İçindekiler
KVKK ve GDPR arasındaki farklar, iki düzenlemenin de kişisel verilerin korunması konusundaki güncel ve uygulanmakta olan yasal metinler olması nedeniyle önem taşımaktadır. Günden güne gelişen teknoloji nedeniyle kişilere ait gizli bilgi niteliğindeki kişisel verilerin ve dolayısıyla özel hayatın gizliliğinin korunması, temel hak ve özgürlüklerin korunması konularının üzerine düşmek ve daha fazla dikkat göstermek gerekliliği doğmuştur. İnternet kullanan her birey, kişisel bilgilerini dijital ortamlarda paylaşarak kişisel verilerinin ne şekilde paylaşılacağı ve nasıl işleneceği konusunda hak sahibi olmaktadır.
Dünyadaki her veri skandalı sonrasında Avrupa’da geçerli olan Genel Veri Koruma Yönetmeliği ile bizim ülkemizde geçerli olan Kişisel Verilerin Korunması Kanunu arasındaki benzerlikler ve farklılıklar ele alınır. Bu skandalların tesirleri birkaç ay sürdüğü için de GPDR nedir, KVKK nedir, KVKK ve GDPR arasındaki farklar nedir gibi benzer biçimde sorular merak konusu olmaktadır. Aslında her iki kavram da şahsi verileri koruma düzenlemelerinin kısaltmalarını kasteder ve bizler bilincinde olmasak bile kişisel verilerimizi işleyen şirketlere sıkı kurallar ve yaptırımlar getirirler. Elbette, her iki düzenleme de tam anlamıyla kişileri korumamaktadır.
Veri toplama, işleme ve gizleme teknolojisinde olup biten süratli gelişmeler, kişisel verilerin gizliliğini koruma amacıyla bir yasal düzenleme yaratmaya ve veri işleyen bütün kişilerin bu düzenleme ile denetimini sağlamaya itmiştir. Kişisel Verilerin Korunması Kanunu (“KVKK”) ve GDPR’de bu aşamada devreye giren, kişinin mahremiyet hakkı ve güvenlik hakkının korunmasını gözeten düzenlemelerdir. Buna ek olarak, şahsi verilerin süresiz şekilde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşasının ya da amaç dışı yahut kötüye kullanmasının, kişisel hakların ihlal edilmesinin önüne geçilmesi amaçlanmaktadır. KVKK ile GDPR arasındaki farklar makalemizde ele alınıp incelenecektir.
KVKK ve GDPR temellerinde aynı amaçlara hizmet eden yasal düzenlemeler olsalar da, değişik hukuk sistemlerinde farklılaşan hükümler barındırmaktadırlar. Bu makale, KVKK ile GDPR arasındaki farklar ile en temel ve dikkat edilmesi ihtiyaç duyulan farklılıkları incelemek ve KVKK’ya ya da GDPR’a dahil edilebilecek gerçek ya da tüzel kişilere bilgi vermek amacıyla tasarlanmıştır.
KVKK ve GDPR Düzenlemelerine Genel Bakış ve Temel Esaslar
KVKK ve GDPR arasındaki farklar ve ortak noktaları incelerken, en önce ikisinin de ne amaçla düzenlendikleri, kapsamları ve tabi tutuldukları hukuk sistemleri incelenmelidir. 6698 sayılı KVKK, 7 Nisan 2016 tarihinde Resmî Gazete’de yayınlanarak yürürlüğe girmiş olup, başta özel yaşamın gizliliği olmak suretiyle kişilerin temel hak ve özgürlüklerini korumak ve şahsi veri toplayan, işleyen ve saklayan gerçek ve tüzel kişilerin uyması gereken kuralları düzenlemektedir. Kanun, gerçek ve tüzel kişilere şahsi veri işlerken uymaları gereken usul ve esasları ortaya koyarken, bu kurallara uymama kararı ortaya çıkabilecek yükümlülüklerini de düzenlemektedir.
25 Mayıs 2018 tarihinde yürürlüğe giren Genel Veri Koruma Yönetmeliği ise, ikametgahı Avrupa Birliği’ne üye bir ülke sınırları içerisinde yaşayan kişilerin, Kişisel Verilerin Korunması Kanunu ile benzer olarak, veri güvenliğini sağlama amacı bulunmaktadır. GDPR öncesi dönemde şahsi verilerin güvenliği konusunda, Avrupa Konseyi tarafından yayınlanmış olan Direktif’in büyük seviyede GDPR ve KVKK’ya esas olarak alındığı görünmektedir.
Uluslararası düzeyde “Ekonomik Kalkınma ve İşbirliği Örgütü”nün Özel Yaşamın Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeleri (1980) de bulunmaktadır.
Uygulama Alanları Bakımından Farklar
KVKK kapsamı bizim ülkemizde kişisel veri işleyen bütün gerçek ve tüzel kişileri kapsaması nedeniyle, bu kişilerin, uyumsuzluk hallerinden ve bunların kanuni yansıması olan yaptırımlardan kaçınmak için uyumluluk periyodu ile alakalı danışmanlık alması tavsiyemizdir.
