KVKK, 6698 sayı ve 24.03.2016 tarihli Kişisel Verilerin Korunması Kanunu kapsayıcı ve belirleyici özellikleri ile dikkat çeken başarılı bir kanundur. Bu kanun bilgisayar ve bilgisayar donanımlı cihazların kullanımdan doğan bir ihtiyaç ile şekillenmiştir. Elektronik ortamda bir veri tabanında tutulan bilgiler, firmaların gerekli özeni göstermesi ya da kötüniyetli hareketleri ile ya da sadece bilinçsiz hareket etmelerinden kaynaklı olarak, kötüniyetli kişilerin eline geçmesine neden olabilir. Kişisel verilerin, özellikle kişiler için toplumda belirleyici olan hassas kişisel verilerin yayılması, gerçekten önemli mağduriyetlere neden olabilir. Kanun koyucu bunların önüne geçmek için firmalara birtakım yaptırımlar sunan kanun hükümlerini işler hale getirmiştir.

Kişisel veri olarak ne tür veriler bu kanun kapsamındadır. Öncelikle bir kişiye ait olması yani bir gerçek kişiye ait olması gerekmektedir. Tüzel kişilerin, yani firmaların, kurumların bilgileri kişisel bilgi değildir. Öte yandan, kişisel veri olarak, bilgilerin otomatik sistemler üzerinden ya da manuel olsa bile sistematik bir veri girişi sistemi varsa, bu verilerin kişisel veri sayılacağını belirtmek gerekir. Yani birden fazla kişinin verilerinin, sistemli şekilde, kategoriler ile ayrımları yapılarak sisteme girişleri yapılmalıdır. Bundan başka, Kanun un 28. maddesinde hangi verilerin bu kanun dışında kalacağının istisnaları düzenlenmiştir. Buna göre,

Madde 28. 1 Bu kanun hükümleri aşağıdaki hallerde uygulanmaz,

1. Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla, gerçek kişiler tarafından, tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
2. Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
3. Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini, veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,

ç. Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği sağlamaya yönelik olarak, kanunla görev ve yetki verilmiş, kamu kurum ve kuruluşları tarafından yürütülen, önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,

1. Kişisel verilerin soruşturma, kovuşturma, yargılama, ve infaz işlemlerine ilişkin olarak yargı makamları ve infaz mercileri tarafından işlenmesi,
2. Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla, veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10, zararın giderilmesini talep eden 11. ve veri sorumluları siciline kayıt yükümlülüğünü düzenleyen 16. maddeleri aşağıdaki hallerde uygulanmaz,
3. Kişisel veri işlemenin suç işlemenin önlenmesi, veya suç soruşturması için gerekli olması,
4. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
5. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak, görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki, meslek kuruluşlarınca denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturması veya kovuşturması için gerekli olması,

ç. Kişisel veri işlemenin, bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması hallerinde kişisel verilerin işlenmesinde istisnai durumlar söz konusu olmaktadır.