O kanun TBMM'ye geldi

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek, üçüncü kişilere ve yurt dışına aktarılamayacak. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, dernek, vakıf ya da sendika üyeliği, sağlığı veya cinsel hayatıyla ilgili özel nitelikli kişisel verilerinin işlenmesi yasak olacak.

Kişisel verilerin işlenmesinin disiplin altına alınmasını, Anayasada öngörülen temel hak ve özgürlüklerin korunmasını, bu amaçla kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları usul ve esaslar düzenleyen "Kişisel Verilerin Korunması Kanun Tasarısı" TBMM Başkanlığı'na sunuldu.

Hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen, otomatik olan veya olmayan yollarla işleyen gerçek ve tüzel kişileri kapsayan tasarıya göre, kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilecek.

Kişisel verilerin işlenmesinde, hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulması zorunlu olacak.

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek.

Ancak kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmesi, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, şartlarından en az birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkün olacak.

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, dernek, vakıf ya da sendika üyeliği, sağlığı veya cinsel hayatıyla ilgili verileri, özel nitelikli kişisel veriler olacak ve bunların işlenmesi yasak hale getirilecek.

Ancak bu verilerin işlenmesi, yeterli önlemlerin alınması şartıyla, ilgili kişinin açık rızasının bulunması, kanunlarda açıkça öngörülmesi, siyasi parti, vakıf, dernek veya sendika gibi kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı kalmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik verilerin işlenmesi, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenmesi hallerinde yapılabilecek.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Bu kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinecek, yok edilecek veya anonim hale getirilecek.

Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenecek. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanun hükümleri saklı kalacak.

Kişisel verilerin üçüncü kişilere ve yurt dışına aktarımı

Kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü kişilere ve yurt dışına aktarılamayacak.

Bu veriler, kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenmesi durumlarından birinin bulunması halinde üçüncü kişilere, ilgili yabancı ülkede yeterli korumanın bulunması koşuluyla yurt dışına, ilgili kişinin açık rızası aranmaksızın aktarılabilecek.

Yabancı ülkede yeterli koruma şartı aranacak

Kişisel verinin aktarılacağı yabancı ülkede yeterli koruma bulunmaması halinde kişisel veriler ancak ilgili kişinin açık rızasının bulunması, Türkiye'deki ve kişisel verinin aktarılacağı yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu'nun izninin bulunması hallerinde yurt dışına aktarılabilecek.

Siyasi parti, vakıf, dernek veya sendika gibi kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik veriler, ancak kanunlarda açıkça öngörülmesi, ilgili kişinin açık rızası ile Kurulun izninin birlikte bulunması hallerinde üçüncü kişilere ve yeterli koruma bulunması koşuluyla yurt dışına aktarılabilecek. Yabancı ülkede yeterli koruma bulunup bulunmadığı Kurulca belirlenerek ilan edilecek.

Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve izin verilip verilmeyeceğine, Türkiye'nin taraf olduğu uluslararası sözleşmeleri, kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, kişisel verinin aktarılacağı ülkede uygulanan konuyla ilgili mevzuatı, kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve gerektiğinde ilgili kamu kurum ve kuruluşlarının görüşünü de almak suretiyle karar verecek.

Kişisel verilerin üçüncü kişilere ve yurt dışına aktarımına ilişkin, ilgili kanunlarda yer alan hükümler saklı kalacak.

Hangi amaçla işleneceği hakkında bilgi verilecek

Kişisel verilerin elde edilmesi sırasında veri sorumlusu, ilgili kişilere kendisinin ve varsa temsilcisinin kimliği, verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve kişinin hakları konusunda bilgi vermekle yükümlü olacak. Kişisel verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesi halinde de veri sorumlusu, ilgili kişiyi ayrıca bilgilendirecek.

Herkes, veri sorumlusuna başvurarak kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenmek, kişisel verileri işlenmişse buna ilişkin bilgi talep etmek, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek, yurt içinde veya yurt dışınfda kişisel verilerin aktarıldığı üçüncü kişileri bilmek, kişisel verilerin eksik veya yanlış olması halinde bunların düzeltilmesini istemek, kanunla yer alan şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini istemek, verilerdeki düzeltme ya da silinmenin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek, işlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek, haklarına sahip olacak.

Yükümlülükleri görevden ayrıldıktan sonra da devam edecek

Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini sağlamaya yönelik gerekli tedbirleri almak zorunda olacak. Ayrıca veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, gerekli tedbirlerin alınması konusunda bu kişilerle birlikte sorumlu hale getirilecek.

Veri sorumluları ile veri işleyen kişiler öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamayacak ve kendi şahsi çıkarları için kullanamayacak. Bu yükümlülük görevden ayrılmalarından sonra da devam edecek.

İşlenen kişisel verilerin kanuni olmayan yollardan başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirecek. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan edebilecek.

Kararlara karşı idare mahkemelerinde dava açılabilecek

İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak ya da Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletecek. Veri sorumlusu, başvuruda dile getirilen talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde, ücretsiz olarak veya işlemin ayrıca bir maliyeti gerektirmesi halinde Kurulca uygun görülen bir ücret karşılığında yerine getirecek ya da gerekçesini açıklayarak reddedebilecek.

İlgili kişi, başvurusunun veri sorumlusu tarafından reddedilmesi veya cevap verilmemesi ya da cevabı yetersiz bulması hallerinde otuz gün içinde Kurula şikayette bulunabilecek. Veri sorumlusuna başvuru yolu tüketilmeden şikayet yoluna başvurulamayacak. Şikayet tarihinden itibaren dört ay içinde cevap verilmediği takdirde talep reddedilmiş sayılacak. Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklı olacak.

Kurul, şikayet üzerine veya resen bu Kanunun uygulanmasıyla ilgili konularda gerekli incelemeyi yapacak. Veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri onbeş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkan sağlamak zorunda olacak. Devlet sırrı niteliğindeki bilgi ve belgeler Kurula gönderil. Ancak bu bilgi ve belgeler, Kurul Başkanı veya görevlendireceği bir üye tarafından yerinde incelenebilecek.

Kurul, şikayet üzerine yapacağı incelemeleri iki ay içinde tamamlayacak. Ancak hukuki veya fiili sebeplerle bu süre içinde incelemenin sonuçlandırılamaması halinde süre, bir defaya mahsus olmak üzere iki ay daha uzatılmış sayılacak. Şikayet üzerine veya resen yapılan inceleme sonucunda, bu Kanun hükümlerinin ihlal edildiğinin anlaşılması halinde Kurul, tespit ettiği hukuka aykırılıkların ilgili veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ edecek. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilecek.

Şikayet üzerine veya resen yapılan inceleme sonucunda, kanuna aykırı uygulamanın yaygın olduğunun tespit edilmesi halinde Kurul, bu konuda ilke kararı alacak ve bu kararı yayımlayacak.

Kurul, telafisi güç veya imkansız zararların doğması ihtimali ve açıkça hukuka aykırılık halinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilecek.

İlgililer, Kurulca verilen kararlara karşı idare mahkemelerinde dava açabilecekler.