GDPR, kaynağını Avrupa İnsan Hakları Sözleşmesi'nin 8. Maddesiyle koruma altına alınan, Özel Hayatın Gizliliği ve Ailenin Korunması hakkından alan ve üye ülkelerin iç mevzuatlarında hukuki birlik oluşturulmasını amaçlayan; 173 paragraflık resital bölümü ve 99 maddelik temel tüzük metniyle yaklaşık 90 sayfadan oluşan, Kişisel Verilerin Korunması alanında en güncel ve en kapsamlı düzenlemedir.
GDPR Açılımı
GDPR, General Data Protection Regulation yani Genel Veri Koruma Yönetmeliği'nin ilk harflerinden oluşan kısaltmadır.
GDPR Uyumluluğu Nedir?
Kişisel verilerin işlenmesine ilişkin, Veri Kontrolörünün sorumluluk sınırını belirleyen temel ilkeler, GDPR madde 5 ile düzenlenmiş olup, işbu madde uyarınca kişisel veriler:
- veri sahibi ile ilgili olarak hukuka uygun, adil ve şeffaf bir biçimde işlenir ('hukuka uygunluk, adalet ve şeffaflık')
- belirtilen, açık ve meşru amaçlara yönelik olarak toplanır ve bu amaçlara uygun olmayan bir şekilde işlenmez; kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçlarıyla veya istatistiki amaçlarla işleme faaliyeti, 89(1) maddesi uyarınca, baştaki amaçlara aykırı şekilde değerlendirilmez ('amacın sınırlandırılması');
- işlendikleri amaçlarla ilgili olarak yeterli, yerinde ve gerekli olanla sınırlıdır ('verilerin en az seviyeye indirilmesi');
- doğrudur ve, gereken şekilde, güncel tutulur; işlendikleri amaçlar göz önünde tutularak, doğru olmayan kişisel verilerin gecikmeye mahal verilmeksizin silinmesi veya düzeltilmesinin sağlanmasıyla ilgili makul tüm adımlar atılmalıdır ('doğruluk');
- veri sahiplerinin yalnızca kişisel verilerin işlenme amaçlarının gerektirdiği sürece teşhis edilmesini sağlayan bir şekilde tutulur; 89(1) maddesi uyarınca yalnızca kamu yararına arşivleme amaçlarıyla, bilimsel veya tarihi araştırma amaçlarıyla ya da istatistiki amaçlarla işlendikleri sürece ve veri sahibinin hakları ve özgürlüklerinin güvence altına alınmasına için bu Tüzük uyarınca gereken uygun teknik ve düzenlemeye ilişkin tedbirlerin uygulanmasına tabi olarak, kişisel veriler daha uzun süreler boyunca saklanabilir ('saklama süresinin sınırlandırılması');
- yetkisiz veya yasa dışı işlemeye karşı ve kazara kayba, imhaya veya tahribe karşı koruma da dahil olmak üzere teknik veya düzenlemeye ilişkin uygun tedbirlerin kullanılması suretiyle kişisel verilerin güvenliğini sağlayan bir şekilde işlenir ('bütünlük ve gizlilik').
- Kontrolör 1. paragrafa uygun davranmaktan sorumludur ve buna uygun davrandığını gösterebilmelidir ('hesap verebilirlik').
GDPR Ne Zaman Yürürlüğe Girdi?
AB'de 1995 yılından bu yana yürürlükte bulunan 95/46/AT sayılı AB Veri Koruma Direktifinin, kişisel verilerin korunması hususunda, Bilgi İletişim Teknolojileri alanındaki gelişmeler neticesinde yetersiz kalması üzerine, işbu alanda köklü bir reform gerekmiş olup; 15 Aralık 2015 tarihinde, Avrupa Parlamentosu, AB Konseyi ve Komisyonu arasında, tüm AB genelinde Veri Koruma Hukukunun temel çerçevesini belirleyen modern ve uyumlu, yeni bir düzenlemenin kabulü konusunda anlaşmaya varılmıştır. 8 Nisan 2016 tarihinde Konsey tarafından kabul edilen taslak, 14 Nisan 2016 tarihinde Avrupa Parlamentosu tarafından onaylanarak kabul edilmiş; 4 Mayıs 2016 tarihinde, tüm AB resmi dillerinde, AB Resmi Gazetesi'nde yayımlanmıştır. Her ne kadar 24 Mayıs 2016 tarihinde yürürlüğe girmiş olsa da, işbu metnin uygulanmaya başlama tarihi 25 Mayıs 2018 olarak belirlenmiştir.
