Kişisel verilerin işlenmesinde temel hak ve özgürlüklerin korunması amacıyla kurulmuş bağımsız düzenleyici ve denetleyici kurumdur. 6698 sayılı KVKK çerçevesinde faaliyet gösterir.
Kişisel Verileri Koruma Kurumu, kişisel verilerin işlenmesinde bireylerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini belirlemek amacıyla kurulmuş bağımsız bir idari otoritedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile 2016 yılında kurulan bu otorite, AY m.20'de güvence altına alınan özel hayatın gizliliği ve kişisel verilerin korunması hakkının kurumsal güvencesi niteliğindedir.
AY m.20/3, 2010 yılında eklenen fıkrasıyla kişisel verilerin korunmasını açıkça anayasal güvence altına almıştır. Bu hükme göre herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.
6698 sayılı Kanun, kişisel verilerin işlenmesinde uyulması gereken temel ilkeleri belirlemiştir. Bunlar: hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmedir.
Kişisel verilerin işlenebilmesi için kural olarak ilgili kişinin açık rızası gerekir. Ancak Kanun, açık rıza aranmayan istisna hallerini de düzenlemiştir: kanunlarda açıkça öngörülme, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin hayatı veya beden bütünlüğünün korunması, sözleşmenin ifası, veri sorumlusunun hukuki yükümlülüğü, kişinin kendisi tarafından alenileştirilmiş olma, bir hakkın tesisi veya korunması ve meşru menfaat gibi haller bu istisnalar arasındadır.
Özel nitelikli kişisel veriler (ırk, etnik köken, siyasi düşünce, din, mezhep, sağlık verileri, biyometrik ve genetik veriler gibi) ise daha sıkı koruma rejimine tabidir ve bu verilerin işlenmesi Kurul tarafından belirlenen yeterli önlemlerin alınması şartına bağlanmıştır.
Kişisel Verileri Koruma Kurumu, Kişisel Verileri Koruma Kurulu ve Başkanlık olmak üzere iki ana organdan oluşur. Kurul, biri başkan ve biri ikinci başkan olmak üzere dokuz üyeden meydana gelir. Üyelerin beşi TBMM, ikisi Cumhurbaşkanı tarafından seçilir.
Kurumun başlıca görevleri arasında kişisel verilerin korunmasına ilişkin şikâyet ve başvuruları karara bağlamak, veri işleme faaliyetlerinin kanuna uygunluğunu denetlemek, gerektiğinde idari yaptırım uygulamak, ikincil düzenlemeler yapmak ve veri sorumluları sicilinin tutulmasını sağlamak yer alır. Kurum ayrıca kişisel verilerin korunması alanında ulusal ve uluslararası düzeyde iş birliği faaliyetleri yürütür.
KVKK, kişisel verilerin korunmasına ilişkin yükümlülüklerin ihlali halinde önemli idari para cezaları öngörmüştür. Aydınlatma yükümlülüğünü yerine getirmeyenlere, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenlere, Kurul kararlarını yerine getirmeyenlere ve Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı davrananlara idari para cezası uygulanabilir.
Bu cezalar Kurul tarafından verilir ve idari yargı denetimine tabidir. Ceza miktarları her yıl yeniden değerleme oranında güncellenir. Ayrıca kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu'nun 135-140. maddeleri uyarınca hapis cezası da söz konusu olabilir.