Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye’de kişisel verilerin korunmasını ve işlenmesini düzenleyen bir kanundur. KVKK, 25 Mayıs 2018 tarihinde yürürlüğe girdi ve AB’de yürürlükte olan Genel Veri Koruma Yönetmeliği’ne (GDPR) uyumlu hale getirilmiştir.
KVKK, kişisel verilerin ne zaman ve hangi amaçlarla toplandığını, nasıl korunacağını ve işleneceğini düzenler. Kişisel veriler, kişinin kimliği veya kişilik özelliklerine dair bilgilerdir, örneğin ad, soyad, cinsiyet, yaş, telefon numarası, adres gibi bilgiler. KVKK, bu verilerin toplandığı, korunduğu ve işlendiği her türlü işlemi kapsar.
KVKK, aşağıdaki temel ilkelere dayanır:
- Veri toplama amacının açık ve meşru olması
- Veri toplamanın gerekli ve adil olması
- Veri toplamanın ölçülü olması
- Veri toplamanın doğruluk ve güncellik ilkelerine uygun olması
- Veri koruma ilkelerine uygun olması
KVKK, ayrıca veri sahiplenme haklarını da korur. Bu haklar arasında veri sahiplenme hakkı, veri doğrulama hakkı, veri güncelleme hakkı, veri silme hakkı ve veri işlemeyi durdurma hakkı bulunur. KVKK, bu hakların kullanımını da düzenler.
KVKK, veri toplayan ve işleyen kurumların veri toplama, koruma ve işleme faaliyetlerine ilişkin birçok yükümlülük getirir. Örneğin, veri toplama ve işleme faaliyetlerinden önce kişilerin bilgilendirilmesi, veri toplamanın meşru amaçlarını belirtmek, veri toplamanın gerekli ve adil olmasını sağlamak gibi.
KVKK, veri toplamanın meşru amaçlarını belirtirken, veri toplamanın yasal bir zorunluluk olması, veri sahiplenmenin kendi kişisel güvenliği veya sağlığını koruma amaçlı olması, veri toplamanın taraflar arasında yapılan bir anlaşma gereği olması, veri toplamanın kamu yararına olması gibi sebepleri de belirtir.
KVKK, veri toplama, koruma ve işleme faaliyetlerine ilişkin yükümlülükleri taşıyan kurumları da belirtir. Örneğin, veri toplayan kurumlar, veri toplama, koruma ve işleme faaliyetlerinden sorumludur. Aynı zamanda, veri toplama ve işleme faaliyetlerinden sorumlu olan kişi veya kurumlar, veri toplamanın meşru amaçlarını belirtmek, veri toplamanın gerekli ve adil olmasını sağlamak, veri toplamanın ölçülü olmasını sağlamak, veri toplamanın doğruluk ve güncellik ilkelerine uygun olmasını sağlamak gibi yükümlülükler taşır.
KVKK, ayrıca veri toplayan ve işleyen kurumların, veri toplama, koruma ve işleme faaliyetlerinden sorumlu olan kişi veya kurumlar tarafından veri toplama, koruma ve işleme faaliyetlerinin yürütülmesine ilişkin bir yönetmelik hazırlamalarını da zorunlu kılar. Bu yönetmelik, veri toplama, koruma ve işleme faaliyetlerinin nasıl yürütüleceğini, veri toplama, koruma ve işleme faaliyetlerinden sorumlu olan kişi veya kurumların yetki ve sorumluluklarını belirtir.
KVKK, veri toplayan ve işleyen kurumların, veri toplama, koruma ve işleme faaliyetlerine ilişkin yükümlülüklerini yerine getirmeyen veya KVKK hükümlerini ihlal eden kurumlar için cezai yaptırımlar getirir. Örneğin, veri toplayan ve işleyen kurumların KVKK hükümlerini ihlal ettiği tespit edildiğinde, bu kurumlara para cezası verilebilir. Ayrıca, KVKK hükümlerini ihlal eden kurumlar, veri toplama, koruma ve işleme faaliyetlerini durdurmaya veya düzeltmeye zorlanabilir.