Kişisel Veri Koruma Hukuku

Transkript

1

2 Kişisel Veri Koruma Hukuku Mevzuat & İçtihat Dr. Mehmet Bedii KAYA Furkan Güven TAŞTAN

3 YAYIN NO: 854 Kişisel Veri Koruma Hukuku - Mevzuat & İçtihat Dr. Mehmet Bedii KAYA - Furkan Güven TAŞTAN ISBN BASKI - İSTANBUL, OCAK 2018 ON İKİ LEVHA YAYINCILIK A. Ş. Adres Prof. Nurettin Mazhar Öktel Sok. No: 6A Şişli / İSTANBUL Telefon (212) Faks (212) Web E-Posta [email protected] facebook.com/onikilevha twitter.com/onikilevha Baskı/Cilt Berdan Matbaa - Sadık Daşdöğen Davutpaşa Cad. Güven İş Merkezi C. Blok No: 215/216 Topkapı / İstanbul Tel: (212) Sertifika No: 12491

4 Dr. Mehmet Bedii KAYA Furkan Güven TAŞTAN Kişisel Veri Koruma Hukuku Mevzuat & İçtihat KANUNLAR KANUN HÜKMÜNDE KARARNAMELER YÖNETMELİKLER AVRUPA KONSEYİ ve AVRUPA BİRLİĞİ DÜZENLEMELERİ ULUSLARARASI DİĞER DÜZENLEMELER SEÇİLMİŞ İÇTİHATLAR 1. Baskı Çevrimiçi Sürüm: 1.2 İSTANBUL 2018

5 BİLGİLENDİRME Bu çalışma, Dr. Mehmet Bedii KAYA 1 ve Furkan Güven TAŞTAN 2 tarafından Kişisel Veri Koruma Hukuku alanındaki mevzuat ve içtihatlara pratik şekilde erişmek amacıyla hazırlanmıştır. Her türlü görüş, yorum ve önerileriniz için [email protected] ve [email protected] Çalışmanın güncel sürümünü indirmek için: GÜNCELLEME GEÇMİŞİ Sürüm 1.2 / 2018 Ocak (1. Baskı): Türk hukukuna ilişkin kişisel verilerin korunmasını ilgilendiren yeni mevzuat metinleri ve içtihatları eklenmiştir. Sürüm 1.1 / 2017 Şubat: Kullanım kolaylığı sağlamak adına tasarım yenilenerek güncellenen mevzuat metinleri yeniden sıralanmıştır. Sürüm 1.0 / 2016 Ekim: Kişisel verilerin korunmasına dair ulusal ve uluslararası temel kaynaklar eklenmiştir. 1 Ankara Yıldırım Beyazıt Üniversitesi Hukuk Fakültesi Öğretim Üyesi İstanbul Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Enstitüsü Öğretim Görevlisi 2 Ankara Yıldırım Beyazıt Üniversitesi Hukuk Fakültesi Medeni Hukuk ABD Araştırma Görevlisi

6 İÇİNDEKİLER İÇİNDEKİLER... v TÜRK HUKUKUNDAKİ TEMEL DÜZENLEMELER ANAYASASI (İLGİLİ HÜKÜMLER) SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU SAYILI KANUN UN GEREKÇESİ ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK KİŞİSEL VERİLERİ KORUMA KURULU ÇALIŞMA USUL VE ESASLARINA DAİR YÖNETMELİK VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK v

7 TÜRK HUKUKUNDAKİ DİĞER DÜZENLEMELER SAYILI KİMLİK BİLDİRME KANUNU SAYILI POLİS VAZİFE VE SELÂHİYET KANUNU (İLGİLİ HÜKÜMLER) SAYILI TÜRK SİVİL HAVACILIK KANUNU (İLGİLİ HÜKÜMLER) SAYILI TÜRK MEDENİ KANUNU (İLGİLİ HÜKÜMLER) SAYILI İŞ KANUNU (İLGİLİ HÜKÜMLER) SAYILI BİLGİ EDİNME HAKKI KANUNU (İLGİLİ HÜKÜMLER) SAYILI ELEKTRONİK İMZA KANUNU (İLGİLİ HÜKÜMLER) SAYILI TÜRK CEZA KANUNU (İLGİLİ HÜKÜMLER) SAYILI AİLE HEKİMLİĞİ KANUNU (İLGİLİ HÜKÜMLER) SAYILI CEZA MUHAKEMESİ KANUNU (İLGİLİ HÜKÜMLER) SAYILI BANKACILIK KANUNU (İLGİLİ HÜKÜMLER) SAYILI TÜRKİYE İSTATİSTİK KANUNU (İLGİLİ HÜKÜMLER) SAYILI NÜFUZ HİZMETLERİ KANUNU (İLGİLİ HÜKÜMLER) SAYILI SOSYAL GÜVENLİK KURUMU KANUNU (İLGİLİ HÜKÜMLER) SAYILI SUÇ GELİRLERİNİN AKLANMASININ ÖNLENMESİ HAKKINDA KANUN (İLGİLİ HÜKÜMLER) SAYILI İNTERNET ORTAMINDA YAPILAN YAYINLARIN DÜZENLENMESİ VE BU YAYINLAR YOLUYLA İŞLENEN SUÇLARLA MÜCADELE EDİLMESİ HAKKINDA KANUN (İLGİLİ HÜKÜMLER) SAYILI MİLLETLERARASI ÖZEL HUKUK VE USUL HUKUKU HAKKINDA KANUN (İLGİLİ HÜKÜMLER) vi

8 5809 SAYILI ELEKTRONİK HABERLEŞME KANUNU (İLGİLİ HÜKÜMLER) SAYILI TÜRK BORÇLAR KANUNU (İLGİLİ HÜKÜMLER) SAYILI TÜRK TİCARET KANUNU (İLGİLİ HÜKÜMLER) SAYILI SAĞLIK BAKANLIĞI VE BAĞLI KURULUŞLARININ TEŞKİLAT VE GÖREVLERİ HAKKINDA KANUN HÜKMÜNDE KARARNAME (İLGİLİ HÜKÜMLER) SAYILI KAMU DENETÇİLİĞİ KURUMU KANUNU (İLGİLİ HÜKÜMLER) SAYILI ELEKTRONİK TİCARETİN DÜZENLENMESİ HAKKINDA KANUN (İLGİLİ HÜKÜMLER) KİMLİK BİLDİRME KANUNUNUN UYGULANMASI İLE İLGİLİ YÖNETMELİK ÖZEL HASTANELER TÜZÜĞÜ (İLGİLİ HÜKÜMLER) HASTA HAKLARI YÖNETMELİĞİ (İLGİLİ HÜKÜMLER) ELEKTRONİK HABERLEŞME SEKTÖRÜNDE TÜKETİCİ HAKLARI YÖNETMELİĞİ (İLGİLİ HÜKÜMLER) ECZACILAR VE ECZANELER HAKKINDA YÖNETMELİK (İLGİLİ HÜKÜMLER) TİCARİ İLETİŞİM VE TİCARİ ELEKTRONİK İLETİLER HAKKINDA YÖNETMELİK (İLGİLİ HÜKÜMLER) ÖZEL İSTİHDAM BÜROLARI YÖNETMELİĞİ (İLGİLİ HÜKÜMLER) AVRUPA KONSEYİ DÜZENLEMELERİ NO LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ vii

9 181 NO LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ NE EK DENETLEYİCİ MAKAMLAR VE SINIRAŞAN VERİ AKIŞINA İLİŞKİN PROTOKOL İNSAN HAKLARI AVRUPA SÖZLEŞMESİ (İLGİLİ HÜKÜMLER) AVRUPA BİRLİĞİ DÜZENLEMELERİ /46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ AVRUPA BİRLİĞİ TEMEL HAKLAR ŞARTI (İLGİLİ HÜKÜMLER) /58 SAYILI ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE ÖZEL HAYATIN GİZLİLİĞİNİN KORUNMASINA İLİŞKİN DİREKTİF /24 SAYILI KAMUYA AÇIK HABERLEŞME HİZMETLERİ VEYA KAMU HABERLEŞME ŞEBEKESİ İLE BAĞLANTILI OLARAK ÜRETİLEN VEYA İŞLENEN VERİLERİN SAKLANMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİF /228 AVRUPA TOPLULUKLARI KOMİSYONU BİLDİRİSİ AVRUPA BİRLİĞİ NİN İŞLEYİŞİ HAKKINDA ANLAŞMA (İLGİLİ HÜKÜMLER) /679 AVRUPA BİRLİĞİ GENEL VERİ KORUMA TÜZÜĞÜ ULUSLARARASI DİĞER DÜZENLEMELER İNSAN HAKLARI EVRENSEL BEYANNAMESİ (İLGİLİ HÜKÜMLER) MEDENİ VE SİYASAL HAKLAR SÖZLEŞMESİ (İLGİLİ HÜKÜMLER) viii

10 OECD NİN ÖZEL YAŞAMIN KORUNMASI VE KİŞİSEL VERİLERİN SINIRÖTESİ AKIŞINA İLİŞKİN REHBER İLKELERİ BM NİN BİLGİSAYARLA İŞLENEN KİŞİSEL VERİ DOSYALARINA İLİŞKİN REHBER İLKELERİ ALMAN FEDERAL VERİ KORUMA KANUNU İSVİÇRE FEDERAL VERİ KORUMA KANUNU İÇTİHATLAR KİŞİSEL VERİ KAVRAMINDAN HANGİ BİLGİLERİN ANLAŞILMASI GEREKTİĞİNE İLİŞKİN YARGITAY KARARI BİYOMETRİK YÖNTEMLERLE KİMLİK DOĞRULAMASI YAPILMASINI ÖNGÖREN KANUN HÜKMÜNÜN ANAYASA AYKIRILIĞINA İLİŞKİN ANAYASA MAHKEMESİ KARARI UNUTULMA HAKKINA İLİŞKİN YARGITAY HUKUK GENEL KURUL KARARI CEZA MEVZUATINDA KİŞİSEL VERİLERLE İLGİLİ BİR TANIM VE SINIRLANDIRMA YAPILMAMASININ SUÇTA VE CEZADA KANUNİLİK İLKESİNİ İHLAL ETMEDİĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI İŞYERİ ÖZLÜK DOSYASININ YENİ İŞVERENE GÖNDERİLMESİNİN MANEVİ TAZMİNAT SEBEBİ OLDUĞUNA İLİŞKİN YARGITAY KARARI DİNAMİK IP ADRESİNİN KİŞİSEL VERİ OLDUĞUNA İLİŞKİN ABAD KARARI İCRA DOSYASINA TARAF OLMAYAN 3. KİŞİLERE AİT KİŞİSEL NİTELİĞİNİ HAİZ TAPU KAYDI ve SATIŞ SÖZLEŞMELERİNİN İCRA MÜDÜRLÜĞÜNCE ix

11 CELBİNİN İSTENEMEYECEĞİNE İLİŞKİN BÖLGE ADLİYE MAHKEMESİ KARARI SOSYAL MEDYA SİTESİNDE MAĞDURLARIN RIZALARINA AYKIRI ŞEKİLDE FOTOĞRAF PAYLAŞILMASININ VERİLERİ HUKUKA AYKIRI OLARAK VERME VEYA ELE GEÇİRME SUÇU OLUŞTURACAĞINA İLİŞKİN YARGITAY KARARI KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ ve MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİĞİN YÜRÜTMESİNİN DURDURULMASI HAKKINDA DANIŞTAY KARARI x

12 TÜRK HUKUKUNDAKİ TEMEL DÜZENLEMELER

13

14 1982 ANAYASASI (İLGİLİ HÜKÜMLER) tarihli Mükerrer sayılı Resmi Gazete de yayımlanmıştır. MADDE 17 Kişinin dokunulmazlığı, maddi ve manevi varlığı (1) Herkes, yaşama, maddi ve manevi varlığını koruma ve geliştirme hakkına sahiptir. ( ) MADDE 20- Özel hayatın gizliliği (1) Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz. (Üçüncü cümle mülga: 3/10/ /5 md.) (2) (Değişik: 3/10/ /5 md.) Millî güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve genel ahlâkın korunması veya başkalarının hak ve özgürlüklerinin korunması sebeplerinden biri veya birkaçına bağlı olarak, usulüne göre verilmiş hâkim kararı olmadıkça; yine bu sebeplere bağlı olarak gecikmesinde sakınca bulunan hallerde de kanunla yetkili kılınmış merciin yazılı emri bulunmadıkça; kimsenin üstü, özel kâğıtları ve eşyası aranamaz ve bunlara el konulamaz. Yetkili merciin kararı yirmidört saat içinde görevli hâkimin onayına sunulur. Hâkim, kararını el koymadan itibaren kırksekiz saat içinde açıklar; aksi halde, el koyma kendiliğinden kalkar. (3) (Ek fıkra: 7/5/ /2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir. 13

15 1982 ANAYASASI (İLGİLİ HÜKÜMLER) /2. Madde Gerekçesi: Anayasada kişisel verilerin korunmasõna yšnelik dolaylõ hÿkÿmler bulunmakla birlikte yeterli değildir. Mukayeseli hukukta ve tarafõ olduğumuz uluslararasõ belgelerde de kişisel verilerin korunmasõ šnemle vurgulanmaktadõr. Maddeyle, herkesin, kendisiyle ilgili kişisel verilerin korunmasõnõ isteme hakkõ, anayasal bir hak olarak teminat altõna alõnmaktadõr. Bu bağlamda, bireylerin kendilerini ilgilendiren kişisel veriler Ÿzerinde hangi hak ve yetkilere sahip olduğu ve kişisel verilerin hangi hallerde işlenebileceği hÿkme bağlanõrken, kişisel verilerin korunmasõna ilişkin esas ve usullerin kanunla dÿzenleneceği šngšrÿlmektedir. MADDE 22 Haberleşme hürriyeti (1) (Değişik: 3/10/ /7 md.) Herkes, haberleşme hürriyetine sahiptir. Haberleşmenin gizliliği esastır. ( ) 14

16 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU tarihli sayılı Resmi Gazete de yayımlanmıştır. BİRİNCİ BÖLÜM - Amaç, Kapsam ve Tanımlar MADDE 1- Amaç (1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. MADDE 2- Kapsam (1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. MADDE 3- Tanımlar (1) Bu Kanunun uygulanmasında; a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini, c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını, ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi, d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, 15

17 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, f) Kurul: Kişisel Verileri Koruma Kurulunu, g) Kurum: Kişisel Verileri Koruma Kurumunu, ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder. İKİNCİ BÖLÜM - Kişisel Verilerin İşlenmesi MADDE 4- Genel ilkeler (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. 16

18 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme. MADDE 5- Kişisel verilerin işlenme şartları (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. MADDE 6- Özel nitelikli kişisel verilerin işlenme şartları (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, 17

19 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. MADDE 7- Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir. MADDE 8- Kişisel verilerin aktarılması (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; 18

20 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır. MADDE 9- Kişisel verilerin yurt dışına aktarılması (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir. (4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine; a) Türkiye nin taraf olduğu uluslararası sözleşmeleri, b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, 19

21 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir. (5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir. (6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır. ÜÇÜNCÜ BÖLÜM - Haklar ve Yükümlülükler MADDE 10- Veri sorumlusunun aydınlatma yükümlülüğü (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür. MADDE 11- İlgili kişinin hakları (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, 20

22 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir. MADDE 12- Veri güvenliğine ilişkin yükümlülükler (1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. 21

23 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. (4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. (5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir. DÖRDÜNCÜ BÖLÜM - Başvuru, Şikâyet ve Veri Sorumluları Sicili MADDE 13- Veri sorumlusuna başvuru (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir. (2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir. (3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir. 22

24 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU MADDE 14- Kurula şikâyet (1) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. (2) 13 üncü MADDE uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz. (3) Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır. MADDE 15- Şikâyet üzerine veya resen incelemenin usul ve esasları (1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar. (2) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar veya şikâyetler incelemeye alınmaz. (3) Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır. (4) Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır. (5) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir. 23

25 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU (6) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir. (7) Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir. MADDE 16- Veri Sorumluları Sicili (1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur. (2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir. (3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır: a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri. b) Kişisel verilerin hangi amaçla işleneceği. c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar. ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları. d) Yabancı ülkelere aktarımı öngörülen kişisel veriler. e) Kişisel veri güvenliğine ilişkin alınan tedbirler. f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre. 24

26 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU (4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir. (5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir. BEŞİNCİ BÖLÜM - Suçlar ve Kabahatler MADDE 17- Suçlar (1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı MADDE hükümleri uygulanır. (2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır. MADDE 18- Kabahatler (1) Bu Kanunun; a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında Türk lirasından Türk lirasına kadar, b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında Türk lirasından Türk lirasına kadar, c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında Türk lirasından Türk lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında Türk lirasından Türk lirasına kadar, idari para cezası verilir. 25

27 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU (2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. (3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir. ALTINCI BÖLÜM - Kişisel Verileri Koruma Kurumu ve Teşkilat MADDE 19- Kişisel Verileri Koruma Kurumu (1) Bu Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuştur. (2) Kurum Başbakanlıkla ilişkilidir. (3) Kurumun merkezi Ankara dadır. (4) Kurum, Kurul ve Başkanlıktan oluşur. Kurumun karar organı Kuruldur. MADDE 20- Kurumun görevleri (1) Kurumun görevleri şunlardır: a) Görev alanı itibarıyla, uygulamaları ve mevzuattaki gelişmeleri takip etmek, değerlendirme ve önerilerde bulunmak, araştırma ve incelemeler yapmak veya yaptırmak. b) İhtiyaç duyulması hâlinde, görev alanına giren konularda kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek örgütleri veya üniversitelerle iş birliği yapmak. 26

28 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU c) Kişisel verilerle ilgili uluslararası gelişmeleri izlemek ve değerlendirmek, görev alanına giren konularda uluslararası kuruluşlarla iş birliği yapmak, toplantılara katılmak. ç) Yıllık faaliyet raporunu Cumhurbaşkanlığına, Türkiye Büyük Millet Meclisi İnsan Haklarını İnceleme Komisyonuna ve Başbakanlığa sunmak. d) Kanunlarla verilen diğer görevleri yerine getirmek. MADDE 21- Kişisel Verileri Koruma Kurulu (1) Kurul, bu Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirir ve kullanır. Görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişi, Kurula emir ve talimat veremez, tavsiye veya telkinde bulunamaz. (2) Kurul, dokuz üyeden oluşur. Kurulun beş üyesi Türkiye Büyük Millet Meclisi, iki üyesi Cumhurbaşkanı, iki üyesi Bakanlar Kurulu tarafından seçilir. (3) Kurula üye olabilmek için aşağıdaki şartlar aranır: a) Kurumun görev alanındaki konularda bilgi ve deneyim sahibi olmak. b) 14/7/1965 tarihli ve 657 sayılı Devlet Memurları Kanununun 48 inci maddesinin birinci fıkrasının (A) bendinin(1), (4), (5), (6) ve (7) numaralı alt bentlerinde belirtilen nitelikleri taşımak. c) Herhangi bir siyasi parti üyesi olmamak. ç) En az dört yıllık lisans düzeyinde yükseköğrenim görmüş olmak. d) Kamu kurum ve kuruluşlarında, uluslararası kuruluşlarda, sivil toplum kuruluşlarında veya kamu kurumu niteliğindeki meslek kuruluşlarında ya da özel sektörde toplamda en az on yıl çalışmış olmak. (4) Kurul üyeliğine seçileceklerin muvafakatleri aranır. Üye seçiminde, Kurumun görev alanına giren konularda bilgi ve deneyimi bulunanların çoğulcu bir şekilde temsiline özen gösterilir. 27

29 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU (5) Türkiye Büyük Millet Meclisi, Kurula üye seçimini aşağıdaki usulle yapar: a) Seçim için, siyasi parti gruplarının üye sayısı oranında belirlenecek üye sayısının ikişer katı aday gösterilir ve Kurul üyeleri bu adaylar arasından her siyasi parti grubuna düşen üye sayısı esas alınmak suretiyle Türkiye Büyük Millet Meclisi Genel Kurulunca seçilir. Ancak, siyasi parti gruplarında, Türkiye Büyük Millet Meclisinde yapılacak seçimlerde kime oy kullanılacağına dair görüşme yapılamaz ve karar alınamaz. b) Kurul üyelerinin seçimi, adayların belirlenerek ilanından sonra on gün içinde yapılır. Siyasi parti grupları tarafından gösterilen adaylar için ayrı ayrı listeler hâlinde birleşik oy pusulası düzenlenir. Adayların adlarının karşısındaki özel yer işaretlenmek suretiyle oy kullanılır. Siyasi parti gruplarının ikinci fıkraya göre belirlenen kontenjanlarından Kurula seçilecek üyelerin sayısından fazla verilen oylar geçersiz sayılır. c) Karar yeter sayısı olmak şartıyla seçimde en çok oyu alan boş üyelik sayısı kadar aday seçilmiş olur. ç) Üyelerin görev sürelerinin bitiminden iki ay önce; üyeliklerde herhangi bir sebeple boşalma olması hâlinde, boşalma tarihinden veya boşalma tarihinde Türkiye Büyük Millet Meclisi tatilde ise tatilin bitiminden itibaren bir ay içinde aynı usulle seçim yapılır. Bu seçimlerde, boşalan üyeliklerin siyasi parti gruplarına dağılımı, ilk seçimde siyasi parti grupları kontenjanından seçilen üye sayısı ve siyasi parti gruplarının hâlihazırdaki oranı dikkate alınmak suretiyle yapılır. (6) Cumhurbaşkanı veya Bakanlar Kurulu tarafından seçilen üyelerden birinin görev süresinin bitiminden kırk beş gün önce veya herhangi bir sebeple görevin sona ermesi hâlinde durum, on beş gün içinde Kurum tarafından, Cumhurbaşkanlığına veya Bakanlar Kuruluna sunulmak üzere Başbakanlığa bildirilir. Üyelerin görev süresinin dolmasına bir ay kala yeni üye seçimi 28

30 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU yapılır. Bu üyeliklerde, görev süresi dolmadan herhangi bir sebeple boşalma olması hâlinde ise bildirimden itibaren on beş gün içinde seçim yapılır. (7) Kurul, üyeleri arasından Başkan ve İkinci Başkanı seçer. Kurulun Başkanı, Kurumun da başkanıdır. (8) Kurul üyelerinin görev süresi dört yıldır. Süresi biten üye yeniden seçilebilir. Görev süresi dolmadan herhangi bir sebeple görevi sona eren üyenin yerine seçilen kişi, yerine seçildiği üyenin kalan süresini tamamlar. (9) Seçilen üyeler Yargıtay Birinci Başkanlık Kurulu huzurunda Görevimi Anayasaya ve kanunlara uygun olarak, tam bir tarafsızlık, dürüstlük, hakkaniyet ve adalet anlayışı içinde yerine getireceğime, namusum ve şerefim üzerine yemin ederim. şeklinde yemin ederler. Yargıtaya yemin için yapılan başvuru acele işlerden sayılır. (10) Kurul üyeleri özel bir kanuna dayanmadıkça, Kuruldaki resmî görevlerinin yürütülmesi dışında resmî veya özel hiçbir görev alamaz, dernek, vakıf, kooperatif ve benzeri yerlerde yöneticilik yapamaz, ticaretle uğraşamaz, serbest meslek faaliyetinde bulunamaz, hakemlik ve bilirkişilik yapamazlar. Ancak, Kurul üyeleri, asli görevlerini aksatmayacak şekilde bilimsel amaçlı yayın yapabilir, ders ve konferans verebilir ve bunlardan doğacak telif hakları ile ders ve konferans ücretlerini alabilirler. (11) Üyelerin görevleri sebebiyle işledikleri iddia edilen suçlara ilişkin soruşturmalar 2/12/1999 tarihli ve 4483 sayılı Memurlar ve Diğer Kamu Görevlilerinin Yargılanması Hakkında Kanuna göre yapılır ve bunlar hakkında soruşturma izni Başbakan tarafından verilir. (12) Kurul üyeleri hakkında yapılacak disiplin soruşturması ve kovuşturmasında 657 sayılı Kanun hükümleri uygulanır. (13) Kurul üyelerinin süreleri dolmadan herhangi bir nedenle görevlerine son verilemez. Kurul üyelerinin; 29

31 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU a) Seçilmek için gereken şartları taşımadıklarının sonradan anlaşılması, b) Görevleriyle ilgili olarak işledikleri suçlardan dolayı haklarında verilen mahkûmiyet kararının kesinleşmesi, c) Görevlerini yerine getiremeyeceklerinin sağlık kurulu raporuyla kesin olarak tespit edilmesi, ç) Görevlerine izinsiz, mazeretsiz ve kesintisiz olarak on beş gün ya da bir yılda toplam otuz gün süreyle devam etmediklerinin tespit edilmesi, d) Bir ay içinde izinsiz ve mazeretsiz olarak toplam üç, bir yıl içinde toplam on Kurul toplantısına katılmadıklarının tespit edilmesi, hâllerinde Kurul kararıyla üyelikleri sona erer. (14) Kurul üyeliğine seçilenlerin Kurulda görev yaptıkları sürece önceki görevleri ile olan ilişikleri kesilir. Kamu görevlisi iken üyeliğe seçilenler, memuriyete giriş şartlarını kaybetmemeleri kaydıyla, görev sürelerinin sona ermesi veya görevden ayrılma isteğinde bulunmaları ve otuz gün içinde eski kurumlarına başvurmaları durumunda atamaya yetkili makam tarafından bir ay içinde mükteseplerine uygun bir kadroya atanır. Atama gerçekleşinceye kadar, bunların almakta oldukları her türlü ödemelerin Kurum tarafından ödenmesine devam olunur. Bir kamu kurumunda çalışmayanlardan üyeliğe seçilip yukarıda belirtilen şekilde görevi sona erenlere herhangi bir görev veya işe başlayıncaya kadar, almakta oldukları her türlü ödemeler Kurum tarafından ödenmeye devam edilir ve bu şekilde üyeliği sona erenlere Kurum tarafından yapılacak ödeme üç ayı geçemez. Bunların Kurumda geçirdiği süreler, özlük ve diğer hakları açısından önceki kurum veya kuruluşlarında geçirilmiş sayılır. MADDE 22- Kurulun görev ve yetkileri (1) Kurulun görev ve yetkileri şunlardır: 30

32 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak. b) Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak. c) Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda GEÇİCİ önlemler almak. ç) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek. d) Veri Sorumluları Sicilinin tutulmasını sağlamak. e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak. f) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak. g) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak. ğ) Bu Kanunda öngörülen idari yaptırımlara karar vermek. h) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek. ı) Kurumun; stratejik planını karara bağlamak, amaç ve hedeflerini, hizmet kalite standartlarını ve performans kriterlerini belirlemek. i) Kurumun stratejik planı ile amaç ve hedeflerine uygun olarak hazırlanan bütçe teklifini görüşmek ve karara bağlamak. j) Kurumun performansı, mali durumu, yıllık faaliyetleri ve ihtiyaç duyulan konular hakkında hazırlanan rapor taslaklarını onaylamak ve yayımlamak. 31

33 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU k) Taşınmaz alımı, satımı ve kiralanması konularındaki önerileri görüşüp karara bağlamak. l) Kanunlarla verilen diğer görevleri yerine getirmek. MADDE 23- Kurulun çalışma esasları (1) Kurulun toplantı günlerini ve gündemini Başkan belirler. Başkan gereken hâllerde Kurulu olağanüstü toplantıya çağırabilir. (2) Kurul, başkan dâhil en az altı üye ile toplanır ve üye tam sayısının salt çoğunluğuyla karar alır. Kurul üyeleri çekimser oy kullanamaz. (3) Kurul üyeleri; kendilerini, üçüncü dereceye kadar kan ve ikinci dereceye kadar kayın hısımlarını, evlatlıklarını ve aralarındaki evlilik bağı kalkmış olsa bile eşlerini ilgilendiren konularla ilgili toplantı ve oylamaya katılamaz. (4) Kurul üyeleri çalışmaları sırasında ilgililere ve üçüncü kişilere ait öğrendikleri sırları bu konuda kanunen yetkili kılınan mercilerden başkasına açıklayamazlar ve kendi yararlarına kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. (5) Kurulda görüşülen işler tutanağa bağlanır. Kararlar ve varsa karşı oy gerekçeleri karar tarihinden itibaren en geç on beş gün içinde yazılır. Kurul, gerekli gördüğü kararları kamuoyuna duyurur. (6) Aksi kararlaştırılmadıkça, Kurul toplantılarındaki görüşmeler gizlidir. (7) Kurulun çalışma usul ve esasları ile kararların yazımı ve diğer hususlar yönetmelikle düzenlenir. MADDE 24- Başkan (1) Başkan, Kurul ve Kurumun başkanı sıfatıyla Kurumun en üst amiri olup Kurum hizmetlerini mevzuata, Kurumun amaç ve politikalarına, stratejik planına, performans ölçütlerine ve hizmet kalite standartlarına uygun olarak düzenler, yürütür ve hizmet birimleri arasında koordinasyonu sağlar. 32

34 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU (2) Başkan, Kurumun genel yönetim ve temsilinden sorumludur. Bu sorumluluk, Kurum çalışmalarının düzenlenmesi, yürütülmesi, denetlenmesi, değerlendirilmesi ve gerektiğinde kamuoyuna duyurulması görev ve yetkilerini kapsar. (3) Başkanın görevleri şunlardır: a) Kurul toplantılarını idare etmek. b) Kurul kararlarının tebliğini ve Kurulca gerekli görülenlerin kamuoyuna duyurulmasını sağlamak ve uygulanmalarını izlemek. c) Başkan Yardımcısını, daire başkanlarını ve Kurum personelini atamak. ç) Hizmet birimlerinden gelen önerilere son şeklini vererek Kurula sunmak. d) Stratejik planın uygulanmasını sağlamak, hizmet kalite standartları doğrultusunda insan kaynakları ve çalışma politikalarını oluşturmak. e) Belirlenen stratejilere, yıllık amaç ve hedeflere uygun olarak Kurumun yıllık bütçesi ile mali tablolarını hazırlamak. f) Kurul ve hizmet birimlerinin uyumlu, verimli, disiplinli ve düzenli bir biçimde çalışması amacıyla koordinasyonu sağlamak. g) Kurumun diğer kuruluşlarla ilişkilerini yürütmek. ğ) Kurum Başkanı adına imzaya yetkili personelin görev ve yetki alanını belirlemek. h) Kurumun yönetim ve işleyişine ilişkin diğer görevleri yerine getirmek. (4) Kurum Başkanının yokluğunda İkinci Başkan, Başkana vekalet eder. MADDE 25- Başkanlığın oluşumu ve görevleri (1) Başkanlık; Başkan Yardımcısı ve hizmet birimlerinden oluşur. Başkanlık, dördüncü fıkrada sayılan görevleri daire başkanlıkları şeklinde teşkilatlanan hizmet birimleri aracılığıyla yerine getirir. Daire başkanlıklarının sayısı yediyi geçemez. 33

35 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU (2) Başkan tarafından, Kuruma ilişkin görevlerinde yardımcı olmak üzere bir Başkan Yardımcısı atanır. (3) Başkan Yardımcısı ve daire başkanları; en az dört yıllık yükseköğretim kurumu mezunu, on yıl süreyle kamu hizmetinde bulunan kişiler arasından Başkan tarafından atanır. (4) Başkanlığın görevleri şunlardır: a) Veri Sorumluları Sicilini tutmak. b) Kurumun ve Kurulun büro ve sekretarya işlemlerini yürütmek. c) Kurumun taraf olduğu davalar ile icra takiplerinde avukatlar vasıtasıyla Kurumu temsil etmek, davaları takip etmek veya ettirmek, hukuk hizmetlerini yürütmek. ç) Kurul üyeleri ile Kurumda görev yapanların özlük işlemlerini yürütmek. d) Kanunlarla mali hizmet ve strateji geliştirme birimlerine verilen görevleri yapmak. e) Kurumun iş ve işlemlerinin yürütülmesi amacıyla bilişim sisteminin kurulmasını ve kullanılmasını sağlamak. f) Kurulun yıllık faaliyetleri hakkında veya ihtiyaç duyulan konularda rapor taslaklarını hazırlamak ve Kurula sunmak. g) Kurumun stratejik plan taslağını hazırlamak. ğ) Kurumun personel politikasını belirlemek, personelin kariyer ve eğitim planlarını hazırlamak ve uygulamak. h) Personelin atama, nakil, disiplin, performans, terfi, emeklilik ve benzeri işlemlerini yürütmek. ı) Personelin uyacağı etik kuralları belirlemek ve gerekli eğitimi vermek. 34

