Kişisel verilerin işlenmesine dair veri sorumlularının uyması gereken yükümlülükleri düzenleyen KVKK’da yapılması beklenen değişikliklerin bir kısmı 12 Mart 2024 tarihi itibarıyla yürürlüğe girdi. Yeni kanun, yurt dışına kişisel veri aktarımı ve özel nitelikli kişisel verilerin işlenme şartlarına dair önemli değişiklikler getirildi.
KVKK’da yapılan değişiklikleri ve bu değişikliklerin iş hayatına nasıl yansıyacağını, firmaların alması gereken önlemleri ve Türkiye’ye gelecek yatırımlara yapacağı etkiyi Bilişim Hukukçusu Av. Görkem Gökçe ile değerlendirdik.
Özel nitelikli kişisel verilerin işlenme şartları değişti
Sağlık, cinsel hayat, sendika ve vakıf üyeliği bilgileri ile biyometrik veriler özel nitelikli kişisel veriler olarak düzenleniyor. KVKK, bu verileri halihazırda sağlık ve cinsel hayat verileri ve diğer özel nitelikli kişisel veriler olarak ayırıyordu. Kanun, bu ayrımı büyük ölçüde ortadan kaldırıyor. Bu alandaki en önemli yenilik, pratik dünyada sıkça karşılaşılan istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki veri işleme faaliyetleri için getirilen düzenleme. Bu kapsamda, ilgili kişinin açık rızası olmasa dahi, gerekli şartlar sağlanırsa, bu sayılan alanlardaki hukuki yükümlülüklerin yerine getirilmesi için verilerin işlenmesi mümkün olabilecek.
Resmi Gazete 12 Mart 2024 sayısında yayınlanan yeni KVKK değişiklikleri yurtdışında faaliyet gösteren firmaların müşteri verilerini yurt dışına aktarmalarına imkân veriyor. Bu değişiklikten sadece yeterlilik kararı bulunan firmalar yararlanacak. Kişisel…
KVKK ile kişisel verilerin yurtdışına aktarılması sil baştan düzenlendi
Kanun, kişisel verilerin yurtdışına aktarılması için tamamen yeni ve önceki düzenlemelerle farklı bir sistematik benimsiyor. Buna göre; artık üç kademeli ve alternatifli bir aktarım rejimi olacak:
Yeni düzenlemelere göre artık ilgili kişinin açık rızasının olması, verinin yurt dışına aktarılmasına doğrudan imkan vermeyecek. Bu kapsamda, veri sorumlusu ve veri işleyen;
– Kişisel verinin aktarılacağı ülke veya spesifik sektörler için Kurul tarafından verilmiş bir yeterlilik kararı sorgulayacak.
– Yeterlilik kararı yoksa; taraflar ancak belirlenen güvencelerden birini sağlaması halinde verileri yurt dışına aktarabilecek.
– Taraflar güvenceleri de sağlayamıyorsa; sadece “arızi durumlar” için yurt dışına kişisel veri aktarımı yapabilecek. Sürekli kişisel veri aktarımları için kişilerin açık rızasının alınması, artık yurt dışına aktarıma imkan vermeyecek.
Sözleşmeler mutlaka bildirilecek
Yurt Dışına Aktarımda Kullanılacak Standart Sözleşmeler 5 İş Günü İçinde KVK Kurumu’na Bildirilecek.
Yurt dışına veri aktarımı için uygun güvence yöntemlerinden biri olan “standart sözleşmeler” veri sorumlusu veya veri işleyen tarafından 5 iş günü içinde KVK Kurumu’na bildirilecek. Aksi halde, 50.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar idari para cezası düzenlenebileceği öngörülüyor.
Uyumluluk İçin Ne Yapmalı?
Bu durumda veriyle temas eden herkes (veri işleyenler de dahil) tüm veri aktarım süreçlerini tekrar kurgulamak zorunda kalacak. Çünkü artık açık rızaya dayalı aktarım (eğer arızi bir durum yoksa) mümkün olmayacak.
Bu kapsamda, veri sorumluları ve veri işleyenlerin bu esaslı değişiklikleri içselleştirmesi, yeni düzenlemelere uygun aydınlatma süreçleri tasarlaması, veri aktarım taahhütlerinin ve veri aktarımlarının yeni düzenlemelere göre tekrar kurgulaması gerekecek. İlgili kişilerin açık rızasına başvurulabilecek haller tekrar tespit edilmeli ve buna uygun yöntemler belirlenmeli.
