Kişisel Verilerin Korunması Kanunu ve Avrupa Birliği Genel Veri Koruma Tüzüğü Karşılaştırması

1. Tarihsel Gelişim

Günümüzde ülkeler, kurumlar, şirketler ve hatta bireyler teknolojinin hızlıca gelişmesiyle birlikte, bilgi çağı olan bu 20.yüzyılda dijitalleşmeye başlamıştır. Bununla birlikte toplumlarda bilgi akışı daha hızlı şekilde yayılmaya başlamıştır. Verinin bu kadar hızlı ve kontrolsüz bir şekilde yayılmasıyla birlikte veri güvenliği ve gizliliği konusunun önemini de beraberinde getirmiştir. Söz konusu dijitalleşme ile birlikte veri toplanması ve saklanması birçok şirket ve kurum için daha kolay bir hale gelmiştir. Günümüzde gerek devlet kurumları gerekse özel kuruluşlar hizmetlerini sunarken binlerce kişinin verisine kolayca ulaşabilmekte ve elden edilen bu veriler, teknolojinin gelişmesiyle birlikte kolaylıkla işlenmekte ve aktarılabilmektedir. Toplanan bu bilgiler arasında kişisel verilerin de yer alması söz konusu verilerin korunmasını gündeme getirmiştir. Toplanan kişisel verilerin yaygın bir biçimde kötüye kullanımı bu hususta devletleri özel yasal düzenlemelerin getirilmesini zorunlu kılmıştır. Kişisel veriler, bilginin altın değerinde olduğu bu dönemde, kolay ulaşılabilir hale gelmiştir. Kurumlar tarafından toplanan bu verilerin gizliliğinin ve kontrolünün kaybedilmesi, bireysel ve kurumsal açıdan telafisi mümkün olmayan kayıplara sebebiyet verebilecektir.

Kişisel verilerin korunmasıyla ilgili uluslararası alanda atılan ilk adım 3 Eylül 1953 tarihinde yapılan Avrupa İnsan Hakları Sözleşmesi’ne dayanmakta olup 1970’li yıllardan bu yana, ulusal ve uluslararası düzenlemeler ile kişisel verilerin korunmasına ilişkin çalışmalar yoğun bir şekilde yürütülmektedir. Bunları sırasıyla 1980 tarihli OECD (İktisadi İşbirliği ve Kalkınma Teşkilatı)’nin Özel Yaşamın Korunması ve Kişisel Verilerin Sınırötesi Akışına İlişkin Rehber İlkeleri, 1981 tarihli 108 No.lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi, 1990 tarihli BM’nin Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkeleri, 1998 tarihli 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi, 2021 tarihli 181 No.lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol ve 2016 yılında Avrupa Parlamentosu tarafından kabul edilen 2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) takip etmektedir.

Türkiye’de bu husustaki düzenlemeler 1982 Anayasası ile ilk olarak düzenlenmiş olup özel hayatın gizliliği de kişinin temel haklarından biri olarak 20. Maddesinde Anayasa ile güvence altına alınmıştır. Akabinde bu düzenlemeleri sırasıyla 5237 Sayılı Türk Ceza Kanunu, 2010 yılında yapılan düzenleme ile kişisel verilerin korunması ile ilgili hükmün T.C Anayasası’na dahil edilmesi olmuştur. Ancak Türkiye’de en önemli gelişmeler 2016 yılında gerçekleşmiş olup  108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesinin Türk hukukuna dahil edilmesi, yine aynı yıl içinde  6698 sayılı Kişisel Verilerin Korunması Kanununun 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmesi ve 181 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokolün Türk hukukuna dahil edilmesi önemli gelişmeler olmuştur.

Gerek yerel düzenlemeler gerekse uluslararası yapılan tüm düzenlemelerin tek amaç ve hedefi, gerçek kişilerin kişisel verilerin işlenmesiyle ilgili olarak korunmasına ilişkin kurallar ve kişisel verilerin serbest dolaşımına ilişkin yasal düzenlemelerin getirilmesi ve gerçek kişilerin temel hak ve özgürlükleri ve özellikle, kişişel verilerin korunmasını hedeflemek olmuştur.

