[By-leyl-i Lal]

Kişisel verilerin korunması kanun tasarısı TBMM'de görüşülecek



'Kişisel Verilerin Korunması Kanunu Tasarısı' TBMM Başkanlığına sunuldu.
Tasarının ayrıntı ve tam metni ise şu şekildedir



KİŞİSEL VERİLERİN KORUNMASI KANUNU TASARISI



BİRİNCİ BÖLÜM Amaç, Kapsam ve Tanımlar

Amaç

MADDE 1- (1) Bu Kanunun amacı, kişisel verilerin işlenmesinde kişinin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları usul ve esasları düzenlemektir.

Kapsam

MADDE 2- (1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen, otomatik olan veya olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Tanımlar

MADDE 3- (1) Bu Kanunun uygulanmasında;

a) Anonim hale getirme: Kişisel verilerin, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,

b) Genel Sekreterlik: Kişisel Verileri Koruma Kurulu Genel Sekreterliğini,

c) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

ç) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

d) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen, otomatik olan veya olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

e) Kurul: Kişisel Verileri Koruma Kurulunu,

f) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

g) Veri kayıt sistemi: Kişisel verilere ulaşımı kolaylaştıracak şekilde, belirli bir kritere göre yapılandırılmış kayıt sistemim,

ğ) Veri sorumlusu: Birim, kurum veya kuruluşlarda veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

ifade eder.

İKİNCİ BÖLÜM Kişisel Verilerin İşlenmesi

Genel ilkeler

MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olmak.

b) Doğru ve gerektiğinde güncel olmak.

c) Belirli, açık ve meşru amaçlar için işlenmek.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmak.

d) İşlendikleri amaç için gerekli olan süre kadar muhafaza edilmek.

Kişisel verilerin işlenme şartlan

MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

(2) Aşağıdaki şartlardan en az birinin varlığı hailinde, ilgili kişinin açık nzası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

Özel nitelikli kişisel verilerin işlenme şartlan

MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, demek, vakıf ya da sendika üyeliği, sağlığı veya cinsel hayatıyla ilgili verileri, özel nitelikli kişisel veriler olup bunların işlenmesi yasaktır.

(2) Birinci fıkrada belirtilen kişisel verilerin, yeterli önlemlerin alınması şartıyla, aşağıda sayılan hallerde işlenmesi mümkündür:

a) İlgili kişinin açık rızasının bulunması.

b) Kanunlarda açıkça öngörülmesi.

c) Siyasi parti, vakıf, demek veya sendika gibi kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik verilerin işlenmesi.

ç) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

d) Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu

olması.

e) Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenmesi.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

MADDE 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

(2) Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

(3) Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanun hükümleri saklıdır.

Kişisel verilerin aktarılması

MADDE 8- (1) Kişisel veriler, ilgili kişinin açık nzası olmaksızın üçüncü kişilere ve yurtdışına aktarılamaz.

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin ikinci fıkrasının (b), (ç), (d) ve (e) bentlerinde belirtilen hallerden en az birinin bulunması kaydıyla;

a) Üçüncü kişilere,

b) İlgili yabancı ülkede yeterli korumanın bulunması koşuluyla yurtdışına,

ilgili kişinin açık nzası aranmaksızın aktarılabilir.

(3) İkinci fıkra uyarınca kişisel verinin aktarılacağı yabancı ülkede yeterli koruma bulunmaması halinde kişisel veriler ancak;

a) İlgili kişinin açık rızasının bulunması,

b) Türkiye'deki ve kişisel verinin aktarılacağı yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kurulun izninin bulunması,

hallerinde yurtdışına aktarılabilir.

(4) 6 ncı maddenin ikinci fıkrasının (c) bendinde belirtilen kişisel veriler ancak;

a) Kanunlarda açıkça öngörülmesi,

b) İlgili kişinin açık rızası ile Kurulun izninin birlikte bulunması,

hallerinde üçüncü kişilere ve yeterli koruma bulunması koşuluyla yurtdışına aktarılabilir.

(5) Yabancı ülkede yeterli koruma bulunup bulunmadığı Kurulca belirlenerek ilan

edilir.

(6) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve üçüncü ve dördüncü fıkralar uyarınca izin verilip verilmeyeceğine;

a) Taraf olduğumuz uluslararası sözleşmeleri,

b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,

c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

ç) Kişisel verinin aktarılacağı ülkede uygulanan konuyla ilgili mevzuatı,

d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,

değerlendirmek ve gerektiğinde ilgili kamu kurum ve kuruluşlarının görüşünü de almak suretiyle karar verir.

(7) Kişisel verilerin üçüncü kişilere ve yurtdışına aktarımına ilişkin, ilgili kanunlarda yer alan hükümler saklıdır.

ÜÇÜNCÜ BÖLÜM Haklar ve Yükümlülükler

Veri sorumlusunun aydınlatma yükümlülüğü

MADDE 9- (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu, ilgili kişilere;

a) Kendisinin ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) 10 uncu maddede sayılan diğer haklan,

konusunda bilgi vermekle yükümlüdür.

(2) Kişisel verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesi halinde veri sorumlusu, ilgili kişiyi aynca bilgilendirmekle yükümlüdür.

İlgili kişinin haklan

MADDE 10- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenmek,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek,

c) Kişisel verilerin işlenme amacım ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,

ç) Yurtiçinde veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilmek,

d) Kişisel verilerin eksik veya yanlış olması halinde bunların düzeltilmesini istemek,

e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini istemek,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,

g) İşlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,

ğ) Kişisel verilerin kanuna aykın olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek,

haklarına sahiptir.

Veri güvenliğine ilişkin yükümlülükler

MADDE 11- (1) Veri sorumlusu;

a) Kişisel verilerin hukuka aykın olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykın olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini sağlamaya yönelik gerekli tedbirleri almak zorundadır.

