Adım Adım KVKK’dan GDPR’a Bölüm 1
KVKK ve GDPR karşılaştırması kapsamında, ilgili kişi hakları açısından öne çıkan farkları ele aldık. Veri taşınabilirliği, şeffaflık ve işleme kısıtlaması başlıklarında iki düzenlemenin nasıl farklılaştığını, Türkiye’nin AB uyum süreciyle birlikte inceledik.
İlgili Kişi Yönünden Karşılaştırma
Türkiye’de uygulanan Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği genelinde uygulanan Genel Veri Koruma Tüzüğü (GDPR), veri sahiplerinin haklarını korumayı amaçlayan iki önemli düzenlemedir. Ancak, detaylarda ortaya çıkan farklılıklar kurumlar ve bireyler için kritik sonuçlar doğurabiliyor.
Geçtiğimiz haftalarda Kişisel Verileri Koruma Kurumu’nun “Çarşamba Seminerleri” kapsamında düzenlenen etkinlikte, KVKK Uzmanı Hatice Nur Kuzu, KVKK ile GDPR arasındaki temel farkları ilgili kişiler yönünden anlattı. Bu farklar, gelecekte KVKK mevzuatında yapılabilecek olası değişiklikler için de yol gösterici niteliktedir.
Toplantı kayıtlarında özellikle üç kritik farklılık öne plana çıkmaktadır:
1. Verinin Elde Edildiği Kaynağın Bildirilmesi
KVKK kapsamında hazırlanan Aydınlatma Metinleri ve benzeri dokümanlarda, kişisel verilerin nasıl işlendiği ve kimlerle paylaşıldığı açıklanıyor. Ancak, verinin hangi kaynaktan elde edildiği belirsiz kalıyor.
GDPR, bu noktada daha şeffaf: Kurumların kişisel veriyi hangi kaynaktan topladıklarını belirtmeleri gerekiyor. Bu düzenlemenin ülkemizde de uygulanması halinde, kurumlar kişisel verilerin kaynağını açıkça paylaşmak zorunda kalacak.
2. Verinin Taşınabilirliği
GDPR’ın ilgili kişilere tanıdığı en güçlü haklarından biri “veri taşınabilirliği”dir. İlgili kişiler, kendi verilerini talep ettiklerinde, kurumların bu verileri aktarılabilir ve anlaşılır bir formatta sunması gerekmektedir.
KVKK’da henüz yer almayan bu düzenleme, gelecekte Türkiye’de de geçerli olursa; özellikle tedarikçi değişikliği gibi durumlarda verilerin kaybolması veya eksik aktarılması gibi sorunlarda ilgili kişileri koruyacak ciddi bir dayanak oluşacaktır.
3. Veri İşlenmesinin Kısıtlanması
Kritik ihlaller, sistemsel hatalar ve mevzuatın belirlediği standartlara aykırı durumlar ortaya çıktığında veri işlemenin durdurulmasını talep etme hakkını ifade etmektedir.
GDPR, bazı durumlarda veri sorumlularına veri işleme faaliyetlerini geçici olarak durdurma yükümlülüğü getiriyor. Bu düzenleme KVKK’da henüz bulunmasa da, gelecekte hayata geçirilmesi halinde veri ihlali durumlarında faaliyetlerin geçici olarak durdurulması söz konusu olabilir.
Bu madde, kurumlar için ciddi operasyonel sonuçlar doğurabileceği gibi, veri güvenliği standartlarının da yükselmesine katkı sağlayacaktır.
KVKK, GDPR’a Yaklaşıyor mu?
5 Eylül 2024 tarihli Resmi Gazete’de paylaşılan “Orta Vadeli Program” (2025 – 2027) içerisinde 2025 yılının son çeyreğinde 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) başta olmak üzere Avrupa Birliği (“AB”) müktesebatına uyum sürecinin tamamlanacağı belirtilmişti.
30 Ekim 2024 tarihli Resmi Gazete’de yayımlanan 2025 yılı Cumhurbaşkanlığı Yıllık Programı’nda (“Program”) ise, KVKK’nın GDPR ile uyumlaştırılmasına yönelik çalışmaların 2025 yılı içerisinde tamamlanmasına yönelik detaylar paylaşılmıştı.
Bugün değindiğimiz ilgili kişiye dair farklılıklar da dahil olmak üzere pek çok konuda bir takım güncellemeler bekleniyor.
KVKK ve GDPR arasındaki farkların azalması, hem kurumlar hem de bireyler açısından daha güçlü bir veri koruma ekosistemi anlamına geliyor. Türkiye’deki mevzuat, Avrupa Birliği standartlarına uyum sağladıkça, hem veri sorumlularının yükümlülükleri artacak hem de ilgili kişilerin hakları güçlenecektir.
Kaynak: https://www.youtube.com/watch?v=INmjncUdJtM
Görseller:
