BİRİNCİ BÖLÜM

Amaç, Kapsam ve Tanımlar

Amaç
MADDE 1- (1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Kapsam
MADDE 2- (1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Tanımlar
MADDE 3- (1) Bu Kanunun uygulanmasında;
a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
b) Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,
c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,
ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
f) Kurul: Kişisel Verileri Koruma Kurulunu,
g) Kurum: Kişisel Verileri Koruma Kurumunu,
ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade eder.

İKİNCİ BÖLÜM

Kişisel Verilerin İşlenmesi

Genel ilkeler
MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel verilerin işlenme şartları
MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan en az birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel nitelikli kişisel verilerin işlenme şartları
MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel veriler, Kurul tarafından belirlenen yeterli önlemler alınmaksızın hiçbir şekilde işlenemez.
(3) Özel nitelikli kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(4) Aşağıdaki şartlardan en az birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın özel nitelikli kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Siyasi parti, vakıf, dernek veya sendika gibi kâr amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik verileri işlemesi.
c) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
ç) Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması.
d) Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
MADDE 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.
(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

Kişisel verilerin üçüncü kişilere aktarılması
MADDE 8- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü kişilere aktarılamaz.
(2) Kişisel veriler;
a) 5 inci maddenin ikinci fıkrasında,
b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin (b) bendi hariç dördüncü fıkrasında,
belirtilen şartlardan birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın üçüncü kişilere aktarılabilir.
(3) Kişisel verilerin üçüncü kişilere aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Kişisel verilerin yurtdışına aktarılması
MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamaz.
(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin (b) bendi hariç dördüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,
kaydıyla ilgili kişinin açık rızası aranmaksızın yurtdışına aktarılabilir,
(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;
a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,
değerlendirmek ve ihtiyaç duyması halinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.
(5) Kişisel verilerin yurtdışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

ÜÇÜNCÜ BÖLÜM

Haklar ve Yükümlülükler

Veri sorumlusunun aydınlatma yükümlülüğü
MADDE 10- (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) 11 inci maddede sayılan diğer hakları,
konusunda bilgi vermekle yükümlüdür.

İlgili kişinin hakları
MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurtiçinde veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme,
haklarına sahiptir.

Veri güvenliğine ilişkin yükümlülükler
MADDE 12- (1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
(4) Veri sorumluları ile veri işleyen kişiler öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve kendi şahsi çıkarları için kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

DÖRDÜNCÜ BÖLÜM

Başvuru, Şikâyet ve Sicil

Veri sorumlusuna başvuru
MADDE 13- (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.
(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak işlemin ayrıca bir maliyeti gerektirmesi halinde Kurulca belirlenen tarifedeki ücret alınabilir.
(3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye bildirir. Başvuruda yer alan talebin kabul edilmesi halinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması halinde alınan ücret ilgiliye iade edilir.

Kurula şikâyet
MADDE 14- (1) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
(2) 13 üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.
(3) Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.

Şikâyet üzerine veya resen incelemenin usul ve esasları
MADDE 15- (1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.
(2) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar veya şikâyetler incelemeye alınmaz.
(3) Devlet sırrı niteliğindeki bilgi ve belgeler hariç, veri sorumlusu Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri onbeş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.
(4) Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.
(5) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması halinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
(6) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi halinde, Kurul bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması halinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.
(7) Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, veri işlenmesinin veya verinin yurtdışına aktarılmasının durdurulmasına karar verebilir.

Veri Sorumluları Sicili
MADDE 16- (1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.
(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Sicile kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler gözönüne alınmak suretiyle, Kurul tarafından, Sicile kayıt zorunluluğuna istisna getirilebilir.
(3) Sicile kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:
a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
b) Kişisel verilerin hangi amaçla işleneceği.
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler.
e) Kişisel veri güvenliğine ilişkin alınan tedbirler.
f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhal Başkanlığa bildirilir.
(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.

BEŞİNCİ BÖLÜM

Suçlar ve Kabahatler

Suçlar
MADDE 17- (1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.
(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hale getirmeyenler Türk Ceza Kanununun 138 inci maddesine göre cezalandırılır.

Kabahatler
MADDE 18- (1) Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk Lirasından 100.000 Türk Lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,
ç) 16 ncı maddesinde öngörülen Sicile kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,
idari para cezası verilir.
(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.
(4) İlgililer, Kurulca verilen idari yaptırım kararlarına karşı idare mahkemelerinde dava açabilirler.

ALTINCI BÖLÜM

Kişisel Verileri Koruma Kurumu ve Teşkilat

Kişisel Verileri Koruma Kurumu
MADDE 19- (1) Bu Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuştur.
(2) Kurum Başbakanlıkla ilişkilidir.
(3) Kurumun merkezi Ankara’dadır.
(4) Kurum, Kurul ve Başkanlıktan oluşur. Kurumun karar organı Kuruldur.

Kurumun görevleri
MADDE 20- (1) Kurumun görevleri şunlardır:
a) Görev alanı itibarıyla, uygulamaları ve mevzuattaki gelişmeleri takip etmek, değerlendirme ve önerilerde bulunmak, araştırma ve incelemeler yapmak veya yaptırmak,
b) İhtiyaç duyulması halinde, görev alanına giren konularda kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek örgütleri veya üniversitelerle işbirliği yapmak.
c) Kişisel verilerle ilgili uluslararası gelişmeleri izlemek ve değerlendirmek, görev alanına giren konularda uluslararası kuruluşlarla işbirliği yapmak, toplantılara katılmak.
ç) Yıllık faaliyet raporunu Cumhurbaşkanlığına, Türkiye Büyük Millet Meclisi İnsan Haklarını İnceleme Komisyonuna ve Başbakanlığa sunmak.
d) Kanunlarla verilen diğer görevleri yerine getirmek.

Kişisel Verileri Koruma Kurulu
MADDE 21- (1) Kurul, bu Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirir ve kullanır. Görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişi, Kurula emir ve talimat veremez, tavsiye veya telkinde bulunamaz.
(2) Kurul, yedi üyeden oluşur. Kamu veya özel sektörde en az on yıl görev yapanlar arasından Bakanlar Kurulunca dört, Cumhurbaşkanınca üç üye seçilir.
(3) Üyelerin, en az dört yıllık lisans düzeyinde yükseköğrenim görmüş olmaları ve 14/7/1965 tarihli ve 657 sayılı Devlet Memurları Kanununun 48 inci maddesinin birinci fıkrasının (A) bendinin (1), (4), (5), (6) ve (7) numaralı alt bentlerinde belirtilen şartları taşımaları zorunludur.
(4) Kurul üyeliğine seçileceklerin muvafakatleri aranır.
(5) Kurul Başkan ve İkinci Başkanı, üyeler arasından Bakanlar Kurulu tarafından belirlenir. Kurulun Başkanı, Kurumun da başkanıdır.
(6) Kurul üyelerinin görev süresi dört yıldır. Süresi biten üye yeniden seçilebilir. Süresi biten üyelerin yerine bir ay içinde seçim yapılır ve yeni üyelerin seçilmesine kadar eski üyeler görevlerine devam eder. Üyeliklerde, görev süresi dolmadan herhangi bir sebeple boşalma olması halinde, bir ay içinde seçim yapılır. Bu şekilde seçilen üye, yerine seçildiği üyenin kalan süresini tamamlar.
(7) Seçilen üyeler ilk toplantının başında aşağıdaki şekilde yemin ederler:
“Görevimi tam bir tarafsızlık, dürüstlük, hakkaniyet ve adalet anlayışı içinde yerine getireceğime, namusum ve şerefim üzerine yemin ederim.”
(8) Üyeler, kanunlarda belirlenenler dışında resmi veya özel başka bir görev alamaz ve kazanç getirici faaliyetlerde bulunamazlar.
(9) Üyelerin görevleri sebebiyle işledikleri iddia edilen suçlara ilişkin soruşturmalar 2/12/1999 tarihli ve 4483 sayılı Memurlar ve Diğer Kamu Görevlilerinin Yargılanması Hakkında Kanuna göre yapılır ve bunlar hakkında soruşturma izni Başbakan tarafından verilir.
(10) Kurul üyeleri hakkında yapılacak disiplin soruşturması ve kovuşturmasında 657 sayılı Kanun hükümleri uygulanır.
(11) Kurul üyelerinin süreleri dolmadan herhangi bir nedenle görevlerine son verilemez. Kurul üyelerinin;
a) Seçilmek için gereken şartları taşımadıklarının sonradan anlaşılması,
b) Görevleriyle ilgili olarak işledikleri suçlardan dolayı haklarında verilen mahkûmiyet kararının kesinleşmesi,
c) Görevlerini yerine getiremeyeceklerinin sağlık kurulu raporuyla kesin olarak tespit edilmesi,
ç) Görevlerine izinsiz, mazeretsiz ve kesintisiz olarak onbeş gün ya da bir yılda toplam otuz gün süreyle devam etmediklerinin tespit edilmesi,
d) Bir ay içinde izinsiz ve mazeretsiz olarak toplam üç, bir yıl içinde toplam on Kurul toplantısına katılmadıklarının tespit edilmesi,
hallerinde Kurul kararıyla üyelikleri sona erer.

Kurulun görev ve yetkileri
MADDE 22- (1) Kurulun görev ve yetkileri şunlardır:
a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak.
b) Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak.
c) Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak.
ç) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek.
d) Veri Sorumluları Sicilinin tutulmasını sağlamak.
e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak.
f) Bu Kanunda öngörülen idari yaptırımlara karar vermek.
g) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek.
ğ) Kurumun; stratejik planını karara bağlamak, amaç ve hedeflerini, hizmet kalite standartlarını ve performans kriterlerini belirlemek.
h) Kurumun stratejik planı ile amaç ve hedeflerine uygun olarak hazırlanan bütçe teklifini görüşmek ve karara bağlamak.
ı) Kurumun performansı, mali durumu, yıllık faaliyetleri ve ihtiyaç duyulan konular hakkında hazırlanan rapor taslaklarını onaylamak ve yayımlamak.
i) Taşınmaz alımı, satımı ve kiralanması konularındaki önerileri görüşüp karara bağlamak.
j) Kanunlarla verilen diğer görevleri yerine getirmek.

