"GDPR ve Türkiye KVKK: Karşılaştırmalı Analiz"
"AB GDPR ile Türkiye'nin 6698 sayılı KVKK'sı arasındaki temel farklar, AB-Türkiye veri aktarım mekanizmaları ve Schrems II kararının yansımaları ele alınmaktadır."
Giriş
Veri koruma hukuku, hem AB hem de Türkiye'de kişisel verilerin işlenmesine ilişkin temel çerçeveyi oluşturmaktadır. AB'nin 2018 yılında yürürlüğe giren Genel Veri Koruma Tüzüğü (GDPR — Regulation 2016/679) küresel bir standart olarak kabul görürken Türkiye'nin 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ise Türkiye'deki veri işleme faaliyetleri için belirleyici yasal çerçeveyi çizmektedir. Türkiye ile AB arasında giderek yoğunlaşan ticari ve dijital ilişkiler, bu iki rejimi yan yana anlayabilmeyi zorunlu kılmaktadır.
GDPR ve KVKK Temel Karşılaştırma Tablosu
| Kriter | AB GDPR (2016/679) | Türkiye KVKK (6698) |
|---|---|---|
| Yürürlük Tarihi | 25 Mayıs 2018 | 7 Nisan 2016 |
| Uygulama Alanı | AB'de yerleşik veri sorumlusu/işleyicileri; AB'deki kişilerin verilerini işleyen tüm şirketler | Türkiye'de yerleşik ve yurt dışında Türk vatandaşı verilerini işleyenler |
| Veri Koruma Sorumlusu (DPO/VKS) | Belirli hallerde zorunlu (kamu kurumu, büyük ölçekli işleme, özel kategori veri) | Zorunluluk yok (gönüllü atama mümkün) |
| İdari Para Cezası | Dünya cirosunun %4'üne kadar veya 20 milyon EUR | 2.500 TL – 5.000.000 TL (yeniden değerlemeyle artmakta) |
| Veri Taşınabilirliği | Açık hak olarak tanımlanmış (m.20) | Dolaylı olarak var; açık düzenleme yok |
| Veri İhlali Bildirimi | 72 saat içinde denetim otoritesine bildirim zorunlu | 72 saat içinde Kişisel Verileri Koruma Kurumu'na (KVKK Kurulu) bildirim zorunlu |
| Profilleme ve Otomatik Karar | Açık düzenleme ve itiraz hakkı (m.22) | Açık düzenleme yok; genel hükümlere göre değerlendirme |
| Hukuki Dayanak Çeşitliliği | 6 hukuki dayanak (rıza, sözleşme, yasal yükümlülük, hayati çıkar, kamu yararı, meşru menfaat) | Benzer yapı; meşru menfaat Türkçe uygulamada dar yorumlanmakta |
| Yaptırım Otoritesi | Her üye devletin ulusal veri koruma otoritesi | Kişisel Verileri Koruma Kurumu (KVKK Kurulu) |
DPO (Veri Koruma Sorumlusu) Zorunluluğu
GDPR'de veri koruma sorumlusu (Data Protection Officer) atanması, kamu kurumları, büyük ölçekli kişisel veri işleyen kuruluşlar ve özel kategorideki verileri sistematik biçimde işleyen şirketler için zorunludur. KVKK'da ise bu zorunluluk bulunmamakta; Türk şirketleri gönüllü olarak "veri koruma yetkilisi" atayabilmektedir. Bu fark özellikle hem AB'ye hem de Türkiye'ye hizmet veren çok uluslu şirketler açısından kritik önem taşımaktadır: GDPR uyum çerçevesinde atanan DPO, Türkiye operasyonları için KVKK yükümlülüklerini de takip edebilir.
Türkiye'nin GDPR Yeterlilik Kararı Durumu
AB Komisyonu, Türkiye'ye henüz bir yeterlilik kararı (adequacy decision) vermemiştir. Bu durum, AB'den Türkiye'ye kişisel veri aktarımının otomatik olarak gerçekleşemeyeceği anlamına gelmektedir. Yeterlilik kararı verilmesi için Türkiye'nin GDPR ile "esasa ilişkin eşdeğer" koruma sağladığını kanıtlaması gerekmektedir. Bunun önündeki temel engeller şunlardır:
- Bağımsız veri koruma otoritesi ilkesi tartışması (KVKK Kurulu'nun bağımsızlığına ilişkin soru işaretleri)
- Kamu kurumlarına tanınan geniş veri erişim istisnaları
- KVKK ceza miktarlarının GDPR'e kıyasla çok daha düşük olması
- Veri taşınabilirliği ve profillemeye ilişkin açık düzenlemelerin eksikliği
AB-Türkiye Veri Aktarımında Standart Sözleşme Maddeleri (SCCs)
Yeterlilik kararı bulunmadığından AB'den Türkiye'ye yapılan veri aktarımları standart sözleşme maddeleri (Standard Contractual Clauses — SCCs) aracılığıyla meşrulaştırılmaktadır. 2021 yılında AB Komisyonu tarafından güncellenen yeni nesil SCC'ler (Karar 2021/914/EU) dört modül içermektedir:
- Modül 1: Veri sorumlusundan veri sorumlusuna aktarım (C2C)
- Modül 2: Veri sorumlusundan veri işleyene aktarım (C2P)
- Modül 3: Veri işleyenden veri işleyene aktarım (P2P)
- Modül 4: Veri işleyenden veri sorumlusuna aktarım (P2C)
Türkiye'deki şirketler AB ortaklarıyla ilişkilerinde hangi modülün uygulanacağını belirlayerek SCC'leri sözleşmelerine eklemek zorundadır. SCC'lerin kullanılması, aktarımın hukuka uygunluğunu sağlamaya yeter; ancak ek teknik ve organizasyonel güvencelerin (şifreleme, pseudonymisation, erişim kısıtlamaları) de alınması tavsiye edilmektedir.
