Özet

Kişisel verilerin korunması tüm dünyada uzun yıllardır çalışılan bir konu olmakla birlikte, teknolojinin hızlı gelişimi karşısında hızla boyut değiştirmektedir. Bu nedenle, son yıllarda ülkelerin veri koruma hukuki altyapılarını, güncel teknolojik gelişmelerle uygulamaların arttığı görülmektedir. Bu kapsamda, Avrupa Birliği ülkelerinde “Genel Veri Koruma Tüzüğü (General Data Protection Regulation–GDPR)” 14 Nisan 2016 tarihinde yürürlüğe girmiştir. Türkiye’de kişisel verilerin korunmasına ilişkin yasal düzenleme 7 Nisan 2016 tarihli 6698 sayılı “Kişisel Verilerin Korunması Kanunu” yürürlüğe girmesiyle ülkemiz bilişim sektörünün başta yurt dışına bilgi toplumu hizmetleri ve sınır ötesi veri paylaşımı etkin çalışmasının sağlanması için önemli bir adım atılmıştır. Bu çalışmada Kişisel Verilerin Korunması Kanunu ve Genel Veri Koruma Tüzüğü karşılaştırılması yapılmıştır. Bu makalede, Kişisel Verilerin Korunması Kanunu ve Genel Veri Koruma Tüzüğü arasındaki en temel ve dikkat edilmesi gereken farklılıklar incelenerek anlatılmıştır.

GİRİŞ

Genel Veri Koruma Tüzüğüne bakıldığında kapsamı daha geniştir. Avrupa Birliğine üye ülke vatandaşlarının herhangi birinin kişisel verilerini işleyen tüm şirketler sorumludur.

Teknolojinin gün geçtikçe gelişmesi ve kullanım alanının artmasının bir sonucu olarak, ülkeler tarafından özel hayatın gizliliği, kişisel verilerin korunması gibi konulara daha da dikkat ve özen gösterilmektedir.

Kişisel Verilerin Korunması Kanunu ve Genel Veri Koruma Tüzüğü de bu noktada devreye giren, kişisel verilerin hakkının korunmasını gözeten kanunlardır. Buna ek olarak, kişisel verilerin sınırsız ve gelişi güzel toplanmasının, yetkisiz kişilerin erişmesine, verinin ifşasının veya amaçları dışında, kötüye kullanarak kişisel hakların ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.

Kişisel Verilerin Korunması Kanunu ve Genel Veri Koruma Tüzüğü genel olarak aynı amaçlara hizmet eden yasal düzenlemeler olsalar da farklı ülkelerin hukuk sistemlerinde doğmuş ve farklı genişlik ve darlıklarda düzenlemeler bulundurmaktadırlar [1].

KİŞİSEL VERİLERİN KORUNMASI KANUNU

Kişisel veri, gerçek kişiyi belirlenebilir kılan her türlü bilgiyi ifade etmektedir. Burada her türlü bilgi çok geniş bir kapsam olup dolaylı yoldan olsa da kişiyi belirlenebilir kılıyorsa kişisel veri olarak kabul edilmektedir. Kişisel veriden söz edebilmek için, verinin gerçek bir kişiyle ilgili olması gerekmektedir.

Kişisel verilere örnekler verecek olursak TC Kimlik numarası, adres bilgisi, telefon numarası, konum bilgileri,  güvenlik kamerası kayıtları, doğum tarihi, kimlik bilgileridir. Kişinin ruhsal ve fiziksel sağlığına ilişkin bilgiler sağlık verisidir. Özel Nitelikli kişisel verilere örnekler, dini, mezhebi, ırkı, siyasi düşüncesi, etnik kökeni, cinsel hayatı, biyometrik kayıtlardır.

Kişisel verilerin işlenmesi, kişisel verinin tamamının veya bir kısmının elle veya otomatik olarak elde edilmesi, kayıt altına alınması, kaydedilmesi, korunması, değiştirilmesi, düzenlenmesi, aktarılması, açıklanması, devralınması, sınıflandırılması veriler üzerinde gerçekleştirilen her türlü işleme denir. Bir kişinin nüfus cüzdanı bilgilerinin taşınabilir diske kaydedilmesi veri işleme faaliyetidir.

Kişisel verilerin belirtilen şekilde toplandıktan sonra silme, yok etme ya da anonim hale getirme işlemlerine kadar olan süreçte gerçekleştirilen her türlü faaliyette kanunda kişisel verilerin işlenmesi olarak değerlendirilmektedir. [1]

İlgili kişi, kişisel verisi işlenen gerçek kişiyi ifade eder. Kanunda, yalnızca gerçek kişilerin verileri korunmaktadır, tüzel kişilerin verileri KVKK kapsamı dışında tutulmuştur.

6698 sayılı Kişisel Verilerin Korunması Kanunu, 24 Mart 2016’da Türkiye Büyük Millet Meclisi’nde kabul edilmiştir. 7 Nisan 2016 tarihinde Resmî Gazete de yayınlanmış 33 asıl ve 2 geçici maddeden oluşan bir kanundur.

Kişisel Verilerin Korunması Kanunu’nun amacı kişisel verilerin işlenmesinde başta özel    hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenleme amacı taşımaktadır. Kişisel verilerin korunmasıyla ilgili ulusal düzenlenmeler Şekil-1’de gösterilmiştir.

Şekil 1. Kişisel verilerin Korunmasıyla ilgili ulusal düzenlenmeler

GENEL VERİ KORUMA TÜZÜĞÜ

Genel Veri Koruma Tüzüğü (GDPR- General Data Protection Regulation) Avrupa Birliği genelinde Avrupa Birliği vatandaşlarının kişisel verilerini korumaya yönelik oluşturulmuştur. 25.05.2018 tarihinden itibaren Avrupa Birliği’ne üye ülkelerde yürürlüğe giren GDPR, Avrupa Birliği’ne üye ülkelerde, kurum ve kuruluşlarda var olan kişisel verilerin yönetmelikte belirtilen kanunlar çerçevesinde güvenliğini sağlamayı konu edinmiştir.

Genel Veri Koruma Tüzüğü, Avrupa birliğine üye ülkelerin sınırları içerisindeki vatandaşlarının kişisel verilerini barındıran bütün işletmeleri kapsamaktadır. Şirketlerin veya kişilerin konumu Avrupa birliğine üye ülkelerin sınırları içerisinde bulunmasa dahi Avrupa Birliği vatandaşlarının bilgilerini topladığı için Genel Veri Koruma Tüzüğünden sorumlu tutulmaktadır [2]. Kişisel verilerin korunmasıyla ilgili uluslararası düzenlenmeler Şekil-2 gösterilmiştir.

Şekil 2. Kişisel verilerin korunmasıyla ilgili uluslararası düzenlenmeler.

KİŞİSEL VERİLERİ KORUNMASI KANUNU VE GENEL VERİ KORUMA TÜZÜĞÜ KARŞILAŞTIRMASI

Bu bölümde Kişisel Verilerin Korunması Kanunu ve Genel Veri Koruma Tüzüğün arasında farklar anlatılacaktır.

Bölgesel Kapsam

Kişisel Verileri Koruma Kanunu ve Genel Veri Koruma Tüzüğü karşılaştırmasında karşımıza çıkan en önemli fark uygulama bölgeleri olarak görülmektedir.

Kişisel Verileri Koruma Kanunu kapsamı Türkiye’de kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsamaktadır.

Veri Sorumluları madde 5/1c uyarınca “Türkiye’de yerleşik olmayan veri sorumluları, veri işlemeye başlamadan önce veri sorumlusu temsilcisi marifetiyle sicile kaydolmak zorundadır”. Dolayısıyla Kişisel Verileri Koruma Kanunu kapsamında yer alan, yani Türkiye’de veri işleme faaliyeti gerçekleştiren veri sorumluları ve işleyenlerin, yurtiçinde yerleşik olsun veya olmasın, Kişisel Verileri Koruma Kanuna uyması gerekmektedir.

Genel Veri Koruma Tüzüğü’nün uygulama alanı madde 3’ te düzenlenmiştir. Madde 3:

1. Bu Tüzük, işleme faaliyeti Birlik içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın, Birlik içerisindeki bir veri sorumlusu veya işleyenin işletmesinin faaliyetleri bağlamında kişisel verilerin işlenmesine uygulanır.

