GDPR (Genel Veri Koruma Yönetmeliği) Hakkında Dikkat Edilmesi Gerekenler

GDPR (General Data Protection Regulation), Avrupa Genel Veri Koruma Tüzüğü'dür. Avrupa genelinde, Avrupa Birliği vatandaşlarının kişisel verilerini korumaya yönelik oluşturulmuş bir yönetmeliktir. GDPR, Avrupa Birliği sınırları içerisindeki vatandaşların kişisel verilerini barındıran bütün işletmeleri kapsamaktadır.

GDPR’a Neden Gereksinim Duyuldu?

GDPR’dan önce de 1995 yılında yürürlüğe girdi. İçinde bazı durumlar içeren ve GDPR’a oldukça benzeyen bir Veri Koruma Tüzüğü de söz konusuydu. Bu tüzük üzerinde zaman içinde güncellemeler yapılması gerekti. GDPR, kendisinden önceki Veri Koruma Yasası gibi, bireylerin veri korumasını güçlendirmeyi amaçlayan bir yasadır. Daha önceki herhangi bir yasadan daha çok olarak GDPR, Avrupa Birliği'nin tamamını kapsar. AB sınırları dışındaki kişisel verileri ele alır.

Örneğin, AB'de bir müşterisi olan Amerika Birleşik Devletleri merkezli bir şirket bulunuyor. AB'de bulunan bir kuruluş kadar veri ihlalinden sorumludur. Günümüzde teknolojik bir dünyada yaşamaktayız. Kişisel ve diğer tüm verilerin işlenme faaliyeti inanılmaz bir boyuta ulaştı. Olağanüstü sayılarda ve hızlarda nerede nasıl olduğunu hiç bilmediğimiz bir noktaya geldi. Bu sebepten mevcutta bulunan tüzüğün yenilenmesi gerekti. Daha kapsamlı ve daha fazla yükümlülükler içeren bir tüzüğün ortaya çıkması gerekmekteydi. Gelişen teknolojinin getirdiği bir yükümlülük olarak GDPR ortaya çıktı. Sosyal medya, akıllı telefonlar ve gelişmiş web teknolojisi gibi alanlarda yükümlülüklerimizi genişletmek için yeni bir kanuna ya da tüzüğe gereksinim duyuldu.

GDPR Yönetim Sürecinde Püf Noktalar Nedir?

Dokümantasyon Yönetimi

Dokümantasyonların yönetilmesi, izlenebilirliğinin ve güvenli erişilebilirliğinin sağlanması gerekir.

İlgili tarafla iletişimin güçlü olması

En etkili iletişim nasıl olacaksa, gelişme nasıl yönlendirileceğinin bulunması ve sağlanması, kurulun belirli bir iletişim stratejisi olması ve ilgili kişiyle sürekli temas halinde olunması gerekir. İletişimin araçlarının ne olduğu da çok önemlidir. Broşürler, posterler, reklamlar, basın toplantıları ve e posta gibi alakalı iletişim araçları kullanılabilir. İletişim yaklaşımları seçilirken hedef kitlenin ne olacağı, ihtiyaçlarının ne olduğu ve ilgi seviyesinin ne kadar olduğu belirlenmelidir. İletişimle alakalı değerlendirilmeler yapılmalıdır. İletişimin etkilerini görmek için yeterli süreye sahip olunmalıdır.

GDPR’a yönelik farkındalığın olması

GDPR farkındalığının sağlanmasının temel koşulu eğitimdir. Planlı ve sistematik bir eğitim süreci yapılmalıdır. Kuruluşun yeterliliklerinin artırılması ve veri koruma hedeflerine yönelik ilerleyebilmesine yardımcı olacak farkındalıklar ve eğitimler sağlanmalıdır.

İhlal Yönetimi

Bir ihlal olduğu zaman ihlal olayının nasıl yönetileceğine yönelik bir tüzük, prosedür belirlenmesi icap etmektedir. Mümkün olduğu derecede tüzük uygulanmalıdır. Önce planın hazırlığı sonra ise müdahalenin nasıl gerçekleşeceği ve takibin devamının da getirilmesi oldukça önemlidir.

 

Genel olarak bakıldığında şirketin konumu Avrupa Birliği sınırları içerisinde bulunmasa bile, Avrupa Birliği içinde yerleşik olan vatandaşların verileri toplanırsa, bu şirket GDPR’dan sorumlu tutulur. Yönetmelikte belirtildiği şekilde yapılmıyorsa ya da ilgili kişiden yani kişisel veri sahibinden açık bir onay alınmıyorsa hiçbir kişisel veri işlenemez. Kişisel veri sahibinden onay alınmalı, kanunda ya da tüzükte belirtilen şartlar yerine getirilmeli ya da açık rıza alınmalıdır. Açık rıza iptal edilebilmektedir. Verilen rızayı geri alabilmek konusunda sıkıntı yaşanmaz. Rızanın geri alınması durumunda geçmişte rızaya yönelik alınan ya da işlenen her veri silinmek zorundadır.

