KVKK, Kişisel Verilerin Korunması Kanununun kısaltmasıdır. Türkiye’de 2016 yılında 6698 sayılı kanun olarak yürürlüğe girmiştir. Kişisel verilerin korunması alanında dünya genelindeki yasa yapma çalışmaları ve yaptırımları hızla artmasıyla şirketler için veri koruma uyumu çok önemli bir hale gelmiştir.
6698 sayılı Kişisel Verilerin Korunması Kanunu 1995 tarihli Avrupa Birliği Direktifi esas alınarak hazırlanmış olup Kişisel Verileri Koruma Kurumu tarafından yayınlanan rehberler ile kararlar ışığında Türkiye'de Genel Veri Koruma Tüzüğü uyarınca benimsenen düzenlemeler ile yaklaşımlar kabul edilmektedir.
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Bazı Temel Kavramlar
Kişisel Veri : Belirlenebilir bir kişiye ilişkin belirleyici bilgiler (isim, T.C. kimlik numarası, vb.) ve diğer her türlü veri (örneğin; fotoğraf, telefon numarası vb.)
İşleme : Toplama, saklama, değiştirme, ifşa etme ve yok etme dahil olmak üzere verilere ilişkin gerçekleştirilen her türlü faaliyet.
İlgili Kişi : Verilerin ilişkili olduğu gerçek kişi.
Veri Sorumlusu : Veri işlemenin amaç ve vasıtalarını belirleyen bir şirket. örneğin; çalışan verisine ilişkin olarak bir işveren.
Veri İşleyen : Bir veri sorumlusu adına veri işleyen bir şirket, örneğin, bir işverene hizmet sağlayan muhasebeci veya bordro hizmet sağlayıcı.
Aktarım : Verilerin, örneğin uzaktan internet erişim yoluyla, başka bir kuruma veya başka bir ülkeye iletilmesi ya da erişimine açılması.
Bu temel kavramlar, kanuna göre işletmelerin ve diğer kurumların genel olarak kişisel veri işlemesi yasaklanmış olup; ancak ilgili kişilerden açık rıza aldıkları veya uygun kanuni istisnalara dayandıkları takdirde veri işleyebilirler.
Amerika Birleşik Devletleri’nde ve Avrupa dışındaki diğer ülkelerde verilerin işlenmesine genellikle izin verilmektedir. Özellikle Amerika Birleşik Devletleri’nde kapsayıcı bir veri koruma yasası yerine bilgi edinme özgürlüğü ile teknolojik gelişmelere zarar vermeyecek şekilde dar kapsamlı, sektörel ve belirli tehditlere karşı kabul edilen federal düzeyde ve eyalet düzeyinde çok sayıda kanun bulunmaktadır.
Çin Halk Cumhuriyeti’nde verilere ilişkin ulusal düzenlemeler kabul edilirken farklı bir yaklaşımla bireysel gizlilik yerine ulusal güvenliğin sağlanması hedeflenmektedir.
Avrupa Ekonomik Alanı’nda (AEA) bulunan 31 üye ülkede Genel Veri Koruma Tüzüğü (GPDR) uygulama alanı bulunduğundan Avrupa’da veri koruma mevzuatı uygulanmış bir yapıdadır. Aynı zamanda aralarında Arjantin, Brezilya, Kanada, Hindistan, İsrail, Japonya, Yeni Zelanda, Rusya, İsviçre, Tayland, Türkiye ve Uruguay’ın bulunduğu birtakım ülkelerin AB veri koruma yasalarına uyumlu düzenlemeleri mevcuttur.
Sonuç olarak 6698 sayılı kanun gerçek veya tüzel kişilerin verilerinin korunmasını ve güvenliğinin sağlanması için düzenlemeler geliştirilmiştir. Bir başka deyişle kişisel verileri koruyan kanunlarla kişilerin (İlgili Kişilerin), verilerin otomatik yollarla işlenmesinin etkilerinden korunması amaçlanmaktadır.