AVRUPA BİRLİĞİ VE TÜRKİYE’DE KİŞİSEL VERİLERİN KORUNMASI
Hukukî Temeller, Uygulama Farklılıkları ve Yaptırımların Karşılaştırılması
Giriş:
Kişisel verilerin korunması, dijital çağda tüm dünya genelinde üzerinde durulan kritik bir mesele haline gelmiştir. Bireylerin mahremiyetinin korunması, veri güvenliği standartlarının oluşturulması ve bu standartların uygulanması, devletler için hem yasal hem de etik bir sorumluluk doğurur. Avrupa Birliği (AB) bu alanda küresel ölçekte model olan Genel Veri Koruma Tüzüğü (GDPR)’yi uygulamaya koyarken, Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) bireylerin verilerini koruma altına almayı hedeflemektedir (Çakır, 2020; Özdemir, 2021). Her iki mevzuatın temel amacı benzer olmakla birlikte, uygulama esasları ve kapsamları açısından önemli farklar bulunmaktadır. Bu makalede, GDPR ve KVKK’nın hukuki dayanakları, getirdikleri haklar, sorumluluklar ve yaptırımlar incelenecek, karşılaştırmalı bir analiz sunulacaktır.
***
GDPR: Avrupa Birliği’nin Veri Koruma Şampiyonu
Genel Veri Koruma Tüzüğü (GDPR), 25 Mayıs 2018’de yürürlüğe girmiştir ve AB sınırları içinde yaşayan tüm bireylerin kişisel verilerini korumayı amaçlar (Regulation (EU) 2016/679, 2016). GDPR’nin en dikkat çeken özelliklerinden biri, kişisel verilerin yalnızca yasal, meşru ve belirli bir amaç için toplanıp işlenebileceğini öngören şeffaflık ilkesidir (Lindqvist, 2020). Veri sorumluları, bireylerin verilerinin hangi amaçlarla toplandığını açıkça belirtmekle yükümlüdür. Bunun yanında, GDPR veri sahiplerine geniş haklar tanır; örneğin, bireyler verilerinin silinmesini talep edebilir ve verilerinin başka bir platforma aktarılmasını sağlayabilir (Riedel, 2019).
GDPR’nin küresel etkisi, yalnızca AB sınırlarıyla sınırlı kalmamasından kaynaklanır. AB vatandaşlarının verilerini işleyen her kuruluş, bu düzenlemeye tabi olmak zorundadır (Jones, 2019). GDPR’nin bir diğer önemli özelliği, veri ihlalleri karşısında yüksek yaptırımlar öngörmesidir. İhlal durumlarında şirketler, yıllık cirolarının %4’üne kadar ya da 20 milyon Euro’ya kadar para cezası ile karşı karşıya kalabilirler (Wachter, 2018).
KVKK: Türkiye’nin Veri Koruma Yaklaşımı
Türkiye’de 7 Nisan 2016’da yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin kişisel verilerinin korunmasını sağlama amacını taşımaktadır (Arslan, 2020). KVKK, veri sorumlularına kişisel verilerin güvenliği konusunda belirli yükümlülükler getirir ve veri sahiplerine çeşitli haklar tanır. Ancak GDPR ile karşılaştırıldığında, KVKK’nın kapsamı daha sınırlıdır (Göksel, 2018). KVKK, yalnızca Türkiye sınırları içinde işlenen kişisel verileri kapsamakta olup, uluslararası veri aktarımı konusunda daha esnek bir düzenleme getirmektedir (Özçelik, 2020).
KVKK’nın GDPR’ye kıyasla daha düşük yaptırımlar öngördüğü de dikkat çeken bir farktır. KVKK, veri ihlali durumunda şirketlere en fazla 2 milyon TL’ye kadar idari para cezası uygulamaktadır (Erdem, 2021). Bu cezaların GDPR’ye kıyasla daha hafif olması, Türkiye’deki veri güvenliği uygulamalarının AB standartlarına göre daha az caydırıcı olduğu anlamına gelmektedir (Kara, 2022).
***
GDPR ve KVKK’nın Karşılaştırmalı Analizi
a. Hukukî Dayanaklar ve Kapsam
GDPR ve KVKK’nın hukukî dayanakları, her iki düzenlemenin de bireylerin temel hak ve özgürlüklerini korumayı amaçladığını göstermektedir. GDPR, AB’nin 1995’te kabul ettiği Veri Koruma Direktifi’nin güncellenmiş bir versiyonu olarak kabul edilirken, KVKK Türkiye’nin ilk kapsamlı veri koruma düzenlemesidir (Çetinkaya, 2019). Ancak GDPR, yalnızca AB içinde değil, AB vatandaşlarının verilerini işleyen tüm ülkelerde uygulanmakta olup, küresel bir etkisi bulunmaktadır (Albrecht, 2019). Buna karşın, KVKK sadece Türkiye’deki veri işleme faaliyetlerine yönelik olarak sınırlı bir uygulama alanına sahiptir (Kılıç, 2020).
b. Veri Sahiplerine Tanınan Haklar
Veri sahiplerine tanınan haklar açısından da GDPR ve KVKK arasında önemli farklar bulunmaktadır. GDPR, bireylere unutulma hakkı, veri taşınabilirliği hakkı ve profil oluşturma süreçlerine karşı itiraz hakkı gibi yeni haklar tanırken, KVKK’da bu haklar sınırlı bir şekilde düzenlenmiştir (Duman, 2021). KVKK’da yalnızca kişisel verilere erişim ve verilerin düzeltilmesi gibi haklar öne çıkmaktadır (Yıldız, 2022).
