Türkiye’de birçok şirket, kişisel veri koruma uyumunu yalnızca KVKK çerçevesinde ele almakta ve bu uyumun yeterli olduğu varsayımıyla hareket etmektedir. Oysa uygulamada, KVKK’ya uyumlu görünen pek çok şirketin GDPR kapsamında hâlâ ciddi ve fark edilmemiş riskler taşıdığı görülmektedir. Özellikle ihracat yapan, dijital kanallar üzerinden müşteri edinen veya yurt dışı iş ortaklarıyla çalışan şirketlerde bu riskler daha belirgin hâle gelmektedir.

      Uygulamada gözlemlediğimiz temel sorun, şirketlerin çoğunda veri koruma riskinin bilgi eksikliğinden değil, yanlış varsayımlardan kaynaklanmasıdır. KVKK uyumu sağlandığında veri koruma sürecinin tamamlandığı düşünülmekte; oysa bu yalnızca sürecin başlangıcıdır.

GDPR, Türkiye’deki Şirketleri Ne Zaman İlgilendirir?

      GDPR’ın en kritik düzenlemelerinden biri kapsam (territorial scope) maddesidir. Türkiye’de yerleşik bir şirketin;

      -AB’deki kişilere ürün veya hizmet sunması,

      -AB’deki bireylerin çevrimiçi davranışlarını izlemesi,

      -Yurt dışı grup şirketleri veya iş ortaklarıyla ortak veri işleme süreçleri yürütmesi

hâlinde, AB’de fiziken yerleşik olmasa dahi GDPR kapsamına girmesi mümkündür.

      Sahada sıklıkla karşılaşılan durum, şirketlerin bu kapsam analizini hiç yapmadan “bizi ilgilendirmiyor” sonucuna varmasıdır. Oysa GDPR’a tabi olup olunmadığı netleştirilmeden yapılan her uyum çalışması, eksik ve kırılgan kalmaktadır.

KVKK Uyumlu Olmak Neden Tek Başına Yeterli Değildir?

      KVKK ile GDPR arasında benzer kavramlar bulunmakla birlikte, yaklaşım ve derinlik farkı oldukça belirgindir. GDPR;

      -hesap verebilirlik ilkesini,

      -belgelendirme ve ispat yükümlülüğünü,

      -risk temelli ve sürekli bir uyum anlayışını çok daha güçlü şekilde zorunlu kılar.

      Değerlendirmemize göre, şirketlerin önemli bir kısmı “belgeye sahip olmayı” uyum olarak kabul etmektedir. Oysa GDPR açısından asıl mesele, bu belgelerin şirketin günlük operasyonlarında fiilen karşılık bulup bulmadığıdır.

Şirketlerde Sessiz Risk Yaratan Alanlar

      GDPR riski çoğu zaman ani bir ihlalden değil, zaman içinde biriken uyumsuzluklardan kaynaklanır. Özellikle aşağıdaki alanlar kritik önemdedir:

      -Web sitesi ve dijital kanallar (çerezler, formlar, pazarlama izinleri)

      -Yurt dışı müşteri ve iş ortaklarıyla yapılan sözleşmeler

      -Çalışan verileri ve İK süreçleri

      -Yurt dışına veri aktarımı ve bulut servisleri

      -Veri ihlali tespiti ve bildirim mekanizmaları

      Uygulamada gördüğümüz tablo, bu alanların birbirinden kopuk şekilde ele alındığı yönündedir. Oysa GDPR, tüm bu unsurların tek ve bütüncül bir uyum sistemi

 içinde yönetilmesini bekler.

Şirketler Nasıl Bir Yol İzlemeli?

      KVKK ve GDPR, birbirinin alternatifi değil; birlikte ve tutarlı şekilde yönetilmesi gereken iki ayrı uyum alanıdır. Sağlıklı bir yaklaşım için:

      1-GDPR kapsam analizinin net ve somut biçimde yapılması

      2-KVKK uyumu ile GDPR gereklilikleri arasındaki boşlukların tespit edilmesi

      3-Politika, sözleşme, web sitesi ve iç süreçlerin aynı uyum mantığına bağlanması

      4-Tedarikçi ve veri işleyen ilişkilerinin yeniden yapılandırılması

      5-Uyumun periyodik olarak gözden geçirilmesi

      Yaklaşımımız, uyumu tek seferlik bir proje olarak değil, şirketin kurumsal yönetişiminin sürekli bir parçası olarak ele almak yönündedir. Aksi hâlde uyum, kâğıt üzerinde kalan bir formaliteye dönüşmektedir.

Sonuç

      KVKK’ya uyum, veri koruma yolculuğunda önemli bir adımdır; ancak özellikle uluslararası temasları olan Türk şirketleri için GDPR ayrı ve ertelenemez bir değerlendirme alanıdır. Hedef, yalnızca mevzuata uygun görünmek değil; şirketin veri işleme faaliyetlerini ölçülebilir, denetlenebilir ve sürdürülebilir bir yapıya kavuşturmaktır.

      Bu noktada şirketlerin kendilerine sorması gereken temel soru şudur:

      “Gerçekten uyumlu muyuz, yoksa uyumlu olduğumuzu mu varsayıyoruz?”

Av. Dr. Çağrı Tuna