36 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU i) 10/12/2003 tarihli ve 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu çerçevesinde Kurumun ihtiyacı olan her türlü satın alma, kiralama, bakım, onarım, yapım, arşiv, sağlık, sosyal ve benzeri hizmetleri yürütmek. j) Kuruma ait taşınır ve taşınmazların kayıtlarını tutmak. k) Kurul veya Başkan tarafından verilen diğer görevleri yapmak. (5) Hizmet birimleri ile bu birimlerin çalışma usul ve esasları, bu Kanunda belirtilen faaliyet alanı, görev ve yetkilere uygun olarak Kurumun teklifi üzerine Bakanlar Kurulu kararıyla yürürlüğe konulan yönetmelikle belirlenir. MADDE 26- Kişisel Verileri Koruma Uzmanı ve uzman yardımcıları (1) Kurumda, Kişisel Verileri Koruma Uzmanı ve Kişisel Verileri Koruma Uzman Yardımcısı istihdam edilebilir. Bunlardan 657 sayılı Kanunun ek 41 inci maddesi çerçevesinde Kişisel Verileri Koruma Uzmanı kadrosuna atananlara bir defaya mahsus olmak üzere bir derece yükseltilmesi uygulanır. MADDE 27- Personele ve özlük haklarına ilişkin hükümler (1) Kurum personeli, bu Kanunla düzenlenen hususlar dışında 657 sayılı Kanuna tabidir. (2) Kurul Başkan ve üyeleri ile Kurum personeline 27/6/1989 tarihli ve 375 sayılı Kanun Hükmünde Kararnamenin ek 11 inci maddesi uyarınca belirlenmiş emsali personele mali ve sosyal haklar kapsamında yapılan ödemeler aynı usul ve esaslar çerçevesinde ödenir. Emsali personele yapılan ödemelerden vergi ve diğer yasal kesintilere tabi olmayanlar bu Kanuna göre de vergi ve diğer kesintilere tabi olmaz. (3) Kurul Başkan ve üyeleri ile Kurum personeli 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 4 üncü maddesinin birinci fıkrasının (c) bendi hükümlerine tabidir. Kurul Başkan ve üyeleri ile Kurum personeli emeklilik hakları bakımından da emsali olarak belirlenen personel ile denk kabul edilir sayılı Kanunun 4 üncü 35

37 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU maddesinin birinci fıkrasının (c) bendi kapsamında sigortalı iken Kurul Başkanı ve üyeliklerine atananlardan bu görevleri sona erenler veya bu görevlerinden ayrılma isteğinde bulunanların bu görevlerde geçen hizmet süreleri kazanılmış hak aylık, derece ve kademelerinin tespitinde dikkate alınır. Bunlardan bu görevleri sırasında 5510 sayılı Kanunun GEÇİCİ 4 üncü maddesi kapsamına girenlerin bu görevlerde geçen süreleri makam tazminatı ile temsil tazminatı ödenmesi gereken süre olarak değerlendirilir. Kamu kurum ve kuruluşlarında 5510 sayılı Kanunun 4 üncü maddesinin birinci fıkrasının (a) bendi kapsamında sigortalı iken Kurul Başkanı ve üyeliklerine atananların, önceki kurum ve kuruluşları ile ilişiklerinin kesilmesi kendilerine kıdem tazminatı veya iş sonu tazminatı ödenmesini gerektirmez. Bu durumda olanların kıdem tazminatı veya iş sonu tazminatı ödenmesi gereken hizmet süreleri, Kurul Başkanı ile Kurul üyeliği olarak geçen hizmet süreleri ile birleştirilir ve emeklilik ikramiyesi ödenecek süre olarak değerlendirilir. (4) Merkezi yönetim kapsamındaki kamu idarelerinde, sosyal güvenlik kurumlarında, mahallî idarelerde, mahallî idarelere bağlı idarelerde, mahallî idare birliklerinde, döner sermayeli kuruluşlarda, kanunlarla kurulan fonlarda, kamu tüzel kişiliğini haiz kuruluşlarda, sermayesinin yüzde ellisinden fazlası kamuya ait kuruluşlarda, iktisadi devlet teşekkülleri ve kamu iktisadi kuruluşları ile bunlara bağlı ortaklıklar ve müesseselerde görevli memurlar ile diğer kamu görevlileri kurumlarının muvafakati, hâkimler ve savcılar ise kendilerinin muvafakati ile aylık, ödenek, her türlü zam ve tazminatlar ile diğer mali ve sosyal hak ve yardımları kurumlarınca ödenmek kaydıyla geçici olarak Kurumda görevlendirilebilir. Kurumun bu konudaki talepleri, ilgili kurum ve kuruluşlarca öncelikle sonuçlandırılır. Bu şekilde görevlendirilen personel, kurumlarından aylıklı izinli sayılır. Bu personelin izinli oldukları sürece memuriyetleri ile ilgileri ve özlük hakları devam ettiği gibi, bu süreler yükselme ve emekliliklerinde de hesaba katılır ve 36

38 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU yükselmeleri başkaca bir işleme gerek duyulmadan süresinde yapılır. Bu madde kapsamında görevlendirilenlerin, Kurumda geçirdikleri süreler, kendi kurumlarında geçirilmiş sayılır. Bu şekilde görevlendirilenlerin sayısı Kişisel Verileri Koruma Uzmanı ve Kişisel Verileri Koruma Uzman Yardımcısı toplam kadro sayısının yüzde onunu aşamaz ve görevlendirme süresi iki yılı geçemez. Ancak ihtiyaç hâlinde bu süre bir yıllık dönemler hâlinde uzatılabilir. 3 (5) Kurumda istihdam edilecek personele ilişkin kadro unvan ve sayıları ekli (I) sayılı cetvelde gösterilmiştir. Toplam kadro sayısını geçmemek üzere 13/12/1983 tarihli ve 190 sayılı Genel Kadro ve Usulü Hakkında Kanun Hükmünde Kararnamenin eki cetvellerde yer alan kadro unvanlarıyla sınırlı olmak kaydıyla unvan ve derece değişikliği yapma, yeni unvan ekleme ve boş kadroların iptali Kurul kararıyla yapılır. YEDİNCİ BÖLÜM - Çeşitli Hükümler MADDE 28- İstisnalar (1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz: a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi. b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi. 3 28/11/2017 tarihli ve 7061 sayılı Kanunun 119 uncu maddesiyle bu fıkrada yer alan diğer kamu görevlileri kurumlarının muvafakati ibaresinden sonra gelmek üzere, hâkimler ve savcılar ise kendilerinin muvafakati ibaresi eklenmiştir. 37

39 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi. ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi. d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. (2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz: a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi. c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması. ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması. MADDE 29- Kurumun bütçesi ve gelirleri (1) Kurumun bütçesi, 5018 sayılı Kanunda belirlenen usul ve esaslara göre hazırlanır ve kabul edilir. 38

40 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU (2) Kurumun gelirleri şunlardır: a) Genel bütçeden yapılacak hazine yardımları. b) Kuruma ait taşınır ve taşınmazlardan elde edilen gelirler. c) Alınan bağış ve yardımlar. ç) Gelirlerinin değerlendirilmesinden elde edilen gelirler. d) Diğer gelirler. MADDE 30- Değiştirilen ve eklenen hükümler (1) 5018 sayılı Kanunun eki (III) sayılı Cetvele aşağıdaki sıra eklenmiştir. 10) Kişisel Verileri Koruma Kurumu (2) 5237 sayılı Kanunun 135 inci maddesinin ikinci fıkrasında yer alan Kişilerin ibaresi Kişisel verinin, kişilerin şeklinde; bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır ibaresi olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır şeklinde değiştirilmiştir. (3) 5237 sayılı Kanunun 226 ncı maddesinin üçüncü fıkrasında yer alan çocukları ibaresi çocukları, temsili çocuk görüntülerini veya çocuk gibi görünen kişileri şeklinde değiştirilmiştir. (4) 5237 sayılı Kanunun 243 üncü maddesinin birinci fıkrasında yer alan ve ibaresi veya şeklinde değiştirilmiş ve maddeye aşağıdaki fıkra eklenmiştir. (4) Bir bilişim sisteminin kendi içinde veya bilişim sistemleri arasında gerçekleşen veri nakillerini, sisteme girmeksizin teknik araçlarla hukuka aykırı olarak izleyen kişi, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır. (5) 5237 sayılı Kanuna 245 inci maddeden sonra gelmek üzere aşağıdaki 245/A maddesi eklenmiştir. Yasak cihaz veya programlar 39

41 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU MADDE 245/A-(1) Bir cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun; münhasıran bu Bölümde yer alan suçlar ile bilişim sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçların işlenmesi için yapılması veya oluşturulması durumunda, bunları imal eden, ithal eden, sevk eden, nakleden, depolayan, kabul eden, satan, satışa arz eden, satın alan, başkalarına veren veya bulunduran kişi, bir yıldan üç yıla kadar hapis ve beşbin güne kadar adli para cezası ile cezalandırılır. (6) 7/5/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanununun 3 üncü maddesinin birinci fıkrasının (f) bendi aşağıdaki şekilde değiştirilmiştir. f) Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabilir. (7) 11/10/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 47 nci maddesi aşağıdaki şekilde değiştirilmiştir. MADDE 47-(1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir. (2) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz. 40

42 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU (3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar. (4) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, bu Kanun uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar. (5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür. (6) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir. MADDE 31- Yönetmelik (1) Bu Kanunun uygulanmasına ilişkin yönetmelikler Kurum tarafından yürürlüğe konulur. GEÇİCİ MADDE 1- Geçiş hükümleri (1) Bu Kanunun yayımı tarihinden itibaren altı ay içinde 21 inci maddede öngörülen usule göre Kurul üyeleri seçilir ve Başkanlık teşkilatı oluşturulur. (2) Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır. (3) Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden 41

43 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir. (4) Bu Kanunda öngörülen yönetmelikler bu Kanunun yayımı tarihinden itibaren bir yıl içinde yürürlüğe konulur. (5) Bu Kanunun yayımı tarihinden itibaren bir yıl içinde, kamu kurum ve kuruluşlarında bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Başkanlığa bildirilir. (6) İlk seçilen Başkan, İkinci Başkan ve kura ile belirlenen iki üye altı yıl; diğer beş üye ise dört yıl görev yapar. (7) Kuruma bütçe tahsis edilene kadar; a) Kurumun giderleri Başbakanlık bütçesinden karşılanır. b) Kurumun hizmetlerini yerine getirmesi amacıyla bina, araç, gereç, mefruşat ve donanım gibi gerekli tüm destek hizmetleri Başbakanlıkça sağlanır. (8) Kurumun hizmet birimleri faaliyete geçinceye kadar sekretarya hizmetleri Başbakanlık tarafından yerine getirilir. GEÇİCİ MADDE 2- (Ek:28/11/ /120 md.) (1) En az dört yıllık lisans öğrenimi veren siyasal bilgiler, iktisadi ve idari bilimler, iktisat, hukuk ve işletme fakültelerinden, mühendislik fakültelerinin elektronik, elektrik-elektronik, elektronik ve haberleşme, bilgisayar, bilişim sistemleri mühendisliği bölümlerinden ya da bunlara denkliği Yükseköğretim Kurulu tarafından kabul edilen yurt içi ve yurt dışındaki yükseköğrenim kurumlarından mezun olanlardan; mesleğe özel yarışma sınavı ile girilen ve belirli süreli meslek içi eğitimden ve özel bir yeterlik sınavından sonra 657 sayılı Kanunun 36 ncı maddesinin Ortak Hükümler başlıklı bölümünün (A) fıkrasının (11) numaralı bendinde belirtilen unvanlara ilişkin kurumların 42

44 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU merkez teşkilatlarına ait kadrolara atanmış ve bu kadrolarda aylıksız izin süreleri hariç en az iki yıl bulunmuş olanlar ile öğretim üyesi kadrolarında bulunanlar, Yabancı Dil Bilgisi Seviye Tespit Sınavından en az yetmiş puan almış olmak ve atama tarihi itibarıyla kırk yaşından gün almamış olmak kaydıyla, bu maddenin yürürlüğe girdiği tarihten itibaren bir yıl içinde Kişisel Verileri Koruma Uzmanı olarak atanabilirler. Bu şekilde atanacakların sayısı on beşi geçemez. MADDE 32- Yürürlük (1) Bu Kanunun; a) 8 inci, 9 uncu, 11 inci, 13 üncü, 14 üncü, 15 inci, 16 ncı, 17 nci ve 18 inci maddeleri yayımı tarihinden altı ay sonra, b) Diğer maddeleri ise yayımı tarihinde, yürürlüğe girer. MADDE 33- Yürütme (1) Bu Kanun hükümlerini Bakanlar Kurulu yürütür. (I) SAYILI CETVEL KİŞİSEL VERİLERİ KORUMA KURUMU KADRO LİSTESİ SINIF UNVAN DERECE TOPLAM GİH Başkan Yardımcısı 1 1 GİH Daire Başkanı 1 7 GİH Hukuk Müşaviri 1 1 GİH Hukuk Müşaviri 3 3 AH Avukat 6 4 GİH Kişisel Verileri Koruma Uzmanı 5 10 GİH Kişisel Verileri Koruma Uzmanı 7 20 GİH Kişisel Verileri Koruma Uzman 9 Yardımcısı 60 GİH Mali Hizmetler Uzmanı

45 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU GİH Mali Hizmetler Uzman Yardımcısı 9 2 GİH Memur 5 5 GİH Memur 7 5 GİH Memur 9 5 GİH Memur 11 5 GİH Memur 13 5 GİH Bilgisayar İşletmeni 7 5 GİH Veri Hazırlama ve Kontrol İşletmeni 6 5 GİH Veri Hazırlama ve Kontrol İşletmeni 7 5 GİH Veri Hazırlama ve Kontrol İşletmeni 8 5 GİH Veri Hazırlama ve Kontrol İşletmeni 9 5 GİH Veri Hazırlama ve Kontrol İşletmeni 10 5 GİH Sekreter 5 3 GİH Sekreter 8 7 GİH Santral Memuru 9 1 GİH Şoför 11 4 TH Teknisyen 6 3 YH Teknisyen Yardımcısı 9 2 YH Hizmetli TOPLAM SAYILI KANUNA EK VE DEĞİŞİKLİK GETİREN MEVZUATIN VEYA ANAYASA MAHKEMESİ TARAFINDAN İPTAL EDİLEN HÜKÜMLERİN YÜRÜRLÜĞE GİRİŞ TARİHİNİ GÖSTERİR LİSTE Değiştiren Kanunun/KHK nin/ İptal Eden Anayasa Mahkemesi Kararının Numarası 6698 sayılı Kanunun değişen veya iptal edilen maddeleri Yürürlüğe Giriş Tarihi , GEÇİCİ MADDE 2 5/12/

46 6698 SAYILI KANUN UN GEREKÇESİ tarihli Kişisel Verilerin Korunması Kanunu Tasarısı nın gerekçesidir. EDİTÖR NOTU Tasarı, kanunlaşmadan önce bazı değişikliklere tâbi tutulduğundan işbu başlık altında sunulan gerekçeyle yasalaşan Kanunun lafzı arasında uyumsuzluklar olabilir. GENEL GEREKÇE Kişisel veri, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanabilir. Bu bağlamda kişinin kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına, dini inancına ve siyasi görüşüne ilişkin bilgiler, kişisel veri olarak nitelendirilmektedir. Günümüzde bu veriler, gerek özel sektör ve gerekse kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır. Bu bilgilerin kullanılması bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar veya avantajlar sağlasa da, bu durum söz konusu bilgilerin istismar edilme riskini de beraberinde getirmektedir. Bu verilerin yetkisiz kişiler tarafından elde edilmesi, kullanılması ve ifşa edilmesi gerek taraf olduğumuz sözleşmeler ve gerekse Anayasamızda koruma altına alınan temel hakların ihlali olarak karşımıza çıkmaktadır. Bu iki menfaat arasında makul bir dengenin oluşturulması gerekmektedir. Kişisel verilerin işlenebilmesi hususunda özel bir kanun ve etkin bir denetim mekanizmasının bulunmaması toplumumuzda olumsuz bir algının oluşmasına sebebiyet vermektedir. Oluşan bu algının ortadan kaldırılması için kişisel verilerin belli şartlar dahilinde işlenmesine, muhafaza edilmesine ve kontrolüne ilişkin esasların belirlenmesi gerekmektedir. Çağımızda insan haklarının korunması bilincinin gelişmesine paralel olarak, kişisel verilerin korunmasının da önemi her geçen gün artmaktadır. Bu 45

47 6698 SAYILI KANUN UN GEREKÇESİ nedenle günümüzde gelişmiş ülkelerde kişisel verilerin korunması alanında detaylı kanuni düzenlemelerin uygulanmakta olduğu görülmektedir. Buna karşın ülkemizde, kişisel verilerin korunmasına ilişkin alanı bütüncül olarak düzenleyen bir kanun bulunmamakta, bu konuya ilişkin hükümler farklı kanunlarda yer almaktadır. Ayrıca ülkemizde kişisel verilerin işlenmesi sürecini kontrol edecek ve denetleyecek bir kurum da bulunmamaktadır. Bunun bir sonucu olarak, halen kişisel veriler yeterli düzenleme ve denetime tabi olmaksızın, birçok kişi veya kurum tarafından kullanılabilmekte ve bu durum bazı hak ihlallerinin yaşanmasına sebep olabilmektedir. Ülkemizde kişisel verilerin korunmasını sağlayacak bir kanunun yürürlüğe girmesini gerektiren değişik sebepler bulunmaktadır. Öncelikle, 5237 sayılı Türk Ceza Kanununun 135 ve devamı maddelerinde, kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiilleri suç olarak düzenlenmiş ve yaptırıma bağlanmıştır. Bununla birlikte, kişisel verilerin işlenmesine yönelik özel bir kanunun bulunmaması sebebiyle, bu fillerin ne zaman hukuka aykırı, ne zaman hukuka uygun olduğunun belirlenmesinde tereddütlerin yaşandığı görülmektedir. Öte yandan 12 Eylül 2010 tarihinde yapılan halkoylaması sonucu kabul edilen 5982 sayılı Kanunla Anayasanın 20 nci maddesinde yapılan düzenlemeyle, kişisel verilerin korunması temel bir insan hakkı olarak güvence altına alınmış ve detayların kanunla düzenlenmesi öngörülmüştür. Yine ülkemizle ilgili olarak devam etmekte olan Avrupa Birliği tam üyelik sürecinde, müzakere fasıllarından dördü, doğrudan kişisel verilerle ilgilidir. Bu fasıllarla ilgili sürecin ilerleyebilmesi için ülkemizde kişisel verilerin korunmasına ilişkin temel bir kanunun yürürlüğe girmesi gerekmektedir. Avrupa Birliğinin Türkiye ile ilgili olarak hazırladığı ilerleme raporlarında Türkiye de veri koruma alanındaki kanuni boşluğa işaret edilmektedir. 46

48 6698 SAYILI KANUN UN GEREKÇESİ Ülkemizde kişisel verilerin korunmasına ilişkin kanuni bir düzenleme olmaması sebebiyle, polis birimleri arasında etkin bir işbirliğini hayata geçiren EUROPOL ile ülkemiz güvenlik birimleri arasında operasyonel işbirliği anlaşması yapılamamakta ve elektronik bilgi değişimi gerçekleştirilememektedir. Benzer şekilde, sınır aşan suçlarla ilgili değişik ülkelerin yargı mercilerinin ortak operasyonlar yapabilmesi amacıyla oluşturulan EUROJUST ile çok sayıda sınır aşan suçun işlendiği geçiş güzergahında bulunan ülkemiz arasında bu suçlarla mücadeleye yönelik işbirliği yapılamamaktadır. Sağlık kuruluşlarında hastalara ilişkin çok sayıda özel nitelikli veri tutulmakta olup, bu verilerin tutulmasına ilişkin kanuni dayanağın olmayışı, verilerin güvenliğinin sağlanmasına yönelik yeterli önlemlerin alınmaması ve yetkisiz kişilerce bu nitelikteki bilgilerin ifşa edilmesi, Avrupa İnsan Hakları Mahkemesince özel hayatın gizliliğine müdahale olarak nitelendirilmekte ve ihlal kararları verilebilmektedir. Aynı şekilde, ülkemizde yaşayan yabancılar ile yurtdışında yaşayan Türk vatandaşları bakımından Dışişleri Bakanlığı askerlik, vatandaşlık, kimlik ve malvarlığı gibi konularda veri paylaşımında sorunlar yaşamaktadır. Ayrıca, kişisel verilerin korunması konusunda kanun hazırlanması, ülkemizin Katılım Ortaklığı Belgesine cevap olarak hazırladığı 2003 Ulusal Programında taahhüt ettiği yükümlülüklerdendir. Diğer taraftan, 64. Hükümet 2016 yılı Eylem Planında üç ay içerisinde gerçekleştirilecek reformlar arasında kişisel verilerin korunmasına ilişkin kanuni düzenlemelerin hayata geçirileceği yer almaktadır. Kişisel verilerin korunması konusu ekonomik alanla da yakından ilgilidir. Zira yabancı sermayenin ülkemizde yatırım yapması ve başka ülkelerdeki yatırımları ile ülkemizdeki yatırımlarını etkin bir şekilde yönetebilmesi için ihtiyaç duyduğu veri aktarımı, ülkemizde kanuni düzenleme olmaması 47

49 6698 SAYILI KANUN UN GEREKÇESİ sebebiyle gerçekleştirilememekte ve bu durum yabancı sermayenin ülkemizde yatırım yapması bakımından caydırıcı bir etken olarak değerlendirilmektedir. Yine işadamlarımızın yabancı ülkelerdeki yatırımları ve ortaklıklarıyla ilgili ihtiyaç duydukları veri aktarımında sorunlar yaşanmaktadır. Tüm bu açıklamalar, ülkemizde kişisel verilerin korunmasına ilişkin kanunun bir an önce yürürlüğe girmesini gerekli kılmaktadır. Kişisel verilerin korunması konusu 1980 li yıllardan itibaren uluslararası belgelerde yer almaya başlamıştır. İlk olarak, ülkemizin de üyesi bulunduğu, İktisadi İşbirliği ve Kalkınma Teşkilatı (OECD) tarafından 23/9/1980 tarihinde Kişisel Alanın ve Sınır Aşan Kişisel Bilgi Trafiğinin Korunmasına İlişkin Rehber İlkeler kabul edilmiştir. Avrupa Konseyi tarafından, tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi, 28 Ocak 1981 tarihinde imzaya açılmış ve ülkemiz tarafından da imzalanmıştır. Avrupa Konseyi ayrıca, kişisel verilerin korunmasına yönelik, tıbbi veri bankaları, bilimsel araştırma ve istatistik, doğrudan pazarlama, sosyal güvenlik, sigorta, polis kayıtları, istihdam, elektronik ödeme, telekomünikasyon ve internet gibi çeşitli sektörlerde uygulanacak ilkeleri belirleyen tavsiye kararları da kabul etmiştir. Tasarının hazırlanması sırasında, söz konusu tavsiye kararları gözönüne alınmakla beraber, Tasarının çerçeve tasarı niteliği korunmuştur. Tüm sektörlerle ilgili düzenlemelere yer verilmesi halinde, Tasarının hacminin çok genişleyeceği düşünülerek, söz konusu tavsiye kararları Tasarıya alınmamıştır. Bu tavsiye kararlarında yer alan ilkelere, ilerleyen süreçte, değişik sektörlerle ilgili yapılacak düzenlemelerde yer verilebileceği değerlendirilmiştir. 48

50 6698 SAYILI KANUN UN GEREKÇESİ Öte yandan, Avrupa Birliği, üye ülkelerin kişisel verilerin korunmasına ilişkin mevzuatı arasında uyum sağlamak üzere, 24/10/1995 tarihinde Kişisel Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunması ve Serbest Veri Trafiği Direktifi ni (95/46/EC) yürürlüğe koymuştur. Bu Direktifle, üye ülkelerdeki bireylerin kişisel verilerinin üst düzeyde korunması ve kişisel verilerin Avrupa Birliği içerisinde özgür dolaşımını sağlayacak açık ve kalıcı bir düzenleme yapılması amaçlanmıştır. Kişisel verilerin korunmasına yönelik uluslararası belgeler gözönüne alındığında; bu konuya ilişkin hazırlanacak kanunda, kişisel verilerin işlenme şartlarının, bireylerin aydınlatılmasının, bu alanı denetleyecek ve düzenleyecek bir otoritenin oluşturulmasının, veri güvenliğine ilişkin gerekli tedbirlerin alınmasının temel ilkeler olarak kabul edildiği görülmektedir. Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları gözönüne alınmak suretiyle hazırlanan Tasarıyla, kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır. MADDE GEREKÇELERİ MADDE 1 Maddeyle, Kanunun amacı belirlenmektedir. Amaç, kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır. Son yıllarda önem kazanan kişinin mahremiyet hakkı ile bilgi güvenliği hakkının korunması da bu kapsamda değerlendirilmektedir. Ayrıca, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların da düzenlenmesi Kanunun amaçları arasında yer almaktadır. 49

51 6698 SAYILI KANUN UN GEREKÇESİ MADDE 2 Maddeyle, Kanunun kapsamı belirlenmektedir. Buna göre Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır. Özel sektör ile kamu sektörü bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların her iki sektörde de uygulanması benimsenmektedir. Kişisel verilerin otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesi bakımından da herhangi bir fark öngörülmemektedir. Veri kayıt sistemi, Kanunun 3 üncü maddesinde tanımlandığı üzere kişisel verilere ulaşımı kolaylaştıracak şekilde, belirli bir kritere göre yapılandırılmış kayıt sistemini ifade etmektedir. Bir dosyalama sistemi olarak nitelenebilecek veri kayıt sistemi sadece dijital yahut elektronik ortamda oluşturulması gereken bir sistem değildir. Bu kapsamda, otomatik olmayan yollarla işlenen kişisel veriler bir veri kayıt sisteminin parçası değilse Kanun kapsamında değerlendirilmeyecektir. Ancak, bu hüküm anılan verilerin kişisel veri niteliğini etkilemeyeceğinden, bu tür verilere ilişkin hukuka aykırı eylemler 5237 sayılı Türk Ceza Kanunu uyarınca suç teşkil etmeye devam edecektir. MADDE 3 Maddeyle, Kanunda kullanılan bazı terimlerin tanımları yapılmıştır. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon 50

52 6698 SAYILI KANUN UN GEREKÇESİ numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir. Kişisel verilerin işlenmesi kavramı geniş bir alanı kapsamaktadır. Buna göre kişisel verilerin işlenmesi, verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir. Açık rıza, 95/46 EC sayılı Direktif dikkate alınarak tanımlanmaktadır. Buna göre, açık rıza ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır. Kişisel verilerin anonim hale getirilmesi, verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir. Bu kapsamda, elde kalan veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez. Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Bu sistemler elektronik yahut fiziki ortamda oluşturulabilir. Buna göre, veri kayıt sisteminde kişisel veriler, ad, soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, kredi borcunu ödemeyenlere ilişkin oluşturulacak sınıflandırma da bu kapsamda değerlendirilecektir. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olanlardır. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. 51

53 6698 SAYILI KANUN UN GEREKÇESİ Veri işleyen, veri sorumlusu adına verileri işleyen gerçek ve tüzel kişilerdir. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen çalışanlar olabileceği gibi, veri sorumlusunun hizmet satın almak suretiyle belirlediği ayrı bir gerçek veya tüzel kişi de olabilir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir. MADDE 4 Maddeyle, kişisel verilerin işlenmesine ilişkin genel ilkeler düzenlenmektedir. Buna göre kişisel veriler ancak Kanunda ve diğer Kanunlarda öngörülen usul ve esaslar çerçevesinde işlenebilecektir. Maddenin ikinci fıkrasında kişisel verilerin işlenmesine ilişkin ilkeler sayılmaktadır. Bu ilkeler; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektir. Belirli, açık ve meşru amaçlar için işlenme ilkesi, veri sorumlusunun, veri işleme amacını açık ve kesin olarak belirlemesini ve bu amacın meşru olmasını zorunlu kılmaktadır. Veri sorumluları, belirttikleri bu amaçlar dışında, başka amaçlarla veri işlemeleri halinde, bu fiillerinden dolayı sorumlu olacaklardır. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Örneğin, bir hazır giyim mağazasının, müşterilerinin kimlik ve iletişim bilgilerini işlemesi meşru amaç kapsamındayken, kan gruplarını işlemesi meşru amaç kapsamında değerlendirilemeyecektir. 52

54 6698 SAYILI KANUN UN GEREKÇESİ Kişisel verilerin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ilkesi, işlenen verilerin, belirlenen amaçların gerçekleştirilebilmesine elverişli olmasını, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirmektedir. Yine, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işlenebilmesi için, işlemeye ilk kez başlıyor gibi, 5 inci maddede düzenlenmiş olan kişisel verilerin işlenme şartlarından birinin gerçekleşmesi gerekecektir. Ayrıca işlenen veri, sadece amacın gerçekleştirilmesi için gerekli olanla sınırlı tutulacaktır. Kişisel verilerin, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi zorunludur. Buna göre, veri sorumluları, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uyacak; yoksa verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebilecektir. Bir verinin daha fazla saklanması için geçerli bir sebep olmaması durumunda, o veri silinecek veya anonim hale getirilecektir. Gelecekte kullanma ihtimalinin varlığına dayanarak veri saklanamayacaktır. Veri sorumlusu, Kanunun 16 ncı maddesi uyarınca Sicile kayıt için başvuru yaparken kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi bildirmek zorundadır. MADDE 5 Maddeyle, kişisel verilerin işlenme koşulları düzenlenmektedir. Kural olarak kişisel verilerin ilgili kişinin açık rızası veya maddede sayılan istisnalar dışında işlenmesi yasaktır. 95/46 EC sayılı Avrupa Birliği Direktifine göre rıza, ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır. Maddenin ikinci fıkrasıyla ilgili kişinin açık rızası olmasa dahi bazı hallerde kişisel verilerin işlenebilmesi öngörülmektedir. 53

55 6698 SAYILI KANUN UN GEREKÇESİ Fıkranın (a) bendine göre ilgili kişinin açık rızası olmasa dahi kanunlarda açıkça öngörülen hallerde kişisel veri işlenebilecektir. Örneğin, kolluk tarafından bir suç soruşturması sebebiyle, 2559 sayılı Polis Vazife ve Salahiyet Kanununun 5 inci maddesi uyarınca şüphelilerin parmak izlerinin alınması; 5352 sayılı Adli Sicil Kanunu uyarınca Adalet Bakanlığının kişilerin ceza mahkûmiyetlerine ilişkin verilerini işlemesi gibi. Fıkranın (b) bendine göre, rızanın açıklanamadığı ya da geçerli olmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesi öngörülmektedir. Örneğin kişinin şuurunun yerinde olmadığı veya akıl hastası olması sebebiyle rızasının geçerli olmadığı bir durumda, hayat veya beden bütünlüğünün korunması amacıyla, tıbbi müdahale yapılması sırasında, kişisel verileri işlenebilecektir. Bu bağlamda kan grubu, geçirilen hastalıklar ve ameliyatlar, kullanılan ilaçlar gibi veriler, ilgili sağlık sistemi üzerinden işlenebilecektir. Yine hürriyeti tahdit edilen bir kişinin kurtarılması amacıyla, kendisinin veya şüphelinin taşımakta olduğu telefon, bilgisayar, kredi kartı, banka kartı veya diğer teknik bir araç üzerinden yerinin belirlenmesi için bu veriler işlenebilecektir. Fıkranın (c) bendine göre, bir sözleşmenin kurulması veya ifasıyla ilgili olarak kişisel veri işlenebilecektir. Örneğin, yapılan bir sözleşme gereği paranın ödenmesi için alacaklı tarafın hesap numarası alınabilecektir. Yine bir bankayla kredi sözleşmesi yapılması sırasında bankanın, o kişiye ait maaş bordrosunu, tapu kayıtlarını, icra borcu olmadığına dair belgeyi edinmesi bu kapsamda değerlendirilecektir. Fıkranın (ç) bendine göre, veri sorumlusu, hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan verileri, ilgili kişinin rızası olmasa dahi işleyebilecektir. Örneğin bir şirketin çalışanına maaş ödeyebilmesi için, banka hesap numarası, evli olup olmadığı, bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verileri işlemesi bu bendin verdiği yetkiye istinaden olacaktır. 54

