6698 Sayılı Türk Kişisel Verilerin Korunması Kanunu
TÜRK KİŞİSEL VERİLERİN KORUNMASI KANUNU
Kanun No: 6698
Kabul Tarihi24.03.2016
Resmi Gazete: 07.04.2016 No: 29677
KİŞİSEL VERİLERİN KORUNMASI KANUNU
BİRİNCİ BÖLÜM
Amaç, Kapsam ve Tanımlar
Amaç
MADDE 1 – (1) Bu Kanunun amacı, kişisel verilerin işlenmesiyle ilgili olarak kişilerin temel hak ve özgürlüklerini, özellikle gizlilik hakkını korumak ve kişisel verileri işleyen gerçek veya tüzel kişilere yönelik yükümlülük, ilke ve usulleri belirlemektir.
Kapsam
MADDE 2 – (1) Bu Kanunun hükümleri, kişisel verileri işlenen gerçek kişilere ile bu verileri tamamen veya kısmen otomatik yollarla veya bu işlemin bir veri kayıt sisteminin parçası olması kaydıyla otomatik olmayan yollarla işleyen gerçek veya tüzel kişilere uygulanır.
Tanımlar
MADDE 3 – (1) Bu Kanun kapsamında aşağıdaki tanımlar yapılır:
a) Açık rıza: Serbestçe verilmiş, özel ve bilgilendirilmiş rıza,
b) Anonimleştirme: Kişisel verilerin, tanımlanmış veya tanımlanabilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi,
c) Başkan: Kişisel Verileri Koruma Kurumu Başkanı,
ç) Veri sorumlusu: Kişisel verileri işlenen gerçek kişi,
d) Kişisel veri: Tanımlanmış veya tanımlanabilir bir gerçek kişiyle ilgili tüm bilgiler,
e) Kişisel verilerin işlenmesi: Kişisel veriler üzerinde, tamamen veya kısmen otomatik yollarla veya bu işlemin bir veri kayıt sisteminin parçası olması kaydıyla otomatik olmayan yollarla yapılan herhangi bir işlem,
f) Kurul: Kişisel Verileri Koruma Kurulu,
g) Kurum: Kişisel Verileri Koruma Kurumu,
ğ) Veri sorumlusu: Veri sorumlusunun yetkisiyle ve onun adına kişisel verileri işleyen gerçek veya tüzel kişi,
h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre düzenlenerek kaydedildiği kayıt sistemi,
ı) Veri sorumlusu: Kişisel verilerin işlenmesinin amacını ve araçlarını belirleyen ve veri kayıt sisteminin kurulmasını ve yönetimini sağlayan gerçek veya tüzel kişi.
İKİNCİ BÖLÜM
Kişisel Verilerin İşlenmesi
Genel ilkeler
MADDE 4 – (1) Kişisel veriler, bu Kanun ve diğer kanunların öngördüğü usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkeler gözetilir:
a) Yasalarla uyum ve iyi niyet ilkeleri.
b) Doğruluk ve güncelliğin gerektiği durumlarda.
c) Özel, açık ve yasal amaçlarla işlenmesi.
ç) İşlenme amacıyla ilgili, sınırlı ve orantılı olması.
d) İlgili mevzuatın belirlediği süre boyunca saklanması.
Kişisel verilerin işlenmesinin şartları
MADDE 5- (1) Kişisel veriler, veri sorumlusunun açık rızası olmadan işlenemez.
(2) Veri sorumlusunun açık rızası olmaksızın kişisel veriler aşağıdaki durumlarda işlenebilir:
a) Kanunlarda açıkça öngörüldüğü hallerde.
b) Veri sorumlusunun veya başka bir kişinin hayatını veya bedensel bütünlüğünü korumak için zorunlu olduğu hallerde.
c) Sözleşmenin kurulması veya yerine getirilmesi için zorunlu olduğu hallerde.
ç) Veri sorumlusunun yasal yükümlülüklerini yerine getirmesi için zorunlu olduğu hallerde.
d) Veri sorumlusu tarafından kamuya açık hale getirilen verilerin işlenmesinde.
e) Hakkın doğrulanması, kullanılması veya korunması için zorunlu olduğu hallerde.
f) Veri sorumlusunun meşru menfaatlerinin korunması için zorunlu olduğu hallerde, bu işlemin veri sorumlusunun temel hak ve özgürlüklerini ihlal etmemesi kaydıyla.
Özel nitelikteki kişisel verilerin işlenmesinin şartları
MADDE 6- (1) İrk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya başka inanç, giyim, dernek, vakıf veya sendikalara üyelik, sağlık, cinsel hayat, mahkeme ve güvenlik tedbirleri ve biyometrik ve genetik veriler, özel nitelikteki kişisel verilerdir.
(2) Özel nitelikteki kişisel veriler, veri sorumlusunun açık rızası olmadan işlenemez.
(3) Veri sorumlusunun açık rızası olmaksızın, sağlık ve cinsel hayat hariç olmak üzere ilk fıkradaki veriler, kanunlarda öngörüldüğü hallerde işlenebilir. Sağlık ve cinsel hayatla ilgili veriler, kamu sağlığını koruma, önleyici tıp uygulaması, tıbbi teşhis, tedavi ve bakım hizmetlerinin sağlanması, sağlık hizmetlerinin planlanması ve yönetimi ve bunların finansmanı amacıyla, gizlilik yükümlülüğü bulunan kişi veya yetkilendirilmiş kamu kurum ve kuruluşları tarafından işlenebilir.
Kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi
MADDE 7- (1) Bu Kanun ve ilgili diğer kanunların hükümleri çerçevesinde işlenen kişisel veriler, işleme sebeplerinin ortadan kalkması halinde veri sorumlusu tarafından kendi girişimiyle veya veri sorumlusunun talebi üzerine silinir, yok edilir veya anonimleştirilir.
