Kişisel Verilerin Korunması Kanunu "KVKK" ve Genel Veri Koruma Yönetmeliği "GDPR" Üzerine Karşılaştırma
Hazırlayanlar: Ali Güden, Doğa Girinti
Teknolojinin hayatımızda gün geçtikçe daha çok ve daha merkezi bir yer edinmesinin bir sonucu olarak, özel hayatın gizliliği ve kişisel temel ve hak özgürlüklerin korunması gibi konulara daha da çok dikkat ve özen gösterilmesi gerekmektedir. Artık neredeyse tüm bilgilerimizin dijital platformda başkalarıyla paylaşarak işlerimizi ve gündelik hayatımızı yürüttüğümüz günümüz dünyasında, bize ait hangi bilgilerin nerede, kimler tarafından ve ne amaçla kullanıldığını bilmek ve buna dair karar vermek de temel hak ve özgürlüklerimiz arasında yer almaktadır.
Aynı zamanda veri toplama, işleme ve saklama teknolojisinde meydana gelen hızlı gelişmeler, kişisel verilerin gizliliğini koruma amacıyla bir yasal düzenleme yaratmaya ve tüm veri operasyonu yapan tüm kişilerin bu düzenleme ile denetime tabii tutmaya itmiştir.
Kişisel Verilerin Korunması Kanunu ("KVKK") ve Genel Veri Koruma Yönetmeliği ("GDPR") de bu noktada devreye giren, kişinin mahremiyet hakkı ve bilgi güvenliği hakkının korunmasını gözeten bir düzenlemelerdir. Buna ek olarak, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşasının veya amaç dışı ya da kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.
KVKK ve GDPR temellerinde aynı amaçlara hizmet eden yasal düzenlemeler olsalar da, farklı hukuk sistemlerinde doğmuş ve farklı genişlik ve darlıklarda hükümler barındırmaktadırlar. Bu makale, KVKK ve GDPR arasındaki en temel ve dikkat edilmesi gereken farklılıkları incelemek ve KVKK'ya ve/veya GDPR'a tabii olabilecek gerçek veya tüzel kişilere ışık tutmak amacıyla tasarlanmıştır.
1. KVKK ve GDPR Düzenlemelerine Genel Bakış ve Temel Esaslar
KVKK ve GDPR arasındaki benzerlik ve farklılıkları incelerken, öncelikle ikisinin de ne amaçla düzenlendikleri, kapsamları ve tabii oldukları hukuk sistemleri anlaşılmalıdır.
6698 sayılı KVKK 7 Nisan 2016 tarihinde Resmî Gazete'de yayınlanarak yürürlüğe girmiş olup, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel veri toplayan, işleyen ve saklayan gerçek ve tüzel kişilerin uyması gereken kuralları düzenlemektedir. Kanun, gerçek ve tüzel kişilere kişisel veri işlerken uymaları gereken usul ve esasları ortaya koyarken, bu kurallara uymama sonucu ortaya çıkabilecek yükümlülüklerini de düzenlemektedir.
25 Mayıs 2018 tarihinde yürürlüğe giren GDPR ise, Avrupa Birliği'nde ikamet eden kişilerin, KVKK ile paralel olarak, veri güvenliğini sağlamayı amaçlamaktadır. GDPR öncesi döneminde kişisel verilerin güvenliği konusunda, 1995 yılında ortaya çıkan 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi temel düzenleme olarak uygulanmaktaydı. KVKK açısından bakıldığında da bu Direktifin büyük ölçüde esas olarak alındığı görünmektedir.
Uluslararası düzeyde aynı zamanda Ekonomik Kalkınma ve İşbirliği Örgütü (OECD)'nin Özel Yaşamın Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeleri (1980) de bulunmaktadır.
Aynı zamanda veri toplama, işleme ve saklama teknolojisinde meydana gelen hızlı gelişmeler, kişisel verilerin gizliliğini koruma amacıyla bir yasal düzenleme yaratmaya ve tüm veri operasyonu yapan tüm kişilerin bu düzenleme ile denetime tabii tutmaya itmiştir.
