-
Genel Gerekçe
Kişisel veri, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanabilir. Bu bağlamda kişinin kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına, dini inancına ve siyasi görüşüne ilişkin bilgiler, kişisel veri olarak nitelendirilmektedir.
Günümüzde bu veriler, gerek özel sektör ve gerekse kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır. Bu bilgilerin kullanılması bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar veya avantajlar sağlasa da, bu durum söz konusu bilgilerin istismar edilme riskini de beraberinde getirmektedir. Bu verilerin yetkisiz kişiler tarafından elde edilmesi, kullanılması ve ifşa edilmesi gerek taraf olduğumuz sözleşmeler ve gerekse Anayasamızda koruma altına alınan temel hakların ihlali olarak karşımıza çıkmaktadır. Bu iki menfaat arasında makul bir dengenin oluşturulması gerekmektedir.
Kişisel verilerin işlenebilmesi hususunda özel bir kanun ve etkin bir denetim mekanizmasının bulunmaması toplumumuzda olumsuz bir algının oluşmasına sebebiyet vermektedir. Oluşan bu algının ortadan kaldırılması için kişisel verilerin belli şartlar dahilinde işlenmesine, muhafaza edilmesine ve kontrolüne ilişkin esasların belirlenmesi gerekmektedir.
Çağımızda insan haklarının korunması bilincinin gelişmesine paralel olarak, kişisel verilerin korunmasının da önemi her geçen gün artmaktadır. Bu nedenle günümüzde gelişmiş ülkelerde kişisel verilerin korunması alanında detaylı kanuni düzenlemelerin uygulanmakta olduğu görülmektedir.
Buna karşın ülkemizde, kişisel verilerin korunmasına ilişkin alanı bütüncül olarak düzenleyen bir kanun bulunmamakta, bu konuya ilişkin hükümler farklı kanunlarda yer almaktadır. Ayrıca ülkemizde kişisel verilerin işlenmesi sürecini kontrol edecek ve denetleyecek bir kurum da bulunmamaktadır. Bunun bir sonucu olarak, halen kişisel veriler yeterli düzenleme ve denetime tabi olmaksızın, birçok kişi veya kurum tarafından kullanılabilmekte ve bu durum bazı hak ihlallerinin yaşanmasına sebep olabilmektedir.
Ülkemizde kişisel verilerin korunmasını sağlayacak bir kanunun yürürlüğe girmesini gerektiren değişik sebepler bulunmaktadır. Öncelikle, 5237 sayılı Türk Ceza Kanununun 135 ve devamı maddelerinde, kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiilleri suç olarak düzenlenmiş ve yaptırıma bağlanmıştır. Bununla birlikte, kişisel verilerin işlenmesine yönelik özel bir kanunun bulunmaması sebebiyle, bu fillerin ne zaman hukuka aykırı, ne zaman hukuka uygun olduğunun belirlenmesinde tereddütlerin yaşandığı görülmektedir.
Öte yandan 12 Eylül 2010 tarihinde yapılan halkoylaması sonucu kabul edilen 5982 sayılı Kanunla Anayasanın 20 nci maddesinde yapılan düzenlemeyle, kişisel verilerin korunması temel bir insan hakkı olarak güvence altına alınmış ve detayların kanunla düzenlenmesi öngörülmüştür.
Yine ülkemizle ilgili olarak devam etmekte olan Avrupa Birliği tam üyelik sürecinde, müzakere fasıllarından dördü, doğrudan kişisel verilerle ilgilidir. Bu fasıllarla ilgili sürecin ilerleyebilmesi için ülkemizde kişisel verilerin korunmasına ilişkin temel bir kanunun yürürlüğe girmesi gerekmektedir. Avrupa Birliğinin Türkiye ile ilgili olarak hazırladığı ilerleme raporlarında Türkiye'de veri koruma alanındaki kanuni boşluğa işaret edilmektedir.
Ülkemizde kişisel verilerin korunmasına ilişkin kanuni bir düzenleme olmaması sebebiyle, polis birimleri arasında etkin bir işbirliğini hayata geçiren EUROPOL ile ülkemiz güvenlik birimleri arasında operasyonel işbirliği anlaşması yapılamamakta ve elektronik bilgi değişimi gerçekleştirilememektedir.
Benzer şekilde, sınır aşan suçlarla ilgili değişik ülkelerin yargı mercilerinin ortak operasyonlar yapabilmesi amacıyla oluşturulan EURO JUST ile çok sayıda sınır aşan suçun işlendiği geçiş güzergahında bulunan ülkemiz arasında bu suçlarla mücadeleye yönelik işbirliği yapılamamaktadır.
Sağlık kuruluşlarında hastalara ilişkin çok sayıda özel nitelikli veri tutulmakta olup, bu verilerin tutulmasına ilişkin kanuni dayanağın olmayışı, verilerin güvenliğinin sağlanmasına yönelik yeterli önlemlerin alınmaması ve yetkisiz kişilerce bu nitelikteki bilgilerin ifşa edilmesi, Avrupa İnsan Hakları Mahkemesince özel hayatın gizliliğine müdahale olarak nitelendirilmekte ve ihlal kararları verilebilmektedir.
Aynı şekilde, ülkemizde yaşayan yabancılar ile yurtdışında yaşayan Türk vatandaşları bakımından Dışişleri Bakanlığı askerlik, vatandaşlık, kimlik ve malvarlığı gibi konularda veri paylaşımında sorunlar yaşamaktadır.
Ayrıca, kişisel verilerin korunması konusunda kanun hazırlanması, ülkemizin Katılım Ortaklığı Belgesine cevap olarak hazırladığı 2003 Ulusal Programında taahhüt ettiği yükümlülüklerdendir.
Diğer taraftan, 64. Hükümet 2016 yılı Eylem Planında üç ay içerisinde gerçekleştirilecek reformlar arasında kişisel verilerin korunmasına ilişkin kanuni düzenlemelerin hayata geçirileceği yer almaktadır.
Kişisel verilerin korunması konusu ekonomik alanla da yakından ilgilidir. Zira yabancı sermayenin ülkemizde yatırım yapması ve başka ülkelerdeki yatırımları ile ülkemizdeki yatırımlarını etkin bir şekilde yönetebilmesi için ihtiyaç duyduğu veri aktarımı, ülkemizde kanuni düzenleme olmaması sebebiyle gerçekleştirilememekte ve bu durum yabancı sermayenin ülkemizde yatırım yapması bakımından caydırıcı bir etken olarak değerlendirilmektedir. Yine işadamlarımızın yabancı ülkelerdeki yatırımları ve ortaklıklarıyla ilgili ihtiyaç duydukları veri aktarımında sorunlar yaşanmaktadır.
Tüm bu açıklamalar, ülkemizde kişisel verilerin korunmasına ilişkin kanunun bir an önce yürürlüğe girmesini gerekli kılmaktadır.
Kişisel verilerin korunması konusu 1980'li yıllardan itibaren uluslararası belgelerde yer almaya başlamıştır. İlk olarak, ülkemizin de üyesi bulunduğu, İktisadi İşbirliği ve Kalkınma Teşkilatı (OECD) tarafından 23/9/1980 tarihinde "Kişisel Alanın ve Sınır Aşan Kişisel Bilgi Trafiğinin Korunmasına İlişkin Rehber İlkeler" kabul edilmiştir.
Avrupa Konseyi tarafından, tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan 108 sayılı "Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi", 28 Ocak 1981 tarihinde imzaya açılmış ve ülkemiz tarafından da imzalanmıştır.
Avrupa Konseyi ayrıca, kişisel verilerin korunmasına yönelik, tıbbi veri bankaları, bilimsel araştırma ve istatistik, doğrudan pazarlama, sosyal güvenlik, sigorta, polis kayıtları, istihdam, elektronik ödeme, telekomünikasyon ve internet gibi çeşitli sektörlerde uygulanacak ilkeleri belirleyen tavsiye kararları da kabul etmiştir. Tasarının hazırlanması sırasında, söz konusu tavsiye kararları gözönüne alınmakla beraber, Tasarının "çerçeve tasarı" niteliği korunmuştur. Tüm sektörlerle ilgili düzenlemelere yer verilmesi halinde, Tasarının hacminin çok genişleyeceği düşünülerek, söz konusu tavsiye kararları Tasarıya alınmamıştır. Bu tavsiye kararlarında yer alan ilkelere, ilerleyen süreçte, değişik sektörlerle ilgili yapılacak düzenlemelerde yer verilebileceği değerlendirilmiştir.
Öte yandan, Avrupa Birliği, üye ülkelerin kişisel verilerin korunmasına ilişkin mevzuatı arasında uyum sağlamak üzere, 24/10/1995 tarihinde "Kişisel Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunması ve Serbest Veri Trafiği Direktifi"ni (95/46/EC) yürürlüğe koymuştur. Bu Direktifle, üye ülkelerdeki bireylerin kişisel verilerinin üst düzeyde korunması ve kişisel verilerin Avrupa Birliği içerisinde özgür dolaşımını sağlayacak açık ve kalıcı bir düzenleme yapılması amaçlanmıştır.
Kişisel verilerin korunmasına yönelik uluslararası belgeler gözönüne alındığında; bu konuya ilişkin hazırlanacak kanunda, kişisel verilerin işlenme şartlarının, bireylerin aydınlatılmasının, bu alanı denetleyecek ve düzenleyecek bir otoritenin oluşturulmasının, veri güvenliğine ilişkin gerekli tedbirlerin alınmasının temel ilkeler olarak kabul edildiği görülmektedir.
Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları gözönüne alınmak suretiyle hazırlanan Tasarıyla, kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır.
Birinci Bölüm
Amaç, Kapsam ve Tanımlar
Amaç
MADDE 1
- (1)Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
-
Madde Gerekçesi
Maddeyle, Kanunun amacı belirlenmektedir. Amaç, kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır. Son yıllarda önem kazanan kişinin mahremiyet hakkı ile bilgi güvenliği hakkının korunması da bu kapsamda değerlendirilmektedir. Ayrıca, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların da düzenlenmesi Kanunun amaçları arasında yer almaktadır.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 1'inci maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 1'inci maddesi (Tasarının 1'inci maddesi) aynen kabul edilmiştir.
Kapsam
MADDE 2
- (1)Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
-
Madde Gerekçesi
Maddeyle, Kanunun kapsamı belirlenmektedir. Buna göre Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır. Özel sektör ile kamu sektörü bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların her iki sektörde de uygulanması benimsenmektedir. Kişisel verilerin otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesi bakımından da herhangi bir fark öngörülmemektedir. Veri kayıt sistemi, Kanunun 3 üncü maddesinde tanımlandığı üzere kişisel verilere ulaşımı kolaylaştıracak şekilde, belirli bir kritere göre yapılandırılmış kayıt sistemini ifade etmektedir. Bir dosyalama sistemi olarak nitelenebilecek veri kayıt sistemi sadece dijital yahut elektronik ortamda oluşturulması gereken bir sistem değildir. Bu kapsamda, otomatik olmayan yollarla işlenen kişisel veriler bir veri kayıt sisteminin parçası değilse Kanun kapsamında değerlendirilmeyecektir. Ancak, bu hüküm anılan verilerin kişisel veri niteliğini etkilemeyeceğinden, bu tür verilere ilişkin hukuka aykırı eylemler 5237 sayılı Türk Ceza Kanunu uyarınca suç teşkil etmeye devam edecektir.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 2'nci maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 2'nci maddesi (Tasarının 2'nci maddesi) aynen kabul edilmiştir.
Tanımlar
MADDE 3
- (1)Bu Kanunun uygulanmasında;
- a)Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
- b)Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
- c)Başkan: Kişisel Verileri Koruma Kurumu Başkanını,
- ç)İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
- d)Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
- e)Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
- f)Kurul: Kişisel Verileri Koruma Kurulunu,
- g)Kurum: Kişisel Verileri Koruma Kurumunu,
- ğ)Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
- h)Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
- ı)Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
- ifade eder.
-
Madde Gerekçesi
Maddeyle, Kanunda kullanılan bazı terimlerin tanımları yapılmıştır. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.
Kişisel verilerin işlenmesi kavramı geniş bir alanı kapsamaktadır. Buna göre kişisel verilerin işlenmesi, verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.
Açık rıza, 95/46 EC sayılı Direktif dikkate alınarak tanımlanmaktadır. Buna göre, açık rıza ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır.
Kişisel verilerin anonim hale getirilmesi, verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir. Bu kapsamda, elde kalan veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez.
Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Bu sistemler elektronik yahut fiziki ortamda oluşturulabilir. Buna göre, veri kayıt sisteminde kişisel veriler, ad, soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, kredi borcunu ödemeyenlere ilişkin oluşturulacak sınıflandırma da bu kapsamda değerlendirilecektir.
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olanlardır. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir.
Veri işleyen, veri sorumlusu adına verileri işleyen gerçek ve tüzel kişilerdir. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen çalışanlar olabileceği gibi, veri sorumlusunun hizmet satın almak suretiyle belirlediği ayrı bir gerçek veya tüzel kişi de olabilir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 3'üncü maddesinin birinci fıkrasının (a) bendinde tanımlanan açık rıza kavramının özellikle açık bilgilendirme unsurunu taşımaması ve hangi yollarla açık rızanın alınabileceğinin açıkça belirtilmemiş olması dolayısıyla müphem noktalar barındırdığından, bu noktaların açıklığa kavuşturulması amacıyla değiştirilmiş ve madde yapılan değişiklik doğrultusunda kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 3'üncü maddesinin (Tasarının 3'üncü maddesi) birinci fıkrasının (a) bendinde tanımlanan "açık rıza" kavramında, rızanın veriliş şekline ilişkin düzenlemenin metinden çıkarılması ve bu konuda ilgililere takdir hakkı tanınması amacıyla değişiklik yapılmıştır. Madde yapılan değişiklik doğrultusunda kabul edilmiştir.