(2) Kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesiyle ilgili diğer kanunlardaki hükümler saklıdır.
(3) Kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi usul ve esasları bir yönetmelikle düzenlenir.
Kişisel verilerin aktarılması
MADDE 8- (1) Kişisel veriler, veri sorumlusunun açık rızası olmadan aktarılamaz.
(2) Veri sorumlusunun açık rızası olmaksızın kişisel veriler, aşağıdaki durumlarda aktarılabilir:
a) Madde 5'in ikinci fıkrasında sayılan durumların gerçekleşmesi halleri,
b) Madde 6'nın üçüncü fıkrasında sayılan durumların gerçekleşmesi halleri, gerekli önlemlerin alınması kaydıyla.
Kişisel verilerin yurt dışına aktarılması
MADDE 9- (1) Kişisel veriler, veri sorumlusunun açık rızası olmadan yurt dışına aktarılamaz.
(2) Veri sorumlusunun açık rızası olmaksızın kişisel veriler, aşağıdaki durumlarda yurt dışına aktarılabilir:
(a) Aktarılacak ülkede yeterli koruma sağlanması,
(b) Veri sorumlusu ile ilgili yabancı ülkede bulunan veri sorumlusu arasında yazılı olarak yeterli korunmanın sağlanacağına dair taahhüt verilmesi ve Kurulun bu aktarımı onaylaması halleri, yeterli koruma sağlanmadığı ülkelere aktarım yapılacağı hallerde.
ÜÇÜNCÜ BÖLÜM
Hak ve Yükümlülükler
Veri sorumlusunun bilgilendirme yükümlülüğü
MADDE 10- (1) Kişisel veri toplarken veri sorumlusu veya yetkilendirdiği kişi, veri sorumlularını şu konularda bilgilendirir:
a) Veri sorumlusunun kimliği ve temsilcisi varsa temsilcinin kimliği,
b) Verilerin işlenme amacı;
c) Verilerin aktarılabileceği kişi ve kişiler ile aktarım amacı,
ç) Verilerin toplama yöntemi ve yasal sebebi,
d) Bu madde fıkralarında sayılan diğer haklar.
Veri sahibinin hakları
MADDE 11- (1) Herkes, veri sorumlusuna başvurarak
a) Kişisel verilerinin işlenip işlenmediğini öğrenme,
b) Kişisel verileri işleniyorsa bilgi talep etme,
c) Kişisel verilerin işlenme amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Verilerin aktarıldığı üçüncü kişileri yurt içinde veya yurt dışında öğrenme,
d) Kişisel verilerin eksik veya yanlış olduğu durumda bunların düzeltilmesini isteme,
e) Kişisel verilerin silinmesini veya yok edilmesini isteme,
f) Yukarıdaki (d) ve (e) bentlerindeki işlemlerin üçüncü kişilere bildirilmesini isteme,
g) Tamamen otomatik yollarla yapılan veri işleme sonucunda aleyhine bir sonuç doğurması halinde itiraz etme,
ğ) Kişisel verilerinin yasadışı işlenmesinden doğan zararların giderilmesini talep etme haklarına sahiptir.
Veri güvenliğiyle ilgili yükümlülükler
MADDE 12- (1) Veri sorumluları, aşağıdaki yükümlülükleri yerine getirmek için gerekli teknik ve idari tedbirleri almak zorundadır:
a) Kişisel verilerin yasadışı işlenmesini önlemek,
b) Kişisel verilere yasadışı erişimi önlemek,
c) Kişisel verilerin saklanmasını sağlamak.
(2) Kişisel verilerin veri sorumlusu adına gerçek veya tüzel kişiler tarafından işlenmesi halinde, bu kişilerle birlikte bu fıkradaki tedbirlerin alınmasından sorumludur.
(3) Veri sorumlusu, kurumunda veya kuruluşunda gerekli denetimlerin yapılmasını veya yaptırılmasını sağlar.
(4) Veri sorumlusu ve veri işleyicileri, bu Kanuna aykırı olarak öğrendikleri kişisel verileri hiçbir şekilde açıklamayacak ve bu verileri sadece işlenme amacı doğrultusunda kullanacaklardır. Bu yükümlülük, hizmetlerinin sona ermesinden sonra da devam eder.
(5) İşlenen verilerin başkaları tarafından yasadışı yollarla edinilmesi halinde veri sorumlusu, veri sahibini ve Kurula en kısa sürede bilgilendirir. Gerektiğinde Kurul, bu ihlalin resmi internet sitesinde veya diğer uygun yollarla duyurulmasını sağlayabilir.
DÖRDÜNCÜ BÖLÜM
Başvuru, Şikayet ve Sicil
Veri sorumlusuna başvuru
MADDE 13- (1) Veri sahibi, bu Kanunun uygulanması veya bu Kanunda öngörülen haklarının kullanılmasıyla ilgili taleplerini veri sorumlusuna yazılı olarak iletir veya Kurulun belirleyeceği diğer yollarla iletir.
(2) Veri sorumlusu, talebin kapsadığı konuları talebin içeriğine göre en kısa sürede ve 30 günü geçmeyecek şekilde ücretsiz olarak sonuçlandırır.
(3) Veri sorumlusu, talebi kabul eder veya reddeder ve kararını veri sahibine yazılı olarak veya elektronik ortamda bildirir. Talebin kabul edilmesi halinde, veri sorumlusu tarafından yerine getirilir. Veri sahibi, veri sorumlusunun hatası sebebiyle yapılan başvurun ücreti karşılığında geri ödeme alır.
Kurula şikayet
MADDE 14- (1) Talebin reddedilmesi, verilen yanıtın yeterli bulunmaması veya yanıtın verilmemesi halinde, veri sahibi başvurusunu Kurula, talebin reddedilme tarihini öğrendiği tarihten itibaren 30 gün ve başvuru tarihini öğrendiği tarihten itibaren 60 gün içinde yapabilir.
(2) Bu madde kapsamındaki hakların kullanılması için veri sorumlusuna başvurunun yapılması şarttır.
(3) Veri sahibinin kişisel haklarının ihlal edilmesi durumunda, genel hükümlerde öngörülen tazminat hakkı saklıdır.
Şikayetin incelenmesi usul ve esasları
MADDE 15- (1) Kurul, kendi görev alanına giren konularda şikayet veya kendi girişimiyle ihlal olduğunu öğrendiği durumlarda gerekli incelemeyi yapar.
(2) 27.11.1984 tarihli ve 3071 sayılı Hakkın Kullanılmasına Dair Usul Hakkında Kanunun 6. maddesinde belirtilen usul ve şartlara uygun olmayan bildirim ve şikayetler incelenmez.
(3) İlgili konuya ilişkin olarak Kurulun talep ettiği bilgi ve belgeler, devlet sırrı niteliği taşımayanlar, veri sorumlusu tarafından 15 gün içinde Kurula iletilir ve gerektiğinde yerinde inceleme yapılmasına izin verilir.
(4) Kurul, şikayet üzerine yapılan inceleme sonucunda veri sahibine yanıt verir. Kurulun 60 gün içinde yanıt vermemesi halinde, başvuru reddedilmiş sayılır.
(5) Kurul, inceleme sonucunda tespit ettiği ihlallerin düzeltilmesi için ilgili veri sorumlusuna talimat verir ve bu talimatın ilgili kişilere bildirilmesini sağlar. Bu talimat, alındığı tarihten itibaren 30 gün içinde yerine getirilir.
(6) Kurul, inceleme sonucunda ihlalin yaygın olduğunu tespit ettiği durumlarda, konu ile ilgili bir kararname yayınlayabilir. Kararname yayınlanmadan önce Kurul, gerektiğinde ilgili kurum ve kuruluşların görüşlerini alabilir.
(7) Kurul, işlemin yasadışı ve açıkça suç olması halinde, bu işlemin durdurulmasına karar verebilir.
Veri sorumluları sicili
MADDE 16 (1) Kurum Başkanlığı, Kurul denetimi altında kamuoyuna açık bir Veri Sorumluları Sicili tutar.
(2) Kişisel veri işleyen gerçek veya tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kayıt yaptırmak zorundadır. Ancak, Kurulun belirleyeceği nesne ve nicelik kriterlerine göre, bu yükümlülükten muaf tutulabilir.
(3) Veri Sorumluları Siciline kayıt talebi, aşağıdaki bilgileri içeren bir bildirimle yapılır:
a) Veri sorumlusunun kimliği ve temsilcisi varsa temsilcinin kimliği,
b) Kişisel verilerin işleneceği amaçlar,
c) Veri sahiplerinin grupları ve bu kişilerin veri kategorileri hakkında açıklamalar,
ç) Verilerin aktarılabileceği kişi ve kişiler ile aktarım amacı,
d) Yurt dışına aktarılması planlanan kişisel veriler,
e) Veri güvenliği için alınan tedbirler.
(f) Verilerin işlenmesinin amacına uygun olarak gerekli olduğu süre.
(4) Bildirimdeki bilgilerde herhangi bir değişiklik olduğu takdirde, bu değişiklik Başkanlığa derhal bildirilir.
(5) Veri Sorumluları Sicili ile ilgili diğer usul ve esaslar bir yönetmelikle düzenlenir.
BEŞİNCİ BÖLÜM
Suçlar ve Kılıçlar
Suçlar
MADDE 17 (1) Kişisel verilerle ilgili suçlar için 5237 sayılı Türk Ceza Kanununun 135-140. maddeleri uygulanır.
(2) Bu madde fıkralarında sayılanlar, 7. maddede belirtilen yükümlülüğü yerine getirmezlerse, 5237 sayılı Kanunun 138. maddesi uyarınca cezalandırılır.
Kılıçlar
MADDE 18 (1) Bu Kanun kapsamında,
a) Bilgilendirme yükümlülüğünü yerine getirmeyenler 5.000 ile 100.000 TL arasında,
b) Veri güvenliği yükümlülüğünü yerine getirmeyenler 15.000 ile 1.000.000 TL arasında,
c) Kurulun 15. maddede belirtilen kararlarına uymayanlar 25.000 ile 1.000.000 TL arasında,
ç) Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünü yerine getirmeyenler 20.000 ile 1.000.000 TL arasında idari para cezası ile cezalandırılır.
(2) Bu fıkradaki idari para cezaları, gerçek veya tüzel kişilikteki veri sorumlularına uygulanır.
(3) Bu fıkradaki suçları kamu kurum ve kuruluşlarında ve meslek kuruluşlarında çalışan memur ve diğer kamu görevlileri işlerken işlediği takdirde, Kurulun bildirimi üzerine ilgili kamu kurum ve kuruluşları ve meslek kuruluşları tarafından bu kişilere uygulanacak disiplin işlemleri başlatılır ve sonuç Kurula bildirilir.
ALTINCI BÖLÜM
Kişisel Verilerin Korunması Kurumu ve Teşkilatı
Kişisel Verilerin Korunması Kurumu
MADDE 19 (1) Kişisel verilerin korunmasını sağlamak amacıyla, kamu hukukuna tabi, hukuki kişiliği bulunan ve idari ve mali özerkliğe sahip bir Kişisel Verilerin Korunması Kurumu kurulmuştur.
