KVK Kurumu nedir?
Kişisel Verileri Koruma Kurumu (kısaltma: KVK Kurumu; uluslararası karşılığı: Personal Data Protection Authority of Turkey), 6698 sayılı Kanun ile kurulmuş bağımsız idari otoritedir. Karar organı Kişisel Verileri Koruma Kurulu (KVK Kurulu) 9 üyeden oluşur.
Yetkileri
- İlgili kişi şikayetlerini soruşturmak (ücretsiz başvuru)
- Re’sen soruşturma başlatmak
- Bağlayıcı karar üretmek (uyumlu hale getirme talimatı dahil)
- İdari para cezası uygulamak (2026’da düşük 5-haneliden milyonlarca TL’ye kadar)
- Yönetmelik ve rehber yayımlamak (çerez, biyometrik, AI, ihlal bildirimi vb.)
- VERBİS veri sorumluları sicilini yönetmek
- Bağlayıcı Şirket Kuralları (BCR) onayı ve sınır-ötesi aktarım için standart sözleşme incelemesi
Karar süreci
Kurul’a başvuru öncesi veri sorumlusuna başvurmak şarttır; 30 gün içinde yanıt gelmezse (veya yanıt yetersizse), ilgili kişi yanıttan itibaren 30 gün, ilk başvurudan itibaren 60 gün içinde Kurul’a başvurabilir. Kurul, soruşturma boyunca tedbir niteliğinde geçici kararlar verebilir.
İdari para cezaları (2026)
Kurul’un idari para cezaları yıllık güncellenir. Tipik aralıklar: aydınlatma yetersizliği için 50.000–1.000.000 TL; güvenlik tedbirleri yetersizliği için 100.000–2.000.000 TL; yetkisiz sınır-ötesi aktarım için 500.000–3.000.000 TL. Güncel uygulama örnekleri için KVKK Tracker‘a bakın.
GDPR / EDPB ile ilişki
Kurum, Avrupa Veri Koruma Kurulu (EDPB) üyesi değildir (Türkiye AB üyesi değil) ancak teknik işbirliğini sürdürür. 2024 değişikliği (7499 sayılı Kanun), KVKK‘yı sınır-ötesi aktarım mekanizmalarında GDPR’a yaklaştırdı.
Referanslar
- 6698 sayılı Kişisel Verilerin Korunması Kanunu (Mevzuat)
- Kişisel Verileri Koruma Kurumu (KVKK)
- KVK Kurulu Kararları
- EU GDPR (Regülasyon 2016/679) — EUR-Lex
Kurulla pratik temas noktaları
Şirketlerin KVKK Kurumu ile teması üç kanalda yoğunlaşır: VERBİS kayıt ve güncelleme yükümlülüğü (eşik ve istisnaların doğru okunması), veri ihlali bildirimi (öğrenmeden itibaren 72 saat hedefi ve ilgili kişilere bildirim kararları) ve yurt dışı aktarımda standart sözleşmelerin beş iş günü içinde Kurula bildirimi. Kurul kararları fiilen içtihat işlevi görür — çerez, açık rıza tasarımı, veri minimizasyonu konularındaki ilke kararları ürün tasarımına doğrudan girdi olmalıdır. Denetimde istenen ilk üç belge bellidir: envanter (VERBİS ile tutarlı), aydınlatma metinleri (fiilî işlemeyle eşleşen) ve teknik-idari tedbir dokümantasyonu. Bu üçlü tutarlıysa süreç yönetilebilir; değilse her tutarsızlık ayrı bulgu yazılır.