Schrems II Kararının Türkiye'ye Yansıması
Avrupa Birliği Adalet Divanı'nın 2020 tarihli Schrems II kararı (C-311/18), ABD-AB Gizlilik Kalkanı'nı geçersiz sayarak SCC tabanlı aktarımlarda da "fiilî eşdeğer koruma" testinin yapılması gerektiğini açıkça ortaya koymuştur. Bu karar Türkiye açısından şu sonuçları doğurmaktadır:
- AB'deki veri aktarıcı şirket, SCC imzalamanın yanı sıra Türkiye'nin veri erişim yasaları ve istihbarat mevzuatının gerçek koruma sağlayıp sağlamadığını değerlendirmek zorundadır.
- Değerlendirme sonucunda yeterli koruma sağlanamıyorsa ek teknik önlemler (uçtan uca şifreleme, veri minimizasyonu) zorunludur.
- AB veri denetim otoriteleri, Türkiye'ye yapılan aktarımlar için Schrems II uyum denetimi talep edebilmektedir.
Pratik Vakalar
Vaka 1 — E-Ticaret Sitesi ve AB Müşteri Verisi: Türkiye'de kurulu bir e-ticaret şirketi, AB üyesi ülkelerdeki müşterilere hizmet vermektedir. GDPR m.3/2 uyarınca şirket AB vatandaşlarına yönelik faaliyetleri nedeniyle GDPR kapsamına girmektedir. Şirket, hem GDPR hem de KVKK uyumunu sağlamak için SCC imzalamış; AB'deki müşteri verilerini AB sunucularında, Türk müşteri verilerini Türkiye'de tutarak veri yerelleştirmesini ayrıştırmıştır.
Vaka 2 — İnsan Kaynakları Yazılımı Sağlayıcısı: Türkiye merkezli bir İK yazılımı şirketi, Almanya'daki bir firmanın çalışan verilerini işlemektedir. Şirket, hem Almanya'daki işverenin GDPR yükümlülüklerini üstlenen bir veri işleyen sıfatıyla SCC modül 2'yi imzalamış hem de Türkiye'deki KVKK veri işleyici tescilini tamamlamıştır. Schrems II değerlendirmesi kapsamında sunucularında uçtan uca şifreleme uygulamıştır.
Sık Yapılan 5 Hata
- 1KVKK uyumunu GDPR uyumu saymak: KVKK'ya uyum, GDPR uyumunu otomatik olarak sağlamaz; ikisi ayrı yasal çerçeve gerektirir.
- 2SCC'siz AB'den veri almak: Yeterlilik kararı olmadığından SCC veya bağlayıcı şirket kuralları (BCR) olmaksızın AB'den Türkiye'ye aktarım GDPR ihlalidir.
- 3Eski nesil SCC kullanmak: 2001 ve 2010 tarihli eski SCC şablonları 2022'de geçerliliğini yitirmiştir; 2021 güncellemeli SCCs kullanılması zorunludur.
- 4DPO atamayı ihmal etmek: AB'de operasyon veya AB müşterisine veri işleme hizmeti söz konusuysa GDPR DPO zorunluluğu devreye girmektedir.
- 5Veri ihlali bildirim süresini kaçırmak: Hem GDPR hem de KVKK 72 saatlik bildirim yükümlülüğü öngörmektedir; ihlalden haberdar olunur olunmaz süre başlar.
Kapanış
AB GDPR ile Türkiye KVKK'sı arasındaki farklar, özellikle çok uluslu işletmeler ve AB pazarına hizmet veren Türk şirketleri için ciddi uyum gereksinimleri doğurmaktadır. Yeterlilik kararı sürecinin ilerlemesi ve KVKK'da yapılacak güncellemeler bu dengeyi değiştirebilecek olsa da şu an için SCC ve ek teknik güvenceler en güvenilir uyum yolunu oluşturmaktadır. Her iki mevzuatı da birlikte ele alabilen bir veri koruma hukuku uzmanından destek almak, yüksek ceza riskini önemli ölçüde azaltacaktır.
Teknoloji Hukuku alanında dilekçe üretmek veya içtihat aramak ister misiniz?
Hukuk Asistanı'nı Dene →Yasal Uyarı: Bu yazı yalnızca bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. İçerik Hukuk Asistanı tarafından oluşturulmuştur; aktarılan Yargıtay kararları özet niteliğindedir, resmi karar metinleri için ilgili mahkeme kayıtlarını esas alınız. Spesifik hukuki durumunuz için lütfen bir avukattan görüş alınız.
Bu konuda dilekçe oluşturmak ister misiniz?
Dilekçe üretimi, Yargıtay içtihat araması, sözleşme analizi ve KVKK uyum kontrolleri — Türk avukatlar için tasarlanmış yapay zeka platformu.