AB müşterisi olan Türk şirketleri hem GDPR'a hem de KVKK'ya uymak zorundadır; GDPR'ın maksimum cezası 20 milyon Euro iken KVKK'nın azami cezası 12 milyon TL civarındadır.
Kısa Cevap
GDPR (Genel Veri Koruma Yönetmeliği) ve KVKK (Kişisel Verilerin Korunması Kanunu) benzer ilkeleri paylaşır; ancak kapsam, ceza yapısı, uluslararası aktarım mekanizmaları ve zorunlu atamalar açısından önemli farklılıklar barındırır. AB ile iş yapan veya AB pazarına açılan Türk şirketleri çift uyum yükümlülüğüyle karşı karşıyadır. İzmir’deki ihracatçı firmalar, e-ticaret şirketleri ve AB’de iştirak sahibi gruplar bu yükümlülüğün öncelikli muhatabıdır.
GDPR ve KVKK’nın Ortak İlkeleri
Her iki düzenleme de Avrupa’daki veri koruma geleneğinin temel ilkelerini paylaşır:
- Hukuka uygunluk ve şeffaflık: Kişisel veriler açık, belirlenen amaçlarla ve hukuki bir gerekçeye dayanılarak işlenmeli; veri sahibi bu işleme hakkında bilgilendirilmelidir.
- Amaçla sınırlılık: Veriler yalnızca toplandıkları amaç için kullanılabilir; farklı bir amaç için yeniden işlenmesi ayrı bir hukuki gerekçe gerektirir.
- Veri minimizasyonu: Sadece gerekli ölçüde veri toplanmalıdır.
- Doğruluk: Veriler güncel ve doğru tutulmalıdır.
- Saklama sınırlılığı: Amaç ortadan kalktığında veri silinmeli veya anonim hale getirilmelidir.
- Bütünlük ve gizlilik: Uygun teknik ve idari güvenlik tedbirleri alınmalıdır.
- Sorumluluk: Veri sorumlusu uyumu kanıtlamakla yükümlüdür (accountability ilkesi).
Bu ortak zemin, çift uyum projesinin büyük bölümünü her iki düzenlemeye hizmet edecek biçimde tek seferde gerçekleştirmeye olanak tanır.
Temel Farklar: GDPR ile KVKK Karşılaştırma Tablosu
| Kriter | GDPR (AB) | KVKK (Türkiye) |
|---|---|---|
| Yürürlük | Mayıs 2018 | Nisan 2016 |
| Azami ceza | 20 milyon Euro veya global ciro’nun %4’ü | 12 milyon TL (2026 güncel bandı) |
| DPO zorunluluğu | Belirli durumlarda zorunlu | Yurt dışı veri sorumlusu için temsilci |
| DPIA (Veri Etki Değerlendirmesi) | Yüksek riskli işleme için zorunlu | Zorunlu değil, iyi uygulama olarak önerilir |
| Veri ihlali bildirimi | 72 saat içinde (denetim otoritesi + kişiler) | 72 saat içinde (Kurul) |
| Çocuk verisi | 16 yaş altı için ebeveyn onayı | Açık düzenleme yok; TMK vesayet hükümleri uygulanır |
| Taşınabilirlik hakkı | Açıkça düzenlenmiş (m.20) | Açıkça düzenlenmemiş |
| Denetim otoritesi | Ülke bazında (Almanya için DSK, Fransa için CNIL vb.) | Kişisel Verileri Koruma Kurumu (KVKK) |
| Extraterritoriality | Güçlü (m.3/2) | Sınırlı |
Türk Şirketleri İçin Çift Uyum Neden Gerekli?
Türk hukuku ile AB hukuku farklı coğrafi ve kişisel kapsamlara sahiptir; ancak bu kapsamlar çakışabilir. AB’ye ihracat yapan, AB müşterilerine hizmet sunan veya AB’de iştirak bulunduran Türk şirketler aşağıdaki nedenlerle her iki düzenlemeye birden tabi olabilir:
- KVKK: Türkiye’deki veri işleme faaliyetleri nedeniyle
- GDPR: AB’deki kişilerin verilerini işleme nedeniyle (coğrafi kapsam değil, işleme konusu belirleyicidir)
Örnek: İzmir’de yerleşik bir tekstil ihracatçısı, AB’deki perakendecilere web sitesi üzerinden sipariş alıyorsa ve bu perakendecilerin çalışanlarının verilerini işliyorsa hem KVKK hem GDPR kapsamındadır.
Aynı durum; AB’ye hizmet veren yazılım firmaları, Avrupalı turistleri hedefleyen turizm işletmeleri ve AB’deki ana şirketin Türk iştiraklerinde çalışan personel verileri için de geçerlidir.
