6698 Sayılı Kişisel Verilerin Korunması Kanunu ve Avrupa Genel Veri Koruma Tüzüğü
Giriş
Son dönemde veri işleme teknolojisinde gerçekleşen gelişmeler doğrultusunda çoğu ülkede kişisel veri ve bu verilerin korunması kavramları kanuni bir boyut kazanmaya başlamıştır. Her ülkenin hukuk düzenine adapte olabilecek nitelikte olan bu kavram çoğu hukuk sisteminde kişilik hakları ile bağdaşır. Bu nedenle bu hukuk alanı evrensel nitelikler taşımakta olup, her ülke bu hukuk dalını kendi mevzuatına uyum sağlaması açısından kendine özgü değişikliklerle hukuk sistemlerine adapte eder.
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) 7 Nisan 2016 tarihinde, yani Avrupa Genel Veri Koruma Tüzüğü’nden[1] (General Data Protection Regulation (“GDPR”)) kısa bir süre önce yürürlüğe girmiştir. KVKK’nın lafzında ve düzenlemelerinde GDPR öncesi yürürlükte olan 95/46/AT sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif referans alındığından, KVKK ve GDPR arasında oldukça fazla benzerlik olmasına rağmen, tam anlamıyla bir uyumluluktan bahsetmek mümkün olmayacaktır.
Bu çalışmada KVKK ve GDPR arasındaki benzerlik ve farklılıklara değinilerek, bu iki düzenlemenin de konusunu oluşturan veri sorumlularının her iki düzenlemeye de uyum sağlama zorunluluğu ortaya koyulacaktır.
Genel Olarak
KVKK da GDPR da, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleyerek kişinin mahremiyetinin korunması ve veri güvenliğinin sağlanması amaçlarını gerçekleştirmek amacındadır. Ayrıca bu iki düzenlemede kişisel verilerin sınırsız biçimde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, açıklanması veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.[2]
Her ne kadar söz konusu iki mevzuat aynı konuyu aynı amaçla düzenliyor olsa da, aynı zamanda iki mevzuat arasında hukuk sistemlerinin ulusallığı nedeni ile bazı farklar mevcuttur.
KVKK ve GDPR Arasındaki Temel Farklılıklar
- Veri İhlalinden Kaynaklanan Sorumluluk. GDPR madde 82 uyarınca, “bu Tüzük’e ilişkin bir ihlal sonucu maddi veya manevi zarar gören herhangi bir kişi, yaşanan zarara ilişkin olarak kontrolör (veri sorumlusu) veya işleyiciden tazminat alma hakkına sahiptir”. Bu maddeden açıkça anlaşıldığı üzere, GDPR veri ihlalinden doğan zararlardan hem veri sorumlusunu hem de veri işleyeni[3] sorumlu tutar. Bunun yanında, KVKK madde 18/2 uyarınca, “bu maddede o¨ngo¨ru¨len idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır”.
- Özetle KVKK veri sorumlusu ve işleyenin sorumluluklarını ayrı ayrı düzenlemiş ve kanunda düzenlenen idari para cezalarından sadece veri sorumlusunu sorumlu tutmuştur. Bu kapsamda veri sorumlusu ve veri işleyenin aralarındaki rücu ilişkisi saklıdır.
- Veri Koruma Görevlisi ve Veri Koruma Temsilcisi.
- KVKK’da düzenlenmemiş ancak GDPR’da belirtilen koşulları varlığı halinde görevlendirilmesi öngörülen iki ayrı kavram mevcuttur, bunlar veri koruma görevlisi (Data Protection Officer (“DPO”)) ve veri koruma temsilcisidir (Data Protection Representative (“DPR”)). GDPR madde 37 uyarınca,
- i)“işleme faaliyetinin kendi yargı yetkisi çerçevesinde hareket eden mahkemeler haricindeki bir kamu kuruluşu veya organı tarafından gerçekleştirilmesi; ii) kontrolör veya işleyicinin temel faaliyetlerinin yapıları, kapsamları ve/veya amaçları gereği veri sahiplerinin düzenli ve sistematik bir şekilde büyük çaplı olarak izlenmesini gerektiren işleme faaliyetlerinden meydana gelmesi veya iii) kontrolör veya işleyicinin temel faaliyetlerinin 9 maddesi uyarınca özel kategorilerdeki verilerin ve 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesinden meydana gelmesi hallerinde DPO atanması zorunludur. Aynı şekilde GDPR madde 27 uyarınca, AB dahilinde yerleşik olmayan veri sorumluları, i) veri işlemenin nadir olduğu ve bu nadir veri işleme sırasında geniş ölçekli özel nitelikli kişisel verilerin işlenmediği veya ii) veri sorumlusunun kamu görevlisi olması hususları hariç, herhangi bir AB ülkesinde yerleşik bir DPR atamakla yükümlüdür.