Avrupa'nın dijital gizlilik mevzuatının özüdür. GDPR yönetmeliği, 25 Mayıs 2018 tarihinde yürürlüğe girmiştir. GDPR, Avrupa Birliği’ne üye olan ülkeler ile alakalı olan işletmeler ve vatandaşlar üzerine bazı yükümlülükler ve sorumluluklar yüklemektedir. Yönetmelik, sadece özel nitelikli durumlar yani şirketler için söz konusu değil, Avrupa Birliği’ne üye ülkelerdeki büyük kurum ve kuruluşlar için de geçerlidir. Türkiye içinde olan, Kişisel Verilerin Korunması Kanunu da sadece şirketleri ilgilendirmez; kanundaki yükümlülükler her gerçek kişi ve vatandaş için geçerlidir.

GDPR’ın Yedi Temel Prensibi 

• Hukuka uygunluk, adalet ve şeffaflık
• Amaç sınırlaması
• Veri minimizasyonu
• Doğruluk
• Depolama sınırlaması
• Bütünlük ve gizlilik (güvenlik)
• Hesap verilebilirlik

Son teslim tarihinden önce GDPR uyumluluğunu sağlayamayan şirketler, ağır cezalara ve para cezalarına tabi olacaktır. GDPR ihtiyaçları, AB ülkelerinde tüketici ve kişisel verilerin daha tutarlı bir şekilde korunmasını hedefleyen Avrupa Birliği'nin her üye ülkesi için geçerlidir. GDPR'ın temel gizlilik ve veri koruma gereksinimlerinden bazıları aşağıdaki gibidir:

• Veri işleme için kişilerin onayını talep etme
• Gizliliği korumak için toplanan verilerin anonim hale getirilmesi
• Veri ihlali bildirimlerinin sağlanması
• Veri aktarımını güvenle gerçekleştirme
• Bazı şirketlerin GDPR uyumluluğunu denetlemesi için bir veri koruma görevlisi atamasını zorunlu kılmak

Bireyler, verilerinin nasıl işlendiğini, saklandığını ve düzenlendiğini bilme hakkına sahiptir. GDPR, AB ve AB vatandaşlarının kişisel verilerinin, Avrupa genelinde güvenli bir şekilde korunduğuna dair güvence vermesidir. GDPR direktifine göre kişisel veriler; bir ad, fotoğraf, e-posta adresi, banka bilgileri, sosyal ağ web sitelerindeki güncellemeler, konum bilgileri, tıbbi bilgiler veya bir bilgisayar IP adresi gibi bir kişiyle ilgili herhangi bir bilgidir. Kişiler hakkındaki veriler arasında özel, kamusal veya iş rollerinde hiçbir ayrım yoktur, kişi kişidir. Ayrıca bir B2B ortamında her şey, birbirleriyle ve birbirleri hakkında bilgi paylaşan ve etkileşimde bulunan bireylerle ilgilidir. B2B pazarındaki müşteriler tabii ki şirketlerdir, ancak iş konularını ele alan ilişkiler insanlar veya bireylerdir.

Kişisel verileri GDPR’a uyumlu bir şekilde işleyen kuruluşlar, AB ülkelerinde ya da diğer ülkelerdeki yapılacak ticaretlere yönelik belli bir prestij ve güven kazanır. Cezaların korkutması da GDPR şartlarını sağlamak için bir sebep olabilir. Cezalara uyumluluk konusunda yasalara uyum sağlamayan organizasyonlara ceza kesilmektedir.

GDPR şartlarına uyum süreçleri korkuyla yürütülmemelidir. Süreçte ticari olarak işletmenin resmini düzeltmeye odaklanılmalıdır. Kişisel verilerin korunmasının gerçekte ne kadar önemli olduğunun bilincine varmak temel hak ve özgürlüklerden biridir. İşletmelerin cezadan kaçınmak için bile GDPR’a uyumlu hale gelmeleri gerekir. GDPR’da bir uyumsuzluk söz konusu olduğunda 20.000.000 Euro'ya kadar ya da geçmiş yılın mali global cirosunun %4’üne kadar bir para cezası söz konusudur. Hangi miktar yüksekse o uygulanır. İşletmenin mali global cirosunun yüzde dördü 20 milyon Euro'dan fazla ise, cironun yüzde dördü miktarında ceza uygulanır. GDPR ile uyumluluk, kullanıcılarınızın gizliliğine değer verdiğinizi ve yasal olarak gerekli olduğunuz araçların ötesinde haklarını ve kişisel bilgilerini korumak için azami özeni gösterdiğinizi gösterir.

