KVKK yine maddeler değişti ama bu sefer önemli: 6.Maddeyi inceleyelim

KVKK yine maddeler değişti ama bu sefer önemli: 6.Maddeyi inceleyelim

KVKK yine maddeler değişti ama bu sefer önemli: 6.Maddeyi inceleyelim

Evet az çok Siber Güvenlik ve KVKK tarafında çalışmalar yaptığımız az buçuk sektörden biraz biraz biliniyorumdur. KVKK en başından beri olması gerektiğini düşünenlerden biriyim. Ancak bu yasanın çıkması ile birlikte, klasik olarak ülkemizin şirketlerinin bu işi ciddiye almadığını hatta hükümetin çıkarttığı kanunla ilgili üzerine düşüp doğru denetleme ekiplerinin olmadığı ve yetersiz olduğunu sürekli söylüyorum. Sanırım artık son dönemlerde biraz tedirginlik olmaya başladı ki: "Herşeyi biz biliyoruz, siz ne anlarsınız" düşüncesi yerine "ya bu arkadaşlar bu işleri biliyor, işi bilenleri dinleyip ona göre revize mi etsek?" gibi düşüncelerin gelmeye başladığı bir döneme girdiğimizi görüyorum. Bu da özellikle 6.Maddesi'nin Mart 2024 tarihinde değişiklik duyurusu gelmesi ile başlamış oldu. Şu uyarıyı vermekte fayda olacağını düşünüyorum. Mart 2024 tarihinde çıkan bu revizyonun 1 Hazirana kadar tüm şirketlerde Veri Envanteri, Aydınlatma Açık Rıza Metinleri ve Politika'da değişikliklerin yapılması gerekmektedir. Yani anlayacağınız tekrar danışmanlık almanız gerekiyor :)

Peki gelelim neler değiştiğine birlikte bakalım:

  1. 6. Madde "a" bendini incelediğimizde " Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi için ilgili kişinin açık rızası olması gerektirmektedir. İlgili kişinin açık rızası olması durumunda, diğer veri işleme şartlarından birine gerek duyulmadan Özel Nitelikli Kişisel Veri işlenebilmektedir. Ancak açık rıza yönetmeliğine uygun olarak açık rıza alınmalıdır.

    Bunun için de;

    • Belirli bir konuya ilişkin olması
    • Rızanın bilgilendirmeye dayanması
    • Özgür iradeyle açıklanması gerekmektedir.

  2. 6. Maddenin "b" bendini incelediğimizde "Kanunlarda açıkça öngörülmesi" olarak düzenlenmiştir. Yani Kanunlarda yer alan durumlar için Özel Nitelikli Kişisel Veriler için açık rıza alınmaya gerek yoktur.
  3. 6. Maddenin "c" bendini incelediğimizde "Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması" olarak düzenlenmiştir. Yani; sadece kişinin rızasını açıklayacağı ancak hayatının ve beden bütünlüğünün korunması sağlanması için verinin işlenmesi gerekli olduğu durumlar için geçerlidir. Örneğin kişinin hayati bir tehlikesi var ve bu sebeple kişi hakkında bildiğimiz sağlık verilerinin başka bir kişiye o kişinin sağlığını korumak amacıyla iletilmesi durumu. Ancak bu suistimal edilmeden sadece gerekli durumlarda kullanılmalıdır.

  4. 6. Maddenin "ç"bendini incelediğimizde "İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması" olarak düzenlenmiştir. Burada bahsedilen konu; Alenileştirilmiş Özel Nitelikli Kişisel verilerin açık rıza olmaksızın işlenebileceğinden bahsetmiştir. Örneğin bir kişinin kan grubunun yayınlanıp kan ihtiyacı olanların kendisine ulaşmasını söylemesi bir alenileştirmedir. Burada alenileştirmenin amacı net bir şekilde belirtilmiştir. Ancak sadece bu neden ile bu veri işlenebilir. Başka bir neden ile bu veri işlenemez.

    Ancak, kişisel verinin aleni kabul edilebilmesi için ait olduğu kişinin aleni olmasını istemesi gerekir. Başka bir ifade ile, alenileştirmenin gerçekleştirilebilmesi için, alenileştirme iradesinin varlığı gerekir. Yoksa bir kişinin kişisel verisinin herkesin görebileceği bir yerde olması aleni olmasını sağlamaz. Ayrıca, alenileştirme durumunda kişisel verinin amacı dışında da kullanılmaması gerekmektedir. Örneğin, ikinci el araç satışı yapan internet sitelerinde aracını satmak isteyen ilgili kişinin iletişim bilgilerinin pazarlama amacıyla kullanılması mümkün değildir.

  5. 6. Maddenin "d" bendinde; "Bir hakkın tesisi, kullanılması vegya korunması için zorunlu olması" şeklinde revize edilmiştir. Yani Özel Nitelikli Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması için zorunlu sebeplerde açık rızaya gerek olmadığı söylenmektedir.
    Örneğin; Sağlık sigortası yapan bir firmanın sizi daha önceki sağlık kayıtlarına erişmesi bu hakkın tesis edilmesi için zorunlu bir durumdur veya yasal olarak açılan bir davada ispat için bazı verileri kullanması veya sonrası için saklanması bu durumlara örnektir.

  6. 6. Maddenin "e" bendinde; "Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması" şeklinde revize edilmiştir. Sır saklama yükümlülüğü bulunan kişilerin özel nitelikli kişisel verileri açık rızaya gerek olmadan işleyeceklerine hükmetmektedir.

  7. 6. Maddenin "f" bendinde; "İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması" olarak revize edilmiştir. Burada bahsedilen konu ise; daha önceki kanunda, İnsan Kaynakları veya İş Sağlığı güvenliği uzmanlarının çalışanları veya alt işverenleri çalışanların sağlık verilerini işlemeleri için yasal olarak açık rıza almaları gerekmekteydi. Ancak, değişen kanun maddesi ile bu kişilerin istihdamı, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal güvenlik, sosyal hizmetler ve sosyal yardım amacıyla açık rıza alınmadan bu veriyi işlemelerine izin verilmiştir. Bu madde ile İnsan Kaynakları ve İş Sağlığı Güvenliği uzmanları çalışanların sağlık dosyalarını açık rıza almaksızın saklayabilecek.

  8. 6. Maddenin "g" bendinde; "Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş yada oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması" olarak revize edilmiştir. Yani; Dernekler, Vakıflar ve STK'lar mevzuatlarına bağlı kalarak üyelerine ait dernek, vakıf, sendika üyeliği verilerini açık rıza almaksınız işleyebilecekler.

Sonuç ise; Özel Nitelikli Kişisel verilerle ilgili olarak değişiklikler çok ciddi önem arz etmesi ile birlikte, daha önce danışmanlık almış olan şirketlerin bile, şu anda yeniden danışmanlık alıp güncel revize yasaya göre politika-prosedürlerini, sözleşmelerini yeniden düzenlemeleri gerekmektedir. Güveneceğiniz danışman yok mu, elbette var her zaman ulaşabilirsiniz :)

Umarım dilim döndüğünce faydam olmuştur.

Regülasyonlara uyumlu bol denetlemeli günleriniz olsun :)

Sevgiler.

 

kvkk özel nitelik kişisel veri data açıkrıza aydınlatma metin siberguvenlik cybersecurity aleni sağlık
ÖNCEKİ
SONRAKİ
TALEP FORMU
Burak
Akmeşe
Markanızı Düşünen Çözümler

Burak Akmeşe
Bana ulaşın.
Bana ulaşın.

Lütfen Site Dili Seçiniz

Türkçe English