doxagon logo slogan
Giriş Yap
Üye Ol
gdpr-kvkk

Genel Hatlarıyla GDPR ve KVKK Nedir? Farkları, Benzer Noktaları Nelerdir? (2023)

 

 

Genel Veri Koruma Yönetmeliği (GDPR) ve Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin korunması alanındaki en önemli düzenlemelerden ikisidir. Her iki düzenleme de kişilerin temel hak ve özgürlüklerini korumayı, özellikle de mahremiyet hakkını korumayı amaçlamaktadır.

 

 

GDPR, Avrupa Birliği’nde ikamet eden kişilerin kişisel verilerinin korunmasını sağlamak için 2018 yılında yürürlüğe giren bir yönetmeliktir. KVKK ise Türkiye’de 2016 yılında yürürlüğe giren bir kanundur.


Her iki düzenleme de kişisel verilerin işlenmesi için geçerlidir. Ancak, GDPR’ın kapsamı KVKK’dan daha geniştir. Örneğin, GDPR fiziksel ve dijital ortamda toplanan tüm kişisel verileri kapsarken, KVKK yalnızca dijital ortamda toplanan kişisel verileri kapsamaktadır.


İşte bu sebep ile, GDPR ve KVKK’nın ne olduğunu ve işletmeniz için neden bu kadar kritik olduğunu ayrıntılı bir şekilde inceleyeceğiz.

Öncelikle, Kişisel Veri Nedir?

Kişisel veri, kimliği belirli veya belirlenebilir bir kişiye ilişkin olan her türlü bilgidir. Kişisel veriler, bireylerin kimliklerini, iletişim bilgilerini, finansal bilgilerini ve sağlık bilgilerini içerebilir.

Kişisel Verilerin Toplanması ve İşlenmesi

Kişisel veriler, ancak hukuka uygun olarak toplanabilir ve işlenebilir. Kişisel verilerin toplanmasının ve işlenmesinin hukuka uygunluğu, aşağıdaki unsurlara dayanır:


  • Rıza: Kişisel veriler, ilgili kişinin açık rızasını alarak toplanabilir ve işlenebilir.

  • Hukuki bir yükümlülük: Kişisel veriler, bir hukuki yükümlülük gereğince toplanabilir ve işlenebilir.

  • Kişisel verilerin korunması için bir meşru menfaat: Kişisel veriler, veri sorumlusunun veya üçüncü bir kişinin meşru menfaatleri için gerekli olması durumunda toplanabilir ve işlenebilir.

Veri İşleme Amaçları

Kişisel verilerin işlenmesinin amacı, kişisel verilerin toplandığı anda açıkça belirtilmelidir. Kişisel veriler, yalnızca işlendikleri amaç için kullanılmalıdır.

 

 

Veri Saklama Süreleri

 

Kişisel veriler, işlendikleri amaç için gerekli olan süre boyunca saklanmalıdır. Kişisel verilerin saklama süresi, ilgili kişinin talebi üzerine, veri sorumlusu tarafından kısaltılabilir veya kaldırılabilir.

Veri Güvenliği ve Gizliliği

Kişisel veriler, yetkisiz erişim, kullanım, ifşa, değişiklik veya imhadan korunmalıdır. Veri sorumluları, kişisel verilerin güvenliğini sağlamak için uygun teknik ve idari güvenlik önlemlerini almalıdır.

Genel Veri Koruma Yönetmeliği, Yani GDPR Nedir?

Günümüzün dijital dünyasında, veri gizliliği ve güvenliği giderek daha fazla önem kazanmaktadır. Özellikle işletmeler için, müşteri verilerini korumak ve uygun bir şekilde işlemek, başarının anahtarı haline gelmiştir. Avrupa Birliği tarafından 2018 yılında yürürlüğe giren Genel Veri Koruma Tüzüğü (GDPR), işletmeler için büyük bir dönüm noktasıdır.

 

 

GDPR, Avrupa Birliği (AB) ve Avrupa Ekonomik Alanı (AEA) içindeki tüm bireyler için veri koruma ve gizlilik ile ilgili AB mevzuatı olan Genel Veri Koruma Yönetmeliği anlamına gelir. GDPR, bireylere kişisel verilerinin kontrolünü geri vermeyi ve AB içindeki düzenlemeyi basitleştirmeyi amaçlamaktadır.

 

 

GDPR, AB’de bulunan bireylerin kişisel verilerini işleyen tüm kuruluşlara, kuruluşun bulunduğu yere bakılmaksızın uygulanır. Ayrıca, AB dışında bulunan bireylerin kişisel verilerini işleyen kuruluşlara, AB sakinlerine mal veya hizmet sundukları veya AB sakinlerinin davranışlarını izledikleri takdirde uygulanır.