- Veri Koruma Etki Değerlendirmesi. GDPR madde 35’de düzenlenen veri koruma etki değerlendirmesinin (Data Protection Impact Assessment (“DPIA”)), i) gerçek kişilerle ilgili kişisel özellikler hususunda profil çıkarma da dahil olmak üzere otomatik işlemeye dayalı olan ve gerçek kişi ile ilgili hukuki sonuçlar doğuran veya gerçek kişiyi kayda değer şekilde etkileyen kararların dayandığı sistematik ve kapsamlı bir değerlendirme yapılması; ii) 9(1) maddesinde atıfta bulunulan özel kategorilerdeki verilerin veya 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesi veya iii) kamunun erişebileceği bir alanın büyük çaplı olarak sistematik bir şekilde izlenmesi durumlarında gerçekleştirilmesi öngörülür.Bu kapsamda bir değerlendirme KVKK’da düzenlenmez.
- Veri Sorumluları Sicili. GDPR’ın aksine KVKK, belirli istisnalar haricindeki veri sorumlularına Veri Sorumluları Sicili yani VERBİS’e kayıt yükümlülüğü getirir. Bu sicil KVKK kapsamındaki yükümlülüklerden biri olan veri envanteri hazırlama yükümlülüğünün bir parçası olup, veri sorumlusunun veri işleme faaliyetini en kapsamlı şekilde aktarmakla yükümlü olduğu veri envanterinin çerçevesini oluşturur. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan gerçek ve tüzel kişi veri sorumluları ve yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının VERBİS’e kayıt yükümlülüğünü yerine getirmeleri için son tarih 30.06.2020’dir ve kayıt yükümlülüğünün yerine getirilmemesi halinde 20.000 TL’den 1.000.000 TL’ye kadar idari para cezası gündeme gelebilecektir.
- İşleme Faaliyetinin Kayıtları. GDPR’da, KVKK’da yer alan Veri Sorumluları Siciline kayıt yükümlülüğü gibi kamuya açık bir platformda işleme faaliyetlerinin alenileştirilmesi öngörülmemişse de; veri sorumluları GDPR madde 30’da belirtilen bilgileri içerir kayıtlar tutmak ve gerektiğinde veri koruma otoritesine bu kayıtları göstermekle yükümlüdür. Aynı yükümlülük veri envanteri hazırlama yükümlülüğü ile KVKK kapsamında da getirilmiş ve içeriği Veri Sorumluları Sicili Hakkında Yönetmelik’te düzenlenmiştir.
- İdari Para Cezaları. GDPR’da öngörülen idari para cezaları KVKK’da düzenlenenlerden oldukça fazladır. KVKK’daki para cezalarının üst sınırı 20.000 TL ile 1.000.000 TL aralığında düzenlenmişken, GDPR’da üst sınır 20.000.000 EUR veya bir önceki mali yılın yıllık dünya çapındaki cirosunun %4’üne kadar belirlenebilir.
