BİRİNCİ KISIM<br /> Genel Hükümler<br /> BİRİNCİ BÖLÜM<br /> Amaç, Kapsam ve Tanımlar <br /> <br /> Amaç<br /> MADDE 1- (1) Bu Kanunun amacı; kişisel verilerin işlenmesinde kişinin<br /> dokunulmazlığı, maddi ve manevi varlığı ile temel hak ve özgürlüklerini korumak ve kişisel<br /> verileri işleyen gerçek ve tüzel kişilerin uyacakları esas ve usulleri düzenlemektir. <br /> <br /> Kapsam<br /> MADDE 2- (1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek ve tüzel kişiler ile<br /> bu verileri tamamen veya kısmen, otomatik olan veya olmayan yollarla herhangi bir veri<br /> kütüğüne dahil olacak şekilde işleyen gerçek ve tüzel kişiler hakkında uygulanır. <br /> <br /> (2) Bu Kanun hükümleri, kişisel verilerin gerçek kişiler tarafından sadece kişisel veya<br /> birlikte oturanlarla ilgili faaliyetlerine ilişkin olarak işlenmesi halinde uygulanmaz. <br /> <br /> Tanımlar<br /> MADDE 3- (1) Bu Kanunda geçen;<br /> a) Alıcı: Kişisel verileri belirli bir soruşturma çerçevesinde alan makamlar hariç olmak<br /> üzere, üçüncü kişi olsun veya olmasın verinin açıklandığı herhangi bir gerçek veya tüzel kişi<br /> ile kişi topluluğunu, kamu kurum veya kuruluşunu,<br /> b) Anonim hale getirme: Kişisel verilerin, belirli veya kimliği belirlenebilir bir gerçek<br /> kişiyle ilişkilendirilemeyecek veya kaynağı belirlenemeyecek hale getirilmek suretiyle<br /> işlenmesini,<br /> c) İlgili kişi: Hakkında kişisel veri işlenen gerçek ve tüzel kişileri,<br /> ç) Kişisel veri: Belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin bütün<br /> bilgileri,<br /> d) Kişisel verileri işleyen: Veri kütüğü sahibi adına, bu verileri işleyen gerçek ve tüzel<br /> kişileri,<br /> e) Kişisel verilerin işlenmesi: Kişisel verilerin otomatik olan veya olmayan yollarla<br /> elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, silinmesi veya yok edilmesi,<br /> yeniden düzenlenmesi, açıklanması veya başka bir şekilde elde edilebilir hale getirilmesi,<br /> üçüncü kişilere aktarılması, kullanılmasının sınırlanması amacıyla işaretlenmesi veya<br /> tasniflenmesi veya kullanılmasının engellenmesi gibi bu veriler üzerinde gerçekleştirilen bir<br /> işlem ya da işlemler bütününü,<br /> f) Kurul: Kişisel Verileri Koruma Kurulunu,<br /> g) Sicil: Veri Kütüğü Sicilini,<br /> ğ) Üçüncü kişi: Veri kütüğü sahibi ile kişisel verileri işleyen ve bunların doğrudan<br /> talimatı altında bulunan kişilerin dışında kalan ve kişisel veri işleyen gerçek ve tüzel kişi ile<br /> kişi topluluğunu, kamu kurum veya kuruluşunu,<br /> h) Veri kütüğü: Gerçek ve tüzel kişilere ilişkin belirli bir kritere göre kişisel verilere<br /> ulaşımı kolaylaştıracak şekilde yapılandırılmış herhangi bir kişisel veri grubunu,<br /> ı) Veri kütüğü sahibi: Kişisel verilerin işlenmesinin amaç ve metodlarını tek başına<br /> veya başkaları ile birlikte belirleyen gerçek ve tüzel kişileri,<br /> ifade eder.<br /> <br /> İKİNCİ BÖLÜM<br /> Kişisel Verilerin İşlenmesi <br /> <br /> Kanunîlik ilkesi<br /> MADDE 4- (1) Kişisel veriler, ancak, bu Kanunda ve diğer kanunlarda öngörülen<br /> hâllerde işlenebilir. <br /> <br /> Kişisel verilerin işlenmesine ilişkin ilkeler<br /> MADDE 5- (1) Kişisel verilerin;<br /> a) Hukuka ve dürüstlük kurallarına uygun olarak işlenmesi,<br /> b) Belirli, açık ve meşru amaçlar için toplanması ve bu amaçlara aykırı olarak yeniden<br /> işlenmemesi,<br /> c) Toplandıkları amaçla bağlantılı, yeterli ve orantılı olması,<br /> ç) Doğru olması ve gerektiğinde güncellenmesi,<br /> d) İlgili kişilerin kimliklerini belirtecek biçimde ve kaydedildikleri veya yeniden<br /> işlenecekleri amaç için gerekli olan süre kadar muhafaza edilmesi,<br /> zorunludur. <br /> <br /> (2) Kişisel veriler, ilgili mevzuatta yeniden işlenme amacına yönelik yeterli koruma<br /> tedbirleri getiren düzenlemenin bulunması veya kişisel verileri kontrol eden tarafından bu<br /> yönde gerekli tedbirlerin alınması şartıyla tarihî, istatistikî veya bilimsel amaçlarla yeniden<br /> işlenebilir veya birinci fıkranın (d) bendinde öngörülenden daha uzun bir süre saklanabilir. <br /> <br /> Hukuka uygunluk sebepleri<br /> MADDE 6- (1) Kişisel veriler ancak ilgili kişinin açık rızasıyla işlenebilir. <br /> <br /> (2) Kanunlarda öngörülen yükümlülüklerin yerine getirilmesi dışında, ilgili kişinin bir<br /> itirazda bulunması hâlinde veri işlenemez. <br /> <br /> (3) Aşağıdaki hâllerde de hukuka uygunluk sebeplerinin bulunduğu kabul edilir:<br /> a) Kanunun öngördüğü bir zorunluluk dolayısıyla, kamu yararına veya resmi olarak<br /> verilmiş bir görevin yerine getirilmesi amacıyla veri işlenmesi,<br /> b) Kişisel verilerin, ilgili kişinin rızasını açıklayamayacak durumda olması hâlinde<br /> kendisinin veya başkasının hayatını veya beden bütünlüğünü korumak amacıyla işlenmesi,<br /> c) Bir sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olması kaydıyla,<br /> sözleşmenin taraflarına ait kişisel verilerin işlenmesi,<br /> ç) İlgili kişiler tarafından açıklanmış olması veya açık sicillerde mevcut bilgiler<br /> olması sebebiyle herkesçe bilinen kişisel verilerin işlenmesi,<br /> d) Veri kütüğü sahibinin kendi haklı çıkarları için, ilgili kişinin temel hak ve<br /> özgürlükleri ile meşru çıkarlarına zarar vermediği sürece, veri işlemesinin zorunlu olması. <br /> <br /> Özel niteliği olan kişisel veriler<br /> MADDE 7- (1) Kişilerin ırk, siyasî düşünce, felsefî inanç, din, mezhep veya diğer<br /> inançları, dernek, vakıf ve sendika üyeliği, sağlık ve özel yaşamları ve her türlü<br /> mahkûmiyetleri ile ilgili kişisel veriler işlenemez. <br /> <br /> (2) Birinci fıkrada belirtilen kişisel verilerin, özel hayatın ve aile hayatının gizliliğinin<br /> korunmasını sağlayacak yeterli önlemlerin alınması şartıyla, aşağıda sayılan hallerde<br /> işlenmesi mümkündür:<br /> a) Kanunla yasaklanmayan hallerde kişinin yazılı rızasının alınması,<br /> 2 b) Hukukî veya fiilî nedenlerle rızasını açıklayamayacak durumda bulunan bir kişinin<br /> kendisinin veya bir başkasının hayatı veya beden bütünlüğünün idamesi için veri işlemenin<br /> zorunlu olması,<br /> c) İlgili kişiye yeterli koruma imkânının sağlanması şartıyla, veri kütüğü sahibinin, bu<br /> Kanunla veya diğer kanunlarla tanınan hak ve yetkileri kullanabilmesi veya yükümlülükleri<br /> yerine getirebilmesi için veri işlemenin zorunlu olması,<br /> ç) Vakıf, dernek, sendika ve siyasi partilerce, kuruluş amaçlarına ve tâbi oldukları<br /> mevzuata uygun ve faaliyet alanlarıyla sınırlı olmak şartıyla, üye ve mensuplarına yönelik ve<br /> ilgili kişinin rızası olmadan üçüncü kişilere açıklanmamak kaydıyla veri işlenmesi,<br /> d) İlgili kişi tarafından alenen açıklanmış olan veriler hakkında olması,<br /> e) Hukuken bir hakkı tesis, kullanma veya korunması için veri işlemenin zorunlu<br /> olması,<br /> f) Koruyucu hekimlik, tıbbî teşhis, tedavi, bakım veya sağlık hizmetlerinin<br /> yürütülmesi amacıyla kişisel verilerin;<br /> 1) Sağlık kurumları,<br /> 2) Sigorta şirketleri,<br /> 3) Sosyal güvenlik kurumları,<br /> 4) İşyeri sağlık birimi oluşturmakla yükümlü işverenler,<br /> 5) Sağlıkla ilgili okul ve üniversiteler,<br /> tarafından ilgili kanunlara uygun olarak, hukuken veya meslek kurallarına göre sır<br /> saklama yükümlülüğü altında bulunan sağlık personeli veya eşdeğer seviyede sır saklama<br /> yükümlülüğü altındaki bir başka kişinin gözetimi altında işlenmesi. <br /> <br /> (3) Özel hayatın ve aile hayatının gizliliğine dokunmamak şartıyla, temel kamu<br /> yararlarının gerektirmesi hâlinde, ilgili mevzuatta yeterli koruma tedbiri bulunması kaydıyla,<br /> Kurul, özel niteliği olan kişisel verilerin işlenmesine karar verebilir. <br /> <br /> (4) Suçun soruşturulmasına, koruma ve kontrol tedbirlerine ve ceza mahkûmiyetlerine<br /> ilişkin özel nitelikteki kişisel veriler, ilgili kanunlarda yeterli koruma tedbiri bulunması<br /> kaydıyla, yetkili mercilerin kontrolü altında işlenebilir. Ancak, ceza mahkûmiyetlerine ilişkin<br /> sicil sadece Adalet Bakanlığının kontrolü altında tutulabilir. <br /> <br /> (5) İdarî nitelikteki yaptırımlar ve özel hukuk alanındaki mahkeme kararlarına ilişkin<br /> veriler de resmî mercilerin kontrolü altında işlenebilir. <br /> <br /> (6) Vatandaşlık kimlik numarası veya benzeri karakteristik işaretlerin işlenme usul ve<br /> esaslarını belirlemek amacıyla yapılacak yönetmeliklerde Kurulun görüşü alınır. <br /> <br /> Kişisel verilerin üçüncü kişilere aktarılması<br /> MADDE 8- (1) Aşağıda sayılan haller dışında kişisel veriler üçüncü kişilere<br /> aktarılamaz:<br /> a) Aktarmayı isteyen gerçek ve tüzel kişilerin belirli bir olayda kanundan doğan bir<br /> görevini yerine getirmesi için bu bilgiye ihtiyaç duyması,<br /> b)Bu Kanunun 6 ncı maddesinin üçüncü fıkrasında sayılan hâllerin gerçekleşmesi. <br /> <br /> (2) Millî güvenliğin ve millî savunmanın sağlanması, suçun önlenmesi veya<br /> soruşturulması amacıyla yapılan istihbarî faaliyetlerle ilgili olarak kanundan doğan bir<br /> görevin yerine getirilmesi için gerekli olması hâlinde de kamu kurum ve kuruluşlarınca kişisel<br /> veriler ilgili kamu kurum ve kuruluşuna aktarılabilir. <br /> <br /> 3(3) Kamu kurum veya kuruluşları; kamu yararı, sır saklama yükümlülüğü, ilgili kişinin<br /> meşru menfaati veya kişisel verilere ilişkin özel koruma kurallarının varlığından bahisle<br /> kişisel verilerin üçüncü kişilere aktarılmasını reddedebilir, sınırlandırabilir veya şarta<br /> bağlayabilir. <br /> <br /> (4) Kamu kurum veya kuruluşlarının görev alanlarıyla ilgili konularda yapacakları<br /> talep üzerine, gizlilik esaslarına göre görev yapan personelin bilgileri hariç olmak üzere,<br /> kişilerin nüfus kayıt örnekleri ve adresleri bildirilir. <br /> <br /> Kişisel verilerin anonim hale getirilmesi veya yok edilmesi<br /> MADDE 9- (1) İhtiyaç duyulmayan kişisel veriler, koruma tedbiri veya ispat amacıyla<br /> muhafazasının gerekli olmadığı durumlarda, anonim hâle getirilir veya yok edilir. <br /> <br /> (2) Verilerin anonim hale getirilmesi veya yok edilmesine ilişkin usul ve esaslar<br /> Kurulca, ilgili kamu kurum ve kuruluşları ile diğer özel hukuk tüzel kişilerinin görüşleri<br /> alınarak hazırlanan yönetmelikte gösterilir. <br /> <br /> (3) Diğer kanun hükümleri saklıdır. <br /> <br /> Verilerin araştırma, plânlama ve istatistik amacıyla kullanılması<br /> MADDE 10- (1) Kişisel veriler, araştırma, plânlama ve istatistik gibi amaçlarla<br /> anonim hale getirilmesi kaydıyla işlenebilir. Bu suretle elde edilen veriler ve sonuçlar üçüncü<br /> kişilere aktarılabilir veya yayımlanabilir. <br /> <br /> İKİNCİ KISIM<br /> İlgili Kişinin Hakları ve Yurtdışına Veri Aktarımı<br /> BİRİNCİ BÖLÜM<br /> Aydınlatma Yükümlülüğü ve İlgili Kişinin Hakları <br /> <br /> Aydınlatma yükümlülüğü<br /> MADDE 11- (1) Kişisel verilerin elde edilmesi sırasında veri kütüğü sahibi, ilgili<br /> kişilere;<br /> a) Veri kütüğü sahibi ve varsa temsilcisinin kimliği,<br /> b) Kişisel verilerin hangi amaçla işleneceği,<br /> c) Kişisel verilerin kimlere aktarılabileceği,<br /> ç) Veri toplamanın yöntemi, hukukî sebebi ve muhtemel sonuçları,<br /> d) Kişisel verileri öğrenme hakkı,<br /> e) Düzeltme hakkı,<br /> konusunda bilgi vermekle yükümlüdür. <br /> <br /> (2) Kişisel verilerin, ilgili kişi dışındaki kaynaklardan edinilmesi hâlinde de ilgili<br /> kişiye yukarıdaki bilgilerle birlikte işleme konu olan veri kategorileri hakkında bilgi verilir. <br /> <br /> 4 İlgili kişinin hakları<br /> MADDE 12- (1) Herkes, veri kütüğü sahibine başvurarak; kendisiyle ilgili kişisel veri<br /> kaydedilip kaydedilmediğini öğrenmek, kaydedilmişse bunları talep etmek, verinin<br /> muhtevasının eksik veya gerçeğe aykırı olması hâlinde bunların düzeltilmesini, hukuka aykırı<br /> olması hâlinde ise silinmesini, yok edilmesini veya aktarımının engellenmesini ve buna göre<br /> yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini istemek hakkına<br /> sahiptir.