Ana Sayfa
Kavram Arama : THS Google   |   Forum İçi Arama  

Üye İsmi
Şifre

Aktif Makale Kişisel Verilerin Korunması Kanunu Ve Avrupa Genel Veri Koruma Kanunu (Gdpr)Karşılaştırma Üzerine Bir Çalışma

Yazan : Av.Ayşe Dimdik [Yazarla İletişim]
Stajyer Avukat

Makale Özeti
Son dönemde veri işletme teknolojisinde gerçekleşen gelişmeler doğrultusunda çoğu ülkede kişisel veri ve bu verilerin korunması kavramları kanuni bir boyut kazanmaya başlamıştır. Her ülkenin hukuk düzenine adapte olabilecek nitelikte olan bu kavram çoğu hukuk sisteminde kişilik hakları ile bağdaşır. Bu nedenle bu hukuk alanı evrensel nitelikler taşımakta olup, her ülke bu hukuk dalını kendi mevzuatına uyum sağlaması açısından kendine özgü değişikliklerle hukuk sistemlerine adapte eder.

KİŞİSEL VERİLERİN KORUNMASI KANUNU VE
AVRUPA GENEL VERİ KORUMA KANUNU (GDPR)KARŞILAŞTIRMA ÜZERİNE BİR ÇALIŞMA
GİRİŞ

Son dönemde veri işletme teknolojisinde gerçekleşen gelişmeler doğrultusunda çoğu ülkede kişisel veri ve bu verilerin korunması kavramları kanuni bir boyut kazanmaya başlamıştır. Her ülkenin hukuk düzenine adapte olabilecek nitelikte olan bu kavram çoğu hukuk sisteminde kişilik hakları ile bağdaşır. Bu nedenle bu hukuk alanı evrensel nitelikler taşımakta olup, her ülke bu hukuk dalını kendi mevzuatına uyum sağlaması açısından kendine özgü değişikliklerle hukuk sistemlerine adapte eder.
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016 tarihinde, yan Avrupa Genel Veri Koruma Tüzüğü’nden [1] (General Data Protection Regulation (‘’GDPR’’)) kısa bir süre önce yürürlüğe girmiştir. KVKK’nin lafzında ve düzenlemelerinde GDPR öncesi yürürlükte olan 95\46\AT sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif referans alındığından, KVKK ve GDPR arasında oldukça fazla benzerlik olmasına rağmen, tam anlamıyla bir uyumluluktan bahsetmek mümkün olmayacaktır.
Bu çalışmada KVKK ve GDPR arasındaki benzerlik ve farklılıklara değinilerek, bu iki düzenlemenin de konusunu oluşturan veri sorumluluklarının her iki düzenlemeye de uyum sağlama zorunluluğu ortaya koyulacaktır.
KVKK da GDPR da, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleyerek kişinin mahremiyetinin korunması ve veri güvenliğinin sağlanması amaçlarını gerçekleştirmek amacındadır. Ayrıca bu iki düzenlemede kişisel verilerin sınırsız biçimde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, açıklanması veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.
Her ne kadar söz konusu iki mevzuat aynı konuyu aynı amaçla düzenliyor olsa da, aynı zamanda iki mevzuat arasında hukuk sistemlerinin ulusallığı nedeni ile bazı farklar mevcuttur.

A.1.KVKK VE GPDR ARASINDAKİ TEMEL FARKLILIKLAR
1.1.)Veri İhlalinden Kaynaklanan Sorumluluk

GDPR madde 82 uyarınca, “bu tüzüğe ilişkin bir ihlal sonucu maddi veya manevi zarar gören herhangi bir kişi, yaşanan zarara ilişkin olarak kontrolör (veri sorumlusu) veya işleyiciden tazminat alma hakkına sahiptir”. Bu maddeden açıkça anlaşıldığı üzere, GDPR veri ihlalinden doğan zararlardan hem veri sorumlusunu hem de veri işleyeni sorumlu tutar. Bunun yanında. KVKK madde 18/2 uyarınca, “bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler özel hukuk tüzel kişileri hakkında uygulanır.”
Özetle KVKK veri sorumlusu ve işleyenin sorumlulukları ayrı ayrı düzenlemiş ve kanunda düzenlenen idari para cezalarından sadece veri sorumlusunu sorumlu tutmuştur. Bu kapsamda veri sorumlusu ve veri işleyenin aralarındaki rücu ilişkisi saklıdır.