Kişisel Verilerin Korunması Kanunu ("KVKK") ve Genel Veri Koruma Yönetmeliği ("GDPR") de bu noktada devreye giren, kişinin mahremiyet hakkı ve bilgi güvenliği hakkının korunmasını gözeten bir düzenlemelerdir. Buna ek olarak, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşasının veya amaç dışı ya da kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.
KVKK ve GDPR temellerinde aynı amaçlara hizmet eden yasal düzenlemeler olsalar da, farklı hukuk sistemlerinde doğmuş ve farklı genişlik ve darlıklarda hükümler barındırmaktadırlar. Bu makale, KVKK ve GDPR arasındaki en temel ve dikkat edilmesi gereken farklılıkları incelemek ve KVKK'ya ve/veya GDPR'a tabii olabilecek gerçek veya tüzel kişilere ışık tutmak amacıyla tasarlanmıştır.
1. KVKK ve GDPR Düzenlemelerine Genel Bakış ve Temel Esaslar
KVKK ve GDPR arasındaki benzerlik ve farklılıkları incelerken, öncelikle ikisinin de ne amaçla düzenlendikleri, kapsamları ve tabii oldukları hukuk sistemleri anlaşılmalıdır.
6698 sayılı KVKK 7 Nisan 2016 tarihinde Resmî Gazete'de yayınlanarak yürürlüğe girmiş olup, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel veri toplayan, işleyen ve saklayan gerçek ve tüzel kişilerin uyması gereken kuralları düzenlemektedir. Kanun, gerçek ve tüzel kişilere kişisel veri işlerken uymaları gereken usul ve esasları ortaya koyarken, bu kurallara uymama sonucu ortaya çıkabilecek yükümlülüklerini de düzenlemektedir.
25 Mayıs 2018 tarihinde yürürlüğe giren GDPR ise, Avrupa Birliği'nde ikamet eden kişilerin, KVKK ile paralel olarak, veri güvenliğini sağlamayı amaçlamaktadır. GDPR öncesi döneminde kişisel verilerin güvenliği konusunda, 1995 yılında ortaya çıkan 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi temel düzenleme olarak uygulanmaktaydı. KVKK açısından bakıldığında da bu Direktifin büyük ölçüde esas olarak alındığı görünmektedir.
Uluslararası düzeyde aynı zamanda Ekonomik Kalkınma ve İşbirliği Örgütü (OECD)'nin Özel Yaşamın Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeleri (1980) de bulunmaktadır.
2. Uygulama Alanları
KVKK kapsamı Türkiye'de kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsaması nedeniyle, kişisel veri operasyonlarını Türkiye'de yürüten tüm gerçek ve tüzel kişilerin, uyumsuzluk hallerinden ve bunların kanuni sonucu olan yaptırımlardan kaçınmak için uyumluluk süreci hakkında danışmanlık almalarını önemle tavsiye ediyoruz.
GDPR kapsamı açısından ise daha geniş bir yetki alanı söz konusudur. GDPR, Avrupa Birliği sınırları içerisinde yaşayan herhangi birinin kişisel verilerini toplayan, işleyen ve saklayan tüm şirketler için, şirketin nerede bulduğu fark etmeksizin kişisel verilerin paylaşımını ve kullanımını da kapsamak üzere her türlü kişisel veri operasyonunu düzenlenmektedir. Buradan yola çıkarak GDPR'ın, KVKK'nın uygulama alanından farklı olarak, yalnızca doğduğu ülkede (Avrupa Birliği) veri işleyen kişilere değil, aynı zamanda Avrupa Birliği'nde ikamet eden kişilerin verilerini işleyen tüm gerçek ve tüzel kişilere sorumluluk yüklediği söylenebilir.
