7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel veriler konusunda çıkarılmış ve ülke çapında herkesi, özellikle de tüm özel ve kamu tüzel kişilerini ilgilendiren ilk ve tek düzenleme olma özelliğini taşımaktadır. Ülkemizde bu konuyla ilgili olarak batı ülkelerine oranla fazla uygulama olmadığından, bu kanun özgün bir şekilde hazırlanmamış, Avrupa Birliğinin bu konudaki eski mevzuatı olan 95/46/EC Direktifi esas alınarak düzenlenmiştir. Bu sayede iç mevzuatımızın Avrupa Birliği mevzuatıyla da uyumlu hale getirilmesi amaçlanmıştır. Ancak 95/46/EC Direktifi’nden daha katı yükümlülükler ve kişisel verilere ilişkin daha sıkı bir koruma öngören Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GDPR) bu Direktifi bertaraf ederek 25 Mayıs 2018 tarihinde yürürlüğe girmesiyle, iç mevzuatla Avrupa Birliği mevzuatı arasında büyük farklılıklar meydana gelmiştir. Çok sayıda farklılık olmasına rağmen, uygulamada sıkıntı yaratabilecek en önemli farklılıklar veri işleyenin yükümlülükleri, açık rızanın tanımı, veri sicili ve veri kaydı, mevzuatların yer bakımından kapsamı, veri koruma yetkilisi atanması, ilgili kişinin kendi verilerini farklı platformlara taşıyabilme hakkı, müşterek veri sorumluluğu, veri koruma etki değerlendirmesi ve küçüklerin kişisel verilerinin işlenmesi hususlarıdır.
VERİ İŞLEYENİN SORUMLULUĞU
Veri işleyen, KVKK ve GDPR’da aynı şekilde tanımlanmış olup, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder. Veri sorumlusu ise yine her iki mevzuatta – kimi farklılıklarla olsa da – özünde, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişi” olarak tanımlanmıştır.
Hem Kişisel Verilerin Korunması Kanunu (KVKK) hem de Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında kişisel verilerin korunması hususunda asıl yükümlü veri sorumlusu olsa da KVKK, veri işleyeni veri güvenlğine ilişkin alınması gereken tedbirler dışındaki yükümlülüklerden ve kanun kapsamındaki ihlaller karşısında uygulanacak yaptırımlardan muaf tutmaktadır. GDPR kapsamında ise veri işleyen, veri sorumlusu kadar sıkı şartlara tabi olmasa da, tüzükteki tüm yükümlülüklere uymak zorunda olup, herhangi bir ihlale sebep olması halinde ihlalin derecesine göre büyük miktarlarda para cezası yaptırımına maruz kalabilmektedir. Örneğin; verilere ilişkin olarak veri sorumlusu kadar ayrıntılı kayıt tutmak zorunda olmasa da veri işleyen de -tüzükteki diğer şartları sağlaması halinde- kayıt tutma yükümlülüğü altındadır.
AÇIK RIZA
Yine her iki mevzuatta da kişisel verilerin kanuna uygun olarak işlenebilmesi için en önemli nokta kişinin bu konudaki açık rızasıdır. Ancak bu iki mevzuattaki açık rıza tanımlarını karşılaştırılacak olursa, KVKK’daki tanımın yetersiz kaldığı ve bunun uygulamada da kimi etkilerinin olacağı anlaşılmaktadır. KVKK’daki tanıma göre açık rıza, “belirli bir konuya ilişkin, bilgilendirmeye dayanan özgür irade açıklaması” iken, GDPR kapsamındaki tanıma göre açık rıza, “ belirli bir konuya ilişkin, bilgilendirmeye dayanan, ilgili kişinin verilerinin işlenmesine onay verdiğini açık ve anlaşılır bir ifadeyle veya onaylayıcı olumlu bir fiille ortaya koyduğu özgür irade açıklamasıdır.” Buradan anlaşılabileceği üzere GDPR, “açık ve anlaşılır ifade veya onaylayıcı olumlu bir fiile” ifadesiyle, ilgili kişinin açık rızayı verme konusunda aktif bir rol almasını öngörmüştür. Yani buradaki en büyük fark, açık rızanın verilmesi için gerekli irade beyanının verilme şekliyle ilgilidir. KVKK’daki tanımdan söz konusu irade beyanının aktif bir eylemle verilmesine gerektiği yorumu çıkarılamamaktadır. Bu durumda örneğin bir web sitesinde kişisel verinin kullanılmasına ilişkin onay metninin önceden kabul anlamına gelecek şekilde işaretlenmiş olarak kişiye sunulması halinde, diğer bir deyişle onayın verilmesi için kişinin aktif bir eylemde bulunmadığı (opt-out) durumlarda bu onay GDPR kapsamında açık rıza olarak değerlendirilemezken, KVKK kapsamında açık rıza olarak değerlendirilmesinin önünde herhangi bir engel bulunmamaktadır.
