Kişisel Verilerin Korunması Kanunu (KVKK) ve Genel Veri Koruma Yönetmeliği (General Data Protection Regulation – GDPR) kişisel verilerin korunması amacıyla yürürlüğe girmiş yasal düzenlemelerdir. Her ne kadar aynı amaca hizmet ediyor olsalar da birbirlerinden farklı hükümler barındırmaktadırlar. KVKK ve GDPR arasındaki benzerlik ve farklılıkları incelemeden önce geçmişlerini ve kapsamlarını bilmek gerekir.

KVKK ve GDPR Nedir?

Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. KVKK, Türkiye Cumhuriyeti vatandaşlarının temel hak ve özgürlüklerini gözeterek her türlü kişisel veriyi işleyen gerçek ve tüzel kişilerin uymaları gereken kuralları düzenlemektir.

Genel Veri Koruma Yönetmeliği (General Data Protection Regulation) 25 Mayıs 2018 tarihinde tüm Avrupa Birliği üyesi ülkelerde yürürlüğe girmiştir. GDPR, Avrupa Birliği vatandaşlarının temel hak ve özgürlüklerini gözeterek kişisel verilerini korumaktır.

KVKK ve GDPR Arasındaki Benzerlikler Nedir?

Tanımlarına bakıldığında söz konusu düzenlemelerin, kişilere ait kişisel verilerin koruması amacıyla yürürlüğe girdikleri anlaşılmaktadır. KVKK ve GDPR arasındaki benzerlikler aşağıdaki gibi sıralanabilir.

  • Kişisel verilerin hukuka ve dürüstlük ilkelerine uygun toplanması, işlenmesi ve saklanması esastır.
  • Kişisel veriler, kullanım amacına uygun bilgilendirme yapılmadan ve kişinin açık rızası olmadan kullanılamayacaktır.
  • Kişisel verileri alınacak veya işlenecek kişinin rızası açık bir şekilde alınmalı ve kişinin iznini iptal etmesi için basit bir süreç olmalıdır.
  • Kişisel verilerin doğruluğu ve güncelliği takip edilmelidir.
  • Kişisel veriler, saklama süresine uygun tutulmalı, daha uzun süre kesinlikle tutulmamalıdır.
  • Kişisel verilere yetkisi dışında kimsenin erişimi olmamalıdır.
Kişisel Verilerin Korunması - GDPR ve KVKK Danışmanlığı

KVKK ve GDPR Arasındaki Farklılıklar Nelerdir?

  • KVKK ve GDPR, uygulanma alanı bakımından farklılaşmaktadır. GDPR, KVKK ile kıyaslandığında daha geniş bir yetki alanına sahiptir.
  • KVKK yükümlülüklerinin kapsamı yalnızca Türkiye Cumhuriyeti sınırları için gerçekleştirilen veri süreçlerini kapsamaktadır. Örneğin, kişisel verilerinizi işleyen şirketin operasyon alanı Türkiye Cumhuriyeti sınırları dışındaysa KVKK’nın bu gerçek ya da tüzel kişi üzerinden herhangi bir yaptırım gücü bulunmamaktadır. GDPR’ın ise Avrupa Birliği vatandaşlarının ve burada ikamet eden kişilerin, kişisel verilerine sahip olan tüm gerçek ya da tüzel kişiler için ilgili şirketin operasyon alanının nerede bulunduğu fark etmeksizin yaptırım gücü bulunmaktadır. Buradan yola çıkarak GDPR’ın, KVKK’nın uygulama alanından farklı olarak Avrupa Birliği’nde yalnızca vatandaşlarının değil, ayıca AB’de ikamet eden kişilerin verilerini işleyen tüm gerçek ve tüzel kişilere sorumluluk yüklemektedir. Örneğin, bir şirket veri işlemesi süreçlerini Avrupa Birliği dışında yapıyor olsa bile, Avrupa Birliği’nde ikamet eden kişilerin verilerini işlemesi durumunda, GDPR ile uyumlu hareket etmekle yükümlüdür. Yine ilgili şirketin Türkiye’de yerleşik bir gerçek kişinin veya tüzel kişinin veri operasyonları yürütmesi söz konusu olduğunda ise, Avrupa Birliği’nde ikamet eden kişilerin kişisel verilerini işlediği sürece yalnızca KVKK ile uyum içerisinde olması yetmemekte, aynı zamanda GDPR ile de uyumluluk göstermesi gerekmektedir.
  • Bunların yanı sıra veri işleyen kişiler bakımından da farklılıklar bulunmaktadır. KVKK’da veri işleyen kişiler ‘veri sorumlusu’ olarak kabul edilir ve bu kişiler Veri Sorumluları Sicil Bilgi Sistemi olan VERBİS’e kayıt olmakla yükümlüdür. GDPR’da ise veri sorumlusu ifadesi yerine ‘veri kontrolörü’ kavramı kullanılmaktadır ve bu kişilerin herhangi bir kurum ya da kuruluşa kayıt yükümlülükleri bulunmamaktadır.
  • Bir diğer fark ise cezai sorumluluk alanında görülmektedir. KVKK kapsamında kanunun yürürlüğe girdiği tarihte ceza yükümlülüklerinin alt limiti 5.000 TL, üst limiti 1.000.000 TL olarak belirlenmiştir. GDPR kapsamında ise cezai yaptırım şartlarının daha ağır olduğu görülmektedir. Buna göre ilgili şirketin yıllık küresel cirosunun %4’ü veya 20.000.000 Euro olarak belirlenmiştir ve hangisi daha yüksek ise o miktar cezai yaptırım olarak uygulanacaktır. GDPR hükümlerine tabii tüm şirketlerin böyle büyük cezai yaptırımlardan kaçınmaları için GDPR ile uyumluluk sağlamalarının önemi bu hükümle bir kez daha göz önüne konmuştur.