- (1)Bu Kanunun uygulanmasında;
İkinci Bölüm
Kişisel Verilerin İşlenmesi
Genel ilkeler
MADDE 4
- (1)Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
- (2)Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
- a)Hukuka ve dürüstlük kurallarına uygun olma.
- b)Doğru ve gerektiğinde güncel olma.
- c)Belirli, açık ve meşru amaçlar için işlenme.
- ç)İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
- d)İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
-
Madde Gerekçesi
Maddeyle, kişisel verilerin işlenmesine ilişkin genel ilkeler düzenlenmektedir. Buna göre kişisel veriler ancak Kanunda ve diğer Kanunlarda öngörülen usul ve esaslar çerçevesinde işlenebilecektir.
Maddenin ikinci fıkrasında kişisel verilerin işlenmesine ilişkin ilkeler sayılmaktadır. Bu ilkeler; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektir.
Belirli, açık ve meşru amaçlar için işlenme ilkesi, veri sorumlusunun, veri işleme amacını açık ve kesin olarak belirlemesini ve bu amacın meşru olmasını zorunlu kılmaktadır. Veri sorumluları, belirttikleri bu amaçlar dışında, başka amaçlarla veri işlemeleri halinde, bu fiillerinden dolayı sorumlu olacaklardır. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Örneğin, bir hazır giyim mağazasının, müşterilerinin kimlik ve iletişim bilgilerini işlemesi meşru amaç kapsamındayken, kan gruplarını işlemesi meşru amaç kapsamında değerlendirilemeyecektir.
Kişisel verilerin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ilkesi, işlenen verilerin, belirlenen amaçların gerçekleştirilebilmesine elverişli olmasını, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirmektedir. Yine, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işlenebilmesi için, işlemeye ilk kez başlıyor gibi, 5 inci maddede düzenlenmiş olan kişisel verilerin işlenme şartlarından birinin gerçekleşmesi gerekecektir. Ayrıca işlenen veri, sadece amacın gerçekleştirilmesi için gerekli olanla sınırlı tutulacaktır.
Kişisel verilerin, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi zorunludur. Buna göre, veri sorumluları, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uyacak; yoksa verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebilecektir. Bir verinin daha fazla saklanması için geçerli bir sebep olmaması durumunda, o veri silinecek veya anonim hale getirilecektir. Gelecekte kullanma ihtimalinin varlığına dayanarak veri saklanamayacaktır. Veri sorumlusu, Kanunun 16 ncı maddesi uyarınca Sicile kayıt için başvuru yaparken kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi bildirmek zorundadır.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 4'üncü maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 4'üncü maddesi (Tasarının 4'üncü maddesi) aynen kabul edilmiştir.
Kişisel verilerin işlenme şartları
MADDE 5
- (1)Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
- (2)Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
- a)Kanunlarda açıkça öngörülmesi.
- b)Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- c)Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- ç)Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- d)İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- e)Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- f)İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
-
Madde Gerekçesi
Maddeyle, kişisel verilerin işlenme koşulları düzenlenmektedir.
Kural olarak kişisel verilerin ilgili kişinin açık rızası veya maddede sayılan istisnalar dışında işlenmesi yasaktır, 95/46 EC sayılı Avrupa Birliği Direktifine göre rıza, ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır.
Maddenin ikinci fıkrasıyla ilgili kişinin açık rızası olmasa dahi bazı hallerde kişisel verilerin işlenebilmesi öngörülmektedir.
Fıkranın (a) bendine göre ilgili kişinin açık rızası olmasa dahi kanunlarda açıkça öngörülen hallerde kişisel veri işlenebilecektir. Örneğin, kolluk tarafından bir suç soruşturması sebebiyle, 2559 sayılı Polis Vazife ve Salahiyet Kanununun 5 inci maddesi uyarınca şüphelilerin parmak izlerinin alınması; 5352 sayılı Adli Sicil Kanunu uyarınca Adalet Bakanlığının kişilerin ceza mahkûmiyetlerine ilişkin verilerini işlemesi gibi.
Fıkranın (b) bendine göre, rızanın açıklanamadığı ya da geçerli olmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesi öngörülmektedir. Örneğin kişinin şuurunun yerinde olmadığı veya akıl hastası olması sebebiyle rızasının geçerli olmadığı bir durumda, hayat veya beden bütünlüğünün korunması amacıyla, tıbbi müdahale yapılması sırasında, kişisel verileri işlenebilecektir. Bu bağlamda kan grubu, geçirilen hastalıklar ve ameliyatlar, kullanılan ilaçlar gibi veriler, ilgili sağlık sistemi üzerinden işlenebilecektir. Yine hürriyeti tahdit edilen bir kişinin kurtarılması amacıyla, kendisinin veya şüphelinin taşımakta olduğu telefon, bilgisayar, kredi kartı, banka kartı veya diğer teknik bir araç üzerinden yerinin belirlenmesi için bu veriler işlenebilecektir.
Fıkranın (c) bendine göre, bir sözleşmenin kurulması veya ifasıyla ilgili olarak kişisel veri işlenebilecektir. Örneğin, yapılan bir sözleşme gereği paranın ödenmesi için alacaklı tarafın hesap numarası alınabilecektir. Yine bir bankayla kredi sözleşmesi yapılması sırasında bankanın, o kişiye ait maaş bordrosunu, tapu kayıtlarını, icra borcu olmadığına dair belgeyi edinmesi bu kapsamda değerlendirilecektir.
Fıkranın (ç) bendine göre, veri sorumlusu, hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan verileri, ilgili kişinin rızası olmasa dahi işleyebilecektir. Örneğin bir şirketin çalışanına maaş ödeyebilmesi için, banka hesap numarası, evli olup olmadığa bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verileri işlemesi bu bendin verdiği yetkiye istinaden olacaktır.
Fıkranın (d) bendine göre, ilgili kişinin kendisi tarafından alenileştirilen bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Çünkü ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale gelen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.
Fıkranın (e) bendine göre, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması durumunda kişisel veriler işlenebilecektir. Bu bağlamda, bir şirketin kendi çalışanı tarafından açılan bir davada ispat için bazı verileri kullanması veya kısıtlı bir kişinin haklarının korunması amacıyla vasinin veya kayyımın, kısıtlının mali bilgilerini tutması hukuka uygun sayılacaktır.
Fıkranın (f) bendine göre, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda da açık rıza şartı aranmaksızın kişisel veriler işlenebilecektir. Buna göre, örneğin bir şirket sahibi, çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere çalışanların kişisel verilerini işleyebilecektir. Burada, işletmenin yeniden yapılandırılması ya da ehliyetli ve liyakatli çalışanların terfi almaları, veri sorumlusu statüsündeki şirket sahibinin meşru menfaati cümlesindendir. Kişisel verilerin korunmasına ilişkin temel ilkelere uyulması ve veri sorumlusu ile ilgili kişinin menfaat dengesinin gözetilmesi gerekmektedir.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 5'inci maddesinin ikinci fıkrasının (f) bendi, bentte yer alan "meşru menfaat" kavramının çok geniş bir istisnaya neden olması ve veri sorumlusunun meşru menfaati kavramının sınırlarının ve kapsamının neler olduğunun uygulamada ciddi sorun ve endişelere neden olabilmesi ihtimaline binaen metinden çıkarılmış ve madde yapılan değişiklik doğrultusunda kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 5'inci maddesinin (Tasarının 5'inci maddesi) ikinci fıkrasına, kişisel verisi işlenecek kişinin temel hak ve özgürlüklerine zarar vermemek ve veriyi işleyecek veri sorumlusunun meşru menfaati için zorunluluk olması hâlinde açık rıza olmaksızın veri işlenmesine imkân tanınması amacıyla (f) bendi eklenmiştir. Veri sorumlusunun meşru menfaatinin varlığından söz edilebilmesi için somut olayda veri sorumlusunun meşru bir menfaatinin olması, işlemenin bu meşru menfaat için zorunlu olması ve veri sorumlusunun gözetilen menfaatinin ilgili kişinin temel hak ve özgürlüklerine zarar vermemesi gerekir. Ayrıca maddenin ikinci fıkrasında yer alan "şartlardan en az birinin" ibaresi, "şartlardan birinin" şeklinde değiştirilmiştir. Madde yapılan değişiklikler doğrultusunda kabul edilmiştir.
Özel nitelikli kişisel verilerin işlenme şartları
MADDE 6
- (1)Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
- (2)Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
- (3)Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
- (4)Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
-
Madde Gerekçesi
Maddeyle, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, biyometrik verisi veya haklarında verilen ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verilerinin, özel nitelikli kişisel veri olduğu belirtilmektedir. Bu verilerin, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olmaları dikkate alınmakta, bu sebeple bu tür veriler özel nitelikli (hassas) veri olarak kabul edilmektedir.
Kurul tarafından belirlenen yeterli önlem alınmaksızın özel nitelikli verilerin işlenememesi öngörülmekte, ayrıca kural olarak bu tür verilerin ilgili kişinin açık rızası olmaksızın da işlenememesi hükme bağlanmaktadır.
Maddenin dördüncü fıkrasında tahdidi olarak sayılan şartların varlığı halinde, yeterli önlem alınması şartı baki kalmak kaydıyla ilgili kişinin açık rızası aranmaksızın özel nitelikli kişisel verilerin işlenmesine imkân tanınmaktadır.
Dördüncü fıkranın (a) bendine göre, ilgili kişinin rızası olmasa bile, kanunlarda açıkça öngörülen hallerde özel nitelikli kişisel veriler işlenebilecektir. Örneğin, askerlik yapacak kişilerin bazı özel sağlık bilgilerinin ilgili kanun hükümleri uyarınca işlenmesi, yine hastanelerin, eczanelerin ya da Sosyal Güvenlik Kurumunun hastalarla ilgili veri işlemesi bu kapsamda değerlendirilecektir.
Fıkranın (b) bendinde, siyasi parti, vakıf, dernek veya sendika gibi kâr amacı gütmeyen kuruluş ya da oluşumlar tarafından, özel nitelikli kişisel verilerden bazılarının işlenebilmesi düzenlenmektedir. Buna göre, bu kuruluş ve oluşumlar, kendi üye ve mensuplarının özel nitelikli verilerini, kuruluş amaçlarına ve tabi oldukları mevzuata uygun, faaliyet alanlarıyla sınırlı ve üçüncü kişilere açıklanmamak kaydıyla işleyebileceklerdir. Örneğin, bir siyasi partinin veya sendikanın üyelerine ilişkin kimlik ve iletişim bilgilerini, fıkrada belirtilen şartlarla tutması, bu bent kapsamında değerlendirilecektir. Bu kuruluşlar, sadece kendi faaliyet alanlarıyla sınırlı olarak özel nitelikli veri işleyebileceklerdir. Örneğin, bir sendika, kendi faaliyet alanına ve amacına ilişkin olarak sadece sendika üyeliğiyle ilgili verileri işleyebilecektir. Buna karşın üyelerin sağlık veya din ya da mezhebine yönelik kişisel verileri, faaliyet alanıyla ve amacıyla ilgisi olmaması sebebiyle işleyemeyecektir.
Fıkranın (c) bendine göre, ilgili kişinin kendisi tarafından kamuoyuna açıklanmış olan özel nitelikli kişisel verileri işlenebilecektir. Zira ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.
Fıkranın (ç) bendinde, özel niteliği olan kişisel verilerin, bir hakkın tesisi, kullanılması veya korunması için işlenmesinin zorunlu olması hali düzenlenmektedir. Örneğin, bir işverenin, engelli çalıştırma zorunluluğu kapsamında, işyerinde, bu statüde çalıştırdığı kişilere ilişkin rapor ve belgeleri işlemesi bu kapsamda değerlendirilecektir. Yine engelli bir kişinin özel tüketim vergisinden muaf özel donanımlı araç almak hakkından yararlanabilmesi için, engelliliğine ilişkin sağlık raporlarının vergi dairesi tarafından edinilmesi ve işlenmesi de bu bent kapsamında değerlendirilecektir.
Fıkranın (d) bendiyle, özel nitelikli verilerin; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi düzenlenmektedir. Bu bağlamda, Sağlık Bakanlığı ile her türlü sağlık kuruluşunun ve Sosyal Güvenlik Kurumunun bu bentte yazılı amaçlarla tuttukları veriler ve kayıtlar bu kapsamda değerlendirilecektir.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 6 'ncı maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 6'ncı maddesi (Tasarının 6'ncı maddesi), özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenememesi, ilgili kişinin rızası olmaksızın özel nitelikli kişisel verilerin hangi hâllerde işlenebileceği ve bunlar için her durumda Kurul tarafından belirlenen yeterli önlemlerin alınması gerektiği hususlarının açıklığa kavuşturulması amacıyla değiştirilmiştir. Genetik verilerin de özel nitelikli kişisel veri olduğunun açıklığa kavuşturulması amacıyla maddenin birinci fıkrasına "ve genetik" ibaresi eklenmiştir. Madde yapılan değişiklikler doğrultusunda kabul edilmiştir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
MADDE 7
- (1)Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
- (2)Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
- (3)Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.
