
KVKK ve GDPR: Standart Sözleşme Maddeleri Arasındaki Farklar
Hukuki Temeller ve Uygulama Alanı
Kişisel verilerin korunması günümüzde hem bireysel mahremiyet hem de şirketlerin yasal yükümlülükleri açısından büyük önem taşıyan bir konu haline gelmiştir. Bu çerçevede, Türkiye’nin Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği (GDPR), kişisel verilerin işlenmesi, saklanması ve aktarılması konularında çeşitli düzenlemeler getirmektedir. Bu iki mevzuat, kişisel verilerin korunmasını amaçlasa da uygulama alanları ve hukuki temeller açısından bazı önemli farklılıklar taşımaktadır. Bu yazıda, KVKK ve GDPR arasındaki hukuki temeller ve uygulama alanı karşılaştırılarak, iki düzenlemenin küresel veri koruma uygulamalarındaki rolü analiz edilecektir.
GDPR’ın Hukuki Temeli ve Uygulama Alanı
GDPR, Avrupa Birliği Temel Haklar Bildirgesi‘nin 8. maddesinde yer alan “kişisel verilerin korunması hakkı”na dayanmaktadır. Bu düzenleme, bireylerin özel hayatlarının ve kişisel verilerinin korunmasını temel bir insan hakkı olarak kabul eder. Ayrıca, Avrupa Birliği’nin 2016 yılında kabul ettiği GDPR, 1995 tarihli Veri Koruma Direktifi’nin yerini alarak, veri koruma alanında daha kapsamlı ve yenilikçi düzenlemeler getirmiştir. Yönetmelik, AB sınırları içindeki tüm bireylerin verilerini işleyen tüm kuruluşlar için geçerli olup, AB dışındaki ülkelerde faaliyet gösteren şirketler için de ciddi yükümlülükler doğurur[1].
GDPR’ın uygulama alanı oldukça geniştir. Yönetmeliğin madde 3 kapsamında, AB sınırları dışındaki bir kuruluşun, AB’de yerleşik bireylerin verilerini işlemesi durumunda bile GDPR’ın hükümleri geçerli hale gelir. Bu, GDPR’ın yalnızca AB sınırları içinde faaliyet gösteren kuruluşları değil, AB vatandaşı olan kişilerin verilerini işleyen tüm küresel şirketleri kapsadığı anlamına gelir[2]. Bu nedenle, GDPR’ın küresel bir etkisi olduğu ve veri koruma standartlarını uluslararası bir çerçevede şekillendirdiği söylenebilir.
GDPR ayrıca, veri işleme süreçlerinde bireylerin açık rızası olmaksızın kişisel verilerin işlenmesini yasaklamaktadır. Bununla birlikte, veri işleme işlemlerinin hukuki bir zemine oturması gerekmekte olup, bu hukuki zemin veri sahibinin rızasına dayalı olabileceği gibi, yasal yükümlülükler, meşru menfaatler veya sözleşmesel gereklilikler gibi diğer kriterlere de dayanabilir[3]. GDPR’ın bu yapısı, veri koruma alanında daha şeffaf ve hesap verebilir bir sistem oluşturarak, bireylerin veriler üzerindeki kontrolünü artırmayı hedefler.
KVKK’nın Hukuki Temeli ve Uygulama Alanı
KVKK, Türkiye’deki veri koruma hukukunun temel taşı olup, 6698 sayılı kanunla düzenlenmiştir. Türk Anayasası’nın 20. maddesine dayanan bu kanun, kişisel verilerin korunmasını bireylerin temel hak ve özgürlüklerinin bir parçası olarak görmektedir[4]. KVKK, Türkiye’de faaliyet gösteren kuruluşların kişisel verileri toplama, işleme ve aktarma süreçlerinde uymaları gereken kuralları belirlemektedir. Bu bağlamda, GDPR’a benzer şekilde, kişisel verilerin işlenmesi için ilgili kişinin açık rızasının alınması veya kanun tarafından öngörülen diğer yasal dayanakların sağlanması zorunludur.
KVKK’nın uygulama alanı ise Türkiye ile sınırlı kalmaktadır. Kanunun 2. maddesi, Türkiye’de yerleşik ya da faaliyet gösteren tüzel ve gerçek kişileri kapsadığını açıkça belirtir[5]. Bu durum, KVKK’nın uluslararası boyutta GDPR kadar geniş bir etki alanına sahip olmadığını göstermektedir. Ancak, Türkiye dışına veri aktarımı söz konusu olduğunda, KVKK da uluslararası veri aktarımına belirli sınırlamalar getirmekte ve veri aktarımının yalnızca yeterli koruma sağlayan ülkeler listesinde yer alan ülkelere yapılmasına izin vermektedir. Yeterli korumanın bulunmadığı ülkelere veri aktarımı, ancak ilgili kişinin açık rızasıyla veya Kişisel Verileri Koruma Kurulu’nun onayı ile mümkün olabilir[6].
KVKK, GDPR’a kıyasla daha dar bir kapsamda uygulanmakla birlikte, kişisel verilerin işlenmesi ve korunması konularında benzer prensipler benimsemiştir. Ancak, uluslararası veri aktarımında GDPR’daki standart sözleşme maddeleri (SCCs) gibi araçların KVKK’da doğrudan yer almaması, Türkiye dışına veri aktarımında daha sınırlı bir uygulama alanı doğurmaktadır[7]. Bu da, Türkiye’de faaliyet gösteren şirketler için uluslararası veri transferi süreçlerinde ek yükümlülükler ve engeller yaratmaktadır.
GDPR ve KVKK’nın Karşılaştırmalı Uygulama Alanları
GDPR ve KVKK, kişisel verilerin korunması konusunda benzer temel hedeflere sahip olmakla birlikte, uygulama alanı ve kapsam açısından bazı önemli farklılıklara sahiptir. GDPR, AB sınırları dışında bile AB vatandaşlarının verilerini işleyen tüm kuruluşlara uygulanabilirken, KVKK sadece Türkiye’de yerleşik veri işleyenleri kapsamaktadır[8]. Bu nedenle, GDPR, küresel ölçekte daha geniş bir etki alanına sahipken, KVKK’nın uygulama alanı coğrafi olarak daha sınırlıdır.
GDPR’ın uluslararası veri aktarımında standart sözleşme maddeleri gibi araçlar kullanılırken, KVKK’da bu tür bir yapı mevcut değildir. KVKK, Türkiye dışına veri aktarımını daha sıkı düzenlemekte ve bu aktarımın yalnızca yeterli koruma sağlayan ülkelere yapılmasına izin vermektedir[9]. Bu farklılık, özellikle uluslararası iş yapan şirketler için GDPR’a uyumun daha esnek ve pratik olduğu, ancak KVKK’nın bu konuda daha katı olduğu bir durumu ortaya koymaktadır.
Sonuç olarak, GDPR ve KVKK, kişisel verilerin korunması alanında farklı hukuki temellere ve uygulama alanlarına sahiptir. GDPR, küresel bir düzenleme olarak daha geniş bir etki alanına sahipken, KVKK daha bölgesel bir yapıdadır. Ancak her iki düzenleme de bireylerin veri haklarını korumayı ve veri işleyicileri için belirli yükümlülükler getirmeyi amaçlamaktadır.
Veri Etki değerlendirilmesi (GDPR article 29 ve KVKK)
DPIA’nın Tanımı
Sistematik ve Proaktif Yaklaşım
DPIA, potansiyel riskleri önceden belirlemek için sistematik bir değerlendirme süreci sunar. Sistematiklik, veri işleme süreçlerinin detaylı bir şekilde haritalandırılmasını ve veri koruma risklerinin kapsamlı bir analizini içerir. Proaktiflik ise, verilerin işlenmesinden kaynaklanan olası zararların önceden tespit edilmesini ve bu riskleri önlemek için gerekli adımların atılmasını ifade eder.
Bu yaklaşım, veri sorumlularının hem iç hem de dış tehditlere karşı hazırlıklı olmasını sağlar. Örneğin, büyük ölçekli sağlık verilerinin işlenmesi sırasında, bu verilerin yetkisiz erişime karşı nasıl korunacağı DPIA süreci ile değerlendirilir.
Risklerin Tanımlanması: DPIA, veri işlemenin doğurabileceği potansiyel tehditleri sistematik olarak tespit etmeye yardımcı olur. Bu süreç, verilerin toplanmasından işlenmesine ve depolanmasına kadar her adımda güvenlik risklerini analiz eder. Verilerin şifreleme, anonimleştirme veya erişim kontrolü gibi yöntemlerle korunması gerektiği tespit edilebilir (GDPR Madde 35)[10].
Standartlaştırılmış Prosedürler: DPIA, risk analizi için standartlaştırılmış prosedürler içermekte olup, bu prosedürler veri işleme faaliyetlerinin sürekli olarak değerlendirilmesini sağlar. DPIA sürecinde risklerin kategorize edilmesi ve önceliklendirilmesi, risk yönetimi açısından önemli bir adımdır[11].
Risk Azaltma
DPIA, kişisel verilerin işlenmesinden kaynaklanan riskleri tespit eder ve bu riskleri azaltmak için stratejik önlemler geliştirir. Risk azaltma, veri güvenliğini sağlamak için hem teknik hem de organizasyonel tedbirler alınmasını içerir.
Teknik Önlemler: Verilerin güvenliğini artırmak için alınan teknik önlemler arasında şifreleme, anonimleştirme ve erişim kontrol sistemleri bulunmaktadır. Örneğin, hassas verilerin şifrelenmesi, verilerin yetkisiz kişiler tarafından ele geçirilmesini engeller[12].
Organizasyonel Önlemler: Çalışanların veri koruma konusunda eğitilmesi, veri güvenliği politikalarının geliştirilmesi ve düzenli denetimler yapılması organizasyonel tedbirler arasında yer alır. DPIA, organizasyonların veri işleme süreçlerini sürekli olarak gözden geçirmesini ve güncellemesini sağlar[13].
KVKK ve DPIA İlişkisi
KVKK, GDPR kadar ayrıntılı bir DPIA zorunluluğu getirmese de, veri sorumlularının kişisel verilerin güvenliğini sağlamak için gereken her türlü tedbiri almalarını öngörmektedir. Bu bağlamda, DPIA’nın KVKK kapsamındaki uygulamaları aşağıdaki şekillerde ele alınabilir:
Risk Analizi ve Değerlendirme Yükümlülüğü
KVKK Madde 12, veri sorumlularının kişisel verilerin güvenliğini sağlamak için gerekli teknik ve idari tedbirleri almakla yükümlü olduğunu belirtir. Bu tedbirler arasında risk değerlendirmeleri de yer almaktadır. Veri sorumluları, işledikleri verilerin mahiyeti, işleme süreçleri ve olası riskleri analiz ederek uygun güvenlik önlemlerini belirlemek zorundadır[14].
KVKK, kişisel verilerin yetkisiz erişime karşı korunması için veri şifreleme, anonimleştirme ve güvenlik duvarları gibi teknik önlemler alınmasını gerektirir. Bu, verilerin güvenliğini sağlamanın yanı sıra, riskleri en aza indirgemek için de gereklidir [15].
KVKK, özel nitelikli kişisel verilerin (örn. sağlık, biyometrik, genetik veriler) işlenmesinde daha sıkı güvenlik önlemleri alınmasını zorunlu kılar. Bu tür verilerin işlenmesi sırasında, DPIA’ya benzer risk değerlendirmelerinin yapılması, veri sahiplerinin haklarının korunması açısından önemlidir. Özellikle, sağlık verileri gibi hassas kategorilerde, veri işleme süreçlerinin ayrıntılı olarak değerlendirilmesi gerekmektedir[16].
KVKK, veri sorumlularının herhangi bir veri ihlali durumunda Kişisel Verileri Koruma Kurumu’na ve ilgili kişilere bildirimde bulunmasını zorunlu kılar (KVKK Madde 12/5). Bu, DPIA benzeri süreçlerin uygulanmasının önemini artırır, çünkü olası ihlalleri önceden belirlemek ve bunları önlemek için önleyici tedbirlerin alınması gereklidir[17].
Yüksek Riskli Veri İşleme Faaliyetleri
KVKK, veri sorumlularının özellikle yüksek riskli veri işleme faaliyetleri sırasında daha dikkatli olmalarını ve riskleri önceden değerlendirmelerini gerektirir. Hassas verilerin işlenmesi, veri aktarımları veya geniş çaplı veri analitiği projeleri gibi faaliyetler, yüksek riskli veri işleme kategorisine girer. KVKK’nın bu noktada DPIA benzeri süreçleri zorunlu kılmasının ardında yatan temel amaç, bireylerin mahremiyet haklarının korunmasıdır[18].
Hassas Kişisel Veriler
KVKK’ya göre, sağlık, biyometrik ve genetik veriler gibi özel nitelikli kişisel veriler, işlenirken daha sıkı güvenlik önlemleri alınmasını gerektirir[19]. Bu tür verilerin korunması için, veri işleme süreçlerinin ayrıntılı bir risk değerlendirmesinden geçirilmesi şarttır.
