Kişisel Verilerin Korunması Kanunu (“KVKK”) yedi seneden fazladır yürürlükte. Kanunumuz; Avrupa Birliği’nin 1995 tarihli 95/46/EC sayılı direktifi, yine birliğin 2016’da yayınlanan GDPR Veri Koruma Tüzüğü ile birlikte, kendine has dokunuşlarımızla harmanlanan bir düzenleme. KVKK’nın hangi maddesinin ne kadar uygulandığı, yine yetkili idari kurum olan KVK Kurumu ile karar organı olan KVK Kurulu, veri sorumlusu şirketlerin bakış açısı ve yargıya bağlı olarak değişiyor. Uygulamada kimi maddelerin sıkı uygulandığını, kimi maddelerin ise neredeyse hiç uygulanmadığını açıkça söyleyebiliriz.
KVKK’nın değiştirilip GDPR’a daha da yakınlaştırılması, KVK Kurumunun amaçlarından biriydi. Epeydir gündemde olan değişiklikler, ilgili TBMM komisyonlarına sunuldu ve yakın sürede meclisten geçmesi bekleniyor. KVKK değişiklik teklifi (yeni yargı paketi kapsamında); özel nitelikli kişisel verilerin işlenme şartları, yurtdışına veri aktarımı, ve cezalara karşı yargı yolları hakkında önemli farklılıklar getiriyor.
Özel nitelikli kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din ve diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyetleri, biyometrik ve genetik verilerdir. Bu verilerin işlenme şartları, diğer tüm verilere nazaran daha ağırdır. Yeni değişiklik teklifiyle, bu verilerin işlenmesine ilişkin hukuki nedenler değiştiriliyor. Doğrudan kanun teklifi maddesinin gereçesini ele alırsak: “Mevcut düzenleme uyarınca sağlık verisini sadece Sosyal Güvenlik Kurumu ve Sağlık Bakanlığı ile sağlık kuruluşları işleyebilmektedir. Ancak başta sigortacılık sektörü, çalışma mevzuatı, iş sağlığı ve güvenliği ile sosyal hizmetler alanlarında sağlık verisine ihtiyaç bulunmaktadır” denmek suretiyle; özel nitelikli kişisel veri işlemede açık rıza gereken haller değişiyor. Bilindiği gibi KVK Kurul kararlarında, açık rıza gereken hallerde açık rıza almak, kanuna aykırılık teşkil eden bir yöntem. Bu nedenle şirketlerde mevcut KVKK uyum programlarında değişikliğe gitmek gerekecektir.
Yurtdışına veri aktarımı konusu da epey sıkıntılı bir durumdaydı. Çünkü KVKK’nın şuanki formu, tek tek kişilerden açık rıza alınmasını, yeterli veri korumanın yazılı taahhüt edilmesini, KVK Kurulu’na başvuru yapılmasını ve KVK Kurulu’nun başvuruyu kabul etmesini zorunlu tutuyor. Ticari hayatın ve artık verinin “her şey” olduğu bir yapay zeka çağının gerekliliklerine uygun olmadığı açık olan bu yöntem, sonunda değiştiriliyor ve çeşitlendiriliyor. Örneğin artık sadece ülkeler bazında “yeterli koruma vardır” kararı yerine, sektör veya kuruluş bazında da bu karar verilebiliyor. Kurulun onayladığı “bağlayıcı şirket kurallarının” (GDPR: Binding Corporate Rules) varlığı, veya Kurul tarafından ilan edilen “standart sözleşme maddeleri” (GDPR: Standard Contractual Clauses) imzalanması suretiyle de artık kişisel veriler yurtdışına aktarılabilecek. Dolayısıyla, yurtdışına “yasal” yollarla veri aktarımı kolaylaştırılacak.
Ayrıca, KVK Kurulu’nun idari para cezalarına karşı artık idare mahkemelerinde dava açılabilecek. Mevcut KVKK’da KVK Kurulu’nun salt idari para cezası verdiği hallerde yalnızca sulh ceza hakimliklerine başvuru yapılabiliyor.