararı var mı buna bakılacak. Eğer yeterlilik kararı bulunmuyorsa uygun güvenceler var mı buna bakılacak. Üçüncü aşamada ise yeterlilik kararı yoksa ve uygun güvenceler de alınmamışsa arizi veri aktarımı dediğimiz hal karşımıza çıkacak” dedi.
9’uncu maddeye ilişkin kanun değişikliğinin sigortacılık sektörüne etkilerini aktaran Aksoy, “Kanunun 5’inci ve 6’ncı maddelerinde aranan şartlardan birinin varlığı halinde, eğer Kurul tarafından verilerin aktarımının yapılacağı ülke, ülke içerisindeki sektör veya uluslararası kuruluş hakkında bir yeterlilik kararı da verilmişse buna dayalı olarak veriler yurt dışına aktarılabilecek. İleri de eğer Kurul, belirli bir ülkeye sigortacılık sektörü bakımından yeterlilik kararı verirse sigortacılık faaliyetleri bakımından da veriler buna dayanılarak aktarılabilecek. 5’inci ve 6’ncı maddelerden birinin varlığı, ikinci olarak da ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması şartıyla ve son olarak uygun güvencelerin verilmesi kaydıyla yurt dışına veriler aktarılabilecek” ifadelerini kullandı.
Bu bağlamda 4 farlı uygun güvence olduğunu söyleyen Aksoy, “Bunlardan ilki yurt dışındaki kamu, kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu, kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan, uluslararası sözleşme niteliğinde olmayan anlaşmalardır. İkinci olarak bağlayıcı şirket kuralları. Şimdiye kadar Kanun’da bağlayıcı şirket kurallarına dayalı olarak verilerin aktarılabileceğini söyleyen açık bir düzenleme bulunmamaktaydı. Bununa birlikte Kurul, Avrupa Birliği uygulamalarını da takip ederek bağlayıcı şirket kurallarına dayalı aktarımın yolunu açmıştı. Şimdi artık bağlayıcı şirket kurallarına dayalı aktarım kanuna geldi. Buna dayalı olarak da sigortacılık sektöründe kişisel veriler aktarılabilecek. Grup şirketleri içerisinde bir veri aktarımı yapılacaksa veyahut Türkiye’deki bir veri sorumlusu yurt dışındaki bir şirketler grubuna veri aktarımı yapacaksa bağlayıcı şirket kurallarına dayanabilecek. Üçüncüsü ise standart sözleşmeler. Hukukumuza yeni giren standart sözleşmeler kullanılarak Türkiye’deki veriyi aktaran veri sorumlusu ve yurt dışında veri alıcısı olan veri sorumlusu arasında standart sözleşme akdedilerek yurt dışına veri aktarımı yapılabilecek. Şüphesiz sigortacılık sektöründe de standart sözleşmelere dayanılarak veri aktarımının önü açıldı. Son olarak taahhütname hukukumuzda bir veri aktarım yolu olarak varlığını sürdürmeye devam ediyor” şeklinde konuştu.
VİDEO: 773
BAŞLIK: KVKK’nın 9’uncu Maddesinde Yapılan Değişikliğin Sigortacılık Sektörüne Etkileri
KONUŞMACI: Doç. Dr. Hüseyin Can Aksoy – Bilkent Üniversitesi, Hukuk Fakültesi Medeni Hukuk Anabilim Dalı Öğretim Üyesi / Dekan Yardımcısı
ETKİNLİK: 7.e-Safe Kişisel Verileri Koruma Zirvesi
TARİH: 22 Mayıs 2024, Çarşamba
YER: Kişisel Verileri Koruma Kurumu – Ankara