Kişisel verilerin korunması kanunu tasarısı tam metni
BİRİNCİ KISIM
 Genel Hükümler
 BİRİNCİ BÖLÜM
 Amaç, Kapsam ve Tanımlar

Amaç
 MADDE 1- (1) Bu Kanunun amacı; kişisel verilerin işlenmesinde kişinin
 dokunulmazlığı, maddi ve manevi varlığı ile temel hak ve özgürlüklerini korumak ve kişisel
 verileri işleyen gerçek ve tüzel kişilerin uyacakları esas ve usulleri düzenlemektir.

Kapsam
 MADDE 2- (1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek ve tüzel kişiler ile
 bu verileri tamamen veya kısmen, otomatik olan veya olmayan yollarla herhangi bir veri
 kütüğüne dahil olacak şekilde işleyen gerçek ve tüzel kişiler hakkında uygulanır.

(2) Bu Kanun hükümleri, kişisel verilerin gerçek kişiler tarafından sadece kişisel veya
 birlikte oturanlarla ilgili faaliyetlerine ilişkin olarak işlenmesi halinde uygulanmaz.

Tanımlar
 MADDE 3- (1) Bu Kanunda geçen;
 a) Alıcı: Kişisel verileri belirli bir soruşturma çerçevesinde alan makamlar hariç olmak
 üzere, üçüncü kişi olsun veya olmasın verinin açıklandığı herhangi bir gerçek veya tüzel kişi
 ile kişi topluluğunu, kamu kurum veya kuruluşunu,
 b) Anonim hale getirme: Kişisel verilerin, belirli veya kimliği belirlenebilir bir gerçek
 kişiyle ilişkilendirilemeyecek veya kaynağı belirlenemeyecek hale getirilmek suretiyle
 işlenmesini,
 c) İlgili kişi: Hakkında kişisel veri işlenen gerçek ve tüzel kişileri,
 ç) Kişisel veri: Belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin bütün
 bilgileri,
 d) Kişisel verileri işleyen: Veri kütüğü sahibi adına, bu verileri işleyen gerçek ve tüzel
 kişileri,
 e) Kişisel verilerin işlenmesi: Kişisel verilerin otomatik olan veya olmayan yollarla
 elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, silinmesi veya yok edilmesi,
 yeniden düzenlenmesi, açıklanması veya başka bir şekilde elde edilebilir hale getirilmesi,
 üçüncü kişilere aktarılması, kullanılmasının sınırlanması amacıyla işaretlenmesi veya
 tasniflenmesi veya kullanılmasının engellenmesi gibi bu veriler üzerinde gerçekleştirilen bir
 işlem ya da işlemler bütününü,
 f) Kurul: Kişisel Verileri Koruma Kurulunu,
 g) Sicil: Veri Kütüğü Sicilini,
ğ) Üçüncü kişi: Veri kütüğü sahibi ile kişisel verileri işleyen ve bunların doğrudan
 talimatı altında bulunan kişilerin dışında kalan ve kişisel veri işleyen gerçek ve tüzel kişi ile
 kişi topluluğunu, kamu kurum veya kuruluşunu,
 h) Veri kütüğü: Gerçek ve tüzel kişilere ilişkin belirli bir kritere göre kişisel verilere
 ulaşımı kolaylaştıracak şekilde yapılandırılmış herhangi bir kişisel veri grubunu,
ı) Veri kütüğü sahibi: Kişisel verilerin işlenmesinin amaç ve metodlarını tek başına
 veya başkaları ile birlikte belirleyen gerçek ve tüzel kişileri,
 ifade eder.

 İKİNCİ BÖLÜM
 Kişisel Verilerin İşlenmesi

Kanunîlik ilkesi
 MADDE 4- (1) Kişisel veriler, ancak, bu Kanunda ve diğer kanunlarda öngörülen
 hâllerde işlenebilir.

Kişisel verilerin işlenmesine ilişkin ilkeler
 MADDE 5- (1) Kişisel verilerin;
 a) Hukuka ve dürüstlük kurallarına uygun olarak işlenmesi,
 b) Belirli, açık ve meşru amaçlar için toplanması ve bu amaçlara aykırı olarak yeniden
 işlenmemesi,
 c) Toplandıkları amaçla bağlantılı, yeterli ve orantılı olması,
ç) Doğru olması ve gerektiğinde güncellenmesi,
 d) İlgili kişilerin kimliklerini belirtecek biçimde ve kaydedildikleri veya yeniden
 işlenecekleri amaç için gerekli olan süre kadar muhafaza edilmesi,
 zorunludur.

(2) Kişisel veriler, ilgili mevzuatta yeniden işlenme amacına yönelik yeterli koruma
 tedbirleri getiren düzenlemenin bulunması veya kişisel verileri kontrol eden tarafından bu
 yönde gerekli tedbirlerin alınması şartıyla tarihî, istatistikî veya bilimsel amaçlarla yeniden
 işlenebilir veya birinci fıkranın (d) bendinde öngörülenden daha uzun bir süre saklanabilir.

Hukuka uygunluk sebepleri
 MADDE 6- (1) Kişisel veriler ancak ilgili kişinin açık rızasıyla işlenebilir.

(2) Kanunlarda öngörülen yükümlülüklerin yerine getirilmesi dışında, ilgili kişinin bir
 itirazda bulunması hâlinde veri işlenemez.

(3) Aşağıdaki hâllerde de hukuka uygunluk sebeplerinin bulunduğu kabul edilir:
 a) Kanunun öngördüğü bir zorunluluk dolayısıyla, kamu yararına veya resmi olarak
 verilmiş bir görevin yerine getirilmesi amacıyla veri işlenmesi,
 b) Kişisel verilerin, ilgili kişinin rızasını açıklayamayacak durumda olması hâlinde
 kendisinin veya başkasının hayatını veya beden bütünlüğünü korumak amacıyla işlenmesi,
 c) Bir sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olması kaydıyla,
 sözleşmenin taraflarına ait kişisel verilerin işlenmesi,
 ç) İlgili kişiler tarafından açıklanmış olması veya açık sicillerde mevcut bilgiler
 olması sebebiyle herkesçe bilinen kişisel verilerin işlenmesi,
 d) Veri kütüğü sahibinin kendi haklı çıkarları için, ilgili kişinin temel hak ve
 özgürlükleri ile meşru çıkarlarına zarar vermediği sürece, veri işlemesinin zorunlu olması.

Özel niteliği olan kişisel veriler
 MADDE 7- (1) Kişilerin ırk, siyasî düşünce, felsefî inanç, din, mezhep veya diğer
 inançları, dernek, vakıf ve sendika üyeliği, sağlık ve özel yaşamları ve her türlü
 mahkûmiyetleri ile ilgili kişisel veriler işlenemez.

(2) Birinci fıkrada belirtilen kişisel verilerin, özel hayatın ve aile hayatının gizliliğinin
 korunmasını sağlayacak yeterli önlemlerin alınması şartıyla, aşağıda sayılan hallerde
 işlenmesi mümkündür:
 a) Kanunla yasaklanmayan hallerde kişinin yazılı rızasının alınması,
2 b) Hukukî veya fiilî nedenlerle rızasını açıklayamayacak durumda bulunan bir kişinin
 kendisinin veya bir başkasının hayatı veya beden bütünlüğünün idamesi için veri işlemenin
 zorunlu olması,
c) İlgili kişiye yeterli koruma imkânının sağlanması şartıyla, veri kütüğü sahibinin, bu
 Kanunla veya diğer kanunlarla tanınan hak ve yetkileri kullanabilmesi veya yükümlülükleri
 yerine getirebilmesi için veri işlemenin zorunlu olması,
ç) Vakıf, dernek, sendika ve siyasi partilerce, kuruluş amaçlarına ve tâbi oldukları
mevzuata uygun ve faaliyet alanlarıyla sınırlı olmak şartıyla, üye ve mensuplarına yönelik ve
 ilgili kişinin rızası olmadan üçüncü kişilere açıklanmamak kaydıyla veri işlenmesi,
 d) İlgili kişi tarafından alenen açıklanmış olan veriler hakkında olması,
e) Hukuken bir hakkı tesis, kullanma veya korunması için veri işlemenin zorunlu
 olması,
f) Koruyucu hekimlik, tıbbî teşhis, tedavi, bakım veya sağlık hizmetlerinin
 yürütülmesi amacıyla kişisel verilerin;
 1) Sağlık kurumları,
2) Sigorta şirketleri,
 3) Sosyal güvenlik kurumları,
4) İşyeri sağlık birimi oluşturmakla yükümlü işverenler,
 5) Sağlıkla ilgili okul ve üniversiteler,
 tarafından ilgili kanunlara uygun olarak, hukuken veya meslek kurallarına göre sır
 saklama yükümlülüğü altında bulunan sağlık personeli veya eşdeğer seviyede sır saklama
 yükümlülüğü altındaki bir başka kişinin gözetimi altında işlenmesi.

(3) Özel hayatın ve aile hayatının gizliliğine dokunmamak şartıyla, temel kamu
 yararlarının gerektirmesi hâlinde, ilgili mevzuatta yeterli koruma tedbiri bulunması kaydıyla,
 Kurul, özel niteliği olan kişisel verilerin işlenmesine karar verebilir.

(4) Suçun soruşturulmasına, koruma ve kontrol tedbirlerine ve ceza mahkûmiyetlerine
 ilişkin özel nitelikteki kişisel veriler, ilgili kanunlarda yeterli koruma tedbiri bulunması
kaydıyla, yetkili mercilerin kontrolü altında işlenebilir. Ancak, ceza mahkûmiyetlerine ilişkin
 sicil sadece Adalet Bakanlığının kontrolü altında tutulabilir.

(5) İdarî nitelikteki yaptırımlar ve özel hukuk alanındaki mahkeme kararlarına ilişkin
 veriler de resmî mercilerin kontrolü altında işlenebilir.

(6) Vatandaşlık kimlik numarası veya benzeri karakteristik işaretlerin işlenme usul ve
 esaslarını belirlemek amacıyla yapılacak yönetmeliklerde Kurulun görüşü alınır.

Kişisel verilerin üçüncü kişilere aktarılması
MADDE 8- (1) Aşağıda sayılan haller dışında kişisel veriler üçüncü kişilere
 aktarılamaz:
 a) Aktarmayı isteyen gerçek ve tüzel kişilerin belirli bir olayda kanundan doğan bir
 görevini yerine getirmesi için bu bilgiye ihtiyaç duyması,
b)Bu Kanunun 6 ncı maddesinin üçüncü fıkrasında sayılan hâllerin gerçekleşmesi.

(2) Millî güvenliğin ve millî savunmanın sağlanması, suçun önlenmesi veya
 soruşturulması amacıyla yapılan istihbarî faaliyetlerle ilgili olarak kanundan doğan bir
 görevin yerine getirilmesi için gerekli olması hâlinde de kamu kurum ve kuruluşlarınca kişisel
 veriler ilgili kamu kurum ve kuruluşuna aktarılabilir.

3(3) Kamu kurum veya kuruluşları; kamu yararı, sır saklama yükümlülüğü, ilgili kişinin
 meşru menfaati veya kişisel verilere ilişkin özel koruma kurallarının varlığından bahisle
 kişisel verilerin üçüncü kişilere aktarılmasını reddedebilir, sınırlandırabilir veya şarta
 bağlayabilir.

(4) Kamu kurum veya kuruluşlarının görev alanlarıyla ilgili konularda yapacakları
talep üzerine, gizlilik esaslarına göre görev yapan personelin bilgileri hariç olmak üzere,
 kişilerin nüfus kayıt örnekleri ve adresleri bildirilir.

Kişisel verilerin anonim hale getirilmesi veya yok edilmesi
 MADDE 9- (1) İhtiyaç duyulmayan kişisel veriler, koruma tedbiri veya ispat amacıyla
 muhafazasının gerekli olmadığı durumlarda, anonim hâle getirilir veya yok edilir.

(2) Verilerin anonim hale getirilmesi veya yok edilmesine ilişkin usul ve esaslar
 Kurulca, ilgili kamu kurum ve kuruluşları ile diğer özel hukuk tüzel kişilerinin görüşleri
 alınarak hazırlanan yönetmelikte gösterilir.

(3) Diğer kanun hükümleri saklıdır.

Verilerin araştırma, plânlama ve istatistik amacıyla kullanılması
MADDE 10- (1) Kişisel veriler, araştırma, plânlama ve istatistik gibi amaçlarla
 anonim hale getirilmesi kaydıyla işlenebilir. Bu suretle elde edilen veriler ve sonuçlar üçüncü
 kişilere aktarılabilir veya yayımlanabilir.

İKİNCİ KISIM
İlgili Kişinin Hakları ve Yurtdışına Veri Aktarımı
BİRİNCİ BÖLÜM
 Aydınlatma Yükümlülüğü ve İlgili Kişinin Hakları

Aydınlatma yükümlülüğü
 MADDE 11- (1) Kişisel verilerin elde edilmesi sırasında veri kütüğü sahibi, ilgili
 kişilere;
 a) Veri kütüğü sahibi ve varsa temsilcisinin kimliği,
 b) Kişisel verilerin hangi amaçla işleneceği,
 c) Kişisel verilerin kimlere aktarılabileceği,
 ç) Veri toplamanın yöntemi, hukukî sebebi ve muhtemel sonuçları,
d) Kişisel verileri öğrenme hakkı,
e) Düzeltme hakkı,
konusunda bilgi vermekle yükümlüdür.

(2) Kişisel verilerin, ilgili kişi dışındaki kaynaklardan edinilmesi hâlinde de ilgili
 kişiye yukarıdaki bilgilerle birlikte işleme konu olan veri kategorileri hakkında bilgi verilir.