<br /> (2) Bu talep karşısında veri kütüğü sahibi;<br /> a) Veri kütüğündeki ilgili kişiye ait bilgilerin ve işlenen bilgi türlerinin tamamını<br /> bildirmekle,<br /> b) Veri işlemenin hukukî dayanağını ve amacını bildirmekle,<br /> c) Hangi tür kişisel verilerin üçüncü kişilere aktarılabileceği ve aktarılacak kişilerin<br /> kimliklerini bildirmekle,<br /> ç) Verinin muhtevasının eksik veya gerçeğe aykırı olması hâlinde düzeltmekle,<br /> d) Hukuka aykırı olması hâlinde silmek, yok etmek ve üçüncü kişilere aktarımını<br /> engellemekle,<br /> e) Uygulanması imkansız olmamak veya büyük güçlükler yaratmamak kaydıyla bu<br /> fıkranın (a) ve (b) bentlerine göre yapılan işlemleri, verilerin açıklandığı üçüncü kişilere<br /> bildirmekle,<br /> yükümlüdür. <br /> <br /> (3) Bu maddede sayılan haklar, aşağıda sayılan hallerde sınırlandırılabilir:<br /> a) Milli güvenliğin korunması, milli savunmanın gerçekleştirilmesi, suçun önlenmesi<br /> veya istihbarat amacıyla yapılan faaliyetlerle ilgili olarak kanundan doğan bir görevin yerine<br /> getirilmesi,<br /> b) Ceza soruşturması veya kovuşturmasına zarar verilmesinin engellenmesi. <br /> <br /> Başvuru usulü<br /> MADDE 13- (1) 12 nci maddeye göre başvurular, yazılı olarak yapılır. Veri kütüğü<br /> sahibi talep hakkında başvuru tarihinden itibaren onbeş iş günü içinde cevap vermek<br /> zorundadır. <br /> <br /> (2) İlgili kişi talebine cevap verilmediği, cevabın olumsuz olduğu veya yeterli<br /> olmadığı iddiasıyla yirmi gün içinde Kurula itiraz edebilir. Kurul, 33 üncü madde<br /> çerçevesinde başvuru hakkında üç ay içerisinde karar verir. <br /> <br /> (3) Başvurunun yapıldığı veri kütüğü sahibi, erişimine olanak sağladığı bilgi veya<br /> belgeler için başvuru sahibinden erişimin gerektirdiği maliyet tutarı kadar, Kurul tarafından<br /> her yıl Ocak ayında belirlenecek miktarda bir ücret talep edebilir. <br /> <br /> İKİNCİ BÖLÜM<br /> Yurtdışına Veri Aktarımı ve Tedbirler <br /> <br /> Yurtdışına bilgi aktarımı<br /> MADDE 14- (1) Kişisel veriler, ancak kişilik haklarının korunması açısından verinin<br /> istendiği yabancı ülkede eşdeğer ve etkin koruma bulunuyorsa yurtdışına aktarılabilir. <br /> <br /> 5(2) Verinin istendiği ülkede eşdeğer ve etkin bir koruma olmasa dahi;<br /> a) İlgili kişinin açık rızasının bulunması,<br /> b) İlgili kişi ile veri kütüğü sahibi arasında bir sözleşmenin yapılması, sözleşme<br /> öncesi ilişkinin yürütülmesi veya sözleşmenin ifası için aktarımın gerekli olması,<br /> c) Suçun önlenmesi veya bir hakkın tespiti, icrası veya korunması için aktarımın<br /> gerekli veya kanun gereği zorunlu olması,<br /> ç) Veri konusu kişinin hayatı veya beden bütünlüğünün idamesi için aktarımın<br /> zorunlu olması,<br /> d) Veri aktarımının, ilgili mevzuatın aradığı şartları yerine getirmek koşuluyla<br /> kamunun veya ilgisini ispat eden herkesin erişimine açık bulunan sicillerden yapılması,<br /> hallerinde kişisel veriler yurtdışına aktarılabilir. <br /> <br /> (3) Yabancı ülkede bulunan veri kütüğü sahibinin, eşdeğer ve uygun bir korumayı<br /> yazılı olarak taahhüt etmesi ve Kurulun izninin bulunması halinde de kişisel veriler yurtdışına<br /> aktarılabilir. Ancak, gecikmesinde sakınca bulunan veya telafisi güç veya imkansız zararların<br /> doğması ihtimali bulunan hallerde, veri kütüğü sahibi kişisel verileri yurtdışına aktarabilir. Bu<br /> halde veri kütüğü sahibi, durumu yirmidört saat içerisinde Kurula bildirir. Kurul, veri<br /> aktarımının bu Kanun hükümlerine uygun olup olmadığı hususunda inceleme yaparak bir<br /> karar verir. <br /> <br /> (4) Kurul, yurtdışına bilgi aktarımında;<br /> a) Taraf olduğumuz uluslararası anlaşmaları,<br /> b) Veri talep eden ülkeyle ülkemiz arasında veri aktarımına ilişkin fiili karşılıklılık<br /> durumunu,<br /> c) Her somut veri transferine ilişkin olarak, verinin niteliği, işlenme amaç ve süresini,<br /> ç) Verinin transfer edileceği ülke ve bu ülkede uygulanan konuyla ilgili kanunları,<br /> d) Koruma tedbirleri ve verinin transfer edileceği ülkede bulunan veri kütüğü sahibi<br /> tarafından yeterli önlemlerin alınıp alınmadığını,<br /> değerlendirmek suretiyle karar verir. <br /> <br /> Kişisel verilerin işlenmesine ilişkin tedbirler<br /> MADDE 15- (1) Veri kütüğü sahibi, kişisel verilerin, tedbirsizlikle veya hukuka<br /> aykırı amaçlarla yok edilmesini, kaybolmasını, değiştirilmesini, yetkisiz olarak açıklanmasını<br /> veya aktarılmasını ve başka şekillerdeki tüm hukuka aykırı işlenmelerini önlemek için,<br /> korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre uygun teknik ve<br /> idarî tedbirleri almak zorundadır. <br /> <br /> (2) Verilerin, veri kütüğü sahibi adına başka bir işleyen tarafından işlenmesi halinde,<br /> veri kütüğü sahibinin, işleyenin yeterli teknik ve idarî tedbirleri temin etmesini bir sözleşme<br /> veya hukukî tasarrufla yazılı olarak yükümlü tutması zorunludur. <br /> <br /> (3) Veri kütüğü sahibi, işleyenin veya onun kontrolü altında olup da verilere ulaşma<br /> imkanı olan kişilerin; kanunla öngörülen haller dışında, yalnızca veri kütüğü sahibinin<br /> talimatları doğrultusunda veri işlemesini ve birinci fıkrada belirtilen yükümlülükleri yerine<br /> getirmesini, ikinci fıkrada belirtilen şekilde sağlar. <br /> <br /> <br /> ÜÇÜNCÜ KISIM<br /> Sicil<br /> BİRİNCİ BÖLÜM<br /> Sicil, Sicile Kayıt ve Ön İnceleme <br /> <br /> Veri Kütüğü Sicili<br /> MADDE 16- (1) Kurul tarafından bir Veri Kütüğü Sicili tutulur. <br /> <br /> (2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri kütüğü kurmadan önce Sicile<br /> kaydolmak zorundadır. <br /> <br /> (3) Sicil kamuya açık olarak tutulur. <br /> <br /> Sicile kayıt başvurusu<br /> MADDE 17- (1) Sicile kayıt başvurusu aşağıdaki hususları içeren bir bildirimle<br /> yapılır:<br /> a) Veri kütüğü sahibi veya varsa temsilcisinin kimlik ve adres bilgileri,<br /> b) Kişisel veri işlemenin amaçları,<br /> c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki<br /> açıklamalar,<br /> ç) Verilerin açıklanabileceği alıcılar veya alıcı grupları,<br /> d) Üçüncü ülkelere aktarımı öngörülen veriler,<br /> e) 15 inci madde uyarınca alınan tedbirlere ilişkin genel açıklama. <br /> <br /> (2) Yukarıda sayılan bilgilerde yapılan değişiklikler yıl sonunda toplu olarak yeniden<br /> Kurula bildirilir. <br /> <br /> Bildirimin istisnaları<br /> MADDE 18- (1) Aşağıdaki hallerde Sicile bildirim zorunluluğu yoktur:<br /> a) Kişilerin temel hak ve özgürlüklerini olumsuz yönde etkilemeyecek nitelikte veri<br /> işlenmesi,<br /> b) Veri işlemenin kamuya bilgi verilmesi amacıyla tutulan ve yasal çıkarı bulunan<br /> herkesin incelemesine açık bir sicil için yapılması,<br /> c) Veri işlemenin 6 ncı maddenin üçüncü fıkrasının (ç) bendinde belirtilen amaçlarla<br /> yapılması,<br /> ç) Veri koruma denetim kuruluşunun görevlendirilmiş olması. <br /> <br /> (2) Birinci fıkranın (a) bendinde belirtilen veriler veya veri kategorileri, veri işlemenin<br /> amaçları, ilgili kişilerin dahil olduğu kategoriler, alıcılar veya alıcı kategorileri ile verilerin<br /> saklama süreleri Kurul tarafından belirlenir. <br /> <br /> Ön inceleme<br /> MADDE 19- (1) Kurul, veri konusu kişilerin, kişiliklerine, temel hak ve<br /> özgürlüklerine yönelik risk taşıma ihtimali olan ve bu Kanunun 5 inci maddesinde belirtilen<br /> niteliklere uygun olmayan ve 6 ncı ve 7 nci maddelerinde belirtilen koşulları taşımayan veri<br /> işlemelerini belirlemek üzere, ilgili veri işlemeleri başlamadan önce bir ön inceleme yapar. <br /> <br /> 7(2) Ön inceleme, Kurul tarafından, veri kütüğü sahibi veya varsa temsilcisi tarafından<br /> Sicile kayıt başvurusundan itibaren en geç bir ay içinde yapılır. Ön inceleme sonuçlanmadan<br /> veri işlemesi yapılamaz. <br /> <br /> İKİNCİ BÖLÜM<br /> Veri Koruma Denetim Kuruluşu ve Bildirim <br /> <br /> Veri koruma denetim kuruluşu<br /> MADDE 20- (1) Veri kütüğü sahipleri, bu Kanun hükümlerinin uygulanmasını<br /> sağlamak üzere bağımsız denetim kuruluşu görevlendirebilir. Bu kuruluşlar, kendilerini<br /> atayan veri kütüğü sahibi tarafından bu Kanunun uygulanmasını, herhangi bir talimat<br /> almaksızın denetlerler ve bu amaçla, 16 ncı maddede belirtilen Sicili tutarlar. <br /> <br /> (2) Denetleme kuruluşları, ilgili kişilerin şikayet ve talepleri nedeniyle öğrendikleri<br /> bilgileri, o kişilerin rızası olmadıkça, gizli tutmakla yükümlüdür. Kuruluşlar, çalışmaları<br /> hakkında hazırladıkları yıllık raporları her yıl Ekim ayı sonuna kadar Kurula sunarlar. <br /> <br /> (3) Veri kütüğü sahibi, kuruluşun görevini yapabilmesi için gerekli imkanları<br /> sağlamakla yükümlüdür. Bağımsız denetleme kuruluşlarının kuruluş ve çalışma esasları ile<br /> niteliği Bakanlar Kurulu kararı ile yürürlüğe konulan yönetmelikle düzenlenir. <br /> <br /> Kurula bildirim<br /> MADDE 21- (1) Bağımsız denetim kuruluşunun göreve başlayabilmesi için veri<br /> kütüğü sahibi tarafından Kurula bildirimde bulunulması zorunludur. Kurul ayrı bir bağımsız<br /> denetim kuruluşu sicili tutar. Kurulun bu Kanundan doğan görev ve yetkileri saklıdır. <br /> <br /> ÜÇÜNCÜ BÖLÜM<br /> İstisnalar ve Meslek Kuralları <br /> <br /> İstisnalar<br /> MADDE 22- (1) Bu Kanunun 6 ncı, 11 inci, 16 ncı, 17 nci ve 19 uncu maddeleri<br /> aşağıda sayılan haller bakımından uygulanmaz:<br /> a) Milli güvenliğin korunması, milli savunmanın gerçekleştirilmesi veya bu amaçla<br /> yapılan istihbarî faaliyetlerin yürütülmesi,<br /> b) Kamu düzeninin korunması,<br /> c) Suçun önlenmesi için gerekli olması, suç veya meslek ahlak kurallarını ihlâl eden<br /> eylemlerin soruşturulması veya kovuşturulması,<br /> ç) Bütçe, vergi ve mâli konulara ilişkin olarak Devletin önemli ekonomik veya malî<br /> çıkarlarının gerektirmesi,<br /> d) Bu fıkranın (b), (c) ve (ç) bentlerinde belirtilen konularda, resmî mercilerin izleme,<br /> denetleme veya düzenleme görevlerinin gerektirmesi. <br /> <br /> (2) Bu Kanunun 12 nci maddesinde belirtilen haklar, kişisel verilerin özellikle belli bir<br /> kişiye ilişkin tedbir veya karar alınmasına yönelik kullanılmadığı ve ilgili kişinin özel<br /> yaşamının gizliliğinin ihlal edilmesi riskinin bulunmadığı hallerde, ilgili mevzuatta yeterli<br /> koruma tedbiri bulunması kaydıyla, bilimsel araştırma veya istatistik oluşturma amaçları ile<br /> sınırlanabilir. <br /> <br /> 8Gazetecilik amacıyla kişisel verilerin işlenmesi<br /> MADDE 23- (1) Yayın sahipleri veya temsilcileri ile bunların çalışanları tarafından<br /> sadece gazetecilik amacıyla veri işlenmesi halinde bu Kanunun 5 inci, 15 inci ve 24 üncü<br /> maddeleri uygulanır.