2.1.)Veri Koruma Görevlisi ve Veri Koruma Temsilcisi
KVKK’ da düzenlenmemiş ancak GDPR’ da belirtilen koşulları varlığı halinde görevlendirilmesi öngörülen iki ayrı kavram mevcuttur, bunlar veri koruma görevlisi (Data Protection Officer (“DPO”)) ve veri koruma temsilcisidir (Data Protection Representive (“DPR”)). GDPR madde 37 uyarınca ,“işleme faaliyetinin kendi yargı yetkisi çerçevesinde hareket eden mahkemeler haricindeki bir kamu kuruluşu veya organı tarafından gerçekleştirilmesi
Kontrolör veya işleyicinin temel faaliyetlerinin yapıları, kapsamları ve /veya amaçlarım gereği veri sahiplerinin düzenli ve sistematik bir şekilde büyük çaplı olarak izlenmesini gerektiren işleme faaliyetlerinden meydana gelmesi veya
Kontrolör veya işleyicinin temel faaliyetlerinin 9 maddesi uyarınca özel kategorilerdeki verilerin ve 10. Maddede atıfta bulunan mahkûmiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesinden meydana gelmesi hallerinde DPO atanması zorunludur. Aynı şekilde GDPR madde 27 uyarınca. AB dâhilinde yerleşik olmayan veri sorumluları, i) veri işlemenin nadir olduğu ve bu nadir veri işleme sırasında geniş ölçekli özel nitelikli kişisel verilerin işlenmediği veya
Veri sorumlusunun kamu görevlisi olması hususları hariç, herhangi bir AB ülkesinde yerleşik bir DPR atamakla yükümlüdür.

3.1.) Veri Koruma Etki Değerlendirmesi
GDPR madde 35’de düzenlenen veri koruma etki değerlendirmesinin ( Data Protection Impact Assessment (“DPIA”)),
gerçek kişilerle ilgili kişisel özellikler hususunda görüntü çıkarma da dâhil olmak üzere otomatik işlemeye dayalı olan ve gerçek kişi ile ilgili hukuki sonuçlar doğuran veya gerçek kişiyi kayda değer şekilde etkileyen kararların dayandığı sistematik ve kapsamlı bir değerlendirme yapılması;
9(1) maddesinde atıfta bulunan özel kategorilerdeki verilerin veya 10. Maddede atıfta bulunulan mahkûmiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesi veya
kamunun erişebileceği bir alanın büyük çaplı olarak sistematik bir şekilde izlenmesi durumlarında gerçekleştirilmesi öngörülür. Bu kapsamında bir değerlendirme KVKK’ da düzenlenmez.

4.1.) Veri Sorumluları Sicili
GDPR’ın aksine KVKK, belirli istisnalar haricindeki veri sorumlularına Veri Sorumluları Sicil yani VERBİS’e kayıt yükümlülüğü getirir. Bu sicil KVKK kapsamındaki yükümlülüklerden biri olan veri envanteri hazırlama yükümlülüğünün bir parçası olup, veri sorumlusunun veri işleme faaliyetini en kapsamlı şekilde aktarmakla yükümlü olduğu veri envanterinin çerçevesini oluşturur. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan gerçek ve tüzel kişi veri sorumluları ve yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının VERBİS’e kayıt yükümlülüğünü yerine getirmeleri için son tarih 30.06.2020’dir ve kayıt yükümlülüğünün yerine getirilmemesi halinde 20.000 TL’den 1.000.000 TL’ye kadar idari para cezası gündeme gelebilecektir.