Neden GDPR Şartlarına Uyum Sağlanmalıdır?

GDPR'a uymak büyük bir girişimdir, ancak bunun sadece bir BT(IT) veya BT güvenlik projesi değil, bir iş projesi olduğunu anlamak önemlidir. BT departmanı veri bütünlüğünü ve güvenliğini sağlamaya yardım edebilir, ancak bireylerin kendi verilerine erişebilmelerini, gizliliğin tüm sistemlerde ve hizmetlerde yerleşik olmasını ve düzenlemenin diğer tüm yükümlülüklerinin olmasını sağlamak için yeni iş süreçlerinin uygulanması icap edebilir.

En küçük şirketler dışında herhangi birinin bunu manuel olarak başarması pek olası değildir, bu nedenle GDPR uyumluluğu büyük olasılıkla otomatik süreçlerin ve diğer kurumsal teknolojilerin kullanımını gerektirecektir. GDPR, yönetmeliğin detaylı bir açıklamasını sağlayan 99 maddeden oluşur ve her kuruluş farklı olduğu için, kuruluşunuzun uyum içinde olmasını teminat edecek mutlak bir reçete sunmak imkânsızdır. Uyumlu olmak için aşağıda yer alan maddeler dikkate alınmalıdır;

• Kuruluştaki önemli kişilerin GDPR'ın önemini ve onunla uyumluluğunu anladığından emin olmak gerekir.
• Eldeki kişisel verileri, nereden geldiğini ve kimlerle paylaşıldığı belgelenmelidir. Bunu yapmak için bir bilgi denetiminin düzenlenmesi gerekebilir.
• Mevcut gizlilik bildirimleri incelenmeli ve gerekli değişiklikler yapılmalıdır.
• Bireylerin kişisel verilerinin yaygın olarak kullanılan bir biçimde sunulması gereklidir. Kişilerin haklarının karşılanabileceğinden ve istek üzerine verilerinin silinebileceğinden emin olmak için prosedürlerin kontrol edilmesi gerekir.
• Prosedürlerin güncellenmesi icap eder, böylece gelen talepler gerekli zaman çizelgesi içinde halledilebilir.
• GDPR'daki veri işleme faaliyetinin yasal dayanağı belirlenmeli, belgelenmeli ve açıklamak için gizlilik bildirimleri güncellenmelidir.
• İzin alma, kaydetme ve yönetme şekli ve herhangi bir değişiklik yapılmasının gerekli olup olmadığı gözden geçirilmelidir. 
• Bireylerin yaşlarının nasıl doğrulanacağı ve herhangi bir veri işleme faaliyeti için ebeveyn veya veli onayını nasıl alınabileceği üzerine düşünülmelidir.
• Kişisel bir veri ihlalini tespit etmek, bildirmek ve araştırmak için prosedürlerin olduğundan emin olunmalıdır.
• Veri koruma uyumluluğu için sorumluluk alacak biri belirlenmeli ve resmi olarak bir Veri Koruma Görevlisi atamasının gerekip gerekmediği üzerine düşünülmelidir.
• Birden fazla AB ülkesinde faaliyet gösteriliyorsa, önde gelen veri koruma denetim otoriteleri belirlenmelidir.

Yeni GDRP Düzenlenmesinde Dikkat Çeken Noktalar

İnternetin iş için nasıl kullanıldığı ve veri paylaşımının hayatımızdaki rolü konusunda çok şey değişti, bu nedenle yasanın güncellenme zamanı geldi. Yeni GDPR ile birlikte uygulama alanı genişledi. En büyük değişiklik, şirketin bulunduğu yere bakılmadan Avrupa Birliği’nde ikamet eden kişilerin verilerini işleyen tüm tüketicilerin GDPR’a tabi olmasıdır. Avrupa vatandaşlarına hizmet sunan işletmelere GDPR uygulama alanı bulmaktadır. Bu şirketler için ir veri koruma görevlisi atanması zorunluluk hale geldi. Yaptırımlar ağırlaştırıldı. Şirketin geçmiş yılın cirosunun %4’ü ya da 20 milyon euroya kadar para cezası bulunmaktadır. Ceza çok yüksektir ve hiçbir zaman düşük tutulmaz. Açık rızanın şartları güncellendi. Eskiden şartlar çok daha kısıtlıydı hatta “yok” gibiydi. Açık rıza, veri işlemenin amacına yönelik olarak anlaşılır ve kolay erişilebilir bir biçimde verilmesi çok önemlidir. Açık dille, sade bir şekilde, konuyu diğer konulardan açık ve ayırt edilebilir bir şekilde belirtilmelidir. Net olarak hangi kişisel amaç için ceza verildiğine yönelik bir ayrımın olması gereklidir. Her bir konu için ayrı ayrı rızaların yazması icap etmektedir. Geri alınması basit olmalıdır. Açık rıza metni; açık, anlaşılır ve sade olmalıdır.