Kurulun çalışma esasları
MADDE 23- (1) Kurulun toplantı günlerini ve gündemini Başkan belirler. Başkan gereken hallerde Kurulu olağanüstü toplantıya çağırabilir.
(2) Kurul, en az beş üye ile toplanır ve üye tam sayısının salt çoğunluğuyla karar alır. Kurul üyeleri çekimser oy kullanamaz.
(3) Kurul üyeleri; kendilerini, üçüncü dereceye kadar kan ve ikinci dereceye kadar kayın hısımlarını, evlatlıklarını ve aralarındaki evlilik bağı kalkmış olsa bile eşlerini ilgilendiren konularla ilgili toplantı ve oylamaya katılamaz.
(4) Kurul üyeleri çalışmaları sırasında ilgililere ve üçüncü kişilere ait öğrendikleri sırları bu konuda kanunen yetkili kılınan mercilerden başkasına açıklayamazlar ve kendi yararlarına kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
(5) Kurulda görüşülen işler tutanağa bağlanır. Kararlar ve varsa karşı oy gerekçeleri karar tarihinden itibaren en geç onbeş gün içinde yazılır. Kurul, gerekli gördüğü kararları kamuoyuna duyurur.
(6) Aksi kararlaştırılmadıkça, Kurul toplantılarındaki görüşmeler gizlidir.
(7) Kurulun çalışma usul ve esasları ile kararların yazımı ve diğer hususlar yönetmelikle düzenlenir.

Başkan
MADDE 24- (1) Başkan, Kurul ve Kurumun başkanı sıfatıyla Kurumun en üst amiri olup, Kurum hizmetlerini mevzuata, Kurumun amaç ve politikalarına, stratejik planına, performans ölçütlerine ve hizmet kalite standartlarına uygun olarak düzenler, yürütür ve hizmet birimleri arasında koordinasyonu sağlar.
(2) Başkan, Kurumun genel yönetim ve temsilinden sorumludur. Bu sorumluluk, Kurum çalışmalarının düzenlenmesi, yürütülmesi, denetlenmesi, değerlendirilmesi ve gerektiğinde kamuoyuna duyurulması görev ve yetkilerini kapsar.
(3) Başkanın görevleri şunlardır:
a) Kurul toplantılarını idare etmek.
b) Kurul kararlarının tebliğini ve Kurulca gerekli görülenlerin kamuoyuna duyurulmasını sağlamak ve uygulanmalarını izlemek.
c) Başkan Yardımcısını, Daire Başkanlarını ve Kurum personelini atamak.
ç) Hizmet birimlerinden gelen önerilere son şeklini vererek Kurula sunmak.
d) Stratejik planın uygulanmasını sağlamak, hizmet kalite standartları doğrultusunda insan kaynakları ve çalışma politikalarını oluşturmak.
e) Belirlenen stratejilere, yıllık amaç ve hedeflere uygun olarak Kurumun yıllık bütçesi ile mali tablolarını hazırlamak.
f) Kurul ve hizmet birimlerinin uyumlu, verimli, disiplinli ve düzenli bir biçimde çalışması amacıyla koordinasyonu sağlamak.
g) Kurumun diğer kuruluşlarla ilişkilerini yürütmek.
ğ) Kurum Başkanı adına imzaya yetkili personelin görev ve yetki alanını belirlemek.
h) Kurumun yönetim ve işleyişine ilişkin diğer görevleri yerine getirmek.
(4) Kurum Başkanının yokluğunda İkinci Başkan, Başkana vekalet eder.

Başkanlığın oluşumu ve görevleri
MADDE 25- (1) Başkanlık; Başkan Yardımcısı ve hizmet birimlerinden oluşur. Başkanlık, dördüncü fıkrada sayılan görevleri daire başkanlıkları şeklinde teşkilatlanan hizmet birimleri aracılığıyla yerine getirir. Daire başkanlıklarının sayısı yediyi geçemez.
(2) Başkan tarafından, Kuruma ilişkin görevlerinde yardımcı olmak üzere bir Başkan Yardımcısı atanır.
(3) Başkan Yardımcısı ve Daire Başkanları; en az dört yıllık yükseköğretim kurumu mezunu, on yıl süreyle kamu hizmetinde bulunan kişiler arasından Başkan tarafından atanır.
(4) Başkanlığın görevleri şunlardır:
a) Veri Sorumluları Sicilini tutmak.
b) Kurumun ve Kurulun büro ve sekretarya işlemlerini yürütmek.
c) Kurumun taraf olduğu davalar ile icra takiplerinde avukatlar vasıtasıyla Kurumu temsil etmek, davaları takip etmek veya ettirmek, hukuk hizmetlerini yürütmek.
ç) Kurul üyeleri ile Kurumda görev yapanların özlük işlemlerini yürütmek.
d) Kanunlarla mali hizmet ve strateji geliştirme birimlerine verilen görevleri yapmak.
e) Kurumun iş ve işlemlerinin yürütülmesi amacıyla bilişim sisteminin kurulmasını ve kullanılmasını sağlamak.
f) Kurulun yıllık faaliyetleri hakkında veya ihtiyaç duyulan konularda rapor taslaklarını hazırlamak ve Kurula sunmak.
g) Kurumun stratejik plan taslağını hazırlamak,
ğ) Kurumun personel politikasını belirlemek, personelin kariyer ve eğitim planlarını hazırlamak ve uygulamak.
h) Personelin atama, nakil, disiplin, performans, terfi, emeklilik ve benzeri işlemlerini yürütmek.
ı) Personelin uyacağı etik kuralları belirlemek ve gerekli eğitimi vermek.
i) 10/12/2003 tarihli ve 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu çerçevesinde Kurumun ihtiyacı olan her türlü satın alma, kiralama, bakım, onarım, yapım, arşiv, sağlık, sosyal ve benzeri hizmetleri yürütmek.
j) Kuruma ait taşınır ve taşınmazların kayıtlarını tutmak.
k) Kurul veya Başkan tarafından verilen diğer görevleri yapmak.
(5) Hizmet birimleri ile bu birimlerin çalışma usul ve esasları, bu Kanunda belirtilen faaliyet alanı, görev ve yetkilere uygun olarak Kurumun teklifi üzerine Bakanlar Kurulu kararıyla yürürlüğe konulan yönetmelikle belirlenir.

Kişisel Verileri Koruma Uzmanı ve Uzman Yardımcıları
MADDE 26- (1) Kurumda, Kişisel Verileri Koruma Uzmanı ve Kişisel Verileri Koruma Uzman Yardımcısı istihdam edilebilir. Bunlardan 657 sayılı Kanunun ek 41 inci maddesi çerçevesinde Kişisel Verileri Koruma Uzmanı kadrosuna atananlara bir defaya mahsus olmak üzere bir derece yükseltilmesi uygulanır.

Personele ve özlük haklarına ilişkin hükümler
MADDE 27- (1) Kurum personeli, bu Kanunla düzenlenen hususlar dışında 657 sayılı Kanuna tabidir.
(2) Kurul Başkan ve üyeleri ile Kurum personeline 27/6/1989 tarihli ve 375 sayılı Kanun Hükmünde Kararnamenin ek 11 inci maddesi uyarınca belirlenmiş emsali personele mali ve sosyal haklar kapsamında yapılan ödemeler aynı usul ve esaslar çerçevesinde ödenir. Emsali personele yapılan ödemelerden vergi ve diğer yasal kesintilere tabi olmayanlar bu Kanuna göre de vergi ve diğer kesintilere tabi olmaz.
(3) Kurul Başkan ve üyeleri ile Kurum personeli 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 4 üncü maddesinin birinci fıkrasının (c) bendi hükümlerine tabidir. Kurul Başkan ve üyeleri ile Kurum personeli emeklilik hakları bakımından da emsali olarak belirlenen personel ile denk kabul edilir. 5510 sayılı Kanunun 4 üncü maddesinin birinci fıkrasının (c) bendi kapsamında sigortalı iken Kurul Başkanı ve üyeliklerine atananlardan bu görevleri sona erenler veya bu görevlerinden ayrılma isteğinde bulunanların bu görevlerde geçen hizmet süreleri kazanılmış hak aylık, derece ve kademelerinin tespitinde dikkate alınır. Bunlardan bu görevleri sırasında 5510 sayılı Kanunun geçici 4 üncü maddesi kapsamına girenlerin bu görevlerde geçen süreleri makam tazminatı ile temsil tazminatı ödenmesi gereken süre olarak değerlendirilir. Kamu kurum ve kuruluşlarında 5510 sayılı Kanunun 4 üncü maddesinin birinci fıkrasının (a) bendi kapsamında sigortalı iken Kurul Başkanı ve üyeliklerine atananların, önceki kurum ve kuruluşları ile ilişiklerinin kesilmesi kendilerine kıdem tazminatı veya iş sonu tazminatı ödenmesini gerektirmez. Bu durumda olanların kıdem tazminatı veya iş sonu tazminatı ödenmesi gereken hizmet süreleri, Kurul Başkanı ile Kurul üyeliği olarak geçen hizmet süreleri ile birleştirilir ve emeklilik ikramiyesi ödenecek süre olarak değerlendirilir.
(4) Merkezi yönetim kapsamındaki kamu idarelerinde, sosyal güvenlik kurumlarında, mahalli idarelerde, mahalli idarelere bağlı idarelerde, mahalli idare birliklerinde, döner sermayeli kuruluşlarda, kanunlarla kurulan fonlarda, kamu tüzel kişiliğini haiz kuruluşlarda, sermayesinin yüzde ellisinden fazlası kamuya ait kuruluşlarda, iktisadi devlet teşekkülleri ve kamu iktisadi kuruluşları ile bunlara bağlı ortaklıklar ve müesseselerde görevli memurlar ile diğer kamu görevlileri kurumlarının muvafakati ile aylık, ödenek, her türlü zam ve tazminatlar ile diğer mali ve sosyal hak ve yardımları kurumlarınca ödenmek kaydıyla geçici olarak Kurumda görevlendirilebilir. Kurumun bu konudaki talepleri, ilgili kurum ve kuruluşlarca öncelikle sonuçlandırılır. Bu şekilde görevlendirilen personel, kurumlarından aylıklı izinli sayılır. Bu personelin izinli oldukları sürece memuriyetleri ile ilgileri ve özlük hakları devam ettiği gibi, bu süreler yükselme ve emekliliklerinde de hesaba katılır ve
yükselmeleri başkaca bir işleme gerek duyulmadan süresinde yapılır. Bu madde kapsamında görevlendirilenlerin, Kurumda geçirdikleri süreler, kendi kurumlarında geçirilmiş sayılır. Bu şekilde görevlendirilenlerin sayısı Kişisel Verileri Koruma Uzmanı ve Kişisel Verileri Koruma Uzman Yardımcısı toplam kadro sayısının yüzde onunu aşamaz ve görevlendirme süresi iki yılı geçemez. Ancak ihtiyaç halinde bu süre bir yıllık dönemler halinde uzatılabilir.
(5) Kurumda istihdam edilecek personele ilişkin kadro unvan ve sayıları ekli (I) sayılı cetvelde gösterilmiştir. Toplam kadro sayısını geçmemek üzere 13/12/1983 tarihli ve 190 sayılı Genel Kadro ve Usulü Hakkında Kanun Hükmünde Kararnamenin eki cetvellerde yer alan kadro unvanlarıyla sınırlı olmak kaydıyla unvan ve derece değişikliği yapma, yeni unvan ekleme ve boş kadroların iptali Kurul kararıyla yapılır.