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

(3) Veri sorumlusu, kendi birim, kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

(4) Veri sorumlulan ile veri işleyen kişiler öğrendikleri kişisel verileri bu Kanun hükümlerine aykın olarak başkasına açıklayamaz ve kendi şahsi çıkarlan için kullanamazlar. Bu yükümlülük görevden aynlmalanndan sonra da devam eder.

(5) İşlenen kişisel verilerin kanuni olmayan yollardan başkalan tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan edebilir.

DÖRDÜNCÜ BÖLÜM Başvuru, Şikayet ve Sicil

Başvuru

MADDE 12- (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak ya da Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.

(2) Veri sorumlusu, başvuruda dile getirilen talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde, ücretsiz olarak veya işlemin aynca bir maliyeti gerektirmesi halinde Kurulca uygun görülen bir ücret karşılığında yerine getirir ya da gerekçesini açıklayarak reddeder.

Şikayet

MADDE 13- (1) İlgili kişi, başvurusunun veri sorumlusu tarafından reddedilmesi veya cevap verilmemesi ya da cevabı yetersiz bulması hallerinde otuz gün içinde Kurula şikayette bulunabilir.

(2) 12 nci madde uyarınca veri sorumlusuna başvuru yolu tüketilmeden şikayet yoluna başvurulamaz.

(3) Şikayet tarihinden itibaren dört ay içinde cevap verilmediği takdirde talep reddedilmiş sayılır.

(4) Kişilik haklan ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.

İncelemenin usul ve esasları

MADDE 14- (1) Kurul, şikayet üzerine veya resen bu Kanunun uygulanmasıyla ilgili konularda gerekli incelemeyi yapar.

(2) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartlan taşımayan ihbar veya şikayetler incelemeye alınmaz.

(3) Veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri onbeş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkan sağlamak zorundadır. Devlet sim niteliğindeki bilgi ve belgeler Kurula gönderilmez. Ancak bu bilgi ve belgeler, Kurul Başkam veya görevlendireceği bir üye tarafından yerinde incelenebilir.

(4) Kurul, şikayet üzerine yapacağı incelemeleri iki ay içinde tamamlar. Ancak hukuki veya fiili sebeplerle bu süre içinde incelemenin sonuçlandınlamaması halinde süre, bir defaya mahsus olmak üzere iki ay daha uzatılmış sayılır.

(5) Şikayet üzerine veya resen yapılan inceleme sonucunda, bu Kanun hükümlerinin ihlal edildiğinin anlaşılması halinde Kurul, tespit ettiği hukuka aykınlıklann ilgili veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.

(6) Şikayet üzerine veya resen yapılan inceleme sonucunda, . kanuna aykın uygulamanın yaygın olduğunun tespit edilmesi halinde Kurul, bu konuda ilke karan alır ve bu karan yayımlar.

(7) Kurul, telafisi güç veya imkansız zararlann doğması ihtimali ve açıkça hukuka aykınlık halinde, veri işlenmesinin veya verinin yurtdışına aktanlmasının durdurulmasına karar verebilir.

(8) İlgililer, Kurulca verilen kararlara karşı idare mahkemelerinde dava açabilirler.

Veri Sorumluları Sicili

MADDE 15- (1) Genel Sekreterlik tarafından kamuya açık olarak bir Veri Sorumlulan Sicili tutulur.

(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Sicile kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktanlma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Sicile kayıt zorunluluğuna istisna getirilebilir.

(3) Sicile kayıt başvurusu aşağıdaki hususlan içeren bir bildirimle yapılır:

a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.

b) Kişisel verilerin hangi amaçla işleneceği.

c) Kişisel veri konusu kişi grubu ve gruplan ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.

ç) Kişisel verilerin aktanlabileceği alıcı veya alıcı gruplan.

d) Yabancı ülkelere aktanmı öngörülen kişisel veriler. 'T

f * ^

e) Kişisel veri güvenliğine ilişkin alınan tedbirler.

(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhal Genel Sekreterliğe bildirilir.

(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.

BEŞİNCİ BÖLÜM Suçlar ve Kabahatler

Suçlar

MADDE 16- (1) Bu Kanun hükümlerine aykın olarak; kişisel verileri ele geçiren, kaydeden, bir başkasma veren veya yayanlar ya da yok etmeyenler 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun ilgili hükümlerine göre cezalandırılır.

(2) Bu Kanun hükümlerine aykırı olarak kişisel verileri depolayan, muhafaza eden, değiştiren, yeniden düzenleyen, açıklayan, elde edilebilir hale getiren, sınıflandıran ya da kullanılmasını engelleyen veya üçüncü kişilere aktaranlar Türk Ceza Kanununun 135 inci maddesine göre cezalandırılır.

(3) 7 nci madde hükümlerine aykın olarak; kişisel verileri silmeyen veya anonim hale getirmeyenler Türk Ceza Kanununun 138 inci maddesine göre cezalandırılır.

(4) Bu maddede tanımlanan veya yollamada bulunulan suçların, bir tüzel kişinin faaliyeti çerçevesinde işlenmesi halinde, ilgili tüzel kişi hakkında, Türk Ceza Kanununun tüzel kişilere özgü güvenlik tedbirlerine hükmolunur.

Kabahatler

MADDE 17- (1) Bu Kanunun;

a) 9 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 1.000 Türk Lirasından 100.000 Türk Lirasına İcadar,

b) 11 inci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 10.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,

c) 14 üncü maddesi uyarınca Kurul tarafından verilen kararlan yerine getirmeyenler hakkında 10.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,

ç) 15 inci maddesinde öngörülen Sicile kayıt ve bildirim yükümlülüğüne aykın hareket edenler hakkında 10.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,

idari para cezası verilir.

(2) Bu maddede öngörülen idari para cezalan veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşlan ile kamu kurumu niteliğindeki meslek kuruluşlan bünyesinde işlenmesi halinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlannda görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır.

ALTINCI BÖLÜM Kişisel Verileri Koruma Kurulu

Kişisel Verileri Koruma Kurulu

MADDE 18- (1) Bu Kanunla ve diğer mevzuatla kişisel verilere ilişkin verilen görevleri yerine getirmek üzere, Kişisel Verileri Koruma Kurulu kurulmuştur.