56 6698 SAYILI KANUN UN GEREKÇESİ Fıkranın (d) bendine göre, ilgili kişinin kendisi tarafından alenileştirilen bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Çünkü ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale gelen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir. Fıkranın (e) bendine göre, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması durumunda kişisel veriler işlenebilecektir. Bu bağlamda, bir şirketin kendi çalışanı tarafından açılan bir davada ispat için bazı verileri kullanması veya kısıtlı bir kişinin haklarının korunması amacıyla vasinin veya kayyımın, kısıtlının mali bilgilerini tutması hukuka uygun sayılacaktır. Fıkranın (f) bendine göre, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda da açık rıza şartı aranmaksızın kişisel veriler işlenebilecektir. Buna göre, örneğin bir şirket sahibi, çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere çalışanların kişisel verilerini işleyebilecektir. Burada, işletmenin yeniden yapılandırılması ya da ehliyetli ve liyakatli çalışanların terfi almaları, veri sorumlusu statüsündeki şirket sahibinin meşru menfaati cümlesindendir. Kişisel verilerin korunmasına ilişkin temel ilkelere uyulması ve veri sorumlusu ile ilgili kişinin menfaat dengesinin gözetilmesi gerekmektedir. MADDE 6 Maddeyle, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, biyometrik verisi veya haklarında verilen ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verilerinin, özel nitelikli kişisel veri 55

57 6698 SAYILI KANUN UN GEREKÇESİ olduğu belirtilmektedir. Bu verilerin, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olmaları dikkate alınmakta, bu sebeple bu tür veriler özel nitelikli (hassas) veri olarak kabul edilmektedir. Kurul tarafından belirlenen yeterli önlem alınmaksızın özel nitelikli verilerin işlenememesi öngörülmekte, ayrıca kural olarak bu tür verilerin ilgili kişinin açık rızası olmaksızın da işlenememesi hükme bağlanmaktadır. Maddenin dördüncü fıkrasında tahdidi olarak sayılan şartların varlığı halinde, yeterli önlem alınması şartı baki kalmak kaydıyla ilgili kişinin açık rızası aranmaksızın özel nitelikli kişisel verilerin işlenmesine imkân tanınmaktadır. Dördüncü fıkranın (a) bendine göre, ilgili kişinin rızası olmasa bile, kanunlarda açıkça öngörülen hallerde özel nitelikli kişisel veriler işlenebilecektir. Örneğin, askerlik yapacak kişilerin bazı özel sağlık bilgilerinin ilgili kanun hükümleri uyarınca işlenmesi, yine hastanelerin, eczanelerin ya da Sosyal Güvenlik Kurumunun hastalarla ilgili veri işlemesi bu kapsamda değerlendirilecektir. Fıkranın (b) bendinde, siyasi parti, vakıf, dernek veya sendika gibi kâr amacı gütmeyen kuruluş ya da oluşumlar tarafından, özel nitelikli kişisel verilerden bazılarının işlenebilmesi düzenlenmektedir. Buna göre, bu kuruluş ve oluşumlar, kendi üye ve mensuplarının özel nitelikli verilerini, kuruluş amaçlarına ve tabi oldukları mevzuata uygun, faaliyet alanlarıyla sınırlı ve üçüncü kişilere açıklanmamak kaydıyla işleyebileceklerdir. Örneğin, bir siyasi partinin veya sendikanın üyelerine ilişkin kimlik ve iletişim bilgilerini, fıkrada belirtilen şartlarla tutması, bu bent kapsamında değerlendirilecektir. Bu kuruluşlar, sadece kendi faaliyet alanlarıyla sınırlı olarak özel nitelikli veri işleyebileceklerdir. Örneğin, bir sendika, kendi faaliyet alanına ve amacına ilişkin olarak sadece sendika üyeliğiyle ilgili verileri işleyebilecektir. Buna 56

58 6698 SAYILI KANUN UN GEREKÇESİ karşın üyelerin sağlık veya din ya da mezhebine yönelik kişisel verileri, faaliyet alanıyla ve amacıyla ilgisi olmaması sebebiyle işleyemeyecektir. Fıkranın (c) bendine göre, ilgili kişinin kendisi tarafından kamuoyuna açıklanmış olan özel nitelikli kişisel verileri işlenebilecektir. Zira ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir. Fıkranın (ç) bendinde, özel niteliği olan kişisel verilerin, bir hakkın tesisi, kullanılması veya korunması için işlenmesinin zorunlu olması hali düzenlenmektedir. Örneğin, bir işverenin, engelli çalıştırma zorunluluğu kapsamında, işyerinde, bu statüde çalıştırdığı kişilere ilişkin rapor ve belgeleri işlemesi bu kapsamda değerlendirilecektir. Yine engelli bir kişinin özel tüketim vergisinden muaf özel donanımlı araç almak hakkından yararlanabilmesi için, engelliliğine ilişkin sağlık raporlarının vergi dairesi tarafından edinilmesi ve işlenmesi de bu bent kapsamında değerlendirilecektir. Fıkranın (d) bendiyle, özel nitelikli verilerin; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi düzenlenmektedir. Bu bağlamda, Sağlık Bakanlığı ile her türlü sağlık kuruluşunun ve Sosyal Güvenlik Kurumunun bu bentte yazılı amaçlarla tuttukları veriler ve kayıtlar bu kapsamda değerlendirilecektir. MADDE 7 Maddeyle, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi düzenlenmektedir. Buna göre, hukuka uygun olarak işlenmiş olup da işlenmesini gerektiren sebepler ortadan kalkmışsa, söz konusu veriler resen veya ilgili kişinin talebi üzerine silinecek, yok edilecek veya anonim 57

59 6698 SAYILI KANUN UN GEREKÇESİ hale getirilecektir. Kişisel verilerin silinmesiyle, bu verilerin tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imhası amaçlanmaktadır. Buna göre veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinecektir. Verilerin yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin imha edilmesini ifade etmektedir. Verilerin anonim hale getirilmesiyle, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyleilişkilendirilemeyecek hale getirilmesi kastedilmektedir. Maddenin ikinci fıkrasıyla, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı tutulması öngörülmektedir. Bu kapsamda, örneğin Adli Sicil Kanununda verilerin silinmesini veya yok edilmesini düzenleyen hükümler Kanuna göre öncelikli olarak uygulanacaktır. Maddenin son fıkrasında, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasların yönetmelikte düzenlenmesi hüküm altına alınmaktadır. MADDE 8 Maddeyle kişisel verilerin, üçüncü kişilere aktarılması düzenlenmektedir. Kanunun hem 5 inci maddesinde düzenlenen kişisel veriler hem de 6 ncı maddesinde düzenlenen özel nitelikli (hassas) kişisel veriler MADDE kapsamındadır. Kanunun 9 uncu maddesinde kişisel verilerin yurtdışına aktarılması düzenlendiğinden bu maddede belirtilen üçüncü kişiler yurtiçindeki kişilerdir. Maddenin birinci fıkrasında, kişisel verilerin ilgilinin açık rızası olmaksızın üçüncü kişilere aktarılamayacağına ilişkin ilke hükme bağlanmaktadır. Kanunun 3 üncü maddesinin birinci fıkrasının (d) bendi uyarınca verilerin 58

60 6698 SAYILI KANUN UN GEREKÇESİ aktarılması veya devralınması kişisel verilerin işlenmesi olarak tanımlandığından; verileri alanların, kişisel verilerin işlenmesi için Kanunun 5 inci ve 6 ncı maddelerinde öngörülen şartları yerine getirmeleri ve bu kapsamda özel nitelikle veriler yönünden yeterli önlem almaları da gerekmektedir. Maddenin ikinci fıkrasında verilerin, ilgilinin açık rızası olmaksızın üçüncü kişilere aktarılmasına ilişkin düzenleme yapılmaktadır. Bu düzenleme yapılırken 5 inci maddenin ikinci fıkrası uyarınca ilgili kişinin açık rızası olmaksızın işlenmesine izin veren şartlar aranmakta ve bu şartların birinin varlığı halinde, kişisel verilerin üçüncü kişilere aktarılabilmesine imkân tanınmaktadır. Özel nitelikli kişisel veriler yönünden ise yeterli önlemler alınmak kaydıyla, 6 ncı maddenin (b) bendi hariç olmak üzere dördüncü fıkrasında belirtilen verilerin ilgili kişinin açık rızası olmaksızın işlenmesine izin veren şartlar esas alınmaktadır. Bir başka ifadeyle, 6 ncı maddenin dördüncü fıkrasının (b) bendi hariç olmak üzere ilgili kişinin açık rızası aranmaksızın işlenebilen kişisel verilerin, 6 ncı maddenin ikinci fıkrasında öngörülen yeterli önlemler alınmak kaydıyla ilgili kişinin rızası aranmaksızın üçüncü kişilere aktarılmasına izin verilmektedir. Maddenin üçüncü fıkrasında, kişisel verilerin üçüncü kişilere aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu hüküm altına alınmaktadır. MADDE 9 Maddeyle kişisel verilerin, yurtdışına aktarılması düzenlenmektedir. Kanunun hem 5 inci maddesinde düzenlenen kişisel veriler hem de 6 ncı maddesinde düzenlenen özel nitelikli (hassas) kişisel veriler MADDE kapsamındadır. Maddenin birinci fıkrasında, kişisel verilerin ilgilinin açık rızası olmaksızın yurtdışına aktarılamayacağına ilişkin ilke hükme bağlanmaktadır. 59

61 6698 SAYILI KANUN UN GEREKÇESİ Maddenin ikinci fıkrasında kişisel verilerin, ilgilinin açık rızası olmaksızın yurtdışına aktarılmasına ilişkin düzenleme yapılmaktadır. Bu düzenleme yapılırken 5 inci maddenin ikinci fıkrası kapsamındaki kişisel veriler ile 6 ncı maddenin dördüncü fıkrasının (a), (c), (ç) ve (d) bentlerinde belirtilen özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesine izin veren şartlar esas alınmakta ve bu şartlardan birinin varlığı halinde, kişisel verinin aktarılacağı yabancı ülkede, yeterli korumanın bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurtdışına aktarılmasına imkân tanınmaktadır. Şayet ilgili yabancı ülkede yeterli koruma bulunmuyorsa, Türkiye deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın kişisel verilerin yurtdışına aktarılmasına imkân verilmektedir. Maddenin üçüncü fıkrasına göre yabancı ülkelerde yeterli koruma bulunup bulunmadığı Kurulca belirlenerek ilan edilecektir. Maddenin dördüncü fıkrasıyla, Kurulun, yabancı ülkede yeterli koruma bulunup bulunmadığına karar ve verilerin yurtdışına aktarılmasına izin verirken hangi kriterleri dikkate alacağı düzenlenmektedir. Buna göre Kurul, maddede sayılan hususları değerlendirecek, ihtiyaç duyması halinde ilgili kurum ve kuruluşların da görüşünü almak suretiyle bir karar verecektir. Maddenin beşinci fıkrasında, kişisel verilerin yurtdışına aktarılmasına ilişkin ilgili kanunlarda yer alan hükümlerin saklı olduğu hüküm altına alınmaktadır. Buna göre, örneğin 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanunun, uluslararası bilgi değişimi konusunda Malî Suçları Araştırma Kurulu Başkanına yetki veren 12 nci ve 19 uncu maddeleri öncelikli olarak uygulanacaktır. 60

62 6698 SAYILI KANUN UN GEREKÇESİ MADDE 10 Maddeyle, 95/46/EC sayılı Direktife uygun olarak, veri sorumlusunun aydınlatma yükümlülüğü düzenlenmektedir. Veri sorumlusu veya yetkilendirdiği kişi, aydınlatma yükümlülüğü kapsamında; veri sorumlusunun ve varsa temsilcisinin kimliği, veri işleme amacı, verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile 11 inci maddede sayılan diğer hakları konusunda, ilgili kişiyi bilgilendirecektir. MADDE 11 Maddeyle, kişisel verileri işlenen kişinin hakları düzenlenmektedir. Buna göre, kişi kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgileri talep etme, verilerin işlenme amacı ile bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurtiçinde veya yurtdışında verilerin aktarıldığı üçüncü kişileri bilme, 7 nci maddede öngörülen koşullar çerçevesinde kişisel verilerin silinmesini, yok edilmesini veya verinin muhtevasının eksik ya da gerçeğe aykırı olması hallerinde bunların düzeltilmesini isteme hakkına sahiptir. Yine ilgili kişi, talebi doğrultusunda yapılan düzeltme, silme ve yok etme işlemlerinin, verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde, zararın giderilmesini talep etme hakkına da sahiptir. Maddenin birinci fıkrasının (g) bendinde, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonucun ortaya çıkmasına itiraz hakkı düzenlenmektedir. Örneğin, bir çalışanın performansının, onun tarafından yapılan işlerin, otomatik bir sisteme işlenip analiz edilerek, analiz sonucuna göre değerlendirilmesine, çalışanın itiraz edebilmesi bu kapsamda değerlendirilecektir. 61

63 6698 SAYILI KANUN UN GEREKÇESİ MADDE 12 Maddeyle, veri sorumlusunun, veri güvenliğinin sağlanmasına ilişkin yükümlülükleri düzenlenmektedir. Buna göre, veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek, ayrıca verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlü tutulmaktadır. İkinci fıkrada, veri sorumlusunun, verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi durumunda, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olacağı düzenlenmektedir. Buna göre, veri sorumlusu, örneğin şirketine ilişkin kayıtları bir muhasebe şirketine tutturuyorsa, verilerin işlenmesine ilişkin birinci fıkrada belirtilen tedbirlerin alınması hususunda muhasebe şirketiyle birlikte müştereken sorumlu olacaktır. Üçüncü fıkrada, veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlama ve kişisel verilerin Kanunda öngörülen usul ve esaslara uygun olarak işlenmesi amacıyla gerekli denetimleri yapma veya yaptırma yükümlülüğü düzenlenmektedir. Dördüncü fıkrada, veri sorumluları ile veri işleyenlerin sır saklama yükümlülüğü düzenlenmektedir. Buna göre, veri sorumluları ile veri işleyenler, öğrendikleri kişisel verileri, Kanuna aykırı olarak başkalarına açıklayamayacak veya şahsi çıkarları için kullanamayacaklardır. Bu yükümlülük görevden ayrılmalarından sonra da devam edecektir. Beşinci fıkrada, işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği düzenlenmektedir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan edebilecektir. 62

64 6698 SAYILI KANUN UN GEREKÇESİ MADDE 13 Maddeyle, veri sorumlusuna başvuru yolu düzenlenmektedir. Buna göre, ilgili kişilerin, Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur. İlgili kişilerin, taleplerini veri sorumlusuna yazılı olarak ya da uygulamada oluşacak ihtiyaca göre Kurulun belirleyeceği diğer yöntemlerle iletebilmelerine imkân sağlanmaktadır. Bu talebi alan veri sorumlusunun, ücretsiz olarak veya işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurul tarafından belirlenen tarifeye göre alacağı ücret mukabilinde en kısa sürede ve en geç otuz gün içinde talebi incelemesi; kabul veya gerekçesini açıklayarak reddetmesi, ayrıca cevabını ilgili kişiye bildirmesi öngörülmektedir. Veri sorumlusunun gerçek kişi veya özel hukuk tüzel kişisi olabileceği ve bunların 7201 sayılı Tebligat Kanununa tabi olmamaları dikkate alınarak, veri sorumlusunun cevabını ilgili kişiye bildirmesi hükme bağlanmaktadır. Bu bildirim, bir ispat sorunu olup gerektiğinde yargı mercilerince ele alınacaktır sayılı Kanuna tabi kurum ve kuruluşların bu bildirimleri anılan Kanun hükümleri uyarınca resmi tebligat yoluyla yapacakları da açıktır. Veri sorumlusunun talebi kabul etmesi halinde, gereğini yerine getirmesi; şayet ilgili kişinin, Kanunun uygulanmasıyla ilgili talebine konu hususta veri sorumlusu hatalıysa, alınan ücretin ilgiliye iade edilmesi hükme bağlanmaktadır. MADDE 14 Maddeyle, şikâyet yolu düzenlenmektedir. Buna göre, 13 üncü MADDE uyarınca yapmış olduğu başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. 63

65 6698 SAYILI KANUN UN GEREKÇESİ İkinci fıkrada, 13 üncü maddede öngörülen başvuru müessesesinin, zorunlu bir başvuru yolu olduğu ve bu yol tüketilmeden şikâyet yoluna gidilemeyeceği hükme bağlanmaktadır. Böylece uyuşmazlıkların belirli bir kısmının veri sorumluları tarafından giderilmesi ve bu suretle Kurulun yoğun bir iş yüküyle karşı karşıya kalmasının önlenmesi amaçlanmaktadır. Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, diğer yandan doğrudan adli veya idari yargı yoluna gidebilmesi mümkün olacaktır. Ancak, ilgililerin masrafsız ve daha hızlı sonuç alınması mümkün olan şikâyet yolunu tercih edecekleri değerlendirilmektedir. Üçüncü fıkrada, kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklı tutulmaktadır. Veri sorumlusunun hukuki statüsüne göre ilgililer adli ya da idari yargıda dava açabileceklerdir. MADDE 15 Maddeyle, Kurul tarafından yapılacak incelemenin usul ve esasları düzenlenmektedir. Buna göre, Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi halinde resen, görev alanına giren konularda gerekli incelemeyi yapabilecektir. Bu inceleme şikâyete ya da resen öğrenilen şikâyet konusuna münhasır olacaktır. Kurulun resen genel inceleme yetki ve görevi bulunmamaktadır. Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar ve şikâyetler incelemeye alınmayacaktır. Veri sorumluları, Devlet sırrı niteliğindeki bilgi ve belgeler hariç, talep edilen bilgi ve belgeleri, Kurula onbeş gün içinde göndermek veya gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır. Kurulun, şikâyet üzerine yapacağı inceleme sonunda cevap vermesi öngörülmekte, şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talebin reddedilmiş sayılacağı hükme bağlanmaktadır. Buna göre, 64

66 6698 SAYILI KANUN UN GEREKÇESİ şikâyet tarihinden itibaren altmış günlük sürenin geçmesiyle idari yargıda dava açma süresi başlayacaktır. Kurulun, şikâyet üzerine yapacağı inceleme için altmış günlük süre öngörülmüş ise de resen yapacağı incelemeler yönünden herhangi bir süre öngörülmemektedir. Kurul, şikâyet üzerine veya resen yapılacak inceleme sonucunda, Kanun hükümlerinin ihlal edildiği kanaatine varırsa, tespit ettiği hukuka aykırılıkların ilgili veri sorumlusu tarafından giderilmesine karar verir ve kararı ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilecektir. Yine şikâyet üzerine veya resen yapılan inceleme sonucunda, kanuna aykırı uygulamanın yaygın olduğunun Kurul tarafından tespit edilmesi üzerine ilgili kurum ve kuruluşların görüşü de alınmak suretiyle bu konuda ilke kararı alınır ve bu karar yayımlanır. Ayrıca Kurula, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık şartlarının birlikte gerçekleşmesi halinde, nihai karardan önce veri işlenmesinin veya verinin yurtdışına aktarılmasının durdurulmasına karar verme yetkisi verilmektedir. İlgililerin, Kurulca verilen kararlara karşı idare mahkemelerinde dava açabilmeleri mümkündür. MADDE 16 Maddeyle, veri sorumlularının kaydedileceği Veri Sorumluları Sicili düzenlenmektedir. Buna göre Veri Sorumluları Sicili, Kişisel Verileri Koruma Kurulunun gözetiminde Başkanlık tarafından kamuya açık olarak tutulacaktır. Veri sorumluları veri işlemeye başlamadan önce bu Sicile kaydolacaklardır. Ancak işlenen verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif 65

67 6698 SAYILI KANUN UN GEREKÇESİ kriterler gözönüne alınmak suretiyle, Kurul tarafından, Sicile kayıt zorunluluğuna istisna getirilebilecektir. Maddenin üçüncü fıkrasında Sicile kayıt başvurusunda bildirilmesi gereken hususlar düzenlenmektedir. Bu kapsamda, örneğin veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, veri güvenliğine ilişkin alınan tedbirler, kişisel verilerin işlendikleri amaç için gerekli olan azami süre gibi hususlar Sicile kayıt başvurusunda bildirilmelidir. Ayrıca, üçüncü fıkra uyarınca bildirilmesi gerekli bilgilerde meydana gelen değişiklikler de derhal Başkanlığa bildirilecektir. Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenecektir. MADDE 17 Maddeyle, kişisel verilere ilişkin suçlar ve cezai yaptırımlar 5237 sayılı Türk Ceza Kanununun ilgili hükümlerine atıf yapılmak suretiyle düzenlenmektedir. Kişisel verileri silmeyen veya anonim hale getirmeyenlerin ise Türk Ceza Kanununun 138 inci maddesi hükmü uyarınca cezalandırılmaları öngörülmektedir. MADDE 18 Maddeyle, Kanunda öngörülen yükümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar düzenlenmektedir. Bu kapsamda aydınlatma ve veri güvenliğini sağlama, Kurul kararlarını yerine getirme ve Sicile kayıt ve bildirim yükümlülüklerine aykırı davranılması kabahat olarak öngörülmekte ve idari para cezası yaptırımına bağlanmaktadır. İdari yaptırımlara Kurul tarafından karar verilecektir. Verilen yaptırım kararlarına karşı idari yargı yolu açıktır. Maddede kabahatler karşılığında öngörülen idari para cezalarının alt ve üst sınırları arasındaki makas bilinçli olarak geniş tutulmuştur. Kurul karar verirken kabahatler hususunda genel kanun niteliğinde olan 30/3/

68 6698 SAYILI KANUN UN GEREKÇESİ tarihli ve 5326 sayılı Kabahatler Kanununun 17 nci maddesinin ikinci fıkrasında belirtildiği üzere kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumunu dikkate alacaktır. Bu şekilde düzenleme yapılmak suretiyle, söz konusu kabahatlerin çok farklı ekonomik güce sahip gerçek veya tüzel kişiler hakkında uygulanacak olması nedeniyle yaptırım uygulanmasında hakkaniyeti sağlamak amaçlanmıştır. Buna göre örneğin, küçük bir şehirde faaliyet gösteren bir aile şirketiyle ülke çapında faaliyet gösteren bir holdingin Kanun hükümlerini ihlal etmesi durumunda belirlenecek idari para cezalarının miktarı söz konusu şirketlerin ekonomik durumlarına göre farklı olacaktır. İdari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacaktır. Maddede kabahat olarak düzenlenen eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacaktır. Kanunda kabahatlerle ilgili hüküm bulunmayan hallerde genel kanun niteliğindeki 5326 sayılı Kabahatler Kanunu hükümlerinin uygulanacağı açıktır. MADDE 19 Maddeyle, Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumunun kuruluşu düzenlenmektedir. Avrupa Konseyinin 108 sayılı Sözleşmesi ve Avrupa Birliğinin 95/46/EC sayılı Direktifi, kişisel verilerin işlenmesine ilişkin ilkelerin uygulanmasını izlemek ve yönlendirmek üzere fonksiyonel olarak bağımsız bir şekilde görev yapacak otoritelerin oluşturulmasını öngörmektedir. Avrupa Birliği üyesi tüm ülkelerde veri koruma kurulları görevlerinde bağımsız otoriteler şeklinde yapılandırılmıştır. 67

69 6698 SAYILI KANUN UN GEREKÇESİ Sayılan uluslararası belgeler ve mukayeseli hukuk uygulamaları gözönüne alınmak suretiyle, Kişisel Verileri Koruma Kurumu kurulmuştur. Kurumun Başbakanlıkla ilişkili olduğu hüküm altına alınmaktadır. MADDE 20 Maddeyle, Kurumun görevleri belirlenmektedir. Buna göre Kuruma, görev alanı itibarıyla, başlıca ulusal ve uluslararası düzlemde uygulama ve mevzuattaki gelişmeleri takip ederek araştırma ve inceleme faaliyetlerinde bulunma ve ulusal ve uluslararası kurum ve kuruluşlarla işbirliği yapma ve ihtiyaç duyulan hususlarda önerilerde bulunma görevleri verilmektedir. Ayrıca, Kurum faaliyetleri hakkında hazırlanan yıllık faaliyet raporlarının Cumhurbaşkanlığına, Türkiye Büyük Millet Meclisi İnsan Haklarını İnceleme Komisyonuna ve Başbakanlığa sunulması, Kurumun şeffaflığının ve hesap verebilirliğinin sağlanmasına yardımcı olacaktır. Kurumun etkin ve verimli bir şekilde çalışabilmesi için hizmet alımı yapabilmesi de hüküm altına alınmaktadır. MADDE 21 Maddeyle, Kişisel Verileri Koruma Kurulu düzenlenmekte ve Kurulun, Kurumun karar organı olduğu belirtilmektedir. Avrupa Konseyinin 108 sayılı Sözleşmesi ve Avrupa Birliğinin 95/46/EC sayılı Direktifine uygun şekilde Kurul bağımsız olarak kurgulanmaktadır. Kurulun, Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getireceği ve kullanacağı, görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişinin Kurula emir ve talimat veremeyeceği hüküm altına alınmaktadır. Bu hüküm, Kurumun görevini, bağımsız bir şekilde yerine getirebilmesi bakımından önem arz etmektedir. Ayrıca, Kurulun yedi üyeden oluşması öngörülmekte ve üyelerin nitelikleri, seçimi ve görev süreleri düzenlenmektedir. Üyelerin Cumhurbaşkanınca ve Bakanlar Kurulunca seçilmesi Kurulun demokratik meşruiyetini 68

70 6698 SAYILI KANUN UN GEREKÇESİ güçlendirmektedir. Öte yandan, üyelerin seçiminde, özel sektör ile kamu sektöründe on yıl çalışmış olma, dört yıllık lisans mezunu olma ve Devlet memuru olmaya ilişkin genel şartları taşıma dışında özel başka bir şart aranmayarak üyelerin çok geniş bir alandan seçilmesi imkânı getirilmektedir. Maddede ayrıca, Kurul üyelerinin ilk toplantının başında yemin etmeleri düzenlenmekte ve Kurul Başkanı ile İkinci Başkanın, üyeler arasından Bakanlar Kurulunca seçilmesi hükme bağlanmaktadır. MADDE ile ayrıca, üyelerin görevleri sebebiyle işledikleri suçlar bakımından soruşturma usulü düzenlenmektedir. Buna göre üyeler hakkında görevleri sebebiyle işledikleri suçlar bakımından soruşturma yapılabilmesi Başbakanın iznine bağlanmakta ve Kurul üyelerinin görev süreleri dolmadan herhangi bir şekilde görevlerine son verilemeyeceği öngörülmek suretiyle üyelerin, dolayısıyla Kurulun bağımsızlığı teminat altına alınmaktadır. MADDE 22 Maddeyle Kurulun görev ve yetkileri düzenlenmektedir. Buna göre, kişisel verilerin temel hak ve özgürlükleri koruyacak şekilde işlenmesi, kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerinin karara bağlanması, Veri Sorumluları Sicilinin tutulmasının sağlanması, kişisel verilerin işlenmesi konusunda gerekli düzenleyici işlemlerin yapılması, kişisel verilerin Kanuna uygun olarak işlenip işlenmediğinin incelenmesi, idari yaptırımların uygulanması, stratejik planın ve bütçenin kabul edilmesi gibi görevler Kurulun görevleri arasında sayılmaktadır. Kurul, özel nitelikli kişisel verilerin yeterli önlem alınmaksızın işlenemeyeceğine ilişkin Kanunun 6 ncı maddesinde düzenlenen hüküm uyarınca yeterli önlemin ne olduğunu verinin niteliği ve sektörün özelliğine göre belirleyecektir. Ayrıca, Başkanlık tarafından hazırlanan Kurumun performansı, mali durumu, yıllık faaliyetleri ve diğer özel rapor taslakları Kurul tarafından onaylanacak, Kurumun ihtiyaç duyduğu taşınmazların alım ve satımı ile kiralanması konularındaki önerileri karara bağlayacaktır. 69

71 6698 SAYILI KANUN UN GEREKÇESİ MADDE 23 Maddeyle Kurulun çalışma esasları düzenlenmektedir. Bu kapsamda, Kurulun toplantı ve karar yeter sayısı, Kurul üyelerinin kendilerini ve yakınlarını ilgilendiren konularda yasaklılıkları ve sır saklama yükümlülükleri düzenlenmektedir. Kurulun çalışma usul ve esasları ile kararların yazımı ve diğer hususlar yönetmelikle düzenlenecektir. MADDE 24 Maddeyle Kurum Başkanının görevleri düzenlenmektedir. Kurumun üst yöneticisi ve Kurulun da Başkanı olan Kurum Başkanının, Kurumu yönetmek ve temsil etmek, stratejik planın uygulanmasını sağlamak, Kurumun ve hizmet birimlerinin uyumlu, verimli, disiplinli ve düzenli bir biçimde çalışmasını temin etmek yanında, Kurul toplantılarının gündemini belirleyerek toplantılara başkanlık etmek, Kurul kararlarının gereğinin yerine getirilmesini takip etmek ve Kurumun mali tabloları ile bütçesini hazırlamak başlıca görevleri arasındadır. Ayrıca, Kurum Başkanının yokluğunda Başkana, İkinci Başkanın vekalet edeceği öngörülmektedir. MADDE 25 Maddeyle Kişisel Verileri Koruma Kurumu Başkanlığının oluşumu ve görevleri düzenlenmektedir. Başkanlık, Kurumun ve Kurulun idari ve mali işleri ile sekretarya hizmetlerini yerine getirecektir. Başkanlık; Başkan Yardımcısı ve daire başkanlıkları şeklinde teşkilatlanan hizmet birimlerinden oluşmaktadır. Maddeyle, Başkan Yardımcısı ve Daire Başkanlarının nitelikleri ve atanma usulü ile Başkanlığın görevleri ayrıntıları olarak düzenlenmektedir. Hizmet birimleri ile bu birimlerin çalışma usul ve esasları Bakanlar Kurulu kararı ile yürürlüğe konulan yönetmelikle düzenlenecektir. MADDE 26 Kurum görevlerinin daha etkin bir şekilde yerine getirilebilmesi için, bu görevlerin, konusunda uzmanlaşmış kişiler tarafından yürütülmesi şarttır. Bu 70

72 6698 SAYILI KANUN UN GEREKÇESİ kapsamda Kurumda Kişisel Verileri Koruma Uzmanı ve Kişisel Verileri Koruma Uzman Yardımcısı çalıştırılacaktır. Maddeyle, Kişisel Verileri Koruma Uzman Yardımcısı kadrolarına atanmak için gereken şartlar bakımından 657 sayılı Kanunun ek 41 inci maddesine atıf yapılmaktadır. MADDE 27 Maddeyle, Kurul Başkan ve üyeleri ile Kurum personelinin mali ve sosyal hakları düzenlenmektedir. Bununla birlikte başka kurum ve kuruluşlarda çalışanlardan uzmanlığına ihtiyaç duyulanların Kurumda görevlendirilmesine ilişkin düzenleme hüküm altına alınmaktadır. Maddeyle ayrıca, Kurumda istihdam edilecek personele ilişkin kadro unvan ve sayıları da belirlenmektedir. MADDE 28 EDİTÖR NOTU Kanunlaştırma sürecinde Tasarı da yapılan değişiklikler nedeniyle bu maddenin gerekçesi kaldırılmıştır. MADDE 29 Maddeyle Kurumun bütçesi ve gelirleri düzenlenmektedir. MADDE 30 Maddeyle, Kanun sebebiyle diğer kanunlarda yapılacak değişiklikler ile eklemeler düzenlenmektedir. Bu kapsamda Kişisel Verileri Koruma Kurumu, 5018 sayılı Kanuna ekli (III) sayılı cetvele eklenmektedir. İkinci fıkrayla, 5237 sayılı Türk Ceza Kanununun 135 inci maddesinin ikinci fıkrasında değişiklik yapılmak suretiyle, birinci fıkrada işlenen suçun konusunun özel nitelikli (hassas) veriler olması halinde verilecek cezanın yarı oranında artırılması öngörülmektedir. Ayrıca, elektronik haberleşme ve veri kayıt sistemlerinde meydana gelen gelişmeler doğrultusunda 3359 sayılı Sağlık Hizmetleri Temel Kanununun 3 üncü maddesinin birinci fıkrasının (f) bendinde değişiklik yapılarak kayıt ve 71

73 6698 SAYILI KANUN UN GEREKÇESİ bildirim sisteminin elektronik ortamda da yapılabilmesine imkan sağlanmaktadır. Dördüncü fıkrayla, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 47 maddesi değiştirilmektedir. Yapılan değişiklikle, sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat eden kişilerin verilerinin işlenebilmesi hükme bağlanmakta, işlenen bu verilerin; sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve finansmanı amacıyla Sağlık Bakanlığınca toplanarak işlenebileceği düzenlenmektedir. Sağlık Bakanlığınca toplanan bu verilere, ilgili kişilerin kendileri veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurmaları da ayrıca hüküm altına alınmaktadır. Öte yandan, kişisel sağlık verisi kayıtlarının tutulduğu bu sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Sağlık Bakanlığınca belirlenecek, elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli olan tedbirler Bakanlıkça alınacak ve bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi yine adı geçen Bakanlıkça kurulacaktır. Ayrıca, veri güvenliğini sağlamak amacıyla sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettikleri personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlü olacaktır. Son fıkrada ise kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususların Bakanlıkça çıkarılan yönetmelikle düzenleneceği öngörülmektedir. MADDE 31 Maddeyle, Kanunun uygulanmasına ilişkin yönetmeliklerin, Kurum tarafından yürürlüğe konulması öngörülmektedir. 72