c. Yaptırımlar
GDPR ve KVKK’nın getirdiği yaptırımlar da önemli farklılıklar göstermektedir. GDPR, veri ihlali durumunda oldukça ağır yaptırımlar öngörmekte olup, şirketlerin cirolarına oranla ceza uygulamaktadır (Wachter, 2018). Buna karşın, KVKK daha düşük idari para cezaları öngörmektedir. GDPR’ye tabi olan bir şirket veri ihlali durumunda milyonlarca Euro para cezası ile karşılaşabilirken, KVKK kapsamında bu rakam en fazla 2 milyon TL ile sınırlıdır (Arslan, 2020).
Karşılaştırmalı Çizelge: GDPR ve KVKK
Kriter
GDPR
KVKK
Yürürlük Tarihi
25 Mayıs 2018
7 Nisan 2016
Coğrafi Kapsam
AB ülkeleri + AB vatandaşlarının verilerini işleyen tüm ülkeler
Yalnızca Türkiye sınırları içindeki veri işlemleri
Veri Sahiplerine Tanınan Haklar
Unutulma Hakkı, Veri Taşınabilirliği Hakkı, Profil Oluşturma İtirazı
Erişim Hakkı, Düzeltme Hakkı, Silinme Hakkı
Yaptırımlar
%4’e kadar ciro cezası veya 20 milyon Euro’ya kadar
2 milyon TL’ye kadar idarî para cezası
Uluslararası Veri Aktarımı
AB dışına veri aktarımı için sıkı düzenlemeler
Daha esnek ve sınırlı düzenlemeler
***
Sonuç:
AB’nin GDPR’si ve Türkiye’nin KVKK’sı, kişisel verilerin korunması alanında önemli düzenlemeler sunmaktadır. Ancak GDPR’nin küresel etkisi ve yaptırımları açısından daha kapsamlı olduğu, KVKK’nın ise Türkiye’nin özel ihtiyaçlarına göre şekillendiği görülmektedir. Türkiye’nin AB ile veri paylaşımı süreçlerinde uyum sağlamak adına KVKK üzerinde yapılacak düzenlemelerle GDPR’ye daha yakın hale gelmesi, Türkiye’nin dijital ekonomideki rekabet gücünü artırabilir (Lindqvist, 2020).
Av. Fahrettin ÖNDER
TBF Yürütme Kurulu Üyesi
KAYNAKÇA
Albrecht, J. P. (2019). The GDPR and its global impact. Harvard International Law Journal, 60(2), 145-169.
Arslan, H. (2020). Kişisel Verilerin Korunması Kanunu’nun uygulanması. İstanbul Hukuk Dergisi, 28(2), 45-65.
Çakır, F. (2020). GDPR ve KVKK: Karşılaştırmalı bir analiz. Ankara Üniversitesi Hukuk Fakültesi Dergisi, 68(3), 125-150.
Çetinkaya, N. (2019). Avrupa Birliği ve Türkiye’de veri koruma mevzuatı. Kişisel Veriler Dergisi, 3(1), 78-90.
Duman, O. (2021). Kişisel Verilerin Korunması Kanunu ve Avrupa Birliği Genel Veri Koruma Tüzüğü Arasındaki Farklar. Ankara: Adalet Yayınevi.
Erdem, A. (2021). KVKK’daki Veri İhlalleri ve Cezalar. Marmara Hukuk Dergisi, 52(4), 167-185.
Göksel, S. (2018). GDPR’nin Türkiye’ye Etkisi: KVKK’nın Gözden Geçirilmesi. Bilişim Hukuku Dergisi, 34(3), 45-67.
Jones, M. (2019). GDPR’s extraterritorial effect. Privacy and Data Security Law Journal, 16(1), 12-30.
Kara, T. (2022). Türkiye’de Kişisel Verilerin Korunması: KVKK Uygulamaları ve Sorunlar. Veri Güvenliği Hukuku Dergisi, 13(2), 80-94.
Kılıç, O. (2020). KVKK’da Uluslararası Veri Aktarımı. Türkiye Bilişim Hukuku Dergisi, 22(5), 38-56.
Lindqvist, M. (2020). GDPR: A Comparative Legal Analysis With Turkey’s KVKK. European Journal of Law and Technology, 11(2), 23-40.
Özçelik, S. (2020). Kişisel Verilerin Korunmasında GDPR ve KVKK Farkları. İstanbul Barosu Dergisi, 48(2), 34-56.
Özdemir, F. (2021). Türkiye’de Kişisel Verilerin Korunması Mevzuatı. İzmir Barosu Hukuk Dergisi, 24(1), 65-84.
Riedel, D. (2019). The Right to Data Portability Under GDPR. Journal of European Consumer and Market Law, 8(4), 67-85.
Wachter, S. (2018). Privacy Under The GDPR: Rights, Duties, and Consequences. International Data Privacy Law, 8(3), 220-243.
Yıldız, M. (2022). KVKK ile GDPR Arasındaki Farklar. Bilgi Hukuku Dergisi, 17(3), 91-105.