KVKK vs GDPR – Türk Şirketlerini nasıl etkileyecek?

25 Mayıs 2018 tarihinde yürürlüğe giren EU General Data Protection Regulation (GDPR) (AB Genel Veri Koruma Tüzüğü ) yasası ile kamu ve özel sektör açısından farkındalık oluşması ve ilgili kurumlar ve bu kurumlara hizmet veren çözüm sağlayıcılar açısından ciddi ve detaylı olarak ele alınması gerekmektedir. Bu yazı ile en azından ön bilgilendirme yapılması amaçlanmıştır.

7 Nisan 2016 tarihinde yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu, GDPR metninin Avrupa Parlamentosu’nda kabulünden kısa bir süre önce yürürlüğe girmiş, yani 95/46/AT sayılı direktif referans alınarak hazırlanmıştır. Bu nedenle KVKK, GDPR açısından kısmi bir uyumluluğa sahip olup; 30 Aralık 2017 de yayımlanan Veri Sorumluları Sicili Hakkındaki Yönetmelik’te henüz yansıması olmasa da önümüzdeki dönemlerde kanun ve yönetmeliklerde bazı güncellemeler olacaktır.

Yeni yönerge kullanıcı merkezli olduğundan, içinde bulundurduğu tüm maddeler tamamen kullanıcı düşünülerek oluşturulmuş ve kullanıcılar merkezli olarak tasarlandığını söyleyebiliriz. GDPR’da kullanıcı, “ilgili kişi” olarak tanımlanmıştır. Daha önce bu tür yönetmeliklerde asıl olan kişisel verileri işleyen işletme ya da ticari işlemlerin kendisiydi. Bu yönetmelikler sayesinde kişisel verilerin ne kadarının tutulacağı, bu verilerle ne yapabileceği gibi kurallar belirlenmiş durumdaydı. GDPR’da ise asıl direk olarak kullanıcının kendisinin bizzat kişisel verilerine ait hangi haklara sahip olacağı kesin olarak netleştirilmiştir. Bu kişisel verileri işleyen herkes, ilgili kişinin haklarını göz önünde bulundurduğundan emin olmak zorundadır. Yani GDPR ile artık kullanıcı tarafına geçildi diyebiliriz.

GDPR ile birlikte kişisel veri tanımı da revize edilerek yeniden yapılandırıldı. Bu tanımdan sonra en ufak bir veri bile doğrudan, yaşayan birine aitse, bu veri artık kişisel tanımlanabilir bilgi (personally identifiable information – PII) olarak ifade edilir hale geldi. Bir başka deyişle veri madenciliği ve Big Data uygulama uzmanları, farklı kaynaklardan veri paylaşımı ya da birleştirmesi yaparken çok dikkatli ve meşakkatli bir süreçten geçmek zorunda kalacakları öngörülüyor. İlgili kişiye ait bilgilerin toplanması, saklanması ve işlenmesi için, öncelikle hangi gerekçelerle bu bilgilerin ele alınacağını açık bir şekilde bildirmek gerekiyor. Eğer amaç ve gerekçe değişirse ilgili kişiden tekrar tekrar ilgili kişinin rızasını almak gerekecektir. Avrupa’daki tüm firmalar kişisel veri ile ilgili herhangi bir işlem yapmadan önce, bu verileri nasıl kullanacağıyla ilgili sınırlarını çok net olarak belirlediği bir yol haritası oluşturmak zorundadır.

GDPR uyumlu olmak için verilerin şifrelenmesi ve doğru bir şekilde tasnif edilmesi işlemlerini otomatik olarak gerçekleştirebilen çeşitli teknik araçlar bulunsa da yönetmelik ayrıntılı incelendiğinde gerekli işlemler için uzman kişilerden destek almak da önemli bir zorunluluk olarak görünmektedir. Bu noktada sadece teknik araçların kullanılması yeterli olmayıp, yetkili kişiler tarafından denetim yapılarak tetkik edilmesi de gerekmektedir.

İlk olarak güvenlik politikaları, rutin olarak yapılan işlemler ve işletmenin hedeflerini revize edilmesi gerekmektedir. Ayrıca işletme, yöneticilerinin ve çalışanlarının bu konuda eğitim almalarını da sağlamalıdır. Tüm bunların dışında, yapılacak ve yapılan her işlem, GDPR uyumlu olarak kullanıcıların verilerinin nasıl işleneceğini açık bir şekilde bildirerek belgelendirilmelidir.

GDPR veya KVKK ile ilgili işletmelerin ilgili işlemleri ve uyarıları büyük oranda dikkate alacağını düşünmemekle birlikte, uyumlu olmayan firmaların ne gibi yaptırım ve cezalarla karşı karşıya kalacağını ilerleyen zamanlarda hep birlikte tecrübe edeceğiz. GDPR’yi ihlal eden şirketler, şirketin yıllık global cirolarının yüzde 4’üne ya da 20 milyon Euro’ya kadar para cezasına (hangisi yüksekse) çarptırılabilecek.

Özellikle AB pazarına açılan Türk şirketlerin ticari faaliyetlerini güvenli bir şekilde yürütebilmesi için GDPR uyumluluğunun dikkate alınması gerekmektedir. 25 Mayıs 2018 tarihinde yürürlüğe girecek EU General Data Protection Regulation (GDPR) AB’de olmayan şirketler için birtakım yükümlülükler getiriyor.

1. AB dışındaki bir işletme, AB’deki kişilere yönelik ürün ve hizmetler sunması halinde, GDPR kapsamına girecek. Bu kapsamda işletmenin hizmet veya ürünlerini satması zorunlu olmayacak.

2. GDPR, IP adresi ve çerez ID’si gibi online tanımlayıcıları kişisel veri olarak kabul ettiği için AB dışında bulunan işletmeler, AB’deki kişilerin online davranışlarını izlemesi ve profillerini elde etmesi halinde GDPR’ye tabi olacaktır.