K
VKK ve GDPR Ne Zamandır Hayatımızdalar?
Kişisel Verilerin Korunması Kanunu (KVKK), Avrupa Birliği’ne uyum çalışmaları kapsamında hazırlanmış olup 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir. General Data Protection Regulation (GDPR) ise 24 Mayıs 2016 tarihinde yürürlüğe girmiş ve bundan 2 yıl sonra bütün Avrupa Birliği üyesi devletlerde uygulanabilir hale gelmiştir. GDPR’ın kabul edilmesi ile birlikte 1995 yılında kişisel verilerin işlenmesini düzenleyen Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin 95/46/AT sayılı Direktif yürürlükten kaldırılmıştır.
KVKK ile GDPR Arasındaki Farklılıkları Tespit Etmek Önemli midir?
KVKK, GDPR’ın Avrupa Birliği’nde kabul edilmesinden önce ülkemizde yürürlüğe girmiştir. KVKK’nın GDPR ile tam uyumluluk sağladığının veya GDPR’dan yola çıkılarak hazırlandığının söylenmesi bu nedenle yanlış olacaktır. Esasında, KVKK’nın hazırlanmasına temel olan belge, Avrupa Konseyi tarafından hazırlanan ve 28 Ocak 1981 tarihinde imzaya açılan “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme” olmuştur. Bu sözleşme, 17 Mart 2016 tarih ve 29656 sayılı Resmî Gazetede yayımlanarak iç hukuka dâhil edilmiştir.
KVKK’nın GDPR ile çokça karşılaştırılmasının ve yerine göre de karıştırılmasının nedenlerinden biri, günümüzde kişisel verilerin korunması konusunda geçerli olan ve güncel olarak uygulanmakta olan iki yasal metin olmalarıdır. Bir diğer nedeniyse GDPR’da yer alan korumaların ve yaptırımların Avrupa Birliği üyesi olmamıza rağmen ülkemizdeki veri sorumlusu sıfatıyla hareket eden gerçek ve tüzel kişileri de kapsıyor olmasıdır. GDPR’ın, Avrupa Birliği üye devletlerinden birinde yaşayan bir gerçek kişinin kişisel verilerinin ülke ve/veya Birlik dışına aktarılması, Birlik dışında tutulması konusunda da yaptırımlar içermesi, Türkiye’de yer alan bir veri sorumlusunun yapması gereken düzenlemelerin yalnızca GDPR’a uygun olması gerektiği konusunda bir yanılsama oluşturmaktadır. Oysa KVKK ve Kişisel Verileri Koruma Kurumu’nca yayınlanan tebliğler incelendiğinde bunun yanlış bir uygulama olduğu ortaya çıkmaktadır.
Kurum’un 30.10.2019 tarih ve 2019/315 sayılı Kararı’nda: “Bahse konu veri sorumluları tarafından aydınlatma yükümlülüğünün yerine getirilmesi amacıyla hazırlanan metinlerde GDPR’a uyum sağlandığına yönelik ifadelere yer verilmesinin, veri sorumlularının 6698 sayılı Kişisel Verilerin Korunması Kanununa karşı yükümlülüklerini ortadan kaldırmadığının, bu itibarla GDPR’a yapılan atıfların yanı sıra söz konusu aydınlatma metinlerinde belirtilen politika ve kuralların öncelikle 6698 sayılı Kişisel Verilerin Korunması Kanununa uygun olduğunun belirtilmesi gerektiğinin hatırlatılmasında fayda görülmektedir.” denilmiştir.
Temel Kavramlar Bakımından KVKK ile GDPR Arasındaki Farklılıklar
Kişisel Veri ve Kişisel Verilerin İşlenmesi
Öncelikle her iki düzenlemenin de temelini oluşturan “kişisel veri”nin nasıl tanımlandığına bakmakta fayda var. Direktif, KVKK ve GDPR’ın her üçünde de yalnızca gerçek kişilere ait olan birtakım veriler kişisel veri kapsamına alınmıştır. KVKK ile Direktif’te yer alan tanımlar büyük ölçüde örtüşmekteyken GDPR’da çok daha ayrıntılı bir tanıma yer verilmiştir. Örneğin kişilerin ruhsal verileri GDPR’da kişisel veri olarak düzenlenmişken KVKK’da yalnızca fiziksel sağlık verileri kişisel veri olarak sayılmıştır.
Bu kişisel verilerin işlenmesi konusunda yine GDPR daha kapsamlı ve ayrıntılı bir düzenleme getirmiştir. GDPR’da, Direktif’te yer almayan ve haliyle KVKK’da rastlamadığımız bazı kavramlara yer verilmiştir. Bunlardan bazılarını veri setleri, kişisel verilerin sorulması, kişisel verilerin kombinasyonu ve kişisel verilerin yapılandırılması olarak sayabiliriz.
Veri Sorumlusu ve Veri İşleyen
KVKK’da yer alan tanıma göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. GDPR’da ise bu konu biraz daha karmaşık, detaylı ve AB Veri Koruma Direktifi’nde olduğundan daha ayrıntılı ele alınmıştır. AB Veri Koruma Direktifi’nde veri sorumlusu “Tek başına veya başkalarıyla müştereken (alone or jointly with others) veri işleme amaç ve vasıtalarını belirleyen kişi.” olarak tanımlanmıştır.
