Avrupa Genel Veri Koruma Tüzüğü Ve Kişisel Verilerin Korunması Kanunu Karşılaştırması
Aralık 2020, ERDEMİR&ÖZMEN AVUKATLIK ORTAKLIĞIAvrupa Genel Veri Koruma Tüzüğü Ve Kişisel Verilerin Korunması Kanunu Karşılaştırması
Bilindiği üzere, teknolojinin gelişmesi ile birlikte kişisel veri işleme faaliyetleri oldukça artmıştır. Hâlihazırda ticari ilişkiler başta olmak üzere birçok insan etkileşiminde kişisel veriler işlenmekte iken; gelişen teknoloji ile veri işleme hızı çarpıcı bir biçimde yükselmiştir. Ayrıca yazılımlar aracılığıyla sınırsıza yakın kişisel veriye ulaşmak mümkün hale gelmiştir. Haliyle bu durum bireylerde özel hayatın gizliliği kapsamında endişeler doğurmaktadır. Bu doğrultuda kişisel verilerin korunması amacı ile neredeyse tüm dünyada gerek yerel gerekse bölgesel olarak yeni hukuki düzenlemelerin getirilmesi gerekmiş, bu itibarla ülkeler kendi hukuk sistemi ile uyumlu olacak şekilde değişiklikler ile adaptasyon sürecini başlatmışlardır.
Ülkemizde bu konuda en yaygın kullanılan ancak uyuşmazlıklar bakımından yeterli görülmeyen hukuki yaptırım yalnızca 5237 sayılı Türk Ceza Kanunu’nun 9. Bölümü “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” (m.132-140) başlığında yer almaktaydı. Kişisel verilerin mahremiyeti bakımından yapılan hukuki düzenlemeler ise 07.04.2016 yılında 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile yürürlüğe girmiş; birçok yeni kavram ve hukuki süreci gündeme getirmiştir. KVKK öncelikle özel hayatın gizliliğinin sağlanması ve temel hak ve özgürlüklerin korunması amacı ile kişisel veri işleme faaliyetinde bulunan gerçek ve tüzel kişilerin uyması gereken kuralları ve KVKK’ya aykırı şekilde veri işleme faaliyetinde bulunanlara yönelik yaptırımları düzenlemektedir.
Kişisel verilerin mahremiyeti konusunda öncü ülkelerden sayılan Avrupa’da ilk yasal düzenlemeler 1990’larda yapılmaya başlanmıştır. Ardından 25 Mayıs 2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü (Genaral Data Protection Regulation “GDPR” ) ile, Avrupa Birliği'ne üye bir ülkede ikamet eden kişilerin ve Avrupa Birliği’nde kurulu veri kontrolörü ve veri işleyicilerinin aktivitelerine konu olan kişisel verilerin güvenliğini sağlamayı amaçlamaktadır.
İşbu bilgi notu ile KVKK ile GDPR arasındaki benzerlik ve farklılıklara değinilerek uygulama alanlarına yönelik bilgilendirmeler yapılması amaçlanmıştır.
KVKK ile GDPR Bölgesel Kapsamı
KVKK’nın bölgesel kapsamı Türkiye'de kişisel veri işleyen tüm gerçek ve tüzel kişilere yönelikken GDPR’ın daha geniş bir yetki alanı söz konusudur. GDPR, Avrupa Birliği sınırları içerisinde yaşayan herhangi birinin kişisel verilerini işleyen tüm kişiler açısından Avrupa Birliği sınırları içerisinde kurulu olup olmadığı fark etmeksizin her türlü kişisel veri operasyonunu kapsamaktadır.
Bu itibarla KVKK yalnızca Türkiye sınırları içerisindeki kişisel veri işleme faaliyetlerine yönelik kapsam alanına sahip iken GDPR, Avrupa Birliği’ndeki veri işleme faaliyetleri ile birlikte hangi ülkede olursa olsun Avrupa Birliği’nde ikamet eden kişilerin verilerini işleyen tüm veri sorumlularını da kapsamaktadır. GDPR her ne kadar Avrupa Birliği yönetmeliği olsa da bölgesel kapsamı gereği Avrupa Birliği ülkeleri ile ticaret yapan her kuruluşu da etkilemektedir.
Dolayısıyla, Türkiye'de bulunan veri sorumlularının/işleyenlerin Avrupa Birliği'ne üye ülkelerde ikamet eden kişilerin kişisel verilerini işlemesi halinde hem KVKK hem de GDPR hükümleri uyarınca yükümlülükleri söz konusu olacaktır.