Örnek: Bir hastane, hasta verilerini dijital ortamda saklıyorsa, bu verilerin yetkisiz erişim veya siber saldırılara karşı korunması için DPIA benzeri bir değerlendirme yapmak zorundadır. Bu değerlendirme, hastane yönetiminin riskleri önceden tespit etmesine ve uygun önlemler almasına yardımcı olur.
Veri İhlalleri ve Bildirim Yükümlülüğü
KVKK’nın veri sorumlularına getirdiği önemli yükümlülüklerden biri de, veri ihlali durumlarında Kişisel Verileri Koruma Kurumu’na ve etkilenen bireylere bildirimde bulunmaktır (KVKK Madde 12/5). Bu yükümlülük, veri işleme süreçlerinin önceden değerlendirilmesini ve risklerin en aza indirilmesini zorunlu hale getirir. DPIA benzeri süreçlerin uygulanması, bu tür ihlallerin önlenmesinde kritik rol oynar[20].
Veri ihlallerini önlemek için DPIA sürecinde olduğu gibi risklerin önceden belirlenmesi ve gerekli önlemlerin alınması gereklidir. Örneğin, siber saldırılara karşı güçlü bir güvenlik duvarı ve veri şifreleme yöntemleri kullanmak, potansiyel ihlalleri önlemeye yardımcı olur. KVKK’nın bu noktada sunduğu kılavuzlar, veri sorumlularının risk değerlendirmelerini ciddiyetle yapmalarını zorunlu kılar[21].
Kişisel Verileri Koruma Kurumu (KVKK), veri sorumlularına yol göstermek amacıyla çeşitli rehberler ve kılavuzlar yayımlamaktadır. Bu rehberler, DPIA benzeri değerlendirme süreçlerinin nasıl uygulanması gerektiği konusunda yol gösterici niteliktedir[22].Kişisel verilerin güvenliğini sağlamak için alınması gereken teknik ve idari tedbirleri açıklayan bu rehber, veri sorumlularının risk analizleri yapmalarını teşvik eder. Özellikle, büyük ölçekli veri işleme projelerinde DPIA benzeri süreçlerin uygulanması gerektiği vurgulanır .
İhlal Konularının ve Şikayetlerin Genel Görünümü
Aşağıda, bu iki yasal düzenlemenin veri ihlalleri ve şikayet konuları açısından nasıl farklılaştığını ve örtüştüğünü analiz ediyoruz.
GDPR: Para Cezalarına Dayalı Yaptırımlar
GDPR’nin ihlal istatistikleri, veri koruma kurallarını çiğneyen kurumlara yönelik ciddi para cezalarını vurgular. Grafikte görüldüğü üzere, en yüksek ceza miktarları, yetersiz yasal dayanakla veri işleme (2,694,866 EUR) ve genel veri işleme ilkelerine uyumsuzluk (3,707,379 EUR) gibi ihlallerde uygulanıyor. Bu, GDPR’nin verilerin işlenmesi için açık, meşru ve yasal dayanakları zorunlu kıldığını gösteriyor. Veri koruma düzenlemeleriyle işbirliğinin yetersizliği veya veri ihlali bildirimlerinin gecikmesi gibi durumlar da cezalandırılıyor, ancak bu ihlallerin ceza miktarları nispeten daha düşük.
Dikkat Çekici Noktalar: GDPR, sadece yasal dayanak eksikliklerini değil, aynı zamanda denetleyici otoritelerle işbirliği yapmama gibi prosedürel ihlalleri de ciddi şekilde ele alıyor. Bu durum, GDPR’nin yalnızca veri sahiplerinin haklarını değil, aynı zamanda düzenleyici mekanizmalarla etkileşimi de kapsayan kapsamlı bir yaklaşımı benimsediğini gösteriyor.
KVKK: Şikayet Başvurularına Dayalı Mekanizma
KVKK’nın ihlal konuları ise başvuru sayıları üzerinden sınıflandırılmıştır. Tabloda görüldüğü gibi, en fazla şikayet konusu, kişisel verilerin hukuka aykırı olarak işlenmesi (4,999 başvuru) ve izinsiz SMS/arama (2,206 başvuru) gibi durumlar. Bu, KVKK’nın veri işleme süreçlerinde hukuki uygunluğun sağlanmasına büyük önem verdiğini gösteriyor. Ayrıca, verilerin silinmemesi veya anonim hale getirilmemesi (319 başvuru) gibi ihlaller de dikkat çekici sayıda şikayet alıyor.
Dikkat Çekici Noktalar: KVKK, vatandaşlardan gelen ihbar ve şikayetlere dayalı bir yaptırım mekanizması işletiyor. Özellikle ticari faaliyetlerde, izinsiz iletişim (SMS/arama) gibi konular vatandaşlar tarafından sıklıkla şikayet ediliyor. Bu durum, Türkiye’de veri koruma bilincinin genellikle günlük hayatta karşılaşılan rahatsız edici uygulamalar (örneğin izinsiz reklam) üzerinden şekillendiğini gösteriyor.
2. Para Cezaları vs. Şikayet Sayıları: Farklı Yaptırım Anlayışları
GDPR ve KVKK’nın veri ihlallerine yaklaşımı, iki düzenlemenin farklı hedef ve yaptırım anlayışlarını ortaya koyuyor. GDPR, para cezaları aracılığıyla caydırıcılığı hedeflerken, KVKK daha çok şikayetlerin değerlendirilmesi ve sonuçlandırılması üzerine yoğunlaşıyor. Bu farklılıklar, her iki düzenlemenin yasal ve kültürel bağlamlarını yansıtıyor.
GDPR’nin Yaptırım Mekanizması: Yüksek para cezaları, ihlallere karşı güçlü bir caydırıcı unsur oluşturuyor. Örneğin, yetersiz teknik ve organizasyonel önlemler gibi ihlallerde, para cezaları önemli ölçüde yüksek tutuluyor (1,087,832 EUR). Bu, Avrupa’da veri koruma kurallarına uyumu zorunlu kılmak için mali yaptırımların etkin bir araç olarak kullanıldığını gösteriyor.
KVKK’nın Şikayet Odaklı Yapısı: KVKK, gelen şikayetleri sektörel bazda değerlendirerek, şikayet sayısının fazla olduğu sektörlerdeki uyumsuzlukları gidermeye çalışıyor. Örneğin, kişisel verilerin üçüncü kişilerle hukuka aykırı paylaşılması (1,207 başvuru), Türkiye’deki veri koruma sorunlarının önemli bir göstergesi olarak öne çıkıyor. Bu durum, KVKK’nın yaptırım mekanizmasının vatandaşların aktif katılımına dayandığını gösteriyor.
Veri Koruma Görevlisi (DPO) ve Hesap Verilebilirlik İlkesi
Veri Koruma Görevlisi (Data Protection Officer, DPO) ve hesap verilebilirlik ilkesi, Genel Veri Koruma Yönetmeliği (GDPR) kapsamında önemli kavramlar olarak öne çıkar. GDPR’ın yürürlüğe girmesiyle birlikte, özellikle veri işleyen şirketler için DPO’nun atanması zorunluluğu ve veri koruma süreçlerinde hesap verilebilirlik (accountability) gereksinimi, veri gizliliği ve güvenliği politikalarının temel taşları haline gelmiştir. Bu başlıkta, DPO’nun rolü ve GDPR ile getirilen hesap verilebilirlik ilkesi detaylı olarak incelenecektir.
GDPR’ın madde 37-39‘unda düzenlenen Veri Koruma Görevlisi, bir kuruluşun kişisel veri işleme faaliyetlerini denetleyen ve düzenleyici otoritelerle (Data Protection Authorities, DPAs) iletişimde olan bir uzmandır. DPO’nun temel görevi, kuruluşların veri koruma yasalarına uygun hareket etmesini sağlamaktır. DPO, veri işleme faaliyetlerini denetlerken, aynı zamanda çalışanlara ve veri işleyicilere rehberlik etmek ve olası ihlalleri önlemek amacıyla eğitimler düzenler. Bu görev, veri güvenliğini sağlama sürecinde hayati öneme sahiptir. DPO’nun atanması, kuruluşun veri işleme faaliyetlerinin kapsamına ve niteliğine bağlıdır. GDPR’a göre, büyük miktarda kişisel veri işleyen veya hassas veriler üzerinde iş yapan tüm kamu kuruluşları ve özel sektör firmaları bir DPO atamak zorundadır. Özellikle, kamu kurumlarının yanı sıra, temel faaliyeti düzenli ve sistematik bir şekilde geniş çapta veri işlemek olan kuruluşların da DPO ataması gerekmektedir. Ayrıca, DPO’nun atanması durumunda, bu görevlinin iletişim bilgilerinin hem veri sahipleri hem de ilgili veri koruma otoriteleri ile paylaşılması zorunludur (Art. 37, GDPR).
2023’te Avrupa Veri Koruma Kurulu (EDPB), DPO’ların görev ve pozisyonlarını değerlendiren Koordineli Uygulama Çerçevesi (Coordinated Enforcement Framework – CEF) kapsamında çeşitli denetimler gerçekleştirmiştir. Bu denetimlerin amacı, DPO’ların kuruluşlardaki yetkinliklerinin artırılması ve görevlerinin bağımsız bir şekilde yerine getirilip getirilmediğini denetlemektir. Denetimler sonucunda, DPO’ların daha etkili olabilmesi için daha fazla eğitim ve kaynak sağlanması gerektiği sonucuna varılmıştır[23].
DPO’nun görev ve sorumlulukları madde 39‘da detaylandırılmıştır. Bunlar arasında, veri koruma yönetmeliklerine uyumun sağlanması, risk değerlendirmesi ve veri koruma etki değerlendirmelerinin (Data Protection Impact Assessments – DPIA) gerçekleştirilmesi yer alır. DPO, ayrıca veri sahiplerinin taleplerini yönetir, olası veri ihlallerini bildirir ve veri koruma ile ilgili tüm konularda üst düzey yönetim ve DPAs ile işbirliği yapar[24]. DPO’ların bu denetleyici rolleri, özellikle GDPR’ın “hesap verilebilirlik” ilkesi kapsamında büyük önem taşır.
Bir DPO’nun bağımsız hareket etmesi, GDPR tarafından güvence altına alınmıştır. DPO’ların, görevlerini yerine getirirken veri işleyenlerin yönlendirmelerinden bağımsız olması, görevlerinin etkili şekilde yerine getirilmesi için kritik bir unsurdur. Bu doğrultuda, GDPR, DPO’ların herhangi bir çıkar çatışması yaşamadan bağımsız bir pozisyonda olmaları gerektiğini vurgular. Örneğin, bir DPO’nun aynı zamanda veri işlemeden sorumlu bir pozisyonda bulunması yasaklanmıştır (Art. 38, GDPR). Ayrıca, bir DPO’nun, işvereninden kaynaklanan herhangi bir baskıya maruz kalmadan özgürce hareket edebilmesi gerekir (Voigt & Von dem Bussche, 2017).
GDPR’ın önemli ilkelerinden biri olan hesap verilebilirlik (accountability), veri işleyenlerin, veri koruma yasalarına uyum sağlama yükümlülüğünü şeffaf ve denetlenebilir bir şekilde yerine getirmesini gerektirir. Madde 5(2) uyarınca, veri sorumluları, GDPR’a uygun olduklarını kanıtlamakla yükümlüdür. Bu, yalnızca veri koruma önlemlerini uygulamakla kalmayıp, aynı zamanda bu önlemlerin doğru şekilde uygulandığını belgelendirmek anlamına gelir. Hesap verilebilirlik ilkesi, veri ihlallerinin önlenmesi ve kişisel verilerin korunmasının etkin bir şekilde sağlanması açısından GDPR’ın merkezinde yer alır (Albrecht, 2016).
Hesap verilebilirlik, DPO’nun görevleri ile de yakından ilişkilidir. DPO, hesap verilebilirlik ilkesinin bir parçası olarak, veri işleme faaliyetlerinin her aşamasında kontrol ve denetim mekanizmalarını sağlar. Ayrıca, düzenli olarak denetimler gerçekleştirir ve yönetimi bilgilendirir. Bu kapsamda, veri işleyenlerin, düzenli olarak veri koruma etki değerlendirmeleri (DPIA) yapmaları ve sonuçlarını belgelendirmeleri gerekir. DPIA’lar, özellikle yüksek riskli veri işleme faaliyetleri için gereklidir ve DPO’lar bu değerlendirmelerin doğru ve zamanında yapılmasını sağlarlar.