(2) Kurum, Başbakanlığa bağlıdır.
(3) Kurumun merkezi Ankara'dadır.
(4) Kurum, Kurul ve Başkanlıktan oluşur. Kurumun karar organı Kurul'dur.
Kurumun görevleri
MADDE 20 (1) Kurumun görevleri aşağıdadır:
(a) Mevzuat ve uygulamalardaki gelişmeleri izlemek, değerlendirmeler yapmak, araştırmalar ve analizler yaptırmak veya yaptırmak.
(b) Gerekli görüldüğü takdirde kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek kuruluşları veya üniversitelerle işbirliği yapmak.
(c) Kişisel verilerin korunması konusundaki uluslararası gelişmeleri izlemek ve bu konuda uluslararası kurum ve kuruluşlarla işbirliği yapmak ve toplantılara katılmak.
(ç) Faaliyet raporunu Başbakana, TBMM İnsan Hakları İnceleme Komisyonuna ve Başbakanlığa sunmak.
(d) Diğer kanunlarda öngörülen görevleri yerine getirmek.
Kişisel Verilerin Korunması Kurulu
MADDE 21 (1) Kurul, bu Kanun ve diğer kanunlar kapsamında verilen görev ve yetkilerini bağımsız ve sorumluluk sahibi olarak kullanır ve yerine getirir. Kurulun görev ve yetkileri ile ilgili herhangi bir kişi, kurum, kuruluş, otorite, makam veya kişi, Kurulun görev ve yetki alanına giren konularda Kurula talimat veremez, tavsiye veya öneri de edemez.
(2) Kurul, dokuz üyeden oluşur. TBMM tarafından beş üye, Cumhurbaşkanı tarafından iki üye ve Bakanlar Kurulu tarafından iki üye seçilir.
(3) Kurula seçilebilmek için aşağıdaki şartların sağlanması gerekir:
a) Kurumun görev alanına ilişkin konularda bilgi ve tecrübesi olması,
b) 657 sayılı Devlet Memurları Kanununun 1, 4, 5, 6 ve 7. maddelerinin (A) fıkrasının ilk paragrafında sayılan şartları taşıması,
c) Siyasi partilerin üyesi olmaması,
ç) En az dört yıllık lisans eğitimi almış olması,
d) Kamu kurum ve kuruluşları, uluslararası kurum ve kuruluşlar, sivil toplum kuruluşları, meslek kuruluşları veya özel sektörde en az on yıl çalışmış olması.
(4) Seçilenlerin üyeliklerini kabul etmeleri gerekir. Seçimler, Kurumun görev alanına ilişkin konularda bilgi ve tecrübesi olan kişilerin Kuruma katılımını sağlamak amacıyla çoğulcu bir biçimde yapılır.
(5) Kurul üyeleri, TBMM Genel Kurulunda aşağıdaki usule göre seçilir:
a) TBMM'deki siyasi parti grupları tarafından, milletvekili sayılarına orantılı olarak üye adaylarının iki katı sayıda aday gösterilir ve Kurul üyeleri bu adaylar arasından seçilir. Ancak, TBMM'deki siyasi parti grupları, Genel Kurul'da yapılacak seçimlerde kimin adına oy verileceği konusunda görüşme ve karar vermez.
b) Adayların adları yanında seçim kağıdına yazılır. Adayların yanındaki boş alana işaret koyularak oy verilir. Bir üyelik için birden fazla adayın adına oy verilmesi geçersiz sayılır.
c) Kurul üyeleri, en çok oy alan adaylar olarak seçilir. Seçim, milletvekili sayılarına orantılı olarak yapılır ve siyasi parti gruplarına ayrılan üye sayısı, ilk seçimde belirlenen sayılara göre belirlenir. Seçimler sırasında siyasi parti grupları arasındaki üye sayısının değişmesi durumunda, ilk seçimde belirlenen üye sayılarına göre yeniden dağıtım yapılır.
(6) Kurul üyelerinin görev süresi, üyeliklerinin boşalması nedenleri ve seçimlerin yapılması ile ilgili usul ve esaslar aşağıdaki gibidir:
a) Kurul üyelerinin görev süresi dört yıldır. Üyelik süresi dolan üyeler yeniden seçilebilir. Bir üyenin görevi, yerine başka bir üye seçilinceye kadar devam eder.
b) Kurul üyelerinden birinin görevi, görev süresi dolmadan önce boşalırsa, yeni bir üye seçilmesi için Kurula üye adayı gösteren siyasi parti grubuna bağlı olarak, üye sayısına orantılı olarak yeni bir üye seçilir. TBMM Genel Kurulu toplantı döneminde boşalan üyeliklerin seçimi, toplantı dönemi içinde yapılır. Toplantı dönemi dışında boşalan üyeliklerin seçimi, toplantı döneminin başlangıcından itibaren otuz gün içinde yapılır.
(7) Kurul, Başkan ve Başkanvekili olmak üzere iki üye arasından Başkanını ve Başkanvekilini seçer. Kurul Başkanı aynı zamanda Kurum Başkanıdır.
(8) Kurul üyelerinin görev süresi dört yıldır. Üyelik süresi dolan üyeler yeniden seçilebilir. Bir üyenin görevi, yerine başka bir üye seçilinceye kadar devam eder.
(9) Kurul üyeleri, görevlerine başlamadan önce Yargıtay Birinci Başkanlığında aşağıdaki andı okur: “Üzerime düşen görevi, Anayasa ve ilgili mevzuatın gerektirdiği şekilde, tam bağımsızlık, dürüstlük, adalet ve vicdan ışığında yerine getireceğime ant içerim.” Bu andı okuma işlemi acil görülen işlerdir.
