Avrupa Genel Veri Koruma Tüzüğü (GDPR) Nedir?

Günümüz dijital çağında kişisel verilerin işlenmesi ve korunması büyük önem taşımaktadır. Özellikle internetten alışverişin bu kadar yaygın olduğu, sosyal medya platformlarının hayatımızda giderek daha fazla yer aldığı bu dönemde, kullanıcıların çevrimiçi ortamda paylaştığı kişisel verilerin korunması ihtiyacı da artmıştır.   Bu nedenle, kişisel verilerin güvenliğinin sağlanması ve olası zararların önlenmesi amacıyla Avrupa Birliği, en kapsamlı veri koruma düzenlemelerinden biri olan Genel Veri Koruma Tüzüğü’nü (GDPR) yürürlüğe koymuştur. GDPR, bireylerin kişisel verileri üzerindeki haklarını güçlendirirken, veri işleyenlerin de sorumluluklarını net bir şekilde belirleyerek, dijital çağın getirdiği yeni tehditlere karşı kapsamlı bir koruma sağlamaktadır.

Bu noktada AB Genel Veri Koruma Tüzüğü kişisel verilerin nasıl toplanacağı, işlediği ve sakladığı konusundaki kurallar hakkında merak ettiğiniz noktalar için konuyu tüm detaylarıyla gelin beraber inceleyelim. 

GDPR Nedir?

Genel Veri Koruma Tüzüğü (General Data Protection Regulation – GDPR), Avrupa Birliği (AB) ve Avrupa Ekonomik Alanı (AEA) sınırları içerisinde kişisel verilerin korunmasını amaçlayan, 25 Mayıs 2018 tarihinde yürürlüğe giren kapsamlı bir veri koruma düzenlemesidir. Bu düzenleme, AB sınırları içinde yaşayan bireylerin kişisel verilerinin toplanması, işlenmesi, saklanması ve paylaşılmasına dair sıkı kurallar getirir. Bu kapsam doğrultusunda Avrupa Birliği Kişisel Verilerin Korunması yalnızca Avrupa’daki şirketleri değil, AB vatandaşlarının verilerini işleyen tüm uluslararası şirketleri de kapsar. Yani Türkiye’deki bir firma bile, eğer AB’deki bireylerin verilerini işliyorsa bu tüzüğe tabi olabilir.  O yüzden GDPR, hem bireylerin dijital mahremiyetini güçlendirmekte hem de şirketlere veri güvenliği açısından ciddi sorumluluklar yüklemektedir.

Genel Veri Koruma Tüzüğü (GDPR) Nedir ve Kimleri Kapsar?

Oldukça geniş kapsamlı olan AB Genel Veri Koruma Tüzüğü AB’de ikamet eden kişileri, AB’de yerleşik tüm veri sorumluları ve veri işleyenleri, AB vatandaşlarının verilerini işleyen şirket ve kuruluşları ve AB dışında yerleşik olup AB içindeki bireylere hizmet sunan kuruluşları kapsamaktadır. 

Genel Veri Koruma Tüzüğü Kapsamında Çalışanların Gizliliği Nasıl Korunur?

Genel Veri Koruma Tüzüğü (GDPR) kapsamında çalışanların gizliliği, işverenlerin kişisel verileri sadece belirli, açık ve meşru amaçlarla toplaması ve işlemesi şartıyla korunur. Bu kapsamda, çalışanlara ait kimlik bilgileri, sağlık verileri, performans kayıtları, maaş bilgileri gibi kişisel veriler, yalnızca işin gerekliliği doğrultusunda ve KVKK’nın 5. maddesinde belirtilen hukuki sebeplere dayalı olarak işlenebilir. İşveren, çalışanı verilerin nasıl toplandığı, hangi amaçla kullanıldığı, ne kadar süre saklandığı ve kimlerle paylaşıldığı konusunda aydınlatmakla yükümlüdür. Aynı zamanda çalışanlara verilerine erişim, düzeltme, silme (unutulma hakkı) ve işlenmesini kısıtlama gibi haklar tanınmalıdır. Verilerin güvenliği ise teknik (şifreleme, erişim kısıtlaması) ve idari (eğitim, politika belgeleri) önlemlerle sağlanmalıdır. Böylece hem çalışanların özel hayatı korunur hem de işverenin yasal sorumlulukları yerine getirilmiş olur.

Avrupa Konseyi Kişisel Verilerin Korunması Sözleşmesi’ne Türkiye Taraf Mıdır?

