Ana sayfa Türkiye'den Haberler GDPR vs KVKK – Sonun Başlangıcı Mı?

GDPR vs KVKK – Sonun Başlangıcı Mı?

66
GDPR vs KVKK - Sonun Başlangıcı Mı?
GDPR vs KVKK - Sonun Başlangıcı Mı?

GDPR vs KVKK – Sonun Başlangıcı Mı? – Hubogi Kişisel verilerin korunması konusu ülkemiz için maalesef hala çok yeni ve yabancı bir konu. Vatandaş açısından bakınca ise pek çoğunun ne konudan ne de konuyu düzenleyen Kanun’un sağladığı haklardan haberdar olduğunu sanmıyoruz.

Oysa kişisel verilerin korunması konusu Almanya’da 1970’lerde başlayan bir tartışma. AB’de ise sürekli gündemde olan bir başlık. Ülkemizin AB üyeliği adaylığından ötürü 10 yıla yakın bir süredir ülkemizin de gündeminde.

Fakat uzun yıllardan bu yana TBMM bu konuda yasal düzenleme yapma sonucuna bir türlü varamadı. Kişisel veri korumasının bulunmaması sebebiyle ülkemiz, yabancı devletler ve milletler arası şirketler tarafından, kendilerinden veri talep edildiğinde, yıllarca veri koruma bakımından güvenilmez ülke olarak ilan edildi ve taleplerimiz bu sebeple yıllarda red olundu.

GDPR vs KVKK – Sonun Başlangıcı Mı? Meğer çözüm vize serbestisindeymiş. Schengen vize bölgesine katılım şartlarının arasına kişisel verilerin korunmasının hukuken düzenlenmesi eklenince, TBMM gündeminde yıllardır bekletilen yasa tasarısı bir anda gündeme alındı, pek anlaşılmadan aynı hızla kabul edildi.

Edildi edilmesine fakat neredeyse hiç kimsenin, belki de hiç bir zaman yasalaşmayacağına kanaat getirmesinden midir bilinmez, ne yasa hakkında net bir fikri ne de yasaya uyum adına atılmış bir adımı bulunmuyordu. Hal böyle olunca yasanın yürürlüğüne birkaç hafta kala Kanun’un kapsamına girenleri bir telaş aldı.

Bir anda kişisel verilerin korunması eğitimleri, uyum programları, aydınlatma metinleri, muvafakatnameler,  veri aktarım çerçeve sözleşmeleri, veri politikaları gibi konu, kavram ve uygulamaları hızlı bir ivme ve gündem kazandı. Buna karşın, aradan geçen süre zarfında, kişisel gözlemim, neredeyse hiç kimsenin Kanun ile yapılmak isteneni tam olarak anlayamamış olduğu yönünde. Zira kişisel veri mevzuatının uygulanmasına dair tartışmalara her gün yeni başlıklar ve örnekler ekleniyor. Bu yapılırken de ortaya çıkan görüşler açıkçası, ağırlıklı şekilde derinlik ve objektiflikten uzak bir görünüm arz ediyor.

GDPR vs KVKK – Sonun Başlangıcı Mı?

KVKK ve GDPR ile getirilen düzenlemeler nelerdir?

Bu yazıda konuya yabancı olanlar için hem KVKK hem de GDPR ile getirilen düzenlemeleri en önemli yönleriyle kısaca ele alacağız. Bunu yaparken bir yandan da az sonra okuyacağınız yeni kuralların elektronik ticarette, dijital reklamcılıkta, online habercilik ve yayıncılıkta yeni bir çağın başlangıcı mı yoksa sonu mu olduğunu da düşünmeye ve değerlendirmeye gayret edeceğiz.

