top of page
Ara

Şirketlerin KVKK ve GDPR Uyum Yükümlülükleri

  • Yazarın fotoğrafı: Av.Arb.Merve Hilal YILDIRIM ÇIRKAN
    Av.Arb.Merve Hilal YILDIRIM ÇIRKAN
  • 7 Kas 2024
  • 4 dakikada okunur

Günümüzde veri güvenliği ve kişisel verilerin korunması, hem şirketler için hem de bireyler için giderek daha önemli bir konu haline gelmiştir. Özellikle dijitalleşmenin hızla arttığı ve verinin en değerli kaynaklardan biri olarak kabul edildiği bu dönemde, şirketlerin kişisel verilerin korunması konusunda yasal düzenlemelere uyum göstermeleri büyük bir önem taşımaktadır. Türkiye'de Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği'nde ise Genel Veri Koruma Tüzüğü (GDPR), bu uyum yükümlülüklerini belirleyen iki önemli mevzuattır. Her iki düzenleme de kişisel verilerin işlenmesi, saklanması ve korunması ile ilgili kapsamlı kurallar getirmiştir.

1. KVKK (Kişisel Verilerin Korunması Kanunu)

Türkiye'deki kişisel verilerin korunmasını düzenleyen en önemli yasal düzenleme, 7 Nisan 2016 tarihinde kabul edilen Kişisel Verilerin Korunması Kanunu (KVKK)’dur. KVKK, kişisel verilerin işlenmesinin düzenlenmesinin yanı sıra, bireylerin temel hak ve özgürlüklerini de güvence altına almaktadır. KVKK’nın amacı, kişisel verilerin hukuka uygun bir şekilde işlenmesini sağlamak, bireylerin gizliliğini korumak ve şirketlerin bu verileri işlerken karşılaşabileceği riskleri yönetmelerine yardımcı olmaktır.

a. KVKK'nın Temel İlkeleri

KVKK, kişisel verilerin işlenmesi için bazı temel ilkelere dayanmaktadır. Bu ilkeler şunlardır:

  • Hukuka ve Dürüstlük Kuralına Uygunluk: Kişisel veriler, her zaman hukuka uygun ve dürüstlük kurallarına göre işlenmelidir.

  • Doğruluk ve Güncellik: Kişisel veriler doğru ve gerektiğinde güncel olmalıdır.

  • Belirli, Açık ve Meşru Amaçlarla İşlenme: Veriler, belirli ve açık amaçlar için işlenmeli, bu amaçların dışında kullanılmamalıdır.

  • Veri Minimizasyonu: Yalnızca gerekli olan kişisel veriler toplanmalı ve işlenmelidir.

  • Veri Güvenliği: Kişisel veriler, güvenli bir şekilde saklanmalı ve korunmalıdır.

  • İlgili Kişinin Haklarının Korunması: Kişisel verilerin işlenmesi, ilgili kişilerin haklarının korunması için düzenlenmelidir.

b. KVKK'ya Uyum Yükümlülükleri

KVKK'ya uyum yükümlülükleri, her şirketin veri işleme faaliyetlerini denetlemeyi ve yönetmeyi gerektiren bir dizi adımı içerir:

  • Veri Sorumlusu Atama: Şirketler, kişisel verileri işleyen ve bu verilerin korunmasından sorumlu olan bir veri sorumlusu atamalıdır.

  • Aydınlatma Yükümlülüğü: Veri sahiplerine, kişisel verilerinin nasıl işlendiği konusunda açık ve anlaşılır bir şekilde bilgi verilmelidir.

  • Veri İşleme Sözleşmeleri: Kişisel verilerin işlendiği her durumda, veri işleyen ve veri sorumlusu arasında yazılı bir sözleşme yapılmalıdır.

  • Veri İhlali Bildirimi: Kişisel veri ihlali durumunda, 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildirimde bulunulmalıdır.

  • Veri Güvenliği: Şirketler, kişisel verilerin güvenliğini sağlamak için gerekli teknik ve idari tedbirleri almak zorundadır.

  • Veri Sahibinin Hakları: Kişisel veri sahiplerine, verilerinin işlenmesiyle ilgili olarak başvurabilecekleri haklar sunulmalıdır (örneğin, veriye erişim, düzeltme, silme hakkı).

2. GDPR (Genel Veri Koruma Tüzüğü)

Avrupa Birliği'nin kişisel verilerin korunmasını düzenleyen ana mevzuatı Genel Veri Koruma Tüzüğü (GDPR)'dür. 25 Mayıs 2018 tarihinde yürürlüğe giren bu tüzük, Avrupa Birliği ülkeleriyle sınırlı kalmayıp, AB dışındaki ülkelerde de faaliyet gösteren şirketleri etkilemektedir. GDPR, kişisel verilerin korunmasına yönelik daha kapsamlı ve katı bir yaklaşım benimsemekte olup, özellikle veri sahiplerinin haklarını güçlendirmeyi hedefler.

a. GDPR'nın Temel İlkeleri

GDPR, kişisel verilerin işlenmesinde aşağıdaki temel ilkelere dayanmaktadır:

  • Hukuka Uygunluk, Şeffaflık ve Hesap Verebilirlik: Kişisel veriler, yasal dayanaklarla işlenmeli ve bu işleme süreci şeffaf olmalıdır.

