KVKK ve GDPR: Kişisel Veri Güvenliğini En Geniş Çerçevede Kapsayan Yasal Düzenlemeler

     Dijitalleşen dünyayla beraber, bilgi ve iletişim teknolojilerinin (BİT) giderek yaygınlaşması kişisel verilerin toplanması, depolanması, işlenmesi ve dağıtılmasını önemli ölçüde kolaylaştırmıştır. Veri işleme teknolojisindeki bu hızlı gelişim ise kamu ve özel sektörün kişisel verilere bakış açısında sürekli bir değişimi doğurmuş, veri koruması politikalarının bu doğrultuda gelişmesini sağlamıştır. Bu süreç kişisel verilerin korunması sorununun bir hukuki düzenleme alanı olarak ortaya çıkmasını doğal olarak beraberinde getirmiştir. Tam olarak bu sebepten dolayı da son zamanlarda adını sıkça duyduğumuz  “kişisel verilerin güvenliğini” baz alan ve bu sebeple her birimizi ilgilendiren kanunlar, düzenlemeler türemiştir. Böylece, son yılların en geniş kapsamlı ele alınan iki yaptırımla karşı karşıya kalıyoruz: KVKK ve GDPR

KVKK ve GDPR konusuna değinmeden önce, hem KVKK hem de GDPR’da çok sıkça geçen ve bilinmesi gereken veri kullanıma dair iki husustan bahsetmek yararlı olacaktır:

  1. Veri Sorumlusu (KVKK)/Veri Kontrolörü (GDPR): Kişisel veri işlemenin amaçlarını ve yöntemini birlikte veya tek başına belirleyen kişi, organ, ajans veya kamu kurumunu ifade etmektedir. Veri sorumluları/kontrolörleri gerçek kişiler olabildiği gibi özel ve/veya kamu kurumu tüzel kişiliğini haiz kişiler de olabilir.
  2. Veri İşleyen: Veri sorumlusu/ kontrolörü adına kişisel verileri işleyen gerçek veya tüzel kişilere “veri işleyicisi” denilmektedir. Genellikle veri sorumlusu/ kontrolörleri, zaman ve maliyet tasarrufu sağlamak amacıyla veri işlemek üzere üçüncü bir taraftan hizmet almaktadır. Bu durumda üçüncü taraf veri kontrolörünün emri üzerine hareket etmekte ancak veri işlemenin amacını kendisi belirlememekte olduğundan bu kişi söz konusu işlem bakımından veri işleyicisi kabul edilmektedir.

     Bu yazının içeriği iki bölümden oluşacak ve ilk bölümde, genel olarak Türkiye vatandaşlarını kapsayan KVKK üzerinden ilerleyecek olup son kısımda ise  GDPR ve KVKK arasındaki farklardan bahsedilecek ve konaklama sektörü (veri sorumlusu/kontrolörü) ve bu sektöre hizmet veren/ tedarik sağlayan yazılım şirketlerinin (veri işleyen) yapması gereken adımlardan bahsedilecek. Öncelikle KVKK’dan bahsetmek gerekirse :

KVKK nedir?

6698 Sayılı Kişisel Verilerin Korunması Kanunu(KVKK), kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenleme amacını taşımaktadır. Kişisel Verilerin Korunması Kanunu 24 Mart 2016 tarihinde TBMM Genel Kurulu’nda kabul edilerek 7 Nisan 2016 tarihinde ve 29677 sayılı Resmi Gazete’de yayınlanarak yürürlüğe girdi. Kişisel Verilerin Korunması Kanunu’nun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Peki kısaca GDPR nedir sorulacak olursa:

GDPR nedir?

GDPR( General Data Protection Regulation- Genel Veri Koruma  Yönetmeliği) 25 Mayıs 2018 tarihinde Avrupa Birliği sakinleri için yürürlüğe giren, bir veri güvenliği standardıdır. AB vatandaşlarının gizlilik haklarını korumak amacıyla son 20 yılda yapılan en büyük reformlardan biri olarak adlandırılan Genel Veri Koruma Yönetmeliği (GDPR), Avrupa Birliği sınırları içerisinde yaşayan herhangi birinin kişisel verilerini işleyen tüm şirketler için, şirketin nerede bulunduğu fark etmeksizin şirketlerin veriyi toplama, paylaşma ve kullanma yöntemlerini de kapsamak üzere her türlü kişisel verinin kullanımını düzenlemektedir. Eğer bir şirket Avrupa Birliği’nde yaşayan bir bireyle ilgili kişisel veriyi işlerse (kişinin AB vatandaşı olması gerekmez), yasa işletmenin nerede kurulu olduğuna bakılmaksızın geçerli olacaktır.Bu yüzdendir ki GDPR sadece Avrupa Birliği sınırları içerisinde kalmayıp Avrupa Birliği’yle herhangi bir şekilde dirsek teması kuran ve kişisel verileri işleyen bütün şirketleri/organizasyonları kapsamaktadır.

Yukarıda hem ulusal hem de uluslararası yaptırımları olan KVKK ve GDPR’dan bahsettikten sonra, temel ilkelerinin karşılaştırmasını aşağıdaki tabloda görebiliriz.

Tablo 1: Kişisel Verileri Koruma İlkeleri Bakımından 6698 sayılı Kanun ile GDPR Karşılaştırması
6698 sayılı KVKK’da Yer Alan Temel İlkeler GDPR’de Yer Alan Temel İlkeler
1-Hukuka ve dürüstlük kurallarına uygun 1- Hukuka, dürüstlük kurallarına uygun olma ve veri öznesine karşı şeffaf işleme
2-Doğru ve gerektiğinde güncel olma 2-Doğru, gerekli hallerde işleme ve güncel olma
3- Belirli, açık ve meşru amaçlar için işlenme 3-Kişisel verilerin belirli, açık ve meşru amaçlarla işlenmesi
4- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma 4- Veri işleme için gerekli olduğu kadar, ilgili ve ölçülü biçimde işleme
5- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme 5- Kişisel verinin işleme amacı için gerekli olandan daha uzun süre tutulmaması
6- Veri kontrolörünün sayılan tüm temel prensiplerden sorumlu süje olması (hesap verebilirlik prensibi)

İlk bölümde , KVKK ve GDPR’ın kısa da olsa özelliklerinden ve ne olduğundan bahsedildi. İkinci bölümde ise bizleri daha çok ilgilendiren otellerin ve konaklama sektörüne hizmet veren yazılım şirketlerinin bu kanunlara uyumu için yapması gerekenlere değineceğiz. 

Bir sonraki yazı için lütfen tıklayınız.