Kişisel Verilerin İşlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemeyi amaçlayan ‘Kişisel Verilerin Korunması Kanunu Resmi Gazete’de yayımlanarak yürürlüğe girdi.

07 Nisan 2016 tarihli Resmi Gazete’de yayımlanarak yasalaşan Kişisel Verilerin Korunması Kanunu ile kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemeyecek. Kanun ile hayata geçen düzenlemelerden bazıları şöyle:

• Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri "özel nitelikli kişisel veri" kabul edilecek. Özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasak olacak. 

• Özel nitelikli kişisel verilerin işlenmesinde Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması şart olacak.

• Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamayacak, ancak yeterli önlemler alınmak kaydıyla belirtilen şartlardan birinin bulunması halinde açık rıza aranmadan aktarılabilecek.

• Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacak. Kişisel veriler ancak; kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin bulunması şartıyla yurt dışına aktarılabilecek.

• Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilecek.

• Herkes, kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenebilecek, kişisel verileri işlenmişse buna ilişkin bilgi talep edebilecek, kişisel verilerin aktarıldığı üçüncü kişileri bilebilecek, kişisel verilerin eksik veya yanlış işlenmesi halinde bunların düzeltilmesini isteyebilecek, kişisel verilerin silinmesini veya yok edilmesini isteyebilecek, kişisel verilerin ilgili kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep edebilecek.
  
  Kişisel Verilerin Korunması Kanununa ulaşmak için tıklayınız.

Kaynak :trthaber.com

Ülkemizde kişisel verilerin korunmasına ilişkin alanı bütüncül olarak düzenleyen çerçeve bir kanun bulunmamakta iken, bu konuya ilişkin hükümler farklı kanunlarda yer almakta idi.

5982 sayılı Kanun ile Anayasa’nın 20 nci maddesinde yapılan düzenlemeyle kişisel verilerin korunması temel bir insan hakkı olarak anayasal güvence altına alınmış ve detayların kanun ile düzenlenmesi öngörülmüştür.

“Kişisel Verilerin Korunması Kanunu”, 07 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girdi. 

Aşağıdaki makale, Kişisel Verilerin Korunmasına Dair Kanun Tasarısı’nın henüz yasalaşmadığı tarihte yazılmıştır. 

1-Kişisel veriler ve özel nitelikli kişisel veriler nelerdir?

Kişisel veri, belirli ya da belirlenebilir nitelikteki bir kişiye ilişkin her türlü bilgiyi ifade etmektedir. Anayasa Mahkemesi’nin kişisel veri kavramını tanımladığı kararında, kişisel verinin “belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri” ifade ettiği belirtilmiştir (Anayasa Mahkemesi 19.01.2012, E:2010/40, K: 2012/8, 6.3.3013 tarih ve 28579 sayılı RG).

Kişisel veri, bir kişinin yalnızca özel yaşamı hakkında değil, ekonomik ve mesleki bilgileri dahil onun bütün bilgilerini içermektedir. Bireyin verileri, özünde, bireyin kimliğini ortaya çıkaran, bir kişiyi belirli kılan ve onu karakterize eden verilerdir. Örneğin adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e.posta adresi gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır.

Özel nitelikli (hassas) kişisel veri ise kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini,mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verilerdir.

Avrupa Birliği tarafından çıkarılan 95/46/EC sayılı Bireylerin Kişisel Verilerinin İşlenmesi ve Serbestçe Dolaşımı Karşısında Korunmasına İlişkin Direktif, Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair 108 sayılı Avrupa Konseyi Sözleşmesinde, OECD tarafından 1980 yılında yayınlanan Rehber İlkelerinde, 24 Temmuz 2012 tarihli ve 28363 sayılı Resmi Gazete’de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunması Hakkında Yönetmeliğin 3 üncü maddesinde; kişisel veri; “belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin bütün bilgiler” şeklinde tanımlanmıştır.

