Türkiye ve GDPR(Genel Veri Koruma Tüzüğü)
Türkiye’de ise kişisel verilerin korunması, önceki yazılarda detaylı bir şekilde aktarıldığı üzere, uzun bir geçmişe dayanmamaktadır. Türkiye, BM, OECD gibi kuruluşların üyesi olmasına rağmen, bu kuruluşlarca belirlenen temel prensipleri ulusal düzenlemelerine dahil etmemiş, bu nedenle de veri koruması alanındaki gelişmelerde bir süre geride kalmıştır.
Avrupa ve AB’de yer alan yasal düzenlemelerden çok sonra bu alanda Türkiye’de de çalışmalar yapılmaya başlanmıştır. 2016 yılında Kanun’un kabul edilmesiyle birlikte AB’de Regülasyon’u kabul etmiştir.
Halbuki bakıldığında, Kanun’un Yönerge’yi temel alan bir çalışma olarak hazırlandığı görülecektir. Yönerge’nin AB üye devletlerinde uygulanma şekli, önceki yazılarda ele alındığı üzere; çerçeve bir düzenleme olarak adlandırılabilir.
Üye devletler, bu çerçeve düzenleme kapsamında, kendi ulusal düzenlemelerini oluşturmuşlardır. Örneğin; İtalya 186, Birleşik Krallık 74, Almanya 46 maddelik ulusal yasalar düzenleyerek, Yönerge’ye uyumlu iç hukuk kuralları benimsemişlerdir.
Tüm bunlar dikkate alındığında, Kanun’un uygulamada belirli konularda eksiklik, belirsizlik yaşaması gündeme gelebilecekken, detaylı hükümlere yer verilmemesi de belirli alanlarda, daha sonraki süreçte düzenlemeler yapılması gerekliliğini gündeme getirebilir. Türkiye’de veri korumasına ilişkin yürürlüğe giren ilk kanunun çerçeve hükümler altında düzenlenmesi; etkin bir güvence sistemi için atılmış ilk adım olarak kabul edilebilir.
Regülasyon, Yönergeden farklı olarak çeşitli kurumlara yer vermiş ve belirli alanlarda da daha detaylı düzenlemelere gitmiştir. Veri sorumlusunun yükümlülükleri Yönerge’ye kıyasla çok daha detaylı hale getirilmiş ve bu sorumluluklar veri işleyene de yüklenmiştir.[1]
Veri Koruma Görevlisi de, Yönerge’de yer almayan, Regülasyon ile hayata geçirilen bir kurum olarak veri koruma hukuku alanında kendine yer bulmuştur.
Regülasyon yürürlüğe girmeden çeşitli çalışmalarla benzer hukuki kurumlar yer almasına karşın, yasal olarak Regülasyon’da düzenleme altına alınan bu kurum veri sorumluları için oldukça önemli bir yere sahiptir ve uygulama ile birlikte de önemi daha da ortaya çıkacaktır.
Türkiye, yasal çalışmalarında Yönerge’yi temel aldığından, veri sorumlusuna yüklenen yükümlülükler, Regülasyon’da yer alan yükümlülüklere nazaran daha geniş çerçevede kalmış ve Veri Koruma Görevlisi’ne ilişkin bir düzenleme de oluşturulmamıştır.
Kanun, veri sorumlusu ve veri işleyen dışında, “irtibat kişisi” ve “veri sorumlusu temsilcisi” kavramlarına yer vermiştir.
Türkiye için ise Avrupa Birliği’nin gerek siyasal gerekse ticari önemi tartışmasızdır. Bunun en büyük yansıması da kanun koyucunun özellikle ticari faaliyetlerle ilgili yasama faaliyetlerinde Avrupa Birliği Hukuku ile uyumu yakalama gayretinde olmasıdır. Nitekim kişisel verilerin korunması bakımından da aslen Türkiye’nin, uzun bir süreç sonunda kanunlaşan, KVKK ile amaçladığı o zaman yürüklükte olan Direktif’i ile uyumun sağlanması amaçlanmıştır.