74 6698 SAYILI KANUN UN GEREKÇESİ GEÇİCİ MADDE 1 Maddenin birinci fıkrasıyla, Kanunun yayımı tarihinden itibaren altı ay içinde Kurul üyelerinin seçilmesi ve Başkanlığın kurulması ve teşkilatlanmasının tamamlanması düzenlenmektedir. Maddenin ikinci fıkrasında, veri sorumlularının Kurul tarafından belirlenecek ve ilan edilecek süre içinde Sicile kayıt olmaları öngörülmektedir. Bu düzenlemeyle Kurumun, Sicile yönelik gerekli fiziki ve teknik altyapıyı tamamlaması amaçlanmaktadır. Üçüncü fıkrayla, Kanunun yürürlüğe girdiği tarihten önce işlenmiş olan kişisel verilerin iki yıl içinde Kanunda öngörülen usul ve esaslara uygun hale getirilmesi öngörülmektedir. Kanunda öngörülen usul ve esaslara aykırı olduğu anlaşılan kişisel verilerin ise derhal silinmesi, yok edilmesi veya anonim hale getirilmesi düzenlenmektedir. Dördüncü fıkrayla, Kanunda öngörülen yönetmeliklerin bir yıl içinde yürürlüğe konulması hükme bağlanmaktadır. Beşinci fıkrayla, kamu kurum ve kuruluşlarında Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Başkanlığa bildirilmesi hususu düzenlenmektedir. İlk seçilen Başkan, İkinci Başkan ve kura ile belirlenen bir üyenin altı yıl, diğer dört üyenin ise dört yıl görev yapması öngörülmekte ve böylelikle, Kurum hafızasının devamı için Kurul üyelerinin dönüşümlü olarak görev yapmaları amaçlanmaktadır. Öte yandan, Kişisel Verileri Koruma Kurumuna bütçe tahsis edilene kadar Kurumun giderlerinin Başbakanlık bütçesinden karşılanacağı, hizmetin yerine getirilmesi için gerekli desteğin Başbakanlıkça sağlanacağı ve hizmet birimleri faaliyete geçinceye kadar sekretarya hizmetlerinin Başbakanlık tarafından yürütüleceği hükme bağlanmaktadır. 73

75 6698 SAYILI KANUN UN GEREKÇESİ MADDE 32 Yürürlük maddesidir. MADDE 31 Yürütme maddesidir. 74

76 ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK tarihli sayılı Resmi Gazete de yayımlanmıştır. BİRİNCİ BÖLÜM Amaç, Kapsam ve Dayanaklar MADDE 1 Amaç ve kapsam (1) Bu Yönetmeliğin amacı, elektronik haberleşme sektöründe kişisel verilerin işlenmesi, saklanması ve gizliliğinin korunması için elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin uyacakları usul ve esasları düzenlemektir. (2) Haberleşmenin içeriğine ilişkin verilerin saklanması bu Yönetmeliğin kapsamına dâhil değildir. MADDE 2 Dayanak (1) Bu Yönetmelik, 5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanununun 4, 6, 12 ve 51 inci maddelerine dayanılarak hazırlanmıştır. MADDE 3 Tanımlar ve kısaltmalar (1) Bu Yönetmelikte geçen; a) Abone: Bir işletmeci ile elektronik haberleşme hizmetinin sunumuna yönelik olarak yapılan bir sözleşmeye taraf olan gerçek ya da tüzel kişiyi, b) Acil yardım çağrıları: Ulusal ve uluslararası düzenlemelerde kabul görmüş yangın, sağlık, doğal afetler ve güvenlik gibi acil durumlarla ilgili olarak itfaiye, polis, jandarma, sağlık ve benzeri kuruluşlara yardım talebiyle yapılan çağrıları, c) (Değişik:RG-11/7/ ) Anonim hale getirme: Kişisel verilerin, belirli veya kimliği belirlenebilir bir gerçek ya da tüzel kişiyle ilişkilendirilemeyecek veya kaynağı belirlenemeyecek hale getirilmesini, 75

77 ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK ç) (Değişik:RG-11/7/ ) Gerçekleşmeyen arama: Başarılı bir şekilde bağlantı kurulmasına rağmen haberleşmenin gerçekleşmemesini, d) Hücre kimliği: Mobil telefon çağrısının başladığı ya da sona erdiği hücrenin kimliğini, e) IMEI: Uluslararası mobil cihaz kimliğini, f) IMSI: Uluslararası mobil abone kimliğini, g) (Değişik:RG-11/7/ ) İşlem kaydı: Kişisel verilere erişen kişiler tarafından yapılan işlemin ileriki bir tarihte tanımlanabilmesini teminen asgari olarak işlem, işlemin detayı, işlemi yapan kişi, işlemin yapıldığı tarih ve zaman ile işlemi yapan kişinin bağlandığı nokta bilgilerini içeren elektronik kayıtları, ğ) İşletmeci: Yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketi, h) Kişisel veri: Belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin bütün bilgileri, ı) Kişisel veri ihlali: İstem dışı, yetki dışı ya da yasa dışı olarak; kişisel verilerin tahrip edilmesine, kaybolmasına, iletilmesine, değiştirilmesine, depolanmasına veya başka bir ortama kaydedilmesine, işlenmesine, ifşa edilmesine ve söz konusu verilere erişilmesine neden olan güvenlik ihlalini, i) Kişisel verilerin işlenmesi: Kişisel verilerin otomatik olan veya olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, silinmesi veya yok edilmesi, yeniden düzenlenmesi, açıklanması veya başka bir şekilde elde edilebilir hale getirilmesi, üçüncü kişilere aktarılması, kullanılmasının sınırlanması amacıyla işaretlenmesi, tasniflenmesi veya kullanılmasının engellenmesi gibi bu veriler üzerinde gerçekleştirilen işlem ya da işlemler bütününü, 76

78 ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK j) Konum verisi: Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veriyi, k) Kullanıcı: Aboneliği olup olmamasına bakılmaksızın elektronik haberleşme hizmetlerinden yararlanan gerçek veya tüzel kişiyi, l) Kullanıcı kimliği: İnternet erişim hizmetlerine ya da internet haberleşme hizmetlerine abonelik ya da kayıt esnasında tahsis edilen tek ve kişiye özel tanımlamayı, m) Kurul: Bilgi Teknolojileri ve İletişim Kurulunu, n) Kurum: Bilgi Teknolojileri ve İletişim Kurumunu, o) (Değişik:RG-11/7/ ) NAT: Şebekede taşınan IP paketlerindeki IP adres bilgisi yanında port bilgileri de kullanılarak aynı IP lerin birden çok abone tarafından kullanılmasını sağlayan teknolojiyi, ö) Rıza: İlgili kişinin kendisine ait kişisel verisinin işlenmesine yönelik, verinin işlenme amaç ve kapsamı dâhilinde, verinin işlenmesi öncesinde özgür iradesiyle verdiği ispatlanabilir kabul beyanını, p) Trafik verisi: Bir elektronik haberleşme şebekesinde haberleşmenin iletimi veya faturalama amacıyla işlenen her türlü veriyi, r) Veri: Abone ya da kullanıcıyı teşhis etmek için yararlanılan trafik verisi, konum verisi ya da ilgili diğer bilgileri, ifade eder. (2) (Değişik:RG-11/7/ ) Bu Yönetmelikte geçen ancak birinci fıkrada tanımlanmayan kavramlar ve kısaltmalar için ilgili mevzuatta yer alan tanımlar geçerlidir. 77

79 ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK İKİNCİ BÖLÜM - Uygulama Esasları MADDE 4 Kişisel verilerin işlenmesine ilişkin ilkeler (1) Kişisel verilerin; a) Hukuka ve dürüstlük kurallarına uygun olarak işlenmesi, b) İlgili kişinin rızasına dayalı olarak işlenmesi, c) Elde edilme amacıyla bağlantılı, yeterli ve orantılı olması, ç) Doğru olması ve gerektiğinde güncellenmesi, d) İlgili kişilerin kimliklerini belirtecek biçimde ve kaydedildikleri veya yeniden işlenecekleri amaç için gerekli olan süre kadar muhafaza edilmesi esastır. (2) (Ek:RG-11/7/ ) Kişisel veriler yurt dışına çıkarılamaz. (3) (Ek:RG-11/7/ ) Kişisel verilerin işlenmesi kapsamında abone tarafından işletmeciye verilen rıza, sadece alınan hizmete özgü olmak koşuluyla, kişisel verilerin işletmeci tarafından yetkilendirilen taraflar marifetiyle işlenebilmesini de kapsar. (4) (Ek:RG-11/7/ ) İşletmeci tarafından yetkilendirilen taraflarca bu Yönetmelik hükümlerinin ihlal edilmesi de dâhil olmak üzere kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden işletmeci sorumludur. MADDE 5 Güvenlik (1) İşletmeciler, kişisel verilerin işlenmesine ilişkin olarak güvenlik politikası belirler. İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alır. Söz konusu güvenlik tedbirleri, teknolojik imkânlar göz önünde bulundurularak muhtemel riske uygun bir düzeyde sağlanır. 78

80 ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK (2) Birinci fıkrada belirtilen tedbirler, asgari istem dışı, yetki dışı ya da yasa dışı olarak; kişisel verilerin tahrip edilmesi, kaybolması, değiştirilmesi, depolanması veya başka bir ortama kaydedilmesi, işlenmesi, ifşa edilmesi ve söz konusu verilere erişilmesine karşı kişisel verilerin korunmasını içerir. (3) (Değişik:RG-11/7/ ) İşletmeciler, kişisel verilere sadece yetkili kişiler tarafından erişilebilmesini ve kişisel verilerin saklandığı sistemlerin ve kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğini sağlamakla yükümlüdür. (4) (Değişik:RG-11/7/ ) İşletmeciler, kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını saklamakla yükümlüdür. (5) (Değişik:RG-11/7/ ) Kurum, gerekli gördüğü hallerde işletmecilerden, kişisel verilerin saklandığı sistemlere ve alınan güvenlik tedbirlerine ilişkin tüm bilgi ve belgeleri isteme, ayrıca söz konusu güvenlik tedbirlerinde değişiklik talep etme hakkını haizdir. MADDE 6 Riskin ve kişisel veri ihlalinin bildirilmesi (1) (Değişik:RG-11/7/ ) İşletmeci, şebekenin ve kişisel verilerin güvenliğini ihlal eden belirli bir risk olması durumunda bu risk hakkında Kurumu ve Kurum tarafından gerekli görülmesi halinde abonelerini/kullanıcılarını etkin ve hızlı bir şekilde bilgilendirmekle yükümlüdür. (2) Bu riskin işletmeci tarafından alınan tedbirlerin dışında kalması halinde, söz konusu riskin kapsamı, giderilme yöntemleri ve yaklaşık maliyeti hakkında abonelerin/kullanıcıların etkin ve hızlı bir şekilde bilgilendirilmesi sağlanır. (3) İşletmeci, kişisel veri ihlali olması durumunda söz konusu ihlalin niteliği ve sonuçları hakkında abonelere/kullanıcılara yapılacak bilgilendirmenin detayları ve ihlalin giderilmesi için alınan tedbirlere ilişkin olarak Kurumu bilgilendirir. 79

81 ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK (4) Kişisel veri ihlalinden abonelerin/kullanıcıların olumsuz yönde etkilenme ihtimalinin bulunması halinde işletmeci, kişisel veri ihlalinin niteliğine, daha fazla bilginin elde edilebileceği iletişim noktalarına ve ihlalin olası olumsuz etkilerini azaltmak için aboneler/kullanıcılar tarafından alınabilecek önlemlere ilişkin olarak aboneleri/kullanıcıları ücretsiz olarak bilgilendirir. (5) İşletmeci, gerçekleşen kişisel veri ihlallerine ilişkin olarak söz konusu ihlalin sebeplerini, etkilerini ve çözüme yönelik tedbirleri içeren bilgileri gizliliğini ve bütünlüğünü sağlayarak kaydetmekle yükümlüdür. ÜÇÜNCÜ BÖLÜM - Verilerin İşlenmesi ve Saklanması MADDE 7 Haberleşmenin gizliliği (1) Elektronik haberleşme ve ilgili trafik verisinin gizliliği esas olup, ilgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve gözetimi yasaktır. (2) Elektronik haberleşme şebekeleri, haberleşmenin iletimini gerçekleştirmek dışında abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili kullanıcıların/abonelerin verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve rızalarının alınması kaydıyla kullanılabilir. MADDE 8 Trafik verisinin işlenmesi (1) İşletmeciler, sundukları hizmetin kapsamı dışındaki amaçlar için trafik verisini işleyemez. (2) Trafik verisi, ilgili mevzuat hükümlerine uygun olarak, trafiğin yönetimi, arabağlantı, faturalama, yolsuzluk tespitleri ve benzeri işlemleri gerçekleştirmek veya tüketici şikâyetleri ile arabağlantı ve faturalama 80

82 ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü amacıyla işlenir ve bu uzlaşmazlıkların çözüm süreci tamamlanıncaya kadar gizliliği ve bütünlüğü sağlanarak saklanır. (3) (Değişik:RG-11/7/ ) Elektronik haberleşme hizmetlerini pazarlamak veya katma değerli elektronik haberleşme hizmetleri sunmak amacıyla ihtiyaç duyulan trafik verileri anonim hale getirilerek veya ilgili abonelerin/kullanıcıların işlenecek trafik verileri ve işleme süresi hakkında bilgilendirilmelerinden sonra rızalarının alınması kaydıyla, alınan rızaya uygun olarak sadece katma değerli elektronik haberleşme hizmetlerinin, pazarlama faaliyetlerinin ve benzer hizmetlerin gerektirdiği ölçü ve sürede işlenebilir. (4) (Değişik:RG-11/7/ ) Abonelere/kullanıcılara ait işlenen ve saklanan trafik verileri, bu verilerin işlenmesini ve saklanmasını gerekli kılan faaliyetin tamamlanmasından sonra silinir veya anonim hale getirilir. (5) İşletmeciler, abonelerin/kullanıcıların, kısa mesaj, çağrı merkezi, internet ve benzeri yöntemlerle vermiş oldukları rızayı aynı yöntem ya da basit bir yöntem ile her zaman ücretsiz olarak geri almalarına imkân sağlar. MADDE 9 Trafik verisini işleme yetkisi (Değişik:RG-11/7/ ) (1) Trafik verisini işleme yetkisi; trafik yönetimi, arabağlantı, faturalama, yolsuzluk tespitleri, tüketici şikâyetlerinin değerlendirilmesi, elektronik haberleşme hizmetlerinin pazarlanması veya katma değerli elektronik haberleşme hizmetlerinin sunulması hususlarında işletmeci ve işletmeci tarafından yetkilendirilen kişilerle sınırlıdır. MADDE 10 Trafik verisinin bildirilmesi (1) Trafik verisi, arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü, tüketici şikâyetlerinin değerlendirilmesi ve 81

83 ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK denetim faaliyetlerinin gerçekleştirilmesi amacıyla yazılı olarak talep edilmesi halinde kanunların yetkili kıldığı mercilere verilir. MADDE 11 Konum verisinin işlenmesi (Değişik:RG-11/7/ ) (1) Katma değerli elektronik haberleşme hizmetleri sunmak amacıyla ihtiyaç duyulan ve trafik verisi niteliğinde olmayan konum verileri, anonim hale getirilerek veya ilgili abonelerin/kullanıcıların işlenecek konum verileri, işleme amacı ve süresi hakkında bilgilendirilmelerinden sonra rızalarının alınması kaydıyla, alınan rızaya uygun olarak sadece katma değerli elektronik haberleşme hizmetlerinin gerektirdiği ölçü ve sürede işlenebilir. İşletmeciler trafik verisi niteliğinde olmayan konum verilerinin işlenmesinde abone/kullanıcılara GEÇİCİ olarak bu verilerin işlenmesini reddetme imkânı sağlar. (2) İşletmeciler, abonelerin/kullanıcıların trafik verisi niteliğinde olmayan konum verilerinin işlenmesi için, kısa mesaj, çağrı merkezi, internet ve benzeri yöntemlerle vermiş oldukları rızayı aynı yöntem ya da basit bir yöntem ile her zaman ücretsiz olarak geri almalarına imkân sağlar. (3) İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, ancak afet ve acil durum halleri ile acil yardım çağrıları kapsamında abonenin/kullanıcının rızası aranmaksızın konum verisi ve ilgili kişilerin kimlik bilgileri işlenebilir. MADDE 12 Konum verisini işleme yetkisi (Değişik:RG-11/7/ ) (1) Konum verisini işleme yetkisi, katma değerli elektronik haberleşme hizmetlerinin sunulması hususunda ya da afet ve acil durum halleri ile acil yardım çağrıları kapsamında işletmeci ve işletmeci tarafından yetkilendirilen 82

84 ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK kişilerle sınırlı olup, bu yetki söz konusu hizmetlerin gerektirdiği kapsamda kullanılır. MADDE 13 Saklanacak veri kategorileri (1) Bu Yönetmelik kapsamında saklanması öngörülen veri kategorileri, aşağıda belirtilmiştir. a) Haberleşmenin takibi ve kaynağının tanımlanması için: 1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; gerçekleşmeyen aramalar da dâhil olmak üzere haberleşmenin başlatıldığı hatta ait telefon numarası, abonenin adı ve adresi, hattın hangi tarihte hangi aboneye tahsis edildiğine ait bilgi. 2) İnternet ortamına erişim, elektronik posta ve internet telefonu ile ilgili olarak; tahsis edilmiş kullanıcı kimliği ve/veya telefon numarası, haberleşmenin gerçekleştiği andaki internet protokol adresi, abonenin/kullanıcının adı ve adresi. b) Haberleşmenin sonlandırılacağı noktayı belirlemek için: 1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; haberleşmenin sonlandırıldığı/sonlandırılacağı numara veya numaralar, çağrı iletme ve çağrı transferi gibi ek hizmetlerin olması durumunda çağrının yönlendirildiği numara veya numaralar, abonelerin adı ve adresi. 2) Elektronik posta ve internet telefonu ile ilgili olarak; elektronik posta alıcılarına ait kullanıcı kimliği, internet telefonu ile aranan alıcılara ait kullanıcı kimliği veya telefon numarası, internet telefonu veya elektronik posta alıcılarının adı ve adresi. c) Haberleşmenin tarihi, zamanı ve süresini belirlemek için: 1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; haberleşmenin başlangıç ile bitiş tarih ve zamanı. 83

85 ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK 2) (Değişik:RG-11/7/ ) İnternet erişimi, elektronik posta ve internet telefonu ile ilgili olarak; internet erişimi ile ilgili oturum açma, kapatma tarihi ve zamanı, tahsis edilen dinamik veya statik internet protokol adresi, NAT kullanılan şebekelerde internet protokol adresi yanında port bilgisi, abone/kullanıcı kimliği, elektronik posta veya internet telefonu ile ilgili oturum açma ile kapatma tarihi ve zamanı. ç) Haberleşmenin türünü tanımlamak için: 1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; kullanılan elektronik haberleşme hizmeti. 2) Elektronik posta ve internet telefonu ile ilgili olarak; kullanılan internet hizmeti. d) Kullanıcıların haberleşme cihazlarını veya bunların ekipmanlarını tanımlamak için: 1) Sabit telefon hizmetiyle ilgili olarak; haberleşmenin başlatıldığı ve sonlandırıldığı telefon numaraları. 2) (Değişik:RG-11/7/ ) Mobil telefon hizmetiyle ilgili olarak; haberleşmenin başlatıldığı ve sonlandırıldığı telefon numaraları, haberleşmenin başlatıldığı ve/veya sonlandırıldığı tarafa ait IMSI ve IMEI numaraları; abone kaydı olmayan arama kartlı hizmetlerin olması durumunda hizmetin aktif hale getirildiği tarih ve zaman ile hizmetin aktif hale getirildiği hücre kimliği. 3) İnternet ortamına erişim, elektronik posta ve internet telefonu ile ilgili olarak; çevirmeli ağ erişimi için arayan telefon numarası, sayısal abone hattı numarası ya da haberleşmenin kaynaklandığı diğer nokta. e) İlgili mevzuatın öngördüğü hallerde mobil haberleşme cihazının konumunu tespit etmek için; haberleşmenin başladığı hücre kimliği, haberleşme verilerinin saklandığı sürede hücre kimlikleri ile ilgili olarak 84

86 ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK hücrelerin coğrafi konumlarını tanımlayan veri, hücre adresi ve hücre kimliğinin o adrese atanma ve kaldırılma tarihleri. (2) Bu Yönetmelik kapsamında, elektronik posta ve internet telefonu ile ilgili olarak verilerin saklanmasına ilişkin getirilen yükümlülükler, sadece işletmecilerin kendilerinin sundukları hizmetler ile sınırlıdır. MADDE 14 İşletmecilerin veri saklama süreleri (Değişik:RG-11/7/ ) (1) 13 üncü MADDE kapsamında tanımlanan veri kategorileri, haberleşmenin yapıldığı tarihten itibaren bir yıl, gerçekleşmeyen aramalara ilişkin kayıtlar ise üç ay süre ile saklanır. (2) Soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel veriler, ilgili süreç tamamlanıncaya kadar saklanır. (3) Kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtları dört yıl süre ile saklanır. MADDE 15 Saklanan verinin korunması ve güvenliği (1) Bu Yönetmelik kapsamında saklanması öngörülen veriler için işletmeciler asgari olarak; a) Saklanan veriler ile şebekedeki diğer verilerin aynı kalite, güvenlik ve koruma özelliklerine tabi olmasını, b) (Değişik:RG-11/7/ ) Verilerin yurt içinde saklanmasını, c) Saklanan verilerin, istem dışı, yetki dışı ya da yasa dışı, erişim, tahrip, kayıp, değişiklik, depolama, işleme ve ifşasına karşı uygun teknik ve idari tedbirlerin alınmasını, ç) Verilerin sadece özel yetkilendirilmiş kişiler tarafından erişilebilir olmasının sağlanması için uygun teknik ve idari tedbirlerin alınmasını, 85

87 ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK d) (Değişik:RG-11/7/ ) İşlenen ve saklanan verinin, saklama süresinin bitiminden itibaren en geç bir ay içinde imha edilmesi veya anonim hale getirilmesi ve bu işlemlerin tutanakla veya sistemsel olarak kayıt altına alınmasını sağlamakla yükümlüdür. (2) İşletmeciler sundukları hizmetler kapsamında elde ettikleri verilerin güvenliğini, bütünlüğünü, gizliliğini ve erişilebilirliğini her aşamada sağlamakla yükümlüdür. Bu yükümlülük işletmeci tarafından yetkilendirilmiş kişiler marifetiyle yapılan işlemleri de kapsar. (3) İşletmeciler, kanunların yetkili kıldığı mercilerce talep edilmesi halinde, saklanan veri ve söz konusu veriye ilişkin gerekli tüm bilgileri gecikmeksizin sağlamakla yükümlüdür. MADDE 16 İstatistikî bilgilerin verilmesi (1) İşletmeciler son bir yıl içerisinde; a) Yetkili merciler tarafından ilgili mevzuatı çerçevesinde talep edilen verilerin kategorileri ve talep edilme sayılarına, b) Verinin saklanmaya başlandığı tarih ile yetkili merciler tarafından talep edildiği tarih arasında geçen süreye, c) Veri talebinin karşılanamadığı durumlara, ilişkin istatistikî bilgileri saklamakla ve talep halinde Kuruma göndermekle yükümlüdür. (2) Bu maddenin birinci fıkrasında belirtilen istatistikî bilgiler, kişisel verileri içermez. 86

88 ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK DÖRDÜNCÜ BÖLÜM - Sağlanan İmkânlar MADDE 17 Numaranın gizlenmesi (1) İşletmeci, arayan numaranın görünmesine imkân sağladığı durumlarda; a) (Değişik:RG-11/7/ ) Arayan kullanıcıya basit bir yöntemle ve ücretsiz olarak numarasını gizleme imkânı sağlamakla, b) Aranan aboneye basit bir yöntemle ve ücretsiz olarak, gelen aramalarda arayan numaranın gösterilmesini engelleme imkânı sağlamakla, c) Arayan kişinin numarasını gizlemesi halinde, aranan abonenin/kullanıcının isteğine bağlı ve ücretsiz olarak, gelen aramaların abone/kullanıcı tarafından reddedilmesine imkân sağlamakla yükümlüdür. (2) (Değişik:RG-11/7/ ) İşletmeci, bağlanılan numaranın görünmesine imkân sağladığı durumlarda, bağlanılan aboneye basit bir yöntemle ve ücretsiz olarak, bağlanılan numaranın arayan kullanıcıya gösterilmesini engelleme imkânı sağlamakla yükümlüdür. (3) İşletmeci, bu maddenin birinci ve ikinci fıkrasında belirtilen hizmet imkânları hakkında abonelerini/kullanıcılarını kısa mesaj, internet, basın, yayın organları, posta veya benzeri araçlarla ücretsiz olarak bilgilendirmekle yükümlüdür. (4) Arayan numaranın gizlenmesi imkânı, acil yardım çağrıları için geçerli değildir. MADDE 18 Otomatik çağrı yönlendirme (1) (Mülga:RG-11/7/ ) (2) İşletmeciler tarafından başka bir numaraya veya otomatik mesaj sistemine yapılan yönlendirmelerin ücretli olması halinde abonenin/kullanıcının rızası alınır. 87

89 ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK MADDE 19 Aboneler için hazırlanan rehberler (1) Aboneler, basılı ve/veya elektronik abone rehberlerinin, yayımlanma amaçları ve bu rehberlerde yer alacak kişisel veriler ile bu rehberlerin elektronik sürümlerinde olabilecek sorgulama seçenekleri ve kullanım imkânları hakkında rehbere kaydedilmeden önce ücretsiz olarak bilgilendirilirler. (2) Kamuya açık rehberlerde yer alan kişisel veriler, rehberlik hizmetinin amaç ve kapsamına uygun olarak belirlenir. (3) Abone rehberlerinde yer almayı kabul eden aboneler, rehberlerde yer alan kişisel verilerinin düzeltilmesini, teyit edilmesini ve/veya çıkarılmasını ücretsiz ve basit bir yöntemle talep edebilirler. (4) Rehberlik hizmeti kapsamında yapılacak sorgulamalarda, Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği nin Elektronik Haberleşme Hizmet, Şebeke ve Altyapılarının Tanım, Kapsam ve Süreleri ile ilgili 27 nci maddesi kapsamında yapılan düzenlemeler esastır. MADDE 20 Ayrıntılı faturalarda gizlilik (1) İşletmeciler, ayrıntılı fatura gönderdikleri abonelerin talep etmeleri halinde, fatura ayrıntısında yer alan telefon numaralarının bazı rakamlarının gizlenmesini sağlar. BEŞİNCİ BÖLÜM - Çeşitli ve Son Hükümler MADDE 21 İdari para cezaları ve diğer yaptırımlar (1) İşletmecilerin bu Yönetmelik ile belirlenen yükümlülükleri yerine getirmemeleri halinde 5/9/2004 tarihli ve sayılı Resmî Gazete de yayımlanan Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler Hakkında Yönetmelik hükümleri uygulanır. 88

90 ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK MADDE 22 Hüküm bulunmayan haller (1) Bu Yönetmelikte hüküm bulunmayan hallerde, Tebliğ veya Kurul Kararı ile düzenleme yapılır. MADDE 23 Yürürlükten kaldırılan yönetmelik (1) 6/2/2004 tarihli ve sayılı Resmî Gazete de yayımlanan Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik yürürlükten kaldırılmıştır. MADDE 24 Atıflar (1) Mevzuatta 6/2/2004 tarihli ve sayılı Resmî Gazete de yayımlanan Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmeliğe yapılan atıflar bu Yönetmeliğe yapılmış sayılır. GEÇİCİ MADDE 1 Mevcut düzenlemelerin durumu (1) Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmeliğe dayanılarak yapılan usul ve esaslar, alınan Kurul Kararları ile diğer idari işlemlerin bu Yönetmeliğe aykırı olmayan hükümleri konuya ilişkin yeni bir işlem yapılana kadar geçerliliğini muhafaza eder. MADDE 25 Yürürlük (Değişik:RG-11/7/ ) (1) Bu Yönetmeliğin; a) 4 üncü maddesinin ikinci fıkrası 1/1/2014, b) diğer hükümleri 24/7/2013, tarihinde yürürlüğe girer. 89

91 ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK MADDE 26 Yürütme (1) Bu Yönetmelik hükümlerini Bilgi Teknolojileri ve İletişim Kurumu Başkanı yürütür. Yönetmeliğin Yayımlandığı Resmî Gazete nin Tarihi Sayısı 24/7/ Yönetmelikte Değişiklik Yapan Yönetmeliklerin Yayımlandığı Resmî Gazetelerin Tarihi Sayısı 1. 15/2/ /7/

92 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK tarihli sayılı Resmi Gazete de yayımlanmıştır tarihli sayılı Resmi Gazete de yayımlanan değişiklikler işlenmiştir. BİRİNCİ BÖLÜM - Amaç, Kapsam, Dayanak ve Tanımlar MADDE 1 Amaç (1) Bu Yönetmeliğin amacı; kişisel verilerin korunması ve veri mahremiyetinin sağlanmasına, (Değişik ibare:rg-24/11/ ) kişisel sağlık verilerinin işlenmesine, bu verilere erişim için kurulacak sisteme, kişisel sağlık verisi kaydı tutulan sistemlerin güvenliği ve denetimi ile sağlık hizmeti sunumundaki personel hareketlerinin Bakanlığa bildirilmesine ilişkin işlemlerde uyulacak usul ve esasları düzenlemektir. MADDE 2 Kapsam (Değişik:RG-24/11/ ) (1) Bu Yönetmelik; a) Sağlık hizmeti sunucularına, b) Kişisel sağlık verileri işlenen gerçek kişilere, c) Sağlık hizmeti sunucularına ait bilgi işlem sistemleri yazılım ve donanımı ile dosyalama sistemi gibi hizmetleri sunan gerçek ve tüzel kişilere, ç) Bunlar dışında kalan ve bir mevzuat çerçevesinde kişisel sağlık verilerini işleyen kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişilerine, ilişkin hükümleri kapsar. MADDE 3 Dayanak (Değişik:RG-24/11/ ) (1) Bu Yönetmelik; 11/10/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı 91

93 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 8 inci maddesinin birinci fıkrasının (j) bendi ile 47 nci maddesi ve 7/5/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanununun 3 üncü maddesinin birinci fıkrasının (f) bendine dayanılarak hazırlanmıştır. MADDE 4 Tanımlar (Değişik:RG-24/11/ ) (1) Bu Yönetmelikte geçen; a) Anonim hale getirme: Kişisel sağlık verilerinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini, b) Bakanlık: Sağlık Bakanlığını, c) Genel Müdürlük: Sağlık Bilgi Sistemleri Genel Müdürlüğünü, ç) İlgili kişi: Kişisel sağlık verisi işlenen gerçek kişiyi, d) Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanununu, e) Kişisel sağlık kaydı sistemi: İlgili kişilerin sağlık verilerine kendilerinin veya yetki verdikleri üçüncü kişilerin erişimini sağlayan, e-devlet uygulamalarına uygun olarak kurulan sistemi, f) Kişisel sağlık verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri, g) Kişisel sağlık verilerinin işlenmesi: Kişisel sağlık verilerinin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, 92

94 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK sınıflandırılması ya da kullanılmasının engellenmesi gibi sağlık verileri üzerinde gerçekleştirilen her türlü işlemi, ğ) Kurul: Kişisel Verileri Koruma Kurulunu, h) Merkezi sağlık veri sistemi: Bakanlık tarafından oluşturulan kişisel sağlık verilerinin toplandığı veri sistemini, ı) Sağlık hizmeti sunucusu: Ülke genelinde birinci, ikinci ve üçüncü basamakta faaliyet gösteren ve sağlık hizmeti sunmakta olan bütün sağlık tesislerini, i) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, j) Veri sorumlusu: Kişisel sağlık verilerinin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder. İKİNCİ BÖLÜM - Kişisel Sağlık Verilerinin İşlenmesinde Genel İlke ve Esaslar MADDE 5 Genel ilke ve esaslar (1) (Değişik:RG-24/11/ ) Kişisel sağlık verileri, ancak Kanunda ve bu Yönetmelikte öngörülen usul ve esaslara uygun olarak işlenebilir. (2) Kişisel sağlık verilerinin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, 93