Evet, Türkiye, Avrupa Konseyi’nin “Kişisel Verilerin Otomatik İşlenmesine Karşı Bireylerin Korunması Sözleşmesi”ne, diğer adıyla 108 No’lu Sözleşmeye taraftır. Bu sözleşme, 1981 yılında imzaya açılmış olup, kişisel verilerin otomatik yollarla işlenmesinde bireylerin temel hak ve özgürlüklerini korumayı amaçlayan ilk uluslararası bağlayıcı metindir.  108 sayılı Sözleşme’yi Türkiye, 1981 yılında imzalamış, 2016 yılında ise onay sürecini tamamlayarak resmi olarak taraf olmuştur. Böylelikle Türkiye’nin kişisel verilerin korunmasına yönelik ulusal mevzuatını uluslararası standartlara uyumlu hale getirme sorumluluğunu da beraberinde getirmiştir. 

Türkiye’nin KVKK’sı, Avrupa Birliği Kişisel Veri Koruma Standartlarıyla Ne Ölçüde Örtüşmektedir?

KVKK Avrupa büyük ölçüde Avrupa Birliği Kişisel Verilerin Korunması Tüzüğü esas alınarak hazırlandığı için uyumlu olmaya yakındır ancak tam olarak uyumlu değildir. KVKK ve GDPR temel felsefe ve prensipler açısından benzerlik taşısa da, KVKK’nın daha sınırlı ve eski düzenlemelere dayandığı, GDPR’ın ise çok daha gelişmiş ve güncel riskleri kapsayan bir çerçeve sunduğu söylenebilir. Türkiye’nin, AB ile veri aktarımında kolaylık sağlayacak bir “yeterlilik kararı” alabilmesi için KVKK’nın GDPR ile tam uyumlu hale getirilmesi gerekmektedir. Bu doğrultuda Türkiye’de KVKK’nın revize edilmesine yönelik çalışmalar sürmektedir.

AB Genel Veri Koruma Tüzüğü ile Türkiye’deki KVKK Arasındaki Farklar Nelerdir?

GDPR ve KVKK arasındaki bazı temel farklılıklar bulunmaktadır fakat her ikisinin de ortak mantığı kişisel verilerin korunmasıdır. Bu bağlam doğrultusunda AB Genel Veri Koruma Tüzüğü ile Türkiye KVKK arasındaki farklar şunlardır;

• KVKK Türkiye’de bulunan gerçek ve tüzel kişileri kapsar iken GDPR, Avrupa Birliği ve Avrupa Ekonomik Alanı içerisinde yaşayan gerçek ve tüzel kişileri kapsamaktadır. 
• KVKK’ da uygulanan idari para cezası 13.5 milyon TL’ye kadar uygulanırken (bu tutar her yıl yeniden değerleme oranında artmaktadır.)  GDPR’ de 20 milyon Euro veya şirket cirosunun %4’üne kadar idari para cezaları uygulanabilir. 
• GDPR’ de denetleyici Avrupa Veri Koruma Kurulu (EDPB) ile gerçekleşirken Türkiye’de Kişisel Verileri Koruma Kurulu gerçekleştirmektedir.
• GDPR, belirli koşullarda Veri Koruma Görevlisi atanmasını zorunlu kılar. Fakat KVKK kapsamında böyle bir zorunluluk bulunmaz.
• GDPR, 16 yaş altındaki çocuklar için ebeveyn onayını zorunlu kılar. Ancak KVKK çocuk verilerine dair özel bir yaş sınırı belirtmemiştir.

Avrupa Konseyi Kişisel Verilerin Korunması Sözleşmesi (108 Sayılı Sözleşme) Nedir?

108 Sayılı Sözleşme, tam adıyla “Kişisel Verilerin Otomatik İşlenmesine Karşı Bireylerin Korunmasına İlişkin 108 No’lu Sözleşme”, Avrupa Konseyi tarafından 28 Ocak 1981 tarihinde kabul edilen ve dünyada kişisel verilerin korunmasına ilişkin ilk uluslararası bağlayıcı metindir. Sözleşme, sadece Avrupa Konseyi üyelerine değil, Avrupa Konseyi dışındaki ülkelere de açıktır. Bu yönüyle evrensel nitelikte kabul edilir. Türkiye, sözleşmeyi 1981 yılında imzalamış ve 2016 yılında iç hukukuna dahil ederek taraf olmuştur.

