Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Bu Kanunun uygulanmasında;
a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza,
b) Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi,
c) İlgili kişi: Kişisel verisi işlenen gerçek kişi,
ç) İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler,
d) İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi,
e) Kanun: Kişisel Verilerin Korunması Kanunu,
f) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi,
g) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem,
ğ) Kurul: Kişisel Verileri Koruma Kurulu,
h) Kurum: Kişisel Verileri Koruma Kurumu,
ı) Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,
i) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi,
j) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi,
k) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi,
anlaşılır.
Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Diğer özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.
Bu maddeye ilişkin usul ve esaslar yönetmelikle düzenlenir.
Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin aktarılması mümkündür. Yeterli önlemlerin alınması kaydıyla, bu hüküm özel nitelikli kişisel veriler bakımından da uygulanır.
Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
Ancak, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın kişisel veriler yurt dışına aktarılabilir.
Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
Yeterli korumanın bulunmaması durumunda, Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla veriler yurt dışına aktarılabilir.
Veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde edilmesi sırasında ilgili kişilere;
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) 11 inci maddede sayılan diğer hakları,
konusunda bilgi vermekle yükümlüdür.
Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) d ve e bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme,
haklarına sahiptir.
Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.
Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve her halde en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hali nde, Kurulca belirlenen tarifedeki ücret alınabilir.
Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi halinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması halinde alınan ücret ilgiliye iade edilir.
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde Kurula şikayette bulunabilir.
13 üncü madde uyarınca başvuru yolu tüketilmeden şikayet yoluna başvurulamaz. Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.
Kurul, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.
Şikayete ilişkin inceleme neticesinde Kurul, bir ihlalin varlığını tespit ederse, hukuka aykırılığın veri sorumlusu tarafından giderilmesine karar verir ve kararın tebliğinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilmesini ister.
Kurul, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.
Bu Kanunda öngörülen idari para cezaları, veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
Veri Sorumluları Sicili, Kurulun gözetiminde Başkanlık tarafından tutulur. Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kaydolmak zorundadır.
Kurul, veri sorumlusunun niteliği, sayısı, işlenen verinin özel nitelikli olması, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi kriterleri göz önünde bulundurarak, Sicile kayıt yükümlülüğüne istisnalar getirebilir.
Sicile kayıt başvurusunda;
a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
b) Kişisel verilerin hangi amaçla işleneceği,
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,
e) Kişisel veri güvenliğine ilişkin alınan tedbirler,
f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre,
yer alır.
Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.
Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hale getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.
Bu Kanunun;
10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,
idari para cezası verilir.
Bu maddede öngörülen idari para cezaları, veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
Bu Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliği haiz, kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuştur. Kurum, Cumhurbaşkanınca görevlendirilen bir Bakan ile ilişkilendirilir.
Kurum, Ankara'da merkez teşkilatı ile faaliyet gösterir. Kurumun karar organı Kuruldur. Kurumun ana hizmet birimleri ile danışma ve yardımcı hizmet birimleri yönetmelikle düzenlenir.
Kurumun görevleri şunlardır:
a) Kişisel verilerin, insan haklarına uygun olarak işlenmesini sağlamak amacıyla görev yapmak.
b) Veri sorumlularının sicile kayıt ve bildirim yükümlülüklerini yerine getirmelerini sağlamak.
c) Kişisel verilere ilişkin yapılan başvuruları incelemek.
ç) Görev alanıyla ilgili konularda idari düzenlemeler yapmak.
d) İşbirliği içinde bulunmak.
Kurul, dokuz üyeden oluşur. Beş üyesi TBMM Genel Kurulu, iki üyesi Cumhurbaşkanı, iki üyesi ise Bakanlar Kurulu tarafından seçilir. Üyelerin dört yıllık görev süresi vardır; süresi bitenler yeniden seçilebilir.
Kurul üyeleri, görevlerinin devamı süresince kurum ve kuruluşlarda, kamuya yararlı dernekler dışında, ücretli bir işte çalışamaz, ticaretle uğraşamaz.