GDPR’da ise üçlü bir veri sorumlusu sistemine yer verilmiştir. Direktif’te yer almayan ortak veri sorumlusu durumu GDPR’da yer almış ve ortaya üçlü bir ayrım çıkmıştır. Buna göre veri kontrolü, veri işleyicisi ve veri alıcısı olarak üçlü bir ayrıma gidilmiş, her biri veri işleme faaliyetlerinden dolayı sorumlu tutulmuştur.
Veri sorumluları konusunda GDPR’daki bir diğer fark ise veri kontrolörü olmamakla birlikte bu verileri işleyen herhangi bir şirket ya da birey de (bulut hizmet sağlayıcıları gibi alt hizmet sağlayan üçüncü taraflar da dâhil olmak üzere) verinin hukuka uygun işlenmesinden sorumlu tutulmasıdır. Buna göre hukuka aykırı olarak veri işleyen kişi/kurum dünyanın neresinde olursa olsun bundan sorumlu tutulacaktır.
Veri sorumlusu ve veri işleyen bakımından KVKK ile GDPR arasındaki en önemli fark uygulanacak olan yaptırımların muhattabı noktasındadır. GDPR’a göre bir veri ihlali olması durumunda veri işleyen de veri sorumlusu gibi sorumlu olarak ve yaptırıma maruz kalacaktır. Oysa KVKK’da idari para cezalarının uygulanması bakımından yalnızca veri sorumlularına yaptırım uygulanmaktadır.
Veri Sorumlusu ile İlgili Kişiyi Karşı Karşıya Getiren Konu: Açık Rıza
KVKK’a göre açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir. KVKK’da kişisel verilerin işlenmesi şartları sayılırken açık rıza temel olarak alınmıştır.
GDPR’da ise yine KVKK’ya göre daha detaylı düzenlemeler yapılmıştır. Buna göre, söz konusu rızanın açıkça ayırt edilebilmesi, anlaşılır, kolayca erişilebilir olması ve ayrıca açık ve sade bir dil kullanılarak sunulması gerekmektedir. Açık rıza değerlendirilirken verilen rızanın, yapılacak işleme faaliyetine yönelik olup olmadığına bakılmaktadır. KVKK’da yer alan kişisel verilerin işleme şartlarından olan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi, burada karşımıza ilgili kişilerin verdikleri rızalar değerlendirilirken çıkmaktadır.
Veri Koruma Görevlisi
KVKK’da yer almayan veri koruma görevlisinin birincil görevi, çalışanlarının, müşterilerinin, sağlayıcılarının veya başka herhangi bir bireyin kişisel verilerinin uygulanabilir veri koruma kurallarına uygun olarak işlenmesini sağlamaktır. Böyle bir görevlinin bulunması, ilgili kişilerin kişisel verileriyle ilgili taleplerinin daha çabuk ve doğru bir şekilde karşılanmasını da sağlamaya yarayacaktır. İrtibat kişisi ile sıkça karıştırılan veri koruma görevlilerinin veri kontrolörü ve/veya veri işleyicisi ile ilgili kişi arasında bir köprü niteliğinde olduğunu söyleyebiliriz. Mevzuatımızda yer alan düzenlemelere bakıldığında veri sorumlusu adına VERBİS ile ilgili işlemleri yapmakla yetkilendirilen kişilere irtibat kişisi dendiği, güncel mevzuatımızda veri koruma görevlisi ile ilgili bir konum, düzenleme bulunmadığı anlaşılmaktadır.
Toplum nezdinde kişisel veriler konusunda bilinç arttıkça, ilgili kişilerin KVKK’da düzenlenmeyen, unutulma hakkı gibi konularda veri sorumlularına yaptıkları başvurular da artmaktadır. Nitekim Kişisel Verileri Koruma Kurulu “unutulma hakkı” ile ilgili gelen yoğun talepler üstüne bu konuda kapsamlı düzenlemelerin yer aldığı bir karar yayımlamak durumunda kalmıştır. Bilgi ve iletişim teknolojilerinin her gün, bir önceki günden daha da hızlı gelişmesinin neticesinde kişisel veri kavramı da değişime uğramaktadır. Kişisel veri olarak tanımlanmaya başlayan her yeni veri, kullanılmaya başlanan her yeni teknoloji/teknolojik ürün kişisel verilerin korunması noktasında alınması gereken tedbirlerin de artmasına, yeni yöntemlerin geliştirilmesine neden olmaktadır. Bu nedenle kişisel verilerin korunması mevzuatının GDPR ve diğer uluslararası düzenlemeler karşısında etkisiz kalmaması için hem ilgili kişi veya uygulayıcılar olarak bizlere hem de Kişisel Verileri Koruma Kurulu’na sorumluluk düşmektedir.
Stj.Av. Ezginaz ÇALIŞIR
Av.Ayşegül ZENGİN
* Stj. Av. Ezginaz ÇALIŞIR’ın Staj Bitirme Tezi’nden alınmıştır.
