25 Mayıs 2018 tarihinde yürürlüğe giren Genel Veri Koruma Yönetmeliği (GDPR – General Data Protection Regulation) Avrupa Birliği’ne üye olan tüm ülkelerde geçerli ve doğrudan bağlayıcı olan, AB vatandaşlarının kişisel verilerinin korunması için usul ve esasları düzenleyen bir yönetmeliktir. GDPR 2018 yılında yürürlüğe girmiş olsa dahi GDPR’ınyürürlüğe girmesinden önce Avrupa Birliği’nde 1990’lı yıllardan itibaren veri koruma alanında yapılan çalışmalar mevcuttu. 24 Ekim 1995’te “96/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi yayınlanmıştır.
GDPR; Avrupa Birliği sınırları içerisindeki vatandaşların, yerleşik olarak Avrupa Birliği sınırları içerisinde kurulu olup olmadığına bakılmaksızın herhangi bir Avrupa Birliğivatandaşının kişisel verilerini işleyen ve Avrupa Birliği üyesi ülkelere mal ve hizmet sunan tüm kuruluşları ilgilendirmektedir.
KVKK ve GDPR temellerinde aynı amaçlara hizmet eden yasal düzenlemeler olsalar da farklı hukuk sistemlerinde doğmuş ve farklı kapsamda hükümler barındırmaktadırlar. Bu nedenle, KVKK ve GDPR arasında birçok fark söz konusu olmakla birlikte en önemli ve göze çarpan farklardan biri, yapılan ihlaller sonucu ortaya çıkan para cezalarına ilişkindir.
KVKK ve GDPR Arasındaki Temel Farklar
• KVK Kurumu tarafından yayınlanan güncel idari para cezaları arasındaki ceza üst limiti 2.678.863 TL iken; GDPR ile belirlenen yükümlülüklere uyulmaması durumunda ise ceza üst limiti söz konusu Veri Sorumlusunun yıllık cirosunun %4’ü ya da 20 milyon Euro’ya kadar olarak belirlenmiştir.
• GDPR’da, “Veri Koruma Görevlisi” tanımı yer almaktadır. Veri Koruma Görevlisi’nin görevi, Veri Sorumlusunun yasal yükümlülüklerini takip etmekle beraber ilgili kişilerin kişisel verilerinin veri güvenliği ve veri koruma kurallarına uygun bir şekilde işlenmesini sağlamaktır. KVKK’daböyle bir kavram olmamakla birlikte geçtiğimiz aylarda KVK Kurumu tarafından Veri Koruma Görevlisi sertifikasyon sınavı ile ilgili bir program yayınlanmıştır. Aynı zamanda Kurum tarafından, Veri Koruma Görevlisi tanımının GDPR’da yer alan Veri Koruma Görevlisi (“DPO”) ile aynı anlamı ifade etmediğini açıklayan bir kamuoyu duyurusu da yapılmıştır.
• KVKK’ya göre veri kayıt sisteminin oluşturulması ve yönetilmesinden sorumlu olan karar verici mekanizma “Veri Sorumlusu” olarak kabul edilir. Veri Sorumlusu gerçek veya tüzel kişiler, belli kriterleri karşılıyorsa VERBİS’e kayıt olmakla yükümlüdür. GDPR’da böyle bir Veri Sorumlusu Sicil Bilgi Sistemi yoktur.
• KVKK uyarınca idari para cezalarının muhatabı yalnızca Veri Sorumlusudur. GDPR’da ise, bir veri ihlali olması durumunda Veri İşleyen de Veri Sorumlusu gibi sorumludur ve yaptırıma maruz kalabilmektedir.
KVKK ve GDPR büyük ölçüde benzerlik göstermekte, ancak GDPR’ın ortaya koyduğu yüksek cezai yaptırımlar gibi bazı kritik farklar da bu düzenlemelere tabii olan tüm kişiler için büyük önem teşkil etmektedir.