KVKK ve GDPR Üzerine Bir Karşılaştırma



Giriş

Kişisel verilerin korunmasına ilişkin düzenlemeler ilk olarak uluslararası düzlemde kendisine yer bulmuştur. Bu bağlamda Avrupa Konseyi’nin 1981 tarihinde yürürlüğe giren 108 No’lu Sözleşmesi kişisel verilerin korunması alanına özgü ve de bağlayıcı olan tek uluslararası sözleşme olarak karşımıza çıkmaktadır. Bu tarihten itibaren özellikle Avrupa’da kişisel verilerin korunmasına ilişkin mevzuatın oluşturulması süreci hız kazanmıştır. Bu noktada karşımıza 1998 yılında yürürlüğe giren 95/46/EC Sayılı Direktif ve 2018 yılında yürürlüğe giren 2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) çıkmaktadır.


Ülkemiz 108 No’lu Sözleşme’nin imzalayıcıları arasında yer alsa da bu sözleşme 2016 yılının Mart ayına kadar iç hukukumuza aktarılamamış ve bu dönemde kişisel verilerin korunmasına yönelik bir özel kanun oluşturma çabaları olumsuz sonuçlanmıştır. Ancak, 2010 yılında Anayasa’ya kişisel verilerin korunması ile ilgili bir hüküm eklendikten sonra tekrar hız kazanan çalışmalar 2016 yılının Nisan ayında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu(KVKK) ile meyvesini vermiştir.


KVKK’nın çok büyük ölçüde 1998 tarihli Direktif’i esas aldığını görmekteyiz. Bu noktada KVKK’nın en büyük şansızlıklarından birisi hiç şüphesiz Resmi Gazete’de yayımlandıktan yalnızca bir hafta sonra Avrupa Parlementosu’nda onaylanan GDPR’dır. Zira Avrupa’nın adeta bir üst sürümüne geçtiği kişisel verileri koruma alanında ülkemizin bu alandaki temelleri eski tarihli Direktif üzerinden atılmıştır. Bu durumun bazı olumsuz yansımalarını günümüzde hala görmeye devam etmekteyiz.

KVKK ve GDPR’ın Arasındaki Temel Farklılıklar


Kapsam

Temelde aynı amaca hizmet eden yasal düzenlemeler olarak ortaya çıkmış olsalar da hiç şüphesiz KVKK ve GDPR bazı önemli sayılabilecek farklılıkları da bünyelerinde barındırmaktadırlar. Bu farklılıklar arasında ilk olarak her iki yasal düzenlemenin hacmi göze çarpmaktadır. Resmi Gazete’de yayımlandığı haliyle 18 sayfa ve 33 maddeden oluşan KVKK’ya karşılık GDPR 88 sayfa ve 99 maddeden oluşmaktadır. Dolayısıyla, GDPR’ın KVKK’ya oranla çok daha ayrıntılı düzenlemeler içerdiğini sırf bu verilere bakarak söylemek yanlış olmayacaktır.


Uygulama Alanı

Bir diğer farklılık ise her iki düzenlemenin uygulama alanında karşımıza çıkmaktadır. KVKK, Türkiye sınırları içerisinde veri işleme faaliyetinde bulunan tüm gerçek ve tüzel kişileri kapsarken GDPR daha geniş bir kapsama alanına sahiptir. Bu bağlamda, AB sınırları içerisinde gerçekleşen kişisel veri işlemelerine GDPR hükümleri uygulanmaktadır. Bunun yanı sıra, AB içerisinde yerleşik olmayan veri sorumluları AB vatandaşlarına mal veya hizmet sunuluyorsa ya da AB içerisindeki kişilerinin davranışları gözetleniyorsa GDPR yine uygulanma alanı bulmuş olacaktır.


Veri Koruma Görevlisi(DPO)

Bunun yanı sıra GDPR’ın 37. Maddesi uyarınca belirli veri sorumlularına veri koruma görevlisi (DPO) atama yükümlülüğü getirilmiştir. Ancak, KVKK’da bu yönde herhangi bir düzenleme bulunmamaktadır.


VERBİS

Ayrıca, Türkiye’de belirli veri sorumlularının kamuya açık bir sicil olan VERBİS’e kayıt yükümlülükleri bulunurken GDPR’da böyle bir düzenleme yer almamaktadır.


İdari Para Cezaları

KVKK ve GDPR arasındaki farklılıklardan birisi de öngörülen idari para cezaları noktasında kendisini göstermektedir. KVKK’da veri sorumlularının yükümlülüklerine uymamaları durumunda öngörülen en yüksek para cezası 1milyon 800bin TL olarak göze çarparken bu durum GDPR’da çok daha caydırıcı olarak düzenlenmiştir. Cezalar yıllık küresel cironun %4’üne ya da 20 milyon Euro’ya kadar kesilebilecektir.



KAYNAKÇA

Kişisel Verilerin Korunması Kanunu

General Data Protection Regulation


YAZAR

Murat Gülgün

Sami Yılmaz