Avrupa Veri Koruma Kurulu (EDPB) Nedir ve Görevleri Nelerdir?

Avrupa Veri Koruma Kurulu (European Data Protection Board – EDPB), Avrupa Birliği (AB) genelinde kişisel verilerin korunmasına ilişkin uygulamaların tutarlılığını sağlamak amacıyla kurulmuş bağımsız ve karar alma yetkisine sahip bir organdır. EDPB’nin temel görevleri şunlardır:

1. Veri koruma uygulamalarının tutarlılığını sağlamak: AB üyesi ülkelerde GDPR’ın nasıl uygulanacağına ilişkin ortak ilkeler ve yorumlar geliştirerek uygulamada birlik sağlar.
2. Rehber ve tavsiye kararları yayınlamak: Açık rıza, veri işleme şartları, çerez kullanımı, yurt dışına veri aktarımı gibi konularda bağlayıcı olmayan ancak uygulamada yol gösterici nitelikte rehberler sunar.
3. Uyuşmazlık çözümü: Üye ülkeler arasında veri işleme faaliyetlerine ilişkin görüş ayrılıkları olduğunda, bağlayıcı kararlar alarak bu uyuşmazlıkları çözüme kavuşturur.
4. Avrupa Komisyonu’na görüş sunmak: Yeni mevzuat teklifleri, yeterlilik kararları veya uluslararası veri transferi düzenlemeleri konusunda görüş bildirir.
5. Yeterlilik kararlarını değerlendirmek: AB dışındaki ülkelerin kişisel veri koruma düzeylerinin AB standartlarına uygun olup olmadığını değerlendirir.
6. Veri koruma ihlallerine ilişkin sınır ötesi iş birliği ve koordinasyon: Birden fazla ülkeyi ilgilendiren veri ihlallerinde koordinasyon sağlar ve ortak denetim prosedürleri geliştirir.

Avrupa Veri Koruma Kurulu içerisinde yer alan bu görevler sayesinde GDPR’ nin doğru ve yönetmeliğe uygun gerçekleşmesini sağlayarak kişisel verilerin korunması adına etkin rol oynamaktadır.

EDPB Rehberleri (Guidelines EDPB) Neden Önemlidir?

EDPB Rehberleri (Guidelines EDPB), Avrupa Veri Koruma Kurulu’nun (European Data Protection Board) hazırladığı ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)’nün uygulanmasını açıklığa kavuşturan, yorumlayan ve birliğe üye ülkelerde tutarlılığı sağlayan kılavuzlardır. Bu rehberler, veri sorumluları, veri işleyenler, kamu kurumları ve özel sektör temsilcileri için somut örnekler ve uygulama senaryoları sunarak yasal uyumluluğu kolaylaştırır. O yüzden Guidelines EDPB, sadece teorik bir çerçeve sunmaz; aynı zamanda pratikte karşılaşılan sorunlara çözüm üretir ve farklı ülkelerde KVKK benzeri ulusal düzenlemelerin Avrupa Birliği standartlarıyla uyumlu şekilde uygulanmasını sağlayabilir. Örneğin, çerez kullanımı, açık rıza alınması, kişisel verilerin üçüncü ülkelere aktarımı veya yapay zekâ uygulamaları gibi güncel konularda Guidelines EDPB’nin yayınladığı kılavuzlar, veri koruma alanında netlik ve birliktelik sağlayarak hem bireylerin haklarını korur hem de kurumların cezai yaptırımlardan kaçınmasına yardımcı olur. Bu nedenle, Guidelines EDPB, Avrupa Birliği veri koruma yaklaşımı içinde yol gösterici nitelikte referans kaynaklardır.

EDPB Kararları Türk Firmalarını Nasıl Etkiler?