Bu bakımdan da bir işletme veri işlemesini Avrupa Birliği dışında yapıyor ise dahi, Avrupa Birliği'nde ikamet eden kişilerin verilerini işliyorsa, GDPR ile uyumlu hareket etmekle yükümlüdür. Dolayısıyla, Türkiye'de yerleşik bir gerçek kişinin veya tüzel kişinin veri operasyonları yürütmesi söz konusu olduğunda, Avrupa Birliği'nde ikamet eden kişilerin kişisel verilerini işlediği sürece yalnızca KVKK ile uyum içerisinde olması yetmeyip, aynı zamanda GDPR ile de uyumluluk göstermesi gerekmektedir.
3. KVKK ve GDPR Kuralları Arasındaki Önemli Farklar
İki düzenleme arasındaki en önemli farklardan biri uygulama alanlarında gözükmektedir. GDPR'a, KVKK ile karşılaştırıldığında daha geniş bir yetki alanı sağlandığı için, Avrupa Birliği sınırlarında yaşayan herhangi birinin kişisel verilerini işleyen tüm şirketler için kendi konumları fark etmeksizin GDPR uyumluluğu ile yükümlülerdir.
Bunun yanı sıra, KVKK'da veri sorumlusu kişisel verilerin işlenmesi, silinmesi ve toplanması süreçlerinde Kişisel Veri Kurumu ("KVK") Kuruluna karşı sorumlu tutulurken, GDPR'da veri sorumlusu yerine, hesap verebilirlik ilkesi doğrultusunda "veri kontrolörü" kavramı getirilmiştir. GDPR kapsamında veri kontrolörü, tüm temel prensiplerden sorumlu tutulmaktadır. KVKK uyarınca veri sorumluları, Veri Sorumluları Sicil Bilgi Sistemi ("VERBİS")'ne kayıt olmakla yükümlüler iken, GDPR da böyle bir kayıt bilgi sisteminden bahsedilmemektedir.
Bir diğer kritik fark ise cezai sorumluluk başlığı altında ortaya çıkmaktadır. KVKK kapsamında öngörülen ceza yükümlülüklerinin üst limiti 1.000.000 TL olarak belirlenmekte iken, GDPR kapsamında ise cezai yaptırım yıllık küresel cironun %4'üne veya 20.000.000 Euro olarak belirlenmiştir ve hangisi daha yüksek ise o miktar cezai yaptırım olarak uygulanacaktır. Şüphesiz, GDPR hükümlerine tabii tüm şirketlerin böyle büyük cezai yaptırımlardan kaçınmaları için GDPR ile uyumluluk sağlamalarının önemi bu hükümle bir kez daha göz önüne konmuştur.
4. Sonuç
KVKK ve GDPR arasında büyük ölçüde benzerlik görüldüğü isabetli bir görüş olacaktır, fakat GDPR'ın ortaya koyduğu yüksek cezai yaptırımlar gibi bazı kritik farklar da bu düzenlemelere tabii olan tüm kişiler için önem taşımaktadır. Bu noktada KVKK, GDPR veya ikisi için de detaylı bilgi ve uyumluluk çalışması danışmanlık hizmeti için aşağıdaki bilgiler vasıtasıyla bizimle iletişime geçebilirsiniz.
KVKK kapsamı Türkiye'de kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsaması nedeniyle, kişisel veri operasyonlarını Türkiye'de yürüten tüm gerçek ve tüzel kişilerin, uyumsuzluk hallerinden ve bunların kanuni sonucu olan yaptırımlardan kaçınmak için uyumluluk süreci hakkında danışmanlık almalarını önemle tavsiye ediyoruz.
GDPR kapsamı açısından ise daha geniş bir yetki alanı söz konusudur. GDPR, Avrupa Birliği sınırları içerisinde yaşayan herhangi birinin kişisel verilerini toplayan, işleyen ve saklayan tüm şirketler için, şirketin nerede bulduğu fark etmeksizin kişisel verilerin paylaşımını ve kullanımını da kapsamak üzere her türlü kişisel veri operasyonunu düzenlenmektedir. Buradan yola çıkarak GDPR'ın, KVKK'nın uygulama alanından farklı olarak, yalnızca doğduğu ülkede (Avrupa Birliği) veri işleyen kişilere değil, aynı zamanda Avrupa Birliği'nde ikamet eden kişilerin verilerini işleyen tüm gerçek ve tüzel kişilere sorumluluk yüklediği söylenebilir.
