sahin-hukuk

Türk Kişisel Verilerin Korunması Hukuku Açısından Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)

Türk Kişisel Verilerin Korunması Hukuku Açısından Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)

Kişisel Verilerin Korunması Hukuku Ekibi

Ağustos 2018

Avrupa Birliği (“AB”) üye devletleri 25 Mayıs 2018 tarihinde yürürlüğe girmiş olan GDPR’ı (Avrupa Birliği Genel Veri Koruma Tüzüğü-General Data Protection Regulation) uygulamaya başladılar.  95/46 sayılı Direktif’in yerini alan yeni düzenlemenin sadece AB’deki sorumlular için değil, belli şartlar dahilinde AB dışındaki sorumlular için de uygulanacağı kabul ediliyor.

 

GDPR’ı ihlal eden veri sorumluları ve veri işleyicileri için öngörülen cezanın yıllık global cironun %4’üne kadar ya da 20 Milyon Euro’ya kadar çıkabildiği dikkate alındığında AB’de yerleşik olmayan fakat tüzük kapsamına giren sorumluların da bu düzenlemelerin farkında olması ve bunlara göre uyumluluk projeleri yürütmesi büyük önem taşıyor.

 

Evaluation of General Data Protection Regulation (GDPR) in Terms of Turkish Data Protection Law

 

Member States of the European Union ("EU") began implementing the GDPR  (General Data Protection Regulation) which entered into force on May 25, 2018. It is accepted that the new regulation, which will take the place of Directive 95/46, applies not only to the responsibles in the EU but also to those outside the EU if certain circumstances arise.

 

Given the penalties for illegal data processing  in terms of GDPR can reach up to 4% of the yearly global revenue or 20 million Euros, It is very crucial that the responsible entities who are not in the EU but who fall within the scope of the law are aware of these regulations and accordingly carry out compliance projects.

 

Further information in English can be delivered through personal contact.

 

 

 

Türk Şirketleri Hangi Hallerde GDPR’a Tabi Olacaktır?

 

GDPR’ın etki alanı “Bölgesel Kapsam” başlıklı 3. maddesinde ortaya konulmuştur. İlgili hükme göre Türk şirketleri aşağıdaki şartlar oluştuğunda GDPR kapsamına girecektir:

 

•     AB içerisindeki veri sahiplerine bir ödeme yapılmasının zorunlu olduğuna bakılmaksızın mal ya da hizmetlerin sunulması

•     AB içerisindeki veri sahiplerinin davranışlarının izlenmesi (davranışları AB içerisinde gerçekleştiği ölçüde)

 

İzleme teriminden anlaşılması gereken; özellikle veri sahiplerinin tercihlerine göre çıkarımlar yapılması, profilleme amaçlarıyla online ortamda gerçekleştirdikleri faaliyetlerin takip edilmesi, analize tabi tutulması ve raporlanması işlemleridir. Dolayısıyla AB tüketicisini hedefleyen şirketlerin GDPR kapsamında yer aldığı açıktır.

 

Bu şartların birini sağlayan herhangi bir Türk şirketi GDPR kapsamında gerekli önlemleri almadığı takdirde 20 Milyon Euro’ya kadar ceza tehdidiyle karşı karşıya kalacaktır.

 

GDPR ile 6698 Sayılı Kişisel Verilerin Korunması Hakkında Kanun’un (‘’KVK Kanunu” ya da “Kanun’’) Karşılaştırması

 

Türk Hukukunda kişisel verilerin korunması hususu bir kanun altında ilk kez 6698 Sayılı KVK Kanunu ile düzenlenmiştir. 7 Ekim 2016’da yürürlüğe girmiş olan Kanun veri sorumluları için bir uyumluluk süresi öngörmüştür. Bu süre 7 Nisan 2018’de sona ermiş olup bu tarihten itibaren sorumluların KVK Kanunu kapsamındaki yükümlülüklerini tamamen yerine getirmiş olması aranmaktadır.

 

KVK Kanunu hükümleri büyük ölçüde AB mevzuatıyla uyumlu olmakla birlikte GDPR ile ufak farklar içermektedir. Bu farklar incelenip Türk şirketleri tarafından gereklilikler yerine getirilmediği sürece ciddi bir ceza tehdidi devam etmektedir. Bu nedenle GDPR ile KVK Kanunu arasındaki farklı düzenlemelerin dikkatle incelenmesi gerekmektedir.

