Türkiye’nin Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye’de faaliyet gösteren işletmeler için uyum ortamını yeniden şekillendiren önemli değişikliklere uğramıştır. Bu değişiklikler, kanunun 2016’da yürürlüğe girmesinden bu yana Türkiye’nin veri koruma çerçevesinde yapılan en kapsamlı revizyonu temsil etmektedir.
Değişikliklere Genel Bakış
Değişiklikler, Türk veri koruma hukukunu bazı yönleriyle Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği’ne (GDPR) yaklaştırırken Türk yaklaşımının kendine özgü özelliklerini de koruyarak KVKK çerçevesine çeşitli önemli değişiklikler getirmektedir.
Yurt Dışına Veri Aktarımı
En önemli değişikliklerden biri, yurt dışına veri aktarımına ilişkin mekanizmayı kapsamaktadır. Çoğu durumda açık rıza gerektiren veya Kişisel Verileri Koruma Kurumu tarafından onaylanan bağlayıcı şirket kurallarına dayanan önceki rejimin yerini daha esnek bir çerçeve almıştır.
Yeni rejim kapsamında, aşağıdaki durumlarda kişisel veriler yurt dışına aktarılabilir:
- Hedef ülkenin Kurum tarafından yeterli koruma sağladığı değerlendirilmesi halinde;
- Aktaran taraf ve alıcının Kurum tarafından onaylanan bir taahhüt imzalaması durumunda; veya
- Kanun kapsamında belirtilen koşullardan birinin karşılanması halinde (rıza, sözleşmenin ifası, hayati çıkarlar ve diğerleri dahil).
Bu değişiklik, Türkiye’de faaliyet gösteren ve düzenli olarak yurt dışındaki genel merkezlere veya iştiraklere veri aktaran çok uluslu şirketler için önem taşımaktadır.
İşleme Koşulları
Değişiklikler aynı zamanda kişisel verilerin veri sahibinin açık rızası olmaksızın işlenebileceği koşulları da netleştirmekte ve genişletmektedir.
Uygulama ve İdari Yaptırımlar
Değişiklikler, Kurum’un uygulama yetkilerini güçlendirmekte ve ihlaller için öngörülen idari para cezalarını artırmaktadır.
İşletmeler İçin Pratik Sonuçlar
Türkiye’de kişisel veri işleyen şirketler, değişikliklere yanıt olarak şu adımları atmalıdır:
Mevcut rızaları ve hukuki dayanakları gözden geçirin. Kişisel veri işlemenin öncelikle rızaya dayandığı durumlarda, değiştirilmiş kanun kapsamında başka hukuki dayanakların mevcut olup olmadığını veya tercih edilip edilemeyeceğini değerlendirin.
Yurt dışına veri aktarım düzenlemelerini güncelleyin. İşletmeniz Türkiye’den yurt dışındaki kuruluşlara kişisel veri aktarıyorsa, mevcut düzenlemelerinizin yeni aktarım çerçevesi kapsamında uyumlu kalıp kalmadığını gözden geçirin.
Gizlilik bildirimlerini güncelleyin. Gizlilik bildirimleri, değiştirilmiş hukuki çerçeveyi yansıtacak şekilde gözden geçirilerek güncellenmelidir.
Sonuç
KVKK değişiklikleri, Türkiye’nin veri koruma çerçevesinde önemli bir evrimi temsil etmektedir. İşletmeler bu değişiklikleri, KVKK uyum programlarının kapsamlı bir incelemesini yapma fırsatı olarak değerlendirmelidir.
Daha fazla bilgi için: [email protected] | www.semizlaw.com