Ercüment Erdem Av. İdil Uz

6698 Sayılı Kişisel Verilerin Korunması Kanunu ve Avrupa Genel Veri Koruma Tüzüğü

Ocak 2020

Giriş

Son dönemde veri işleme teknolojisinde gerçekleşen gelişmeler doğrultusunda çoğu ülkede kişisel veri ve bu verilerin korunması kavramları kanuni bir boyut kazanmaya başlamıştır. Her ülkenin hukuk düzenine adapte olabilecek nitelikte olan bu kavram çoğu hukuk sisteminde kişilik hakları ile bağdaşır. Bu nedenle bu hukuk alanı evrensel nitelikler taşımakta olup, her ülke bu hukuk dalını kendi mevzuatına uyum sağlaması açısından kendine özgü değişikliklerle hukuk sistemlerine adapte eder.

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) 7 Nisan 2016 tarihinde, yani Avrupa Genel Veri Koruma Tüzüğü’nden[1] (General Data Protection Regulation (“GDPR”)) kısa bir süre önce yürürlüğe girmiştir. KVKK’nın lafzında ve düzenlemelerinde GDPR öncesi yürürlükte olan 95/46/AT sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif referans alındığından, KVKK ve GDPR arasında oldukça fazla benzerlik olmasına rağmen, tam anlamıyla bir uyumluluktan bahsetmek mümkün olmayacaktır.

Bu çalışmada KVKK ve GDPR arasındaki benzerlik ve farklılıklara değinilerek, bu iki düzenlemenin de konusunu oluşturan veri sorumlularının her iki düzenlemeye de uyum sağlama zorunluluğu ortaya koyulacaktır.

Genel Olarak

KVKK da GDPR da, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleyerek kişinin mahremiyetinin korunması ve veri güvenliğinin sağlanması amaçlarını gerçekleştirmek amacındadır. Ayrıca bu iki düzenlemede kişisel verilerin sınırsız biçimde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, açıklanması veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.[2]

Her ne kadar söz konusu iki mevzuat aynı konuyu aynı amaçla düzenliyor olsa da, aynı zamanda iki mevzuat arasında hukuk sistemlerinin ulusallığı nedeni ile bazı farklar mevcuttur.