1. Kişisel Veri Nedir?

 Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmekte olup KVKK’da tanımı bu şekilde verilmiştir. Kişisel veri; bireyin adı soyadı, doğum tarihi, resim, görüntü, ses kayıtları, telefon numarası, parmak izin, IP adresi, dernek ve vakıf üyelikleri, siyasi düşüncesi, sağlık bilgileri ve bu gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan her türlü veri kişisel veri olarak tanımlanmaktadır

• 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)

Türkiye Cumhuriyeti Anayasasında, kişisel verilerin korunmasıyla ilgili detaylı düzenlemelerin kanunla yapılabileceği düzenlenmiş olup bu kapsamda 26 Aralık 2014 tarihinde Kişisel Verilerin Korunması Kanunu Tasarısı TBMM Başkanlığına sunulmuştur. Tasarı, 24 Mart 2016 tarihinde kanunlaşmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir.

KVKK kapsamında şirketlere, devlet kurumlarına, üniversitelere, vakıflara, derneklere, organizasyonlara makalemizde değineceğimiz ve veri sorumlusu olarak tanımlanan gerçek ve/veya tüzel kişi organizasyonlara 2018 Haziran ayına kadar kişisel verilerin korunması ile ilgili yönetim sistemi kurup kişisel KVKK’ya uyum sağlamaları için süre tanınmıştır. KVKK ile birlikte gerçek kişilere ait olan ve onların belirlenebilir olmasını sağlayan kişiye özgü ve özel verilerin hukuki anlamda korunması amaçlanmıştır.

1. Kişisel Verilerin İşlenmesi, Şartları ve Temel İlkeler

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak kabul edilmektedir. Kişisel verilerin belirtilen şekilde toplandıktan sonra silme, yok etme ya da anonim hâle getirme işlemlerine kadar olan süreçte gerçekleştirilen her türlü faaliyet KVKK kapsamında kişisel verilerin işlenmesi olarak değerlendirilmektedir. KVKK’ya göre, sayılan temel ilkelere uygun olmak şartıyla kişisel veriler kural olarak ancak ilgili kişinin yani gerçek kişinin açık rızası olması koşuluyla işlenebilecektir. Bununla birlikte KVKK’da sayılan istisnalardan birinin varlığı hâlinde açık rıza olmaksızın kişisel verilerin işlenmesi de mümkün olabilecektir.

KVKK’nın 4. madde hükmünde kişisel verilerin işlenmesine ilişkin usul ve esaslar Avrupa Birliği Veri Koruma Direktifi (“GDPR”)’ne paralel şekilde düzenlenmiştir. Buna göre; KVKK’da kişisel verilerin işlenmesinde sayılan genel ilkeler aşağıdaki gibidir;

• Hukuka ve dürüstlük kurallarına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Belirli, açık ve meşru amaçlar için işlenme,
• İşlendikleri amaçla bağlantılı sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Sonuç olarak kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.

Kişisel verilerin işlenmesi KVKK’nın 5. maddesinde sayılan hallerden en az birinin bulunması durumunda mümkündür. Buna göre;

• İlgili kişinin açık rızasının varlığı,
• Kanunlarda açıkça öngörülmesi,
• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temek hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

hallerinden birinin varlığı durumunda ilgili kişinin kişisel verilerinin işlenmesi mümkün bulunmaktadır. Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, KVKK’da sınırlı sayıda sayılmış olup, bu şartlar genişletilemez.

Bu kapsamda, veri sorumlusu tarafından kişisel veri işleme faaliyetinin amacının öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirilmeli, eğer bu amaç Kanunda belirtilen açık rıza dışındaki şartlardan en az birini karşılamıyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmelidir.

Bunun haricinde özel nitelikli kişisel veri olarak KVKK’da tanımlanan ve bu verilerin üçüncü kişiler tarafından öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki veriler özel nitelikli kişisel veri olup diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da KVKK’da sayılan sınırlı hallerde işlenebilmektedir. KVKK’da özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir.

