Genel

GDPR vs KVKK – Sonun Başlangıcı Mı?

Bu yazıda konuya yabancı olanlar için hem KVKK hem de GDPR ile getirilen düzenlemeleri en önemli yönleriyle kısaca ele alacağız. Bunu yaparken bir yandan da az sonra okuyacağınız yeni kuralların elektronik ticarette, dijital reklamcılıkta, online habercilik ve yayıncılıkta yeni bir çağın başlangıcı mı yoksa sonu mu olduğunu da düşünmeye ve değerlendirmeye gayret edeceğiz.

Kişisel verilerin korunması konusu ülkemiz için maalesef hala çok yeni ve yabancı bir konu. Vatandaş açısından bakınca ise pek çoğunun ne konudan ne de konuyu düzenleyen Kanun’un sağladığı haklardan haberdar olduğunu sanmıyoruz.

Oysa kişisel verilerin korunması konusu Almanya’da 1970’lerde başlayan bir tartışma. AB’de ise sürekli gündemde olan bir başlık. Ülkemizin AB üyeliği adaylığından ötürü 10 yıla yakın bir süredir ülkemizin de gündeminde.

Fakat uzun yıllardan bu yana TBMM bu konuda yasal düzenleme yapma sonucuna bir türlü varamadı. Kişisel veri korumasının bulunmaması sebebiyle ülkemiz, yabancı devletler ve milletler arası şirketler tarafından, kendilerinden veri talep edildiğinde, yıllarca veri koruma bakımından güvenilmez ülke olarak ilan edildi ve taleplerimiz bu sebeple yıllarda red olundu.

Meğer çözüm vize serbestisindeymiş. Schengen vize bölgesine katılım şartlarının arasına kişisel verilerin korunmasının hukuken düzenlenmesi eklenince, TBMM gündeminde yıllardır bekletilen yasa tasarısı bir anda gündeme alındı, pek anlaşılmadan aynı hızla kabul edildi.

Edildi edilmesine fakat neredeyse hiç kimsenin, belki de hiç bir zaman yasalaşmayacağına kanaat getirmesinden midir bilinmez, ne yasa hakkında net bir fikri ne de yasaya uyum adına atılmış bir adımı bulunmuyordu. Hal böyle olunca yasanın yürürlüğüne birkaç hafta kala Kanun’un kapsamına girenleri bir telaş aldı.

Bir anda kişisel verilerin korunması eğitimleri, uyum programları, aydınlatma metinleri, muvafakatnameler,  veri aktarım çerçeve sözleşmeleri, veri politikaları gibi konu, kavram ve uygulamaları hızlı bir ivme ve gündem kazandı. Buna karşın, aradan geçen süre zarfında, kişisel gözlemim, neredeyse hiç kimsenin Kanun ile yapılmak isteneni tam olarak anlayamamış olduğu yönünde. Zira kişisel veri mevzuatının uygulanmasına dair tartışmalara her gün yeni başlıklar ve örnekler ekleniyor. Bu yapılırken de ortaya çıkan görüşler açıkçası, ağırlıklı şekilde derinlik ve objektiflikten uzak bir görünüm arz ediyor.

KVKK ve GDPR ile getirilen düzenlemeler nelerdir?

Bu yazıda konuya yabancı olanlar için hem KVKK hem de GDPR ile getirilen düzenlemeleri en önemli yönleriyle kısaca ele alacağız. Bunu yaparken bir yandan da az sonra okuyacağınız yeni kuralların elektronik ticarette, dijital reklamcılıkta, online habercilik ve yayıncılıkta yeni bir çağın başlangıcı mı yoksa sonu mu olduğunu da düşünmeye ve değerlendirmeye gayret edeceğiz.

Ülkemizde 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanunun bir bütün halinde kısa bir süre evvel yürürlüğe girmesinden yine kısa bir süre sonra bu defa Avrupa Birliği Veri Koruma Yönergesi (EU General Data Protection Regulation) yürürlüğe girdi. Önce KVKK açısından konuyu ele almak gerekirse KVKK, temelde 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifini esas almıştır. AB’de kişisel verilerin korunmasına ilişkin 1995’te AP ve AK tarafından, Kişisel Verilerin İşlenmesi ve “Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif” kabul edildi. Direktif temel amaç olarak;  

AB üye ülkelerindeki kişisel verilerin korunmasına ilişkin düzenlemelerin uyumlaştırılması amacıyla kaleme alınmıştır. AB üyeleri, kişisel verilerin korunmasına ilişkin kanuni düzenlemelerini bu Direktifi esas alarak yapmışlardır. İşte bizim KVKK, AB’nin 95/46 Direktifinin yerel versiyonudur. Kişisel verilerin korunması konusunda kimi, ne mesafeden takip ettiğimiz sanıyoruz bu şekilde daha açık ve anlaşılır şekilde ortaya konulmaktadır. Bu noktada daha sağlıklı bir bilgi ve veri olarak, ülkemizde 95/46 Direktifi KVKK olarak yasalaşırken, AB 95/46 Direktifini, ortaya çıkan yeni ihtiyaçları karşılamadığı için 2012’den itibaren planlı şekilde yürürlükten kaldırmıştır.

