Kişisel Verilerin Korunması Kanunu’muz (“KVKK”), 2016 yılında, Avrupa Birliği’nin 95/46 sayılı direktifinden esinlenilerek getirildi. Ancak o tarihlerde AB, yeni kişisel veri koruma mevzuatı olan GDPR’ı yayınlamıştı. İçtihat birliği ve uygulama örneklerinin oturmuş olması sebebiyle eski mevzuata göre hazırlanan KVKK, artık GDPR’ın da oturması ve eski mevzuatın boşluklarının veri işlemede sorunlar yaratması sebebiyle; birkaç ay önce yenilendi ve özellikle özel nitelikli kişisel verilerin işlenmesi ile birlikte yurtdışına veri transferi hakkında önemli güncellemeler getirdi. Değişiklikler yürürlüğe gireli de birkaç ay geçti. Bugün konu hakkında kısa bir inceleme yapalım.

Değişikliklerden önce, özel nitelikli kişisel veriler işlenirken, özellikle işletmeler ve kurumlar oldukça sorun yaşıyordu. Örneğin bir sağlık verisini işlerken hukuka uygun hareket edebilen çok az sayıda şirket vardı. Bunun sebebi açıktı, çünkü açık rıza neredeyse tek yol olarak görülüyordu ve açık rızanın koşulları da zaten ağır olduğu için işletmeler hukuka uymakta zorlanıyordu.

Yeni değişikliklerle birlikte artık özel nitelikli kişisel veriler işlenirken, hukuki işleme sebepleri arasındaki hiyerarşi kaldırıldı. Yani açık rıza almak ile yeni getirilen “hukuki işleme sebepleri” arasında bir fark yok artık. Örneğin, artık kanunda açıkça öngörülürse, alenileştirme varsa, bir hakkın tesisi, kullanılması veya korunması için veri işleme zorunluysa, özel nitelikli kişisel veriler açık rıza olmadan işleniyor. Tüm değişiklikleri buraya sığdırmak zor olacağından, ilgili kısımları mevzuat içeriğinden okuyabilirsiniz.

Bazı önemli detaylar var. Örneğin, bu genişlemelere güvenerek, hukuka aykırı ifşa sonucunda aleni gelen kişisel verileri işlemeyin. Zira bu husus, alenileştirme kıstasına karşılık gelmemektedir. Ancak örneğin, eski çalışan sağlık bilgisinin artık işverence, dava açılma ihtimaline karşı kullanılması mümkün oldu diyebiliriz.

Açık rıza alınması yerine kanunda yer alan diğer hukuki işleme sebeplerinden birisinin varlığı halinde zaten açık rıza almaya gerek olmayan veri işlemelerinde, kurumun, söz konusu veri işleme yönteminde hukuka aykırılık tespit ettiğini, her bir veri işlemede hangi hukuki işleme sebebinin var olması gerektiğini tespit etme yükümlülüğünün işletmede olduğunu hatırlatalım. Yani, bunları tespit etmeden, her işte “imza alalım yeter” mantığı, kurumca hukuka aykırı bulunuyor ve cezaya tabi oluyor.