1. İlgili Kişi ve Hakları

 KVKK kapsamında yalnızca gerçek kişilerin verileri ve hakları koruma altına alınmıştır. Bu nedenle, KVKK’da kişisel verisi işlenen gerçek kişiyi tanımlamak için “ilgili kişi” ifadesi kullanılmıştır. Veri sahibi yani diğer bir ifade ile ilgili kişi, korunması gereken kişi, düzenlemenin tanımlar kısmında açıkça belirtildiği üzere “gerçek kişi”dir.  KVKK kapsamında korunan menfaat tüzel kişilik değil, düzenlemelerin temellendirdiği öncelik gereği belirlenen ya da belirlenebilecek gerçek kişiye ait olacaktır. Önemle belirtmek isteriz ki, KVKK, tüzel kişilere ait verilerin korunmasını hiçbir şekilde düzenlememektedir, hakları korunan gerçek kişi ilgili kişi veri sahibidir.

KVKK’nın 11. madde hükmü çerçevesinde ilgili kişi her zaman veri sorumlusuna başvurarak kendisi ile ilgili bilgi edinme hakkına sahiptir. Bu kapsamda KVKK’da düzenlenmiş olan veri sahibinin hakları GDPR’a paralel olarak düzenlenmiştir.

• Veri Sorumlusu ve Veri İşleyen

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu hususta kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.

Veri işleyen ise, veri sorumlusunun kendisine verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi tapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir.

Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir. Örneğin; bir organizasyonun kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterilerine ilişkin tuttuğu veriler bakımından ise veri işleyen sıfatıyla hareket etmektedir. Günümüzde bu husus karıştırılmakla birlikte kişisel verilerin yetkisiz üçüncü kişilerin eline geçmesi durumunda sorumlunun saptanabilmesi amacıyla veri sorumlusu ve veri işleyen tanımlarının arasındaki ayrımın doğru şekilde yapılması önem arz etmektedir. KVKK’da öngörülen idari para cezalarının ve ilgili kişinin dava edeceği muhatabının belirlenmesi ancak bu ayrım sayesinde mümkün olmaktadır.

Bu doğrultuda veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği dikkate alınmalıdır;

• Kişisel verilerin toplanması ve toplama yöntemi,
• Toplanacak kişisel veri türleri,
• Toplanan kişisel verilerin hangi amaçlarla kullanılacağı,
• Hangi bireylerin kişisel verilerinin toplanacağı,
• Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,
• Verilerin ne kadar süre saklanacağı.

1. Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”)

 Genel Veri Koruma Tüzüğü (“GDPR” General Data Protection Regulation) Avrupa genelinde Avrupa Birliği (“AB”) vatandaşlarının kişisel verilerini korumaya yönelik oluşturulmuş bir tüzüktür. 25 Mayıs 2018 tarihinden itibaren Avrupa Birliği’ne üye ülkelerde yürürlüğe giren GDPR, AB’ye üye ülke kurum ve kuruluşlarda var olan kişisel verilerin GDPR’da düzenlenen hükümler çerçevesinde güvenliğini sağlamayı amaçlamaktadır. GDPR, Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesini kaynak edinmiş olup özel hayatın gizliliği, kişisel verilerin korunması, AB dışına aktarılması gibi temel konuları kapsamaktadır.

GDPR, AB sınırları içerisinde faaliyet gösteren, AB vatandaşlarının kişisel verilerini işleyen tüm organizasyonları bağlayıcı niteliktedir. AB üye ülkeleri GDPR’ı temel alarak kendi yerel yasalarında gerektiğinde daha ağır yaptırımları ve/veya uygulamaları hayata geçirebilir. Bu yönden GDRP, kişisel verilerin işlenmesi ile ilgili asgari müşterek düzenleme olarak değerlendirilebilir. Bununla birlikte Türkiye mukimi organizasyonlar nezdinde çokça karıştırılan bir diğer husus ise GDPR’a uyumluluğun KVKK’ya uyumluluk anlamına geldiği algısıdır. Bu kesinlikle doğru olmamakla birlikte Türkiye mukimi organizasyonlarının ve/veya Türkiye mukimi ilgili kişilere ilişkin kişisel veri işleyen -yurt dışındaki organizasyonlar da dahil olmak üzere- veri sorumlularının bir diğer değişle organizasyonların, şirketlerin Türk mevzuatına uygun bir şekilde hazırlanarak yürürlüğe konmuş olan KVKK’ya uyumluluğunu sağlaması gerekmektedir. Bu doğrultuda Türkiye mukimlerine ilişkin kişisel verileri işleyen veri sorumlularının GDPR’a uyumlu olması somut olayda yeterli bir argüman olamayacaktır.