- Unutulma Hakkı. Her ne kadar KVKK veri sahibinin hakları altında veri sorumlusundan işlemeye konu kişisel verileri hakkında bilgi alma ve bunların silinmesini isteme hakkını düzenlese de, GDPR unutulma hakkını ayrıntılı bir biçimde düzenler. GDPR madde 17 uyarınca veri sorumlusu; i) kişisel verilerin toplanma veya işlenme amaçlarıyla ilişkili olarak artık gerekli olmaması; ii) veri sahibinin 6(1) maddesinin (a) bendi veya 9(2) maddesinin (a) bendine göre işleme faaliyetinin dayandığı izni geri çekmesi ve işleme faaliyetiyle ilgili başka bir yasal gerekçe bulunmaması; iii) veri sahibinin 21(1) maddesi uyarınca işleme faaliyetine itirazda bulunması ve işleme faaliyetine yönelik ağır basan meşru bir gerekçe bulunmaması ya da veri sahibinin 21(2) maddesi uyarınca işleme faaliyetine itirazda bulunması; iv) kişisel verilerin yasa dışı biçimde işlenmiş olması; v) kontrolörün tabi olduğu Birlik veya üye devlet hukukundaki bir yasal yükümlülüğe uygunluk sağlanması amacı ile kişisel verilerin silinmesinin zorunlu olması ve vi) kişisel verilerin 8(1) maddesinde atıfta bulunulan bilgi toplumu hizmetlerinin sağlanması ile ilgili toplanmış olması hallerinde veri sahibinin verilerini gecikmeye mahal vermeksizin silmek zorundadır.
Yer Bakımından Uygulama
GDPR madde 3 uyarınca;
- Bu Tüzük, işleme faaliyeti Birlik içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın, Birlik içerisindeki bir kontrolör veya işleyicinin işletmesinin faaliyetleri bağlamında kişisel verilerin işlenmesine uygulanır.
- Bu Tüzük, işleme faaliyetlerinin aşağıdaki hususlarla alakalı olması durumunda, Birlik içerisinde bulunan veri sahiplerinin kişisel verilerinin Birlik içerisinde kurulu olmayan bir kontrolör veya işleyici tarafından işlenmesine uygulanır:
- Veri sahibine bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Birlik içerisindeki söz konusu veri sahiplerine mal ya da hizmetlerin sunulması veya
- Davranışları birlik içerisinde gerçekleştiği ölçüde, davranışlarının izlenmesi.
- Bu Tüzük, Birlik içerisinde değil, ancak bir üye devletin hukukunun uluslararası kamu hukuku vasıtasıyla uygulandığı bir yerde kurulu bulunan bir kontrolör tarafından kişisel verilerin işlenmesine uygulanır.
Özetle GDPR i) veri işlemenin AB içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın veri işleyen veya veri sorumlusunun AB içerisinde yerleşik olduğu; ii) AB dâhilinde yerleşik olmayan veri sorumluları veya veri işleyenlerce, mal ve hizmet sunumu faaliyetleri için veya veri sahiplerinin davranışlarının gözetlenmesi amacı ile AB’de yerleşik veri sahiplerinin verilerinin işlendiği ve iii) AB üyesi ülkenin milli hukukunun somut olaya uygulanabildiği durumlarda uygulanır. Sonuç olarak AB içerisinde müşteri tabanı bulunan tüm mal ve hizmet sağlayıcıları veya çevrimiçi davranışsal reklamcılık (online behavioral advertising) mekanizmasından yararlanan internet siteleri ve mobil uygulamalar, veri işleme faaliyetlerini GDPR’a uygun gerçekleştirmek zorundadırlar.[4]
Bununla birlikte, KVKK ise, veri operasyonlarını Türkiye"de yürüten tüm gerçek ve tüzel kişileri kapsayan bir kanundur. Her ne kadar KVKK’da GDPR kadar açık bir düzenleme bulunmasa dahi Türkiye veri koruma otoritesi Kişisel Veri Koruma Kurulu’nun (“Kurul”) yayınladığı rehber ve kararlardan, veri operasyonlarını Türkiye’de gerçekleştiren yurtdışında yerleşik veri sorumlularının “yıllık çalışan sayısı” ve “yıllık mali bilanço toplamı” kriterlerine bakılmaksızın Veri Sorumluları Sicili’ne kayıt yükümlülüğünün bulunduğu içtihat edilmiştir[5]. Ayrıca Veri Sorumluları Sicili Hakkında Yönetmelik madde 5/1,c uyarınca “Türkiye’de yerleşik olmayan veri sorumluları, veri işlemeye başlamadan önce veri sorumlusu temsilcisi marifetiyle Sicile kaydolmak zorundadır”. Dolayısıyla KVKK kapsamında yer alan, yani Türkiye’de veri işleme faaliyeti gerçekleştiren veri sorumluları ve veri işleyenlerin, yurtiçinde yerleşik olsun veya olmasın, KVKK ve ilgili mevzuata uygun davranması gerekmektedir.