  • Veri Minimizasyonu: Yalnızca işleme amacına uygun veriler toplanmalı ve işlenmelidir.

  • Veri Doğruluğu: Kişisel veriler doğru ve güncel olmalıdır.

  • Veri Saklama Süresi: Kişisel veriler yalnızca gerekli olan süre boyunca saklanabilir.

  • Veri Güvenliği: Kişisel veriler, yetkisiz erişim ve diğer güvenlik ihlallerine karşı korunmalıdır.

b. GDPR'ye Uyum Yükümlülükleri

GDPR, şirketlere belirli yükümlülükler getirmektedir. Bu yükümlülükler, şirketlerin veri işleme süreçlerini düzenlemelerini ve denetlemelerini gerektirir:

  • Veri İşleme İzni: Veri sahiplerinden açık rıza almak, GDPR'nin temel gerekliliklerinden biridir. Veri sahipleri, kişisel verilerinin işlenmesine açıkça onay vermelidir.

  • Veri Koruma Etkileri Değerlendirmesi (DPIA): Şirketler, belirli veri işleme faaliyetleri öncesinde veri koruma etkilerini değerlendirmelidir.

  • Veri Sorumlusu ve Veri İşleyici Tanımı: GDPR, şirketlerin "veri sorumlusu" ve "veri işleyici" rollerini net bir şekilde tanımlar. Bu tanımlar, şirketlerin veri işleme süreçlerini uygun şekilde yönetmesini sağlar.

  • Veri Sahibinin Hakları: GDPR, veri sahiplerine birçok hak tanır. Bunlar arasında erişim hakkı, düzeltme hakkı, silme hakkı ("unutulma hakkı"), işleme sınırlama hakkı, veri taşınabilirliği hakkı ve itiraz etme hakkı yer alır.

  • Veri İhlali Bildirimi: GDPR, veri ihlali durumunda 72 saat içinde yetkili otoritelere bildirimde bulunulmasını zorunlu kılar.

  • Veri Koruma Görevlisi (DPO) Atama: Verilerin yoğun şekilde işlendiği durumlarda, bir veri koruma görevlisi (DPO) atanması gerekebilir.

c. GDPR'nin Küresel Etkisi

GDPR, yalnızca AB üye ülkelerinde geçerli olmakla kalmayıp, AB vatandaşlarının verilerini işleyen tüm şirketleri de kapsamaktadır. Bu, AB dışında bulunan şirketlerin bile, AB'deki müşterileriyle etkileşime girdikleri takdirde GDPR'ye uyması gerektiği anlamına gelir.

3. KVKK ve GDPR Arasındaki Benzerlikler ve Farklar

KVKK ve GDPR, temelde kişisel verilerin korunması amacına hizmet etseler de, bazı farklar bulunmaktadır. Bu farkları şu şekilde özetlemek mümkündür:

Benzerlikler:

  • Her iki düzenleme de kişisel verilerin korunmasını amaçlar ve bu verilerin hukuka uygun şekilde işlenmesi gerektiğini belirtir.

  • Veri güvenliği konusunda kapsamlı önlemler alınmasını zorunlu kılar.

  • Her ikisi de veri sahiplerinin haklarını güçlendirir ve şeffaflık ilkesini benimser.

  • Her iki düzenleme de, veri ihlali durumunda bildirim yapmayı zorunlu tutar.

Farklar:

  • Kapsam: GDPR, AB dışında faaliyet gösteren tüm şirketleri kapsarken, KVKK yalnızca Türkiye sınırları içinde faaliyet gösteren şirketler için geçerlidir.

  • Veri Koruma Görevlisi (DPO): GDPR, belirli koşullar altında bir DPO atanmasını zorunlu kılarken, KVKK'da böyle bir zorunluluk bulunmamaktadır.

  • Cezalar: GDPR, ihlaller için çok daha ağır cezalar öngörmektedir. Cezalar, şirketin yıllık gelirinin %4'üne kadar çıkabilir. KVKK'da ise cezalar genellikle daha düşük düzeyde kalmaktadır.

4. Sonuç

Şirketler, KVKK ve GDPR’ye uyum sağlamak için kapsamlı bir veri koruma stratejisi geliştirmelidir. Bu strateji, yasal yükümlülüklerin yerine getirilmesinin yanı sıra, müşteri güven

Comments

​İletişim

0541 788 14 78

Gökmeydan Mahallesi Nilgün Sokak No:120/1 Aydoğanlar İş Merkezi K:1 D:6, 26020 Odunpazarı/Eskişehir, Turkey

  • Google Places
  • LinkedIn

©2025

bottom of page