GDPR Danışmanlığı: Bölgesel Kapsam, KVKK İlişkisi ve Kurumsal Uyum Adımları

GDPR · Uyum Programları · Danışmanlık

GDPR Danışmanlığı Bölgesel Kapsam, KVKK İlişkisi ve Kurumsal Uyum Adımları

Genel Veri Koruma Tüzüğü (GDPR), 95/46/EC Direktifi’nin yerine geçerek Avrupa Birliği (AB) vatandaşlarının kişisel verilerinin korunmasını hedefleyen temel düzenlemedir. 14 Haziran 2016’da onaylanmış, 25 Mayıs 2018 itibarıyla uygulanmaya başlamıştır. GDPR; kurumlar için küresel ölçekte tutarlı gizlilik ve bilgi güvenliği standartları öngörür ve yalnızca AB içindeki şirketleri değil, AB’de yaşayan ilgili kişilere dijital kanallarla ulaşan tüm organizasyonları etkiler.

Bu sayfa, GDPR danışmanlığı perspektifiyle; tüzüğün çerçevesini, madde 3’e göre bölgesel kapsamını, KVKK ile ilişkisini ve sık yapılan yanılgıları, ayrıca veri envanteri, DPO atanması, çerez/rıza yönetimi ve tedarikçi sözleşmeleri gibi kurumsal uyum adımlarını bütüncül bir rehberle ele alır.

GDPR’ın Çerçevesini İncele GDPR Uyum Adımlarını Gör

İçindekiler 1. Giriş 2. GDPR’ın Çerçevesi ve Amacı 3. Madde 3: Bölgesel Kapsam (Territorial Scope) 4. KVKK & GDPR İlişkisi – Yanılgılar 5. GDPR Danışmanlığı ile Uyum İçin Temel Yapılacaklar 6. Ortak Uyum Programı, Riskler ve Avantajlar 7. Sık Sorulan Sorular

Özet

Odak: GDPR danışmanlığı, bölgesel kapsam, KVKK & GDPR farkları, veri envanteri, DPO, DPIA, çerez ve rıza yönetimi.
Kimler için? AB/AEA’daki bireylerin verilerini işleyen; AB’de ofisi olmasa dahi AB’deki kişilere dijital kanallar üzerinden ürün, hizmet veya içerik sunan kurumlar.
Sonuç: Hesap verebilirlik, etkin gizlilik yönetimi ve risk temelli uyum yaklaşımı.

GDPR Danışmanlığı GDPR Bölgesel Kapsam KVKK & GDPR Uyum DPO · DPIA · Çerez

Not: Türkiye’de faaliyet gösterip AB’de yaşayan ilgili kişilere web sitesi, mobil uygulama, sosyal medya veya e-ticaret kanallarıGDPR uyum programının da kurgulanması kritik önemdedir.

Category: Uyum Programları · GDPR Danışmanlığı | İçerik Sahibi: Nesil Teknoloji A.Ş. | Güncel Tema: GDPR Bölgesel Kapsam & KVKK Uyum Adımları

Uzman Profili: GDPR Danışmanı Av. Döndü AYDIN

GDPR ve KVKK uyum projelerinde; bölgesel kapsam analizi, veri envanteri, DPO hizmeti, DPIA (Veri Koruma Etki Değerlendirmesi), çerez/rıza yönetimi ve tedarikçi sözleşmeleri alanlarında kurumsal danışmanlık sağlamaktadır.

1. GDPR’ın Çerçevesi ve Amacı

Genel Veri Koruma Tüzüğü (GDPR), AB/AEA’daki bireylerin kişisel verilerinin korunmasını, sınır ötesi veri aktarımının güvenli ve meşru bir zeminde yürütülmesini ve veri koruma standartlarının Avrupa genelinde bütünleşmesini hedefler. Tüzük; veri koruma kurallarını tüm üye devletlerde doğrudan uygulanabilir kılarak, işletmeler için ortak bir gizlilik çerçevesi sağlar.

GDPR kapsamında kurumların veri işleme süreçlerinde; açık amaç, ölçülülük, saklama süresi, güvenlik ve şeffaflık ilkelerini hayata geçirmesi beklenir. Böylece sadece yasal uyum değil, aynı zamanda hesap verebilirlik ve risk temelli yaklaşım da somutlaştırılır.

