KVKK ve GDPR Nedir? Farkları Nelerdir? Hangi Durumda Hangisi Geçerli?
KVKK Nedir?
KVKK (Kişisel Verilerin Korunması Kanunu), Türkiye’de kişisel verilerin işlenmesi, saklanması ve korunmasına dair temel hukuk düzenlemesini sağlar. 2016 yılında yürürlüğe giren 6698 sayılı KVKK, bireylerin kişisel verilerinin hukuka uygun ve güvenli şekilde işlenmesini temin eder. Kanun, veri sahiplerinin haklarını korur, veri sorumlularına ise belirli yükümlülükler getirir.
KVKK’nın temel amaçları şunlardır:
- Kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesini sağlamak,
- Veri sahiplerinin temel hak ve özgürlüklerini korumak,
- Kişisel veri işleyenlerin sorumluluklarını belirlemek.
GDPR Nedir?
GDPR (General Data Protection Regulation), Avrupa Birliği (AB) sınırları içinde kişisel veri korumasını düzenleyen kapsamlı bir veri koruma yönetmeliğidir. 2018’de yürürlüğe giren GDPR, AB vatandaşlarının kişisel verilerini korumaya yönelik evrensel standartlar oluşturur ve AB dışındaki firmaların da AB’de veri işledikleri takdirde bu kurallara uymasını zorunlu kılar.
GDPR’nin temel prensipleri:
- Kişisel verilerin işlenmesinde şeffaflık ve hesap verebilirlik,
- Veri minimizasyonu ve amaca uygunluk,
- Veri sahiplerinin onayının alınması,
- Veri güvenliği ve ihlal bildirimleri,
- Veri sahiplerinin erişim, silme, taşınma hakları.
KVKK ile GDPR Arasındaki Farklar
| Konu | KVKK | GDPR |
|---|---|---|
| Kapsam | Türkiye sınırları içinde kişisel veri işleyenler | AB vatandaşlarının verileri, AB sınırları içinde ve dışındaki veri işleyenler |
| Yürürlük Tarihi | 2016 | 2018 |
| Veri Sorumlusunun Sorumluluğu | Veri sorumlusu, kişisel verileri korumakla yükümlü | Veri sorumlusu ve işlemci, kapsamlı hesap verebilirlik gerektirir |
| İhlal Bildirimi | 72 saat içinde Kişisel Verileri Koruma Kurumu’na bildirim zorunluluğu | 72 saat içinde veri koruma otoritesine bildirim zorunluluğu |
| Veri Sahibi Hakları | Erişim, düzeltme, silme, itiraz, veri taşınabilirliği hakları | Benzer haklar, ayrıca “unutulma hakkı” ve kapsamlı erişim hakları |
| Para Cezaları | 1 milyon TL’ye kadar idari para cezası ve/veya hapis cezası | 20 milyon Euro veya yıllık cironun %4’üne kadar para cezası |
Hangi Durumda Hangisi Geçerlidir?
- Türkiye’de Kişisel Veri İşleyenler: Türkiye sınırları içindeki tüm gerçek ve tüzel kişiler KVKK’ya tabidir. Türkiye’de faaliyet gösteren şirketler, kamu kurumları, sağlık kuruluşları, eğitim kurumları KVKK kapsamındadır.
- AB Vatandaşlarının Verileri: AB sınırları içinde bulunan veya AB vatandaşlarının kişisel verilerini işleyen tüm şirketler GDPR’ye uymak zorundadır. Örneğin, Türkiye’de faaliyet gösteren ve AB vatandaşı müşterileri olan firmalar her iki kanuna da uyum sağlamak durumundadır.
- Uluslararası Faaliyet: Bir şirket, hem Türkiye’de hem AB’de veri işliyorsa, her iki düzenlemenin gerekliliklerini yerine getirmelidir. GDPR, veri koruma standartları bakımından daha sıkı ve evrensel kabul edildiğinden, çoğu zaman GDPR’ye uyum, KVKK’ya da uyumu büyük ölçüde karşılar.
KVKK ve GDPR, kişisel verilerin korunmasını amaçlayan iki önemli hukuk düzenlemesidir. KVKK, Türkiye’de kişisel verilerin korunmasını sağlarken; GDPR, AB’de ve AB vatandaşlarının verileri üzerinde daha kapsamlı ve evrensel standartlar getirir. Türkiye’de faaliyet gösteren firmalar için KVKK esas olmakla birlikte, AB ile bağlantılı faaliyetlerde GDPR de geçerlidir. Her iki düzenlemede de veri güvenliği, bireylerin hakları ve veri sorumlularının yükümlülükleri ön plandadır.