YEDİNCİ BÖLÜM

Çeşitli Hükümler

İstisnalar
MADDE 28- (1) Bu Kanun hükümleri aşağıdaki hallerde uygulanmaz:
a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
b) Kişisel verilerin anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
c) Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
ç) Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
d) Kişisel verilerin soruşturma, kovuşturma, yargılama ve infaz mercileri ile disiplin soruşturma ve kovuşturma makamları tarafından ilgili kanun hükümleri uyarınca işlenmesi.
(2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Sicile kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hallerde uygulanmaz:
a) Kişisel veri işlemenin suç işlenmesinin önlenmesi için gerekli olması.
b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi için gerekli olması.

Kurumun bütçesi ve gelirleri
MADDE 29- (1) Kurumun bütçesi, 5018 sayılı Kanunda belirlenen usul ve esaslara göre hazırlanır ve kabul edilir.
(2) Kurumun gelirleri şunlardır:
a) Genel bütçeden yapılacak hazine yardımları.
b) Kurula ait taşınır ve taşınmazlardan elde edilen gelirler.
c) Alınan bağış ve yardımlar.
ç) Gelirlerinin değerlendirilmesinden elde edilen gelirler.
d) Diğer gelirler.

Değiştirilen ve eklenen hükümler
MADDE 30- (1) 10/12/2003 tarihli ve 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanununun eki (III) sayılı Cetvele aşağıdaki sıra eklenmiştir.
“10) Kişisel Verileri Koruma Kurumu”
(2) 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 inci maddesinin ikinci fıkrasında yer alan “Kişilerin” ibaresi “Kişisel verinin, kişilerin” şeklinde, “bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır” ibaresi “olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır” şeklinde değiştirilmiştir.
(3) 7/5/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanununun 3 üncü maddesinin birinci fıkrasının (f) bendi aşağıdaki şekilde değiştirilmiştir
“f) Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabilir.”
(4) 11/10/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 47 nci maddesi aşağıdaki şekilde değiştirilmiştir.
“MADDE 47- (1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin kişisel verileri işlenebilir.
(2) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve finansmanı amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir.
(3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.
(4) Kişisel sağlık verisi kaydı tutulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, bu Kanun uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.
(5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.
(6) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir.”

Yönetmelik
MADDE 31- (1) Bu Kanunun uygulanmasına ilişkin yönetmelikler Kurum tarafından yürürlüğe konulur.
Geçiş hükümleri
GEÇİCİ MADDE 1- (1) Bu Kanunun yayımı tarihinden itibaren altı ay içinde Kurul üyeleri seçilir ve Başkanlık teşkilatı oluşturulur.
(2) Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Sicile kayıt yaptırmak zorundadır.
(3) Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hale getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhal silinir, yok edilir veya anonim hale getirilir.
(4) Bu Kanunda öngörülen yönetmelikler bu Kanunun yayımı tarihinden itibaren bir yıl içinde yürürlüğe konulur.
(5) Bu Kanunun yayımı tarihinden itibaren bir yıl içinde, kamu kurum ve kuruluşlarında bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Başkanlığa bildirilir.
(6) İlk seçilen Başkan, İkinci Başkan ve kura ile belirlenen bir üye altı yıl; diğer dört üye ise dört yıl görev yapar.
(7) Kuruma bütçe tahsis edilene kadar;
a) Kurumun giderleri Başbakanlık bütçesinden karşılanır.
b) Kurumun hizmetlerini yerine getirmesi amacıyla bina, araç, gereç, mefruşat ve donanım gibi gerekli tüm destek hizmetleri Başbakanlıkça sağlanır.
(8) Kurumun hizmet birimleri faaliyete geçinceye kadar sekretarya hizmetleri Başbakanlık tarafından yerine getirilir.

Yürürlük
MADDE 32- (1) Bu Kanunun;
a) 8 inci, 9 uncu, 11 inci, 13 üncü, 14 üncü, 15 inci, 16 ncı, 17 nci ve 18 inci maddeleri yayımı tarihinden altı ay sonra,
b) Diğer maddeleri ise yayımı tarihinde,
yürürlüğe girer.

Yürütme
MADDE 33- (1) Bu Kanun hükümlerini Bakanlar Kurulu yürütür.

(1) SAYILI CETVEL
KİŞİSEL VERİLERİ KORUMA KURUMU
KADRO LİSTESİ




GENEL GEREKÇE

Kişisel veri, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanabilir. Bu bağlamda kişinin kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına, dini inancına ve siyasi görüşüne ilişkin bilgiler, kişisel veri olarak nitelendirilmektedir.

Günümüzde bu veriler, gerek özel sektör ve gerekse kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır. Bu bilgilerin kullanılması bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar veya avantajlar sağlasa da, bu durum söz konusu bilgilerin istismar edilme riskini de beraberinde getirmektedir. Bu verilerin yetkisiz kişiler tarafından elde edilmesi, kullanılması ve ifşa edilmesi gerek taraf olduğumuz sözleşmeler ve gerekse Anayasamızda koruma altına alınan temel hakların ihlali olarak karşımıza çıkmaktadır. Bu iki menfaat arasında makul bir dengenin oluşturulması gerekmektedir.

Kişisel verilerin işlenebilmesi hususunda özel bir kanun ve etkin bir denetim mekanizmasının bulunmaması toplumumuzda olumsuz bir algının oluşmasına sebebiyet vermektedir. Oluşan bu algının ortadan kaldırılması için kişisel verilerin belli şartlar dahilinde işlenmesine, muhafaza edilmesine ve kontrolüne ilişkin esasların belirlenmesi gerekmektedir.
Çağımızda insan haklarının korunması bilincinin gelişmesine paralel olarak, kişisel verilerin korunmasının da önemi her geçen gün artmaktadır. Bu nedenle günümüzde gelişmiş ülkelerde kişisel verilerin korunması alanında detaylı kanuni düzenlemelerin uygulanmakta olduğu görülmektedir.

Buna karşın ülkemizde, kişisel verilerin korunmasına ilişkin alanı bütüncül olarak düzenleyen bir kanun bulunmamakta, bu konuya ilişkin hükümler farklı kanunlarda yer almaktadır. Ayrıca ülkemizde kişisel verilerin işlenmesi sürecini kontrol edecek ve denetleyecek bir kurum da bulunmamaktadır. Bunun bir sonucu olarak, halen kişisel veriler yeterli düzenleme ve denetime tabi olmaksızın, birçok kişi veya kurum tarafından kullanılabilmekte ve bu durum bazı hak ihlallerinin yaşanmasına sebep olabilmektedir.

Ülkemizde kişisel verilerin korunmasını sağlayacak bir kanunun yürürlüğe girmesini gerektiren değişik sebepler bulunmaktadır. Öncelikle, 5237 sayılı Türk Ceza Kanununun 135 ve devamı maddelerinde, kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiilleri suç olarak düzenlenmiş ve yaptırıma bağlanmıştır. Bununla birlikte, kişisel verilerin işlenmesine yönelik özel bir kanunun bulunmaması sebebiyle, bu fillerin ne zaman hukuka aykırı, ne zaman hukuka uygun olduğunun belirlenmesinde tereddütlerin yaşandığı görülmektedir.

Öte yandan 12 Eylül 2010 tarihinde yapılan halkoylaması sonucu kabul edilen 5982 sayılı Kanunla Anayasanın 20 nci maddesinde yapılan düzenlemeyle, kişisel verilerin korunması temel bir insan hakkı olarak güvence altına alınmış ve detayların kanunla düzenlenmesi öngörülmüştür.

Yine ülkemizle ilgili olarak devam etmekte olan Avrupa Birliği tam üyelik sürecinde, müzakere fasıllarından dördü, doğrudan kişisel verilerle ilgilidir. Bu fasıllarla ilgili sürecin ilerleyebilmesi için ülkemizde kişisel verilerin korunmasına ilişkin temel bir kanunun yürürlüğe girmesi gerekmektedir. Avrupa Birliğinin Türkiye ile ilgili olarak hazırladığı ilerleme raporlarında Türkiye’de veri koruma alanındaki kanuni boşluğa işaret edilmektedir.

Ülkemizde kişisel verilerin korunmasına ilişkin kanuni bir düzenleme olmaması sebebiyle, polis birimleri arasında etkin bir işbirliğini hayata geçiren EUROPOL ile ülkemiz güvenlik birimleri arasında operasyonel işbirliği anlaşması yapılamamakta ve elektronik bilgi değişimi gerçekleştirilememektedir.

Benzer şekilde, sınır aşan suçlarla ilgili değişik ülkelerin yargı mercilerinin ortak operasyonlar yapabilmesi amacıyla oluşturulan EUROJUST ile çok sayıda sınır aşan suçun işlendiği geçiş güzergahında bulunan ülkemiz arasında bu suçlarla mücadeleye yönelik işbirliği yapılamamaktadır.