GDPR Uyumluluğunun Önemi

GDPR uyumluluğu, işletmeler için bir dizi nedenden dolayı önemlidir:


  • Bireylerin mahremiyetini korumak

  • Para cezaları ve diğer yaptırımlardan kaçınmak.

  • Müşteriler ve ortaklarla güven oluşturmak.

  • Veri işleme verimliliğini artırmak.

  • Diğer yasalara ve düzenlemelere uyum sağlamak

GDPR’nin Temel Hükümleri

GDPR, kuruluşların uyması gereken bir dizi temel hüküm içerir:

 

 

  • Bireylerden kişisel verilerini toplamadan veya işlemeden önce açık rıza almak
  • Bu, kuruluşların, kişisel verilerini toplamadan veya işlemeden önce bireylerden açık ve bilgilendirilmiş rıza almaları gerektiği anlamına gelir.

  • Bireylere kişisel verilerine erişme ve silme haklarını vermek
  • Bireyler, kuruluşlar tarafından tutulan kişisel verilerine erişme ve artık gerekli olmadığı takdirde silinmesini talep etme hakkına sahiptir.

  • Kişisel verilerin işlenmesini gerekli olana sınırlandırmak
  • Kuruluşların, yalnızca işlendikleri amaç için gerekli olan kişisel verileri toplama ve işleme hakları vardır.

  • Kişisel verileri korumak için uygun teknik ve idari güvenlik önlemlerini uygulamak
  • Kuruluşların, kişisel verileri yetkisiz erişim, kullanım, ifşa, değişiklik veya imhadan korumak için uygun teknik ve idari güvenlik önlemleri uygulama hakları vardır.

  • Kişisel veri ihlallerini gecikmeksizin bireylere bildirmek
  • Kuruluşların, veri ihlali, bireyin hak ve özgürlüklerine yüksek risk oluşturması muhtemel ise, gecikmeksizin bireylere veri ihlallerini bildirmeleri gerekir.

Peki GDPR Tam Olarak Ne İşe Yarar?

Bireylerin mahremiyetini korumak: GDPR, bireylere kişisel verilerinin kontrolünü geri verir ve kişisel verilerinin nasıl kullanıldığını bilme haklarını verir. GDPR ile uyumlu olmak, işletmelerin bireylerin mahremiyetini koruyabilmesine ve müşterileriyle güven inşa edebilmesine yardımcı olur.



Para cezaları ve diğer yaptırımlardan kaçınmak: GDPR, ihlalleri için önemli para cezaları uygular, bu da işletmeler için büyük bir mali risk olabilir. GDPR ile uyumlu olmak, işletmelerin bu para cezalarından ve diğer yaptırımlardan kaçınmasına yardımcı olur.

 

 

Müşteriler ve ortaklarla güven inşa etmek: Müşteriler ve ortaklar, giderek daha fazla veri mahremiyetinden endişe duymaktadır. GDPR ile uyumlu olmak, işletmelerin müşterilerine ve ortaklarına verilerinin korunmasına adanmış olduklarını gösterebilir.

 

 

Veri işleme verimliliğini artırmak: GDPR, işletmelerin kişisel verileri korumak için uygun teknik ve idari güvenlik önlemleri uygulamasını gerektirir. Bu, işletmelerin veri ihlalleri ve diğer olayların riskini azaltarak veri işleme verimliliğini artırmalarına yardımcı olabilir.

 

 

Diğer yasalara ve düzenlemelere uyum sağlamak: GDPR, California Tüketici Gizlilik Yasası (CCPA) ve Brezilya Genel Veri Koruma Yasası (LGPD) gibi dünyanın diğer veri koruma yasalarıyla uyumludur. GDPR ile uyumlu olmak, işletmelerin bu diğer yasalara ve düzenlemelere de uymalarına yardımcı olabilir.

 

 

İşlemlerinizde GDPR uyumluluğunu sağlamak için bazı ek ipuçları:

 

 

  • Veri koruma sorumlusu (DPO) atayın
  • GDPR, 250’den fazla çalışanı olan kuruluşlara bir DPO atamayı zorunlu kılar. DPO, kuruluşun GDPR ile uyumlu olmasını sağlamaktan sorumludur.