Açık rızanın amaca uygun olarak verilmiş olması, yalın ve açık bir şekilde anlaşılması, neye açık rıza verildiğinin belirgin olması, rızanın alınmasının yolunun da kolay olacağı şekilde olması gerekmektedir. “Açık rıza veriyorum”. şeklinde bir tikleme olduğunda, “Açık rıza vermiyorum.” şeklinde de bir tiklemenin de olması çok olumlu olabilir. Hizmete bağlı bir durum olmadığını bize ifade etmektedir. “Açık rıza vermiyorum.” şeklinde de bir tiklemenin oluşturulmaması, karşı tarafı zorunda bırakıyormuş gibi bir algı oluşturabilir. “Ben bu açık rızayı istemiyorum.” kısmının da olması, bu seçeneğin gerçekten var olduğunu karşı tarafa daha fazla hissettirmektedir. Olumsuz kısmında açık rıza metninin altında yer alması oldukça önemsenilmektedir.
Bir şirketin açık rıza metni açık ve anlaşılır değilse, bu şirket Kişisel Verileri Koruma Kurumu’na şikâyet edilebilir. Kurum denetime geldiği sırada açık rıza metninin yalın olmadığı anlaşılabilir ve bunun doğru bir rıza olmadığını söyleyebilir. Açık rıza metni anlaşılır değlse, yani kişisel veri faaliyetine bağlanan bir yanlışlık söz konusuysa geçersizlik söz konusu olacaktır ve bu durumda işletmenin açık rıza metnine bağlı olarak işlediği kişisel verileri işlememesi gerektiği ortaya çıkacaktır. Açık rıza metni uygun olmamasına rağmen kişisel veriler işlendiği takdirde ise ise ağır cezalar uygulanacaktır. Miktar hakkında kesin bir şey söylenilmesi mümkün değildir. Ceza, kurumun takdirine bağlı olarak değişkenlik gösterebilir. Kısacası, cezasal durumlar söz konusu olabilir.

 

GDPR, genel olarak Avrupa Birliği üye vatandaşlarının verilerini korumaya yöneliktir. Avrupa Birliği üye ülkelerin vatandaşlarından veri alma ihtimali olan her türlü şirket için GDPR geçerlidir. Avrupa Birliği içinde müşteri tabanı bulunan mal ya da hizmet sağlayıcılarının, verileri GDPR’a uyumlu olacak şekilde işlemeleri zorunludur. Türkiye’deki bir şirketin elindeki veri, Avrupa Birliği vatandaşı bir kişinin verisi ise, GDPR’a bağlı olmuş olur. Avrupa Birliği’ne üye herhangi bir ülkeye ilişkin bir hizmet sağlayıcısı söz konusuysa, bir mal tedariği varsa yani o tarafa doğru tedarik yapılıyorsa GDPR’a bağlı olur. İnsanlarda, Avrupa’da yaşanıyorsa veya şirketin merkezi ya da bir şubesi Avrupa’daysa GDPR’a tabi olunabileceğine dair genel bir yanlış algı bulunmaktadır. Önemli olan hangi verilerin ve hangi vatandaşın verilerinin tutulduğudur.

Günümüzde, her şirketin GDPR’dan haberi yoktur. Avrupa Birliği vatandaşlarıyla çalışmalar gerçekleştiren bir şirkette GDPR bir şekilde kendini belli edecektir. GDPR bildirim yapabilir ve başka sebepler sonucunda şirket GDPR’ın ne olduğunu öğrenebilir. Daha küçük çaplı şirketler GDPR’ı bilmeyebilir. İşletmenin Avrupa’ya belirli bir mal aktarımı varsa bile şirketin büyüklüğü ile alakalı farkında olunmadığı da olabilmektedir. Farkında olunsa bile dikkate alınmayabilir. GDPR’a uyumlu hale getirmeye yönelik çalışmalar gerçekleştirilmediği de meydana gelebilir.

GDPR ile ilgilenmek için şirketin illa Avrupa’yla çalışması gerekmez. Her şirket GDPR ile ilgilenmelidir. Eğer bir şirketin Avrupa Birliği ile hiçbir bağlantısı yoksa GDPR’ı genel anlamda detaylı bir şekilde öğrenmesine gerek yoktur.  Avrupa Birliği ile bağlantısı olmayan bir işletme daha çok KVKK ile alakalı sıkıntı yaşar ve oraya doğru yönelmesi gerekir.

