Kişisel verilerin korunması tasarısı TBMM'de

KİŞİSEL VERİLERİN KORUNMASI KANUNU TASARISI

BİRİNCİ BÖLÜM Amaç, Kapsam ve Tanımlar

Amaç

MADDE 1- (1) Bu Kanunun amacı, kişisel verilerin işlenmesinde kişinin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları usul ve esasları düzenlemektir.

Kapsam

MADDE 2- (1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen, otomatik olan veya olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Tanımlar

MADDE 3- (1) Bu Kanunun uygulanmasında;

a) Anonim hale getirme: Kişisel verilerin, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,

b) Genel Sekreterlik: Kişisel Verileri Koruma Kurulu Genel Sekreterliğini,

c) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

ç) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

d) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen, otomatik olan veya olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

e) Kurul: Kişisel Verileri Koruma Kurulunu,

f) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

g) Veri kayıt sistemi: Kişisel verilere ulaşımı kolaylaştıracak şekilde, belirli bir kritere göre yapılandırılmış kayıt sistemim,

ğ) Veri sorumlusu: Birim, kurum veya kuruluşlarda veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

ifade eder.

İKİNCİ BÖLÜM Kişisel Verilerin İşlenmesi

Genel ilkeler

MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olmak.

b) Doğru ve gerektiğinde güncel olmak.

c) Belirli, açık ve meşru amaçlar için işlenmek.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmak.

d) İşlendikleri amaç için gerekli olan süre kadar muhafaza edilmek.

Kişisel verilerin işlenme şartlan

MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

(2) Aşağıdaki şartlardan en az birinin varlığı hailinde, ilgili kişinin açık nzası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

Özel nitelikli kişisel verilerin işlenme şartlan

MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, demek, vakıf ya da sendika üyeliği, sağlığı veya cinsel hayatıyla ilgili verileri, özel nitelikli kişisel veriler olup bunların işlenmesi yasaktır.

(2) Birinci fıkrada belirtilen kişisel verilerin, yeterli önlemlerin alınması şartıyla, aşağıda sayılan hallerde işlenmesi mümkündür:

a) İlgili kişinin açık rızasının bulunması.

b) Kanunlarda açıkça öngörülmesi.

c) Siyasi parti, vakıf, demek veya sendika gibi kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik verilerin işlenmesi.

ç) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

d) Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu

olması.

e) Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenmesi.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

MADDE 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

(2) Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

(3) Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanun hükümleri saklıdır.

Kişisel verilerin aktarılması

MADDE 8- (1) Kişisel veriler, ilgili kişinin açık nzası olmaksızın üçüncü kişilere ve yurtdışına aktarılamaz.

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin ikinci fıkrasının (b), (ç), (d) ve (e) bentlerinde belirtilen hallerden en az birinin bulunması kaydıyla;

a) Üçüncü kişilere,

b) İlgili yabancı ülkede yeterli korumanın bulunması koşuluyla yurtdışına,

ilgili kişinin açık nzası aranmaksızın aktarılabilir.

(3) İkinci fıkra uyarınca kişisel verinin aktarılacağı yabancı ülkede yeterli koruma bulunmaması halinde kişisel veriler ancak;

a) İlgili kişinin açık rızasının bulunması,

b) Türkiye'deki ve kişisel verinin aktarılacağı yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kurulun izninin bulunması,

hallerinde yurtdışına aktarılabilir.

(4) 6 ncı maddenin ikinci fıkrasının (c) bendinde belirtilen kişisel veriler ancak;

a) Kanunlarda açıkça öngörülmesi,

b) İlgili kişinin açık rızası ile Kurulun izninin birlikte bulunması,

hallerinde üçüncü kişilere ve yeterli koruma bulunması koşuluyla yurtdışına aktarılabilir.

(5) Yabancı ülkede yeterli koruma bulunup bulunmadığı Kurulca belirlenerek ilan

edilir.

(6) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve üçüncü ve dördüncü fıkralar uyarınca izin verilip verilmeyeceğine;

a) Taraf olduğumuz uluslararası sözleşmeleri,

b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,

c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

ç) Kişisel verinin aktarılacağı ülkede uygulanan konuyla ilgili mevzuatı,

d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,

değerlendirmek ve gerektiğinde ilgili kamu kurum ve kuruluşlarının görüşünü de almak suretiyle karar verir.

(7) Kişisel verilerin üçüncü kişilere ve yurtdışına aktarımına ilişkin, ilgili kanunlarda yer alan hükümler saklıdır.

ÜÇÜNCÜ BÖLÜM Haklar ve Yükümlülükler

Veri sorumlusunun aydınlatma yükümlülüğü

MADDE 9- (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu, ilgili kişilere;

a) Kendisinin ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) 10 uncu maddede sayılan diğer haklan,

konusunda bilgi vermekle yükümlüdür.

(2) Kişisel verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesi halinde veri sorumlusu, ilgili kişiyi aynca bilgilendirmekle yükümlüdür.

İlgili kişinin haklan

MADDE 10- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenmek,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek,

c) Kişisel verilerin işlenme amacım ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,

ç) Yurtiçinde veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilmek,

d) Kişisel verilerin eksik veya yanlış olması halinde bunların düzeltilmesini istemek,

e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini istemek,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,

g) İşlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,

ğ) Kişisel verilerin kanuna aykın olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek,

haklarına sahiptir.

Veri güvenliğine ilişkin yükümlülükler

MADDE 11- (1) Veri sorumlusu;

a) Kişisel verilerin hukuka aykın olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykın olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini sağlamaya yönelik gerekli tedbirleri almak zorundadır.

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

(3) Veri sorumlusu, kendi birim, kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

(4) Veri sorumlulan ile veri işleyen kişiler öğrendikleri kişisel verileri bu Kanun hükümlerine aykın olarak başkasına açıklayamaz ve kendi şahsi çıkarlan için kullanamazlar. Bu yükümlülük görevden aynlmalanndan sonra da devam eder.

(5) İşlenen kişisel verilerin kanuni olmayan yollardan başkalan tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan edebilir.

DÖRDÜNCÜ BÖLÜM Başvuru, Şikayet ve Sicil

Başvuru

MADDE 12- (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak ya da Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.

(2) Veri sorumlusu, başvuruda dile getirilen talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde, ücretsiz olarak veya işlemin aynca bir maliyeti gerektirmesi halinde Kurulca uygun görülen bir ücret karşılığında yerine getirir ya da gerekçesini açıklayarak reddeder.

Şikayet

MADDE 13- (1) İlgili kişi, başvurusunun veri sorumlusu tarafından reddedilmesi veya cevap verilmemesi ya da cevabı yetersiz bulması hallerinde otuz gün içinde Kurula şikayette bulunabilir.

(2) 12 nci madde uyarınca veri sorumlusuna başvuru yolu tüketilmeden şikayet yoluna başvurulamaz.

(3) Şikayet tarihinden itibaren dört ay içinde cevap verilmediği takdirde talep reddedilmiş sayılır.

(4) Kişilik haklan ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.

İncelemenin usul ve esasları

MADDE 14- (1) Kurul, şikayet üzerine veya resen bu Kanunun uygulanmasıyla ilgili konularda gerekli incelemeyi yapar.

(2) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartlan taşımayan ihbar veya şikayetler incelemeye alınmaz.

(3) Veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri onbeş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkan sağlamak zorundadır. Devlet sim niteliğindeki bilgi ve belgeler Kurula gönderilmez. Ancak bu bilgi ve belgeler, Kurul Başkam veya görevlendireceği bir üye tarafından yerinde incelenebilir.

(4) Kurul, şikayet üzerine yapacağı incelemeleri iki ay içinde tamamlar. Ancak hukuki veya fiili sebeplerle bu süre içinde incelemenin sonuçlandınlamaması halinde süre, bir defaya mahsus olmak üzere iki ay daha uzatılmış sayılır.

(5) Şikayet üzerine veya resen yapılan inceleme sonucunda, bu Kanun hükümlerinin ihlal edildiğinin anlaşılması halinde Kurul, tespit ettiği hukuka aykınlıklann ilgili veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.

(6) Şikayet üzerine veya resen yapılan inceleme sonucunda, . kanuna aykın uygulamanın yaygın olduğunun tespit edilmesi halinde Kurul, bu konuda ilke karan alır ve bu karan yayımlar.

(7) Kurul, telafisi güç veya imkansız zararlann doğması ihtimali ve açıkça hukuka aykınlık halinde, veri işlenmesinin veya verinin yurtdışına aktanlmasının durdurulmasına karar verebilir.

(8) İlgililer, Kurulca verilen kararlara karşı idare mahkemelerinde dava açabilirler.

Veri Sorumluları Sicili

MADDE 15- (1) Genel Sekreterlik tarafından kamuya açık olarak bir Veri Sorumlulan Sicili tutulur.

(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Sicile kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktanlma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Sicile kayıt zorunluluğuna istisna getirilebilir.

(3) Sicile kayıt başvurusu aşağıdaki hususlan içeren bir bildirimle yapılır:

a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.

b) Kişisel verilerin hangi amaçla işleneceği.

c) Kişisel veri konusu kişi grubu ve gruplan ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.

ç) Kişisel verilerin aktanlabileceği alıcı veya alıcı gruplan.

d) Yabancı ülkelere aktanmı öngörülen kişisel veriler. 'T

f * ^

e) Kişisel veri güvenliğine ilişkin alınan tedbirler.

(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhal Genel Sekreterliğe bildirilir.

(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.

BEŞİNCİ BÖLÜM Suçlar ve Kabahatler

Suçlar

MADDE 16- (1) Bu Kanun hükümlerine aykın olarak; kişisel verileri ele geçiren, kaydeden, bir başkasma veren veya yayanlar ya da yok etmeyenler 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun ilgili hükümlerine göre cezalandırılır.