GDPR Kimlere Uygulanır?
GDPR'nin uygulama alanı, 3. maddesi ile düzenlenmiş olup, Birlik içerisindeki veri sahiplerine ücretsiz olsa dahi mal veya hizmet sunan yahut AB içerisinde söz konusu veri sahiplerinin davranışlarını gözlemleyen (örneğin bireylerin başta tüketim tercihlerinin ve alışkanlıklarının tespiti amacıyla teknik yöntemlerle internetteki faaliyetlerinin gözetlenmesi) veri kontrolörleri ve işleyiciler bakımından uygulama alanı bulmaktadır.
GDPR Türkiye'de Geçerli Mi?
Bir veri işleyicisinin AB içerisinde mal veya hizmet sunup sunmadığının nasıl belirleneceğine ilişkin detaylar GDPR'nin 23 no'lu resitalinde belirtilmektedir. AB içerisinde mal veya hizmet sunmak, yalnızca bir internet sitesine veya e-posta kutusuna erişimi ifade etmez, ayrıca birden çok AB üyesi ülkede faaliyette bulunulduğunu ortaya koyan dil ve ödeme cinsi/para birimi seçimi ve/veya AB'deki kullanıcı ya da müşterilerin izlenmesini de ifade eder. Bu maddeye göre, Türkiye'deki bir veri işleyicisinin, bir veya daha fazla AB üyesi ülkede, bireylere veri hizmeti sunuyor olması durumunda, işbu işleyiciye GDPR'nin uygulanacağı kabul edilir.
GDPR ve KVKK Karşılaştırması
Her ne kadar 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun hazırlanması sürecinde, AB hukuki düzenlemeleri model alınmışsa da, GDPR ve KVKK arasında birtakım farklılıklar bulunmakta olup; KVKK uyumluluğunun, GDPR ile getirilen şartların sağlanması için yeterli olmadığı görülmektedir.
GDPR kapsamında, veri kontrolörü olmasa bile veri işleyen herhangi bir şirket ya da birey de (bulut hizmet sağlayıcıları gibi üçüncü taraflar da dâhil olmak üzere) verinin hukuka uygun işlenmesinden sorumlu kabul edilmekte iken, 6698 sayılı Kanun madde 18/2 uyarınca, veri sorumlusu ve veri işleyen açısından farklı bir sorumluluk düzeyi belirlenerek, idari para cezası yaptırımı, yalnızca veri sorumlularına uygulamakta ve yine veri sorumluları siciline kayıt zorunluluğu yalnızca veri sorumlularını kapsamaktadır.
Genel olarak, bireylerin kendilerine ait kişisel verilerini kontrol etme ve mümkün olduğunda silme hakkı olarak ifade edilen unutulma hakkı kavramı GDPR ile ilk kez hukuki bir düzenleme çerçevesine alınmış olup, GDPR madde 17'de düzenlenmekte iken, 6698 sayılı KVKK'da buna ilişkin münferit bir düzenleme yer almamakta, işbu kavram ülkemizde Yüksek Mahkeme ve Anayasa Mahkemesi kararları ile şekillenmektedir.
GDPR ile getirilen veri koruma kurallarına ilişkin ihlaller karşı 200 milyon Avro veya hizmet sağlayıcının küresel gelirinin yüzde dördü gibi önemli miktarlarda yaptırımlar öngörülmekte iken, 6698 sayılı KVKK'da ilgili idari para cezalarının (5 bin Türk Lirası-1 milyon Türk Lirası) nispeten daha düşük miktarlarla sınırlı olduğu görülmektedir.
GDPR madde 20 ile düzenlenen “veri taşınabilirliği hakkı” madde 37 kapsamındaki hassas verilerin işlenmesi bakımından “zorunlu veri koruma görevlisi” ile madde 35. kapsamındaki riskli veri işleme faaliyetleri bakımından “zorunlu veri koruma etki değerlendirmesi” gibi kurumlara ilişkin düzenlemeler, 6698 sayılı KVKK'da bulunmamaktadır.