Kişisel Verilerin Korunma Kanunu’nun 2.maddesinde “Bu kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır” şeklinde düzenlenmiştir. Kişisel Verileri Koruma Kanunu’nun kapsamı son derece geniş ve bir o kadar da nettir.
KVKK’nın birinci derecede tarafı gerçek kişilerdir. Daha açık olmak gerekilirse, verileri işlenen gerçek kişilerdir. Kurum ve kuruluş gibi tüzel kişiler ise ikinci derecede verileri işleyen olarak sorumludur. Bu konu ile ilgili gerekli düzenleme madde 4/2’de ‘Genel İlkeler’ başlığı altında ifade edilmiştir ve kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
- Hukuka ve dürüstlük kurallarına uygun olma
- Doğru ve gerektiğinde güncel olma
- Belirli, açık ve meşru amaçlar için işlenme
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Kişisel verilerin işlenmesi şartları ile ilgili olarak da madde 5’te “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez” denilmekte, madde 5/2’de ise belirli koşullarda kişinin açık rızası aranmaksızın verilerinin işlenebileceği ifade edilmiştir.
Kişisel verilerin aktarılması ile de ilgili olarak madde 8’de “Kişisel veriler ilgili kişinin açık rızası olmaksızın aktarılamaz” ve madde 9’da “Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz” denilerek gerekli düzenleme yapılmıştır.
Tüzel kişi grubundaki kurumlar için özel ya da kamu kuruluşu olma konusunda bir ayrım yapılmamış olup tamamı için aynı usul ve esaslar geçerli kabul edilmiştir. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes kanun kapsamları dahilindedir.
Kanunda “kişisel verileri işlenen gerçek kişiler” ifadesi kullanıldığından dolayı kişisel verileri işlenen tüzel kişiler bu kanunun kapsamı dışında tutulmuştur. Aynı zamanda veri kayıt sisteminin parçası olmaksızın veri toplayan ve işleyen gerçek ve tüzel kişisel de kanun kapsamı dışındadır.
Kanunda veri işleyecek gerçek ve tüzel kişilere, Veri Sorumluları Sicili ’ne kaydolma zorunluluğu getirilmiştir. Ancak bazı durumlarda işlenecek verinin boyutu, niteliği, konusu, amacı gibi kriterler göz önüne alınarak kurul tarafından bazı veri sorumlularına bu sicile kaydolma konusunda muafiyet getirilebilmektedir. Bu muafiyet çoğunlukla verinin bir kanun kapsamında işlenmesinden getirilebilmektedir.