GDPR, AB ülkelerini ve bu ülkelerin vatandaşlarıyla kurumlarına yönelik düzenleme olması sebebiyle Türkiye’de tam anlamıyla geçerli değildir ancak bu tamamen Türkiye’de de uygulanmayacağı anlamına gelmeyecektir. Her ne kadar GDPR AB ülkelerini, vatandaşlarını ve kurumlarını kapsayan bir düzenleme olsa da aslında Avrupa’ya yönelik ürün ve hizmet sunan ülkeleri de kapsamaktadır. GDPR’ın 23 no.lu paragrafında sınır ötesi veri işlemeler düzenlenmiş olup AB üyesi olmayan bir ülkeden AB üyesi olan bir ülkeye ürün ya da hizmet sunuluyorsa, ürün ve hizmet sunan taraf GDPR’ı açıkça kabul etmek ve uygulamakla yükümlüdür. Kısaca, Türkiye mukimi olup AB ülkelerine ürün ve hizmet sunan kişi ve kuruluşlar GDPR kapsamına girmekle birlikte organizasyonları nezdinde gerekli uyum çalışmalarını da yürütmeleri önem arz etmektedir.

GDPR, Avrupa genelinde veri gizliliği yasalarını standartlaştırmak, AB vatandaşlarının mahremiyetini korumak, AB veri koruma ve gizlilik tedbirlerini uyumlu hâle getirmek, yüksek miktardaki para cezaları ve yaptırımlar yoluyla organizasyonları uyuma teşvik etmek amacıyla GDPR öncesi en son benzeri düzenleme olan 95/46/AT sayılı AB Veri Koruma Direktifi’nin gelinen çağdaki ihtiyaçları karşılamaması sebebiyle düzenlenerek yürürlüğe sokulmuştur.

Bu kapsamda, GDPR, AB Veri Koruma Direktifi’nden belli başlı alanlarda önemli farklılıklar göstermekte, yeni düzenlemeler GDPR ile hayaya geçirilmiştir. GDPR’ın AB Veri Koruma Direktifi’nde farklılıkları kısaca aşağıdaki gibidir;

• GDPR, AB’nin tüm üye ülkeleri için geçerlidir ve üye devletlerin veri koruma hususundaki tutarsızlıklarını ortadan kaldırmaktadır.
• GDPR ile yeki alanının kapsamı Avrupa sınırlarının ötesine genişletilmiş olup AB vatandaşlarına ilişkin kişisel verileri işleyen kuruluşların da GDPR’a uyumluluğunu zorunlu hâle getirmiştir.
• Kuruluşlar, rıza koşulları ve verilerin sadece bir dille nasıl kullanılacağı hakkında vatandaşı açıkça aydınlatmalı ve bilgi sahibi olmasını sağlamalıdır.
• İlgili kişilerin kendi kişisel verilerin erişmesi -erişim hakkı- ve kişisel verilerini alması -veri taşınabilirliği- ve talep üzerine bu kişisel verilerini sildirme hakkı – unutulma hakkı- düzenlemeler içerisinde yer almıştır.
• GDPR ile birlikte, gizlilik korumasının zorunluluğu yasal bir gereklilik olmuştur.
• Ceza ve medeni hukuk yollarına ek olarak caydırıcı idari yaptırımlar düzenlenmiştir.

Görüleceği üzere GDPR kapsamındaki tüm düzenlemeler insan haklarının bir özünü oluşturan kişisel verilerin korunması ve gizliliğini katı biçimde düzenlemeyi amaçlamış ve bu tüzük Türkiye’de dahil olmak üzere birçok ülkenin veri koruma yasası için temel kaynak teşkil etmiştir.