(2) Kurul, görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirir ve kullanır.

(3) Kurulun ilişkili olduğu bakanlık Adalet Bakanlığıdır.

(4) Kurul, genel bütçe içinde kendi bütçesiyle yönetilir.

Kurulun görevleri

MADDE 19- (1) Kurulun görevleri şunlardır:

a) Kişisel verilerin bu Kanun hükümlerine uygun olarak işlenip işlenmediğine ilişkin ihbar veya şikayet üzerine ya da resen inceleme ve denetleme yapmak veya yaptırmak.

b) İlgili kişi bakımından telafisi güç veya imkansız bir zararın doğması ihtimalinin bulunması halinde geçici önlemler almak.

c) Kişisel verilerin işlenmesine ilişkin konularda düzenleyici işlemleri hazırlamak.

ç) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat hakkında görüş bildirmek.

d) Kişisel veri koruma hukuku alanında ulusal ve uluslararası kurum ve kuruluşlarla işbirliği yapmak.

e) Bu Kanunda öngörülen idari yaptırımlara karar vermek.

f) Veri koruma hukuku alanındaki gelişmeleri takip etmek, araştırma ve incelemeler ile eğitim faaliyetleri yapmak veya yaptırmak.

g) Kanunlarla verilen diğer görevleri yapmak.

(2) Kurul, altı aylık dönemler itibarıyla hazırlanıp onaylanmış faaliyet raporunu ilişkili olduğu Bakana, yıllık faaliyet raporunu ise Bakanlar Kuruluna ve Türkiye Büyük Millet Meclisi İnsan Haklarını İnceleme Komisyonuna sunar. 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu hükümleri saklıdır.

Kurulun oluşumu ve üyelerine ilişkin hükümler

MADDE 20- (1) Kurul, yedi üyeden oluşur. Kurul üyelerinin; ikisi mesleğinde en az on yıl çalışmış olan avukatlar veya hakimler, biri yükseköğretim kurumlannda en az on yıl çalışmış olan öğretim üyeleri, dördü ise kamuda veya özel sektörde en az on yıl çalışmış olanlar arasından Bakanlar Kurulunca seçilir. Kurul, kendi üyeleri arasından bir Başkan seçer. Başkan, Kurulun en üst yöneticisi olup, Kurulun genel yönetim ve temsilinden sorumludur.

(2) Üyelerin;

a) 14/7/1965 tarihli ve 657 sayılı Devlet Memurları Kanununun 48 inci maddesinin birinci fıkrasının (A) bendinin (1), (4), (5), (6) ve (7) numaralı alt bentlerinde belirtilen şartlan taşımaları,

b) En az lisans düzeyinde yükseköğrenim görmüş olmaları,

şarttır.

(3) Kurul üyeliğine seçileceklerin muvafakatleri aranır.

(4) Kurul üyeleri göreve başlamadan önce, Yargıtay Birinci Başkanlık Kurulu huzurunda "Görevimi tam bir tarafsızlık, dürüstlük, hakkaniyet ve adalet anlayışı içinde yerine getireceğime, namusum ve şerefim üzerine andiçerim." şeklinde andiçerler.

(5) Kurul üyelerinin görev süresi iki yıldır. Ancak seçilmeleri için gerekli şartlan taşımadığı veya sonradan kaybettiği anlaşılan, görevleriyle ilgili olarak işledikleri suçlardan dolayı haklannda verilen mahkümiyet karan kesinleşen, görevlerini yerine getiremeyecekleri sağlık kurulu raporuyla kesin olarak anlaşılan veya görevlerine izinsiz, mazeretsiz ve kesintisiz olarak onbeş gün ya da bir yılda toplam otuz gün süreyle devam etmeyen üyelerin görevi, Kurul karanyla sona erer.

(6) Görev süresi biten üyeler bir defalığına tekrar seçilebilirler. Üyeliklerde boşalma olması halinde, bir ay içinde seçim yapılır.

(7) Kurul üyeliklerine seçilenlerin Kurulda görev yaptıklan sürece önceki görevleriyle olan ilişikleri kesilir. Kamu görevlisi olan üyelerden talepte bulunanlar, Kurul üyeliğinde bulunduklan sürece kurumlanndan aylıklı izinli sayılır ve bulundukları kadro ve görev unvanlanna ilişkin mali ve sosyal haklannı kurumlanndan almaya devam ederler. Terfileri

yetkili kurullarca başka bir işleme gerek olmaksızın yapılır. Aylıklı izinli sayılanlara ayrıca, bu Kanun uyarınca mali ve sosyal haklar kapsamında bir ödeme yapılmaz. Talepte bulunmayan kamu görevlisi üyeler ise aylıksız izinli sayılırlar.

(8) Kamu görevlisi Kurul üyelerinden görev süresi sona erenler bir ay içinde müracaat etmeleri halinde, en geç bir ay içinde kendi kurumlanndaki kadro ve görev unvanlarına uygun bir kadroya atanırlar. Kamu görevlilerinin bu görevde geçirdikleri süreler tabi oldukları kanun hükümlerine göre hizmetlerinde değerlendirilir. Akademik unvanların kazanılması için gerekli şartlar saklıdır. Kamu görevlisi Kurul üyelerine atamaları yapılıncaya kadar, özel sektörden gelen Kurul üyelerine üç ayı geçmemek üzere bir işe başlayıncaya kadar, görevlerinin sona erdiği tarihte almakta oldukları aylık ücret ile sosyal hak ve yardımların ödenmesine devam olunur.

