KVKK (TR) vs GDPR (AB): Karşılaştırma — Av. Bilal Alyar 2026
KVKK (6698 sayılı kanun) ve GDPR (Regulation 2016/679) büyük ölçüde benzer yapıdaki veri koruma rejimleridir; ancak süre, ceza miktarı, yurt dışı aktarım mekanizmaları ve denetim yapısı yönünden farklılıklar vardır. Türkiye’de faaliyet gösteren ve AB vatandaşı verisi işleyen şirketler çift uyum sağlamak zorundadır.
| Kriter | KVKK | GDPR |
|---|---|---|
| Kanun | 6698 (2016) | Regulation 2016/679 (2018) |
| Düzenleyici | KVKK Kurulu | Veri Koruma Otoriteleri (her AB ülkesi) |
| İhlal bildirim süresi | 72 saat | 72 saat |
| İdari para cezası tavanı | 12.5M TL (yaklaşık) | Yıllık ciro %4 veya 20M EUR |
| Açık rıza şartı | Özgür + Belirli + Bilgilendirilmiş | Free + Specific + Informed + Unambiguous |
| Yurt dışı aktarım | Yeterli koruma listesi, sözleşme, BCR, ad-hoc onay | Adequacy decision, SCC, BCR, ad-hoc |
| DPO zorunluluğu | Veri sorumlusu temsilcisi (sadece yurt dışı) | DPO (geniş kapsamlı, çoğu için zorunlu) |
| Veri sahibi hakları | 7 hak (m.11) | 8 hak (Madde 15-22) |
| Çocuk verisi | 13 yaş altı için veli rızası | 16 yaş altı (üye devletlere göre 13-16) |
Çift uyum: AB vatandaşına yönelik hizmet veren Türk şirket, hem KVKK hem GDPR uyumlu olmak zorundadır. BCR ve standart sözleşme klozları her ikisini de karşılayabilir.