Temel olarak kişisel verilerinin korunmasını istemek anayasal bir haktır. Anayasamızda da bu hak tanınmış fakat uygulanması için Kanun referans gösterilmiş, Kanun çıkarılmadığı için anayasal olarak tanımlanan hakkın uygulanması ve sağlanması uzun süre mümkün olmamıştır.

İşin ilginç yanı, KVKK, vatandaşa anayasal hakkını kullanması için değil az evvel işaret ettiğimiz gibi Schengen bölgesine giriş şartı olduğu için kabul edilmiştir. Gerçi vatandaşın da bu anayasal hakkına dair yoğun bir talep içinde olmadığını da dikkatten kaçırmamak gerekir fakat bu husus apayrı bir konu olduğu için bu yazımızda üzerinde durmayacağız.

Nihayet, KVKK kabul edilirken dayanağı AB Direktifi, eskidiği için yürürlükten kalkmıştır. Amaç, veri güvenli ülke olmaksa da GDPR uyumsuzluğundan dolayı kısa bir süre içinde KVKK’dan öncesindeki gibi, yeterli ve etkin yasal düzenleme ve etkin ve uyumlu uygulama olmadığı için, veri güvenilir ülke kabul edilmeme riski, konunun farkındaki kimi yazarlarca bugünlerde sık sık dile getirilmektedir.

Tabi ki 95/46 Direktifi ve bu Direktifin ülkemize yansıması KVKK ile GDPR arasında taban tabana zıt ve farklı hükümler bulunmamaktadır. Fakat kabaca ifade etmek gerekirse 95/46 ve KVKK, zamanın güncel veri koruma ihtiyaçlarını karşılamaya yeterli, uygun görünmemektedir.

GDPR ise kişisel verilerin korunması konusunda uygulama alanını hem coğrafi hem de hak türleri ve bu hakların içerikleri noktasında oldukça ileri taşımıştır. Bunun ana gerekçesi 95/46 kabul edilirken bulut bilişimin, sosyal ağların, konum bazlı verilerin ve akıllı cihaz ve araçların bulunmaması ve kişisel verilere erişim araç, usul ve süreçlerinin oldukça değişmesidir.

Bu noktada GDPR ile KVKK arasında kısa bir mukayese yapmak faydalı olabilir. KVKK ile temelde kişisel verilerin tanımı oldukça geniş şekilde yapılmıştır. Yine ana prensip kişisel verilerin, sahibinin izni olmadan toplanamaması, işlenememesi, aktarılamaması, depolanamaması, elde edilmemesi, muhafaza edilmemesi, değiştirilmemesi, yeniden düzenlenmemesi, açıklanmaması, aktarılmaması, devralınmaması, elde edilebilir hâle getirilmemesi, sınıflandırılmaması ya da kullanılmamasıdır. Özetle, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. İşleme ile yukarıda sayılanların tamamı kastedilir. KVKK ulusaldır. Sadece Türkiye için geçerli ve yürürlüktedir.

GDPR ise sadece AB üyelerinin coğrafi sınırlarını hedef almamakta, bunu aşan bir uygulama alanı öngörmektedir. GDPR, veri işleme faaliyeti kapsamında sunulan mal veya hizmetin AB içerisinde sunuluyor olması veya AB içinde sunulan ürün – hizmet sunumunun AB dışından takip ediliyor veya daha doğru bir ifadeyle gözlemleniyor olması halinde de uygulama alanı bulmaktadır.

GDPR, AB içerisinde veri sahiplerine, ücretli olup olmadığına bakılmadan,  mal veya hizmet sunan veya bu veri sahiplerinin davranışlarını gözlemleyen veri kontrolörleri ve işleyiciler bakımından uygulanır. AB içerisinde mal veya hizmet sunmak yalnızca bir internet sitesi ile olabilir. Ancak bundan ibaret değildir. Örneğin, AB’de kullanılanlardan birini içeren çok dilli bir websitesi, AB’de tedavülü olan alternatif ödeme birimlerinin websitesine entegre edilmesi, AB’deki  müşterilerin izlenmesi vasfındadır. Bir veri kontrolörü veya işleyicisinin bir veya daha fazla AB üyesi ülkede bireylere veri hizmeti sunması durumunda GDPR uygulama alanı bulur.

GDPR, KVKK’dan kişisel verilerin tanımı bakımından ayrılmamakta, sadece gerekçelerinde ilgili örnek sayısını çoğaltmaktadır.

KVKK’dan farklı olarak GDPR AB üye ülkelerinde doğrudan uygulanacak, KVKK gibi 20 sene sonra iç hukuka aktarılması beklenmek zorunda kalınmayacaktır.