1.1 Değişimin Odağı: Etkin Gizlilik Yönetimi

Etkin gizlilik yönetimi: Gizlilik, yalnızca metinlerde değil; iş akışları, sistem tasarımı ve ürün geliştirme aşamalarında da dikkate alınmalıdır (privacy by design/by default).
Hesap verebilirlik (accountability): Veri sorumluları, sadece kurallara uymakla yetinmez; uyumu gösteren kayıt ve kanıtları da oluşturmakla yükümlüdür.
Risk temelli yaklaşım: Veri işleme faaliyetleri, ilgili kişi üzerindeki risklerin ağırlığına göre değerlendirilir; yüksek riskli işlemler için DPIA (Data Protection Impact Assessment) yapılması beklenir.

Kurumlar için güçlü bir GDPR uyum programı; veri akışları, teknik/idari tedbirler, sözleşmeler, eğitimler ve denetim mekanizmaları ile desteklenen bütüncül bir yapı anlamına gelir.

2. Madde 3: GDPR Bölgesel Kapsam (Territorial Scope)

GDPR’ın en kritik maddelerinden biri olan Madde 3 – Bölgesel Kapsam, tüzüğün yalnızca AB sınırları içinde kurulu şirketler için değil, AB’de yaşayan ilgili kişilere ulaşan tüm organizasyonlar için geçerli olabileceğini vurgular. Bu da Türkiye merkezli olsa dahi, dijital kanallarla AB pazarına açılan pek çok kurumun GDPR kapsamına girmesi anlamına gelir.

2.1 AB Dışında Kurulu Olup GDPR Kapsamına Giren Kurumlar

AB dışında kurulu olsanız bile aşağıdaki koşullardan biri veya birkaçı mevcutsa GDPR kapsamına girersiniz:

AB’de yaşayan ilgili kişilere mal/hizmet sunmak: Web sitenizde veya uygulamanızda AB dillerinde içerik sunmanız, AB para birimiyle fiyat/teklif paylaşmanız, AB’den teslimat opsiyonu sunmanız bu kapsamdadır.
Davranışların izlenmesi: Çerezler (cookies), IP adresleri, izleme pikselleri, analitik araçlar ve benzeri teknolojilerle AB’deki kişilerin çevrimiçi davranışlarını izlemeniz durumunda da GDPR devreye girer.
AB ile ticari ilişki ve veri aktarımı: AB’deki tedarikçiler, iş ortakları veya grup şirketleri ile kurulan veri aktarım ilişkileri de GDPR kapsamındaki yükümlülükleri gündeme getirir.

Senaryo	Kapsam Göstergesi	GDPR Riski
TR merkezli e-ticaret sitesinin Almanca dil ve € fiyat sunması	AB dilinde içerik + AB para birimi + AB’ye teslimat	GDPR madde 3(2) kapsamında mal/hizmet sunumu
TR merkezli SaaS ürününün AB IP’lerini çerez/analitik ile izlemesi	Davranış izleme (cookies, IP, piksel)	GDPR madde 3(2) kapsamında davranış izleme
TR – AB grup içi insan kaynakları veri aktarımı	Sınır ötesi veri transferi	Uluslararası aktarım hükümleri, SCC/BCR gereklilikleri

Özet: “AB’de ofisimiz yok, o halde GDPR bizi ilgilendirmez” yaklaşımı çoğu zaman yanlıştır. Dijital kanallarla AB’deki kişilere ulaşan, çerez ve analitiklerle davranışlarını izleyen veya AB ile veri paylaşan her kurum kendi faaliyetleri özelinde madde 3 kapsamını değerlendirmelidir.

3. KVKK ile GDPR Arasındaki İlişki ve Sık Yapılan Yanılgılar

Türkiye’de pek çok kurum, öncelikle KVKK uyum projelerini hayata geçirip ardından GDPR’ı gündemine alıyor. KVKK’ya uyum, GDPR için son derece değerli bir temel altyapı sağlar; ancak tek başına yeterli değildir. Özellikle aşağıdaki alanlarda iki rejim arasında önemli farklar ve ek gereklilikler söz konusudur:

Alan	KVKK	GDPR
Saklama Süreleri	Amaç ve mevzuat temelli; saklama ve imha politikası ile belirlenir.	Amaçla sınırlı saklama + detaylı kayıt tutma; “storage limitation” prensibi vurgulu.
Yaptırım Rejimi	Belirli aralıklarda idari para cezaları ve hapis cezaları.	Yıllık küresel cironun %4’üne ya da 20M €’ya kadar para cezaları.
Uluslararası Aktarım	Kurul kararları, taahhütler ve yeterlilik kararları üzerinden işlenir.	Yeterlilik kararları, SCC, BCR ve ek risk değerlendirmeleri (Schrems II sonrası).
Rıza ve Meşru Menfaat	KVKK m.5/2 ve m.6 çerçevesinde sınırlı hukuki sebepler.	Geniş rıza düzeni, meşru menfaat testleri ve açık kayıt yükümlülükleri.
Denetim ve Kayıt Yükümlülüğü	Kurul kararları, VERBİS ve denetimler.	DPIA, kayıt tutma zorunlulukları, denetim otoriteleriyle proaktif iş birliği.