GDPR’ın Ülke Dışı Uygulaması (Extraterritoriality)
GDPR m.3/2, AB dışında yerleşik veri sorumlularına uygulanır, eğer:
- Mal veya hizmet sunumu: AB’deki kişilere mal veya hizmet sunuluyorsa (bedelsiz olsa bile)
- Davranış izleme: AB’deki kişilerin AB içindeki davranışlarını izleme amacıyla veri işleniyorsa
Mahkeme kararları ve denetim otoritesi rehberleri bu kapsamı oldukça geniş yorumlamaktadır. İngilizce, Almanca veya Fransızca dil seçeneği sunan bir web sitesi, Euro fiyatlandırması yapan bir e-ticaret platformu veya AB’deki kullanıcılara yönelik hedefli reklamlar GDPR’ın ülke dışı uygulamasını tetikleyebilir.
GDPR’a tabi olan AB dışı kuruluşlar ayrıca AB içinde bir temsilci (representative) atamak zorundadır (m.27). Bu temsilci, denetim otoritelerinin ve veri sahiplerinin muhatap alacağı gerçek veya tüzel kişidir.
AB’den Türkiye’ye Veri Aktarımı
GDPR m.44-49 kapsamında AB’den üçüncü ülkelere veri aktarımı için yeterlilik kararı veya uygun güvenceler gereklidir. Türkiye, 2026 itibarıyla AB Komisyonu’nun yeterli koruma sağladığını belirlediği ülkeler listesinde yer almamaktadır.
Bu durumda AB’den Türkiye’ye veri aktarımı için başvurulabilecek mekanizmalar şunlardır:
Standart Sözleşme Maddeleri (SCC): Avrupa Komisyonu tarafından onaylanmış sözleşme metinleri, AB’deki veri sorumlusu ile Türkiye’deki alıcı arasında imzalanır. 2021’de güncellenen SCC modülleri dört senaryoyu kapsar: kontrolör-kontrolör, kontrolör-işlemci, işlemci-kontrolör ve işlemci-işlemci.
Bağlayıcı Şirket Kuralları (BCR): Çok uluslu şirket grupları içindeki transferler için tercih edilen mekanizmadır. Denetim otoritesi onayı gerektirir ve uzun süreç içerir.
İstisna durumlar (m.49): Açık rıza, sözleşmenin ifası için gerekli aktarım, hukuki taleplerle bağlantılı aktarım veya önemli kamu yararına dayalı aktarım gibi sınırlı istisnalar belirli durumlarda uygulanabilir.
Türkiye’den AB’ye Veri Aktarımı: KVKK m.9 Yeni Rejim
7101 sayılı Kanun (2024) ile KVKK m.9’da köklü değişiklik yapılmıştır. Eski sistemde her aktarım için Kurul onayı gerekiyordu; yeni rejimde dört mekanizma öngörülmektedir:
- Yeterlilik kararı: KVKK Kurulu, hedef ülkeyi “yeterli korumalı” ilan edebilir; bu karar verilirse ek güvenceye gerek kalmaz.
- Uygun güvenceler: Standart sözleşme maddeleri veya yönetmelik kapsamındaki diğer mekanizmalar kullanılabilir.
- Bağlayıcı şirket kuralları: Grup içi aktarımlar için.
- İstisnalar: Açık rıza, sözleşme ifası, acil durum gibi sınırlı haller.
Bu değişiklik GDPR m.44-49’un yapısına yaklaşmakta ve yeterlilik kararı alındığı takdirde çift uyum yükünü önemli ölçüde hafifleteceği öngörülmektedir.
2024 KVKK Değişiklikleri: AB’ye Yaklaşma
7101 sayılı Kanun ile 2024’te yapılan KVKK değişikliklerinin başlıca yeniliklerı şöyle sıralanabilir:
- Yurt dışı aktarım rejiminin yeniden yapılandırılması (GDPR mantığıyla uyumlu 4 mekanizma)
- Ceza tavanlarının yükseltilmesi (idari para cezası bantlarının güncellenmesi)
- Veri sorumlusu temsilcisi için daha net yükümlülükler
- Veri işleyen sözleşmesi (data processing agreement) zorunluluğunun daha net biçimde düzenlenmesi
- Otomatik karar almaya itiraz hakkının pekiştirilmesi
Bu değişiklikler, Türkiye’nin AB tarafından “yeterli koruma” sağlayan ülke olarak tanınması hedefine hizmet etmektedir. AB yeterliliği elde edilirse Türk şirketlerin AB’ye veri aktarımı dramatik biçimde kolaylaşacaktır.