Ülkemizde 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanunun bir bütün halinde kısa bir süre evvel yürürlüğe girmesinden yine kısa bir süre sonra bu defa Avrupa Birliği Veri Koruma Yönergesi (EU General Data Protection Regulation) yürürlüğe girdi. Önce KVKK açısından konuyu ele almak gerekirse KVKK, temelde 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifini esas almıştır. AB’de kişisel verilerin korunmasına ilişkin 1995’te AP ve AK tarafından, Kişisel Verilerin İşlenmesi ve “Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif” kabul edildi. Direktif temel amaç olarak;

GDPR vs KVKK – Sonun Başlangıcı Mı? AB üye ülkelerindeki kişisel verilerin korunmasına ilişkin düzenlemelerin uyumlaştırılması amacıyla kaleme alınmıştır. AB üyeleri, kişisel verilerin korunmasına ilişkin kanuni düzenlemelerini bu Direktifi esas alarak yapmışlardır. İşte bizim KVKK, AB’nin 95/46 Direktifinin yerel versiyonudur. Kişisel verilerin korunması konusunda kimi, ne mesafeden takip ettiğimiz sanıyoruz bu şekilde daha açık ve anlaşılır şekilde ortaya konulmaktadır. Bu noktada daha sağlıklı bir bilgi ve veri olarak, ülkemizde 95/46 Direktifi KVKK olarak yasalaşırken, AB 95/46 Direktifini, ortaya çıkan yeni ihtiyaçları karşılamadığı için 2012’den itibaren planlı şekilde yürürlükten kaldırmıştır.

Temel olarak kişisel verilerinin korunmasını istemek anayasal bir haktır. Anayasamızda da bu hak tanınmış fakat uygulanması için Kanun referans gösterilmiş, Kanun çıkarılmadığı için anayasal olarak tanımlanan hakkın uygulanması ve sağlanması uzun süre mümkün olmamıştır.

İşin ilginç yanı, KVKK, vatandaşa anayasal hakkını kullanması için değil az evvel işaret ettiğimiz gibi Schengen bölgesine giriş şartı olduğu için kabul edilmiştir. Gerçi vatandaşın da bu anayasal hakkına dair yoğun bir talep içinde olmadığını da dikkatten kaçırmamak gerekir fakat bu husus apayrı bir konu olduğu için bu yazımızda üzerinde durmayacağız.

Nihayet, KVKK kabul edilirken dayanağı AB Direktifi, eskidiği için yürürlükten kalkmıştır. Amaç, veri güvenli ülke olmaksa da GDPR uyumsuzluğundan dolayı kısa bir süre içinde KVKK’dan öncesindeki gibi, yeterli ve etkin yasal düzenleme ve etkin ve uyumlu uygulama olmadığı için, veri güvenilir ülke kabul edilmeme riski, konunun farkındaki kimi yazarlarca bugünlerde sık sık dile getirilmektedir.

Tabi ki 95/46 Direktifi ve bu Direktifin ülkemize yansıması KVKK ile GDPR arasında taban tabana zıt ve farklı hükümler bulunmamaktadır. Fakat kabaca ifade etmek gerekirse 95/46 ve KVKK, zamanın güncel veri koruma ihtiyaçlarını karşılamaya yeterli, uygun görünmemektedir.

GDPR vs KVKK – Sonun Başlangıcı Mı? GDPR ise kişisel verilerin korunması konusunda uygulama alanını hem coğrafi hem de hak türleri ve bu hakların içerikleri noktasında oldukça ileri taşımıştır. Bunun ana gerekçesi 95/46 kabul edilirken bulut bilişimin, sosyal ağların, konum bazlı verilerin ve akıllı cihaz ve araçların bulunmaması ve kişisel verilere erişim araç, usul ve süreçlerinin oldukça değişmesidir.

Bu noktada GDPR ile KVKK arasında kısa bir mukayese yapmak faydalı olabilir. KVKK ile temelde kişisel verilerin tanımı oldukça geniş şekilde yapılmıştır. Yine ana prensip kişisel verilerin, sahibinin izni olmadan toplanamaması, işlenememesi, aktarılamaması, depolanamaması, elde edilmemesi, muhafaza edilmemesi, değiştirilmemesi, yeniden düzenlenmemesi, açıklanmaması, aktarılmaması, devralınmaması, elde edilebilir hâle getirilmemesi, sınıflandırılmaması ya da kullanılmamasıdır. Özetle, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. İşleme ile yukarıda sayılanların tamamı kastedilir. KVKK ulusaldır. Sadece Türkiye için geçerli ve yürürlüktedir.

GDPR ise sadece AB üyelerinin coğrafi sınırlarını hedef almamakta, bunu aşan bir uygulama alanı öngörmektedir. GDPR, veri işleme faaliyeti kapsamında sunulan mal veya hizmetin AB içerisinde sunuluyor olması veya AB içinde sunulan ürün – hizmet sunumunun AB dışından takip ediliyor veya daha doğru bir ifadeyle gözlemleniyor olması halinde de uygulama alanı bulmaktadır.

