KVKK Uyum Rehberi’nin bir parçası — Rehbere git →
KVKK — 6698 sayılı Kişisel Verilerin Korunması Kanunu — Türkiye’nin kişisel veri koruma rejimidir; 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Kanun, Kişisel Verileri Koruma Kurumu ve karar organı olan Kişisel Verileri Koruma Kurulu tarafından idare edilir. KVKK, Avrupa Birliği’nin GDPR rejimi ile yapısal olarak hizalanmıştır; ancak sınır ötesi veri aktarımı, hukuka uygunluk sebepleri mimarisi ve idari para cezası çerçevesinde önemli farklar içerir.
Kanun, Türkiye’de bulunan gerçek kişilerin kişisel verilerini işleyen — yurt içi veya yurt dışı — her gerçek veya tüzel kişiye uygulanır; veri sorumlusunun nerede kurulu olduğundan bağımsızdır. SaaS platformları, mobil uygulamalar, e-ticaret siteleri, reklam ağları veya Türkiye’den kullanıcı verisi alan herhangi bir hizmeti yürüten şirketler kanun kapsamındadır.
Temel uyum yükümlülükleri şunlardır: (i) VERBİS (Veri Sorumluları Sicili) kaydı (yasal eşikleri aşan kuruluşlar için zorunlu); (ii) Madde 5 kapsamında hukuka uygunluk sebebi belirleme (açık rıza veya yedi sınırlı sebeplerden biri); (iii) Madde 10 aydınlatma yükümlülüğünü karşılayan şeffaf gizlilik bildirimleri; (iv) gerektiği hallerde veri koruma yetkilisi (DPO) atanması; (v) işleme riskine orantılı teknik ve idari güvenlik tedbirlerinin uygulanması; (vi) Kurul’a ve ilgili kişilere 72 saat içinde veri ihlali bildirimi; ve (vii) Madde 9 kapsamında sınır ötesi aktarım uyumu (2024’te 7499 sayılı Kanun ile GDPR’ın SCC/BCR çerçevesine hizalanacak şekilde önemli ölçüde yeniden yazılmıştır).
Kurul, üç kanaldan bağlayıcı kararlar yayımlar: Kurul Kararları (tam metinler), Karar Özetleri ve genel uygulamaya yönelik İlke Kararları. İdari para cezaları yüksek meblağlara ulaşabilmektedir — son kararlarda tek veri sorumlusuna 30 milyon TL’yi aşan cezalar uygulanmıştır — ve Kurul, çerez onayı (2022), veri ihlali raporlama standartları (2024), reklam amaçlı SMS, biyometrik veri işleme ve çalışan izleme gibi konularda önemli kararlar yayımlamıştır.
Vircon Legal; Türk ve uluslararası müvekkillere uçtan uca KVKK uyumu konusunda danışmanlık sunar: regülatif haritalama, VERBİS kayıt, gizlilik bildirimi mimarisi, veri işleme sözleşmesi (DPA) müzakeresi, ihlal müdahale protokolleri, sınır ötesi aktarım rotalama ve Kurul soruşturma savunması. Ayrıca 100+ Kurul kararı ve ilke kararını indeksleyen canlı bir KVKK Takip tutmaktayız.
GDPR ile ilişkisi, Kurum ve 2024 değişiklikleri
KVKK, GDPR’den önceki AB çerçevesi örnek alınarak hazırlandı; bu nedenle temel kavramları — veri sorumlusu, veri işleyen, hukuki sebep, ilgili kişi hakları — Avrupa veri korumasına aşina olan herkese tanıdık gelir, ancak ikisi özdeş değildir ve biri için kurulan uyum diğerini otomatik olarak karşılamaz. Uygulama, bağlayıcı kararlar ve idari para cezaları veren Kişisel Verileri Koruma Kurumu ile karar organı Kurul’dadır. Önemli bir 2024 reformu KVKK’yı özellikle iki alanda GDPR’ye yaklaştırdı: özel nitelikli (hassas) verilerin işlenmesine ilişkin hukuki sebepleri genişletti ve yurt dışı aktarım rejimini yeterlilik kararları ile standart sözleşme hükümlerini getirecek biçimde elden geçirdi. Türkiye’de faaliyet gösteren veri sorumluları ayrıca, GDPR’de doğrudan karşılığı bulunmayan yerel VERBİS kayıt yükümlülüğünü de unutmamalıdır.