<br /> (2) Birinci fıkrada belirtilen kişisel verilerin işlenmesi fiilleri, ancak düşünceyi<br /> açıklama ve yayma hürriyeti sınırları çerçevesinde, yayın sahipleri veya temsilcileri ve<br /> bunların çalışanlarının enformasyon ihtiyaçlarının karşılanması için gerekli olması halinde<br /> hukuka uygun sayılır. <br /> <br /> Kişisel verilerin işlenmesi bakımından meslekî davranış kuralları<br /> MADDE 24- (1) Veri kütüğü sahiplerinin bağlı oldukları meslek birlikleri tarafından,<br /> değişik sektörlerin özellikleri dikkate alınarak, kişisel verilerin işlenmesiyle ilgili kuralların<br /> yerinde uygulanabilmesini temin etme amacıyla hazırlanan mesleki davranış kuralları, bu<br /> Kanuna uygunluğunun denetimi için, Kurula sunularak görüşü alınır. Kurul yapacağı<br /> denetimde ilgili kişiler veya temsilcilerinin de görüşlerine başvurur. <br /> <br /> Kişisel verilerin silinmesi veya yok edilmesi<br /> MADDE 25- (1) 22 nci maddenin birinci fıkrasında sayılan haller saklı kalmak üzere,<br /> bu Kanunda yer alan genel ilkeleri taşımayan kişisel veriler silinir veya yok edilir. <br /> <br /> (2) Kişisel verilerin silinmesi veya yok edilmesinin esas ve usulleri Kurul tarafından<br /> hazırlanan yönetmelikle belirlenir. <br /> <br /> DÖRDÜNCÜ KISIM<br /> Kişisel Verileri Koruma Kurulu<br /> BİRİNCİ BÖLÜM<br /> Kurulun Oluşumu ve Görevleri <br /> <br /> Kurul<br /> MADDE 26- (1) Bu Kanunla verilen görevleri yapmak üzere, Kişisel Verileri Koruma<br /> Kurulu oluşturulmuştur. <br /> <br /> (2) Kurul, yetkilerini bağımsız olarak kullanır. Hiçbir organ, makam, merci ve kişi<br /> Kurulun kararını etkilemek amacıyla emir ve talimat veremez. <br /> <br /> (3) Kurul, görevleri ile ilgili konularda tüm kamu kurum ve kuruluşları ile gerçek ve<br /> tüzel kişilerden her türlü bilgi ve belgeyi isteyebilir. Kamu kurum ve kuruluşları ile gerçek ve<br /> tüzel kişiler, söz konusu isteğe cevap vermek ve gereken kolaylığı göstermekle yükümlüdür. <br /> <br /> Kurulun oluşumu<br /> MADDE 27- (1) Kurul, Bakanlar Kurulunca seçilen yedi üyeden oluşur. <br /> <br /> (2) Üyelerin yükseköğrenim görmüş ve öğretim kurumlarında en az on yıl öğretim<br /> üyeliği yapmış veya özel veya kamu hizmetinde en az on yıl fiilen çalışmış olmaları şarttır. <br /> <br /> (3) Kurul üyeliğine önerilen adayların muvafakatleri aranır. <br /> <br /> 9(4) Kurul Başkanını Bakanlar Kurulu seçer. Başkan vekili, Kurul tarafından yapılacak<br /> bir seçimle kendi üyeleri arasından üye tamsayısının salt çoğunluğuyla seçilir. <br /> <br /> Görev süreleri<br /> MADDE 28- (1) Kurul üyelerinin görev süresi altı yıldır. Görev süresi bitenler<br /> yeniden seçilemez. <br /> <br /> (2) Başkanlık ve üyelikler görev süreleri dolmadan herhangi bir sebeple boşaldığı<br /> takdirde, boşalan yerlere bir ay içinde 27 nci madde hükümlerine göre, seçim yapılır. Bu<br /> şekilde seçilen kişiler yerine atandıklarının süresini tamamlar ve bu şekilde seçilenlerden iki<br /> yıl veya daha az süreyle görev yapanlar bir defalığına tekrar seçilebilir. <br /> <br /> (3) Kurul Başkan ve üyelerinin görev süreleri dolmadan görevlerine son verilemez.<br /> Ancak seçilmeleri için gerekli şartları taşımadığı anlaşılan, görevleri ile ilgili olarak işledikleri<br /> suçlardan dolayı haklarında verilen mahkûmiyet kararı kesinleşen Kurul Başkan ve üyeleri<br /> süreleri dolmadan Başbakanın onayı ile görevden alınır. Bu durumda en geç bir ay içinde<br /> başkan veya üye seçimi yapılır. <br /> <br /> Yemin<br /> MADDE 29- (1) Kurul üyeleri, Yargıtay Birinci Başkanlık Kurulu huzurunda,<br /> “Üstlendiğim görevi Anayasa ve kanunlar gereğince tam bir dikkat, dürüstlük ve tarafsızlıkla<br /> yürüteceğime namusum ve şerefim üzerine yemin ederim.” şeklinde yemin ederler. Yemin<br /> için yapılan başvuru Yargıtayca acele işlerden sayılır. Kurul üyeleri, yemin etmedikçe göreve<br /> başlayamaz. <br /> <br /> Kurulun çalışma esasları<br /> MADDE 30- (1) Kurul ayda en az iki defa olmak üzere, gerekli hallerde Başkanın<br /> veya Başkanın bulunmadığı durumlarda Başkan vekilinin çağrısı üzerine, Başkan dahil en az<br /> beş üye ile toplanır ve üye tam sayısının salt çoğunluğuyla karar alır. Kurul üyeleri çekimser<br /> oy kullanamaz. <br /> <br /> (2) Başkan ve üyeler kendilerini, üçüncü dereceye kadar kan ve ikinci dereceye kadar<br /> kayın hısımlarını, evlatlıklarını ve aralarındaki evlilik bağı kalkmış olsa bile eşlerini<br /> ilgilendiren kararlarla ilgili toplantı ve oylamaya katılamaz. <br /> <br /> (3) Kurul üyeleri çalışmaları ve denetlemeleri sırasında ilgililere ve üçüncü kişilere ait<br /> öğrendikleri sırları bu konuda kanunen yetkili kılınan mercilerden başkasına açıklayamazlar<br /> ve kendi yararlarına kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam<br /> eder.<br /> (4) Bu maddede belirtilen haller dışında bir nedenle bir takvim yılında üç toplantıya<br /> katılmayan üyeler üyelikten çekilmiş sayılır. <br /> <br /> (5) Kurul üyelerine 10/02/1954 tarihli ve 6245 sayılı Harcırah Kanunu hükümleri saklı<br /> kalmak kaydıyla fiilen görev yaptıkları her gün için uhdesinde kamu görevi bulunup<br /> bulunmadığına bakılmaksızın (3000) gösterge rakamının memur aylık katsayısı ile çarpımı<br /> sonucu bulunacak miktarda huzur hakkı ödenir. Bu ödemelerde damga vergisi hariç herhangi<br /> bir kesinti yapılmaz. Bir ayda fiilen görev yapılan gün sayısının dördü aşması halinde, aşan<br /> günler için huzur hakkı ödenmez. <br /> <br /> 10(6) Kurul tarafından alınan kararların yürütülmesi Başkana, yokluğunda vekiline<br /> aittir.<br /> (7) Kurulun sekretarya hizmetleri Başbakanlık tarafından yerine getirilir. <br /> <br /> (8) Kurulun görev ve çalışmalarına ilişkin esas ve usuller yönetmelik ile düzenlenir. <br /> <br /> Kurulun görev ve yetkileri<br /> MADDE 31- (1) Kurulun görev ve yetkileri şunlardır:<br /> a) Kişilik hakları ihlâl edilenlerin başvuruları hakkında karar vermek,<br /> b) İlgili kişi bakımından telâfisi güç veya imkânsız bir zararın doğması ihtimalinin<br /> bulunması halinde geçici önlemler almak,<br /> c) Kişisel verilerin işlenmesine ilişkin konularda düzenleyici işlemleri hazırlamak,<br /> ç) Yabancı ülkelere veri aktarımı konusunda tereddüt bulunması hâlinde karar vermek,<br /> d) Başkanın sunduğu önerileri karara bağlamak,<br /> e) Kurul faaliyetleri hakkında yıllık rapor hazırlamak,<br /> f) Sicilin tutulmasını sağlamak,<br /> g) Yurtiçi ve yurtdışında verilerin korunması makamları ile işbirliği yapmak,<br /> ğ) Veri koruma hukuku alanındaki gelişmeleri takip etmek ve bunların uygulanması<br /> için gerekli önlemleri almak,<br /> h) İhtiyaç duyulan alanlarda ulusal ve uluslararası kurum ve kuruluşlarla işbirliği<br /> içinde araştırma ve teknik yardım projeleri hazırlamak, geliştirmek ve yürütmek,<br /> ı) Kanunlarda verilen diğer görevleri yerine getirmek. <br /> <br /> ÜÇÜNCÜ BÖLÜM<br /> Şikâyet ve inceleme usulü <br /> <br /> Şikâyet başvurusu<br /> MADDE 32- (1) Bu Kanunun uygulanmasından kaynaklanan şikâyetler dilekçeyle<br /> şikâyet konusu işlemin yapıldığı veya öğrenildiği tarihten itibaren altmış gün içinde Kurula<br /> yapılır. Kurul şikâyeti üç ay içinde inceler. Ancak hukukî veya fiili sebeplerle bu süre<br /> içerisinde incelemenin sonuçlandırılamaması hâlinde süre, bir defaya mahsus olmak üzere üç<br /> ay daha uzatabilir. Şikâyetin 12 nci maddenin üçüncü fıkrasına veya 22 nci maddenin birinci<br /> fıkrasının (a) bendinde sayılan hallere ilişkin olmadığı ya da (c) bendinde belirtilen görevlerin<br /> yerine getirilmesini engellemediği sürece, işlem sonucunu ilgililere tebliğ eder. <br /> <br /> (2) Şikâyet başvurusunda bulunanlar, şikâyet konusunda Kurulca verilen kararın<br /> kendilerine tebliğinden itibaren altmış gün içinde idare mahkemelerinde dava açabilirler.<br /> Kişilik hakları ihlal edilenlerin, genel hükümlere göre zararını tazmin hakkı saklıdır. <br /> <br /> İnceleme usul ve esasları<br /> MADDE 33- (1) Kurul, re’sen veya ilgili tarafların başvurusu üzerine bu Kanunun<br /> uygulanması ile ilgili konuları inceler. <br /> <br /> (2) Veri kütüğü sahibi, Kurulun istemi üzerine, inceleme konusuyla ilgili bilgi ve<br /> belgeleri onbeş gün içinde göndermek ve yerinde inceleme yapılmasına imkan sağlamakla<br /> yükümlüdür. <br /> <br /> 11 (3) İnceleme sonucunda bu Kanun hükümlerinin ihlâl edildiğinin anlaşılması hâlinde,<br /> Kurul, veri kütüğü sahibinden bu Kanun hükümlerine uygun olarak kişisel verilerin<br /> işlenmesini ister. Bu istem, derhal yerine getirilir. <br /> <br /> (4) Veri kütüğü sahibi kamu tüzel kişisi ise, Kurul, ilgili kamu tüzel kişisinden<br /> verilerin bu Kanun hükümlerine uygun olarak işlenmesini ister. Bu istem, en geç otuz gün<br /> içinde yerine getirilir. <br /> <br /> (5) 22 nci maddenin birinci fıkrasının (a) ve (c) bentlerinde sayılan hallerde Kurul,<br /> üyelerinden birini ilgili kurumda incelemelerde bulunmak üzere görevlendirir.<br /> Görevlendirilen üye, inceleme sonucunda Kurula sözlü olarak bilgi verir. <br /> <br /> (6) Kurul, telafisi güç veya imkansız zararların doğması ihtimali ve açıkça hukuka<br /> aykırılık halinde ilgili kişi hakkında veri işlenmesinin veya yurtdışına aktarımının<br /> durdurulmasına karar verebilir. <br /> <br /> BEŞİNCİ KISIM<br /> Çeşitli Hükümler<br /> BİRİNCİ BÖLÜM<br /> Soruşturma ve Kovuşturma Hükümleri <br /> <br /> Kişisel verilerin hukuka aykırı olarak işlenmesi<br /> MADDE 34- (1) Hukuka aykırı olarak üçüncü fıkrada belirtilenler dışında kişisel<br /> verileri işleyen kişi, Türk Ceza Kanununun 135 inci maddesinin birinci fıkrasına göre<br /> cezalandırılır. <br /> <br /> (2) Birinci fıkrada yazılı fiilin, bu Kanunun 7 nci maddesinde düzenlenen özel niteliği<br /> olan kişisel veriler hakkında işlenmesi hâlinde de birinci fıkrada belirtilen cezaya<br /> hükmolunur. <br /> <br /> (3) Hukuka aykırı olarak kişisel verileri açıklayan, yayan, bir başkasına veren, aktaran<br /> veya ele geçiren kişi Türk Ceza Kanununun 136 ncı maddesine göre cezalandırılır. <br /> <br /> (4) Yukarıdaki fıkralarda belirtilen fiillerin Türk Ceza Kanunun 137 nci maddesinde<br /> belirtilen şekilde işlenmesi halinde ceza, aynı maddeye göre tayin edilir. <br /> <br /> (5) 25 inci maddeye aykırı hareket edenler Türk Ceza Kanununun 138 inci maddesine<br /> göre cezalandırılır. <br /> <br /> Verilerin korunması ve yok edilmesi görevinin ihmali<br /> MADDE 35- (1) Kanuna uygun olarak veri kütüğüne işlenmekle beraber bunların<br /> muhafazalarında veya kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem<br /> içinde yok etmek yükümlülüğünde ihmalleri görülenler, Türk Ceza Kanununun 138 inci<br /> maddesine göre cezalandırılır. <br /> <br /> 12Tüzel kişiler hakkında güvenlik tedbiri uygulanması<br /> MADDE 36- (1) Bu Kanunda tanımlanan suçların bir tüzel kişinin faaliyeti<br /> çerçevesinde işlenmesi halinde, ilgili tüzel kişi hakkında Türk Ceza Kanununun tüzel kişilere<br /> özgü güvenlik tedbirlerine hükmolunur. <br /> <br /> İdarî para cezaları<br /> MADDE 37- (1) Bu Kanunun;<br /> a) 11 inci, 12 nci, 15 inci, 19 uncu ve 33 üncü maddeleri ile 26 ncı maddesinin üçüncü<br /> fıkrasında öngörülen yükümlülüklere aykırı hareket edenlere beşbin Türk Lirası,<br /> b) 16 ncı, 21 inci ve 24 üncü maddelerinde öngörülen yükümlülüklere aykırı hareket<br /> edenlere onbin Türk Lirası,<br /> idarî para cezası verilir. <br /> <br /> (2) Bu Kanuna göre idarî para cezaları Kurul tarafından verilir. <br /> <br /> (3) Bu maddedeki fiillerden özel hukuk tüzel kişileri