(9) Aylıklı izinli sayılanlar hariç olmak üzere, Kurul üyelerine genel idare hizmetleri sınıfında yer alan bakanlık müsteşar yardımcısı için belirlenen her türlü ödemeler dahil mali haklar tutarında aylık ödeme yapılır. Müsteşar yardımcısına ödenenlerden, vergi ve diğer yasal kesintilere tabi olmayanlar bu Kanuna göre de vergi ve diğer kesintilere tabi olmaz. 657 sayılı Kanun ve diğer mevzuat uyarınca müsteşar yardımcısının yararlanmış olduğu sosyal hak ve yardımlardan, Kurul üyeleri de aynı usul ve esaslar çerçevesinde aynen yararlanırlar. Kurul üyeliklerine seçilenler 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 4 üncü maddesinin birinci fıkrasının (c) bendi kapsamında sigortalı sayılır ve bunların sigorta primine esas kazanç tutarları, söz konusu bakanlık müsteşar yardımcısı esas alınarak belirlenir. Bu görevleri sırasında 5510 sayılı Kanunun geçici 4 üncü maddesi kapsamına girenlerin bu görevde geçen süreleri makam tazminatı ile temsil tazminatı ödenmesi gereken süre olarak değerlendirilir.

(10) Kurul üyeleri, kanunlarda belirlenenler dışında resmi veya özel başka bir görev alamaz ve kazanç getirici faaliyetlerde bulunamazlar.

(11) Kurul üyelerinin görevleri sebebiyle işledikleri iddia edilen suçlara ilişkin soruşturmalar 2/12/1999 tarihli ve 4483 sayılı Memurlar ve Diğer Kamu Görevlilerinin Yargılanması Hakkında Kanuna göre yapılır ve bunlar hakkında soruşturma izni Kurulun ilişkili olduğu Bakan tarafından verilir.

(12) Kurul üyeleri hakkında yapılacak disiplin soruşturması ve kovuşturmasında 657 sayılı Kanun hükümleri uygulanır.

(13) Kurul üyelerinin suç ve disiplin soruşturması ve kovuşturmasıyla ilgili özel kanun hükümleri saklıdır.

Kurulun çalışma esasları

MADDE 21- (1) Kurul, en az beş üye ile toplanır ve üye tam sayısının salt çoğunluğuyla karar alır. Kurul üyeleri çekimser oy kullanamaz.

(2) Üyeler; kendilerini, üçüncü dereceye kadar kan ve ikinci dereceye kadar kayın hısımlarını, evlatlıklarını ve aralarındaki evlilik bağı kalkmış olsa bile eşlerini ilgilendiren konularla ilgili toplantı ve oylamaya katılamaz.

(3) Kurul üyeleri çalışmaları ve denetlemeleri sırasında ilgililere ve üçüncü kişilere ait öğrendikleri sırlan bu konuda kanunen yetkili kılınan mercilerden başkasına açıklayamazlar ve kendi yararlanna kullanamazlar. Bu yükümlülük görevden aynlmalanndan sonra da devam eder.

(4) Kurulun çalışma usul ve esaslan ile diğer hususlar yönetmelikle düzenlenir.

YEDİNCİ BÖLÜM Genel Sekreterlik

Genel Sekreterliğin oluşumu ve görevleri

MADDE 22- (1) Kurulun idari ve mali işleri ile sekretarya hizmetleri Genel Sekreterlik tarafından yürütülür. Genel Sekreterlik; Genel Sekreter, iki genel sekreter yardımcısı, Kişisel Verileri Koruma Uzmanı ve Kişisel Verileri Koruma Uzman Yardımcıları ile diğer idari personelden oluşur.

(2) Genel Sekreter en az dört yıllık yükseköğretim kurumu mezunu, hukuk, kamu yönetimi, iktisat, işletme alanlarında oniki yıl süreyle kamu hizmetinde bulunan ve 657 sayılı Kanunun 48 inci maddesinde yazılı şartlara sahip olanlar arasından; genel sekreter yardımcıları ise aynı nitelikleri taşıyıp on yıl süreyle kamu hizmetinde bulunanlar arasından ilişkili Bakan tarafından atanır.

(3) Genel Sekreterliğin görevleri şunlardır:

a) Kurulun büro işlemlerini yürütmek.

b) Kurulun taraf olduğu davalar ile icra takiplerinde avukatlar vasıtasıyla Kurulu temsil etmek, davaları takip etmek, ettirmek, hukuki hizmetleri yürütmek.

c) Kurulun arşiv hizmetlerini yürütmek.

ç) Kanunlarla mali hizmet ve strateji geliştirme birimlerine verilen görevleri yapmak.

d) Kurul üyeleri ile Kurulda görev yapanların özlük işlemlerini yürütmek.

e) Kurul faaliyetleri hakkında gerekli rapor taslaklarını hazırlamak ve Kurula sunmak.

f) Kanunlarda gösterilen veya Kurul Başkanı tarafından verilen diğer işleri yapmak.

(4) Genel Sekreter hakkında Başbakanlıktaki genel müdürlere; genel sekreter yardımcıları hakkında ise genel müdür yardımcılarına uygulanan mali ve sosyal hak ve yardımlara ilişkin hükümler aynı usul ve esaslar çerçevesinde uygulanır.

(5) Genel Sekreterliğin hizmet birimleri ile çalışma usul ve esasları yönetmelikle düzenlenir.

Personel

MADDE 23- (1) Kurul personeli, Genel Sekreterin teklifi üzerine Kurul Başkanı tarafından atanır.

(2) Kamu kurum ve kuruluşlarında istihdam edilen personelden uzmanlığına ihtiyaç duyulanlar, ilgili kurum veya kuruluşun muvafakati ve ilgilinin kabul etmesi şartıyla Başkan tarafından, yapılacak çalışmanın kapsamı ve süresi de dikkate alınarak en çok iki yıl süreyle Kurulda görevlendirilebilir. Süresi sona erenler, aynı usule göre bir defaya mahsus olmak üzere yeniden görevlendirilebilir. Bu şekilde görevlendirilenler, kurumlannca görev süresince aylıklı izinli sayılırlar. Bunların aylık, ek gösterge, tazminat, ek ödeme ve diğer mali ve sosyal hak ve yardımları kendi kurumlannca ödenir ve her türlü özlük haklan devam eder ve bunlara aynca herhangi bir ödeme yapılmaz.