7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı “Kişisel Verilerin Korunması Kanunu”, GDPR metninin Avrupa Parlamentosu’nda kabulünden kısa bir süre önce yürürlüğe girmiş, yani 95/46/AT sayılı direktif referans alınarak hazırlanmıştır.
2018 yılında GDPR’ın yürürlüğe girmesi ile birlikte KVKK kanununda değişiklikler yapılmış, GDPR uyumlu kişisel veri koruma birimleri oluşturulmuştur. (Örneğin, Veri Sorumluları Sicili Bilgi Sistemi’ (VERBİS) e kayıt süreci kapsamına giren veri sorumluları için 01.10.2018 tarihi itibariyle başlamıştır.)
Türkiye için ise Avrupa Birliği’nin gerek siyasal gerekse ticari önemi tartışmasızdır. Bunun en büyük yansıması da kanun koyucunun özellikle ticari faaliyetlerle ilgili yasama faaliyetlerinde Avrupa Birliği Hukuku ile uyumu yakalama gayretinde olmasıdır. GDPR m.82 ile getirilen temel değişiklik, veri sorumlusunun (“controller”) yanında veriyi işleyenlerin (“processor”) de verilerin hukuka uygun olarak işlenmemesinden sorumlu tutulmasıdır.
KVKK m.16 ile Veri Sorumluları Sicili’nin Kurul’un gözetiminde, Başkanlık tarafından kamuya açık olarak tutulması öngörülmüştür. GDPR’da kurum gözetimi ve kamuya açık bir sicil düzenlemesi yer almamakla birlikte, GDPR m.30’da veri sorumluları ve veri işleyenlerin, KVKK m.16/f.III’de işaret edilen bilgilere benzer bilgilerin kaydını tutması zorunludur.
GDPR ile birlikte hukuka kazandırılan bir diğer kavram da, GDPR m.37 ile düzenlenen Zorunlu Veri Koruma Görevlisi olup ilgili maddede düzenlenen koşulların varlığında veri sorumluları ve işleyicileri veri koruma görevlisi olarak belirlenebilecek olmasıdır.
KVKK’da, bu yönde bir düzenleme bulunmadığından bu aşamada, ilgili kişilerin, veri koruma görevlisi çalıştırma zorunluluğu bulunmamaktadır.
GDPR ile getirilen en önemli düzenlemelerden biri de GDPR’ın ihlali halinde Direktif’e nazaran çok daha ağır tazmin yaptırımları (20 milyon Avro veya hizmet sağlayıcının küresel gelirinin yüzde dördü gibi önemli miktarlar, (hangisi yüksek ise o seçilecektir.) öngörülmüş olmasıdır. KVKK’da ise ilgili idari para cezaları, daha düşük miktarlarla (en düşük 5 bin Türk lirasından en yüksek 1 milyon Türk lirasına kadar) sınırlı tutulmuştur.
Yayımlanan yeniden değerleme oranı uyarınca Kişisel Verileri Koruma Kanunu’nun 18. maddesinde yer alan idari para cezalarının alt ve üst sınırları, 2021 için aşağıdaki şekildedir:
-Aydınlatma Yükümlülüğüne Aykırılık Hâlinde: 9.834 ₺-196.686 ₺
-Veri Güvenliğine İlişkin Aykırılık Hâlinde: 29.503 ₺-1.966.862 ₺
-Kurul Tarafından Verilen Kararlara Aykırılık Hâlinde: 49.172 ₺-1.966.862₺
-VERBİS’e Kayıt ve Bildirim Yükümlülüğüne Aykırılık Hâlinde: 39.337 ₺-1.966.862 ₺
[1]Cumhurbaşkanlığı Dijital Dönüşüm Ofisi-Bilgi ve İletişim Güvenliği Rehberi
Daha Fazlası İçin:
DataBulls’u Medium, Linkedin ve Twitter platformlarından takip edebilirsiniz.
Aramıza yazar olarak katılmak isterseniz Link’e tıklayarak formu doldurmanız yeterli olacaktır. Sizi aramızda görmekten mutluluk duyarız.
Bir sonraki yazıda görüşmek üzere.