95 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) İşlendikleri amaç için gerekli olan süre kadar muhafaza edilme. (3) (Değişik:RG-24/11/ ) Sağlık hizmeti sunumunda görevli kişiler, ilgili kişinin sağlık verilerini ancak verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla işleyebilir. (4) (Mülga:RG-24/11/ ) (5) (Değişik:RG-24/11/ ) Sağlık hizmeti sunucularında veri işleyen kişiler, kişisel sağlık verilerini; sağlık hizmeti sunucularının tamamen veya kısmen otomatik olan ya da otomatik olmayan her türlü sistemleri, Bakanlığın ülke genelinde hizmet vermek amaçlı kurulan sistemleri ve merkezi sağlık veri sistemi ile Genel Müdürlüğün onayladığı diğer veri kayıt ortamları haricinde hiçbir yere kopyalayamaz, kaydedemez ve depolayamaz. (6) (Değişik:RG-24/11/ ) Sağlık hizmeti sunucuları, Kanunun emredici hükümleri ile Kurul ve Bakanlık tarafından belirlenen usul ve esaslara uygun bir şekilde elektronik kayıt sistemlerinin kurulmasından ve işletilmesinden, güvenlik ve mahremiyetinin sağlanmasından sorumludur. (7) (Mülga:RG-24/11/ ) (8) (Değişik:RG-24/11/ ) Sağlık hizmeti sunucuları, Kanunun emredici hükümleri ile Kurul ve Bakanlık tarafından belirlenen usul ve esaslara uygun bir şekilde kişisel sağlık verilerini merkezi sağlık veri sistemine aktarır. (9) (Mülga:RG-24/11/ ) 94

96 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK ÜÇÜNCÜ BÖLÜM - Kişisel Sağlık Verilerinin Korunması, İşlenmesi, Aktarılması ve Silinmesi MADDE 6 Kişisel sağlık verilerinin korunması (1) (Değişik:RG-24/11/ ) Veri işleyen; kişisel sağlık verilerinin hukuka aykırı olarak işlenmesini önlemek, kişisel sağlık verilerine hukuka aykırı olarak erişilmesini önlemek, kişisel sağlık verilerinin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak, aldığı bu tedbirlerin veri sorumlusu tarafından denetlenmesine izin vermek zorundadır. Veri işleyen, bu görevinin gereği olarak öğrendiği kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamaz. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. (2) (Değişik:RG-24/11/ ) Kişisel sağlık verisi işleyenler, bu verilerin mahremiyetini sağlamak amacıyla Kanuna ve Kurul tarafından çıkartılan ikincil düzenlemelere uyar. Kurul tarafından belirlenen yeterli önlemleri alır ve Bakanlıkça belirlenen diğer kurallara riayet eder. (3) (Değişik:RG-24/11/ ) Kişisel sağlık verilerinin kanuni olmayan yollarla işlenmesi hâlinde veri sorumlusu bu durumu en kısa sürede Kurula bildirir. (4) (Mülga:RG-24/11/ ) (5) (Mülga:RG-24/11/ ) (6) (Mülga:RG-24/11/ ) (7) Kişisel sağlık verilerinin bulunduğu bilgi sistemleri, kullanıcı tanımlanması ve yetkilendirme dâhilinde kullanılır. Kullanıcı tanımlama ve yetkilendirmeye ilişkin her türlü işlem kayıt altına alınır ve bu kayıtlar muhafaza edilir. Yetkilendirme, kayıt altına alma ve verilerin muhafazasına ilişkin hususlar, Genel Müdürlükçe belirlenir. 95

97 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK (8) Kişisel sağlık verilerinin bulunduğu bilgi sistemlerine erişen kullanıcıların erişim kaydı, sağlık hizmet sunucularının sistemlerinde Bakanlıkça belirlenen standartlara uygun olarak tutulur. MADDE 7 Kişisel sağlık verilerinin işlenmesi (1) (Değişik:RG-24/11/ ) Kişisel sağlık verilerinin, Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan istisnai amaç ve koşullar kapsamında işlenebilmesi için ilgili kişinin açık rızası aranmaz. (2) (Değişik:RG-24/11/ ) Bunların dışında kalan amaçlar kapsamında kişisel sağlık verilerinin işlenebilmesi için ilgili kişinin, Kanunun 10 uncu maddesinde öngörülen aydınlatma yükümlülüğü uyarınca bilgilendirilmesi ve açık rızasının alınması gerekir. (3) İlgili kişi, aksi yönde bir hukukî düzenleme veya yargı kararı bulunmaması halinde verilerinin işlenmesi ve aktarılması için vermiş olduğu rızayı istediği zaman geri alabilir. Rızanın geri alınması, o tarihe kadar yapılmış bulunan işlemler bakımından etkili olmaz. (4) (Değişik:RG-24/11/ ) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. MADDE 8 Kişisel sağlık verilerinin aktarılması (1) (Değişik:RG-24/11/ ) Kişisel sağlık verileri, ancak Kanunun 8 inci ve 9 uncu madde hükümleri uyarınca aktarılabilir. (2) (Değişik:RG-24/11/ ) Kişisel sağlık verileri, Kanunun 8 inci ve 9 uncu madde hükümlerinde yer alan şartların sağlanamaması hâlinde ancak anonim hâle getirilmek suretiyle aktarılabilir. (3) (Mülga:RG-24/11/ ) (4) (Mülga:RG-24/11/ ) 96

98 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK MADDE 9 Kişisel sağlık verilerinin silinmesi (1) (Değişik:RG-24/11/ ) Kanun, bu Yönetmelik ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel sağlık verileri, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) (Mülga:RG-24/11/ ) (3) Merkezi sağlık veri sistemine aktarılan veriler, aktarımın yapıldığı tarihten 10 yıl sonra yerel veri tabanından silinebilir. (4) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. DÖRDÜNCÜ BÖLÜM - İlgili Kişi ve Veri Sorumlusu (1) MADDE 10 İlgili kişi (Başlığı ile Birlikte Değişik:RG-24/11/ ) (1) İlgili kişi, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel sağlık verisi işlenip işlenmediğini öğrenme, b) Kişisel sağlık verisi işlenmişse buna ilişkin bilgi talep etme, c) Kişisel sağlık verilerine erişim ve bu verileri isteme, ç) Kişisel sağlık verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, d) Yurt içinde veya yurt dışında kişisel sağlık verilerinin aktarıldığı üçüncü kişileri bilme, e) Kişisel sağlık verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 97

99 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK f) 9 uncu maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini isteme, g) (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel sağlık verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme, ğ) İşlenen kişisel sağlık verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, h) Kişisel sağlık verilerinin Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir. (2) İlgili kişinin, birinci fıkranın (a), (b), (c), (ç) veya (d) bentlerinde sayılan haklarından birini veya birkaçını kullanması hâlinde ilgili bilgi kendisine, açık ve anlaşılabilir bir şekilde, yazılı olarak veya elektronik ortamda bildirilir. MADDE 11 Veri sorumlusu (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 10 uncu maddede sayılan diğer hakları, konularında bilgi vermekle yükümlüdür. (2) Veri sorumlusu; a) Kişisel sağlık verilerinin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel sağlık verilerine hukuka aykırı olarak erişilmesini önlemek, 98

100 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK c) Kişisel sağlık verilerinin muhafazasını sağlamak, ç) Sorumlu olduğu sistemlerde yaşanabilecek muhtemel veri kayıplarının önüne geçmek, amaçlarıyla, uygun güvenlik düzeyini temin etmeye yönelik olarak Bakanlıkça belirlenen her türlü tedbiri almak zorundadır. (3) (Değişik:RG-24/11/ ) Veri sorumlusu, kişisel sağlık verilerinin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, ikinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. (4) Veri sorumlusu, kendi kurum veya kuruluşunda, Kanun ve bu Yönetmelik hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. (5) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel sağlık verilerini, Kanun ve bu Yönetmelik hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. (6) (Değişik:RG-24/11/ ) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu bu durumu en kısa sürede Kurula bildirir. (7) (Mülga:RG-24/11/ ) BEŞİNCİ BÖLÜM - Genel Müdürlüğün Görevleri (1) MADDE 12 Kişisel Sağlık Verileri Komisyonu (Mülga:RG-24/11/ ) MADDE 13 Genel Müdürlüğün görevi (1) Aşağıda belirtilen görevler, Genel Müdürlük tarafından yürütülür. 99

101 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK a) Kişisel sağlık verilerinin tutulacağı merkezî veri sistemini kurar, b) Sağlık hizmeti sunan tüm kamu ve özel sağlık kuruluşları ile sağlık meslek mensupları tarafından tutulan kayıtların, hizmet sunucuları tarafından merkezi sağlık veri sistemine gönderilmesini sağlar, c) Tüm sistemlerin entegrasyonu için gerekli teknik düzenlemeleri yapar, ç) Ülke çapında sağlık durumu ve sağlık hizmetlerine ilişkin her türlü verinin depolanmasını ve aktarımını mümkün kılan bilgi sistemleri ile ilgili standartları belirler, d) İlgili kişilerin sağlık verilerine kendilerinin veya (Değişik ibare:rg- 24/11/ ) açık rıza verdikleri üçüncü kişilerin erişimini sağlayan bir kişisel sağlık kaydı sistemi kurar, e) Sistemlere içeriden veya dışarıdan yetkisiz erişimleri engellemek üzere üst düzey güvenlik önlemlerinin alınmasını sağlar, f) Sistemlerin yönetimi ve organizasyonuna ilişkin belgeleri internet sayfasında yayımlar ve gerektiğinde bu konuda eğitim ve yönlendirme çalışmaları yapar, g) Bu Yönetmelikle ilgili tüm hususlarda bilgilendirici içeriğin yer aldığı bir internet sayfası hazırlar, ğ) Sistemlerin kullanımında oluşabilecek teknik sorunların çözümü için çağrı merkezi kurar veya kurdurur ve internet ortamından destek verir. ALTINCI BÖLÜM - Merkezi Sağlık Veri Sistemi ve Kişisel Sağlık Kaydı Sistemi MADDE 14 Merkezi sağlık veri sistemi (1) Sağlık hizmet sunucuları, sağlık hizmeti almak üzere kendilerine müracaat eden kişilere ait verileri, Bakanlık tarafından çıkarılan mevzuat ile 100

102 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK belirlenmiş süreler içerisinde, kullandıkları yazılıma Bakanlıkça belirlenen standartlara uygun bir şekilde kaydetmek ve bu verileri Bakanlıkça belirlenen standartlara uygun bir şekilde merkezi sağlık veri sistemine göndermek zorundadırlar. Kişisel sağlık verilerinin merkezi sağlık veri sistemine aktarılması, veri sorumlusunun görev ve yetkisindedir. (2) Merkezi sağlık veri sisteminin doğru bir şekilde çalışması, yeni servis entegrasyonu ve sağlık hizmet sunucuları tarafından kaydedilen verilerin bu sisteme doğru, eksiksiz ve gecikmeksizin aktarılması için sağlık hizmet sunucularının kullandığı yazılımlar, Bakanlıkça belirlenen standartlar ile uyumlu olmak zorundadır. (3) (Değişik ibare:rg-24/11/ ) Sağlık hizmeti sunucuları; a) Bakanlıkça verilen yetki belgesine sahip, b) Bakanlıkça yayımlanan yazılım sürüm notlarına, yeni standartlara ve geliştirmelere uyumlu, c) Bakanlık tarafından kullanılan sistemlere uyumlu, yazılım kullanırlar. (4) Bu madde uyarınca kullanılacak yazılımların Bakanlıkça belirlenen şartlara ve yayımlanan standartlara uygunluğu, Bakanlıkça denetlenir. (5) (Değişik:RG-24/11/ ) Bu madde ile öngörülen yükümlülüklerin yerine getirilmemesi veya eksik ya da hatalı yerine getirilmesi halinde ilgili veri sorumlusuna, Kanunun 13 üncü maddesine uygun olarak başvuru yapılır. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde, Kanunun 14 üncü maddesine uygun bir şekilde Kurula şikâyette bulunulur. Kurul, Kanunun 15 inci maddesi çerçevesinde inceleme yapar. 101

103 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK MADDE 15 Kişisel sağlık kaydı sistemi (1) (Değişik:RG-24/11/ ) İsteyen her vatandaş; kendisine sunulan sağlık hizmetlerini takip etmek, kendisine ait sağlık kayıtlarını görüntülemek, sağlık tesislerinde kendisine uygulanan işlemleri ve sonuçlarını incelemek, kişisel sağlık verilerine her yerden erişmek ve bu verileri açık rıza verdiği üçüncü kişilerle paylaşmak için Bakanlık tarafından hazırlanan kişisel sağlık kaydı sistemi üzerinde kullanıcı hesabı oluşturabilir. (2) Kullanıcı hesabı e-devlet üzerinden oluşturulabileceği gibi, ilgili kişinin başvurusu üzerine aile hekimi tarafından da oluşturulabilir. (3) (Değişik:RG-24/11/ ) İlgili kişi tarafından açık rıza verilmesi halinde kişisel sağlık verilerine kendisinin belirleyeceği üçüncü kişiler tarafından da erişilebilir. (4) Anne veya babanın, onbeş yaş altındaki çocuklarının kişisel sağlık verilerine erişimleri için diğer ebeveynin onayı gerekir. Evliliğin sona ermiş olması hâlinde velayet hakkını kullanma yetkisine sahip bulunan ana veya baba, çocuğun kişisel sağlık verilerine erişimi için diğer tarafın onayına ihtiyaç duymaz. (5) (Değişik:RG-24/11/ ) İlgili kişi, kişisel sağlık kaydı sistemi üzerinden kendisine ilişkin sağlık verilerini görüntüleyebilir, eksik bilgilerinin sisteme eklenmesini, yanlış bilgilerinin düzeltilmesini veya silinmesini talep edebilir, kullanıcı hesabını dondurabilir. YEDİNCİ BÖLÜM - Bildirim Yükümlülüğü MADDE 16 Bildirim yükümlülüğü (1) Sağlık personeli istihdam eden sağlık hizmet sunucuları, istihdam ettiği personele ait bilgileri ve personel hareketlerini onbeş gün içerisinde Bakanlığa bildirmekle yükümlüdürler. 102

104 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK (2) Bildirim, Bakanlıkça belirlenecek yöntem aracılığı ile yapılır. (3) Birinci fıkrada öngörülen yükümlülüğün belirlenen süre içerisinde yerine getirilmemesi veya eksik ya da hatalı yerine getirilmesi hâlinde sorumlu kişi, kurum veya kuruluş, yazılı olarak uyarılır. Uyarıyı gerektiren problemin onbeş gün içerisinde giderilmemesi hâlinde uyarı tekrarlanır. İkinci uyarıdan itibaren onbeş günün sonunda uyarıyı gerektiren problemin giderilmemiş olması hâlinde sorumlu kişi, kurum veya kuruluş hakkında genel hükümlere göre işlem tesis edilir. SEKİZİNCİ BÖLÜM - Çeşitli ve Son Hükümler MADDE 17 Yaptırım (Değişik:RG-24/11/ ) (1) Bu Yönetmelikle korunan kişisel verilere ilişkin suçlar bakımından Kanunun 17 nci maddesine göre işlem yapılır. (2) Bu Yönetmelik gereklerinin, kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar tarafından yerine getirilmemesi hâlinde, Kurulun yapacağı bildirim üzerine disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir. Özel hukuk gerçek ve tüzel kişileri hakkında Kanunun 18 inci maddesi uyarınca işlem yapılır. MADDE 18 Hüküm bulunmayan hâller (Değişik:RG-24/11/ ) (1) Kişisel sağlık verilerinin işlenmesi ile ilgili olarak bu Yönetmelikte hüküm bulunmayan hâllerde Kanun, Kurul tarafından çıkarılacak ikincil düzenlemeler ve Kurulun ilke kararları uygulanır. 103

105 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK MADDE 19 Yürürlük (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer. MADDE 20 Yürütme (1) Bu Yönetmelik hükümlerini Sağlık Bakanı yürütür. (1) 24/11/2017 tarihli ve sayılı Resmi Gazete de yayımlanan değişiklik ile Yönetmeliğin dördüncü bölüm başlığı Veri Sahibi ve Veri Sorumlusu, beşinci bölüm başlığı Kişisel Sağlık Verileri Komisyonu ve Genel Müdürlük iken metne işlendiği şekilde değiştirilmiştir. Yönetmeliğin Yayımlandığı Resmî Gazete nin Tarihi Sayısı 20/10/ Yönetmelikte Değişiklik Yapan Yönetmeliklerin Yayımlandığı Resmî Gazetelerin Tarihi Sayısı 1 24/11/

106 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK tarihli sayılı Resmi Gazete de yayımlanmıştır. BİRİNCİ BÖLÜM: Amaç, Kapsam, Dayanak ve Tanımlar MADDE 1 Amaç (1) Bu Yönetmeliğin amacı, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir. MADDE 2 Kapsam (1) Bu Yönetmelik hükümleri; 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesi uyarınca veri sorumluları hakkında uygulanır. MADDE 3 Dayanak (1) Bu Yönetmelik, 6698 sayılı Kanunun 7 nci maddesinin üçüncü fıkrası ile 22 nci maddesinin birinci fıkrasının (e) bendine dayanılarak hazırlanmıştır. MADDE 4 Tanımlar (1) Bu Yönetmeliğin uygulanmasında; a) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini, b) İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri, 105

107 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK c) İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini, ç) Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu, d) Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı, e) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri, f) Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı, g) Kurul: Kişisel Verileri Koruma Kurulunu, ğ) Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini, h) Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini, ı) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, 106

108 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK i) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder. (2) Bu Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar geçerlidir. İKİNCİ BÖLÜM: Kişisel Veri Saklama ve İmha Politikası MADDE 5 Kişisel veri saklama ve imha politikasına ilişkin esaslar (1) Kanunun 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. (2) Kişisel veri saklama ve imha politikası hazırlanmış olması; kişisel verilerin Kanuna ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez. (3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında bulunmayan veri sorumlularının, Kanun ve bu Yönetmelik uyarınca kişisel verileri saklama, silme, yok etme veya anonim hale getirme yükümlülükleri devam eder. MADDE 6 Kişisel veri saklama ve imha politikasının kapsamı (1) Kişisel veri saklama ve imha politikası asgari olarak; a) Kişisel veri saklama ve imha politikasının hazırlanma amacına, b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına, c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına, ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya, 107

109 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK d) Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere, e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere, f) Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına, g) Saklama ve imha sürelerini gösteren tabloya, ğ) Periyodik imha sürelerine, h) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe, ilişkin bilgileri kapsar. ÜÇÜNCÜ BÖLÜM: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi MADDE 7 İlkeler (1) Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4 üncü maddesindeki genel ilkeler ile 12 nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur. 108

110 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK (3) Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır. (4) Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür. (5) Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer. MADDE 8 Kişisel verilerin silinmesi (1) Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. (2) Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. MADDE 9 Kişisel verilerin yok edilmesi (1) Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. (2) Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. MADDE 10 Kişisel verilerin anonim hale getirilmesi (1) Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. 109

111 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK (2) Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. (3) Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. MADDE 11 Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri (1) Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. (2) Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez. (3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir. (4) Kurul, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu maddede belirlenen süreleri kısaltabilir. MADDE 12 Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri (1) İlgili kişi, Kanunun 13 üncü maddesine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde; 110

112 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir. DÖRDÜNCÜ BÖLÜM: Çeşitli ve Son Hükümler MADDE 13 Tereddütlerin giderilmesi (1) Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gidermeye ve uygulamayı yönlendirmeye, ilke ve standartları belirlemeye ve uygulama birliğini sağlayacak gerekli düzenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi istemeye, bu Yönetmelikte yer almayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul yetkilidir. MADDE 14 Yürürlük (1) Bu Yönetmelik 1/1/2018 tarihinde yürürlüğe girer. MADDE 15 Yürütme (1) Bu Yönetmelik hükümlerini Başkan yürütür. 111

113

114 KİŞİSEL VERİLERİ KORUMA KURULU ÇALIŞMA USUL VE ESASLARINA DAİR YÖNETMELİK tarihli sayılı Resmi Gazete de yayımlanmıştır. BİRİNCİ BÖLÜM: Amaç, Kapsam, Dayanak ve Tanımlar MADDE 1 Amaç ve kapsam (1) Bu Yönetmelik Kişisel Verileri Koruma Kurulunun çalışma usul ve esaslarını, görevlerini, yetkilerini ve sorumluluklarını belirlemek için hazırlanmıştır. MADDE 2 Dayanak (1) Bu Yönetmelik, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 22 nci ve 23 üncü maddesine dayanılarak hazırlanmıştır. MADDE 3 Tanımlar (1) Bu Yönetmelikte geçen; a) Başkan: Kişisel Verileri Koruma Kurumu Başkanını, b) Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu, c) Kurul: Kişisel Verileri Koruma Kurulunu, ç) Kurum: Kişisel Verileri Koruma Kurumunu, d) Üye: Kişisel Verileri Koruma Kurulu üyesini, ifade eder. 113

115 KİŞİSEL VERİLERİ KORUMA KURULU ÇALIŞMA USUL VE ESASLARINA DAİR YÖNETMELİK İKİNCİ BÖLÜM: Kişisel Verileri Koruma Kurulu MADDE 4 Kurul (1) Kurul, Kurumun karar organıdır. Kurul; biri Başkan, biri İkinci Başkan olmak üzere toplam dokuz üyeden oluşur. (2) Kurulun beş üyesi Türkiye Büyük Millet Meclisi, iki üyesi Cumhurbaşkanı, iki üyesi Bakanlar Kurulu tarafından seçilir. (3) Kurul, Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirir ve kullanır. Görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişi, Kurula emir ve talimat veremez, tavsiye veya telkinde bulunamaz. MADDE 5 Başkan (1) Kurumun en üst yöneticisi olan Başkan, Kurumun genel yönetim ve temsili ile Kurul tarafından alınan kararların yürütülmesinden sorumludur. (2) Başkan ve İkinci Başkan Kurul tarafından ayrı ayrı seçilir. Seçimde aday gösterilmez. Seçimin gizli veya açık oylamayla yapılacağı Kurulca kararlaştırılır. Sonuç bir tutanakla belirtilir ve toplantıya katılan Kurul üyelerince imzalanır. (3) Başkanın izin, hastalık, yurt dışı görev ve diğer nedenlerle yokluğunda İkinci Başkan, Başkana vekaleteder. MADDE 6 Üyeler (1) Kurul üyelerinin görev süresi dört yıldır. Süresi biten üye yeniden seçilebilir. Görev süresi dolmadan herhangi bir sebeple görevi sona eren üyenin yerine seçilen kişi, yerine seçildiği üyenin kalan süresini tamamlar. (2) Kurul üyelerinin süreleri dolmadan herhangi bir nedenle görevlerine son verilemez. Kurul üyelerinin; a) Seçilmek için gereken şartları taşımadıklarının sonradan anlaşılması, 114

116 KİŞİSEL VERİLERİ KORUMA KURULU ÇALIŞMA USUL VE ESASLARINA DAİR YÖNETMELİK b) Görevleriyle ilgili olarak işledikleri suçlardan dolayı haklarında verilen mahkûmiyet kararının kesinleşmesi, c) Görevlerini yerine getiremeyeceklerinin sağlık kurulu raporuyla kesin olarak tespit edilmesi, ç) Görevlerine izinsiz, mazeretsiz ve kesintisiz olarak on beş gün ya da bir yılda toplam otuz gün süreyle devam etmediklerinin tespit edilmesi, d) Bir ay içinde izinsiz ve mazeretsiz olarak toplam üç, bir yıl içinde toplam on Kurul toplantısına katılmadıklarının tespit edilmesi, hâllerinde Kurul kararıyla üyelikleri sona erer. MADDE 7 Kurulun görev ve yetkileri (1) Kurulun görev ve yetkileri şunlardır: a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak. b) Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak. c) Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak. ç) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak. d) Özel nitelikli kişisel verilerin işlenmesi için alınması gereken yeterli önlemleri belirlemek. e) Veri Sorumluları Sicilinin tutulmasını sağlamak. f) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esasları belirlemek. 115

117 KİŞİSEL VERİLERİ KORUMA KURULU ÇALIŞMA USUL VE ESASLARINA DAİR YÖNETMELİK g) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak. ğ) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak. h) Yurt dışına veri aktarılabilmesi için yeterli korumaya sahip olan ve olmayan ülkeleri belirleyip ilan etmek. ı) Kişisel verilerin korunması, işlenmesi ve güvenliği ile ilgili sektörel uygulama esaslarını belirlemek ve akreditasyon, sertifikasyon, eğitim ile rehberlik konularında usul ve esasları belirlemek. i) Kişisel verilerin korunması ile ilgili yurt içi ve yurt dışı projeler yapmak ve yaptırmak. j) Kişisel verilerin korunması konusunda kurum ve kuruluşları bilgilendirmek, kamuoyuna yönelik farkındalıkfaaliyetleri gerçekleştirmek. k) Ücret tarifeleri ile ilgili çalışmalar yapmak. l) Üniversiteler ve ilgili diğer yurt içi ve yurt dışı kurum ve kuruluşlarla işbirliği ve koordinasyon çalışmaları yürütmek. m) Kanunda öngörülen idari yaptırımlara karar vermek. n) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek. o) Kurumun; stratejik planını karara bağlamak, amaç ve hedeflerini, hizmet kalite standartlarını ve performans kriterlerini belirlemek. ö) Kurumun stratejik planı ile amaç ve hedeflerine uygun olarak hazırlanan bütçe teklifini görüşmek ve karara bağlamak. p) Kurumun performansı, mali durumu, yıllık faaliyetleri ve ihtiyaç duyulan konular hakkında hazırlanan rapor taslaklarını onaylamak ve yayımlamak. 116

118 KİŞİSEL VERİLERİ KORUMA KURULU ÇALIŞMA USUL VE ESASLARINA DAİR YÖNETMELİK r) Taşınmaz alımı, satımı ve kiralanması konularındaki önerileri görüşüp karara bağlamak. ÜÇÜNCÜ BÖLÜM: Kurulun Çalışma Usul ve Esasları MADDE 8 Kurulun gündemi (1) Kurul toplantı gündemleri; Başkan tarafından belirlenir. (2) Gündem ve gündemdeki konulara ilişkin karar taslakları, karar için gerekli dokümanlar ile Kurumun görüş ve önerileri, toplantı tarihinden en az 3 gün önce İnceleme Dairesi Başkanlığı tarafından üyelere dağıtılır. (3) Bir toplantıda, gündem maddelerinin görüşülmesi süre nedeniyle bitirilemezse; görüşülemeyen maddeler herhangi bir işleme gerek kalmaksızın bir sonraki toplantı gündemine dahil edilir. MADDE 9 Toplantı ve karar yeter sayısı (1) Kurul, Başkan dâhil en az altı üye ile toplanır. (2) Kurul, Başkanın belirleyeceği tarihte toplanır. Başkan gereken hâllerde Kurulu olağanüstü toplantıya çağırabilir. (3) Üyelerin bütün toplantılarda bulunmaları esastır. (4) Toplantıya katılamayacak olan üyeler, geçerli mazeretlerini yazılı olarak Başkanlığa bildirirler. (5) Kurul, üye tam sayısının salt çoğunluğuyla karar alır. Kurul üyeleri çekimser oy kullanamaz. (6) Toplantılar esas itibariyle Kurum merkezinde yapılır. İhtiyaç duyulması halinde Kurulca, Kurum merkezi dışındaki yerlerde de toplantı yapılabilmesine karar verilebilir. (7) Toplantıların fiziki olarak yapılması esas olmakla birlikte ihtiyaç duyulması ve Başkanın uygun görmesi halinde gerekli güvenlik önlemleri alınarak 117

119 KİŞİSEL VERİLERİ KORUMA KURULU ÇALIŞMA USUL VE ESASLARINA DAİR YÖNETMELİK elektronik ortamda toplantı yapılabilir ya da elektronik yollarla toplantıya katılım sağlanabilir. MADDE 10 Görüşmelerde usul ve oylama (1) Kararlar, müzakere yapılarak alınır. Konular gündemdeki sıralarına göre görüşülür. (2) Başkan, gündem maddelerinin görüşülmesinde sıra dâhilinde Kurul üyelerine söz verir. Konu üzerinde görüşmeler tamamlandıktan sonra gündem maddesi oya sunulur. (3) Kararlar, kabul veya ret için el kaldırmak suretiyle işaretle oylanır. (4) Kurul kararları toplantı bitiminde tutanak altına alınır. (5) Kurul üyeleri; kendilerini, üçüncü dereceye kadar kan ve ikinci dereceye kadar kayın hısımlarını, evlatlıklarını ve aralarındaki evlilik bağı kalkmış olsa bile eşlerini ilgilendiren konularla ilgili toplantı ve oylamaya katılamaz. Bu durum karar metninde ayrıca belirtilir. MADDE 11 Görüşmelerin gizliliği ve toplantılara katılabilecek olanlar (1) Aksi kararlaştırılmadıkça, Kurul toplantılarındaki görüşmeler gizlidir. Kurul toplantılarına, Başkan ve üyeler ile görüşme tutanaklarını düzenlemekle görevli personel dışında hiç kimse katılamaz. Ancak, Başkan tarafından, ihtiyaç duyulması halinde taraflar, kişiler veya temsilciler Kurul toplantısına davet edilebilir. Ancak Kurul kararları toplantıya dışarıdan katılanların yanında alınmaz. MADDE 12 Karar (1) Toplantıda görüşülen gündem maddelerine ilişkin alınan kararlar tutanakla tespit edilir. (2) Karar tutanağı toplantı esnasında toplantıya katılan tüm üyeler tarafından imzalanır. 118

120 KİŞİSEL VERİLERİ KORUMA KURULU ÇALIŞMA USUL VE ESASLARINA DAİR YÖNETMELİK (3) Kanunda belirtilen süreler saklı kalmak üzere, Kurul kararı, alındığı toplantı tarihinden itibaren en geç on beş gün içinde gerekçeleri, varsa karşı oy gerekçeleri ile birlikte yazılır. (4) Toplantıya katıldığı halde Kurul kararlarını süresi içinde mazeretsiz olarak imzalamayan Kurul üyeleri, ilgili toplantı tutanağındaki beyanları doğrultusunda oy kullanmış sayılır. (5) Kurul toplantısında alınan her bir kararın yazıldığı son sayfa, toplantıya katılan üyelerin isimleri yazılmak suretiyle üyelerce imzalanır, önceki sayfalar ise imzalanır veya paraflanır. (6) Toplantı ve karar numaraları, her yıl birden başlar ve o yılın sonuna kadar sıra numarasını takip eder. MADDE 13 Kararlarda bulunması gereken hususlar (1) Şikâyet üzerine veya ihlal iddiasının öğrenilmesi durumunda resen yapılan inceleme sonucu verilen kararlar aşağıdaki hususları ihtiva eder: a) Karar veren Kurul üyelerinin ad ve soyadları. b) İnceleme ve araştırmayı yapanların ad ve soyadları. c) Tarafların adı, soyadı ve unvanları ile adresleri ve sıfatları. ç) Tarafların iddia ve beyanlarının özeti. d) İddia ve beyanların değerlendirilmesi. e) Kararın hukuki dayanağı. f) Sonuç. g) Varsa karşı oy gerekçeleri. (2) Diğer kararlar aşağıdaki hususları ihtiva eder: a) Karar veren Kurul üyelerinin ad ve soyadları. b) Kararın konusu ve hukuki dayanağı. 119

121 KİŞİSEL VERİLERİ KORUMA KURULU ÇALIŞMA USUL VE ESASLARINA DAİR YÖNETMELİK c) Sonuç. ç) Varsa karşı oy gerekçeleri. MADDE 14 Kararların saklanması (1) Kararlar İnceleme Dairesi Başkanlığı tarafından dosyalanır. Kararların onaylı örnekleri ilgili birimlere gönderilir. (2) Birimlere gönderilecek onaylı karar örneklerinde karşı oy gerekçeleri bulunmaz. (3) Karar örneklerinin aslına uygunluğu İnceleme Dairesi Başkanlığı tarafından onaylanır. MADDE 15 Kararların açıklanması ve yayımlanması (1) Kurul, gerekli gördüğü kararları kamuya duyurur. (2) Kurul kararları, yazımın tamamlanmasının ardından ilgili taraflara bildirilir. (3) Toplantılarda görüşülen konular ve alınan kararlar hakkında basın ve yayın organlarına ancak Başkan tarafından açıklama yapılabilir. MADDE 16 Komisyon çalışmaları (1) Kurulda görüşülüp, kararlaştırılması gereken konuların ön incelemesini yapıp, daha ayrıntılı bir kapsam ve derinlikte Kurula sunmak üzere, üyelerden oluşan ihtisas komisyonu veya çalışma grupları Kurul kararıyla kurulabilir. Söz konusu komisyon veya çalışma gruplarında Kurul kararıyla Kurum personeli görevlendirilebilir. MADDE 17 Sır saklama (1) Kurul üyeleriyle, Başkan tarafından ihtiyaç duyulması halinde Kurul toplantısına ya da hazırlık çalışmalarına katılanlar, çalışmaları sırasında ilgililere ve üçüncü kişilere ait öğrendikleri sırları bu konuda kanunen yetkili kılınan mercilerden başkasına açıklayamazlar ve kendi yararlarına 120