2. Bu Tüzük, işleme faaliyetlerinin aşağıdaki hususlarla alakalı olması durumunda, Birlik içerisinde bulunan ilgili kişilerin kişisel verilerinin Birlik içerisinde kurulu olmayan bir veri sorumlusu veya işleyen tarafından işlenmesine uygulanır:

a. İlgili kişiye bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Birlik içerisindeki söz konusu ilgili kişilere mal ya da hizmetlerin sunulması veya

b. Davranışları birlik içerisinde gerçekleştiği ölçüde, davranışlarının izlenmesi.

3. Bu Tüzük, Birlik içerisinde değil, ancak bir üye devletin hukukunun uluslararası kamu hukuku vasıtasıyla uygulandığı bir yerde kurulu bulunan bir veri sorumlusu tarafından kişisel verilerin işlenmesine uygulanır.

Genel Veri Koruma Tüzüğün de veri işlemenin Avrupa Birliği üye ülke sınırları içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın veri işleyen veya veri sorumlusunun Avrupa Birliği içerisinde yerleşik olmadığı veri sorumluları veya veri işleyenlerce, mal ve hizmet sunumu faaliyetleri için veya veri sahiplerinin davranışlarının gözetlenmesi amacı ile Avrupa Birliğinde yerleşik veri sahiplerinin verilerinin işlendiği ve AB üyesi ülkenin milli hukukunun somut olaya uygulanabildiği durumlarda uygulanır.

Sonuç olarak, Avrupa Birliği içerisinde müşterisi, bulunan tüm firmalar, online dijital reklamcılık hizmeti veren firmalar, internet sayfaları ve mobil uygulamalar, veri işleme faaliyetlerini Genel Veri Koruma Tüzüğüne uygun gerçekleştirmek zorundadırlar [3].

Kişisel Veri İşlemenin Temel İlkeleri

Kişisel Verileri Koruma İlkeleri Bakımından 6698 sayılı Kanun ile Genel Veri Koruma Tüzüğü Karşılaştırma tablosu Tablo 1’de gösterilmiştir.

              Tablo 1. Kişisel verileri işlemenin temel ilkeleri

Tablo 1’de görüldüğü gibi veri işlemenin temel özellikleri gerek 6698 sayılı Kanun’da yer alan temel ilkelerin gerekse Genel Veri Koruma Tüzüğü kapsamında yer alan veri işlemenin ilkeleri kişisel verilerin işlenmesiyle ilgili teknolojik gelişmelerle de uyumlu olacak esneklikte hazırlandığı değerlendirilmektedir. Genel Veri Koruma Tüzüğü kapsamında söz konusu ilkelerin uygulanmasından sorumlu olan veri kontrolörünün hesap verebilirliği artırılmıştır. Genel Veri Koruma Tüzüğü’nün temel yaklaşımında yer alan artırılmış kişisel veri koruması eğilimine paralel olarak ilkelerin uygulanmasından sorumlu olan veri kontrolörü doğrudan temel ilkeler başlıklı 5. Maddede düzenlenmiştir. 6698 sayılı Kanun’da ise doğrudan genel ilkeler başlıklı 4. maddede yer almamakla birlikte veri sorumlusunun yükümlülüklerine ilişkin 12. maddenin lafzından söz konusu alanda veri sorumlusunun yükümlü olduğu anlaşılmaktadır [4].

Unutulma Hakkı

İlgili kişinin haklarından olan unutulma hakkı, Kişisel Verileri Korunma Kanun’unda veri sahibinin hakları altında veri sorumlusundan işlemeye konu kişisel verileri hakkında bilgi alma ve bunların silinmesini isteme hakkını düzenlemiştir.

Ancak unutulma hakkının uygulanmasında Kişisel Verileri Korunma Kanunu’nda kavramsal olarak söz konusu hakka yer verilmemiştir [5].