de sorumludur. <br /> <br /> İKİNCİ BÖLÜM<br /> Son Hükümler <br /> <br /> Yıllık faaliyet raporu<br /> MADDE 38- (1) Kurul, faaliyetlerine ilişkin olarak her yılın Mart ayı sonuna kadar bir<br /> önceki yıla ait kararları, yaptığı düzenlemeleri ile bunların ekonomik ve sosyal etkilerini<br /> analiz eden bir faaliyet raporu hazırlar. Faaliyet raporu, ayrıca, Kurulun performans hedefleri<br /> ile uygulama sonuçlarının karşılaştırılmasını ve değerlendirilmesini de içerir. <br /> <br /> (2) Yıllık faaliyet raporu ve Kurul kararları elektronik ortamda erişime açılır. <br /> <br /> Yönetmelik<br /> MADDE 39- (1) Bu Kanunun uygulanmasına ilişkin yönetmelikler, ilgili kurum ve<br /> kuruluşların görüşleri alınarak Kurul tarafından hazırlanır ve Başbakanlık tarafından<br /> yürürlüğe konulur. <br /> <br /> GEÇİCİ MADDE 1- (1) Kişisel verileri işleyen kamu kurum veya kuruluşları ile<br /> gerçek ve özel hukuk tüzel kişileri, ilgili yönetmeliğin yürürlüğe girmesinden sonra üç ay<br /> içinde Sicile kayıt başvurusunda bulunmak zorundadırlar. Yönetmeliğin yürürlüğe girdiği<br /> tarihten itibaren bir yıl süreyle 19 uncu maddenin ikinci fıkrası uygulanmaz. <br /> <br /> Yürürlük<br /> MADDE 40- (1) Bu Kanun yayımı tarihinde yürürlüğe girer. <br /> <br /> Yürütme<br /> MADDE 41- (1) Bu Kanun hükümlerini Bakanlar Kurulu yürütür. <br /> <br /> 13GENEL GEREKÇE <br /> <br /> Kişisel verilerin korunması, çağımızda, insan hakları kavramı ve korunması<br /> bilincinin gittikçe gelişmesine paralel olarak önemini artırmaktadır. Bu nedenle bir ülkenin<br /> mevzuatında değişik düzenlemeler içinde yer alan farklı hükümlerin, bu konuya özgü<br /> felsefeden yoksun olması halinde kişisel verilerin korunması konusunda artan ihtiyaca cevap<br /> vermesi mümkün olmamaktadır. Bunun öncelikli sebebi, söz konusu hükümlerin başlı başına<br /> yetersiz olmalarından ziyade; bu hükümlerin hukuk sisteminde yer almasının, kişisel verilerin<br /> korunması amacı ile değil, ancak her bir hükmün ilgili olduğu sahalarda zamanının<br /> ihtiyaçlarına cevap vermesi amacı ile düzenlemiş olmasıdır. Bundan dolayı hemen tüm<br /> modern hukuk sistemlerinde olduğu gibi, ülkemizde de kişisel verilerin korunması amacına<br /> yönelik münhasır bir kanunun yürürlüğe girmesi kaçınılmaz hale gelmiştir.<br /> Tasarı, kişisel verilerin korunması bakımından gerekli olan tüm hususlarda çerçeve<br /> niteliğinde ilkeleri belirlemekte ve öngördüğü bağımsız Kurul ile de bu ilkelerin<br /> uygulanmasının izlenmesini temin etmektedir.<br /> Kişisel verilerin korunması konusunda genel ilkelerin, çerçeve bir kanunla<br /> hukukumuza dahil olmasının önemli bir gelişme olduğu ortadadır. Ancak bir çerçeve<br /> kanundan beklenen fayda, doğal olarak bu kanunda belirtilen ilkelerin ilgili mevzuata uyumlu<br /> şekilde yansıtılması halinde sağlanabilir. Bu nedenle, bir yandan oluşturulacak bağımsız<br /> Kurulun sözü geçen mevzuatın bir kısmını hazırlaması, diğer yandan ilgili diğer tüm kamu<br /> kurum ve kuruluşlarının, kendi sahalarında gecikmeksizin harekete geçerek kanunda saptanan<br /> ilkelerin ışığı altında gerekli yasal düzenlemeleri hazırlamaları gerekmektedir.<br /> Tasarı hükümleri, kamu kurum ve kuruluşları tarafından, kendi sahalarında kişisel<br /> verilerin korunması ile ilgili ihtiyacın hemen tespit edilebilmesini sağlayacak şekilde<br /> hazırlanmıştır. Bu nedenle, örneğin sağlık alanında Sağlık Bakanlığının, iletişim ve ulaşım<br /> alanında Ulaştırma Bakanlığının, turizm alanında Kültür ve Turizm Bakanlığının, ekonomik<br /> hayatla ilgili Sanayi ve Ticaret Bakanlığının, maliye ve vergi konuları ile ilgili olarak Maliye<br /> Bakanlığının, yargı ile ilgili olarak Adalet Bakanlığının, nüfus işlemleri ve kolluk faaliyetleri<br /> ile ilgili olarak İçişleri Bakanlığının vakit kaybetmeden bu Kanuna uygun mevzuatı<br /> hazırlamaları yararlı olacaktır. Burada örnek kabilinden sayılan bu ihtimaller sınırlayıcı<br /> değildir.<br /> Ayrıca farklı sektörlerde yer alan mesleklerin, var olan mesleki davranış kurallarına<br /> kişisel verilerin korunması bakımından gerekli değişiklikleri getirmeleri ya da eğer henüz hiç<br /> düzenleme yapılmamışsa kişisel verilerin korunması bakımından mesleki davranış kurallarını<br /> belirlemeleri, sistemin bütünlüğü açısından önem taşıyacaktır. Ancak bu düzenlemeler<br /> yapılırken, Tasarıda belirlenen ilkelerin dikkate alınması gerekmektedir.<br /> Günümüzde geleneksel yöntemlerin yanı sıra, verilerin bilgisayar gibi elektronik<br /> ortamlarda işlenerek bunların, veri bankalarında depo edilmesi çok yaygınlaşmıştır. Bilgi çağı<br /> olarak nitelendirilen çağımızda, bir taraftan kişisel verilerin işleme tabi tutulmasını<br /> kolaylaştırmak ve bunları ilgililerin yararlanmasına sunmak zorunlu olduğu kadar, bunu<br /> yaparken kişiliğin, temel hak ve hürriyetlerin korunması da çok önemli bir sorun olarak ortaya<br /> çıkmaktadır.<br /> Kişisel verilerin elektronik olarak işlenmesi, kişilere olduğu kadar özel ve kamu<br /> sektörüne de büyük yararlar sağlamaktadır. Bu şekilde mal ve hizmetler, daha kolay<br /> üretilebildiği gibi kişilerin veri işleme yoluyla tespit edilmiş tercihlerine bakılarak, bireylere<br /> ucuz ve sür’atle sunulabilmektedir. Elektronik veri işleme sistemleri keza, sağlık, sosyal<br /> 14güvenlik, eğitim, vergi, kamu düzeni ve güvenliği gibi alanlarda da benzer yararlar<br /> sağlamaktadır. Bu nedenle, mal ve hizmetlerin daha iyi, ucuz ve sür’atle sunulabilmesi için,<br /> verileri elektronik ortamlarda işleyen sistemler, gerek özel ve gerek kamu sektöründe hızla<br /> yaygınlaşmıştır.<br /> Kişisel veri kütüğü sistemleri iki grup açısından önem arz etmektedir:<br /> - Bunlardan birincisini kişisel veri sicillerini kullananlar oluşturmaktadır. Yukarıda<br /> da belirtildiği gibi, mal ve hizmetlerin ihtiyaca uygun bir şekilde üretimi ve dağıtımı için bu<br /> tür sicillerden yararlanılması zorunlu hale gelmiştir. Bu sicillerden yararlananların, ihtiyaçları<br /> olan kişisel verileri işlemeleri engellenmemeli, aksine kolaylaştırılmalı, ancak ilkelere<br /> bağlanmalıdır.<br /> - Diğer grubu ise, hakkında kişisel veri işlenen gerçek ve tüzel kişiler<br /> oluşturmaktadır. Elektronik bilgi işlem sistemlerinde zorunlu olarak kişiler hakkında kişisel<br /> veriler işlenmektedir. Kişisel veriler sınırsız olarak gelişigüzel toplandığı, denetimsiz olarak<br /> açıklandığı, yetkisiz kişilerin eline geçtiği takdirde kötüye kullanılarak kişilik hakları ihlal<br /> edilebilecektir. Bu nedenle kişisel veri sicillerinin bu tür sakıncaları giderecek şekilde<br /> kurulması, faaliyet göstermesi ve denetim altına alınması zorunlu hale gelmiştir.<br /> Tasarı, bu iki grubun çıkarlarını koruyarak dengelemek ve kişilik hakları ile temel<br /> hak ve hürriyetleri korumak amacıyla hazırlanmıştır.<br /> Mevzuatımızda kişilik hakkının korunmasına ilişkin hükümler Türk Medeni<br /> Kanununda yer almaktadır. Türk Medeni Kanununun 24 üncü maddesine göre hukuka aykırı<br /> olarak kişilik hakkına saldırılan kimse, saldırıda bulunanlara karşı korunmasını isteyebilir.<br /> Ayrıca Türk Ceza Kanununun 135 ve devamı maddelerinde kişisel verilerin hukuka aykırı<br /> olarak kaydedilmesi üçüncü kişilere verilmesi, yayılması fiilleri yaptırım altına alınmış<br /> bulunmaktadır. Aynı şekilde, Türkiye’nin 1954 yılında onayladığı Avrupa İnsan Hakları<br /> Sözleşmesinin 8 inci maddesinde, herkesin özel ve aile hayatına, meskenine ve muhaberatına<br /> saygı gösterilmesini isteme hakkı olduğu belirtilmiştir.<br /> Kişisel verilerin korunması konusu somut olarak ilk defa İktisadi İşbirliği ve<br /> Kalkınma Teşkilatı (OECD) tarafından 1980 yılında ele alınmıştır. OECD tarafından kabul<br /> edilen ve bu Tasarıda da dikkate alınan rehber ilkeler, birbirini tamamlayıcı nitelikte olup<br /> özetle aşağıda gösterilmiştir.<br /> 1) Kişisel veri toplanması ve işlenmesinin sınırlı olması ve ilkelere bağlılığı:<br /> Bu ilke ile kişisel verilerin toplanması ve işlenmesinin sınırları olması ve verilerin<br /> hukuka uygun, meşru yollarla ve mümkün olduğunca veri konusu kişinin bilgisi veya rızası<br /> ile elde edilmesinin gerekliliği vurgulanmıştır. Tasarı ile kişisel verilerin, toplanması ve<br /> işlenmesi konusunda belirtilen ilkelere uyulmuştur.<br /> 2) Kişisel veride kalite ilkesi:<br /> Bu ilke ile, kişisel verilerin işlenmesiyle ilgili gerekli nitelikler vurgulanmaktadır.<br /> Buna göre, kişisel verilerin güncel tutulması, tam ve doğru olması, kullanılacağı amaçla<br /> bağlantılı ve bu amacın gerekleriyle sınırlı olması şartlarına işaret edilmektedir. Tasarının<br /> kişisel verilerin işlenmesine ilişkin ilkelerin belirlendiği 5 inci maddesi kapsamlı düzenleme<br /> tarzı ile aranan şartları karşılamıştır. <br /> <br /> 153) Kişisel veri toplama ve işlenmesinde amacın belirginliği ilkesi:<br /> Kişisel verilerin toplanmasından önce, bu verilerin toplanmasının amaçlarının belli<br /> olması, sonraki kullanımların da bu amaçlarla sınırlı tutulması gereğine değinilmektedir.<br /> Toplanma amacının değişebileceği her durumda da, söz konusu değişen amaçların aynı<br /> şekilde belirgin olması gerektiği belirtilmektedir.<br /> 4) Amaca uygun kullanım ilkesi:<br /> Yukarıda sözü geçen ilke ile doğrudan bağlantılı olan bu ilke gereğince; veri konusu<br /> kişinin rızası veya kanunun yetki verdiği haller hariç olmak üzere, kişisel verilerin toplandığı<br /> ve işlendiği amaçlar dışında kullanılmaması, elde edilebilir hale getirilmemesi veya<br /> açıklanmaması öngörülmektedir.<br /> 5) Kişisel verilerin korunması için gereken tedbirlerin alınması ilkesi:<br /> Bu ilke ile kişisel verilerin, yetkisiz olarak erişilmesi, imhası, kullanılması,<br /> değiştirilmesi veya açıklanması ya da kaybolması gibi risklere karşı uygun güvenlik<br /> tedbirleriyle korunması gerektiğine dikkat çekilmektedir. Tasarının 15 inci maddesi ile kişisel<br /> verilerin işlenmesinin güvenliği bakımından tedbir alınması yükümlülüğü getirilmiştir.<br /> 6) Açıklık ilkesi:<br /> Kişisel verilerle ilgili olarak yürütülen politikalar ile uygulamalar ve gelişmeler<br /> hakkında genel bir açıklık politikası bulunması gereği vurgulanmaktadır. Tasarının 11 inci<br /> maddesinde düzenlenen veri konusu kişilerin bilgilendirilmesi ve 12 nci maddedeki veri<br /> konusu kişinin bilgiye erişim hakkının yanı sıra, 16 ncı maddesinde, Kurul tarafından<br /> tutulacak Sicil düzenlenmektedir. Bu Sicile tescil edilecek konular ayrıntılı düzenlenmiş olup,<br /> Sicilin kamuya açık olduğu hükmü getirilmiştir. 95/46/AT sayılı Avrupa Topluluğu<br /> Direktifinin 28 inci maddesinin ikinci fıkrasında da buna paralel bir düzenleme<br /> bulunmaktadır.<br /> 7) Kişisel veri konusu kişinin bireysel katılımı ilkesi:<br /> Kişinin, veri kütüğü sahibinden, onunla ilgili veri olup olmadığına dair bilgi<br /> edinmeye; anlayabileceği bir şekilde, makul yollarla, tatbik ediliyorsa aşırı olmayan bir<br /> ücretle, makul süre için kendisine ilişkin veriler konusunda bilgilendirilmeye; bilgi edinme ve<br /> bilgilendirilme talepleri reddedilirse sebeplerini öğrenmeye, bu gibi reddedilmelere karşı<br /> itiraz veya kanun yollarına başvurabilmeye; kendisine ilişkin verilere itiraz edebilme ve haklı<br /> itirazı halinde bu verileri sildirmeye, düzeltmeye, eksik ise tamamlatmaya ve değiştirmeye<br /> hakkı olması gerektiği vurgulanmaktadır.