VERİ SORUMLUSU VE VERİ İŞLEYENİN KAYIT TUTMA YÜKÜMLÜLÜĞÜ
Üzerinde durulması gereken noktalardan bir diğeri KVKK tarafından tutulması öngörülen, veri sorumluları ve bunların işledikleri kişisel verilerle ilgili genel bilgilerin yer aldığı veri sicili ile GDPR kapsamında hem veri sorumlusu hem de veri işleyen tarafından tutulması gereken kayıtlardır. Veri sicilinde veri sorumlusundan elde edilen nispeten genel nitelikli bilgiler yer alırken, GDPR uyarınca 250 ve daha fazla çalışana sahip, düzenli olarak veri işleyen ya da düzenli olmasa dahi özel nitelikli kişisel verileri veya ceza hukuku kapsamındaki suçlara ve mahkumiyet hallerine ilişkin kişisel verileri işleyen veri sorumluları tüm kişisel veri işleme faaliyetlerini oldukça detaylı bir şekilde kayıt altına almak ve daimi olarak denetime açık halde bulundurmakla yükümlüdür. Bu yükümlülük daha ılımlı olmakla birlikte ve daha genel bilgileri kayıt altına almak suretiyle, aynı şartları taşıyan veri işleyenler için de mevcuttur.
YER BAKIMINDAN KAPSAM
KVKK’da kanunun yer bakımından kapsamı belirtilmemiştir, kişisel verileri işlenen gerçek kişilerin veya bu verileri işleyen veri sorumluları ya da veri işleyenlerin Türkiye sınırları dışında bulunması halinde KVKK’nın uygulama alanı bulup bulamayacağı belirsizdir. Bununla birlikte GDPR, dünyanın her yerinde uygulama alanı bulabilecek bir düzenlemedir, zira dünyanın neresinde olursa olsun, Avrupa Birliği’ndeki gerçek kişilere mal veya hizmet sunma faaliyeti kapsamında bunların kişisel verilerini işleyen ya da bu kişilerin Avrupa Birliği dahilindeki hareketlerini kayıt altına alan kişiler GDPR kapsamında sorumlu olacaktır.
Ayrıca kişisel verilerin nerede işlendiğine bakılmaksızın, veri sorumlusu veya veri işleyenin Avrupa Birliği’nde bir işletmesinin bulunması ve kişisel verilerin bu işletmenin faaliyetleri kapsamında işlenmesi halinde de GDPR uygulama alanı bulacaktır.
VERİ KORUMA YETKİLİSİ
KVKK’dan farklı olarak, GDPR madde 37 uyarınca yargı görevinin yürütülmesi kapsamında adliyelerde gerçekleştirilen veri işleme faaliyetleri hariç, derecesine ve niteliğine bakılmaksızın kişisel veri işleyen tüm kamu tüzel kişileri ve esas faaliyetleri hassas nitelikli verilerin geniş çapta işlenmesini ve ceza hukuku bağlamında suç ve mahkumiyet hallerine ilişkin kişisel verilerin işlenmesini içeren ya da gerçek kişilerin hareketlerinin sistematik, düzenli ve geniş çapta işlenmesini içeren özel hukuk tüzel kişileri veri koruma yetkilisi atamak zorundadır. Bu veri koruma yetkilileri, söz konusu tüzel kişinin kendi içerisinden atadığı bir çalışanı veya dışarıdan tayin ettiği bir uzman olabilir, gerçek bir kişi veya bağımsız bir tüzel kişi de olabilir. GDPR madde 39 uyarınca veri koruma yetkilisinin görevleri; veri sorumlusu veya veri işleyenin faaliyetlerinin GDPR ve kişisel verilerin korunmasına ilişkin diğer güncel Avrupa Birliği mevzuatı ve üye devletlerin kendi veri koruma düzenlemelerine uygunluğunu denetlemek ve bununla ilgili bilgilendirme ve tavsiyelerde bulunmak, veri koruma etki değerlendirmesi sürecinde tavsiyelerde bulunmak ve bu sürecin yürütülmesini denetlemek, veri sorumlusu veya veri işleyen konumundaki tüzel kişinin çalışanlarına kişisel verilerin korunması konusunda eğitim verilmesi ve farkındalık yaratılması da dahil olmak üzere tüzel kişinin kendi bünyesindeki kişisel veri koruma politikasına uygunluğu denetlemek, ilgili kişisel veri koruma kurumlarıyla tüzel kişi arasında köprü görevi görerek, bağlantı ve iletişim noktası olarak hareket etmektir.