Cumhurbaşkanlığı Devlet Denetleme Kurulu tarafından hazırlanan 27.11.2013 tarih ve 2013/3 sayılı “Kişisel verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile Bilgi Güvenliği ve Kişisel Verilerin Korunması Kapsamında Gerçekleştirilen Denetim Çalışmaları”nda;  “Adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, cihaz kimlikleri, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır.” tespiti yapılmıştır.

95/46/EC sayılı Direktif olmak üzere, kişisel verilerin korunmasına ilişkin AB mevzuatı ile uyumu sağlayan, 7/5/2010 tarih ve 5982 sayılı Türkiye Cumhuriyeti Anayasasının Bazı Maddelerinde Değişiklik Yapılması Hakkında Kanunun 2 nci maddesiyle Türkiye Cumhuriyeti Anayasasının 20 nci maddesine; Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü eklenmiştir.
1982 Anayasası’nın 2 nci maddesinde ifade bulan hukuk devleti ilkesi gereğince,  Anayasa üstündür ve hükümleri tüm taraflar için bağlayıcıdır. Anayasanın üstünlüğü, mevzuat hükümlerinin Anayasaya aykırı olamayacağı, bağlayıcılığı ise gerçek ve tüzel kişilerin tüm işlem ve eylemlerinde Anayasa ile bağlı oldukları anlamına gelmektedir. Kişisel verilerin kanunla veya kişinin açık rızasıyla işlenebileceğine dair Anayasa hükmü, normlar hiyerarşisinde en üst sıradadır. Bir normun, kendinden üst sıradaki norma aykırılık oluşturmaması gerekmektedir.

2- Kişisel Verilerin Korunmasını Düzenlenen Diğer Mevzuat Hükümleri

Türk Hukukunda kişisel verilerin korunmasına ilişkin özel bir kanun bulunmamasına rağmen, kişisel verilerin korunmasına ilişkin pek çok kanun hükmü bulunmaktadır.

213 sayılı Vergi Usul Kanunu, Elektronik İmza Kanunu, Nüfus Hizmetleri Kanunu Basın Kanunu, Türkiye Radyo Televizyon Kanunu, Bankacılık Kanunu, Noterlik Kanunu, İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun; kişisel verilerin korunmasına ilişkin özel hükümleri barındırmaktadır.  Kişisel Verilerin Korunması Hakkında Kanun Tasarısı (“Tasarı”) henüz yasalaşmamış olsa da; Tasarının 4 ve 6 ncı maddelerinde sırasıyla; kişisel verilen kanunla ve ancak ilgili kişilerin açık rızasıyla işlenmesi öngörülmektedir.

Bilgi Edinme Hakkı Kanunu’nun “Özel Hayatın Gizliliği” başlıklı 21 nci maddesinde; “Kişinin izin verdiği hâller saklı kalmak üzere, özel hayatın gizliliği kapsamında, açıklanması hâlinde kişinin sağlık bilgileri ile özel ve aile hayatına, şeref ve haysiyetine, meslekî ve ekonomik değerlerine haksız müdahale oluşturacak bilgi veya belgeler, bilgi edinme hakkı kapsamı dışındadır. Kamu yararının gerektirdiği hâllerde, kişisel bilgi veya belgeler, kurum ve kuruluşlar tarafından, ilgili kişiye en az yedi gün önceden haber verilerek yazılı rızası alınmak koşuluyla açıklanabilir.” hükmü yer almaktadır. Hükme göre, kişisel bir bilginin kamu yararı açısından paylaşılabilmesi için kişinin yazılı ve açık izni olmadan kişisel bilgi ve belgelerin paylaşılabilmesi mümkün değildir.