  • Veri koruma etki değerlendirmesi (DPIA) yapın
  • DPIA, bir veri işleme faaliyetinin bireylerin hak ve özgürlüklerine etkisini değerlendirme sürecidir. GDPR, belirli türde veri işleme faaliyetleri için bir DPIA yapılmasını gerektirir. Veri işleme faaliyetlerinizin kayıtlarını tutun. GDPR, kuruluşların veri işleme faaliyetlerinin kayıtlarını tutmasını gerektirir. Bu kayıtlar, veri işleme amacını, işlenen kişisel veri kategorilerini, kişisel veri alıcılarını ve kişisel verileri korumak için uygulanan güvenlik önlemlerini belgelemelidir.

  • Çalışanlarınıza veri koruma konusunda eğitim verin
  • GDPR ve uyumluluğuna ilişkin çalışanlarınızı eğitmek önemlidir. Bu eğitim, kuruluşun veri işleme faaliyetlerini, bireylerin haklarını ve kişisel verileri korumak için uygulanan güvenlik önlemlerini içermelidir.

Bu ipuçları ile işletmeler, GDPR uyumluluğunu sağlayabilir ve bireylerin mahremiyetini koruyabilir.

 

GDPR’nin Yaptırımlarına Dair Yakın Tarihli Örnekler

GDPR, her AB üye ülkesinde veri koruma otoriteleri (DPA’lar) tarafından uygulanır. DPA’lar, GDPR’nin ihlalleri için 20 milyon € veya küresel yıllık cirodan 4%’e kadar para cezası uygulayabilir.

AB ve ABD’den Canlı Örnekler

İşte GDPR’nin AB ve ABD’de nasıl uygulandığına dair bazı canlı örnekler:

 

2021 yılında Google, Fransa veri koruma otoritesi tarafından GDPR’yi ihlal ettiği için kullanıcılara verilerinin nasıl kullanıldığı hakkında tam olarak bilgi vermedikleri için 57 milyon € para cezasına çarptırıldı.


  • 2022 yılında Facebook, İrlanda veri koruma otoritesi tarafından GDPR’yi ihlal ettiği için Cambridge Analytica siyasi danışmanlık firması tarafından kişisel verilerinin kötüye kullanılmasına engel olmadıkları için 225 milyon € para cezasına çarptırıldı.

  • ABD’de, Federal Ticaret Komisyonu (FTC), TikTok’a 700.000 dolar ve WhatsApp’a 800.000 dolar para cezası olmak üzere, GDPR’yi ihlal eden şirketlere bir dizi icraat başlattı.

Kişisel Verilerin Korunması Kanunu, KVKK Nedir?

Kişisel Verilerin Korunması Kanunu (KVKK), 2016 yılında Türkiye’de yürürlüğe giren bir kanundur. Bu kanun, kişisel verilerin korunmasını sağlamak ve kişilerin temel hak ve özgürlüklerini korumayı amaçlamaktadır.

 

KVKK’ya göre kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”dir. Bu kapsamda, kişinin adı, soyadı, adresi, telefon numarası, e-posta adresi, doğum tarihi, fotoğrafı, kimlik numarası, banka hesap bilgileri, sağlık bilgileri, cinsel yönelimi, siyasi görüşü gibi bilgiler kişisel veri olarak kabul edilmektedir.

 

Peki KVKK Neden Önemlidir?

Kişisel veriler, bireylerin kimliklerini, iletişim bilgilerini, finansal bilgilerini ve sağlık bilgilerini içeren bilgilerdir. Bu bilgiler, bireylerin kimliklerinin çalınması, dolandırıcılık yapılması, kara para aklama ve ayrımcılık yapılması gibi risklere maruz kalmalarına neden olabilir.

 

KVKK, kişisel verilerin korunmasını ve bireylerin mahremiyetini sağlamaya yönelik önemli adımlardır. Bu yasalara uymak, işletmelerin hukuki risklerden korunmasına, müşterilerinin güvenini kazanmasına ve rekabet avantajı elde etmesine yardımcı olabilir.

Türkiye’nin KVKK Mevzuatı

Türkiye, GDPR’ye dayanan Kişisel Verilerin Korunması Kanunu (KVKK) adlı kendi veri koruma yasasına sahiptir. KVKK, Türkiye’de bulunan bireylerin kişisel verilerini işleyen tüm kuruluşlara, kuruluşun bulunduğu yere bakılmaksızın uygulanır.

 

KVKK, GDPR’nin birçok hükmünü içermektedir, örneğin, bireylerden kişisel verilerini toplamadan veya işlemeden önce açık rıza alma, bireylerin kişisel verilerine erişme ve silme hakkı ve kişisel verileri korumak için teknik ve idari güvenlik önlemleri uygulama yükümlülüğü gibi.

