Kişisel Verilen Korunması Kanunu (KVKK) 07.04.2016 yılında Resmî Gazete’de yayınlanmış olup kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. 2010 yılında yapılan değişiklik sonucunda Anayasanın 20. maddesine eklenen fıkra ile kişisel verilerin korunması Anayasal güvence altına alınmış ve kişisel verilerin korunmasına ilişkin usul ve esasların kanunla düzenleneceği hükme bağlanmıştır.

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır. Yani mal ve hizmet sunan tüzel kişiliğe sahip kurumlar hakkında, müşterilerine ilişkin herhangi bir ihlal gerçekleştirmeleri durumunda bu kanun uygulanmaktadır.

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.  Sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Yani veriler; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsamaktadır. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.

Bu verilerin mal ve hizmet sağlayan kurumlar tarafından müşterilerden habersiz ve onaysız bir şekilde işlenmesi, yayılması, paylaşılması hukukumuzda bir suç teşkil etmektedir. KVKK kapsamında korunan verilerin izinsiz paylaşılması suçu Türk Ceza Kanunu’nda düzenlenmiştir. Buna göre, çalıştığı kurumda müşterinin bilgisini yayan, hukuka aykırı bir şekilde bir başkasına veren bir çalışan, 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılır. Özellikle bu suçun kamu görevlisi tarafından görevinin verdiği yetkisini kötü kullanmak suretiyle veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi durumunda verilecek olan ceza yarı oranında arttırılmaktadır. Müşterinin talebine rağmen çalışan kişi veya kurum, verileri yok etmezse veya kanuni süresi geçmesine rağmen sistemden kaldırmazsa bu durumda suçu işleyen bir yıldan iki yıla kadar hapis cezası ile cezalandırılır. Eğer suçun konusu, hukukumuzda mevcut olan Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri ise verilecek ceza bir kat artırılır. Bilişim Sistemindeki verileri bozulması, yok edilmesi, değiştirilmesi veya erişilmez kılınması da ayrı bir suç olup bu suçu işleyen ve var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılmaktadır.

Kanun kapsamında Kişisel Verileri Koruma Kurumu’na şikâyet yoluyla başvuru yapabilir. İlgili kişilerin, veri sorumlusuna başvurarak; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenmek, işlenmişse bunları talep etmek, verinin muhtevasının eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları bulunmaktadır. Kanun, kişisel verilerin korunması kapsamındaki başvurular için kademeli bir başvuru usulü öngörmüştür. İlgili kişilerin, sahip oldukları hakları kullanabilmeleri için öncelikle veri sorumlusuna başvurmaları zorunludur. Bu yol tüketilmeden Kurula şikâyet yoluna gidilemez.

Kanunda, kişilik hakları ihlal edilen ilgililerin genel hükümlere göre tazminat hakları saklı tutulmuştur. Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, diğer yandan doğrudan yargı yoluna gidebilmesi mümkün olacaktır. Ancak bu noktada belirtmek gerekir ki, ilgili kişilerin hak ihlallerine yönelik olarak doğrudan yargı organlarına başvurmalarının önünde herhangi bir engel bulunmamaktadır. Kişi veri sorumlusuna gitmeden de yargıya başvurabilir. Kuruma başvuru yazılı olarak yapılır.

Kuruma yapılan başvurunun yanı sıra; ceza hukuku bakımından, kişi, bir şekilde suçun işlendiği öğrendiğinden itibaren savcılığa başvurur. Savcılık tarafından kendiliğinden soruşturma başlatılmaktadır. Suçun dava zamanaşımı süresi 8 yıl olup, suçun işlendiği tarihten itibaren 8 yıl geçmeden mağdur aleyhine işlenen suç savcılığa bildirilmelidir. Aksi takdirde, dava zamanaşımı süresi dolacağından suç ile ilgili soruşturma yapılamayacaktır.