KVK Kurumu nedir?
Kişisel Verileri Koruma Kurumu (kısaltma: KVK Kurumu; uluslararası karşılığı: Personal Data Protection Authority of Turkey), 6698 sayılı Kanun ile kurulmuş bağımsız idari otoritedir. Karar organı Kişisel Verileri Koruma Kurulu (KVK Kurulu) 9 üyeden oluşur.
Yetkileri
- İlgili kişi şikayetlerini soruşturmak (ücretsiz başvuru)
- Re’sen soruşturma başlatmak
- Bağlayıcı karar üretmek (uyumlu hale getirme talimatı dahil)
- İdari para cezası uygulamak (2026’da düşük 5-haneliden milyonlarca TL’ye kadar)
- Yönetmelik ve rehber yayımlamak (çerez, biyometrik, AI, ihlal bildirimi vb.)
- VERBİS veri sorumluları sicilini yönetmek
- Bağlayıcı Şirket Kuralları (BCR) onayı ve sınır-ötesi aktarım için standart sözleşme incelemesi
Karar süreci
Kurul’a başvuru öncesi veri sorumlusuna başvurmak şarttır; 30 gün içinde yanıt gelmezse (veya yanıt yetersizse), ilgili kişi yanıttan itibaren 30 gün, ilk başvurudan itibaren 60 gün içinde Kurul’a başvurabilir. Kurul, soruşturma boyunca tedbir niteliğinde geçici kararlar verebilir.
İdari para cezaları (2026)
Kurul’un idari para cezaları yıllık güncellenir. Tipik aralıklar: aydınlatma yetersizliği için 50.000–1.000.000 TL; güvenlik tedbirleri yetersizliği için 100.000–2.000.000 TL; yetkisiz sınır-ötesi aktarım için 500.000–3.000.000 TL. Güncel uygulama örnekleri için KVKK Tracker‘a bakın.
GDPR / EDPB ile ilişki
Kurum, Avrupa Veri Koruma Kurulu (EDPB) üyesi değildir (Türkiye AB üyesi değil) ancak teknik işbirliğini sürdürür. 2024 değişikliği (7499 sayılı Kanun), KVKK‘yı sınır-ötesi aktarım mekanizmalarında GDPR’a yaklaştırdı.