-
Madde Gerekçesi
Maddeyle, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi düzenlenmektedir. Buna göre, hukuka uygun olarak işlenmiş olup da işlenmesini gerektiren sebepler ortadan kalkmışsa, söz konusu veriler resen veya ilgili kişinin talebi üzerine silinecek, yok edilecek veya anonim hale getirilecektir. Kişisel verilerin silinmesiyle, bu verilerin tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imhası amaçlanmaktadır. Buna göre veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinecektir. Verilerin yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin imha edilmesini ifade etmektedir. Verilerin anonim hale getirilmesiyle, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi kastedilmektedir.
Maddenin ikinci fıkrasıyla, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı tutulması öngörülmektedir. Bu kapsamda, örneğin Adli Sicil Kanununda verilerin silinmesini veya yok edilmesini düzenleyen hükümler Kanuna göre öncelikli olarak uygulanacaktır.
Maddenin son fıkrasında, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasların yönetmelikte düzenlenmesi hüküm altına alınmaktadır.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 7 'nci maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 7'nci maddesi (Tasarının 7'nci maddesi) aynen kabul edilmiştir.
Kişisel verilerin aktarılması
MADDE 8(Yürürlük tarihi 7.10.2016)
- (1)Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
- (2)Kişisel veriler;
- a)5 inci maddenin ikinci fıkrasında,
- b)Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında,
- (3)Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
-
Madde Gerekçesi
Maddeyle kişisel verilerin, üçüncü kişilere aktarılması düzenlenmektedir. Kanunun hem 5 inci maddesinde düzenlenen kişisel veriler hem de 6 ncı maddesinde düzenlenen özel nitelikli (hassas) kişisel veriler madde kapsamındadır. Kanunun 9 uncu maddesinde kişisel verilerin yurtdışına aktarılması düzenlendiğinden bu maddede belirtilen üçüncü kişiler yurtiçindeki kişilerdir.
Maddenin birinci fıkrasında, kişisel verilerin ilgilinin açık rızası olmaksızın üçüncü kişilere aktarılamayacağına ilişkin ilke hükme bağlanmaktadır. Kanunun 3 üncü maddesinin birinci fıkrasının (d) bendi uyarınca verilerin aktarılması veya devralınması kişisel verilerin işlenmesi olarak tanımlandığından; verileri alanların, kişisel verilerin işlenmesi için Kanunun 5 inci ve 6 ncı maddelerinde öngörülen şartları yerine getirmeleri ve bu kapsamda özel nitelikle veriler yönünden yeterli önlem almaları da gerekmektedir.
Maddenin ikinci fıkrasında verilerin, ilgilinin açık rızası olmaksızın üçüncü kişilere aktarılmasına ilişkin düzenleme yapılmaktadır. Bu düzenleme yapılırken 5 inci maddenin ikinci fıkrası uyarınca ilgili kişinin açık rızası olmaksızın işlenmesine izin veren şartlar aranmakta ve bu şartların birinin varlığı halinde, kişisel verilerin üçüncü kişilere aktarılabilmesine imkân tanınmaktadır.
Özel nitelikli kişisel veriler yönünden ise yeterli önlemler alınmak kaydıyla, 6 ncı maddenin (b) bendi hariç olmak üzere dördüncü fıkrasında belirtilen verilerin ilgili kişinin açık rızası olmaksızın işlenmesine izin veren şartlar esas alınmaktadır. Bir başka ifadeyle, 6 ncı maddenin dördüncü fıkrasının (b) bendi hariç olmak üzere ilgili kişinin açık rızası aranmaksızın işlenebilen kişisel verilerin, 6 ncı maddenin ikinci fıkrasında öngörülen yeterli önlemler alınmak kaydıyla ilgili kişinin rızası aranmaksızın üçüncü kişilere aktarılmasına izin verilmektedir.
Maddenin üçüncü fıkrasında, kişisel verilerin üçüncü kişilere aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu hüküm altına alınmaktadır.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 8 'inci maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 8'inci maddesinin (Tasarının 8'inci maddesi) başlığı ile fıkralarında geçen "üçüncü kişilere" ibaresi, kişisel verilerin aktarılması konusunda yanlış anlamaları engellemek amacıyla metinden çıkarılmış ve 6'ncı maddede yapılan değişikliklerle uyum sağlanması amacıyla maddede değişiklik yapılmıştır. Madde yapılan değişiklikler doğrultusunda kabul edilmiştir.
Kişisel verilerin yurt dışına aktarılması
MADDE 9 (Yürürlük tarihi 7.10.2016)
- (1)Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
- (2)Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
- a)Yeterli korumanın bulunması,
- b)Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
- (3)Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
- (4)Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;
- a)Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
- b)Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
- c)Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
- ç)Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
- d)Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,
- (5)Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
- (6)Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
-
Madde Gerekçesi
Maddeyle kişisel verilerin, yurtdışına aktarılması düzenlenmektedir. Kanunun hem 5 inci maddesinde düzenlenen kişisel veriler hem de 6 ncı maddesinde düzenlenen özel nitelikli (hassas) kişisel veriler madde kapsamındadır.
Maddenin birinci fıkrasında, kişisel verilerin ilgilinin açık rızası olmaksızın yurtdışına aktarılamayacağına ilişkin ilke hükme bağlanmaktadır.
Maddenin ikinci fıkrasında kişisel verilerin, ilgilinin açık rızası olmaksızın yurtdışına aktarılmasına ilişkin düzenleme yapılmaktadır. Bu düzenleme yapılırken 5 inci maddenin ikinci fıkrası kapsamındaki kişisel veriler ile 6 ncı maddenin dördüncü fıkrasının (a), (c), (ç) ve (d) bentlerinde belirtilen özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesine izin veren şartlar esas alınmakta ve bu şartlardan birinin varlığı halinde, kişisel verinin aktarılacağı yabancı ülkede, yeterli korumanın bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurtdışına aktarılmasına imkân tanınmaktadır. Şayet ilgili yabancı ülkede yeterli koruma bulunmuyorsa, Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın kişisel verilerin yurtdışına aktarılmasına imkân verilmektedir.
Maddenin üçüncü fıkrasına göre yabancı ülkelerde yeterli koruma bulunup bulunmadığı Kurulca belirlenerek ilan edilecektir.
Maddenin dördüncü fıkrasıyla, Kurulun, yabancı ülkede yeterli koruma bulunup bulunmadığına karar ve verilerin yurtdışına aktarılmasına izin verirken hangi kriterleri dikkate alacağı düzenlenmektedir. Buna göre Kurul, maddede sayılan hususları değerlendirecek, ihtiyaç duyması halinde ilgili kurum ve kuruluşların da görüşünü almak suretiyle bir karar verecektir.
Maddenin beşinci fıkrasında, kişisel verilerin yurtdışına aktarılmasına ilişkin ilgili kanunlarda yer alan hükümlerin saklı olduğu hüküm altına alınmaktadır. Buna göre, örneğin 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanunun, uluslararası bilgi değişimi konusunda Malî Suçları Araştırma Kurulu Başkanına yetki veren 12 nci ve 19 uncu maddeleri öncelikli olarak uygulanacaktır.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 9 'uncu maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 9'uncu maddesi (Tasarının 9'uncu maddesi), 6'ncı maddede yapılan değişikliklerle uyum sağlanması amacıyla değiştirilerek kabul edilmiştir.
Üçüncü Bölüm
Haklar ve Yükümlülükler
Veri sorumlusunun aydınlatma yükümlülüğü
MADDE 10
- (1)Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
- a)Veri sorumlusunun ve varsa temsilcisinin kimliği,
- b)Kişisel verilerin hangi amaçla işleneceği,
- c)İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- ç)Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- d)11 inci maddede sayılan diğer hakları,
- (1)Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
-
Madde Gerekçesi
Maddeyle, 95/46/EC sayılı Direktife uygun olarak, veri sorumlusunun aydınlatma yükümlülüğü düzenlenmektedir. Veri sorumlusu veya yetkilendirdiği kişi, aydınlatma yükümlülüğü kapsamında; veri sorumlusunun ve varsa temsilcisinin kimliği, veri işleme amacı, verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile 11 inci maddede sayılan diğer hakları konusunda, ilgili kişiyi bilgilendirecektir.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 10'uncu maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 10'uncu maddesi (Tasarının 10'uncu maddesi ) aynen kabul edilmiştir.
İlgili kişinin hakları
MADDE 11 (Yürürlük tarihi 7.10.2016)
- (1)Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
- a)Kişisel veri işlenip işlenmediğini öğrenme,
- b)Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- c)Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- ç)Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- d)Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- e)7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- f)(d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- g)İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- ğ)Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
- (1)Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
-
Madde Gerekçesi
Maddeyle, kişisel verileri işlenen kişinin hakları düzenlenmektedir. Buna göre, kişi kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgileri talep etme, verilerin işlenme amacı ile bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurtiçinde veya yurtdışında verilerin aktarıldığı üçüncü kişileri bilme, 7 nci maddede öngörülen koşullar çerçevesinde kişisel verilerin silinmesini, yok edilmesini veya verinin muhtevasının eksik ya da gerçeğe aykırı olması hallerinde bunların düzeltilmesini isteme hakkına sahiptir.
Yine ilgili kişi, talebi doğrultusunda yapılan düzeltme, silme ve yok etme işlemlerinin, verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde, zararın giderilmesini talep etme hakkına da sahiptir.
Maddenin birinci fıkrasının (g) bendinde, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonucun ortaya çıkmasına itiraz hakkı düzenlenmektedir. Örneğin, bir çalışanın performansının, onun tarafından yapılan işlerin, otomatik bir sisteme işlenip analiz edilerek, analiz sonucuna göre değerlendirilmesine, çalışanın itiraz edebilmesi bu kapsamda değerlendirilecektir.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 11'inci maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 11'inci maddesi (Tasarının 11'inci maddesi ) aynen kabul edilmiştir.
Veri güvenliğine ilişkin yükümlülükler
MADDE 12
- (1)Veri sorumlusu;
- a)Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- b)Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- c)Kişisel verilerin muhafazasını sağlamak,
- (2)Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
- (3)Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
- (4)Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
- (5)İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
- (1)Veri sorumlusu;
-
Madde Gerekçesi
Maddeyle, veri sorumlusunun, veri güvenliğinin sağlanmasına ilişkin yükümlülükleri düzenlenmektedir. Buna göre, veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek, ayrıca verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlü tutulmaktadır.
İkinci fıkrada, veri sorumlusunun, verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi durumunda, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olacağı düzenlenmektedir. Buna göre, veri sorumlusu, örneğin şirketine ilişkin kayıtları bir muhasebe şirketine tutturuyorsa, verilerin işlenmesine ilişkin birinci fıkrada belirtilen tedbirlerin alınması hususunda muhasebe şirketiyle birlikte müştereken sorumlu olacaktır.
Üçüncü fıkrada, veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlama ve kişisel verilerin Kanunda öngörülen usul ve esaslara uygun olarak işlenmesi amacıyla gerekli denetimleri yapma veya yaptırma yükümlülüğü düzenlenmektedir.
Dördüncü fıkrada, veri sorumluları ile veri işleyenlerin sır saklama yükümlülüğü düzenlenmektedir. Buna göre, veri sorumluları ile veri işleyenler, öğrendikleri kişisel verileri, Kanuna aykırı olarak başkalarına açıklayamayacak veya şahsi çıkarları için kullanamayacaklardır. Bu yükümlülük görevden ayrılmalarından sonra da devam edecektir.
Beşinci fıkrada, işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği düzenlenmektedir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan edebilecektir.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 12'nci maddesinin dördüncü fıkrasında yer alan "kendi şahsi çıkarları için" ibaresi, özellikle özel sektörde faaliyet gösteren veri sorumlusu gerçek kişilerin kendi faaliyetleri ile ilgili olarak işlemeleri gereken verileri işlemelerine engel olacağı ve faaliyetlerinin ifa edilemez hale geleceği düşüncesiyle "işleme amacı dışında" şeklinde değiştirilmiştir. Madde yapılan değişiklik doğrultusunda kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 12'nci maddesi (Tasarının 12'nci maddesi ) aynen kabul edilmiştir.
Dördüncü Bölüm
Başvuru, Şikâyet ve Veri Sorumluları Sicili
Veri sorumlusuna başvuru
MADDE 13 (Yürürlük tarihi 7.10.2016)
- (1)İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.
- (2)Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
- (3)Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
-
Madde Gerekçesi
Maddeyle, veri sorumlusuna başvuru yolu düzenlenmektedir. Buna göre, ilgili kişilerin, Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur. İlgili kişilerin, taleplerini veri sorumlusuna yazılı olarak ya da uygulamada oluşacak ihtiyaca göre Kurulun belirleyeceği diğer yöntemlerle iletebilmelerine imkân sağlanmaktadır.