1. KVKK ve GDPR Karşılaştırması

1. Uygulanabilirlik Kapsamı

GDPR’ın konu bakımından uygulama alanı GDPR’ı 2. maddesinde hüküm altına alınmıştır. İşbu madde hükmüne göre;

• GDPR kapsamında korunacak olan kişisel verilerin, hayatta olan gerçek kişilere ait veriler olduğu düzenlenmiştir.
• Düzenleme ile otomatik olan veya olmayan yollarla işlenen kişisel veriler korumaya tabi tutulmuştur.
• GDPR kapsamında getirilen yükümlülüklere tabi olan kişiler; gerçek ve tüzel kişiler ile kamu kurumları olarak düzenlenmiştir.

GDPR’ın yer bakımından uygulama alanı ise 3. Madde hükmünde düzenlenmiştir. Bu doğrultuda, GDPR temel bir AB düzenlemesi olması sebebiyle, AB üyesi olmayan devletlerin işbu yasal düzenleme ile getirilen yükümlülüklere tabi olmayacağını söyleyebiliriz. Fakat, söz konusu madde yorumlandığında istisnai bazı durumlarda üye olmayan devletlerin de GDPR ile bağlı olduklarını söyleyebiliriz. Bu kapsamda;

• Merkezi AB sınırları içerisinde bulunan şirketler, veri işleme faaliyetini AB sınırları içinde gerçekleştirmeseler dahi GDPR hükümlerine tabi olacaktır.
• Merkezi AB sınırları içerisinde bulunmayan şirketler ise veri işleme faaliyetini AB sınırları içerisinde bulunan bir şirketin operasyonları dahilinde gerçekleştirmeleri halinde GDPR’a tabi olacakladır.
• Bir mal veya hizmet sunumu ya da AB içerisindeki faaliyetlerin gözetilmesi maksadıyla, AB sınırlarındaki herhangi bir kişinin verilerinin işlenmesi halinde, AB sınırları dahilinde bulunmayan veri sorumluları ve veri işleyenler GDPR hükümlerine tabi olacaktır.
• GDPR hükümler, AB sınırları içerisinde kurulmuş olmasa da Devletler Genel Hukuku dolayısıyla AB’ye üye bir devletin hukukunun uygulandığı bir yerde kurulan ve veri işleyen veri sorumlularına da uygulanacaktır.

KVKK’nın konu bakımından uygulama alanı ise 2. Maddesinde hüküm altına alınmış olup GDPR ile de benzerlik göstermektedir. Bu kapsamda, kişisel verileri işlenen gerçek kişilerin verileri koruma altına olacaktır. GDPR ile benzer şekilde kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlene kişisel verileri koruma altına alınmıştır.  KVKK kapsamında getirilen yükümlülüklere tabi olan kişiler ise gerçek ve tüzel kişiler olmakla birlikte kamu kurumları ve özel kuruluşlar açısından bir ayrım yapılmamıştır. KVKK’da belirlenen usul ve esaslar kural olarak tüm kurum ve kuruluşlar için geçerlidir. Dolayısıyla kamu kurumlarının işlediği kişisel veriler hakkında da KVKK hükümleri uygulama alanı bulacaktır.

KVKK’nın yer bakımında uygulama alanı KVKK’nın yerel bir düzenleme olması sebebiyle, Türkiye Cumhuriyeti hudutları içerisinde olmayan devletlerin işbu yasal düzenleme ile getirilen yükümlülüklere tabi olmayacağı söylenebilir. Ancak GDPR’da düzenlenmiş olduğu üzere bazı istisnai durumlarda Türkiye Cumhuriyeti hudutları içerisinde bulunmayan ancak Türk vatandaşlarına ilişkin kişisel verileri işleyen organizasyonların KVKK kapsamında değerlendirilebileceği açıktır. Bu kapsamda Türk vatandaşlarına ilişkin kişisel verileri işleyen Türkiye Cumhuriyeti hudutları dışında işleyen yabancı tüzel kişilikler de KVKK kapsamında yükümlülüklerini yerine getirerek, Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)’ne kaydolmaları zorunludur. Bu kapsamda kısaca özetlemek gerekirse;