Bir kuruluşun DPO’ya sahip olması, yalnızca uyum sağlama açısından değil, aynı zamanda veri işleme süreçlerinde daha güvenli ve etik bir yaklaşım geliştirmesine yardımcı olur. DPO’nun bu bağımsız ve sorumlu rolü, veri koruma yönetmeliklerinin ötesine geçerek, kuruluşun veri gizliliğine olan yaklaşımını daha şeffaf hale getirir (EDPB, 2023). DPO’lar, kuruluşların GDPR gibi karmaşık düzenlemelere uyum sağlama sürecinde kritik bir rol oynar.
Ancak DPO’lar, görevlerini yerine getirirken çeşitli zorluklarla da karşılaşmaktadırlar. Birçok kuruluşta, veri koruma görevlileri yeterli kaynak ve destekten yoksun olabilmektedir. 2023 yılında yapılan denetimlerde, DPO’ların etkili olabilmesi için hem teknik bilgiye sahip olmaları gerektiği hem de organizasyon içindeki pozisyonlarının güçlendirilmesi gerektiği belirtilmiştir. DPO’ların etkin çalışabilmesi için gereken bağımsızlık ve yetki çoğu zaman yeterince sağlanamamaktadır[25]. Özellikle kamu sektörü kuruluşlarında bu sorunun daha yaygın olduğu ve DPO’ların görevlerini yerine getirirken yeterli kaynağa sahip olmadıkları tespit edilmiştir.
DPO’nun atanması, GDPR’a uyum sürecinin en kritik aşamalarından biridir. Özellikle büyük ölçekli kuruluşlar için DPO, uyum sürecini yöneten ve veri güvenliğinin sağlanmasında kilit bir rol oynayan kişidir. Bu süreçte, DPO’nun bağımsızlığı kadar, teknik bilgi ve liderlik yetenekleri de önem taşır. DPO, hem teknik hem de hukuki konularda uzman olmalı ve gerektiğinde yönetimle veri koruma stratejilerini paylaşabilmelidir.
Standart Sözleşme Maddelerinin Tanımı
Kişisel verilerin korunması ve uluslararası veri transferleri, dijital çağda kişisel hakların korunmasının en önemli unsurlarından biridir. Bu bağlamda, Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği (GDPR) ve Türkiye’nin Kişisel Verilerin Korunması Kanunu (KVKK), veri sorumluları ve işleyiciler arasında kişisel veri transferlerinin güvenliğini sağlamak için çeşitli yasal araçlar sunar. Bu araçlardan en önemlisi, standart sözleşme maddeleridir (Standard Contractual Clauses, SCC).
Standart sözleşme maddeleri, kişisel verilerin uluslararası transferinde yasal bir çerçeve sağlamak amacıyla Avrupa Komisyonu tarafından hazırlanmış ve belirli standartlar etrafında şekillendirilmiş sözleşme maddeleridir. Bu maddeler, veri işleyenler ve veri sorumluları arasında, GDPR’ın 46. maddesi uyarınca kişisel veri transferlerinde kullanılabilecek hukuki araçlar arasında yer alır.
GDPR’a göre, AB dışına veri transferi yapılırken SCC’ler kullanılabilir, böylece veri transferinin güvenli olduğu varsayılır ve veri sahiplerinin haklarının ihlal edilmemesi sağlanır. SCC’ler, AB dışındaki ülkelerdeki veri işleyicilerinin, AB içinde uygulanan veri koruma standartlarına uymasını zorunlu kılar ve bu bağlamda veri güvenliği konusunda garanti sunar[26].
KVKK‘da ise, GDPR’daki SCC’lere benzer standart sözleşme maddeleri mevcut değildir. Ancak, KVKK’nın 9. maddesi kişisel verilerin yurt dışına aktarılmasını düzenler. KVKK’ya göre, yurt dışına veri transferi yapılabilmesi için yeterli korumanın sağlandığı ülkeler listesi üzerinden bir kontrol yapılır. Eğer ilgili ülke bu listede yer almıyorsa, veri sahibinin açık rızası alınmalıdır ya da Kişisel Verileri Koruma Kurulu’nun onayı gerekmektedir.
GDPR’da Standart Sözleşme Maddeleri
GDPR’ın 46. maddesi, AB dışına yapılan veri transferlerinin yasal olarak güvence altına alınması için çeşitli mekanizmalar önerir. Bu mekanizmalardan biri de SCC’lerdir. SCC’ler, Avrupa Komisyonu tarafından hazırlanmış ve veri işleyenler ile veri sorumluları arasında kullanılmak üzere sunulmuş standartlaştırılmış yasal sözleşmelerdir[27]. SCC’ler, kişisel verilerin AB dışındaki bir ülkeye transfer edilirken veri güvenliği ve bireysel hakların korunması için belirli standartları sağlamayı amaçlar.Bu sözleşmelerin temel amacı, GDPR’a tam uyumlu bir yapı sunarak AB dışına yapılan veri transferlerinin korunmasını sağlamaktır. GDPR’a göre, bir üçüncü ülke “yeterli veri koruma seviyesine” sahip değilse, SCC’ler veri transferini gerçekleştirmek için en yaygın kullanılan yöntemlerden biridir[28].
GDPR, AB dışına veri transferlerinin yalnızca “yeterli koruma” sağlayan ülkelere yapılmasına izin verir. SCC’ler, Avrupa Komisyonu’nun önceden belirlediği şartlara dayanarak üçüncü ülkelere veri aktarımının güvenli bir şekilde yapılmasını sağlar. GDPR’ın 46. maddesi, bu sözleşmelerin hukuki dayanağını oluşturur ve SCC’lerin, AB dışına yapılan veri transferlerinin temel dayanaklarından biri olmasını sağlar. Schrems II davası, SCC’lerin bu tür transferlerde oynadığı rolü daha da vurgulayan önemli bir hukuki gelişmedir.
GDPR’ın 46. Maddesi ve SCC’ler
GDPR’ın uluslararası veri transferlerine ilişkin hükümleri, kişisel verilerin AB dışına aktarılmasında SCC’lerin oynadığı hayati rolü ortaya koyar. GDPR 46. madde, veri ihracatçısının SCC’ler aracılığıyla veri ithalatçısına çeşitli yükümlülükler yüklediği bir mekanizmayı tanımlar. Bu yükümlülükler, veri güvenliği, gizlilik ve veri ihlallerine karşı alınacak önlemler gibi konuları kapsar. GDPR, veri transferi yapılacak üçüncü ülkede yeterli veri koruma düzeyinin sağlanamaması durumunda SCC’lerin kullanılmasını zorunlu kılar.[29]
SCC’lerin GDPR’ın uluslararası veri transferlerine dair getirdiği katı kurallara uygun bir araç sunduğunu belirtmektedir. Yazarlar, SCC’lerin verilerin AB dışına güvenli bir şekilde aktarılmasında önemli bir yasal mekanizma olduğunu ve özellikle verilerin işlenmesi sırasında gizlilik ve güvenlik önlemlerinin alınmasını sağladığını vurgulamaktadır.[30]
Schrems II davası, AB-ABD arasında yapılan veri transferlerinde kullanılan Privacy Shield mekanizmasını geçersiz kıldı ve SCC’lerin uygulanması sırasında daha titiz önlemler alınmasını zorunlu hale getirdi. Bu karar, SCC’lerin yalnızca standart sözleşme maddeleriyle veri aktarımını yasal hale getirmekten öte, verilerin aktarıldığı ülkenin yasalarının GDPR ile uyumlu olup olmadığının da göz önünde bulundurulması gerektiğini vurguladı.[31]
Schrems II kararının SCC’lerin uygulanmasını nasıl etkilediğini analiz etmiş ve bu kararın ardından SCC’lerin kullanıldığı veri transferlerinde daha güçlü teknik ve organizasyonel güvenlik önlemlerinin alınmasının zorunlu hale geldiğini belirtmiştir. Yazar, özellikle ABD gibi ülkelerde veri transferi yapılırken, devletin kişisel verilere erişim hakkı gibi konuların dikkate alınması gerektiğini vurgulamaktadır.
Schrems II sonrası SCC’lerin kullanımı, şirketlerin uluslararası veri transferlerinde karşılaştığı zorlukları da artırmıştır. Örneğin, SCC’lerin uygulanmasında veri ithalatçısının bulunduğu ülkenin yasal sistemi göz önünde bulundurulmalı ve gerektiğinde ek güvenlik tedbirleri alınmalıdır. Bu tedbirler, verilerin şifrelenmesi, anonimleştirilmesi ve veri akışının izlenmesi gibi teknik önlemleri içerebilir.[32]
Schrems II kararının ardından şirketlerin SCC’ler kapsamında veri transferi yaparken karşılaştıkları zorlukları detaylandırılmıştır. Yazar, özellikle ABD gibi ülkelerde veri güvenliği konusunda ciddi zorlukların olduğunu ve şirketlerin SCC’ler aracılığıyla veri transferi yaparken ek teknik tedbirler almak zorunda kaldıklarını vurgulamaktadır.
2021 yılında Avrupa Komisyonu tarafından güncellenen SCC’ler, GDPR’ın modern veri işleme süreçlerine uyum sağlayacak şekilde geliştirilmiştir. Yeni SCC’ler, dört farklı modül halinde düzenlenmiştir ve bu modüler yapı, veri sorumluları ile işleyiciler arasındaki farklı işleme senaryolarına uyum sağlamaktadır. Modüler yapı, veri sorumlularının ve işleyicilerinin sorumluluklarını daha net hale getirmiş ve SCC’lerin kullanımını daha esnek bir hale getirmiştir.
Yeni SCC’ler, dört temel modülden oluşur ve her modül, veri işleyenler ve veri sorumluları arasındaki farklı ilişkilere göre özelleştirilmiştir:
- Modül 1: Veri sorumlusundan veri sorumlusuna (controller to controller) veri transferi.
- Modül 2: Veri sorumlusundan veri işleyiciye (controller to processor) veri transferi.
- Modül 3: Veri işleyiciden veri işleyiciye (processor to processor) veri transferi.
- Modül 4: Veri işleyiciden veri sorumlusuna (processor to controller) veri transferi.
Bu modüler yapı, SCC’lerin veri işleme süreçlerine daha iyi uyum sağlamasına olanak tanımaktadır. Örneğin, Modül 1, veri sorumluları arasındaki veri transferlerini düzenlerken, Modül 2, bir veri sorumlusu ile bir veri işleyici arasındaki ilişkileri düzenler. Bu yapı, SCC’lerin GDPR’ın veri koruma ilkelerine daha iyi uyum sağlamasına olanak tanır.[33]
Yeni SCC’lerin modüler yapısının veri transferlerinde daha fazla esneklik sunduğunu ve bu yapı sayesinde farklı veri işleme senaryolarına daha iyi uyum sağlandığını belirtmektedir. Yazarlar, özellikle SCC’lerin şirketlerin veri transferi süreçlerini daha iyi yönetmesine yardımcı olduğunu vurgulamaktadır.
Schrems II kararı, SCC’lerin hukuki dayanağını güçlendirmiş ve bu sözleşmelerin uygulanmasında ek teknik güvenlik önlemlerinin alınmasını zorunlu hale getirmiştir. SCC’lerin veri transferleri sırasında yalnızca yasal bir güvence sağlamaktan öte, verilerin güvenliğini sağlamak için ek tedbirler alınması gerektiği vurgulanmıştır.
Schrems II kararının ardından, SCC’ler kapsamında veri transferi yapılırken ek teknik tedbirler alınması gerekmektedir. Bu tedbirler arasında verilerin şifrelenmesi, anonim hale getirilmesi ve veri ihlali durumunda hızlı müdahale planlarının oluşturulması gibi önlemler bulunmaktadır. Özellikle yüksek riskli veri transferlerinde bu tedbirlerin alınması, GDPR’ın veri güvenliği ilkelerine tam uyum sağlamak açısından önemlidir.[34]
Schrems II kararının ardından SCC’ler aracılığıyla yapılan veri transferlerinde şirketlerin karşılaştığı zorlukları detaylandırmaktadır. Yazarlar, özellikle ABD gibi ülkelerde veri güvenliği konusunda yaşanan zorlukları ve SCC’ler kapsamında alınması gereken ek tedbirleri ele almaktadır.
SCC’lerin uygulanmasında veri ihracatçılarının ve ithalatçılarının belirli hukuki yükümlülükleri bulunmaktadır. Bu yükümlülükler, GDPR’ın 46. maddesi çerçevesinde tanımlanmış olup, veri ihlali durumunda her iki tarafın da sorumluluklarını açıkça ortaya koymaktadır. Özellikle veri güvenliği önlemlerinin sürekli güncellenmesi ve bu önlemlerin denetlenmesi zorunlu kılınmıştır.[35]
KVKK Standart Sözleşme Modelleri
KVKK, Türkiye’deki kişisel veri koruma rejiminin temel hukuki metni olarak, veri aktarım süreçlerini güvence altına almak için çeşitli düzenlemeler içermektedir. Kişisel Verileri Koruma Kurulu tarafından yayımlanan standart sözleşme modelleri, veri sorumluları ve işleyicileri arasındaki veri akışını düzenlemeye yöneliktir. KVKK kapsamında dört temel model tanımlanmıştır:
- Veri Sorumlusundan Veri Sorumlusuna (C2C)
- Bu model, bir veri sorumlusunun başka bir veri sorumlusuna veri aktarması durumunda kullanılır. İki veri sorumlusu arasındaki veri aktarımının güvenli ve hukuki bir çerçevede gerçekleşmesi hedeflenir.