4 İlgili kişinin hakları
MADDE 12- (1) Herkes, veri kütüğü sahibine başvurarak; kendisiyle ilgili kişisel veri
 kaydedilip kaydedilmediğini öğrenmek, kaydedilmişse bunları talep etmek, verinin
 muhtevasının eksik veya gerçeğe aykırı olması hâlinde bunların düzeltilmesini, hukuka aykırı
olması hâlinde ise silinmesini, yok edilmesini veya aktarımının engellenmesini ve buna göre
 yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini istemek hakkına
 sahiptir.
 (2) Bu talep karşısında veri kütüğü sahibi;
 a) Veri kütüğündeki ilgili kişiye ait bilgilerin ve işlenen bilgi türlerinin tamamını
bildirmekle,
 b) Veri işlemenin hukukî dayanağını ve amacını bildirmekle,
 c) Hangi tür kişisel verilerin üçüncü kişilere aktarılabileceği ve aktarılacak kişilerin
 kimliklerini bildirmekle,
 ç) Verinin muhtevasının eksik veya gerçeğe aykırı olması hâlinde düzeltmekle,
 d) Hukuka aykırı olması hâlinde silmek, yok etmek ve üçüncü kişilere aktarımını
engellemekle,
 e) Uygulanması imkansız olmamak veya büyük güçlükler yaratmamak kaydıyla bu
 fıkranın (a) ve (b) bentlerine göre yapılan işlemleri, verilerin açıklandığı üçüncü kişilere
 bildirmekle,
 yükümlüdür.

(3) Bu maddede sayılan haklar, aşağıda sayılan hallerde sınırlandırılabilir:
 a) Milli güvenliğin korunması, milli savunmanın gerçekleştirilmesi, suçun önlenmesi
 veya istihbarat amacıyla yapılan faaliyetlerle ilgili olarak kanundan doğan bir görevin yerine
 getirilmesi,
 b) Ceza soruşturması veya kovuşturmasına zarar verilmesinin engellenmesi.

Başvuru usulü
 MADDE 13- (1) 12 nci maddeye göre başvurular, yazılı olarak yapılır. Veri kütüğü
 sahibi talep hakkında başvuru tarihinden itibaren onbeş iş günü içinde cevap vermek
 zorundadır.

(2) İlgili kişi talebine cevap verilmediği, cevabın olumsuz olduğu veya yeterli
 olmadığı iddiasıyla yirmi gün içinde Kurula itiraz edebilir. Kurul, 33 üncü madde
 çerçevesinde başvuru hakkında üç ay içerisinde karar verir.

(3) Başvurunun yapıldığı veri kütüğü sahibi, erişimine olanak sağladığı bilgi veya
 belgeler için başvuru sahibinden erişimin gerektirdiği maliyet tutarı kadar, Kurul tarafından
 her yıl Ocak ayında belirlenecek miktarda bir ücret talep edebilir.

İKİNCİ BÖLÜM
 Yurtdışına Veri Aktarımı ve Tedbirler

Yurtdışına bilgi aktarımı
MADDE 14- (1) Kişisel veriler, ancak kişilik haklarının korunması açısından verinin
 istendiği yabancı ülkede eşdeğer ve etkin koruma bulunuyorsa yurtdışına aktarılabilir.

5(2) Verinin istendiği ülkede eşdeğer ve etkin bir koruma olmasa dahi;
 a) İlgili kişinin açık rızasının bulunması,
b) İlgili kişi ile veri kütüğü sahibi arasında bir sözleşmenin yapılması, sözleşme
 öncesi ilişkinin yürütülmesi veya sözleşmenin ifası için aktarımın gerekli olması,
c) Suçun önlenmesi veya bir hakkın tespiti, icrası veya korunması için aktarımın
 gerekli veya kanun gereği zorunlu olması,
ç) Veri konusu kişinin hayatı veya beden bütünlüğünün idamesi için aktarımın
 zorunlu olması,
d) Veri aktarımının, ilgili mevzuatın aradığı şartları yerine getirmek koşuluyla
 kamunun veya ilgisini ispat eden herkesin erişimine açık bulunan sicillerden yapılması,
hallerinde kişisel veriler yurtdışına aktarılabilir.

(3) Yabancı ülkede bulunan veri kütüğü sahibinin, eşdeğer ve uygun bir korumayı
yazılı olarak taahhüt etmesi ve Kurulun izninin bulunması halinde de kişisel veriler yurtdışına
 aktarılabilir. Ancak, gecikmesinde sakınca bulunan veya telafisi güç veya imkansız zararların
 doğması ihtimali bulunan hallerde, veri kütüğü sahibi kişisel verileri yurtdışına aktarabilir. Bu
 halde veri kütüğü sahibi, durumu yirmidört saat içerisinde Kurula bildirir. Kurul, veri
 aktarımının bu Kanun hükümlerine uygun olup olmadığı hususunda inceleme yaparak bir
 karar verir.

(4) Kurul, yurtdışına bilgi aktarımında;
 a) Taraf olduğumuz uluslararası anlaşmaları,
b) Veri talep eden ülkeyle ülkemiz arasında veri aktarımına ilişkin fiili karşılıklılık
 durumunu,
 c) Her somut veri transferine ilişkin olarak, verinin niteliği, işlenme amaç ve süresini,
 ç) Verinin transfer edileceği ülke ve bu ülkede uygulanan konuyla ilgili kanunları,
d) Koruma tedbirleri ve verinin transfer edileceği ülkede bulunan veri kütüğü sahibi
 tarafından yeterli önlemlerin alınıp alınmadığını,
değerlendirmek suretiyle karar verir.

Kişisel verilerin işlenmesine ilişkin tedbirler
 MADDE 15- (1) Veri kütüğü sahibi, kişisel verilerin, tedbirsizlikle veya hukuka
 aykırı amaçlarla yok edilmesini, kaybolmasını, değiştirilmesini, yetkisiz olarak açıklanmasını
veya aktarılmasını ve başka şekillerdeki tüm hukuka aykırı işlenmelerini önlemek için,
 korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre uygun teknik ve
 idarî tedbirleri almak zorundadır.

(2) Verilerin, veri kütüğü sahibi adına başka bir işleyen tarafından işlenmesi halinde,
 veri kütüğü sahibinin, işleyenin yeterli teknik ve idarî tedbirleri temin etmesini bir sözleşme
 veya hukukî tasarrufla yazılı olarak yükümlü tutması zorunludur.

(3) Veri kütüğü sahibi, işleyenin veya onun kontrolü altında olup da verilere ulaşma
 imkanı olan kişilerin; kanunla öngörülen haller dışında, yalnızca veri kütüğü sahibinin
 talimatları doğrultusunda veri işlemesini ve birinci fıkrada belirtilen yükümlülükleri yerine
 getirmesini, ikinci fıkrada belirtilen şekilde sağlar.


 ÜÇÜNCÜ KISIM
 Sicil
 BİRİNCİ BÖLÜM
 Sicil, Sicile Kayıt ve Ön İnceleme

Veri Kütüğü Sicili
 MADDE 16- (1) Kurul tarafından bir Veri Kütüğü Sicili tutulur.

(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri kütüğü kurmadan önce Sicile
 kaydolmak zorundadır.

(3) Sicil kamuya açık olarak tutulur.

Sicile kayıt başvurusu
 MADDE 17- (1) Sicile kayıt başvurusu aşağıdaki hususları içeren bir bildirimle
 yapılır:
 a) Veri kütüğü sahibi veya varsa temsilcisinin kimlik ve adres bilgileri,
 b) Kişisel veri işlemenin amaçları,
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki
 açıklamalar,
 ç) Verilerin açıklanabileceği alıcılar veya alıcı grupları,
d) Üçüncü ülkelere aktarımı öngörülen veriler,
 e) 15 inci madde uyarınca alınan tedbirlere ilişkin genel açıklama.

(2) Yukarıda sayılan bilgilerde yapılan değişiklikler yıl sonunda toplu olarak yeniden
 Kurula bildirilir.

Bildirimin istisnaları
MADDE 18- (1) Aşağıdaki hallerde Sicile bildirim zorunluluğu yoktur:
 a) Kişilerin temel hak ve özgürlüklerini olumsuz yönde etkilemeyecek nitelikte veri
 işlenmesi,
 b) Veri işlemenin kamuya bilgi verilmesi amacıyla tutulan ve yasal çıkarı bulunan
 herkesin incelemesine açık bir sicil için yapılması,
c) Veri işlemenin 6 ncı maddenin üçüncü fıkrasının (ç) bendinde belirtilen amaçlarla
 yapılması,
ç) Veri koruma denetim kuruluşunun görevlendirilmiş olması.

(2) Birinci fıkranın (a) bendinde belirtilen veriler veya veri kategorileri, veri işlemenin
 amaçları, ilgili kişilerin dahil olduğu kategoriler, alıcılar veya alıcı kategorileri ile verilerin
 saklama süreleri Kurul tarafından belirlenir.

Ön inceleme
 MADDE 19- (1) Kurul, veri konusu kişilerin, kişiliklerine, temel hak ve
 özgürlüklerine yönelik risk taşıma ihtimali olan ve bu Kanunun 5 inci maddesinde belirtilen
 niteliklere uygun olmayan ve 6 ncı ve 7 nci maddelerinde belirtilen koşulları taşımayan veri
 işlemelerini belirlemek üzere, ilgili veri işlemeleri başlamadan önce bir ön inceleme yapar.

7(2) Ön inceleme, Kurul tarafından, veri kütüğü sahibi veya varsa temsilcisi tarafından
 Sicile kayıt başvurusundan itibaren en geç bir ay içinde yapılır. Ön inceleme sonuçlanmadan
 veri işlemesi yapılamaz.

İKİNCİ BÖLÜM
 Veri Koruma Denetim Kuruluşu ve Bildirim

Veri koruma denetim kuruluşu
 MADDE 20- (1) Veri kütüğü sahipleri, bu Kanun hükümlerinin uygulanmasını
sağlamak üzere bağımsız denetim kuruluşu görevlendirebilir. Bu kuruluşlar, kendilerini
 atayan veri kütüğü sahibi tarafından bu Kanunun uygulanmasını, herhangi bir talimat
 almaksızın denetlerler ve bu amaçla, 16 ncı maddede belirtilen Sicili tutarlar.

(2) Denetleme kuruluşları, ilgili kişilerin şikayet ve talepleri nedeniyle öğrendikleri
 bilgileri, o kişilerin rızası olmadıkça, gizli tutmakla yükümlüdür. Kuruluşlar, çalışmaları
hakkında hazırladıkları yıllık raporları her yıl Ekim ayı sonuna kadar Kurula sunarlar.

(3) Veri kütüğü sahibi, kuruluşun görevini yapabilmesi için gerekli imkanları
sağlamakla yükümlüdür. Bağımsız denetleme kuruluşlarının kuruluş ve çalışma esasları ile
 niteliği Bakanlar Kurulu kararı ile yürürlüğe konulan yönetmelikle düzenlenir.

Kurula bildirim
 MADDE 21- (1) Bağımsız denetim kuruluşunun göreve başlayabilmesi için veri
 kütüğü sahibi tarafından Kurula bildirimde bulunulması zorunludur. Kurul ayrı bir bağımsız
 denetim kuruluşu sicili tutar. Kurulun bu Kanundan doğan görev ve yetkileri saklıdır.

ÜÇÜNCÜ BÖLÜM
İstisnalar ve Meslek Kuralları

İstisnalar
 MADDE 22- (1) Bu Kanunun 6 ncı, 11 inci, 16 ncı, 17 nci ve 19 uncu maddeleri
 aşağıda sayılan haller bakımından uygulanmaz:
 a) Milli güvenliğin korunması, milli savunmanın gerçekleştirilmesi veya bu amaçla
 yapılan istihbarî faaliyetlerin yürütülmesi,
 b) Kamu düzeninin korunması,
c) Suçun önlenmesi için gerekli olması, suç veya meslek ahlak kurallarını ihlâl eden
 eylemlerin soruşturulması veya kovuşturulması,
ç) Bütçe, vergi ve mâli konulara ilişkin olarak Devletin önemli ekonomik veya malî
 çıkarlarının gerektirmesi,
 d) Bu fıkranın (b), (c) ve (ç) bentlerinde belirtilen konularda, resmî mercilerin izleme,
 denetleme veya düzenleme görevlerinin gerektirmesi.

(2) Bu Kanunun 12 nci maddesinde belirtilen haklar, kişisel verilerin özellikle belli bir
 kişiye ilişkin tedbir veya karar alınmasına yönelik kullanılmadığı ve ilgili kişinin özel
 yaşamının gizliliğinin ihlal edilmesi riskinin bulunmadığı hallerde, ilgili mevzuatta yeterli
 koruma tedbiri bulunması kaydıyla, bilimsel araştırma veya istatistik oluşturma amaçları ile
 sınırlanabilir.

8Gazetecilik amacıyla kişisel verilerin işlenmesi
 MADDE 23- (1) Yayın sahipleri veya temsilcileri ile bunların çalışanları tarafından
 sadece gazetecilik amacıyla veri işlenmesi halinde bu Kanunun 5 inci, 15 inci ve 24 üncü
 maddeleri uygulanır.
 (2) Birinci fıkrada belirtilen kişisel verilerin işlenmesi fiilleri, ancak düşünceyi
 açıklama ve yayma hürriyeti sınırları çerçevesinde, yayın sahipleri veya temsilcileri ve
 bunların çalışanlarının enformasyon ihtiyaçlarının karşılanması için gerekli olması halinde
 hukuka uygun sayılır.

