KVKK ve GDPR Karşılaştırması
Türkiye'nin 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile Avrupa Birliği'nin Genel Veri Koruma Tüzüğü (GDPR) arasındaki temel farklar ve benzerlikler, uluslararası operasyonlar için uyum gereksinimleri perspektifinden ele alınmaktadır.
1. Giriş
Küreselleşen iş dünyasında, birçok şirket hem Türkiye'de hem de Avrupa Birliği ülkelerinde faaliyet göstermektedir. Bu durum, hem KVKK hem de GDPR'a uyum zorunluluğunu beraberinde getirmektedir. İki düzenleme arasındaki farklılıkların anlaşılması, çifte uyum stratejilerinin geliştirilmesi için kritik öneme sahiptir.
KVKK: 95/46/EC sayılı AB Direktifi'nden esinlenmiştir. Türk hukuk sistemine uyarlanmış, yerel denetim mekanizması kurulmuştur. Henüz AB yeterlilik kararı almamıştır.
GDPR: Doğrudan uygulanır (directly applicable). Daha kapsamlı haklar ve yükümlülükler içerir. Yüksek ceza miktarları ve geniş coğrafi kapsam ile ayırt edilir.
Uyum Stratejisi: Çok uluslu şirketler genellikle "GDPR-plus" yaklaşımı benimser: GDPR standartlarına uyum sağlayarak, yerel düzenlemelerdeki ek gereksinimleri karşılar.
2. Genel Bakış
KVKK, 2016 yılında yürürlüğe girmiş olup büyük ölçüde 95/46/EC sayılı AB Veri Koruma Direktifi'nden esinlenmiştir. GDPR ise 2018'de yürürlüğe girmiş ve veri koruma alanında yeni bir standart belirlemiştir. Her iki düzenleme de benzer ilkelere dayanmakla birlikte, önemli farklılıklar içermektedir.
| Özellik | KVKK | GDPR |
|---|
| Yürürlük | 7 Nisan 2016 | 25 Mayıs 2018 |
| Hukuki nitelik | Kanun | Tüzük (doğrudan uygulanır) |
| Kapsam | Türkiye'de veri işleme | AB'de yerleşik veya AB sakinlerinin verilerini işleyen |
| Denetim otoritesi | KVKK Kurulu | Üye devlet veri koruma otoriteleri |
3. İşleme Şartları Karşılaştırması
Standart Kişisel Veriler
| Hukuki Dayanak | KVKK (m.5) | GDPR (m.6) |
|---|
| Açık rıza | ✓ | ✓ |
| Kanunda açıkça öngörülme | ✓ | ✓ (hukuki yükümlülük) |
| Sözleşmenin ifası | ✓ | ✓ |
| Hukuki yükümlülük | ✓ | ✓ |
| Hayati menfaat | ✓ | ✓ |
| Meşru menfaat | ✓ | ✓ (daha detaylı) |
| Kamu görevi | ✓ (m.5/2-ç) | ✓ (ayrı dayanak) |
| Hakkın tesisi/korunması | ✓ | - (meşru menfaat içinde) |
| Alenileştirme | ✓ | - (özel kategoride) |
Meşru Menfaat Değerlendirmesi
GDPR'da meşru menfaat dayanağı için üç aşamalı bir test (amaç, gereklilik, dengeleme) yapılması ve bunun belgelenmesi gerekmektedir. KVKK'da böyle detaylı bir test zorunluluğu açıkça düzenlenmemiştir, ancak Kurul kararlarında benzer bir yaklaşım benimsenmektedir.
4. İlgili Kişi Hakları
| Hak | KVKK | GDPR |
|---|
| Bilgi edinme/erişim | ✓ (m.11/a-d) | ✓ (m.15) |
| Düzeltme | ✓ (m.11/e) | ✓ (m.16) |
| Silme (unutulma hakkı) | ✓ (m.11/f) | ✓ (m.17 - daha detaylı) |
| İşlemenin kısıtlanması | ✗ | ✓ (m.18) |
| Veri taşınabilirliği | ✗ | ✓ (m.20) |
| İtiraz hakkı | Sınırlı (m.11/g) | ✓ (m.21 - geniş) |
| Otomatik karar almaya itiraz | ✓ (m.11/h) | ✓ (m.22 - daha detaylı) |
| Tazminat | ✓ (m.11/ı) | ✓ (m.82) |
GDPR'daki veri taşınabilirliği hakkı (m.20), ilgili kişinin verilerini yapılandırılmış, yaygın kullanılan ve makine tarafından okunabilir formatta alma ve başka bir veri sorumlusuna iletme hakkı tanır. KVKK'da bu hak açıkça düzenlenmemiştir.