<br /> 8) Sorumlu tutulabilirlik ilkesi:<br /> Buna göre veri kütüğü sahibinin, yukarıda belirtilen prensiplere uyulması için<br /> getirilen tedbir ve yaptırımlara uymasını temin edecek şekilde sorumlu tutulması<br /> sağlanmalıdır. Tasarının, ‘‘Kişisel verilerin işlenmesine ilişkin ilkeler” başlığını taşıyan 5 inci<br /> maddesinden başlamak üzere muhtelif bazı maddelerinde, veri kütüğü sahipleri, getirilen<br /> prensiplere uymakla yükümlü tutulmuştur. Bu yükümlülüklerini yerine getirmeyen veri<br /> kütüğü sahipleri idarî, hukukî ve cezaî yaptırımlara tabi olacaktır.<br /> Diğer taraftan, ana amacı üye ülkeler arasında hukuk birleştirilmesi ve uyumu olan<br /> Avrupa Konseyi, daha sonra da bir sözleşme hazırlanmak üzere bu alandaki çalışmalarını<br /> sürdürmüştür. Bu bağlamda çok gelişmiş telekomünikasyon araçlarıyla gerçekleştirilen,<br /> ülkeler arasındaki hızlı sınır ötesi bilgi akışı karşısında, kişilik haklarının korunmasında üye<br /> 16devletler milli mevzuatının yetersiz kalması, bu alanda bir uluslararası sözleşme<br /> hazırlanmasını zorunlu kılmıştır. “Kişisel Verilerin Otomatik İşleme Tabi Tutulması<br /> Karşısında Bireylerin Korunması”na ilişkin 108 sayılı Sözleşme, 28 Ocak 1981 tarihinde<br /> imzaya açılmış ve aynı tarihte Konsey üyesi diğer devletlerle birlikte Türkiye tarafından da<br /> imzalanmıştır. Ancak, söz konusu Sözleşmenin 4 üncü maddesi gereğince, Sözleşmenin<br /> onaylanabilmesi için, imzalayan devletin, Sözleşmede öngörülen ilkeler çerçevesinde bir yasa<br /> kabul etmesi zorunludur. Tasarı ile aynı zamanda söz konusu sözleşmede öngörülen<br /> yükümlülük de yerine getirilmektedir.<br /> Sözleşme, bir taraftan Konseye üye çeşitli ülkelerde bireylerin kişiliklerinin<br /> yeknesak bir düzeyde korunmasını sağlamış, diğer taraftan da sınır ötesi veri akışının<br /> standartlarını belirlemiştir. Öyle ki, Sözleşmenin 12 nci maddesine göre, bir devlet verilerin<br /> korunması konusunda bunların eşdeğer düzeyde korunmasına ilişkin mevzuatı bulunmayan<br /> diğer bir devlete sınır ötesi veri aktarımını yasaklayabilir. Nitekim bu bağlamda Türkiye’de<br /> yasal düzenleme bulunmamasının sonuçları uygulamada da görülmeye başlanmıştır. Örneğin,<br /> adli yardım anlaşmalarının uygulanması çerçevesinde, başta Almanya olmak üzere, Konseye<br /> üye diğer devletler, Türk mahkemelerince yapılan kişiler hakkındaki adres tespiti, istinabe<br /> gibi istemleri, Türkiye’nin konuya ilişkin eşdeğer koruma mevzuatı bulunmadığı için geri<br /> çevirmektedirler. Aynı şekilde, bu durum Avrupa Birliği ile gerçekleştirilen gümrük birliği<br /> çerçevesinde, Türkiye ile Avrupa Birliği üyesi devletler gümrük idareleri arasındaki bilgi<br /> akışını da olumsuz yönde etkilemektedir.<br /> Tasarının hazırlanmasında Avrupa Konseyinin anılan Sözleşmesindeki ilke ve<br /> standartlar da göz önüne alınmıştır.<br /> Öte yandan, Avrupa Konseyinin anılan Sözleşmesinin hazırlık çalışmalarına Avrupa<br /> Birliği de kurum olarak aktif bir şekilde katılmış ve önemli katkılarda bulunmuştur. Avrupa<br /> Birliği daha sonra da konuya ilişkin çalışmalarını sürdürmüş ve üyelerinin verilerin korunması<br /> mevzuatı arasındaki farklılık ve çelişkileri gidererek uyum sağlamak üzere, 95/46/EC sayılı<br /> Direktif yürürlüğe girmiş ve bununla bütün üye ülkelerdeki bireylerin gizliliğinin üst düzeyde<br /> korunması ve kişisel verilerin Avrupa Birliği içerisinde özgür dolaşımını sağlayacak açık ve<br /> kalıcı bir düzenleme yapılması amaçlanmıştır. Avrupa Birliği ile Türkiye arasında gümrük<br /> birliği kurulmasından sonra 10- 11 Aralık 1999 tarihlerinde gerçekleştirilen Avrupa Birliği<br /> Helsinki Zirvesi sonucunda Türkiye’nin tam üye adayı olarak kabul edilmiş olmasıyla tam<br /> üyeliğe yönelik katılım süreci çerçevesinde bir çok alanda mevzuat uyumu çalışmaları<br /> yapıldığından, verilerin korunmasına ilişkin yasa çalışmalarında da, Birlik mevzuatı ile Türk<br /> mevzuatı arasında uyum sağlamanın yerinde olacağı düşünülmüş ve bu amaçla çalışmalarda<br /> söz konusu Direktif de göz önünde tutulmuştur. Ayrıca, kişisel verilerin korunması konusunda<br /> ilgili kanunun hazırlanması, Ülkemizin Katılım Ortaklığı Belgesine cevap olarak hazırladığı<br /> 2003 Ulusal Programında taahhüt ettiği yükümlülüklerdendir. Böylece Tasarı, Avrupa Birliği<br /> ile olan mevzuat uyum çalışmalarımız bakımından önemli bir ihtiyacı karşılamaktadır.<br /> Avrupa Konseyi geçen sürede ayrıca, Sözleşmede yer alan bu ilkeleri etkin bir<br /> şekilde yaşama geçirmek için yoğun çalışmalar yapmış ve Bakanlar Konseyi bu maksatla<br /> çeşitli sektörlerde uygulanacak ilkeleri belirleyen aşağıdaki tavsiye kararlarını da kabul<br /> etmiştir: Tıbbi veri bankaları (1981), bilimsel araştırma ve istatistik (1983), doğrudan<br /> pazarlama (1985), sosyal güvenlik (1986), polis (suç) kayıtları (1987), istihdama ilişkin<br /> veriler (1989), elektronik ödeme ve ilgili işlemler ( 1990), verilerin kamu kuruluşlarınca<br /> üçüncü kişilere açıklanması (1991), kişisel verilerin telekomünikasyon alanında ve özellikle<br /> telefon servislerinde korunması (1995), tıbbi verilerin korunması (1997), istatistik amaçlı<br /> toplanan ve işlenen kişisel verilerin korunması (1997), internette özel hayatın gizliliğinin<br /> korunması (1999), sigorta sektöründe kişisel verilerin korunması (2002).<br /> 17Konseye üye gelişmiş sanayi devletlerinden çoğu, bu tavsiye kararlarını takiben,<br /> özel olarak yasaları bulunduğu halde, konuları bu kez sektör bazında yeniden<br /> düzenlemişlerdir. Tasarıda, söz konusu tavsiye kararları göz önüne alınmakla beraber,<br /> sektörel bazda bir yaklaşımın Tasarının hacmini çok genişleteceği düşünülerek bu yöntem<br /> benimsenmemiştir. Bu bağlamda, tavsiye kararlarında yer alan ilkelerin, ilgili kurum, kuruluş<br /> ve meslek birlikleri tarafından, Kurulun da görüşü alınarak hazırlanacak düzenlemeler de yer<br /> alabileceği değerlendirilmiştir.<br /> Tasarı, kişisel verileri işleme tabi tutulan kişiler ile bu verileri işleme tabi tutan kamu<br /> kurum veya kuruluşları ile gerçek ve özel hukuk tüzel kişilerini kapsamına almıştır. Söz<br /> konusu kişisel veriler geleneksel dosyalama yöntemiyle işlenebileceği gibi, otomatik işleme<br /> de tabi tutulabilir. Her iki yöntem de Tasarı kapsamındadır.<br /> Tasarı, beş kısımdan oluşmaktadır.<br /> Birinci Kısımda; Tasarının amaç ve kapsamı belirlenmiş ve Tasarıda kullanılan çoğu<br /> teknik ağırlıklı terimlerin tanımları yapılmış, kişisel verilerin niteliğine ilişkin ilkeler, kişisel<br /> verilerin işlenmesinde hukuka uygunluk sebepleri, özel niteliği olan kişisel veriler ve kişisel<br /> verilerin kamu kurum ve kuruluşları tarafından işlenmesi konuları düzenlenmiştir.<br /> İkinci Kısımda; veri konusu kişinin bilgilendirilmesi, bilgiye erişme hakkı, veri<br /> konusu kişinin itiraz hakkı, kişisel verilerin işlenmesinde tedbirler, kişisel verilerin yabancı<br /> ülkelere ve üçüncü kişilere aktarılması düzenlenmiştir.<br /> Üçüncü Kısımda; Sicil ve Kurula bildirim ve ön inceleme konuları ile özel denetim<br /> kuruluşları, istisna getiren hükümler, mesleki davranış kuralları, kişisel verilerin silinmesi ve<br /> yok edilmesi konuları düzenlenmiştir.<br /> Dördüncü Kısımda; “Kişisel Verileri Koruma Kurulu”nun oluşumu ile Kurulun<br /> yetki ve görevlerine yer verilmiştir.<br /> Kişisel verilerin, kamu kurum veya kuruluşlarınca veya gerçek ve özel hukuk tüzel<br /> kişileri tarafından işlenmesi dolayısıyla kişilik hakları ihlal edilenlerin şikayetleri konusunda<br /> Kişisel Verileri Koruma Kurulu karar verecektir. Herhalde, kişilik hakları ihlal edilen bireyin<br /> tazminat hakkı saklı tutulmuştur.<br /> Tasarının muhtelif maddelerinde; veri kütüğü sahibi yanında, “veya temsilcisi”<br /> ifadesi kullanılmıştır. Burada sözü edilen “temsilci”, Direktifin 4 üncü maddesine göre; kişisel<br /> verilerin işlenmesine Direktif hükümleriyle uyumlu olarak kabul edilen ulusal hukuk<br /> kurallarının uygulanması koşullarından biri olan veri kütüğü sahibinin Topluluk topraklarında<br /> yerleşik olmadığı durumlarda, kişisel verinin işlenmesi amacıyla, ilgili üye devlet egemenlik<br /> alanında bulunan ekipmandan, otomatik veya otomatik olmayan yollarla kişisel veri işlenmesi<br /> için yararlanması halinde, kendisine “temsilci” sıfatıyla ataması gereken kişidir. Söz konusu<br /> durumda, kullanılacak ekipmandan sadece Topluluk topraklarına geçiş amacıyla<br /> yararlanılmaması gereği de maddede ayrıca öngörülmüştür. Bu hallerde, atanacak temsilci,<br /> ilgili üye devlet sınırları içinde yerleşmiş olmalıdır. Temsilci atanması, kişisel verileri kontrol<br /> eden hakkında başlatılmış veya başlatılması muhtemel yasal işlemleri etkilemeyecektir.<br /> Kişisel verileri kontrol eden kişiye temsilci atanması, halihazırda Avrupa Birliğine üye olan<br /> ülkeleri ilgilendiren bir husustur. Ülkemiz açısından ise Birliğe tam üye olunduğunda yerine<br /> getirilecek bir koşul olmakla birlikte, ileride doğması muhtemel uyum sorununun önlenmesi<br /> ve konuyla ilgili gereken tüm hazırlıkların tamamlanarak üyeliğe hazır olunması hususları<br /> gözetilerek Tasarıda yer alması öngörülmüştür.<br /> 18Sözleşmenin 10 uncu maddesinde, onaylayan devletlerin Sözleşmede öngörülen<br /> ilkelerin gereken şekilde uygulanabilmesini sağlamak üzere, iç hukuklarında etkin yaptırımlar<br /> öngörmeleri belirtilmiştir. Aynı şekilde, söz konusu 95/46/EC sayılı Avrupa Topluluğu<br /> Direktifinin 11 inci Bölümünde, üye devletler, ilkelerin ihlâli halinde yaptırımlar uygulamaya<br /> davet edilmektedir. Nitekim, mevzuatı incelenen devletlerde, kişilik hakları ihlalinin ağırlık<br /> derecesine göre, para veya hürriyeti bağlayıcı cezalar verildiği gözlenmiştir. Bu düşüncelerle,<br /> Tasarıda, ihlalin ağırlık derecesine göre idari para cezaları ile ayrıca hapis ve para cezaları<br /> öngörülmüştür.<br /> 19MADDE GEREKÇELERİ <br /> <br /> MADDE 1- Maddeyle Kanunun amacı belirlenmektedir. Amaç, kişisel verilerin<br /> işlenmesini disiplin altına almak ve Anayasanın 17 nci maddesinde ifade edilen kişinin<br /> dokunulmazlığı, maddi ve manevi varlığı ile temel hak ve özgürlüklerinin korunmasıdır. Bu<br /> korumayı sağlayacak kuruluşlar ile uygulanacak ilke ve yöntemler Tasarıda düzenlenmiştir. <br /> <br /> MADDE 2- Maddeyle, kişisel verileri işleme tabi tutulan gerçek ve tüzel kişiler ile bu<br /> verileri işleme tabi tutan kamu kurum veya kuruluşları ile gerçek ve özel hukuk tüzel kişileri<br /> Tasarı kapsamına alınmaktadır. Bu konuda, özel sektör ile kamu sektörü bakımından getirilen<br /> özel hükümler dışında ayırım yapılmadığından, öngörülen usul ve esaslar her iki sektöre de<br /> uygulanacaktır. Aynı şekilde kişisel verilerin otomatik veya geleneksel dosyalama<br /> yöntemleriyle işlenmesinin de önemi yoktur.<br /> Her ne kadar Avrupa Komisyonunun 95/46 sayılı Direktifinde sadece gerçek kişilere<br /> ilişkin kişisel verilerin direktif kapsamında korunacağı ifade edilmişse de, yine Avrupa<br /> Komisyonunun 2002/58 sayılı Direktifiyle tüzel kişilere ait kişisel verilerin de koruma<br /> kapsamına dahil edileceği belirtilmektedir. Nitekim Haziran 2003 tarihli İtalyan Veri Koruma<br /> Kanununun “Tanımlar” başlıklı 4 üncü maddesinin birinci fıkrasının (b) bendinde kişisel veri<br /> “gerçek veya tüzel kişilere” ait veriler olarak tanımlanmıştır.