201806.20
0

GENEL VERİ KORUMA DÜZENLEMESİ (GDPR) TÜRK ŞİRKETLERİNİ DOĞRUDAN ETKİLİYOR !! GDPR’A UYMAMANIN CEZASI 20 MİLYON EURO’DUR.

GENEL VERİ KORUMA DÜZENLEMESİ (GDPR) TÜRK ŞİRKETLERİNİ DOĞRUDAN ETKİLİYOR !!
GDPR’A UYMAMANIN CEZASI 20 MİLYON EURO’DUR.

GDPR Nedir ? GDPR’nin Amacı ve Kapsamı Nedir ?
GDPR ( General Data Protection Regulation – Genel Veri Koruma Düzenlemesi ) Avrupa
Birliği’ndeki gerçek kişilerin kişisel verilerinin daha sıkı korunması amacıyla 25 Mayıs 2018’de
yürürlüğe girmiştir. Gözardı edilemez önemde bir yasal düzenlemedir.
GDPR’in amacı AB’de bireylerin kişisel verilerinin daha etkin, daha disiplinli olarak
korunmasıdır. Kişisel veri, kişiye özel veridir. Kişilere ait verilerin elde edilmesi, işlenmesi,
korunması, veri işlenmesi için izin, verilerin silinmesi vb. konular kapsamlı şekilde GDPR’da
düzenlemektedir. GDPR, gerçek kişilerin (bireylerin) temel hak ve özgürlüklerini özellikle
kişisel verilerin korunması yönüyle güvende tutmayı amaç edinmiştir.
Kişisel veri, kişiyi bir diğer kişiden ayırt edebilen ad-soyad, kimlik no, dil, doğumyeri, din, ırk
gibi kişiye özgü her tür bilgi olarak örneklenebileceği gibi; GDPR biometrik, genetik, sağlık
bilgisi, konum bilgisi (lokasyon), psikolojik durum, davranışsal özellikler, ekonomik, kültürel
ayırt edici özellikler, bireyin işi, ilgi alanları, hobileri, hareketliliği ile ilgili her türlü bilgiyi
kişisel veri kapsamında görmektedir. Bu haliyle kişisel veri, oldukça geniş bir kapsama
sahiptir.

GDPR Yürürlükte midir? GDPR’ın Türk Şirketleri Yönüyle Önemi Nedir?
GDPR 25 Mayıs 2018’da yürürlüğe girmiştir. GDPR, kişisel verilerin korunması alanında
yapılan yasal bir güncellemedir. GDPR sadece Avrupa Birliği (AB) üye ülkeleri ile sınırlı
uygulama alanına sahip değildir. AB sınırları ötesindeki tüm şirketler de, AB ile irtibatı varsa
GDPR ile bağlıdır. Türk Şirketler de GPDR’ın getirdiği kişisel veri koruma disiplini anlayışına
uymak zorundadır. Diğer bir anlatımla GDPR, Türk Şirketlerini doğrudan etkilemektedir.
AB ile eşya ticareti veya hizmet sunum ilişkisi bulunan, tüketici olsun olmasın gerçek kişilerin
verilerine (kişisel bilgilerine) sahip olabilen tüm Türk şirketleri ve hatta satış faaliyeti
sözkonusu olmasa bile AB’deki kullanıcı davranışlarını izleyen Türk şirketleri, GDPR’a uygun
davranmak yani GDPR ile uyumlu hale gelmek zorundadır. GDPR, AB dışındaki muhataplarını
da yönetmeliğe uymak zorunda bırakan, AB sınırlarını aşan etkisi olan yasal bir düzenlemedir.

GDPR Türk İş Dünyası’nı Neden İlgilendiriyor?
GDPR sadece Avrupa Birliği’nde yerleşik olanları ilgilendiren yasal bir düzenleme değildir.
Türkiye’de kurulu bir Türk şirketi veya yabancı sermayeli bir şirket de, AB’de yerleşik gerçek
kişilerin verilerine ulaşabiliyorsa/verileri kullanıyorsa GDPR’a uymak zorundadır. Dünyanın
neresinden olursa olsun, Avrupa Birliği üye ülkelerine mal veya hizmet sunan tüm şirketler
(e-ticaret dahil) kişisel verilerin GDPR’a uygun bir disiplinle korunmasını sağlamak
zorundadır. Kişinin adı dahi kişisel veri olduğundan, kişisel veriye dokunmama olasılığı hemen
hemen hiç yoktur. AB ile ilgisi olan tüm kişiler GDPR’a uymak zorundadır.

GDPR’a uyulmazsa ne olur? Cezası nedir ?
GDPR bugüne kadar görülen yasal düzenlemelerden farklı ve iddialı bir düzenlemedir.
İhlalinin ağır yaptırımları/cezaları vardır. Öyle ki, GDPR’ın 83. maddesi GPDR ihlali halinde 20
MİLYON EURO’ya kadar para cezası veya cezaya muhatap şirketin global düzeydeki önceki yıl
cirosunun % 4’ü oranında ceza ödemek zorunda kalacağını belirtmektedir. Şirketin küresel
cirosu üzerinden % 4, yıllık ciro daha düşükse 20.000.000-EURO para cezası ülkemizdeki
cezaların çok ötesinde yüksek bir cezadır. Konu ciddi, cezalar ise gerçekten acı verecek ceza
düzeyindedir. Bu derece yüksek cezalar karşısında GDPR’a uyumun önemi ortaya
çıkmaktadır.