 

·       Veri İşleyenin Sorumluluğu: GDPR kapsamındaki veri sorumlusu kavramı KVK Kanunu ile benzeşmekle birlikte GDPR uyarınca herhangi bir kişisel veriyi işleyen herkes hukuka aykırı işlemeden sorumlu tutulabilecektir. Bu çerçevede, GDPR kapsamında veri işleme sayılan ve kişisel veriye ilişkin gerçekleştirilen her türlü faaliyetin tüm faillerinin söz konusu işlemeden kaynaklı bütün ihlal ve hukuka aykırılıklardan sorumlu olduğu görülmektedir. Yani AB dışında bulunsa ve veri sorumlusu nitelği taşımasa dahi bir şirket AB’de yerleşik kişilere dair bir veri işlediği takdirde bu işlemden sorumlu olacaktır. 6698 sayılı KVK Kanunu ise veri sorumlusu ile veri işleyenin sorumluluklarını ayrı ayrı düzenlemiş olup bu kapsamda 18. maddenin 2. fıkrasında belirtildiği üzere idari cezalardan yalnızca veri sorumlusu mesuldür. Burada dikkat edilmesi gereken husus GDPR’ın veri sorumlularına ek olarak bu veriyi işleyenleri de verinin hukuka uygun işlenmesinden sorumlu tutmasıdır.

 

·       Unutulma Hakkı: GDPR ile getirilen ve KVK Kanunu’nda açıkça yer almayan en önemli hususlardan biri unutulma hakkıdır. Unutulma hakkı, veri sahiplerinin verilerinin durumunu bilme ve istediğinde bu verileri sildirme hakkı anlamında gelmektedir. Unutulma hakkı GDPR ile ilk kez açıkça bir hukuki mevzuatta düzenlenmiş olup içtihattan doğan bir hak olmaktan kurtulmuştur. Bununla beraber KVK Kanununun 11.maddesinde veriler hakkında bilgi talep etme ve verileri silme hakkı veri sahibine tanınmış olsa da, unutulma hakkı bir başlık altında ilk kez kapsamlı bir şekilde GDPR’da düzenlenmiştir. GDPR’ın 17.maddesi bu hususu düzenlemektedir. İlgili maddeye göre veri sahibi, kendisine ait kişisel verilerin mümkün olan en kısa sürede silinmesini veri sorumlusundan talep edebilecektir. Lakin silme hakkının kullanılması için belli durumların oluşması gerekmektedir. Bu durumlar şu şekilde sıralanmaktadır: 1-Kişisel verilerin toplanma veya işlenme amaçlarıyla ilişkili olarak artık gerekli olmaması, 3-Veri sahibinin veri işleme faaliyetinin dayandığı izni geri çekmesi ve işleme faaliyetiyle ilgili başka bir yasal gerekçe bulunmaması, 3-Veri sahibinin işleme faaliyetine itirazda bulunması ve işleme faaliyetine yönelik ağır basan meşru bir gerekçe bulunmaması, 4-Kişisel verilerin yasa dışı biçimde işlenmiş olması, 5-Kontrolörün tabi olduğu Birlik veya üye devlet hukukundaki bir yasal yükümlülüğe uygunluk sağlanması amacı ile kişisel verilerin silinmesinin zorunlu olması, 6-Kişisel verilerin bilgi toplumu hizmetlerinin sağlanması ile ilgili toplanmış olması.

 

Yukarıda sayılan hallerden herhangi birisi oluştuğu durumda, kişi unutulma hakkı kapsamında verilerini sildirme hakkına sahiptir. Öte yandan aynı maddenin 3.fıkrasında unutulma hakkının kullanılamayacağı durumlar düzenlenmiştir. Bu istisnalar kapsamında; bilgi ve ifade hürriyeti hakkının kullanılması, veri kontrolörünün tabi olduğu yasalar bakımından işleme faaliyetiyle yükümlü olması veya kamu yararının gerektirdiği haller yahut veri kontrolörünce yürütülen resmi bir görevin gerektirmesi, GDPR’nin 9. maddesinde yer alan toplum sağlığının korunmasına ilişkin hükümlerin uygulanması, arşiv amaçlı araştırmalarda kamu yararına, bilimsel ve tarihi araştırmalarda kullanılması ile yasal iddiaların oluşturulması, uygulanması ve savunulması hususları yer almaktadır.

 

GDPR kapsamında açıkça düzenlenen bu hakkın bir benzeri KVK Kanunu çıkmadan önce Türk hukukunda içtihatlarca geliştirilmiştir. Bu kapsamda Yargıtay 4. Hukuk Dairesi’nin 03.07.2013 tarih ve 2013/6256 esaslı kararında, “İlerleyen insan hakları trendinde kişilerin arşiv silme talebi ve unutulma hakları gibi modern haklarla donatıldığı da düşünüldüğünde davacının kişilik haklarının ihlal edildiği yine sabittir.” ifadesi kullanılmak suretiyle ilk kez unutulma hakkı tartışılmış ve kabul görmüştür. Dolayısıyla söz konusu hakkın mevzuata zımnen dahil edilmesi KVK Kanunu ile olmuştur. GDPR ise söz konusu hakka açıkça atıfta bulunarak hakkın önemine ayrı bir vurgu yapmıştır.