Kişisel verilerin işlenmesi bakımından meslekî davranış kuralları
MADDE 24- (1) Veri kütüğü sahiplerinin bağlı oldukları meslek birlikleri tarafından,
 değişik sektörlerin özellikleri dikkate alınarak, kişisel verilerin işlenmesiyle ilgili kuralların
 yerinde uygulanabilmesini temin etme amacıyla hazırlanan mesleki davranış kuralları, bu
 Kanuna uygunluğunun denetimi için, Kurula sunularak görüşü alınır. Kurul yapacağı
denetimde ilgili kişiler veya temsilcilerinin de görüşlerine başvurur.

Kişisel verilerin silinmesi veya yok edilmesi
 MADDE 25- (1) 22 nci maddenin birinci fıkrasında sayılan haller saklı kalmak üzere,
 bu Kanunda yer alan genel ilkeleri taşımayan kişisel veriler silinir veya yok edilir.

(2) Kişisel verilerin silinmesi veya yok edilmesinin esas ve usulleri Kurul tarafından
 hazırlanan yönetmelikle belirlenir.

DÖRDÜNCÜ KISIM
 Kişisel Verileri Koruma Kurulu
 BİRİNCİ BÖLÜM
 Kurulun Oluşumu ve Görevleri

Kurul
 MADDE 26- (1) Bu Kanunla verilen görevleri yapmak üzere, Kişisel Verileri Koruma
 Kurulu oluşturulmuştur.

(2) Kurul, yetkilerini bağımsız olarak kullanır. Hiçbir organ, makam, merci ve kişi
 Kurulun kararını etkilemek amacıyla emir ve talimat veremez.

(3) Kurul, görevleri ile ilgili konularda tüm kamu kurum ve kuruluşları ile gerçek ve
 tüzel kişilerden her türlü bilgi ve belgeyi isteyebilir. Kamu kurum ve kuruluşları ile gerçek ve
 tüzel kişiler, söz konusu isteğe cevap vermek ve gereken kolaylığı göstermekle yükümlüdür.

Kurulun oluşumu
 MADDE 27- (1) Kurul, Bakanlar Kurulunca seçilen yedi üyeden oluşur.

(2) Üyelerin yükseköğrenim görmüş ve öğretim kurumlarında en az on yıl öğretim
 üyeliği yapmış veya özel veya kamu hizmetinde en az on yıl fiilen çalışmış olmaları şarttır.

(3) Kurul üyeliğine önerilen adayların muvafakatleri aranır.

9(4) Kurul Başkanını Bakanlar Kurulu seçer. Başkan vekili, Kurul tarafından yapılacak
 bir seçimle kendi üyeleri arasından üye tamsayısının salt çoğunluğuyla seçilir.

Görev süreleri
 MADDE 28- (1) Kurul üyelerinin görev süresi altı yıldır. Görev süresi bitenler
 yeniden seçilemez.

(2) Başkanlık ve üyelikler görev süreleri dolmadan herhangi bir sebeple boşaldığı
takdirde, boşalan yerlere bir ay içinde 27 nci madde hükümlerine göre, seçim yapılır. Bu
şekilde seçilen kişiler yerine atandıklarının süresini tamamlar ve bu şekilde seçilenlerden iki
 yıl veya daha az süreyle görev yapanlar bir defalığına tekrar seçilebilir.

(3) Kurul Başkan ve üyelerinin görev süreleri dolmadan görevlerine son verilemez.
 Ancak seçilmeleri için gerekli şartları taşımadığı anlaşılan, görevleri ile ilgili olarak işledikleri
 suçlardan dolayı haklarında verilen mahkûmiyet kararı kesinleşen Kurul Başkan ve üyeleri
 süreleri dolmadan Başbakanın onayı ile görevden alınır. Bu durumda en geç bir ay içinde
 başkan veya üye seçimi yapılır.

Yemin
 MADDE 29- (1) Kurul üyeleri, Yargıtay Birinci Başkanlık Kurulu huzurunda,
“Üstlendiğim görevi Anayasa ve kanunlar gereğince tam bir dikkat, dürüstlük ve tarafsızlıkla
 yürüteceğime namusum ve şerefim üzerine yemin ederim.” şeklinde yemin ederler. Yemin
 için yapılan başvuru Yargıtayca acele işlerden sayılır. Kurul üyeleri, yemin etmedikçe göreve
 başlayamaz.

Kurulun çalışma esasları
MADDE 30- (1) Kurul ayda en az iki defa olmak üzere, gerekli hallerde Başkanın
 veya Başkanın bulunmadığı durumlarda Başkan vekilinin çağrısı üzerine, Başkan dahil en az
 beş üye ile toplanır ve üye tam sayısının salt çoğunluğuyla karar alır. Kurul üyeleri çekimser
 oy kullanamaz.

(2) Başkan ve üyeler kendilerini, üçüncü dereceye kadar kan ve ikinci dereceye kadar
 kayın hısımlarını, evlatlıklarını ve aralarındaki evlilik bağı kalkmış olsa bile eşlerini
 ilgilendiren kararlarla ilgili toplantı ve oylamaya katılamaz.

(3) Kurul üyeleri çalışmaları ve denetlemeleri sırasında ilgililere ve üçüncü kişilere ait
 öğrendikleri sırları bu konuda kanunen yetkili kılınan mercilerden başkasına açıklayamazlar
 ve kendi yararlarına kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam
 eder.
 (4) Bu maddede belirtilen haller dışında bir nedenle bir takvim yılında üç toplantıya
 katılmayan üyeler üyelikten çekilmiş sayılır.

(5) Kurul üyelerine 10/02/1954 tarihli ve 6245 sayılı Harcırah Kanunu hükümleri saklı
kalmak kaydıyla fiilen görev yaptıkları her gün için uhdesinde kamu görevi bulunup
 bulunmadığına bakılmaksızın (3000) gösterge rakamının memur aylık katsayısı ile çarpımı
sonucu bulunacak miktarda huzur hakkı ödenir. Bu ödemelerde damga vergisi hariç herhangi
 bir kesinti yapılmaz. Bir ayda fiilen görev yapılan gün sayısının dördü aşması halinde, aşan
 günler için huzur hakkı ödenmez.

10(6) Kurul tarafından alınan kararların yürütülmesi Başkana, yokluğunda vekiline
 aittir.
 (7) Kurulun sekretarya hizmetleri Başbakanlık tarafından yerine getirilir.

(8) Kurulun görev ve çalışmalarına ilişkin esas ve usuller yönetmelik ile düzenlenir.

Kurulun görev ve yetkileri
 MADDE 31- (1) Kurulun görev ve yetkileri şunlardır:
 a) Kişilik hakları ihlâl edilenlerin başvuruları hakkında karar vermek,
 b) İlgili kişi bakımından telâfisi güç veya imkânsız bir zararın doğması ihtimalinin
 bulunması halinde geçici önlemler almak,
 c) Kişisel verilerin işlenmesine ilişkin konularda düzenleyici işlemleri hazırlamak,
 ç) Yabancı ülkelere veri aktarımı konusunda tereddüt bulunması hâlinde karar vermek,
 d) Başkanın sunduğu önerileri karara bağlamak,
 e) Kurul faaliyetleri hakkında yıllık rapor hazırlamak,
 f) Sicilin tutulmasını sağlamak,
 g) Yurtiçi ve yurtdışında verilerin korunması makamları ile işbirliği yapmak,
ğ) Veri koruma hukuku alanındaki gelişmeleri takip etmek ve bunların uygulanması
için gerekli önlemleri almak,
 h) İhtiyaç duyulan alanlarda ulusal ve uluslararası kurum ve kuruluşlarla işbirliği
 içinde araştırma ve teknik yardım projeleri hazırlamak, geliştirmek ve yürütmek,
ı) Kanunlarda verilen diğer görevleri yerine getirmek.

ÜÇÜNCÜ BÖLÜM
Şikâyet ve inceleme usulü

Şikâyet başvurusu
 MADDE 32- (1) Bu Kanunun uygulanmasından kaynaklanan şikâyetler dilekçeyle
şikâyet konusu işlemin yapıldığı veya öğrenildiği tarihten itibaren altmış gün içinde Kurula
 yapılır. Kurul şikâyeti üç ay içinde inceler. Ancak hukukî veya fiili sebeplerle bu süre
 içerisinde incelemenin sonuçlandırılamaması hâlinde süre, bir defaya mahsus olmak üzere üç
 ay daha uzatabilir. Şikâyetin 12 nci maddenin üçüncü fıkrasına veya 22 nci maddenin birinci
 fıkrasının (a) bendinde sayılan hallere ilişkin olmadığı ya da (c) bendinde belirtilen görevlerin
 yerine getirilmesini engellemediği sürece, işlem sonucunu ilgililere tebliğ eder.

(2) Şikâyet başvurusunda bulunanlar, şikâyet konusunda Kurulca verilen kararın
 kendilerine tebliğinden itibaren altmış gün içinde idare mahkemelerinde dava açabilirler.
 Kişilik hakları ihlal edilenlerin, genel hükümlere göre zararını tazmin hakkı saklıdır.

İnceleme usul ve esasları
MADDE 33- (1) Kurul, re’sen veya ilgili tarafların başvurusu üzerine bu Kanunun
 uygulanması ile ilgili konuları inceler.

(2) Veri kütüğü sahibi, Kurulun istemi üzerine, inceleme konusuyla ilgili bilgi ve
 belgeleri onbeş gün içinde göndermek ve yerinde inceleme yapılmasına imkan sağlamakla
 yükümlüdür.

11 (3) İnceleme sonucunda bu Kanun hükümlerinin ihlâl edildiğinin anlaşılması hâlinde,
 Kurul, veri kütüğü sahibinden bu Kanun hükümlerine uygun olarak kişisel verilerin
 işlenmesini ister. Bu istem, derhal yerine getirilir.

(4) Veri kütüğü sahibi kamu tüzel kişisi ise, Kurul, ilgili kamu tüzel kişisinden
 verilerin bu Kanun hükümlerine uygun olarak işlenmesini ister. Bu istem, en geç otuz gün
 içinde yerine getirilir.

(5) 22 nci maddenin birinci fıkrasının (a) ve (c) bentlerinde sayılan hallerde Kurul,
 üyelerinden birini ilgili kurumda incelemelerde bulunmak üzere görevlendirir.
 Görevlendirilen üye, inceleme sonucunda Kurula sözlü olarak bilgi verir.

(6) Kurul, telafisi güç veya imkansız zararların doğması ihtimali ve açıkça hukuka
 aykırılık halinde ilgili kişi hakkında veri işlenmesinin veya yurtdışına aktarımının
 durdurulmasına karar verebilir.

BEŞİNCİ KISIM
 Çeşitli Hükümler
 BİRİNCİ BÖLÜM
 Soruşturma ve Kovuşturma Hükümleri

Kişisel verilerin hukuka aykırı olarak işlenmesi
 MADDE 34- (1) Hukuka aykırı olarak üçüncü fıkrada belirtilenler dışında kişisel
 verileri işleyen kişi, Türk Ceza Kanununun 135 inci maddesinin birinci fıkrasına göre
 cezalandırılır.

(2) Birinci fıkrada yazılı fiilin, bu Kanunun 7 nci maddesinde düzenlenen özel niteliği
 olan kişisel veriler hakkında işlenmesi hâlinde de birinci fıkrada belirtilen cezaya
 hükmolunur.

(3) Hukuka aykırı olarak kişisel verileri açıklayan, yayan, bir başkasına veren, aktaran
 veya ele geçiren kişi Türk Ceza Kanununun 136 ncı maddesine göre cezalandırılır.

(4) Yukarıdaki fıkralarda belirtilen fiillerin Türk Ceza Kanunun 137 nci maddesinde
 belirtilen şekilde işlenmesi halinde ceza, aynı maddeye göre tayin edilir.

(5) 25 inci maddeye aykırı hareket edenler Türk Ceza Kanununun 138 inci maddesine
 göre cezalandırılır.

Verilerin korunması ve yok edilmesi görevinin ihmali
 MADDE 35- (1) Kanuna uygun olarak veri kütüğüne işlenmekle beraber bunların
 muhafazalarında veya kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem
 içinde yok etmek yükümlülüğünde ihmalleri görülenler, Türk Ceza Kanununun 138 inci
 maddesine göre cezalandırılır.

12Tüzel kişiler hakkında güvenlik tedbiri uygulanması
MADDE 36- (1) Bu Kanunda tanımlanan suçların bir tüzel kişinin faaliyeti
 çerçevesinde işlenmesi halinde, ilgili tüzel kişi hakkında Türk Ceza Kanununun tüzel kişilere
 özgü güvenlik tedbirlerine hükmolunur.

İdarî para cezaları
MADDE 37- (1) Bu Kanunun;
 a) 11 inci, 12 nci, 15 inci, 19 uncu ve 33 üncü maddeleri ile 26 ncı maddesinin üçüncü
 fıkrasında öngörülen yükümlülüklere aykırı hareket edenlere beşbin Türk Lirası,
b) 16 ncı, 21 inci ve 24 üncü maddelerinde öngörülen yükümlülüklere aykırı hareket
 edenlere onbin Türk Lirası,
idarî para cezası verilir.

(2) Bu Kanuna göre idarî para cezaları Kurul tarafından verilir.

(3) Bu maddedeki fiillerden özel hukuk tüzel kişileri de sorumludur.

İKİNCİ BÖLÜM
 Son Hükümler

Yıllık faaliyet raporu
 MADDE 38- (1) Kurul, faaliyetlerine ilişkin olarak her yılın Mart ayı sonuna kadar bir
 önceki yıla ait kararları, yaptığı düzenlemeleri ile bunların ekonomik ve sosyal etkilerini
 analiz eden bir faaliyet raporu hazırlar. Faaliyet raporu, ayrıca, Kurulun performans hedefleri
 ile uygulama sonuçlarının karşılaştırılmasını ve değerlendirilmesini de içerir.