EDPB (Avrupa Veri Koruma Kurulu) kararları, doğrudan Avrupa Birliği içinde geçerli olmakla birlikte, AB vatandaşlarının kişisel verilerini işleyen tüm şirketleri etkilediği için Türkiye’de faaliyet gösteren firmalar açısından da büyük önem taşır. Özellikle e-ticaret, turizm, sağlık, finans ve teknoloji gibi sektörlerde hizmet veren Türk firmaları, eğer AB’de yaşayan bireylerin kişisel verilerini topluyor, işliyor ya da saklıyorsa, GDPR hükümlerine ve dolayısıyla EDPB kararlarına tabi sayılır. Bu kararlar, veri transferi kuralları, açık rıza standartları, çerez kullanımı, veri işleme ilkeleri gibi konularda bağlayıcı yorumlar sunarak, Türk firmalarının uyum süreçlerini dolaylı olarak etkiler. Örneğin, EDPB’nin “veri aktarımı için uygun güvenlik önlemleri” konusundaki kararları, Türkiye’den AB’ye veri transferi yapan şirketlerin teknik ve idari tedbirlerini gözden geçirmesini zorunlu kılabilir. Ayrıca KVKK ile Avrupa Birliği veri koruma anlayışı arasındaki farklar, bu firmaların her iki düzenlemeye de paralel şekilde uyum sağlamasını gerekli kılar. Uyumsuzluk halinde AB’de ticari faaliyetlerin riske girmesi mümkündür. Bu nedenle, EDPB kararları, Türk firmaları için sadece hukuki değil, aynı zamanda stratejik bir öneme sahiptir.

GoogleUnutulma Hakkı Türkiye ve Avrupa’da Nasıl İşliyor?

Kişisel verilerin korunması ve gizliliği son yıllarda hem Avrupa’da hem de Türkiye’de sıkça gündeme gelen ve bir hayli merak uyandıran konular arasındadır. Google gibi arama motorlarından da kişisel verilerinizin ve size ait haber, blog yazısı vb. içeriklerin çıkarılmasını sağlayan unutulma hakkı, bireylerin geçmişte yaşanmış ancak artık güncelliğini yitirmiş, doğruluğu tartışmalı ya da kişilik haklarını ihlal edici nitelikteki kişisel verilerinin internet ortamından, özellikle arama motorlarından kaldırılmasını isteme hakkıdır. Peki bu hak Türkiye ve Avrupa’da nasıl işliyor gelin detaylarıyla ele alalım.

Avrupa’da Unutulma Hakkı (GDPR Kapsamında)

Avrupa Birliği’nde unutulma hakkı, 2014 yılında Avrupa Adalet Divanı’nın (CJEU) verdiği “Google Spain SL, Mario Costeja González” kararıyla somut hale gelmiştir. Bu karara göre, arama motorları veri sorumlusu sayılmakta ve bireyler kişisel verilerinin listelenmesinin kaldırılmasını talep edebilmektedir.

2018 yılında yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü (GDPR) ile bu hak daha da güçlendirilmiştir. GDPR’ın 17. maddesinde “veri sahibinin silme hakkı” (right to erasure) açıkça düzenlenmiştir. Buna göre bir birey, kişisel verilerinin artık işlenme amacına hizmet etmediğini düşünüyorsa, verilerin silinmesini isteyebilir. Kişinin talebi üzerine arama motoru, içeriğin kaldırılması ile kamu yararı, ifade özgürlüğü ve bilgilendirme hakkı arasında bir denge kurarak karar verir. Talep haklı bulunursa içerik AB ülkelerine özgü arama sonuçlarından kaldırılır.

Türkiye’de Unutulma Hakkı (KVKK Kapsamında)

Türkiye’de unutulma hakkı, Avrupa’daki kadar açık şekilde tanımlanmış değildir; ancak 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında dolaylı olarak korunmaktadır. Özellikle KVKK’nın 7. maddesinde yer alan “kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi” yükümlülüğü, unutulma hakkı ile ilişkilendirilebilir.

2020 yılında Anayasa Mahkemesi bir bireysel başvuru sonucunda, kişilik hakları ihlal edilen bir kişinin unutulma hakkını tanımış ve ilk kez açık şekilde “unutulma hakkı” ifadesine yer vermiştir. Kararda, bireylerin internet arama motorlarında kendi adlarıyla yapılan aramalarda çıkan bazı sonuçların indekslerden çıkarılmasını talep etme hakkına sahip oldukları kabul edilmiştir.

Kişi, kişisel verilerinin kaldırılmasını önce ilgili siteye ve ardından arama motoruna başvurarak talep edebilir. Olumsuz cevap alırsa, KVKK kapsamında Kişisel Verileri Koruma Kurumu’na (KVKK Kurulu) başvurabilir. Mahkemeler de unutulma hakkını tanımakta ve gerekli durumlarda erişim engeli veya içeriğin yayından kaldırılmasına karar verebilmektedir.

Siz de Avrupa Genel Veri Koruma Tüzüğü (GDPR) hakkında daha fazla bilgi istiyorsanız, hemen Sistem Global’in KVKK Danışmanlığı hizmetinden yararlanabilirsiniz.