Sağlık kuruluşlarında hastalara ilişkin çok sayıda özel nitelikli veri tutulmakta olup, bu verilerin tutulmasına ilişkin kanuni dayanağın olmayışı, verilerin güvenliğinin sağlanmasına yönelik yeterli önlemlerin alınmaması ve yetkisiz kişilerce bu nitelikteki bilgilerin ifşa edilmesi, Avrupa İnsan Hakları Mahkemesince özel hayatın gizliliğine müdahale olarak nitelendirilmekte ve ihlal kararları verilebilmektedir.

Aynı şekilde, ülkemizde yaşayan yabancılar ile yurtdışında yaşayan Türk vatandaşları bakımından Dışişleri Bakanlığı askerlik, vatandaşlık, kimlik ve malvarlığı gibi konularda veri paylaşımında sorunlar yaşamaktadır.

Ayrıca, kişisel verilerin korunması konusunda kanun hazırlanması, ülkemizin Katılım Ortaklığı Belgesine cevap olarak hazırladığı 2003 Ulusal Programında taahhüt ettiği yükümlülüklerdendir.

Diğer taraftan, 64. Hükümet 2016 yılı Eylem Planında üç ay içerisinde gerçekleştirilecek reformlar arasında kişisel verilerin korunmasına ilişkin kanuni düzenlemelerin hayata geçirileceği yer almaktadır.

Kişisel verilerin korunması konusu ekonomik alanla da yakından ilgilidir. Zira yabancı sermayenin ülkemizde yatırım yapması ve başka ülkelerdeki yatırımları ile ülkemizdeki yatırımlarını etkin bir şekilde yönetebilmesi için ihtiyaç duyduğu veri aktarımı, ülkemizde kanuni düzenleme olmaması sebebiyle gerçekleştirilememekte ve bu durum yabancı sermayenin ülkemizde yatırım yapması bakımından caydırıcı bir etken olarak değerlendirilmektedir. Yine işadamlarımızın yabancı ülkelerdeki yatırımları ve ortaklıklarıyla ilgili ihtiyaç duydukları veri aktarımında sorunlar yaşanmaktadır.

Tüm bu açıklamalar, ülkemizde kişisel verilerin korunmasına ilişkin kanunun bir an önce yürürlüğe girmesini gerekli kılmaktadır.

Kişisel verilerin korunması konusu 1980’li yıllardan itibaren uluslararası belgelerde yer almaya başlamıştır. İlk olarak, ülkemizin de üyesi bulunduğu, İktisadi İşbirliği ve Kalkınma Teşkilatı (OECD) tarafından 23/9/1980 tarihinde “Kişisel Alanın ve Sınır Aşan Kişisel Bilgi Trafiğinin Korunmasına İlişkin Rehber İlkeler” kabul edilmiştir.

Avrupa Konseyi tarafından, tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”, 28 Ocak 1981 tarihinde imzaya açılmış ve ülkemiz tarafından da imzalanmıştır.
Avrupa Konseyi ayrıca, kişisel verilerin korunmasına yönelik, tıbbi veri bankaları, bilimsel araştırma ve istatistik, doğrudan pazarlama, sosyal güvenlik, sigorta, polis kayıtları, istihdam, elektronik ödeme, telekomünikasyon ve internet gibi çeşitli sektörlerde uygulanacak ilkeleri belirleyen tavsiye kararları da kabul etmiştir. Tasarının hazırlanması sırasında, söz konusu tavsiye kararları gözönüne alınmakla beraber, Tasarının “çerçeve tasarı” niteliği korunmuştur. Tüm sektörlerle ilgili düzenlemelere yer verilmesi halinde, Tasarının hacminin çok genişleyeceği düşünülerek, söz konusu tavsiye kararları Tasarıya alınmamıştır. Bu tavsiye kararlarında yer alan ilkelere, ilerleyen süreçte, değişik sektörlerle ilgili yapılacak düzenlemelerde yer verilebileceği değerlendirilmiştir.

Öte yandan, Avrupa Birliği, üye ülkelerin kişisel verilerin korunmasına ilişkin mevzuatı arasında uyum sağlamak üzere, 24/10/1995 tarihinde “Kişisel Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunması ve Serbest Veri Trafiği Direktifi”ni (95/46/EC) yürürlüğe koymuştur. Bu Direktifle, üye ülkelerdeki bireylerin kişisel verilerinin üst düzeyde korunması ve kişisel verilerin Avrupa Birliği içerisinde özgür dolaşımını sağlayacak açık ve kalıcı bir düzenleme yapılması amaçlanmıştır.

Kişisel verilerin korunmasına yönelik uluslararası belgeler gözönüne alındığında; bu konuya ilişkin hazırlanacak kanunda, kişisel verilerin işlenme şartlarının, bireylerin aydınlatılmasının, bu alanı denetleyecek ve düzenleyecek bir otoritenin oluşturulmasının, veri güvenliğine ilişkin gerekli tedbirlerin alınmasının temel ilkeler olarak kabul edildiği görülmektedir.

Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları gözönüne alınmak suretiyle hazırlanan Tasarıyla, kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır.

MADDE GEREKÇELERİ

MADDE 1- Maddeyle, Kanunun amacı belirlenmektedir. Amaç, kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır. Son yıllarda önem kazanan kişinin mahremiyet hakkı ile bilgi güvenliği hakkının korunması da bu kapsamda değerlendirilmektedir. Ayrıca, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların da düzenlenmesi Kanunun amaçları arasında yer almaktadır.

MADDE 2- Maddeyle, Kanunun kapsamı belirlenmektedir. Buna göre Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır. Özel sektör ile kamu sektörü bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların her iki sektörde de uygulanması benimsenmektedir. Kişisel verilerin otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesi bakımından da herhangi bir fark öngörülmemektedir. Veri kayıt sistemi, Kanunun 3 üncü maddesinde tanımlandığı üzere kişisel verilere ulaşımı kolaylaştıracak şekilde, belirli bir kritere göre yapılandırılmış kayıt sistemini ifade etmektedir. Bir dosyalama sistemi olarak nitelenebilecek veri kayıt sistemi sadece dijital yahut elektronik ortamda oluşturulması gereken bir sistem değildir. Bu kapsamda, otomatik olmayan yollarla işlenen kişisel veriler bir veri kayıt sisteminin parçası değilse Kanun kapsamında değerlendirilmeyecektir. Ancak, bu hüküm anılan verilerin kişisel veri niteliğini etkilemeyeceğinden, bu tür verilere ilişkin hukuka aykırı eylemler 5237 sayılı Türk Ceza Kanunu uyarınca suç teşkil etmeye devam edecektir.

MADDE 3- Maddeyle, Kanunda kullanılan bazı terimlerin tanımları yapılmıştır. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.

Kişisel verilerin işlenmesi kavramı geniş bir alanı kapsamaktadır. Buna göre kişisel verilerin işlenmesi, verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.

Açık rıza, 95/46 EC sayılı Direktif dikkate alınarak tanımlanmaktadır. Buna göre, açık rıza ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır.

Kişisel verilerin anonim hale getirilmesi, verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir. Bu kapsamda, elde kalan veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez.

Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Bu sistemler elektronik yahut fiziki ortamda oluşturulabilir. Buna göre, veri kayıt sisteminde kişisel veriler, ad, soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, kredi borcunu ödemeyenlere ilişkin oluşturulacak sınıflandırma da bu kapsamda değerlendirilecektir.

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olanlardır. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir.

Veri işleyen, veri sorumlusu adına verileri işleyen gerçek ve tüzel kişilerdir. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen çalışanlar olabileceği gibi, veri sorumlusunun hizmet satın almak suretiyle belirlediği ayrı bir gerçek veya tüzel kişi de olabilir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir.

MADDE 4- Maddeyle, kişisel verilerin işlenmesine ilişkin genel ilkeler düzenlenmektedir. Buna göre kişisel veriler ancak Kanunda ve diğer Kanunlarda öngörülen usul ve esaslar çerçevesinde işlenebilecektir.

Maddenin ikinci fıkrasında kişisel verilerin işlenmesine ilişkin ilkeler sayılmaktadır. Bu ilkeler; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektir.

Belirli, açık ve meşru amaçlar için işlenme ilkesi, veri sorumlusunun, veri işleme amacını açık ve kesin olarak belirlemesini ve bu amacın meşru olmasını zorunlu kılmaktadır. Veri sorumluları, belirttikleri bu amaçlar dışında, başka amaçlarla veri işlemeleri halinde, bu fiillerinden dolayı sorumlu olacaklardır. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Örneğin, bir hazır giyim mağazasının, müşterilerinin kimlik ve iletişim bilgilerini işlemesi meşru amaç kapsamındayken, kan gruplarını işlemesi meşru amaç kapsamında değerlendirilemeyecektir.

Kişisel verilerin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ilkesi, işlenen verilerin, belirlenen amaçların gerçekleştirilebilmesine elverişli olmasını, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirmektedir. Yine, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işlenebilmesi için, işlemeye ilk kez başlıyor gibi, 5 inci maddede düzenlenmiş olan kişisel verilerin işlenme şartlarından birinin gerçekleşmesi gerekecektir. Ayrıca işlenen veri, sadece amacın gerçekleştirilmesi için gerekli olanla sınırlı tutulacaktır.

Kişisel verilerin, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi zorunludur. Buna göre, veri sorumluları, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uyacak; yoksa verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebilecektir. Bir verinin daha fazla saklanması için geçerli bir sebep olmaması durumunda, o veri silinecek veya anonim hale getirilecektir. Gelecekte kullanma ihtimalinin varlığına dayanarak veri saklanamayacaktır. Veri sorumlusu, Kanunun 16 ncı maddesi uyarınca Sicile kayıt için başvuru yaparken kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi bildirmek zorundadır.

MADDE 5- Maddeyle, kişisel verilerin işlenme koşulları düzenlenmektedir.