(2) Yıllık faaliyet raporu ve Kurul kararları elektronik ortamda erişime açılır.

Yönetmelik
 MADDE 39- (1) Bu Kanunun uygulanmasına ilişkin yönetmelikler, ilgili kurum ve
 kuruluşların görüşleri alınarak Kurul tarafından hazırlanır ve Başbakanlık tarafından
 yürürlüğe konulur.

GEÇİCİ MADDE 1- (1) Kişisel verileri işleyen kamu kurum veya kuruluşları ile
 gerçek ve özel hukuk tüzel kişileri, ilgili yönetmeliğin yürürlüğe girmesinden sonra üç ay
 içinde Sicile kayıt başvurusunda bulunmak zorundadırlar. Yönetmeliğin yürürlüğe girdiği
 tarihten itibaren bir yıl süreyle 19 uncu maddenin ikinci fıkrası uygulanmaz.

Yürürlük
 MADDE 40- (1) Bu Kanun yayımı tarihinde yürürlüğe girer.

Yürütme
 MADDE 41- (1) Bu Kanun hükümlerini Bakanlar Kurulu yürütür.

13GENEL GEREKÇE

Kişisel verilerin korunması, çağımızda, insan hakları kavramı ve korunması
bilincinin gittikçe gelişmesine paralel olarak önemini artırmaktadır. Bu nedenle bir ülkenin
 mevzuatında değişik düzenlemeler içinde yer alan farklı hükümlerin, bu konuya özgü
 felsefeden yoksun olması halinde kişisel verilerin korunması konusunda artan ihtiyaca cevap
 vermesi mümkün olmamaktadır. Bunun öncelikli sebebi, söz konusu hükümlerin başlı başına
 yetersiz olmalarından ziyade; bu hükümlerin hukuk sisteminde yer almasının, kişisel verilerin
 korunması amacı ile değil, ancak her bir hükmün ilgili olduğu sahalarda zamanının
 ihtiyaçlarına cevap vermesi amacı ile düzenlemiş olmasıdır. Bundan dolayı hemen tüm
 modern hukuk sistemlerinde olduğu gibi, ülkemizde de kişisel verilerin korunması amacına
 yönelik münhasır bir kanunun yürürlüğe girmesi kaçınılmaz hale gelmiştir.
 Tasarı, kişisel verilerin korunması bakımından gerekli olan tüm hususlarda çerçeve
 niteliğinde ilkeleri belirlemekte ve öngördüğü bağımsız Kurul ile de bu ilkelerin
 uygulanmasının izlenmesini temin etmektedir.
 Kişisel verilerin korunması konusunda genel ilkelerin, çerçeve bir kanunla
 hukukumuza dahil olmasının önemli bir gelişme olduğu ortadadır. Ancak bir çerçeve
 kanundan beklenen fayda, doğal olarak bu kanunda belirtilen ilkelerin ilgili mevzuata uyumlu
şekilde yansıtılması halinde sağlanabilir. Bu nedenle, bir yandan oluşturulacak bağımsız
 Kurulun sözü geçen mevzuatın bir kısmını hazırlaması, diğer yandan ilgili diğer tüm kamu
 kurum ve kuruluşlarının, kendi sahalarında gecikmeksizin harekete geçerek kanunda saptanan
 ilkelerin ışığı altında gerekli yasal düzenlemeleri hazırlamaları gerekmektedir.
 Tasarı hükümleri, kamu kurum ve kuruluşları tarafından, kendi sahalarında kişisel
 verilerin korunması ile ilgili ihtiyacın hemen tespit edilebilmesini sağlayacak şekilde
 hazırlanmıştır. Bu nedenle, örneğin sağlık alanında Sağlık Bakanlığının, iletişim ve ulaşım
 alanında Ulaştırma Bakanlığının, turizm alanında Kültür ve Turizm Bakanlığının, ekonomik
 hayatla ilgili Sanayi ve Ticaret Bakanlığının, maliye ve vergi konuları ile ilgili olarak Maliye
 Bakanlığının, yargı ile ilgili olarak Adalet Bakanlığının, nüfus işlemleri ve kolluk faaliyetleri
 ile ilgili olarak İçişleri Bakanlığının vakit kaybetmeden bu Kanuna uygun mevzuatı
hazırlamaları yararlı olacaktır. Burada örnek kabilinden sayılan bu ihtimaller sınırlayıcı
değildir.
 Ayrıca farklı sektörlerde yer alan mesleklerin, var olan mesleki davranış kurallarına
 kişisel verilerin korunması bakımından gerekli değişiklikleri getirmeleri ya da eğer henüz hiç
 düzenleme yapılmamışsa kişisel verilerin korunması bakımından mesleki davranış kurallarını
belirlemeleri, sistemin bütünlüğü açısından önem taşıyacaktır. Ancak bu düzenlemeler
 yapılırken, Tasarıda belirlenen ilkelerin dikkate alınması gerekmektedir.
 Günümüzde geleneksel yöntemlerin yanı sıra, verilerin bilgisayar gibi elektronik
 ortamlarda işlenerek bunların, veri bankalarında depo edilmesi çok yaygınlaşmıştır. Bilgi çağı
olarak nitelendirilen çağımızda, bir taraftan kişisel verilerin işleme tabi tutulmasını
kolaylaştırmak ve bunları ilgililerin yararlanmasına sunmak zorunlu olduğu kadar, bunu
 yaparken kişiliğin, temel hak ve hürriyetlerin korunması da çok önemli bir sorun olarak ortaya
 çıkmaktadır.
 Kişisel verilerin elektronik olarak işlenmesi, kişilere olduğu kadar özel ve kamu
 sektörüne de büyük yararlar sağlamaktadır. Bu şekilde mal ve hizmetler, daha kolay
 üretilebildiği gibi kişilerin veri işleme yoluyla tespit edilmiş tercihlerine bakılarak, bireylere
 ucuz ve sür’atle sunulabilmektedir. Elektronik veri işleme sistemleri keza, sağlık, sosyal
 14güvenlik, eğitim, vergi, kamu düzeni ve güvenliği gibi alanlarda da benzer yararlar
 sağlamaktadır. Bu nedenle, mal ve hizmetlerin daha iyi, ucuz ve sür’atle sunulabilmesi için,
 verileri elektronik ortamlarda işleyen sistemler, gerek özel ve gerek kamu sektöründe hızla
 yaygınlaşmıştır.
 Kişisel veri kütüğü sistemleri iki grup açısından önem arz etmektedir:
- Bunlardan birincisini kişisel veri sicillerini kullananlar oluşturmaktadır. Yukarıda
 da belirtildiği gibi, mal ve hizmetlerin ihtiyaca uygun bir şekilde üretimi ve dağıtımı için bu
 tür sicillerden yararlanılması zorunlu hale gelmiştir. Bu sicillerden yararlananların, ihtiyaçları
olan kişisel verileri işlemeleri engellenmemeli, aksine kolaylaştırılmalı, ancak ilkelere
 bağlanmalıdır.
- Diğer grubu ise, hakkında kişisel veri işlenen gerçek ve tüzel kişiler
 oluşturmaktadır. Elektronik bilgi işlem sistemlerinde zorunlu olarak kişiler hakkında kişisel
 veriler işlenmektedir. Kişisel veriler sınırsız olarak gelişigüzel toplandığı, denetimsiz olarak
 açıklandığı, yetkisiz kişilerin eline geçtiği takdirde kötüye kullanılarak kişilik hakları ihlal
 edilebilecektir. Bu nedenle kişisel veri sicillerinin bu tür sakıncaları giderecek şekilde
 kurulması, faaliyet göstermesi ve denetim altına alınması zorunlu hale gelmiştir.
 Tasarı, bu iki grubun çıkarlarını koruyarak dengelemek ve kişilik hakları ile temel
 hak ve hürriyetleri korumak amacıyla hazırlanmıştır.
 Mevzuatımızda kişilik hakkının korunmasına ilişkin hükümler Türk Medeni
 Kanununda yer almaktadır. Türk Medeni Kanununun 24 üncü maddesine göre hukuka aykırı
olarak kişilik hakkına saldırılan kimse, saldırıda bulunanlara karşı korunmasını isteyebilir.
 Ayrıca Türk Ceza Kanununun 135 ve devamı maddelerinde kişisel verilerin hukuka aykırı
olarak kaydedilmesi üçüncü kişilere verilmesi, yayılması fiilleri yaptırım altına alınmış
bulunmaktadır. Aynı şekilde, Türkiye’nin 1954 yılında onayladığı Avrupa İnsan Hakları
Sözleşmesinin 8 inci maddesinde, herkesin özel ve aile hayatına, meskenine ve muhaberatına
 saygı gösterilmesini isteme hakkı olduğu belirtilmiştir.
 Kişisel verilerin korunması konusu somut olarak ilk defa İktisadi İşbirliği ve
 Kalkınma Teşkilatı (OECD) tarafından 1980 yılında ele alınmıştır. OECD tarafından kabul
 edilen ve bu Tasarıda da dikkate alınan rehber ilkeler, birbirini tamamlayıcı nitelikte olup
 özetle aşağıda gösterilmiştir.
 1) Kişisel veri toplanması ve işlenmesinin sınırlı olması ve ilkelere bağlılığı:
Bu ilke ile kişisel verilerin toplanması ve işlenmesinin sınırları olması ve verilerin
 hukuka uygun, meşru yollarla ve mümkün olduğunca veri konusu kişinin bilgisi veya rızası
ile elde edilmesinin gerekliliği vurgulanmıştır. Tasarı ile kişisel verilerin, toplanması ve
 işlenmesi konusunda belirtilen ilkelere uyulmuştur.
 2) Kişisel veride kalite ilkesi:
 Bu ilke ile, kişisel verilerin işlenmesiyle ilgili gerekli nitelikler vurgulanmaktadır.
 Buna göre, kişisel verilerin güncel tutulması, tam ve doğru olması, kullanılacağı amaçla
 bağlantılı ve bu amacın gerekleriyle sınırlı olması şartlarına işaret edilmektedir. Tasarının
 kişisel verilerin işlenmesine ilişkin ilkelerin belirlendiği 5 inci maddesi kapsamlı düzenleme
 tarzı ile aranan şartları karşılamıştır.

