Kişisel Verilerin Korunması Tasarısı (1)
Başta özel hayatın gizliliği olmak üzere, kişilerin temel hak ve özgürlüklerini koruyan tasarıya göre, kişisel veriler ve özel nitelikli kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, özel nitelikli kişisel veri sayılacak İşlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler silinecek, yok edilecek veya anonim hale getirilecek Kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü kişilere veya yurt dışına aktarılamayacak.
Kişisel Verilerin Korunması Kanunu Tasarısı, TBMM Başkanlığı'na sunuldu.
Tasarı, kişisel verilerin işlenmesinde, başta özel hayatıngizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleriyle uyacakları usul ve esasları düzenliyor.
Tasarıyla, bazı terimlerin tanımları yapılıyor.
'Kişisel veri', kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi; 'kurul', Kişisel Verileri Koruma Kurulunu, 'kurum' ise Kişisel Verileri Koruma Kurumunu ifade edecek.
Kişisel veriler, ancak bu tasarıda ve diğer ilgili kanunlarda öngörülen usulve esaslara uygun olarak işlenebilecek.
Kişisel verilerin işlenmesinde; 'hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme' ilkelerine uyulması zorunlu olacak.
Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek.
İlgili kişinin açık rızasıaranmaksızın, şu şartlardan en az birinin varlığı halinde, kişisel verilerinin işlenmesi mümkün olacak:
- Kanunlarda açıkça öngörülmesi
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
- İlgili kişinin kendisi tarafından alenileştirilmiş olması
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileriözel nitelikli kişisel veri sayılacak.
Özel nitelikli kişisel veriler, Kişisel Verileri Koruma Kurulunca belirlenen yeterli önlemler alınmaksızın hiçbir şekilde işlenemeyecek. Özel nitelikli kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek.
İlgili kişinin açık rızası aranmaksızın, şu şartlardan en az birinin varlığı halinde, özel nitelikli kişisel verilerinin işlenmesi mümkün olacak:
- Kanunlarda açıkça öngörülmesi
- Siyasi parti, vakıf, derek veya sendika gibi kar amacı gütmeyen kuruluş ya da oluşumların tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik verileri işlemesi
- İlgili kişinin kendisi tarafından alenileştirilmiş olması
- Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması
- Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakımhizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi.
- Veri sorumlusu tarafından silinecek
İlgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinecek, yok edilecek veya anonim hale getirilecek.
Kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü kişilere aktarılamayacak. Kişisel veriler ancak belirtilen şartlardan birinin bulunması halinde ilgili kişinin açık rızası aranmaksızınüçüncü kişilere aktarılabilecek.
Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacak. Kişisel veriler, ancak; kişisel verinin aktarılacağı yabancıülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin bulunması şartıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilecek. Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilecek.
Kişisel verilerin elde edilmesi sırasında, veri sorumlusu veya yetkilendirdiği kişi ilgili kişilere; veri sorumlusunun ve temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği kişisel veri toplamanın yöntemi ve hukuki sebebi konusunda bilgi vermekle yükümlü olacak.
- Herkes kendisiyle ilgili veri işlenip işlenmediğini öğrenebilecek
Tasarıyla, kişisel verileri işlenen kişinin hakları düzenleniyor.
Buna göre, herkes veri sorumlusuna başvurarak kendisiyle ilgili; kişisel veri işlenip işlenmediğini öğrenebilecek, kişisel verileri işlenmişse buna ilişkin bilgi talep edebilecek, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenebilecek, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilebilecek, kişisel verilerin eksik veya yanlış işlenmesi halinde bunların düzeltilmesini isteyebilecek, kişisel verilerin silinmesini veya yokedilmesini isteyebilecek, kişisel verilerin ilgili kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep edebilecek.
Tasarıyla, veri sorumlusunun veri güvenliğinin sağlanmasına ilişkin yükümlülükleri düzenleniyor.
Buna göre, veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, bu verilerin muhafazasını sağlamak amacıyla, uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alacak.
- Kişisel verileri başkasına açıklayamayacak
Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu düzenlemedeki hükümlere aykırı olarak başkasına açıklayamayacak, kendi şahsi çıkarları için kullanamayacak. Bu yükümlülük, görevden ayrılmalarından sonra da devam edecek. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirecek.
Tasarıyla, veri sorumlusuna başvuru yolu düzenleniyor
Buna göre, ilgili kişi taleplerini veri sorumlusuna iletecek. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandıracak. Ancak işlemin ayrıca bir maliyeti gerektirmesi halinde Kurulca belirlenen tarifedeki ücret alınabilecek. Veri sorumlusu talebi kabul edecek veya gerekçesini açıklayarak reddedecek ve cevabını ilgili kişiye bildirecek.