5. Özel Nitelikli Veriler
| Özellik | KVKK (m.6) | GDPR (m.9) |
|---|
| Kategori listesi | Kapalı liste | Açık uçlu ("veya benzer") |
| Genetik veri | ✓ | ✓ |
| Biyometrik veri | ✓ | ✓ |
| Cinsel yaşam/yönelim | ✓ (ayrı) | ✓ (birlikte) |
| Ceza mahkumiyeti | ✓ | Ayrı madde (m.10) |
| İşleme yasağı | Kural olarak yasak | Kural olarak yasak |
| İstisna sayısı | Daha az | 10 istisna |
6. Yurt Dışı Aktarım
| Mekanizma | KVKK (m.9) | GDPR (m.44-49) |
|---|
| Yeterlilik kararı | ✓ (henüz ilan edilmedi) | ✓ (13+ ülke onaylı) |
| Standart sözleşme hükümleri | Taahhütname (Kurul izni gerekli) | SCCs (otorite izni gerekmez) |
| Bağlayıcı şirket kuralları | ✓ | ✓ |
| Açık rıza | ✓ (yaygın kullanım) | İstisna/son çare |
| Davranış kuralları | ✗ | ✓ |
| Sertifikasyon | ✗ | ✓ |
Yurt Dışı Aktarım Pratikleri
KVKK'da yeterli korumaya sahip ülkeler listesi henüz yayımlanmadığından, pratikte taahhütname (Kurul izni gerektiren) veya açık rıza mekanizmaları kullanılmaktadır. GDPR'da ise standart sözleşme hükümleri (SCCs) otorite izni gerektirmeden kullanılabilir, bu da yurt dışı aktarımı kolaylaştırır.
7. Veri Koruma Görevlisi (DPO)
| Özellik | KVKK | GDPR |
|---|
| DPO zorunluluğu | ✗ (İrtibat kişisi var) | ✓ (belirli durumlarda) |
| Bağımsızlık güvencesi | - | ✓ |
| Görevden alma koruması | - | ✓ |
| Profesyonel nitelik | - | ✓ |
8. Veri İhlali Bildirimi
| Özellik | KVKK (m.12/5) | GDPR (m.33-34) |
|---|
| Otoriteye bildirim süresi | "En kısa sürede" (72 saat yorumu) | 72 saat (açıkça belirtilmiş) |
| İlgili kişilere bildirim | "En kısa sürede" | "Gecikmeksizin" (yüksek risk halinde) |
| Bildirim eşiği | Tüm ihlaller | Risk değerlendirmesine bağlı |
| İhlal kaydı tutma | Belirtilmemiş | ✓ (tüm ihlaller) |
9. Cezalar
| Özellik | KVKK | GDPR |
|---|
| Maksimum ceza | ~8.8 milyon TL (2024) | 20 milyon € veya cironun %4'ü |
| Cironun yüzdesi | ✗ | ✓ |
| Ceza belirleme kriterleri | Genel | Detaylı (m.83/2) |
| Cezai yaptırım | ✓ (TCK atfı) | Üye devlet takdiri |
Caydırıcılık Boyutu
GDPR'ın ciro bazlı cezaları, büyük teknoloji şirketlerine milyar Euro'luk cezalar verilmesine olanak tanımıştır. KVKK'daki sabit üst sınırlar, özellikle büyük şirketler için aynı caydırıcılık etkisine sahip değildir.
10. Sicil ve Kayıt Yükümlülükleri
| Özellik | KVKK | GDPR |
|---|
| Merkezi sicil | ✓ (VERBİS) | ✗ |
| Kayıt kamuya açık | ✓ | - |
| İç kayıt tutma | Veri envanteri | İşleme faaliyetleri kaydı (m.30) |
| KOBİ istisnası | ✓ (50 çalışan altı) | ✓ (250 çalışan altı) |
11. Hesap Verebilirlik ve Belgelendirme
| Yükümlülük | KVKK | GDPR |
|---|
| Veri Koruma Etki Değerlendirmesi (DPIA) | ✗ | ✓ (m.35) |
| Privacy by Design | İlke olarak (m.4) | ✓ (açıkça düzenlenmiş - m.25) |
| Davranış kuralları | ✗ | ✓ (m.40) |
| Sertifikasyon mekanizması | ✗ | ✓ (m.42) |
| Ön istişare | ✗ | ✓ (m.36) |
12. Çifte Uyum Gereksinimleri
AB ile ticari ilişkileri olan Türk şirketleri veya Türkiye'de faaliyet gösteren AB şirketleri, her iki düzenlemeye de uyum sağlamak zorunda kalabilir.
GDPR'ın Ekstrateritoriyal Etkisi
GDPR, aşağıdaki durumlarda AB dışındaki şirketlere de uygulanır:
- AB'deki bireylere mal veya hizmet sunulması
- AB'deki bireylerin davranışlarının izlenmesi
- AB'de işleme faaliyetine katılan bir iştirak bulunması
Çifte Uyum Stratejisi
Her iki düzenlemeye tabi şirketler için önerilen yaklaşım, daha kapsamlı olan GDPR gereksinimlerini temel almak ve KVKK'nın ek gereksinimlerini (VERBİS kaydı, taahhütname süreci vb.) bunun üzerine eklemektir. Bu yaklaşım, tekrarları önler ve tutarlı bir veri koruma programı oluşturur.
13. Sonuç
KVKK ve GDPR, kişisel verilerin korunması konusunda benzer temel ilkeleri paylaşsa da, önemli farklılıklar içermektedir. GDPR, daha kapsamlı ilgili kişi hakları, daha yüksek cezalar ve daha gelişmiş hesap verebilirlik mekanizmaları sunarken; KVKK'nın VERBİS gibi kendine özgü gereksinimleri bulunmaktadır.
Uluslararası faaliyet gösteren şirketler için her iki düzenlemeyi de dikkate alan bütüncül bir yaklaşım benimsemek, hem uyum maliyetlerini optimize eder hem de veri koruma kültürünün kurumsal yapıya entegre edilmesini sağlar.