2. Uygulama Alanları
KVKK kapsamı Türkiye'de kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsaması nedeniyle, kişisel veri operasyonlarını Türkiye'de yürüten tüm gerçek ve tüzel kişilerin, uyumsuzluk hallerinden ve bunların kanuni sonucu olan yaptırımlardan kaçınmak için uyumluluk süreci hakkında danışmanlık almalarını önemle tavsiye ediyoruz.
GDPR kapsamı açısından ise daha geniş bir yetki alanı söz konusudur. GDPR, Avrupa Birliği sınırları içerisinde yaşayan herhangi birinin kişisel verilerini toplayan, işleyen ve saklayan tüm şirketler için, şirketin nerede bulduğu fark etmeksizin kişisel verilerin paylaşımını ve kullanımını da kapsamak üzere her türlü kişisel veri operasyonunu düzenlenmektedir. Buradan yola çıkarak GDPR'ın, KVKK'nın uygulama alanından farklı olarak, yalnızca doğduğu ülkede (Avrupa Birliği) veri işleyen kişilere değil, aynı zamanda Avrupa Birliği'nde ikamet eden kişilerin verilerini işleyen tüm gerçek ve tüzel kişilere sorumluluk yüklediği söylenebilir.
Bu bakımdan da bir işletme veri işlemesini Avrupa Birliği dışında yapıyor ise dahi, Avrupa Birliği'nde ikamet eden kişilerin verilerini işliyorsa, GDPR ile uyumlu hareket etmekle yükümlüdür. Dolayısıyla, Türkiye'de yerleşik bir gerçek kişinin veya tüzel kişinin veri operasyonları yürütmesi söz konusu olduğunda, Avrupa Birliği'nde ikamet eden kişilerin kişisel verilerini işlediği sürece yalnızca KVKK ile uyum içerisinde olması yetmeyip, aynı zamanda GDPR ile de uyumluluk göstermesi gerekmektedir.
3. KVKK ve GDPR Kuralları Arasındaki Önemli Farklar
İki düzenleme arasındaki en önemli farklardan biri uygulama alanlarında gözükmektedir. GDPR'a, KVKK ile karşılaştırıldığında daha geniş bir yetki alanı sağlandığı için, Avrupa Birliği sınırlarında yaşayan herhangi birinin kişisel verilerini işleyen tüm şirketler için kendi konumları fark etmeksizin GDPR uyumluluğu ile yükümlülerdir.
Bunun yanı sıra, KVKK'da veri sorumlusu kişisel verilerin işlenmesi, silinmesi ve toplanması süreçlerinde Kişisel Veri Kurumu ("KVK") Kuruluna karşı sorumlu tutulurken, GDPR'da veri sorumlusu yerine, hesap verebilirlik ilkesi doğrultusunda "veri kontrolörü" kavramı getirilmiştir. GDPR kapsamında veri kontrolörü, tüm temel prensiplerden sorumlu tutulmaktadır. KVKK uyarınca veri sorumluları, Veri Sorumluları Sicil Bilgi Sistemi ("VERBİS")'ne kayıt olmakla yükümlüler iken, GDPR da böyle bir kayıt bilgi sisteminden bahsedilmemektedir.
Bir diğer kritik fark ise cezai sorumluluk başlığı altında ortaya çıkmaktadır. KVKK kapsamında öngörülen ceza yükümlülüklerinin üst limiti 1.000.000 TL olarak belirlenmekte iken, GDPR kapsamında ise cezai yaptırım yıllık küresel cironun %4'üne veya 20.000.000 Euro olarak belirlenmiştir ve hangisi daha yüksek ise o miktar cezai yaptırım olarak uygulanacaktır. Şüphesiz, GDPR hükümlerine tabii tüm şirketlerin böyle büyük cezai yaptırımlardan kaçınmaları için GDPR ile uyumluluk sağlamalarının önemi bu hükümle bir kez daha göz önüne konmuştur.
4. Sonuç
KVKK ve GDPR arasında büyük ölçüde benzerlik görüldüğü isabetli bir görüş olacaktır, fakat GDPR'ın ortaya koyduğu yüksek cezai yaptırımlar gibi bazı kritik farklar da bu düzenlemelere tabii olan tüm kişiler için önem taşımaktadır. Bu noktada KVKK, GDPR veya ikisi için de detaylı bilgi ve uyumluluk çalışması danışmanlık hizmeti için aşağıdaki bilgiler vasıtasıyla bizimle iletişime geçebilirsiniz.