GDPR’da sektörel öncelik var mıdır ?
GDPR kişisel verilerin korunması konusunda sektörel ayrım yapmamaktadır. Ancak kişisel
verinin yoğun kullanıldığı sağlık hizmetleri, eğitim hizmetleri, lojistik hizmetleri, eşya-yük-
yolcu taşımacılığı hizmetleri, turizm hizmetleri, biletleme hizmetleri, araç kiralama hizmetleri,
perakede satış hizmetleri, finansal hizmetler, telekomünikasyon hizmetleri, e-ticaret alanı vb.
faaliyet sahaları elbette ilk akla gelen sektörlerdir 20.000.000-EURO para cezası riski
nedeniyle Türk şirketlerinin GPDR’a uyum için süratle karar almasını ve harekete geçmesini
tavsiye ediyoruz.

GDPR fırsat mı, kabus mu ?
GDPR, yasaya uyum (compliance) sürecidir. Kişisel verilerin yoğun suistimali, dijital çağın
kişileri bir anlamda ablukaya alması, kişisel verilerin yüksek bir disiplinle korunmasını zorunlu
kılmıştır. Bu çerçevede GDPR şirkette teknik ve yönetsel tedbirler almayı, özellikle kişisel
verinin korunması ve işlenmesi konusunda yeni bir bakışı sağlamaktadır. Dijital çağda
disiplinsizliğin, kişiyi koruyacak şekilde düzenlemesi ihtiyacından doğmuştur. GDPR’a uyumlu
hale gelecek şirketler AB üyesi ülkelerde cezalara maruz kalmadan ticarete devam

edebilecektir. GDPR’a uyum göstermeyen, ihmalde bulunanlar ise, AB coğrafyasında ticaret
yapamaz hale gelecektir. Bu haliyle GDPR’a uyum aslında bir fırsattır. Uymayanların önüne
geçmek için de iyi bir rekabet imkanıdır.
Şirket devralma ve birleşme işlemlerinde, şirket değerlemelerinde GDPR’a uyumlu şirketler
daha değerli ve itibarlı olarak kabul görecektir.
GDPR’a uyum şirketler açısından elbette bir maliyet doğuracaktır. Ancak GDPR’da yer alan
cezaların yüksekliği dikkate alındığında, GDPR’a uyum sağlamaktan yana tavır almanın daha
doğru bir yaklaşım olacağı açıktır.
Türk şirketlerinin önemli bir kısmı kişisel verilerin korunması konusunda yeterli hazırlığı
yapabilmiş değildir. KVKK (Kişisel Verilerin Korunması Kanunu) konusundaki uyum süreçleri
Türk Şirketleri açısından devam etmektedir. GPDR ve KVK uyum süreçlerinin aynı anda
birlikte yürütülebilir olması da, Türk hukuk sistemi ve AB’nin zorunlu kıldığı yasal sisteme
uyum açısından eş zamanlı hareketi mümkün kılmaktadır. Zamanlama eşgüdüme imkan
vermektedir.
GDPR uyulması zorunlu ise, uyum nasıl yapılmalıdır ?
GDPR düzenlemesine uymamak gibi bir insiyatif yoktur. Aksine GDPR konusundaki kararsızlık
veya ihmal AB üyesi ülkeler ile ticaret yapamamak anlamına gelir. Yapılması gereken kişisel
verinin yasal düzenlemere uygun olarak sıkı kurallar ile toplandığı, işlendiği, organizasyonel,
kültürel, teknik ve hukuki bir yeniden yapılanmayı şirkete derhal uygulamaktır.
KVKK ile GDPR aynı şey midir ?
KVKK ile GDPR kişisel verilerin korunmasını amaç edinen iki farklı yasal düzenlemedir. Aynı
değildir, benzerlikleri vardır. Her ikisinin hedefi de kişisel verilerin korunmasıdır. KVKK
düzenleme ve yaptırımları Türkiye ile sınırlıdır. GDPR, AB (Avrupa Birliği) sınırları dışında da
uygulanır. Ancak “KVKK’na uyumlu hale gelmiş bir şirket, GDPR’a da uyumlu hale gelmiştir”
denemez. Uyum süreci içinde kesişen noktalar bulunsa da, ayrık noktalar da mevcuttur.
Türkiye’de faaliyet gösteren şirketlerin KVKK’ya uyumu sağlanırken, GPDR’a uyumu da aynı
anda sağlanabilir. Yani aslında iki yasal düzenlemeyi esas alan tek bir çalışma yürütülebilir. Bu
türden bir çalışma ulusal ve uluslararası hukuki düzenlemeler açısından bütünlük
sağlayacaktır.