Kişisel Verilerin Korunması Kanunu yürürlüğe girdi
Adalet Bakanlığı tarafından hazırlanan ve TBMM Genel Kurulu’nda görüşülerek kabul edilen “Kişisel Verilerin Korunması Kanunu” Cumhurbaşkanı Recep Tayyip Erdoğan’ın onaylamasının ardından Resmi Gazete’de yayımlanarak yürürlüğe girdi.
Kanunun tam metni için buraya tıklayınız.
Kanunla getirilen yenilikler şöyle:
1. Kişisel verilerin korunması amaçlanmaktadır (m. 1).
Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
2. Kanun kapsamında gerçek kişilerin verileri korunmaktadır (m. 2).
Kanunda, Ülkemizin de taraf olduğu 28 Ocak 1981 tarihli ve 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Avrupa Konseyi Sözleşmesi, 24 Ekim 1995 tarihli ve 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Bu Verilerin Serbestçe Dolaşımı İle İlgili Olarak Bireylerin Korunması Hakkındaki Avrupa Birliği Direktifi ve Anayasanın 20 nci maddesi nazara alınarak gerçek kişilerin verilerinin korunması öngörülmektedir.
3. Kanunun uygulanmasında özellik arz eden bazı kavramlar tanımlanmaktadır (m. 3).
Kanunun uygulanmasında;
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade etmektedir.
4. Öncelikle kişisel verilerin işlenmesi düzen altına alınmakta, buna ilişkin genel ilkeler belirlenmektedir (m. 4).
Buna göre kişisel verilerin hukuka ve dürüstlük kurallarına uygun olarak işlenmesi, belirli, açık ve meşru amaçlar için toplanması ve bu amaçlara aykırı olarak yeniden işlenmemesi gerekmektedir. Ayrıca bu veriler, toplandıkları amaçla bağlantılı, yeterli ve orantılı olmalı, doğru olmalı ve gerektiğinde güncellenmelidir.
5. Kişisel veriler istisnalar haricinde ancak ilgili kişinin açık rızasıyla işlenebilecektir (m. 5).
Kural olarak, kişisel veriler ancak ilgili kişinin açık rızasıyla işlenebilecektir. İlgili kişinin bir itirazda bulunması halinde, kanunlarda öngörülen yükümlülüklerin yerine getirilmesi dışında, veri işlenemeyecektir. Kişisel verilerin ancak açık rızayla işlenebilmesi kuralarının istisnaları 5 inci maddede sayılmıştır.
6. Özel nitelikli (hassas) kişisel veriler tanımlanmakta ve işlenmeleri hususi olarak düzenlenmektedir (m. 6).
Kanunla kişilerin ırkı, etnik kökeni, siyasî düşüncesi, felsefî inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak kabul edilmektedir.
Özel nitelikli verilerin işlenebilmesi Kurul tarafından belirlenen yeterli önlemlerin alınması ve kural olarak bu tür verilerin ilgili kişinin açık rızası olmaksızın işlenememesi hükme bağlanmaktadır.
7. Muhafaza edilmesine artık ihtiyaç duyulmayan veriler silinecek, yok edilecek veya anonim hale getirilecektir (m. 7).
Kanuna uygun şekilde işlenmiş olmasına rağmen saklanması veya muhafaza edilmesine artık ihtiyaç kalmayan kişisel veriler silinecek, yok edilecek veya anonim hale getirilecektir. Buna ilişkin usuller de çıkarılacak yönetmelikle belirlenecektir.
8. Kişisel verilerin aktarımı düzenlenmektedir (m. 8).
Kişisel verilerin kural olarak ilgilinin açık rızası olmaksızın üçüncü kişilere aktarılamaması öngörülmektedir. Maddenin ikinci fıkrasında verilerin, ilgilinin açık rızası olmaksızın üçüncü kişilere aktarılmasına ilişkin düzenleme yapılmaktadır. Burada kişisel verilerin aktarılacağı üçüncü kişiler sıradan kişiler olmayıp bu kişilerin de Kanunen kişisel verileri alma veya kaydetme yetkisine sahip kişiler olması gerekmektedir.
Bu düzenleme yapılırken 5 inci maddenin ikinci fıkrası uyarınca ilgili kişinin açık rızası olmaksızın veri işlenmesine izin veren şartlar aranmakta ve bu şartların birinin varlığı halinde, kişisel verilerin üçüncü kişilere aktarılabilmesine imkân tanınmaktadır. Özel nitelikli kişisel veriler yönünden ise, yeterli önlem alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında belirtilen verilerin ilgili kişinin açık rızası olmaksızın işlenmesine izin veren şartlar esas alınmaktadır.
9. Verilerin yurt dışına veri aktarımı özel olarak düzenlenmektedir (m. 9).
Kişisel verilerin ilgilinin açık rızası olmaksızın yurt dışına aktarılamayacağına ilişkin ilke hükme bağlanmaktadır. Maddenin ikinci fıkrasında verilerin, ilgilinin açık rızası olmaksızın yurt dışına aktarılmasına ilişkin düzenleme yapılmaktadır. Bu düzenleme yapılırken 5 inci maddenin ikinci fıkrası kapsamındaki kişisel veriler ile 6 ncı maddenin üçüncü fıkrasında belirtilen özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesine izin veren şartlar esas alınmakta ve bu şartlardan birinin varlığı halinde, kişisel verinin aktarılacağı yabancı ülkede, yeterli korumanın bulunması kaydıyla, ilgili kişinin açık rızası aranmaksızın yurt dışına aktarmaya imkân tanınmaktadır. Şayet ilgili yabancı ülkede yeterli koruma bulunmuyorsa, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın kişisel verilerin yurt dışına aktarılmasına imkân verilmektedir.
Yabancı ülkelerde yeterli koruma bulunup bulunmadığı Kurulca belirlenerek ilan edilecektir. Kurulun, yabancı ülkede yeterli koruma bulunup bulunmadığına ve verilerin yurt dışına aktarılmasına izin verirken hangi kriterleri dikkate alacağı düzenlenmektedir. Ayrıca uluslararası sözleşme hükümleri saklı kalmak kaydıyla ülkenin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda kişisel verilerin ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izni ile yurtdışına aktarılması öngörülmektedir.
10. Veri sorumlusunun aydınlatma yükümlülüğü bulunmaktadır (m. 10).
Veri sorumlusu veya yetkilendirdiği kişilerin, verisi işlenen kişilere; verilerin işlenme amacı, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi gibi hususlarda bilgi verme hükümlülüğü bulunmaktadır.
11. Verileri işlenen kişilere haklar tanınmaktadır (m. 11).
Verileri işlenen kişilerin, veri sorumlusuna başvurarak; kendileriyle ilgili kişisel veri işlenip işlenmediğini öğrenmek, işlenmişse bunları talep etmek, verinin muhtevasının eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları bulunmaktadır.
12. Veri sorumlularına, veri güvenliğini sağlamaya yönelik yükümlülükler öngörülmektedir (m.12).
Veri sorumlusu, verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek, ayrıca verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlü tutulmaktadır. Ayrıca veri sorumlusunun, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlama ve kişisel verilerin bu Kanunda öngörülen usul ve esaslara uygun olarak işlenmesi amacıyla gerekli denetimleri yapma veya yaptırma, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu Kurula bildirme yükümlülüğü düzenlenmektedir.
13. Verisi işlenen kişiye, veri sorumlusuna başvuru imkânı tanınmaktır (m.13).
İlgili kişilerin, bu Kanunun 11 inci maddesinde sayılan haklarıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur. İlgili kişilerin, taleplerini veri sorumlusuna yazılı olarak ya da uygulamada oluşacak ihtiyaca göre Kurulun belirleyeceği diğer yöntemlerle iletebilmelerine imkân sağlanmakta, veri sorumlusuna başvuru yolunun zorunlu olduğu ve bu yol tüketilmeden şikâyet yoluna gidilemeyeceği hükme bağlanmaktadır.
Bu talebi alan veri sorumlusunun, ücretsiz olarak veya işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurul tarafından belirlenen tarifeye göre alacağı ücret mukabilinde en kısa sürede ve en geç otuz gün içinde talebi inceleyerek; talebi kabul etmesi veya gerekçesini açıklayarak reddetmesi, ayrıca cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirmesi öngörülmektedir.
Veri sorumlusunun talebi kabul etmesi halinde, gereğini yerine getirmesi; şayet ilgili kişinin, bu Kanunun uygulanmasıyla ilgili talebinin, veri sorumlusunun hatasından kaynaklanması halinde alınan ücretin ilgiliye iade edilmesi hükme bağlanmaktadır.
14. Verisi işlenen kişiye, kurula şikâyet imkânı tanınmaktır (m.14).
İlgili kişinin veri sorumlusuna yapmış olduğu başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde ilgili kişi Kurula şikâyette bulunabilecektir.
15. Kurula şikâyet üzerine veya resen inceleme imkânı tanınmaktadır (m.15).
Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda re’sen, görev alanına giren konularda gerekli incelemeyi yapabilecektir. Bu inceleme şikâyete ya da re’sen öğrenilen ihlal iddiasına münhasır olacaktır.
Kurulun, şikâyet üzerine yapacağı inceleme sonunda cevap vermesi öngörülmekte, şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talebin reddedilmiş sayılacağı hükme bağlanmaktadır. Buna göre, şikâyet tarihinden itibaren altmış günlük sürenin geçmesiyle idari yargıda dava açma süresi başlayacaktır.
Kurul, şikâyet üzerine veya re’sen yapılacak inceleme sonucunda, bu Kanun hükümlerinin ihlâl edildiği kanaatine varırsa, tespit ettiği hukuka aykırılıkların ilgili veri sorumlusu tarafından giderilmesine karar verir ve kararı ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilecektir.
Yine şikâyet üzerine veya re’sen yapılan inceleme sonucunda, kanuna aykırı uygulamanın yaygın olduğunun Kurul tarafından tespit edilmesi üzerine ilgili kurum ve kuruluşların görüşü de alınmak suretiyle bu konuda ilke kararı alınarak bu karar yayımlanacaktır.
Ayrıca Kurula, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık şartlarının birlikte gerçekleşmesi halinde, nihai karardan önce veri işlenmesinin veya verinin yurtdışına aktarılmasının durdurulmasına karar verme yetkisi verilmektedir.
16. “Veri Sorumluları Sicili” kurulmaktadır (m. 16).
Kanunla, Kurulun gözetiminde, kamuoyuna açık olarak tutulacak ve veri işleyen gerçek ve tüzel kişilerin veri kayıt sistemi kurmadan önce kaydolmak zorunda olacakları bir “Veri Sorumluları Sicili” kurulması öngörülmektedir. Bu sicilde; veri işleyenlerin kimlik adres ve iletişim bilgileri, hangi kategorideki verileri işledikleri, bu verilerin üçüncü kişilere veya yurtdışına aktarılıp aktarılmayacağı hususu gibi bir kısım bilgiler kamuya açık olarak tutulacaktır.
Veri işleyen gerçek ve tüzel kişiler, sicile kaydolurken kendilerinin veya temsilcilerinin kimlik ve adres bilgileri ile veri işleme amaçları, işlenen veriler ve alınan tedbirleri içeren bir bildirimde bulunacaktır. Ancak Kurul, sicile kayıt konusunda belli kriterler dâhilinde istisnalar getirebilecektir.
17. Tasarıda belirlenen hükümlere aykırılıklar hakkında idarî ve cezaî yaptırımlar öngörülmektedir (m. 17-18,30/2).
Kişisel verilere ilişkin suçlar ve ceza yaptırımı bakımından 5237 sayılı Türk Ceza Kanununun ilgili hükümlerine atıf yapılmaktadır. Ayrıca bu Kanuna aykırı olarak kişisel verileri silmeme veya anonim hale getirmeme suç olarak düzenlenmekte ve yaptırım yönünden Türk Ceza Kanununun 138 inci maddesine atıf yapılmaktadır.
Türk Ceza Kanunun 135 inci maddesinde yapılan değişiklikle suçun özel nitelikli verilere karşı işlenmesi halinde verilecek cezanın yarı oranında artırılması öngörülmektedir. Buna göre hassas verilerin hukuka aykırı olarak kaydedilmesi halinde kaydeden kimseye bir yıl altı aydan dört yıl altı aya kadar hapis cezası verilmesi düzenlenmektedir.
Yine, kanunda belirtilen bazı yükümlülüklerin yerine getirilmemesi kabahat olarak nitelenmekte ve idari yaptırıma bağlanmaktadır. İdari yaptırımlara Kurul tarafından karar verileceği hükme bağlanmaktadır.
18. Kanunun uygulanmasını denetleyecek “Kişisel Verileri Koruma Kurumu” kurulmaktadır (m. 19-27).
Kanunda belirlenen ilkelere gerçek ve tüzel kişilerin uyumunu denetlemek, bu konuda yapılacak şikâyetler hakkında karar vermek, veri sorumluları sicilini tutmak ve konuyla ilgili düzenleyici işlemler yapmak üzere “Kişisel Verileri Koruma Kurumu” kurulmaktadır.
Kanunla verilen görevleri yerine getirmek üzere, idarî ve malî özerkliğe sahip ve kamu tüzel kişiliğini haiz düzenleyici ve denetleyici Kurul niteliğinde Kişisel Verileri Koruma Kurumu kurulmuştur.
Kurum Başbakanlıkla ilişkilidir.
Kurumun, Kurul ve Başkanlıktan oluşması öngörülmektedir. Kurul, Kurumun karar organıdır. Başkanlığın görevlerini sayısı yediyi aşamayacak daire başkanlığı şeklinde teşkilatlanmış hizmet birimleri aracılığıyla yerine getirmesi öngörülmektedir.
Kurul, bu Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirir.
Görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişi, Kurula emir ve talimat veremez, tavsiye ve telkinde bulunamaz.
Kurul, dokuz üyeden oluşur. Kamu veya özel sektörde en az on yıl görev yapanlar arasından Türkiye Büyük Millet Meclisince beş, Cumhurbaşkanınca iki ve Bakanlar Kurulunca iki üye seçilir.
Kurul Başkan ve İkinci Başkanını, Kurul üyeleri kendi aralarından seçer. Kurulun başkanı, Kurumun da başkanıdır.
Kurul üyelerinin görev süresi dört yıl olup ve tam zamanlı çalışmaları öngörülmektedir. Süresi biten üye yeniden seçilebilir.
Kurulun görev ve yetkileri ayrıntılı olarak düzenlenmektedir.
Kurumun bütçesi, 10/12/2003 tarihli ve 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanununda belirlenen usul ve esaslara göre hazırlanır ve kabul edilir.
19. Kanunun uygulanmasına ilişkin istisnalar bulunmaktadır (m. 28).
Kanunun uygulanmasına ilişkin bir takım istisnalar öngörülmüştür:
Kişisel verilerin, gerçek kişiler tarafından tamamen kişisel veya aynı konutta beraber yaşayanlarla ilgili faaliyetlerine ilişkin olarak işlenmesi.
Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak Kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Sicile kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hallerde uygulanmaz:
Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca denetleme veya düzenleme görevlerinin yürütülmesi için gerekli olması.
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
20. Kanunun yürürlüğe girmesiyle birlikte yapılacak işlemler ile geçiş hükümleri (Geçici m. 1).
1- Kanunun yayımı tarihinden itibaren altı ay içinde 21 inci maddede öngörülen usule göre Türkiye Büyük Millet Meclisince beş, Cumhurbaşkanınca iki ve Bakanlar Kurulunca iki Kurul üyesinin seçilmesi ve Başkanlık teşkilatının oluşturulması gerekmektedir. Kurul üyeleri kendi aralarında Başkan ve İkinci Başkanı seçecekler, Kurul Başkanı, Başkan Yardımcısı, Daire Başkanlarını ve Kurul personelini atayacaktır.
2- Kurulun oluşumundan sonra, Kurul en kısa sürede görev alanı ile ilgili genel düzenlemeleri yapacak ve ilan edecektir.
3- Veri sorumluları Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptıracaktır.
4- Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilecektir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilecektir.
Ancak Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.
5- Kanunda öngörülen yönetmelikler bu Kanunun yayımı tarihinden itibaren bir yıl içinde yürürlüğe konulacaktır.
6- Kanunun yayımı tarihinden itibaren bir yıl içinde, kamu kurum ve kuruluşlarında bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Başkanlığa bildirilecektir.
7- Kurumun hizmet birimleri faaliyete geçinceye kadar sekretarya hizmetleri Başbakanlık tarafından yerine getirilecektir.