153) Kişisel veri toplama ve işlenmesinde amacın belirginliği ilkesi:
 Kişisel verilerin toplanmasından önce, bu verilerin toplanmasının amaçlarının belli
 olması, sonraki kullanımların da bu amaçlarla sınırlı tutulması gereğine değinilmektedir.
 Toplanma amacının değişebileceği her durumda da, söz konusu değişen amaçların aynı
 şekilde belirgin olması gerektiği belirtilmektedir.
 4) Amaca uygun kullanım ilkesi:
 Yukarıda sözü geçen ilke ile doğrudan bağlantılı olan bu ilke gereğince; veri konusu
 kişinin rızası veya kanunun yetki verdiği haller hariç olmak üzere, kişisel verilerin toplandığı
ve işlendiği amaçlar dışında kullanılmaması, elde edilebilir hale getirilmemesi veya
 açıklanmaması öngörülmektedir.
 5) Kişisel verilerin korunması için gereken tedbirlerin alınması ilkesi:
 Bu ilke ile kişisel verilerin, yetkisiz olarak erişilmesi, imhası, kullanılması,
değiştirilmesi veya açıklanması ya da kaybolması gibi risklere karşı uygun güvenlik
 tedbirleriyle korunması gerektiğine dikkat çekilmektedir. Tasarının 15 inci maddesi ile kişisel
 verilerin işlenmesinin güvenliği bakımından tedbir alınması yükümlülüğü getirilmiştir.
 6) Açıklık ilkesi:
 Kişisel verilerle ilgili olarak yürütülen politikalar ile uygulamalar ve gelişmeler
 hakkında genel bir açıklık politikası bulunması gereği vurgulanmaktadır. Tasarının 11 inci
 maddesinde düzenlenen veri konusu kişilerin bilgilendirilmesi ve 12 nci maddedeki veri
 konusu kişinin bilgiye erişim hakkının yanı sıra, 16 ncı maddesinde, Kurul tarafından
 tutulacak Sicil düzenlenmektedir. Bu Sicile tescil edilecek konular ayrıntılı düzenlenmiş olup,
 Sicilin kamuya açık olduğu hükmü getirilmiştir. 95/46/AT sayılı Avrupa Topluluğu
 Direktifinin 28 inci maddesinin ikinci fıkrasında da buna paralel bir düzenleme
 bulunmaktadır.
 7) Kişisel veri konusu kişinin bireysel katılımı ilkesi:
 Kişinin, veri kütüğü sahibinden, onunla ilgili veri olup olmadığına dair bilgi
 edinmeye; anlayabileceği bir şekilde, makul yollarla, tatbik ediliyorsa aşırı olmayan bir
 ücretle, makul süre için kendisine ilişkin veriler konusunda bilgilendirilmeye; bilgi edinme ve
 bilgilendirilme talepleri reddedilirse sebeplerini öğrenmeye, bu gibi reddedilmelere karşı
itiraz veya kanun yollarına başvurabilmeye; kendisine ilişkin verilere itiraz edebilme ve haklı
itirazı halinde bu verileri sildirmeye, düzeltmeye, eksik ise tamamlatmaya ve değiştirmeye
 hakkı olması gerektiği vurgulanmaktadır.
 8) Sorumlu tutulabilirlik ilkesi:
 Buna göre veri kütüğü sahibinin, yukarıda belirtilen prensiplere uyulması için
 getirilen tedbir ve yaptırımlara uymasını temin edecek şekilde sorumlu tutulması
sağlanmalıdır. Tasarının, ‘‘Kişisel verilerin işlenmesine ilişkin ilkeler” başlığını taşıyan 5 inci
 maddesinden başlamak üzere muhtelif bazı maddelerinde, veri kütüğü sahipleri, getirilen
 prensiplere uymakla yükümlü tutulmuştur. Bu yükümlülüklerini yerine getirmeyen veri
 kütüğü sahipleri idarî, hukukî ve cezaî yaptırımlara tabi olacaktır.
 Diğer taraftan, ana amacı üye ülkeler arasında hukuk birleştirilmesi ve uyumu olan
 Avrupa Konseyi, daha sonra da bir sözleşme hazırlanmak üzere bu alandaki çalışmalarını
sürdürmüştür. Bu bağlamda çok gelişmiş telekomünikasyon araçlarıyla gerçekleştirilen,
 ülkeler arasındaki hızlı sınır ötesi bilgi akışı karşısında, kişilik haklarının korunmasında üye
 16devletler milli mevzuatının yetersiz kalması, bu alanda bir uluslararası sözleşme
 hazırlanmasını zorunlu kılmıştır. “Kişisel Verilerin Otomatik İşleme Tabi Tutulması
Karşısında Bireylerin Korunması”na ilişkin 108 sayılı Sözleşme, 28 Ocak 1981 tarihinde
 imzaya açılmış ve aynı tarihte Konsey üyesi diğer devletlerle birlikte Türkiye tarafından da
 imzalanmıştır. Ancak, söz konusu Sözleşmenin 4 üncü maddesi gereğince, Sözleşmenin
 onaylanabilmesi için, imzalayan devletin, Sözleşmede öngörülen ilkeler çerçevesinde bir yasa
 kabul etmesi zorunludur. Tasarı ile aynı zamanda söz konusu sözleşmede öngörülen
 yükümlülük de yerine getirilmektedir.
 Sözleşme, bir taraftan Konseye üye çeşitli ülkelerde bireylerin kişiliklerinin
 yeknesak bir düzeyde korunmasını sağlamış, diğer taraftan da sınır ötesi veri akışının
 standartlarını belirlemiştir. Öyle ki, Sözleşmenin 12 nci maddesine göre, bir devlet verilerin
 korunması konusunda bunların eşdeğer düzeyde korunmasına ilişkin mevzuatı bulunmayan
 diğer bir devlete sınır ötesi veri aktarımını yasaklayabilir. Nitekim bu bağlamda Türkiye’de
 yasal düzenleme bulunmamasının sonuçları uygulamada da görülmeye başlanmıştır. Örneğin,
 adli yardım anlaşmalarının uygulanması çerçevesinde, başta Almanya olmak üzere, Konseye
 üye diğer devletler, Türk mahkemelerince yapılan kişiler hakkındaki adres tespiti, istinabe
 gibi istemleri, Türkiye’nin konuya ilişkin eşdeğer koruma mevzuatı bulunmadığı için geri
 çevirmektedirler. Aynı şekilde, bu durum Avrupa Birliği ile gerçekleştirilen gümrük birliği
 çerçevesinde, Türkiye ile Avrupa Birliği üyesi devletler gümrük idareleri arasındaki bilgi
 akışını da olumsuz yönde etkilemektedir.
 Tasarının hazırlanmasında Avrupa Konseyinin anılan Sözleşmesindeki ilke ve
 standartlar da göz önüne alınmıştır.
 Öte yandan, Avrupa Konseyinin anılan Sözleşmesinin hazırlık çalışmalarına Avrupa
 Birliği de kurum olarak aktif bir şekilde katılmış ve önemli katkılarda bulunmuştur. Avrupa
 Birliği daha sonra da konuya ilişkin çalışmalarını sürdürmüş ve üyelerinin verilerin korunması
mevzuatı arasındaki farklılık ve çelişkileri gidererek uyum sağlamak üzere, 95/46/EC sayılı
Direktif yürürlüğe girmiş ve bununla bütün üye ülkelerdeki bireylerin gizliliğinin üst düzeyde
 korunması ve kişisel verilerin Avrupa Birliği içerisinde özgür dolaşımını sağlayacak açık ve
 kalıcı bir düzenleme yapılması amaçlanmıştır. Avrupa Birliği ile Türkiye arasında gümrük
 birliği kurulmasından sonra 10- 11 Aralık 1999 tarihlerinde gerçekleştirilen Avrupa Birliği
 Helsinki Zirvesi sonucunda Türkiye’nin tam üye adayı olarak kabul edilmiş olmasıyla tam
 üyeliğe yönelik katılım süreci çerçevesinde bir çok alanda mevzuat uyumu çalışmaları
yapıldığından, verilerin korunmasına ilişkin yasa çalışmalarında da, Birlik mevzuatı ile Türk
 mevzuatı arasında uyum sağlamanın yerinde olacağı düşünülmüş ve bu amaçla çalışmalarda
 söz konusu Direktif de göz önünde tutulmuştur. Ayrıca, kişisel verilerin korunması konusunda
 ilgili kanunun hazırlanması, Ülkemizin Katılım Ortaklığı Belgesine cevap olarak hazırladığı
2003 Ulusal Programında taahhüt ettiği yükümlülüklerdendir. Böylece Tasarı, Avrupa Birliği
 ile olan mevzuat uyum çalışmalarımız bakımından önemli bir ihtiyacı karşılamaktadır.
 Avrupa Konseyi geçen sürede ayrıca, Sözleşmede yer alan bu ilkeleri etkin bir
şekilde yaşama geçirmek için yoğun çalışmalar yapmış ve Bakanlar Konseyi bu maksatla
 çeşitli sektörlerde uygulanacak ilkeleri belirleyen aşağıdaki tavsiye kararlarını da kabul
 etmiştir: Tıbbi veri bankaları (1981), bilimsel araştırma ve istatistik (1983), doğrudan
 pazarlama (1985), sosyal güvenlik (1986), polis (suç) kayıtları (1987), istihdama ilişkin
 veriler (1989), elektronik ödeme ve ilgili işlemler ( 1990), verilerin kamu kuruluşlarınca
 üçüncü kişilere açıklanması (1991), kişisel verilerin telekomünikasyon alanında ve özellikle
 telefon servislerinde korunması (1995), tıbbi verilerin korunması (1997), istatistik amaçlı
toplanan ve işlenen kişisel verilerin korunması (1997), internette özel hayatın gizliliğinin
 korunması (1999), sigorta sektöründe kişisel verilerin korunması (2002).
 17Konseye üye gelişmiş sanayi devletlerinden çoğu, bu tavsiye kararlarını takiben,
 özel olarak yasaları bulunduğu halde, konuları bu kez sektör bazında yeniden
 düzenlemişlerdir. Tasarıda, söz konusu tavsiye kararları göz önüne alınmakla beraber,
 sektörel bazda bir yaklaşımın Tasarının hacmini çok genişleteceği düşünülerek bu yöntem
 benimsenmemiştir. Bu bağlamda, tavsiye kararlarında yer alan ilkelerin, ilgili kurum, kuruluş
ve meslek birlikleri tarafından, Kurulun da görüşü alınarak hazırlanacak düzenlemeler de yer
 alabileceği değerlendirilmiştir.
 Tasarı, kişisel verileri işleme tabi tutulan kişiler ile bu verileri işleme tabi tutan kamu
 kurum veya kuruluşları ile gerçek ve özel hukuk tüzel kişilerini kapsamına almıştır. Söz
 konusu kişisel veriler geleneksel dosyalama yöntemiyle işlenebileceği gibi, otomatik işleme
 de tabi tutulabilir. Her iki yöntem de Tasarı kapsamındadır.
 Tasarı, beş kısımdan oluşmaktadır.
 Birinci Kısımda; Tasarının amaç ve kapsamı belirlenmiş ve Tasarıda kullanılan çoğu
 teknik ağırlıklı terimlerin tanımları yapılmış, kişisel verilerin niteliğine ilişkin ilkeler, kişisel
 verilerin işlenmesinde hukuka uygunluk sebepleri, özel niteliği olan kişisel veriler ve kişisel
 verilerin kamu kurum ve kuruluşları tarafından işlenmesi konuları düzenlenmiştir.
İkinci Kısımda; veri konusu kişinin bilgilendirilmesi, bilgiye erişme hakkı, veri
 konusu kişinin itiraz hakkı, kişisel verilerin işlenmesinde tedbirler, kişisel verilerin yabancı
ülkelere ve üçüncü kişilere aktarılması düzenlenmiştir.
 Üçüncü Kısımda; Sicil ve Kurula bildirim ve ön inceleme konuları ile özel denetim
 kuruluşları, istisna getiren hükümler, mesleki davranış kuralları, kişisel verilerin silinmesi ve
 yok edilmesi konuları düzenlenmiştir.
 Dördüncü Kısımda; “Kişisel Verileri Koruma Kurulu”nun oluşumu ile Kurulun
 yetki ve görevlerine yer verilmiştir.
 Kişisel verilerin, kamu kurum veya kuruluşlarınca veya gerçek ve özel hukuk tüzel
 kişileri tarafından işlenmesi dolayısıyla kişilik hakları ihlal edilenlerin şikayetleri konusunda
 Kişisel Verileri Koruma Kurulu karar verecektir. Herhalde, kişilik hakları ihlal edilen bireyin
 tazminat hakkı saklı tutulmuştur.
 Tasarının muhtelif maddelerinde; veri kütüğü sahibi yanında, “veya temsilcisi”
ifadesi kullanılmıştır. Burada sözü edilen “temsilci”, Direktifin 4 üncü maddesine göre; kişisel
 verilerin işlenmesine Direktif hükümleriyle uyumlu olarak kabul edilen ulusal hukuk
 kurallarının uygulanması koşullarından biri olan veri kütüğü sahibinin Topluluk topraklarında
 yerleşik olmadığı durumlarda, kişisel verinin işlenmesi amacıyla, ilgili üye devlet egemenlik
 alanında bulunan ekipmandan, otomatik veya otomatik olmayan yollarla kişisel veri işlenmesi
 için yararlanması halinde, kendisine “temsilci” sıfatıyla ataması gereken kişidir. Söz konusu
 durumda, kullanılacak ekipmandan sadece Topluluk topraklarına geçiş amacıyla
 yararlanılmaması gereği de maddede ayrıca öngörülmüştür. Bu hallerde, atanacak temsilci,
 ilgili üye devlet sınırları içinde yerleşmiş olmalıdır. Temsilci atanması, kişisel verileri kontrol
 eden hakkında başlatılmış veya başlatılması muhtemel yasal işlemleri etkilemeyecektir.
 Kişisel verileri kontrol eden kişiye temsilci atanması, halihazırda Avrupa Birliğine üye olan
 ülkeleri ilgilendiren bir husustur. Ülkemiz açısından ise Birliğe tam üye olunduğunda yerine
 getirilecek bir koşul olmakla birlikte, ileride doğması muhtemel uyum sorununun önlenmesi
 ve konuyla ilgili gereken tüm hazırlıkların tamamlanarak üyeliğe hazır olunması hususları
gözetilerek Tasarıda yer alması öngörülmüştür.
 18Sözleşmenin 10 uncu maddesinde, onaylayan devletlerin Sözleşmede öngörülen
 ilkelerin gereken şekilde uygulanabilmesini sağlamak üzere, iç hukuklarında etkin yaptırımlar
 öngörmeleri belirtilmiştir. Aynı şekilde, söz konusu 95/46/EC sayılı Avrupa Topluluğu
 Direktifinin 11 inci Bölümünde, üye devletler, ilkelerin ihlâli halinde yaptırımlar uygulamaya
 davet edilmektedir. Nitekim, mevzuatı incelenen devletlerde, kişilik hakları ihlalinin ağırlık
 derecesine göre, para veya hürriyeti bağlayıcı cezalar verildiği gözlenmiştir. Bu düşüncelerle,
 Tasarıda, ihlalin ağırlık derecesine göre idari para cezaları ile ayrıca hapis ve para cezaları
öngörülmüştür.
 19MADDE GEREKÇELERİ

MADDE 1- Maddeyle Kanunun amacı belirlenmektedir. Amaç, kişisel verilerin
 işlenmesini disiplin altına almak ve Anayasanın 17 nci maddesinde ifade edilen kişinin
 dokunulmazlığı, maddi ve manevi varlığı ile temel hak ve özgürlüklerinin korunmasıdır. Bu
 korumayı sağlayacak kuruluşlar ile uygulanacak ilke ve yöntemler Tasarıda düzenlenmiştir.

MADDE 2- Maddeyle, kişisel verileri işleme tabi tutulan gerçek ve tüzel kişiler ile bu
 verileri işleme tabi tutan kamu kurum veya kuruluşları ile gerçek ve özel hukuk tüzel kişileri
 Tasarı kapsamına alınmaktadır. Bu konuda, özel sektör ile kamu sektörü bakımından getirilen
 özel hükümler dışında ayırım yapılmadığından, öngörülen usul ve esaslar her iki sektöre de
 uygulanacaktır. Aynı şekilde kişisel verilerin otomatik veya geleneksel dosyalama
 yöntemleriyle işlenmesinin de önemi yoktur.
 Her ne kadar Avrupa Komisyonunun 95/46 sayılı Direktifinde sadece gerçek kişilere
 ilişkin kişisel verilerin direktif kapsamında korunacağı ifade edilmişse de, yine Avrupa
 Komisyonunun 2002/58 sayılı Direktifiyle tüzel kişilere ait kişisel verilerin de koruma
 kapsamına dahil edileceği belirtilmektedir. Nitekim Haziran 2003 tarihli İtalyan Veri Koruma
 Kanununun “Tanımlar” başlıklı 4 üncü maddesinin birinci fıkrasının (b) bendinde kişisel veri
“gerçek veya tüzel kişilere” ait veriler olarak tanımlanmıştır.
 Maddenin ikinci fıkrasıyla, kişisel verilerin, gerçek kişiler tarafından sadece kişisel
 veya birlikte oturanlarla ilgili faaliyetlerine ilişkin olarak işlenmesi kapsam dışı bırakılmıştır.