Bu talebi alan veri sorumlusunun, ücretsiz olarak veya işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurul tarafından belirlenen tarifeye göre alacağı ücret mukabilinde en kısa sürede ve en geç otuz gün içinde talebi incelemesi; kabul veya gerekçesini açıklayarak reddetmesi, ayrıca cevabını ilgili kişiye bildirmesi öngörülmektedir. Veri sorumlusunun gerçek kişi veya özel hukuk tüzel kişisi olabileceği ve bunların 7201 sayılı Tebligat Kanununa tabi olmamaları dikkate alınarak, veri sorumlusunun cevabını ilgili kişiye "bildirmesi" hükme bağlanmaktadır. Bu bildirim, bir ispat sorunu olup gerektiğinde yargı mercilerince ele alınacaktır. 7201 sayılı Kanuna tabi kurum ve kuruluşların bu bildirimleri anılan Kanun hükümleri uyarınca resmi tebligat yoluyla yapacakları da açıktır.
Veri sorumlusunun talebi kabul etmesi halinde, gereğini yerine getirmesi; şayet ilgili kişinin, Kanunun uygulanmasıyla ilgili talebine konu hususta veri sorumlusu hatalıysa, alınan ücretin ilgiliye iade edilmesi hükme bağlanmaktadır.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 13'üncü maddesinin üçüncü fıkrasının birinci cümlesinde geçen "kişiye bildirir" ibaresi, veri sorumlusunun ilgili kişinin talebi ile ilgili olarak kabul veya gerekçesini açıklamak suretiyle ret şeklindeki cevabının ilgiliye ne şekilde bildirileceği hususunun açıklığa kavuşturulmasını amacıyla "kişiye yazıyla bildirir" şeklinde değiştirilmiş ve madde yapılan değişiklik doğrultusunda kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 13'üncü maddesi (Tasarının 13'üncü maddesi), veri sorumlularının başvuru sonuçlarını ilgililere yazılı olarak bildirebilmelerinin yanı sıra elektronik sistemler vasıtasıyla da bildirebilmelerine imkân tanımak amacıyla değiştirilerek kabul edilmiştir.
Kurula şikâyet
MADDE 14 (Yürürlük tarihi 7.10.2016)
- (1)Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
- (2)13 üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.
- (3)Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.
-
Madde Gerekçesi
Maddeyle, şikâyet yolu düzenlenmektedir. Buna göre, 13 üncü madde uyarınca yapmış olduğu başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
İkinci fıkrada, 13 üncü maddede öngörülen başvuru müessesesinin, zorunlu bir başvuru yolu olduğu ve bu yol tüketilmeden şikâyet yoluna gidilemeyeceği hükme bağlanmaktadır. Böylece uyuşmazlıkların belirli bir kısmının veri sorumluları tarafından giderilmesi ve bu suretle Kurulun yoğun bir iş yüküyle karşı karşıya kalmasının önlenmesi amaçlanmaktadır. Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, diğer yandan doğrudan adli veya idari yargı yoluna gidebilmesi mümkün olacaktır. Ancak, ilgililerin masrafsız ve daha hızlı sonuç alınması mümkün olan şikâyet yolunu tercih edecekleri değerlendirilmektedir.
Üçüncü fıkrada, kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklı tutulmaktadır. Veri sorumlusunun hukuki statüsüne göre ilgililer adli ya da idari yargıda dava açabileceklerdir.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 14 'üncü maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 14'üncü maddesi (Tasarının 14'üncü maddesi ) aynen kabul edilmiştir.
Şikâyet üzerine veya resen incelemenin usul ve esasları
MADDE 15 (Yürürlük tarihi 7.10.2016)
- (1)Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.
- (2)1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar veya şikâyetler incelemeye alınmaz.
- (3)Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.
- (4)Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.
- (5)Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
- (6)Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.
- (7)Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.
-
Madde Gerekçesi
Maddeyle, Kurul tarafından yapılacak incelemenin usul ve esasları düzenlenmektedir. Buna göre, Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi halinde resen, görev alanına giren konularda gerekli incelemeyi yapabilecektir. Bu inceleme şikâyete ya da resen öğrenilen şikâyet konusuna münhasır olacaktır. Kurulun resen genel inceleme yetki ve görevi bulunmamaktadır. Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar ve şikâyetler incelemeye alınmayacaktır. Veri sorumluları, Devlet sırrı niteliğindeki bilgi ve belgeler hariç, talep edilen bilgi ve belgeleri, Kurula onbeş gün içinde göndermek veya gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.
Kurulun, şikâyet üzerine yapacağı inceleme sonunda cevap vermesi öngörülmekte, şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talebin reddedilmiş sayılacağı hükme bağlanmaktadır. Buna göre, şikâyet tarihinden itibaren altmış günlük sürenin geçmesiyle idari yargıda dava açma süresi başlayacaktır.
Kurulun, şikâyet üzerine yapacağı inceleme için altmış günlük süre öngörülmüş ise de resen yapacağı incelemeler yönünden herhangi bir süre öngörülmemektedir.
Kurul, şikâyet üzerine veya resen yapılacak inceleme sonucunda, Kanun hükümlerinin ihlal edildiği kanaatine varırsa, tespit ettiği hukuka aykırılıkların ilgili veri sorumlusu tarafından giderilmesine karar verir ve kararı ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilecektir.
Yine şikâyet üzerine veya resen yapılan inceleme sonucunda, kanuna aykırı uygulamanın yaygın olduğunun Kurul tarafından tespit edilmesi üzerine ilgili kurum ve kuruluşların görüşü de alınmak suretiyle bu konuda ilke kararı alınır ve bu karar yayımlanır.
Ayrıca Kurula, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık şartlarının birlikte gerçekleşmesi halinde, nihai karardan önce veri işlenmesinin veya verinin yurtdışına aktarılmasının durdurulmasına karar verme yetkisi verilmektedir.
İlgililerin, Kurulca verilen kararlara karşı idare mahkemelerinde dava açabilmeleri mümkündür.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 15 'inci maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 15'inci maddesi (Tasarının 15'inci maddesi ) aynen kabul edilmiştir.
Veri Sorumluları Sicili
MADDE 16 (Yürürlük tarihi 7.10.2016)
- (1)Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.
- (2)Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
- (3)Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:
- a)Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
- b)Kişisel verilerin hangi amaçla işleneceği.
- c)Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
- ç)Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
- d)Yabancı ülkelere aktarımı öngörülen kişisel veriler.
- e)Kişisel veri güvenliğine ilişkin alınan tedbirler.
- f)Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
- (4)Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir.
- (5)Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.
-
Madde Gerekçesi
Maddeyle, veri sorumlularının kaydedileceği Veri Sorumluları Sicili düzenlenmektedir. Buna göre Veri Sorumluları Sicili, Kişisel Verileri Koruma Kurulunun gözetiminde Başkanlık tarafından kamuya açık olarak tutulacaktır. Veri sorumluları veri işlemeye başlamadan önce bu Sicile kaydolacaklardır. Ancak işlenen verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler gözönüne alınmak suretiyle, Kurul tarafından, Sicile kayıt zorunluluğuna istisna getirilebilecektir.
Maddenin üçüncü fıkrasında Sicile kayıt başvurusunda bildirilmesi gereken hususlar düzenlenmektedir. Bu kapsamda, örneğin veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, veri güvenliğine ilişkin alınan tedbirler, kişisel verilerin işlendikleri amaç için gerekli olan azami süre gibi hususlar Sicile kayıt başvurusunda bildirilmelidir. Ayrıca, üçüncü fıkra uyarınca bildirilmesi gerekli bilgilerde meydana gelen değişiklikler de derhal Başkanlığa bildirilecektir. Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenecektir.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 16 'ıncı maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 16'ncı maddesi (Tasarının 16'nci maddesi ) aynen kabul edilmiştir.
Beşinci Bölüm
Suçlar ve Kabahatler
Suçlar
MADDE 17 (Yürürlük tarihi 7.10.2016)
- (1)Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.
- (2)Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.
-
Madde Gerekçesi
Maddeyle, kişisel verilere ilişkin suçlar ve cezai yaptırımlar 5237 sayılı Türk Ceza Kanununun ilgili hükümlerine atıf yapılmak suretiyle düzenlenmektedir. Kişisel verileri silmeyen veya anonim hale getirmeyenlerin ise Türk Ceza Kanununun 138 inci maddesi hükmü uyarınca cezalandırılmaları öngörülmektedir.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 17 'nci maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 17'inci maddesi (Tasarının 17'inci maddesi ) aynen kabul edilmiştir.
Kabahatler
MADDE 18 (Yürürlük tarihi 7.10.2016)
- (1)Bu Kanunun;
- a)10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
- b)12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- c)15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- ç)16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- (2)Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
- (3)Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.
- (1)Bu Kanunun;
-
Madde Gerekçesi
Maddeyle, Kanunda öngörülen yükümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar düzenlenmektedir. Bu kapsamda aydınlatma ve veri güvenliğini sağlama, Kurul kararlarını yerine getirme ve Sicile kayıt ve bildirim yükümlülüklerine aykırı davranılması kabahat olarak öngörülmekte ve idari para cezası yaptırımına bağlanmaktadır. İdari yaptırımlara Kurul tarafından karar verilecektir. Verilen yaptırım kararlarına karşı idari yargı yolu açıktır.
Maddede kabahatler karşılığında öngörülen idari para cezalarının alt ve üst sınırları arasındaki makas bilinçli olarak geniş tutulmuştur. Kurul karar verirken kabahatler hususunda genel kanun niteliğinde olan 30/3/2005 tarihli ve 5326 sayılı Kabahatler Kanununun 17 nci maddesinin ikinci fıkrasında belirtildiği üzere kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumunu dikkate alacaktır. Bu şekilde düzenleme yapılmak suretiyle, söz konusu kabahatlerin çok farklı ekonomik güce sahip gerçek veya tüzel kişiler hakkında uygulanacak olması nedeniyle yaptırım uygulanmasında hakkaniyeti sağlamak amaçlanmıştır. Buna göre örneğin, küçük bir şehirde faaliyet gösteren bir aile şirketiyle ülke çapında faaliyet gösteren bir holdingin Kanun hükümlerini ihlal etmesi durumunda belirlenecek idari para cezalarının miktarı söz konusu şirketlerin ekonomik durumlarına göre farklı olacaktır.
İdari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacaktır. Maddede kabahat olarak düzenlenen eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde. Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacaktır.
Kanunda kabahatlerle ilgili hüküm bulunmayan hallerde genel kanun niteliğindeki 5326 sayılı Kabahatler Kanunu hükümlerinin uygulanacağı açıktır.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 18'inci maddesinin dördüncü fıkrası, maddede düzenlenen kabahatler hakkında uygulanacak yaptırımlar hakkında idare mahkemelerinde dava açma usulünden vazgeçilmesi ve bu konuda 30/3/2005 tarihli ve 5326 sayılı Kabahatler Kanununun benimsediği usulün uygulanması amacıyla metinden çıkarılmış ve madde yapılan değişiklik doğrultusunda kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 18'inci maddesi (Tasarının 18'inci maddesi ) aynen kabul edilmiştir.
Altıncı Bölüm
Kişisel Verileri Koruma Kurumu ve Teşkilat
Kişisel Verileri Koruma Kurumu
MADDE 19
- (1)Bu Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuştur.
- (2)Kurum Cumhurbaşkanının görevlendireceği bakan ile ilişkilidir.
- (3)Kurumun merkezi Ankara’dadır.
- (4)Kurum, Kurul ve Başkanlıktan oluşur. Kurumun karar organı Kuruldur.
-
Madde Gerekçesi
Maddeyle, Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumunun kuruluşu düzenlenmektedir. Avrupa Konseyinin 108 sayılı Sözleşmesi ve Avrupa Birliğinin 95/46/EC sayılı Direktifi, kişisel verilerin işlenmesine ilişkin ilkelerin uygulanmasını izlemek ve yönlendirmek üzere fonksiyonel olarak bağımsız bir şekilde görev yapacak otoritelerin oluşturulmasını öngörmektedir. Avrupa Birliği üyesi tüm ülkelerde veri koruma kurulları görevlerinde bağımsız otoriteler şeklinde yapılandırılmıştır. Sayılan uluslararası belgeler ve mukayeseli hukuk uygulamaları gözönüne alınmak suretiyle, Kişisel Verileri Koruma Kurumu kurulmuştur. Kurumun Başbakanlıkla ilişkili olduğu hüküm altına alınmaktadır.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 19 'uncu maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 19'uncu maddesi (Tasarının 19'uncu maddesi ) aynen kabul edilmiştir.
Kurumun görevleri
MADDE 20
- (1)Kurumun görevleri şunlardır:
- a)Görev alanı itibarıyla, uygulamaları ve mevzuattaki gelişmeleri takip etmek, değerlendirme ve önerilerde bulunmak, araştırma ve incelemeler yapmak veya yaptırmak.
- b)İhtiyaç duyulması hâlinde, görev alanına giren konularda kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek örgütleri veya üniversitelerle iş birliği yapmak.
- c)Kişisel verilerle ilgili uluslararası gelişmeleri izlemek ve değerlendirmek, görev alanına giren konularda uluslararası kuruluşlarla iş birliği yapmak, toplantılara katılmak.
- ç)Yıllık faaliyet raporunu Cumhurbaşkanlığına, Türkiye Büyük Millet Meclisi İnsan Haklarını İnceleme Komisyonuna sunmak.
- d)Kanunlarla verilen diğer görevleri yerine getirmek.
- (1)Kurumun görevleri şunlardır:
-
Madde Gerekçesi
Maddeyle, Kurumun görevleri belirlenmektedir. Buna göre Kuruma, görev alanı itibarıyla, başlıca ulusal ve uluslararası düzlemde uygulama ve mevzuattaki gelişmeleri takip ederek araştırma ve inceleme faaliyetlerinde bulunma ve ulusal ve uluslararası; kurum ve kuruluşlarla işbirliği yapma ve ihtiyaç duyulan hususlarda önerilerde bulunma görevleri verilmektedir.