SEKİZİNCİ BÖLÜM Çeşitli Hükümler

İstisnalar

MADDE 24- (1) Bu Kanun hükümleri aşağıdaki hallerde uygulanmaz:

a) Kişisel verilerin, gerçek kişiler tarafından tamamen kişisel veya aynı konutta beraber yaşayanlarla ilgili faaliyetlerine ilişkin olarak işlenmesi.

b) Kişisel verilerin anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi. ' -

c) Kişisel verilerin, bu Kanunda belirtilen genel ilkelere, veri güvenliğine ilişkin tedbirlere ve mesleki davranış kurallarına uygun olarak basın özgürlüğü çerçevesinde işlenmesi.

ç) 4/7/1934 tarihli ve 2559 sayılı Polis Vazife ve Salahiyet Kanunu, 10/3/1983 tarihli ve 2803 sayılı Jandarma Teşkilat, Görev ve Yetkileri Kanunu, 1/11/1983 tarihli ve 2937 sayılı Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanununun istihbari faaliyetlere ilişkin hükümleri çerçevesinde kişisel verilerin işlenmesi.

d) 11/10/2006 tarihli ve 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ile 7/2/2013 tarihli ve 6415 sayılı Terörizmin Finansmanının Önlenmesi Hakkında Kanun çerçevesinde mali araştırma yapmak, veri toplamak, şüpheli işlem bildirimleri ve diğer bildirimleri almak, analiz etmek, değerlendirmek, inceleme yapmak ve ilgili kurumlarla paylaşmak suretiyle kişisel verilerin işlenmesi.

(2) Bu Kanunun veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 9 uncu maddesi ile sicile kayıt yükümlülüğünü düzenleyen 15 inci maddesi, bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla;

a) Kişisel veri işlemenin suç işlenmesinin önlenmesi için gerekli olması,

b) Kişisel veri işlemenin disiplin soruşturması veya kovuşturması için gerekli olması,

c) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik veya mali çıkarlarının korunması için gerekli olması,

ç) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi için gerekli olması,

d) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,

hallerinde uygulanmaz. Bu hallerde, zararın giderilmesini talep etme hakkı hariç

olmak üzere, 10 uncu madde kapsamındaki talepler reddedilebilir.

(3) Soruşturma, kovuşturma, yargılama ve infaz mercileri tarafından kişisel verilerin işlenmesinde ve korunmasında ilgili kanun hükümleri uygulanır. İlgili kanunlarda hüküm bulunmayan hallerde, 9 uncu, 10 uncu ve 15 inci maddeleri hariç olmak üzere, bu Kanun hükümleri uygulanır.

Değiştirilen ve eklenen hükümler

MADDE 25- (1) 14/7/1965 tarihli ve 657 sayılı Devlet Memurları Kanununun;

a) 36 ncı maddesinin "Ortak Hükümler" bölümünün (A) fıkrasının (11) numaralı bendine "Kalkınma Bakanlığı Planlama Uzman Yardımcıları," ibaresinden sonra gelmek üzere "Kişisel Verileri Koruma Uzman Yardımcıları," ibaresi ve "Kalkınma Bakanlığı Planlama Uzmanlığına," ibaresinden sonra gelmek üzere "Kişisel Verileri Koruma Uzmanlığına," ibaresi,

b) 152 nci maddesinin "II- Tazminatlar" kısmının "A- Özel Hizmet Tazminatı" bölümünün (ğ) bendine "Kalkınma Bakanlığı Planlama Uzmanlan," ibaresinden sonra gelmek üzere "Kişisel Verileri Koruma Uzmanlan," ibaresi,

c) Eki (I) sayılı Ek Gösterge Cetvelinin "I- Genel İdare Hizmetleri Sınıfı" bölümünün (g) bendine "Kalkınma Bakanlığı Planlama Uzmanlan," ibaresinden sonra gelmek üzere "Kişisel Verileri Koruma Uzmanlan," ibaresi,

eklenmiştir.

(2) 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanununa ekli

(I) sayılı cetvele "56) Kişisel Verileri Koruma Kurulu" sırası eklenmiştir.

(3) Ekli listede yer alan kadrolar ihdas edilerek, 13/12/1983 tarihli ve 190 sayılı Genel Kadro ve Usulü Hakkında Kanun Hükmünde Kararnamenin eki (I) sayılı cetvele Kişisel Verileri Koruma Kurulu bölümü olarak eklenmiştir.

(4) 27/6/1989 tarihli ve 375 sayılı Kanun Hükmünde Kararnamenin ek 10 uncu maddesinin birinci fıkrasına "Türkiye İnsan Haklan Kurumu," ibaresinden sonra gelmek üzere "Kişisel Verileri Koruma Kurulu," ibaresi eklenmiştir.

Yönetmelik

MADDE 26- (1) Bu Kanunun uygulanmasına ilişkin yönetmelikler, Kurulun ilişkili olduğu Bakanlık tarafından yürürlüğe konulur.

DOKUZUNCU BÖLÜM Geçici ve Son Hükümler

Geçiş hükümleri

GEÇİCİ MADDE 1- (1) Bu Kanunun yayımı tarihinden itibaren altı ay içinde Kurul üyeleri seçilir ve Genel Sekreterlik teşkilatı oluşturulur.

(2) Veri sorumlulan, Kurul tarafından belirlenen ve ilan edilen süre içinde sicile kayıt yaptırmak zorundadırlar.

(3) Kişisel verilerin işlenmesine ilişkin hüküm içeren özel kanunlarda, bu Kanuna uyum amacıyla iki yıl içinde gerekli değişiklikler yapılmadığı takdirde bu Kanun hükümleri uygulanır.

(4) Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hale getirilir. Bu Kanun hükümlerine aykın olduğu tespit edilen kişisel veriler derhal silinir, yok edilir veya anonim hale getirilir.

(5) Bu Kanunun uygulanmasına ilişkin yönetmelikler bu Kanunun yayımı tarihinden itibaren bir yıl içinde yürürlüğe konulur.

(6) Bu Kanunun yayımı tarihinden itibaren bir yıl içinde, kamu kurum ve kuruluşlannda bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Genel Sekreterliğe bildirilir.

Bütçe tahsisi ve sekretarya hizmetleri

GEÇİCİ MADDE 2- (1) Kurula bütçe tahsis edilene kadar;

a) Kurulun giderleri ilişkili Bakanlık bütçesinden karşılanır.

b) Kurulun hizmetlerini yerine getirmesi amacıyla bina, araç, gereç, mefruşat ve donanım gibi gerekli tüm destek hizmetleri ilişkili Bakanlıkça sağlanır.

(2) Kurulun hizmet birimleri faaliyete geçinceye kadar sekretarya hizmetleri ilişkili Bakanlık tarafından yerine getirilir.

Yürürlük

MADDE 27- (1) Bu Kanunun;

a) 8 inci, 10 uncu, 12 nci, 13 üncü, 14 üncü, 15 inci, 16 ncı ve 17 nci maddeleri yayımı tarihinden altı ay sonra,

b) Diğer maddeleri ise yayımı tarihinde,

yürürlüğe girer.

KURUMU : KİŞİSEL VERİLERİ KORUMA KURULU TEŞKİLATI : MERKEZ

İHDAS EDİLEN KADROLARIN

SINIFI
UNVANI
DERECESİ
SERBEST

KADRO

ADEDİ
TOPLAM

GIH
Genel Sekreter
1
1
1

GIH
Genel Sekreter Yardımcısı
1
2
2

GIH
Hukuk Müşaviri
1
1
1

GIH
Hukuk Müşaviri
4
1
1

GİH
Kişisel Verileri Koruma Uzmanı
3
10
10

GİH
Kişisel Verileri Koruma Uzmanı
5
10
10

GİH
Kişisel Verileri Koruma Uzmanı
7
10
10

GIH
Kişisel Verileri Koruma Uzman Yardımcısı
9
20
20

GIH
Mali Hizmetler Uzmanı
4
1
1

GIH
Şube Müdürü
1
1
1

GIH
Şube MUdürü
3
1
1

GİH
Şube Müdürü
5
1
1

GIH
Memur
5
2
2

GIH
Memur
7
2
2

GİH
Memur
9
2
2

GIH
Memur
11
2
2

GIH
Memur
13
2
2

GIH
Bilgisayar İşletmeni
7
2
2

GİH
Veri Hazırlama ve Kontrol İşletmeni
6
2
2

GIH
Veri Hazırlama ve Kontrol işletmeni
7
2
2

GIH
Veri Hazırlama ve Kontrol işletmeni
8
2
2

GIH
Veri Hazırlama ve Kontrol İşletmeni
9
2
2

GİH
Veri Hazırlama ve Kontrol İşletmeni
10
2
2

GIH
Sekreter
8
5
5

GIH
Santral Memuru
9
1
1

GIH
Şoför
11
4
4

TH
Teknisyen
6
2
2

YH
Teknisyen Yardımcısı
9
2
2

YH
Hizmetli
11
5
5

TOPLAM

100
100


Kişisel veri, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanabilir. Bu bağlamda kişinin kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına, dini inancına ve siyasi görüşüne ilişkin bilgiler, kişisel veri olarak nitelendirilmektedir.

Günümüzde bu veriler, gerek özel sektör ve gerekse kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır. Bu bilgilerin kullanılması bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar veya avantajlar sağlasa da, bu durum söz konusu bilgilerin istismar edilme riskini de beraberinde getirmektedir. Bu verilerin yetkisiz kişiler tarafından elde edilmesi, kullanılması ve ifşa edilmesi gerek taraf olduğumuz sözleşmeler ve gerekse Anayasamızda koruma altına alman temel hakların ihlali olarak karşımıza çıkmaktadır. Bu iki menfaat arasında makul bir dengenin oluşturulması gerekmektedir.

Toplumumuzda yasal dayanak olmaksızın kişisel verilerin işlenebilmesi ve etkin bir denetim mekanizmasının bulunmaması "fişleme" olarak adlandırılan olumsuz bir algının oluşmasına da sebebiyet vermektedir.

Çağımızda insan haklarının korunması bilincinin gelişmesine paralel olarak, kişisel verilerin korunmasının da önemi her geçen gün artmaktadır. Bu nedenle günümüzde gelişmiş ülkelerde kişisel verilerin korunması alanında detaylı yasal düzenlemelerin uygulanmakta olduğu görülmektedir.

Buna karşın ülkemizde, kişisel verilerin korunmasına ilişkin alanı bütüncül olarak düzenleyen bir kanun bulunmamakta, bu konuya ilişkin hükümler farklı kanunlarda yer almaktadır. Aynca ülkemizde kişisel verilerin işlenmesi sürecini kontrol edecek ve denetleyecek bir kurum da bulunmamaktadır. Bunun bir sonucu olarak, halen kişisel veriler hiçbir kurala ve denetime tabi olmaksızın, yetkili-yetkisiz birçok kişi veya kurum tarafından kullanılabilmekte ve bu durum bazı hak ihlallerinin yaşanmasına sebep olabilmektedir.

Ülkemizde kişisel verilerin korunmasını sağlayacak bir kanunun yürürlüğe girmesini gerektiren değişik sebepler bulunmaktadır. Bu bağlamda;

Öncelikle, 5237 sayılı Türk Ceza Kanununun 135 ve devamı maddelerinde, kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiilleri suç olarak düzenlenmiş ve yaptırıma bağlanmıştır. Bununla birlikte, kişisel verilerin işlenmesine yönelik bir kanunun bulunmaması sebebiyle, bu fillerin ne zaman hukuka aykın, ne zaman hukuka uygun olduğunun belirlenmesinde tereddütlerin yaşandığı görülmektedir.

Öte yandan 12 Eylül 2010 tarihinde yapılan halkoylaması sonucu kabul edilen 5982 sayılı Kanunla Anayasanın 20 nci maddesinde yapılan düzenlemeyle kişisel verilerin korunması temel bir insan hakkı olarak güvence altına alınmış ve detayların kanunla düzenlenmesi öngörülmüştür.

Yine ülkemizle ilgili olarak devam etmekte olan Avrupa Birliği tam üyelik sürecinde, müzakere fasıllarından dördü, doğrudan kişisel verilerle ilgilidir. Bu fasıllarla ilgili sürecin ilerleyebilmesi için ülkemizde kişisel verilerin korunmasına ilişkin temel bir kanunun yürürlüğe girmesi gerekmektedir. Avrupa Birliğinin Türkiye ile ilgili olarak hazırladığı ilerleme raporlarında Türkiye'de veri koruma alanındaki yasal boşluğa işaret edilmektedir.

Ülkemizde kişisel verilerin korunmasına ilişkin yasal bir düzenleme olmaması sebebiyle, polis birimleri arasında etkin bir işbirliğini hayata geçiren EUROPOL ile ülkemiz güvenlik birimleri arasında operasyonel işbirliği anlaşması yapılamamakta ve elektronik bilgi değişimi gerçekleştirilememektedir.

Çok sayıda Türk vatandaşının yaşadığı Fransa ve Belçika gibi bazı ülkelerle güvenlik ve yargı alanında işbirliği anlaşması yapılamamaktadır.

Sağlık kuruluşlarında hastalara ilişkin çok sayıda özel nitelikli veri tutulmakta olup, bu verilerin tutulmasına ilişkin kanuni dayanağın olmayışı, verilerin güvenliğinin sağlanmasına yönelik yeterli önlemlerin alınmaması ve yetkisiz kişilerce bu nitelikteki bilgilerin ifşa edilmesi, Avrupa İnsan Haklan Mahkemesince özel hayatın gizliliğine müdahale olarak nitelendirilmekte ve ihlal kararlan verilebilmektedir.

Yine ülkemizde yaşayan yabancılar ile yurtdışında yaşayan Türk vatandaşlan bakımından Dışişleri Bakanlığı askerlik, vatandaşlık, kimlik ve malvarlığı gibi konularda veri paylaşımında sorunlar yaşamaktadır.

Sımr aşan suçlarla ilgili değişik ülkelerin yargı mercilerinin ortak operasyonlar yapabilmesi amacıyla oluşturulan EUROJUST ile çok sayıda sınır aşan suçun işlendiği geçiş güzergahında bulunan ülkemiz arasında bu suçlarla mücadeleye yönelik işbirliği yapılamamaktadır.

Aynca, kişisel verilerin korunması konusunda kanım hazırlanması, ülkemizin Katılım Ortaklığı Belgesine cevap olarak hazırladığı 2003 Ulusal Programında taahhüt ettiği yükümlülüklerdendir.

Kişisel verilerin korunması konusu daha ziyade kamu sektörünü ilgilendiren bir sorun gibi algılanmakla birlikte, ekonomik alanla da yakından ilgilidir. Zira yabancı sermayenin ülkemizde yatınm yapması ve başka ülkelerdeki yatınmlan ile ülkemizdeki yatınmlannı etkin bir şekilde yönetebilmesi için ihtiyaç duyduğu veri aktanmı, ülkemizde yasal düzenleme olmaması sebebiyle gerçekleştirilememekte ve bu durum yabancı sermayenin ülkemizde yatınm yapması bakımından caydıncı bir etken olarak değerlendirilmektedir. Yine işadamlanmızın yabancı ülkelerdeki yatınmlan ve ortaklıklanyla ilgili ihtiyaç duyduklan veri aktanmında sorunlar yaşanmaktadır.

Tüm bu açıklamalar, ülkemizde kişisel verilerin korunmasına ilişkin kanunun bir an önce yürürlüğe girmesini gerekli kılmaktadır.

Kişisel verilerin korunması konusu 1980'li yıllardan itibaren uluslararası belgelerde yer almaya başlamıştır. İlk olarak, ülkemizin de üyesi bulunduğu, İktisadi İşbirliği ve Kalkınma Teşkilatı (OECD) tarafından 23/9/1980 tarihinde "Kişisel Alanın ve Sınır Aşan Kişisel Bilgi Trafiğinin Korunmasına İlişkin Rehber İlkeler" kabul edilmiştir.

Avrupa Konseyi tarafından, tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sımr ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan "Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme", 28 Ocak 1981 tarihinde imzaya açılmış ve ülkemiz tarafından da imzalanmıştır. Ancak Sözleşmenin 4 üncü maddesi gereğince, iç hukukta kişisel verilerin korunmasına yönelik yasal düzenleme yapılmasının zorunlu olması ve ülkemizde buna yönelik bir yasal düzenleme bulunmaması nedeniyle, Sözleşme, Türkiye Biiyük Millet Meclisi tarafından henüz onaylanamamıştır.

Avrupa Konseyi aynca, kişisel verilerin korunmasına yönelik, tıbbi veri bankalan, bilimsel araştırma ve istatistik, doğrudan pazarlama, sosyal güvenlik, sigorta, polis kayıtlan, istihdam, elektronik ödeme, telekomünikasyon ve internet gibi çeşitli sektörlerde uygulanacak ilkeleri belirleyen tavsiye kararlan da kabul etmiştir. Tasannın hazırlanması sırasında, söz konusu tavsiye kararlan göz önüne alınmakla beraber, Tasannın "çerçeve tasan" niteliği korunmuştur. Tüm sektörlerle ilgili düzenlemelere yer verilmesi halinde, Tasannın hacminin çok genişleyeceği düşünülerek, söz konusu tavsiye kararlan Tasan ya alınmamıştır. Bu tavsiye kararlannda yer alan ilkelere, ilerleyen süreçte, değişik sektörlerle ilgili yapılacak düzenlemelerde yer verilebileceği değerlendirilmiştir.

Öte yandan, Avrupa Birliği, üye ülkelerin kişisel verilerin korunmasına ilişkin mevzuatı arasında uyum sağlamak üzere, 24/10/1995 tarihinde "Kişisel Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunması ve Serbest Veri Trafiği Direktifi"ni (95/46/EC) yürürlüğe sokmuştur. Bu Direktifle, üye ülkelerdeki bireylerin kişisel verilerinin üst düzeyde korunması ve kişisel verilerin Avrupa Birliği içerisinde özgür dolaşımını sağlayacak açık ve kalıcı bir düzenleme yapılması amaçlanmıştır.

Kişisel verilerin korunmasına yönelik uluslararası belgeler göz önüne alındığında; bu konuya ilişkin hazırlanacak kanunda, kişisel verilerin işlenme şartlarının, bireylerin aydınlatılmasının, bu alanı denetleyecek ve düzenleyecek bir otoritenin oluşturulmasının, veri güvenliğine ilişkin gerekli tedbirlerin alınmasının temel ilkeler olarak kabul edildiği görülmektedir.

Yukarıda sayılan gerekçelerle hazırlanan Tasan dokuz bölümden oluşmaktadır.

Birinci Bölümde, amaç, kapsam ve tanımlar düzenlenmektedir.

İkinci Bölümde, kişisel verilerin işlenmesine ilişkin genel ilkeler, kişisel verilerin işlenme şartlan, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi ile kişisel verilerin üçüncü kişilere ve yurtdışına aktanlması düzenlenmektedir.

Üçüncü Bölümde, veri sorumlusunun aydınlatma yükümlülüğü ile veri güvenliğine ilişkin yükümlülükleri ve verisi işlenen kişinin haklan düzenlenmektedir.

Dördüncü Bölümde, başvuru ve şikayet yolu, Kurulun inceleme ve denetim yetkisinin usul ve esaslan ve veri sorumlulan siciline ilişkin hususlar düzenlenmektedir.

Beşinci Bölümde, cezai ve idari yaptınmlar düzenlenmektedir.

Altıncı Bölümde, Kişisel Verileri Koruma Kurulunun kuruluşu, görev ve yetkileri ile çalışma esaslan düzenlenmektedir.

Yedinci Bölümde, Kişisel Verileri Koruma Kurulunun sekretarya işlerini yürütecek Genel Sekreterliğin kuruluşu, görev ve yetkileri ile personel rejimi düzenlenmektedir.

Sekizinci Bölümde, Kanundan tam veya kısmen istisna tutulan haller düzenlenmektedir.

Dokuzuncu Bölümde ise geçici hükümler ile son hükümlere yer verilmektedir.

Uluslararası belgeler, mukayeseli hukuk uygulamalan ve ülkemiz ihtiyaçlan göz önüne alınmak suretiyle hazırlanan bu Tasanyla, kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır.

MADDE 1- Maddeyle, Kanunun amacı belirlenmekledir. Amaç, kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasada öngörülen temel hak ve özgürlüklerin korunmasıdır. Bu amaçla kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları usul ve esaslar düzenlenmektedir.

MADDE 2- Maddeyle, Kanunun kapsamı belirlenmektedir. Buna göre Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır. Özel sektör ile kamu sektörü bakımından bir ayırım yapılmamış ve öngörülen usul ve esasların her iki sektörde de uygulanması benimsenmektedir. Yine kişisel verilerin otomatik olan veya olmayan yollarla işlenmesi bakımından herhangi bir fark öngörülmemektedir.

MADDE 3- Maddeyle, Kanunda kullanılan terimlerin tanımlan yapılmıştır.

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtlan, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.

Kişisel verilerin işlenmesi kavramı geniş bir alanı kapsamaktadır. Buna göre verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.

Veri kayıt sistemi, kişisel verileri belirli bir kritere göre sınıflandırarak bunlara ulaşımı kolaylaştıracak şekilde yapılandınlmış sistemleri ifade etmektedir. Buna göre, veri kayıt sisteminde kişisel veriler, ad, soyad veya kimlik numarası üzerinden sınıflandınlabileceği gibi, kredi borcunu ödemeyenlere ilişkin oluşturulacak sınıflandırma da bu kapsamda değerlendirilecektir.

Veri sorumlusu, kişisel verilerin işlenmesine yönelik veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişileri ifade etmektedir. Bu kişiler, verilerin işlenmesini kontrol eden ve bundan sorumlu olan gerçek kişiler olabileceği gibi, kamu kurumlan, şirketler, demekler veya vakıflar gibi tüzel kişiler de olabilecektir.

Veri işleyen, veri sorumlusu adına verileri işleyen gerçek ve tüzel kişilerdir. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen çalışanlar olabileceği gibi, veri sorumlusunun hizmet satın almak suretiyle belirlediği ayn bir gerçek veya tüzel kişi de olabilir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir. Örneğin bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir.

MADDE 4- Maddeyle, kişisel verilerin işlenmesine ilişkin genel ilkeler düzenlenmektedir. Buna göre kişisel veriler ancak Kanunda ve diğer kanunlarda öngörülen usul ve esaslar çerçevesinde işlenebilecektir.

Maddenin ikinci fıkrasında kişisel verilerin işlenmesine ilişkin ilkeler sayılmaktadır. Bu ilkeler; hukuka ve dürüstlük kurallarına uygun olmak, doğru ve gerektiğinde güncel olmak, belirli, açık ve meşru amaçlar için işlenmek, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmak ve işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektir.

Belirli, açık ve meşru amaçlar için işlenmek ilkesi, veri sorumlusunun, veri işleme amacım açık ve kesin olarak belirlemesini ve bu amacın meşru olmasım zorunlu kılmaktadır. Veri sorumluları, belirttikleri bu amaçlar dışında, başka amaçlarla veri işlemeleri halinde, bu fiillerinden dolayı sorumlu olacaklardır. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Örneğin bir hazır giyim mağazasınm, müşterilerinin kimlik ve iletişim bilgilerini işlemesi meşru amaç kapsamındayken, kan gruplarını işlemesi meşru amaç kapsamında değerlendirilemeyecektir.