5.1.) İşleme Faaliyetinin Kayıtları
GDPR’da, KVKK’da yer alan Veri Sorumlulukları Siciline kayıt yükümlülüğü gibi kamuya açık bir platformda işleme faaliyetlerinin alenileştirilmesi öngörülmüşse de; veri sorumluları GDPR madde 30’da belirtilen bilgileri içerir kayıtlar tutmak ve gerektiğinde veri koruma otoritesinde bu kayıtları göstermekle yükümlüdür. Aynı yükümlülük veri envanteri hazırlama yükümlülüğü ile KVKK kapsamında da getirilmiş ve içeriği Veri Sorumluları Sicili Hakkında Yönetmelik’te düzenlenmiştir.

6.1.) İdari Para Cezaları
GDPR’da öngörülen idari para cezaları KVKK’da düzenlenenlerden oldukça fazladır. KVKK’daki para cezalarının üst sınırı 20.000.000 EUR veya bir önceki mali yılın yıllık dünya çapındaki cirosunun %4’üne kadar belirlenebilir.

7.1.) Unutulma Hakkı
Her ne kadar KVKK veri sahibinin hakları altında veri sorumlusundan işlemeye konu kişisel verileri hakkında bilgi alma ve bunların silinmesini isteme hakkını düzenlese de, GDPR unutulma hakkını ayrıntılı bir biçimde düzenler. GDPR madde 17 uyarınca veri sorumlusu,
Kişisel verilerin toplanma veya işlenme amaçlarıyla ilişkili olarak artık gerekli olmaması
Veri sahibinin 6(1) maddesinin (a) bendi veya 9(2) maddesinin (a) bendine göre işleme faaliyetinin dayandığı izni geri çekmesi ve işleme faaliyetiyle ilgili başka bir yasal gerekçe bulunmaması
Veri sahibinin 21(1) maddesi uyarınca işleme faaliyetine itirazda bulunması ve işleme faaliyetine yönelik ağır basan meşru bir gerekçe bulunmaması ya da veri sahibinin 21(2) maddesi uyarınca işleme faaliyetine itirazda bulunması
Kişisel verilerin yasa dışı biçimde işlenmiş olması
Kontrolörün tabi olduğu Birlik veya üye devlet hukukundaki bir yasal yükümlülüğe uygunluk sağlanması amacı ile kişisel verilerin silinmesinin zorunlu olması ve
Kişisel verilerin KVKK8(1) maddesinde atıfta bulunulan bilgi toplumu hizmetlerinin sağlanması ile ilgili toplanmış olması hallerinde veri sahibinin verilerini gecikmeye mahal vermeksizin silmek zorundadır.