Ayrıca, Kurum faaliyetleri hakkında hazırlanan yıllık faaliyet raporlarının Cumhurbaşkanlığına, Türkiye Büyük Millet Meclisi İnsan Haklarını İnceleme Komisyonuna ve Başbakanlığa sunulması, Kurumun şeffaflığının ve hesap verebilirliğinin sağlanmasına yardımcı olacaktır. Kurumun etkin ve verimli bir şekilde çalışabilmesi için hizmet alımı yapabilmesi de hüküm altına alınmaktadır.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 20 'nci maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 20'nci maddesi (Tasarının 20'nci maddesi) aynen kabul edilmiştir.
Kişisel Verileri Koruma Kurulu
MADDE 21
- (1)Kurul, bu Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirir ve kullanır. Görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişi, Kurula emir ve talimat veremez, tavsiye veya telkinde bulunamaz.
- (2)Kurul, dokuz üyeden oluşur. Kurulun beş üyesi Türkiye Büyük Millet Meclisi, dört üyesi Cumhurbaşkanı tarafından seçilir.
- (3)Kurula üye olabilmek için aşağıdaki şartlar aranır:
- a)Kurumun görev alanındaki konularda bilgi ve deneyim sahibi olmak.
- b)14/7/1965 tarihli ve 657 sayılı Devlet Memurları Kanununun 48 inci maddesinin birinci fıkrasının (a) bendinin (1),(4),(5),(6) ve (7) numaralı alt bentlerinde belirtilen nitelikleri taşımak.
- c)Herhangi bir siyasi parti üyesi olmamak.
- ç)En az dört yıllık lisans düzeyinde yükseköğrenim görmüş olmak.
- d)Mülga (
Kamu kurum ve kuruluşlarında, uluslararası kuruluşlarda, sivil toplum kuruluşlarında veya kamu kurumu niteliğindeki meslek kuruluşlarında ya da özel sektörde toplamda en az on yıl çalışmış olmak.)
- (4)Mülga
(Kurul üyeliğine seçileceklerin muvafakatleri aranır. Üye seçiminde, Kurumun görev alanına giren konularda bilgi ve deneyimi bulunanların çoğulcu bir şekilde temsiline özen gösterilir. - (5)Türkiye Büyük Millet Meclisi, Kurula üye seçimini aşağıdaki usulle yapar:
- a)Seçim için, siyasi parti gruplarının üye sayısı oranında belirlenecek üye sayısının ikişer katı aday gösterilir ve Kurul üyeleri bu adaylar arasından her siyasi parti grubuna düşen üye sayısı esas alınmak suretiyle Türkiye Büyük Millet Meclisi Genel Kurulunca seçilir. Ancak, siyasi parti gruplarında, Türkiye Büyük Millet Meclisinde yapılacak seçimlerde kime oy kullanılacağına dair görüşme yapılamaz ve karar alınamaz.
- b)Kurul üyelerinin seçimi, adayların belirlenerek ilanından sonra on gün içinde yapılır. Siyasi parti grupları tarafından gösterilen adaylar için ayrı ayrı listeler hâlinde birleşik oy pusulası düzenlenir. Adayların adlarının karşısındaki özel yer işaretlenmek suretiyle oy kullanılır. Siyasi parti gruplarının ikinci fıkraya göre belirlenen kontenjanlarından Kurula seçilecek üyelerin sayısından fazla verilen oylar geçersiz sayılır.
- c)Karar yeter sayısı olmak şartıyla seçimde en çok oyu alan boş üyelik sayısı kadar aday seçilmiş olur.
- ç)Üyelerin görev sürelerinin bitiminden iki ay önce; üyeliklerde herhangi bir sebeple boşalma olması hâlinde, boşalma tarihinden veya boşalma tarihinde Türkiye Büyük Millet Meclisi tatilde ise tatilin bitiminden itibaren bir ay içinde aynı usulle seçim yapılır. Bu seçimlerde, boşalan üyeliklerin siyasi parti gruplarına dağılımı, ilk seçimde siyasi parti grupları kontenjanından seçilen üye sayısı ve siyasi parti gruplarının hâlihazırdaki oranı dikkate alınmak suretiyle yapılır.
- (6)Cumhurbaşkanı tarafından seçilen üyelerden birinin görev süresinin bitiminden kırk beş gün önce veya herhangi bir sebeple görevin sona ermesi hâlinde durum, on beş gün içinde Kurum tarafından, Cumhurbaşkanlığına bildirilir. Üyelerin görev süresinin dolmasına bir ay kala yeni üye seçimi yapılır. Bu üyeliklerde, görev süresi dolmadan herhangi bir sebeple boşalma olması hâlinde ise bildirimden itibaren on beş gün içinde seçim yapılır.
- (7)Kurul, üyeleri arasından Başkan ve İkinci Başkanı seçer. Kurulun Başkanı, Kurumun da başkanıdır.
- (8)Kurul üyelerinin görev süresi dört yıldır. Süresi biten üye yeniden seçilebilir. Görev süresi dolmadan herhangi bir sebeple görevi sona eren üyenin yerine seçilen kişi, yerine seçildiği üyenin kalan süresini tamamlar.
- (9)Seçilen üyeler Yargıtay Birinci Başkanlık Kurulu huzurunda “Görevimi Anayasaya ve kanunlara uygun olarak, tam bir tarafsızlık, dürüstlük, hakkaniyet ve adalet anlayışı içinde yerine getireceğime, namusum ve şerefim üzerine yemin ederim.” şeklinde yemin ederler. Yargıtaya yemin için yapılan başvuru acele işlerden sayılır.
- (10)Kurul üyeleri özel bir kanuna dayanmadıkça, Kuruldaki resmî görevlerinin yürütülmesi dışında resmî veya özel hiçbir görev alamaz, dernek, vakıf, kooperatif ve benzeri yerlerde yöneticilik yapamaz, ticaretle uğraşamaz, serbest meslek faaliyetinde bulunamaz, hakemlik ve bilirkişilik yapamazlar. Ancak, Kurul üyeleri, asli görevlerini aksatmayacak şekilde bilimsel amaçlı yayın yapabilir, ders ve konferans verebilir ve bunlardan doğacak telif hakları ile ders ve konferans ücretlerini alabilirler.
- (11)Üyelerin görevleri sebebiyle işledikleri iddia edilen suçlara ilişkin soruşturmalar 2/12/1999 tarihli ve 4483 sayılı Memurlar ve Diğer Kamu Görevlilerinin Yargılanması Hakkında Kanuna göre yapılır ve bunlar hakkında soruşturma izni Başbakan tarafından verilir.
- (12)Kurul üyeleri hakkında yapılacak disiplin soruşturması ve kovuşturmasında 657 sayılı Kanun hükümleri uygulanır.
- (13)Kurul üyelerinin süreleri dolmadan herhangi bir nedenle görevlerine son verilemez. Kurul üyelerinin;
- a)Seçilmek için gereken şartları taşımadıklarının sonradan anlaşılması,
- b)Görevleriyle ilgili olarak işledikleri suçlardan dolayı haklarında verilen mahkûmiyet kararının kesinleşmesi,
- c)Görevlerini yerine getiremeyeceklerinin sağlık kurulu raporuyla kesin olarak tespit edilmesi,
- ç)Görevlerine izinsiz, mazeretsiz ve kesintisiz olarak on beş gün ya da bir yılda toplam otuz gün süreyle devam etmediklerinin tespit edilmesi,
- d)Bir ay içinde izinsiz ve mazeretsiz olarak toplam üç, bir yıl içinde toplam on Kurul toplantısına katılmadıklarının tespit edilmesi, hâllerinde Kurul kararıyla üyelikleri sona erer.
- (14)Kurul üyeliğine seçilenlerin Kurulda görev yaptıkları sürece önceki görevleri ile olan ilişikleri kesilir. Kamu görevlisi iken üyeliğe seçilenler, memuriyete giriş şartlarını kaybetmemeleri kaydıyla, görev sürelerinin sona ermesi veya görevden ayrılma isteğinde bulunmaları ve otuz gün içinde eski kurumlarına başvurmaları durumunda atamaya yetkili makam tarafından bir ay içinde mükteseplerine uygun bir kadroya atanır. Atama gerçekleşinceye kadar, bunların almakta oldukları her türlü ödemelerin Kurum tarafından ödenmesine devam olunur. Bir kamu kurumunda çalışmayanlardan üyeliğe seçilip yukarıda belirtilen şekilde görevi sona erenlere herhangi bir görev veya işe başlayıncaya kadar, almakta oldukları her türlü ödemeler Kurum tarafından ödenmeye devam edilir ve bu şekilde üyeliği sona erenlere Kurum tarafından yapılacak ödeme üç ayı geçemez. Bunların Kurumda geçirdiği süreler, özlük ve diğer hakları açısından önceki kurum veya kuruluşlarında geçirilmiş sayılır.
-
Madde Gerekçesi
Maddeyle, Kişisel Verileri Koruma Kurulu düzenlenmekte ve Kurulun, Kurumun karar organı olduğu belirtilmektedir. Avrupa Konseyinin 108 sayılı Sözleşmesi ve Avrupa Birliğinin 95/46/EC sayılı Direktifine uygun şekilde Kurul bağımsız olarak kurgulanmaktadır. Kurulun, Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getireceği ve kullanacağı, görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişinin Kurula emir ve talimat veremeyeceği hüküm altına alınmaktadır. Bu hüküm, Kurumun görevini, bağımsız bir şekilde yerine getirebilmesi bakımından önem arz etmektedir.
Ayrıca, Kurulun yedi üyeden oluşması öngörülmekte ve üyelerin nitelikleri, seçimi ve görev süreleri düzenlenmektedir. Üyelerin Cumhurbaşkanınca ve Bakanlar Kurulunca seçilmesi Kurulun demokratik meşruiyetini güçlendirmektedir. Öte yandan, üyelerin seçiminde, özel sektör ile kamu sektöründe on yıl çalışmış olma, dört yıllık lisans mezunu olma ve Devlet memuru olmaya ilişkin genel şartları taşıma dışında özel başka bir şart aranmayarak üyelerin çok geniş bir alandan seçilmesi imkânı getirilmektedir. Maddede ayrıca, Kurul üyelerinin ilk toplantının başında yemin etmeleri düzenlenmekte ve Kurul Başkanı ile İkinci Başkanın, üyeler arasından Bakanlar Kurulunca seçilmesi hükme bağlanmaktadır.
Madde ile ayrıca, üyelerin görevleri sebebiyle işledikleri suçlar bakımından soruşturma usulü düzenlenmektedir. Buna göre üyeler hakkında görevleri sebebiyle işledikleri suçlar bakımından soruşturma yapılabilmesi Başbakanın iznine bağlanmakta ve Kurul üyelerinin görev süreleri dolmadan herhangi bir şekilde görevlerine son verilemeyeceği öngörülmek suretiyle üyelerin, dolayısıyla Kurulun bağımsızlığı teminat altına alınmaktadır.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 21'inci maddesi, Kişisel Verileri Koruma Kuruluna üye olarak seçileceklerde aranacak niteliklerin daha somut hale getirilmesi, üyelerin farklı kaynaklardan seçilmesi, özellikle Kurumun görev alanındaki konularda bilgi ve deneyim sahibi olanların üye olmaları, mevcut üyelerin görev süresinin dolmasına bir ay kala seçim yapılması, Kurul üyelerinin yapamayacakları işlerin belirlenmesi ve Kurul üyeliği görevi sona erenlerin atanma ve mali haklarının ödenmesine ilişkin düzenlemelerin yapılması amacıyla değiştirilerek kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 21'inci maddesi (Tasarının 21'inci maddesi), Kurula seçilen üyelerin, diğer denetleyici ve düzenleyici kurumlarda olduğu gibi Yargıtay Birinci Başkanlık Kurulu huzurunda yemin etmelerini sağlamak ve yemin ederken görevlerin Anayasaya ve kanunlara uygun olarak yerine getirileceğini açıkça hükme bağlamak amacıyla değiştirilerek kabul edilmiştir.
Kurulun görev ve yetkileri
MADDE 22
- (1)Kurulun görev ve yetkileri şunlardır:
- a)Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak.
- b)Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak.
- c)Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak.
- ç)Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek.
- d)Veri Sorumluları Sicilinin tutulmasını sağlamak.
- e)Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak.
- f)Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak.
- g)Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak.
- ğ)Bu Kanunda öngörülen idari yaptırımlara karar vermek.
- h)Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek.
- ı)Kurumun; stratejik planını karara bağlamak, amaç ve hedeflerini, hizmet kalite standartlarını ve performans kriterlerini belirlemek.
- i)Kurumun stratejik planı ile amaç ve hedeflerine uygun olarak hazırlanan bütçe teklifini görüşmek ve karara bağlamak.
- j)Kurumun performansı, mali durumu, yıllık faaliyetleri ve ihtiyaç duyulan konular hakkında hazırlanan rapor taslaklarını onaylamak ve yayımlamak.
- k)Taşınmaz alımı, satımı ve kiralanması konularındaki önerileri görüşüp karara bağlamak.
- l)Kanunlarla verilen diğer görevleri yerine getirmek.