(2) Bu Kanun hükümlerine aykırı olarak kişisel verileri depolayan, muhafaza eden, değiştiren, yeniden düzenleyen, açıklayan, elde edilebilir hale getiren, sınıflandıran ya da kullanılmasını engelleyen veya üçüncü kişilere aktaranlar Türk Ceza Kanununun 135 inci maddesine göre cezalandırılır.

(3) 7 nci madde hükümlerine aykın olarak; kişisel verileri silmeyen veya anonim hale getirmeyenler Türk Ceza Kanununun 138 inci maddesine göre cezalandırılır.

(4) Bu maddede tanımlanan veya yollamada bulunulan suçların, bir tüzel kişinin faaliyeti çerçevesinde işlenmesi halinde, ilgili tüzel kişi hakkında, Türk Ceza Kanununun tüzel kişilere özgü güvenlik tedbirlerine hükmolunur.

Kabahatler

MADDE 17- (1) Bu Kanunun;

a) 9 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 1.000 Türk Lirasından 100.000 Türk Lirasına İcadar,

b) 11 inci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 10.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,

c) 14 üncü maddesi uyarınca Kurul tarafından verilen kararlan yerine getirmeyenler hakkında 10.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,

ç) 15 inci maddesinde öngörülen Sicile kayıt ve bildirim yükümlülüğüne aykın hareket edenler hakkında 10.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,

idari para cezası verilir.

(2) Bu maddede öngörülen idari para cezalan veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşlan ile kamu kurumu niteliğindeki meslek kuruluşlan bünyesinde işlenmesi halinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlannda görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır.

ALTINCI BÖLÜM Kişisel Verileri Koruma Kurulu

Kişisel Verileri Koruma Kurulu

MADDE 18- (1) Bu Kanunla ve diğer mevzuatla kişisel verilere ilişkin verilen görevleri yerine getirmek üzere, Kişisel Verileri Koruma Kurulu kurulmuştur.

(2) Kurul, görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirir ve kullanır.

(3) Kurulun ilişkili olduğu bakanlık Adalet Bakanlığıdır.

(4) Kurul, genel bütçe içinde kendi bütçesiyle yönetilir.

Kurulun görevleri

MADDE 19- (1) Kurulun görevleri şunlardır:

a) Kişisel verilerin bu Kanun hükümlerine uygun olarak işlenip işlenmediğine ilişkin ihbar veya şikayet üzerine ya da resen inceleme ve denetleme yapmak veya yaptırmak.

b) İlgili kişi bakımından telafisi güç veya imkansız bir zararın doğması ihtimalinin bulunması halinde geçici önlemler almak.

c) Kişisel verilerin işlenmesine ilişkin konularda düzenleyici işlemleri hazırlamak.

ç) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat hakkında görüş bildirmek.

d) Kişisel veri koruma hukuku alanında ulusal ve uluslararası kurum ve kuruluşlarla işbirliği yapmak.

e) Bu Kanunda öngörülen idari yaptırımlara karar vermek.

f) Veri koruma hukuku alanındaki gelişmeleri takip etmek, araştırma ve incelemeler ile eğitim faaliyetleri yapmak veya yaptırmak.

g) Kanunlarla verilen diğer görevleri yapmak.

(2) Kurul, altı aylık dönemler itibarıyla hazırlanıp onaylanmış faaliyet raporunu ilişkili olduğu Bakana, yıllık faaliyet raporunu ise Bakanlar Kuruluna ve Türkiye Büyük Millet Meclisi İnsan Haklarını İnceleme Komisyonuna sunar. 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu hükümleri saklıdır.

Kurulun oluşumu ve üyelerine ilişkin hükümler

MADDE 20- (1) Kurul, yedi üyeden oluşur. Kurul üyelerinin; ikisi mesleğinde en az on yıl çalışmış olan avukatlar veya hakimler, biri yükseköğretim kurumlannda en az on yıl çalışmış olan öğretim üyeleri, dördü ise kamuda veya özel sektörde en az on yıl çalışmış olanlar arasından Bakanlar Kurulunca seçilir. Kurul, kendi üyeleri arasından bir Başkan seçer. Başkan, Kurulun en üst yöneticisi olup, Kurulun genel yönetim ve temsilinden sorumludur.

(2) Üyelerin;

a) 14/7/1965 tarihli ve 657 sayılı Devlet Memurları Kanununun 48 inci maddesinin birinci fıkrasının (A) bendinin (1), (4), (5), (6) ve (7) numaralı alt bentlerinde belirtilen şartlan taşımaları,

b) En az lisans düzeyinde yükseköğrenim görmüş olmaları,

şarttır.

(3) Kurul üyeliğine seçileceklerin muvafakatleri aranır.

(4) Kurul üyeleri göreve başlamadan önce, Yargıtay Birinci Başkanlık Kurulu huzurunda "Görevimi tam bir tarafsızlık, dürüstlük, hakkaniyet ve adalet anlayışı içinde yerine getireceğime, namusum ve şerefim üzerine andiçerim." şeklinde andiçerler.

(5) Kurul üyelerinin görev süresi iki yıldır. Ancak seçilmeleri için gerekli şartlan taşımadığı veya sonradan kaybettiği anlaşılan, görevleriyle ilgili olarak işledikleri suçlardan dolayı haklannda verilen mahkümiyet karan kesinleşen, görevlerini yerine getiremeyecekleri sağlık kurulu raporuyla kesin olarak anlaşılan veya görevlerine izinsiz, mazeretsiz ve kesintisiz olarak onbeş gün ya da bir yılda toplam otuz gün süreyle devam etmeyen üyelerin görevi, Kurul karanyla sona erer.

(6) Görev süresi biten üyeler bir defalığına tekrar seçilebilirler. Üyeliklerde boşalma olması halinde, bir ay içinde seçim yapılır.

(7) Kurul üyeliklerine seçilenlerin Kurulda görev yaptıklan sürece önceki görevleriyle olan ilişikleri kesilir. Kamu görevlisi olan üyelerden talepte bulunanlar, Kurul üyeliğinde bulunduklan sürece kurumlanndan aylıklı izinli sayılır ve bulundukları kadro ve görev unvanlanna ilişkin mali ve sosyal haklannı kurumlanndan almaya devam ederler. Terfileri

yetkili kurullarca başka bir işleme gerek olmaksızın yapılır. Aylıklı izinli sayılanlara ayrıca, bu Kanun uyarınca mali ve sosyal haklar kapsamında bir ödeme yapılmaz. Talepte bulunmayan kamu görevlisi üyeler ise aylıksız izinli sayılırlar.

(8) Kamu görevlisi Kurul üyelerinden görev süresi sona erenler bir ay içinde müracaat etmeleri halinde, en geç bir ay içinde kendi kurumlanndaki kadro ve görev unvanlarına uygun bir kadroya atanırlar. Kamu görevlilerinin bu görevde geçirdikleri süreler tabi oldukları kanun hükümlerine göre hizmetlerinde değerlendirilir. Akademik unvanların kazanılması için gerekli şartlar saklıdır. Kamu görevlisi Kurul üyelerine atamaları yapılıncaya kadar, özel sektörden gelen Kurul üyelerine üç ayı geçmemek üzere bir işe başlayıncaya kadar, görevlerinin sona erdiği tarihte almakta oldukları aylık ücret ile sosyal hak ve yardımların ödenmesine devam olunur.

(9) Aylıklı izinli sayılanlar hariç olmak üzere, Kurul üyelerine genel idare hizmetleri sınıfında yer alan bakanlık müsteşar yardımcısı için belirlenen her türlü ödemeler dahil mali haklar tutarında aylık ödeme yapılır. Müsteşar yardımcısına ödenenlerden, vergi ve diğer yasal kesintilere tabi olmayanlar bu Kanuna göre de vergi ve diğer kesintilere tabi olmaz. 657 sayılı Kanun ve diğer mevzuat uyarınca müsteşar yardımcısının yararlanmış olduğu sosyal hak ve yardımlardan, Kurul üyeleri de aynı usul ve esaslar çerçevesinde aynen yararlanırlar. Kurul üyeliklerine seçilenler 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 4 üncü maddesinin birinci fıkrasının (c) bendi kapsamında sigortalı sayılır ve bunların sigorta primine esas kazanç tutarları, söz konusu bakanlık müsteşar yardımcısı esas alınarak belirlenir. Bu görevleri sırasında 5510 sayılı Kanunun geçici 4 üncü maddesi kapsamına girenlerin bu görevde geçen süreleri makam tazminatı ile temsil tazminatı ödenmesi gereken süre olarak değerlendirilir.

(10) Kurul üyeleri, kanunlarda belirlenenler dışında resmi veya özel başka bir görev alamaz ve kazanç getirici faaliyetlerde bulunamazlar.

(11) Kurul üyelerinin görevleri sebebiyle işledikleri iddia edilen suçlara ilişkin soruşturmalar 2/12/1999 tarihli ve 4483 sayılı Memurlar ve Diğer Kamu Görevlilerinin Yargılanması Hakkında Kanuna göre yapılır ve bunlar hakkında soruşturma izni Kurulun ilişkili olduğu Bakan tarafından verilir.

(12) Kurul üyeleri hakkında yapılacak disiplin soruşturması ve kovuşturmasında 657 sayılı Kanun hükümleri uygulanır.

(13) Kurul üyelerinin suç ve disiplin soruşturması ve kovuşturmasıyla ilgili özel kanun hükümleri saklıdır.

Kurulun çalışma esasları

MADDE 21- (1) Kurul, en az beş üye ile toplanır ve üye tam sayısının salt çoğunluğuyla karar alır. Kurul üyeleri çekimser oy kullanamaz.