 

Yine benzer şekilde AYM unutulma hakkını ilk kez 2016 yılında 03/03/2016 tarih ve B.2013/5653 No’lu kararı kapsamında değerlendirmiştir. Karar kapsamında “Bireyin kişisel şeref ve itibarı, Anayasa’nın 17. maddesinde yer alan “manevi varlık” kapsamında yer almaktadır. Devlet, bireyin manevi varlığının bir parçası olan kişisel şeref ve itibara keyfi olarak müdahale etmemek ve üçüncü kişilerin saldırılarını önlemekle yükümlüdür.” ifadesine yer verilmiştir. AYM’nin söz konusu kararı unutulma hakkının açıkça Türk hukukuna girişi açısından önemli bir unsur olarak kabul edilmektedir.

 

·       Yaptırımlar: GDPR kapsamında düzenlenen yaptırım hükümleri KVK Kanunu ile kıyaslanamayacak seviyede olup çok daha ağır cezalar öngörmektedir. Bu kapsamda GDPR’a uyumun en iyi şekilde sağlanması olası aleyhe sonuçların önüne geçecektir. Zira KVK Kanunu  uyarınca idari para cezaları 5 bin Türk lirası ile 1 milyon Türk lirası arasında değişebilirken, GDPR kapsamındaki cezalar 20 milyon Euro veya ilgili kuruluşun küresel gelirinin yüzde dördü gibi önemli miktarlar olarak belirlenmiştir.

 

·       Veri Taşınabilirliği ve Etki Değerlendirmesi: Veri taşınabilirliği hakkı ilk kez GDPR madde 20 uyarınca belirlenmiş olup, kişisel verileri tutmaya yetkili olan veri sorumlusundan bir diğerine verilerin taşınmasını talep etme hakkı olarak tanımlanmaktadır. Ayrıca madde 35 uyarınca ‘’Zorunlu Veri Koruma Etki Değerlendirmesi’’ (Data Protection Impact Assessments) hususu düzenlenmiştir. 6698 sayılı Kanun’da ise bu kapsamda ayrıca tanımlanmış hükümler bulunmamaktadır. Veri Koruma Etki Değerlendirmesi’nin özellikle 3 halde yapılmasının gerekeceği madde 35’te belirtilmiştir. Bunlardan en önemlisi kamunun erişebileceği bir alanın büyük çaplı olarak sistematik bir şekilde izlenmesi dolayısıyla bununla alakalı kişisel verilerin işlenmesi durumudur.

 

·       Veri Koruma Görevlisi: GDPR madde 37 uyarınca özel kategorideki verileri işleyenler, veri sahiplerinin düzenli ve sistematik bir şekilde büyük çaplı olarak izlenmesini gerektiren veri işlemesi yapanlar ve mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verileri büyük çaplı olarak işleyenler için (KVK Kanunu’nda özel nitelikli kişisel veriler olarak düzenlenmiştir.) ‘’Zorunlu Veri Koruma Görevlisi’’ belirleme zorunluluğu gerekmektedir.

 

Türk şirketlerinin KVK Kanunu uyumluluk süreçlerinde bir veri koruma görevlisi belirlediği gözlemlenmekle birlikte bu husus Kanun’da düzenlenmiş değildir. Söz konusu görevli GDPR’da ‘’Data Protection Officer’’ olarak adlandırılmaktadır. Dolayısıyla GDPR kapsamına girmeyen şirketlerin ayrıca böyle bir görevli istihdam etmesine gerek yoktur. Burada dikkat edilmesi gereken husus Veri Koruma Görevlisinin her şirketçe belirlenmesi zorunlu değildir. Bu husus madde 37 uyarınca düzenlenmiştir.

 

·       Temsilci: Yine benzer bir şekilde GDPR’ın sınır ötesi etki alanı içerisinde bulunan ve GDPR hükümlerine tabi olan Türk şirketlerinin AB’de bir temsilci ataması zorunludur. Söz konusu temsilci, Veri Koruma Görevlisi’nden farklı niteliğe sahiptir. Dolayısıyla Veri Koruma Görevlisi istihdam etmek zorunda olmayan Türk şirketleri yine de AB’de bir temsilci bulundurmak zorundadır. Bu temsilcinin her ülkeye ayrı ayrı atanması aranmaz, tek bir ülke kapsamında atanması yeterlidir.