- (1)Kurulun görev ve yetkileri şunlardır:
-
Madde Gerekçesi
Maddeyle Kurulun görev ve yetkileri düzenlenmektedir. Buna göre, kişisel verilerin temel hak ve özgürlükleri koruyacak şekilde işlenmesi, kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerinin karara bağlanması, Veri Sorumluları Sicilinin tutulmasının sağlanması, kişisel verilerin işlenmesi konusunda gerekli düzenleyici işlemlerin yapılması, kişisel verilerin Kanuna uygun olarak işlenip işlenmediğinin incelenmesi, idari yaptırımların uygulanması, stratejik planın ve bütçenin kabul edilmesi gibi görevler Kurulun görevleri arasında sayılmaktadır. Kurul, özel nitelikli kişisel verilerin yeterli önlem alınmaksızın işlenemeyeceğine ilişkin Kanunun 6 ncı maddesinde düzenlenen hüküm uyarınca yeterli önlemin ne olduğunu verinin niteliği ve sektörün özelliğine göre belirleyecektir.
Ayrıca, Başkanlık tarafından hazırlanan Kurumun performansı, mali durumu, yıllık faaliyetleri ve diğer özel rapor taslakları Kurul tarafından onaylanacak, Kurumun ihtiyaç duyduğu taşınmazların alım ve satımı ile kiralanması konularındaki önerileri karara bağlayacaktır.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 22 'nci maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 22'inci maddesi (Tasarının 22'nci maddesi), veri güvenliğine ilişkin yükümlülükler ile veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarının neler olduğu konusunda düzenleyici işlem yapma yetkisinin Kurula verilmesi amacıyla değiştirilerek kabul edilmiştir.
Kurulun çalışma esasları
MADDE 23
- (1)Kurulun toplantı günlerini ve gündemini Başkan belirler. Başkan gereken hâllerde Kurulu olağanüstü toplantıya çağırabilir.
- (2)Kurul, başkan dâhil en az altı üye ile toplanır ve üye tam sayısının salt çoğunluğuyla karar alır. Kurul üyeleri çekimser oy kullanamaz.
- (3)Kurul üyeleri; kendilerini, üçüncü dereceye kadar kan ve ikinci dereceye kadar kayın hısımlarını, evlatlıklarını ve aralarındaki evlilik bağı kalkmış olsa bile eşlerini ilgilendiren konularla ilgili toplantı ve oylamaya katılamaz.
- (4)Kurul üyeleri çalışmaları sırasında ilgililere ve üçüncü kişilere ait öğrendikleri sırları bu konuda kanunen yetkili kılınan mercilerden başkasına açıklayamazlar ve kendi yararlarına kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
- (5)Kurulda görüşülen işler tutanağa bağlanır. Kararlar ve varsa karşı oy gerekçeleri karar tarihinden itibaren en geç on beş gün içinde yazılır. Kurul, gerekli gördüğü kararları kamuoyuna duyurur.
- (6)Aksi kararlaştırılmadıkça, Kurul toplantılarındaki görüşmeler gizlidir.
- (7)Kurulun çalışma usul ve esasları ile kararların yazımı ve diğer hususlar yönetmelikle düzenlenir.
-
Madde Gerekçesi
Maddeyle Kurulun çalışma esasları düzenlenmektedir. Bu kapsamda, Kurulun toplantı ve karar yeter sayısı, Kurul üyelerinin kendilerini ve yakınlarını ilgilendiren konularda yasaklılıkları ve sır saklama yükümlülükleri düzenlenmektedir. Kurulun çalışma usul ve esasları ile kararların yazımı ve diğer hususlar yönetmelikle düzenlenecektir.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 23'üncü maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 23'üncü maddesi (Tasarının 23'üncü maddesi ) aynen kabul edilmiştir.
Başkan
MADDE 24
- (1)Başkan, Kurul ve Kurumun başkanı sıfatıyla Kurumun en üst amiri olup Kurum hizmetlerini mevzuata, Kurumun amaç ve politikalarına, stratejik planına, performans ölçütlerine ve hizmet kalite standartlarına uygun olarak düzenler, yürütür ve hizmet birimleri arasında koordinasyonu sağlar.
- (2)Başkan, Kurumun genel yönetim ve temsilinden sorumludur. Bu sorumluluk, Kurum çalışmalarının düzenlenmesi, yürütülmesi, denetlenmesi, değerlendirilmesi ve gerektiğinde kamuoyuna duyurulması görev ve yetkilerini kapsar.
- (3)Başkanın görevleri şunlardır:
- a)Kurul toplantılarını idare etmek.
- b)Kurul kararlarının tebliğini ve Kurulca gerekli görülenlerin kamuoyuna duyurulmasını sağlamak ve uygulanmalarını izlemek.
- c)Başkan Yardımcısını, daire başkanlarını ve Kurum personelini atamak.
- ç)Hizmet birimlerinden gelen önerilere son şeklini vererek Kurula sunmak.
- d)Stratejik planın uygulanmasını sağlamak, hizmet kalite standartları doğrultusunda insan kaynakları ve çalışma politikalarını oluşturmak.
- e)Belirlenen stratejilere, yıllık amaç ve hedeflere uygun olarak Kurumun yıllık bütçesi ile mali tablolarını hazırlamak.
- f)Kurul ve hizmet birimlerinin uyumlu, verimli, disiplinli ve düzenli bir biçimde çalışması amacıyla koordinasyonu sağlamak.
- g)Kurumun diğer kuruluşlarla ilişkilerini yürütmek.
- ğ)Kurum Başkanı adına imzaya yetkili personelin görev ve yetki alanını belirlemek.
- h)Kurumun yönetim ve işleyişine ilişkin diğer görevleri yerine getirmek.
- (4)Kurum Başkanının yokluğunda İkinci Başkan, Başkana vekalet eder.
-
Madde Gerekçesi
Maddeyle Kurum Başkanının görevleri düzenlenmektedir. Kurumun üst yöneticisi ve Kurulun da Başkanı olan Kurum Başkanının, Kurumu yönetmek ve temsil etmek, stratejik planın uygulanmasını sağlamak, Kurumun ve hizmet birimlerinin uyumlu, verimli, disiplinli ve düzenli bir biçimde çalışmasını temin etmek yanında, Kurul toplantılarının gündemini belirleyerek toplantılara başkanlık etmek, Kurul kararlarının gereğinin yerine getirilmesini takip etmek ve Kurumun mali tabloları ile bütçesini hazırlamak başlıca görevleri arasındadır. Ayrıca, Kurum Başkanının yokluğunda Başkana, İkinci Başkanın vekalet edeceği öngörülmektedir.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 24'üncü maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 24'üncü maddesi (Tasarının 24'üncü maddesi ) aynen kabul edilmiştir.
Başkanlığın oluşumu ve görevleri
MADDE 25
- (1)Başkanlık; Başkan Yardımcısı ve hizmet birimlerinden oluşur. Başkanlık, dördüncü fıkrada sayılan görevleri daire başkanlıkları şeklinde teşkilatlanan hizmet birimleri aracılığıyla yerine getirir. Daire başkanlıklarının sayısı yediyi geçemez.
- (2)Başkan tarafından, Kuruma ilişkin görevlerinde yardımcı olmak üzere bir Başkan Yardımcısı atanır.
- (3)Başkan Yardımcısı ve daire başkanları; en az dört yıllık yükseköğretim kurumu mezunu, on yıl süreyle kamu hizmetinde bulunan kişiler arasından Başkan tarafından atanır.
- (4)Başkanlığın görevleri şunlardır:
- a)Veri Sorumluları Sicilini tutmak.
- b)Kurumun ve Kurulun büro ve sekretarya işlemlerini yürütmek.
- c)Kurumun taraf olduğu davalar ile icra takiplerinde avukatlar vasıtasıyla Kurumu temsil etmek, davaları takip etmek veya ettirmek, hukuk hizmetlerini yürütmek.
- ç)Kurul üyeleri ile Kurumda görev yapanların özlük işlemlerini yürütmek.
- d)Kanunlarla mali hizmet ve strateji geliştirme birimlerine verilen görevleri yapmak.
- e)Kurumun iş ve işlemlerinin yürütülmesi amacıyla bilişim sisteminin kurulmasını ve kullanılmasını sağlamak.
- f)Kurulun yıllık faaliyetleri hakkında veya ihtiyaç duyulan konularda rapor taslaklarını hazırlamak ve Kurula sunmak.
- g)Kurumun stratejik plan taslağını hazırlamak.
- ğ)Kurumun personel politikasını belirlemek, personelin kariyer ve eğitim planlarını hazırlamak ve uygulamak.
- h)Personelin atama, nakil, disiplin, performans, terfi, emeklilik ve benzeri işlemlerini yürütmek.
- ı)Personelin uyacağı etik kuralları belirlemek ve gerekli eğitimi vermek.
- i)10/12/2003 tarihli ve 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu çerçevesinde Kurumun ihtiyacı olan her türlü satın alma, kiralama, bakım, onarım, yapım, arşiv, sağlık, sosyal ve benzeri hizmetleri yürütmek.
- j)Kuruma ait taşınır ve taşınmazların kayıtlarını tutmak.
- k)Kurul veya Başkan tarafından verilen diğer görevleri yapmak.
- (5)Hizmet birimleri ile bu birimlerin çalışma usul ve esasları, bu Kanunda belirtilen faaliyet alanı, görev ve yetkilere uygun olarak Kurumun teklifi üzerine Cumhurbalkanınca yürürlüğe konulan yönetmelikle belirlenir.
-
Madde Gerekçesi
Maddeyle Kişisel Verileri Koruma Kurumu Başkanlığının oluşumu ve görevleri düzenlenmektedir. Başkanlık, Kurumun ve Kurulun idari ve mali işleri ile sekretarya hizmetlerini yerine getirecektir. Başkanlık; Başkan Yardımcısı ve daire başkanlıkları şeklinde teşkilatlanan hizmet birimlerinden oluşmaktadır. Maddeyle, Başkan Yardımcısı ve Daire Başkanlarının nitelikleri ve atanma usulü ile Başkanlığın görevleri ayrıntıları olarak düzenlenmektedir. Hizmet birimleri ile bu birimlerin çalışma usul ve esasları Bakanlar Kurulu kararı ile yürürlüğe konulan yönetmelikle düzenlenecektir.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 25'inci maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 25'inci maddesi (Tasarının 25'inci maddesi ) aynen kabul edilmiştir.
Kişisel Verileri Koruma Uzmanı ve uzman yardımcıları
MADDE 26
- (1)Kurumda, Kişisel Verileri Koruma Uzmanı ve Kişisel Verileri Koruma Uzman Yardımcısı istihdam edilebilir. Bunlardan 657 sayılı Kanunun ek 41 inci maddesi çerçevesinde Kişisel Verileri Koruma Uzmanı kadrosuna atananlara bir defaya mahsus olmak üzere bir derece yükseltilmesi uygulanır.
-
Madde Gerekçesi
Kurum görevlerinin daha etkin bir şekilde yerine getirilebilmesi için, bu görevlerin, konusunda uzmanlaşmış kişiler tarafından yürütülmesi şarttır. Bu kapsamda Kurumda Kişisel Verileri Koruma Uzmanı ve Kişisel Verileri Koruma Uzman Yardımcısı çalıştırılacaktır. Maddeyle, Kişisel Verileri Koruma Uzman Yardımcısı kadrolarına atanmak için gereken şartlar bakımından 657 sayılı Kanunun ek 41 inci maddesine atıf yapılmaktadır.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 26'ncı maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 26'ncı maddesi (Tasarının 26'ncı maddesi ) aynen kabul edilmiştir.
Personele ve özlük haklarına ilişkin hükümler
MADDE 27
- (1)Kurum personeli, bu Kanunla düzenlenen hususlar dışında 657 sayılı Kanuna tabidir.
- (2)Kurul Başkan ve üyeleri ile Kurum personeline 27/6/1989 tarihli ve 375 sayılı Kanun Hükmünde Kararnamenin ek 11 inci maddesi uyarınca belirlenmiş emsali personele mali ve sosyal haklar kapsamında yapılan ödemeler aynı usul ve esaslar çerçevesinde ödenir. Emsali personele yapılan ödemelerden vergi ve diğer yasal kesintilere tabi olmayanlar bu Kanuna göre de vergi ve diğer kesintilere tabi olmaz.
- (3)Kurul Başkan ve üyeleri ile Kurum personeli 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 4 üncü maddesinin birinci fıkrasının (c) bendi hükümlerine tabidir. Kurul Başkan ve üyeleri ile Kurum personeli emeklilik hakları bakımından da emsali olarak belirlenen personel ile denk kabul edilir. 5510 sayılı Kanunun 4 üncü maddesinin birinci fıkrasının (c) bendi kapsamında sigortalı iken Kurul Başkanı ve üyeliklerine atananlardan bu görevleri sona erenler veya bu görevlerinden ayrılma isteğinde bulunanların bu görevlerde geçen hizmet süreleri kazanılmış hak aylık, derece ve kademelerinin tespitinde dikkate alınır. Bunlardan bu görevleri sırasında 5510 sayılı Kanunun geçici 4 üncü maddesi kapsamına girenlerin bu görevlerde geçen süreleri makam tazminatı ile temsil tazminatı ödenmesi gereken süre olarak değerlendirilir. Kamu kurum ve kuruluşlarında 5510 sayılı Kanunun 4 üncü maddesinin birinci fıkrasının (a) bendi kapsamında sigortalı iken Kurul Başkanı ve üyeliklerine atananların, önceki kurum ve kuruluşları ile ilişiklerinin kesilmesi kendilerine kıdem tazminatı veya iş sonu tazminatı ödenmesini gerektirmez. Bu durumda olanların kıdem tazminatı veya iş sonu tazminatı ödenmesi gereken hizmet süreleri, Kurul Başkanı ile Kurul üyeliği olarak geçen hizmet süreleri ile birleştirilir ve emeklilik ikramiyesi ödenecek süre olarak değerlendirilir.
