6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde yürürlüğe girmiştir. 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Direktifi temel alınarak hazırlanan Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin işlenmesi ile ilgili genel ilkeler, kişisel verileri işlenen ilgili kişilerin hakları gibi konular düzenlendiği gibi, kişisel verileri işleyen ve aktaran veri sorumlularının uyması gereken yükümlülükler de belirlenmiştir. Buna göre, ülkemizde veri sorumlularının ilgili kişileri aydınlatma, işledikleri kişisel verilerin güvenliği ile ilgili idari ve teknik tedbirler alma, Veri Sorumluları Siciline kaydolma, Kişisel Veri İşleme Envanteri hazırlama gibi yükümlülükleri bulunmaktadır.
Avrupa Birliği tarafından 27 Nisan 2016 tarihinde Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) hazırlanmıştır. 25 Mayıs 2018 tarihinde yürürlüğe giren Avrupa Birliği Genel Veri Koruma Tüzüğü ile 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Direktifi yürürlükten kaldırılmıştır. Avrupa Birliği hukuku uyarınca, direktiflerden farklı olarak tüzükler doğrudan Avrupa Birliği genelinde yürürlüğe girmekte ve direktiflerde olduğu gibi üye devletlerin kendi iç mevzuatlarında direktiflere uygun olarak kanuni düzenleme yapmaları gerekmemektedir.
Ülkemizin Avrupa Birliği’ne üye olmaması sebebiyle, Avrupa Birliği Genel Veri Koruma Tüzüğü 25 Mayıs 2018 tarihinde ülkemizde yürürlüğe girmemiş ve kişisel verilerin korunması ile ilgili olarak mevzuatımızın bir parçası hâline gelmemiştir. Dolayısıyla, ülkemizde faaliyet gösteren ve kişisel verileri işleyen veri sorumluları, temel olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu ve kişisel verilerin korunması ile ilgili olarak başta Kişisel Verileri Koruma Kurumu tarafından hazırlanan yönetmelik ve tebliğ gibi tali düzenlemelere uymakla yükümlülerdir. Bununla birlikte, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün “Bölgesel Kapsam” başlıklı 3’üncü maddesinin 2’nci fıkrasında, kişisel verilerin sahibi olan ilgili kişilere Avrupa Birliği dâhilinde mal veya hizmet sunulması ya da ilgili kişilerin Avrupa Birliği dâhilindeki davranışlarının takip edilmesi şartıyla, Avrupa Birliği haricinde kurulu olan bir veri sorumlusu veya veri işleyici tarafından, Avrupa Birliği dâhilinde bulunan ilgili kişilerin, kişisel verilerinin işlenmesi faaliyeti hakkında, Avrupa Birliği Genel Veri Koruma Tüzüğü‘nün uygulanacağı ifade edilmiştir. Dolayısıyla, Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (GDPR) yalnızca Avrupa Birliği üyesi ülkelerde faaliyet gösteren veri sorumluları veya veri işleyenler tabi değildir.
Ülkemizde bulunan bir veri sorumlusu veya veri işleyen, Avrupa Birliği dâhilinde bulunan bir kişinin kişisel verilerini işlemesi durumunda, öncelikle 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili düzenlemelere uygun davranmakla yükümlü olacak, ilgili kişilere Avrupa Birliği dâhilinde mal veya hizmet sunması ya da ilgili kişilerin Avrupa Birliği dâhilindeki davranışlarını takip etmesi durumunda ise, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün 3. maddesinin 2. fıkrası uyarınca, Avrupa Birliği Genel Koruma Tüzüğü’ne uygun davranmakla yükümlü hâle gelecektir. Avrupa Birliği Genel Koruma Tüzüğü kapsamında, yalnızca Avrupa Birliği vatandaşlarının kişisel verileri güvence altına alınmamıştır. Avrupa Birliği dâhilinde bulunan bir kişi ifadesi kullanılarak, Avrupa Birliği dâhilinde ikamet eden kişilerin de kişisel verileri Avrupa Birliği Genel Veri Koruma Tüzüğü kapsamında güvence altına alınmıştır.
Örneğin, ülkemizde kurulan ve internet sitesi üzerinden hizmet veren veya mal satışı yapan bir şirket, internet sitesini İngilizce olarak yayımlarsa ve bu internet sitesi üzerinden Avrupa para birimi ile satış yaparsa; Avrupa Birliği içerisinde bulunan bir kişi şirketin internet sitesine girerek hizmet veya mal satın alımı yaptığında ya da internet sitesinde bulunan iletişim formunu doldurduğunda, şirket tarafından Avrupa Birliği içerisinde bulunan bir kişinin kişisel verileri işlenmiş olacak ve şirket, veri sorumlusu olarak, bu kişi için Avrupa Birliği Genel Veri Koruma Tüzüğü kapsamındaki yükümlülüklere uymak durumunda kalacaktır.
Avrupa Birliği Genel Veri Koruma Tüzüğü uyarınca, kişisel veri işleyen her veri sorumlusu ya da veri işleyen, kişisel verilerin işlenmesi ile ilgili ilkelere uymak, ilgili kişiyi kişisel veri işleme faaliyetleri hakkında aydınlatmak, kişisel veri işleme şartlarına uygun davranmak, gerektiğinde ilgili kişilerin rızasını almak, çocukların kişisel verileri işlenirken çocuklarla ilgili özel düzenlemelere riayet etmek, kişisel veriler üçüncü kişilere veya yabancı bir ülkeye aktarılacaksa, kişisel verilerin aktarımı ile ilgili ilke ve şartlara uymak, kişisel verilerin işlenmesi ve aktarılması ile ilgili olarak gerekli tedbirleri almak ve özel nitelikli kişisel verilerin korunmasından sorumlu olacak bir Veri Güvenliği Yetkilisi tayin etmekle yükümlüdür.
Avrupa Birliği Genel Veri Koruma Tüzüğü’ne uymakla yükümlü olan veri sorumlusu ya da veri işleyenlerin Avrupa Birliği Genel Veri Koruma Tüzüğü kapsamındaki yükümlülüklerini yerine getirmemesi durumunda, veri sorumlusu ya da veri işleyen hakkında (hangi meblağ daha yüksek ise) 20.000.000 Euro veya bir önceki mali yılın yıllık dünya çapındaki cirosunun %4’üne kadar idari para cezası verilebilmektedir. Dolayısıyla, ülkemizde bulunan bir veri sorumlusu ya da veri işleyen, Avrupa Birliği Genel Veri Koruma Tüzüğü’ne tabi olmasına rağmen ilgili yükümlülüklerini yerine getirmezse, yukarıda belirtilen meblağlarda idari para cezası ile karşı karşıya kalabilecektir.