KVKK ve GDPR Arasındaki Temel Farklılıklar

  • Veri İhlalinden Kaynaklanan Sorumluluk. GDPR madde 82 uyarınca, bu Tüzük’e ilişkin bir ihlal sonucu maddi veya manevi zarar gören herhangi bir kişi, yaşanan zarara ilişkin olarak kontrolör (veri sorumlusu) veya işleyiciden tazminat alma hakkına sahiptir”. Bu maddeden açıkça anlaşıldığı üzere, GDPR veri ihlalinden doğan zararlardan hem veri sorumlusunu hem de veri işleyeni[3] sorumlu tutar. Bunun yanında, KVKK madde 18/2 uyarınca, “bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır”. Özetle KVKK veri sorumlusu ve işleyenin sorumluluklarını ayrı ayrı düzenlemiş ve kanunda düzenlenen idari para cezalarından sadece veri sorumlusunu sorumlu tutmuştur. Bu kapsamda veri sorumlusu ve veri işleyenin aralarındaki rücu ilişkisi saklıdır.
  • Veri Koruma Görevlisi ve Veri Koruma Temsilcisi. KVKK’da düzenlenmemiş ancak GDPR’da belirtilen koşulları varlığı halinde görevlendirilmesi öngörülen iki ayrı kavram mevcuttur, bunlar veri koruma görevlisi (Data Protection Officer (“DPO”)) ve veri koruma temsilcisidir (Data Protection Representative (“DPR”)). GDPR madde 37 uyarınca, i)işleme faaliyetinin kendi yargı yetkisi çerçevesinde hareket eden mahkemeler haricindeki bir kamu kuruluşu veya organı tarafından gerçekleştirilmesi; ii) kontrolör veya işleyicinin temel faaliyetlerinin yapıları, kapsamları ve/veya amaçları gereği veri sahiplerinin düzenli ve sistematik bir şekilde büyük çaplı olarak izlenmesini gerektiren işleme faaliyetlerinden meydana gelmesi veya iii) kontrolör veya işleyicinin temel faaliyetlerinin 9 maddesi uyarınca özel kategorilerdeki verilerin ve 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesinden meydana gelmesi hallerinde DPO atanması zorunludur. Aynı şekilde GDPR madde 27 uyarınca, AB dahilinde yerleşik olmayan veri sorumluları, i) veri işlemenin nadir olduğu ve bu nadir veri işleme sırasında geniş ölçekli özel nitelikli kişisel verilerin işlenmediği veya ii) veri sorumlusunun kamu görevlisi olması hususları hariç, herhangi bir AB ülkesinde yerleşik bir DPR atamakla yükümlüdür.
  • Veri Koruma Etki Değerlendirmesi. GDPR madde 35’de düzenlenen veri koruma etki değerlendirmesinin (Data Protection Impact Assessment (“DPIA”)), i) gerçek kişilerle ilgili kişisel özellikler hususunda profil çıkarma da dahil olmak üzere otomatik işlemeye dayalı olan ve gerçek kişi ile ilgili hukuki sonuçlar doğuran veya gerçek kişiyi kayda değer şekilde etkileyen kararların dayandığı sistematik ve kapsamlı bir değerlendirme yapılması; ii) 9(1) maddesinde atıfta bulunulan özel kategorilerdeki verilerin veya 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesi veya iii) kamunun erişebileceği bir alanın büyük çaplı olarak sistematik bir şekilde izlenmesi durumlarında gerçekleştirilmesi öngörülür.Bu kapsamda bir değerlendirme KVKK’da düzenlenmez.
  • Veri Sorumluları Sicili. GDPR’ın aksine KVKK, belirli istisnalar haricindeki veri sorumlularına Veri Sorumluları Sicili yani VERBİS’e kayıt yükümlülüğü getirir. Bu sicil KVKK kapsamındaki yükümlülüklerden biri olan veri envanteri hazırlama yükümlülüğünün bir parçası olup, veri sorumlusunun veri işleme faaliyetini en kapsamlı şekilde aktarmakla yükümlü olduğu veri envanterinin çerçevesini oluşturur. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan gerçek ve tüzel kişi veri sorumluları ve yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının VERBİS’e kayıt yükümlülüğünü yerine getirmeleri için son tarih 30.06.2020’dir ve kayıt yükümlülüğünün yerine getirilmemesi halinde 20.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası gündeme gelebilecektir.
  • İşleme Faaliyetinin Kayıtları. GDPR’da, KVKK’da yer alan Veri Sorumluları Siciline kayıt yükümlülüğü gibi kamuya açık bir platformda işleme faaliyetlerinin alenileştirilmesi öngörülmemişse de; veri sorumluları GDPR madde 30’da belirtilen bilgileri içerir kayıtlar tutmak ve gerektiğinde veri koruma otoritesine bu kayıtları göstermekle yükümlüdür. Aynı yükümlülük veri envanteri hazırlama yükümlülüğü ile KVKK kapsamında da getirilmiş ve içeriği Veri Sorumluları Sicili Hakkında Yönetmelik’te düzenlenmiştir.
  • İdari Para Cezaları. GDPR’da öngörülen idari para cezaları KVKK’da düzenlenenlerden oldukça fazladır. KVKK’daki para cezalarının üst sınırı 20.000 TL ile 1.000.000 TL aralığında düzenlenmişken, GDPR’da üst sınır 20.000.000 TL veya bir önceki mali yılın yıllık dünya çapındaki cirosunun %4’üne kadar belirlenebilir.
  • Unutulma Hakkı. Her ne kadar KVKK veri sahibinin hakları altında veri sorumlusundan işlemeye konu kişisel verileri hakkında bilgi alma ve bunların silinmesini isteme hakkını düzenlese de, GDPR unutulma hakkını ayrıntılı bir biçimde düzenler. GDPR madde 17 uyarınca veri sorumlusu; i) kişisel verilerin toplanma veya işlenme amaçlarıyla ilişkili olarak artık gerekli olmaması; ii) veri sahibinin 6(1) maddesinin (a) bendi veya 9(2) maddesinin (a) bendine göre işleme faaliyetinin dayandığı izni geri çekmesi ve işleme faaliyetiyle ilgili başka bir yasal gerekçe bulunmaması; iii) veri sahibinin 21(1) maddesi uyarınca işleme faaliyetine itirazda bulunması ve işleme faaliyetine yönelik ağır basan meşru bir gerekçe bulunmaması ya da veri sahibinin 21(2) maddesi uyarınca işleme faaliyetine itirazda bulunması; iv) kişisel verilerin yasa dışı biçimde işlenmiş olması; v) kontrolörün tabi olduğu Birlik veya üye devlet hukukundaki bir yasal yükümlülüğe uygunluk sağlanması amacı ile kişisel verilerin silinmesinin zorunlu olması ve vi) kişisel verilerin 8(1) maddesinde atıfta bulunulan bilgi toplumu hizmetlerinin sağlanması ile ilgili toplanmış olması hallerinde veri sahibinin verilerini gecikmeye mahal vermeksizin silmek zorundadır.