Kural olarak kişisel verilerin ilgili kişinin açık rızası veya maddede sayılan istisnalar dışında işlenmesi yasaktır. 95/46 EC sayılı Avrupa Birliği Direktifine göre rıza, ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır.
Maddenin ikinci fıkrasıyla ilgili kişinin açık rızası olmasa dahi bazı hallerde kişisel verilerin işlenebilmesi öngörülmektedir.

Fıkranın (a) bendine göre ilgili kişinin açık rızası olmasa dahi kanunlarda açıkça öngörülen hallerde kişisel veri işlenebilecektir. Örneğin, kolluk tarafından bir suç soruşturması sebebiyle, 2559 sayılı Polis Vazife ve Salahiyet Kanununun 5 inci maddesi uyarınca şüphelilerin parmak izlerinin alınması; 5352 sayılı Adli Sicil Kanunu uyarınca Adalet Bakanlığının kişilerin ceza mahkûmiyetlerine ilişkin verilerini işlemesi gibi.

Fıkranın (b) bendine göre, rızanın açıklanamadığı ya da geçerli olmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesi öngörülmektedir. Örneğin kişinin şuurunun yerinde olmadığı veya akıl hastası olması sebebiyle rızasının geçerli olmadığı bir durumda, hayat veya beden bütünlüğünün korunması amacıyla, tıbbi müdahale yapılması sırasında, kişisel verileri işlenebilecektir. Bu bağlamda kan grubu, geçirilen hastalıklar ve ameliyatlar, kullanılan ilaçlar gibi veriler, ilgili sağlık sistemi üzerinden işlenebilecektir. Yine hürriyeti tahdit edilen bir kişinin kurtarılması amacıyla, kendisinin veya şüphelinin taşımakta olduğu telefon, bilgisayar, kredi kartı, banka kartı veya diğer teknik bir araç üzerinden yerinin belirlenmesi için bu veriler işlenebilecektir.

Fıkranın (c) bendine göre, bir sözleşmenin kurulması veya ifasıyla ilgili olarak kişisel veri işlenebilecektir. Örneğin, yapılan bir sözleşme gereği paranın ödenmesi için alacaklı tarafın hesap numarası alınabilecektir. Yine bir bankayla kredi sözleşmesi yapılması sırasında bankanın, o kişiye ait maaş bordrosunu, tapu kayıtlarını, icra borcu olmadığına dair belgeyi edinmesi bu kapsamda değerlendirilecektir.

Fıkranın (ç) bendine göre, veri sorumlusu, hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan verileri, ilgili kişinin rızası olmasa dahi işleyebilecektir. Örneğin bir şirketin çalışanına maaş ödeyebilmesi için, banka hesap numarası, evli olup olmadığı, bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verileri işlemesi bu bendin verdiği yetkiye istinaden olacaktır.

Fıkranın (d) bendine göre, ilgili kişinin kendisi tarafından alenileştirilen bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Çünkü ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale gelen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.

Fıkranın (e) bendine göre, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması durumunda kişisel veriler işlenebilecektir. Bu bağlamda, bir şirketin kendi çalışanı tarafından açılan bir davada ispat için bazı verileri kullanması veya kısıtlı bir kişinin haklarının korunması amacıyla vasinin veya kayyımın, kısıtlının mali bilgilerini tutması hukuka uygun sayılacaktır.

Fıkranın (f) bendine göre, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda da açık rıza şartı aranmaksızın kişisel veriler işlenebilecektir. Buna göre, örneğin bir şirket sahibi, çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere çalışanların kişisel verilerini işleyebilecektir. Burada, işletmenin yeniden yapılandırılması ya da ehliyetli ve liyakatli çalışanların terfi almaları, veri sorumlusu statüsündeki şirket sahibinin meşru
menfaati cümlesindendir. Kişisel verilerin korunmasına ilişkin temel ilkelere uyulması ve veri sorumlusu ile ilgili kişinin menfaat dengesinin gözetilmesi gerekmektedir.

MADDE 6- Maddeyle, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, biyometrik verisi veya haklarında verilen ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verilerinin, özel nitelikli kişisel veri olduğu belirtilmektedir. Bu verilerin, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olmaları dikkate alınmakta, bu sebeple bu tür veriler özel nitelikli (hassas) veri olarak kabul edilmektedir.

Kurul tarafından belirlenen yeterli önlem alınmaksızın özel nitelikli verilerin işlenememesi öngörülmekte, ayrıca kural olarak bu tür verilerin ilgili kişinin açık rızası olmaksızın da işlenememesi hükme bağlanmaktadır.

Maddenin dördüncü fıkrasında tahdidi olarak sayılan şartların varlığı halinde, yeterli önlem alınması şartı baki kalmak kaydıyla ilgili kişinin açık rızası aranmaksızın özel nitelikli kişisel verilerin işlenmesine imkân tanınmaktadır.

Dördüncü fıkranın (a) bendine göre, ilgili kişinin rızası olmasa bile, kanunlarda açıkça öngörülen hallerde özel nitelikli kişisel veriler işlenebilecektir. Örneğin, askerlik yapacak kişilerin bazı özel sağlık bilgilerinin ilgili kanun hükümleri uyarınca işlenmesi, yine hastanelerin, eczanelerin ya da Sosyal Güvenlik Kurumunun hastalarla ilgili veri işlemesi bu kapsamda değerlendirilecektir.

Fıkranın (b) bendinde, siyasi parti, vakıf, dernek veya sendika gibi kâr amacı gütmeyen kuruluş ya da oluşumlar tarafından, özel nitelikli kişisel verilerden bazılarının işlenebilmesi düzenlenmektedir. Buna göre, bu kuruluş ve oluşumlar, kendi üye ve mensuplarının özel nitelikli verilerini, kuruluş amaçlarına ve tabi oldukları mevzuata uygun, faaliyet alanlarıyla sınırlı ve üçüncü kişilere açıklanmamak kaydıyla işleyebileceklerdir. Örneğin, bir siyasi partinin veya sendikanın üyelerine ilişkin kimlik ve iletişim bilgilerini, fıkrada belirtilen şartlarla tutması, bu bent kapsamında değerlendirilecektir. Bu kuruluşlar, sadece kendi faaliyet alanlarıyla sınırlı olarak özel nitelikli veri işleyebileceklerdir. Örneğin, bir sendika, kendi faaliyet alanına ve amacına ilişkin olarak sadece sendika üyeliğiyle ilgili verileri işleyebilecektir. Buna karşın üyelerin sağlık veya din ya da mezhebine yönelik kişisel verileri, faaliyet alanıyla ve amacıyla ilgisi olmaması sebebiyle işleyemeyecektir.

Fıkranın (c) bendine göre, ilgili kişinin kendisi tarafından kamuoyuna açıklanmış olan özel nitelikli kişisel verileri işlenebilecektir. Zira ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.

Fıkranın (ç) bendinde, özel niteliği olan kişisel verilerin, bir hakkın tesisi, kullanılması veya korunması için işlenmesinin zorunlu olması hali düzenlenmektedir. Örneğin, bir işverenin, engelli çalıştırma zorunluluğu kapsamında, işyerinde, bu statüde çalıştırdığı kişilere ilişkin rapor ve belgeleri işlemesi bu kapsamda değerlendirilecektir. Yine engelli bir kişinin özel tüketim vergisinden muaf özel donanımlı araç almak hakkından yararlanabilmesi için, engelliliğine ilişkin sağlık raporlarının vergi dairesi tarafından edinilmesi ve işlenmesi de bu bent kapsamında değerlendirilecektir.

Fıkranın (d) bendiyle, özel nitelikli verilerin; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi düzenlenmektedir. Bu bağlamda, Sağlık Bakanlığı ile her türlü sağlık kuruluşunun ve Sosyal Güvenlik Kurumunun bu bentte yazılı amaçlarla tuttukları veriler ve kayıtlar bu kapsamda değerlendirilecektir.

MADDE 7- Maddeyle, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi düzenlenmektedir. Buna göre, hukuka uygun olarak işlenmiş olup da işlenmesini gerektiren sebepler ortadan kalkmışsa, söz konusu veriler resen veya ilgili kişinin talebi üzerine silinecek, yok edilecek veya anonim hale getirilecektir. Kişisel verilerin silinmesiyle, bu verilerin tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imhası amaçlanmaktadır. Buna göre veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinecektir. Verilerin yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin imha edilmesini ifade etmektedir. Verilerin anonim hale getirilmesiyle, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi kastedilmektedir.

Maddenin ikinci fıkrasıyla, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı tutulması öngörülmektedir. Bu kapsamda, örneğin Adli Sicil Kanununda verilerin silinmesini veya yok edilmesini düzenleyen hükümler Kanuna göre öncelikli olarak uygulanacaktır.

Maddenin son fıkrasında, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasların yönetmelikte düzenlenmesi hüküm altına alınmaktadır.
MADDE 8- Maddeyle kişisel verilerin, üçüncü kişilere aktarılması düzenlenmektedir. Kanunun hem 5 inci maddesinde düzenlenen kişisel veriler hem de 6 ncı maddesinde düzenlenen özel nitelikli (hassas) kişisel veriler madde kapsamındadır. Kanunun 9 uncu maddesinde kişisel verilerin yurtdışına aktarılması düzenlendiğinden bu maddede belirtilen üçüncü kişiler yurtiçindeki kişilerdir.

Maddenin birinci fıkrasında, kişisel verilerin ilgilinin açık rızası olmaksızın üçüncü kişilere aktarılamayacağına ilişkin ilke hükme bağlanmaktadır. Kanunun 3 üncü maddesinin birinci fıkrasının (d) bendi uyarınca verilerin aktarılması veya devralınması kişisel verilerin işlenmesi olarak tanımlandığından; verileri alanların, kişisel verilerin işlenmesi için Kanunun 5 inci ve 6 ncı maddelerinde öngörülen şartları yerine getirmeleri ve bu kapsamda özel nitelikle veriler yönünden yeterli önlem almaları da gerekmektedir.

