7’nci e-Safe Kişisel Verileri Koruma Zirvesi, “Türkiye’de ve Dünyada Kişisel Verilerin Korunmasında Yeni Gelişmeler” temasıyla 22 Mayıs 2024 tarihinde, Ankara’da, Kişisel Verileri Koruma Kurumu (KVKK) Konferans Salonu’nda düzenlendi.
Etkinlikte konuşan KVKK Uzman Yardımcısı Ezgi Turgut Bilgiç, Kişisel Verileri Koruma Kanunu’nun 9’uncu maddesinin, 7 bin 999 sayılı Kanun’un 34’üncü maddesiyle değiştirildiğini belirterek, “Yurt dışına veri aktarımına ilişkin usul ve esaslar hakkındaki yönetmelik taslağı kamuoyuna arz edildi. Fakat yeterlilik kararı bulunmadığı durumlarda belirtilen uygun güvence sağlama yöntemleri olarak öngörülen standart sözleşme ve bağlayıcı şirket kurallarına ilişkin taslak dokümanlar da kamuoyu görüşüne açıldı” dedi.
Değişikliğin kapsamı ile ilgili gerekçeyi de açıklayan Bilgiç, “9’uncu madde de yurtdışına veri aktarımının ilgili kişinin açık rızasına bağlı hale geldiği, bunun adeta bir uygulama olarak sürdüğü, aynı zamanda ticari hayatta hemen hemen her şirket ile gerçek kişi tarafından sıklıkla kullanılan, sunucuları yurt dışında bulunan, çoğu bulut tabanlı yazılım uygulamaları olan, hukuka uygun olarak aktarımı bunları da kullanarak yapmayı neredeyse imkansız hale getirdiği belirtilmiş. Bu durumlarda göz önüne alınarak maddenin değiştirildiği belirtilmiş. 9’uncu maddenin 1’inci fıkrasında, 6’ncı ve 5’inci maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke içindeki sektörler aynı zamanda uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde veri işleyenler ve veri sorumluları hakkında veri sorumluları tarafından yurtdışına aktarımından bahsetmiş. 1’inci fıkra ile ilgili gerekçede de mevcut hükümden farklı olarak ülkenin tamamı hakkında yeterlilik kararı verilmesi yerine çok fazla irtibat kurulan bir sektör hakkında veya uluslar arası bir kuruluş hakkında da yeterlilik kararı verilebileceği belirtilmiş. 2’nci fıkrada ise, bu yeterlilik kararının nasıl verileceğinin kapsamı düzenlenmiş. Yeterlilik kararı Kurul tarafından verilecek, Resmi Gazete’de yayımlanacak, Kurul ihtiyaç duyması halinde ilgili kurum ve kuruluşun görüşünü alacak, en geç yılda bir yeniden değerlendirilecek ve değerlendirme kapsamında ileriye etkili olarak daha önce verilen yeterlilik kararının değiştirilmesi, askıya alınması ve kaldırılması mümkün. Gerekçe de hususlardan bahsedilmekle birlikte en geç 4 yılda bir yeniden değerlendirilmesiyle ilgili Kurul gerek görmediği halde bunun aynı şekilde devam edebileceğinden bahsetmiş. Dolayısıyla Kurulun yeniden değerlendirme kararı yoksa halihazırda vermiş olduğu yeterlilik kararının geçerliliğini sürdürmeye devam edeceğinden bahsetmiş” şeklinde konuştu.
3’ücü fıkrada da, yeterlilik kararı verilirken ele alınabilecek, göz önünde bulundurulabilecek hususlardan bahsedildiğini aktaran Bilgiç, “Ancak, bu hususların tahdidi olmadığını belirteyim. Kurul dikkatini çeken veya gerek gördüğü başka hususları da sebep göstererek yeterlilik kararı verebilecektir. 4’üncü fıkra da ise uygun güvencelerden bahsediliyor. Gerekçede GDPR’ın dikkate alındığından bahsediyor. Burada yeterlilik kararı bulunmayan ülke, uluslararası kuruluş veya sektörler 5’inci veya 6’ncı maddedeki veri işleme şartlarından birinin de varlığı halinde aktarımın yapılacağı ülkede de ilgili kişinin haklarını kullanma ve etkili kanun yoluna başvurma imkanının da bulunması şartıyla bu fıkrada belirtilen hallerde ve uygun güvencelerden birinin sağlanması durumunda verilerin aktarılması mümkün” ifadelerini kullandı.
VİDEO: 767
BAŞLIK: KVKK’nın 9’uncu Maddesinin Değiştirilme Gerekçeleri
KONUŞMACI: Ezgi Turgut Bilgiç – KVKK Uzman Yardımcısı
ETKİNLİK: 7.e-Safe Kişisel Verileri Koruma Zirvesi
TARİH: 22 Mayıs 2024, Çarşamba
YER: Kişisel Verileri Koruma Kurumu – Ankara