- (4)Merkezi yönetim kapsamındaki kamu idarelerinde, sosyal güvenlik kurumlarında, mahallî idarelerde, mahallî idarelere bağlı idarelerde, mahallî idare birliklerinde, döner sermayeli kuruluşlarda, kanunlarla kurulan fonlarda, kamu tüzel kişiliğini haiz kuruluşlarda, sermayesinin yüzde ellisinden fazlası kamuya ait kuruluşlarda, iktisadi devlet teşekkülleri ve kamu iktisadi kuruluşları ile bunlara bağlı ortaklıklar ve müesseselerde görevli memurlar ile diğer kamu görevlileri kurumlarının muvafakati, hâkimler ve savcılar ise kendilerinin muvafakati ile aylık, ödenek, her türlü zam ve tazminatlar ile diğer mali ve sosyal hak ve yardımları kurumlarınca ödenmek kaydıyla geçici olarak Kurumda görevlendirilebilir. Kurumun bu konudaki talepleri, ilgili kurum ve kuruluşlarca öncelikle sonuçlandırılır. Bu şekilde görevlendirilen personel, kurumlarından aylıklı izinli sayılır. Bu personelin izinli oldukları sürece memuriyetleri ile ilgileri ve özlük hakları devam ettiği gibi, bu süreler yükselme ve emekliliklerinde de hesaba katılır ve yükselmeleri başkaca bir işleme gerek duyulmadan süresinde yapılır. Bu madde kapsamında görevlendirilenlerin, Kurumda geçirdikleri süreler, kendi kurumlarında geçirilmiş sayılır. Bu şekilde görevlendirilenlerin sayısı Kişisel Verileri Koruma Uzmanı ve Kişisel Verileri Koruma Uzman Yardımcısı toplam kadro sayısının yüzde onunu aşamaz ve görevlendirme süresi iki yılı geçemez. Ancak ihtiyaç hâlinde bu süre bir yıllık dönemler hâlinde uzatılabilir.
- (5)Kurumda istihdam edilecek personele ilişkin kadro unvan ve sayıları ekli (I) sayılı cetvelde gösterilmiştir. Toplam kadro sayısını geçmemek üzere 13/12/1983 tarihli ve 190 sayılı Genel Kadro ve Usulü Hakkında Kanun Hükmünde Kararnamenin eki cetvellerde yer alan kadro unvanlarıyla sınırlı olmak kaydıyla unvan ve derece değişikliği yapma, yeni unvan ekleme ve boş kadroların iptali Kurul kararıyla yapılır.
-
Madde Gerekçesi
Maddeyle, Kurul Başkan ve üyeleri ile Kurum personelinin mali ve sosyal hakları düzenlenmektedir. Bununla birlikte başka kurum ve kuruluşlarda çalışanlardan uzmanlığına ihtiyaç duyulanların Kurumda görevlendirilmesine ilişkin düzenleme hüküm altına alınmaktadır.
Maddeyle ayrıca, Kurumda istihdam edilecek personele ilişkin kadro unvan ve sayıları da belirlenmektedir.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 27'nci maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 27'nci maddesi (Tasarının 27'nci maddesi ) aynen kabul edilmiştir.
Yedinci Bölüm
Çeşitli Hükümler
İstisnalar
MADDE 28
- (1)Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:
- a)Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
- b)Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
- c)Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- ç)Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
- d)Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
- (2)Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:
- a)Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
- b)İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
- c)Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
- ç)Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
- (1)Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:
-
Madde Gerekçesi
Maddeyle, Kanunun kapsamı dışında tutulan hususlar düzenlenmektedir.
Birinci fıkrada, tamamen Kanun kapsamı dışında tutulan hususlar düzenlenmektedir. Buna göre kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla, gerçek kişilerin kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetleri kapsamında; anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla; milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği veya kişilik haklarını ihlal etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla veya ifade özgürlüğü kapsamında işlenmesi Kanunun tamamen kapsamı dışında tutulmaktadır.
Bunun gibi kişisel verilerin, milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi istisna olarak düzenlenmektedir. Buna göre Milli İstihbarat Teşkilatı ile diğer istihbarat birimlerinin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini ve ekonomik güvenliği sağlamaya yönelik faaliyetler kapsamında işlediği veriler Kanun kapsamı dışında tutulmaktadır. Aynı şekilde belirtilen amaçlarla, suç gelirlerinin aklanması, terörizmin finansmanının önlenmesi ve mali suçların araştırılması konusunda; yetkili birim tarafından yürütülen faaliyetler kapsamında işlenen veriler de bu istisna kapsamındadır. Bu konulardaki yetkili birimin; milli savunmayı, milli güvenliği kamu güvenliğini, kamu düzenini ve ekonomik güvenliği sağlamaya yönelik olmak üzere mali araştırma yapmak, mali istihbarat elde etmek ve üretmek, veri toplamak, şüpheli işlem bildirimleri ve diğer bildirimleri almak, analiz etmek, değerlendirmek, inceleme yapmak ve ilgili kurumlarla paylaşmak suretiyle işlediği veriler de kapsam dışında tutulmaktadır. Ayrıca, kişisel verilerin; soruşturma, kovuşturma, yargılama ve infaz mercileri ile disiplin soruşturma ve kovuşturma makamları tarafından ilgili kanun hükümleri uyarınca işlenmesi de kapsam dışında tutulmuştur.
Maddenin ikinci fıkrasında, kısmen Kanun kapsamı dışında kalan hususlar düzenlenmektedir. Buna göre, kural olarak bu fıkrada sayılan haller kanun hükümlerine tabi olmakla birlikte, sadece fıkrada belirtilen kanun maddelerinde düzenlenen hükümler bakımından istisna tutulmaktadır. Bu bağlamda ikinci fıkrada, Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla; veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Sicile kayıt yükümlülüğünü düzenleyen 16 ncı maddelerinin uygulanmayacağı haller düzenlenmektedir. Bu haller; veri işlemenin suç işlenmesinin önlenmesi için gerekli olması; ilgili kişinin kendisi tarafından alenileştirilmiş verilerin işlenmesi; veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi için gerekli olması şeklinde tespit edilmektedir.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 28'inci maddesi, istisnalara ilişkin hükümlerde oluşan tereddütlerin ve duraksamaların giderilmesi amacıyla değiştirilerek kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 28'inci maddesi (Tasarının 28'inci maddesi), kişisel verilerin resmi istatistik amacıyla işlenebilmesine imkân tanınması, yargı makamları dışındaki merciler tarafından suç soruşturması için işlenebilmesi ve kamu kurumu niteliğindeki meslek kuruluşlarınca denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma ve kovuşturma işlemlerinin kısmî istisna kapsamına alınması amacıyla değiştirilerek kabul edilmiştir.
Kurumun bütçesi ve gelirleri
MADDE 29
- (1)Kurumun bütçesi, 5018 sayılı Kanunda belirlenen usul ve esaslara göre hazırlanır ve kabul edilir.
- (2)Kurumun gelirleri şunlardır:
- a)Genel bütçeden yapılacak hazine yardımları.
- b)Kuruma ait taşınır ve taşınmazlardan elde edilen gelirler.
- c)Alınan bağış ve yardımlar.
- ç)Gelirlerinin değerlendirilmesinden elde edilen gelirler.
- d)Diğer gelirler.
-
Madde Gerekçesi
Maddeyle Kurumun bütçesi ve gelirleri düzenlenmektedir.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 29'uncu maddesinin ikinci fıkrasının (b) bendindeki "Kurula" ibaresi, idari ve mali özerkliğe sahip ve kamu tüzelkişiliğine haiz olan birimin Kişisel Verileri Koruma Kurumu olması nedeniyle "Kuruma" şeklinde değiştirilmiş ve madde değişiklik doğrultusunda kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 29'uncu maddesi (Tasarının 29'uncu maddesi) aynen kabul edilmiştir.
Değiştirilen ve eklenen hükümler
MADDE 30
- (1)5018 sayılı Kanunun eki (III) sayılı Cetvele aşağıdaki sıra eklenmiştir.
- “10) Kişisel Verileri Koruma Kurumu”
- (2)5237 sayılı Kanunun 135 inci maddesinin ikinci fıkrasında yer alan “Kişilerin” ibaresi “Kişisel verinin, kişilerin” şeklinde; “bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır” ibaresi “olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır” şeklinde değiştirilmiştir.
- (3)5237 sayılı Kanunun 226 ncı maddesinin üçüncü fıkrasında yer alan “çocukları” ibaresi “çocukları, temsili çocuk görüntülerini veya çocuk gibi görünen kişileri” şeklinde değiştirilmiştir.
- (4)5237 sayılı Kanunun 243 üncü maddesinin birinci fıkrasında yer alan “ve” ibaresi “veya” şeklinde değiştirilmiş ve maddeyeye aşağıdaki fıkra eklenmiştir.
"(4) Bir bilişim sisteminin kendi içinde veya bilişim sistemleri arasında gerçekleşen veri nakillerini, sisteme girmeksizin teknik araçlarla hukuka aykırı olarak izleyen kişi, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır.”
- (5)5237 sayılı Kanuna 245 inci maddeden sonra gelmek üzere aşağıdaki 245/A maddesi eklenmiştir.
- (1)Bir cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun; münhasıran bu Bölümde yer alan suçlar ile bilişim sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçların işlenmesi için yapılması veya oluşturulması durumunda, bunları imal eden, ithal eden, sevk eden, nakleden, depolayan, kabul eden, satan, satışa arz eden, satın alan, başkalarına veren veya bulunduran kişi, bir yıldan üç yıla kadar hapis ve beşbin güne kadar adli para cezası ile cezalandırılır.
- (6)7/5/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanununun 3 üncü maddesinin birinci fıkrasının (f) bendi aşağıdaki şekilde değiştirilmiştir.
-
f) Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabilir.
- (7)11/10/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 47 nci maddesi aşağıdaki şekilde değiştirilmiştir.
MADDE 47-
- (1)Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.
- (2)Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz.
- (3)Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.
- (4)Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, bu Kanun uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.
- (5)Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.
- (6)Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir.
Yasak cihaz veya programlar
MADDE 245/A-
-
Madde Gerekçesi
Maddeyle, Kanun sebebiyle diğer kanunlarda yapılacak değişiklikler ile eklemeler düzenlenmektedir. Bu kapsamda Kişisel Verileri Koruma Kurumu, 5018 sayılı Kanuna ekli (III) sayılı cetvele eklenmektedir.
İkinci fıkrayla, 5237 sayılı Türk Ceza Kanununun 135 inci maddesinin ikinci fıkrasında değişiklik yapılmak suretiyle, birinci fıkrada işlenen suçun konusunun özel nitelikli (hassas) veriler olması halinde verilecek cezanın yarı oranında artırılması öngörülmektedir.
Ayrıca, elektronik haberleşme ve veri kayıt sistemlerinde meydana gelen gelişmeler doğrultusunda 3359 sayılı Sağlık Hizmetleri Temel Kanununun 3 üncü maddesinin birinci fıkrasının (f) bendinde değişiklik yapılarak kayıt ve bildirim sisteminin elektronik ortamda da yapılabilmesine imkan sağlanmaktadır.
Dördüncü fıkrayla, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 47 maddesi değiştirilmektedir. Yapılan değişiklikle, sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat eden kişilerin verilerinin işlenebilmesi hükme bağlanmakta, işlenen bu verilerin; sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve finansmanı amacıyla Sağlık Bakanlığınca toplanarak işlenebileceği düzenlenmektedir. Sağlık Bakanlığınca toplanan bu verilere, ilgili kişilerin kendileri veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurmaları da ayrıca hüküm altına alınmaktadır.
Öte yandan, kişisel sağlık verisi kayıtlarının tutulduğu bu sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Sağlık Bakanlığınca belirlenecek, elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli olan tedbirler Bakanlıkça alınacak ve bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi yine adı geçen Bakanlıkça kurulacaktır. Ayrıca, veri güvenliğini sağlamak amacıyla sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettikleri personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlü olacaktır.
Son fıkrada ise kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususların Bakanlıkça çıkarılan yönetmelikle düzenleneceği öngörülmektedir.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 30'uncu maddesi ile 11/10/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşların Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin değiştirilmesi öngörülen 47'nci maddesinin ikinci ve dördüncü fıkraları Sağlık Bakanlığının, sağlık alanındaki tüm sistemlerin güvenliği ve güvenilirliği ile ilgili standartları değil yalnızca üçüncü fıkra hükmü uyarınca kendi kurmuş olduğu sistemlerin güvenliğini ve buna ilişkin standartları sağlayacağı ve sağlık hizmetlerinin maliyet hesaplarının yapılabilmesi amacıyla kişisel veri işlenebilmesi konularının açıklığa kavuşturulması amacıyla değiştirilmiştir.