GDPR Hangi Şirketleri Etkiler?

GDPR genel olarak, Avrupa Birliği’nde yerleşik kişilere yönelik verilerin işletmeler tarafından tutulması durumunda varlığını sürdürebilir. İşletme, Avrupa Birliği’ne mal ya da hizmet sağlıyorsa, şirket GDPR’a tabiidir. Şirketin küçük olup olmadığının önemi yoktur. Verilerin kime ait olduğu ve hangi ülkenin vatandaşının verisi olduğu önemli olan noktadır. Amerika’da kapsamlı bir durum söz konusu değildir. Örneğin şu anda günümüzde olan WhatsApp ile ilgili gizlilikle alakalı güncellemenin Avrupa Birliği ülkelerine dayatılamamasının temel sebebi de GDPR’dır. Türkiye, Avrupa Birliği üyesi olmadığı için WhatsApp bize bu gizlilik ile alakalı güncellemeyi dayatmaktadır.

GDPR’a Uyulmazsa Ne Gibi Cezalar Uygulanır?

Para cezaları her vaka için etkili, orantılı ve caydırıcı olmalıdır. Cezanın değerlendirilip değerlendirilemeyeceği ve hangi düzeydeki cezanın değerlendirilebileceğine dair yetkililerin kararları için dikkate almaları gereken bir yasal kriter kataloğu vardır. Diğer şeylerin yanı sıra; kasıtlı ihlal, meydana gelen zararı hafifletmek için önlem alınmaması veya yetkililerle işbirliği yapılmaması cezaları artırabilir. GDPR’a uyulmazsa 20 milyon euroya ya da işletmenin bir sene önceki mali yıl küresel cirosunun %4’üne kadar bir ceza söz konusudur. İşletmenin mali yıl küresel cirosunun %4’ü daha yüksekse bu ceza uygulanır ya da 20 milyon euro daha yüksek ise ceza olarak 20 milyon euro uygulanır. “X olunca Y kadar ceza alıyorsun.”, “Z yapmanın cezası A’dır.” şeklinde kesin noktalar yoktur, her zaman takdire bırakılır. Biz sadece üst limitleri bilmekteyiz.

Albert Solino olarak gördüğümüz uygulamalarda alt sınırlara yakın cezalar değil, yüksek cezalar verildiğidir. Konunun ne kadar önemli olduğu, ne kadar dikkat edilmesi gerektiği, kamuoyunun bilinmesi ve buna yönelik önlemler, kapsamlar geliştirilmesi amacıyla cezalar yüksek tutulmaktadır.
GDPR cezaları zorunlu olmaktan ziyade isteğe bağlıdır. Durum bazında uygulanmalı ve “etkili, orantılı ve vazgeçirici” olmalıdır. Alabileceğiniz herhangi bir para cezası aşağıdakilere bağlı olacaktır;

• İhlalin türü, ne kadar şiddetli olduğu ve ne kadar sürdüğü
• Kasıtlı veya tesadüfi olup olmadığı
• Bireylere (veri sahipleri) verilen zararı azaltmak için gerçekleştirdiğiniz eylemler
• Güvenlik önlemleriniz
• Bunun ilk GDPR ihlaliniz olup olmadığı
• Sorunu çözerken ne kadar işbirlikçi davrandığınız
• İlgili kişisel veri türleri
• Denetim otoritesine kendiniz bildirip bildirmediğiniz
• Onaylanmış davranış kurallarına veya sertifika programlarına uyup uymadığınız.

Kişisel veriler, Genel Veri Koruma Yönetmeliğinin (GDPR) merkezinde yer alır. Ancak, birçok kişi hâlâ "kişisel verilerin" tam olarak ne anlama geldiğinden emin değildir. Neyin kişisel veri olup olmadığına dair kesin bir liste bulunmamaktadır, bu nedenle her nokta GDPR'ın tanımının doğru şekilde yorumlanması ile alakalıdır:

"Kişisel veriler, tanımlanmış veya tanımlanabilir gerçek bir kişi(veri konusu) ile ilgili herhangi bir bilgi anlamına gelir.”

Bu bağlamda kişisel veri, gerçek kişiye ilişkin akla gelebilecek her türlü veriye denilebilir. Aşağıda yer alanlar kişisel veridir;

• İsim, 
• Soy isim, 
• Doğum tarihi,
• Doğum yeri, 
• Adres, 
• Anlık konum takibi, 
• Ip adresi, 
• Biyometrik veriler,
• Genetik veriler,
• Dini inanç,
• Irk,
• Etnik köken,
• Siyasi görüş

Belirlenebilir gerçek bir kişi, ismini ve soy ismini bilmediğimiz birinin, geri kalan bilgilerinden kim olduğunu çıkarabilmektir. Konuyla alakalı herhangi bir etkileşime geçilmeyen insanlar, sadece özel verilerin kişisel veri olduğunu düşünebilmektedir. Geri kalan bilgilerle alakalı bir anonimlik söz konusu olmasına gerek yok diye düşünebilirler. Akla gelebilecek en basit noktalar bile kişisel veridir, sadece gerçek kişiye ait olması yeterlidir.