5237 sayılı Türk Ceza Kanunun “Verileri hukuka aykırı olarak verme veya ele geçirme” başlıklı 136 ncı maddesinde; “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.”  hükmü yer almaktadır. Türk Ceza Kanununun bu maddesi ile hukuka uygun olarak kaydedilmiş olsun veya olmasın hukuka aykırı olarak kişisel verileri başkasına yaymak bağımsız bir suç olarak tanımlandığından, kişisel veriyi yayan kişi söz konusu suçu işlemiş olacaktır. Aynı kanunun devamı maddesinde ise, suçun kamu görevlisi tarafından yayılmasını yaptırıma bağlayan nitelikli hali düzenlenmiştir.

Bağımsız İdari Otorite olan Bilgi Teknolojileri ve İletişim Kurumu’na veren 5.11.2008 tarih ve 5809 sayılı Elektronik Haberleşme Kanunu’nun 51 inci maddesinin iptaline ilişkin Anayasa Mahkemesinin 2013/122 E., 2014/74 K. 9.8.2014 tarihli kararına da (RG Tarihi: 26.7.2014- RG sayısı:29072) değinmenin faydalı olacağını değerlendirmekteyiz. 5809 sayılı Elektronik Haberleşme Kanunu’nun (“Kanun”) 51 inci maddesinde; Bilgi Teknolojileri ve İletişim Kurumu elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik ve usul ve esasları belirlemeye yetkili kılınmıştır. Anayasa Mahkemesi yaptığı incelemede, kişisel veri kavramının belirli veya kimliği belirlenebilir olmak şartıyla bir kişiye ilişkin bütün bilgileri ifade etmekte olduğunu, bu bağlamda ad, soyad, doğum tarihi ve yeri gibi bireyin yalnızca kimliğini ortaya koyan bilgiler değil; telefon numarası, … e-posta adresi… gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan verilerin kişisel veri kapsamında olduğunu belirterek, Anayasa’nın 20 inci maddesinde; “kişisel verilerin korunmasına ilişkin usul ve esasların kanunla” düzenleneceği hükmüne aykırılık nedeniyle söz konusu Kanun’un 51 inci maddesini iptal etmiştir.

27.03.2015 tarih ve 6639 sayılı Kanun’un 32 nci maddesi ile 5809 sayılı Elektronik Haberleşme Kanunu’nun “Kişisel verilerin işlenmesi ve gizliliğin korunması” başlıklı yeniden düzenlenen 51 inci maddesinde;
“(3) Elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışında abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili abonelerin/kullanıcıların verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir.”

Hükmüne yer verilmiştir.

5/11/2014 tarihli ve 29166 sayılı Resmi Gazete’de yayımlanan Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (“Kanun”) 1 Mayıs 2015’te yürürlüğe girmiştir. Kanun; ticari iletişimi, hizmet sağlayıcı ve aracı hizmet sağlayıcıların sorumluluklarını, elektronik iletişim araçlarıyla yapılan sözleşmeler ile elektronik ticarete ilişkin bilgi verme yükümlülüklerini ve uygulanacak yaptırımları kapsamaktadır. Kanun, elektronik iletişim araçlarıyla bir sözleşme yapılmadan önce,  bilgi verme yükümlülüğünü, ticari elektronik iletilerin alıcılara ancak önceden onayları alınmak kaydıyla gönderilmesi kuralını, ticari elektronik iletilerin içeriklerini, alıcıların diledikleri zaman ticari iletiyi reddetme hakkını, hizmet sağlayıcı ve aracı hizmet sağlayıcılarının bu kanun çerçevesinde yapmış oldukları işler nedeniyle elde etmiş oldukları kişisel verilerin saklanmasından ve güvenliğinden, üçüncü kişilere onay alınmaksızın devrinden sorumluluğunu düzenlemektedir. Kanun’un “Kişisel verilerin korunması” başlıklı 10 uncu maddesinde:  (1) Hizmet sağlayıcı ve aracı hizmet sağlayıcı:a) Bu Kanun çerçevesinde yapmış olduğu işlemler nedeniyle elde ettiği kişisel verilerin saklanmasından ve güvenliğinden sorumludur.b) Kişisel verileri ilgili kişinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz.

hükmü yer almaktadır.