Maddenin ikinci fıkrasında verilerin, ilgilinin açık rızası olmaksızın üçüncü kişilere aktarılmasına ilişkin düzenleme yapılmaktadır. Bu düzenleme yapılırken 5 inci maddenin ikinci fıkrası uyarınca ilgili kişinin açık rızası olmaksızın işlenmesine izin veren şartlar aranmakta ve bu şartların birinin varlığı halinde, kişisel verilerin üçüncü kişilere aktarılabilmesine imkân tanınmaktadır.

Özel nitelikli kişisel veriler yönünden ise yeterli önlemler alınmak kaydıyla, 6 ncı maddenin (b) bendi hariç olmak üzere dördüncü fıkrasında belirtilen verilerin ilgili kişinin açık rızası olmaksızın işlenmesine izin veren şartlar esas alınmaktadır. Bir başka ifadeyle, 6 ncı maddenin dördüncü fıkrasının (b) bendi hariç olmak üzere ilgili kişinin açık rızası aranmaksızın işlenebilen kişisel verilerin, 6 ncı maddenin ikinci fıkrasında öngörülen yeterli önlemler alınmak kaydıyla ilgili kişinin rızası aranmaksızın üçüncü kişilere aktarılmasına izin verilmektedir.

Maddenin üçüncü fıkrasında, kişisel verilerin üçüncü kişilere aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu hüküm altına alınmaktadır.

MADDE 9- Maddeyle kişisel verilerin, yurtdışına aktarılması düzenlenmektedir. Kanunun hem 5 inci maddesinde düzenlenen kişisel veriler hem de 6 ncı maddesinde düzenlenen özel nitelikli (hassas) kişisel veriler madde kapsamındadır.

Maddenin birinci fıkrasında, kişisel verilerin ilgilinin açık rızası olmaksızın yurtdışına aktarılamayacağına ilişkin ilke hükme bağlanmaktadır.

Maddenin ikinci fıkrasında kişisel verilerin, ilgilinin açık rızası olmaksızın yurtdışına aktarılmasına ilişkin düzenleme yapılmaktadır. Bu düzenleme yapılırken 5 inci maddenin ikinci fıkrası kapsamındaki kişisel veriler ile 6 ncı maddenin dördüncü fıkrasının (a), (c), (ç) ve (d) bentlerinde belirtilen özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesine izin veren şartlar esas alınmakta ve bu şartlardan birinin varlığı halinde, kişisel verinin aktarılacağı yabancı ülkede, yeterli korumanın bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurtdışına aktarılmasına imkân tanınmaktadır. Şayet ilgili yabancı ülkede yeterli koruma bulunmuyorsa, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın kişisel verilerin yurtdışına aktarılmasına imkân verilmektedir.

Maddenin üçüncü fıkrasına göre yabancı ülkelerde yeterli koruma bulunup bulunmadığı Kurulca belirlenerek ilan edilecektir.

Maddenin dördüncü fıkrasıyla, Kurulun, yabancı ülkede yeterli koruma bulunup bulunmadığına karar ve verilerin yurtdışına aktarılmasına izin verirken hangi kriterleri dikkate alacağı düzenlenmektedir. Buna göre Kurul, maddede sayılan hususları değerlendirecek, ihtiyaç duyması halinde ilgili kurum ve kuruluşların da görüşünü almak suretiyle bir karar verecektir.

Maddenin beşinci fıkrasında, kişisel verilerin yurtdışına aktarılmasına ilişkin ilgili kanunlarda yer alan hükümlerin saklı olduğu hüküm altına alınmaktadır. Buna göre, örneğin 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanunun, uluslararası bilgi değişimi konusunda Malî Suçları Araştırma Kurulu Başkanına yetki veren 12 nci ve 19 uncu maddeleri öncelikli olarak uygulanacaktır.

MADDE 10- Maddeyle, 95/46/EC sayılı Direktife uygun olarak, veri sorumlusunun aydınlatma yükümlülüğü düzenlenmektedir. Veri sorumlusu veya yetkilendirdiği kişi, aydınlatma yükümlülüğü kapsamında; veri sorumlusunun ve varsa temsilcisinin kimliği, veri işleme amacı, verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile 11 inci maddede sayılan diğer hakları konusunda, ilgili kişiyi bilgilendirecektir.

MADDE 11- Maddeyle, kişisel verileri işlenen kişinin hakları düzenlenmektedir. Buna göre, kişi kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgileri talep etme, verilerin işlenme amacı ile bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurtiçinde veya yurtdışında verilerin aktarıldığı üçüncü kişileri bilme, 7 nci maddede öngörülen koşullar çerçevesinde kişisel verilerin silinmesini, yok edilmesini veya verinin muhtevasının eksik ya da gerçeğe aykırı olması hallerinde bunların düzeltilmesini isteme hakkına sahiptir.

Yine ilgili kişi, talebi doğrultusunda yapılan düzeltme, silme ve yok etme işlemlerinin, verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde, zararın giderilmesini talep etme hakkına da sahiptir.

Maddenin birinci fıkrasının (g) bendinde, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonucun ortaya çıkmasına itiraz hakkı düzenlenmektedir. Örneğin, bir çalışanın performansının, onun tarafından yapılan işlerin, otomatik bir sisteme işlenip analiz edilerek, analiz sonucuna göre değerlendirilmesine, çalışanın itiraz edebilmesi bu kapsamda değerlendirilecektir.

MADDE 12- Maddeyle, veri sorumlusunun, veri güvenliğinin sağlanmasına ilişkin yükümlülükleri düzenlenmektedir. Buna göre, veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek, ayrıca verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlü tutulmaktadır.

İkinci fıkrada, veri sorumlusunun, verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi durumunda, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olacağı düzenlenmektedir. Buna göre, veri sorumlusu, örneğin şirketine ilişkin kayıtları bir muhasebe şirketine tutturuyorsa, verilerin işlenmesine ilişkin birinci fıkrada belirtilen tedbirlerin alınması hususunda muhasebe şirketiyle birlikte müştereken sorumlu olacaktır.

Üçüncü fıkrada, veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlama ve kişisel verilerin Kanunda öngörülen usul ve esaslara uygun olarak işlenmesi amacıyla gerekli denetimleri yapma veya yaptırma yükümlülüğü düzenlenmektedir.

Dördüncü fıkrada, veri sorumluları ile veri işleyenlerin sır saklama yükümlülüğü düzenlenmektedir. Buna göre, veri sorumluları ile veri işleyenler, öğrendikleri kişisel verileri, Kanuna aykırı olarak başkalarına açıklayamayacak veya şahsi çıkarları için kullanamayacaklardır. Bu yükümlülük görevden ayrılmalarından sonra da devam edecektir.

Beşinci fıkrada, işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği düzenlenmektedir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan edebilecektir.

MADDE 13- Maddeyle, veri sorumlusuna başvuru yolu düzenlenmektedir. Buna göre, ilgili kişilerin, Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur. İlgili kişilerin, taleplerini veri sorumlusuna yazılı olarak ya da uygulamada oluşacak ihtiyaca göre Kurulun belirleyeceği diğer yöntemlerle iletebilmelerine imkân sağlanmaktadır.

Bu talebi alan veri sorumlusunun, ücretsiz olarak veya işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurul tarafından belirlenen tarifeye göre alacağı ücret mukabilinde en kısa sürede ve en geç otuz gün içinde talebi incelemesi; kabul veya gerekçesini açıklayarak reddetmesi, ayrıca cevabını ilgili kişiye bildirmesi öngörülmektedir. Veri sorumlusunun gerçek kişi veya özel hukuk tüzel kişisi olabileceği ve bunların 7201 sayılı Tebligat Kanununa tabi olmamaları dikkate alınarak, veri sorumlusunun cevabını ilgili kişiye “bildirmesi” hükme bağlanmaktadır. Bu bildirim, bir ispat sorunu olup gerektiğinde yargı mercilerince ele alınacaktır. 7201 sayılı Kanuna tabi kurum ve kuruluşların bu bildirimleri anılan Kanun hükümleri uyarınca resmi tebligat yoluyla yapacakları da açıktır.

Veri sorumlusunun talebi kabul etmesi halinde, gereğini yerine getirmesi; şayet ilgili kişinin, Kanunun uygulanmasıyla ilgili talebine konu hususta veri sorumlusu hatalıysa, alınan ücretin ilgiliye iade edilmesi hükme bağlanmaktadır.

MADDE 14- Maddeyle, şikâyet yolu düzenlenmektedir. Buna göre, 13 üncü madde uyarınca yapmış olduğu başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

İkinci fıkrada, 13 üncü maddede öngörülen başvuru müessesesinin, zorunlu bir başvuru yolu olduğu ve bu yol tüketilmeden şikâyet yoluna gidilemeyeceği hükme bağlanmaktadır. Böylece uyuşmazlıkların belirli bir kısmının veri sorumluları tarafından giderilmesi ve bu

suretle Kurulun yoğun bir iş yüküyle karşı karşıya kalmasının önlenmesi amaçlanmaktadır. Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, diğer yandan doğrudan adli veya idari yargı yoluna gidebilmesi mümkün olacaktır. Ancak, ilgililerin masrafsız ve daha hızlı sonuç alınması mümkün olan şikâyet yolunu tercih edecekleri değerlendirilmektedir.

Üçüncü fıkrada, kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklı tutulmaktadır. Veri sorumlusunun hukuki statüsüne göre ilgililer adli ya da idari yargıda dava açabileceklerdir.

MADDE 15- Maddeyle, Kurul tarafından yapılacak incelemenin usul ve esasları düzenlenmektedir. Buna göre, Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi halinde resen, görev alanına giren konularda gerekli incelemeyi yapabilecektir. Bu inceleme şikâyete ya da resen öğrenilen şikâyet konusuna münhasır olacaktır. Kurulun resen genel inceleme yetki ve görevi bulunmamaktadır. Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar ve şikâyetler incelemeye alınmayacaktır. Veri sorumluları, Devlet sırrı niteliğindeki bilgi ve belgeler hariç, talep edilen bilgi ve belgeleri, Kurula onbeş gün içinde göndermek veya gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.

Kurulun, şikâyet üzerine yapacağı inceleme sonunda cevap vermesi öngörülmekte, şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talebin reddedilmiş sayılacağı hükme bağlanmaktadır. Buna göre, şikâyet tarihinden itibaren altmış günlük sürenin geçmesiyle idari yargıda dava açma süresi başlayacaktır.