(2) Üyeler; kendilerini, üçüncü dereceye kadar kan ve ikinci dereceye kadar kayın hısımlarını, evlatlıklarını ve aralarındaki evlilik bağı kalkmış olsa bile eşlerini ilgilendiren konularla ilgili toplantı ve oylamaya katılamaz.

(3) Kurul üyeleri çalışmaları ve denetlemeleri sırasında ilgililere ve üçüncü kişilere ait öğrendikleri sırlan bu konuda kanunen yetkili kılınan mercilerden başkasına açıklayamazlar ve kendi yararlanna kullanamazlar. Bu yükümlülük görevden aynlmalanndan sonra da devam eder.

(4) Kurulun çalışma usul ve esaslan ile diğer hususlar yönetmelikle düzenlenir.

YEDİNCİ BÖLÜM Genel Sekreterlik

Genel Sekreterliğin oluşumu ve görevleri

MADDE 22- (1) Kurulun idari ve mali işleri ile sekretarya hizmetleri Genel Sekreterlik tarafından yürütülür. Genel Sekreterlik; Genel Sekreter, iki genel sekreter yardımcısı, Kişisel Verileri Koruma Uzmanı ve Kişisel Verileri Koruma Uzman Yardımcıları ile diğer idari personelden oluşur.

(2) Genel Sekreter en az dört yıllık yükseköğretim kurumu mezunu, hukuk, kamu yönetimi, iktisat, işletme alanlarında oniki yıl süreyle kamu hizmetinde bulunan ve 657 sayılı Kanunun 48 inci maddesinde yazılı şartlara sahip olanlar arasından; genel sekreter yardımcıları ise aynı nitelikleri taşıyıp on yıl süreyle kamu hizmetinde bulunanlar arasından ilişkili Bakan tarafından atanır.

(3) Genel Sekreterliğin görevleri şunlardır:

a) Kurulun büro işlemlerini yürütmek.

b) Kurulun taraf olduğu davalar ile icra takiplerinde avukatlar vasıtasıyla Kurulu temsil etmek, davaları takip etmek, ettirmek, hukuki hizmetleri yürütmek.

c) Kurulun arşiv hizmetlerini yürütmek.

ç) Kanunlarla mali hizmet ve strateji geliştirme birimlerine verilen görevleri yapmak.

d) Kurul üyeleri ile Kurulda görev yapanların özlük işlemlerini yürütmek.

e) Kurul faaliyetleri hakkında gerekli rapor taslaklarını hazırlamak ve Kurula sunmak.

f) Kanunlarda gösterilen veya Kurul Başkanı tarafından verilen diğer işleri yapmak.

(4) Genel Sekreter hakkında Başbakanlıktaki genel müdürlere; genel sekreter yardımcıları hakkında ise genel müdür yardımcılarına uygulanan mali ve sosyal hak ve yardımlara ilişkin hükümler aynı usul ve esaslar çerçevesinde uygulanır.

(5) Genel Sekreterliğin hizmet birimleri ile çalışma usul ve esasları yönetmelikle düzenlenir.

Personel

MADDE 23- (1) Kurul personeli, Genel Sekreterin teklifi üzerine Kurul Başkanı tarafından atanır.

(2) Kamu kurum ve kuruluşlarında istihdam edilen personelden uzmanlığına ihtiyaç duyulanlar, ilgili kurum veya kuruluşun muvafakati ve ilgilinin kabul etmesi şartıyla Başkan tarafından, yapılacak çalışmanın kapsamı ve süresi de dikkate alınarak en çok iki yıl süreyle Kurulda görevlendirilebilir. Süresi sona erenler, aynı usule göre bir defaya mahsus olmak üzere yeniden görevlendirilebilir. Bu şekilde görevlendirilenler, kurumlannca görev süresince aylıklı izinli sayılırlar. Bunların aylık, ek gösterge, tazminat, ek ödeme ve diğer mali ve sosyal hak ve yardımları kendi kurumlannca ödenir ve her türlü özlük haklan devam eder ve bunlara aynca herhangi bir ödeme yapılmaz.

SEKİZİNCİ BÖLÜM Çeşitli Hükümler

İstisnalar

MADDE 24- (1) Bu Kanun hükümleri aşağıdaki hallerde uygulanmaz:

a) Kişisel verilerin, gerçek kişiler tarafından tamamen kişisel veya aynı konutta beraber yaşayanlarla ilgili faaliyetlerine ilişkin olarak işlenmesi.

b) Kişisel verilerin anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi. ' -

c) Kişisel verilerin, bu Kanunda belirtilen genel ilkelere, veri güvenliğine ilişkin tedbirlere ve mesleki davranış kurallarına uygun olarak basın özgürlüğü çerçevesinde işlenmesi.

ç) 4/7/1934 tarihli ve 2559 sayılı Polis Vazife ve Salahiyet Kanunu, 10/3/1983 tarihli ve 2803 sayılı Jandarma Teşkilat, Görev ve Yetkileri Kanunu, 1/11/1983 tarihli ve 2937 sayılı Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanununun istihbari faaliyetlere ilişkin hükümleri çerçevesinde kişisel verilerin işlenmesi.

d) 11/10/2006 tarihli ve 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ile 7/2/2013 tarihli ve 6415 sayılı Terörizmin Finansmanının Önlenmesi Hakkında Kanun çerçevesinde mali araştırma yapmak, veri toplamak, şüpheli işlem bildirimleri ve diğer bildirimleri almak, analiz etmek, değerlendirmek, inceleme yapmak ve ilgili kurumlarla paylaşmak suretiyle kişisel verilerin işlenmesi.

(2) Bu Kanunun veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 9 uncu maddesi ile sicile kayıt yükümlülüğünü düzenleyen 15 inci maddesi, bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla;

a) Kişisel veri işlemenin suç işlenmesinin önlenmesi için gerekli olması,

b) Kişisel veri işlemenin disiplin soruşturması veya kovuşturması için gerekli olması,

c) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik veya mali çıkarlarının korunması için gerekli olması,

ç) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi için gerekli olması,

d) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,

hallerinde uygulanmaz. Bu hallerde, zararın giderilmesini talep etme hakkı hariç

olmak üzere, 10 uncu madde kapsamındaki talepler reddedilebilir.

(3) Soruşturma, kovuşturma, yargılama ve infaz mercileri tarafından kişisel verilerin işlenmesinde ve korunmasında ilgili kanun hükümleri uygulanır. İlgili kanunlarda hüküm bulunmayan hallerde, 9 uncu, 10 uncu ve 15 inci maddeleri hariç olmak üzere, bu Kanun hükümleri uygulanır.

Değiştirilen ve eklenen hükümler

MADDE 25- (1) 14/7/1965 tarihli ve 657 sayılı Devlet Memurları Kanununun;

a) 36 ncı maddesinin "Ortak Hükümler" bölümünün (A) fıkrasının (11) numaralı bendine "Kalkınma Bakanlığı Planlama Uzman Yardımcıları," ibaresinden sonra gelmek üzere "Kişisel Verileri Koruma Uzman Yardımcıları," ibaresi ve "Kalkınma Bakanlığı Planlama Uzmanlığına," ibaresinden sonra gelmek üzere "Kişisel Verileri Koruma Uzmanlığına," ibaresi,

b) 152 nci maddesinin "II- Tazminatlar" kısmının "A- Özel Hizmet Tazminatı" bölümünün (ğ) bendine "Kalkınma Bakanlığı Planlama Uzmanlan," ibaresinden sonra gelmek üzere "Kişisel Verileri Koruma Uzmanlan," ibaresi,

c) Eki (I) sayılı Ek Gösterge Cetvelinin "I- Genel İdare Hizmetleri Sınıfı" bölümünün (g) bendine "Kalkınma Bakanlığı Planlama Uzmanlan," ibaresinden sonra gelmek üzere "Kişisel Verileri Koruma Uzmanlan," ibaresi,

eklenmiştir.

(2) 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanununa ekli

(I) sayılı cetvele "56) Kişisel Verileri Koruma Kurulu" sırası eklenmiştir.

(3) Ekli listede yer alan kadrolar ihdas edilerek, 13/12/1983 tarihli ve 190 sayılı Genel Kadro ve Usulü Hakkında Kanun Hükmünde Kararnamenin eki (I) sayılı cetvele Kişisel Verileri Koruma Kurulu bölümü olarak eklenmiştir.

(4) 27/6/1989 tarihli ve 375 sayılı Kanun Hükmünde Kararnamenin ek 10 uncu maddesinin birinci fıkrasına "Türkiye İnsan Haklan Kurumu," ibaresinden sonra gelmek üzere "Kişisel Verileri Koruma Kurulu," ibaresi eklenmiştir.

Yönetmelik

MADDE 26- (1) Bu Kanunun uygulanmasına ilişkin yönetmelikler, Kurulun ilişkili olduğu Bakanlık tarafından yürürlüğe konulur.

DOKUZUNCU BÖLÜM Geçici ve Son Hükümler

Geçiş hükümleri

GEÇİCİ MADDE 1- (1) Bu Kanunun yayımı tarihinden itibaren altı ay içinde Kurul üyeleri seçilir ve Genel Sekreterlik teşkilatı oluşturulur.

(2) Veri sorumlulan, Kurul tarafından belirlenen ve ilan edilen süre içinde sicile kayıt yaptırmak zorundadırlar.

(3) Kişisel verilerin işlenmesine ilişkin hüküm içeren özel kanunlarda, bu Kanuna uyum amacıyla iki yıl içinde gerekli değişiklikler yapılmadığı takdirde bu Kanun hükümleri uygulanır.

(4) Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hale getirilir. Bu Kanun hükümlerine aykın olduğu tespit edilen kişisel veriler derhal silinir, yok edilir veya anonim hale getirilir.