MADDE 3- Maddede, Kanunda kullanılan deyim ve terimlerin tanımlarına yer
 verilmiştir.
 Kanun kapsamına giren kişisel veriler, sadece bireyin adı, soyadı, doğum tarihi ve
 doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin aklî,
 psikolojik, fizikî, kültürel, ekonomik, sosyal ve sair özelliklerine ilişkin verilerdir.
 Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir
 gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade
 eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini
 ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir
 kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim,
 telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası,
özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da
 olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.
İlgili kişi (data subject) tanımı, hakkında kişisel veri işlenen gerçek ve tüzel kişileri
 ifade etmektedir. Yukarıda da belirtildiği gibi Avrupa Birliğinin son direktifleri doğrultusunda
 veri konusu kişi kapsamına tüzel kişiler de dahil edilmiştir.
 Kişisel verilerin işlenmesi tanımı; geniş bir alanı kapsamaktadır. Buna göre verilerin
 toplanmasından başlayarak tüm işlem türleri tanım kapsamı altına alınmaktadır. Kişisel
 verilerin, bilgisayar gibi otomasyon sistemlerinin kullanıldığı yöntemlerle işlenmesi gibi,
 otomatik sistemler kullanılmadan elden işlenmesi hali de tanım kapsamına dahil olacaktır.
 Veri kütüğü, gerçek veya tüzel kişilere ilişkin belli bir kritere göre kişisel verilere
 ulaşımı kolaylaştıracak şekilde yapılandırılmış herhangi bir kişisel veri grubunu ifade
 etmektedir. Buna göre kişisel verilerin; örneğin herhangi bir kuruluşta, o kuruluşun faaliyetini
 sürdürmek için düzenli olarak tuttuğu dosyalama sisteminin bir parçası olması gerekmektedir.
 Ayrıca bu dosyalama sistemi kişilere ilişkin herhangi bir kritere göre yapılandırılmış
20olmalıdır. Yine bu dosyanın halen ulaşılabilir olması gerekmektedir. Buna göre, bir dosyanın
 üzerinde herhangi bir kişinin ad ve soyadı veya kimlik numarası bulunması halinde, bu dosya
 tanım kapsamına dahil olacağı gibi, örneğin kredi borcunu ödemeyenler gibi bir kritere göre
 oluşturulacak dosyalama sistemi de tanım kapsamına girecektir.
 Veri kütüğü sahibi ise, kişisel verilerin işlenmesinin amaç ve metotlarını tek başına
 veya başkaları ile birlikte belirleyen gerçek ve tüzel kişileri ifade etmektedir. Bu kişiler,
 verilerin saklanması ve kullanılmasını (işlenmesini) kontrol eden ve bundan sorumlu olan
 tüccarlar gibi gerçek kişiler olabileceği gibi, kamu kurumları veya dernek ve vakıflar gibi
 tüzel kişiler de olabilir. Grup şirketlerde ise, gruba dahil olan her şirket ayrı ayrı veri kütüğü
 sahibi olarak kabul edilecektir.
 Kişisel verileri işleyenler, veri kütüğü sahibi adına verileri işleyen gerçek ve tüzel
 kişilerdir. Bu kişiler verileri işlemekte ancak, kişisel veriler üzerinde kontrol yetkisi ve
 sorumluluk veri kütüğü sahibine ait bulunmaktadır. Veri işleyenlere örnek olarak;
 muhasebeciler, acenteler gibi başkası adına veri işleyen kurumlar sayılabilir. Herhangi bir
 gerçek veya tüzel kişi aynı zamanda hem veri kütüğü sahibi, hem de veri işleyen olabilir.
 Örneğin bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri
 kütüğü sahibi sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise kişisel
 verileri işleyen olarak kabul edilecektir. Ancak veri kütüğü sahibi ile işçi işveren ilişkisi
 içerisinde olan veya doğrudan talimatı altında bulunan kişiler kişisel verileri işleyen olarak
 kabul edilmeyecektir.
 Üçüncü kişi; ilgili kişi bakımından, veri kütüğü sahibi ile kişisel veri işleyen ve
 bunların doğrudan talimatı altında bulunan kişilerin dışında kalan ve kişisel veri işleyen
 gerçek ve tüzel kişiler ile kamu kurum veya kuruluşunu ifade etmektedir.

MADDE 4- Kamu kurum ve kuruluşlarının kişisel verileri işleyebilmesi, ancak
 kanunlarda öngörülen hallerle sınırlandırılmak suretiyle, bireylerin özel hayatlarının
 korunması ve verilerin işlenmesinde keyfiliğin önüne geçilebilmesi amaçlanmaktadır.

MADDE 5- Maddenin birinci fıkrası, kişisel verilerin işlenmesine ilişkin temel ilkeleri
 düzenleyen en önemli hükümdür. “Kişisel Verilerin Otomatik İşleme Tâbi Tutulması
Karşısında Bireylerin Korunmasına İlişkin 108 sayılı Sözleşmenin 5 inci maddesine göre,
 onaylayan devletlerin söz konusu temel ilkeleri iç hukuklarında yaşama geçirmek
 yükümlülüğü bulunmaktadır. Maddeyle Sözleşmeye ve 95/46 EC sayılı Avrupa Topluluğu
 Direktifinin 6 ncı maddesine uygun olarak kişisel verilerin işlenmesiyle ilgili genel ilkeler
 belirlenmiştir. Bu fıkrada belirlenen ilkeler, diğer maddelerde sözü geçen bütün veri
 işlemelerinde dikkate alınacaktır. Kişisel verilerin kamunun yararlanmasına açık olduğu veya
 ilgili kişinin veri işlenmesine itirazının bulunmadığı hallerde dahi, bu fıkrada belirtilen
 koşulların varlığı aranacaktır.
 Birinci fıkranın (a) ve (b) bentlerine göre kişisel verilerin hukuka ve dürüstlük
 kurallarına uygun olarak işlenmesi, verilerin belirli, açık ve meşru amaçlar için toplanması ve
 bu amaçlara aykırı olarak yeniden işlenmemesi gerekir. Buna göre veri kütüğü sahibi, veri
 işleme amacını açık ve kesin olarak belirlemeli ve bu amaç meşru olmalı, yine bu amaç ilgili
 kişiler tarafından biliniyor olmalıdır. Ayrıca veri kütüğü sahipleri, oluşturulacak sicile
 kaydolurken, veri işleme amaçlarını da açıkça belirteceklerdir. Belirttikleri bu amaçlar dışında
 başka amaçlarla veri işleyen veri kütüğü sahipleri ise bu fiillerinden dolayı sorumlu
 olacaklardır. Aynı zamanda bu verilerin, belirlenen amaçlara aykırı olarak üçüncü kişilere
 açıklanmaması gerekir.
 21 (c) bendine göre, veri kütüğü sahipleri tarafından işleme tabi tutulan kişisel veriler,
 toplandıkları amaçla bağlantılı, yeterli ve orantılı olmalıdır. Buna göre, işlenen kişisel
 verilerin, belirlenen amaçların gerçekleştirilmesi için yeterli olması, amacın
 gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden
 kaçınılması gerekmektedir. Yine, olası kullanıma olanak yaratılması için verilerin toplanması
yasak olacaktır.
 (ç) bendine göre, işlenen veriler doğru olmalı ve gerektiğinde güncellenmelidir.
 Kişisel verilerin doğru ve güncel olması, ilgili kişilere ait kişisel verilerin özellikle üçüncü
 kişilere aktarımı neticesinde ilgili kişilerin zarara uğramaları durumunda önem
 kazanmaktadır. Bu halde verileri doğru olarak tutmayan veya güncellemeyen veri kütüğü
 sahibi, ilgili kişilerin uğradıkları zararlar nedeniyle sorumlu olacaktır.
 (d) bendine göre, verilerin ilgili kişilerin kimliklerini belirtecek biçimde ve
 kaydedildikleri veya yeniden işlenecekleri amaç için gerekli olan süre kadar muhafaza
 edilmesi zorunludur. Buna göre, veri kütüğü sahiplerinin, verilerin saklanma sürelerini açıkça
 belirlemeleri, gerekmektedir. Herhangi bir veri, daha fazla saklanması için geçerli bir sebep
 yoksa silinecek veya yok edilecektir. Gelecekte kullanma ihtimali gerekçesiyle veri
 saklanamaz.
 Maddenin ikinci fıkrasıyla, birinci fıkranın (d) bendine istisnalar getirilmektedir. Buna
 göre, sadece tarihi, istatistiki veya bilimsel amaçlarla, kişisel veriler (d) bendinde
 öngörülenden daha uzun bir süre saklanabilecektir.

MADDE 6- Kural olarak kişisel verilerin ilgili kişinin açık rızası ve maddede sayılan
 istisnalar dışında işlenmesi yasaktır. 95/46 EC sayılı Avrupa Birliği Direktifinin ikinci
 maddesinin (h) bendinde rızanın tanımı yapılmıştır. Buna göre rıza beyanı, ilgili kişinin
 kendisiyle ilgili veri işlenmesi fiiline, özgürce ve konuyla ilgili yeterli bilgi sahibi olarak
 verdiği ve sadece o işlemle sınırlı onay beyanıdır. Buna göre ilgili kişi, kendisine ait verilerin
 işlenmesini kabul etmektedir. Yine Direktifin 7 nci maddesine göre rıza, ilgili kişi tarafından
“tereddüde yer bırakmayacak şekilde” verilmiş olmalıdır.
 Maddenin birinci fıkrasındaki hükmün doğal sonucu olarak; kanunlarda öngörülen
 yükümlülüklerin yerine getirilmesi dışında, ilgili kişinin bir itirazda bulunması halinde veri
 işlenemeyecektir.
 Maddenin son fıkrasında ise, birinci fıkranın diğer istisnaları sayılmıştır.

MADDE 7- Maddeyle özel niteliği olan kişisel veriler sayılmakta ve genel kural
 olarak bu verilerin işlenemeyeceği düzenlenmektedir. Buna göre kişilerin ırk, siyasi düşünce,
 felsefi inanç, din, mezhep veya diğer inançları, dernek, vakıf veya sendika üyeliği, sağlık ve
 özel yaşamları ve her türlü mahkûmiyetleri ile ilgili veriler özel niteliği olan kişisel veri
 olarak kabul edilmektedir. Bu veriler, başkalarınca öğrenilmeleri halinde özellikleri gereği
 ilgili kişinin mağduriyetine yol açabilecek ve ayrımcılık tehlikesini oluşturacak nitelikte
 hassas verilerdir. Özel nitelikteki verilere dolaylı da olsa erişim imkanı veren veriler de
 madde kapsamında yerini almaktadır. Çünkü bu şekilde kişinin siyasî görüşü, dinî veya felsefî
 inancına ilişkin bilgiler bu verilerden elde edilebilecektir.
 Maddenin ikinci fıkrasıyla işlem yasağına bir kısım istisnalar getirilmektedir.
 (a) bendinde, ilgili kişinin özel nitelikteki verilerinin, hiçbir tereddüde yer
 bırakmayacak şekildeki rıza beyanının bulunması ve bu rıza beyanının yazılı olarak
 gerçekleştirilmesi hâlinde işlenmesine izin verilmektedir.
 22 (b) bendine göre, ilgili kişinin hukukî veya fiilî nedenlerle rızasını açıklayamayacak
 durumda bulunduğu hallerde, kendisinin veya bir başkasının hayatı veya beden bütünlüğünün
 korunması için veri işleminin zorunlu olması durumunda hassas verileri işlenebilecektir.
 (c) bendiyle, veri kütüğü sahiplerinin bu Kanunla veya diğer kanunlarla tanınan hak ve
 yetkilerini kullanabilmesi veya yükümlülüklerini yerine getirebilmesi için veri işlemenin
 zorunlu olması halinde veri işlemeleri düzenlenmektedir. Ancak bu halde veri kütüğü
 sahibinin ilgili kişiye yeterli koruma imkânı sağlaması gerekmektedir. Örneğin; sağlık
 konularına ilişkin olmak üzere Umumî Hıfzıssıha Kanunu ile özel nitelikteki kişisel verilerin
 işlenebilme olanağı ihdas edilmişse Sağlık Bakanlığı veya ilgili bir başka kuruluş bu verileri
 işleyebilecektir.
 (ç) bendinde, vakıf, dernek, sendika ve siyasi partiler gibi kamuya yararlı kurum ve
 kuruluşlar tarafından özel nitelikli kişisel verilerin işlenmesi düzenlenmektedir. Buna göre bu
 verilerin, ilgili kuruluşların kuruluş amaçlarına, tâbi oldukları mevzuata uygun, faaliyet
 alanlarıyla sınırlı ve üyelerine yönelik olarak işlenmesi, ilgili kişilerin rızası olmadan üçüncü
 kişilere açıklanmaması gerekmektedir.
 (d) bendine göre ilgili kişi tarafından alenen açıklanmış olan özel nitelikteki verilerin
 işlenmesi de istisnalardan biri olarak kabul edilmiştir. Çünkü ilgili kişi tarafından alenen
 açıklanan, böylelikle herkes tarafından bilinen bu tür verilerin işlenmesinde, korunması
gereken hukuki yararın ortadan kalktığı kabul edilmektedir. Yine de ikinci fıkrada belirtildiği
şekilde, bu halde dahi kişinin özel alanı ve temel hak ve özgürlükleri korunmalıdır.
 (e) bendiyle, özel niteliği olan kişisel verilerin bir hakkın tesisi, kullanılması veya
 savunması için zorunlu olması durumu istisnalar arasında sayılmıştır. Bu bentte kastedilen
 işlemler yargılama faaliyetleri veya adlî işlemler nedeniyle yerine getirilen işlemlerdir.
 (f) bendiyle tıbbi tedbirler çerçevesinde özel nitelikte verilerin işlenmesi
 düzenlenmektedir. Buna göre bu verilerin, koruyucu hekimlik, tıbbi teşhis, tedavi, bakım veya
 sağlık hizmetlerinin yürütülmesi için gerekli olması gerekmekte ayrıca bu verilerin, hukuken
 veya meslek kurallarına göre sır saklama yükümlülüğü altında bulunan sağlık personeli veya
 eşdeğer seviyede sır saklama yükümlülüğü altındaki kişilerin gözetimi altında işlenmesi
 gerekmektedir.
 Maddenin üçüncü fıkrasıyla, Kişisel Verileri Koruma Kuruluna, özel nitelikteki
 verileri işleme yasağını daraltabilecek bir düzenleme yapma imkanı tanınmaktadır. Ancak
 bunun için temel kamu yararının bulunması ve yeterli koruma tedbirlerinin tespit edilmesi
 gerekmektedir.
 Maddenin diğer fıkralarıyla da işlem yasağına bir takım istisnalar getirilmektedir.