13 Temmuz 2009 tarih ve 2009/72/EC sayılı Elektrik Direktifinde, (Commercially Sensitive Information), dağıtım sistem operatörüne, faaliyetlerin yürütümü sırasında sahip olduğu ticari açıdan hassas bilgilerin korunması yükümlülüğü getirilmektedir (Article 27- Confidentiality Obligation of Distribution System Operator).

3- Veri işleme şartları nelerdir? Açık rıza alınması gerekmeyen istisnalar nelerdir?

Kişisel verilerin işlenmesi, bu verilerin tamamen veya kısmen, otomatik olan veya olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

Kişisel verilerin işlenmesine dair ilkeler, hukuka ve dürüstlük kuralına uygun olma, doğru ve gerektiğinde güncel olma, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmedir.

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Tasarıda açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmıştır.

Kural, kişisel verilerin işlenmesinde “açık rıza” nın bulunması olmakla birlikte tasarıda gerek kişisel veriler gerekse özel nitelikteki kişisel veriler için ilgilinin açık rızası olmaksızın verilerin işlenebileceği haller belirtilmiştir. Örneğin;

• Kanunlarda açıkça öngörülmesi, (2559 sayılı Polis Vazife ve Salahiyet Kanunu’nun 5 inci maddesi gereğince şüphelilerin parmak izlerinin alınması),

• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması (Kişinin şuurunun yerinde olmadığı durumlarda tıbbi müdahale yapılması),

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması (Dağıtım sistemine bağlantı başvurularında tapu kaydının dağıtım şirketince edinilmesi, bankayla kredi sözleşmesi yapılması sırasında maaş bordrosunun edinilmesi)

• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması (Bir şirketin çalışanına maaş ödeyebilmesi için banka hesap numarası, evli olup olmadığı, sosyal sigorta numarası gibi verileri işlemesi) gibi.

4-Kişisel Verilerin Yurtdışına Aktarılması

Kişisel verilerin yurtdışına aktarılmasında da açık rıza aranır. Ancak kişisel verilerin aktarılacağı ülkede yeterli korumanın olması veya yeterli korumanın olmaması durumunda Türkiye ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”)  izninin bulunması şartıyla açık rıza olmaksızın yurtdışına aktarılabilir.

5- Grup Şirketleri Arasında Veri Paylaşımı ve Aktarımı
Tasarı metninden grup şirketleri arasında kişisel verilerin paylaşımı ve aktarımında da esas olanın ilgili kişinin açık rızasının alınması gerektiği, açık rızanın ancak belirlenen istisnai hallerde aranmayacağı anlaşılmaktadır.

TÜSİAD taslak hakkındaki 19.01.2015 tarihli görüşünde grup şirketleri arasındaki veri transferlerinde verileri işlenen kişinin açık rızasının arandığı durumda şirket bünyesindeki iç iletişimin zarar görmesine ve kişisel verinin yararlı bir biçimde işlenememesi sonucuna yol açabileceğini belirterek kanun tasarısının “amaç” başlıklı 1 inci maddesine “verilerin serbest dolaşımının engellenmemesi” amacının eklenmesi hususunu belirtmiştir. TBMM’ye sevk edilen tasarıda konu ile ilgili bir düzenleme olmamıştır.

Bununla birlikte Veri Sorumluları Sicili’ne başvuru sırasında bildirilecek hususlar arasında “kişisel verilerin aktarılabileceği alıcı veya alıcı grupları” yer aldığından veri paylaşımı veya aktarımı yapılacak şirketler sicile bildirilmelidir.

6- Veri sorumlusu kimdir? Yükümlülükleri nelerdir?
Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Veri sorumlusunun ilgili kişilere, kişisel verilerin elde edilmesi, hangi amaçla işleneceği, kimlere hangi amaçla aktarılabileceği, silinmesi veya yok edilmesi ile ilgili aydınlatma ve bilgi verme yükümlülüğü vardır. Ayrıca veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazası ile ilgili gerekli teknik ve idari tedbirleri almakla yükümlüdür. İşlenen verilerin hukuka aykırı olarak başka kişiler tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirmek zorundadır.