Temel Kavramlar
KVKK uyarınca kişisel veri kavramı “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. GDPR ile karşılaştırınca kişisel veri tanımında önemli bir farklılık söz konusu olmasa da GDPR kişisel veri kavramını daha somut örneklerle ele almıştır. GDPR, konum verilerinin, çevrimiçi tanımlayıcıların veya o gerçek kişinin fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özgü bir veya daha fazla faktörün kişisel veri olarak kabul edildiğini açıkça belirtmektedir. Yerel uygulamamızda ise temel kavramlar, Kişisel Verilerin Korunması Kurulu’nun rehberleri ve emsal kararları ile daha da somutlaştırılmıştır.
Özel nitelikteki kişisel verilerin tanımında ise dernek ve vakıf üyeliği, mezhep, diğer inançlar, kılık ve kıyafet kategorileri GDPR’dan farklı olarak KVKK kapsamında ayrıca düzenlenmiştir.
Veri Koruma Görevlisi/ Memuru
- İşleme faaliyetinin kendi yargı yetkisi kapsamında hareket eden mahkemeler dışında bir kamu kurumu veya organı tarafından gerçekleştirilmesi;
- Veri sorumlusu veya veri işleyenin temel faaliyetlerinin yapıları, kapsamları ve/veya amaçları gereği veri sahiplerinin düzenli ve sistematik bir şekilde büyük çaplı olarak izlenmesini gerektiren işleme faaliyetlerinden meydana gelmesi veya
- Veri sorumlusu veya veri işleyenin temel faaliyetlerinin özel kategorilerdeki verilerin ve mahkûmiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesinden meydana gelmesi
hallerinde GDPR uyarınca veri sorumlusu ve veri işleyen her halükarda bir veri koruma yetkilisi belirlemek zorundadır.
Bu itibarla Avrupa Birliği’nde küçük çaplı ve özel kategori dışındaki veri işleme faaliyetinde bulunan ve genel merkezi Avrupa Birliği sınırları içerisindeki veri sorumlusu, veri koruma görevlisi atamak zorunda olmayacaktır. Ancak verilerin Avrupa Birliği dışındaki bir ülkede depolanması, IT hizmetinin başka ülkeden alınması ya da yoğun şekilde veri işleme faaliyetinin Avrupa Birliği dışındaki bir ülkede yapılması gibi durumlarda GDPR uyarınca veri sorumlularına veri koruma görevlisi atanması zorunludur.
Her ne kadar GDPR uygulamaları Türkiye açısından henüz netlik kazanmış sayılmasa da GDPR’ın ilgili hükmü gereği Türkiye’de ikamet eden şirketlerin Avrupa Birliği’nde bulunan kişilerin verilerini işlemesi halinde veri koruma görevlisi ataması söz konusu olacaktır. Ancak bu veri işleme faaliyeti dışında süreçler yürüten ve yalnızca KVKK’ya tabi olan kişiler bakımından; KVKK gereği veri koruma görevlisi atama zorunluluğu bulunmamaktadır. Zira KVKK veya ilgili mevzuatta veri koruma görevlisi kavramı yer alamamaktadır.
Yükümlülüklerin İhlali Halinde Sorumluluk
KVKK kapsamında öngörülen ceza yükümlülüklerinin üst limiti 1.000.000 TL olarak belirlenmekte iken, GDPR kapsamında ihlal halinde 20.000.000 Euro’ya kadar veya bir önceki mali yılın dünya çapındaki toplam cirosunun %4’üne kadar (hangisi daha yüksek ise) idari para cezası yaptırımı öngörülmüştür. Bu itibarla, GDPR hükümlerine tabii tüm şirketlerin bu şekilde büyük cezai yaptırımlardan kaçınmaları için GDPR ile uyumluluk sağlamalarının önemi bu hükümle bir kez daha gözler önüne konulmuştur.
Veri Koruma Etki Değerlendirmesi
GDPR uyarınca veri işleme faaliyetinin yüksek bir riskle sonuçlanmasının muhtemel olması durumunda, veri sorumlusu, verilerin işlenmesinden önce veri koruma etki değerlendirmesi gerçekleştirmekle yükümlü tutulmaktadır. Veri Koruma Etki Değerlendirmesine ilişkin husus veri sorumlusunun ya da onun veri işleyeninin veri işlemeden önce ya da veri işleme esnasında sistemin güvenlik açığı olup olmadığının tespit edilmesine yönelik olarak düzenlenmiştir.