Yine maddeye Türk Ceza Kanununda konuyla ilgili kimi değişikliklerin yapılabilmesi amacıyla üç fıkra eklenmiştir. Bu bağlamda;
İlk olarak 5237 sayılı Kanunun 226'ncı maddesinin üçüncü fıkrasında değişiklik yapılarak müstehcen ürünlerin üretiminde çocukları kullanmanın yanı sıra, çocuk görünümü taşıyan kişilerin veya çocukların animasyon görüntülerinin kullanılması da suçun maddi unsurları arasına alınmıştır.
İkinci olarak Sanal Ortamda İşlenen Suçlar Sözleşmesinin 3'üncü maddesiyle, üye ülkeler, yasadışı araya girme eylemini cezalandırmaya davet edildiğinden, 5237 sayılı Kanunun 243'üncü maddesinde değişiklik öngörülmüştür. Böylece bilişim sistemlerinin bütününe veya bir kısmına hukuka aykırı olarak girmekle birlikte belirli bir süre kalmak da suçun unsuru olarak düzenlenmiş olmasına rağmen Sözleşmeye uyum amacıyla sadece sisteme/sistemlere girmek fiili suç olarak düzenlenmektedir. Verilerin izlenmesi eylemi, bilişim sistemlerine herhangi bir müdahalede bulunmaksızın teknik araçlarla bilişim sistemleri arasındaki veri nakillerinin takip edilmesini ifade etmektedir. Bütün elektronik veri transferleri, bu çerçevede korunması amaçlanan veri transferinin gizliliği kapsamında kalmaktadır. Yasadışı araya girme eylemleri, temelde bilişim sistemlerine girilmeksizin işlenen fiillerdendir. Bu doğrultuda Sözleşmeye uyum amacıyla yine aynı maddenin birinci fıkrasına hüküm eklemek suretiyle, bir bilişim sisteminin kendi içinde veya bilişim sistemleri arasında gerçekleşen veri nakillerini, sisteme girmeksizin teknik araçlarla izleyen kişinin altı aydan üç yıla kadar hapis cezası ile cezalandırılması öngörülmüştür. Ayrıca 243 üncü maddeye eklenen dördüncü fıkrayla, kamu kurum veya kuruluşlarına karşı işlenenler hariç olmak üzere, suçun soruşturulması ve kovuşturulması şikâyete tabi hale getirilmektedir. Böylelikle, somut olayın özelliklerine göre mağdurun iradesi dâhilinde suçun soruşturulup soruşturulmayacağına karar verilecek ve mağdur bakımından ortaya çıkması muhtemel zararlar engellenecektir.
Son olarak 5237 sayılı Kanuna "Yasak cihaz veya programlar'' başlıklı 245/A maddesinin eklenmesi öngörülmüştür. Böylece bir cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun; münhasıran bir bilişim suçunun işlenmesi için yapılması veya oluşturulması durumunda, bunları imal eden, ithal eden, sevk eden, nakleden, depolayan, kabul eden, satan, satışa arz eden, satın alan, başkalarına veren veya bulunduran faillerin cezalandırılması amaçlanmaktadır. Mezkûr Sözleşmenin 6'ncı maddesiyle sözleşmeci taraflar, bilişim alanında suç işlenmesini kolaylaştıran cihazların kötüye kullanılmasını cezalandırmaya davet edilmektedir. Bilişim suçları ile bilişim sistemleri araç kılınarak işlenen suçlarla etkin ve caydırıcı bir şekilde mücadele edebilmek için bu tür eylemlerin suç ve ceza politikaları bakımından sınırlandırılması ve yaptırıma bağlanmasında yarar görülmektedir. Maddede tanımlanan suçun oluşumunda kişinin suç işleme kastı dikkate alınmak zorundadır. Buna göre, bu tür cihaz ve programların, bilişim sistemlerinin güvenliğini test etmek amacıyla yapılması veya oluşturulması halinde belirtilen suç oluşmayacaktır. Ayrıca, failin cezalandırılabilmesi bakımından söz konusu cihaz, program, şifre veya güvenlik kodunun suçun işlenmesine elverişli olması gerekir.
Tasarının 30'uncu maddesi yukarıda belirtilen gerekçelerle yapılan değişiklikler doğrultusunda kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 30'uncu maddesi (Tasarının 30'uncu maddesi) ile 5237 sayılı Kanunun 243'üncü maddesinin birinci fıkrasına eklenmesi öngörülen hükme konu suç için öngörülen cezanın alt sınırının artırılması, hukuka aykırılık unsurunun eklenmesi suretiyle hukuka uygun olarak bilişim sistemlerinin izlenmesinin suç oluşturmayacağı ve soruşturma ve kovuşturmanın şikâyete bağlı olmadığının belirlenmesi amacıyla değiştirilmiştir. Yine aynı maddeyle değiştirilmesi öngörülen 663 sayılı Kanun Hükmünde Kararnamenin 47'nci maddesinin birinci fıkrası, fıkrada belirtilenlere başvuranların hangi kişisel verilerinin işlenebileceği hususunun belirgin hâle getirilmesi amacıyla değiştirilmiştir. Madde yapılan değişiklikler doğrultusunda kabul edilmiştir.
Yönetmelik
MADDE 31
- (1)Bu Kanunun uygulanmasına ilişkin yönetmelikler Kurum tarafından yürürlüğe konulur.
-
Madde Gerekçesi
Maddeyle, Kanunun uygulanmasına ilişkin yönetmeliklerin, Kurum tarafından yürürlüğe konulması öngörülmektedir
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 31'inci maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 31'inci maddesi (Tasarının 31'inci maddesi) aynen kabul edilmiştir.
Geçiş hükümleri
GEÇİCİ MADDE 1
- (1)Bu Kanunun yayımı tarihinden itibaren altı ay içinde 21 inci maddede öngörülen usule göre Kurul üyeleri seçilir ve Başkanlık teşkilatı oluşturulur.
- (2)Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.
- (3)Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.
- (4)Bu Kanunda öngörülen yönetmelikler bu Kanunun yayımı tarihinden itibaren bir yıl içinde yürürlüğe konulur.
- (5)Bu Kanunun yayımı tarihinden itibaren bir yıl içinde, kamu kurum ve kuruluşlarında bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Başkanlığa bildirilir.
- (6)İlk seçilen Başkan, İkinci Başkan ve kura ile belirlenen iki üye altı yıl; diğer beş üye ise dört yıl görev yapar.
- (7)Kuruma bütçe tahsis edilene kadar;
- a)Kurumun giderleri Başbakanlık bütçesinden karşılanır.
- b)Kurumun hizmetlerini yerine getirmesi amacıyla bina, araç, gereç, mefruşat ve donanım gibi gerekli tüm destek hizmetleri Başbakanlıkça sağlanır.
- (8)Kurumun hizmet birimleri faaliyete geçinceye kadar sekretarya hizmetleri Başbakanlık tarafından yerine getirilir.
-
Madde Gerekçesi
Maddenin birinci fıkrasıyla, Kanunun yayımı tarihinden itibaren altı ay içinde Kurul üyelerinin seçilmesi ve Başkanlığın kurulması ve teşkilatlanmasının tamamlanması düzenlenmektedir.
Maddenin ikinci fıkrasında, veri sorumlularının Kurul tarafından belirlenecek ve ilan edilecek süre içinde Sicile kayıt olmaları öngörülmektedir. Bu düzenlemeyle Kurumun, Sicile yönelik gerekli fiziki ve teknik altyapıyı tamamlaması amaçlanmaktadır.
Üçüncü fıkrayla, Kanunun yürürlüğe girdiği tarihten önce işlenmiş olan kişisel verilerin iki yıl içinde Kanunda öngörülen usul ve esaslara uygun hale getirilmesi öngörülmektedir. Kanunda öngörülen usul ve esaslara aykırı olduğu anlaşılan kişisel verilerin ise derhal silinmesi, yok edilmesi veya anonim hale getirilmesi düzenlenmektedir.
Dördüncü fıkrayla, Kanunda öngörülen yönetmeliklerin bir yıl içinde yürürlüğe konulması hükme bağlanmaktadır.
Beşinci fıkrayla, kamu kurum ve kuruluşlarında Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Başkanlığa bildirilmesi hususu düzenlenmektedir.
İlk seçilen Başkan, İkinci Başkan ve kura ile belirlenen bir üyenin altı yıl, diğer dört üyenin ise dört yıl görev yapması öngörülmekte ve böylelikle, Kurum hafızasının devamı için Kurul üyelerinin dönüşümlü olarak görev yapmaları amaçlanmaktadır.
Öte yandan, Kişisel Verileri Koruma Kurumuna bütçe tahsis edilene kadar Kurumun giderlerinin Başbakanlık bütçesinden karşılanacağı, hizmetin yerine getirilmesi için gerekli desteğin Başbakanlıkça sağlanacağı ve hizmet birimleri faaliyete geçinceye kadar sekretarya hizmetlerinin Başbakanlık tarafından yürütüleceği hükme bağlanmaktadır.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının geçici 1'inci maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin geçici 1'inci maddesi (Tasarının geçici 1'inci maddesi) aynen kabul edilmiştir.
GEÇİCİ MADDE 2
- (1)En az dört yıllık lisans öğrenimi veren siyasal bilgiler, iktisadi ve idari bilimler, iktisat, hukuk ve işletme fakültelerinden, mühendislik fakültelerinin elektronik, elektrik-elektronik, elektronik ve haberleşme, bilgisayar, bilişim sistemleri mühendisliği bölümlerinden ya da bunlara denkliği Yükseköğretim Kurulu tarafından kabul edilen yurt içi ve yurt dışındaki yükseköğrenim kurumlarından mezun olanlardan; mesleğe özel yarışma sınavı ile girilen ve belirli süreli meslek içi eğitimden ve özel bir yeterlik sınavından sonra 657 sayılı Kanunun 36 ncı maddesinin “Ortak Hükümler” başlıklı bölümünün (A) fıkrasının (11) numaralı bendinde belirtilen unvanlara ilişkin kurumların merkez teşkilatlarına ait kadrolara atanmış ve bu kadrolarda aylıksız izin süreleri hariç en az iki yıl bulunmuş olanlar ile öğretim üyesi kadrolarında bulunanlar, Yabancı Dil Bilgisi Seviye Tespit Sınavından en az yetmiş puan almış olmak ve atama tarihi itibarıyla kırk yaşından gün almamış olmak kaydıyla, bu maddenin yürürlüğe girdiği tarihten itibaren bir yıl içinde Kişisel Verileri Koruma Uzmanı olarak atanabilirler. Bu şekilde atanacakların sayısı on beşi geçemez.
-
Madde Gerekçesi
7061 Sayılı BAZI VERGİ KANUNLARI İLE DİĞER BAZI KANUNLARDA DEĞİŞİKLİK YAPILMASINA DAİR KANUN MADDE 120 Kişisel Verilerin Korunması Kurumunda, geçici görevlendirme kadrosunun sınırlı olması ve ilgili Kanunda uzman unvanlı kadro için naklen geçişe olanak sağlayacak bir genel veya geçici madde bulunmadığı için naklen uzman alımı yapılamamaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanununda, uzman personel nakline ilişkin herhangi bir kanuni düzenleme bulunmadığından, anılan Kanuna eklenmesi öngörülen geçici madde ile kariyer mesleklerden ve öğretim üyelerinden Kurumun acil ihtiyaç duyduğu uzman personelin naklen atanmasının sağlanması amaçlanmaktadır.
Alt Komisyonun Değişiklik Gerekçesi
Adalet Komisyonunun Değişiklik Gerekçesi
Yürürlük
MADDE 32
- (1)Bu Kanunun;
- a)8 inci, 9 uncu, 11 inci, 13 üncü, 14 üncü, 15 inci, 16 ncı, 17 nci ve 18 inci maddeleri yayımı tarihinden altı ay sonra,
- b)Diğer maddeleri ise yayımı tarihinde,
- yürürlüğe girer.
- (1)Bu Kanunun;
-
Madde Gerekçesi
Yürürlük maddesidir.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 32'nci maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 32'nci (Tasarının 32'nci maddesi) aynen kabul edilmiştir.
Yürütme
MADDE 33
- (1)Bu Kanun hükümlerini Bakanlar Kurulu yürütür.
-
Madde Gerekçesi
Yürütme maddesidir.
Alt Komisyonun Değişiklik Gerekçesi
Tasarının 33'üncü maddesi aynen kabul edilmiştir.
Adalet Komisyonunun Değişiklik Gerekçesi
Alt Komisyon tarafından kabul edilen metnin 33'üncü (Tasarının 33'üncü maddesi) aynen kabul edilmiştir.
Yasalaşma Süreci
6698 sayılı Kişisel Verilerin Korunması Kanunu TBMM'de kanunlaşma sürecindeki aşamalar.
Birleşimler
26. Dönem 1. Yasama Yılı 40. Birleşim 17/Şubat /2016 Çarşamba
26. Dönem 1. Yasama Yılı 41. Birleşim 18/Şubat /2016 Perşembe
26. Dönem 1. Yasama Yılı 43. Birleşim 24/Şubat /2016 Çarşamba
26. Dönem 1. Yasama Yılı 59. Birleşim 22/Mart /2016 Salı
26. Dönem 1. Yasama Yılı 60. Birleşim 23/Mart /2016 Çarşamba
26. Dönem 1. Yasama Yılı 61. Birleşim 24/Mart /2016 Perşembe