3.1 Sık Yapılan Yanılgılar

“KVKK’ya uyumluysak GDPR’a da uyumluyuz” yanılgısı: KVKK uyumu, GDPR uyumu için başlangıç sağlar ancak saklama süreleri, yaptırımlar, uluslararası aktarım ve denetim mekanizmalarındaki farklar sebebiyle ayrı bir çalışma gerektirir.
“AB’de ofisimiz yok, o hâlde GDPR bizi bağlamaz” yanılgısı: Madde 3, AB dışında kurulu şirketlerin de AB’deki ilgili kişilere mal/hizmet sunması veya davranışlarını izlemesi hâlinde GDPR’dan sorumlu olacağını açıkça ortaya koyar.
“Çerez politikası sadece bilgilendirme metnidir” algısı: GDPR kapsamında çerezler, rıza ve tercih yönetimi ile birlikte ele alınır; basit bir metin değil, teknik ve hukuki bir kontrol mekanizması gerektirir.

Kritik Not: Türkiye’de faaliyet gösterip AB’deki kişilere dijital kanallar üzerinden ulaşan kurumlar için, KVKK ve GDPR’a aynı anda uyumlu birleştirilmiş politika ve prosedür seti kurgulanması gerekir. Böylece çelişkiler minimize edilir, denetimlerde tutarlı bir çerçeve sunulur.

4. GDPR Danışmanlığı ile Uyum: Temel Yapılacaklar

Etkili bir GDPR danışmanlığı projesi; hukuki, teknik ve operasyonel bileşenleri aynı anda ele alan yapılandırılmış bir yol haritasına dayanır. Aşağıdaki adımlar, AB veri koruma standartlarıyla uyumlu bir çerçeve kurulmasına yardımcı olur:

4.1 Risk Değerlendirmesi ve Organizasyonel Kontroller

Kurumun GDPR kapsamındaki faaliyetleri için risk değerlendirmesi yapılır; yüksek riskli işleme faaliyetleri tespit edilir.
Veri koruma rollerini ve sorumluluklarını netleştiren bir yönetişim yapısı oluşturulur.

4.2 Veri Akışları ve Envanter

Tüm sistemler, uygulamalar ve iş birimleri için veri akışları haritalanır.
Amaç, veri kategorisi, ilgili kişi grupları, alıcı grupları, saklama süreleri ve güvenlik tedbirlerini içeren detaylı bir GDPR uyumlu veri envanteri hazırlanır.

4.3 Hukuki Sorumlulukların Tanımlanması

İşleme faaliyetleri; rıza, sözleşme, meşru menfaat, hukuki yükümlülük, hayati çıkar veya kamu görevi gibi uygun hukuki sebeplerle eşleştirilir.
Uluslararası veri aktarımı, SCC, BCR gibi mekanizmalarla hukuken güvence altına alınır.

4.4 Uçtan Uca Güvenlik: Teknik ve İdari Tedbirler

Erişim yetkileri, loglama, şifreleme, ağ güvenliği ve yedekleme gibi gözden geçirilir ve GDPR’a uygun hâle getirilir.
Olay yönetimi, ihlal bildirimi, belge yönetimi ve eğitim süreçlerini içeren yapılandırılır.

4.5 DPO (Veri Koruma Görevlisi) Atanması

Yönetmelik uyarınca gerekli hâllerde DPO (Data Protection Officer – Veri Koruma Görevlisi) atanır.
DPO’nun yetkinlik seti, bağımsız raporlama hattı ve üst yönetimle iletişim mekanizması tanımlanır.

4.6 Politika & Prosedürlerin Güncellenmesi

Gizlilik, çerez, veri saklama-imha, ihlal bildirimi, ilgili kişi hakları ve tedarikçi yönetimi gibi başlıklarda politika ve prosedürler GDPR perspektifiyle güncellenir.
Grup içi veri aktarım mekanizması olarak kullanılan BCR’lar (Binding Corporate Rules) gözden geçirilir ve gerekirse revize edilir.

4.7 Pazarlama ve Sosyal Medya Süreçlerinin Yeniden Tasarımı

Dijital pazarlama, e-posta kampanyaları, SMS, push bildirimleri ve sosyal medya süreçleri; rıza ve tercih yönetimi odaklı yeniden tasarlanır.
Çerez yönetimi için şeffaf bir banner ve tercih paneli kurgulanır; zorunlu/isteğe bağlı çerezler ayrıştırılır.