KİŞİSEL VERİ SAHİBİNİN VERİ TAŞIMA HAKKI
İlgili kişinin işlenmekte olan kişisel verilerine erişerek bu verileri bir üçüncü kişiye aktarabilme imkanı GDPR’da ilgili kişinin hakları arasında sayılmaktayken, KVKK ilgili kişiye böyle bir hak tanımamaktadır.
GDPR madde 20 ve Tüzük’teki ilgili diğer hükümler uyarınca gerçek kişiler, veri sorumlusu tarafından kişisel verilerini istedikleri zaman kolay erişilebilir, okunabilir ve farklı sistemlerle birlikte çalışabilen bir formatta alarak bir başka veri sorumlusuna serbestçe aktarabilecek ve hatta teknik koşulların elverişli olması halinde, bu verilerin bir veri sorumlusundan diğerine doğrudan aktarılmasını talep edebilecektir. Uygulamada buna örnek olarak bir iletişim operatörüyle ilişiğini kesip diğerine geçmek isteyen bir kullanıcının eski operatöründe kullandığı telefon numarasını yeni operatörüne aktararak kullanmaya devam edebilmesi gösterilebilir.
Bu hak yalnızca ilgili kişilerin açık rızalarına dayanarak veya veri sorumlusu ile yaptıkları sözleşmenin ifası için gerekli olması sebebiyle işlenmek üzere ilgili kişi tarafından veri sorumlusuna sağlanan ve otomatik sistemler vasıtasıyla işlenen kişisel veriler üzerinde kullanılabilecektir. Diğer bir deyişle, kişisel verilerin veri sorumlusu tarafından kamu görevini icra etmek veya kanuni yükümlülüklerini yerine getirebilmek için zorunlu olarak işlenmesi halinde bu hak uygulama alanı bulmayacaktır.
İlgili kişilerin kendi kişisel verileri üzerindeki kontrolünü güçlendirmek için getirilen bu hüküm ile ayrıca, tüzüğün uygulamada küçük çaplı işletmeler ve pazara yeni giriş yapacak olan şirketler aleyhine sonuç doğurması engellenmek istenmiş ve bunların ticari hayattaki rekabet ortamına etkin bir şekilde katılmasının sağlanması amaçlanmıştır. Zira veriler dijital ekonominin ana üretim faktörü olduğundan, birçok şirket olabildiğince fazla veri toplamak ve bunları işleyebilmek için birbiriyle yarışmaktadır ancak; dijital platformlar ve platform sağlayıcılar genellikle sistemlerini tamamen kapalı tutmakta ve rakip şirketlerin erişimi bir yana dursun, işledikleri kişisel verileri ilgili kişinin kendisinin dahi erişemeyeceği şekilde kayıt altına almaktadırlar.
VERİ KORUMA ETKİ DEĞERLENDİRMESİ
KVKK’da yer almayıp GDPR’da buna ilişkin uzunca bir madde düzenlenen (madde 35) veri koruma etki değerlendirmesi, kişisel verilerin işlenmesinde kullanılmak istenen yeni bir veri işleme teknolojisinin veya kişisel verilerin işlenmesinin niteliği, kapsamı, içeriği ve amacının, verileri işlenen gerçek kişilerin hak ve özgürlüklerini ihlal etme riskinin yüksek olduğu durumlarda, veri işlemeye başlamadan önce veri sorumlusunun, bu işlemin söz konusu veri üzerinde meydana getirebileceği etkiye ilişkin yapacağı bir değerlendirme raporudur. Veri koruma yetkilisinin bulunduğu yerlerde veri sorumlusu bu raporu hazırlarken veri koruma yetkilisinin tavsiyelerini dinlemekle yükümlüdür. Veri sorumlusu ayrıca, değerlendirmeye konu veri işleme faaliyeti ile ilgili olarak, duruma uygun olduğu ölçüde ilgili kişilerin veya bunların temsilcilerinin görüşlerini de almak durumundadır.
MÜŞTEREK VERİ SORUMLULUĞU
KVKK veri sorumlusunu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, … gerçek veya tüzel kişi” olarak tanımlamaktadır. Burada kanunun lafzına bakılacak olursa veri sorumlusu, hem amaçları hem de vasıtaları belirleyen ve bunları belirlerken tek başına hareket eden kişi olarak anlaşılmaktadır. “Tanımlar” başlıklı GDPR madde 4 kapsamında ise veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını tek başına veya diğer kişilerle müştereken belirleyen, … gerçek veya tüzel kişi” olarak tanımlanmaktadır. Bu maddeye ek olarak, GDPR madde 26’da müşterek veri sorumluluğu ayrıca düzenlenmiştir. Madde 26 uyarınca müşterek veri sorumluluğu, aynı veri işlemenin amaç ve vasıtalarının belirlenmesinde birden fazla kişinin rol aldığı hallerde söz konusu olmaktadır.