(10) Kurul üyeleri, görevleri süresince Kurulun görev ve yetki alanına giren konularda başka kamu veya özel görevler üstlenemez, dernek, vakıf, kooperatif ve benzeri kuruluşların yönetiminde bulunamaz, ticari faaliyetlerde bulunamaz, serbest meslek sahibi olamaz, uzman veya hakem olarak görev alamaz. Ancak, Kurul üyeleri bilimsel yayınlar hazırlayabilir, ders verebilir, konferanslara katılabilir ve bu faaliyetlerle ilgili telif ve ücretleri alabilir. Bu faaliyetler, üyelerin asıl görevlerini engellemeyecek şekilde yapılır.
(11) Kurul üyelerine karşı suç iddialarının soruşturulması, 2/12/1999 tarihli ve 4483 sayılı Hakim ve Savcıların Yargılanması Hakkındaki Kanun hükümlerine göre yapılır ve soruşturma izni Başbakan tarafından verilir.
(12) Kurul üyelerine karşı açılan disiplin soruşturmaları ve kovuşturmada 657 sayılı Devlet Memurları Kanununun hükümleri uygulanır.
(13) Kurul üyeleri, görev süreleri dolmadan önce sadece aşağıdaki durumlarda görevlerinden alınabilir:
a) Seçimleri sırasında şartları taşımadıklarının tespit edilmesi,
b) Görevleri sırasında işledikleri suçlar nedeniyle verilen mahkeme kararlarının kesinleşmesi,
c) Sağlık durumlarının, üyelik görevlerini yerine getirmelerini engelleyecek şekilde olmasını belirten bir sağlık kurulu raporu ile tespit edilmesi,
ç) Görevsizliklerinin toplamda otuz günü aşması,
d) Toplantılara üç ay içinde on kez katılınmaması.
Kurulun görev ve yetkileri
MADDE 22 (1) Kurulun görev ve yetkileri aşağıdadır:
a) Kişisel verilerin korunmasının temel hak ve özgürlüklerle uyumlu olarak işlenmesini sağlamak,
b) Kişisel verilerin korunmasıyla ilgili şikayetleri incelemek ve sonuçlandırmak,
c) Kişisel verilerin korunmasıyla ilgili kanun hükümlerinin uygulanmasını denetlemek ve gerekli tedbirleri almak,
ç) Özel nitelikteki kişisel verilerin korunması için gerekli tedbirleri belirlemek,
d) Veri Sorumluları Sicilinin tutulmasını sağlamak,
e) Kişisel verilerin korunmasıyla ilgili yönetmelikleri hazırlamak,
f) Veri sorumlusu ve temsilcisinin görev ve yetkilerini belirleyecek yönetmelikleri hazırlamak,
ğ) Bu Kanunda öngörülen idari para cezalarını uygulamak,
h) Kişisel verilerin korunmasıyla ilgili kanun taslağı hazırlayan diğer kurum ve kuruluşların taslakları hakkında görüş vermek,
ı) Kurumun stratejik planını hazırlamak, amaç, hedef, hizmet kalitesi standartlarını ve performans kriterlerini belirlemek,
i) Stratejik plan ve bütçe teklifini, Kurumun amaç ve hedefleri doğrultusunda hazırlamak,
j) Kurul kararlarının yürütülmesini denetlemek ve raporlamak,
k) Taşınmaz malların satın alınması, satılması ve kiralanması ile ilgili tavsiyeleri değerlendirmek,
l) Bu Kanunda öngörülen diğer görevleri yerine getirmek.
Kurulun çalışma usulü
MADDE 23 (1) Kurul Başkanı, toplantı tarihlerini ve gündemini belirler. Kurul, Başkanın gerekli gördüğü durumlarda olağanüstü toplantıya çağrılabilir.
(2) Kurul, en az altı üye ile toplanır ve kararları üye sayısının salt çoğunluğu ile alınır. Üyeler çekimser oy kullanamaz.
(3) Üyeler, kendilerine, kendi kan damarı veya medeni nikâhının ikinci derecesine kadar olan akrabalarına, evlatlarına ve evlilikleri sona erse bile eski eşlerine ait konuların görüşüldüğü toplantılara katılmaz ve oy kullanmaz.
(4) Üyeler, gizli bilgileri öğrendikleri sürece Kurul görevleri sırasında veya sonrasında hiçbir şekilde açıklamayacak ve bu bilgilerden yararlanmayacaklardır. Bu yükümlülük, görevleri sona erdikten sonra da devam eder.
(5) Kurul kararlarının gerekçeleri ve muhalif görüşleri varsa birlikte ve en geç on beş gün içinde yazılı olarak hazırlanır. Kurul, gerekli gördüğü kararları kamuoyuna duyurur.
(6) Kurul toplantıları ilgili kişi ve kurumların katılımı olmadığı sürece gizlidir. Kurulun karar alma süreci açık olabilir.
(7) Kurulun çalışma usul ve esasları ile kararların yazılı olarak hazırlanma usulü bir yönetmelikle düzenlenir.
Başkan
MADDE 24 (1) Başkan, hem Kurum hem de Kurul Başkanıdır ve Kurumun en üst yöneticisidir. Başkan, Kurumun yasalara, Kurumun amaç ve politikalarına, Stratejik Plana, performans kriterlerine ve hizmet kalitesi standartlarına uygun olarak hizmetlerin yürütülmesinden sorumludur. Başkan ayrıca birimler arasındaki koordinasyonu sağlar.