KVKK ve GDPR arasında büyük veya küçük birçok fark söz konusudur. En önemli farklardan biri, yapılan ihlallerden dolayı doğan sorumluluğa ilişkindir. GDPR’da veri kontrolörü denilen, KVKK kapsamındaki karşılığı veri sorumlusu olan tüzel kişiye de veri işleyen diye sınıflandırılan, veri sorumlusuna, veri kontrolörüne ve veri işleyen kişiye yani tüzel kişiliğe de bir sorumluluk yüklemektedir. Herhangi bir ihlâl sonucunda, maddi ya da manevi zarar gören kişi, bu zarara ilişkin olarak veri sorumlusu da, veri işlerinde tazminat alma hakkına sahip bir şekilde sorumlu tutulur. Veri sorumlusuna da veri işlerine de başvurulabilir. Veri sorumlusu, veriyi ilk kez ilgili kişiden edinendir. Veri işleyen, veri sorumlusunun faaliyetlerini yürütmek için gerekli olduğu durumlarda kişisel veriyi paylaştığı şirkettir.

Örneğin; mal satan bir şirketin kendisi veri sorumlusuyken, kendi işleri ile alakalı iç işler yaparken dışarıdan bir mali müşavir ile çalışması durumunda, mali müşavirlikle alıp verilen o ilişkideki durumla alakalı konu isimlendirilmesi mali işler olarak sınıflandırabilir. KVKK kapsamında çok bir bilgi bulunmamaktadır çünkü kanun yenidir. Neyin ne kadar açıklandığı ile alakalı net bir çizgi yoktur. Kimin veri sorumlusu olup olmadığı net değildir. GDPR’da ise herkes sorumludur. Şirketleri bazı kalıplara sokmaya çalışmaktayız çünkü veri işleyen olarak sınıflandırılıp isimlendirilebilir ise bazı yükümlülüklerden muaf olunabilir. GDPR’da bu mümkün değildir. KVKK’da sadece öngörülen idari para cezalarından sorumlu kişi veri sorumlusudur. Veri sorumlusu sonra genel mahkemeler kapsamında veri işlerine bir rücuda bulunabilir. “Senin yüzünden böyle oldu.”, “Bu ihlâlin ve zararın sorumlusu sensin.” denilebilir ama belirsiz bir süreç ortaya çıkar.

En başta sorumlunun ne olduğu daha önemlidir. GDPR’daki gibi bir süreç olmadığından, KVKK kısmında kalıba sokma durumuna girilebilir. Şirketler arasında yapılan anlaşmalarda da, veri işleyen olarak belirtildiğinde karşı taraf veri işleyen olmuş oluyor. Aramızda yapılan isimlendirmenin de çok bir değeri yoktur. Önemli olan Kişisel Verileri Koruma Kurumu'nun kararıdır. Kurum yapılan kişisel veri faaliyetine yönelik isimlendirme sonucunda karar verir. Şirket ve KVKK danışmanlarının bu konuda ne dedikleri bir önem taşımaz ama yine de kendi aralarında isimlendirmeler yapmaya çalışırlar. GDPR’da veri kontrolörü de olsanız veri işleyen de olsanız sorumluluğunuz vardır, olası bir aksilikte tarafınıza tazminat davası açılabilir.

KVKK’da tazminat davası açma durumu net bir şekilde belli değildir. Tabi ki dava açılabilir ama GDPR’da olduğu gibi, zarar gören kişinin tazminat hakkına sahip olup olmaması çok belirli değildir. KVKK’da tazminat davası söz konusudur lakin daha çok ceza vardır ve bu cezaların yürürlük şekli daha çok idari para cezası şeklinde yürümektedir. Gelecekte kişisel verilerle alakalı gerçek bir kişinin de tazminat almak için dava açması daha yaygın hale gelecektir. Vatandaşlarımız, kişisel verilerle alakalı daha fazla bilgi sahibi olup, konuya aşina hale geldiğinde KVKK süreçleri de değişebilir.