Söz konusu maddeye göre, kişisel veri işlenmesine ilişkin amaç ve vasıtaların belirlenmesine, her biri kendi başına veri sorumlusu olabilme şartlarını haiz, birden fazla kişinin katılması halinde bunlar, müşterek veri sorumluları olarak GDPR’de öngörülen veri koruma yükümlülüklerinin yerine getirilmesinden müştereken sorumlu olurlar. Bu kişilerin amaç ve vasıtaların belirlenmesinde işbirliği içerisinde, birlikte karar almaları, müşterek veri sorumlusu olduklarının varsayılabilmesi için yeterlidir, amaç ve vasıtaların belirlenmesinde eşit rollere sahip olmaları beklenmez.
Müşterek veri sorumlularının aydınlatma ve bilgilendirme sorumluluğu başta olmak üzere, tüm bu yükümlülüklerin kendi aralarında paylaşımını öngören şeffaf bir sorumluluğun paylaşımı anlaşması yapmaları ve bu anlaşmayı internet sitelerinde duyurarak veya uygun diğer yollarla ilgili kişilerin buna erişimini sağlamaları gerekmektedir. Ancak bu anlaşma yalnızca veri sorumlularının kendi aralarındaki iç ilişkide önem arz etmektedir, zira 26. maddenin 3. fıkrasında, veri sorumlularının aralarında yaptığı bu anlaşmayı dikkate almaksızın ilgili kişilerin, haklarını her bir veri sorumlusuna karşı kullanabilecekleri, diğer bir deyişle müteselsil sorumluluk öngörülmüştür.
KÜÇÜKLERE ÖZEL KORUYUCU HÜKÜMLER
Yine KVKK’da hiç yer almayıp GDPR’da ayrı bir maddede (madde 8) yer bulan küçüklere özel koruyucu hükümler, küçüklerle ilgili kişisel verilerin hukuka uygun olarak işlenmesini kimi özel şartlara tabi tutmaktadır. Kişisel verilerinin işlenmesi, bunun yaratacağı riskler, sonuçlar ve alınması gereken önlemler gibi hususların önemini küçüklerin gerektiği gibi tam olarak algılaması beklenemeyeceğinden, GDPR uyarınca, bilgi toplumu hizmetleri çerçevesinde, küçüklerin kendi kişisel verilerinin işlenmesine açık rıza verebilmeleri için minimum 16 yaşını doldurmuş olmaları gerekmektedir. Bu yaşın altındaki küçüklerle ilgili kişisel verilerin işlenmesi ise yasal temsilcilerinin iznine tabi olacaktır. Bununla birlikte GDPR’da Avrupa Birliği üye devletlerinin bu 16 yaş sınırını kendi özel kanuni düzenlemeleriyle 13 yaşa kadar çekebilmelerine de olanak tanınmıştır.
Bu konuyu düzenleyen GDPR madde 8 fıkra 3 uyarınca veri sorumlusu, 16 yaşını doldurmamış küçüklerin kişisel verilerinin işlenmesi için verilen rızanın, küçüğün yasal temsilcisi tarafından verilip verilmediğini anlamak için, kullanılan teknoloji dikkate alınarak, makul çabayı göstermekle yükümlüdür. Bununla birlikte söz konusu madde, ancak ve ancak kişisel verilerin işlenmesine dayanak olan hizmetin doğrudan doğruya küçükleri hedef alması halinde uygulama alanı bulacaktır.
Örneğin, internette okul çağındaki çocuklara özel olarak hazırlanmış, eğitim amaçlı bilgiler veren bir sitenin, siteden faydalanan kullanıcıların kişisel verilerini işleyebilmesi için, GDPR madde 8’de öngörülen koşullara uygun hareket etmesi gerekmektedir, zira içeriğinden anlaşılacağı üzere söz konusu site, hedef kullanıcı kitlesi olarak doğrudan doğruya çocuklara yönelik bir platformdur.
Bu maddenin yanında, GDPR ayrıca Avrupa Birliği üye ülkerindeki ulusal veri koruma otoritelerine çocuklarla ilgili kişisel verilerin işlenmesi durumlarında daha dikkatli ve ayrıntılı denetim yapma görevi öngörmektedir.