KVKK ve GDPR Farkları: Karşılaştırmalı Rehber

KVKK (6698 sayılı Kanun) ve GDPR (AB Genel Veri Koruma Tüzüğü) aynı amaca hizmet eder: kişisel verilerin korunması. İlkeleri büyük ölçüde benzerdir; ancak kapsam, otorite ve bazı yükümlülükler açısından önemli farklar vardır. Hem Türkiye'de hem AB'de faaliyet gösteren kurumlar için bu farkları bilmek kritiktir.

Bu içerik genel bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz.

Kapsam ve coğrafya

• GDPR, AB/AEA'da yerleşik kuruluşları ve AB'deki kişilere mal/hizmet sunan ya da onların davranışını izleyen kuruluşları kapsar — yani ülke dışı (ekstra-territoryal) etkisi vardır.
• KVKK, Türkiye'deki kişisel veri işleme faaliyetlerine uygulanır.

AB'deki kişilere hizmet veren bir Türk şirketi, hem KVKK'ya hem GDPR'a tabi olabilir.

Otorite

• GDPR: Her AB üye devletinde bir veri koruma otoritesi (DPA) ve üst düzeyde Avrupa Veri Koruma Kurulu (EDPB) bulunur.
• KVKK: Kişisel Verileri Koruma Kurumu ve karar organı olan Kurul yetkilidir.

Kayıt yükümlülüğü

• KVKK: Belirli kriterleri karşılayan veri sorumluları VERBİS'e kaydolur.
• GDPR: Merkezi bir sicil yoktur; bunun yerine kuruluşlar işleme faaliyeti kayıtları (Madde 30) tutar.

İlgili kişi hakları

Her iki düzenlemede de erişim, düzeltme, silme ve işlemeye itiraz gibi haklar yer alır. GDPR'da veri taşınabilirliği ve "unutulma hakkı" daha belirgin biçimde düzenlenmiştir; KVKK'da haklar 11. maddede sayılır.

Yurt dışına veri aktarımı

İki rejim de sınır ötesi aktarımı koşullara bağlar. GDPR; yeterlilik kararları ve standart sözleşme hükümleri (SCC) gibi mekanizmalar kullanır. KVKK tarafında da yurt dışına aktarım belirli güvenceler ve usullere tabidir. Her iki tarafta da güncel mekanizmaları takip etmek önemlidir.

Yaptırımlar

• GDPR: İhlal türüne göre, cironun belirli bir yüzdesine kadar yüksek idari para cezaları öngörür.
• KVKK: 18. madde kapsamında idari para cezaları uygulanır; tutarlar her yıl yeniden değerleme oranıyla güncellenir.

Belirli güncel rakamlar için ilgili otoritelerin resmî kaynaklarını esas alın.

Ortak nokta: belgelenebilir uyum

Hangi rejime tabi olursanız olun, ortak gereklilik aynıdır: işleme faaliyetlerini bilmek, tedbir almak ve bunu ispatlayabilmek. İyi kurulmuş bir uyum sistemi, hem KVKK hem GDPR yükümlülüklerinin büyük bölümünü aynı temelden karşılar.

Kivuz KVKK, envanterden denetime kadar uyumu belgelenebilir biçimde yöneten bir KVKK uyum yazılımıdır ve verileri Türkiye'de tutar. Süreci uçtan uca görmek için KVKK uyum süreci rehberimize göz atabilir, kurumunuza özel değerlendirme için demo talep edebilirsiniz.