KVKK ve GDPR Kapsamında Kişisel Verilerin Korunması ve Siber Güvenlik Yönetimi: Benzerlikler, Farklılıklar ve Güncel Yaklaşımlar
Giriş
Dijital dönüşümün hız kazanmasıyla birlikte kişisel veriler, bireylerin temel hak ve özgürlüklerinin korunması bakımından en önemli hukuki değerlerden biri hâline gelmiştir. Elektronik ticaret, sosyal medya platformları, bulut bilişim teknolojileri ve yapay zekâ uygulamalarının yaygınlaşması, kişisel verilerin çok daha büyük hacimlerde işlenmesine neden olmuş; buna bağlı olarak veri güvenliği, siber saldırılar ve veri ihlalleri hem bireyler hem de kurumlar açısından önemli riskler doğurmuştur. Bu gelişmeler karşısında devletler, kişisel verilerin korunmasına yönelik kapsamlı yasal düzenlemeler oluşturmuştur. Avrupa Birliği tarafından kabul edilen Genel Veri Koruma Tüzüğü (General Data Protection Regulation-GDPR) ile Türkiye’de yürürlükte bulunan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) bu düzenlemelerin en önemli örneklerini oluşturmaktadır.
Günümüzde veri koruma hukuku yalnızca hukuki metinlerden ibaret olmayıp siber güvenlik yönetimi, risk analizi ve kurumsal yönetişim anlayışıyla birlikte değerlendirilmektedir.
GDPR’nin Ortaya Çıkışı ve Önemi
Avrupa Parlamentosu, uzun yıllar süren hazırlık çalışmalarının ardından 14 Nisan 2016 tarihinde GDPR’ı kabul etmiş, yapılan çevirilerin tamamlanmasını takiben Avrupa Birliği Resmî Gazetesi’nde yayımlanarak yürürlüğe girmiştir. GDPR, 25 Mayıs 2018 tarihinden itibaren uygulanmaya başlanmış ve kısa sürede yalnızca Avrupa Birliği içerisinde değil, tüm dünyada veri koruma hukukunun temel referans metni hâline gelmiştir. GDPR’ı önceki veri koruma düzenlemelerinden ayıran en önemli özellik ekstraterritoryal (ülke dışına taşan) uygulama alanına sahip olmasıdır.Buna göre yalnızca Avrupa Birliği sınırları içerisinde faaliyet gösteren işletmeler değil; Avrupa Birliği veya Avrupa Ekonomik Alanı’nda bulunan kişilere mal veya hizmet sunan ya da onların davranışlarını izleyen tüm gerçek ve tüzel kişiler GDPR hükümlerine tabi olabilmektedir.Örneğin Amerika Birleşik Devletleri merkezli bir e-ticaret şirketinin Almanya veya Fransa’da yaşayan tüketicilere ürün satması hâlinde GDPR hükümleri uygulanacaktır. Bu yönüyle GDPR, ulusal sınırları aşan küresel bir veri koruma standardı oluşturmuştur.
GDPR Kapsamında Kişisel Veri Kavramı
GDPR kişisel veriyi oldukça geniş şekilde tanımlamaktadır. Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri olarak kabul edilmektedir.Bunlar arasında;
* ad ve soyad,
* adres bilgileri,
* telefon numarası,
* elektronik posta adresi,
* IP adresi,
* konum bilgileri,
* kredi kartı bilgileri,
* ödeme kayıtları,
* alışveriş geçmişi,
* internet tarama davranışları,
* çerez (cookie) verileri,
* cihaz kimlik bilgileri
yer almaktadır.
Teknolojinin gelişmesiyle birlikte yalnızca klasik kimlik bilgileri değil, bireyin dijital ortamda bıraktığı izler de kişisel veri koruması kapsamına alınmıştır.
GDPR’ın Getirdiği Yenilikler
GDPR öncesinde Avrupa Birliği ülkelerinde veri koruma kuralları birbirinden farklı düzenlemeler içermekteydi. Bu durum özellikle uluslararası ticaret yapan şirketler açısından önemli hukuki belirsizlikler oluşturuyordu.
GDPR ile birlikte;
* veri işleme faaliyetlerinde şeffaflık,
* hesap verebilirlik ilkesi,
* veri minimizasyonu,
* risk temelli yaklaşım,
* veri güvenliğinin güçlendirilmesi,
* veri ihlali bildirim yükümlülüğü
gibi modern veri koruma ilkeleri kabul edilmiştir.Özellikle şirketlerin kişisel verileri reklam ve pazarlama amacıyla izinsiz kullanmaları, veri işleme süreçlerinin yeterince şeffaf olmaması ve siber güvenlik önlemlerinin yetersiz kalması GDPR’ın çözüm üretmeyi amaçladığı temel sorunlar arasında yer almaktadır.
GDPR Kapsamında Veri Sahiplerinin Hakları
GDPR, bireylere kişisel verileri üzerinde oldukça geniş haklar tanımaktadır.
Bunlar;
* kişisel verilere erişim hakkı,
* yanlış verilerin düzeltilmesini isteme hakkı,
* unutulma (silinme) hakkı,
* veri işlemenin sınırlandırılmasını talep etme hakkı,
* veri taşınabilirliği hakkı,
* pazarlama ve profillemeye itiraz hakkı,
* yalnızca otomatik sistemler tarafından verilen kararlara karşı itiraz hakkıdır.
Bu haklar sayesinde bireyler kendi verileri üzerinde daha etkin bir denetim yetkisine sahip olmaktadır.
GDPR’da İdari Para Cezaları
GDPR’ın en dikkat çekici yönlerinden biri caydırıcı idari yaptırımlardır.