(5) Bu Kanunun uygulanmasına ilişkin yönetmelikler bu Kanunun yayımı tarihinden itibaren bir yıl içinde yürürlüğe konulur.

(6) Bu Kanunun yayımı tarihinden itibaren bir yıl içinde, kamu kurum ve kuruluşlannda bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Genel Sekreterliğe bildirilir.

Bütçe tahsisi ve sekretarya hizmetleri

GEÇİCİ MADDE 2- (1) Kurula bütçe tahsis edilene kadar;

a) Kurulun giderleri ilişkili Bakanlık bütçesinden karşılanır.

b) Kurulun hizmetlerini yerine getirmesi amacıyla bina, araç, gereç, mefruşat ve donanım gibi gerekli tüm destek hizmetleri ilişkili Bakanlıkça sağlanır.

(2) Kurulun hizmet birimleri faaliyete geçinceye kadar sekretarya hizmetleri ilişkili Bakanlık tarafından yerine getirilir.

Yürürlük

MADDE 27- (1) Bu Kanunun;

a) 8 inci, 10 uncu, 12 nci, 13 üncü, 14 üncü, 15 inci, 16 ncı ve 17 nci maddeleri yayımı tarihinden altı ay sonra,

b) Diğer maddeleri ise yayımı tarihinde,

yürürlüğe girer.

KURUMU : KİŞİSEL VERİLERİ KORUMA KURULU TEŞKİLATI : MERKEZ

İHDAS EDİLEN KADROLARIN

SINIFI

UNVANI

DERECESİ

SERBEST

KADRO

ADEDİ

TOPLAM

GIH

Genel Sekreter

1

1

1

GIH

Genel Sekreter Yardımcısı

1

2

2

GIH

Hukuk Müşaviri

1

1

1

GIH

Hukuk Müşaviri

4

1

1

GİH

Kişisel Verileri Koruma Uzmanı

3

10

10

GİH

Kişisel Verileri Koruma Uzmanı

5

10

10

GİH

Kişisel Verileri Koruma Uzmanı

7

10

10

GIH

Kişisel Verileri Koruma Uzman Yardımcısı

9

20

20

GIH

Mali Hizmetler Uzmanı

4

1

1

GIH

Şube Müdürü

1

1

1

GIH

Şube MUdürü

3

1

1

GİH

Şube Müdürü

5

1

1

GIH

Memur

5

2

2

GIH

Memur

7

2

2

GİH

Memur

9

2

2

GIH

Memur

11

2

2

GIH

Memur

13

2

2

GIH

Bilgisayar İşletmeni

7

2

2

GİH

Veri Hazırlama ve Kontrol İşletmeni

6

2

2

GIH

Veri Hazırlama ve Kontrol işletmeni

7

2

2

GIH

Veri Hazırlama ve Kontrol işletmeni

8

2

2

GIH

Veri Hazırlama ve Kontrol İşletmeni

9

2

2

GİH

Veri Hazırlama ve Kontrol İşletmeni

10

2

2

GIH

Sekreter

8

5

5

GIH

Santral Memuru

9

1

1

GIH

Şoför

11

4

4

TH

Teknisyen

6

2

2

YH

Teknisyen Yardımcısı

9

2

2

YH

Hizmetli

11

5

5

TOPLAM

100

100

Kişisel veri, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanabilir. Bu bağlamda kişinin kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına, dini inancına ve siyasi görüşüne ilişkin bilgiler, kişisel veri olarak nitelendirilmektedir.

Günümüzde bu veriler, gerek özel sektör ve gerekse kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır. Bu bilgilerin kullanılması bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar veya avantajlar sağlasa da, bu durum söz konusu bilgilerin istismar edilme riskini de beraberinde getirmektedir. Bu verilerin yetkisiz kişiler tarafından elde edilmesi, kullanılması ve ifşa edilmesi gerek taraf olduğumuz sözleşmeler ve gerekse Anayasamızda koruma altına alman temel hakların ihlali olarak karşımıza çıkmaktadır. Bu iki menfaat arasında makul bir dengenin oluşturulması gerekmektedir.

Toplumumuzda yasal dayanak olmaksızın kişisel verilerin işlenebilmesi ve etkin bir denetim mekanizmasının bulunmaması "fişleme" olarak adlandırılan olumsuz bir algının oluşmasına da sebebiyet vermektedir.

Çağımızda insan haklarının korunması bilincinin gelişmesine paralel olarak, kişisel verilerin korunmasının da önemi her geçen gün artmaktadır. Bu nedenle günümüzde gelişmiş ülkelerde kişisel verilerin korunması alanında detaylı yasal düzenlemelerin uygulanmakta olduğu görülmektedir.

Buna karşın ülkemizde, kişisel verilerin korunmasına ilişkin alanı bütüncül olarak düzenleyen bir kanun bulunmamakta, bu konuya ilişkin hükümler farklı kanunlarda yer almaktadır. Aynca ülkemizde kişisel verilerin işlenmesi sürecini kontrol edecek ve denetleyecek bir kurum da bulunmamaktadır. Bunun bir sonucu olarak, halen kişisel veriler hiçbir kurala ve denetime tabi olmaksızın, yetkili-yetkisiz birçok kişi veya kurum tarafından kullanılabilmekte ve bu durum bazı hak ihlallerinin yaşanmasına sebep olabilmektedir.

Ülkemizde kişisel verilerin korunmasını sağlayacak bir kanunun yürürlüğe girmesini gerektiren değişik sebepler bulunmaktadır. Bu bağlamda;

Öncelikle, 5237 sayılı Türk Ceza Kanununun 135 ve devamı maddelerinde, kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiilleri suç olarak düzenlenmiş ve yaptırıma bağlanmıştır. Bununla birlikte, kişisel verilerin işlenmesine yönelik bir kanunun bulunmaması sebebiyle, bu fillerin ne zaman hukuka aykın, ne zaman hukuka uygun olduğunun belirlenmesinde tereddütlerin yaşandığı görülmektedir.

Öte yandan 12 Eylül 2010 tarihinde yapılan halkoylaması sonucu kabul edilen 5982 sayılı Kanunla Anayasanın 20 nci maddesinde yapılan düzenlemeyle kişisel verilerin korunması temel bir insan hakkı olarak güvence altına alınmış ve detayların kanunla düzenlenmesi öngörülmüştür.

Yine ülkemizle ilgili olarak devam etmekte olan Avrupa Birliği tam üyelik sürecinde, müzakere fasıllarından dördü, doğrudan kişisel verilerle ilgilidir. Bu fasıllarla ilgili sürecin ilerleyebilmesi için ülkemizde kişisel verilerin korunmasına ilişkin temel bir kanunun yürürlüğe girmesi gerekmektedir. Avrupa Birliğinin Türkiye ile ilgili olarak hazırladığı ilerleme raporlarında Türkiye'de veri koruma alanındaki yasal boşluğa işaret edilmektedir.

Ülkemizde kişisel verilerin korunmasına ilişkin yasal bir düzenleme olmaması sebebiyle, polis birimleri arasında etkin bir işbirliğini hayata geçiren EUROPOL ile ülkemiz güvenlik birimleri arasında operasyonel işbirliği anlaşması yapılamamakta ve elektronik bilgi değişimi gerçekleştirilememektedir.

Çok sayıda Türk vatandaşının yaşadığı Fransa ve Belçika gibi bazı ülkelerle güvenlik ve yargı alanında işbirliği anlaşması yapılamamaktadır.

Sağlık kuruluşlarında hastalara ilişkin çok sayıda özel nitelikli veri tutulmakta olup, bu verilerin tutulmasına ilişkin kanuni dayanağın olmayışı, verilerin güvenliğinin sağlanmasına yönelik yeterli önlemlerin alınmaması ve yetkisiz kişilerce bu nitelikteki bilgilerin ifşa edilmesi, Avrupa İnsan Haklan Mahkemesince özel hayatın gizliliğine müdahale olarak nitelendirilmekte ve ihlal kararlan verilebilmektedir.

Yine ülkemizde yaşayan yabancılar ile yurtdışında yaşayan Türk vatandaşlan bakımından Dışişleri Bakanlığı askerlik, vatandaşlık, kimlik ve malvarlığı gibi konularda veri paylaşımında sorunlar yaşamaktadır.

Sımr aşan suçlarla ilgili değişik ülkelerin yargı mercilerinin ortak operasyonlar yapabilmesi amacıyla oluşturulan EUROJUST ile çok sayıda sınır aşan suçun işlendiği geçiş güzergahında bulunan ülkemiz arasında bu suçlarla mücadeleye yönelik işbirliği yapılamamaktadır.

Aynca, kişisel verilerin korunması konusunda kanım hazırlanması, ülkemizin Katılım Ortaklığı Belgesine cevap olarak hazırladığı 2003 Ulusal Programında taahhüt ettiği yükümlülüklerdendir.

Kişisel verilerin korunması konusu daha ziyade kamu sektörünü ilgilendiren bir sorun gibi algılanmakla birlikte, ekonomik alanla da yakından ilgilidir. Zira yabancı sermayenin ülkemizde yatınm yapması ve başka ülkelerdeki yatınmlan ile ülkemizdeki yatınmlannı etkin bir şekilde yönetebilmesi için ihtiyaç duyduğu veri aktanmı, ülkemizde yasal düzenleme olmaması sebebiyle gerçekleştirilememekte ve bu durum yabancı sermayenin ülkemizde yatınm yapması bakımından caydıncı bir etken olarak değerlendirilmektedir. Yine işadamlanmızın yabancı ülkelerdeki yatınmlan ve ortaklıklanyla ilgili ihtiyaç duyduklan veri aktanmında sorunlar yaşanmaktadır.

Tüm bu açıklamalar, ülkemizde kişisel verilerin korunmasına ilişkin kanunun bir an önce yürürlüğe girmesini gerekli kılmaktadır.

