Skip links

KVKK ve GDPR

Kişisel verinin ne olduğunun belirlenmesi, saklanmasının ve işlenmesinin
çerçevelerinin çizilmesi, haklarının korunması ve anonimlik kavramlarını kurumsal
ve hukuki boyutta düzenlemek adına devletler tarafından kurullar oluşturulmuş ve
kanunlar çıkartılmıştır. Bu kanunların ülkemizdeki örneği 6698 sayılı Kişisel
Verilerin Korunması Kanunu’dur. Aynı görevi ifa etmek amacıyla Avrupa Birliği
Parlamentosu “General Data Protection Regulation (Genel Veri Koruma Tüzüğü)”
düzenlemesini yapmıştır. Bu kanunlara göre verilerin sahibi olan gerçek kişiler ile
bu verileri toplayacak, saklayacak, işleyecek ve paylaşacak yapılar arasında
kişisel veri ve anonimlik kıstasları denetlenmekte ve gerektiğinde yaptırımlar
uygulanmaktadır.
Türkiye’de 24.03.2016 tarihinde TBMM’de onaylandıktan sonra 07.04.2016
tarihinde yayınlanan resmî gazete yer alarak yürürlülüğe giren 6698 sayılı Kişisel
Verilerin Korunması Kanunu [2], içerdiği belirsizlikler [5], uygulamadaki eksiklikler
ve kamuoyu açısından sahip olduğu bilinmezliklerden dolayı henüz istenilen
temele oturtulamadığı gibi devlet kurumlarınca da tam olarak
uygulanamamaktadır. Buna örnek olarak Türk Patent ve Marka Kurumu’nun
internet sitesindeki “Patent Sorgulama” bölümünde yürütülen sorguların
sonuçlarında kişilerin; başvuru konusu olan buluşlarının teknik bilgi, belge ve
çizimlerinin yanı sıra (buraya kadar yayınlanan bilgiler patent mevzuatı açısından
gereklidir ve KVKK kapsamında değerlendirilemez.) adı, soyadı ve adresi gibi
kişisel bilgilerinin de erişilebilir olması verilebilir.
Bunun yanında KVKK kapsamında tanımlanan “veri sorumlusu” kavramıyla
çerçevesi çizilmiş bir görev ile özel sektörde faaliyet gösteren ve kişisel veri
toplayan, saklayan ve işleyen kişilerin kayıt altına alındığı bir VERBİS sistemi de
mevcuttur. [6] Bu sistem ile kayıt altına alınan veri sorumluları; verilerin toplanma,
saklanma ve işlenme konularında kanuna uygunluğa dair birer taahhüt vermek
zorundadırlar ve kişisel verilerin korunmasına dair bir sorun yaşanma ihtimaline
(bilgi dışı toplama, haksız işleme, kötüye kullanma ve 3. kişiler ile izinsiz
paylaşma vb.) karşın muhataplar kayıt altına alınmış olur. Türkiye’de çerçevesi
genel manada bu şekilde çizilmiş bir kanuna istinaden emsal teşkil edecek
kararlar da alınmış durumdadır. Anadolu Ajansı’nın haberinde “Kişisel Verileri
Koruma Kurulu, 2017’nin Haziran ayından 2019 sonuna kadar geçen sürede veri
ihlalleri nedeniyle toplam 14 milyon 100 bin lira idari para cezası uyguladı.”
şeklinde belirtildiği gibi Kişisel Verileri Koruma Kurulu Facebook’a verilerin
korunmasının ihlâli kararı neticesinde 1 milyon 650 bin lira ceza vermiştir. [7]
Uygulaması bu gibi örneklerle kısıtlı olan KVKK, tam anlamıyla amacına ulaşmış
değildir ve Türkiye Cumhuriyeti vatandaşlarının kişisel verilerini korur hâle
gelmesi için gerekli caydırıcılığa erişememiştir.
Avrupa Birliği vatandaşlarının kişisel verilerinin korunması için düzenlenmiş ve
uygulanmakta olan GDPR ise 24.10.1995 tarihli Avrupa Parlamentosu’nun kişisel
verilerin işlenmesine ilişkin olarak bireylerin korunmasına dair 95/46/EC sayılı
direktifinin dijital dünyaya uyarlanmış hâli olarak Avrupa Konseyi tarafından
14.04.2016 tarihinde onaylanmış ve 25.05.2018 tarihinde yürürlüğe girmiştir. Bu
konuda ülkemize göre çok daha önceden düzenlemeler yapmış olan AB,
günümüzde kişisel verilerin korunması konusunda çok daha kapsamlı ve
uygulanır bir tutum göstermektedir. GDPR kapsamında Google’a uygulanan 56.6
Milyon Dolarlık, H&M’e uygulanan 41 Milyon Dolarlık, Telecom Italia’ya
uygulanan 31.5 Milyon Dolarlık, British Airways’e uygulanan 26 Milyon Dolarlık,
Marriott’a uygulanan 23.8 Milyon Dolarlık vb. boyutlardaki şirketlere benzeri
büyük miktarlarda uygulanan cezalar; caydırıcılığın boyutunu göstermektedir. [8]
Bunun etkisiyle bu büyük şirketlerin özellikle de dijital ürün ve hizmetler sağlayan
sistemlerinde, bu cezalara maruz kalmamak adına gerekli teknik düzenlemeler
ve yasal bildirimler yapılmaktadır. Örnek olarak ABD merkezli bir şirket olan The
Rocket Science Group, LLC’nin bir toplu e-posta gönderim servisi olan
Mailchimp’in paneli üzerinden elinizdeki bir e-posta listesine toplu ileti
göndermek istediğinizde; sistem bu listedeki adreslerin, sahiplerinin bilgisi
dahilinde toplanıp toplanmadığını sorgulamaktadır ve yasaya aykırılık tespit
ettiğinde gönderim imkânı vermemektedir. Ya da ziyaret ettiğiniz ve bilgilerinizi
paylaştığınız internet sitelerinde verilerinizin işlenmesine imkân veren “Cookies”
ya da “Çerezler”in ne şekilde çalıştıklarını içeren “Gizlilik Sözleşmeleri”
mevcuttur. Hatta bu gibi internet sitelerinde yapılan ihlâlleri kullanıcıların
iletmesini sağlayacak geribildirim formları da yer almaktadır.
Sonuç olarak KVKK’nın ve GDPR’ın temel olarak vurguladığı “Açık Rıza” (Explicit
Consent) kavramına riayet eden uygulamalar; kullanıcılarının bilgisi dahilinde
topladıkları kişisel verilerini yine onların bilgisi dahilinde saklama, işleme ve
paylaşmaları durumunda kanuna uygun, insancıl ve kamuoyu vicdanında sorun
yaratmayacak şekilde faaliyetlerini sürdürebilmektedirler. [9]