AB Genel Veri Koruma Yönetmeliği'nin (GDPR) Türk Hukukundaki Yansımaları: Yeterlilik Kararı, KVKK Uyumlaştırması ve Uluslararası Veri Aktarımı

Doç. Dr. Onur Eren

doi:10.HUKUKDERGI/2029.1.06

Giriş

AB Genel Veri Koruma Yönetmeliği (GDPR); 2018 yılında yürürlüğe giren ve sadece AB üye devletleri için değil, AB ile ticaret yapan tüm devletler için pratik etkiler doğuran bir düzenlemedir. Türkiye, AB'nin "yeterlilik kararı"na henüz sahip olmadığı için; AB'den Türkiye'ye yapılan kişisel veri aktarımları özel güvenceleri gerektirmektedir.¹

Bu çalışma; GDPR'nin temel yapısını sistematize eder, KVKK'nın 2026 değişiklikleri sonrası GDPR ile uyum düzeyini analiz eder ve yeterlilik kararının verilmesi için gereken adımları tartışır.

I. GDPR'nin Temel Yapısı

A. Düzenlemenin alan kapsamı

GDPR; AB'de yerleşik veri sorumlularına ve veri işleyenlere doğrudan uygulanır. Ayrıca; AB dışında yerleşik olmakla birlikte AB'deki veri sahiplerine mal/hizmet sunan veya onların davranışlarını izleyen veri sorumluları da GDPR kapsamına girer (m. 3).

B. Veri sahibi hakları

GDPR m. 12-22; veri sahibi haklarını sistematik biçimde düzenler. Bu haklar arasında; bilgi alma, erişim, düzeltme, silme (unutulma hakkı), kısıtlama, taşıma ve itiraz hakları bulunur.²

C. Veri koruma sorumlusu (DPO)

Belirli koşullar altında; veri sorumlusu, veri koruma sorumlusu (Data Protection Officer) atamak zorundadır. DPO; veri sorumlusunun GDPR uyumunu denetler ve denetim makamıyla bağlantı kurar.

II. KVKK'nın GDPR Uyum Düzeyi

A. 2026 değişiklikleri

2026 yılında KVKK'da yapılan değişiklikler; GDPR ile uyum yönünde önemli adımlar atmıştır. Veri taşınabilirliği hakkı eklendi, veri koruma etki değerlendirmesi zorunlu hale getirildi, denetim makamının yetkileri genişletildi.³

B. Eksiklikler

Ne var ki "veri sahibi temel haklarının etkin kullanımı" boyutunda hâlâ önemli eksiklikler bulunmaktadır. Özellikle; otomatik karar verme süreçlerinde insan müdahalesi talep etme hakkı henüz tam olarak operasyonel değildir.

"KVKK 2026 değişiklikleri; GDPR uyumu yönünde önemli adımlar olmakla birlikte, veri sahibi temel haklarının etkin kullanımı boyutunda hâlâ önemli eksiklikler bulunmaktadır."

— O. Eren, "AB GDPR ile KVKK Karşılaştırması", 2024.

III. Yeterlilik Kararı Süreci

A. Yeterlilik kararının yapısı

AB Komisyonu; üçüncü ülkenin veri koruma rejiminin AB ile "yeterli" düzeyde olduğunu değerlendirdiğinde; yeterlilik kararı verir. Bu karar; AB'den o ülkeye yapılan veri aktarımlarının özel güvenceler gerektirmediğini sağlar.⁴

B. Türkiye için adımlar

Türkiye'nin yeterlilik kararı alabilmesi için; (i) KVKK'nın GDPR ile tam uyumu sağlanmalı, (ii) bağımsız denetim makamının güçlendirilmesi tamamlanmalı, (iii) ulusal güvenlik istisnaları AB standartlarına uyumlu hale getirilmelidir.

Sonuç

KVKK 2026 değişiklikleri; GDPR uyumu yönünde önemli adımlar olmakla birlikte, yeterlilik kararı için henüz yeterli değildir. Veri sahibi haklarının etkin kullanımı, bağımsız denetim makamının güçlendirilmesi ve ulusal güvenlik istisnalarının orantılılığı; uyum sürecinin devam eden konuları olarak kalmaktadır. Doktrinin; bu uyum sürecine doktriner katkıda bulunması; hem KVKK'nın güçlenmesi hem de AB ile ekonomik ilişkilerin korunması açısından kritik öneme sahiptir.