Veri sorumlusunun yükümlülükleri görevinden ayrılmasından sonra da devam eder.

Veri sorumlusu kendi kurum veya kuruluşunda, kişisel verilerin korunması amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

7-İlgili kişilerin (kişisel verisi işlenen kişi) hakları nelerdir?

İlgili kişinin, kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenmek, bunlara ilişkin bilgileri talep etmek, amacına uygun kullanılıp kullanılmadığını sorgulamak, kişisel verilerin aktarıldığı kişileri bilmek, yanlışların düzeltilmesini talep etmek, kişisel verilerin hukuka aykırı işlenmesi nedeniyle zarara uğraması halinde zararının giderilmesini talep etmek hakkı vardır.

İlgili kişiler kanunun uygulanmasına yönelik taleplerini veri sorumlusuna iletebilecektir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresi içerisinde (30 gün) cevap verilmemesi halinde Kurula şikayette bulunulabilir.

8-Veri Sorumluları Sicili’ne kayıt ve yapılması gereken bildirimler
Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Kurulun gözetiminde kamuya açık olarak tutulan Veri Sorumluları Sicili’ne kaydolmak zorundadır.

Kayıt başvurusu sırasında, veri sorumlusunun kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grubu/grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, verilerin aktarılabileceği alıcı veya alıcı grupları, kişisel veri güvenliğine ilişkin alınan tedbirler, yabancı ülkelere aktarımı öngörülen kişisel veriler, kişisel verilerin işlendikleri amaç için gerekli azami süre ile ilgili bildirim yükümlülüğü vardır.

9-Kişisel Verileri Koruma Kurumu
Kişisel Verilerin Korunmasına Dair Kanun ile verilen görevleri yerine getirmek üzere idari, mali özerkliğe sahip, kamu tüzel kişiliğini haiz olan ve Başbakanlıkla ilişkili Kişisel Verileri Koruma Kurumu kurulması amaçlanmaktadır.

Kurul ise, kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesi sağlamak, ihlal başvurularını değerlendirmek, inceleme yapmak, görüş bildirmek, idari yaptırım kararı almak ile görevli ve yetkilidir.

10- Kişisel Verilerin Korunması kapsamında öngörülen idari ve cezai yaptırımlar nelerdir?
Kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’nun 135 ve devamı maddelerinde öngörülen hükümler uygulanır.

Bununla birlikte, Kurul aydınlatma ve veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyenler, Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüğüne aykırı hareket edenler, Kurul tarafından verilen kararları yerine getirmeyenler hakkında idari para cezası uygulama yetkisini haizdir. Tasarıda ciddi para cezaları öngörülmüştür. Örneğin; veri sorumlusunun veri güvenliğine ilişkin hükümleri yerine getirmemesi durumunda 15.000 TL ‘den 1.000.000 TL’ye kadar idari para cezası verilebilecektir.

İdari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. İdari yaptırım kararlarına karşı idare mahkemelerinde dava açılabilir.

Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda kendiliğinden görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve geçici önlemleri almakta görevli ve yetkilidir.

Sonuç olarak, gerek kamu gerekse özel sektör kuruluşları kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden sorumludur. Bu nedenle; kişisel verilerin işlenmesine ilişkin olarak etkin bir güvenlik politikasının belirlenmesi gerekmektedir. Teknolojik önlemlerin yanısıra bilgi güvenliği kültürünün oluşturulması, ilgililerin bu konudaki bilinç ve bilgi seviyesinin artırılması, farkındalığın oluşturulması, idari düzenleme ve örgütlenme yapılarının bilgi güvenliği unsuru da dikkate alınarak şekillendirilmesi önem arz etmektedir.