Kişisel Verilerin Korunması Kanunu ile GPDR aynı sanılsa dahi arada belli farklılıklar vardır. Bu yüzden aradaki farkları anlamak adına GPDR KVKK Karşılaştırması yapmak en doğru seçenektir.
Kişisel verilerin korunması, günümüz dijital çağında hem bireyler hem de kurumlar için hayati bir konudur. İnternet kullanımının artması, büyük veri analizleri, yapay zekâ uygulamaları ve e-ticaret gibi alanların gelişmesiyle birlikte kişisel verilerin güvenliği daha da kritik hale gelmiştir. Bu bağlamda, Avrupa Birliği’nin Genel Veri Koruma Tüzüğü (GDPR) ve Türkiye’deki Kişisel Verilerin Korunması Kanunu (KVKK), veri koruma standartlarını belirleyen en önemli yasal düzenlemelerdendir.
GDPR Nedir?
GDPR (General Data Protection Regulation), 25 Mayıs 2018’de yürürlüğe giren ve Avrupa Birliği (AB) genelinde kişisel verilerin korunmasını amaçlayan bir düzenlemedir.
GDPR, yalnızca AB içindeki şirketleri değil, AB vatandaşlarının verilerini işleyen dünya çapındaki tüm kurumları kapsar. Örneğin Türkiye’de faaliyet gösteren bir e-ticaret sitesi, AB vatandaşı bir müşterinin kişisel verilerini işliyorsa GDPR’a uyumlu olmak zorundadır.
GDPR’ın başlıca amaçları şunlardır:
-
Kişisel verilerin işlenmesinde şeffaflık ve hesap verebilirlik sağlamak,
-
Bireylerin verileri üzerindeki haklarını güçlendirmek (örneğin silme hakkı, taşınabilirlik hakkı),
-
Kurumlara veri güvenliği sorumluluğu yüklemek ve ihlallerde ciddi para cezaları uygulamak (örneğin yıllık cironun %4’üne kadar).
GDPR; açık rıza, meşru menfaat, sözleşme gereği veri işleme gibi yasal dayanaklar tanımlar ve veri sorumlularına ciddi yükümlülükler getirir.
KVKK Nedir?
KVKK (Kişisel Verilerin Korunması Kanunu), Türkiye’de 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Avrupa Birliği mevzuatına uyum amacıyla hazırlanmış olsa da, GDPR’dan bazı noktalarda ayrılır.
KVKK’nın temel amacı:
-
Kişisel verilerin işlenmesini düzenlemek,
-
Bireylerin özel hayatının gizliliğini korumak,
-
Verileri işleyen gerçek ve tüzel kişilere sorumluluklar yüklemek.
KVKK, Türkiye’deki gerçek veya tüzel kişiler için geçerlidir. Ayrıca Türkiye dışında olup Türkiye’de yaşayan kişilerin verilerini işleyen kuruluşlar da bu kanun kapsamına girebilir.
GPDR KVKK Karşılaştırması
Aşağıdaki tablo, iki düzenleme arasındaki temel benzerlik ve farklılıkları açıkça gösterir:
| Konu Başlığı | GDPR | KVKK |
|---|---|---|
| Kapsam | AB üyesi ülkelerde yaşayan kişilerin verilerini işleyen tüm kuruluşlar (küresel etkisi vardır). | Türkiye’de faaliyet gösteren veya Türkiye’deki kişilerin verilerini işleyen tüm kuruluşlar. |
| Yürürlük Tarihi | 25 Mayıs 2018 | 7 Nisan 2016 |
| Veri Sorumlusu Tanımı | Veri işleme amaç ve araçlarını belirleyen gerçek veya tüzel kişi. | Aynı tanım geçerlidir. |
| Veri İşleyenin Sorumluluğu | Veri işleyenler de doğrudan yükümlüdür; ihlallerde sorumlu tutulabilir. | Veri işleyenin yükümlülüğü daha sınırlıdır, temel sorumluluk veri sorumlusundadır. |
| Açık Rıza | Açık ve özgür irade ile verilmiş olmalıdır; her amaç için ayrı rıza gerekir. | Benzer şekilde açık rıza şarttır, ancak bazı istisnalar GDPR kadar detaylı değildir. |
| Veri Sahibinin Hakları | Erişim, düzeltme, silme (“unutulma hakkı”), taşınabilirlik, işlemeyi kısıtlama, itiraz. | Erişim, düzeltme, silme, itiraz gibi haklar vardır; “veri taşınabilirliği” net şekilde düzenlenmemiştir. |
| İhlal Bildirimi | Veri ihlali 72 saat içinde yetkili otoriteye ve ilgili kişilere bildirilmelidir. | Bildirim süresi KVKK’da net tanımlanmamıştır, “en kısa sürede” ifadesi kullanılır. |
| Para Cezaları | Yıllık global cironun %4’üne veya 20 milyon €’ya kadar ceza uygulanabilir. | İdari para cezası maksimum birkaç milyon TL seviyesindedir. |
| Veri Koruma Görevlisi (DPO) | Belirli kriterleri sağlayan kurumlar için DPO atamak zorunludur. | KVKK’da DPO zorunluluğu yoktur. |
| Çapraz Sınır Veri Aktarımı | AB dışına veri aktarımı için yeterli koruma şartı veya ek tedbirler gerekir. | Yurt dışına veri aktarımı için KVKK Kurulu’nun belirlediği kriterlere uygunluk gerekir; süreç daha katıdır ve izne bağlıdır.
|
GPDR ve KVKK Benzerlikleri
-
Kişisel verilerin korunması ve şeffaflık: Her iki düzenleme de veri sorumlularına, hangi verilerin işlendiğini ve neden işlendiğini açıkça bildirme yükümlülüğü getirir.
-
Veri sahibinin hakları: Hem GDPR hem KVKK, bireylere verileri üzerinde erişim, düzeltme, silme gibi haklar tanır.
-
Açık rıza prensibi: Her iki kanunda da kişisel verilerin işlenmesi için çoğu durumda açık rıza alınması gerekir.
-
Veri güvenliği sorumluluğu: Kurumların teknik ve idari tedbirler alarak veri ihlallerini önleme yükümlülüğü vardır.
GPDR ve KVKK Farklılıkları
-
Ceza miktarları: GDPR’ın para cezaları çok daha ağırdır ve uluslararası şirketler için büyük risk oluşturur. KVKK’da cezalar daha düşük seviyededir.
-
Veri işleyenin yükümlülüğü: GDPR, veri işleyeni de doğrudan sorumlu tutarken KVKK’da veri işleyenin sorumluluğu sınırlıdır.
-
DPO zorunluluğu: GDPR’da veri koruma görevlisi atanması zorunludur; KVKK’da böyle bir şart yoktur.
-
Veri taşınabilirliği: GDPR, verinin bir sistemden başka bir sisteme taşınmasını açıkça düzenlerken KVKK’da bu hak net tanımlanmamıştır.
-
İhlal bildirim süresi: GDPR’da 72 saat sınırı vardır, KVKK’da ise net bir süre belirtilmez.
KVKK Danışmanlığı
Kişisel verileri tutması gereken işletmeler açısından bu verilerin doğru, yasal yükümlülüklere uygun ve güvenli biçimde tutulabiliyor olması bir seçenek değil, zorunluluktur. Bu durumu ciddiye almayan kişi/kurumları KVKK cezaları bekliyor olacaktır.
KVKK danışmanlığı ve merak ettiğiniz sorular için bizimle iletişime geçebilirsiniz.