Kişisel verilerin korunması konusu 1980'li yıllardan itibaren uluslararası belgelerde yer almaya başlamıştır. İlk olarak, ülkemizin de üyesi bulunduğu, İktisadi İşbirliği ve Kalkınma Teşkilatı (OECD) tarafından 23/9/1980 tarihinde "Kişisel Alanın ve Sınır Aşan Kişisel Bilgi Trafiğinin Korunmasına İlişkin Rehber İlkeler" kabul edilmiştir.

Avrupa Konseyi tarafından, tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sımr ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan "Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme", 28 Ocak 1981 tarihinde imzaya açılmış ve ülkemiz tarafından da imzalanmıştır. Ancak Sözleşmenin 4 üncü maddesi gereğince, iç hukukta kişisel verilerin korunmasına yönelik yasal düzenleme yapılmasının zorunlu olması ve ülkemizde buna yönelik bir yasal düzenleme bulunmaması nedeniyle, Sözleşme, Türkiye Biiyük Millet Meclisi tarafından henüz onaylanamamıştır.

Avrupa Konseyi aynca, kişisel verilerin korunmasına yönelik, tıbbi veri bankalan, bilimsel araştırma ve istatistik, doğrudan pazarlama, sosyal güvenlik, sigorta, polis kayıtlan, istihdam, elektronik ödeme, telekomünikasyon ve internet gibi çeşitli sektörlerde uygulanacak ilkeleri belirleyen tavsiye kararlan da kabul etmiştir. Tasannın hazırlanması sırasında, söz konusu tavsiye kararlan göz önüne alınmakla beraber, Tasannın "çerçeve tasan" niteliği korunmuştur. Tüm sektörlerle ilgili düzenlemelere yer verilmesi halinde, Tasannın hacminin çok genişleyeceği düşünülerek, söz konusu tavsiye kararlan Tasan ya alınmamıştır. Bu tavsiye kararlannda yer alan ilkelere, ilerleyen süreçte, değişik sektörlerle ilgili yapılacak düzenlemelerde yer verilebileceği değerlendirilmiştir.

Öte yandan, Avrupa Birliği, üye ülkelerin kişisel verilerin korunmasına ilişkin mevzuatı arasında uyum sağlamak üzere, 24/10/1995 tarihinde "Kişisel Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunması ve Serbest Veri Trafiği Direktifi"ni (95/46/EC) yürürlüğe sokmuştur. Bu Direktifle, üye ülkelerdeki bireylerin kişisel verilerinin üst düzeyde korunması ve kişisel verilerin Avrupa Birliği içerisinde özgür dolaşımını sağlayacak açık ve kalıcı bir düzenleme yapılması amaçlanmıştır.

Kişisel verilerin korunmasına yönelik uluslararası belgeler göz önüne alındığında; bu konuya ilişkin hazırlanacak kanunda, kişisel verilerin işlenme şartlarının, bireylerin aydınlatılmasının, bu alanı denetleyecek ve düzenleyecek bir otoritenin oluşturulmasının, veri güvenliğine ilişkin gerekli tedbirlerin alınmasının temel ilkeler olarak kabul edildiği görülmektedir.

Yukarıda sayılan gerekçelerle hazırlanan Tasan dokuz bölümden oluşmaktadır.

Birinci Bölümde, amaç, kapsam ve tanımlar düzenlenmektedir.

İkinci Bölümde, kişisel verilerin işlenmesine ilişkin genel ilkeler, kişisel verilerin işlenme şartlan, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi ile kişisel verilerin üçüncü kişilere ve yurtdışına aktanlması düzenlenmektedir.

Üçüncü Bölümde, veri sorumlusunun aydınlatma yükümlülüğü ile veri güvenliğine ilişkin yükümlülükleri ve verisi işlenen kişinin haklan düzenlenmektedir.

Dördüncü Bölümde, başvuru ve şikayet yolu, Kurulun inceleme ve denetim yetkisinin usul ve esaslan ve veri sorumlulan siciline ilişkin hususlar düzenlenmektedir.

Beşinci Bölümde, cezai ve idari yaptınmlar düzenlenmektedir.

Altıncı Bölümde, Kişisel Verileri Koruma Kurulunun kuruluşu, görev ve yetkileri ile çalışma esaslan düzenlenmektedir.

Yedinci Bölümde, Kişisel Verileri Koruma Kurulunun sekretarya işlerini yürütecek Genel Sekreterliğin kuruluşu, görev ve yetkileri ile personel rejimi düzenlenmektedir.

Sekizinci Bölümde, Kanundan tam veya kısmen istisna tutulan haller düzenlenmektedir.

Dokuzuncu Bölümde ise geçici hükümler ile son hükümlere yer verilmektedir.

Uluslararası belgeler, mukayeseli hukuk uygulamalan ve ülkemiz ihtiyaçlan göz önüne alınmak suretiyle hazırlanan bu Tasanyla, kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır.

MADDE 1- Maddeyle, Kanunun amacı belirlenmekledir. Amaç, kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasada öngörülen temel hak ve özgürlüklerin korunmasıdır. Bu amaçla kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları usul ve esaslar düzenlenmektedir.

MADDE 2- Maddeyle, Kanunun kapsamı belirlenmektedir. Buna göre Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır. Özel sektör ile kamu sektörü bakımından bir ayırım yapılmamış ve öngörülen usul ve esasların her iki sektörde de uygulanması benimsenmektedir. Yine kişisel verilerin otomatik olan veya olmayan yollarla işlenmesi bakımından herhangi bir fark öngörülmemektedir.

MADDE 3- Maddeyle, Kanunda kullanılan terimlerin tanımlan yapılmıştır.

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtlan, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.

Kişisel verilerin işlenmesi kavramı geniş bir alanı kapsamaktadır. Buna göre verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.

Veri kayıt sistemi, kişisel verileri belirli bir kritere göre sınıflandırarak bunlara ulaşımı kolaylaştıracak şekilde yapılandınlmış sistemleri ifade etmektedir. Buna göre, veri kayıt sisteminde kişisel veriler, ad, soyad veya kimlik numarası üzerinden sınıflandınlabileceği gibi, kredi borcunu ödemeyenlere ilişkin oluşturulacak sınıflandırma da bu kapsamda değerlendirilecektir.

Veri sorumlusu, kişisel verilerin işlenmesine yönelik veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişileri ifade etmektedir. Bu kişiler, verilerin işlenmesini kontrol eden ve bundan sorumlu olan gerçek kişiler olabileceği gibi, kamu kurumlan, şirketler, demekler veya vakıflar gibi tüzel kişiler de olabilecektir.

Veri işleyen, veri sorumlusu adına verileri işleyen gerçek ve tüzel kişilerdir. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen çalışanlar olabileceği gibi, veri sorumlusunun hizmet satın almak suretiyle belirlediği ayn bir gerçek veya tüzel kişi de olabilir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir. Örneğin bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir.

MADDE 4- Maddeyle, kişisel verilerin işlenmesine ilişkin genel ilkeler düzenlenmektedir. Buna göre kişisel veriler ancak Kanunda ve diğer kanunlarda öngörülen usul ve esaslar çerçevesinde işlenebilecektir.

Maddenin ikinci fıkrasında kişisel verilerin işlenmesine ilişkin ilkeler sayılmaktadır. Bu ilkeler; hukuka ve dürüstlük kurallarına uygun olmak, doğru ve gerektiğinde güncel olmak, belirli, açık ve meşru amaçlar için işlenmek, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmak ve işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektir.

Belirli, açık ve meşru amaçlar için işlenmek ilkesi, veri sorumlusunun, veri işleme amacım açık ve kesin olarak belirlemesini ve bu amacın meşru olmasım zorunlu kılmaktadır. Veri sorumluları, belirttikleri bu amaçlar dışında, başka amaçlarla veri işlemeleri halinde, bu fiillerinden dolayı sorumlu olacaklardır. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Örneğin bir hazır giyim mağazasınm, müşterilerinin kimlik ve iletişim bilgilerini işlemesi meşru amaç kapsamındayken, kan gruplarını işlemesi meşru amaç kapsamında değerlendirilemeyecektir.

Kişisel verilerin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ilkesi, işlenen verilerin, belirlenen amaçların gerçekleştirilebilmesine elverişli olmasını, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirmektedir. Yine, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işlenebilmesi için, işlemeye ilk kez başlıyor gibi, 5 inci maddede düzenlenmiş olan kişisel verilerin işlenme şartlarından birinin gerçekleşme gerekecektir. Ayrıca işlenen veri, sadece amacın gerçekleştirilmesi için gerekli olanla sınırlı tutulacaktır.

Verilerin, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi zorunludur. Buna göre, veri sorumlularının verilerin saklanma sürelerini açıkça belirlemeleri gerekmektedir. Herhangi bir veri, daha fazla saklanması için geçerli bir sebep yoksa silinecek veya anonim hale getirilecektir. Gelecekte kullanma ihtimali gerekçesiyle veri saklanamayacaktır.

MADDE 5- Maddeyle, verilerin işlenme koşullan düzenlenmektedir.

Kural olarak kişisel verilerin ilgili kişinin açık nzası veya maddede sayılan istisnalar dışında işlenmesi yasaktır. 95/46 EC sayılı Avrupa Birliği Direktifine göre nza, ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır.

Maddenin ikinci fıkrasıyla ilgili kişinin rızası olmasa dahi bazı hallerde kişisel verilerin işlenebilmesi öngörülmektedir.