• Merkezi Türkiye Cumhuriyeti hudutları içerisinde bulunan organizasyonlar, veri işleme faaliyetini Türkiye Cumhuriyeti hudutları içinde gerçekleştirmeseler dahi KVKK hükümlerine tabi olacaktır.
• Merkezi Türkiye Cumhuriyeti sınırları içerisinde bulunmayan şirketler ise veri işleme faaliyetini Türkiye Cumhuriyeti sınırları içerisinde bulunan bir şirketin operasyonları dahilinde gerçekleştirmeleri halinde KVKK’ya tabi olacakladır.
• Bir mal veya hizmet sunumu ya da Türkiye Cumhuriyeti hudutları içerisindeki faaliyetlerin gözetilmesi maksadıyla, Türkiye Cumhuriyeti sınırlarındaki herhangi bir gerçek kişinin verilerinin işlenmesi halinde, Türkiye Cumhuriyeti sınırları dahilinde bulunmayan veri sorumluları ve veri işleyenler KVKK hükümlerine tabi olacaktır.

1. İlgili Kişi Hakları

GDPR’da veri sahibi ilgili kişinin haklarına 3. Kısımda yer verilmiştir. veri sahibi ilgili kişilerin haklar aşağıdaki gibidir;

• Bilgilendirilme hakkı; GDPR kapsamında veri sorumluları her türlü bildirimi öz, şeffaf, anlaşılır ve kolayca erişebilir bir biçimde, açık ve sade bir dil kullanarak veri sahibini bilgilendirmekle ve gerekli tedbirleri almakla yükümlüdür. Veri sorumlusu bilgilendirmeyi yazılı olarak veya uygun hallerde elektronik yollarla da yapabilecektir.
• Erişim hakkı; GDPR kapsamında veri sahibinin kendisi ile ilgili kişisel verilerin işlenip işlenmediğini veri sorumlusundan teyit etme ve işleme faaliyeti olması halinde, kişisel verilere erişim ile GDPR 15. Madde hükmünde belirtilen bilgileri talep etme hakkı hüküm altına alınmıştır.
• Düzeltme hakkı; GDPR 16. madde hükmü çerçevesinde veri sahibinin kendileri ile ilgili doğru olmayan kişişel verileri düzeltilmesini, güncel olmayan ve/veya eksik olan verilerinin tamamlatılmasını veri sorumlusundan talep etme hakkı bulunmaktadır.
• Unutulma hakkı; GDPR’ın 17. Maddesi kapsamında, veri sahibi ilgili kişinin kendisi ile ilgili kişisel verilerin silinmesini veri sorumlusundan talep etme hakkı bulunmaktadır.
• Kısıtlama hakkı; GDPR’ın 18. Madde hükmü kapsamında belirli koşullar altında, ilgili kişiler veri sorumlusundan veri işleme faaliyetinin kısıtlanmasını talep edebilir. Bu durumda, veri sahibinin verileri kaydedilebilir, ancak herhangi bir amaçla kullanılamaz.
• Taşınabilirlik hakkı; GDPR 20. Madde hükmü çerçevesinde belirli şartlar dahilinde veri sahibinin kendisi ile ilgili olarak bir veri sorumlusuna sağlamış olduğu kişisel verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilecek bir formatta alma hakkı bulunur. Veri sahibi bu verileri başka bir veri sorumlusuna da aktarabilir.
• İtiraz hakkı; GDPR 21. Madde de düzenlendiği üzere, veri sahibinin profil çıkarmada dahil olmak üzere yine GDPR’ın ilgili hükümlerinde sayılan hükümlere dayalı olarak kişisel verilerin işlenmesine herhangi bir zamanda itiraz etme hakkı bulunur.
• Otomatik karar almaya tabi olmama hakkı; GDPR 22. Madde hükmü çerçevesinde veri sahibinin kendisi ile ilgili hukuki sonuçlar doğuran veya benzer biçimde kendisini kayda değer şekilde etkileyen profil çıkarma da dahil olmak üzere otomatik işleme faaliyetine dayalı bir karara tabi olmama hakkı bulunmaktadır.

KVKK’nın 11. maddesi de GDPR’a paralel olarak düzenlenmiş olup KVKK’nın ilhili hükmü kapsamında ilgili kişi her zaman veri sorumlusuna başvurarak kendisi ile ilgili;

• Kişisel verilerinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
• Kişisel verilerin silinmesini veya yok edilmesini isteme,
• Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

haklarına sahiptir.