GDPR, AB içerisinde veri sahiplerine, ücretli olup olmadığına bakılmadan,  mal veya hizmet sunan veya bu veri sahiplerinin davranışlarını gözlemleyen veri kontrolörleri ve işleyiciler bakımından uygulanır. AB içerisinde mal veya hizmet sunmak yalnızca bir internet sitesi ile olabilir. Ancak bundan ibaret değildir. Örneğin, AB’de kullanılanlardan birini içeren çok dilli bir websitesi, AB’de tedavülü olan alternatif ödeme birimlerinin websitesine entegre edilmesi, AB’deki  müşterilerin izlenmesi vasfındadır. Bir veri kontrolörü veya işleyicisinin bir veya daha fazla AB üyesi ülkede bireylere veri hizmeti sunması durumunda GDPR uygulama alanı bulur.

GDPR vs KVKK – Sonun Başlangıcı Mı? GDPR, KVKK’dan kişisel verilerin tanımı bakımından ayrılmamakta, sadece gerekçelerinde ilgili örnek sayısını çoğaltmaktadır.

KVKK’dan farklı olarak GDPR AB üye ülkelerinde doğrudan uygulanacak, KVKK gibi 20 sene sonra iç hukuka aktarılması beklenmek zorunda kalınmayacaktır.

GDPR’da, KVKH’dan farklı olarak, veri işleyen kavramının kapsamı genişlemektedir. Alt hizmet sağlayıcılar da verinin hukuka uygun işlendiğini kontrol etmekle mükellef klınmaktadır.

GDPR, para cezaları 20 Milyon Euro veya hizmet sağlayıcının global gelirinin %4’ü üzerinden hesaplanabilecektir ki bu KVKK yaptırımları ile karşılaştırılınca ciddi miktarda bir artışı ifade etmektedir.

GDPR, veri ihlallerinde class-action davalarını mümkün kılarken, KVKK hala bireysel ihlallerde bireysel yaptırım ve idari para cezası yaptırımı perspektifiyle sınırlıdır.

GDPR onay şartını ve unutulma hakkını somut ve güçlü şekilde kullanıma sokarken KVKK unutulma hakkına doğrudan değinmemektedir. AYM’nin 2014/10685 numaralı Unutulma Hakkı esasındaki bireysel başvuruya mukabil güncel kararındaki gerekçe ve ret sonucu hatırlanırsa GDPR ile unutulma hakkına sağlanan geniş uygulanabilirliğin kıymeti sanıyoruz ki daha net anlaşılacaktır.

GDPR vs KVKK – Sonun Başlangıcı Mı? KVKK ve somut uygulama itibarı ile Kurul, avukatlar, mali müşavirler gibi bazı meslek gruplarını KVKK’dan muaf tutarken GDPR aksine bu mesleklere yönelik düzenlemeler ve sorumluluklar getirmektedir

GDPR’in özellikle e-ticaret platformları için önerdiği yükümlülüklerin neredeyse hiçbiri KVKK’da yer almamaktadır.

GDPR, KVKK’dan farklı ve daha net şekilde, Silme Hakkı, Erişim Hakkı, Düzeltim Hakkı, Veri Taşıma Hakkı, İşlemenin Kısıtlanması Hakkı, Otomatik Profillenmeme Hakkı şeklinde özel ve yeni hak süjelerini de tanımlamaktadır.

KVKK’da bulunmayan bir diğer önemli düzenleme, yaş sınırı ve yaşa göre aydınlatma ve muvafakat meselesidir. Her ne kadar onay usulü ve şekli henüz tam anlamıyla net değilse de GDPR, kişisel verilerin işlenmesine muvafakat etme yaşını 16 yaşın üstündekiler için kabul etmiş, altındakiler için de ebeveyn onayının yolunu sadece istisnai olarak açık tutmuştur.

GDPR vs KVKK – Sonun Başlangıcı Mı? Böylece KVKK’da ana kavram veri işleyenken, GDPR’da ilglii kişi yani verileri işlenen kişi haline gelmiş olmaktadır.