GDPR’da, KVKK’da öngörülmeyen çeşitli kavramlar bulunmaktadır. GDPR’da yer alan ama KVKK’da yer almayan bazı kavramlar aşağıdaki gibidir;

• Data Protection Officer (Veri Koruma Görevlisi)

Veri sahiplerinin düzenli ve sistematik bir şekilde geniş çaplı izlenmesini gerektiren bir veri işleme faaliyetinde bulunması durumunda data protection officer denilen kişinin atanması zorunluluğu vardır. İşletme, özel teknik kişisel verilerin geniş çaplı işlenmesi durumunda olabilir. Özel teknik kişisel veri; kişinin mahremiyet içeren verileri ya da açıklanması durumunda ayrımcılığa tabi tutulabileceği ve zarar görebileceği verilere denilir. Örneğin; sağlık verisi, felsefi görüş, dini inanç gibi daha sıkıntılı özel nitelikteki verilerin korunmasına yönelik hem KVKK hem GDPR anlamında önlem alınması gerekmektedir. İşletme, kişisel verileri geniş çapta işlemekteyse, örneğin bu işletme bir özel hastane ise data protection officer atama zorunluluğundadır.

• Data Protection Representative (Veri Koruma Temsilcisi)

Avrupa Birliği’nde yerleşik olmayan veri sorumluların, Avrupa içerisindeki veri sahiplerine mal ya da hizmet sunması durumunda, kişisel verinin işleme faaliyeti çok az miktarda olmaması halinde herhangi bir Avrupa ülkesinde yerleşik bir DPR(Data Protection Representative) ataması zorunluluğu bulunmaktadır. Veri koruma temsilcisi Türkiye’yi yakından ilgilendirmektedir. Örneğin; Avrupa dışında bir işletme bulunuyor ve bu işletme Avrupa Birliği’ndeki bir ülkeye hizmet veriyor. Böyle bir şirketin GDPR kapsamında veri koruma temsilcisi atama zorunluluğu bulunmaktadır.

• Data Protection Impact Assessment  (Veri Koruma Etki Değerlendirmesi)

Veri kontrolörünün işleme faaliyetinden önce yapılacak işleme faaliyetlerinin kişisel verilerin korunmasına olan etkisine ilişkin bir değerlendirmedir. GDPR, değerlendirmelerin kişisel verilerin geniş çaplı işlenmesi durumunda yapılmasını zorunlu tutmaktadır. KVKK’da aynı durum söz konusu değildir.

KVKK’da sicile kayıt yükümlülüğü bulunmaktadır. VERBİS kullanmak zorunludur. VERBİS’in son tarihi geçmiş yıllarda oldukça ertelendi. Şirketlerin konudan haberi olmaması, yetiştirememesi ve bunlara benzer sebeplerden dolayı süre sürekli uzamaktaydı. Daha sonrasında pandemi meydana çıktı. Pandemiden dolayı da uzatmaya gidildi. Sonra ise son sürenin sonuna gelindi ve süreç daha fazla uzamadı. Artık şirketlere bildirim gönderilmesine başlandı. Kurumlara, kişisel verileri koruma kurumundan “Sicile kayıt yükümlülüğünü yapmanız gerekiyor. Son tarihiniz GG/AA/YYYY’dir.” şeklinde resmi yazılar gitmeye başladı. Resmi yazılar sayesinde birçok şirketin haberi oldu ve yazıya yönelik hareketlerde ve çalışmalarda bulunmaya çalıştılar. Kişisel verilerin korunmasına yönelik uyum projesi kapsamında çalışmalar yapması gerektiğini yeni yeni fark eden şirketler oldu ve bu şekilde süreç devam etti. GDPR için sicile kayıt yükümlülüğü söz konusu değildir.

GDPR’da unutulma hakkı bulunmaktadır. KVKK’da unutulma hakkı bulunmaz. Unutulma hakkı; veri sahibinin kendisi ile ilgili kişisel verilerin en kısa sürede silinmesini kontrolörden talep hakkına denir. Veri sahibi bu hakkı istediği zaman gerçekleştirebilir. GDPR’da bulunan şartlardan biri gerçekleşirse veri sorumlusu unutulma hakkı kapsamında ilgili kişinin kişisel verilerini en kısa sürede silmesi gerekir. GDPR’da bulunan şartları aşağıdaki gibidir;

• Kişisel verilerin toplanması ya da işlenmesi ile alakalı amaçlar artık gerekli olmuyorsa,
• İşleme faaliyeti bir açık rızaya dayanıyorsa ve bu rıza ilgili kişiden geri çekiliyorsa veriyi işlemek için dayanak kalmıyorsa,
• İşleme faaliyetine yönelik meşru bir gerekçe yoksa,
• Meşru menfaatlere dayanarak yapılan bir işleme faaliyeti artık yoksa,
• Faaliyet alanı değişmişse ya da o alan artık kullanılmıyorsa

ilgili kişi, kişisel verilerinin silinmesiyle alakalı itirazda bulunabilir. Unutulmak kapsamında her türlü veri böylece silinmelidir. KVKK’da unutulma hakkı yoktur ama gelecekte olacağını tahmin etmekteyiz.