 

·       Veri Koruma Tedbirleri: GDPR kapsamında kişisel verilerin işlenmesi bağlamında gerçek kişilerin hak ve özgürlüklerinin korunması amacıyla gerekli teknik ve organizasyonel önlemlerin alınmasının gerektiği ifade edilerek “Başlangıçtan itibaren (data protection by default)” ve “Tasarımdan itibaren veri koruması (data protection by design) yaklaşımı” kavramlarına yer verilmektedir. Söz konusu konseptlerin ayrıntılı olarak değerlendirilmesi amacıyla çalışmalar yapılmaktadır. Teknolojinin gelişme sürati de dikkate alındığında bu yaklaşımın 6698 sayılı Kanun’da doğrudan yer almasa dahi özellikle KVK Kurulunca yayınlanacak ikincil kurallarda dikkate alınmasının gündeme gelmesi mümkündür.

 

·       Süreler: GDPR kapsamında veri sahibi kendisiyle ilgili hangi verilerin tutulduğunu ve işlendiğini sorma hakkına sahiptir. Bu husus KVK Kanunu madde 11 kapsamında tanınmış haklar arasında yer almaktadırr. GDPR kapsamında bu talebe cevap süresi 20 gündür. KVK Kanunu uyarınca yapılan ikincil düzenlemelerde bu süre 30 gün olarak belirlenmiştir.

 

Benzer şekilde, herhangi bir ihlal durumunda, veri sorumlusu veri ihlalinin meydana geldiğini fark eder etmez, hesap verebilirlik ilkesine uygun olarak en geç 72 saat içinde veri koruma otoritesi ile söz konusu ihlal nedeniyle hak ve hürriyeti tehlike altında bulunan veri sahibine gerekli önlemleri alabilmesi amacıyla gecikmeksizin bildirimde bulunmakla yükümlüdür. Bu husus GDPR kapsamında düzenlenmiş olup KVK Kanunu’nda bu tarz belirli bir süre öngörülmemiştir.

 

·       İşleme Kayıtlarının Tutulması: GDPR kapsamında her sorumlunun ve uygun olduğu hallerde, sorumlunun temsilcisinin kendi sorumluluğu altındaki işleme faaliyetlerine ilişkin kayıt tutması gerekmektedir. Lakin bu hususla alakalı olarak istisna düzenlenmiş olup belli şirketler bu kapsamda veri işleme kaydı tutmaktan muaf tutulmuştur. Gerçekleştirdiği işleme faaliyetinin veri sahiplerinin hakları ve özgürlükleri açısından bir riske sebebiyet vermesinin muhtemel olmaması, işleme faaliyetinin nadiren gerçekleştirilmesi veya işleme faaliyetinin özel kategorilerdeki verileri, mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verileri kapsamaması durumunda,  söz konusu yükümlülükler 250’den az kişi istihdam eden bir işletme veya kuruluşa uygulanmamaktadır.

 

Sonuç

 

Modern çağın getirdiği yeni hukuki meselelerin başında yer alan kişisel verilerin işlemesi hususu uzun bir süre daha gündemde kalmaya devam edecektir. Ülkemizde de bu konuda uzun yıllardır süren çalışmalar sonuç vermiş, Anayasa’da temeli bulunan ve içtihatlara konu olan kişisel verilere ilişkin hususlar 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun kapsamında tek çatı altında toplanmıştır.

 

Türkiye’de kişisel verilerin korunmasına ilişkin mevzuatın temeli 6698 sayılı kanundur. Çeşitli sebeplerden ötürü hazırlık safhası uzun sürmüş olan söz konusu kanunun temel aldığı metin AB’nin 95/46 sayılı Direktifi’dir. Lakin Avrupa Birliği, AB Veri Koruma Reformu kapsamında söz konusu metni yetersiz bulmuş ve çağın gereklerine daha uygun bir metin olan GDPR’ı kabul etmiştir. Bu noktada KVK Kanunu’nun temel aldığı metin yürürlükten kalkmış durumdadır.

 

GDPR, 95/46 sayılı Direktif’le kıyaslandığında özellikle sorumluluklar, yaptırımlar, kişi hakları ve veri koruma tedbirleri açısından daha sıkı ve kapsamlı düzenlemeler getirmiştir. Yukarıda sayılan hususlar Direktif’te bulunmamaktadır. Bu hususlardan en önemlileri idari cezaların önemli oranda artırılması, Veri Koruma Görevlisi (DPO) atanması kuralının getirilmesi ile veri işleyenlerin sorumluluk rejiminin genişletilmesi gibi güvenliği artırıcı ve yenilikçi yaklaşımlar olmuştur.

 

Söz konusu düzenlemeler GDPR’a halihazırda dahil olan şirketler için önem taşıdığı gibi KVK Kurulu tarafından gelecekte uygulamada oluşabilecek açıkların doldurulmasında da temel alınabilir. Dolayısıyla söz konusu düzenleme hakkında farkındalığın artmasının Türk şirketlerinin lehine olacağı açıktır.