122 KİŞİSEL VERİLERİ KORUMA KURULU ÇALIŞMA USUL VE ESASLARINA DAİR YÖNETMELİK kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. DÖRDÜNCÜ BÖLÜM: Çeşitli ve Son Hükümler MADDE 18 Düzenleme yetkisi (1) Bu Yönetmelikte yer almayan ya da açıklık bulunmayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye, uygulamayı düzenlemeye ve yönlendirmeye Kurul yetkilidir. MADDE 19 Yürürlük (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer. MADDE 20 Yürütme (1) Bu Yönetmelik hükümlerini Başkan yürütür. 121

123

124 VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK tarihli sayılı Resmi Gazete de yayımlanmıştır. BİRİNCİ BÖLÜM: Amaç, Kapsam, Dayanak ve Tanımlar MADDE 1 Amaç (1) Bu Yönetmeliğin amacı, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak tutulacak olan Veri Sorumluları Sicilinin oluşturulması, idaresi ile Veri Sorumluları Siciline yapılması öngörülen kayıtlara ilişkin usul ve esasları belirlemek ve uygulanmasını sağlamaktır. MADDE 2 Kapsam (1) Bu Yönetmelik, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişileri kapsar. MADDE 3 Dayanak (1) Bu Yönetmelik, 6698 sayılı Kanunun 16 ncı maddesinin beşinci fıkrası ile 22 nci maddesinin birinci fıkrasının (d) ve (e) bentlerine dayanılarak hazırlanmıştır. MADDE 4 Tanımlar (1) Bu Yönetmelikte geçen; a) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini, b) Başkan: Kişisel Verileri Koruma Kurumu Başkanını, c) Başkanlık: Kişisel Verileri Koruma Kurumu Başkanlığını, ç) İrtibat kişisi: Türkiye de yerleşik olan tüzel kişiler ile Türkiye de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı 123

125 VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişiyi, d) Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanununu, e) Kayıt: Kayıt yükümlülüğü altında bulunan veri sorumlularının Yönetmelik ile belirlenen usul ve esaslara uygun olarak yaptığı bildirimi, f) Kayıt yükümlülüğü: Yönetmelik uyarınca gerçekleştirilmesi gereken kayıt ile ilgili yükümlülüğü, g) Kayıtlı elektronik posta (KEP) adresi: Elektronik iletilerin, gönderimi ve teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukuki delil sağlayan, elektronik postanın nitelikli şeklini, ğ) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, h) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri, ı) Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı, i) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, 124

126 VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, j) Kurul: Kişisel Verileri Koruma Kurulunu, k) Kurum: Kurul ve Başkanlıktan oluşan Kişisel Verileri Koruma Kurumunu, l) Sicil: Başkanlık tarafından tutulan Veri Sorumluları Sicilini, m) Veri kategorisi: Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfını, n) Veri konusu kişi grubu: Veri sorumlularının kişisel verilerini işledikleri ilgili kişi kategorisini, o) Veri sorumluları sicil bilgi sistemi (VERBİS): Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemini, ö) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, p) Veri sorumlusu temsilcisi: Türkiye de yerleşik olmayan veri sorumlularını bu Yönetmeliğin 11 inci maddesinin ikinci fıkrasında belirtilen konularda asgari temsile yetkili Türkiye de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi, ifade eder. (2) Bu Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar uygulanır. 125

127 VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK İKİNCİ BÖLÜM: Sicilin Oluşturulması, İdaresi, Gözetimi ve Sicile Erişim MADDE 5 İlke, usul ve esaslar (1) Sicilin oluşturulması, idaresi ve gözetimi hususunda aşağıdaki ilke, usul ve esaslara uyulur: a) Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kaydolmak zorundadır. b) Türkiye de yerleşik olmayan veri sorumluları, veri işlemeye başlamadan önce veri sorumlusu temsilcisi marifetiyle Sicile kaydolmak zorundadır. c) Sicil kamuya açık biçimde tutulur. Kurul, kamuya açıklık ilkesinin sağlanması şartıyla, bu ilkenin kapsamı ve istisnalarını belirleme yetkisini haizdir. ç) Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır. d) Kanunun 10 uncu maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, Kanunun 13 üncü maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır. e) Veri sorumluları, Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur. Veri sorumlularının Sicile kaydolması Kanun kapsamındaki diğer yükümlülüklerini ortadan kaldırmaz. f) Kanunun 28 inci maddesinde belirtilen durumlar saklı kalmak kaydıyla Yönetmeliğin 16 ncı maddesinde belirtilen objektif kriterlere dayalı olarak belirli şartları taşıyan veri sorumlularının Kurul tarafından Sicile kayıtla yükümlü tutulmaması; bu veri sorumlularının Kanun kapsamındaki yükümlülüklerini ortadan kaldırmaz. 126

128 VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK g) Sicile ilişkin işlemler, veri sorumluları tarafından VERBİS üzerinden gerçekleştirilir. ğ) Veri sorumluları tarafından Sicile sunulan ve Sicilde yayınlanan kişisel verilerin işlendikleri amaç için gerekli olan azami süre; Kanunun 7 nci maddesinde belirtilen veri sorumlularının silme, yok etme veya anonim hale getirme yükümlülüklerinin yerine getirilmesinde esas alınır. MADDE 6 Sicilin oluşturulması, idaresi ve gözetimi (1) Sicil, Başkanlık tarafından oluşturulur. Başkanlık, Sicilin oluşturulması, idaresi, güncel biçimde tutulması ve muhafaza edilmesi amacıyla; VERBİS in kurulması ve işletilmesi için gerekli teknik ve idari tedbirleri alır. (2) Sicilin oluşturulmasından ve idaresinden sorumlu hizmet birimi, Veri Yönetimi Dairesi Başkanlığıdır. (3) Sicilin gözetimi Kurul tarafından gerçekleştirilir. Veri Yönetimi Dairesi Başkanlığı tarafından üç aylık dönemler halinde hazırlanan ve kapsamı Kurul tarafından belirlenecek olan faaliyet raporu Kurula sunulur. MADDE 7 Sicile erişim (1) Başkanlık, Sicilde yer alan güncel bilgileri Kurul kararları uyarınca belirlenecek uygun yöntemlerle kamuya açıklar. (2) Veri sorumluları sicilinde yer alan bilgilerden aşağıdakiler kamuya açıklanır: a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisinin adı, adresi ve alınmış olması halinde KEP adresi, b) Kişisel verilerin hangi amaçlarla işlenebileceği, c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri, ç) Kişisel verilerin aktarılabileceği alıcı ve alıcı grupları, d) Yabancı ülkelere aktarımı öngörülen kişisel veriler, 127

129 VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK e) Sicile kayıt tarihi ile kaydın sona erdiği tarih, f) Kişisel veri güvenliğine ilişkin alınan tedbirler, g) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre. ÜÇÜNCÜ BÖLÜM: Kayıt Yükümlülüğünün Başlangıcı, VERBİS e Girilecek Bilgiler, Kayıt Başvurusu, Kaydın Yenilenmesi ve Silinmesi MADDE 8 Kayıt yükümlülüğünün başlangıcı (1) Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kayıt yükümlülüklerini yerine getirmek zorundadır. (2) Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline gelen veri sorumluları, yükümlülük altına girmelerini müteakip otuz gün içerisinde Sicile kaydolurlar. (3) Kayıt yükümlülüğü altında bulunan veri sorumluları, herhangi bir fiili, teknik ya da hukuki imkânsızlık nedeniyle kayıt yükümlülüklerinin yerine getirilememesi halinde, bu imkânsızlığın ortaya çıktığı tarihten itibaren en geç 7 iş günü içerisinde Kuruma yazılı olarak başvurmak ve gerekçesini belirtmek şartıyla, kayıt yükümlülüklerini yerine getirmek için Kurumdan ek süre talep edebilirler. Kurum, bir defaya mahsus olmak ve her halde otuz günü geçmemek üzere ek süre verebilir. MADDE 9 Kayıt yükümlülüğü kapsamında iletilecek bilgiler (1) Sicile yapılan kayıt başvurusu aşağıdaki bilgileri içerir: a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler, b) Kişisel verilerin hangi amaçla işleneceği, 128

130 VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, d) Yabancı ülkelere aktarımı öngörülen kişisel veriler, e) Kanunun 12 nci maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler, f) Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi. (2) Veri sorumluları tarafından birinci fıkranın (b), (c), (ç) ve (d) bentleri uyarınca Sicile açıklanacak bilgiler; Kişisel Veri İşleme Envanterine dayalı olarak VERBİS te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir. (3) Veri sorumluları tarafından birinci fıkranın (e) bendi uyarınca Sicile açıklanacak bilgiler; Kanunun 12 nci maddesinde belirtilen hususları kapsayacak şekilde VERBİS te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir. (4) Veri sorumluları tarafından birinci fıkranın (f) bendi uyarınca Sicile açıklanacak kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresine ilişkin bilgiler veri kategorileri ile eşleştirilerek Sicile bildirilir. Veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi öngörülmüşse öngörülen bu süre yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılır. Kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi belirlenirken; 129

131 VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK a) İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre, b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre, c) İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre, ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre, d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı, e) Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre, f) Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi, dikkate alınır. (5) Veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin kişisel veri işleme envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için kişisel veri saklama ve imha politikası hazırlayarak, bu politikanın uygulanmasını temin ederler. (6) VERBİS içerisinde belirtilen başlıkların ve içeriklerinin, veri sorumlusunun gerçekleştirdiği faaliyetleri ve Sicile iletmesi gereken bilgileri tam olarak kapsamaması durumunda; veri sorumlusu bu bilgileri ayrıca VERBİS içerisinde bu amaca ilişkin ayrılan Diğer başlıklı bölümlere girerek Sicile bildirimini tamamlar. 130

132 VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK MADDE 10 Kayıt başvurusu (1) Veri sorumluları, 9 uncu maddede belirtilen bilgileri VERBİS e yüklemek suretiyle kayıt yükümlülüğünü yerine getirmiş sayılır. (2) Kurum tarafından 8 inci maddenin üçüncü fıkrasında belirtildiği üzere kendilerine ek süre verilmiş olan veri sorumluları, bu süre tamamlanmadan kayıt başvurusunu tamamlamak zorundadır. MADDE 11 Veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisinin yükümlülükleri (1) Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmaz. (2) Türkiye de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli örneği, kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kuruma sunulur. (3) Veri sorumlusu temsilcisi atama kararı, asgari olarak aşağıda belirtilen hususları kapsayacak şekilde düzenlenir: a) Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme, b) Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletme, veri sorumlusundan gelecek cevabı Kuruma iletme, 131

133 VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK c) Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilerin Kanunun 13 üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri sorumlusuna iletme, ç) Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilere Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca veri sorumlusunun cevabını iletme, d) Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapma. (4) Türkiye de yerleşik olan tüzel kişiler Sicile kayıt sırasında irtibat kişisi bilgilerini Sicile işlerler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar. (5) Kamu kurum ve kuruluşlarında irtibat kişisi, üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir. MADDE 12 İletişimin sağlanması (1) Kanunun uygulanmasıyla ilgili olarak Kurum tarafından veri sorumlusuyla kurulacak her türlü iletişim; a) Türkiye de yerleşik tüzel kişiler için, Sicile bildirilen kimlik, adres veya KEP adresi bilgileri üzerinden ilgili tüzel kişi, b) Türkiye de yerleşik gerçek kişiler için, Sicile bildirilen kimlik, adres veya KEP adresi bilgileri üzerinden ilgili gerçek kişi, c) Türkiye de yerleşik olmayan veri sorumluları için, Sicile bildirilen veri sorumlusu temsilcisi, vasıtasıyla gerçekleştirilir. 132

134 VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK MADDE 13 Kayıt bilgilerinde değişiklikler (1) Veri sorumluları, sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, VERBİS üzerinden yedi gün içerisinde Kuruma bildirir. MADDE 14 Sicil kaydının silinmesi (1) Veri sorumlusu, sicil kaydının silinmesine ilişkin olarak VERBİS üzerinden Kuruma başvurur. (2) Kayıt yükümlüğünü gerektiren faaliyet sona erer ya da ortadan kalkarsa, sicil kaydı silinir. Bu kayıtlar, istendiğinde erişilebilir olmakla birlikte üzerinde herhangi bir değişiklik yapılamayacak şekilde tutulur. (3) Sicil kaydının silinmesi veri sorumlusunun Sicile kayıtlı olduğu dönemdeki yükümlülüklerini ortadan kaldırmaz. DÖRDÜNCÜ BÖLÜM: Kayıt Yükümlülüğünün İstisnaları MADDE 15 İstisna uygulanacak haller (1) Aşağıda belirtilen kişisel veri işleme faaliyetleri bakımından veri sorumlusunun bu faaliyetleri Sicile kayıt etmesi ve bildirmesi yükümlülüğü yoktur: a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi. c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması. 133

135 VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması. MADDE 16 İstisna kriterleri (1) Kurul, aşağıdaki kriterleri göz önünde bulundurarak kayıt yükümlülüğüne istisna getirebilir: a) Kişisel verinin niteliği. b) Kişisel verinin sayısı. c) Kişisel verinin işlenme amacı. ç) Kişisel verinin işlendiği faaliyet alanı. d) Kişisel verinin üçüncü kişilere aktarılma durumu. e) Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması. f) Kişisel verilerin muhafaza edilmesi süresi. g) Veri konusu kişi grubu veya veri kategorileri. (2) Kurul, birinci fıkrada sayılan kriterler çerçevesinde belirlenen istisnaların kapsamı ile uygulama usul ve esaslarını belirlemek amacıyla karar alma yetkisini haizdir. Kurul bu kararlarını uygun yöntemlerle yayımlayarak kamuya duyurur. BEŞİNCİ BÖLÜM: Çeşitli ve Son Hükümler MADDE 17 İdari yaptırım (1) Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında Kanunun 18 inci maddesinin birinci fıkrasının (ç) bendinde yer alan idari para cezası uygulanır. (2) Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi eyleminin, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki 134

136 VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir. MADDE 18 Tereddütlerin giderilmesi (1) Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gidermeye ve uygulamayı yönlendirmeye, ilke ve standartları belirlemeye ve uygulama birliğini sağlayacak gerekli düzenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi istemeye, bu Yönetmelikte yer almayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul yetkilidir. MADDE 19 Yürürlük (1) Bu Yönetmelik 1/1/2018 tarihinde yürürlüğe girer. MADDE 20 Yürütme (1) Bu Yönetmelik hükümlerini Başkan yürütür. 135

137

138 TÜRK HUKUKUNDAKİ DİĞER DÜZENLEMELER 137

139

140 1774 SAYILI KİMLİK BİLDİRME KANUNU tarihli sayılı Resmi Gazete de yayımlanmıştır. MADDE 1 Bu Kanunda sayılan, özel veya resmi, her türlü konaklama, dinlenme bakım ve tedavi tesisleri ve işyerleri ile konutlarda GEÇİCİ veya sürekli olarak kalanlar, oturanlar, çalışanlar ve ayrılanlar ile araç kiralayan gerçek ve tüzel kişilerin kimliklerinin tespiti ve bildirilmesi bu Kanunun hükümlerine göre yapılır. 4 Askeri konaklama, dinlenme ve kamp tesisleri ile ordu evleri bu Kanunun kapsamı dışındadır. MADDE 2 Otel, motel, han, pansiyon, bekar odaları, günübirlik kiralanan evler, kamp, kamping, tatil köyü ve benzeri her türlü, özel veya resmi konaklama yerleri ile özel sağlık müesseseleri, dinlenme ve huzur evleri, dini ve hayır kurumlarının sosyal tesislerinin sorumlu işleticileri, bu yerlerde ücretli veya ücretsiz, gündüz veya gece, yatacak yer gösterdikleri yerli veya yabancı herkesin kimlik ve geliş- ayrılış kayıtlarını, örneğine ve usulüne uygun şekilde günü gününe tutmak, genel kolluk örgütlerinin her an incelemelerine hazır bulundurmak, Devlet İstatistik Enstitüsüne, talebi halinde vermek zorundadırlar /3/2015 tarihli ve 6638 sayılı Kanunun 18 inci maddesiyle, bu fıkrada yer alan ayrılanların ibaresi ayrılanlar ile araç kiralayan gerçek ve tüzel kişilerin şeklinde değiştirilmiştir. 5 31/10/2016 tarihli ve 678 sayılı KHK nin 2 nci maddesiyle, bu maddenin birinci fıkrasına bekar odaları, ibaresinden sonra gelmek üzere günübirlik kiralanan evler, ibaresi eklenmiştir. 139

141 1774 SAYILI KİMLİK BİLDİRME KANUNU MADDE 3 İkinci maddede sayılan tesislerin sorumlu işleticilerinin kimlikleri, tesis açılmadan evvel müessesenin sahibi veya kanuni temsilcisi tarafından örneğine uygun şekilde, en yakın kolluk örgütüne bildirilir. Sorumlu işleticinin değişmesi halinde keyfiyetin 24 saat içinde ve yukarıdaki fıkrada gösterilen şekilde bildirilmesi zorunludur. İşleticiler, kendilerine bu konuda verilen görev ve yükümlülükleri, kendi sorumlulukları altında yöneticilerine devredebilirler. Bu durumda işletici ve yönetici müştereken sorumlu olurlar. Kamu kuruluşlarına ait tesislerin amir ve müdürleri işletici gibi sorumludurlar. MADDE 4 İkinci maddedeki tesislerin sorumlu işleticileri, müesseselerinde sürekli veya GEÇİCİ olarak çalıştırdıkları kimseleri ve bunların ayrılışlarını, örneğine uygun kimlik bildirme belgesi doldurarak, 24 saat içinde bağlı oldukları en yakın kolluk örgütüne bildirirler. Kolluk örgütüne bildirilerek çalıştırılanlara, sorumlu işletici tarafından doldurulup onaylanan, örneğine uygun bir kimlik kartı verilir. Kolluk görevlilerince her istenildiğinde bu kimlik kartının gösterilmesi zorunludur. MADDE 5 (Mülga: 25/4/ /71 md.) MADDE 6 Şehir, kasaba ve köy sınırları içindeki; a) (Mülga: 25/4/ /71 md.) b) Bu Kanunun ikinci maddesinde sayılanlar dışında kalan her çeşit ticaret ve sanat amacı güden iş yerlerinde çalışanlar ve buralarda her türlü barındırmalar için iş yerlerinin sorumlu işleticisi; 140

142 1774 SAYILI KİMLİK BİLDİRME KANUNU c) Öğrenci yurtları ve benzeri yerlerde çalışanlar ile bu yerlerde kalmakta olan öğrenciler için o yerin sorumlu işleticisi; (Ek ibare: 25/4/ /72 md.) tarafından örneğine uygun kimlik belgesi doldurularak üç gün içinde genel kolluk örgütüne verilmesi zorunludur. d) (Mülga: 25/4/ /71 md.) Konutun değiştirilmesi veya (b) ve (c) bentlerinde sayılan konut, iş yeri ve yurtlarda çalışmakta veya barınmakta olanların ayrılmaları halinde de, yukarıdaki şekil ve süre içinde bildirim belgesi gereklidir. 6 (Değişik: 29/8/ /8 md.) Kimlik bildirimleri, mahalli kolluk örgütüne verilmeden evvel mahalle veya köy muhtarına onaylatılır. MADDE 7 GEÇİCİ yer değiştirmelerde; a) Konutlarda 30 günden fazla kalacak misafir için aile reisi; b) Yaylak ve kışlak gibi yerlere mevsimlik olarak göçenler için de aile reisi tarafından, örneğine uygun bildirim, Üç gün içinde kolluk örgütüne verilir. MADDE 8 (Mülga: 25/4/ /71 md.) MADDE 9 Bu Kanun hükümlerine göre kimlik bildirme belgesini yetkili idareye vermekle yükümlü tutulanlar, kimliğini nüfus hüviyet cüzdanı ve diğer resmi 6 25/4/2006 tarihli ve 5490 sayılı Kanunun 72 nci maddesiyle; bu fıkrada yer alan "olanlar ile (d) bendinde belirtilen yerlerde kalanların" ibaresi "olanların" şeklinde değiştirilmiş ve metne işlenmiştir. 141

143 1774 SAYILI KİMLİK BİLDİRME KANUNU geçerli belgelerle ispat edemeyen kimseleri tesislerinde barındıramaz, konut ve işyerlerinde çalıştıramaz. MADDE 10 Kahvehane, oyun salonu, kulüp, lokal ve benzeri yerlerde ve bu Kanunun kapsamına giren diğer yatısız iş yerlerinde, özel kanunları müsaade ettiği takdirde, ancak sahipleri ve çalıştırdıkları kimseler yatabilir, başkaları kalamazlar. İskele, istasyon, hava meydanı terminal, garaj, benzin istasyonu ve benzeri kara, deniz ve hava ulaşım merkezleri ile fuar, panayır, sergi ve pazar kurulması gibi zorunluluk olan zaman ve yerlerde, sabahçı kahvesi ve benzeri diğer tesislere, bağlı olduğu kolluk kuvvetinin görüşü alınmak şartıyla belediye veya il özel idaresi tarafından GEÇİCİ veya, sürekli olarak izin verilebilir. Buralarda kalanlar için bildirim yapılmaz. 7 MADDE 11 Kat mülkiyetine tabi taşınmaz mal yöneticileri ve kapıcıları, binalarında bildirim dışı kimselerin oturup oturmadığını, çalışıp çalışmadığını, garaj, kömürlük, boş daire gibi bölümlere saklanmalar, sığınmalar, bazı eşya veya maddeleri gizlemeler olup olmadığını kontrol etmekle yükümlüdürler. Bütün kat sahipleri ve kiracıları ile binada çalışanlar bu konularda yöneticiye yardımcı olmak ve gereken bilgileri vermek zorundadırlar. Yönetici ve kapıcıların, bu Kanuna aykırılıkları ve diğer şüpheli gördükleri hususları, bağlı oldukları genel kolluk örgütüne bildirmeleri gereklidir. 7 Bu fıkrada yer alan "bağlı olduğu kolluk örgütünün ve ilgili mahalli idarenin görüşü alınarak mahalli ve en büyük mülkiye amiri tarafından ibaresi, 24/11/2004 tarihli ve 5259 sayılı Kanunun 6 ncı maddesiyle " bağlı olduğu kolluk kuvvetinin görüşü alınmak şartıyla belediye veya il özel idaresi tarafından olarak değiştirilmiş ve metne işlenmiştir. 142

144 1774 SAYILI KİMLİK BİLDİRME KANUNU MADDE 12 Bu Kanunun bildirimlerle ilgili maddelerinin uygulama biçimi, söz konusu kimlik bildirme belge, defter ve kartlarının şekli, muhtevası, verilişi, alınış, Adalet, İçişleri, Turizm ve Tanıtma ve Devlet İstatistik Enstitüsü işlerine bakan Devlet Bakanlıklarınca müştereken hazırlanacak bir yönetmelikle gösterilir. MADDE 13 (Mülga: 29/8/ /9 md.) MADDE 14 Bu Kanuna göre verilecek belgeler ve yapılacak her türlü bildirimler, her çeşit vergi, resim ve harçtan muaftır. Mahkeme kararı olmadıkça, yetkili resmi örgütler dışında, hiç kimsenin bunlardan yararlanmasına müsaade edilemez. MADDE 15 (Değişik: 23/1/ /363 md.) (1) ( ) 8 3 ve 4 üncü maddelerdeki yükümlülüklerden her birine aykırı hareket edenlere ikiyüzelli Türk Lirası idarî para cezası verilir. MADDE 16 (Mülga: 25/4/ /71 md.) MADDE 17 (Değişik: 23/1/ /364 md.) 6, 7, 9, 10 ve 11 inci maddelerdeki hükümlere aykırı hareket edenlere yirmi Türk Lirası; kimlik bildirme belgesinde gerçeğe uymayan bilgi verenlere yüz Türk Lirası idarî para cezası verilir. MADDE 18 (Değişik: 23/1/ /365 md.) Bu Kanunda belirtilen idarî para cezaları, mahallî mülkî amir tarafından verilir. 8 31/10/2016 tarihli ve 678 sayılı KHK nin 3 üncü maddesiyle, bu maddenin birinci fıkrasında yer alan 2, ibaresi yürürlükten kaldırılmıştır. 143

145 1774 SAYILI KİMLİK BİLDİRME KANUNU MADDE 19 10/6/l930 tarihli ve 1704 sayılı Otel Pansiyon, Ticarethane vesair Umumi Müesseselerde Oturan ve Çalışanların Hüviyet Varakası Vermeleri Mecburiyetine dair Kanun ile bu Kanunun bazı maddelerini tadil ve tashih icrasına ve bir MADDE ilavesine dair 14/1/1933 tarih ve 2099 sayılı Kanun yürürlükten kaldırılmıştır. EK MADDE 1 (Ek: 29/8/ /10 md.) Bu Kanunun uygulanması sırasında genel kolluk kuvvetlerine ait karakollara, il merkezlerinden de sorgulanabilen bilgisayar terminalleri konulur. Bunun için gerekli giderler İçişleri Bakanlığı bütçesine konulacak ödenekten karşılanır. (Değişik ikinci fıkra: 31/10/2016-KHK-678/4 md.) Bu Kanunun 2 nci maddesinde sayılan özel veya resmi her türlü konaklama tesisleri tüm kayıtlarını bilgisayarda günü gününe tutmak, genel kolluk kuvvetlerinin bilgisayar terminallerine bağlanarak mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerine anlık olarak bildirmek zorundadırlar. (Ek fıkra: 31/10/2016-KHK-678/4 md.) İkinci fıkrada belirtilen genel kolluk kuvvetlerinin terminallerine bağlanmayanlara onbin Türk Lirası, anlık veri göndermeyen veya gerçeğe aykırı kayıt tutanlara beşbin Türk Lirası idari para cezası, mülki idare amirlerince verilir. Bu fiillerin tekrarı halinde işletme ruhsatları iptal edilir. Bu maddeye göre verilen idari para cezaları tebliğinden itibaren bir ay içinde ödenir. (Ek fıkra: 31/10/2016-KHK-678/4 md.) Bu Kanunun 2 nci maddesinde sayılan özel veya resmi her türlü konaklama tesisleri, ikinci fıkrada belirtilen genel kolluk kuvvetlerinin terminallerine bağlanmak için gerekli işlemleri bu maddenin yürürlüğe girdiği tarihten itibaren iki ay içinde tamamlar. 144

146 1774 SAYILI KİMLİK BİLDİRME KANUNU (Ek fıkra: 31/10/2016-KHK-678/4 md.) Bu maddenin uygulanması ile görevi gereği bu verileri kullanan kamu personelinin denetimine ilişkin usul ve esaslar İçişleri Bakanlığı tarafından belirlenir. EK MADDE 2 (Ek: 15/5/ /12 md.) Bu Kanunun 4 üncü ve 6 ncı maddeleri gereğince verilen sürekli veya GEÇİCİ olarak çalışanlara ait kimlik bilgileri, genel kolluk kuvvetlerince ilgili Sosyal Güvenlik Kurumu Başkanlığı il müdürlükleri veya merkez müdürlüklerine bildirilir. EK MADDE 3 (Ek: 27/3/ /19 md.) Araç kiralama şirketlerinin sorumlu işleticileri ve yöneticileri, kiralanan araç bilgileri ile aracı kiralayanların kimlik bilgileri ve kira sözleşmesi kayıtlarını usulüne uygun şekilde günü gününe tutmak ve bu kapsamda mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerinin her an incelemelerine hazır bulundurmak zorundadırlar. Ancak araç kiralayanın kamu kurum veya kuruluşu olması hâlinde sadece kamu kurum veya kuruluşuyla yapılan sözleşme ile araç bilgileri sisteme kaydedilir. Araç kiralama esnasında gerçeğe aykırı kimlik kullananlar ile birinci fıkra kapsamında elde edilen bilgi ve kayıtları, hukuka aykırı olarak kullanan, bir başkasına veren, yayan veya ele geçiren kişi, 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu hükümlerine göre cezalandırılır. Birinci fıkrada belirtilen yükümlülüklere aykırı hareket edenlere beş bin Türk Lirası, gerçeğe aykırı kayıt tutan veya bilgi verenlere on bin Türk Lirası idari para cezası, mülki idare amirlerince verilir. Bu Kanuna göre verilen idari para cezaları tebliğinden itibaren 1 ay içinde ödenir. İşlenen bir suçun gizlenmesi amacıyla bilgilerin yok edilmesi hâlinde işletme ruhsatı iptal edilir. Bu fıkraya göre idari yaptırımların uygulanması ceza soruşturması ve kovuşturması yapılmasına engel değildir. 145

147 1774 SAYILI KİMLİK BİLDİRME KANUNU Bu maddenin uygulanması ile görevi gereği bu verileri kullanan kamu personelinin denetimine ilişkin esas ve usuller İçişleri Bakanlığı tarafından belirlenir. GEÇİCİ MADDE 1 Bu Kanunun yayım tarihi ile 12 nci MADDE gereğince hazırlanacak yönetmeliğin yürürlüğe giriş tarihi arasında geçecek süre içinde 1704 ve 2099 sayılı Kanunların uygulanmasına devam olunur. GEÇİCİ MADDE 2 Bu Kanunun yayımı tarihden sonra 12 nci maddedeki yönetmelik çıkıncaya kadar 5 inci MADDE ve 6 ncı maddenin (a), (c), (d) bentlerini gerekli görülen yerlerde uygulatmaya İçişleri Bakanı yetkilidir. GEÇİCİ MADDE 3 Bu Kanunun 12 nci maddesinde belirtilen yönetmelik, bu Kanunun yürürlüğe girdiği tarihten itibaren altı ay içinde çıkarılır. GEÇİCİ MADDE 4 (Ek: 27/3/ /20 md.) Bu maddenin yürürlüğe girdiği tarihten itibaren altı ay içinde araç kiralama şirketleri tüm kayıtlarını bilgisayarda tutmak ve bilgisayar terminallerini genel kolluk kuvvetlerinin ek 1 inci maddeye göre kurulan bilgisayar terminallerine bağlamak zorundadırlar. Bu şartı yerine getirmeyen işletmelere mülki idare amirlerince on bin Türk Lirası idari para cezası verilir. Bu fiilin tekrarı hâlinde işletme ruhsatları iptal edilir. MADDE 20 Bu Kanunun 6 ve 7 nci maddeleri, 6 ncı maddenin (b) bendi hariç, 12 nci maddeye dayanılarak çıkarılacak yönetmeliğin yürürlük tarihinde, diğer maddeleri bu Kanunun yayımı tarihinde yürürlüğe girer. 146

148 1774 SAYILI KİMLİK BİLDİRME KANUNU MADDE 21 Bu Kanun hükümlerini Bakanlar Kurulu yürütür SAYILI KANUNA EK VE DEĞİŞİKLİK GETİREN MEVZUATIN VEYA ANAYASA MAHKEMESİ TARAFINDAN İPTAL EDİLEN HÜKÜMLERİN YÜRÜRLÜĞE GİRİŞ TARİHİNİ GÖSTERİR LİSTE Değiştiren Kanunun/KHK nin/ 1774 sayılı Kanunun Yürürlüğe Giriş İptal Eden Anayasa değişen veya iptal Mahkemesi edilen maddeleri Tarihi Kararının Numarası /9/ /12/ ,6,8,16,17 29/4/ , 17, 18, Ek MADDE 1 8/2/ Ek MADDE 2 26/5/ , Ek MADDE 3, GEÇİCİ MADDE 4 4/4/2015 KHK/678 2, 15, Ek MADDE 1 22/11/

