İşyerinde GDPR/KVKK: ENISA ve EDPB Çerçevesi

EU General Data Protection Regulation (GDPR) Regulation 2016/679 ve Türkiye 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) benzer prensipleri paylaşır — birinin diğerine etkisi olmasa da paralel uyum mümkün. Ana fark: GDPR'da idari para cezası 20M EUR veya küresel ciro %4 (hangisi büyükse); KVKK'da 2024 üst sınırı yaklaşık 5.5 milyon TL.

KVKK Madde 16 + Veri Sorumluları Sicili Yönetmeliği: KVKK Kurul'un istisna tutmadığı tüm veri sorumluları VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kaydı yapmak zorunda. Türkiye'de yıllık ciro 25M TL üstü veya 50+ çalışan firma için kayıt şart. AB tarafı GDPR Madde 30 'Records of Processing Activities' (ROPA) zorunluluğu paralel.

KVKK Madde 5 ve GDPR Madde 7: açık rıza (a) özgür irade ile, (b) belirli bir konuya, (c) bilgilendirmeye dayalı olmalı. EDPB Guidelines 05/2020 işveren-işçi ilişkisinde 'özgür irade' eksikliğini vurgular — çoğu zaman 'meşru menfaat' (KVKK Md.5/2-f) hukuki sebep daha uygun. Ancak meşru menfaat dengesi testi (LIA) yazılı dokümante edilmeli.

GDPR Madde 35 ve EDPB Guidelines wp248 'Data Protection Impact Assessment' (DPIA) zorunluluğu yüksek risk işlemeler için. Türkiye'de KVKK Kurul 'açıkça yüksek risk' diye liste açıkça yayımlamadı ama uygulamada paralel anlayış kabul ediliyor. Tipik yüksek risk: biyometrik veri, çocuk verisi, geniş ölçekli profilleme, sürekli gözetim.

European Union Agency for Cybersecurity (ENISA) 'Pseudonymisation Techniques and Best Practices' (2024) ve 'Handbook on Security of Personal Data Processing' (2023): GDPR Madde 32 + KVKK Madde 12 teknik önlemlere yönelik somut rehberler. Anonimleştirme, sahte isim (pseudonymisation), şifreleme, erişim logu, güvenlik denetimi — hepsi ENISA dokümanlarıyla referansa bağlı.

GDPR Madde 33: veri ihlali tespit edildikten 72 saat içinde Veri Koruma Otoritesi'ne bildirim. KVKK Madde 12: 'en kısa sürede' (Kurul içtihat: 72 saat pratik norm). Yüksek risk durumunda ilgili kişilere (data subject) de bildirim. Türkiye'de geç bildirim KVKK Kurul cezasında ağırlaştırıcı etken.

Hem GDPR Madde 12-22 hem KVKK Madde 11: çalışan veri sahibi olarak (a) bilgi edinme, (b) düzeltme, (c) silme, (d) işlemeye itiraz, (e) veri taşınabilirlik (sadece GDPR), (f) otomatik karara itiraz haklarına sahiptir. İşveren bu taleplere 30 gün içinde cevap vermek zorunda. KontrolJet platformu 'GDPR/KVKK Subject Access Request' (DSAR) iş akışı içerir.

Önerilen sıra: (1) Veri envanteri çıkar (data inventory). (2) ROPA/VERBİS dokümante et. (3) Aydınlatma metinleri güncellenir. (4) Yüksek risk işlemler için DPIA yap. (5) Sözleşmeleri (kişisel veri işleme sözleşmesi) gözden geçir. (6) Teknik önlemleri kontrol et (ENISA rehberi). (7) Çalışan eğitimi. (8) Yıllık iç denetim. KVKK Kurul + EDPB pratiği bu adımları tek tek kontrol eder.