Kurulun, şikâyet üzerine yapacağı inceleme için altmış günlük süre öngörülmüş ise de resen yapacağı incelemeler yönünden herhangi bir süre öngörülmemektedir.

Kurul, şikâyet üzerine veya resen yapılacak inceleme sonucunda, Kanun hükümlerinin ihlal edildiği kanaatine varırsa, tespit ettiği hukuka aykırılıkların ilgili veri sorumlusu tarafından giderilmesine karar verir ve kararı ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilecektir.

Yine şikâyet üzerine veya resen yapılan inceleme sonucunda, kanuna aykırı uygulamanın yaygın olduğunun Kurul tarafından tespit edilmesi üzerine ilgili kurum ve kuruluşların görüşü de alınmak suretiyle bu konuda ilke kararı alınır ve bu karar yayımlanır.

Ayrıca Kurula, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık şartlarının birlikte gerçekleşmesi halinde, nihai karardan önce veri işlenmesinin veya verinin yurtdışına aktarılmasının durdurulmasına karar verme yetkisi verilmektedir.

İlgililerin, Kurulca verilen kararlara karşı idare mahkemelerinde dava açabilmeleri mümkündür.

MADDE 16- Maddeyle, veri sorumlularının kaydedileceği Veri Sorumluları Sicili düzenlenmektedir. Buna göre Veri Sorumluları Sicili, Kişisel Verileri Koruma Kurulunun gözetiminde Başkanlık tarafından kamuya açık olarak tutulacaktır. Veri sorumluları veri işlemeye başlamadan önce bu Sicile kaydolacaklardır. Ancak işlenen verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler gözönüne alınmak suretiyle, Kurul tarafından, Sicile kayıt zorunluluğuna istisna getirilebilecektir.

Maddenin üçüncü fıkrasında Sicile kayıt başvurusunda bildirilmesi gereken hususlar düzenlenmektedir. Bu kapsamda, örneğin veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, veri güvenliğine ilişkin alınan tedbirler, kişisel verilerin işlendikleri amaç için gerekli olan azami süre gibi hususlar Sicile kayıt başvurusunda bildirilmelidir. Ayrıca, üçüncü fıkra uyarınca bildirilmesi gerekli bilgilerde meydana gelen değişiklikler de derhal Başkanlığa bildirilecektir. Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenecektir.

MADDE 17- Maddeyle, kişisel verilere ilişkin suçlar ve cezai yaptırımlar 5237 sayılı Türk Ceza Kanununun ilgili hükümlerine atıf yapılmak suretiyle düzenlenmektedir. Kişisel verileri silmeyen veya anonim hale getirmeyenlerin ise Türk Ceza Kanununun 138 inci maddesi hükmü uyarınca cezalandırılmaları öngörülmektedir.

MADDE 18- Maddeyle, Kanunda öngörülen yükümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar düzenlenmektedir. Bu kapsamda aydınlatma ve veri güvenliğini sağlama, Kurul kararlarını yerine getirme ve Sicile kayıt ve bildirim yükümlülüklerine aykırı davranılması kabahat olarak öngörülmekte ve idari para cezası yaptırımına bağlanmaktadır. İdari yaptırımlara Kurul tarafından karar verilecektir. Verilen yaptırım kararlarına karşı idari yargı yolu açıktır.

Maddede kabahatler karşılığında öngörülen idari para cezalarının alt ve üst sınırları arasındaki makas bilinçli olarak geniş tutulmuştur. Kurul karar verirken kabahatler hususunda genel kanun niteliğinde olan 30/3/2005 tarihli ve 5326 sayılı Kabahatler Kanununun 17 nci maddesinin ikinci fıkrasında belirtildiği üzere kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumunu dikkate alacaktır. Bu şekilde düzenleme yapılmak suretiyle, söz konusu kabahatlerin çok farklı ekonomik güce sahip gerçek veya tüzel kişiler hakkında uygulanacak olması nedeniyle yaptırım uygulanmasında hakkaniyeti sağlamak amaçlanmıştır. Buna göre örneğin, küçük bir şehirde faaliyet gösteren bir aile şirketiyle ülke çapında faaliyet gösteren bir holdingin Kanun hükümlerini ihlal etmesi durumunda belirlenecek idari para cezalarının miktarı söz konusu şirketlerin ekonomik durumlarına göre farklı olacaktır.

İdari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacaktır. Maddede kabahat olarak düzenlenen eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacaktır.

Kanunda kabahatlerle ilgili hüküm bulunmayan hallerde genel kanun niteliğindeki 5326 sayılı Kabahatler Kanunu hükümlerinin uygulanacağı açıktır.

MADDE 19- Maddeyle, Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumunun kuruluşu düzenlenmektedir. Avrupa Konseyinin 108 sayılı Sözleşmesi ve Avrupa Birliğinin 95/46/EC sayılı Direktifi, kişisel verilerin işlenmesine ilişkin ilkelerin uygulanmasını izlemek ve yönlendirmek üzere fonksiyonel olarak bağımsız bir şekilde görev yapacak otoritelerin oluşturulmasını öngörmektedir. Avrupa Birliği üyesi tüm ülkelerde veri koruma kurulları görevlerinde bağımsız otoriteler şeklinde yapılandırılmıştır. Sayılan uluslararası belgeler ve mukayeseli hukuk uygulamaları gözönüne alınmak suretiyle, Kişisel Verileri Koruma Kurumu kurulmuştur. Kurumun Başbakanlıkla ilişkili olduğu hüküm altına alınmaktadır.

MADDE 20- Maddeyle, Kurumun görevleri belirlenmektedir. Buna göre Kuruma, görev alanı itibarıyla, başlıca ulusal ve uluslararası düzlemde uygulama ve mevzuattaki gelişmeleri takip ederek araştırma ve inceleme faaliyetlerinde bulunma ve ulusal ve uluslararası kurum ve kuruluşlarla işbirliği yapma ve ihtiyaç duyulan hususlarda önerilerde bulunma görevleri verilmektedir.

Ayrıca, Kurum faaliyetleri hakkında hazırlanan yıllık faaliyet raporlarının Cumhurbaşkanlığına, Türkiye Büyük Millet Meclisi İnsan Haklarını İnceleme Komisyonuna ve Başbakanlığa sunulması, Kurumun şeffaflığının ve hesap verebilirliğinin sağlanmasına yardımcı olacaktır. Kurumun etkin ve verimli bir şekilde çalışabilmesi için hizmet alımı yapabilmesi de hüküm altına alınmaktadır.

MADDE 21- Maddeyle, Kişisel Verileri Koruma Kurulu düzenlenmekte ve Kurulun, Kurumun karar organı olduğu belirtilmektedir. Avrupa Konseyinin 108 sayılı Sözleşmesi ve Avrupa Birliğinin 95/46/EC sayılı Direktifine uygun şekilde Kurul bağımsız olarak kurgulanmaktadır. Kurulun, Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getireceği ve kullanacağı, görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişinin Kurula emir ve talimat veremeyeceği hüküm altına alınmaktadır. Bu hüküm, Kurumun görevini, bağımsız bir şekilde yerine getirebilmesi bakımından önem arz etmektedir.

Ayrıca, Kurulun yedi üyeden oluşması öngörülmekte ve üyelerin nitelikleri, seçimi ve görev süreleri düzenlenmektedir. Üyelerin Cumhurbaşkanınca ve Bakanlar Kurulunca seçilmesi Kurulun demokratik meşruiyetini güçlendirmektedir. Öte yandan, üyelerin seçiminde, özel sektör ile kamu sektöründe on yıl çalışmış olma, dört yıllık lisans mezunu olma ve Devlet memuru olmaya ilişkin genel şartları taşıma dışında özel başka bir şart aranmayarak üyelerin çok geniş bir alandan seçilmesi imkânı getirilmektedir. Maddede ayrıca, Kurul üyelerinin ilk toplantının başında yemin etmeleri düzenlenmekte ve Kurul Başkanı ile İkinci Başkanın, üyeler arasından Bakanlar Kurulunca seçilmesi hükme bağlanmaktadır.
Madde ile ayrıca, üyelerin görevleri sebebiyle işledikleri suçlar bakımından soruşturma usulü düzenlenmektedir. Buna göre üyeler hakkında görevleri sebebiyle işledikleri suçlar bakımından soruşturma yapılabilmesi Başbakanın iznine bağlanmakta ve Kurul üyelerinin görev süreleri dolmadan herhangi bir şekilde görevlerine son verilemeyeceği öngörülmek suretiyle üyelerin, dolayısıyla Kurulun bağımsızlığı teminat altına alınmaktadır.

MADDE 22- Maddeyle Kurulun görev ve yetkileri düzenlenmektedir. Buna göre, kişisel verilerin temel hak ve özgürlükleri koruyacak şekilde işlenmesi, kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerinin karara bağlanması, Veri Sorumluları Sicilinin tutulmasının sağlanması, kişisel verilerin işlenmesi konusunda gerekli düzenleyici işlemlerin yapılması, kişisel verilerin Kanuna uygun olarak işlenip işlenmediğinin incelenmesi, idari yaptırımların uygulanması, stratejik planın ve bütçenin kabul edilmesi gibi görevler Kurulun görevleri arasında sayılmaktadır. Kurul, özel nitelikli kişisel verilerin yeterli önlem alınmaksızın işlenemeyeceğine ilişkin Kanunun 6 ncı maddesinde düzenlenen hüküm uyarınca yeterli önlemin ne olduğunu verinin niteliği ve sektörün özelliğine göre belirleyecektir.

Ayrıca, Başkanlık tarafından hazırlanan Kurumun performansı, mali durumu, yıllık faaliyetleri ve diğer özel rapor taslakları Kurul tarafından onaylanacak, Kurumun ihtiyaç duyduğu taşınmazların alım ve satımı ile kiralanması konularındaki önerileri karara bağlayacaktır.

