Bu yazı ilk kez, İngilizce dilinde, Uluslararası Mahremiyet Uzmanları Birliği’nin (IAPP) “2020 Global Legislative Predictions” başlıklı beyaz kitabında yayınlanmıştır.
2019 yılı Türkiye’de veri koruma açısından çok verimli geçmiş ve farkındalığın arttığı bir yıl olmuştu (detaylar için bkz. “2019’da Türkiye’de KVK”). Kişisel Verileri Koruma Kurulu, bir yandan geçtiğimiz yıl yayınladığı dokuz kararla veri denetleyicilerine rehberlik ederken, öte yandan birel işlem mahiyetindeki yirmi sekiz kararıyla telekomünikasyondan sağlığa kadar geniş yelpazede farkındalığın artmasını sağladı. Özel sektörü harekete geçirmeye iten bu kararlar, kamu sektöründe ise henüz istenen uyum seviyesine ulaştırmaya yetmedi.
AB ile vize serbestleştirme sürecinin gereklerini yerine getirmek için, 2020’de Türkiye’de açık rıza kuralının istisnalarını sınırlayan mevzuat yapım sürecine başlaması öngörülmektedir. Ayrıca Adalet Bakanlığı tarafından hazırlanacak olan İnsan Hakları Eylem Planı kapsamında kişisel verilerin korunmasına ilişkin düzenlemeler yapılması beklenmektedir.
Anayasa Mahkemesi, 2019 yılı içinde, ilgili kanunda yer alan ve kamu görevine girişte aranan “güvenlik soruşturması ve arşiv araştırması yapılmış olmak” şartını iptal etmişti. Mahkeme, kararında bu kapsamdaki kişisel veri işleme faaliyetinin “güvenceler ve temel ilkeler kanunla belirlenmeksizin alınmasına ve kullanılmasına izin verilmesi”nin Anayasa’nın kişisel verilerin korunması hakkını da düzenleyen 20. maddesine aykırı olduğuna karar vermişti. Bu yıl, Meclis’in bu düzenlemeyi AYM’nin çizdiği sınırlar dahilinde, güvenceler ve temel ilkeleri belirlemek suretiyle yeniden tesis etmesi bekleniyor.
Türkiye, 2019 yılında yayımlanan 7192 sayılı kanunla, açık bankacılık hizmetleri konusunda PSD2’ye uyum sağlayan ilk ülkelerden biri olmuştu. Bu kanun, açık bankacılık hizmetleri kapsamında paylaşılan kişisel verilerin usul ve esaslarını belirleme yetkisini Merkez Bankası’na bırakıyor. İlgili düzenlemelerin Merkez Bankası tarafından bu sene yapılması bekleniyor.
Geçtiğimiz sene içerisinde sicil kayıt tarihleri, Kurul kararıyla belirli sürelerle uzatılarak 2020’ye bırakılmıştı. Hem yurtiçindeki hem yurtdışındaki gerçek kişilerin ve özel hukuk tüzel kişilerinin bu sene içinde sicile kayıt yaptırması bekleniyor. 2020 yılının gündemindeki önemli bir diğer madde ise kişisel verilerin yurtdışına aktarılması faaliyetleri. 2020 yılında KVK Kurulu’nun yurtdışına aktarım kapsamında güvenli ülkeler listesini de yayınlaması bekleniyor. Bunlar dışında, KVK Kurulu’nun şirketlere yardımcı olmak ve vatandaşlara daha iyi koruma sağlamak için daha fazla ilke karar yayınlaması da beklentiler arasında. Özetle Türkiye için veri koruma adına daha verimli bir yıl bekliyoruz.
2020 Legal Predictions / Turkey
In 2019, the DPA guided data controllers with nine resolutions and provided enlightenment with twenty-eight individual acts which made in a wide range of sectors from the telecommunications to the health. These decisions have pushed the private sector to take action, but the public sector has not yet reached the desired level of compliance.
In order to fulfil the requirements of the visa liberalisation process with the EU, it is predicted to launch the legislation process of limiting the exceptions of the rule of explicit consent in 2020. Moreover, it is envisaged to make arrangements for the protection of personal data with the Human Rights Action Plan to be prepared by the Ministry of Justice.
In 2019, the Constitutional Court annulled the provision that requires “to have security clearance and archive research check” in entering public office because of not complying with Article 20 of the Constitution, which also regulates the right to protection of personal data. One of 2020’s agenda of the legislative organ is to re-enact this provision by determining safeguards and fundamental principles of processing of personal data.
Turkey had become one of the first countries in adapting to PSD2 with Law No. 7192, which was published in 2019. The law authorises the Central Bank to determine the principles and procedures of personal data sharing within the scope of open banking services. 2020 will be the year of exercising this power.
According to the recent DPA decision about the extension periods for registration to Data Controllers’ Registry, data controllers both at country and abroad are anticipated to enrol in the Registry this year. In 2020, the DPA is expected to publish safe country list as part of the transfer of personal data abroad. Apart from this regulation, the DPA will certainly publish more guidelines to help companies and offer better protection to citizens.