<br /> Maddenin ikinci fıkrasıyla, kişisel verilerin, gerçek kişiler tarafından sadece kişisel<br /> veya birlikte oturanlarla ilgili faaliyetlerine ilişkin olarak işlenmesi kapsam dışı bırakılmıştır. <br /> <br /> MADDE 3- Maddede, Kanunda kullanılan deyim ve terimlerin tanımlarına yer<br /> verilmiştir.<br /> Kanun kapsamına giren kişisel veriler, sadece bireyin adı, soyadı, doğum tarihi ve<br /> doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin aklî,<br /> psikolojik, fizikî, kültürel, ekonomik, sosyal ve sair özelliklerine ilişkin verilerdir.<br /> Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir<br /> gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade<br /> eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini<br /> ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir<br /> kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim,<br /> telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası,<br /> özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da<br /> olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.<br /> İlgili kişi (data subject) tanımı, hakkında kişisel veri işlenen gerçek ve tüzel kişileri<br /> ifade etmektedir. Yukarıda da belirtildiği gibi Avrupa Birliğinin son direktifleri doğrultusunda<br /> veri konusu kişi kapsamına tüzel kişiler de dahil edilmiştir.<br /> Kişisel verilerin işlenmesi tanımı; geniş bir alanı kapsamaktadır. Buna göre verilerin<br /> toplanmasından başlayarak tüm işlem türleri tanım kapsamı altına alınmaktadır. Kişisel<br /> verilerin, bilgisayar gibi otomasyon sistemlerinin kullanıldığı yöntemlerle işlenmesi gibi,<br /> otomatik sistemler kullanılmadan elden işlenmesi hali de tanım kapsamına dahil olacaktır.<br /> Veri kütüğü, gerçek veya tüzel kişilere ilişkin belli bir kritere göre kişisel verilere<br /> ulaşımı kolaylaştıracak şekilde yapılandırılmış herhangi bir kişisel veri grubunu ifade<br /> etmektedir. Buna göre kişisel verilerin; örneğin herhangi bir kuruluşta, o kuruluşun faaliyetini<br /> sürdürmek için düzenli olarak tuttuğu dosyalama sisteminin bir parçası olması gerekmektedir.<br /> Ayrıca bu dosyalama sistemi kişilere ilişkin herhangi bir kritere göre yapılandırılmış<br /> 20olmalıdır. Yine bu dosyanın halen ulaşılabilir olması gerekmektedir. Buna göre, bir dosyanın<br /> üzerinde herhangi bir kişinin ad ve soyadı veya kimlik numarası bulunması halinde, bu dosya<br /> tanım kapsamına dahil olacağı gibi, örneğin kredi borcunu ödemeyenler gibi bir kritere göre<br /> oluşturulacak dosyalama sistemi de tanım kapsamına girecektir.<br /> Veri kütüğü sahibi ise, kişisel verilerin işlenmesinin amaç ve metotlarını tek başına<br /> veya başkaları ile birlikte belirleyen gerçek ve tüzel kişileri ifade etmektedir. Bu kişiler,<br /> verilerin saklanması ve kullanılmasını (işlenmesini) kontrol eden ve bundan sorumlu olan<br /> tüccarlar gibi gerçek kişiler olabileceği gibi, kamu kurumları veya dernek ve vakıflar gibi<br /> tüzel kişiler de olabilir. Grup şirketlerde ise, gruba dahil olan her şirket ayrı ayrı veri kütüğü<br /> sahibi olarak kabul edilecektir.<br /> Kişisel verileri işleyenler, veri kütüğü sahibi adına verileri işleyen gerçek ve tüzel<br /> kişilerdir. Bu kişiler verileri işlemekte ancak, kişisel veriler üzerinde kontrol yetkisi ve<br /> sorumluluk veri kütüğü sahibine ait bulunmaktadır. Veri işleyenlere örnek olarak;<br /> muhasebeciler, acenteler gibi başkası adına veri işleyen kurumlar sayılabilir. Herhangi bir<br /> gerçek veya tüzel kişi aynı zamanda hem veri kütüğü sahibi, hem de veri işleyen olabilir.<br /> Örneğin bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri<br /> kütüğü sahibi sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise kişisel<br /> verileri işleyen olarak kabul edilecektir. Ancak veri kütüğü sahibi ile işçi işveren ilişkisi<br /> içerisinde olan veya doğrudan talimatı altında bulunan kişiler kişisel verileri işleyen olarak<br /> kabul edilmeyecektir.<br /> Üçüncü kişi; ilgili kişi bakımından, veri kütüğü sahibi ile kişisel veri işleyen ve<br /> bunların doğrudan talimatı altında bulunan kişilerin dışında kalan ve kişisel veri işleyen<br /> gerçek ve tüzel kişiler ile kamu kurum veya kuruluşunu ifade etmektedir. <br /> <br /> MADDE 4- Kamu kurum ve kuruluşlarının kişisel verileri işleyebilmesi, ancak<br /> kanunlarda öngörülen hallerle sınırlandırılmak suretiyle, bireylerin özel hayatlarının<br /> korunması ve verilerin işlenmesinde keyfiliğin önüne geçilebilmesi amaçlanmaktadır. <br /> <br /> MADDE 5- Maddenin birinci fıkrası, kişisel verilerin işlenmesine ilişkin temel ilkeleri<br /> düzenleyen en önemli hükümdür. “Kişisel Verilerin Otomatik İşleme Tâbi Tutulması<br /> Karşısında Bireylerin Korunmasına İlişkin 108 sayılı Sözleşmenin 5 inci maddesine göre,<br /> onaylayan devletlerin söz konusu temel ilkeleri iç hukuklarında yaşama geçirmek<br /> yükümlülüğü bulunmaktadır. Maddeyle Sözleşmeye ve 95/46 EC sayılı Avrupa Topluluğu<br /> Direktifinin 6 ncı maddesine uygun olarak kişisel verilerin işlenmesiyle ilgili genel ilkeler<br /> belirlenmiştir. Bu fıkrada belirlenen ilkeler, diğer maddelerde sözü geçen bütün veri<br /> işlemelerinde dikkate alınacaktır. Kişisel verilerin kamunun yararlanmasına açık olduğu veya<br /> ilgili kişinin veri işlenmesine itirazının bulunmadığı hallerde dahi, bu fıkrada belirtilen<br /> koşulların varlığı aranacaktır.<br /> Birinci fıkranın (a) ve (b) bentlerine göre kişisel verilerin hukuka ve dürüstlük<br /> kurallarına uygun olarak işlenmesi, verilerin belirli, açık ve meşru amaçlar için toplanması ve<br /> bu amaçlara aykırı olarak yeniden işlenmemesi gerekir. Buna göre veri kütüğü sahibi, veri<br /> işleme amacını açık ve kesin olarak belirlemeli ve bu amaç meşru olmalı, yine bu amaç ilgili<br /> kişiler tarafından biliniyor olmalıdır. Ayrıca veri kütüğü sahipleri, oluşturulacak sicile<br /> kaydolurken, veri işleme amaçlarını da açıkça belirteceklerdir. Belirttikleri bu amaçlar dışında<br /> başka amaçlarla veri işleyen veri kütüğü sahipleri ise bu fiillerinden dolayı sorumlu<br /> olacaklardır. Aynı zamanda bu verilerin, belirlenen amaçlara aykırı olarak üçüncü kişilere<br /> açıklanmaması gerekir.<br /> 21 (c) bendine göre, veri kütüğü sahipleri tarafından işleme tabi tutulan kişisel veriler,<br /> toplandıkları amaçla bağlantılı, yeterli ve orantılı olmalıdır. Buna göre, işlenen kişisel<br /> verilerin, belirlenen amaçların gerçekleştirilmesi için yeterli olması, amacın<br /> gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden<br /> kaçınılması gerekmektedir. Yine, olası kullanıma olanak yaratılması için verilerin toplanması<br /> yasak olacaktır.<br /> (ç) bendine göre, işlenen veriler doğru olmalı ve gerektiğinde güncellenmelidir.<br /> Kişisel verilerin doğru ve güncel olması, ilgili kişilere ait kişisel verilerin özellikle üçüncü<br /> kişilere aktarımı neticesinde ilgili kişilerin zarara uğramaları durumunda önem<br /> kazanmaktadır. Bu halde verileri doğru olarak tutmayan veya güncellemeyen veri kütüğü<br /> sahibi, ilgili kişilerin uğradıkları zararlar nedeniyle sorumlu olacaktır.<br /> (d) bendine göre, verilerin ilgili kişilerin kimliklerini belirtecek biçimde ve<br /> kaydedildikleri veya yeniden işlenecekleri amaç için gerekli olan süre kadar muhafaza<br /> edilmesi zorunludur. Buna göre, veri kütüğü sahiplerinin, verilerin saklanma sürelerini açıkça<br /> belirlemeleri, gerekmektedir. Herhangi bir veri, daha fazla saklanması için geçerli bir sebep<br /> yoksa silinecek veya yok edilecektir. Gelecekte kullanma ihtimali gerekçesiyle veri<br /> saklanamaz.<br /> Maddenin ikinci fıkrasıyla, birinci fıkranın (d) bendine istisnalar getirilmektedir. Buna<br /> göre, sadece tarihi, istatistiki veya bilimsel amaçlarla, kişisel veriler (d) bendinde<br /> öngörülenden daha uzun bir süre saklanabilecektir. <br /> <br /> MADDE 6- Kural olarak kişisel verilerin ilgili kişinin açık rızası ve maddede sayılan<br /> istisnalar dışında işlenmesi yasaktır. 95/46 EC sayılı Avrupa Birliği Direktifinin ikinci<br /> maddesinin (h) bendinde rızanın tanımı yapılmıştır. Buna göre rıza beyanı, ilgili kişinin<br /> kendisiyle ilgili veri işlenmesi fiiline, özgürce ve konuyla ilgili yeterli bilgi sahibi olarak<br /> verdiği ve sadece o işlemle sınırlı onay beyanıdır. Buna göre ilgili kişi, kendisine ait verilerin<br /> işlenmesini kabul etmektedir. Yine Direktifin 7 nci maddesine göre rıza, ilgili kişi tarafından<br /> “tereddüde yer bırakmayacak şekilde” verilmiş olmalıdır.<br /> Maddenin birinci fıkrasındaki hükmün doğal sonucu olarak; kanunlarda öngörülen<br /> yükümlülüklerin yerine getirilmesi dışında, ilgili kişinin bir itirazda bulunması halinde veri<br /> işlenemeyecektir.<br /> Maddenin son fıkrasında ise, birinci fıkranın diğer istisnaları sayılmıştır. <br /> <br /> MADDE 7- Maddeyle özel niteliği olan kişisel veriler sayılmakta ve genel kural<br /> olarak bu verilerin işlenemeyeceği düzenlenmektedir. Buna göre kişilerin ırk, siyasi düşünce,<br /> felsefi inanç, din, mezhep veya diğer inançları, dernek, vakıf veya sendika üyeliği, sağlık ve<br /> özel yaşamları ve her türlü mahkûmiyetleri ile ilgili veriler özel niteliği olan kişisel veri<br /> olarak kabul edilmektedir. Bu veriler, başkalarınca öğrenilmeleri halinde özellikleri gereği<br /> ilgili kişinin mağduriyetine yol açabilecek ve ayrımcılık tehlikesini oluşturacak nitelikte<br /> hassas verilerdir. Özel nitelikteki verilere dolaylı da olsa erişim imkanı veren veriler de<br /> madde kapsamında yerini almaktadır. Çünkü bu şekilde kişinin siyasî görüşü, dinî veya felsefî<br /> inancına ilişkin bilgiler bu verilerden elde edilebilecektir.<br /> Maddenin ikinci fıkrasıyla işlem yasağına bir kısım istisnalar getirilmektedir.<br /> (a) bendinde, ilgili kişinin özel nitelikteki verilerinin, hiçbir tereddüde yer<br /> bırakmayacak şekildeki rıza beyanının bulunması ve bu rıza beyanının yazılı olarak<br /> gerçekleştirilmesi hâlinde işlenmesine izin verilmektedir.<br /> 22 (b) bendine göre, ilgili kişinin hukukî veya fiilî nedenlerle rızasını açıklayamayacak<br /> durumda bulunduğu hallerde, kendisinin veya bir başkasının hayatı veya beden bütünlüğünün<br /> korunması için veri işleminin zorunlu olması durumunda hassas verileri işlenebilecektir.<br /> (c) bendiyle, veri kütüğü sahiplerinin bu Kanunla veya diğer kanunlarla tanınan hak ve<br /> yetkilerini kullanabilmesi veya yükümlülüklerini yerine getirebilmesi için veri işlemenin<br /> zorunlu olması halinde veri işlemeleri düzenlenmektedir. Ancak bu halde veri kütüğü<br /> sahibinin ilgili kişiye yeterli koruma imkânı sağlaması gerekmektedir. Örneğin; sağlık<br /> konularına ilişkin olmak üzere Umumî Hıfzıssıha Kanunu ile özel nitelikteki kişisel verilerin<br /> işlenebilme olanağı ihdas edilmişse Sağlık Bakanlığı veya ilgili bir başka kuruluş bu verileri<br /> işleyebilecektir.<br /> (ç) bendinde, vakıf, dernek, sendika ve siyasi partiler gibi kamuya yararlı kurum ve<br /> kuruluşlar tarafından özel nitelikli kişisel verilerin işlenmesi düzenlenmektedir. Buna göre bu<br /> verilerin, ilgili kuruluşların kuruluş amaçlarına, tâbi oldukları mevzuata uygun, faaliyet<br /> alanlarıyla sınırlı ve üyelerine yönelik olarak işlenmesi, ilgili kişilerin rızası olmadan üçüncü<br /> kişilere açıklanmaması gerekmektedir.