GDPR kapsamı açısından ise daha geniş bir yetki alanı öngörülmüştür. GDPR, Avrupa Birliği sınırları içinde yaşayan herhangi birinin şahsi verilerini toplayan, işleyen ve saklayan bütün firmalar için, firmanın nerede bulunmuş olduğu ayrımı olmadan şahsi verilerin paylaşımını ve kullanımını da kapsamak suretiyle her türlü kişisel veri operasyonu düzenlemektedir. Buradan yola çıkarak GDPR’ın, KVKK’nın tatbik alanından değişik olarak, yalnızca doğduğu ülkede (Avrupa Birliği) veri işleyen kişilere değil, aynı zamanda Avrupa Birliği’nde ikamet eden kişilerin verilerini işleyen bütün gerçek ve tüzel kişilere mesuliyet yüklediği söylenebilir. KVKK ve GDPR arasındaki farklar bununla baş göstermektedir.
Bu bakımdan da bir işletme, veri işlemesini Avrupa Birliği haricinde yapıyor olsa dahi, Avrupa Birliği’nde ikamet eden kişilerin verilerini işliyorsa, GDPR’ye uygun hareket etmekle yükümlüdür. Dolayısıyla, bizim ülkemizde yerleşik bir gerçek ya da tüzel kişinin veri operasyonları yürütmesi durumu mevzubahis olduğunda, Avrupa Birliği’nde ikamet eden kişilerin şahsi verilerini işlediği sürece yalnızca KVKK ile uyumu yeterli olmayıp, aynı zamanda GDPR ile de uyumlu olmalıdır.
Açılımı, General Data Protection Regulation olan Genel Veri Koruma Yönetmeliği’ni kısaca özetlemek gerekirse, tüm Avrupa Birliği üye devletleri bakımından 25 Mayıs 2018 tarihinde yürürlüğe girmiştir. Yönetmeliğin amacından bahsetmek gerekirse; özel olarak Avrupa Birliği bünyesindeki vatandaşların temel hak ve özgürlüklerini gözetmek suretiyle onların gizli bilgi ve kişisel verilerini korumaktır. Bu anlamda GDPR için bir Avrupa Birliği kanunu demek yanlış olmayacaktır.
KVKK ve GDPR Arasındaki Farklar
KVKK ve GDPR arasındaki farklar ele alındığında en mühim farklardan biri tatbik alanlarında meydana gelmektedir. GDPR’ye, KVKK ile karşılaştırıldığında daha geniş bir yetki alanı sağlandığı için, Avrupa Birliği sınırlarında yaşayan herhangi birinin şahsi verilerini işleyen bütün firmalar, kendi konumlarının Avrupa Birliği içerisinde olup olmamasını ayrım etmeksizin GDPR uyumluluğu ile yükümlülerdir.
Kişisel Verilerin Korunması Kanununda veri sorumlusu olanlar şahsi verilerin işlenmesi, yayılması ve toplanması gibi süreçlerde Kişisel Verileri Koruma Kurumuna karşı sorumlu tutulmuş olup, Genel Veri Koruma Yönetmeliği uyarınca hesap verilebilirlik ilkesine uygun olarak veri sorumlusu yerine “veri kontrol eden” terimi getirilmiştir. GDPR kapsamında veri kontrol eden, bütün temel prensiplerden sorumlu tutulmaktadır. KVKK uyarınca veri sorumluları, Veri Sorumluları Sicil Bilgi Sistemi “VERBİS” e kayıt olmakla yükümlüler iken, GDPR da bu şekilde bir kayıt ya da sicil sisteminden bahsedilmemektedir.
KVKK ve GDPR arasındaki farklar içindeki bir diğer sonuç ise ceza bakımından mesuliyet başlığı altında ortaya çıkmaktadır. KVKK kapsamında öngörülen ceza yükümlülüklerinin üst limiti 1.000.000 TL olarak belirlenmekte iken, GDPR kapsamında ise cezai yaptırım senelik küresel cironun %4’üne denk gelen karşılık ya da 20.000.000 Euro olarak belirlenmiştir ve hangisi daha yüksek ise o miktar cezai yaptırımın uygulanması öngörülmüştür. Şüphesiz, GDPR hükümleri uygulanan bütün şirketlerin bu büyük meblağlı cezai yaptırımlardan kaçınmaları için GDPR ile uyumluluk sağlamalarının önemi bir kere daha göz önüne konmuştur.
KVKK ve GDPR arasındaki farklar ele alınırken görüldüğü üzere öncelikli olarak dikkat çeken bu iki hukuki metin arasındaki benzerlikler olacaktır. Genel Veri Koruma Yönetmeliği bünyesinde yüksek meblağlı cezai yaptırımlar barındırması nedeniyle Kişisel Verileri Koruma Kanunundan bu yönüyle de farklıdır.