A.2.Yer Bakımında Uygulama
GDPR madde 3 uyarınca;
1.Bu Tüzük, işleme faaliyeti Birlik içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın, Birlik içerisindeki bir kontrolör veya işleyicinin işletmesinin faaliyetleri bağlamında kişisel verilerin işlenmesine uygulanır.
2.Bu Tüzük, işleme faaliyetlerinin aşağıdaki hususlarla alakalı olması durumunda, Birlik içerisinde bulunan veri sahiplerinin kişisel verilerinin Birlik içerisinde kurulu olmayan bir kontrolör veya işleyici tarafından işlenmesine uygulanır. Veri sahibine bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Birlik içerisindeki söz konusu veri sahiplerine mal ya da hizmetlerinin sunulması veya davranışları birlik içerisinde gerçekleştirdiği ölçüde, davranışlarının izlenmesi söz konusudur.
3.Bu Tüzük, Birlik içerisinde değil, ancak bir üye devletin hukukunun uluslararası kamu hukuku vasıtasıyla uygulandığı bir yerde kurulu bulunan bir kontrolör tarafından kişisel verilerin işlenmesine uygulanır.
Özetle GDPR,
Veri işleminin AB içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın veri işleyen veya veri sorumlusunun AB içerisinde yerleşik olduğu;
AB dahilinde yerleşik olmayan veri sorumluları veya veri işleyenlerce, mal ve hizmet sunumu faaliyetleri için veya veri sahiplerinin davranışlarının gözetlenmesi amacı ile sunumu faaliyetleri için veya veri sahiplerinin davranışlarının gözetlenmesi amacı ile AB’de yerleşik veri sahiplerinin verilerinin işlendiği ve
AB üyesi ülkenin milli hukukunun somut olaya uygulanabildiği durumlarda uygulanır.
Sonuç olarak AB içerisinde müşteri tabanı bulunan tüm mal ve hizmet sağlayıcıları veya çevrimiçi davranışsal reklamcılık (online behavioral advertising) mekanizmasından yararlanan internet siteleri ve mobil uygulamalar, veri işleme faaliyetlerinin GDPR’a uygun gerçekleştirmek zorundadırlar.
Bununla birlikte, KVKK ise, veri operasyonları Türkiye’de yürüten tüm gerçek ve tüzel kişileri kapsayan bir kanundur. Her ne kadar KVKK’da GDPR kadar açık bir düzenleme bulunmasa dahi Türkiye veri koruma otoritesi Kişisel Veri Koruma Kurulu’nun yayınladığı rehber ve kararlardan, veri operasyonlarını Türkiye’de gerçekleştiren yurtdışında yerleşik veri sorumlularının “yıllık çalışan sayısı” ve “yıllık mali bilanço toplamı” kriterlerine bakılmaksızın Veri Sorumluları Siciline kayıt yükümlülüğünün bulunduğu içtihat edilmiştir. Ayrıca Veri Sorumluları Sicili Hakkında Yönetmelik madde 5/1,c uyarınca “Türkiye’de yerleşik olmayan veri sorumluları, veri işlemeye başlamadan önce veri sorumlusu temsilcisi marifetiyle Sicile kaydolmak zorundadır”. Dolayısıyla KVKK kapsamında yer alan, yani Türkiye’de veri işleme faaliyeti gerçekleştiren veri sorumluları ve veri işleyenlerin, yurtiçinde yerleşik olsun veya olmasın, KVKK ve ilgili mevzuata uygun davranması gerekmektedir.
Bunun ek olarak Kurul’un 08.11.2019 tarihli kamuoyu duyurusunda; “bahse konu veri sorumlulukları tarafından aydınlatma yükümlülüğünün yerine getirilmesi amacıyla hazırlanan metinlerde GDPR’a uyum sağlandığına yönelik ifadelere yer verilmesinin, veri sorumlularının 6698 sayılı Kişisel Verilerin Korunması Kanuna karşı yükümlülüklerini ortadan kaldırmadığının, bu itibarla GDPR’a yapılan atıfların yanı sıra söz konusu aydınlatma metinlerinde belirtilen politika ve kuralların öncelikle 6698 sayılı Kişisel Verilerin Korunması Kanununa uygun olduğunun belirtilmesi gerektiğinin hatırlatılmasında fayda görülmektedir”[6] denilmesi suretiyle KVKK açısından yükümlülüklerinin yerine getirebilmesi için GDPR hükümlerine uyumlu olmanın yeterli olmadığı belirtilmiştir.

SONUÇ
Kişisel verilerin korunması mevzuatı olan GDPR ve KVKK aynı amaç ile aynı konuyu düzenliyor olsa dahi, aynı zamanda iki mevzuat arasında hukuk sistemlerinin ulusallığı nedeni ile bazı farklar mevcuttur. Bu nedenle söz konusu iki mevzuatın da aynı anda konusunu oluşturan veri sorumluları ve veri işleyenler, iki mevzuata da bütünüyle uymakla yükümlüdür. Ayrıca Kurul, bu yönde yayınladığı bir kamuoyu duyurusunda her iki mevzuatın da konusuna giren veri sorumlularının sadece bir mevzuata uygun olduklarını belirtmelerinin yeterli olmayacağını belirtmiştir.