- Veri Sorumlusundan Veri İşleyene (C2P)
- Bu modelde, bir veri sorumlusu yurt dışında bulunan bir veri işleyene veri aktarmaktadır. Bu durumda, veri işleyenin sorumlulukları ve yükümlülükleri detaylandırılır.
- Veri İşleyenden Veri İşleyene (P2P)
- Bu model, yurt içindeki bir veri işleyenin, yurt dışındaki başka bir veri işleyene veri aktarması durumunda uygulanır. Veri işleyiciler arasındaki veri güvenliği ve denetim mekanizmaları üzerinde durulur.
- Veri İşleyenden Veri Sorumlusuna (P2C)
- Bu model, veri işleyenin işlediği veriyi yurt dışındaki bir veri sorumlusuna aktarması durumunda geçerlidir. Veri işleyenin sorumluluklarını ve raporlama yükümlülüklerini kapsar.
KVKK’daki bu dört model, temel olarak verilerin korunması ve aktarılan taraflar arasında sorumlulukların net bir şekilde belirlenmesini amaçlar. Her bir modelde, veri sorumluları ve işleyiciler arasında belirli yükümlülükler tanımlanır ve kişisel verilerin ihlali durumunda uygulanacak prosedürler açıkça belirtilir.
KVKK ve GDPR Standart Sözleşme Modelleri Arasındaki Benzerlikler ve Farklılıklar
Her iki düzenleme de, veri aktarımı sırasında kişisel verilerin gizliliğini ve güvenliğini sağlamak amacıyla standart sözleşme maddeleri kullanmayı zorunlu kılmaktadır. KVKK ve GDPR kapsamındaki SCC modelleri arasında çeşitli benzerlikler ve farklar bulunmaktadır.
KVKK (Kişisel Verilerin Korunması Kanunu) ve GDPR (General Data Protection Regulation), kişisel verilerin korunması ve güvenli bir şekilde aktarılması amacıyla oluşturulmuş iki önemli yasal düzenlemedir. Hem GDPR hem de KVKK, standart sözleşme maddeleri (Standard Contractual Clauses – SCCs) aracılığıyla veri sorumluları ve veri işleyiciler arasında yapılan veri aktarımlarını güvence altına alır. Ancak, bu iki düzenleme arasındaki hukuki yaklaşımlar, teknik gereklilikler ve denetim mekanizmaları arasında dikkate değer farklar ve bazı benzerlikler bulunmaktadır. Aşağıda, bu benzerlikler ve farklılıklar modeller bazında ve genel olarak ele alınacaktır.
Genel Yaklaşım: Risk Bazlı Esneklik vs. Merkezi Kontrol
GDPR’nin Genel Yaklaşımı: Risk Bazlı ve Esnek
GDPR, Avrupa Birliği tarafından bireylerin kişisel verilerini koruma amacıyla oluşturulmuş olup, temel yaklaşımı risk bazlı ve esneklik üzerine kuruludur. GDPR’nin temel ilkelerinden biri olan hesap verebilirlik ilkesi (accountability principle), veri sorumlularının ve işleyicilerin, işleme faaliyetlerinde uygulayacakları güvenlik tedbirlerini belirlerken bir risk değerlendirmesi yapmalarını zorunlu kılar (European Commission, 2018)[36]. Bu ilke, veri işleme faaliyetlerinde kişisel verilerin korunmasına yönelik uygun teknik ve idari tedbirlerin alınmasını gerektirir.
GDPR’nin Standart Sözleşme Maddeleri (Standard Contractual Clauses – SCCs), veri sorumluları ve işleyicilerin, işleme faaliyetlerinin türüne ve risk profiline bağlı olarak uygun tedbirleri belirlemelerine olanak tanır (Bygrave & Docksey, 2020)[37]. Bu tedbirler, şifreleme, erişim kontrolü, veri minimizasyonu gibi teknik tedbirleri içerebilir ve işleme faaliyetlerinin risk seviyesi göz önünde bulundurularak seçilir (Custers et al., 2019)[38]. Bu esneklik, GDPR’nin küresel bir düzenleme olarak kabul görmesini ve çeşitli işletmelerin farklı ihtiyaçlarına yanıt verebilmesini sağlamaktadır. Özellikle uluslararası veri transferlerinde, bu esneklik veri sorumlularına ve işleyicilere büyük bir uyum kolaylığı sunar (Kuner, 2020)[39].
KVKK’nın Genel Yaklaşımı: Merkezi Kontrol ve Katı Düzenlemeler
KVKK, Türkiye’de veri güvenliğinin sağlanması ve veri sahiplerinin haklarının korunması amacıyla oluşturulmuş bir kanundur. KVKK’nın temel felsefesi, veri güvenliğini sağlamak ve veri sahiplerinin haklarını korumak amacıyla merkezi kontrol ve katı düzenlemeler üzerine kuruludur (Karaca & Güler, 2021)[40]. KVKK, GDPR’ye göre daha merkezi bir denetim anlayışı benimser ve veri sorumlularına getirilen yükümlülükleri sıkı bir şekilde düzenler. Bu düzenlemeler, Kişisel Verileri Koruma Kurulu (Kurul) tarafından merkezi olarak denetlenir ve veri sorumlularının ve işleyicilerin, veri güvenliğine yönelik belirli teknik ve idari tedbirleri almasını zorunlu kılar (Özdemir & Çelik, 2021)[41].
KVKK’nın Standart Sözleşme Maddeleri, veri sorumlularına ve işleyicilere, kişisel verilerin güvenliğini sağlamak için belirli teknik ve idari yükümlülükler getirir. Özellikle, veri aktarımı sırasında verilerin şifrelenmesi, anonimleştirilmesi, erişim yetkilendirmesi ve düzenli denetim gibi tedbirler zorunlu kılınmıştır (Kılıç & Şahin, 2020)[42]. Bu sıkı düzenlemeler, veri güvenliğini sağlamak amacıyla daha katı bir denetim mekanizması oluşturur ve Kurul, bu düzenlemelere uyulmaması durumunda ciddi idari yaptırımlar uygulama yetkisine sahiptir (Demir & Erkan, 2021)[43].
Benzerlikler: Veri Güvenliği, Şeffaflık ve Hesap Verebilirlik İlkeleri
Veri Güvenliği Tedbirleri
Hem GDPR hem de KVKK, kişisel verilerin korunması amacıyla, veri sorumlularına ve işleyicilere belirli teknik ve idari tedbirler alma yükümlülüğü getirir. Bu tedbirlerin temel amacı, kişisel verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini korumaktır (Whitman & Mattord, 2021)[44]. Bu bağlamda, her iki düzenleme de kişisel verilerin korunması için benzer tedbirler öngörmektedir.
GDPR’nin Madde 32‘si, veri sorumluları ve işleyicilerin, uygun güvenlik seviyesini sağlamak amacıyla şifreleme, veri minimizasyonu, anonimleştirme ve erişim kontrolü gibi önlemleri almalarını zorunlu kılar (Voigt & Von dem Bussche, 2017)[45]. Bu tedbirlerin belirlenmesinde risk bazlı bir yaklaşım benimsenmiş olup, her bir veri işleme faaliyetinin risk profiline göre uygun teknik ve idari tedbirlerin seçilmesi gerektiği vurgulanır (European Union Agency for Cybersecurity, 2020)[46].
Benzer şekilde, KVKK’nın Madde 12’si, veri sorumlularının ve işleyicilerin, kişisel verilerin hukuka uygun işlenmesi ve korunması amacıyla gerekli teknik ve idari tedbirleri almalarını şart koşar (Çalışkan, 2019). KVKK, veri güvenliğine yönelik alınacak tedbirler arasında şifreleme, erişim yönetimi ve düzenli denetimleri zorunlu kılar. KVKK’nın Standart Sözleşme Maddeleri de, veri güvenliğinin sağlanması amacıyla, veri sorumluları ve işleyicilerin yükümlülüklerini detaylı olarak düzenler (Yazıcıoğlu, 2020)[47].
Şeffaflık ve Hesap Verebilirlik İlkeleri
Hem GDPR hem de KVKK, veri işleme süreçlerinde şeffaflık ve hesap verebilirlik ilkelerini esas alır. GDPR’nin hesap verebilirlik ilkesi, veri sorumlularının veri işleme faaliyetlerinin her aşamasında şeffaf olmasını ve bu faaliyetleri belgeleyerek denetlenebilir hale getirmesini zorunlu kılar (Voigt & Von dem Bussche, 2017)[48]. Veri sorumluları, veri işleme faaliyetleri sırasında aldıkları tedbirlerin etkinliğini gösterebilmeli ve bu tedbirlerin neden seçildiğini açıklayabilmelidir (Hert & Papakonstantinou, 2019)[49].
KVKK da benzer bir yaklaşımla, veri sorumlularının ve işleyicilerin şeffaflık ve hesap verebilirlik ilkelerine uygun hareket etmesini zorunlu kılar. KVKK’ya göre, veri sorumluları, kişisel verilerin işlenmesi sürecinde şeffaf olmalı ve ilgili kişileri bilgilendirmelidir (Şahin & Güler, 2020)[50]. Bu ilke, veri sorumlularının kişisel verilerin korunması konusunda proaktif bir yaklaşım benimsemelerini ve aldıkları tedbirleri belgeleyerek Kurul’a raporlamalarını gerektirir (Çalışkan, 2019)[51].
Esneklik ve Uygulama Farklılıkları
GDPR, veri sorumlularına ve işleyicilere risk bazlı bir yaklaşım sunar ve uygulama alanında geniş bir esneklik tanır. GDPR’nin Standart Sözleşme Maddeleri, veri aktarımı sırasında uygun güvenlik tedbirlerinin belirlenmesini veri sorumlularının inisiyatifine bırakır. Bu yaklaşım, veri sorumlularına, işleme faaliyetinin risk derecesine göre teknik ve idari tedbirler belirleme imkanı tanır (Voigt & Von dem Bussche, 2017)[52]. Bu esneklik, özellikle uluslararası veri transferlerinde önemli bir avantaj sağlar, çünkü GDPR, farklı sektörlerde ve farklı coğrafyalarda faaliyet gösteren işletmelere uyum esnekliği sunar (Kuner, 2020)[53].
Buna karşılık, KVKK, veri güvenliği tedbirlerini daha katı ve somut bir şekilde tanımlar ve uygulamada daha sıkı kurallar öngörür. KVKK, veri sorumlularına ve işleyicilere belirli güvenlik tedbirlerini alma zorunluluğu getirir ve bu tedbirlerin etkinliğini sürekli denetler (Çalışkan, 2019)[54]. Özellikle yurt dışına veri aktarımı konusunda, Kurul’dan izin alınması zorunluluğu, KVKK’nın merkezi denetim anlayışının bir göstergesidir (Şahin & Güler, 2020)[55]. Bu merkezi kontrol yaklaşımı, veri güvenliğini sağlamayı amaçlasa da, işletmelerin uluslararası operasyonlarında uyum zorlukları yaratabilir.
Denetim ve İhlal Yönetimi
GDPR ve KVKK arasındaki temel farklardan biri de denetim süreçlerindeki yaklaşımdır. GDPR, veri sorumlularına ve işleyicilere denetim yükümlülüğü getirir ve bu denetimlerin risk bazlı bir çerçevede yapılmasını zorunlu kılar (European Union Agency for Cybersecurity, 2020[56]). Ayrıca, GDPR’nin Madde 33’ü, veri ihlali durumunda denetim otoritesine 72 saat içinde bildirimde bulunmayı şart koşar. Bu bildirim süreci, veri sorumlularının hızlı aksiyon almasını ve veri ihlallerinin etkilerini en aza indirmeyi amaçlar (Hert & Papakonstantinou, 2019).
KVKK ise veri ihlali bildirim yükümlülüklerini daha katı bir çerçevede düzenler. KVKK Madde 12 ve ilgili yönetmeliklere göre, veri sorumluları veri ihlali durumunda Kişisel Verileri Koruma Kurulu (Kurul)’a derhal bildirimde bulunmak zorundadır (Çalışkan, 2019). KVKK ayrıca, veri ihlali durumlarında uygulanan idari yaptırımları daha belirgin ve somut hale getirir. Bu düzenlemeler, ihlal durumlarında hızlı aksiyon alınmasını sağlamak ve veri güvenliğini etkin bir şekilde korumayı amaçlar (Yazıcıoğlu, 2020).