 

Ancak, KVKK ile GDPR arasında bazı farklılıklar da vardır. Örneğin, KVKK, kuruluşlara veri koruma sorumlusu (DPO) atamayı zorunlu tutmamaktadır. Ek olarak, KVKK, belirli sınırlı durumlarda, örneğin bir sözleşmenin ifası için veya yasal bir yükümlülüğün yerine getirilmesi için gerekli olduğunda, kuruluşlara bireylerin izni olmadan kişisel veri işleme imkanı vermektedir.

GDPR ve KVKK Arasındaki İlişki

GDPR ve KVKK, kişisel verilerin korunmasına yönelik temel ilkeleri paylaşmaktadır. Ancak, her iki yasada da bazı farklılıklar bulunmaktadır.

 

GDPR, AB’de yaşayan bireylerin kişisel verilerinin korunması için uygulanan bir yasadır. KVKK ise Türkiye’de yaşayan bireylerin kişisel verilerinin korunması için uygulanan bir yasadır.

 

GDPR, KVKK’dan daha kapsamlı bir yasadır. GDPR, kişisel verilerin toplanması, işlenmesi, saklanması ve aktarılması için daha sıkı düzenlemeler getirmektedir.

KVKK’nin temel ilkeleri şunlardır:

Hukuka uygunluk, şeffaflık ve amaçla sınırlılık ilkesi

Kişisel veriler, hukuka uygun olarak ve bireylerin açık rızasını alarak işlenmelidir. Kişisel veriler, yalnızca işlendikleri amacın gerektirdiği ölçüde işlenmelidir.

Doğruluk ve güncellik ilkesi

Kişisel veriler, doğru ve güncel olmalıdır. Kişisel verilerdeki değişiklikler, derhal güncellenmelidir.

Sınırlılık ilkesi

Kişisel veriler, işlendikleri amaç için gerekli olan ölçüde toplanmalı ve işlenmelidir.

İlgililik ve ölçülülük ilkesi

Kişisel veriler, işlendikleri amaç için gerekli olan ölçüde alakalı ve sınırlı olmalıdır.

Süre sınırlılığı ilkesi

Kişisel veriler, işlendikleri amacın gerektirdiği süre boyunca saklanmalıdır.

Saklamanın gerekli olması durumunda veri güvenliğinin sağlanması ilkesi

Kişisel veriler, işlendikleri amaç için gerekli olan süre boyunca, uygun güvenlik önlemleri alınarak saklanmalıdır.

İrtibat kurabilme hakkı ilkesi

Kişiler, kişisel verilerinin işlenmesine ilişkin bilgilendirilme, kişisel verilerinin işlenme amacını öğrenme, kişisel verilerinin işlenme amacını öğrenme, kişisel verilerinin işlenmesini isteme, kişisel verilerinin silinmesini isteme, kişisel verilerinin düzeltilmesini isteme, kişisel verilerinin aktarılmasını isteme, kişisel verilerinin işlenmesine itiraz etme ve kişisel verilerinin aktarılmasına itiraz etme hakkına sahiptir.

 

GDPR ve KVKK’nin İşletmeler İçin Önemi Nedir?

GDPR ve KVKK, Avrupa Birliği ve Türkiye’de yaşayan bireylerin kişisel verilerinin korunmasını ve kişisel verilerin işlenmesinin gizliliğine ve hukuka uygunluğuna yönelik düzenlemelerdir. Bu düzenlemeler, işletmelerin kişisel verilerini nasıl toplayıp işleyebileceklerini ve bu verilerin nasıl korunacağını düzenlemektedir.

 

Bu düzenlemeler, kişisel verilerin gizliliğini ve güvenliğini korumayı hedefler. İşletmeler için, bu yasalara uyum sağlamak, sadece yasal yükümlülük değil, aynı zamanda işlerini daha iyi yönetmek ve müşteri güvenini kazanmak anlamına gelir. Ayrıca, müşteri verilerini daha iyi korumak için gereken önlemleri alarak veri güvenliğini artırma şansını da sunar.

 

GDPR ve KVKK Uyum Süreci

GDPR ve KVKK’ye uyum sağlamak, işletmeler için önemli bir sorumluluktur. İşletmelerin, GDPR ve KVKK’ye uyum sağlamak için şu adımları atması gerekir:


  • Veri işleme faaliyetlerini belirlemek: İşletmeler, öncelikle hangi kişisel verileri nasıl topladıklarını ve işlediklerini belirlemelidir.