Fıkranın (a) bendine göre ilgili kişinin rızası olmasa bile kanunlarda açıkça öngörülen hallerde kişisel veri işlenebilecektir. Örneğin kolluk tarafından bir suç soruşturması sebebiyle, 2559 sayılı Polis Vazife ve Salahiyet Kanununun 5 inci maddesi uyarınca şüphelilerin parmak izlerinin alınması, 5352 sayılı Adli Sicil Kanunu uyarınca Adalet Bakanlığının kişilerin ceza mahkümiyetlerine ilişkin verilerini işlemesi gibi.

Fıkranın (b) bendine göre, rızanın açıklanamadığı ya da geçerli olmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için verilerin işlenmesi öngörülmektedir. Örneğin kişinin şuurunun yerinde olmadığı veya akıl hastası olması sebebiyle rızasının geçerli olmadığı bir durumda, hayat veya beden bütünlüğünün korunması amacıyla, tıbbi müdahale yapılması sırasında, kişisel verileri işlenebilecektir. Bu bağlamda kan grubu, geçirilen hastalıklar ve ameliyatlar, kullanılan ilaçlar gibi veriler, ilgili sağlık sistemi üzerinden işlenebilecektir. Yine hürriyeti tahdit edilen bir kişinin kurtarılması amacıyla, kendisinin veya şüphelinin taşımakta olduğu telefon, bilgisayar, kredi kartı, banka kartı veya diğer teknik bir araç üzerinden yerinin belirlenmesi için bu veriler işlenebilecektir.

Fıkranın (c) bendine göre, bir sözleşmenin kurulması veya ifasıyla ilgili olarak kişisel veri işlenebilecektir. Örneğin, yapılan bir sözleşme gereği paranın ödenmesi için alacaklı tarafın hesap numarası alınabilecektir. Yine bir bankayla kredi sözleşmesi yapılması sırasında bankanın, o kişiye ait maaş bordrosunu, tapu kayıtlarını, icra borcu olmadığma dair belgeyi edinmesi bu kapsamda değerlendirilecektir.

Fıkranın (ç) bendine göre, veri sorumlusu, hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan verileri, ilgili kişinin rızası olmasa dahi işleyebilecektir. Örneğin bir şirketin çalışanına maaş ödeyebilmesi için, banka hesap numarası, evli olup olmadığı, bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verileri işlemesi bu bendin verdiği yetkiye istinaden olacaktır.

Fıkranın (d) bendine göre, ilgili kişinin kendisi tarafından kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Çünkü ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.

Fıkranın (e) bendine göre, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması durumunda kişisel veriler işlenebilecektir. Bu bağlamda, bir şirketin kendi çalışanı tarafından açılan bir davada ispat için bazı verileri kullanması veya kısıtlı bir kişinin haklarının korunması amacıyla vasinin veya kayyımın, kısıtlının mali bilgilerini tutması hukuka uygun sayılacaktır.

MADDE 6- Maddeyle, özel nitelikli kişisel veriler sayılmakta ve genel kural olarak bu verilerin işlenemeyeceği düzenlenmektedir.

Buna göre, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, demek, vakıf ya da sendika üyeliği, sağlığı veya cinsel hayatıyla ilgili veriler, özel nitelikli kişisel veriler olarak kabul edilmektedir. Bu veriler, başkalarınca öğrenilmeleri halinde, özellikleri gereği, ilgili kişinin mağduriyetine yol açabilecek veya ayrımcılık tehlikesini oluşturacak nitelikte hassas verilerdir. Özel nitelikteki verilere dolaylı da olsa erişim imkanı veren veriler de madde kapsamına alınmıştır.

Maddenin ikinci fıkrasıyla, sınırlı bazı hallerde ve belirli koşullar altında özel nitelikli kişisel verilerin de işlenebilmesi öngörülmektedir.

Fıkranın (a) bendine göre, ilgili kişinin açık rızasının bulunması halinde özel nitelikli kişisel veriler işlenebilecektir. Rıza, yukarıda da belirtildiği gibi, özgürce, konuyla ilgili yeterli bilgi sahibi olunarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olmak kaydıyla geçerli olacaktır.

Fıkranın (b) bendine göre ilgili kişinin nzası olmasa bile, kanunlarda açıkça öngörülen hallerde özel nitelikli kişisel veriler işlenebilecektir. Örneğin, askerlik yapacak kişilerin bazı özel sağlık bilgilerinin ilgili kanun hükümleri uyarınca işlenmesi, yine hastanelerin, eczanelerin ya da Sosyal Güvenlik Kurumunun hastalarla ilgili veri işlemesi bu kapsamda değerlendirilecektir.

Fıkranın (c) bendinde, siyasi parti, vakıf, demek veya sendika gibi kar amacı gütmeyen kuruluş ya da oluşumlar tarafından, özel nitelikli kişisel verilerden bazılarının işlenebilmesi düzenlenmektedir. Buna göre, bu kuruluş ve oluşumlar, kendi üye ve mensuplarının özel nitelikli verilerini, kuruluş amaçlarına ve tabi oldukları mevzuata uygun, faaliyet alanlarıyla sınırlı ve üçüncü kişilere açıklanmamak kaydıyla işleyebileceklerdir. Örneğin bir siyasi partinin veya sendikanın üyelerine ilişkin kimlik ve iletişim bilgilerini, fıkrada belirtilen şartlarla tutması bu bent kapsamında değerlendirilecektir.

Bu kuruluşlar, sadece kendi faaliyet alanlarıyla sınırlı olarak özel nitelikli veri işleyebileceklerdir. Örneğin bir sendika, kendi faaliyet alanına ve amacına ilişkin olarak sadece sendika üyeliğiyle ilgili verileri işleyebilecektir. Buna karşın üyelerin sağlık veya din ya da mezhebine yönelik verileri, faaliyet alanıyla ve amacıyla ilgisi olmaması sebebiyle İşleyemeyecektir.

Fıkranın (ç) bendine göre, ilgili kişinin kendisi tarafından kamuoyuna açıklanmış olan özel nitelikli kişisel verileri işlenebilecektir. Zira ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.

Fıkranın (d) bendinde, özel niteliği olan kişisel verilerin, bir hakkın tesisi, kullanılması veya korunması için işlenmesinin zorunlu olması hali düzenlenmektedir. Örneğin bir işverenin, engelli çalıştırma zorunluluğu kapsamında, işyerinde, bu statüde çalıştırdığı kişilere ilişkin rapor ve belgeleri işlemesi bu kapsamda değerlendirilecektir. Yine engelli bir kişinin özel tüketim vergisinden muaf özel donanımlı araç almak hakkından yararlanabilmesi için, engelliliğine ilişkin sağlık raporlarının vergi dairesi tarafından edinilmesi ve işlenmesi de bu fikra kapsamında değerlendirilecektir.

Fıkranın (e) bendiyle, özel nitelikli verilerin; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin yönetimi ve finansmanı amacıyla ve sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenmesi düzenlenmektedir. Bu bağlamda, Sağlık Bakanlığının ve her türlü sağlık kuruluşunun kişilerin sağlık durumuna ilişkin tuttuğu kayıtlar yine Sosyal Güvenlik Kurumunda sağlık hizmetlerinin yönetimi ve finansmanı amacıyla sır saklama yükümlülüğü altında bulunan kişiler tarafından tutulan kayıtlar fıkra kapsamında değerlendirilecektir.

MADDE 7- Maddeyle, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi düzenlenmektedir. Buna göre, hukuka uygun olarak işlenmiş olup da işlenmesini gerektiren sebepler ortadan kalkmışsa, söz konusu veriler resen veya ilgili kişinin talebi üzerine silinecek, yok edilecek veya anonim hale getirilecektir. Silme ibaresiyle, kişisel verilerin tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imhası amaçlanmaktadır. Buna göre veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinecektir. Verilerin yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin imha edilmesini ifade etmektedir.

Maddenin ikinci fıkrasıyla, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasların yönetmelikte gösterilmesi hüküm altına alınmaktadır.

Maddenin son fıkrasında, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin ilgili kanunlarda yer alan hükümlerin saklı olduğu hüküm altına alınmaktadır. Buna göre, örneğin 5352 sayılı Adli Sicil Kanununda verilerin silinmesini veya yok edilmesini düzenleyen hükümler Kanuna göre öncelikli olarak uygulanacaktır.

MADDE 8- Maddeyle kişisel verilerin, üçüncü kişilere ve yurtdışına aktarılması düzenlenmektedir.

Maddenin birinci fıkrasında, kişisel verilerin ilgilinin açık rızası olmaksızın üçüncü kişilere ve yurtdışına aktarılamayacağına ilişkin ilke hükme bağlanmaktadır.

Maddenin ikinci fıkrasında, ilgilinin açık rızası olmaksızın kişisel verilerin üçüncü kişilere ve yurtdışına aktarılmasına ilişkin düzenleme yapılmaktadır. Burada Kanunun 5 inci maddesinde düzenlenen kişisel verilerin işlenmesine ilişkin şartlar ile 6 ncı maddesinde düzenlenen özel nitelikli kişisel verilerin işlenmesine ilişkin şartlar dikkate alınmakta ve bunların yabancı ülkelere aktarılması için ilgili ülkede yeterli koruma bulunması şart koşulmaktadır. 6 ncı maddenin ikinci fıkrasının (c) bendinde düzenlenen kişisel veriler, bu fıkradaki düzenlemenin kapsamı dışında tutulmaktadır.

Maddenin üçüncü fıkrasında, kişisel verilerin ikinci fıkra uyarınca yurtdışına aktarılması sırasında ilgili yabancı ülkede yeterli koruma bulunmaması hali düzenlenmektedir. Bu halde aktarma için kişinin açık nzası ile iki ülke veri sorumlularının karşılıklı taahhüdü ve Kurulun izni birlikte aranacaktır.