Yer Bakımından Uygulama

GDPR madde 3 uyarınca;

  1. Bu Tüzük, işleme faaliyeti Birlik içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın, Birlik içerisindeki bir kontrolör veya işleyicinin işletmesinin faaliyetleri bağlamında kişisel verilerin işlenmesine uygulanır.
  2. Bu Tüzük, işleme faaliyetlerinin aşağıdaki hususlarla alakalı olması durumunda, Birlik içerisinde bulunan veri sahiplerinin kişisel verilerinin Birlik içerisinde kurulu olmayan bir kontrolör veya işleyici tarafından işlenmesine uygulanır:
  • Veri sahibine bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Birlik içerisindeki söz konusu veri sahiplerine mal ya da hizmetlerin sunulması veya
  • Davranışları birlik içerisinde gerçekleştiği ölçüde, davranışlarının izlenmesi.
  1. Bu Tüzük, Birlik içerisinde değil, ancak bir üye devletin hukukunun uluslararası kamu hukuku vasıtasıyla uygulandığı bir yerde kurulu bulunan bir kontrolör tarafından kişisel verilerin işlenmesine uygulanır.

Özetle GDPR i) veri işlemenin AB içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın veri işleyen veya veri sorumlusunun AB içerisinde yerleşik olduğu; ii) AB dâhilinde yerleşik olmayan veri sorumluları veya veri işleyenlerce, mal ve hizmet sunumu faaliyetleri için veya veri sahiplerinin davranışlarının gözetlenmesi amacı ile AB’de yerleşik veri sahiplerinin verilerinin işlendiği ve iii) AB üyesi ülkenin milli hukukunun somut olaya uygulanabildiği durumlarda uygulanır. Sonuç olarak AB içerisinde müşteri tabanı bulunan tüm mal ve hizmet sağlayıcıları veya çevrimiçi davranışsal reklamcılık (online behavioral advertising) mekanizmasından yararlanan internet siteleri ve mobil uygulamalar, veri işleme faaliyetlerini GDPR’a uygun gerçekleştirmek zorundadırlar.[4]

