Hukukçu Dr. Öğr. Üyesi Cihan Avcı Braun, Kişisel Verileri Koruma Kanunu’nda yapılan değişikliklere yönelik değerlendirme yaptı. Braun, artık şirketlerin kişisel verileri açık rıza olmadan da yurt dışına aktarabileceğini belirterek yurt dışına veri aktarımının önünün açıldığını belirtti.
Değişikliklerle ilgili bilgi veren Yeditepe Üniversitesi Hukuk Fakültesi’nden Dr. Öğr. Üyesi Cihan Avcı Braun, değişiklikle KVKK’nın Avrupa Birliği’nde uygulanan Genel Veri Koruma Tüzüğü’yle (General Data Protection Regulation-GDPR) kısmen de olsa uyumlu hale getirilmesi ve uygulamada sıkça karşılaşılan sorunlara çözüm üretilmesinin hedeflendiğini vurguladı.
“ŞİRKETLER AÇIK RIZA METİNLERİNİ YENİDEN GÖZDEN GEÇİRMELİ”
Değişiklikle özel nitelikli kişisel verilerin işlenmesi için gerekli olan hukuka uygunluk sebeplerinin arttırılacağını belirten Braun, “Değişikliklerin yürürlüğe girmesi ile birçok alanda özel nitelikli kişisel verilerin işlenmesinin ve sınır ötesi veri aktarımının gerçekleşmesi imkânı doğacaktır. Değişiklik ile şirketlerin gizlilik ve çerez politikalarını, açık rıza metinlerini, almış oldukları açık rıza beyanlarının geçerliliğini, yurt dışına aktarılacak veriler, veri aktarım yöntemleri ile özellikle aydınlatma metinlerini gözden geçirmesi gerekecektir. Zira hukuka uygun bir şekilde işlenmekte olan mevcut verilerin yeni kanuna uygun olarak yurt dışına aktarılabilmesi için ilgili kişinin veri aktarılmadan önce aydınlatılmış olması gerekmektedir” dedi.
“AÇIK RIZA OLMADAN VERİ İŞLENEMİYORDU AMA ARTIK BU MÜMKÜN”
KVKK’da yapılan değişiklikle sağlık ve cinsel hayata ilişkin veri ile diğer özel nitelikli kişisel veri ayrımının kaldırıldığını kaydeden Braun, “Mevcut KVKK’ya göre sağlık verisini sadece Sosyal Güvenlik Kurumu ve Sağlık Bakanlığı ile sağlık kuruluşları işleyebilirdi. Ancak yasadaki açık düzenleme nedeniyle sağlık verisine ihtiyaç duyan sigortacılık sektörü, çalışma mevzuatı, iş sağlığı ve güvenliği ile sosyal hizmetler alanlarında hizmet veren sektörler, veri sahibinin açık rızası olmadan veri işleyememekte ve bu durum uygulamacıların büyük sorunlarla karşılaşmasına neden olmaktadır” diye konuştu.
Cihan Avcı Braun
İŞVEREN DE YASADA
Cihan Avcı Braun, işçi-işveren ilişkisinde de önemli bir noktaya vurgu yaptı. İşçi-işveren ilişkisinde açık rızanın özgür iradeyle verilmesinin istisnai bir durum olduğunu anımsatan Braun, değişiklikle işverenler başta olmak üzere özel nitelikli kişisel verilerin işlenmesine ihtiyaç duyan veri sorumlularının bu verileri hukuka uygun olarak işleyebilmesinin önünün açıldığını kaydetti.
“‘AÇIK RIZA’NIN ARANMASI İSTİSNA OLDU”
Braun, her geçen gün gelişen teknoloji ve dijitalleşmeyle ticari hayatın dinamiğinin de değiştiğini anımsatarak yurt dışına veri aktarımıyla ilgili değişiklikleri şöyle açıkladı:
“Eskiden yurt dışına veri aktarmak için açık rıza gerekliyken şimdi açık rıza olmasa da yurt dışına veriniz aktarılabilecek. Yeni düzenlemede birçok hukuka uygunluk sebebi eklenmiş durumda. Eğer bunlardan birine uygunsa kişinin açık rızası olmadan da kişisel verileri yurt dışına aktarılabilecek. Yani açık rıza istisnai bir hukuka uygunluk sebebi oldu. Bir başka konu ise diğer ülkelere veri aktarılabilmesi için ülkeler hakkında, verileri hukuka uygun bir şekilde koruyabileceklerine dair ‘yeterlilik kararı’ verilmiş olması gerekiyordu. Önceki düzenlemeye göre ‘yeterlilik kararı’ yalnızca ülkelere verilebiliyordu. Bir ülke yeterlilik kararı verdiği ülkeye veri aktarabiliyordu ancak yeni düzenlemede ‘yeterlilik kararı’ sektörlere veya uluslararası kuruluşlara verilebilecek. Bir ülke hakkında ‘yeterlilik kararı’ verilmese bile, bir uluslararası kuruluş veya sektörün ‘güvenli liman’ olarak kabul edilmesi mümkün olacak ve yurt dışına veri aktarımı hukuka uygun sayılacak. Örneğin; Türkiye’de otomotiv sektörünün yoğun ticari ilişki kurduğu bir yabancı ülkenin tamamı yerine, o ülkedeki otomotiv sektörü için yeterlilik kararı verilmiş olması yeterli görülecek.”