KAYNAKÇA

http://www.erdem-erdem.av.tr/yayinlar/hukuk-postasi/kisisel-verilerin-korunmasi-mevzuati-kapsaminda-kisisel-veri-veri-isleyen-veri-sorumlusu-ve-irtibat-kisisi-kavramlari/

https://verbis.kvkk.gov.tr/UploadedFiles/SORULARLA_VERB%C4%B0S.pdf

https://www.kvkk.gov.tr/Icerik/6561/KAMUOYU-DUYURUSU

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ: L:2016:119:TOC

http://www.erdem-erdem.av.tr/yayinlar/hukuk-postasi/6698-sayili-kisisel-verilerin-korunmasi-kanunu-ve-avrupa-genel-veri-koruma-tuzugu/#_edn3

https://www.hukukihaber.net/kisisel-verilerin-korunmasinda-avukatin-rolu-makale,7358.html

https://guden.av.tr/kvkk-gdpr-uzerine-karsilastirma

Bu makaleden kısa alıntı yapmak için alıntı yapılan yazıya aşağıdaki ibare eklenmelidir :

"Kişisel Verilerin Korunması Kanunu Ve Avrupa Genel Veri Koruma Kanunu (Gdpr)Karşılaştırma Üzerine Bir Çalışma" başlıklı makalenin tüm hakları yazarı Av.Ayşe Dimdik'e aittir ve makale, yazarı tarafından Türk Hukuk Sitesi (http://www.turkhukuksitesi.com) kütüphanesinde yayınlanmıştır.

Bu ibare eklenmek şartıyla, makaleden Fikir ve Sanat Eserleri Kanununa uygun kısa alıntılar yapılabilir, ancak yazarının izni olmaksızın makalenin tamamı başka bir mecraya kopyalanamaz veya başka yerde yayınlanamaz.


[Yazıcıya Gönderin] [Bilgisayarınıza İndirin][Arkadaşa Gönderin] [Yazarla İletişim]
Bu makaleye henüz okuyucu yorumu eklenmedi. İlk siz yorumlayın!
» Makale Bilgileri
Tarih
29-06-2021 - 21:23
(993 gün önce)
Yeni Makale Gönderin!
Değerlendirme
Şu ana dek 3 okuyucu bu makaleyi değerlendirdi : 3 okuyucu (100%) makaleyi yararlı bulurken, 0 okuyucu (0%) yararlı bulmadı.
Okuyucu
1936
Bu Makaleyi Şu An Okuyanlar (1) :  
* Son okunma 2 saat 20 dakika 15 saniye önce.
* Ortalama Günde 1,95 okuyucu.
* Karakter Sayısı : 12870, Kelime Sayısı : 1460, Boyut : 12,57 Kb.
* 3 kez yazdırıldı.
* 3 kez indirildi.
* Henüz yazarla iletişime geçen okuyucu yok.
* Makale No : 2170
Yorumlar : 0
Bu makaleye henüz okuyucu yorumu eklenmedi. İlk siz yorumlayın!
Makalelerde Arayın
» Çok Tartışılan Makaleler
» En Beğenilen Makaleler
» Çok Okunan Makaleler
» En Yeni Makaleler
THS Sunucusu bu sayfayı 0,03692293 saniyede 14 sorgu ile oluşturdu.

Türk Hukuk Sitesi (1997 - 2016) © Sitenin Tüm Hakları Saklıdır. Kurallar, yararlanma şartları, site sözleşmesi ve çekinceler için buraya tıklayınız. Site içeriği izinsiz başka site ya da medyalarda yayınlanamaz. Türk Hukuk Sitesi, ağır çalışma şartları içinde büyük bir mesleki mücadele veren ve en zor koşullar altında dahi "Adalet" savaşından yılmayan Türk Hukukçuları ile Hukukun üstünlüğü ilkesine inanan tüm Hukukseverlere adanmıştır. Sitemiz ticari kaygılardan uzak, ücretsiz bir sitedir ve her meslekten hukukçular tarafından hazırlanmakta ve yönetilmektedir.