(2) Başkan, Kurumun genel yönetimi ve temsilinden sorumludur. Bu sorumluluk, aşağıdaki görev ve yetkileri içerir:
a) Kurul kararlarının yürütülmesini sağlamak ve gerekli gördüğü durumlarda kamuoyuna duyurulmasını sağlamak,
b) Kurum için Başkanvekili, Daire Başkanları ve Kurum personelinin atanmasını yapmak,
c) Kurulun gündemini hazırlamak ve Kurula sunmak,
ç) Bölümlerden gelen önerileri değerlendirmek ve Kurula sunmak,
d) Stratejik Planın uygulanmasını sağlamak ve personel politikasını ve çalışma usulünü belirlemek,
e) Kurumun yıllık bütçe ve mali tablolarını Stratejik Planın belirlediği hedeflere uygun olarak hazırlamak,
f) Kurumun birimlerinin uyumlu, disiplinli ve düzenli bir şekilde çalışmasını sağlamak,
g) Kurumun ilişkilerini yürütmek,
ğ) Başkanvekilinin ve Daire Başkanlarının yetkilerini belirlemek,
h) Diğer görev ve yetkileri yerine getirmek.
(3) Başkanın görevlerini yerine getiremeyeceği durumlarda Başkanvekilinin görev almasına izin verilir.
(4) Başkan, Kurumun yönetiminde ve çalışmalarında gerekli gördüğü değişiklikleri yapabilir.
Başkanlığın görevleri ve teşkilatı
MADDE 25 (1) Başkanlık, Başkanvekilik ve birimlerden oluşur. Başkanlık, Kurul ve Kurumun görevlerini birimler aracılığıyla yerine getirir. Birim sayısı yedişer geçemez.
(2) Başkan, kendisine yardımcı olması için Başkanvekilik görevine bir kişiyi atar. Başkanvekilik görevine atanan kişi, kamu kurum ve kuruluşlarında en az on yıl çalışmış olmalıdır.
(3) Başkanvekili ve Daire Başkanları, en az dört yıllık lisans eğitimi almış ve kamu kurum ve kuruluşlarında en az on yıl çalışmış kişiler arasından Başkan tarafından atanır.
(4) Başkanlığın görevleri aşağıdadır:
a) Veri Sorumluları Sicilini tutmak,
b) Kurum ve Kurul için katiplik hizmetlerini yürütmek,
c) Kurum adına davalarda ve infaz işlemlerinde avukatlar aracılığıyla temsil edilmesini ve hukuki hizmetlerin yürütülmesini sağlamak,
ç) Personelin idari işlerini yürütmek,
d) Mali işlemler ve stratejik geliştirme birimleri ile ilgili kanunlarda öngörülen görevleri yerine getirmek,
e) Kurumun bilgi sistemlerinin kurulmasını ve kullanılmasını sağlamak,
f) Kurumun faaliyetleri hakkında raporlar hazırlamak ve bunları Kurula sunmak,
g) Kurumun stratejik planını hazırlamak,
ğ) Personel politikasını belirlemek, personel için eğitim ve kariyer planlarını hazırlamak ve uygulamak,
h) Atama, nakil, disiplin, performans, terfi, emeklilik ve benzeri işlemleri yapmak,
ı) Personel için etik ilkeleri belirlemek ve gerekli eğitimleri vermek,
i) Kurumun taşınır ve taşınmaz mal varlığının kaydını tutmak,
j) Kurul veya Başkan tarafından verilen diğer görevleri yerine getirmek.
Kişisel Verilerin Korunması Uzmanları ve Uzman Yardımcıları
MADDE 26 (1) Kurum, Kişisel Verilerin Korunması Uzmanı ve Uzman Yardımcılarını işe alabilir. 657 sayılı Devlet Memurları Kanununun ek 41. maddesi kapsamında Kişisel Verilerin Korunması Uzmanı olarak atananlar, bir üst derece alır.
(2) Kişisel Verilerin Korunması Uzmanları ve Uzman Yardımcıları, personel hakları konusunda 657 sayılı Devlet Memurları Kanununun kapsamı dışında kalan konularda, 27/6/1989 tarihli ve 375 sayılı Cumhurbaşkanlığı Kararnamesinin ilgili hükümleri uyarınca ücretlerini alırlar.
Personelin hakları ve personel hakları
MADDE 27 (1) Kurum personeli, 657 sayılı Devlet Memurları Kanunu kapsamında olmayan konularda, 375 sayılı Cumhurbaşkanlığı Kararnamesinin ilgili hükümleri uyarınca ücretlerini alırlar.
(2) Kurum Başkanı, Kurul üyeleri ve personel, 375 sayılı Cumhurbaşkanlığı Kararnamesinin ek 11. maddesi kapsamında ödenen ücretlerin aynı oran ve koşullarda ödenmesi esas alınarak belirlenen ücretleri alır.
(3) Kurum Başkanı, Kurul üyeleri ve personel, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 4. maddesinin (ç) bentinde belirtilen sigortalılar kapsamında değerlendirilir. Kurum Başkanı, Kurul üyeleri ve personel, emeklilik hakları bakımından önceki görevlerindeki sigortalılarla eşit sayılır. 5510 sayılı Kanunun geçici 4. maddesi kapsamındaki süreler, bu kişilerin Kurumda çalıştıkları süreler olarak kabul edilir ve bu süreler için görev başına ödenecek ücretler belirlenir. Kurumda çalışmaya başlayanların önceki kurum ve kuruluşlardaki görev süreleri, emeklilik primi hesaplamasında dikkate alınır.