149

150 2559 SAYILI POLİS VAZİFE VE SELÂHİYET KANUNU (İLGİLİ HÜKÜMLER) tarihli 2751 sayılı Resmi Gazete de yayımlanmıştır. MADDE 5 - Parmak izi ve fotoğrafların kayda alınması (Değişik: 2/6/ /2 md.) Polis; a) Gönüllü, b) Her çeşit silah ruhsatı, sürücü belgesi, pasaport veya pasaport yerine geçen belge almak için başvuruda bulunan, c) Başta polis olmak üzere, genel veya özel kolluk görevlisi ya da özel güvenlik görevlisi olarak istihdam edilen, ç) Türk vatandaşlığına başvuruda bulunan, d) Sığınma talebinde bulunan veya gerekli görülmesi halinde, ülkeye giriş yapan sair yabancı, e) Gözaltına alınan, kişilerin parmak izini alır. Birinci fıkraya göre alınan parmak izi, ait olduğu kişinin kimlik bilgileri ile birlikte, ne zaman ve kim tarafından alındığı belirtilmek suretiyle, bu amaca özgü sisteme kaydedilerek saklanır. Ancak, parmak izinin hangi sebeple alındığı sisteme kaydedilmez. Olay yerinden elde edilen ve kime ait olduğu henüz tespit edilemeyen parmak izleri, kime ait olduğu tespit edilinceye kadar, ilgili soruşturma dosya numarası ile birlikte sisteme kaydedilir sayılı Ceza Muhakemesi Kanununun 81 inci maddesi ile 5275 sayılı Ceza ve Güvenlik Tedbirlerinin İnfazı Hakkında Kanunun 21 inci maddesi hükümlerine göre alınan parmak izleri de bu sisteme kaydedilir. 149

151 2559 SAYILI POLİS VAZİFE VE SELÂHİYET KANUNU (İLGİLİ HÜKÜMLER) (a) bendi hariç birinci fıkra ile dördüncü fıkra kapsamına giren kişilerin ayrıca fotoğrafları alınarak, ikinci fıkrada belirlenen esaslara uygun olarak parmak izi ile birlikte sisteme kaydedilir. Bu sistemde yer alan bilgiler, kimlik tespiti, suçun önlenmesi veya yürütülmekte olan soruşturma ve kovuşturma kapsamında maddî gerçeğin ortaya çıkarılması amacıyla mahkeme, hâkim, Cumhuriyet savcısı ve kolluk tarafından kullanılabilir. Kolluk birimleri, kimlik tespiti yapmak ya da olay yerinden alınan parmak izini karşılaştırmak amacıyla doğrudan bu sistemle bağlantı kurabilir. Sistemde kayıtlı bilgilerin hangi kamu görevlisi tarafından ve ne amaçla kullanıldığının denetlenebilmesine imkân tanıyan bir güvenlik sistemi kurulur. Sistemde yer alan kayıtlar gizlidir; altıncı ve yedinci fıkralarda belirlenen amaçlar dışında kullanılamaz. Sisteme kayıtlı olan parmak izi ve fotoğraflar, kişinin ölümünden itibaren on yıl ve her halde kayıt tarihinden itibaren seksen yıl geçtikten sonra sistemden silinir. Parmak izi ile fotoğrafların sistemde kaydedilmesi ve saklanması ile bu kayıtlardan yararlanmaya ilişkin diğer esas ve usûller, İçişleri Bakanlığı tarafından Adalet Bakanlığının görüşü alınarak çıkarılacak yönetmelikle düzenlenir. ( ) EK MADDE 6 - Adlî görev ve yetkiler (Ek: 16/6/ /7 md.; Değişik: 2/6/ /5 md.) ( ) 150

152 2559 SAYILI POLİS VAZİFE VE SELÂHİYET KANUNU (İLGİLİ HÜKÜMLER) (Ek fıkra: 2/1/2017-KHK-680/27 md.) Polis, sanal ortamda işlenen suçlarda, yetkili Cumhuriyet başsavcılığının tespiti amacıyla, internet abonelerine ait kimlik bilgilerine ulaşmaya, sanal ortamda araştırma yapmaya yetkilidir. Erişim sağlayıcıları, yer sağlayıcıları ve içerik sağlayıcıları talep edilen bu bilgileri kolluğun bu suçlarla mücadele için oluşturduğu birimine bildirir. 151

153

154 2920 SAYILI TÜRK SİVİL HAVACILIK KANUNU (İLGİLİ HÜKÜMLER) tarihli ve sayılı Resmi Gazete de yayımlanmıştır. Madde 40 Milli Sivil Havacılık Güvenlik Kurulu ve havacılık güvenliği 9 (Ek: 28/11/ /39 md.) (1) Tüm sivil havacılık faaliyetleri ile sivil havacılık tesis ve eklentilerinin yasadışı eylemlere karşı korunması amacıyla uluslararası uygulamalara uygun olarak gereken mevzuatı hazırlamak, denetlemek, uygun eğitimlerin alınmasını sağlamak ve ülkemizi uluslararası kuruluşlar nezdinde temsile Ulaştırma, Denizcilik ve Haberleşme Bakanlığı yetkilidir. Bakanlık, bu görevini öncelikle İçişleri Bakanlığı olmak üzere diğer kurum ve kuruluşlar ile koordineli şekilde yürütür. (2) Sivil havacılık güvenliği ile ilgili politikaların belirlenmesi ile kurumlar arasında koordinasyonun sağlanmasından sorumlu olmak üzere, İçişleri Bakanlığı Müsteşarı veya güvenlikten sorumlu Müsteşar Yardımcısının başkanlığında, Gümrük ve Ticaret Bakanlığı ile Ulaştırma, Denizcilik ve Haberleşme Bakanlığı Müsteşarları veya Müsteşar Yardımcıları, Emniyet Genel Müdürlüğü ve Jandarma Genel Komutanlığı temsilcileri, Gümrükler Genel Müdürü ve Gümrükler Muhafaza Genel Müdürü, Sivil Havacılık Genel Müdürü ve Devlet Hava Meydanları İşletmesi Genel Müdürünün katılımıyla Milli Sivil Havacılık Güvenlik Kurulu oluşturulur. Kurulun üyeleri, görev ve yetkileri, Kurul kararıyla havaalanlarında da dahil oluşturulacak alt kurullar ve alt kurulların görev ve yetkileri İçişleri Bakanlığı ve Ulaştırma, Denizcilik ve Haberleşme Bakanlığınca müştereken çıkarılan yönetmelikle düzenlenir. (3) Sivil havacılık alanında faaliyet gösteren tüm kurum ve kuruluşlar, şahıslar ve yolcuların uyması gereken güvenlik tedbirleri ile yasaklanan hususlar, 9 Bu madde başlığı Güvenlik tedbirleri iken, 28/11/2017 tarihli ve 7061 sayılı Kanunun 39 uncu maddesiyle metne işlendiği şekilde değiştirilmiştir. 153

155 2920 SAYILI TÜRK SİVİL HAVACILIK KANUNU (İLGİLİ HÜKÜMLER) 5/6/1945 tarihli ve 4749 sayılı Kanunla uygun bulunan Şikago Sözleşmesinin 17 numaralı eki ile uluslararası uygulamalara ve önlemlere uygun olarak Milli Sivil Havacılık Güvenlik Kurulu tarafından hazırlanan ve İçişleri Bakanlığı ile Ulaştırma, Denizcilik ve Haberleşme Bakanlığı tarafından müştereken çıkarılan yönetmelikle düzenlenir. Acil durumlarda alınması gereken ilave tedbirler, İçişleri Bakanlığı temsilcisinin başkanlığında, Gümrük ve Ticaret Bakanlığı, Ulaştırma, Denizcilik ve Haberleşme Bakanlığı, Emniyet Genel Müdürlüğü ve Jandarma Genel Komutanlığı temsilcileri, Sivil Havacılık Genel Müdürü ve Devlet Hava Meydanları İşletmesi Genel Müdüründen oluşan Güvenlik Komisyonu tarafından alınır. (4) Havaalanlarında, ulusal ve uluslararası mevzuata göre güvenliğin sağlanması, havacılık güvenliğine yönelik kurum ve kuruluşlar arasında işbirliği ve koordinasyonun tesis edilmesi, kurum ve kuruluşların havacılık güvenliğine yönelik çalışmalarının denetlenmesi, denetim sonuçlarının takibi ve icrası, havaalanı güvenlik programının oluşturulması ve icrası 10/6/1949 tarihli ve 5442 sayılı İl İdaresi Kanunu uyarınca görevlendirilen mülki idare amiri tarafından yerine getirilir. Havaalanı mülki idare amirlerinin havaalanlarındaki havacılık güvenliğine ilişkin görev, yetki ve sorumlulukları İçişleri Bakanlığının uygun görüşü üzerine Ulaştırma, Denizcilik ve Haberleşme Bakanlığı tarafından çıkarılan yönetmelikte düzenlenir. (5) Havayolu ile seyahat edecek kişilerin bilgileri kişilerin seyahatini kolaylaştırmak veya güvenlik ve risk değerlendirmesi yapmak amacıyla 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde toplanabilir, kaydedilebilir, işlenebilir, paylaşılabilir, havacılık güvenliği ve emniyetini sağlamak üzere değerlendirilerek gereken tedbirler alınabilir. Bu kapsamda, talep halinde yolcu bilgileri havayolu işletmeleri veya kurumlar tarafından üçüncü ülkelerle İçişleri Bakanlığının uygun görüşü ile paylaşılabilir. İçişleri Bakanlığı değerlendirme esnasında ilgili tüm kurum ve kuruluşlar ile koordine sağlar ve mütekabiliyet çerçevesinde karar verir. 154

156 2920 SAYILI TÜRK SİVİL HAVACILIK KANUNU (İLGİLİ HÜKÜMLER) (6) Türk tescilli sivil hava araçlarında özel eğitimli silahlı güvenlik görevlileri bulundurulabilir. Türkiye ye uçuşu olan yabancı tescilli sivil hava araçlarında silahlı güvenlik görevlisi bulundurulmasına izin verilmesine, mütekabiliyet ilkesi saklı kalmak kaydıyla İçişleri Bakanlığı yetkilidir. Silahlı güvenlik görevlisinin görev, yetki ve sorumlulukları İçişleri Bakanlığı tarafından çıkarılan yönetmelikle düzenlenir. 155

157

158 4721 SAYILI TÜRK MEDENİ KANUNU (İLGİLİ HÜKÜMLER) tarihli sayılı Resmi Gazete de yayımlanmıştır. MADDE 23 Kimse, hak ve fiil ehliyetlerinden kısmen de olsa vazgeçemez. Kimse özgürlüklerinden vazgeçemez veya onları hukuka ya da ahlâka aykırı olarak sınırlayamaz. Yazılı rıza üzerine insan kökenli biyolojik Maddelerin alınması, aşılanması ve nakli mümkündür. Ancak, biyolojik MADDE verme borcu altına girmiş olandan edimini yerine getirmesi istenemez; maddî ve manevî tazminat isteminde bulunulamaz. MADDE 24 Hukuka aykırı olarak kişilik hakkına saldırılan kimse, hâkimden, saldırıda bulunanlara karşı korunmasını isteyebilir. Kişilik hakkı zedelenen kimsenin rızası, daha üstün nitelikte özel veya kamusal yarar ya da kanunun verdiği yetkinin kullanılması sebeplerinden biriyle haklı kılınmadıkça, kişilik haklarına yapılan her saldırı hukuka aykırıdır. MADDE 25 Davacı, hâkimden saldırı tehlikesinin önlenmesini, sürmekte olan saldırıya son verilmesini, sona ermiş olsa bile etkileri devam eden saldırının hukuka aykırılığının tespitini isteyebilir. Davacı bunlarla birlikte, düzeltmenin veya kararın üçüncü kişilere bildirilmesi ya da yayımlanması isteminde de bulunabilir. Davacının, maddî ve manevî tazminat istemleri ile hukuka aykırı saldırı dolayısıyla elde edilmiş olan kazancın vekâletsiz iş görme hükümlerine göre kendisine verilmesine ilişkin istemde bulunma hakkı saklıdır. 157

159 4721 SAYILI TÜRK MEDENİ KANUNU (İLGİLİ HÜKÜMLER) Manevî tazminat istemi, karşı tarafça kabul edilmiş olmadıkça devredilemez; mirasbırakan tarafından ileri sürülmüş olmadıkça mirasçılara geçmez. Davacı, kişilik haklarının korunması için kendi yerleşim yeri veya davalının yerleşim yeri mahkemesinde dava açabilir. 158

160 4857 SAYILI İŞ KANUNU (İLGİLİ HÜKÜMLER) tarihli sayılı Resmi Gazete de yayımlanmıştır. MADDE 75- İşçi özlük dosyası İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür. 159

161

162 4982 SAYILI BİLGİ EDİNME HAKKI KANUNU (İLGİLİ HÜKÜMLER) tarihli sayılı Resmi Gazete de yayımlanmıştır. MADDE 1- Amaç Bu Kanunun amacı; demokratik ve şeffaf yönetimin gereği olan eşitlik, tarafsızlık ve açıklık ilkelerine uygun olarak kişilerin bilgi edinme hakkını kullanmalarına ilişkin esas ve usulleri düzenlemektir. MADDE 2- Kapsam Bu Kanun; kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarının faaliyetlerinde uygulanır tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun hükümleri saklıdır. (Ek fıkra: 12/7/ /33 md.; İptal fıkra: Anayasa Mahkemesi nin 4/12/2014 tarihli ve E.:2013/114, K.:2014/184 sayılı Kararı ile.) MADDE 3- Tanımlar Bu Kanunda geçen; a) Kurum ve kuruluş: Bu Kanunun 2 nci maddesinde geçen ve kapsama dahil olan bilgi edinme başvurusu yapılacak bütün makam ve mercileri, b) Başvuru sahibi: Bu Kanun kapsamında bilgi edinme hakkını kullanarak kurum ve kuruluşlara başvuran gerçek ve tüzel kişileri, c) Bilgi: Kurum ve kuruluşların sahip oldukları kayıtlarda yer alan bu Kanun kapsamındaki her türlü veriyi, d) Belge: Kurum ve kuruluşların sahip oldukları bu Kanun kapsamındaki yazılı, basılı veya çoğaltılmış dosya, evrak, kitap, dergi, broşür, etüt, mektup, program, talimat, kroki, plân, film, fotoğraf, teyp ve video kaseti, harita, elektronik ortamda kaydedilen her türlü bilgi, haber ve veri taşıyıcılarını, 161

163 4982 SAYILI BİLGİ EDİNME HAKKI KANUNU (İLGİLİ HÜKÜMLER) e) Bilgi veya belgeye erişim: İstenen bilgi veya belgenin niteliğine göre, kurum ve kuruluşlarca, başvuru sahibine söz konusu bilgi veya belgenin bir kopyasının verilmesini, kopya verilmesinin mümkün olmadığı hâllerde, başvuru sahibinin bilgi veya belgenin aslını inceleyerek not almasına veya içeriğini görmesine veya işitmesine izin verilmesini, f) Kurul: Bilgi Edinme Değerlendirme Kurulunu, İfade eder. MADDE 4- Bilgi edinme hakkı Herkes bilgi edinme hakkına sahiptir. Türkiye'de ikamet eden yabancılar ile Türkiye'de faaliyette bulunan yabancı tüzel kişiler, isteyecekleri bilgi kendileriyle veya faaliyet alanlarıyla ilgili olmak kaydıyla ve karşılıklılık ilkesi çerçevesinde, bu Kanun hükümlerinden yararlanırlar. Türkiye'nin taraf olduğu uluslararası sözleşmelerden doğan hak ve yükümlülükleri saklıdır. MADDE 5- Bilgi verme yükümlülüğü Kurum ve kuruluşlar, bu Kanunda yer alan istisnalar dışındaki her türlü bilgi veya belgeyi başvuranların yararlanmasına sunmak ve bilgi edinme başvurularını etkin, süratli ve doğru sonuçlandırmak üzere, gerekli idarî ve teknik tedbirleri almakla yükümlüdürler. Bu Kanun yürürlüğe girdiği tarihten itibaren diğer kanunların bu Kanuna aykırı hükümleri uygulanmaz. ( ) MADDE 21- Özel hayatın gizliliği Kişinin izin verdiği hâller saklı kalmak üzere, özel hayatın gizliliği kapsamında, açıklanması hâlinde kişinin sağlık bilgileri ile özel ve aile hayatına, şeref ve 162

164 4982 SAYILI BİLGİ EDİNME HAKKI KANUNU (İLGİLİ HÜKÜMLER) haysiyetine, meslekî ve ekonomik değerlerine haksız müdahale oluşturacak bilgi veya belgeler, bilgi edinme hakkı kapsamı dışındadır. Kamu yararının gerektirdiği hâllerde, kişisel bilgi veya belgeler, kurum ve kuruluşlar tarafından, ilgili kişiye en az yedi gün önceden haber verilerek yazılı rızası alınmak koşuluyla açıklanabilir. ( ) MADDE 29- Ceza hükümleri Bu Kanunun uygulanmasında ihmâli, kusuru veya kastı bulunan memurlar ve diğer kamu görevlileri hakkında, işledikleri fiillerin genel hükümler çerçevesinde ceza kovuşturması gerektirmesi hususu saklı kalmak kaydıyla, tâbi oldukları mevzuatta yer alan disiplin cezaları uygulanır. Bu Kanunla erişilen bilgi ve belgeler ticarî amaçla çoğaltılamaz ve kullanılamaz. 163

165

166 5070 SAYILI ELEKTRONİK İMZA KANUNU (İLGİLİ HÜKÜMLER) tarihli sayılı Resmi Gazete de yayımlanmıştır. MADDE 12 (Bilgilerin korunması) Elektronik sertifika hizmet sağlayıcısı; a) Elektronik sertifika talep eden kişiden, elektronik sertifika vermek için gerekli bilgiler hariç bilgi talep edemez ve bu bilgileri kişinin rızası dışında elde edemez, b) Elektronik sertifika sahibinin izni olmaksızın sertifikayı üçüncü kişilerin ulaşabileceği ortamlarda bulunduramaz, c) Elektronik sertifika talep eden kişinin yazılı rızası olmaksızın üçüncü kişilerin kişisel verileri elde etmesini engeller. Bu bilgileri sertifika sahibinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz. 165

167

168 5237 SAYILI TÜRK CEZA KANUNU (İLGİLİ HÜKÜMLER) tarihli sayılı Resmi Gazete de yayımlanmıştır. MADDE 60- Tüzel kişiler hakkında güvenlik tedbirleri (1) Bir kamu kurumunun verdiği izne dayalı olarak faaliyette bulunan özel hukuk tüzel kişisinin organ veya temsilcilerinin iştirakiyle ve bu iznin verdiği yetkinin kötüye kullanılması suretiyle tüzel kişi yararına işlenen kasıtlı suçlardan mahkûmiyet halinde, iznin iptaline karar verilir. (2) Müsadere hükümleri, yararına işlenen suçlarda özel hukuk tüzel kişileri hakkında da uygulanır. (3) Yukarıdaki fıkralar hükümlerinin uygulanmasının işlenen fiile nazaran daha ağır sonuçlar ortaya çıkarabileceği durumlarda, hakim bu tedbirlere hükmetmeyebilir. (4) Bu MADDE hükümleri kanunun ayrıca belirttiği hallerde uygulanır. MADDE 132- Haberleşmenin gizliliğini ihlal 10 (1) Kişiler arasındaki haberleşmenin gizliliğini ihlal eden kimse, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır. Bu gizlilik ihlali haberleşme içeriklerinin kaydı suretiyle gerçekleşirse, verilecek ceza bir kat artırılır. (2) Kişiler arasındaki haberleşme içeriklerini hukuka aykırı olarak ifşa eden kimse, iki yıldan beş yıla kadar hapis cezası ile cezalandırılır. 10 2/7/2012 tarihli ve 6352 sayılı Kanunun 79 uncu maddesiyle, bu maddenin birinci fıkrasında yer alan altı aydan iki yıla kadar hapis veya adlî para ibaresi bir yıldan üç yıla kadar hapis ve bir yıldan üç yıla kadar hapis cezasına hükmolunur ibaresi ise verilecek ceza bir kat artırılır şeklinde; ikinci fıkrasında yer alan bir yıldan üç yıla kadar hapis ibaresi iki yıldan beş yıla kadar hapis şeklinde; üçüncü fıkrasında yer alan altı aydan iki yıla kadar hapis veya adlî para ibaresi bir yıldan üç yıla kadar hapis şeklinde değiştirilmiş, fıkraya rızası olmaksızın ibaresinden sonra gelmek üzere hukuka aykırı olarak ibaresi eklenmiştir. 167

169 5237 SAYILI TÜRK CEZA KANUNU (İLGİLİ HÜKÜMLER) (3) Kendisiyle yapılan haberleşmelerin içeriğini diğer tarafın rızası olmaksızın hukuka aykırı olarak alenen ifşa eden kişi, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır. (Ek cümle: 2/7/ /79 md.) İfşa edilen bu verilerin basın ve yayın yoluyla yayımlanması halinde de aynı cezaya hükmolunur. (4) (Mülga: 2/7/ /79 md.) MADDE 133- Kişiler arasındaki konuşmaların dinlenmesi ve kayda alınması) 11 (1) Kişiler arasındaki aleni olmayan konuşmaları, taraflardan herhangi birinin rızası olmaksızın bir aletle dinleyen veya bunları bir ses alma cihazı ile kaydeden kişi, iki yıldan beş yıla kadar hapis cezası ile cezalandırılır. (2) Katıldığı aleni olmayan bir söyleşiyi, diğer konuşanların rızası olmadan ses alma cihazı ile kayda alan kişi, altı aydan iki yıla kadar hapis veya adlî para cezası ile cezalandırılır. (3) (Değişik: 2/7/ /80 md.) Kişiler arasındaki aleni olmayan konuşmaların kaydedilmesi suretiyle elde edilen verileri hukuka aykırı olarak ifşa eden kişi, iki yıldan beş yıla kadar hapis ve dörtbin güne kadar adlî para cezası ile cezalandırılır. İfşa edilen bu verilerin basın ve yayın yoluyla yayımlanması halinde de aynı cezaya hükmolunur. 11 2/7/2012 tarihli ve 6352 sayılı Kanunun 80 inci maddesiyle, bu maddenin birinci fıkrasında yer alan iki aydan altı aya kadar hapis ibaresi iki yıldan beş yıla kadar hapis şeklinde; ikinci fıkrasında yer alan altı aya kadar hapis ibaresi altı aydan iki yıla kadar hapis şeklinde değiştirilmiştir. 168

170 5237 SAYILI TÜRK CEZA KANUNU (İLGİLİ HÜKÜMLER) MADDE 134- Özel hayatın gizliliğini ihlal 12 (1) Kişilerin özel hayatının gizliliğini ihlal eden kimse, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır. Gizliliğin görüntü veya seslerin kayda alınması suretiyle ihlal edilmesi halinde, verilecek ceza bir kat artırılır. (2) (Değişik: 2/7/ /81 md.) Kişilerin özel hayatına ilişkin görüntü veya sesleri hukuka aykırı olarak ifşa eden kimse iki yıldan beş yıla kadar hapis cezası ile cezalandırılır. İfşa edilen bu verilerin basın ve yayın yoluyla yayımlanması halinde de aynı cezaya hükmolunur. MADDE 135- Kişisel verilerin kaydedilmesi (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. 13 (2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır 14. MADDE 136- Verileri hukuka aykırı olarak verme veya ele geçirme (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır /7/2012 tarihli ve 6352 sayılı Kanunun 81 inci maddesiyle, bu maddenin birinci fıkrasında yer alan altı aydan iki yıla kadar hapis veya adlî para ibaresi bir yıldan üç yıla kadar hapis ve cezanın alt sınırı bir yıldan az olamaz ibaresi ise verilecek ceza bir kat artırılır şeklinde değiştirilmiştir /2/2014 tarihli ve 6526 sayılı kanunun 3 üncü maddesiyle bu fıkrada yer alan altı aydan ibaresi bir yıldan şeklinde değiştirilmiştir /3/2016 tarihli ve 6698 sayılı Kanunun 30 uncu maddesiyle, bu fıkrada yer alan Kişilerin ibaresi Kişisel verinin, kişilerin şeklinde; bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır ibaresi olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır şeklinde değiştirilmiştir /2/2014 tarihli ve 6526 sayılı kanunun 4 üncü maddesiyle bu fıkrada yer alan bir yıldan ibaresi iki yıldan şeklinde değiştirilmiştir. 169

171 5237 SAYILI TÜRK CEZA KANUNU (İLGİLİ HÜKÜMLER) MADDE 137- Nitelikli haller (1) Yukarıdaki maddelerde tanımlanan suçların; a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenmesi halinde, verilecek ceza yarı oranında artırılır. MADDE 138- Verileri yok etmeme (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. 16 (2) (Ek: 21/2/ /5 md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır. MADDE 139- Şikayet (1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır. MADDE 140- Tüzel kişiler hakkında güvenlik tedbiri uygulanması (1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur /2/2014 tarihli ve 6526 sayılı kanunun 5 inci maddesiyle bu fıkrada yer alan altı aydan bir yıla kadar hapis ibaresi bir yıldan iki yıla kadar hapis şeklinde değiştirilmiştir. 170

172 5258 SAYILI AİLE HEKİMLİĞİ KANUNU (İLGİLİ HÜKÜMLER) tarihli sayılı Resmi Gazete de yayımlanmıştır. MADDE 5- Hizmetin esasları ( ) (3) Aile hekimlerinin şahsî kayıtları ilgili il ve ilçe sağlık idare birimlerinde tutulur. Aile hekimlerinin kullandığı basılı veya elektronik ortamda tutulan kayıtlar, kişilerin sağlık dosyaları ile raporlar, sevk belgesi ve reçete gibi belgeler resmî kayıt ve evrak niteliğindedir. Bu kayıt ve belgeler, hekimin ayrılması veya kişinin hekim değiştirmesi halinde eksiksiz olarak devredilir. İlgili mevzuatta birinci basamak sağlık kuruluşları ve resmî tabiplerce düzenlenmesi öngörülen her türlü rapor, sevk evrakı, reçete ve sair belgeler, aile hekimliği uygulamasına geçilen yerlerde aile hekimleri tarafından düzenlenir. 171

173

174 5271 SAYILI CEZA MUHAKEMESİ KANUNU (İLGİLİ HÜKÜMLER) tarihli sayılı Resmi Gazete de yayımlanmıştır. ÜÇÜNCÜ KISIM Tanıklık, Bilirkişi İncelemesi ve Keşif ( ) ÜÇÜNCÜ BÖLÜM Gözlem Altına Alma, Muayene, Keşif ve Otopsi ( ) MADDE 80 Genetik inceleme sonuçlarının gizliliği (Değişik: 25/5/ /4 md.) (1) 75, 76 ve 78 inci MADDE hükümlerine göre alınan örnekler üzerinde yapılan inceleme sonuçları, kişisel veri niteliğinde olup, başka bir amaçla kullanılamaz; dosya içeriğini öğrenme yetkisine sahip bulunan kişiler tarafından bir başkasına verilemez. (2) Bu bilgiler, kovuşturmaya yer olmadığı kararına itiraz süresinin dolması, itirazın reddi, beraat veya ceza verilmesine yer olmadığı kararı verilip kesinleşmesi hâllerinde Cumhuriyet savcısının huzurunda derhâl yok edilir ve bu husus dosyasında muhafaza edilmek üzere tutanağa geçirilir. 173

175

176 5411 SAYILI BANKACILIK KANUNU (İLGİLİ HÜKÜMLER) tarihli Mükerrer sayılı Resmi Gazete de yayımlanmıştır. MADDE 73- Sırların saklanması Kurul başkan ve üyeleri ile Kurum personeli, Fon Kurulu başkan ve üyeleri ile Fon personeli görevleri sırasında öğrendikleri bankalara ve bunların bağlı ortaklık, iştirak, birlikte kontrol edilen ortaklıkları ve müşterilerine ait sırları bu Kanuna ve özel kanunlarına göre yetkili olanlardan başkasına açıklayamaz ve kendilerinin veya başkalarının yararlarına kullanamazlar. Kurumun dışarıdan destek hizmeti aldığı kişi ve kuruluşlar ile bunların çalışanları da bu hükme tâbidir. Bu yükümlülük görevden ayrıldıktan sonra da devam eder. Bu Kanun hükümleri uyarınca Kurumun, yurt dışındaki muadili denetim mercileri ile düzenleyeceği mutabakat zabıtları çerçevesinde vereceği bilgi ve belgeler birinci fıkradaki sır kapsamında değildir. Kurul düzenleyeceği mutabakat zabıtları veya zabıtlar dışında elde edeceği sırların korunmasını sağlamakla görevlidir. Kurumun elde edeceği sır niteliğindeki bilgi ve belgeler, kuruluş ve faaliyet izni verilmesinde, faaliyetlerin denetiminde, düzenlemelere uyulup uyulmadığının izlenmesinde ve Kurul kararlarına karşı açılacak idarî davaların görülmesinde kullanılabilir. (Değişik dördüncü cümle: 13/2/ /146 md.) Kurumun bu fıkra kapsamında elde edeceği sır niteliğindeki bilgi ve belgeler, ceza soruşturması ve kovuşturması kapsamında savcılıklar ile ceza mahkemeleri, görevden ayrılmış olsalar dahi, görevleriyle bağlantılı olarak işledikleri iddia edilen suçlardan dolayı başlatılan soruşturma ve kovuşturmalar ile bağlantılı olarak talepte bulunacak Kurul Başkanı ve üyeleri ile Kurum personeli dışında hiçbir kişi, kurum ve kuruluşa verilemez. Mahkeme kararına bağlanmış sır kapsamına giren bilgilerin verilmesinden Kurum sorumlu tutulamaz. (Değişik üçüncü fıkra: 13/2/ /146 md.) Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu 175

177 5411 SAYILI BANKACILIK KANUNU (İLGİLİ HÜKÜMLER) sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar. Bu yükümlülük görevden ayrıldıktan sonra da devam eder. 22/4/1926 tarihli ve 818 sayılı Borçlar Kanunu, 13/6/1952 tarihli ve 5953 sayılı Basın Mesleğinde Çalışanlarla Çalıştıranlar Arasındaki Münasebetlerin Tanzimi Hakkında Kanun, 20/4/1967 tarihli ve 854 sayılı Deniz İş Kanunu ile 22/5/2003 tarihli ve 4857 sayılı İş Kanunu kapsamında çalıştırılan işçi, gemi adamı ve gazetecinin ücret, prim, ikramiye ve bu nitelikte her çeşit istihkak ödemelerinin özel olarak açılan banka hesabına yapılması halinde, bu hesaplara ilişkin bilgi ve belgelerin Çalışma ve Sosyal Güvenlik Bakanlığı, Maliye Bakanlığı ve Hazine Müsteşarlığı ile bunlara bağlı ve ilgili kurum ve kuruluşlara verilmesi ile 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 8 inci ve 100 üncü maddelerinin uygulanması ile genel sağlık sigortalılığında gelir testinin yapılmasına ilişkin bilgi ve belgelerin Sosyal Güvenlik Kurumuna ve il veya ilçe sosyal yardımlaşma ve dayanışma vakıflarınca yapılan sosyal yardım hak sahiplerinin tespiti ile gelir testi işlemlerinin yürütülmesi amacıyla Aile ve Sosyal Politikalar Bakanlığı Sosyal Yardımlar Genel Müdürlüğüne verilmesi sırrın ifşası sayılmaz. Bu bilgi ve belgelerin verilmesine ilişkin usûl ve esaslar Çalışma ve Sosyal Güvenlik Bakanlığı, Maliye Bakanlığı, Hazine Müsteşarlığının bağlı olduğu Bakanlık ile Kurulca belirlenir 17. (1) (Değişik dördüncü fıkra: 13/2/ /146 md.) Kurumun gözetim ve denetimine tabi kuruluşların, bunların ortaklarına, bağlı ortaklık, iştirak, birlikte kontrol edilen ortaklıklarının faaliyetlerine veya müşterilerine ilişkin yabancı ülke kanunlarına göre denetime yetkili ve Kurum muadili mercilerin 17 13/6/2012 tarihli ve 6327 sayılı Kanunun 39 uncu maddesiyle, bu fıkrada yer alan Sosyal Güvenlik Kurumuna ibaresinden sonra gelmek üzere ve il veya ilçe sosyal yardımlaşma ve dayanışma vakıflarınca yapılan sosyal yardım hak sahiplerinin tespiti ile gelir testi işlemlerinin yürütülmesi amacıyla Aile ve Sosyal Politikalar Bakanlığı Sosyal Yardımlar Genel Müdürlüğüne ibaresi eklenmiş ve metne işlenmiştir. 176

178 5411 SAYILI BANKACILIK KANUNU (İLGİLİ HÜKÜMLER) taleplerinin Kurumca karşılanması, gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla yapacakları her türlü bilgi ve belge alışverişinin yanı sıra doğrudan veya dolaylı pay sahipliği yoluyla sermayelerinin yüzde onunu ve daha fazlasını temsil eden paylarının satışı amacıyla muhtemel alıcıların yapacakları değerleme çalışmalarında ya da sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıkların konsolide finansal tablo hazırlama çalışmalarında, risk yönetimi ve iç denetim uygulamalarında veya kredileri de dâhil varlıklarının ya da bunlara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında ya da değerleme, derecelendirme veya destek hizmeti alınması ile bağımsız denetim faaliyetlerinde ve gerekli tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bilgi ve belge taleplerinin karşılanması sırasında banka ya da müşteri sırrı niteliğindeki bilgilerin öğrenilmesi sır saklama yükümlülüğü dışındadır. 177

