KVKK — 6698 sayılı Kişisel Verilerin Korunması Kanunu — Türkiye’nin kişisel veri koruma rejimidir; 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Kanun, Kişisel Verileri Koruma Kurumu ve karar organı olan Kişisel Verileri Koruma Kurulu tarafından idare edilir. KVKK, Avrupa Birliği’nin GDPR rejimi ile yapısal olarak hizalanmıştır; ancak sınır ötesi veri aktarımı, hukuka uygunluk sebepleri mimarisi ve idari para cezası çerçevesinde önemli farklar içerir.
Kanun, Türkiye’de bulunan gerçek kişilerin kişisel verilerini işleyen — yurt içi veya yurt dışı — her gerçek veya tüzel kişiye uygulanır; veri sorumlusunun nerede kurulu olduğundan bağımsızdır. SaaS platformları, mobil uygulamalar, e-ticaret siteleri, reklam ağları veya Türkiye’den kullanıcı verisi alan herhangi bir hizmeti yürüten şirketler kanun kapsamındadır.
Temel uyum yükümlülükleri şunlardır: (i) VERBİS (Veri Sorumluları Sicili) kaydı (yasal eşikleri aşan kuruluşlar için zorunlu); (ii) Madde 5 kapsamında hukuka uygunluk sebebi belirleme (açık rıza veya yedi sınırlı sebeplerden biri); (iii) Madde 10 aydınlatma yükümlülüğünü karşılayan şeffaf gizlilik bildirimleri; (iv) gerektiği hallerde veri koruma yetkilisi (DPO) atanması; (v) işleme riskine orantılı teknik ve idari güvenlik tedbirlerinin uygulanması; (vi) Kurul’a ve ilgili kişilere 72 saat içinde veri ihlali bildirimi; ve (vii) Madde 9 kapsamında sınır ötesi aktarım uyumu (2024’te 7499 sayılı Kanun ile GDPR’ın SCC/BCR çerçevesine hizalanacak şekilde önemli ölçüde yeniden yazılmıştır).
Kurul, üç kanaldan bağlayıcı kararlar yayımlar: Kurul Kararları (tam metinler), Karar Özetleri ve genel uygulamaya yönelik İlke Kararları. İdari para cezaları yüksek meblağlara ulaşabilmektedir — son kararlarda tek veri sorumlusuna 30 milyon TL’yi aşan cezalar uygulanmıştır — ve Kurul, çerez onayı (2022), veri ihlali raporlama standartları (2024), reklam amaçlı SMS, biyometrik veri işleme ve çalışan izleme gibi konularda önemli kararlar yayımlamıştır.
Vircon Legal; Türk ve uluslararası müvekkillere uçtan uca KVKK uyumu konusunda danışmanlık sunar: regülatif haritalama, VERBİS kayıt, gizlilik bildirimi mimarisi, veri işleme sözleşmesi (DPA) müzakeresi, ihlal müdahale protokolleri, sınır ötesi aktarım rotalama ve Kurul soruşturma savunması. Ayrıca 100+ Kurul kararı ve ilke kararını indeksleyen canlı bir KVKK Takip tutmaktayız.