KVKK’nın açılımı Kişisel Verilerin Koruması Kanunu'dur. Kişisel verilerin korunması ile ilgili bir kanundur. KVKK’nın amacı insanların, kişilerin kişisel verilerinin gelişi güzel toplanmaması, işlenmemesi, hukuka aykırı faaliyetleri olmaması ve genel olarak en temel hak ve özgürlüklerin devlet tarafından korunması için bazı yükümlülükler getirmektir.

Türkiye’nin 6698 Sayılı Kişisel Verileri Koruma Kanunu(KVKK), AB’nin çığır açan Genel Veri Koruma Yönetmeliğini (GDPR) onaylamasından sadece birkaç hafta önce 7 Nisan 2016’da yürürlüğe girdi. KVKK, kişisel verilerin korunmasını düzenleyen ve kişisel verilerle ilgilenen kurum ve kişilerin uymak zorunda oldukları yükümlülükleri ana hatlarıyla belirleyen Türkiye'deki ilk yasadır. KVKK'nın yürürlüğe girmesinden önce Türkiye'de kişisel verilerin korunması ve mahremiyetini düzenleyen özel bir yasa bulunmamaktaydı. Türkiye Veri Koruma Kurumu (TDPA), 2017 yılının başlarında mali ve idari açıdan bağımsız bir denetim otoritesi olarak kurulmuştur. Görevi, KVKK hükümlerini uygulamak ve kişisel verilerin korunması konusunda halkı bilinçlendirmektir. KVKK; Türk mevzuatını, Avrupa bloğunda veri korumayı yöneten 95/46 / EC sayılı AB Direktifi ile uyumlu hâle getirmeyi amaçlamaktaydı. Türkiye'de KVKK'nın yürürlüğe girmesinden kısa bir süre sonra GDPR lehine yürürlükten kaldırıldı. KVKK ile GDPR arasında dikkate değer farklılıklar bulunmaktadır çünkü KVKK yalnızca GDPR’ın öncülüğüne dayanmaktadır ama aynı zamanda kendine özgü gereksinimleri de bulunmaktadır.

KVKK ile ırk, etnik köken, siyasi görüşler, felsefi inançlar, din, mezhep veya diğer inançlar, giyim, dernek, vakıf üyelikleri veya diğer inançlarla ilgili kişisel veriler gibi özellikle hassas olan özel kişisel veri kategorileri için daha katı hükümler içermektedir. Sendikalar, sağlık, cinsel yaşam, daha önceki ceza mahkumiyetleri ve güvenlik önlemleri ile ilgili bilgiler ve biyometrik, genetik veriler de buna dahildir.

Aydınlatma Metni Nedir?

Aydınlatma metni, aydınlatma yükümlülüğü ile alakalıdır. KVKK’da da GDPR’da da aydınlatma metni vardır. Aydınlatma metni; kişisel bir verinin işlenmesi durumunda, bu kişisel verinin neden, hangi amaçla ve nerede işleneceği, ne kadar sağlanacağı ve yasal dayanağının ne olduğu ile alakalı ya da yapılan kişisel veri ile alakalı yapılan işlemin ne olduğu ile alakalı ilgili kişiyi bilgilendirme, yani aydınlatma yükümlülüğü vardır. Aydınlatma yükümlülüğü de aydınlatma metinleri ile sağlanmaktadır.

Örneğin; kişisel bir veriyle alakalı açık rıza alınması gerekiyor. Bu durumda, rızanın alınmasından önce, verinin neden işlendiği ve veriyle ne yapıldığını anlatmak için bir aydınlatma metnine ihtiyaç duyulur. Kişinin bilgilenmesi ve rızasının özgür iradesiyle gerçekleşebilmesi için konunun ne olduğunu anlayabilmesi gerekir. KVKK kanunun üçüncü bölümü Haklar ve Yükümlülükler kısmında veri sorumlusunun aydınlatma yükümlülüğü vardır. Kişisel verilerin elde edilmesi sırasında veri sorumlusu, veri sahibi ilgili kişiye, aşağıdaki kriterlere uygun şekilde aydınlatma yapmalıdır;

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi sebeple işleneceği,

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) 11. maddede sayılan diğer hakları konusunda bilgi vermesi

Aydınlatma metinlerinin veri toplama süreçlerinin tamamında ayrı ayrı hazırlanması gerekmektedir. İlgili sürece uygun olarak hazırlanmalıdır. Özetle, veri işlenirken ilgili kişiyi bilgilendirmek için kullanılan metinlere aydınlatma metni denir.