Kurulun görev ve yetkileri şunlardır:
a) Kişisel verilerin ilgili mevzuata uygun olarak işlenmesini sağlamak amacıyla düzenlemeler yapmak.
b) Şikayetleri incelemek ve sonuçlandırmak.
c) İhlalin yaygın olduğu sektör veya alanlarda gerekli düzenleme kararlarını almak.
ç) İdari para cezalarına karar vermek.
d) Veri sorumlularının sicile kayıt ve bildirim yükümlülüklerine uymalarını denetlemek.
e) Kişisel verilerin yurt dışına aktarılmasında yeterli korumanın bulunduğu ülkeleri belirlemek.
f) Kanunlarda öngörülen diğer görevleri yapmak.
Kurul, başkanın çağrısı üzerine üye tam sayısının en az üçte ikisi ile toplanır ve üye tam sayısının salt çoğunluğu ile karar alır.
Kurul toplantıları gizlidir, gerektiğinde ilgili kişiler çağrılarak dinlenebilir. Kurul kararları yazılı olarak gerekçelendirilir.
Başkan, Kurulun başkanı olup Kurumun en üst yöneticisidir. Kurumun genel yönetim ve temsilinden sorumludur.
Başkan, Kurul kararlarının yerine getirilmesini sağlamak, bunların uygulanmasını takip etmek ve denetlemek ile Kurulun uygun göreceği diğer görevleri yapmakla yükümlüdür.
Başkanlık, Başkan ile daire başkanlıkları ve diğer bağlı birimlerden oluşur.
Başkanlık bünyesinde; Veri Yönetimi Dairesi Başkanlığı, Hukuk İşleri Dairesi Başkanlığı, Strateji Geliştirme Dairesi Başkanlığı, Kurumsal Hizmetler Dairesi Başkanlığı ve İnsan Kaynakları Dairesi Başkanlığı bulunur.
Kurumda, Kişisel Verileri Koruma Uzmanı ve Kişisel Verileri Koruma Uzman Yardımcısı istihdam edilir.
Uzman yardımcılığına atanabilmek için, en az dört yıllık lisans eğitimi veren hukuk, siyasal bilgiler, iktisadi ve idari bilimler, iktisat, işletme, mühendislik veya iletişim fakültelerinden ya da bunlara denkliği Yükseköğretim Kurulunca kabul edilen yurt içi veya yurt dışındaki yükseköğretim kurumlarından mezun olmak ve yapılacak yarışma sınavında başarılı olmak gerekir.
Kurum personeli 657 sayılı Devlet Memurları Kanununa tabidir. Kurumda 657 sayılı Kanun ve diğer kanunların sözleşmeli personel çalıştırılmasına dair hükümlerine bağlı olmaksızın sözleşmeli personel çalıştırılabilir.
Kurul üyeleri ile Kurum personeli, görevleriyle ilgili olarak öğrendikleri kişisel veriler ve ticari sırları, bu Kanun hükümlerine uygun olarak paylaşabilirler. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
Bu Kanun hükümleri aşağıdaki hallerde uygulanmaz:
a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
b) Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
c) Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
ç) Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Bu Kanunun aydınlatma yükümlülüğü ile zararın giderilmesini talep hakkı hariç, ilgili kişinin haklarına ilişkin hükümleri aşağıdaki hallerde uygulanmaz:
a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c) Kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca yürütülen denetim veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
Kurumun gelirleri şunlardır:
a) Genel bütçeden yapılacak hazine yardımları.
b) Veri Sorumluları Siciline kayıt ve bildirim dolayısıyla alınacak ücretler.
c) Bağış ve yardımlar.
ç) Diğer gelirler.
Bu Kanunla çeşitli kanunlarda değişiklik ve eklemeler yapılmıştır.
Bu web sitesi, deneyiminizi geliştirmek için çerezler kullanmaktadır. Çerez Politikası