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kurula şikayette bulunabilecek.
Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklı olacak. Veri sorumlusunun hukuki statüsüne göre ilgililer adli ya da idari yargıda dava açabilecek.
(Sürecek)
Kaynak: AA
Tasarı, kişisel verilerin işlenmesinde, başta özel hayatıngizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleriyle uyacakları usul ve esasları düzenliyor.
Tasarıyla, bazı terimlerin tanımları yapılıyor.
'Kişisel veri', kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi; 'kurul', Kişisel Verileri Koruma Kurulunu, 'kurum' ise Kişisel Verileri Koruma Kurumunu ifade edecek.
Kişisel veriler, ancak bu tasarıda ve diğer ilgili kanunlarda öngörülen usulve esaslara uygun olarak işlenebilecek.
Kişisel verilerin işlenmesinde; 'hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme' ilkelerine uyulması zorunlu olacak.
Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek.
İlgili kişinin açık rızasıaranmaksızın, şu şartlardan en az birinin varlığı halinde, kişisel verilerinin işlenmesi mümkün olacak:
- Kanunlarda açıkça öngörülmesi
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
- İlgili kişinin kendisi tarafından alenileştirilmiş olması
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileriözel nitelikli kişisel veri sayılacak.
Özel nitelikli kişisel veriler, Kişisel Verileri Koruma Kurulunca belirlenen yeterli önlemler alınmaksızın hiçbir şekilde işlenemeyecek. Özel nitelikli kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek.
İlgili kişinin açık rızası aranmaksızın, şu şartlardan en az birinin varlığı halinde, özel nitelikli kişisel verilerinin işlenmesi mümkün olacak:
- Kanunlarda açıkça öngörülmesi
- Siyasi parti, vakıf, derek veya sendika gibi kar amacı gütmeyen kuruluş ya da oluşumların tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik verileri işlemesi
- İlgili kişinin kendisi tarafından alenileştirilmiş olması
- Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması
- Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakımhizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi.
- Veri sorumlusu tarafından silinecek
İlgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinecek, yok edilecek veya anonim hale getirilecek.
Kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü kişilere aktarılamayacak. Kişisel veriler ancak belirtilen şartlardan birinin bulunması halinde ilgili kişinin açık rızası aranmaksızınüçüncü kişilere aktarılabilecek.
Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacak. Kişisel veriler, ancak; kişisel verinin aktarılacağı yabancıülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin bulunması şartıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilecek. Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilecek.
Kişisel verilerin elde edilmesi sırasında, veri sorumlusu veya yetkilendirdiği kişi ilgili kişilere; veri sorumlusunun ve temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği kişisel veri toplamanın yöntemi ve hukuki sebebi konusunda bilgi vermekle yükümlü olacak.
- Herkes kendisiyle ilgili veri işlenip işlenmediğini öğrenebilecek
Tasarıyla, kişisel verileri işlenen kişinin hakları düzenleniyor.
Buna göre, herkes veri sorumlusuna başvurarak kendisiyle ilgili; kişisel veri işlenip işlenmediğini öğrenebilecek, kişisel verileri işlenmişse buna ilişkin bilgi talep edebilecek, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenebilecek, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilebilecek, kişisel verilerin eksik veya yanlış işlenmesi halinde bunların düzeltilmesini isteyebilecek, kişisel verilerin silinmesini veya yokedilmesini isteyebilecek, kişisel verilerin ilgili kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep edebilecek.
Tasarıyla, veri sorumlusunun veri güvenliğinin sağlanmasına ilişkin yükümlülükleri düzenleniyor.
Buna göre, veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, bu verilerin muhafazasını sağlamak amacıyla, uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alacak.
- Kişisel verileri başkasına açıklayamayacak
Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu düzenlemedeki hükümlere aykırı olarak başkasına açıklayamayacak, kendi şahsi çıkarları için kullanamayacak. Bu yükümlülük, görevden ayrılmalarından sonra da devam edecek. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirecek.
Tasarıyla, veri sorumlusuna başvuru yolu düzenleniyor
Buna göre, ilgili kişi taleplerini veri sorumlusuna iletecek. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandıracak. Ancak işlemin ayrıca bir maliyeti gerektirmesi halinde Kurulca belirlenen tarifedeki ücret alınabilecek. Veri sorumlusu talebi kabul edecek veya gerekçesini açıklayarak reddedecek ve cevabını ilgili kişiye bildirecek.
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kurula şikayette bulunabilecek.
Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklı olacak. Veri sorumlusunun hukuki statüsüne göre ilgililer adli ya da idari yargıda dava açabilecek.
(Sürecek)