Dünyada yaşanan her veri skandalından sonra televizyonlardaki tartışma programlarına hukukçular çıkar. Avrupa'da geçerli olan GPDR ile Türkiye'de geçerli olan KVKK gibi, pek çok vatandaşın anlam veremediği hukuki kavramlardan bahsederler. Veri skandallarının etkileri en fazla birkaç ay sürdüğü için de GPDR nedir, KVKK nedir, aralarındaki farklar nelerdir gibi sorular kısa süre tartışıılır ve daha sonra kamuoyu gündeminden kalkar.
Aslında her iki kavram da kişisel verileri koruma düzenlemelerinin kısaltmalarını ifade eder ve biz farkında olmasak bile kişisel verilerimizi işleyen şirketlere sıkı kurallar ve yaptırımlar getirirler. Elbette, her iki düzenleme de ‘bizi’ korumuyor, aralarındaki temel fark da budur. GPDR ve KVKK nedir, aralarındaki farklar nelerdir en temel şekilde anlattık ve unutulmaması gereken önemli noktalarını anlattık.
KVKK nedir?
6698 Sayılı Kişisel Verilerin Korunması Kanunu kısaca KVKK, 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Kanunun amacı; kişilerin temel hak ve özgürlüklerini gözeterek her türlü kişisel veriyi işleyen gerçek ve tüzel kişilerin yükümlülüklerini, uymaları gereken kuralları düzenlemektir.
GPDR nedir?
General Data Protection Regulation, Genel Veri Koruma Yönetmeliği kısaca GPDR, 25 Mayıs 2018 tarihinde tüm Avrupa Birliği üyesi ülkelerde yürürlüğe girmiştir. Yönetmeliğin amacı; Avrupa Birliği vatandaşlarının temel hak ve özgürlüklerini gözeterek kişisel verilerini korumaktır. GDPR, 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi’nin devamı niteliğindedir.
KVKK ve GDPR farkları nelerdir?
KVKK ile belirlenen yükümlülüklerin kapsamı yalnızca Türkiye Cumhuriyeti sınırları için gerçekleştirilen veri operasyonlarını kapsar. Yani kişisel verilerinize sahip olan bir şirketin operasyon alanı AB ya da ABD bölgesinde ise bir Türkiye Cumhuriyeti Kanunu olan KVKK’nın bu gerçek ya da tüzel kişi üzerinden herhangi bir yaptırım gücü yoktur.
GDPR ise tüm Avrupa Birliği ülkelerinde yürürlükte olmasına rağmen kapsamı çok daha geniştir. Nerede yaşıyor olursa olsun tüm Avrupa Birliği vatandaşları, bu yönetmelik ile korunmaktadır. Yani veri operasyonunu ABD bölgesinde yürüten bir şirket bile söz konusu kişisel verilerin sahibi bir AB vatandaşı ise GDPR ile belirlenen yükümlülüklere uymak zorundadır.
KVKK ile belirlenen yükümlülüklere uyulmaması durumunda ceza üst limiti 1 milyon TL, GDPR ile belirlenen yükümlülüklere uyulmaması durumunda ise ceza üst limiti söz konusu şirketin yıllık cirosunun %4’ü ya da 20 milyon Euro olarak belirlenmiştir. Yaptırımların ağırlık farkı oldukça dikkat çekici.
KVKK’ya göre veri işleyen kişiler ‘veri sorumlusu’ olarak kabul edilir ve bu kişiler Veri Sorumluları Sicil Bilgi Sistemi kısaca VERBİS’e kayıt olmakla yükümlüdür. GDPR ise sorumlu kavramı yerine ‘veri kontrolörü’ kavramını kullanır ve bu kişilerin herhangi bir kurum ya da kuruluşa kayıt yükümlülükleri yoktur.
KVKK hangi verileri koruyor?
KVKK ile korunan kişisel verilerimiz için kısaca ‘her şey’ demek yanlış olmaz. Çünkü kanunda bu veriler için ‘gerçek kişiye ait herhangi bir bilgi’ tanımı kullanılıyor. Bunun anlamı sizi siz yapan her şeyin ülkemiz kanunlarına göre kişisel veri olarak görülmesi ve koruma altına alınmasıdır.
Korunan kişisel veriler arasında; siyasi görüş, ırk, din, etnik köken, felsefi inanç, giyim, mezhep, sivil toplum kuruluşu üyelikleri, sendika üyelikleri, cinsel yaşam, sağlık bilgileri ve daha aklınıza gelecek ve gelmeyecek pek çok kişisel bilgi var. Korunan verilerinin kapsamının bu kadar geniş olması oldukça iyi bir durum.
KVKK kimleri kapsar?
KVKK’nın koruma düzenlemeleri tüm gerçek Türkiye Cumhuriyeti vatandaşlarını, yükümlülükleri ise Türkiye Cumhuriyeti sınırları içinde veri operasyonu yürüten tüm gerçek ve tüzel kişileri kapsamaktadır. Yükümlülüklerin yerine getirilip getirilmediği Kişisel Verileri Koruma Kurumu tarafından denetlenmektedir.
KVKK cezaları nelerdir?
KVKK ile belirlenen yükümlülükleri yerine getirmeyen gerçek ve tüzel kişiler hakkında uygulanan idari ceza limitinin alt tutarı 5 bin TL, üst limiti ise 1 milyon TL olarak belirlenmiştir. Uygulanan idari para cezalarının yanı sıra yükümlülüklere uymayan gerçek ve tüzel kişilerin yürüttüğü veri operasyonlarını sınırlandıracak uygulamalar da yerine getirilmeyen söz konusu yükümlülüğe göre uygulanmaktadır.
Değişen WhatsApp gizlilik politikası ile adlarını daha çok duymaya başladığımız GDPR ve KVKK nedir, farkları nelerdir sorularını yanıtladık ve dikkat çeken noktalarını anlattık. Kanun ile düzenlenen haklarımızı ve koruma altına alınan verilerimizi bilerek çok daha bilinçli bir internet deneyimi yaşayabiliriz.