Tüzüğe aykırılık hâlinde işletmeler;
* 20 milyon Avro’ya kadar veya
* işletmenin bir önceki mali yıldaki dünya çapındaki yıllık cirosunun %4’üne kadar
İdari para cezasıyla karşılaşabilmektedir.Bu iki tutardan hangisi daha yüksekse o uygulanmaktadır.
Bu yaptırım sistemi, veri koruma hukukunu yalnızca teorik bir düzenleme olmaktan çıkararak şirketlerin kurumsal risk yönetiminin merkezine yerleştirmiştir.
GDPR Uygulamasından Önemli Örnekler
Amazon, kişiselleştirilmiş reklam uygulamaları nedeniyle yaklaşık 746 milyon Avro idari para cezasına mahkûm edilmiştir. Bu karar, müşteri verilerinin ticari amaçlarla kullanımında şeffaflığın ne kadar önemli olduğunu göstermektedir.
British Airways, yaklaşık 500.000 müşterisinin kişisel verilerinin siber saldırı sonucu ele geçirilmesi nedeniyle yüksek miktarda para cezasıyla karşı karşıya kalmıştır. Bu olay, veri güvenliğinin yalnızca hukuki değil aynı zamanda teknik bir zorunluluk olduğunu ortaya koymuştur.
H&M ise çalışanlarının kişisel verilerini hukuka aykırı şekilde takip ettiği gerekçesiyle 35 milyon Avro para cezasına çarptırılmıştır. Bu karar, yalnızca müşteri verilerinin değil çalışan verilerinin de aynı ölçüde korunması gerektiğini göstermektedir.
KVKK ile GDPR’ın Benzer ve Farklı Yönleri
Türkiye’de kişisel verilerin korunmasına ilişkin temel düzenleme 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)‘dır. KVKK hazırlanırken büyük ölçüde Avrupa Birliği veri koruma mevzuatı esas alınmış, özellikle son yıllarda yapılan değişikliklerle birlikte GDPR’a daha da yakın bir yapı oluşturulmuştur.
Her iki düzenleme de;
* hukuka uygun veri işlenmesini,
* veri güvenliğinin sağlanmasını,
* veri minimizasyonu ilkesini,
* veri sahiplerinin bilgilendirilmesini,
* kişisel verilerin korunmasını
amaçlamaktadır.Bununla birlikte bazı önemli farklılıklar bulunmaktadır.İlk olarak GDPR, Avrupa Birliği dışında faaliyet gösteren işletmelere de uygulanabilen ekstraterritoryal bir yapıya sahiptir. KVKK ise esas itibarıyla Türkiye sınırları içerisindeki veri işleme faaliyetlerini düzenlemektedir.İkinci olarak GDPR, ihlaller bakımından çok daha yüksek idari para cezaları öngörmektedir. KVKK’da da önemli idari yaptırımlar bulunmakla birlikte GDPR kadar yüksek ekonomik yaptırımlar söz konusu değildir.Üçüncü olarak GDPR, hesap verebilirlik (accountability), veri koruma etki değerlendirmesi (DPIA), veri koruma görevlisi (DPO) gibi kurumsal mekanizmaları daha ayrıntılı biçimde düzenlemektedir. KVKK ise son değişikliklerle bu alanlarda önemli ilerlemeler kaydetmiş olsa da uygulamada GDPR kadar ayrıntılı bir sistematik oluşturmamaktadır.
KVKK, GDPR ve Siber Güvenlik Yönetimi
Günümüzde veri koruma hukukunun yalnızca hukuki belgeler hazırlamaktan ibaret olmadığı kabul edilmektedir. Özellikle son yıllarda artan fidye yazılımı saldırıları, veri sızıntıları ve kritik altyapılara yönelik siber saldırılar, veri güvenliği ile siber güvenliğin birbirinden ayrı düşünülemeyeceğini göstermiştir.
Artık kurumların;
* risk analizi yapması,
* teknik ve idari tedbirleri sürekli güncellemesi,
* çalışan farkındalığını artırması,
* veri ihlali müdahale planları oluşturması,
* uluslararası veri aktarım süreçlerini hukuka uygun şekilde yönetmesi
beklenmektedir.
Büyük ölçekli veri ihlallerinin ardından düzenleyici kurumlara yapılacak bildirimler, kriz yönetimi ve hukuki savunma süreçleri veri koruma hukukunun en önemli uygulama alanlarından biri hâline gelmiştir.Dolayısıyla modern veri koruma anlayışı; hukukçular, bilgi güvenliği uzmanları, bilişim ekipleri ve üst yönetimin birlikte hareket ettiği bütünleşik bir yönetim modelini gerekli kılmaktadır.
Sonuç
GDPR ve KVKK, bireylerin kişisel verilerinin korunmasını amaçlayan, birbirine büyük ölçüde benzeyen ancak uygulama kapsamı ve yaptırım mekanizmaları bakımından farklılık gösteren iki temel veri koruma düzenlemesidir. Özellikle GDPR’ın ekstraterritoryal uygulama alanı ve yüksek idari para cezaları, veri koruma hukukunu küresel ölçekte şirketlerin öncelikli uyum alanlarından biri hâline getirmiştir.Bununla birlikte, günümüzde yalnızca mevzuata uygun aydınlatma metinleri hazırlamak veya standart belgeler oluşturmak yeterli değildir. Etkin bir veri koruma sistemi; güçlü siber güvenlik önlemleri, sürekli risk yönetimi, düzenli denetim mekanizmaları ve hukuki uyum süreçlerinin birlikte yürütülmesini gerektirmektedir. Bu nedenle KVKK ve GDPR, yalnızca hukuki düzenlemeler olarak değil, kurumların dijital çağdaki güvenilirliğini ve sürdürülebilirliğini sağlayan stratejik yönetişim araçları olarak değerlendirilmelidir.