• İdari ve Teknik Tedbirler

GDPR kapsamında veri sorumluları aşağıdaki gerekli tedbirleri yükümlülükleri dahilinde almaları gerekmektedir;

• Kapsamlı Veri Koruma Politikasını ilgili mevzuat kapsamında oluşturmak ve kurum içinde uygulanmasını sağlamak,
• Organizasyon nezdinde işlenen tüm kişisel verileri, kaynağını ve paylaşım alanlarını belirlemek, veri envanterini oluşturmak,
• Veri güvenliğini sağlamak için şifreleme ve gizlilik vb. tedbirlerin alınması,
• Veri işleme faaliyetlerinin kaydının tutulması,
• Kurum içi gizlilik politikalarının hazırlanması, yayımlanması ve uygulanması,
• Gerekli şartların sağlanması halinde veri koruma görevlisinin atanması
• Kişisel veri ihlalleri için sistemleri gözlemlemek, geliştirmek ve gerekli güvenlik önlemlerini almak,
• Veri koruma etki değerlendirmesinin -Data protection impact assessments- veri sorumlusu tarafından yapılması,
• Kurum nezdinde veri minimizasyonunu -sadece gerekli olan verilerin işlenmesi- sağlamak ve kişisel verilerin imhası için gerekli politikaların oluşturulması ve uygulanması,
• Tüm bilgi güvenliği politikalarını, şeffaf ve kolay erişebilir hale getirmek
• Çalışanların kişisel verilerin işlenmesi süreçleri ile ilgili farkındalığını sağlamak için düzenli olarak eğitilmesini sağlamak.

Bu kapsamda Türkiye’deki GDPR kapsamında giren veri sorumlularının, hangi kişisel verileri işledikleri ve nerede tuttukları, kişisel verilerin nasıl elde edildiği, verilerin başlangıçta toplanma amacı, toplanan bu kişisel verilerin ne kadar süreyle saklanacağı, verilerin güvenliğinin nasıl sağlandığı ve kişisel verilerin üçüncü kişilerle paylaşılıp paylaşılmadığı paylaşılıyorsa ne gibi önlemlerin alındığı sorularına kolaylıkla cevap veriyor olabilmeleri gerekmektedir.

KVKK’nın 12. Madde hükmü kapsamında veri sorumlusu,

• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve
• Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü tekbik ve idari tedbirleri almak zorundadır.

Bu kapsamda veri sorumlusu nezdinde alınması gerekli idari ve teknik tedbirler aşağıda kısaca ayrım yapılarak özetlenecektir.

Her iki düzenleme özelinde de veri sorumluları nezdinde hesap verilebilirlik önem arz etmekte olup veri sorumlularının veri otoriteleri nezdinde şeffaf ve açık olmaları en önemli sorumluluklarından diyebiliriz.

1. İdari Para Cezaları

Her iki düzenleme özelinde önemli diğer farklardan biri ise cezai sorumluluklardır. KVKK kapsamında öngörülen idari para cezalarının üst limiti 2023 yılı için 5.971.989 -TL’dir. Bu tutar her sene Resmî Gazete’de yayımlanan yeniden değerleme oranına göre artmaktadır.  GDPR kapsamında ise cezai yaptırım organizasyonların yıllık küresel cirosunun %4’üne veya 20.000.000-EUR olarak belirlenmiş olup hangisi daha yüksek ise o miktar idari yaptırımın uygulanması düzenlenmiştir.

Görüleceği üzere idari yaptırım tutarları her iki mevzuat özelinde yüksek tutularak caydırıcılık unsuru ortaya çıkarılmıştır. Bu kapsamda veri sorumlularının gerekli idari ve tekbik tedbirleri alarak yükümlülüklerini yerine getirmesi cezai anlamda önem arz etmektedir.