Bu bakımdan da bir işletme veri işlemesini Avrupa Birliği dışında yapıyor ise dahi, Avrupa Birliği'nde ikamet eden kişilerin verilerini işliyorsa, GDPR ile uyumlu hareket etmekle yükümlüdür. Dolayısıyla, Türkiye'de yerleşik bir gerçek kişinin veya tüzel kişinin veri operasyonları yürütmesi söz konusu olduğunda, Avrupa Birliği'nde ikamet eden kişilerin kişisel verilerini işlediği sürece yalnızca KVKK ile uyum içerisinde olması yetmeyip, aynı zamanda GDPR ile de uyumluluk göstermesi gerekmektedir.
3. KVKK ve GDPR Kuralları Arasındaki Önemli Farklar
İki düzenleme arasındaki en önemli farklardan biri uygulama alanlarında gözükmektedir. GDPR'a, KVKK ile karşılaştırıldığında daha geniş bir yetki alanı sağlandığı için, Avrupa Birliği sınırlarında yaşayan herhangi birinin kişisel verilerini işleyen tüm şirketler için kendi konumları fark etmeksizin GDPR uyumluluğu ile yükümlülerdir.
Bunun yanı sıra, KVKK'da veri sorumlusu kişisel verilerin işlenmesi, silinmesi ve toplanması süreçlerinde Kişisel Veri Kurumu ("KVK") Kuruluna karşı sorumlu tutulurken, GDPR'da veri sorumlusu yerine, hesap verebilirlik ilkesi doğrultusunda "veri kontrolörü" kavramı getirilmiştir. GDPR kapsamında veri kontrolörü, tüm temel prensiplerden sorumlu tutulmaktadır. KVKK uyarınca veri sorumluları, Veri Sorumluları Sicil Bilgi Sistemi ("VERBİS")'ne kayıt olmakla yükümlüler iken, GDPR da böyle bir kayıt bilgi sisteminden bahsedilmemektedir.
Bir diğer kritik fark ise cezai sorumluluk başlığı altında ortaya çıkmaktadır. KVKK kapsamında öngörülen ceza yükümlülüklerinin üst limiti 1.000.000 TL olarak belirlenmekte iken, GDPR kapsamında ise cezai yaptırım yıllık küresel cironun %4'üne veya 20.000.000 Euro olarak belirlenmiştir ve hangisi daha yüksek ise o miktar cezai yaptırım olarak uygulanacaktır. Şüphesiz, GDPR hükümlerine tabii tüm şirketlerin böyle büyük cezai yaptırımlardan kaçınmaları için GDPR ile uyumluluk sağlamalarının önemi bu hükümle bir kez daha göz önüne konmuştur.
4. Sonuç
KVKK ve GDPR arasında büyük ölçüde benzerlik görüldüğü isabetli bir görüş olacaktır, fakat GDPR'ın ortaya koyduğu yüksek cezai yaptırımlar gibi bazı kritik farklar da bu düzenlemelere tabii olan tüm kişiler için önem taşımaktadır. Bu noktada KVKK, GDPR veya ikisi için de detaylı bilgi ve uyumluluk çalışması danışmanlık hizmeti için aşağıdaki bilgiler vasıtasıyla bizimle iletişime geçebilirsiniz.
LONDRA
5 Chancery Lane WC2A 1LG
T:+4402074067504
ISTANBUL
Barbaros Mah, Varyap Meridian C Blok
D: 172 Ardıç Sok. 34746, Atasehir
T:+902165101260
info@guden.av.tr
5 Chancery Lane WC2A 1LG
T:+4402074067504
ISTANBUL
Barbaros Mah, Varyap Meridian C Blok
D: 172 Ardıç Sok. 34746, Atasehir
T:+902165101260
info@guden.av.tr