GDPR (General Data Protection Regulation) Nedir? KVKK (Kişisel Verilerin Korunması Kanunu) Nedir?

GDPR (General Data Protection Regulation) Nedir? KVKK (Kişisel Verilerin Korunması Kanunu) Nedir? KVKK neleri kapsar? GDPR neleri kapsar?

Avrupa Parlamentosu’nun, Nisan 2016’da kabul ettiği General Data Protection Regulation (“GDPR”) (Genel Veri Koruma Yönetmeliği) Türk Hukukundaki Kişisel Verilerin Korunması Kanunu’nun da kaynağı olan ve 1995’ten beri uygulanan direktifin uygulamasını da kaldırarak 25 Mayıs 2018 tarihinde yürürlüğe girdi. GDPR, AB üye devletlerinde gerçekleşen işlemler için işletmelerin AB vatandaşlarının kişisel verilerini ve gizliliğini korumalarını gerektiren hükümler taşıyor.

GDPR’nin amacı, tüm AB vatandaşlarını gizlilik ve veri ihlallerinden korumaktır. Veri gizliliğinin temel ilkeleri hala önceki yönergeye uygun olsa da birçok değişiklik de getirilmiştir. GDPR’nin önemli noktaları ve bunun özellikle Türk şirketler üzerindeki etkileriyle ilgili bilgiler aşağıda yer almaktadır.

GDPR ile Getirilen Önemli Yenilikler

1. Uygulama Alanının Genişletilmesi

En büyük değişiklik, şirketin bulunduğu yere bakılmaksızın, AB’de ikamet eden kişilerin verilerini işleyen tüm şirketler için GDPR’nin geçerli olmasıdır. Dolayısıyla işlemin AB’de olup olmadığına bakılmaksızın AB vatandaşlarına mal veya hizmet sunan şirketler açısından GDPR uygulama alanı bulacaktır. Bu sebepten ötürü AB vatandaşlarının verilerini işleyen AB dışındaki işletmeler de AB’de bir veri koruma görevlisi (data protection officer) atamak zorunda kalacaklardır.

2. Yaptırımların Ağırlaştırılması

GDPR’nin ihlali durumunda ihlal eden şirket, şirketin yıllık küresel cirosunun %4’üne veya 20 milyon €’ya kadar (hangisi daha yüksekse) para cezasına çarptırılabilir. Bu, en ciddi ihlaller için verilebilecek azami para cezasıdır, örneğin verileri işlemek için verisi işlenecek kişinin rızasının alınmaması durumunda bu para cezası uygulama alanı bulacaktır. GDPR’de para cezaları açısından kademeli bir yaklaşım vardır. Örneğin bir şirket, kayıtlarının tutulmaması için %2 para cezasına çarptırılabilir.

3. Açık Rıza

Kişisel verilerin işlenmesiyle ilgili olarak alınacak olan rızanın şartları güçlendirildi. Artık rıza veri işlemenin amacına yönelik olarak, anlaşılır ve kolay erişilebilir bir biçimde verilmelidir. Rıza, açık ve sade bir dille, diğer konulardan açık ve ayırt edilebilir olmalı ve anlaşılır ve kolay erişilebilir bir biçimde sunulmalıdır. Ayrıca açık rızanın verilmesi kadar, geri alınması da eşit derecede basit olmalıdır.

GDPR’nin Türkiye’deki Şirketler Açısından Uygulama Alanı Bulması

Yukarıda belirtildiği üzere GDPR sadece AB’de olan şirketler açısından bir uygulama öngörmemektedir. GDPR, AB’de olmamasına rağmen bazı şartlar dahilinde diğer ülke şirketleri açısından da uygulama alanı bulabilecektir. Aşağıda belirtilen iki durumda GDPR Türk şirketlerine de uygulanacaktır.

1. AB Vatandaşlarına Ürün veya Hizmet Sunulması

AB dışındaki bir şirketin AB’deki kişilere yönelik ürün ve hizmetler sunması halinde, GDPR uygulama alanı bulabilecektir. Bu kapsamda işletmenin hizmeti veya ürünü satması değil, salt pazarlaması ve satışa sunması yeterlidir.

Örnek olarak e-ticaret yapan bir Türk şirketinin, web sitesinde AB dillerinden birinin kullanması, bu dillerle müşterilerin sipariş verebilmesi, ücretlerin Euro üzerinden de gösterilmesi vb durumlarda ilgili e-ticaret sitesi GDPR kapsamında değerlendirilecektir.