Üçüncü Taraf Hakları ve Hukuki Koruma
GDPR, veri sahiplerine geniş kapsamlı haklar tanır ve bu hakların korunması için etkin hukuki koruma mekanizmaları sunar. Madde 15-22’de düzenlenen haklar, veri sahiplerine erişim, düzeltme, silme, veri taşınabilirliği ve itiraz gibi çeşitli haklar verir (Voigt & Von dem Bussche, 2017). GDPR, veri sahiplerine bu haklarını koruma konusunda geniş bir hukuki alan tanır ve veri sorumlularına karşı doğrudan dava açma hakkı sağlar (Hert & Papakonstantinou, 2019).
Buna karşılık, KVKK, veri sahiplerine daha sınırlı haklar tanır ve bu hakları belirli koşullara bağlar. Madde 11 çerçevesinde, veri sahiplerine erişim, düzeltme, silme ve itiraz hakları tanınır. Ancak, KVKK, veri sahiplerine hukuki koruma konusunda daha dar bir alan sunar ve veri sorumlularına karşı dava açma hakkını belirli şartlara bağlar (Şahin & Güler, 2020). Bu sınırlı yaklaşım, KVKK’nın veri sahiplerinin haklarını koruma konusundaki daha merkezi ve kısıtlı düzenleyici anlayışını yansıtır (Çalışkan, 2019)..
GDPR ve KVKK, veri güvenliğini sağlamak amacıyla benzer temel ilkeleri benimsemiş olmakla birlikte, bu ilkeleri uygulama ve düzenleme yaklaşımlarında belirgin farklılıklar göstermektedir. GDPR’nin esnek ve risk bazlı yapısı, veri sorumlularına ve işleyicilere daha geniş bir hareket alanı tanırken; KVKK’nın merkezi denetim anlayışı ve katı düzenlemeleri, veri güvenliğini sağlamayı amaçlar. Bu farklar, hem düzenlemelerin felsefi temellerini hem de uygulama alanındaki teknik ve hukuki yükümlülükleri doğrudan etkiler.
Hukuki açıdan, GDPR ve KVKK arasındaki bu farklar, uluslararası veri transferleri ve veri güvenliği politikaları üzerinde önemli sonuçlar doğurur. GDPR, küresel uyum ve şeffaflık sağlama konusundaki esnekliği ile öne çıkarken; KVKK, ulusal güvenlik ve veri koruma politikalarını ön planda tutan merkezi bir düzenleme yapısını benimser.
KVKK ve GDPR Standart Sözleşme Maddeleri
Controller to Controller (Veri Sorumlusundan Veri Sorumlusuna) Farklılıkları
Veri Sorumluları Arasındaki Ortak Sorumluluk ve Bağımsız Hareket
GDPR Perspektifinden
GDPR‘nin Controller to Controller modeli, veri sorumlularının birbirlerine karşı bağımsız hareket etme yetkisi üzerine inşa edilmiştir. Madde 26 kapsamında, birden fazla veri sorumlusu birlikte çalıştığında, her bir veri sorumlusu kendi işleme faaliyetlerinden bağımsız olarak sorumludur ve diğer veri sorumlusu üzerinde doğrudan denetim yetkisi bulunmamaktadır (Gellert, 2018)[57]. Bu yapı, veri sorumlularının birbirine karşı hesap verme yükümlülüğü taşımaksızın, bağımsız sorumluluk alanlarına odaklanmasını sağlar (Daly, 2021)[58].
Bu model, GDPR’nin, veri sorumlularının veri işleme süreçlerinde eşit derecede sorumlu olmalarını öngören temel yaklaşımını yansıtır (De Hert & Czerniawski, 2018)[59]. Veri sorumlularının, veri işleme faaliyetleriyle ilgili aldıkları kararlar ve uyguladıkları tedbirler konusunda bağımsız hareket edebilmeleri, her iki tarafın da etkin veri koruma tedbirleri almasına olanak tanır.
KVKK Perspektifinden
KVKK, veri sorumluları arasındaki ilişkiyi daha katı bir iş birliği çerçevesine oturtur. KVKK Model 1 Standart Sözleşme Maddeleri, veri sorumlularının sadece kendi yükümlülüklerini yerine getirmesini değil, aynı zamanda diğer veri sorumlusunun veri koruma tedbirlerini denetleme ve kontrol etme sorumluluğunu da öngörür . Bu düzenleme, veri sorumluları arasında bir tür ortak denetim mekanizması oluşturur.
Bu yaklaşım, KVKK’nın merkezi denetim anlayışını ve veri koruma politikalarının sıkı bir kontrol altında yürütülmesini hedefler (Erbaşlar & Özen, 2021)[60]. KVKK, veri sorumlularının, diğer veri sorumlusunun belirlediği güvenlik tedbirlerine uyduğundan emin olmalarını şart koşar. Bu, iki taraf arasında aktif bir denetim ilişkisi gerektirir ve uyum süreçlerini daha karmaşık hale getirir (Şeker, 2019)[61].
Veri İşleme Süreçlerinde Hesap Verebilirlik ve Yükümlülük Paylaşımı
GDPR Perspektifinden
GDPR’nin Controller to Controller modeli, veri sorumluları arasındaki işleme faaliyetlerinde hesap verebilirlik ve sorumluluk paylaşımını esas alır. Madde 26.1 uyarınca, veri sorumluları, kendi sorumluluk alanlarını belirleyen ve işleme faaliyetlerindeki yükümlülükleri açıkça tanımlayan bir anlaşma yapmak zorundadır (Dove, 2020)[62]. Bu anlaşma, her veri sorumlusunun veri işleme faaliyetlerinden bağımsız olarak sorumlu tutulmasını sağlar ve bu sorumlulukların ihlal edilmesi durumunda bireysel olarak hesap verebilir olmalarını gerektirir (Tene & Polonetsky, 2019)[63].
GDPR’nin bu yaklaşımı, veri sorumlularının, veri işleme süreçlerinde meydana gelebilecek herhangi bir ihlalde bireysel sorumluluk taşımasını güvence altına alır. Veri sahipleri, ihlal durumunda doğrudan sorumlu olan veri sorumlusuna karşı hukuki başvuru yapma hakkına sahiptirler (Bygrave, 2020)[64]. Bu, veri sorumlularının işleme faaliyetleri üzerindeki denetimlerini ve sorumluluklarını netleştirir.
KVKK Perspektifinden
KVKK, veri sorumluları arasındaki sorumluluk paylaşımını daha merkezi bir yapıya oturtur. KVKK’nın Madde 9’u ve ilgili yönetmeliklere göre, veri sorumluları arasında yapılan veri aktarımında meydana gelen ihlallerde, her iki taraf ortak sorumluluk taşır (Yılmaz, 2021)[65]. Bu model, her iki veri sorumlusunun da ihlallerde doğrudan sorumlu olmalarını ve Kurul’a karşı hesap verme zorunluluğunu getirir.
KVKK’nın bu yaklaşımı, veri sorumluları arasındaki ilişkide daha sıkı bir kontrol mekanizması oluşturmayı amaçlar (Karademir, 2020)[66]. İlgili yönetmeliklerde, veri aktarımında her iki tarafın da, diğer tarafın teknik ve idari tedbirlerine uyduğundan emin olması gerektiği açıkça belirtilmiştir. Ayrıca, meydana gelebilecek herhangi bir veri ihlalinde, her iki veri sorumlusu da denetim altına alınabilir ve Kurul’un gerekli görmesi durumunda her iki tarafa da idari yaptırımlar uygulanabilir (Özdemir & Çelik, 2020)[67].
GDPR Perspektifinden
GDPR’nin Controller to Controller modelinde, veri sorumluları arasında yapılan veri aktarımı sırasında doğrudan bir karşılıklı denetim mekanizması öngörülmez. Bu modelde, her bir veri sorumlusu, veri aktarımı ve işleme süreçlerinde bağımsız bir sorumluluk taşır ve kendi işleme faaliyetlerini yönetmekle yükümlüdür (Hoofnagle et al., 2019)[68]. GDPR’nin bu yaklaşımı, veri sorumlularına, kendi iç denetim süreçlerini oluşturma ve uygulama zorunluluğu getirir (Dix et al., 2021)[69].
GDPR’nin Madde 26’ya göre, veri sorumluları arasında bir anlaşma yapılması gerekmekte ve bu anlaşma, hangi tarafın hangi yükümlülükleri yerine getireceğini net bir şekilde belirtmelidir (Kamara & De Hert, 2018)[70]. Ancak, bu anlaşma, tarafların birbirlerini denetlemesi gibi bir yükümlülük getirmez. Bunun yerine, her veri sorumlusu, hesap verebilirlik ilkesi gereği, kendi veri işleme süreçlerinin denetim ve kontrolünden sorumludur (De Hert & Papakonstantinou, 2019)[71].
KVKK Perspektifinden
KVKK, veri sorumluları arasındaki denetim mekanizmasını daha katı bir çerçeve içerisinde düzenler. Madde 12 uyarınca, veri sorumluları, veri aktarımı sürecinde karşı tarafa aktardıkları verilerin güvenliğini sağlamak amacıyla diğer veri sorumlusunun teknik ve idari tedbirlerini denetlemek zorundadır (Akın & Özkul, 2021)[72]. Bu düzenleme, veri sorumlularının kendi iç denetim süreçlerini oluşturmanın yanı sıra, veri aktarımı yaptıkları diğer sorumlunun da tedbirlerini kontrol etmelerini zorunlu kılar (Güven & Karaman, 2020)[73].
KVKK’nın Model 1 Standart Sözleşme Maddeleri, veri aktarımı sırasında karşılıklı denetimin nasıl yapılacağına dair net düzenlemeler içerir. Bu maddelerde, hangi bilgilerin ve belgelerin karşılıklı olarak paylaşılması gerektiği, denetimin hangi periyodlarla yapılacağı ve olası ihlallerde hangi adımların atılacağı açıkça tanımlanmıştır (Arslan, 2021)[74]. Bu düzenlemeler, veri sorumluları arasında bir karşılıklı denetim ve güvenlik kontrolü mekanizması oluşturarak, veri koruma süreçlerinde daha sıkı bir iş birliği ve kontrol anlayışı benimser.
Veri Sorumluları Arasında Uyuşmazlıkların Çözümü ve Sorumluluk Anlaşmazlıkları
GDPR Perspektifinden
GDPR, veri sorumluları arasındaki uyuşmazlıkların çözümünde diyalog ve iyi niyet ilkesini temel alır. Madde 79 çerçevesinde, veri sorumluları arasındaki anlaşmazlıkların yasal sürece taşınmadan önce çözülmesi amaçlanır (Kuner, 2020)[75]. GDPR, veri sorumlularının anlaşmazlıklarını öncelikle alternatif çözüm yolları ile çözmelerini ve denetim otoritelerinin bu sürece yalnızca son çare olarak dahil olmasını önerir (Binns & Gallo, 2020)[76]. Bu yaklaşım, veri sorumluları arasında iyi niyetli bir iş birliği ortamı yaratmayı ve yasal süreçlere başvurmadan önce müzakere yoluyla sorunların çözülmesini teşvik eder.
Bununla birlikte, eğer anlaşmazlıklar çözülemezse, veri sahiplerinin doğrudan denetim otoritelerine başvurması veya veri sorumlularının hukuki süreç başlatması mümkündür. GDPR’nin bu düzenlemesi, veri sorumluları arasındaki uyuşmazlıkları en aza indirmeyi ve iyi niyetli bir yaklaşımla çözüm arayışlarını desteklemeyi hedefler (Gellert, 2020)[77]. Ancak, denetim otoritelerinin devreye girmesi durumunda, GDPR’nin merkezi otoriteleri, durumu bağımsız olarak inceleyebilir ve gerekirse yaptırımlar uygulayabilir.
KVKK Perspektifinden
KVKK, veri sorumluları arasındaki sorumluluk anlaşmazlıklarında daha katı ve merkezi bir yaklaşım benimser. Madde 12 gereğince, veri sorumluları arasındaki anlaşmazlıklarda, her iki taraf da Kurul’a hesap vermekle yükümlüdür (Çiftçi, 2021)[78]. KVKK, veri sorumluları arasında yaşanabilecek anlaşmazlıkları ve sorumluluk paylaşımı konusunda herhangi bir belirsizlik olduğunda, Kurul’un denetim yetkisini ön planda tutar ve durumu inceleyerek sonuca bağlar (Akgül & Kalkan, 2020)[79].
Bu düzenleme, KVKK’nın merkezi kontrol ve denetim anlayışını yansıtır. Veri sorumluları, sorumluluk alanlarının belirlenmesi ve yükümlülüklerin paylaşılması konusunda ortak bir mutabakata varamadıklarında, Kurul devreye girer ve sorumluluk ihlali olup olmadığını denetler (Gürses, 2020)[80]. Kurul, ihlal durumunda ilgili taraflara idari yaptırımlar uygulayabilir ve uyuşmazlıkların çözümünü denetleyebilir (Kaya, 2021)[81]. Bu yaklaşım, veri sorumluları arasında kesin sınırların çizilmesini ve yükümlülüklerin belirginleştirilmesini sağlar.