MADDE 23- Maddeyle Kurulun çalışma esasları düzenlenmektedir. Bu kapsamda, Kurulun toplantı ve karar yeter sayısı, Kurul üyelerinin kendilerini ve yakınlarını ilgilendiren konularda yasaklılıkları ve sır saklama yükümlülükleri düzenlenmektedir. Kurulun çalışma usul ve esasları ile kararların yazımı ve diğer hususlar yönetmelikle düzenlenecektir.

MADDE 24- Maddeyle Kurum Başkanının görevleri düzenlenmektedir. Kurumun üst yöneticisi ve Kurulun da Başkanı olan Kurum Başkanının, Kurumu yönetmek ve temsil etmek, stratejik planın uygulanmasını sağlamak, Kurumun ve hizmet birimlerinin uyumlu, verimli, disiplinli ve düzenli bir biçimde çalışmasını temin etmek yanında, Kurul toplantılarının gündemini belirleyerek toplantılara başkanlık etmek, Kurul kararlarının gereğinin yerine getirilmesini takip etmek ve Kurumun mali tabloları ile bütçesini hazırlamak başlıca görevleri arasındadır. Ayrıca, Kurum Başkanının yokluğunda Başkana, İkinci Başkanın vekalet edeceği öngörülmektedir.

MADDE 25- Maddeyle Kişisel Verileri Koruma Kurumu Başkanlığının oluşumu ve görevleri düzenlenmektedir. Başkanlık, Kurumun ve Kurulun idari ve mali işleri ile sekretarya hizmetlerini yerine getirecektir. Başkanlık; Başkan Yardımcısı ve daire başkanlıkları şeklinde teşkilatlanan hizmet birimlerinden oluşmaktadır. Maddeyle, Başkan Yardımcısı ve Daire Başkanlarının nitelikleri ve atanma usulü ile Başkanlığın görevleri ayrıntıları olarak düzenlenmektedir. Hizmet birimleri ile bu birimlerin çalışma usul ve esasları Bakanlar Kurulu kararı ile yürürlüğe konulan yönetmelikle düzenlenecektir.

MADDE 26- Kurum görevlerinin daha etkin bir şekilde yerine getirilebilmesi için, bu görevlerin, konusunda uzmanlaşmış kişiler tarafından yürütülmesi şarttır. Bu kapsamda Kurumda Kişisel Verileri Koruma Uzmanı ve Kişisel Verileri Koruma Uzman Yardımcısı çalıştırılacaktır. Maddeyle, Kişisel Verileri Koruma Uzman Yardımcısı kadrolarına atanmak için gereken şartlar bakımından 657 sayılı Kanunun ek 41 inci maddesine atıf yapılmaktadır.

MADDE 27- Maddeyle, Kurul Başkan ve üyeleri ile Kurum personelinin mali ve sosyal hakları düzenlenmektedir. Bununla birlikte başka kurum ve kuruluşlarda çalışanlardan uzmanlığına ihtiyaç duyulanların Kurumda görevlendirilmesine ilişkin düzenleme hüküm altına alınmaktadır.

Maddeyle ayrıca, Kurumda istihdam edilecek personele ilişkin kadro unvan ve sayıları da belirlenmektedir.

MADDE 28- Maddeyle, Kanunun kapsamı dışında tutulan hususlar düzenlenmektedir.

Birinci fıkrada, tamamen Kanun kapsamı dışında tutulan hususlar düzenlenmektedir. Buna göre kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla, gerçek kişilerin kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetleri kapsamında; anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla; milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği veya kişilik haklarını ihlal etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla veya ifade özgürlüğü kapsamında işlenmesi Kanunun tamamen kapsamı dışında tutulmaktadır.

Bunun gibi kişisel verilerin, milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi istisna olarak düzenlenmektedir. Buna göre Milli İstihbarat Teşkilatı ile diğer istihbarat birimlerinin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini ve ekonomik güvenliği sağlamaya yönelik faaliyetler kapsamında işlediği veriler Kanun kapsamı dışında tutulmaktadır. Aynı şekilde belirtilen amaçlarla, suç gelirlerinin aklanması, terörizmin finansmanının önlenmesi ve mali suçların araştırılması konusunda yetkili birim tarafından yürütülen faaliyetler kapsamında işlenen veriler de bu istisna kapsamındadır. Bu konulardaki yetkili birimin; milli savunmayı, milli güvenliği kamu güvenliğini, kamu düzenini ve ekonomik güvenliği sağlamaya yönelik olmak üzere mali araştırma yapmak, mali istihbarat elde etmek ve üretmek, veri toplamak, şüpheli işlem

bildirimleri ve diğer bildirimleri almak, analiz etmek, değerlendirmek, inceleme yapmak ve ilgili kurumlarla paylaşmak suretiyle işlediği veriler de kapsam dışında tutulmaktadır. Ayrıca, kişisel verilerin; soruşturma, kovuşturma, yargılama ve infaz mercileri ile disiplin soruşturma ve kovuşturma makamları tarafından ilgili kanun hükümleri uyarınca işlenmesi de kapsam dışında tutulmuştur.

Maddenin ikinci fıkrasında, kısmen Kanun kapsamı dışında kalan hususlar düzenlenmektedir. Buna göre, kural olarak bu fıkrada sayılan haller kanun hükümlerine tabi olmakla birlikte, sadece fıkrada belirtilen kanun maddelerinde düzenlenen hükümler bakımından istisna tutulmaktadır. Bu bağlamda ikinci fıkrada, Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla; veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Sicile kayıt yükümlülüğünü düzenleyen 16 ncı maddelerinin uygulanmayacağı haller düzenlenmektedir. Bu haller; veri işlemenin suç işlenmesinin önlenmesi için gerekli olması; ilgili kişinin kendisi tarafından alenileştirilmiş verilerin işlenmesi; veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi için gerekli olması şeklinde tespit edilmektedir.

MADDE 29- Maddeyle Kurumun bütçesi ve gelirleri düzenlenmektedir.

MADDE 30- Maddeyle, Kanun sebebiyle diğer kanunlarda yapılacak değişiklikler ile eklemeler düzenlenmektedir. Bu kapsamda Kişisel Verileri Koruma Kurumu, 5018 sayılı Kanuna ekli (III) sayılı cetvele eklenmektedir.

İkinci fıkrayla, 5237 sayılı Türk Ceza Kanununun 135 inci maddesinin ikinci fıkrasında değişiklik yapılmak suretiyle, birinci fıkrada işlenen suçun konusunun özel nitelikli (hassas) veriler olması halinde verilecek cezanın yarı oranında artırılması öngörülmektedir.

Ayrıca, elektronik haberleşme ve veri kayıt sistemlerinde meydana gelen gelişmeler doğrultusunda 3359 sayılı Sağlık Hizmetleri Temel Kanununun 3 üncü maddesinin birinci fıkrasının (f) bendinde değişiklik yapılarak kayıt ve bildirim sisteminin elektronik ortamda da yapılabilmesine imkan sağlanmaktadır.

Dördüncü fıkrayla, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 47 maddesi değiştirilmektedir. Yapılan değişiklikle, sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat eden kişilerin verilerinin işlenebilmesi hükme bağlanmakta, işlenen bu verilerin; sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve finansmanı amacıyla Sağlık Bakanlığınca toplanarak işlenebileceği düzenlenmektedir. Sağlık Bakanlığınca toplanan bu verilere, ilgili kişilerin kendileri veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurmaları da ayrıca hüküm altına alınmaktadır.

Öte yandan, kişisel sağlık verisi kayıtlarının tutulduğu bu sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Sağlık Bakanlığınca belirlenecek, elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli olan tedbirler Bakanlıkça alınacak ve bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi yine adı geçen Bakanlıkça kurulacaktır. Ayrıca, veri güvenliğini sağlamak amacıyla sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettikleri personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlü olacaktır.
Son fıkrada ise kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususların Bakanlıkça çıkarılan yönetmelikle düzenleneceği öngörülmektedir.

MADDE 31- Maddeyle, Kanunun uygulanmasına ilişkin yönetmeliklerin, Kurum tarafından yürürlüğe konulması öngörülmektedir.

GEÇİCİ MADDE 1- Maddenin birinci fıkrasıyla, Kanunun yayımı tarihinden itibaren altı ay içinde Kurul üyelerinin seçilmesi ve Başkanlığın kurulması ve teşkilatlanmasının tamamlanması düzenlenmektedir.

Maddenin ikinci fıkrasında, veri sorumlularının Kurul tarafından belirlenecek ve ilan edilecek süre içinde Sicile kayıt olmaları öngörülmektedir. Bu düzenlemeyle Kurumun, Sicile yönelik gerekli fiziki ve teknik altyapıyı tamamlaması amaçlanmaktadır.

Üçüncü fıkrayla, Kanunun yürürlüğe girdiği tarihten önce işlenmiş olan kişisel verilerin iki yıl içinde Kanunda öngörülen usul ve esaslara uygun hale getirilmesi öngörülmektedir. Kanunda öngörülen usul ve esaslara aykırı olduğu anlaşılan kişisel verilerin ise derhal silinmesi, yok edilmesi veya anonim hale getirilmesi düzenlenmektedir.

Dördüncü fıkrayla, Kanunda öngörülen yönetmeliklerin bir yıl içinde yürürlüğe konulması hükme bağlanmaktadır.

Beşinci fıkrayla, kamu kurum ve kuruluşlarında Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Başkanlığa bildirilmesi hususu düzenlenmektedir.

İlk seçilen Başkan, İkinci Başkan ve kura ile belirlenen bir üyenin altı yıl, diğer dört üyenin ise dört yıl görev yapması öngörülmekte ve böylelikle, Kurum hafızasının devamı için Kurul üyelerinin dönüşümlü olarak görev yapmaları amaçlanmaktadır.

Öte yandan, Kişisel Verileri Koruma Kurumuna bütçe tahsis edilene kadar Kurumun giderlerinin Başbakanlık bütçesinden karşılanacağı, hizmetin yerine getirilmesi için gerekli desteğin Başbakanlıkça sağlanacağı ve hizmet birimleri faaliyete geçinceye kadar sekretarya hizmetlerinin Başbakanlık tarafından yürütüleceği hükme bağlanmaktadır.

MADDE 32- Yürürlük maddesidir.

MADDE 33- Yürütme maddesidir.