KİŞİSEL VERİLERİ KORUMA KANUNU’NA UYUMLU OLUNMASI GDPR YÜKÜMLÜLÜĞÜNÜ ORTADAN KALDIRIR MI?

Genel Veri Koruma Yönetmeliği (General Data Protection Regulation); AB tarafından AB içerisindeki tüm bireylerin kişisel verilerinin korunması ve gizliliği amacıyla 25 Mayıs 2018’de yürürlüğe giren en katı gizlilik ve güvenlik düzenlemesidir. GDPR uluslararası bir boyut taşımakla, GDPR sorumluluğu yer veya ülkeyle sınırlı olmayıp Avrupa Birliği müktesebatına bağlı her ülkenin sınırları içerisinde kurulan şirketler veya bu tanımın dışında olup da AB vatandaşlarının verilerini işleyen gerçek ve tüzel kişiler GDPR düzenlemeleri kapsamındadır.

Genel Veri Koruma Yönetmeliği kapsamında AB dışında kurulu olan bir şirketin herhangi bir ödemeye dayalı olmasa dahi AB’de yaşayan bir gerçek kişiye (Data Subject) ürün ve hizmet önermesi ya da AB içindeki bir gerçek kişinin davranışlarını izlemesi o şirketin GDPR’a tabi olduğuna dair yeterli gösterge sayılmıştır. Dolayısıyla; Türkiye’de yer alan gerçek ve tüzel kişiler; AB üye ülkeleri ile ithalat ihracat ve herhangi bir ticari faaliyette bulunuyor, web sayfalarında AB’de konuşulan dillerden biri ile hizmet ve ürün öneriyor, AB vatandaşlarının bilgilerini topluyor ve onlara Avrupa’da kullanılan para birimleri ile fiyat listesi sunuyor, web sitesi üzerinden cookies (çerezlez) ile alışkanlıklarını belirliyor, profillerini çıkarıyor, IP adreslerini alıyorsa GDPR kapsamında yer almaktadırlar.

Özetle; AB üyesi ülkeler ile ihracat ve ithalat faaliyetleri yürüten, internet sitesi üzerinden çerezler ile kullanıcı bilgisi elde eden ve herhangi bir internet sitesi formu üzerinden iletişim bilgisi, kimlik bilgisi vs. alan, Türkiye’de kurulan ve işletilen fakat herhangi bir şekilde AB’de yaşayan kişilerin verilerini işleyen veri sorumlularının GDPR kapsamında gerekli tedbirleri alması elzemdir.

Bu minvalde önemle belirtmek gerekir ki; Kişisel Verileri Koruma Kanunu’na (KVKK) uyumlu halde olmuş olmanız tek başına yeterli olmayıp eğer Avrupa Birliği vatandaşlarının verisini işliyor iseniz GDPR uyum sürecini ayrı olarak ele almanız gerekmektedir. 6698 sayılı Kişisel Verileri Koruma Kanununa uyum sağlanması ile GDPR’a uyum sağlanması birbirinden tamamen farklı süreçlerdir. Türkiye’de kurulan ve faaliyet gösteren fakat bir şekilde Avrupa Birliği vatandaşlarının verilerini işleyen gerçek ve tüzel kişilerin GDPR’a ayrıca uyum sağlaması elzemdir. GDPR ve KVKK uyumluluğu bir sefere mahsus yapılması gereken bir güvenlik standardı da olmayıp şirketlerin tüm faaliyetlerini kanunlarda yer alan düzenlemelerle ve devamlılıkla uygulamaları gerekmektedir.