Bu analiz, Controller to Controller modeline özgü olarak GDPR ve KVKK arasındaki farkları derinlemesine incelemiştir. GDPR, veri sorumlularına bağımsızlık tanıyan ve esnek bir sorumluluk paylaşımı sağlayan bir yaklaşım benimserken; KVKK, veri sorumluları arasında daha katı iş birliği ve merkezi denetim kuralları öngörür. Ayrıca, GDPR, veri sorumlularının bireysel hesap verebilirliğini esas alırken, KVKK sorumluluk paylaşımında ortak bir denetim ve kontrol mekanizması kurar.
Bu modelde GDPR’nin esnek yaklaşımı, veri sorumluları arasındaki veri aktarım süreçlerini daha dinamik bir yapıya kavuştururken, KVKK’nın katı düzenlemeleri veri güvenliğine yönelik sıkı denetim mekanizmaları oluşturur. Bu farklılıklar, veri sorumluları arasındaki işleyiş ve veri koruma politikaları üzerinde doğrudan etkili olmaktadır.
GDPR ve KVKK Model 2 Standart Sözleşmeleri (Controller to Processor)
Veri Sorumlusu ve Veri İşleyici Arasındaki Yükümlülükler ve Sorumluluklar
GDPR Perspektifinden
GDPR, Madde 28 kapsamında veri sorumlusu ve veri işleyici arasındaki ilişkiyi ayrıntılı olarak düzenler. Standart Sözleşme Maddeleri (Model 2), veri sorumlusunun veri işleyiciye net talimatlar vermesini ve veri işleyicinin bu talimatlara uygun hareket etmesini zorunlu kılar (Zanfir-Fortuna, 2019)[82]. GDPR, veri işleyicinin yalnızca veri sorumlusunun verdiği talimatlar doğrultusunda hareket etmesini sağlar ve veri işleyicinin bağımsız karar almasını sınırlar (Gellert & Gutwirth, 2021)[83]. Bu yaklaşım, veri işleyicinin kontrol altına alınmasını ve işleme süreçlerinde şeffaflık sağlanmasını amaçlar.
Standart Sözleşme Maddeleri’nin Clause 8.1 hükmü, veri işleyicinin veri sorumlusuna hesap verebilir olduğunu açıkça ifade eder. Özellikle, veri işleyicinin veri sorumlusunun izni olmadan verileri üçüncü bir tarafa aktarması yasaktır (Lynskey, 2021)[84]. Bu düzenleme, veri sorumlusunun rolünü ve işleyici üzerindeki denetimini güçlendirmektedir.
KVKK Perspektifinden
KVKK, veri sorumlusu ve veri işleyici arasındaki ilişkide daha sıkı kurallar öngörür. Madde 12 kapsamında, veri sorumlusu, veri işleyiciden sadece veri güvenliğine ilişkin tedbirler almasını talep etmekle kalmaz, aynı zamanda bu tedbirlerin uygulanmasını ve denetimini de sağlamak zorundadır. Model 2 Standart Sözleşme Maddeleri’nin Clause 7.1’i, veri işleyicinin veri sorumlusunun teknik ve idari tedbirlerine uymak zorunda olduğunu vurgular (Akgül, 2020)[85]. Bu düzenleme, veri işleyicinin bağımsız hareketini sınırlandırır ve veri sorumlusuna daha güçlü bir denetim yetkisi tanır.
Alt İşleyicilerle İlişkiler ve Onay Prosedürü
GDPR Perspektifinden
GDPR Standart Sözleşme Maddeleri (Clause 9), veri işleyicinin veri sorumlusunun yazılı onayı olmadan alt işleyicilerle veri paylaşımına izin vermez. Bu onay, GDPR’de esnek bir yapı ile düzenlenir; veri sorumlusu, duruma bağlı olarak önceden veya olay bazlı onay verebilir (Wachter & Mittelstadt, 2019)[86]. Bu düzenleme, veri sorumlusu ile işleyici arasındaki dinamik ilişkinin güçlendirilmesini sağlar ve alt işleyicilerin kullanımı konusunda veri sorumlusuna doğrudan kontrol yetkisi tanır.
KVKK Perspektifinden
KVKK, alt işleyicilerin kullanımı konusunda daha katı bir düzenleme getirir. Veri sorumlusunun açık yazılı onayı olmadan alt işleyicilere veri devri yapılamaz ve bu onayın her bir işlem için alınması gerekmektedir (Erbaşlar & Güler, 2021)[87]. Model 2 Standart Sözleşme Maddeleri’nin Clause 8’i, alt işleyicilerin kullanımı durumunda veri sorumlusunun tüm sorumluluğu üstleneceğini açıkça belirtir. Bu düzenleme, veri güvenliğinin sıkı denetimini ve kontrolünü sağlamak amacıyla tasarlanmıştır (Şener, 2022)[88].
Veri İşleme Süreçlerinde Şeffaflık ve Denetim
GDPR Perspektifinden
GDPR, veri işleyicilere şeffaflık yükümlülüğü getirir. Madde 28 uyarınca, veri işleyicilerin, işleme faaliyetlerine ilişkin düzenli bilgi sağlaması zorunludur (Binns, 2020)[89]. Ayrıca, Madde 32 gereği, veri işleyicilerin işleme faaliyetlerini izleme ve raporlama yükümlülüğü vardır. Clause 8.2, işleyicilerin bu raporları belgeleyerek, veri sorumlularının denetimine sunmalarını zorunlu kılar . Bu düzenleme, işleme faaliyetlerinin denetlenebilirliğini ve şeffaflığını artırır.
KVKK Perspektifinden
KVKK, veri işleyicilerin denetimini daha katı kurallarla düzenler. Madde 12 kapsamında, veri sorumluları, veri işleyicilerin güvenlik tedbirlerini doğrudan denetlemek zorundadır. Ayrıca, veri işleyicilerin güvenlik tedbirlerini belgelemeleri ve bu belgelerin düzenli olarak denetlenmesi gerekir (Kılınç, 2021)[90]. Clause 7.6 ise bu denetim sürecini netleştirir ve veri sorumlusunun yetkilerini pekiştirir. Bu düzenleme, veri güvenliğinin kontrolü açısından daha katı bir mekanizma öngörmektedir (Erşahin & Aydın, 2020)[91].
Veri İşleyicilerin Yükümlülükleri ve İhlal Durumlarındaki Sorumluluk
GDPR Perspektifinden
GDPR, veri işleyicilerin veri ihlali durumunda sorumluluk taşımasını öngörür. Madde 33 gereği, veri işleyiciler ihlal durumunda veri sorumlusuna derhal bildirim yapmak zorundadır (Bélanger, 2021)[92]. Standart Sözleşme Maddeleri’nin Clause 8.3’ü, bu yükümlülüğü açıkça ifade eder ve ihlal bildirim süreçlerini tanımlar .
KVKK Perspektifinden
KVKK, veri işleyicilerin ihlal bildirim yükümlülüklerini daha katı bir çerçevede düzenler. KVKK’ya göre, ihlal durumunda veri sorumluları doğrudan Kurul’a ve veri sahiplerine bildirim yapmak zorundadır. Veri işleyiciler, bu süreçte veri sorumlusuna tam destek vermek zorundadır ve destek sağlanmaması durumunda idari yaptırımlar öngörülmüştür (Güven, 2020)[93]. Bu, veri sorumlusunun veri ihlali sürecindeki denetim yetkisini güçlendirmeyi amaçlar.
GDPR ve KVKK Standart Sözleşme Model 3: Processor to Processor Sözleşme Maddeleri Arasındaki Farklılıklar
GDPR ve KVKK, veri güvenliğini sağlamak için veri işleyenler (processor) arasında yapılan veri transferlerinde standart sözleşme maddeleri (Model 3: Processor to Processor) oluşturmuştur. Bu analiz, yalnızca Processor to Processor modeline özgü farklılıkları ortaya koyacak ve GDPR ile KVKK’nın düzenlemeleri arasındaki farkları hukukçu ve DPO perspektiflerinden inceleyecektir.
Veri İşleyicinin Yükümlülükleri ve Talimatlara Bağlılık
GDPR Perspektifinden
GDPR’nin Standart Sözleşme Maddeleri (Processor to Processor) kapsamında, veri işleyicilerin talimatlara bağlılık yükümlülüğü önemle vurgulanmıştır. Madde 28 çerçevesinde, veri işleyen, veri sorumlusunun belirlediği talimatlara uygun hareket etmek zorundadır ve yalnızca veri sorumlusunun veya veri ihracatçısının açık talimatları doğrultusunda işlem yapabilir (Custers, 2019)[94]. Bu, veri işleyenler arasında yapılan veri transferlerinde veri sorumlusunun denetim yetkisini güçlendirmekte ve veri güvenliği konusunda merkezi bir kontrol mekanizması oluşturmayı amaçlamaktadır (Wachter & Mittelstadt, 2019)[95].
KVKK Perspektifinden
KVKK ise veri işleyenlerin talimatlara bağlılık yükümlülüğünü daha detaylı ve katı bir şekilde düzenler. Madde 12 kapsamında, veri işleyenlerin yalnızca veri sorumlusunun açık talimatlarına uyarak işlem yapması gerekmektedir (Akın & Gürkan, 2021)[96]. Standart Sözleşme Model 3 kapsamında, bu gereklilik sözleşme maddelerinde açıkça belirtilmiş olup, veri işleyenlerin teknik ve idari tedbirlere tam uyum göstermeleri zorunlu tutulmuştur. Bu yaklaşım, veri işleyenlerin bağımsız hareket alanını sınırlandırır ve veri sorumlusunun denetim yetkisini pekiştirir (Demirkan, 2021)[97].
Alt İşleyicilerle İlişkiler ve Onay Süreci
GDPR Perspektifinden
GDPR’nin Processor to Processor modelinde, veri işleyicilerin alt işleyici kullanımı konusunda veri sorumlusunun yazılı onayını alması gerekmektedir. Madde 28’e göre, veri işleyicinin alt işleyici kullanabilmesi için önceden izin alması zorunlu kılınmıştır. GDPR, veri sorumlusuna alt işleyiciler konusunda genel veya spesifik onay verebilme esnekliği tanır, böylece veri işleme süreçleri daha dinamik ve esnek bir yapı kazanır (Binns, 2020)[98].
KVKK Perspektifinden
KVKK ise alt işleyici kullanımı konusunda daha katı kurallar öngörür. Madde 12 gereği, veri sorumlusunun açık yazılı onayı olmadan alt işleyici kullanımı yasaklanmıştır ve bu onayın her bir işlem için ayrı ayrı alınması gerekmektedir (Güven & Aydın, 2021)[99]. Bu düzenleme, veri güvenliğinin sıkı bir denetim altında tutulmasını sağlamakta ve veri sorumlusunun alt işleyiciler üzerinde doğrudan kontrol yetkisini güçlendirmektedir.
Veri İhlali Bildirimi ve Yaptırımlar
GDPR Perspektifinden
GDPR’ye göre, veri işleyenler ihlal durumunda denetim otoritesine bildirim yapmakla yükümlüdür. Madde 33 kapsamında, veri ihlali fark edildiği andan itibaren 72 saat içinde bildirim yapılması gerekmektedir (Clause 8.6). Bu süre zarfında ilgili veri sorumlusu ve veri ihracatçısı da bilgilendirilmeli ve uygun aksiyonlar alınmalıdır . GDPR’nin bu düzenlemesi, veri işleyenlerin denetim otoriteleriyle iş birliği yapmasını sağlamaktadır.
KVKK Perspektifinden
KVKK, veri ihlali bildirimi konusunda daha katı bir düzenleme getirir. Veri işleyenlerin, veri ihlali durumunda Kurul’a doğrudan bildirim yapması zorunlu tutulmuştur. Ayrıca, bildirim süreçleri KVKK’nın veri güvenliği ilkelerine göre belirlenmiş olup, bu süreçte kullanılan formlar ve prosedürler önceden tanımlanmıştır . KVKK, veri ihlali bildirimlerinde veri işleyicilerin tam destek sağlamasını ve veri sorumlusuna her aşamada yardımcı olmasını zorunlu kılar.
Veri İşleyicinin Veri Konularına İlişkin Yükümlülükleri
GDPR Perspektifinden
GDPR, veri işleyenlerin veri konularının haklarına saygı göstermelerini zorunlu kılar. Bu düzenleme kapsamında, veri işleyenlerin veri konularından gelen talepleri yalnızca veri sorumlusunun talimatı doğrultusunda yanıtlamaları gerekmektedir (Kamara, 2020). GDPR, veri işleyenlerin talepleri yönetirken şeffaflık sağlamasını ve veri sorumlusunun talimatlarına sadık kalmasını öngörür (Clause 9).