<br /> (d) bendine göre ilgili kişi tarafından alenen açıklanmış olan özel nitelikteki verilerin<br /> işlenmesi de istisnalardan biri olarak kabul edilmiştir. Çünkü ilgili kişi tarafından alenen<br /> açıklanan, böylelikle herkes tarafından bilinen bu tür verilerin işlenmesinde, korunması<br /> gereken hukuki yararın ortadan kalktığı kabul edilmektedir. Yine de ikinci fıkrada belirtildiği<br /> şekilde, bu halde dahi kişinin özel alanı ve temel hak ve özgürlükleri korunmalıdır.<br /> (e) bendiyle, özel niteliği olan kişisel verilerin bir hakkın tesisi, kullanılması veya<br /> savunması için zorunlu olması durumu istisnalar arasında sayılmıştır. Bu bentte kastedilen<br /> işlemler yargılama faaliyetleri veya adlî işlemler nedeniyle yerine getirilen işlemlerdir.<br /> (f) bendiyle tıbbi tedbirler çerçevesinde özel nitelikte verilerin işlenmesi<br /> düzenlenmektedir. Buna göre bu verilerin, koruyucu hekimlik, tıbbi teşhis, tedavi, bakım veya<br /> sağlık hizmetlerinin yürütülmesi için gerekli olması gerekmekte ayrıca bu verilerin, hukuken<br /> veya meslek kurallarına göre sır saklama yükümlülüğü altında bulunan sağlık personeli veya<br /> eşdeğer seviyede sır saklama yükümlülüğü altındaki kişilerin gözetimi altında işlenmesi<br /> gerekmektedir.<br /> Maddenin üçüncü fıkrasıyla, Kişisel Verileri Koruma Kuruluna, özel nitelikteki<br /> verileri işleme yasağını daraltabilecek bir düzenleme yapma imkanı tanınmaktadır. Ancak<br /> bunun için temel kamu yararının bulunması ve yeterli koruma tedbirlerinin tespit edilmesi<br /> gerekmektedir.<br /> Maddenin diğer fıkralarıyla da işlem yasağına bir takım istisnalar getirilmektedir. <br /> <br /> MADDE 8- Kural olarak kişisel veriler üçüncü kişilere aktaramaz. Ancak bu kuralın<br /> istisnası maddede bentler halinde sayılmıştır.<br /> Birinci fıkranın (a) bendine göre, aktarma talebinde bulunan gerçek ve tüzel kişilerin<br /> belirli bir olayda kanundan doğan görevini yerine getirmesi için bu bilgiye ihtiyaç duyması<br /> halinde kişisel veriler, üçüncü kişiye aktarılabilecektir.<br /> (b) bendiyle hukuka uygunluk sebeplerinin varlığı halinde kişisel verilerin üçüncü<br /> kişiye aktarılabileceği düzenlenmiştir.<br /> Maddenin üçüncü fıkrasında kamu kurum veya kuruluşlarının kamu yararı, sır<br /> saklama yükümlülüğü, ilgili kişinin meşru menfaati veya kişisel verilere ilişkin özel koruma<br /> kurallarının varlığından bahisle kişisel verilerin, üçüncü kişilere aktarılmasını reddetmesini,<br /> sınırlamasını veya şarta bağlamasını mümkün kılan bir düzenleme getirilmiştir. Bu halde<br /> Kurul, fıkrada belirtilen hallerin varlığını değerlendirecektir.<br /> 23 Maddenin son fıkrasına göre; kamu kurum veya kuruluşlarının görev alanlarıyla ilgili<br /> konularda yapacakları talep üzerine, gizlilik esaslarına göre görev yapan personelin bilgileri<br /> hariç olmak üzere, kişilerin nüfus kayıt örnekleri ve adresleri bildirilebilecektir. <br /> <br /> MADDE 9- Maddede, kişisel verilerin anonim hale getirilmesi veya yok edilmesi ile<br /> ilgili hükümlere yer verilmiştir. Örneğin, İsviçre Veri Koruma Kanununun 2 nci maddesinde<br /> de aynı konu düzenlenmiştir.<br /> Verilerin anonim hale getirilmesi veya yok edilmesi konusunda usul ve esasların<br /> Kurulca hazırlanan yönetmelikte gösterilmesi madde ile hüküm altına alınmıştır. <br /> <br /> MADDE 10- Maddeyle kişisel verilerin işlenmesinde hukuka uygunluk sebeplerinden<br /> birisi olarak kabul edilen bir düzenleme yapılmaktadır. Buna göre kişisel veriler, araştırma,<br /> planlama ve istatistik gibi kamuya yönelik amaçlarla anonim hale getirilmesi kaydıyla<br /> işlenebilecek ve aynı zamanda bu suretle elde edilen veriler üçüncü kişilere aktarılabilecek<br /> veya yayınlanabilecektir. <br /> <br /> MADDE 11- Maddeyle, Direktifin 10 uncu maddesi düzenlemesi esas alınmak<br /> suretiyle, kişisel verilerin elde edilmesinde veri kütüğü sahibinin aydınlatma yükümlülüğü<br /> düzenlenmiştir. Düzenleme ile kişisel verileri işleyen veri kütüğü sahibi; kendisinin veya<br /> varsa temsilcisinin kimliği, işleme amacı, verilerin kimlere aktarılabileceği, veri toplamanın<br /> yöntemi, hukuki sebebi ve muhtemel sonuçları hakkında ilgili kişiyi bilgilendirir. Ayrıca<br /> verilerin daha sonraki kullanımları hakkında da ilgili kişiye bilgi verilmeli, böyle bir<br /> kullanıma izin verip vermeyeceği konusunda iradesi alınmalıdır. Yine eğer veri kütüğü sahibi,<br /> kişisel verileri daha sonraki bir zamanda, elindeki mevcut verileri elde ettiği esnada<br /> belirtmediği bir amaç için kullanacaksa, bununla ilgili olarak ilgili kişiye bilgi vermeli ve bu<br /> konudaki rızasını almalıdır. Bu sayede veri kütüğü sistemi sahibi veri korumasında önemli<br /> kriterler olan şeffaflık ve ilgili kişinin açık rızasını elde etmeyi gerçekleştirmiş olacaktır.<br /> Maddenin (d) ve (e) bentlerinde, veri toplanması sırasında, ilgili kişilerin kişisel<br /> verileri öğrenme hakkı ve verilerin gerçeğe aykırı olması veya güncel olmaması halinde ise<br /> düzeltme hakkının olduğu belirtilmiştir.<br /> Kişisel verilerin, veri kütüğü sahibi tarafından, ilgili kişi dışındaki başka kaynaklardan<br /> elde edilmesi halinde ise yukarıda sayılan bilgilerle birlikte işleme konu olan veri kategorileri<br /> hakkında da bilgi verilmesi gerekmektedir.<br /> İkinci fıkraya göre, kişisel verilerin istatistikî, tarihî veya bilimsel araştırma yapılması<br /> amacıyla, başka bir veri kütüğünden edinilmesinde, ilgili kişiye bilgi verilmesinin imkansız<br /> olması yada bu bilgilerin verilmesinde büyük güçlükler bulunması veya verilerin<br /> aktarılmasının açıkça kanunla öngörüldüğü hallerde, veri kütüğü sahipleri birinci fıkrada<br /> sayılan yükümlülüklerden muaf tutulmaktadır. <br /> <br /> MADDE 12- Maddeyle, ilgili kişinin hakları düzenlenmiştir. İlgili kişi kendisiyle ilgili<br /> kişisel veri kaydedilip kaydedilmediğini öğrenme, bunları isteme, verinin muhtevasının eksik<br /> veya gerçeğe aykırı olması hallerinde bunların düzeltilmesini, hukuka aykırı olması halinde<br /> silinmesini, yok edilmesini veya aktarımının engellenmesini isteme hakkına sahiptir. İlgili kişi<br /> aynı zamanda talebi doğrultusunda yapılan işlemlerin, verilerin açıklandığı üçüncü kişilere<br /> bildirilmesini isteme hakkına sahiptir.<br /> Ayrıca bilgi edinmedeki aralıkların uygun olup olmadığının değerlendirilmesi ise<br /> verilerin niteliğine göre yapılacaktır. Yine toplanan verilerin doğrudan pazarlama amacıyla<br /> 24kullanılması da öngörülüyorsa, bu konuda da ilgili kişiye itiraz hakkı tanınması ve konuyla<br /> ilgili bilgi verilmesi gerekmektedir.<br /> Veri kütüğü sahibi, kendisinden talepte bulunulması halinde, ilgili kişiye ait bilgileri,<br /> bunların işlenmesinin hukuki dayanağını ve amacını, hangi tür işlemlerin üçüncü kişilere<br /> aktarılabileceğini ve aktarılacak kişilerin kimliklerini bildirmek zorundadır. Verilerin<br /> kaynağının açıklanmasında genel bir ifade yeterli olmayacak, bilginin kaynağı somut olarak<br /> açıklanacaktır. Özellikle verilerin otomatik yollarla işlenmesinde ilgili kişilerin teknik<br /> bilgiden yoksun olma ihtimali gözetilerek, kişilerin anlayabileceği şekilde bilgi verilmesi<br /> gerekmektedir.<br /> Veri kütüğü sahibi bu verilerin muhtevasının eksik veya gerçeğe aykırı olması<br /> hallerinde düzeltmekle, hukuka aykırı olması halinde silmek, yok etmek veya ilgili kişi<br /> hakkında veri işlemesini durdurmak ve üçüncü kişilere aktarımını engellemekle yükümlü<br /> olacaktır. Verilerin yok edilmesi, otomatik olmayan yollarla veri işlenmesi halinde ilgili<br /> evrakların imhası, otomatik yollarla veri işlenmesi halinde verilerin veya ilgili kişiyle<br /> doğrudan ilişkilendirilmeyi sağlayacak bilgilerin kayıtlı olduğu CD, disket, USB disk, hard<br /> disk gibi araçlardan silinmesi veya diğerlerinden ayrıştırılarak yok edilmesi şeklinde<br /> gerçekleştirilecektir.<br /> Maddenin üçüncü fıkrasıyla, ilgili kişilerin maddede sayılan haklarını kullanmalarına<br /> ilişkin olarak istisnalar getirilmektedir. Buna göre ilgili kurumlar, maddede sayılan hakların<br /> kullanılması halinde (a) bendinde belirtilen görevlerin yerine getirilmesi veya yürütülen ceza<br /> soruşturmaları veya kovuşturmalarının akıbetinin tehlikeye düşmesi durumunda ilgili kişilerin<br /> bu hakları kullanmalarını sınırlayabileceklerdir. <br /> <br /> MADDE 13- Maddenin birinci fıkrasında 12 nci maddeye göre kullanılacak başvuru<br /> hakkının usulü gösterilmektedir.<br /> İkinci fıkrada ise, birinci fıkraya göre yapılan başvurulara, ilgili veri kütüğü<br /> sahiplerinin hiç veya yeterli cevap vermemesi nedeniyle başvurulacak itiraz yolu<br /> belirtilmektedir.<br /> Üçüncü fıkrayla, 4982 sayılı Bilgi Edinme Hakkı Kanunu paralelinde, başvurudan<br /> kaynaklanan masrafların karşılanmasına yönelik bir düzenleme öngörülmektedir. <br /> <br /> MADDE 14- Maddeyle, Direktifin 25 ve 26 ncı maddeleri dikkate alınarak, kişisel<br /> verilerin yurtdışına aktarımı düzenlenmektedir. Kural olarak, kişisel verilerin Türkiye<br /> dışındaki bir ülkeye aktarılabilmesi için yabancı ülkede de, ülkemizdekine eşdeğer ve etkin<br /> bir korumanın bulunması gerekecektir. Veri kütüğü sahipleri ilgili ülkede yeterli düzeyde<br /> koruma olup olmadığını kontrol etmek zorundadır. Bu değerlendirme, işleme konu verinin<br /> niteliği, veri işlemenin amacı ve işleme süresi, verinin aktarıldığı ülkenin konuyla ilgili genel<br /> ve özel düzenlemeleri ile uygulanan güvenlik tedbirleri dikkate alınarak yapılacaktır.<br /> Maddenin ikinci fıkrasıyla bu kuralın istisnaları düzenlenmektedir. Üçüncü fıkraya<br /> göre, kişilerin özel hayatlarının gizliliği ile temel hak ve hürriyetlerin korunmasına ilişkin<br /> yeterli tedbirlerin, yabancı ülkede bulunan veri kütüğü sahibi tarafından yazılı olarak taahhüt<br /> edilmesi durumunda, ilgili veriler Kurulun izniyle aktarılabilecektir.<br /> Son fıkrayla göre ise Kurulun üçüncü fıkraya göre karar alırken dikkate alması<br /> gereken kriterler belirlenmektedir. <br /> <br /> MADDE 15- Maddeyle Sözleşmenin 7 nci ve Direktifin 17 nci maddesine uygun<br /> olarak kişisel verilerin işlenmesine ilişkin alınacak teknik ve idarî tedbirler düzenlenmiştir.<br /> 25 Maddede kişisel verileri kontrol edenlerin ve onlar adına işleyenlerin, kişisel verilerin<br /> işlenmesinde uygun teknik ve idari tedbirleri almak zorunda oldukları belirtilmiştir. Bu<br /> tedbirler, teknolojinin ulaştığı en üst düzey ve uygulanma maliyeti de dikkate alınarak,<br /> korunacak verinin niteliğine ve işlenmeden kaynaklanabilecek risklere karşı uygun bir<br /> güvenlik seviyesi sağlamalıdır. Bu idarî tedbirler arasında kişisel verilerin korunması<br /> konusunda uygun idarî personel istihdam edilmesi de bulunmaktadır.