  • GDPR ve KVKK’ye uyumluluk değerlendirmesi yapmak: İşletmeler, belirledikleri veri işleme faaliyetlerini GDPR ve KVKK ile uyumluluğu açısından değerlendirmelidir.

  • GDPR ve KVKK’ye uyum sağlamak için gerekli adımları atmak: İşletmeler, belirledikleri uyumluluk eksikliklerini gidermek için gerekli adımları atmalıdır.

KVKK uyumlu Doxagon dijital arşiv ve doküman yönetim sistemi , işletmelerin bu yükümlülükleri yerine getirmelerine yardımcı olan önemli bir araçtır. 


Doxagon, işletmelerin kişisel verileri tek bir yerde depolamalarına ve yönetmelerine olanak tanıyarak, işletmelerin bu düzenlemelerin getirdiği yükümlülükleri yerine getirmelerine yardımcı olur.

 

Veri ihlali durumunda yapılması gerekenler

Bir işletme, kişisel verileri ihlal ederse, aşağıdaki adımları atmalıdır:

 

  • İhlali derhal bildirmek: İşletme, veri ihlali gerçekleştiğinde, en kısa sürede ilgili veri koruma otoritesine bildirmelidir.

  • İhlalden etkilenen kişileri bilgilendirmek: İşletme, veri ihlali gerçekleştiğinde, etkilenen kişileri bilgilendirmelidir. Bu bilgilendirmede, veri ihlali hakkında bilgi, etkilenen kişisel veriler ve ihlalin olası sonuçları yer almalıdır.

  • İhlalin nedenini ve etkilerini araştırmak: İşletme, veri ihlali gerçekleştiğinde, ihlalin nedenini ve etkilerini araştırmalıdır. Bu araştırma sonucunda, ihlalin önlenmesi için gerekli önlemler alınmalıdır.

  • İhlale karşı güvenlik önlemlerini güçlendirmek: İşletme, veri ihlali gerçekleştiğinde, kişisel verilerin korunması için güvenlik önlemlerini güçlendirmelidir. Bu sayede, gelecekte benzer ihlallerin önlenmesine yardımcı olunabilir.

GDPR ve KVKK İhlalleri ve Cezalar

GDPR ve KVKK ihlalleri, veri sorumluları için ciddi sonuçlar doğurabilir. GDPR, veri ihlalleri için 20 milyon € veya küresel yıllık cirodan %4’üne kadar para cezası öngörmektedir.

KVKK ise veri ihlalleri için 20.000 TL’den 1.000.000 TL’ye kadar para cezası öngörmektedir.

Bitirirken

Kişisel veri mahremiyeti, günümüz dijital dünyasında her zamankinden daha fazla önem taşımaktadır. GDPR ve KVKK sayesinde, kişiler daha fazla kontrol sahibi olur ve bu da kişisel bilgilerin istenmeyen kullanımından korunmalarını sağlar.

 

Unutmayın ki, GDPR uyumu sadece bir yasal gereklilik değil, aynı zamanda işletmenizin sürdürülebilirliği için kritik bir öneme sahiptir. Daha fazla bilgi ve rehberlik için uzman bir danışmanla iletişime geçmek her zaman iyi bir fikirdir.

 

Sonuç olarak, GDPR ve KVKK’ya uyum, hem işletmeler hem de bireyler için bir dizi önemli avantaj sunmaktadır. Bu düzenlemelere uyum sağlamak, daha güvenli ve şeffaf bir veri işleme ortamı yaratmanın yanı sıra, işletmelerin rekabet avantajı elde etmelerine ve bireylerin kişisel verilerini koruma konusunda daha fazla güven duymalarına yardımcı olur. Bu nedenle, bu yasalara uyum sağlamak, hem iş dünyası hem de bireyler için kesinlikle vazgeçilmez bir gerekliliktir.


Hemen Üye Ol ve 15 Gün Ücretsiz Dene!

Kolayca üye olarak Doxagon’u 15 gün boyunca deneyebilir ya da uzmanımızdan online demo sunumu talep edebilirisiniz.

Ücretsiz Dene
Demo Talebi
doxagon logo slogan white

Doxagon Doküman Yönetim Sistemi
BIS Çözüm ve REISSWOLF Türkiye 
ortak girişimidir.

Linkedin Instagram Twitter Facebook-f Youtube

Doxagon

Kaynaklar

Bize Ulaşın

0850 242 06 75

info@doxagon.com

android
apple

BIS Çözüm & REISWOLF Türkiye Ortak Girişimidir.

Doxagon © 2023 | Tüm Hakları Saklıdır