MADDE 8- Kural olarak kişisel veriler üçüncü kişilere aktaramaz. Ancak bu kuralın
 istisnası maddede bentler halinde sayılmıştır.
 Birinci fıkranın (a) bendine göre, aktarma talebinde bulunan gerçek ve tüzel kişilerin
 belirli bir olayda kanundan doğan görevini yerine getirmesi için bu bilgiye ihtiyaç duyması
halinde kişisel veriler, üçüncü kişiye aktarılabilecektir.
 (b) bendiyle hukuka uygunluk sebeplerinin varlığı halinde kişisel verilerin üçüncü
 kişiye aktarılabileceği düzenlenmiştir.
 Maddenin üçüncü fıkrasında kamu kurum veya kuruluşlarının kamu yararı, sır
 saklama yükümlülüğü, ilgili kişinin meşru menfaati veya kişisel verilere ilişkin özel koruma
 kurallarının varlığından bahisle kişisel verilerin, üçüncü kişilere aktarılmasını reddetmesini,
 sınırlamasını veya şarta bağlamasını mümkün kılan bir düzenleme getirilmiştir. Bu halde
 Kurul, fıkrada belirtilen hallerin varlığını değerlendirecektir.
 23 Maddenin son fıkrasına göre; kamu kurum veya kuruluşlarının görev alanlarıyla ilgili
 konularda yapacakları talep üzerine, gizlilik esaslarına göre görev yapan personelin bilgileri
 hariç olmak üzere, kişilerin nüfus kayıt örnekleri ve adresleri bildirilebilecektir.

MADDE 9- Maddede, kişisel verilerin anonim hale getirilmesi veya yok edilmesi ile
 ilgili hükümlere yer verilmiştir. Örneğin, İsviçre Veri Koruma Kanununun 2 nci maddesinde
 de aynı konu düzenlenmiştir.
 Verilerin anonim hale getirilmesi veya yok edilmesi konusunda usul ve esasların
 Kurulca hazırlanan yönetmelikte gösterilmesi madde ile hüküm altına alınmıştır.

MADDE 10- Maddeyle kişisel verilerin işlenmesinde hukuka uygunluk sebeplerinden
 birisi olarak kabul edilen bir düzenleme yapılmaktadır. Buna göre kişisel veriler, araştırma,
 planlama ve istatistik gibi kamuya yönelik amaçlarla anonim hale getirilmesi kaydıyla
 işlenebilecek ve aynı zamanda bu suretle elde edilen veriler üçüncü kişilere aktarılabilecek
 veya yayınlanabilecektir.

MADDE 11- Maddeyle, Direktifin 10 uncu maddesi düzenlemesi esas alınmak
 suretiyle, kişisel verilerin elde edilmesinde veri kütüğü sahibinin aydınlatma yükümlülüğü
 düzenlenmiştir. Düzenleme ile kişisel verileri işleyen veri kütüğü sahibi; kendisinin veya
 varsa temsilcisinin kimliği, işleme amacı, verilerin kimlere aktarılabileceği, veri toplamanın
 yöntemi, hukuki sebebi ve muhtemel sonuçları hakkında ilgili kişiyi bilgilendirir. Ayrıca
 verilerin daha sonraki kullanımları hakkında da ilgili kişiye bilgi verilmeli, böyle bir
 kullanıma izin verip vermeyeceği konusunda iradesi alınmalıdır. Yine eğer veri kütüğü sahibi,
 kişisel verileri daha sonraki bir zamanda, elindeki mevcut verileri elde ettiği esnada
 belirtmediği bir amaç için kullanacaksa, bununla ilgili olarak ilgili kişiye bilgi vermeli ve bu
 konudaki rızasını almalıdır. Bu sayede veri kütüğü sistemi sahibi veri korumasında önemli
 kriterler olan şeffaflık ve ilgili kişinin açık rızasını elde etmeyi gerçekleştirmiş olacaktır.
 Maddenin (d) ve (e) bentlerinde, veri toplanması sırasında, ilgili kişilerin kişisel
 verileri öğrenme hakkı ve verilerin gerçeğe aykırı olması veya güncel olmaması halinde ise
 düzeltme hakkının olduğu belirtilmiştir.
 Kişisel verilerin, veri kütüğü sahibi tarafından, ilgili kişi dışındaki başka kaynaklardan
 elde edilmesi halinde ise yukarıda sayılan bilgilerle birlikte işleme konu olan veri kategorileri
 hakkında da bilgi verilmesi gerekmektedir.
İkinci fıkraya göre, kişisel verilerin istatistikî, tarihî veya bilimsel araştırma yapılması
amacıyla, başka bir veri kütüğünden edinilmesinde, ilgili kişiye bilgi verilmesinin imkansız
 olması yada bu bilgilerin verilmesinde büyük güçlükler bulunması veya verilerin
 aktarılmasının açıkça kanunla öngörüldüğü hallerde, veri kütüğü sahipleri birinci fıkrada
 sayılan yükümlülüklerden muaf tutulmaktadır.

MADDE 12- Maddeyle, ilgili kişinin hakları düzenlenmiştir. İlgili kişi kendisiyle ilgili
 kişisel veri kaydedilip kaydedilmediğini öğrenme, bunları isteme, verinin muhtevasının eksik
 veya gerçeğe aykırı olması hallerinde bunların düzeltilmesini, hukuka aykırı olması halinde
 silinmesini, yok edilmesini veya aktarımının engellenmesini isteme hakkına sahiptir. İlgili kişi
 aynı zamanda talebi doğrultusunda yapılan işlemlerin, verilerin açıklandığı üçüncü kişilere
 bildirilmesini isteme hakkına sahiptir.
 Ayrıca bilgi edinmedeki aralıkların uygun olup olmadığının değerlendirilmesi ise
 verilerin niteliğine göre yapılacaktır. Yine toplanan verilerin doğrudan pazarlama amacıyla
 24kullanılması da öngörülüyorsa, bu konuda da ilgili kişiye itiraz hakkı tanınması ve konuyla
 ilgili bilgi verilmesi gerekmektedir.
 Veri kütüğü sahibi, kendisinden talepte bulunulması halinde, ilgili kişiye ait bilgileri,
 bunların işlenmesinin hukuki dayanağını ve amacını, hangi tür işlemlerin üçüncü kişilere
 aktarılabileceğini ve aktarılacak kişilerin kimliklerini bildirmek zorundadır. Verilerin
 kaynağının açıklanmasında genel bir ifade yeterli olmayacak, bilginin kaynağı somut olarak
 açıklanacaktır. Özellikle verilerin otomatik yollarla işlenmesinde ilgili kişilerin teknik
 bilgiden yoksun olma ihtimali gözetilerek, kişilerin anlayabileceği şekilde bilgi verilmesi
 gerekmektedir.
 Veri kütüğü sahibi bu verilerin muhtevasının eksik veya gerçeğe aykırı olması
hallerinde düzeltmekle, hukuka aykırı olması halinde silmek, yok etmek veya ilgili kişi
 hakkında veri işlemesini durdurmak ve üçüncü kişilere aktarımını engellemekle yükümlü
 olacaktır. Verilerin yok edilmesi, otomatik olmayan yollarla veri işlenmesi halinde ilgili
 evrakların imhası, otomatik yollarla veri işlenmesi halinde verilerin veya ilgili kişiyle
 doğrudan ilişkilendirilmeyi sağlayacak bilgilerin kayıtlı olduğu CD, disket, USB disk, hard
 disk gibi araçlardan silinmesi veya diğerlerinden ayrıştırılarak yok edilmesi şeklinde
 gerçekleştirilecektir.
 Maddenin üçüncü fıkrasıyla, ilgili kişilerin maddede sayılan haklarını kullanmalarına
 ilişkin olarak istisnalar getirilmektedir. Buna göre ilgili kurumlar, maddede sayılan hakların
 kullanılması halinde (a) bendinde belirtilen görevlerin yerine getirilmesi veya yürütülen ceza
 soruşturmaları veya kovuşturmalarının akıbetinin tehlikeye düşmesi durumunda ilgili kişilerin
 bu hakları kullanmalarını sınırlayabileceklerdir.

MADDE 13- Maddenin birinci fıkrasında 12 nci maddeye göre kullanılacak başvuru
 hakkının usulü gösterilmektedir.
İkinci fıkrada ise, birinci fıkraya göre yapılan başvurulara, ilgili veri kütüğü
 sahiplerinin hiç veya yeterli cevap vermemesi nedeniyle başvurulacak itiraz yolu
 belirtilmektedir.
 Üçüncü fıkrayla, 4982 sayılı Bilgi Edinme Hakkı Kanunu paralelinde, başvurudan
 kaynaklanan masrafların karşılanmasına yönelik bir düzenleme öngörülmektedir.

MADDE 14- Maddeyle, Direktifin 25 ve 26 ncı maddeleri dikkate alınarak, kişisel
 verilerin yurtdışına aktarımı düzenlenmektedir. Kural olarak, kişisel verilerin Türkiye
 dışındaki bir ülkeye aktarılabilmesi için yabancı ülkede de, ülkemizdekine eşdeğer ve etkin
 bir korumanın bulunması gerekecektir. Veri kütüğü sahipleri ilgili ülkede yeterli düzeyde
 koruma olup olmadığını kontrol etmek zorundadır. Bu değerlendirme, işleme konu verinin
 niteliği, veri işlemenin amacı ve işleme süresi, verinin aktarıldığı ülkenin konuyla ilgili genel
 ve özel düzenlemeleri ile uygulanan güvenlik tedbirleri dikkate alınarak yapılacaktır.
 Maddenin ikinci fıkrasıyla bu kuralın istisnaları düzenlenmektedir. Üçüncü fıkraya
 göre, kişilerin özel hayatlarının gizliliği ile temel hak ve hürriyetlerin korunmasına ilişkin
 yeterli tedbirlerin, yabancı ülkede bulunan veri kütüğü sahibi tarafından yazılı olarak taahhüt
 edilmesi durumunda, ilgili veriler Kurulun izniyle aktarılabilecektir.
 Son fıkrayla göre ise Kurulun üçüncü fıkraya göre karar alırken dikkate alması
gereken kriterler belirlenmektedir.

MADDE 15- Maddeyle Sözleşmenin 7 nci ve Direktifin 17 nci maddesine uygun
 olarak kişisel verilerin işlenmesine ilişkin alınacak teknik ve idarî tedbirler düzenlenmiştir.
 25 Maddede kişisel verileri kontrol edenlerin ve onlar adına işleyenlerin, kişisel verilerin
 işlenmesinde uygun teknik ve idari tedbirleri almak zorunda oldukları belirtilmiştir. Bu
 tedbirler, teknolojinin ulaştığı en üst düzey ve uygulanma maliyeti de dikkate alınarak,
 korunacak verinin niteliğine ve işlenmeden kaynaklanabilecek risklere karşı uygun bir
 güvenlik seviyesi sağlamalıdır. Bu idarî tedbirler arasında kişisel verilerin korunması
konusunda uygun idarî personel istihdam edilmesi de bulunmaktadır.
 Maddenin ikinci fıkrasına göre, verilerin veri kütüğü sahibi adına başka bir işleyen
 tarafından işlenmesi halinde, iki taraf arasında bir sözleşme veya hukukî bir tasarrufla yazılı
olarak birinci fıkrada belirtilen yükümlülüklerin yerine getirilmesinin garanti altına alınması
gerekmektedir. Bu halde veri işleyenler, ancak veri kütüğü sahibinin talimatları doğrultusunda
 veri işleyebileceklerdir.

MADDE 16- Maddeyle, Kurul tarafından, kişisel veri işleyen veri kütüğü
 sahiplerinin tescil edileceği bir sicilin oluşturulması öngörülmektedir. Kişisel veri işleyen
 gerçek kişiler ile kamu ve özel hukuk tüzel kişileri, veri kütüğünü kurmadan önce bu Sicile
 kaydolmak zorundadırlar. Ancak 22 nci maddede sayılan istisnalar saklıdır. Söz konusu
 Sicilin içeriği, aynı zamanda kayıt başvurusunda verilecek olan bildirim içeriğinde bulunan
 ve 17 nci maddede belirtilen bilgilerden oluşacaktır.

MADDE 17- Maddede veri kütüğü sahipleri tarafından Sicile kayıt esnasında
 bildirilecek hususlar sayılmıştır. Ayrıca söz konusu bilgilerde meydana gelen değişikliklerin,
 yıl sonunda toplu olarak Kurula bildirilmesi öngörülmektedir.

