KVKK ve GDPR Karşılaştırması -1

KVKK ve GDPR Karşılaştırması

Öncelikle KVK (Kişisel Verilerin Korunması) ne demektir onu açıklayalım. Kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunmasıdır. Burada amaç verilerin korunması değil, bu kişisel verilerin ilişkili olduğu kişilerin korunmasıdır.

Peki ilk ne zaman bu ifadeyi ortaya çıktı ve neden böyle bir korunma ihtiyacı duyuldu?

İlk olarak Avrupa Konseyi tarafından 28 Ocak 1981 tarihinde Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireyin Korunmasına İlişkin 108 Sayılı Sözleşme imzaya açılmış ve böylece tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amaçlanmıştır. Sözleşme ülkemiz tarafından da imzalanarak 17 Mart 2016 tarihinde Resmi Gazetede yayımlanarak iç hukuka dahil edilmiştir.

Kişisel Verilerin Korunması Kanunu (KVKK) Nedir?

Gelelim neden böyle bir korumaya ihtiyaç duyulduğuna, kamu veya özel kurum ve kuruluşlar bir görevin yerine getirilmesi veya bir hizmetin sunulmasına bağlı olarak kişisel veri niteliğindeki bilgileri uzun süredir toplamaktadır. Bu durum bazen kişilerin rızası alınarak bazen bir sözleşmeye dayanılarak veya işin getirdiği nitelikten dolayı ortaya çıkmaktadır. Var olan düzende gerek kamu gerek sosyal ve ekonomik hayat olsun verilerin toplanması kaçınılmazdır. Bu gelişi güzel toplanan verilerin yetkisiz kişilere ifşası, kötüye kullanımı gibi sonuçların önüne geçilmesi için böyle bir korumaya ihtiyaç duyulmuştur. Tüm bunların yanında bu koruma anayasada da ayrıca bir hak olarak karşımıza çıkmaktadır. 2010 yılı Anayasa değişikliği ile 20.maddesine “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel verileri hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak Kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” şeklinde bir fıkra eklenerek, kişisel verilerin korunması açıkça anayasal güvence altına alınmıştır.

Peki bu kanun kimleri kapsamaktadır. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes kanun kapsamındadır. Şirketler, dernekler, vakıflar vb. bu kanun kapsamı dışındadır.

GDPR (Avrupa Birliği Veri Koruma Yönetmeliği) Nedir?

KVKK ve GDPR Karşılaştırması -2
KVKK ve GDPR Karşılaştırması -2

Peki GDPR nedir? GDPR (Avrupa Birliği Veri Koruma Yönetmeliği) 2016 yılından itibaren güvenlik alanında uzmanlar tarafından ne gibi fayda sağlayacağı tartışılmakta olan bu yönerge 25 Mayıs 2018 tarihinden beri uygulanmaya başlamıştır. Yönetmeliğe göre AB vatandaşlarının verilerini toplayan veya bulunduran tüm firmaların bu düzenlemeye uyumlu olması gerekmekte aksi takdirde firmaların yasal sonuçlara katlanmak zorunda kalacağını ifade ediliyor. Peki GDPR’ye göre hangi veriler kişisel veri olarak nitelendirilmektedir? İsim, fotoğraf, e-posta, banka detayları, sosyal medya hesapları, tıbbi bilgiler, sosyal güvenlik bilgileri, pasaport bilgileri, bilgisayarın IP adresi gibi kişiyi doğrudan ya da dolaylı yollarla tanımlamaya yardımcı olacak veriler, tarayıcıların topladığı çerezler (cookie), GPDR ile kişisel veri kapsamına giriyor. Özellikle 3. parti veri işleyenler ve müşteri verilerini 3. parti firmalarla paylaşanlar ciddi sıkıntı yaşayacaklardır. GDPR kesin ve net bir şekilde ifadeler içermektedir. Nedir bunlar? GDPR’de yer alan bazı düzenlemelere değinirsek,

Kişinin rızasının alınması, rıza verilen bilgilere daha sonra erişim izni kolayca kaldırılabilir.

Unutulma hakkı, kişisel verilerin hukuka aykırı işlenmesi, veri sahibinin tabi olduğu AB veya üye devlet mevzuatına göre kişisel verilerin silinmesinin zorunlu olması, veri sahibinin verilerin işlenmesine karşı çıkması

Veri ihlallerinin bildirilme, kişisel verilerin güvenliğinin tehlikeye düştüğü durumlar için aşırı gecikme olmadan 72 saatten fazla olmamak kaydı ile kişisel verilerin ihlalini denetleyici kuruluşa bildirilmelidir.

KVKK ve GDPR Karşılaştırması -3
KVKK ve GDPR Karşılaştırması -3

İdari para cezası, veri sorumluları ve veri işleyenlere azami miktarı 20.000.00 Euro ile tüzel kişiler için önceki mali yılın yıllık dünya cirosunun %4’ü arasında miktar olarak daha yüksek olanı şeklinde belirlenerek idari para cezası düzenlenir. Zarara uğrayan kişilerin maddi veya manevi tazminat talep etmelerine de hak tanır.

Peki bu yönetmelik kimleri kapsıyor? AB sınırları içerisindeki vatandaşların ve müşterilerin verilerini toplayan ve saklayan tüm şirketler bu yönetmeliğe dahildir. GDPR’de belirtilen tüm kurallar Avrupa Birliği’ne üye 28 ülke ve 28 ülkedeki vatandaşlarla iş yapan şirketler içinde geçerlidir. Özetlemek gerekir ise ülkemizde KVK kanunu geçerli olup Avrupa ile iş yapan şirketlerimiz KVK’nın yanında GDPR maddelerini de yerine getirmek zorundalardır.

0 cevaplar

Cevapla

Want to join the discussion?
Feel free to contribute!

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir