Kişisel verilerin işlenmesinin disiplin altına alınmasını, Anayasa’da öngörülen temel hak ve özgürlüklerin korunmasını düzenleyen tasarı TBMM’ye sunuldu.
1989 yılından beri Türkiye’nin gündeminde bulunan ve 1995 yılında Avrupa Birliği’nin hakkında direktif hazırladığı kişisel verilerin korunması konusu TBMM gündemine geldi.
Hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen, otomatik olan veya olmayan yollarla işleyen gerçek ve tüzel kişileri kapsayan tasarıya göre, kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilecek.
Kişisel verilerin işlenmesinde, hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulması zorunlu olacak.
Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek. Ancak kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmesi, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, şartlarından en az birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkün olacak.
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, dernek, vakıf ya da sendika üyeliği, sağlığı veya cinsel hayatıyla ilgili verileri, özel nitelikli kişisel veriler olacak ve bunların işlenmesi yasak hale getirilecek. Ancak bu verilerin işlenmesi, yeterli önlemlerin alınması şartıyla, ilgili kişinin açık rızasının bulunması, kanunlarda açıkça öngörülmesi, siyasi parti, vakıf, dernek veya sendika gibi kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı kalmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik verilerin işlenmesi, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenmesi hallerinde yapılabilecek.
Bu kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinecek, yok edilecek veya anonim hale getirilecek. Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenecek. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanun hükümleri saklı kalacak.
Kişisel verilerin üçüncü kişilere ve yurt dışına aktarımı
Kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü kişilere ve yurt dışına aktarılamayacak.
Bu veriler, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenmesi durumlarından birinin bulunması halinde üçüncü kişilere, ilgili yabancı ülkede yeterli korumanın bulunması koşuluyla yurt dışına, ilgili kişinin açık rızası aranmaksızın aktarılabilecek.
Yabancı Ülkede Yeterli Koruma Şartı Aranacak
Kişisel verinin aktarılacağı yabancı ülkede yeterli koruma bulunmaması halinde kişisel veriler ancak ilgili kişinin açık rızasının bulunması, Türkiye’deki ve kişisel verinin aktarılacağı yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’nun izninin bulunması hallerinde yurt dışına aktarılabilecek.
Siyasi parti, vakıf, dernek veya sendika gibi kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik veriler, ancak kanunlarda açıkça öngörülmesi, ilgili kişinin açık rızası ile Kurulun izninin birlikte bulunması hallerinde üçüncü kişilere ve yeterli koruma bulunması koşuluyla yurt dışına aktarılabilecek.
Hangi Amaçla İşleneceği Hakkında Bilgi Verilecek
Kişisel verilerin elde edilmesi sırasında veri sorumlusu, ilgili kişilere kendisinin ve varsa temsilcisinin kimliği, verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve kişinin hakları konusunda bilgi vermekle yükümlü olacak. Kişisel verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesi halinde de veri sorumlusu, ilgili kişiyi ayrıca bilgilendirecek.
Herkes, veri sorumlusuna başvurarak kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenmek, kişisel verileri işlenmişse buna ilişkin bilgi talep etmek, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilmek, kişisel verilerin eksik veya yanlış olması halinde bunların düzeltilmesini istemek, kanunla yer alan şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini istemek, verilerdeki düzeltme ya da silinmenin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek, işlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek, haklarına sahip olacak.
Yükümlülükleri Görevden Ayrıldıktan Sonra da Devam Edecek
Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini sağlamaya yönelik gerekli tedbirleri almak zorunda olacak. Ayrıca veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, gerekli tedbirlerin alınması konusunda bu kişilerle birlikte sorumlu hale getirilecek.
Veri sorumluları ile veri işleyen kişiler öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamayacak ve kendi şahsi çıkarları için kullanamayacak. Bu yükümlülük görevden ayrılmalarından sonra da devam edecek.
Kararlara Karşı İdare Mahkemelerinde Dava Açılabilecek
İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak ya da Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletecek. Veri sorumlusu, başvuruda dile getirilen talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde, ücretsiz olarak veya işlemin ayrıca bir maliyeti gerektirmesi halinde Kurulca uygun görülen bir ücret karşılığında yerine getirecek ya da gerekçesini açıklayarak reddedebilecek.
İlgili kişi, başvurusunun veri sorumlusu tarafından reddedilmesi veya cevap verilmemesi ya da cevabı yetersiz bulması hallerinde otuz gün içinde Kurula şikâyette bulunabilecek. Veri sorumlusuna başvuru yolu tüketilmeden şikâyet yoluna başvurulamayacak. Şikâyet tarihinden itibaren dört ay içinde cevap verilmediği takdirde talep reddedilmiş sayılacak. Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklı olacak.
Kurul, şikâyet üzerine veya resen bu Kanunun uygulanmasıyla ilgili konularda gerekli incelemeyi yapacak. Veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorunda olacak. Devlet sırrı niteliğindeki bilgi ve belgeler Kurula gönderilmeyecek. Ancak bu bilgi ve belgeler, Kurul Başkanı veya görevlendireceği bir üye tarafından yerinde incelenebilecek. Kurul, şikâyet üzerine yapacağı incelemeleri iki ay içinde tamamlayacak. Kurul, telafisi güç veya imkânsız zararların doğması ihtimali ve açıkça hukuka aykırılık halinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilecek.
Tasarıya göre, Kişisel Verileri Koruma Kurulu Genel Sekreterliği tarafından kamuya açık olarak bir Veri Sorumluları Sicili tutulacak. Kişisel verileri işleyen kişiler, veri işlemeye başlamadan önce sicile kaydolmak zorunda olacak. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kişisel Verileri Koruma Kurulu’nca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından sicile kayıt zorunluluğuna istisna getirilebilecek.
Bu düzenlemedeki hükümlere aykırı olarak kişisel verileri depolayan, muhafaza eden, değiştiren, yeniden düzenleyen, açıklayan, elde edilebilir hale getiren, sınıflandıran ya da kullanılmasını engelleyen veya üçüncü kişilere aktaranlar, bir yıldan üç yıla kadar hapis cezasına çarptırılacak. Kişisel verileri silmeyen veya anonim hale getirmeyenlere bir yıldan iki yıla kadar hapis cezası verilecek.
Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında bin TL’den 100 bin TL’ye, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında, Kurulca verilen kararları yerine getirmeyenler hakkında, sicile kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 10 bin TL’den 1 milyon TL’ye kadar idari para cezası uygulanacak.
Kurul Adalet Bakanlığı İle İlişkili Olacak
Kişisel verilere ilişkin verilen görevleri yerine getirmek üzere, Kişisel Verileri Koruma Kurulu kurulacak. Kurul, görev ve yetkilerini kendi sorumluluğu altında bağımsız olarak yerine getirecek ve kullanacak. Kurulun ilişkili olduğu bakanlık, Adalet Bakanlığı olacak.
Kurul, altı aylık dönemler itibarıyla hazırlanıp onaylanmış faaliyet raporunu Adalet Bakanı’na, yıllık faaliyet raporunu ise Bakanlar Kuruluna ve TBMM İnsan Haklarını İnceleme Komisyonu’na sunacak.
Kişisel Verileri Koruma Kurulu, 7 üyeden oluşacak. Kurul üyelerinin; 2’si mesleğinde en az 10 yıl çalışmış olan avukatlar veya hakimler, 1’i yükseköğretim kurumlarınca en az 10 yıl çalışmış olan öğretim üyeleri, 4’ü ise kamuda veya özel sektörde en az 10 yıl çalışmış olanlar arasından Bakanlar Kurulu’nca seçilecek. Kurul, kendi üyeleri arasından bir başkan seçecek.
Üyeler; Türk Vatandaşı olacak, kamu haklarından mahrum bulunmayacak, devletin güvenliğine karşı suçlar, Anayasal düzene ve bu düzenin işleyişine karşı suçlar, zimmet, irtikâp, rüşvet, hırsızlık, dolandırıcılık, sahtecilik, ihaleye fesat karıştırma, kaçakçılık suçlarından mahkûm olmamış olacak, askerlik sorunu ve akıl hastalığı bulunmayacak. Üyelerin en az lisans düzeyinde yükseköğrenim görmüş olması şartı aranacak. Kurul üyelerinin görev süresi 2 yıl olacak. Görev süresi biten üyeler bir defalığına tekrar seçilebilecek.
Bakanlık Müsteşar Yardımcısı Kadar Maaş
Kurul üyeliklerine seçilenlerin Kurul’da görev yaptıkları sürece, önceki görevleriyle olan ilişikleri kesilecek. Kamu görevlisi Kurul üyelerinden görev süresi sona erenler, 1 ay içinde müracaat etmeleri halinde, en geç 1 ay içinde kendi kurumlarındaki kadro ve görev unvanlarına uygun bir kadroya atanacak. Kamu görevlisi Kurul üyelerine atamaları yapılıncaya kadar, özel sektörden gelen Kurul üyelerine, 3 ayı geçmemek üzere bir işe başlayıncaya kadar aylık ödenecek.
Kurul üyelerine, bakanlık müsteşar yardımcısı için belirlenen mali haklar tutarında aylık ödeme yapılacak. Kurul üyeleri sigortalı olacak ve sigorta primine esas kazanç tutarları, bakanlık müsteşar yardımcısı esas alınarak belirlenecek.
Kişisel Verileri Koruma Kurulu Genel Sekreteri, en az dört yıllık yükseköğretim kurumu mezunu, hukuk, kamu yönetimi, iktisat, işletme alanlarında 12 yıl süreyle kamu hizmetinde bulunanlar arasından; genel sekreter yardımcıları ise aynı nitelikleri taşıyıp, 10 yıl süreyle kamu hizmetinde bulunanlar arasından, Adalet Bakanı tarafından atanacak.
Kurul personeli, Genel Sekreterin teklifi üzerine Kurul Başkanı tarafından atanacak. Kamu kurum ve kuruluşlarında istihdam edilen personelden uzmanlığına ihtiyaç duyulanlar, en çok iki yıl süreyle Kurul’da görevlendirilebilecek.
Kişisel Verileri Koruma Kurulu’na 100 kadro ihdas edilecek. Bu düzenlemenin kanunlaşmasından sonra altı ay içinde Kurul üyeleri seçilecek ve Genel Sekreterlik teşkilatı oluşturulacak. Bu düzenlemeden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu hükümlere uygun hale getirilecek.