KVKK (Kişisel Verilerin Korunması Kanunu) ve GDPR (General Data Protection Regulation – Genel Veri Koruma Tüzüğü), kişisel verilerin işlenmesini düzenleyen iki temel yasal düzenlemedir. Biri Türkiye’de (KVKK), diğeri Avrupa Birliği’nde (GDPR) uygulanır. Aşağıda kısa ve net bir şekilde tanımları ve benzer yönleri verilmiştir:
KVKK Nedir?
6698 Sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016’da Türkiye’de yürürlüğe girmiştir. Amaç, kişisel verilerin işlenmesinde özel hayatın gizliliğini korumak ve kişilerin temel hak ve özgürlüklerini güvence altına almaktır.
GDPR Nedir?
Genel Veri Koruma Tüzüğü (EU 2016/679), 25 Mayıs 2018’de Avrupa Birliği genelinde yürürlüğe girmiştir. Kapsamı geniştir ve AB vatandaşlarının verilerini işleyen tüm kurumları, AB içinde olup olmamasına bakmaksızın bağlar.
KVKK ve GDPR Arasındaki Benzerlikler ve Türk Hukukuna Yansımaları
Kişisel verilerin korunması, dijital çağda bireylerin mahremiyetinin korunması açısından kritik bir hukuki alan haline gelmiştir. Türkiye’de 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Avrupa Birliği’nin 2018 yılında uygulamaya aldığı Genel Veri Koruma Tüzüğü’nden (GDPR) ciddi ölçüde esinlenmiştir. Her iki düzenleme de kişisel verilerin işlenmesine dair temel prensipleri ortaya koymakta ve birey haklarını güvence altına almayı amaçlamaktadır.
İlk olarak, her iki mevzuatta da kişisel veri işleme faaliyetleri için açık rıza temel şartlardan biridir. Veri işleyen kişi veya kurum, veriyi hangi amaçla, ne kadar süreyle işleyeceğini açıkça belirtmeli ve veri sahibinden bu işleme için açık rıza almalıdır. Bu rıza, belirli, bilgilendirilmiş ve özgür iradeye dayalı olmalıdır. KVKK, bu anlamda GDPR ile paralel bir yapı sunar.
İkinci olarak, veri sahiplerinin hakları bakımından da büyük ölçüde benzerlik söz konusudur. KVKK, kişilere; kendileri hakkında hangi verilerin işlendiğini öğrenme, eksik veya yanlış verilerin düzeltilmesini isteme, verilerin silinmesini veya yok edilmesini talep etme gibi bir dizi hak tanımaktadır. GDPR de aynı şekilde erişim, düzeltme, unutulma hakkı, veri taşınabilirliği gibi haklar öngörmektedir.
Üçüncü olarak, hem GDPR hem de KVKK aydınlatma yükümlülüğü getirmektedir. Veri sorumluları, verilerin hangi amaçla işlendiği, kimlere aktarılabileceği, hangi yöntemle toplandığı gibi konularda veri sahibini bilgilendirmek zorundadır. Bu yükümlülük, şeffaflık ilkesinin bir yansımasıdır ve veri sahibinin bilinçli karar verebilmesini sağlar.
Son dönemde Türk hukukunda, GDPR’den esinlenen önemli bir gelişme, veri ihlali bildirim zorunluluğu konusunda yaşanmıştır. GDPR kapsamında veri sorumluları, ciddi bir veri ihlali yaşandığında bunu en geç 72 saat içinde denetleyici kuruma bildirmek zorundadır. Benzer bir düzenleme, Kişisel Verileri Koruma Kurulu’nun güncel rehberleriyle Türk hukukunda da uygulamaya girmiştir. Kurul, veri ihlallerinin “en kısa sürede” bildirilmesini beklemekte, bazı durumlarda bildirim süresi için somut örnekler ve değerlendirme kriterleri sunmaktadır.
Buna ek olarak, veri sorumluları siciline kayıt (VERBİS) zorunluluğu da GDPR’deki kayıt tutma yükümlülüğüne benzer bir işlev görmektedir. Veri sorumluları, işledikleri verileri, hangi amaçla işlediklerini ve alınan güvenlik önlemlerini bildirmekle yükümlüdür.
Sonuç olarak, KVKK ve GDPR, bireylerin kişisel verilerinin korunmasına ilişkin temel prensipleri büyük ölçüde paylaşmaktadır. Türkiye, GDPR standartlarını yakalama yönünde mevzuatını ve uygulama araçlarını sürekli olarak güncellemekte ve Avrupa Birliği normlarına yaklaşmaktadır. Özellikle son dönemde artan veri ihlalleri karşısında Kişisel Verileri Koruma Kurumu’nun daha etkin hale gelmesi, GDPR’deki uygulamaların Türk hukukuna fiilen de entegre edilmeye başlandığını göstermektedir.
Temel Farklar
Cezalar: GDPR’de ihlaller için cezalar çok daha yüksektir (yıllık cironun %4’üne kadar).
Yurtdışı Veri Aktarımı: GDPR bu konuda daha ayrıntılı ve katı kurallar koyar.
Veri Koruma Görevlisi (DPO): GDPR birçok durumda DPO atamayı zorunlu kılar, KVKK’da bu zorunlu değildir (ancak önerilir).