Buna ek olarak Kurul’un 08.11.2019 tarihli kamuoyu duyurusunda; “bahse konu veri sorumluları tarafından aydınlatma yükümlülüğünün yerine getirilmesi amacıyla hazırlanan metinlerde GDPR’a uyum sağlandığına yönelik ifadelere yer verilmesinin, veri sorumlularının 6698 sayılı Kişisel Verilerin Korunması Kanununa karşı yükümlülüklerini ortadan kaldırmadığının, bu itibarla GDPR’a yapılan atıfların yanı sıra söz konusu aydınlatma metinlerinde belirtilen politika ve kuralların öncelikle 6698 sayılı Kişisel Verilerin Korunması Kanununa uygun olduğunun belirtilmesi gerektiğinin hatırlatılmasında fayda görülmektedir”[6] denilmesi suretiyle KVKK açısından yükümlüklerin yerine getirilebilmesi için GDPR hükümlerine uyumlu olmanın yeterli olmadığı belirtilmiştir.
Sonuç
Kişisel verilerin korunması mevzuatı olan GDPR ve KVKK aynı amaç ile aynı konuyu düzenliyor olsa dahi, aynı zamanda iki mevzuat arasında hukuk sistemlerinin ulusallığı nedeni ile bazı farklar mevcuttur. Bu nedenle söz konusu iki mevzuatın da aynı anda konusunu oluşturan veri sorumluları ve veri işleyenler, iki mevzuata da bütünüyle uymakla yükümlüdür. Ayrıca Kurul, bu yönde yayınladığı bir kamuoyu duyurusunda; her iki mevzuatın da konusuna giren veri sorumlularının sadece bir mevzuata uygun olduklarını belirtmelerinin yeterli olmayacağını belirtmiştir.
[1] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC (Erişim Tarihi: 27.01.2020).
[2] Kişisel Verileri Koruma Kurumu. Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi https://www.kvkk.gov.tr/Icerik/4197/Kisisel-Verilerin-Korunmasi-Kanununa-Iliskin-Uygulama-Rehberi (Erişim Tarihi: 27.01.2020).
[3] Ünsal Özden, Sevgi: Kişisel Verilerin Korunması Mevzuatı kapsamında Kişisel Veri, Veri İşleyen, Veri Sorumlusu ve İrtibat Kişisi Kavramları, Erdem&Erdem Hukuk Postası, Eylül 2019.
[4] Uludere, Eda: AB Genel Veri Koruma Tüzüğü ve Yer Bakımından Uygulanması, Erdem&Erdem Hukuk Postası, Nisan 2017 .
[5] https://verbis.kvkk.gov.tr/UploadedFiles/SORULARLA_VERBİS.pdf, https://www.kvkk.gov.tr/Icerik/5545/2019-225 (Erişim Tarihi: 27.01.2020).
[6] https://www.kvkk.gov.tr/Icerik/6561/KAMUOYU-DUYURUSU (Erişim Tarihi: 27.01.2020).
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Tüm zamanların ilk “Yapay Zekâ Yasası” olarak nitelendirilen ve özellikle ChatGPT, Bard ve Midjourney gibi araçları doğrudan etkileyen kural ve düzenlemeler içeren yasa Avrupa Parlamentosu tarafından 14 Haziran 2023 tarihinde gerçekleşen nihai oylamada oyçokluğuyla kabul edildi. Böylece Avrupa Parlamentosu...
Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...
ChatGPT, OpenAI tarafından geliştirilen büyük dil modelidir. İnsan diline yakın seviyede metin üretmek için derin öğrenme teknikleri ve yapay sinir ağlarına dayanan bir yapay zeka sistemidir. Uzun metinler hazırlayıp sohbet havasında sorulan soruları cevaplayabilen ChatGPT kimi hallerde verdiği cevaplardaki...
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...
Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...
Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...
Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...
Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...
Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...
Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...
Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...
Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...
Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...
Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...