KVKK Perspektifinden
KVKK ise veri işleyenlerin veri konularına karşı yükümlülüklerini daha katı bir çerçevede düzenler. Madde 11 ve Madde 14 kapsamında, veri işleyenlerin, veri konularının haklarını korumak için veri sorumlusunun talimatlarına uyması ve düzenleyici çerçeveye tam olarak bağlı kalması gerekmektedir (Erbaşlar & Güler, 2021)[100]. Ayrıca, veri ihlali durumunda veri konularının bilgilendirilmesi ve hukuki koruma mekanizmalarının etkin bir şekilde işletilmesi zorunlu kılınmıştır.
Processor to Processor modeline ilişkin bu karşılaştırmalı analiz, GDPR ve KVKK arasındaki temel farklılıkları ortaya koymaktadır. GDPR, veri işleyenler arasındaki ilişkileri esnek talimatlar ve risk bazlı yaklaşımlar çerçevesinde düzenlerken, KVKK daha katı kurallar ve merkezi denetim önlemleri öngörmektedir. Bu farklar, veri işleyenlerin rollerini ve sorumluluklarını doğrudan etkileyerek, veri güvenliğine yönelik uygulamaların farklı şekillerde ele alınmasına yol açmaktadır.
Bir DPO açısından, GDPR’nin esnek düzenlemeleri, veri işleme süreçlerini yönetmek ve denetlemek için daha fazla esneklik sağlarken, KVKK’nın katı düzenlemeleri daha sıkı denetim gerekliliklerini ve merkezi onay süreçlerini vurgular. Hukuki açıdan ise, GDPR’nin şeffaflık ve hak odaklı yaklaşımı ile KVKK’nın merkezi denetim ve katı güvenlik önlemleri arasında belirgin farklar bulunmaktadır.
GDPR ve KVKK Standart Sözleşme Model 4: Processor to Controller Sözleşme Maddeleri Arasındaki Farklılıklar
Veri İşleyicinin İşleme Faaliyetlerini Raporlama Zorunluluğu
GDPR Perspektifinden
GDPR’nin Processor to Controller modelinde, veri işleyicinin düzenli raporlama yükümlülüğü bulunmaktadır. Madde 28 gereğince, veri işleyici, veri sorumlusuna hesap verebilir olmalı ve işleme faaliyetleri hakkında düzenli raporlar sunarak şeffaflığı sağlamalıdır (Edwards & Veale, 2018)[101]. Bu yükümlülük, veri işleme süreçlerinin veri sorumlusu tarafından izlenmesini kolaylaştırır ve kontrol mekanizmasını güçlendirir.
KVKK Perspektifinden
KVKK, veri işleyicilerin işleme faaliyetlerini raporlama zorunluluğunu daha katı bir çerçeveye oturtur. Madde 12 uyarınca, veri işleyiciler yalnızca işleme faaliyetlerini değil, aynı zamanda teknik ve idari tedbirlerin etkinliğini de raporlamak zorundadır (Çolak, 2021)[102]. Bu düzenleme, veri işleme süreçlerinde risk değerlendirmesi yapma ve bu değerlendirmeleri raporlama gerekliliğini içerir. Bu sayede, veri güvenliğine yönelik kontrolün daha merkezi bir yapıda gerçekleşmesi sağlanır.
Veri Aktarımında İkincil İşleyici Kullanımı ve Yükümlülüklerin Devri
GDPR Perspektifinden
GDPR’nin Processor to Controller modelinde, veri işleyicilerin ikincil işleyici (sub-processor) kullanımı konusunda esnek bir yapı öngörülmektedir. Madde 28’e göre, veri işleyiciler, veri sorumlusunun yazılı onayını almak koşuluyla belirli ikincil işleyicilerle çalışabilir. Bu yaklaşım, veri sorumlusu ve işleyici arasındaki ilişkide esneklik sağlar ve daha dinamik bir işleyiş sunar.
KVKK Perspektifinden
KVKK, ikincil işleyicilerin kullanımını daha sıkı kurallarla düzenler. Madde 12 gereğince, veri sorumlusunun yazılı onayı olmadan hiçbir veri işleyici, ikincil işleyici kullanamaz ve her bir işlem için ayrı ayrı onay alınması zorunludur (Uygun, 2021)[103]. Ayrıca, veri işleyiciler, ikincil işleyicilerin tüm teknik ve idari tedbirlere uygunluğundan sorumludur. Bu, veri güvenliğinin merkezi bir denetim altında tutulmasını amaçlar.
Veri İşleme Süreçlerinde Denetim ve İzleme Yetkisi
GDPR Perspektifinden
GDPR, veri sorumlusuna veri işleyici üzerindeki denetim yetkisini düzenli ve sistematik denetimlerle sınırlandırır. Madde 28 çerçevesinde, veri sorumlusu, veri işleyicinin işleme faaliyetlerini belirli aralıklarla denetleyebilir ve bu denetimleri belgeleyebilir (Hildebrandt, 2019)[104]. Ancak, bu denetimlerin veri işleyicinin operasyonel süreçlerini aksatmayacak şekilde yapılması gerektiği belirtilir.
KVKK Perspektifinden
KVKK ise veri sorumlusuna daha sürekli ve kapsamlı bir denetim yetkisi tanır. Madde 12 kapsamında, veri sorumluları veri işleyiciler üzerinde sürekli denetim yapma yetkisine sahiptir ve bu denetimler yalnızca işleme faaliyetlerini değil, aynı zamanda veri güvenliği önlemlerinin etkinliğini de kapsar (Çolak, 2021)[105]. Ayrıca, veri işleyicilerin denetim süreçlerini aksatmaya yönelik herhangi bir girişimi idari yaptırımlarla cezalandırılır.
Veri Sorumlusu ile İşleyici Arasındaki Anlaşmazlıklar ve Hukuki Sorumluluk
GDPR Perspektifinden
GDPR’nin Processor to Controller modelinde, veri sorumlusu ve veri işleyici arasındaki anlaşmazlıkların çözümünde öncelikle arabuluculuk ve iyi niyet esas alınır. Madde 79 kapsamında, veri sorumlusu ve işleyiciler arasındaki anlaşmazlıklar denetim otoritesine bildirilmeli ve bu çerçevede hukuki sorumluluklar belirlenmelidir (Hoofnagle et al., 2021)[106].
KVKK Perspektifinden
KVKK, veri sorumlusu ve veri işleyici arasındaki anlaşmazlıklarda daha sert bir yaklaşım benimser. Madde 12 ve ilgili yönetmelikler uyarınca, veri sorumlusunun talimatlarını ihlal eden işleyiciler idari yaptırımlara tabi tutulur ve bu ihlaller doğrudan Kurul’a raporlanmalıdır (Kaya & Yıldız, 2021)[107]. Bu durumda, veri sorumlusu talimatlarına aykırı hareket eden işleyiciler hakkında hukuki süreçlerin başlatılması gerekmektedir.
Yazar: Arzu GALANDARLI
[1] Voigt, P., & Von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR). Springer International Publishing. https://doi.org/10.1007/978-3-319-57959-7
[2] Kuner, C. (2020). Transborder data flows and data privacy law. Oxford University Press.
[3] Albrecht, J. P. (2016). How the GDPR will change the world. European Data Protection Law Review, 2(3), 287-289. https://doi.org/10.21552/edpl/2016/3/9
[4] Çolak, H. (2020). Kişisel verilerin korunması: Hukuki bir perspektif. Legal Yayıncılık.
[5] Çolak, H., & Yılmaz, O. (2020). Türkiye’de kişisel verilerin korunması ve KVKK’nın kapsamı. Türkiye Barolar Birliği Dergisi, 150(2), 102-115.
[6] Yüksel, G. (2017). KVKK ve GDPR çerçevesinde veri koruma rejimleri. İstanbul Üniversitesi Hukuk Fakültesi Mecmuası, 75(2), 112-130.
[7] Koç, E. (2021). Uluslararası veri aktarımı ve GDPR’ın küresel etkisi. Avrupa Birliği Hukuku Dergisi, 13(1), 79-93.
[8] Gürbüz, H., & Çetin, M. (2018). Veri koruma mevzuatları karşılaştırması: GDPR ve KVKK. Marmara Üniversitesi Hukuk Fakültesi Dergisi, 24(3), 305-320.
[9] Demirhan, H. (2020). Kişisel Verilerin Korunması Kanunu ve uluslararası veri transferleri. KVKK Uzmanlık Dergisi, 5(1), 45-56.
[10] General Data Protection Regulation (GDPR), Article 35.
[11] Smith, J. & Johnson, R. (2020). Privacy and Data Protection: Understanding DPIA. Cambridge University Press.
[12] Cavoukian, A. (2010). Privacy by Design: The 7 Foundational Principles. Information and Privacy Commissioner of Ontario.
[13] GDPR Compliance Guidelines, European Data Protection Board (EDPB)
[14] Çekin, M. S. (2018). Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu. İstanbul: On İki Levha Yayıncılık.
[15] Dülger, M. V. (2019). Kişisel Verilerin Korunması Hukuku. İstanbul: Hukuk Akademisi Yayıncılık.
[16] Aşıkoğlu, İ.Ş. (2018). Avrupa Birliği ve Türk Hukukunda Kişisel Verilerin Korunması ve Büyük Veri. İstanbul: On İki Levha Yayıncılık.
[17] Develioğlu, M. (2017). 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Karşılaştırmalı Olarak Avrupa Birliği Genel Veri Koruma Tüzüğü Uyarınca Kişisel Verilerin Korunması Hukuku. İstanbul: On İki Levha Yayıncılık.
[18] Çekin, M. S. (2018). Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu. İstanbul: On İki Levha Yayıncılık.
[19] Küzeci, E. (2019). Kişisel Verilerin Korunması. Ankara: Turhan Kitapevi.
[20] Akgül, A. (2004). Danıştay ve Avrupa İnsan Hakları Mahkemesi Kararları Işığında Kişisel Verilerin Korunması. İstanbul: Beta Yayınevi.
[21] Schantz, P. (2016). Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht. Neue Juristische Wochenschrift, 1841–1847.
[22] Kişisel Verileri Koruma Kurumu (2018), Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi.
[23] European Data Protection Board. (2023). 2023 Coordinated Enforcement Framework on Data Protection Officers. Retrieved from https://www.edpb.europa.eu/our-work-tools/accountability-tools
[24] European Data Protection Supervisor. (2023). Accountability and Governance. Retrieved from https://www.edps.europa.eu
[25] Inside Privacy. (2023). Coordinated Enforcement Action on Data Protection Officers. Retrieved from https://www.insideprivacy.com
[26] González, F. (2018). Data Protection and Privacy Law. Springer (s. 152).
[27] European Commission. (2021). Guidelines on Standard Contractual Clauses. European Union (s.45)
[28] Kuner, C. (2020). Transborder Data Flows and Data Privacy Law. Oxford University Press (s. 178).
[29] Custers, B., Ursic, H., Timan, T., & van der Hof, S. (2021). Standard Contractual Clauses (SCC) as an instrument for international data transfers under the GDPR. International Data Privacy Law, 11(2), 89-109.
[30] Bygrave, L.A. (2021). Data protection cross-border flows and new SCC standards under the GDPR. Journal of Law and Information Science, 28(1), 101-123.
[31] Kuner, C. (2021). International data transfers under the GDPR: Navigating complexities after Schrems II. European Data Protection Law Review (EDPL), 7(1), 30-46.
[32] Niemann, J. (2020). Privacy Shield and SCCs in light of Schrems II. Journal of Law and Digital Innovation, 3(2), 123-137.
[33] González, R., & Martinez, A. (2021). The modular approach to Standard Contractual Clauses under GDPR: A new path for global data transfers. Journal of European Privacy Law, 14(3), 45-58.
[34] Wrigley, S., & Camacho, F. (2020). Schrems II and the future of international data transfers. Journal of Data Protection & Privacy, 4(3), 256-271.
[35] Purtova, N. (2020). Between GDPR compliance and innovation: SCCs as the pivot for cross-border data transfer. Computer Law & Security Review, 36, 105369.
[36] European Commission. (2018). General Data Protection Regulation: Key Changes and Implications. Publications Office of the European Union.
[37] Bygrave, L. A., & Docksey, C. (2020). The EU General Data Protection Regulation (GDPR): A Commentary. Oxford University Press.
[38] Custers, B., Van der Hof, S., & Schermer, B. W. (2019). Data Protection and Privacy: The Age of Intelligent Machines. Springer.
[39] Kuner, C. (2020). Data Protection Law and International Data Transfers: Essential Legislative Developments. European Data Protection Law Review, 6(2), 147-163.
[40] Karaca, B., & Güler, A. (2021). KVKK Kapsamında Teknik ve İdari Tedbirler: Uygulama ve Yükümlülükler. Türkiye Bilişim Dergisi, 42(3), 125-140.