Genel Veri Koruma Tüzüğü unutulma hakkını ayrıntılı bir biçimde düzenlemiştir. Genel Veri Koruma Tüzüğü 17. Maddede veri sorumlusu; kişisel verilerin toplanma veya işlenme amaçlarıyla ilişkili olarak artık gerekli olmaması veri sahibinin 6 (1) maddesinin (a) bendi veya 9 (2) maddesinin (a) bendine göre işleme faaliyetinin dayandığı izni geri çekmesi ve işleme faaliyetiyle ilgili başka bir yasal gerekçe bulunmaması veri sahibinin 21 (1) maddesi uyarınca işleme faaliyetine itirazda bulunması ve işleme faaliyetine yönelik ağır basan meşru bir gerekçe bulunmaması ya da veri sahibinin 21 (2) maddesi uyarınca işleme faaliyetine itirazda bulunması; kişisel verilerin yasa dışı biçimde işlenmiş olması; kontrolörün tabi olduğu birlik veya üye devlet hukukundaki bir yasal yükümlülüğe uygunluk sağlanması amacı ile kişisel verilerin silinmesinin zorunlu olması kişisel verilerin 8(1) maddesinde atıfta bulunulan bilgi toplumu hizmetlerinin sağlanması ile ilgili toplanmış olması hallerinde veri sahibinin verilerini gecikmeye mahal vermeksizin silmek zorundadır.

Özetle Genel Veri Koruma Tüzüğü’nde, bireylerin kendilerine ait kişisel verilerini kontrol etmeleri mümkündür. Silme hakkı olarak da ifade edilen unutulma hakkı bulunmaktadır. Belli istisnalar haricinde istemesi halinde o veriye dair unutulma hakkını kullanılabilir [4].

Veri Sorumlusu Yükümlülüğü

Genel Veri Koruma Tüzüğü veri sorumlusunun yükümlülüklerini arttırmış risk temelli bir yaklaşım benimsenmiştir. Bu yaklaşımda veri sorumlusunun risk seviyesi arttıkça hesap verilebilirliğine ilişkin yükümlülüklerini de arttırmaktadır.

Genel Veri Koruma Tüzüğü veri işleyende sorumluluk verilmektedir.  Madde 82 “Bu tüzüğe ilişkin bir ihlal sonucu maddi veya manevi zarar gören herhangi bir kişi, yaşanan zarara ilişkin veri sorumlusu veya veri işleyiciden tazminat alma hakkına sahiptir.”  Maddeden de açıkça anlaşılacağı üzere, Genel Veri Koruma Tüzüğü veri ihlalinden doğan zararları hem veri sorumlusu hem de işeyeni sorumlu tutmaktadır [3].

Kişisel Verileri Korunması Kanunun da ise veri işleyene herhangi bir yaptırım uygulanmamaktadır. İdari para cezaları sadece veri sorumlusuna uygulanmaktadır.

Veri Koruma Görevlisi

Kişisel Verileri Korunma Kanunu’nda yer almayan veri koruma görevlisi “Kamu kurumları ve temel faaliyeti ilgisi kişilerin düzenli ve sistematik bir şekilde büyük çaplı olarak izlenmesi olan veri sorumluları ile temel faaliyeti özel nitelikli kişisel verilerin işlenmesi olan veri sorumları ve işleyenlerin veri koruma görevlisi atama yükümlülüğü bulunmaktadır. Veriyi koruma görevlisi kişisel verilerin verisini koruma kurallarına uygun olarak işlenmesi sağlamaktadır.

Veri Koruma Etki Değerlendirmesi

Genel Veri Koruma Tüzüğü’nde veri işlemenin yüksek riskler arz ettiği hallerde veri koruma etki değerlendirmesi yapılmalıdır. Kişisel Verileri Korunma Kanunu’nda böyle bir değerlendirme yapılmamaktadır.

Genel Veri Koruma Tüzüğü Madde 35 “Özellikle yeni teknoloji kullanan işleme türü ve söz konusu veri işlemenin mahiyeti, bağlamı ve amaçları dikkate alındığında bir işleme türünün gerçek kişilerin hak ve özgürlükleri için yüksek risk doğurma ihtimali olduğunda, veri sorumlusu, işleme faaliyetinden önce, planlanan işleme faaliyetlerinin kişisel verilerin korunmasına olan etkisine ilişkin bir değerlendirme yapacaktır.”