(4) Kamu idareleri, sosyal güvenlik kurumları, yerel idareler, yerel idareye bağlı idareler, yerel idari birlikleri, kamu iktisadi teşebbüsleri, devlete ait iktisadi teşebbüsler, kamu kurum ve kuruluşlarının sermayesinin %50'sinden fazlası devlete ait olan kurumlar, kamu tüzel kişileri, dernekler, vakıflar, kamu kurum ve kuruluşlarına bağlı sendikalar ve diğer kamu personeli, Kuruma kendi kurumlarının onayıyla ve ücretlerinin ödenmesini sürmek şartıyla süreli olarak atanabilir. Bu kişilerin atanmasıyla ilgili talepler, ilgili kurum ve kuruluşlar tarafından acil olarak değerlendirilir. Atanan personel, atanma süresi boyunca görevlerini ve kamu personeli statüsünü sürdürür, bu süre görev sürelerine katılır ve terfi sırasında dikkate alınır. Atanma süresi, iki yılı geçemez. Ancak gerekli görüldüğü takdirde bu süre bir yıl daha uzatılabilir.
(5) Kurumda görev alacak memur ve diğer kamu görevlilerinin unvan ve sayıları, ek tabloda (I) belirtilmiştir. Unvan ve derecelerdeki değişiklikler, yeni unvanların eklenmesi ve boşta kalan kadroların iptali, Kurul kararıyla ve toplam kadro sayısını aşmayacak şekilde yapılır ve 375 sayılı Cumhurbaşkanlığı Kararnamesinin ek tablolarında belirtilen unvan ve derecelere uygun olarak gerçekleştirilir.
YEDİNCİ BÖLÜM
Diğer Hükümler
İstisnalar
MADDE 28 (1) Bu Kanunun hükümleri, aşağıdaki durumlarda uygulanmaz:
a) Gerçek kişilerin kişisel yaşam alanına ilişkin ve aile üyeleriyle birlikte yaşadığı konutta yaptıkları kişisel faaliyetler kapsamında kişisel verilerin işlenmesi, bu verilerin üçüncü kişilere açıklanmaması ve veri güvenliği yükümlülüğünün yerine getirilmesi şartıyla,
b) Verilerin istatistiksel amaçlarla, bilimsel araştırma, planlama ve istatistiksel amaçlarla anonimleştirilerek işlenmesi,
(c) Sanat, tarih, edebiyat veya bilimsel amaçlarla veya ifade özgürlüğü kapsamında, ulusal savunma, ulusal güvenlik, kamu güvenliği, kamu düzeni, ekonomik güvenlik, gizlilik hakkı ve kişilik haklarının ihlal edilmemesi veya suç oluşturmayacak şekilde işlenmesi,
(ç) Yetkilendirilmiş kamu kurum ve kuruluşlarınca ulusal savunma, ulusal güvenlik, kamu güvenlik, kamu düzeni veya ekonomik güvenlik amaçlı yapılan önleyici, koruyucu ve istihbarat faaliyetleri kapsamında yapılan kişisel veri işlemeleri,
(d) Yargı organları veya infaz organları tarafından soruşturma, kovuşturma, ceza işlemleri veya infaz işlemleri kapsamında yapılan kişisel veri işlemeleri.
(2) Bu Kanunun 10. maddesindeki veri sorumlusunun bilgilendirme yükümlülüğü, 11. maddesindeki veri sahibinin hakları (zararın giderilmesi hakkı hariç) ve 16. maddesindeki Veri Sorumluları Siciline kayıt yükümlülüğü, aşağıdaki durumlarda uygulanmaz:
a) Suçun önlenmesi veya suçla ilgili soruşturma amacıyla yapılan kişisel veri işlemeleri,
b) Veri sahibi tarafından kamuya açık hale getirilen verilerin işlenmesi,
c) Denetim ve düzenleyici görevlerinin ve disiplin soruşturmalarının yürütülmesi amacıyla kamu kurum ve kuruluşları veya meslek kuruluşları tarafından yapılan kişisel veri işlemeleri,
ç) Devletin mali ve maliye ilişkili faaliyetleriyle ilgili kamu güvenliği ve ekonomik güvenliğin korunması amacıyla yapılan kişisel veri işlemeleri.
Kurumun bütçesi ve gelirleri
MADDE 29 (1) Kurumun bütçesi, 5018 sayılı Kanunun hükümlerine uygun olarak hazırlanır ve onaylanır.
(2) Kurumun gelirleri aşağıdadır:
a) Genel bütçeden yapılan aktarımlar,
b) Kurumun taşınır ve taşınmaz mal varlıklarından elde edilen gelirler,
c) Bağış ve yardımlar,
ç) Varlıklarının kullanımından elde edilen gelirler,
d) Diğer gelirler.
Değişiklik ve Eklemeler
MADDE 30 (1) 5018 sayılı Kanunun ek 3. maddesine aşağıdaki madde eklenmiştir:
"10) Kişisel Verilerin Korunması Kurumu"
(2) 5237 sayılı Türk Ceza Kanununun 135. maddesinin ikinci fıkrasında geçen "Herhangi bir kişi" ibaresi "Herhangi bir kişisel veri, herhangi bir kişi" şeklinde değiştirilmiş ve aynı madde fıkrasında geçen "Bu kişi, bilgileri bir kişisel veri olarak kaydeden kişiye karşı bu fıkra uyarınca cezalandırılır" ibaresi "Bu kişiye, üstteki fıkra gereği verilecek cezanın yarısı oranında ceza verilir" şeklinde değiştirilmiştir.
(3) 5237 sayılı Türk Ceza Kanununun 226. maddesinin üçüncü fıkrasında geçen "çocuklar" ibaresi "çocuklar, çocukları simgeleyen resimler veya genç görüntüdeki kişiler" şeklinde değiştirilmiştir.
(4) 5237 sayılı Türk Ceza Kanununun 243. maddesinin birinci fıkrasında geçen "ve" ibaresi "veya" şeklinde değiştirilmiş ve aşağıdaki fıkra eklenmiştir:
"(4) Teknik araçlarla bir bilgi sistemi içinde veya bilgi sistemleri arasında yapılan veri aktarımlarını sisteme girmeyecek şekilde izleyen kişi, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır."