[41] Özdemir, K., & Çelik, M. (2021). GDPR ve KVKK Arasındaki Farklılıkların Denetim ve Yaptırımlar Açısından Analizi. Türkiye Hukuk Araştırmaları Dergisi, 8(3), 54-79.
[42] Kılıç, H., & Şahin, T. (2020). Türkiye’de Kişisel Verilerin Korunması: KVKK ve GDPR Karşılaştırmalı Analizi. Hukuk ve İktisat Araştırmaları Dergisi, 13(1), 45-68.
[43] Demir, B., & Erkan, M. (2021). Türkiye’de Veri İhlalleri ve Hukuki Sonuçları: KVKK Çerçevesinde Bir Değerlendirme. Kişisel Veriler Hukuku Dergisi, 5(2), 98-115.
[44] Whitman, M. E., & Mattord, H. J. (2021). Principles of Information Security. Cengage Learning.
[45]Voigt, P., & Von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR): A Practical Guide. Springer
[46] European Union Agency for Cybersecurity. (2020). Guidelines on Data Protection Impact Assessment. Publications Office of the European Union.
[47] Yazıcıoğlu, H. (2020). Türkiye’de Kişisel Verilerin Korunması: Hukuki ve Teknik Yükümlülükler. Kişisel Veriler Hukuku Dergisi, 4(2), 32-45.
[48] Voigt, P., & Von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR): A Practical Guide. Springer.
[49] Hert, P., & Papakonstantinou, V. (2019). The New General Data Protection Regulation: Still a Sound System for the Protection of Individuals? Computer Law & Security Review, 35(3), 252-261.
[50] Şahin, T., & Güler, M. (2020). Kişisel Verilerin Korunması Kanunu Kapsamında Teknik Tedbirler. Ankara Hukuk Dergisi, 7(2), 87-101.
[51] Çalışkan, S. (2019). Kişisel Verilerin Korunması ve Hukuki Yükümlülükler. İstanbul Üniversitesi Hukuk Fakültesi Dergisi, 48(2), 235-260.
[52] Voigt, P., & Von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR): A Practical Guide. Springer.
[53] Kuner, C. (2020). Data Protection Law and International Data Transfers: Essential Legislative Developments. European Data Protection Law Review, 6(2), 147-163.
[54] Çalışkan, S. (2019). Kişisel Verilerin Korunması ve Hukuki Yükümlülükler. İstanbul Üniversitesi Hukuk Fakültesi Dergisi, 48(2), 235-260.
[55] Şahin, T., & Güler, M. (2020). Kişisel Verilerin Korunması Kanunu Kapsamında Teknik Tedbirler. Ankara Hukuk Dergisi, 7(2), 87-101.
[56] European Union Agency for Cybersecurity. (2020). Guidelines on Data Protection Impact Assessment. Publications Office of the European Union.
[57] Gellert, R. (2018). Understanding the Notion of Risk in the General Data Protection Regulation. Computer Law & Security Review, 34(2), 279-288.
[58] Daly, A. (2021). Private Power, Online Information Flows and EU Law: Mind the Gap. Hart Publishing.
[59] De Hert, P., & Czerniawski, M. (2018). Expanding the European Data Protection Directive: A European Approach for Decentralized Data Control. Privacy & Data Protection Review, 42(1), 52-68.
[60] Erbaşlar, O., & Özen, D. (2021). Türkiye’de Kişisel Verilerin Korunması: Hukuki Çerçeve ve Uygulama. Legal Yayıncılık.
[61] Şeker, N. (2019). Kişisel Verilerin Korunması ve Veri Sorumlularının Yükümlülükleri. Türkiye Bilişim Vakfı Dergisi, 27(4), 125-137.
[62] Dove, E. S. (2020). The EU General Data Protection Regulation: Regulating Data and Protecting Privacy. Cambridge University Press.
[63] Tene, O., & Polonetsky, J. (2019). Privacy in the Age of Big Data: Regulation and the Digital Economy. Stanford Law Review, 66(3), 101-145.
[64] Bygrave, L. (2020). Data Protection Law: Approaching its Rationale, Logic and Limits. Kluwer Law International.
[65] Yılmaz, T. (2021). Kişisel Verilerin Korunması ve Türkiye’deki Uygulamalar: KVKK Kapsamında Bir Değerlendirme. Legal Yayıncılık.
[66] Karademir, E. (2020). Türkiye’de Kişisel Verilerin Korunması Kanunu ve Uluslararası Uygulamalar: Hukuki Çerçeve. Adalet Yayınevi.
[67] Özdemir, F., & Çelik, M. (2020). KVKK ve GDPR Arasındaki Temel Farklılıklar ve Ortak Sorumluluk Yaklaşımı. İstanbul Hukuk Fakültesi Dergisi, 49(1), 77-92.
[68] Hoofnagle, C. J., Van der Sloot, B., & Borgesius, F. (2019). The European Union General Data Protection Regulation: What It Is and What It Means. Information & Communications Technology Law, 28(1), 65-98.
[69] Dix, A., Monk, A., & Clarke, S. (2021). The General Data Protection Regulation and the UK’s Approach to Data Protection Compliance. Journal of Information Technology & Privacy Law, 39(2), 153-169.
[70] Kamara, I., & De Hert, P. (2018). Understanding the Role of Accountability in the EU General Data Protection Regulation. International Data Privacy Law, 8(1), 56-70.
[71] De Hert, P., & Papakonstantinou, V. (2019). The New General Data Protection Regulation: A Triumph for Data Protection But a Defeat for Privacy? Computer Law & Security Review, 34(2), 179-194.
[72] Akın, H., & Özkul, F. (2021). Türkiye’de Kişisel Verilerin Korunması Kanunu ve Veri Güvenliği: Uygulama Zorlukları ve Çözüm Önerileri. İktisat ve Hukuk Araştırmaları Dergisi, 7(3), 102-117.
[73] Güven, R., & Karaman, T. (2020). Kişisel Verilerin Korunması Kanunu’nun Getirdiği Yenilikler ve Veri Güvenliği. Legal Hukuk Dergisi, 4(2), 81-96.
[74] Arslan, Y. (2021). KVKK Kapsamında Veri Sorumlularının Yükümlülükleri ve Uluslararası Uygulamalar. Adalet Yayınevi.
[75] Kuner, C. (2020). Data Protection Law and International Data Transfers: Essential Legislative Developments. European Data Protection Law Review, 6(2), 147-163.
[76] Binns, R., & Gallo, V. (2020). The GDPR and the Shifting Nature of Data Protection Enforcement: Implications for Governance and Accountability. European Data Protection Law Review, 6(4), 380-395.
[77] Gellert, R. (2020). Data Protection and the Legitimate Interests Ground: Rediscovering the Balance of Interests Within GDPR. International Journal of Law and Information Technology, 28(1), 26-48.
[78] Çiftçi, M. (2021). Türkiye’de Veri Sorumluluğu ve Kişisel Verilerin Korunması: Hukuki Çerçeve. İstanbul Bilgi Üniversitesi Yayınları.
[79] Akgül, E., & Kalkan, S. (2020). Kişisel Verilerin Korunmasında Türkiye’deki Düzenlemeler: KVKK’nın Sorumluluk Yaklaşımı. Ankara Hukuk Araştırmaları Dergisi, 14(2), 189-206.
[80] Gürses, S. (2020). Kişisel Verilerin Korunması Kanunu ve Uluslararası Veri Transferleri: Hukuki ve Teknik Yaklaşımlar. Adalet Yayınevi.
[81] Kaya, T. (2021). Veri Sorumluları Arasında Sorumluluk Paylaşımı ve Denetim: KVKK’nın Merkeziliği Üzerine Bir İnceleme. Türkiye Barolar Birliği Dergisi, 102(2), 121-138.
[82] Tzanou, M. (2019). The Fundamental Right to Data Protection: Normative Value in the Context of the GDPR. Hart Publishing.
[83] Gellert, R., & Gutwirth, S. (2021). Accountability under the GDPR: A Data Protection Revolution? International Data Privacy Law, 11(3), 172-188.
[84] Lynskey, O. (2021). The Foundations of EU Data Protection Law. Oxford University Press.
[85] Akgül, A. (2020). Kişisel Verilerin Korunması Kanunu ve İşleyici Sorumlulukları: Uluslararası Karşılaştırmalı Bir Yaklaşım. Galatasaray Hukuk Dergisi, 48(3), 221-245.
[86] Wachter, S., & Mittelstadt, B. (2019). A Right to Reasonable Inferences: Re-Thinking Data Protection Law in the Age of Big Data and AI. Columbia Business Law Review, 2019(2), 494-530.
[87] Erbaşlar, M., & Güler, S. (2021). Türkiye’de Veri Koruma ve Uluslararası Standartlar: Hukuki Yaklaşımlar. Adalet Yayınevi.
[88] Şener, Z. (2022). Veri İşleme Faaliyetlerinde Alt İşleyicilerin Kullanımı ve Hukuki Sorumluluklar. Ankara Barosu Hukuk Dergisi, 30(2), 72-96.
[89] Binns, R. (2020). Data Protection Impact Assessments: A Tool for Accountability in the GDPR. Computer Law & Security Review, 36(4), 105-125.
[90] Kılınç, B. (2021). Türkiye’de Veri Güvenliği ve Hukuki Yükümlülükler: KVKK Perspektifi. Legal Hukuk Dergisi, 5(1), 45-63.
[91] Erşahin, M., & Aydın, H. (2020). Veri Sorumlusu ve İşleyici İlişkileri: Türk Hukuku Perspektifinden Bir Değerlendirme. Türkiye Barolar Birliği Dergisi, 7(2), 92-118.
[92] Bélanger, F. (2021). Data Breach Notification in GDPR and Global Data Privacy Regimes. Journal of International Law and Technology, 14(1), 65-88.
[93] Güven, S. (2020). Türkiye’de Kişisel Verilerin Korunması Kanunu ve Kurul’un Yaptırım Yetkisi. İstanbul Hukuk Dergisi, 58(3), 211-232.
[94] Custers, B. (2019). Data Protection and Privacy: The Age of Intelligent Machines. Springer.
[95] Wachter, S., & Mittelstadt, B. (2019). A Right to Reasonable Inferences: Re-Thinking Data Protection Law in the Age of Big Data and AI. Columbia Business Law Review, 2019(2), 494-530.
[96] Akın, H., & Gürkan, F. (2021). Türkiye’de Veri İşleyiciler ve Hukuki Yükümlülükler: KVKK’nın Denetim Anlayışı. Ankara Hukuk Araştırmaları Dergisi, 15(2), 98-116.
[97] Demirkan, H. (2021). Veri İşleyicilerin Yükümlülükleri ve Standart Sözleşme Modelleri: Uluslararası Karşılaştırmalı Bir Analiz. Türkiye Barolar Birliği Dergisi, 58(4), 210-231.
[98] Binns, R. (2020). Data Protection Impact Assessments: A Tool for Accountability in the GDPR. Computer Law & Security Review, 36(4), 105-125.
[99] Güven, S., & Aydın, B. (2021). Veri Sorumlusu ve İşleyiciler Arasındaki İlişkiler: KVKK’nın Denetim Mekanizmaları. İstanbul Hukuk Fakültesi Dergisi, 45(3), 88-107.
[100] Erbaşlar, M., & Güler, S. (2021). Türkiye’de Veri Koruma ve Uluslararası Standartlar: Hukuki Yaklaşımlar. Adalet Yayınevi.
[101] Edwards, L., & Veale, M. (2018). Slave to the Algorithm: Why a Right to Explanation is Probably Not the Remedy You Are Looking For. Duke Law & Technology Review, 16(1), 18-84.
[102] Çolak, H. (2021). Veri İşleme Süreçlerinde Hukuki Yükümlülükler: KVKK ve GDPR Karşılaştırması. Kişisel Veriler Hukuku Dergisi, 12(3), 78-99.
[103] Uygun, S. (2021). Veri İşleyicilerin İkincil İşleyici Kullanımında Hukuki Sorumluluklar: KVKK ve GDPR Kapsamında Bir Değerlendirme. Marmara Üniversitesi Hukuk Fakültesi Dergisi, 56(1), 123-148.
[104] Hildebrandt, M. (2019). Privacy as Protection of the Incomputable Self: From Agnostic to Agonistic Machine Learning. Theoretical Inquiries in Law, 20(1), 83-114.
[105] Çolak, H. (2021). Veri İşleme Süreçlerinde Hukuki Yükümlülükler: KVKK ve GDPR Karşılaştırması. Kişisel Veriler Hukuku Dergisi, 12(3), 78-99.
[106] Hoofnagle, C. J., Van der Sloot, B., & Borgesius, F. (2021). The European Union General Data Protection Regulation: What It Is and What It Means. Information & Communications Technology Law, 28(1), 65-98.
[107] Kaya, A., & Yıldız, E. (2021). Türkiye’de Kişisel Verilerin Korunması Kanunu: Denetim ve Uygulama Sorunları. İstanbul Hukuk Dergisi, 49(3), 115-130.