Bununla birlikte, KVKK ise, veri operasyonlarını Türkiye'de yürüten tüm gerçek ve tüzel kişileri kapsayan bir kanundur. Her ne kadar KVKK’da GDPR kadar açık bir düzenleme bulunmasa dahi Türkiye veri koruma otoritesi Kişisel Veri Koruma Kurulu’nun (“Kurul”) yayınladığı rehber ve kararlardan, veri operasyonlarını Türkiye’de gerçekleştiren yurtdışında yerleşik veri sorumlularının “yıllık çalışan sayısı” ve “yıllık mali bilanço toplamı” kriterlerine bakılmaksızın Veri Sorumluları Sicili’ne kayıt yükümlülüğünün bulunduğu içtihat edilmiştir[5]. Ayrıca Veri Sorumluları Sicili Hakkında Yönetmelik madde 5/1,c uyarınca “Türkiye’de yerleşik olmayan veri sorumluları, veri işlemeye başlamadan önce veri sorumlusu temsilcisi marifetiyle Sicile kaydolmak zorundadır”. Dolayısıyla KVKK kapsamında yer alan, yani Türkiye’de veri işleme faaliyeti gerçekleştiren veri sorumluları ve veri işleyenlerin, yurtiçinde yerleşik olsun veya olmasın, KVKK ve ilgili mevzuata uygun davranması gerekmektedir.

Buna ek olarak Kurul’un 08.11.2019 tarihli kamuoyu duyurusunda; “bahse konu veri sorumluları tarafından aydınlatma yükümlülüğünün yerine getirilmesi amacıyla hazırlanan metinlerde GDPR’a uyum sağlandığına yönelik ifadelere yer verilmesinin, veri sorumlularının 6698 sayılı Kişisel Verilerin Korunması Kanununa karşı yükümlülüklerini ortadan kaldırmadığının, bu itibarla GDPR’a yapılan atıfların yanı sıra söz konusu aydınlatma metinlerinde belirtilen politika ve kuralların öncelikle 6698 sayılı Kişisel Verilerin Korunması Kanununa uygun olduğunun belirtilmesi gerektiğinin hatırlatılmasında fayda görülmektedir”[6] denilmesi suretiyle KVKK açısından yükümlüklerin yerine getirilebilmesi için GDPR hükümlerine uyumlu olmanın yeterli olmadığı belirtilmiştir.

Sonuç

Kişisel verilerin korunması mevzuatı olan GDPR ve KVKK aynı amaç ile aynı konuyu düzenliyor olsa dahi, aynı zamanda iki mevzuat arasında hukuk sistemlerinin ulusallığı nedeni ile bazı farklar mevcuttur. Bu nedenle söz konusu iki mevzuatın da aynı anda konusunu oluşturan veri sorumluları ve veri işleyenler, iki mevzuata da bütünüyle uymakla yükümlüdür. Ayrıca Kurul, bu yönde yayınladığı bir kamuoyu duyurusunda; her iki mevzuatın da konusuna giren veri sorumlularının sadece bir mevzuata uygun olduklarını belirtmelerinin yeterli olmayacağını belirtmiştir.

[1] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC (Erişim Tarihi: 27.01.2020).

[2] Kişisel Verileri Koruma Kurumu. Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi (Erişim Tarihi: 27.01.2020).

[3] Kavramlar hakkında detaylı bilgi için bakınız. Ünsal Özden, Sevgi: Kişisel Verilerin Korunması Mevzuatı kapsamında Kişisel Veri, Veri İşleyen, Veri Sorumlusu ve İrtibat Kişisi Kavramları, Erdem&Erdem Hukuk Postası, Eylül 2019.

[4] Uludere, Eda: AB Genel Veri Koruma Tüzüğü ve Yer Bakımından Uygulanması, Erdem&Erdem Hukuk Postası, Nisan 2017.

[5] https://verbis.kvkk.gov.tr/UploadedFiles/SORULARLA_VERBİS.pdf, https://www.kvkk.gov.tr/Icerik/5545/2019-225 (Erişim Tarihi: 27.01.2020).

[6] https://www.kvkk.gov.tr/Icerik/6561/KAMUOYU-DUYURUSU (Erişim Tarihi: 27.01.2020).