Bu değerlendirmeye “Veri Koruma Etki Değerlendirmesi” (Data Protection Impact Assessment – DPIA) denmektedir.  Mahremiyet (Gizlilik) Etki Değerlendirmesinin (PIA – Privacy Impact Analysis) türüdür.

Değerlendirmenin gerekli olduğu ürün veya hizmetler maddede şöyle açıklanmıştır:

“Gerçek kişilerle ilgili kişisel özellikler hususunda profil çıkarma da dahil olmak üzere otomatik işlemeye dayalı olan ve gerçek kişi ile ilgili hukuki sonuçlar doğuran veya gerçek kişiyi kayda değer şekilde etkileyen kararların dayandığı sistematik ve kapsamlı bir değerlendirme yapılması,  özel kategorilerdeki kişisel verilerin veya mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesi,  kamunun erişebileceği bir alanın büyük çaplı olarak sistematik bir şekilde izlenmesi durumlarında gerçekleştirilmesi öngörülür.

İdari Para Cezaları

Kişisel Verileri Korunma Kanunun da 4 Başlık altında 5000 TL ile 1.000.000 arasında değişen idari para cezaları uygulanmaktadır.

Genel Veri Koruma Tüzüğü’ne göre veri sorumlularının ve veri işleyenlerin yükümlülüklerini yerine getirmemesi durumunda veri sorumlularına 10.000.000 € veya bir önceki mali yılda dünya çapındaki yıllık cironun %2’si kadar ceza uygulamaktadır.

İlgili kişinin haklarının ihlali veya kişisel verilerin yurtdışına aktarımında getirilen usul ve esaslara ayrılıkta 20.000.000 € veya yılda dünya çapındaki yıllık cironun %4’üne ceza uygulamaktadır.

Genel Veri Koruma Tüzüğünde idari para cezaları daha yüksektir. Buda caydırıcılığı arttıran bir unsurdur. Bugüne kadar Genel Veri Koruma Tüzüğü 200.000.000 Euro’luk ceza uygulanmıştır. Genel Veri Koruma Tüzüğü yürürlüğe girdikten sonra Avrupa Birliği ülkelerinde ceza uygulanmayan ülke kalmamıştır.

SONUÇ

Kişisel verilerin korunması mevzuatı olan Genel Veri Koruma Tüzüğünde ve Kişisel Verileri Korunma Kanunu aynı amaç ile aynı konuyu düzenliyor olsa dahi, aynı zamanda iki mevzuat arasında hukuk sistemlerinin ulusallığı nedeni ile bazı farklar mevcuttur.

Kişisel Verileri Korunma Kanunun da daha az detay içeren ve yönlendirici maddeler bulunmaktadır.

Genel Veri Koruma Tüzüğünde ise daha detaylı bir kanundur. Kişisel Verileri Koruma Kurulu’nun aldığı kararlara bakılacak olursa Genel Veri Koruma Tüzüğü’ne yakın yorumlar yapıldığı görülmektedir.

Kaynakça

1. https://guden.av.tr/kvkk-gdpr-uzerine-karsilastirma (Erişim Zamanı; Nisan, 15, 2021)
2. https://www.kvkk.gov.tr/Icerik/2048/Kisisel-Verilerin-Islenmesi (Erişim Zamanı; Nisan, 16, 2021)
3. http://www.ahmetyum.av.tr/ab-genel-ver (Erişim Zamanı; Nisan, 17, 2021)
4. http://www.erdem-erdem.av.tr/yayinlar/hukuk-postasi/6698-sayili-kisisel-verilerin-korunmasi-kanunu-ve-avrupa-genel-veri-koruma-tuzugu/ (Erişim Zamanı; Nisan, 19, 2021
5. http://www.bilgitoplumu.gov.tr/wp-content/uploads/2017/07/AB_Veri_Koruma_Tuzugu.pdf (Erişim Zamanı; Nisan, 19, 2021)
6. https://www.kvkk.gov.tr/Icerik/6776/2020-481(Erişim Zamanı; Nisan, 19, 2021)