- Gerçek kişilerle ilgili hukuki etki yaratan ya da benzer şekilde doğal kişiyi önemli ölçüde etkileyen, karar verme sürecine dayanan ve profilleme de dâhil olmak üzere, otomatik işlemeye dayanan gerçek kişilerle ilgili kişisel hususların sistematik ve kapsamlı bir değerlendirmesi veya
- Özel nitelikteki kişisel verilerin veya mahkûmiyet ve suçlamalarla ilgili kişisel verilerin işlenmesi veya
- Kamuya açık olan bir alanın büyük ölçekte ve sistematik olarak izlenmesi
hallerinde veri koruma etki değerlendirmesinin özellikle yapılması gerekmektedir.
KVKK kapsamında ise m.12 doğrultusunda veri güvenliğine ilişkin alınması gereken teknik ve idari tedbirler detaylı olarak Kişisel Verileri Koruma Kurulu’nun hazırladığı Kişisel Veri Güvenliği Rehberi’nde açıklanmaktadır.
Unutulma Hakkı
GDPR uyarınca veri sahibinin kendisi ile ilgili kişisel verinin herhangi bir gecikmeye mahal verilmeksizin silinmesini veri sorumlusundan talep etme hakkı vardır.
Aşağıdaki durumlardan birinin varlığı halinde taleple birlikte gecikmeye mahal vermeksizin silme yapılmalıdır:
- Kişisel verilerin toplanma veya işlenme amaçlarıyla ilişkili olarak artık gerekli olmaması;
- Veri sahibinin gerek kişisel verileri, gerekse özel kategorideki kişisel verilerine ilişkin rızasını geri çekmesi ve işleme faaliyetiyle ilgili başka bir yasal dayanak bulunmaması;
- Veri sahibinin veri işleme faaliyetine itirazda bulunması ve işleme faaliyetine yönelik ağır basan meşru bir gerekçe bulunmaması ya da veri sahibinin pazarlama amacıyla işleme faaliyetine itirazda bulunması;
- Kişisel verilerin yasa dışı biçimde işlenmiş olması;
- Veri sahibinin tabi olduğu birlik veya üye devlet hukukundaki bir yasal yükümlülüğe uygunluk sağlanması amacı ile kişisel verilerin silinmesinin zorunlu olması;
- Çocuğa ait kişisel verilerin ona sunulan bilgi toplumu hizmetlerinin sağlanması ile ilgili toplanmış olması.
GDPR’ın 17. maddesine benzer bir biçimde unutulma Hakkına ilişkin yerel hukukumuzdaki düzenlemeler ise KVKK’da, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te ve ilgili Kişisel Verileri Koruma Kurulu rehberlerinde karşımıza çıkmaktadır.
KVKK’nın 7. maddesi çerçevesinde;
“Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.”
hükmü geçerlidir. İşbu düzenleme doğrultusunda kişisel verilerin silinmesinin kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlandığı ve veri sorumlusunun bunu sağlamaya yönelik olarak gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğu ilgili yasal düzenlemelerde belirtilmektedir. Bu itibarla “Unutulma Hakkı” mevzuatımızda kavramsal olarak açıkça yer almasa da; içerik bakımından benzer şekilde bu hakkı sağlamaya yönelik araçların bulunduğu görülmektedir.
Sonuç
Sonuç olarak, teknolojinin gelişmesi ile birlikte kontrolden uzak şekilde kişisel veri işleme hızının ve kapsamının oldukça artması ve bu konuyu doğrudan ele alan hukuki düzenlemelerin bulunmaması neticesinde ülkeler ve bölgesel birlikler kendi mevzuatları ile uyumlu olacak şekilde yasal uyumluluk süreçlerini başlatmışlardır. Ülkemizde bu süreç sonucunda Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat yürürlüğe girmiştir. Avrupa ülkeleri bakımından ise kişisel verilere yönelik olarak düzenlenen Avrupa Genel Veri Koruma Tüzüğü her ne kadar KVKK ile aynı amaç doğrultusunda hazırlanmışsa da birtakım farklılıklar söz konusudur. Özellikle GDPR’ın bölgesel kapsamı itibari ile Türkiye’de bulunan ve Avrupa Birliği’nde ikamet eden kişilerin verilerini işleyen veri sorumlularının aynı anda KVKK ve GDPR’a uygunluk sağlaması gerekmekte olup işbu bilgi notu ile her iki mevzuat karşılaştırılarak uyumluluk konusunda dikkat edilmesi gereken başlıca konulara ilişkin bilgilendirme yapılması amaçlanmıştır.