Hızlı Aksiyon: GDPR uyum sürecinizi başlatmak için; veri envanteri, DPIA, DPO hizmeti, çerez/rıza yönetimi, tedarikçi sözleşmeleri ve eğitim paketlerinden oluşan uçtan uca uyum programı kurgulanabilir. Detaylar için GDPR resmî metni ve KVKK Kurumu kaynakları birlikte değerlendirilmelidir.

5. Ortak Uyum Programı, Riskler ve Avantajlar

KVKK ve GDPR’ın birlikte gündemde olduğu yapılarda, parçalı ve çelişkili politika setleri önemli riskler doğurabilir. Bu nedenle, her iki rejimi de dikkate alan ortak bir uyum programı kurgulanması kritik önemdedir.

5.1 Başlıca Uyum Riskleri

KVKK’ya göre hazırlanmış süreçlerin, GDPR özel gerekliliklerini (DPIA, DPO, SCC vb.) içermemesi.
Çerez ve pazarlama süreçlerinde rıza yönetiminin eksik veya yetersiz kurgulanması.
Sınır ötesi veri aktarımının sözleşmesel ve teknik güvenlik önlemleriyle desteklenmemesi.
İhlal yönetimi süreçlerinde 72 saat içinde bildirim ve kanıt koruma mekanizmalarının eksikliği.

5.2 KVKK & GDPR Ortak Uyumunun Avantajları

Tek bir çatı altında uyumlu politika ve prosedürler, ve uygulamada tutarlılık sağlar.
AB pazarına açılmak isteyen Türk şirketleri için yaratır.
Müşteri ve iş ortakları nezdinde gizlilik odaklı marka algısını güçlendirir.

6. Sık Sorulan Sorular

AB’de ofisimiz yok, yine de GDPR’a tabi miyiz?

Evet, olabilirsiniz. AB/AEA dışında kurulu olsanız bile, AB’de yaşayan ilgili kişilere mal/hizmet sunuyor veya davranışlarını çerezler, IP, piksel ve analitik araçlarla izliyorsanız GDPR kapsamına girebilirsiniz. Bu nedenle, web sitenizde AB dillerinde içerik sunuyor, € ile fiyatlandırma yapıyor veya AB’ye teslimat seçeneği sunuyorsanız, faaliyetleriniz mutlaka madde 3 çerçevesinde analiz edilmelidir.

KVKK uyumumuz var. Neyi ayrıca ele almalıyız?

KVKK uyumu önemli bir temel oluşturur; ancak GDPR’a özgü saklama süreleri, uluslararası aktarım mekanizmaları, DPIA (etki değerlendirmesi), DPO atanması, çerez/rıza yönetimi ve yüksek para cezaları gibi konular ayrıca ele alınmalıdır. Bu nedenle, mevcut KVKK uyumunuz bir GDPR GAP analizi ile değerlendirilerek eksik alanlar tespit edilmelidir.

DPO atamak zorunda mıyız?

GDPR bazı durumlarda zorunlu DPO atanmasını öngörür. Özellikle; çekirdek faaliyetleri büyük ölçekli izleme veya özel nitelikli kişisel veri işleme olan veri sorumluları için DPO şarttır. Her durumda DPO zorunlu olmasa bile, veri koruma sorumluluklarının net bir şekilde birimlere dağıtılması ve bağımsız raporlama hattına sahip bir uzman profille çalışılması iyi bir uygulamadır.

GDPR uyum sürecimizi nasıl başlatmalıyız?

İlk adım; faaliyetlerinizi, dijital kanallarınızı ve AB ile ilişkinizi dikkate alan dir. Ardından veri envanteri, DPIA, DPO hizmeti, çerez/rıza yönetimi, tedarikçi sözleşmeleri ve eğitim paketlerinden oluşan tasarlanmalıdır.

GDPR Danışmanlığı GDPR Bölgesel Kapsam KVKK & GDPR Uyum Veri Sorumluları DPO · DPIA · Çerez Yönetimi

GDPR Uyum Sürecinizi Başlatın

Veri envanteri, DPIA, DPO hizmeti, çerez/rıza yönetimi, tedarikçi sözleşmeleri ve eğitim paketleriyle uçtan uca kurumsal uyum mümkündür. Detay için GDPR resmî metnini ve KVKK Kurumu kaynaklarını birlikte değerlendirebilir; uzman ekibimizden GDPR uyum teklifi talep edebilirsiniz.