<br /> Maddenin ikinci fıkrasına göre, verilerin veri kütüğü sahibi adına başka bir işleyen<br /> tarafından işlenmesi halinde, iki taraf arasında bir sözleşme veya hukukî bir tasarrufla yazılı<br /> olarak birinci fıkrada belirtilen yükümlülüklerin yerine getirilmesinin garanti altına alınması<br /> gerekmektedir. Bu halde veri işleyenler, ancak veri kütüğü sahibinin talimatları doğrultusunda<br /> veri işleyebileceklerdir. <br /> <br /> MADDE 16- Maddeyle, Kurul tarafından, kişisel veri işleyen veri kütüğü<br /> sahiplerinin tescil edileceği bir sicilin oluşturulması öngörülmektedir. Kişisel veri işleyen<br /> gerçek kişiler ile kamu ve özel hukuk tüzel kişileri, veri kütüğünü kurmadan önce bu Sicile<br /> kaydolmak zorundadırlar. Ancak 22 nci maddede sayılan istisnalar saklıdır. Söz konusu<br /> Sicilin içeriği, aynı zamanda kayıt başvurusunda verilecek olan bildirim içeriğinde bulunan<br /> ve 17 nci maddede belirtilen bilgilerden oluşacaktır. <br /> <br /> MADDE 17- Maddede veri kütüğü sahipleri tarafından Sicile kayıt esnasında<br /> bildirilecek hususlar sayılmıştır. Ayrıca söz konusu bilgilerde meydana gelen değişikliklerin,<br /> yıl sonunda toplu olarak Kurula bildirilmesi öngörülmektedir. <br /> <br /> MADDE 18- Direktifin 18 inci maddesine uygun olarak hangi hallerde bildirim<br /> zorunluluğunun bulunmadığı düzenlenmiştir. Bu şekilde Kurulun aşırı bir iş yüküyle<br /> karşılaşmasının engellenmesi amaçlanmaktadır. <br /> <br /> MADDE 19- Maddede, Direktifin 20 nci maddesi göz önüne alınarak Kurulun, veri<br /> konusu kişilerin kişiliklerine, temel hak ve hürriyetlerine yönelik risk taşıması ihtimali olan ve<br /> bu Kanunun 5 inci maddesinde belirtilen niteliklere uygun olmayan ve 6 ncı ve 7 nci<br /> maddelerinde belirtilen koşulları taşımayan veri işlenmelerini belirlemek üzere, bu işlenmeler<br /> başlamadan önce ön inceleme yapması konusu ve buna ilişkin usul düzenlenmiştir. Kural<br /> olarak, ön inceleme sonuçlanmadan kişisel veri işlemesinin yapılamayacağı esası getirilmiştir.<br /> Maddeyle kişilerin temel hak ve özgürlüklerine önemli ölçüde zarar verebilecek<br /> işlemelerin önceden tespit edilerek engellenmesi amaçlanmaktadır. Buna göre işlenen verinin<br /> niteliği, işleme amacı, verinin dahil olduğu kategori ve ortaya çıkacak sonuçlar<br /> değerlendirilecektir. <br /> <br /> MADDE 20- Maddeyle özellikle veri kütüğü sahibi tüzel kişilere, Kanunda bahsi<br /> geçen veri koruma kurallarının kendi kurumlarında etkin bir şekilde uygulanmalarını<br /> sağlamak ve bir iç denetim mekanizması kurmalarını mümkün kılmak amacıyla bağımsız bir<br /> veri denetim kuruluşu görevlendirme imkânı verilmektedir. Aynı zamanda ilgili veri kütüğü<br /> sahipleri, 16 ve devamı maddelerinde belirtilen bildirim külfetinden kurtulacaklardır.<br /> Maddeye göre, Kanunun hedeflediği veri koruma standartlarının yerine getirilmesi<br /> için, söz konusu denetim kuruluşlarının kendilerini atayan veri kütüğü sahibinden talimat<br /> almaksızın, bağımsız olarak görevlerini yerine getirmeleri öngörülmektedir. Buna göre<br /> 26denetim kuruluşları 16 ncı maddede öngörülen Sicili tutacaklar ve yaptıkları çalışmalar<br /> hakkında hazırlayacakları raporları her yıl Ekim ayı sonuna kadar Kurula sunacaklardır.<br /> Hâlen mevcut bir bağımsız denetim kuruluşu olmamakla birlikte, söz konusu<br /> düzenlemenin geleceğe yönelik olarak, özellikle büyük şirketler veya şirket gruplarına veri<br /> koruma prosedürlerini daha etkin ve kolay bir şekilde yerine getirme imkanını sağlayacağı<br /> öngörülmektedir. <br /> <br /> MADDE 21- Maddeyle 20 nci maddede belirtilen denetim kuruluşunun görevine<br /> başlayabilmesi için Kurula bildirimde bulunulmasının zorunlu olduğu belirtilmiş, bu<br /> kuruluşlar veya veri kütüğü sahipleri tarafından yapılabilecek suiistimallerin engellenmesi<br /> için, Kurulun Kanundan doğan yetki ve görevleri saklı tutulmuştur. <br /> <br /> MADDE 22- Maddede, Direktifin 13 üncü maddesi göz önüne alınarak genel<br /> kurallara getirilen istisnalara bentler halinde yer verilmiştir. Buna göre birinci fıkrada bentler<br /> halinde sayılan durumlarda Kanunun; hukuka uygunluk sebepleri, aydınlatma yükümlülüğü,<br /> Veri Kütüğü Sicili, Sicile kayıt ve ön inceleme konularıyla ilgili maddeleri<br /> uygulanmayacaktır.<br /> Özellikle belli bir kişiye ilişkin tedbir veya karar alınmasına yönelik kullanılmadığı<br /> ve veri konusu kişinin özel yaşamının gizliliğinin ihlal edilmesi riskinin kesinlikle<br /> bulunmadığı hallerde, 12 nci maddede belirtilen haklar, ilgili mevzuatta yeterli koruma<br /> tedbirleri bulunması kaydıyla, bilimsel araştırma yapma veya istatistik oluşturma amaçları ile<br /> kanunla sınırlandırılabilecektir.<br /> Direktifin 13 üncü maddesi, yukarıda sayılan istisnaların tanınması bakımından üye<br /> ülkelere imkân tanımakta olup, üye ülkelerin büyük çoğunluğu, kendi veri koruma<br /> kanunlarında bu tip istisnaî düzenlemelere yer vermişlerdir. <br /> <br /> MADDE 23- Maddeyle, 22 nci maddede sayılan istisnalar dışında, gazetecilik<br /> amacıyla kişisel veri işlenmesi durumunda bir kısım istisnalar öngörülmektedir. Buna göre,<br /> maddede belirtilen veri kütüğü sahipleri, sadece gazetecilik amacıyla veri işlemeleri halinde<br /> Kanunun; kişisel verilerin işlenmesi ilkeleri, verilerin korunması için alınacak tedbirler ile<br /> mesleki davranış kurallarının hazırlanması konularına ilişkin maddelerine tabi olacaklardır.<br /> Maddenin ikinci fıkrasıyla, birinci fıkrada tanınan muafiyetin sınırları tespit<br /> edilmektedir. <br /> <br /> MADDE 24- Maddede kişisel verilerin işlenmesi bakımından meslekî davranış<br /> kuralları düzenlenmiştir. Direktifin 27 nci maddesi göz önüne alınmış olup, değişik<br /> sektörlerde farklı özelliklere sahip mesleklere yönelik olarak, kişisel verilerin işlenmesi<br /> bakımından hazırlanan veya değiştirilen mes1ekî davranış kurallarına ilişkin düzenleme<br /> taslakları hakkında Kuruldan görüş alınması öngörülmüştür. <br /> <br /> MADDE 25- Madde, Sözleşmenin de öngördüğü genel bir ilkeyi tekrarlamaktadır.<br /> Bu hükümle artık ihtiyaç duyulmayan kişisel verilerin silinmesi veya yok edilmesi konusu<br /> düzenlenmektedir.<br /> Ayrıca, silinme veya yok edilmenin hangi yöntemlerle gerçekleştirileceği konusunda<br /> Kurulca, her sektörün özellikleri göz önünde tutularak özel kuralları içerecek yönetmelik<br /> hazırlanması olanağı tanınmıştır. <br /> <br /> 27MADDE 26- Maddeyle, kişisel verileri kontrol edenleri denetlemek ve Kanunla<br /> verilen görevleri yapmak üzere Kişisel Verileri Koruma Kurulunun oluşturulması<br /> öngörülmektedir.<br /> Sözleşmenin 4 üncü maddesi her devletin Sözleşmede öngörülen ilkeleri iç<br /> hukuklarında yaşama geçirmesini zorunlu kılmıştır. Sözleşmeyi onaylayan devletler bu<br /> amaçla birer kurumsal yapı oluşturmuşlardır. Aynı şekilde Avrupa Komisyonunun söz<br /> konusu 95/46/EC sayılı Direktifinin 28 inci maddesinde üye devletlerin, kişisel verilerin<br /> işlenmesine ilişkin ilkelerin uygulanmasını izlemek ve yönlendirmek üzere bir veya bir kaç<br /> kamu kuruluşunu görevlendirmeleri gereğine işaret edilmiştir.<br /> Avrupa Birliği üyesi ülkelerin tümünün, bu alanda yasama veya yürütme organlarına<br /> karşı bağımsız bir şekilde görev yapacak kurullar oluşturduğu gözlenmiştir. Örneğin,<br /> Almanya’da, Federal Verileri Koruma Görevlisi (Bundesbeauftragter für Datenschutz),<br /> Avusturya’da Verilerin Korunması Komisyonu (Kommission für Datenschutz), İsveç’te<br /> Verileri Denetim Kurulu (Data Inspection Board), Fransa’da Enformatik ve Özgürlükler Milli<br /> Komitesi (Commission Nationale de 1 ‘Informatique et des Libertes), İngiltere’de Veri<br /> Koruma Komisyonu (Data Protection Commissioner) gibi kuruluşlar, milli kanunlar ve<br /> sözleşmelerde yer alan verilerin korunması ilkelerinin uygulanmasını izleyen ve yönlendiren<br /> bağımsız kuruluşlardır. <br /> <br /> MADDE 27- Maddede Kurulun oluşum biçimi, Kurul üyeliklerine seçileceklerde<br /> aranan nitelikler belirtilmiştir.<br /> Kişisel Verileri Koruma Kurulu, Kanunda öngörülen hükümlerin, kişisel veri<br /> sicillerini kontrol eden kamu kurum veya kuruluşlarınca uygulanmasını izleyip denetleyecek,<br /> ayrıca kendiliğinden veya başvuru üzerine herhangi bir konuyu inceleyerek açıklığa<br /> kavuşturacaktır. İnceleme sonucunda kanun hükümlerinin ihlal edildiğinin anlaşılması<br /> halinde, Kurul, sorumlulardan kişisel verilerin işlenme tarzında değişiklik yapılmasını veya<br /> işlemeyi sona erdirmesini ve gerekiyorsa silinmesini ya da yok edilmesini isteyecektir. <br /> <br /> MADDE 28- Maddeyle Kurul üyelerinin görev süreleri, üyeliğin sona ermesi<br /> halinde yeni üye seçimi ve yapılacak işlemler düzenlenmektedir. <br /> <br /> MADDE 29- Maddeyle Kurul üyelerinin edecekleri yemin usulü düzenlenmiştir. <br /> <br /> MADDE 30- Maddeyle, Kurulun çalışma esasları düzenlenmiştir. <br /> <br /> MADDE 31- Maddede Kurulun görev ve yetkileri sayılmıştır. <br /> <br /> MADDE 32- Maddede şikâyet başvurusunun usulü gösterilmektedir. Buna göre<br /> ilgili kişiler, şikâyet konusu işlemin yapıldığı veya öğrenildiği tarihten itibaren üç ay içinde<br /> Kurula şikayette bulunabileceklerdir. <br /> <br /> MADDE 33- Maddede, Kurulun şikâyetleri inceleme usulü ve bu inceleme<br /> neticesinde yapacağı işlemler ile veri kütüğü sahibinin Kurul incelemesi ile ilgili olarak<br /> yükümlülükleri düzenlenmektedir.<br /> Maddenin son fıkrasıyla Kurula, geçici tedbir mahiyetinde veri işlenmesini veya yurt<br /> dışına veri aktarımını engelleme imkânı tanınmaktadır.<br /> 28<br /> MADDE 34- Sözleşmenin 10 uncu maddesinde, onaylayan devletlerin, Sözleşmede<br /> öngörülen ilkelerin gereken şekilde uygulanabilmesini sağlamak üzere, iç hukuklarında etkin<br /> yaptırımlar öngörmeleri belirtilmiştir. Aynı şekilde, söz konusu 95/46/EC sayılı Avrupa<br /> Topluluğu Direktifinin 11 inci Bölümünde, üye devletler, ilkelerin ihlâli halinde yaptırımlar<br /> uygulamaya davet edilmektedir. Nitekim, mevzuatı incelenen devletlerde, kişilik hakları<br /> ihlalinin ağırlık derecesine göre, para veya hürriyeti bağlayıcı cezalar verildiği gözlenmiştir.<br /> Buna göre, maddede 5237 sayılı Türk Ceza Kanununun 135 ve devamı maddelerine<br /> paralel olarak ceza hükümleri öngörülmüştür. <br /> <br /> MADDE 35- Maddede Türk Ceza Kanununda düzenlenmeyen silinmesi veya yok<br /> edilmesi gereken kişisel verileri ihmalen silmeyen veya yok etmeyen kişiler için ceza<br /> yaptırımı öngörülmektedir. <br /> <br /> MADDE 36- 5237 sayılı Türk Ceza Kanununa paralel bir şekilde, daha önceki<br /> maddelerde tarif edilen suçların tüzel kişiler tarafından işlenmesi halinde, tüzel kişilere özgü<br /> güvenlik tedbirlerinin uygulanması öngörülmektedir. <br /> <br /> MADDE 37- Maddede, Kurul tarafından idarî para cezaları verilmesi<br /> düzenlenmiştir. Kanunun ilgili maddelerine belirli atıflar yapılmak suretiyle, suçta kanunîlik<br /> ilkesi korunmuş ve ihlalin ağırlık derecesine göre giderek artan para cezaları öngörülmüştür. <br /> <br /> MADDE 38- Maddenin birinci fıkrasında yıllık faaliyet raporu düzenlenmiştir. Buna<br /> göre, Kurul, açıklık ilkesinin gereği olarak, her yıl vermiş olduğu kararlar, yaptığı<br /> düzenlemeler ve bunların etkilerini analiz eden bir rapor hazırlayacaktır. Yine bu ilkenin<br /> gereği olarak söz konusu raporun ve Kurul kararlarının erişime açılması öngörülmüştür. <br /> <br /> MADDE 39- Maddeyle Kanunun uygulanmasına ilişkin yönetmeliklerin<br /> Başbakanlık tarafından yürürlüğe konulması öngörülmüştür. <br /> <br /> GEÇİCİ MADDE 1- Maddeyle, halen veri işlemekte olan veri kütüğü sahiplerinin<br /> sicile kayıt olmaları süre öngörülmekte ve bu şekilde veri kütüğü sahiplerinin gerekli<br /> hazırlıkları yapabilmesi için imkân tanınmaktadır. <br /> <br /> MADDE 40- Yürürlük maddesidir. <br /> <br /> MADDE 41- Yürütme maddesidir <br /> <br />