Teknolojinin gündelik hayatımızın bir parçası olduğu günümüz dünyasında kimlik, iletişim, sağlık ve mali bilgiler, mahremiyet, dini inançlar ve siyasi görüşler gibi kişisel verilerin gizliliğinin korunması büyük önem taşımaktadır. Kişisel veriler genellikle kamu ve özel sektör tarafından bilgisayarlı sistemler aracılığıyla otomatik bir şekilde kullanılmaktadır. Bu bilgilerin kullanımı bireylere ve mal ve hizmet sağlayıcılara bazı kolaylıklar ve avantajlar sunsa da kötüye kullanım riski de taşımaktadır. Bu nedenle bu iki menfaat arasında meşru ve makul bir denge kurulması gerekmektedir. Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kanunun uygulama alanı bu kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır.

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Bu durumda, kişisel verileri kişisel olmayan verilerden ayırmak için iki ana kriter kullanılabilir. Kişisel veriler, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin verilerdir. Kişisel veri, bir bireyin kişisel, mesleki ve ailevi özelliklerini ortaya koyan ve onu diğerlerinden ayırt edebilecek ve niteliklerini vurgulayabilecek her türlü bilgidir. Kanun kişisel veriyi “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlamaktadır. Bu bilgiler kimlik, etnik köken, fiziksel özellikler, sağlık, eğitim, mesleki durum, cinsel yaşam, aile yaşamı, başkalarıyla iletişim, ev adresi, kredi kartı bilgileri, düşünce ve inançlar vb. bilgileri kapsamına almaktadır.

İşletmeler KVKK kapsamında:

  • Kişisel verilerin sisteme aktarılması,
  • Verilerin işlenmesi,
  • Kişisel veri işleme envanterinin oluşturulması,
  • Verilerin kişinin rızasının alınarak sisteme dahil edilmesi,
  • Gerekli aydınlatma bilgilerinin kişilerle paylaşılması,
  • Veri saklama ve imha politikalarının oluşturulması,
  • Kişilerin özel mahiyetli verilerinin işlenmesi hakkındaki gereklilikler,
  • İşlenen verilerin amaç ve süre tanımlamalarının yapılması,
  • Kişisel verilerin depolanması ve işlenmesiyle ilgili yükümlülüklerin gerekliliklerinin yerine getirilmesi ve
  • Verilerin imha sürelerinin belirlenmesi gibi gereklilikleri kapsamaktadır.