TLDR:
KVKK (Kişisel Verilerin Korunması Kanunu, Kanun No. 6698), Türkiye’nin kapsamlı kişisel veri koruma yasasıdır; 2016’dan beri yürürlüktedir ve GDPR ile daha yakından uyumlu olmak için 2024’te önemli ölçüde değiştirilmiştir. İlkeleri, bireysel hakları, kontrolör yükümlülüklerini, transfer kurallarını ve Kişisel Verileri Koruma Kurulu (KVKK Kurulu) tarafından uygulamayı kurar.
Temel Yükümlülükler
KVKK şu yükümlülükleri dayatır: tüm kişisel veri işlemesi için yasal dayanak gerekliliği (açık rıza veya Madde 5’teki hukuki nedenlerden biri), özel kategoriler için artırılmış korumalar (Madde 6—sağlık, biyometri, ceza kaydı, vb.), veri sahibi hakları (Madde 11—bilgi, erişim, düzeltme, silme, kısıtlama, itiraz, otomatik karar verme), şeffaflık yükümlülükleri (aydınlatma metni), riske orantılı veri güvenlik önlemleri, 72 saat içinde Kurul’a ve etkilenen bireylere ihlal bildirimi ve belirli kontrolörler için Veri Koruma Görevlisi yükümlülükleri.
VERBİS Kaydı
Birçok kontrolör Türkiye’nin ulusal veri sorumluları kaydı olan VERBİS‘e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt yaptırmalıdır. Kayıt eşikleri çalışan sayısına, finansal kriterlere ve kontrolörün kamu mu özel mi olduğuna bağlıdır—eşikler periyodik olarak uzatılır. Kayıtlı kontrolörler işleme faaliyetlerini, saklama sürelerini ve veri kategorilerini belgeleyen bir “Kişisel Veri İşleme Envanteri” sürdürmelidir. 2024 değişiklikleri ek kuruluş kategorileri için VERBİS uyum son tarihlerini uzattı.
Cezalar ve Son Gelişmeler
KVKK ihlalleri için cezalar önemlidir: ihlal başına 3 milyon TL’ye kadar idari para cezaları (enflasyon için yıllık ayarlanır, mevcut değerlerde maddi olarak daha yüksek), VERBİS’e kayıt başarısızlığı, teknik ve organizasyonel önlem başarısızlıkları ve ihlal bildirim başarısızlıkları için ayrı cezalar. 2024 değişiklikleri transfer rejim kurallarını önemli ölçüde genişletti (standart sözleşme maddeleri, bağlayıcı kurumsal kurallar ve yeterlilik değerlendirmeleri tanıtarak), GDPR ile daha yakından uyumlu hale getirdi.