Maddenin dördüncü fıkrasında 6 ncı maddenin ikinci fıkrasının (c) bendinde belirtilen kişisel veriler için özel düzenleme yapılmaktadır. Bu tür özel nitelikli kişisel verilerin yeterli koruma bulunmayan yabancı ülkelere aktan İması mümkün değildir. Bu tür veriler, kanunlarda açıkça öngörülmesi halinde üçüncü kişilere ve yeterli koruma bulunan yabancı ülkeye aktanlabilecektir. Bunun gibi bu tür verilerin, ilgilinin açık nzası ile Kurulun izninin birlikte bulunması halinde de üçüncü kişilere ve yine yeterli koruma bulunan yabancı ülkeye aktanlabilmesi mümkündür.

Maddenin beşinci fıkrasına göre yabancı ülkede yeterli koruma bulunup bulunmadığı Kurulca belirlenerek ilan edilecektir.

Maddenin altıncı fıkrasıyla, Kurulun, yabancı ülkede yeterli koruma bulunup bulunmadığına karar ve verilerin yurtdışına aktanlmasına izin verirken hangi kriterleri dikkate alacağı düzenlenmektedir. Buna göre Kurul, maddede sayılan hususlan değerlendirecek, gerekirse ilgili kamu kurum ve kuruluşlanmn da görüşünü almak suretiyle bir karar verecektir.

Maddenin yedinci fıkrasında, kişisel verilerin üçüncü kişilere ve yurtdışına aktanmına ilişkin ilgili kanunlarda yer alan hükümlerin saklı olduğu hüküm altına alınmaktadır. Buna göre, örneğin 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanunun, uluslararası bilgi değişimi konusunda Mali Suçlan Araştırma Kurulu Başkanına yetki veren 12 nci ve 19 uncu maddeleri öncelikli olarak uygulanacaktır.

MADDE 9- Maddeyle, 95/46/EC sayılı Avrupa Birliği Direktifine uygun olarak, veri sorumlusunun aydınlatma yükümlülüğü düzenlenmektedir. Veri sorumlusu aydınlatma yükümlülüğü kapsamında; kendisinin ve varsa temsilcisinin kimliği, veri işleme amacı, verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile 10 uncu maddede sayılan diğer haklan konusunda, ilgili kişiyi bilgilendirecektir.

İkinci fıkraya göre, kişisel verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesi halinde veri sorumlusu, ilgili kişiyi ayrıca bilgilendirmekle yükümlüdür.

MADDE 10- Maddeyle, verileri işlenen kişinin haklan düzenlenmektedir. Buna göre, ilgili kişi kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgileri talep etme, verilerin işlenme amacı ile bunlann amacına uygun kullanılıp kullanılmadığını öğrenme, yurtiçinde veya yurtdışında verilerin aktanldığı üçüncü kişileri bilme, 7 nci maddede öngörülen koşullar çerçevesinde kişisel verilerin silinmesini, yok edilmesini veya verinin muhtevasının eksik ya da gerçeğe aykın olması hallerinde bunlann düzeltilmesini isteme hakkına sahiptir.

Yine ilgili kişinin talebi doğrultusunda yapılan düzeltme, silme ve yok etme işlemlerinin, verilerin aktanldığı üçüncü kişilere bildirilmesini isteme, verilerinin kanuna aykın olarak işlenmesi sebebiyle zarara uğraması halinde, zarann giderilmesini talep etme hakkına da sahiptir.

Maddenin birinci fıkrasının (g) bendinde, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonucun ortaya çıkmasına itiraz hakkı düzenlenmektedir. Örneğin bir çalışanın yapmış olduğu işlerinin, otomatik sistemlere işlenerek bir analiz neticesinde bu çalışanın performansının değerlendirilmesine, çalışanın itiraz edebilmesi bu kapsamda değerlendirilecektir.

MADDE 11- Maddeyle, veri sorumlusunun, veri güvenliğinin sağlanmasına ilişkin yükümlülükleri düzenlenmektedir. Buna göre, veri sorumlusu, verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykın olarak erişilmesini önlemek, ayrıca verilerin muhafazasını sağlamak için gerekli tedbirleri almakla yükümlü tutulmaktadır.

İkinci fıkrada, veri sorumlusunun, verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi durumunda, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olacağı düzenlenmektedir. Buna göre, veri sorumlusu, örneğin şirketine ilişkin kayıtlan bir muhasebe şirketine tutturuyorsa, verilerin işlenmesine ilişkin birinci fıkrada belirtilen tedbirlerin alınması hususunda muhasebe şirketiyle birlikte müştereken sorumlu olacaktır.

Üçüncü fıkrada, veri sorumlusunun, kendi birim, kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlama ve kişisel verilerin Kanunda öngörülen usul ve esaslara uygun olarak işlenmesi amacıyla gerekli denetimleri yapma veya yaptırma yükümlülüğü düzenlenmektedir.

Dördüncü fıkrada, veri sorumluları ile veri işleyenlerin sır saklama yükümlülüğü düzenlenmektedir. Buna göre, veri sorumluları ile veri işleyenler, öğrendikleri kişisel verileri, Kanuna aykırı olarak başkalarına açıklayamayacak veya şahsi çıkarları için kullanamayacaklardır. Bu yükümlülük görevden ayrılmalarından sonra da devam edecektir.

Beşinci fıkrada, işlenen verilerin yasal olmayan yollardan başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği düzenlenmektedir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan edebilecektir.

MADDE 12- Maddeyle, başvuru yolu düzenlenmektedir. Buna göre, ilgili kişilerin, Kanunun 10 uncu maddesinde sayılan haklarıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur. Bu talebi alan veri sorumlusunun, en kısa sürede talebi yerine getirmesi veya gerekçesini açıklayarak reddetmesi öngörülmektedir. Veri sorumlusuna başvurunun zorunlu kılınması ile uyuşmazlıkların belirli bir kısmının veri sorumlulan tarafından giderilmesi ve bu suretle Kurulun yoğun bir iş yüküyle karşı karşıya kalmasının önlenmesi amaçlanmaktadır.

MADDE 13- Maddeyle, şikayet yolu düzenlenmektedir. Buna göre, 12 nci madde uyarınca yapmış olduğu başvurunun, veri sorumlusu tarafından reddedilmesi veya başvuruya cevap verilmemesi yahut başvuruya verilen cevabın yetersiz olması halinde, ilgili kişinin, otuz gün içinde Kurula şikayette bulunma hakkı öngörülmektedir.

İkinci fıkrada, 12 nci maddede öngörülen başvuru müessesesinin, zorunlu bir başvuru yolu olduğu ve bu yol tüketilmeden şikayet yoluna gidilemeyeceği hükme bağlanmaktadır.

Üçüncü fikrada, şikayet tarihinden itibaren dört ay içinde cevap verilmediği takdirde talebin reddedilmiş sayılacağı öngörülmektedir. Buna göre, şikayet tarihinden itibaren dört aylık sürenin geçmesiyle idari yargıda dava açma süresi başlayacaktır.

Başvuru yoluna gitmenin zorunlu, şikayet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikayette bulunabilmesi, diğer yandan doğrudan adli veya idari yargı yoluna gidebilmesi mümkün olacaktır. Ancak, ilgililerin masrafsız ve daha hızlı sonuç alınması mümkün olan şikayet yolunu tercih etmeleri amaçlanmaktadır.

Dördüncü fıkrayla, kişilik haklan ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklı tutulmaktadır.

MADDE 14- Maddeyle, Kurul tarafından yapılacak incelemenin usul ve esasları düzenlenmektedir. Buna göre, Kurul şikayet üzerine veya re'sen Kanunun uygulanmasıyla ilgili konularda inceleme yapabilecektir. Bu kapsamda, talep edilen bilgi ve belgelerin, veri sorumluları tarafından Kurula gönderilmesi, talep edilen bilgi ve belgelerin Devlet sim niteliğinde bulunması halinde yerinde inceleme yapılmasına imkan sağlanması, inceleme sonucunda Kurul tarafından en geç dört ay içinde verilen kararların derhal ve en geç otuz gün içinde yerine getirilmesi öngörülmektedir. Ayrıca inceleme sırasında kanuna aykırılığın yaygm olduğu hallerde Kurul tarafından ilke karan alınabilmesi, telafisi güç veya imkansız zararlann doğması ihtimali ve açıkça hukuka aykınlık hallerinde verilerin işlenmesinin ya da yurtdışına aktanlmasının durdurulması yönünde Kurulun karar verebilmesi düzenlenmektedir.

MADDE 15- Maddeyle, veri sorumlularının kaydedileceği Veri Sorumlulan Sicili düzenlenmektedir. Buna göre Veri Sorumlulan Sicili, Kişisel Verileri Koruma Kurulu Genel Sekreterliği tarafından kamuya açık olarak tutulacaktır. Veri sorumlulan veri işlemeye başlamadan önce bu Sicile kaydolacaklardır. Ancak işlenen verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktanlma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Sicile kayıt zorunluluğuna istisna getirilebilecektir. Bu Sicile ilişkin diğer usul ve esasların ise yönetmelikle düzenlenmesi öngörülmektedir.

MADDE 16- Maddeyle, cezai yaptınmlar düzenlenmektedir. Buna göre kişisel verilerin hukuka aykın olarak işlenmesi fiilleri 5237 sayılı Türk Ceza Kanunu hükümleri göz önüne alınmak suretiyle yaptınma bağlanmaktadır.

MADDE 17- Maddeyle, Kanunda öngörülen yükümlülüklere aykın davranılması halinde uygulanacak idari yaptınmlar düzenlenmektedir.

MADDE 18- Maddeyle, Kanunla ve diğer mevzuatla kişisel verilere ilişkin verilen görev ve yetkileri kendi sorumluluğu altında, bağımsız olarak yerine getiren ve kullanan, genel bütçe içinde kendi bütçesiyle yönetilen Kişisel Verileri Koruma Kurulunun kuruluşu düzenlenmektedir. Kurulun ilişkili olduğu bakanlık, Adalet Bakanlığı olarak belirlenmektedir.