GDPR’da, KVKH’dan farklı olarak, veri işleyen kavramının kapsamı genişlemektedir. Alt hizmet sağlayıcılar da verinin hukuka uygun işlendiğini kontrol etmekle mükellef klınmaktadır.

GDPR, para cezaları 20 Milyon Euro veya hizmet sağlayıcının global gelirinin %4’ü üzerinden hesaplanabilecektir ki bu KVKK yaptırımları ile karşılaştırılınca ciddi miktarda bir artışı ifade etmektedir.

GDPR, veri ihlallerinde class-action davalarını mümkün kılarken, KVKK hala bireysel ihlallerde bireysel yaptırım ve idari para cezası yaptırımı perspektifiyle sınırlıdır.

GDPR onay şartını ve unutulma hakkını somut ve güçlü şekilde kullanıma sokarken KVKK unutulma hakkına doğrudan değinmemektedir. AYM’nin 2014/10685 numaralı Unutulma Hakkı esasındaki bireysel başvuruya mukabil güncel kararındaki gerekçe ve ret sonucu hatırlanırsa GDPR ile unutulma hakkına sağlanan geniş uygulanabilirliğin kıymeti sanıyoruz ki daha net anlaşılacaktır.

KVKK ve somut uygulama itibarı ile Kurul, avukatlar, mali müşavirler gibi bazı meslek gruplarını KVKK’dan muaf tutarken GDPR aksine bu mesleklere yönelik düzenlemeler ve sorumluluklar getirmektedir

GDPR’in özellikle e-ticaret platformları için önerdiği yükümlülüklerin neredeyse hiçbiri KVKK’da yer almamaktadır.

GDPR, KVKK’dan farklı ve daha net şekilde, Silme Hakkı, Erişim Hakkı, Düzeltim Hakkı, Veri Taşıma Hakkı, İşlemenin Kısıtlanması Hakkı, Otomatik Profillenmeme Hakkı şeklinde özel ve yeni hak süjelerini de tanımlamaktadır.

KVKK’da bulunmayan bir diğer önemli düzenleme, yaş sınırı ve yaşa göre aydınlatma ve muvafakat meselesidir. Her ne kadar onay usulü ve şekli henüz tam anlamıyla net değilse de GDPR, kişisel verilerin işlenmesine muvafakat etme yaşını 16 yaşın üstündekiler için kabul etmiş, altındakiler için de ebeveyn onayının yolunu sadece istisnai olarak açık tutmuştur.

Böylece KVKK’da ana kavram veri işleyenken, GDPR’da ilglii kişi yani verileri işlenen kişi haline gelmiş olmaktadır.

Dr. Mete Tevetoğlu

Dr. Mete Tevetoglu
Dr. Mete Tevetoğlu LL.M I Lawyer I Legal Counsel I Asst Professor Dr. Mete Tevetoğlu hukuk lisans eğitimini 1997-2001 arasında Marmara Üniversitesi Hukuk Fakültesinde tamamlamıştır. İstanbul Bilgi Üniversitesinde Eknomi Hukuku ve Marmara Üniversitesinde Özel Hukuk Yüksek Lisansını tamamlayan Tevetoğlu 2006 yılında Mali Durumu Bozulan Aracı Kurumlarda Alınacak Tedbirler ve Özellikle Tedrici Tasfiye başlıklı teziyle İktisadi Araştırmalar Vakfı tarafından düzenenen tez yarışmasında mali hukuk alanında Ünal Aysal Tez Ödülüne layık bulunmuş ve bu kitabı vakıf tarafından yayınlanmıştır. Dr. Tevetoğlu araştırma ve çalışmalarını London School of Economics and Political Science and University of London Institute of Advanced Legal Studies bünyesinde tamamlayarak Sermaye Piyasasında Uygulanacak Hukuk ve Uyuşmazlıkların Çözümünde Tahkim başlıklı eseriyle 2009’da hukuk doktoru unvanına hak kazanmıştır. Kadir Has Üniversitesi, Özyeğin Üniversitesi ve Maltepe Üniversitesi Hukuk fakültelerinde öğretim üyesi olarak görev yapan Tevetoğlu halihazırda Ticaret Hukuku, Fikri Mülkiyet Hukuku, Bilişim Hukuku, Sermaye Piyasası Hukuku alanlarında çalışmakta, yayınlar yapmakta, mahkemelerde bilirkişilik görevinde bulunmakta ve ders vermektedir. Tevetoğlu’nun yukarıdakilere ek olarak Bilişim Hukuku, Bilişim Hukuku Mevzuat isimli yayınlanmış kitapları,çeşitli makaleleri, tercümeleri, bulunmakta olup Dr. Tevetoğlu uyuşmazlık çözümü, sermaye piyasası hukuku, teknoloji ve telif hukuku, oyun hukuku, şirketler hukuku alanlarında çalışmakta ve çok sayıda projede ve uyuşmazlık çözüm süreçlerinde danışmanlık yapmaktadır.