İhracat Yapan İzmir Firmaları İçin Özel Notlar
İzmir, Türkiye’nin en büyük ihracat üslerinden biridir. İhracat yapan firmaların sıklıkla karşılaştığı GDPR+KVKK kesişim noktaları şunlardır:
Müşteri verisi: AB’deki alıcı şirketin çalışanlarının iletişim bilgileri (satın alma müdürü, muhasebe uzmanı vb.) GDPR kapsamında B2B kişisel veri sayılır. Bu verilerin Türkiye’deki CRM sisteminizde saklanması aktarım mekanizması gerektirebilir.
İK verisi: AB’de çalışan veya AB’den istihdam edilen personelin verileri GDPR kapsamındadır. İzmir merkezli bir şirketin Almanya’daki çalışanının bordro verisini Türkiye’de işlemesi SCC gerektirmektedir.
E-ticaret: B2C AB satışlarında ödeme, teslimat ve analitik verileri hem KVKK hem GDPR kapsamında işlenir. Çerez politikası AB standartlarını karşılamalıdır.
Tedarikçi ilişkileri: AB’li tedarikçilerin Türk alıcılardan veri işleme taahhütnamesi (Data Processing Agreement) talep etmesi yaygınlaşmaktadır.
Pratik Adımlar: Çift Uyum Projesi Nasıl Başlatılır?
1. Kapsam analizi Şirketin AB ile hangi faaliyetleri yürüttüğünü tespit edin: AB pazarına satış, AB’li tedarikçilerle çalışma, AB’li çalışan istihdamı veya AB’deki iştirak.
2. Veri haritalama Hangi kişisel verilerin işlendiğini, nereden geldiğini, nerede tutulduğunu ve kime aktarıldığını gösteren bir veri envanteri oluşturun. Bu envanter hem KVKK VERBİS kaydı hem de GDPR Kayıt of Processing Activities (RoPA) için temel oluşturur.
3. Boşluk analizi Mevcut uygulamaları her iki düzenlemenin gereklilikleriyle karşılaştırın. GDPR açısından SCC’nin imzalanıp imzalanmadığı, AB temsilci atanıp atanmadığı, DPO gereksiniminin karşılanıp karşılanmadığı kontrol edilmelidir.
4. Politika ve belgelerin hazırlanması Aydınlatma metinleri, gizlilik politikası, çerez politikası, veri işleyen sözleşmeleri, veri ihlali müdahale prosedürü ve çalışan eğitim materyalleri her iki düzenlemenin gerekliliklerini birlikte karşılayacak biçimde hazırlanmalıdır.
5. Teknik önlemler Şifreleme, pseudonymization (rumuzlaştırma), erişim kontrolleri ve veri silme prosedürleri uygulamaya alınmalıdır. “Privacy by design” yaklaşımı yeni ürün ve süreçlerin tasarımına entegre edilmelidir.
6. Düzenli gözden geçirme Her iki düzenleme de yorum değişikliklerine ve Kurul/mahkeme kararlarına duyarlıdır. Yıllık uyum gözden geçirmesi ve ihlal tatbikatı rutin hale getirilmelidir.
Sık Sorulan Sorular
GDPR ihlali için Türk şirketine Avrupa’dan para cezası gönderilir mi?
Evet, teorik olarak mümkündür. GDPR m.83 kapsamındaki cezalar AB’li denetim otoriteleri tarafından belirlenir ve uygulanır. AB’de temsilci, iştirak veya banka hesabı bulunan Türk şirketleri için bu cezaların icrasını sağlamak daha kolaydır. AB’de hiçbir varlığı olmayan şirketlerde ise icra daha güçtür; ancak uluslararası hukuki işbirliği çerçevesinde bu durum değişebilir.
KVKK ve GDPR’da veri ihlali bildirim süreleri farklı mı?
Her iki düzenleme de 72 saatlik bildirim süresi öngörmektedir. Fark şudur: GDPR, denetim otoritesine bildirimin yanı sıra ilgili kişilerin de “gecikmeksizin” bilgilendirilmesini zorunlu kılar; KVKK’da etkilenen kişilere bildirim süresi daha esnek tutulmuştur.
Türk şirketinin AB’de temsilci ataması kaça mal olur?
AB temsilcilik hizmetleri, ülkeye ve hizmet kapsamına göre değişmekle birlikte yıllık 2.000-10.000 Euro arasında fiyatlandırılmaktadır. Bazı hukuk firmaları bu hizmeti paket olarak sunmaktadır.
GDPR ve KVKK çift uyum süreci için uzman danışmanlık almak istiyorsanız iletişim sayfamız üzerinden bize ulaşabilir, VERBİS kaydı ve KVKK danışmanlığı ile bilişim hukuku hizmetlerimiz hakkında bilgi edinebilirsiniz.
Sık Sorulan Sorular
Uzmanlık Alanları