2. AB’deki Kişilerin İzlenmesi

AB’de bulunmayan şirketlerin, AB vatandaşlarının online davranışlarını izlemesi ve profillerini çıkartması halinde GDPR bu şirketler açısından da uygulama alanı bulabilecektir.

Bu durum özellikle e-ticaret sitelerini ve reklam ajanslarını etkileyebilecektir. Nitekim GDPR kapsamında kişisel veri olarak kabul edilen IP adresi ve çerez ID’si gibi bilgileri takip eden sitelerin GDPR’e uygun hareket etmesi gerekmektedir. Bu sebeple, AB veri sahibine yönelik izleme faaliyeti gerçekleştiren, ziyaretçileri AB vatandaşı olan sitelerin sahibi Türk şirketlerinin de GDPR’ye uygun hareket etmesi gerekecektir.

Öncelikle şirketlerin GDPR kapsamına girip girmediğinin tespiti ve eğer şirket açısından GDPR’ın uygulama alanı bulacağı belirlenirse; yaptırımlardan kaçabilmek adına veri koruma görevlisi atamak da dahil olmak üzere gerekli uyum süreçlerinin başlatılması gerekmektedir.

Kişisel Verilerin Korunması Kanunu (KVKK) Nedir?

Uzun yıllardır tasarı halinde bekleyen ve 7 Nisan 2016 tarihinde yayımlanarak yürürlüğe giren ‘6698 Sayılı Kişisel Verilerin Korunması Kanunu’, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenleme amacını taşımaktadır.

Kanun’da belirtilen istisnalar haricinde, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek; üçüncü kişilere ve yurtdışına aktarılamayacaktır. Kanun’da ayrı ayrı maddelerde de belirtilmiş olan bu maddelere uyulmaması halinde, kurumlar idari para cezasına çarptırılabileceklerdir. Kanuna göre kişisel verileri ihlal edenlere 1 yıldan 3 yıla kadar hapis cezası öngörülmektedir. Ayrıca bu veriyi ihlal yolu ile ele geçiren kişiye de 2 yıldan 4 yıla kadar hapis cezası verilebilir. İdari para cezaları ise yerine getirilmeyen madde(lere) göre değişmek üzere 5,000 TL’den 1,000,000 TL’ye kadar artabilmektedir.

Kişisel Verilerin Korunması Kanunu; kişisel veriler, asıl sahipleri tarafından kurum ve kuruluşlara emanet edilen bilgiler olarak değerlendirildiğinde; veriyi işleyen kurumların verinin asıl sahiplerine, emanet aldıkları verilerle ilgili “hesap verebilir” olması için zemin oluşturmakta, kuralları tanımlamaktadır. Kanun, kişisel veriyi işleyen kurumlar için önemli bir dönüşümü de beraberinde getirmektedir. Kurumları ilgilendiren temel soru ise: “Emanet aldığımız kişisel verilerle ilgili hesap verebilir olmak için neler yapmalıyız?” Bu sorunun cevabını verebilen kurumlar, Kişisel Verilerin Korunması Kanunu da uyumlu olacaklardır.
Kişisel Verilerin Korunması Kanununun karşılanmasına metadolojik açıdan bakıldığında Kurumsal Mimari, teknolojik açıdan bakıldığında ise Bilgi Güvenliği perspektifi oldukça önem kazanmaktadır.

Kurumsal Mimari bakış açısıyla Verilerin işlendiği İş Hizmetleri, Süreçleri, bu süreçlerdeki katılımcıların (kişi, organizasyon birimi veya sistemleri) rol ve sorumlulukları, katılımcıların kullandıkları uygulama yazılım ve sistemlerin eriştiği verileri ve verilerin depolandığı veya işlendiği teknoloji bileşenleri doğrudan etki analizi ve değerlendirmeye alınacak şekilde uçtan uca Kurumsal Mimarinin alanına girmektedir.

Bilgi Güvenliği bakış açısıyla bakılırsa Erişim Güvenliği ve Yönetimi, Yazılım yetkilendirmeleri ve Uygulama Kontrolü, Aygıt Kontrolü, Veri tabanı yetkilendirmeleri ve güvenliği ile Ağ Erişim yekilendirmeleri ve Yönetimi gibi bilgi güvenliği konuları öne çıkmaktadır.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.