MADDE 19- Maddeyle, Kurulun görevleri düzenlenmektedir. Kurulun hesap verebilirliğini sağlamak üzere altı aylık faaliyet raporunu ilişkili olduğu Bakana ve yıllık faaliyet raporunu ise Bakanlar Kuruluna ve Türkiye Büyük Millet Meclisi İnsan Haklanm İnceleme Komisyonuna sunması öngörülmektedir. Üst yöneticiler ve bütçeyle ödenek tahsis edilen harcama yetkililerince, hesap verme sorumluluğu çerçevesinde, her yıl hazırlanacak faaliyet raporuyla ilgili 5018 sayılı Kanunda öngörülen hükümler saklı tutulmaktadır.

MADDE 20- Maddeyle, Kurulun oluşumu, başkan ve üyelerinin atanma usulü, nitelikleri, görev süreleri, görevlerine son verilme nedenleri, özlük ve parasal haklannın tabi olacağı mevzuat, ikinci görev alma yasaklan, işledikleri iddia edilen suçlar ile ilgili haklannda yapılacak soruşturma ve kovuşturmalann tabi olacağı mevzuat düzenlenmektedir.

MADDE 21- Maddeyle, Kurulun toplantı ve karar nisaplan belirlenmekte, kendileri ile maddede sayılan yakınlannı ilgilendiren konularla ilgili toplantılara katılmalan yasaklanmakta ve görevleri sırasında öğrendikleri sırlan kanunen yetkili mercilerden başkasına açıklamamalan yönünde düzenleme yapılmaktadır.

MADDE 22- Kişisel Verileri Koruma Kurulunun idari ve mali işleri ile sekretarya hizmetlerini yürütmek üzere kurulan Genel Sekreterliğin oluşumu, Genel Sekreter ve genel sekreter yardımcılarının seçim usulü ile nitelikleri, özlük ve parasal haklarının tabi olacağı mevzuat, kişisel verileri koruma uzmanı ve uzman yardımcılarının atama usulü ile Genel Sekreterliğin görevleri düzenlenmektedir.

Genel Sekreterliğin hizmet birimleri ile çalışma usul ve esaslarının ise yönetmelikle düzenlenmesi öngörülmektedir.

MADDE 23- Maddeyle, Kurulda görev yapacak personelin atanması ile kamu kurum ve kuruluşlarında istihdam edilen personelden uzmanlığına ihtiyaç duyulanların

görevlendirilmesine ilişkin hükümler düzenlenmektedir.

MADDE 24- Maddeyle, Kanunun tamamen veya kısmen kapsamı dışında tutulan hususlar düzenlenmektedir.

Birinci fıkrayla Kanunun tamamen kapsamı dışında tutulan hususlar düzenlenmektedir. Buna göre, kişisel verilerin şahsi veya aynı konutta beraber yaşayanlarla ilgili faaliyetler kapsamında işlenmesi, anonim hale getirilmek suretiyle araştırma, planlama veya istatistik gibi amaçlarla işlenmesi, belirli koşullar altında basın özgürlüğü çerçevesinde işlenmesi halleri Kanunun kapsamı dışında tutulmaktadır.

Yine 2559 sayılı Kanun, 2803 sayılı Kanun ve 2937 sayılı Kanunun sadece istihbari faaliyetlere ilişkin hükümleri çerçevesinde kişisel verilerin işlenmesi hali kanunun kapsamı dışında tutulmaktadır. Bununla birlikte, bu kanunların, istihbari faaliyetlere ilişkin hükümleri dışında kalan hususların Kanun kapsamında kaldığı açıktır. Örneğin bu kanunların pasaport, trafik ve personel gibi konulara ilişkin hükümlerindeki genel düzenlemelere istinaden yapılacak işlemeler bakımından Kanun hükümleri geçerli olacaktır.

Bunun yanında, suç gelirlerinin aklanmasının önlenmesi suçu ile terörizmin finansmanı suçunun önlenmesi amacıyla, 5549 sayılı Kanun ve 6415 sayılı Kanun hükümleri çerçevesinde mali araştırma yapmak, veri toplamak, şüpheli işlem bildirimleri ve diğer bildirimleri almak, analiz etmek, değerlendirmek, inceleme yapmak ve ilgili kurumlarla paylaşmak suretiyle kişisel verilerin işlenmesi hali de kanunun kapsamı dışında tutulmaktadır.

Maddenin ikinci fıkrasında, kısmen kanun kapsamı dışında kalan hususlar düzenlenmektedir. Buna göre, kural olarak bu sayılan haller Kanun hükümlerine tabi olmakla birlikte, sadece belirtilen kanun maddelerinde düzenlenen hükümler bakımından istisna edilmeleri söz konusudur. Bu bağlamda, kişisel verinin işlenmesinin; suç işlenmesinin önlenmesi için gerekli olması, disiplin soruşturması veya kovuşturması için gerekli olması, bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik veya mali çıkarlarının korunması için gerekli olması ve belirtilen konularda görevli ve yetkili mercilerin denetleme veya düzenleme görevlerinin yürütülmesi için gerekli olması ile ilgili kişinin kendisi tarafından alenileştirilmiş verilerin işlenmesi hallerinde, Kanunun 9 ncu ve 15 inci maddeleri uygulanmayacaktır. Zararın tazmin edilmesi hariç olmak üzere 10 ncu madde kapsamındaki talepler ise reddedilebilecektir.

Ayrıca, soruşturma, kovuşturma, yargılama ve infaz mercileri, kendi özel kanunlarında yer alan kişisel verilerin işlenmesi ve korunmasına yönelik hükümleri, öncelikle uygulayacaklardır. İlgili Kanunlarda hüküm bulunmayan hallerde ise 9 uncu, 10 uncu ve 15 inci maddeler hariç olmak üzere Kanun hükümleri uygulanacaktır.

MADDE 25- Maddeyle, diğer kanunlarda yapılan değişiklikler ile eklemeler düzenlenmektedir. Bu kapsamda Kişisel Verileri Koruma Kurulu, 5018 sayılı Kanuna ekli (I) sayılı cetvele eklenmekte, Kurula ilişkin kadrolar ihdas edilmekte ve Kişisel Verileri Koruma Uzmanı ile Kişisel Verileri Koruma Uzman Yardımcısı kadrolarına ilişkin gerekli düzenlemeler yapılmaktadır.

MADDE 26- Maddeyle, Kanunun uygulanmasına ilişkin yönetmeliklerin, Kurulun ilişkili olduğu Bakanlık tarafından yürürlüğe konulması öngörülmektedir.

GEÇİCİ MADDE 1- Maddenin birinci fıkrasıyla, Kanunun yayımı tarihinden itibaren altı ay içinde Kurul ve Genel Sekreterliğin kurulması ve teşkilatlanmasının tamamlanması düzenlenmektedir.

Maddenin ikinci fıkrasında, veri sorumlularının Kurul tarafından belirlenecek ve ilan edilecek süre içinde sicile kayıt olmaları öngörülmektedir. Bu düzenlemeyle Kurulun, sicile yönelik gerekli fiziki ve teknik altyapıyı tamamlaması amaçlanmaktadır.

Üçüncü fıkrayla, Kanunun kişisel verilerin korunması alanında temel düzenlemeleri içeren çerçeve kanun olduğu, kişisel verilerin işlenmesine ilişkin hüküm içeren diğer kanunlarda, Kanuna uyum amacıyla gerekli değişikliklerin yapılması kabul edilmektedir. Bu uyum değişikliklerinin yapılması için iki yıllık bir geçiş süresi öngörülmektedir. Bu süre içinde ilgili kanunlarda Kanuna uyum amacıyla gerekli değişikliklerin yapılmaması halinde, ilgili kanunlarda yer alan Kanuna aykın hükümler uygulanmayacaktır.

Dördüncü fıkrayla, Kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerin iki yıl içinde Kanunda öngörülen usul ve esaslara uygun hale getirilmesi öngörülmektedir. Kanunda öngörülen usul ve esaslara aykırı olduğu anlaşılan kişisel verilerin ise derhal silinmesi, yok edilmesi veya anonim hale getirilmesi düzenlenmektedir.

Beşinci fıkrayla, Kanunun öngördüğü yönetmeliklerin bir yıl içinde yürürlüğe konulması hükme bağlanmaktadır.

Altıncı fıkrayla, kamu kurum ve kuruluşlarında Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Genel Sekreterliğe bildirilmesi düzenlenmektedir.

GEÇİCİ MADDE 2- Maddeyle, Kişisel Verileri Koruma Kuruluna bütçe tahsis edilene kadar Kurulun giderlerinin ilişkili Bakanlık bütçesinden karşılanacağı, hizmetin yerine getirilmesi için gerekli desteğin ilişkili Bakanlıkça sağlanacağı ve hizmet birimleri faaliyete geçinceye kadar sekretarya hizmetlerinin ilişkili Bakanlık tarafından yürütüleceği hükme bağlanmaktadır.

MADDE 27- Yürürlük maddesidir.

MADDE 28- Yürütme maddesidir.

Avatar
Adınız
Yorum Gönder
Kalan Karakter:
Yorumunuz onaylanmak üzere yöneticiye iletilmiştir.×
Dikkat! Suç teşkil edecek, yasadışı, tehditkar, rahatsız edici, hakaret ve küfür içeren, aşağılayıcı, küçük düşürücü, kaba, pornografik, ahlaka aykırı, kişilik haklarına zarar verici ya da benzeri niteliklerde içeriklerden doğan her türlü mali, hukuki, cezai, idari sorumluluk içeriği gönderen Üye/Üyeler’e aittir.