(5) 5237 sayılı Türk Ceza Kanununa aşağıdaki madde eklenmiştir:
"Yasaklanmış araç veya programlar
Madde 245/A- Suça işlenmesi sınırlı olarak bu Bölümde yer alan suçlar ve bilgi sistemleri aracılığıyla işlenebilecek suçlar için üretilen, ithal edilen, gönderilen, transfer edilen, aktarılan, depolanan, kabul edilen, satılan, tedarik edilen, satın alınan, başkalarına verilen veya elde edilen araçlar, bilgisayar programları, şifreler veya diğer güvenlik kodları ile ilgili olarak, bu eylemleri gerçekleştiren kişi bir yıldan üç yıla kadar hapis ve beş bin günlük para cezası ile cezalandırılır.
(6) 3359 sayılı Sağlık Hizmetleri Temel Kanununun 6. maddesinin (f) bentindeki ibare aşağıdaki şekilde değiştirilmiştir:
"f) Sağlık Bakanlığı ve bağlı kuruluşları, herkesin sağlık durumunu takip etmek ve sağlık hizmetlerinin daha etkin ve hızlı bir şekilde yürütülmesini sağlamak amacıyla gerekli kayıt ve bildirim sistemini kuracaktır. Bu sistem elektronik ortamda da kurulabilir. Bu amaçla ülke genelinde bir bilgi sistemi kurulabilir."
(7) 663 sayılı Kanunun 47. maddesi aşağıdaki şekilde değiştirilmiştir:
"MADDE 47- (1) Sağlık hizmeti almak için kamu veya özel sağlık kuruluşlarına veya sağlık profesyonellerine başvuranların, sağlık hizmeti almaları için zorunlu kılınan kişisel veriler veya bu hizmetlerle ilgili olarak sağladıkları veriler, bu Kanun kapsamında işlenebilir.
(2) Bakanlık, sağlık hizmetlerinin sağlanması, korunması, önleyici tıp, tanı, tedavi ve bakım hizmetlerinin yürütülmesi ve sağlık hizmetlerinin planlanması ve maliyetinin belirlenmesi amacıyla bu verileri işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanununda belirtilen durumlar dışında aktarılamaz.
(3) Bakanlık, bu verilerin işlenmesi ve saklanması için bir sistem kuracak ve bu sistemde kayıtlı kişilerin veya yetkilendirilmiş üçüncü kişilerin erişimini sağlayacaktır.
(4) Bu sistemin güvenliğini ve güvenilirliğini sağlamak için Bakanlık, Kişisel Verilerin Korunması Kurulu tarafından belirlenen ilkeler çerçevesinde gerekli tedbirleri alacaktır. Bakanlık, bu amaçla verilerin kullanımını izlemek için bir güvenlik sistemi kuracak ve bu sistemde kullanılan verilerin izlenmesini sağlayacaktır.
(5) Kamu kurum ve kuruluşları, gerçek ve tüzel kişiler, özel hukuk tüzel kişileri, sağlık personeli çalıştıranlar, Bakanlığa sağlık personeline ilişkin bilgileri bildirmek zorundadır.
(6) Bu maddeye ilişkin diğer konularda uygulanacak usul ve esaslar, bir yönetmelikle düzenlenecektir.
Yönetmelik
MADDE 31 (1) Bu Kanunun uygulanmasına ilişkin yönetmelikler Kurum tarafından hazırlanır.
Geçici Hükümler
GEÇİCİ MADDE 1 (1) Kurul üyelerinin seçimi ve Başkanlığın teşkilatı, bu Kanunun yayımlandığı tarihten itibaren altı ay içinde, bu maddede belirtilen usule göre yapılır.
(2) Veri sorumluları, Kurulun belirleyeceği süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.
(3) Bu Kanun yayımlandığı tarihten itibaren iki yıl içinde, bu Kanuna uygun hale getirilecektir. Bu Kanuna uygun olmayan veriler, bu süre içinde silinir, yok edilir veya anonimleştirilir. Bu Kanun yayımlandığı tarihten önce alınmış açık rızalar, bu Kanuna uygun sayılır. Ancak, bu Kanunun yürürlüğünden sonra aksi bir beyan gelmezse, bir yıl içinde bu rızaların geçersiz sayılması için bildirimde bulunulabilir.
(4) Bu Kanunun uygulanmasına ilişkin yönetmelikler, bu Kanunun yayımlandığı tarihten itibaren bir yıl içinde hazırlanır.
(5) Bu Kanunun uygulanmasını takip etmek ve koordine etmek üzere kamu kurum ve kuruluşlarında en üst düzeyde bir sorumlu atanır ve bu sorumlunun atanması bir yıl içinde Başkanlığa bildirilir.
(6) Kurumun bütçesi, bu Kanunun yayımlandığı tarihten itibaren Başbakanlık bütçesinden karşılanır. Bu süre içinde Kuruma gerekli destek hizmetleri de Başbakanlık tarafından sağlanır.
(7) Kurumun birimlerinin tamamen faaliyete geçmesine kadar katiplik hizmetleri Başbakanlık tarafından yürütülür.
Yürürlüğü
MADDE 32 (1) Bu Kanunda,
a) 8, 9, 11, 13, 14, 15, 16, 17 ve 18. maddeler, yayımlandığı tarihten itibaren altı ay sonra yürürlüğe girer.
b) Diğer maddeler yayımlandığı tarihte yürürlüğe girer.
Yürütme
MADDE 33 Bu Kanunun yürütülmesi Bakanlar Kurulu tarafından sağlanır.
