KVKK ve GDPR karşılaştırması

KVKK ve GDPR hükümlerini metinleri, temel farkları ve karşılaştırmalı notlarıyla yan yana okuyun.

Hüküm eşleştirmesi

12 konu

KVKK m. 5 ile GDPR Art. 6 gösteriliyor.

Seçili karşılaştırma KVKK m. 5 ↔ GDPR Art. 6 Kişisel Verilerin İşlenme Şartları
TR 6698 sayılı Kanun

KVKK m. 5

Kişisel Verilerin İşlenme Şartları

(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

EU Regulation 2016/679

GDPR Art. 6

Lawfulness of processing

1. Processing shall be lawful only if and to the extent that at least one of the following applies:

(a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes;

(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;

(c) processing is necessary for compliance with a legal obligation to which the controller is subject;

(d) processing is necessary in order to protect the vital interests of the data subject or of another natural person;

(e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;

(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.

Point (f) of the first subparagraph shall not apply to processing carried out by public authorities in the performance of their tasks.

2. Member States may maintain or introduce more specific provisions to adapt the application of the rules of this Regulation with regard to processing for compliance with points (c) and (e) of paragraph 1 by determining more precisely specific requirements for the processing and other measures to ensure lawful and fair processing including for other specific processing situations as provided for in Chapter IX.

3. The basis for the processing referred to in point (c) and (e) of paragraph 1 shall be laid down by:

(a) Union law; or

(b) Member State law to which the controller is subject.

The purpose of the processing shall be determined in that legal basis or, as regards the processing referred to in point (e) of paragraph 1, shall be necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. That legal basis may contain specific provisions to adapt the application of rules of this Regulation, inter alia: the general conditions governing the lawfulness of processing by the controller; the types of data which are subject to the processing; the data subjects concerned; the entities to, and the purposes for which, the personal data may be disclosed; the purpose limitation; storage periods; and processing operations and processing procedures, including measures to ensure lawful and fair processing such as those for other specific processing situations as provided for in Chapter IX. The Union or the Member State law shall meet an objective of public interest and be proportionate to the legitimate aim pursued.

4. Where the processing for a purpose other than that for which the personal data have been collected is not based on the data subject's consent or on a Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard the objectives referred to in Article 23(1), the controller shall, in order to ascertain whether processing for another purpose is compatible with the purpose for which the personal data are initially collected, take into account, inter alia:

(a) any link between the purposes for which the personal data have been collected and the purposes of the intended further processing;

(b) the context in which the personal data have been collected, in particular regarding the relationship between data subjects and the controller;

(c) the nature of the personal data, in particular whether special categories of personal data are processed, pursuant to Article 9, or whether personal data related to criminal convictions and offences are processed, pursuant to Article 10;

(d) the possible consequences of the intended further processing for data subjects;

(e) the existence of appropriate safeguards, which may include encryption or pseudonymisation.

Karşılaştırmalı açıklamalar genel niteliktedir; güncel uygulama için resmî metin ve kaynaklar ayrıca incelenmelidir.

Temel farklar

KVKK m.5, açık rıza yanında ikinci fıkrada yedi ayrı rıza dışı işleme şartı; GDPR m.6/1 ise altı hukuki dayanak düzenler. Kategoriler benzer olsa da bire bir örtüşmez. Özellikle KVKK m.5/2-a'daki 'kanunlarda açıkça öngörülme' şartının GDPR m.6/1'de tam bir karşılığı yoktur. Meşru menfaat bakımından GDPR, çocuğun haklarına özel ağırlık veren bir dengeleme ister; çocuk verileri için otomatik bir yasak koymaz.

  1. 01 Farklı Yaklaşım

    GDPR: Çocuk söz konusuysa meşru menfaat dengelemesinde çocuğun haklarına özel ağırlık verilir

  2. 02 Farklı Yaklaşım

    KVKK m.5/2-a: 'Kanunlarda açıkça öngörülme' şeklinde ayrı bir işleme şartı

  3. 03 Farklı Yaklaşım

    KVKK m.5/2-f veri sorumlusunun; GDPR m.6/1-f veri sorumlusu veya üçüncü kişinin meşru menfaatini esas alır

Karşılaştırmalı değerlendirme

Kişisel Verilerin İşlenme Şartları

Kanuni Dayanakların Yapısı:

KVKK m.5/2-a'daki 'kanunlarda açıkça öngörülme' ile m.5/2-ç'deki 'veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi' farklı işleme şartlarıdır. GDPR m.6/1-c hukuki yükümlülüğü, m.6/1-e ise kamu yararına görev veya resmî yetkiyi düzenler; KVKK m.5/2-a ile bunlar arasında otomatik bir eşitlik kurulamaz. Her faaliyette dayanağın kapsamı ve zorunluluk bağı ayrıca gösterilmelidir.

Meşru Menfaat:

KVKK m.5/2-f yalnız veri sorumlusunun meşru menfaatini anarken GDPR m.6/1-f veri sorumlusu veya üçüncü kişinin meşru menfaatini kapsar. Buna karşılık GDPR, kamu makamlarının görevlerini yerine getirirken bu dayanağa başvurmasını dışlar ve ilgili kişi çocuksa onun menfaatleri ile temel haklarına dengelemede özel ağırlık verir. Çocuk verileri bakımından otomatik bir yasak söz konusu değildir.

Dayanak Seçimi:

Açık rıza bir yedek veya varsayılan dayanak değildir. Veri sorumlusu her işleme amacı için uygulanabilir şartı, işlemenin zorunluluğunu ve varsa dengeleme testini ayrı belirlemelidir. Her iki rejime tabi bir faaliyette aynı işlem için KVKK ve GDPR dayanakları bağımsız olarak eşleştirilmeli; rıza ancak özgürce verilebildiği ve geri alınmasının sonuçları hukuka uygun biçimde yönetilebildiği ölçüde kullanılmalıdır.