Kişisel Verilerin Korunması Kanunu'nun 7 Nisan 2016'da yürürlüğe girmesiyle Türkiye'de yeni bir dönem başlarken, 2018'de yapılan yönetmelik değişikliğiyle de 7 Nisan tarihinin "Kişisel Verileri Koruma Günü" olarak kutlanması kararlaştırıldı.
Kişisel Verileri Koruma Günü'ne ilişkin açıklamalarda bulunan KVKK Başkanı Bilir, 7 Nisan 2016'da kişisel verilerin korunması bakımından Türkiye'de yeni bir dönemin başladığını söyledi.
Kişisel Verileri Koruma Günü'yle kişisel veri farkındalığının geliştirilmesi ve kişisel verilerin korunmasında alınabilecek bireysel tedbirlerin önemine dikkati çekilmesinin amaçlandığını aktaran Bilir, bu yılki etkinliklerinin temasını "Teknoloji ve Çocukların Kişisel Verilerinin Korunması" olarak belirlediklerini kaydetti.
KVKK'ye bugüne kadar yapılan başvurular ve verilen kararlar hakkında bilgi veren Bilir, başvuru, ihbar ve şikayetlerin titizlikle incelenerek sonuçlandırıldığını dile getirdi.
Bilir, "Bugüne kadar 40 bin 503 ihbar, şikayet ve başvurudan 38 bin 753'ü sonuçlandırıldı. 1352 veri ihlal bildirimi kurula intikal etti, bunlardan 295'i ilan edildi. Yapılan incelemeler sonucu 573 milyon 25 bin lira idari yaptırım uygulandı. Kanun kapsamında 1104 hukuki görüş verildi. Yurt dışına veri aktarımında yeterli nitelikleri taşıyan 8 taahhütname ise kurul tarafından onaylandı." diye konuştu.
Başkan Bilir, kişisel verilerin öneminin gün geçtikçe artmasının, bireyin mahremiyetine yönelik risklerin artmasıyla doğru orantılı olduğunu anlattı.
Teknolojik gelişmeler ve dijitalleşme sayesinde günler süren işlemlerin artık dakikalar, hatta saniyeler içerisinde gerçekleştirildiğini belirten Faruk Bilir, kişisel verilerin teknoloji sayesinde hızlı ve etkin biçimde işlenebilmesinin, bireyin mahremiyetinin korunması ihtiyacını ortaya çıkardığını vurguladı.
"Kişisel veriler ancak hukuka uygun şekilde işlenebilir"
Bilir, veri koruma hukukunun temelinin, kişisel verilerin işlenmesinde temel hak ve özgürlüklerin gözetilmesi olduğunu, dünya üzerinde genel kabul gören hukuki düzenlemelerin bireyin mahremiyetinin güçlendirilmesini esas aldığını kaydetti.
Veri işlemenin, yasaklanmadığını ancak kişisel veri işlenmede çeşitli standartların getirildiğini aktaran Bilir, bunun Türkiye'deki yansımasının Kişisel Verilerin Korunması Kanunu olduğunu söyledi. Bilir, "Kanuna göre, kişisel veriler ancak hukuka uygun şekilde işlenebilir. Yine bu Kanunla verisi işlenen kişilere birtakım haklar getirilmiş, kişisel verileri işleyen kişi, kurum ve kuruluşlara da Kanun kapsamında belirli sorumluluklar yüklenmiştir. Böylelikle bireyin mahremiyeti hukuk şemsiyesi altında koruma altına alınmış, gelişigüzel ve keyfi veri işlemeye karşı somut bir adım atılmıştır." diye konuştu.
8. Yargı Paketi'yle yapılan değişiklikler
KVVK Başkanı Faruk Bilir, "8. Yargı Paketi" ile Kişisel Verilerin Korunması Kanunu'nda yapılan değişikliklere ilişkin de bilgi verdi.
Özel nitelikli kişisel verilerin, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık-kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti, güvenlik tedbirleriyle ilgili verileri ile biyometrik, genetik verileri olduğunu dile getiren Bilir, bunların işlenme şartlarını, yurt dışına veri aktarımını ve kişisel verilerin korunmasına ilişkin kabahatleri düzenleyen hükümlerde önemli değişiklikler yapıldığına işaret etti. Başkan Faruk Bilir, şöyle devam etti:
"Buradaki en önemli yenilik, özel nitelikli veriler arasındaki ayrımın kaldırılmış olması ve bu veriler için yeni veri işleme şartlarının öngörülmüş olmasıdır.
Bu yeni işleme şartlarından biri de fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan, rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin, bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde, özel nitelikli kişisel verilerin işlenebilmesidir. Örneğin bu işleme şartına göre herhangi bir sebeple bilinç kaybından ötürü rızasını açıklayamayacak durumda olan kişinin hayatının veya beden bütünlüğünün korunması amacına mahsus olarak kan grubu ve geçirilen hastalıklar gibi özel nitelikli kişisel verileri işlenebilecektir. Kişisel verilerin korunması bir ihtiyaçtır. Fakat örnekten de anlaşılacağı üzere, gereken durumlarda kişisel verilerin işlenmesi ve aktarılması da bir ihtiyaçtır."
"Henüz kurul tarafından ilan edilmiş bir güvenli ülke bulunmamakta"
Bilir, Kanunun yurt dışına kişisel veri aktarımını düzenleyen 9. maddesinin Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ilgili hükümleri esas alınarak değiştirildiğini dile getirerek, değişiklik yapılırken teknoloji ve dijitalleşmeyle şekillenen veri temelli hayatın meydana getirdiği gereksinimlerin de dikkate alındığını söyledi.
Bu doğrultuda verisi işlenen kişilerin haklarını da koruyacak şekilde yurt dışına veri aktarılması bakımından yeni yöntemler getirildiğini ifade eden Bilir, "Henüz kurul tarafından ilan edilmiş bir güvenli ülke bulunmamakta. Fakat güvenli ülkelerle ilgili çalışmalar devam etmekte. Dolayısıyla yeterli koruma yok ise Kanunda düzenlenmiş uygun güvencelerden birinin sağlanması şartı aranmakta." diye konuştu.
Faruk Bilir, söz konusu kanuni değişikliklerin 1 Haziran'da yürürlüğe gireceğini belirterek, "Değişiklikten önceki açık rızayla yurt dışına veri aktarımı, 9. maddede yapılan değişiklikle birlikte 1 Eylül 2024'e kadar uygulanmaya devam edecek." ifadelerini kullandı.