Jump to

KVKK (Kişisel Verilerin Korunması Kanunu)

KVKK Uyum Rehberi’nin bir parçası — Rehbere git →

KVKK nedir?

KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu, 2016); Türkiye’nin genel veri koruma kanunudur — GDPR’ın Türk muadili. Uygulaması Kişisel Verileri Koruma Kurumu ve Kurulu’na aittir ve İK dosyalarından ürün analitiğine, Türkiye bağlantılı her kişisel veri işleme faaliyetini kapsar.

GDPR’dan nerede ayrılır?

KVKK, GDPR’dan öncedir (1995 AB Direktifi model alınmıştır) ve farklar pratikte hissedilir. Açık rıza daha merkezi bir rol oynar — özellikle özel nitelikli verilerde tarihsel olarak; 2024 değişiklikleri özel nitelikli veriler için GDPR tarzı hukuki sebepler getirdi ve yurt dışı aktarım rejimini yeterlilik kararları, standart sözleşmeler (Kuruma beş iş günü içinde bildirilmesi zorunlu) ve bağlayıcı şirket kuralları üzerine yeniden kurdu. Türkiye’ye özgü olanlar: kapsama giren veri sorumluları için işlemeden önce kayıt zorunluluğu doğuran VERBİS sicili ve Kurul pratiğinde 72 saatlik ihlal bildirim penceresi.

Denetim pratiği

Kurul düzenli olarak karar ve ceza yayımlar; tekrarlayan temalar hukuka aykırı yurt dışı aktarım, VERBİS kaydı eksikliği, ölçüsüz veri toplama (mesai takibinde biyometri sabit hedeftir), izinsiz pazarlama ve yetersiz güvenlik tedbirleridir. İdari para cezaları her yıl yeniden değerleme ile güncellenir ve en ağır kategorilerde on milyonlarca lirayı bulabilir; ceza dışında Kurul veri işlemeyi durdurabilir — operasyonel olarak asıl keskin yaptırım budur.

GDPR uyumluyuz — otomatik olarak KVKK uyumlu muyuz?

Hayır. GDPR uyumu özün büyük kısmını karşılar; ama KVKK Türkiye’ye özgü mekanikler ekler: VERBİS kaydı, Türkçe aydınlatma metinleri, açık rıza metin standartları ve aktarım bildirimi yükümlülüklerinin GDPR’da karşılığı yoktur.

KVKK yabancı şirketlere uygulanır mı?

Kurul, KVKK’yı Türkiye’deki kişilerin verisini işleyen yabancı veri sorumlularına — özellikle mal veya hizmet Türkiye pazarını hedefliyorsa — uygulamaktadır; küresel platformlara kesilen cezalar bu ülke dışı okumayı doğrular.

İlgili: GDPR, DPIA.

Bu konu masanızdaysa

Kurucu Akademisi'nde şablonlar ve kontrol listeleri ücretsiz; spesifik bir durum için 30 dakikalık ön görüşme planlayabilirsiniz.

Kurucu AkademisiGörüşme planlayın