MADDE 18- Direktifin 18 inci maddesine uygun olarak hangi hallerde bildirim
 zorunluluğunun bulunmadığı düzenlenmiştir. Bu şekilde Kurulun aşırı bir iş yüküyle
 karşılaşmasının engellenmesi amaçlanmaktadır.

MADDE 19- Maddede, Direktifin 20 nci maddesi göz önüne alınarak Kurulun, veri
 konusu kişilerin kişiliklerine, temel hak ve hürriyetlerine yönelik risk taşıması ihtimali olan ve
 bu Kanunun 5 inci maddesinde belirtilen niteliklere uygun olmayan ve 6 ncı ve 7 nci
 maddelerinde belirtilen koşulları taşımayan veri işlenmelerini belirlemek üzere, bu işlenmeler
 başlamadan önce ön inceleme yapması konusu ve buna ilişkin usul düzenlenmiştir. Kural
 olarak, ön inceleme sonuçlanmadan kişisel veri işlemesinin yapılamayacağı esası getirilmiştir.
 Maddeyle kişilerin temel hak ve özgürlüklerine önemli ölçüde zarar verebilecek
 işlemelerin önceden tespit edilerek engellenmesi amaçlanmaktadır. Buna göre işlenen verinin
 niteliği, işleme amacı, verinin dahil olduğu kategori ve ortaya çıkacak sonuçlar
 değerlendirilecektir.

MADDE 20- Maddeyle özellikle veri kütüğü sahibi tüzel kişilere, Kanunda bahsi
 geçen veri koruma kurallarının kendi kurumlarında etkin bir şekilde uygulanmalarını
sağlamak ve bir iç denetim mekanizması kurmalarını mümkün kılmak amacıyla bağımsız bir
 veri denetim kuruluşu görevlendirme imkânı verilmektedir. Aynı zamanda ilgili veri kütüğü
 sahipleri, 16 ve devamı maddelerinde belirtilen bildirim külfetinden kurtulacaklardır.
 Maddeye göre, Kanunun hedeflediği veri koruma standartlarının yerine getirilmesi
 için, söz konusu denetim kuruluşlarının kendilerini atayan veri kütüğü sahibinden talimat
 almaksızın, bağımsız olarak görevlerini yerine getirmeleri öngörülmektedir. Buna göre
 26denetim kuruluşları 16 ncı maddede öngörülen Sicili tutacaklar ve yaptıkları çalışmalar
 hakkında hazırlayacakları raporları her yıl Ekim ayı sonuna kadar Kurula sunacaklardır.
 Hâlen mevcut bir bağımsız denetim kuruluşu olmamakla birlikte, söz konusu
 düzenlemenin geleceğe yönelik olarak, özellikle büyük şirketler veya şirket gruplarına veri
 koruma prosedürlerini daha etkin ve kolay bir şekilde yerine getirme imkanını sağlayacağı
öngörülmektedir.

MADDE 21- Maddeyle 20 nci maddede belirtilen denetim kuruluşunun görevine
 başlayabilmesi için Kurula bildirimde bulunulmasının zorunlu olduğu belirtilmiş, bu
 kuruluşlar veya veri kütüğü sahipleri tarafından yapılabilecek suiistimallerin engellenmesi
 için, Kurulun Kanundan doğan yetki ve görevleri saklı tutulmuştur.

MADDE 22- Maddede, Direktifin 13 üncü maddesi göz önüne alınarak genel
 kurallara getirilen istisnalara bentler halinde yer verilmiştir. Buna göre birinci fıkrada bentler
 halinde sayılan durumlarda Kanunun; hukuka uygunluk sebepleri, aydınlatma yükümlülüğü,
 Veri Kütüğü Sicili, Sicile kayıt ve ön inceleme konularıyla ilgili maddeleri
 uygulanmayacaktır.
 Özellikle belli bir kişiye ilişkin tedbir veya karar alınmasına yönelik kullanılmadığı
ve veri konusu kişinin özel yaşamının gizliliğinin ihlal edilmesi riskinin kesinlikle
 bulunmadığı hallerde, 12 nci maddede belirtilen haklar, ilgili mevzuatta yeterli koruma
 tedbirleri bulunması kaydıyla, bilimsel araştırma yapma veya istatistik oluşturma amaçları ile
 kanunla sınırlandırılabilecektir.
 Direktifin 13 üncü maddesi, yukarıda sayılan istisnaların tanınması bakımından üye
 ülkelere imkân tanımakta olup, üye ülkelerin büyük çoğunluğu, kendi veri koruma
 kanunlarında bu tip istisnaî düzenlemelere yer vermişlerdir.

MADDE 23- Maddeyle, 22 nci maddede sayılan istisnalar dışında, gazetecilik
 amacıyla kişisel veri işlenmesi durumunda bir kısım istisnalar öngörülmektedir. Buna göre,
 maddede belirtilen veri kütüğü sahipleri, sadece gazetecilik amacıyla veri işlemeleri halinde
 Kanunun; kişisel verilerin işlenmesi ilkeleri, verilerin korunması için alınacak tedbirler ile
 mesleki davranış kurallarının hazırlanması konularına ilişkin maddelerine tabi olacaklardır.
 Maddenin ikinci fıkrasıyla, birinci fıkrada tanınan muafiyetin sınırları tespit
 edilmektedir.

MADDE 24- Maddede kişisel verilerin işlenmesi bakımından meslekî davranış
kuralları düzenlenmiştir. Direktifin 27 nci maddesi göz önüne alınmış olup, değişik
 sektörlerde farklı özelliklere sahip mesleklere yönelik olarak, kişisel verilerin işlenmesi
 bakımından hazırlanan veya değiştirilen mes1ekî davranış kurallarına ilişkin düzenleme
 taslakları hakkında Kuruldan görüş alınması öngörülmüştür.

MADDE 25- Madde, Sözleşmenin de öngördüğü genel bir ilkeyi tekrarlamaktadır.
 Bu hükümle artık ihtiyaç duyulmayan kişisel verilerin silinmesi veya yok edilmesi konusu
 düzenlenmektedir.
 Ayrıca, silinme veya yok edilmenin hangi yöntemlerle gerçekleştirileceği konusunda
 Kurulca, her sektörün özellikleri göz önünde tutularak özel kuralları içerecek yönetmelik
 hazırlanması olanağı tanınmıştır.

27MADDE 26- Maddeyle, kişisel verileri kontrol edenleri denetlemek ve Kanunla
 verilen görevleri yapmak üzere Kişisel Verileri Koruma Kurulunun oluşturulması
öngörülmektedir.
 Sözleşmenin 4 üncü maddesi her devletin Sözleşmede öngörülen ilkeleri iç
 hukuklarında yaşama geçirmesini zorunlu kılmıştır. Sözleşmeyi onaylayan devletler bu
 amaçla birer kurumsal yapı oluşturmuşlardır. Aynı şekilde Avrupa Komisyonunun söz
 konusu 95/46/EC sayılı Direktifinin 28 inci maddesinde üye devletlerin, kişisel verilerin
 işlenmesine ilişkin ilkelerin uygulanmasını izlemek ve yönlendirmek üzere bir veya bir kaç
 kamu kuruluşunu görevlendirmeleri gereğine işaret edilmiştir.
 Avrupa Birliği üyesi ülkelerin tümünün, bu alanda yasama veya yürütme organlarına
 karşı bağımsız bir şekilde görev yapacak kurullar oluşturduğu gözlenmiştir. Örneğin,
 Almanya’da, Federal Verileri Koruma Görevlisi (Bundesbeauftragter für Datenschutz),
 Avusturya’da Verilerin Korunması Komisyonu (Kommission für Datenschutz), İsveç’te
 Verileri Denetim Kurulu (Data Inspection Board), Fransa’da Enformatik ve Özgürlükler Milli
 Komitesi (Commission Nationale de 1 ‘Informatique et des Libertes), İngiltere’de Veri
 Koruma Komisyonu (Data Protection Commissioner) gibi kuruluşlar, milli kanunlar ve
 sözleşmelerde yer alan verilerin korunması ilkelerinin uygulanmasını izleyen ve yönlendiren
 bağımsız kuruluşlardır.

MADDE 27- Maddede Kurulun oluşum biçimi, Kurul üyeliklerine seçileceklerde
 aranan nitelikler belirtilmiştir.
 Kişisel Verileri Koruma Kurulu, Kanunda öngörülen hükümlerin, kişisel veri
 sicillerini kontrol eden kamu kurum veya kuruluşlarınca uygulanmasını izleyip denetleyecek,
 ayrıca kendiliğinden veya başvuru üzerine herhangi bir konuyu inceleyerek açıklığa
 kavuşturacaktır. İnceleme sonucunda kanun hükümlerinin ihlal edildiğinin anlaşılması
halinde, Kurul, sorumlulardan kişisel verilerin işlenme tarzında değişiklik yapılmasını veya
 işlemeyi sona erdirmesini ve gerekiyorsa silinmesini ya da yok edilmesini isteyecektir.

MADDE 28- Maddeyle Kurul üyelerinin görev süreleri, üyeliğin sona ermesi
 halinde yeni üye seçimi ve yapılacak işlemler düzenlenmektedir.

MADDE 29- Maddeyle Kurul üyelerinin edecekleri yemin usulü düzenlenmiştir.

MADDE 30- Maddeyle, Kurulun çalışma esasları düzenlenmiştir.

MADDE 31- Maddede Kurulun görev ve yetkileri sayılmıştır.

MADDE 32- Maddede şikâyet başvurusunun usulü gösterilmektedir. Buna göre
 ilgili kişiler, şikâyet konusu işlemin yapıldığı veya öğrenildiği tarihten itibaren üç ay içinde
 Kurula şikayette bulunabileceklerdir.

MADDE 33- Maddede, Kurulun şikâyetleri inceleme usulü ve bu inceleme
 neticesinde yapacağı işlemler ile veri kütüğü sahibinin Kurul incelemesi ile ilgili olarak
 yükümlülükleri düzenlenmektedir.
 Maddenin son fıkrasıyla Kurula, geçici tedbir mahiyetinde veri işlenmesini veya yurt
 dışına veri aktarımını engelleme imkânı tanınmaktadır.
 28
 MADDE 34- Sözleşmenin 10 uncu maddesinde, onaylayan devletlerin, Sözleşmede
 öngörülen ilkelerin gereken şekilde uygulanabilmesini sağlamak üzere, iç hukuklarında etkin
 yaptırımlar öngörmeleri belirtilmiştir. Aynı şekilde, söz konusu 95/46/EC sayılı Avrupa
 Topluluğu Direktifinin 11 inci Bölümünde, üye devletler, ilkelerin ihlâli halinde yaptırımlar
 uygulamaya davet edilmektedir. Nitekim, mevzuatı incelenen devletlerde, kişilik hakları
ihlalinin ağırlık derecesine göre, para veya hürriyeti bağlayıcı cezalar verildiği gözlenmiştir.
 Buna göre, maddede 5237 sayılı Türk Ceza Kanununun 135 ve devamı maddelerine
 paralel olarak ceza hükümleri öngörülmüştür.

MADDE 35- Maddede Türk Ceza Kanununda düzenlenmeyen silinmesi veya yok
 edilmesi gereken kişisel verileri ihmalen silmeyen veya yok etmeyen kişiler için ceza
 yaptırımı öngörülmektedir.

MADDE 36- 5237 sayılı Türk Ceza Kanununa paralel bir şekilde, daha önceki
 maddelerde tarif edilen suçların tüzel kişiler tarafından işlenmesi halinde, tüzel kişilere özgü
 güvenlik tedbirlerinin uygulanması öngörülmektedir.

MADDE 37- Maddede, Kurul tarafından idarî para cezaları verilmesi
 düzenlenmiştir. Kanunun ilgili maddelerine belirli atıflar yapılmak suretiyle, suçta kanunîlik
 ilkesi korunmuş ve ihlalin ağırlık derecesine göre giderek artan para cezaları öngörülmüştür.

MADDE 38- Maddenin birinci fıkrasında yıllık faaliyet raporu düzenlenmiştir. Buna
 göre, Kurul, açıklık ilkesinin gereği olarak, her yıl vermiş olduğu kararlar, yaptığı
düzenlemeler ve bunların etkilerini analiz eden bir rapor hazırlayacaktır. Yine bu ilkenin
 gereği olarak söz konusu raporun ve Kurul kararlarının erişime açılması öngörülmüştür.

MADDE 39- Maddeyle Kanunun uygulanmasına ilişkin yönetmeliklerin
 Başbakanlık tarafından yürürlüğe konulması öngörülmüştür.

GEÇİCİ MADDE 1- Maddeyle, halen veri işlemekte olan veri kütüğü sahiplerinin
 sicile kayıt olmaları süre öngörülmekte ve bu şekilde veri kütüğü sahiplerinin gerekli
 hazırlıkları yapabilmesi için imkân tanınmaktadır.

MADDE 40- Yürürlük maddesidir.

MADDE 41- Yürütme maddesidir

Avatar
Adınız
Yorum Gönder
Kalan Karakter:
Yorumunuz onaylanmak üzere yöneticiye iletilmiştir.×
Dikkat! Suç teşkil edecek, yasadışı, tehditkar, rahatsız edici, hakaret ve küfür içeren, aşağılayıcı, küçük düşürücü, kaba, pornografik, ahlaka aykırı, kişilik haklarına zarar verici ya da benzeri niteliklerde içeriklerden doğan her türlü mali, hukuki, cezai, idari sorumluluk içeriği gönderen Üye/Üyeler’e aittir.
Avatar
ibo 2 yıl önce

Bu kurulda görev almak istiyorum.SAYGILARIMLA