KVKK ve GDPR Arasındaki Benzerlikler
- Açık Rıza İlkesi
Hem KVKK hem de GDPR, kişisel verilerin işlenebilmesi için veri sahibinin açık rızasını şart koşar. Bu rıza, özgür irade, bilgilendirilme ve belirli olma unsurlarını taşımak zorundadır. - Veri Sahibinin Hakları
Her iki düzenleme de veri sahiplerine; erişim, düzeltme, silme (unutulma hakkı), itiraz etme ve veri taşınabilirliği gibi haklar tanır. Bu haklar, veri sahiplerinin kişisel verileri üzerindeki kontrolünü artırır. - Veri Güvenliği ve İhlal Bildirimi
KVKK ve GDPR, veri sorumlularını kişisel verilerin güvenliğini sağlamakla yükümlü kılar. Ayrıca, veri ihlali durumunda en kısa sürede ilgili denetleyici kuruma bildirimde bulunulması gerekmektedir. - Veri Sorumlusu ve Veri İşleyen Tanımları
Her iki düzenleme de “veri sorumlusu” ve “veri işleyen” kavramlarını tanımlar ve bu tarafların yükümlülüklerini belirler. Bu sayede veri işleme süreçleri daha şeffaf hale gelir. - Denetim ve Yaptırımlar
KVKK ve GDPR, kişisel verilerin korunmasına yönelik denetim mekanizmaları kurar ve ihlaller durumunda idari para cezaları gibi yaptırımlar öngörür.
Türk Hukukunda GDPR’den Esinlenerek Uygulamaya Giren Yönler
- Veri İhlali Bildirim Yükümlülüğü
Türk Kişisel Verileri Koruma Kurulu, GDPR’deki veri ihlali bildirim yükümlülüğünü benimsemiş ve veri sorumlularının ihlali öğrendikleri tarihten itibaren en geç 72 saat içinde Kurula bildirimde bulunmalarını istemektedir. Örneğin, Cathay Pacific Airways’e ait bir olayda, veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi ve ihlalin kanunda belirtilen en kısa sürede Kurula bildirilmemesi nedeniyle toplam 550.000 TL idari para cezası uygulanmıştır.
bvthukuk.com - Veri Sorumluları Sicili (VERBİS)
GDPR’deki kayıt tutma yükümlülüğü, Türkiye’de de VERBİS aracılığıyla uygulanmaktadır. Veri sorumluları, işledikleri kişisel veriler hakkında detaylı bilgileri VERBİS’e kaydetmekle yükümlüdür. - Veri Güvenliği ve Teknik Önlemler
KVKK, veri sorumlularını kişisel verilerin güvenliğini sağlamak için gerekli teknik ve idari önlemleri almaya zorunlu kılar. Bu, GDPR’deki “privacy by design” ve “privacy by default” ilkelerine paraleldir.
dlattorneysatlaw.com - Veri Sorumlusu ve Veri İşleyen Sözleşmeleri
KVKK, veri sorumlusu ile veri işleyen arasındaki ilişkileri düzenleyen sözleşmelerin yapılmasını zorunlu kılar. Bu, GDPR’deki veri işleme sözleşmesi yükümlülüğü ile örtüşmektedir. Örnek Kararlar ve Resmi Açıklamalar
İrlanda Veri Koruma Otoritesi – TikTok Kararı
İrlanda Veri Koruma Otoritesi, TikTok’un çocuk kullanıcıların kişisel verilerini işleme şekli nedeniyle GDPR’yi ihlal ettiğine karar vermiştir. Bu ihlaller, varsayılan olarak herkese açık ayarlar ve yaş doğrulama eksiklikleriyle ilgilidir. Sonuç olarak, TikTok’a 345 milyon euro para cezası uygulanmıştır.
Belçika Veri Koruma Otoritesi – Mağaza Uygulaması Kararı
Belçika’da bir mağaza, müşterilerinin sadakat kartı alabilmesi için elektronik kimlik kartlarını okutmalarını zorunlu kılmıştır. Müşterilerden biri, toplanan verilerin aşırı olduğunu belirterek uygulamayı reddetmiştir. Veri Koruma Otoritesi, mağazanın veri minimizasyonu ilkesine aykırı davrandığını belirleyerek 10.000 euro para cezası vermiştir.
Meta – 1.2 Milyar Euro Ceza
İrlanda Veri Koruma Otoritesi, Meta’nın Avrupa’dan ABD’ye kişisel veri aktarımında GDPR’yi ihlal ettiğini belirlemiş ve 1.2 milyar euro para cezası uygulamıştır. Bu karar, GDPR’nin veri aktarımı ve veri güvenliği ilkelerinin ihlali nedeniyle verilmiştir.
Sonuç olarak, KVKK ve GDPR arasındaki benzerlikler, kişisel verilerin korunmasına yönelik evrensel bir yaklaşımın benimsenmesini sağlamaktadır. Türk hukuku, GDPR’den esinlenerek kişisel verilerin korunmasına dair güçlü bir mevzuat altyapısı oluşturmuş ve uygulamada etkinliğini artırmıştır. Bu gelişmeler, bireylerin mahremiyet haklarının korunması açısından önemli bir adım teşkil etmektedir.