1. Genel Bakış

KVKK uyarınca veri sorumluları, VERBİS’e kayıt olmakla yükümlü iken, GDPR kapsamında böyle bir kayıt bilgi sisteminden söz edilmemektedir. GDPR kapsamında ‘veri koruma görevlisi’ -data controller officer- kavramı getirilmiştir. GDPR belirli koşulları karşılayan veri sorumlularının veri koruma görevlisi atamasını zorunlu kılmaktadır. Buna göre bir veri sorumlusunun temel faaliyetlerinin, doğası, kapsamı ve/veya amaçları gereği, ilgili kişilerin büyük ölçekte düzenli ve sistematik olarak izlenmesini gerektiren işleme faaliyetlerinden oluşması veya veri sorumlusunun temel faaliyetlerinin büyük ölçekte özel nitelikli kişisel veri veya ceza mahkûmiyeti ile suçlara ilişkin verilerin işlenmesini içermesi halinde, veri sorumlusunun bir veri koruma görevlisi atama yükümlülüğü bulunmaktadır.

KVKK kapsamında veri sorumlularının ilgili mevzuata uyumu hususunda sorumlu ya da yardımcı olarak bir görevlinin atanması düzenlenmemekteydi. Ancak ilk defa 6 Aralık 2021 tarih ve 31681 sayılı Resmî Gazete’de yayımlanarak, ‘veri koruma görevlisi” kavramı Türk hukukuna ve uygulamalara girmiştir. Türk hukukunda henüz yeni bir kavram olması sebebiyle uygulamada yaygın olmadığını söyleyebiliriz. Bunun yansıra

Veri Sorumluları Sicili Hakkında Yönetmelik, veri sorumlularının belirli hallerde bir veri sorumlusu temsilcisi ve/veya irtibat kişisi atamasını öngörmektedir. Uygulamada bu kişilerin GDPR kapsamındaki veri koruma görevlisi ile eşdeğer olup olmadığı konusunda bir takım karışıklıklar ve sorular gündeme gelebilmektedir. GDPR’da düzenlenen veri koruma görevlisi, veri sorumlusunun kişisel veri koruma mevzuatına uyumunun sağlanmasıyla görevli, önemli yetkileri olan, veri sorumlusundan bağımsız hareket eden ve doğrudan üst düzey yönetime raporlama yapan kişidir. Ancak, Veri Sorumluları Sicili Hakkında Yönetmelik çerçevesinde düzenlenen veri sorumlusu temsilcisi/irtibat kişisinin görevleri ise veri sorumlusu ile Kişisel Verileri Koruma Kurum’u ve/veya ilgili kişiler arasında bir iletişim kurmaktan ibarettir. 6 Aralık 2021 tarih ve 31681 sayılı Resmî Gazete’de yayımlanarak Türk hukukuna giren veri koruma görevlisi müessesinin GDPR kapsamındaki veri koruma görevlisi ile eşdeğer olabileceği kanaatindeyiz. Ancak bu konuda yaygın uygulamalar neticesinde değerlendirilmesi de önem arz edecektir.

Her iki düzenleme özelinde de veri sorumluları herhangi bir veri ihlali halinde Türkiye’de Kişisel Verileri Koruma Kurumu’nu AB sınırları içerisinde ise ülkenin ilgili veri koruma otoritesini 72 saat içerisinde ilgili koruma otoritesine bildirmekle yükümlüdür. Veri sorumlularının bu yükümlülük ve sorumluluklarını yerine getirmemesi ayrıca idari yaptırımı gündeme getirecektir.

1. Sonuç

Makalemizde de bahsetmiş olduğumuz üzere her iki düzenlemenin de asıl amacı bireylerin kişisel verilerinin korunması, güvenlik ve gizliliğin sağlanmasıdır. Her iki düzenleme hükümlerine tabi olan organizasyonların uyumluluklarını kurumları nezdinde gerçekleştirmiş olmaları yüksek idari para cezaları da dikkate alındığında önem arz etmektedir.

Bu doğrultuda veri sorumluları nezdinde alanında uzman danışman ve hukukçuların bulunduğu ekiplerin yürüteceği bir çalışma ile her iki mevzuat özelinde sorumlulukları belirlenmeli akabinde sorumlu oldukları mevzuat kapsamında uyumluluğun sağlanması ve sorumlulukların yerine getirilmiş olunması gerekmektedir.