179

180 5429 SAYILI TÜRKİYE İSTATİSTİK KANUNU (İLGİLİ HÜKÜMLER) tarihli sayılı Resmi Gazete de yayımlanmıştır. MADDE 2- Tanımlar Bu Kanunun uygulanmasında; ( ) n) Veri: Anket veya idarî kayıtlar yoluyla elde edilen nicel ve/veya nitel istatistikî bilgileri, o) Bireysel veri: Hakkında bilgi toplanan istatistikî birimlerin, özellikleri ile birlikte tanımlandığı veriyi, 179

181

182 5490 SAYILI NÜFUS HİZMETLERİ KANUNU (İLGİLİ HÜKÜMLER) MADDE 3- Tanımlar (1) Bu Kanunda geçen; ( ) k) (Değişik: 19/10/ /1 md.) Kimlik Paylaşımı Sistemi: Merkezi veri tabanında tutulan kayıtların kurumlar ve kamu hizmeti sunan tüzel kişiler ile paylaşıldığı sistemi, ( ) o) (Değişik: 19/10/ /1 md.) Merkezî veri tabanı: Genel Müdürlükçe elektronik ortamda tutulan verileri, ö) (Değişik: 19/10/ /1 md.) MERNİS: Merkezî Nüfus İdaresi Sistemini, ( ) ş) Nüfus kaydı: Aile kütüğüne işlenmiş kişisel bilgileri, t) Nüfus kayıt örneği: Aile kütüğüne işlenmiş kişisel bilgilerin özetlerini gösterir belgeyi, ( ) aa) Ulusal adres veri tabanı: Adres bilgilerinin tutulduğu merkezî veri tabanını, ( ) ff) (Ek: 14/1/ /8 md.) Biyometrik veri: Elektronik sistemler aracılığı ile kimlik tespit ve kimlik doğrulama işlemlerinin gerçekleştirilmesini sağlamak amacıyla alınan parmak izi, damar izi ve el ayasından elde edilen kişiye özgü verileri, 181

183 5490 SAYILI NÜFUS HİZMETLERİ KANUNU (İLGİLİ HÜKÜMLER) gg) (Ek: 19/10/ /1 md.) Veri Paylaşımı Kurulu: Merkezî veri tabanında yer alan bilgilerin paylaşımına ilişkin talepleri değerlendirmek üzere oluşturulan kurulu, ( ) ifade eder. MADDE 43- Nüfus kayıt örneği verilmesi (1) Kişinin aile kütüğündeki kaydının çıkarılması ve aslına uygunluğunun nüfus müdürlüğünce onanması ile elde edilen nüfus kayıt örnekleri, aksi ispat edilene kadar geçerlidir. Nüfus kayıt örneği, istenme nedeni ve hangi amaçla kullanılacağının belirtildiği yazılı istek olmadan verilemez. Ancak kişinin kimliğini kanıtlayan resmî bir belge ile şahsen başvurması halinde yazılı müracaat aranmaz. Nüfus kayıt örneklerinde, bunları istemeye yetkili olanlar tarafından açıkça ve gerekçeli olarak istenmediği takdirde, kimlik bilgileri dışında kişisel bilgilere yer verilmez. Bu belgeler üzerinde silinti ve kazıntı yapılamaz. (2) Düzenlendikleri tarihten itibaren yüzseksen gün içinde kullanılmayan nüfus kayıt örnekleri geçerliliğini kaybeder. Nüfus kayıt örneğinin kullanılacağı alanlara göre Bakanlık bu süreyi otuz güne kadar kısaltmaya yetkilidir. MADDE 44- Nüfus kayıt örneğini almaya yetkili olanlar (1) Nüfus kayıt örneklerini; a) Bakanlık, b) Dış temsilcilikler, c) Asker alma işlemleri için Milli Savunma Bakanlığı, ç) Adlî makamlar, d) Adlî işlemlerle sınırlı olmak üzere kolluk kuruluşları, 182

184 5490 SAYILI NÜFUS HİZMETLERİ KANUNU (İLGİLİ HÜKÜMLER) e) Evlenme işlemleri için evlendirme işlemini yapmaya yetkili olanlar, f) Ölüm işlemleri için resmî sağlık kuruluşları, g) Kaydın sahipleri veya bunların eşleri ile veli, vasi, alt ve üst soyları ya da bu kişilere ait vekâletnameyi ibraz edenler, 18 nüfus müdürlüklerinden doğrudan almaya yetkilidirler. (2) Birinci fıkrada sayılanlar dışında kalan kurumlar ve tüzel kişiler, yazılı olarak başvurmak ve istem nedenini açıkça belirtmek suretiyle Bakanlık veya mülkî idare amirinin emri ile nüfus kayıt örneğini alabilirler. Bakanlık bu madde hükümlerini işletmek üzere Kimlik Paylaşımı Sistemi kurar. (3) Yerleşim yeri adresi ve diğer adres bilgilerinin verilmesi kişinin rızasına bağlıdır. (4) Birinci fıkranın (g) bendinde sayılan kişiler dışında kalan üçüncü şahıslar medenî hal bilgisi dışında bir kişinin nüfus kaydına ilişkin örnek veya bilgi alamazlar. (5) (Ek: 19/10/ /10 md.) Kişiler; kendileri ve alt ya da üst soylarına ait nüfus kayıt örneklerini, kendileri ve ergin olmayan çocuklarının ise yerleşim yeri belgelerini, güvenli kimlik doğrulama araçlarını kullanarak e- Devlet kapısı üzerinden sorgulayabilir, sonucu fiziki veya elektronik ortamda merciine verebilirler. E-Devlet kapısı üzerinden alınan belgeler, nüfus müdürlüklerinden alınmış diğer belgelerle aynı hukuki değere sahiptir. MADDE 45- Kimlik Paylaşımı Sisteminin kullanılması 19 (Değişik: 19/10/ /11 md.) 18 19/10/2017 tarihli ve 7039 sayılı Kanunun 10 uncu maddesiyle, bu bentte yer alan vekillik belgesini ibaresi vekâletnameyi şeklinde değiştirilmiştir. 19 Bu madde başlığı Kimlik ve Adres Paylaşımı Sistemlerinin kullanılması iken, 19/10/2017 tarihli ve 7039 sayılı Kanunun 11 inci maddesiyle metne işlendiği şekilde değiştirilmiştir. 183

185 5490 SAYILI NÜFUS HİZMETLERİ KANUNU (İLGİLİ HÜKÜMLER) (1) Bakanlık, merkezî veri tabanında tutulan verileri bu Kanunda belirtilen usul ve esaslar çerçevesinde kurumlarla; kimlik verilerini, kamu hizmeti sunan tüzel kişilikler, 3/6/2007 tarihli ve 5684 sayılı Sigortacılık Kanunu çerçevesinde faaliyette bulunan sigorta ve emeklilik şirketleri, 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanunu çerçevesinde faaliyette bulunan bankalar, Risk Merkezi ve 5411 sayılı Kanunun 73 üncü maddesinin son fıkrası uyarınca bilgi paylaşımı amacıyla kurulmuş şirketler, 21/11/2012 tarihli ve 6361 sayılı Finansal Kiralama, Faktoring ve Finansman Şirketleri Kanunu kapsamındaki finansal kiralama şirketleri ile finansman şirketleri; yerleşim yeri ve diğer adres bilgilerini ise Bakanlıkça belirlenen adrese dayalı kamu hizmeti sunan kuruluşlar, 5684 sayılı Kanun çerçevesinde faaliyette bulunan sigorta ve emeklilik şirketleri, 5411 sayılı Kanun çerçevesinde faaliyette bulunan bankalar, Risk Merkezi ve 5411 sayılı Kanunun 73 üncü maddesinin son fıkrası uyarınca bilgi paylaşımı amacıyla kurulmuş şirketler, 6361 sayılı Finansal Kiralama, Faktoring ve Finansman Şirketleri Kanunu kapsamındaki finansal kiralama şirketleri ve finansman şirketleri ile paylaşabilir. (2) Veri paylaşımından yararlanacakları belirlemeye, paylaşımın kapsamına ve hangi yöntemle yapılacağına karar vermek üzere Genel Müdürlük bünyesinde Veri Paylaşımı Kurulu oluşturulur. Veri Paylaşımı Kurulunun çalışma usul ve esasları Bakanlıkça çıkarılan yönetmelikle belirlenir. (3) Birinci fıkrada belirtilenler kendi iş ve işlemlerine esas olmak üzere sadece ilgili kişilerin bilgilerini alabilirler ve aldıkları bilgileri tanımlanmış hizmetlerin yerine getirilmesi dışında başka hiçbir amaçla kullanamaz; ilgilisi veya 44 üncü maddede belirtilenler dışında kimseye veremez. Sistemin bütün aşamalarında görev yapan yetkililer de bu kurallara uymakla yükümlüdür. Bu yükümlülük, kamu görevlilerinin görevlerinden ayrılmalarından sonra da devam eder. Bu fıkra hükümlerine aykırı davrananlar hakkında 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümlerine göre işlem yapılır. 184

186 5490 SAYILI NÜFUS HİZMETLERİ KANUNU (İLGİLİ HÜKÜMLER) (4) Birinci fıkrada belirtilenler Kimlik Paylaşımı Sisteminden alabilecekleri verileri çevrimdışı olarak talep edemezler. Ancak kamusal hizmetin planlanması ve yürütülmesinde zorunlu bir ihtiyaç olduğunun tespit edilmesi, kullanım amacı ve yasal dayanağının belirtilmesi hâlinde ihtiyaç ile orantılı olarak veri talepleri asgari düzeyde çevrimdışı karşılanabilir. (5) Genel Müdürlük, kişisel verilerin hukuka aykırı olarak işlenmesini, erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik tedbirlerini alır ve veri talebinde bulunan kurum ve kamu hizmeti sunan tüzel kişilerin de bu tedbirleri almasını takip eder. (6) Genel Müdürlükten alınan bilgilerin iş ve işlemlerde kullanılmasının hukukî sonuçları bilgiyi alan kurum ve tüzel kişiliğin sorumluluğundadır. (7) Kimlik Paylaşımı Sistemi üzerinden nüfus kayıt örneği, yerleşim yeri belgesi ve kimlik kartı örneğine erişebilen kurum ve tüzel kişiler bu belgeleri ilgilisinden ve nüfus müdürlüğünden talep etmeksizin Kimlik Paylaşımı Sisteminden temin ederler. (8) Bu Kanun ile kurulan veri tabanlarının istatistik amaçlı kullanımında 10/11/2005 tarihli ve 5429 sayılı Türkiye İstatistik Kanunu hükümleri uygulanır. 185

187

188 5502 SAYILI SOSYAL GÜVENLİK KURUMU KANUNU (İLGİLİ HÜKÜMLER) tarihli sayılı Resmi Gazete de yayımlanmıştır. MADDE 2- Tanımlar Bu Kanunda geçen ( ) c) Kurum: Sosyal Güvenlik Kurumunu; ( ) ifade eder. MADDE 35- Kurumun taşınmaz edinimi, taşınır ve taşınmaz mal varlıkları ile gayri maddi haklarının hukuki durumu (5) (Ek fıkra: 10/9/ /37 md.; Değişik: 4/4/ /43 md.) Kurum, bu Kanun ve diğer kanunlarla verilen görevleri yerine getirmek amacıyla işlediği kişisel veriler ile ticari sır niteliğinde olan verileri, veri sahibinin noter onaylı muvafakati olmadan gerçek veya tüzel kişilerle paylaşamaz. Ancak, 10/12/2003 tarihli ve 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanununun eki (I), (II), (III) ve (IV) sayılı cetvellerde yer alan kamu idarelerinin kanunlarında belirtilen görevleri yapabilmeleri için ihtiyaç duydukları sağlık verisi dışındaki kişisel veriler ile ticari sır niteliğindeki veriler paylaşılabilir. Kurum, bunların dışındaki gayri maddi hakları ile kimliği belirli veya belirlenebilir bir gerçek veya tüzel kişiyle ilişkilendirilemeyecek şekilde anonim hâle getirdiği verileri araştırma, planlama ve istatistik gibi amaçlar için kamu idareleri, bilimsel araştırma yapan kamu personeli, bilimsel dernekler, kamu kurumu niteliğindeki meslek kuruluşları veya üniversiteler ile ücretsiz olarak paylaşabilir. Anonim hâle getirilen verinin tüzel kişilere ait olması hâlinde bu fıkrada sayılanlar dışındaki gerçek veya tüzel kişilere tüzel kişinin noter onaylı muvafakati alınmak kaydıyla ücretli olarak verilebilir. Veri paylaşılan kamu idareleri ile gerçek ve tüzel kişiler, paylaşılan verinin gizliliğinden ve güvenliğinden sorumludur. Bu fıkranın aksine davrananlar hakkında, veri paylaşımı yapılanlar da dâhil olmak üzere 5237 sayılı Türk Ceza Kanunu ile diğer ilgili mevzuat hükümleri uygulanır. 187

189

190 5549 SAYILI SUÇ GELİRLERİNİN AKLANMASININ ÖNLENMESİ HAKKINDA KANUN (İLGİLİ HÜKÜMLER) tarihli sayılı Resmi Gazete de yayımlanmıştır. MADDE 1 Amaç (1) Bu Kanunun amacı, suç gelirlerinin aklanmasının önlenmesine ilişkin usûl ve esasları belirlemektir. ( ) MADDE 12 Uluslararası bilgi değişimi (1) Başkanlığın görev alanına giren konularda uluslararası bilgi değişimini teminen, yabancı ülkelerdeki muadil kurumlarla uluslararası antlaşma niteliğinde olmayan mutabakat muhtıraları imzalamaya ve imzalanan mutabakat muhtıralarını değiştirmeye Malî Suçları Araştırma Kurulu Başkanı yetkilidir. İmzalanacak mutabakat muhtıraları ve değişiklikleri Bakanlar Kurulu kararıyla yürürlüğe girer. MADDE 19 Başkanlığın görev ve yetkileri (1) Malî Suçları Araştırma Kurulu Başkanlığı doğrudan Maliye Bakanına bağlı olup görev ve yetkileri şunlardır: ( ) e) Suç gelirlerinin aklanması ve terörün finansmanının önlenmesi kapsamında veri toplamak, şüpheli işlem bildirimlerini almak, analiz etmek ve değerlendirmek. ( ) j) Kamu kurum ve kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği olmayan kuruluşlardan her türlü bilgi ve belgeyi istemek. 189

191 5549 SAYILI SUÇ GELİRLERİNİN AKLANMASININ ÖNLENMESİ HAKKINDA KANUN (İLGİLİ HÜKÜMLER) ( ) m) Yabancı ülkelerdeki muadil kurumlarla bilgi ve belge değişiminde bulunmak, bu amaçla uluslararası antlaşma niteliğinde olmayan mutabakat muhtırası imzalamak. 190

192 5651 SAYILI İNTERNET ORTAMINDA YAPILAN YAYINLARIN DÜZENLENMESİ VE BU YAYINLAR YOLUYLA İŞLENEN SUÇLARLA MÜCADELE EDİLMESİ HAKKINDA KANUN (İLGİLİ HÜKÜMLER) tarihli sayılı Resmi Gazete de yayımlanmıştır. MADDE 2- Tanımlar Bu Kanunun uygulanmasında; ( ) ç) Bilgi: Verilerin anlam kazanmış biçimini, k) Veri: Bilgisayar tarafından üzerinde işlem yapılabilen her türlü değeri, 191

193

194 5718 SAYILI MİLLETLERARASI ÖZEL HUKUK VE USUL HUKUKU HAKKINDA KANUN (İLGİLİ HÜKÜMLER) tarihli sayılı Resmi Gazete de yayımlanmıştır. MADDE 35 Kişilik haklarının ihlâlinde sorumluluk (1) Kişilik haklarının, basın, radyo, televizyon gibi medya yoluyla, internet veya diğer kitle iletişim araçları ile ihlâlinden doğan taleplere, zarar görenin seçimine göre; a) Zarar veren, zararın bu ülkede meydana geleceğini bilecek durumda ise zarar görenin mutad meskeni hukuku, b) Zarar verenin işyeri veya mutad meskeninin bulunduğu ülke hukuku veya c) Zarar veren, zararın bu ülkede meydana geleceğini bilecek durumda ise zararın meydana geldiği ülke hukuku, uygulanır. (2) Kişilik haklarının ihlâlinde cevap hakkı, süreli yayınlarda, münhasıran baskının yapıldığı ya da programın yayınlandığı ülke hukukuna tâbidir. (3) Maddenin birinci fıkrası, kişisel verilerin işlenmesi veya kişisel veriler hakkında bilgi alma hakkının sınırlandırılması yolu ile kişiliğin ihlâl edilmesinden doğan taleplere de uygulanır. 193

195

196 5809 SAYILI ELEKTRONİK HABERLEŞME KANUNU (İLGİLİ HÜKÜMLER) tarihli Mükerrer sayılı Resmi Gazete de yayımlanmıştır. MADDE 3- Tanımlar ve kısaltmalar (1) Bu Kanunda geçen; z) İşletmeci: Yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketi, ( ) ee) Kurum: Bilgi Teknolojileri ve İletişim Kurumunu, MADDE 12- İşletmecilerin hak ve yükümlülükleri (1) İşletmeci, Kurum düzenlemeleri ve yetkilendirmesinde öngörülen şartlara uygun olarak yetkilendirildiği kapsamdaki elektronik haberleşme hizmetini sunma hakkına sahiptir. (2) Kurum, işletmecilere sektörün ihtiyaçları, uluslararası düzenlemeler, teknolojide meydana gelen gelişmeler gibi hususları gözeterek aşağıdaki hususlar başta olmak üzere, mevzuat doğrultusunda yükümlülükler getirebilir: ( ) d) Kişisel veri ve gizliliğin korunması. DÖRDÜNCÜ KISIM Tüketici ve Son Kullanıcı Hakları ( ) 195

197 5809 SAYILI ELEKTRONİK HABERLEŞME KANUNU (İLGİLİ HÜKÜMLER) MADDE 51-Kişisel verilerin işlenmesi ve gizliliğin korunması (1) (İptal: Anayasa Mahkemesi nin 9/4/2014 tarihli ve E.: 2013/22 K.: 2014/74 sayılı Kararı 20 ile.; Yeniden düzenleme: 27/3/ /31 md.) (1) Kişisel verilerin işlenmesinde; hukuka ve dürüstlük kurallarına uygun olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uyulur. (2) Elektronik haberleşmenin ve ilgili trafik verisinin gizliliği esas olup, ilgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi yasaktır. (3) Elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışında abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili abonelerin/kullanıcıların verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir. (4) İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alır. 20 Anayasa Mahkemesi nin kararından önceki birinci fıkra hükmü şu şekildeydi: (1) Kurum, elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirlemeye yetkilidir. Anayasa Mahkemesi, Yasama yetkisinin devredilemezliği ilkesi gereğince, Anayasa'nın açıkça kanunla düzenlenmesini öngördüğü konularda yürütme organına doğrudan ve ilk elden düzenleyici işlem yapma yetkisi verilemez. Elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirleme yetkisini Bilgi Teknolojileri ve İletişim Kurumuna veren itiraz konusu kural, Anayasa'nın 20. maddesinde öngörülen kişisel verilerin korunmasına ilişkin usul ve esasların ancak kanunla düzenlenebileceğine ilişkin güvenceye aykırıdır. gerekçesiyle söz konusu hükmü iptal etmiştir. 196

198 5809 SAYILI ELEKTRONİK HABERLEŞME KANUNU (İLGİLİ HÜKÜMLER) (5) Bu Kanunun 49 uncu maddesi kapsamında veya kamu yararının sağlanması amacıyla Kurum tarafından işletmecilere getirilen yükümlülüklerin yerine getirilebilmesi için kişisel veriler işlenebilir. (6) Kişisel verilerin yurt dışına aktarılmasına ilişkin ilgili mevzuat hükümleri saklı kalmak kaydıyla, trafik ve konum verileri ancak ilgili kişilerin açık rızaları alınmak koşuluyla yurt dışına aktarılabilir. (7) Trafik verileri; trafiğin yönetimi, arabağlantı, faturalama, usulsüzlük/dolandırıcılık tespitleri ve benzeri işlemleri gerçekleştirmek veya tüketici şikâyetleri ile arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü amacıyla sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla işlenir ve bu uzlaşmazlıkların çözüm süreci tamamlanıncaya kadar gizliliği ve bütünlüğü sağlanarak saklanır. Katma değerli elektronik haberleşme hizmetlerinin sunulması ya da elektronik haberleşme hizmetlerinin pazarlanması amacıyla ihtiyaç duyulan trafik verileri ile konum verileri anonim hâle getirilerek veya ilgili abonelerin/kullanıcıların açık rızalarının alınması ve sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla, belirtilen faaliyetlerin gerektirdiği ölçü ve sürede işlenebilir. (8) İşletmeciler konum verilerinin işlenmesinde abonelere/kullanıcılara bu verilerin işlenmesini reddetme imkânı sağlar. İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde ancak acil yardım çağrıları ile 29/5/2009 tarihli ve 5902 sayılı Afet ve Acil Durum Yönetimi Başkanlığının Teşkilat ve Görevleri Hakkında Kanunda tanımlanan afet ve acil durum hâllerinde abonelerin/kullanıcıların açık rızası aranmaksızın konum verileri ve ilgili kişilerin kimlik bilgileri işletmeci tarafından yetkilendirilen kişilerle sınırlı olmak kaydıyla işlenebilir. 197

199 5809 SAYILI ELEKTRONİK HABERLEŞME KANUNU (İLGİLİ HÜKÜMLER) (9) Abone/kullanıcı şikâyetlerinin incelenmesi ve denetim faaliyetleri kapsamında trafik ve konum verileri ile kişisel veriler, belirtilen faaliyetlerle sınırlı olmak kaydıyla işlenebilir. (10) Bu Kanun kapsamında sunulan hizmetlere ilişkin olarak; a) Soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel veriler ilgili süreç tamamlanıncaya kadar, b) Kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtları iki yıl, c) Kişisel verilerin işlenmesine yönelik abonelerin/kullanıcıların rızalarını gösteren kayıtlar asgari olarak abonelik süresince, saklanır. Veri kategorileri ile haberleşmenin yapıldığı tarihten itibaren bir yıldan az ve iki yıldan fazla olmamak üzere verilerin saklanma süreleri yönetmelikle belirlenir. (11) İşletmeciler, tahsilata ilişkin riskin yönetilmesi ve kötü niyetli kullanımların önlenmesi amacıyla abonelerin elektronik haberleşme hizmetlerine yönelik fatura tutarı ve ödeme bilgilerini diğer işletmecilerle paylaşabilir veya işleyebilir. (12) Bu Kanun kapsamında kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden işletmeciler sorumludur. (13) Bu maddenin uygulanmasına ilişkin usul ve esaslar Kurum tarafından belirlenir. MADDE 60- Kurumun yetkisi ve idarî yaptırımlar ( ) (9) (Ek: 15/8/20165-KHK-671/25 md.; Aynen kabul: 9/11/ /22 md.) Anayasanın 22 nci maddesinde sayılan sebeplerden biri veya birkaçına bağlı olarak, gecikmesinde sakınca bulunan hâllerde Başbakanlık, alınması 198

200 5809 SAYILI ELEKTRONİK HABERLEŞME KANUNU (İLGİLİ HÜKÜMLER) gereken tedbirleri belirler ve uygulanmak üzere Kuruma bildirir. Kurum Başkanı, Başbakanlığın gerekli gördüğü tedbirlere ilişkin kararını derhal işletmecilere, erişim sağlayıcılara, veri merkezlerine ve ilgili içerik ve yer sağlayıcılara bildirir. Bu kararın gereği, derhal ve kararın bildirilmesi anından itibaren en geç iki saat içinde yerine getirilir. Bu karar, yirmidört saat içinde sulh ceza hâkiminin onayına sunulur. Hâkim kararını kırksekiz saat içinde açıklar, aksi halde karar kendiliğinden kalkar. 21 (10) (Ek: 15/8/20165-KHK-671/25 md.; Aynen kabul: 9/11/ /22 md.) Kurum, kamu kurum ve kuruluşları ile gerçek ve tüzel kişilerin siber saldırılara karşı korunması ve bu saldırılara karşı caydırıcılık sağlamak için her türlü tedbiri alır veya aldırır. 10 (11) (Ek: 15/8/20165-KHK-671/25 md.; Aynen kabul: 9/11/ /22 md.) Kurum, görevi kapsamında ilgili yerlerden bilgi, belge, veri ve kayıtları alabilir ve değerlendirmesini yapabilir; arşivlerden, elektronik bilgi işlem merkezlerinden ve iletişim altyapısından yararlanabilir, bunlarla irtibat kurabilir ve bu kapsamda diğer gerekli önlemleri alabilir veya aldırabilir. Kurum, bu fıkrada belirtilen görevlerin ifasında bakanlıklar, kurum ve kuruluşlar ile işbirliği içerisinde çalışır. Bu kapsamda Kurum tarafından istenen her türlü bilgi ve belge talebi; ilgili bakanlık, kurum ve kuruluşlar tarafından gecikmeksizin yerine getirilir. Bu fıkraya göre bilgi ve belge talebinde bulunulması ve bu taleplerin yerine getirilmesine ilişkin usul ve esaslar ile diğer hususlar Başbakanlıkça belirlenir. 10 (12) (Ek: 15/8/20165-KHK-671/25 md.; Aynen kabul: 9/11/ /22 md.) Gerçek kişiler ile özel hukuk tüzel kişileri, Kurumun bu maddedeki 21 15/8/2016 tarihli ve 671 sayılı KHK nin 25 inci maddesiyle sekizinci fıkradan sonra gelmek üzere 9,10,11,12 numaralı fıkralar eklenmiş ve sonraki mevcut fıkra 13 olarak teselsül ettirilmiş olup, daha sonra bu hüküm 9/11/2016 tarihli ve 6757 sayılı Kanunun 22 nci maddesiyle aynen kabul edilerek kanunlaşmıştır. 199

201 5809 SAYILI ELEKTRONİK HABERLEŞME KANUNU (İLGİLİ HÜKÜMLER) görevleri ile ilgili taleplerini, tabi oldukları mevzuat hükümlerini gerekçe göstermek suretiyle yerine getirmekten kaçınamazlar. İşletmeciler dışında Kurumun görevleri ile ilgili yükümlülüklerini yerine getirmeyenlere bu maddenin ikinci fıkrasındaki yaptırım uygulanır. (13) Bu maddenin uygulanmasına ve bu Kanunda öngörülen yükümlülüklerin işletmeciler tarafından yerine getirilmemesi halinde uygulanacak idarî para cezalarına ilişkin hususlar Kurum tarafından çıkarılacak yönetmelikle düzenlenir

202 6098 SAYILI TÜRK BORÇLAR KANUNU (İLGİLİ HÜKÜMLER) tarihli sayılı Resmi Gazete de yayımlanmıştır. MADDE 419- İşçinin kişiliğinin korunması; Kişisel verilerin kullanılmasında İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir. Özel kanun hükümleri saklıdır. 201

203

204 6102 SAYILI TÜRK TİCARET KANUNU (İLGİLİ HÜKÜMLER) tarihli sayılı Resmi Gazete de yayımlanmıştır. MADDE 24 (1) (Değişik: 15/8/2017-KHK-694/162 md.) Gümrük ve Ticaret Bakanlığı tarafından il merkezindeki ticaret ve sanayi odaları ile ticaret odalarında faaliyet gösterecek şekilde ticaret sicili müdürlükleri kurulur. Bakanlık il merkezleri dışındaki odalarda ticaret sicili müdürlükleri kurabileceği gibi müdürlüklere bağlı şubeler de kurabilir. (2) (Ek: 15/8/2017-KHK-694/162 md.) Ticaret sicili, Bakanlığın gözetim ve denetiminde ticaret sicili müdürlükleri ve şubeleri tarafından tutulur. (3) Ticaret sicili kayıtlarının elektronik ortamda tutulmasına ilişkin usul ve esaslar Kanunun 26 ncı maddesine göre çıkarılacak yönetmelikte gösterilir. Bu kayıtlar ile tescil ve ilan edilmesi gereken içeriklerin düzenli olarak depolandığı ve elektronik ortamda sunulabilen merkezi ortak veri tabanı, Gümrük ve Ticaret Bakanlığı ile Türkiye Odalar ve Borsalar Birliği nezdinde oluşturulur. (1) (4) Ticaret sicili müdürlüğünün kurulmasında aranacak şartlar ve odalar arasında sicil işlemleri ile ilgili olarak varlığı gerekli işbirliğinin sağlanmasına ilişkin esaslar, Gümrük ve Ticaret Bakanlığınca çıkarılacak bir tebliğle düzenlenir. (5) (Ek: 26/6/ /3 md.) Ticaret sicili kayıt işlemlerinin elektronik ortamda yapılması için toplanması ve işlenmesi gerekli olan kişisel veriler, kişisel verilerin korunması ve bilgi güvenliğinin sağlanmasına ilişkin mevzuata uygun bir şekilde korunur. ( ) 203

205 6102 SAYILI TÜRK TİCARET KANUNU (İLGİLİ HÜKÜMLER) MADDE 780 (1) Çek; a) Senet metninde çek kelimesini ve eğer senet Türkçe den başka bir dille yazılmış ise o dilde çek karşılığı olarak kullanılan kelimeyi, b) Kayıtsız ve şartsız belirli bir bedelin ödenmesi için havaleyi, c) Ödeyecek kişinin, muhatabın ticaret unvanını, d) Ödeme yerini, e) Düzenlenme tarihini ve yerini, f) Düzenleyenin imzasını, g) (Ek: 15/7/ /70 md.) Banka tarafından verilen seri numarasını, h) (Ek: 15/7/ /70 md.) Karekodu, içerir. (2) (Ek fıkra : 15/7/ /70 md.) Çek alacaklıları, ellerinde bulunan çek ile çek hesabı sahibine ve bu çeki düzenleyenlere ilişkin verilere karekod aracılığıyla erişim sağlayabilir. Karekod ile; a) Çek hesabı sahibinin adı, soyadı veya ticaret unvanı, b) Çek hesabı sahibinin tacir olması hâlinde, ticaret siciline tescil edilen yetkililerinin adı, soyadı veya ticaret unvanı, c) Çek hesabı sahibinin, çek hesabı bulunan toplam banka sayısı, d) Çek hesabı sahibine ait bankalara ibraz edilmemiş çek adedi ve tutarı, e) Düzenlenerek bankalara teslim edilen çeklerin adedi ve tutarı, f) Son beş yıl içerisinde ibrazında ödenen çeklerin adedi ve tutarı, g) İbraz edilen ilk çekin ibraz tarihi, h) İbraz edilen son çekin ibraz tarihi, 204

206 6102 SAYILI TÜRK TİCARET KANUNU (İLGİLİ HÜKÜMLER) ı) İbrazında ödenen son çekin ibraz tarihi, i) Son beş yılda karşılıksızdır işlemi gören ve halen ödenmemiş çeklerin adedi ve tutarları, j) Son beş yılda karşılıksızdır işlemi gören ve sonradan ödenen çeklerin adedi ve tutarı, k) Son beş yılda karşılıksızdır işlemi gören son çekin ibraz tarihi, l) Çek hesabı sahibi hakkında çek hesabı açma yasağı bulunup bulunmadığı, varsa yasaklama kararının tarihi, m) Her bir çek yaprağı ile ilgili olarak tedbir kaydı olup olmadığı, n) Çek hesabı sahibi tacirse, iflasına karar verilip verilmediği, iflasına karar verilmişse kararın tarihi, çek hesabı sahibi ya da cirantanın rızası aranmaksızın üçüncü kişilerin erişimine sunulur. (3) (Ek fıkra : 15/7/ /70 md.) İkinci fıkrada belirtilen verilere ulaşılmasını sağlayacak karekod okutma ve bilgi paylaşım sistemi 5411 sayılı Kanunun ek 1 inci madde hükmü uyarınca kurulan Türkiye Bankalar Birliği Risk Merkezi tarafından oluşturulur. Risk Merkezi sistemdeki verileri, 5411 sayılı Kanunun ek 1 inci maddesinin on birinci fıkrası uyarınca bilgi alışverişini gerçekleştirdiği şirket ile paylaşmaya yetkilidir. Bu yetki kullanıldığı takdirde sistem bilgilerin paylaşıldığı şirket nezdinde kurulabilir. (4) (Ek fıkra : 15/7/ /70 md.) Çekte yer alacak MERSİS numarası ile karekodun tanım ve içerikleri ile bu maddenin uygulanmasına ilişkin usul ve esaslar Gümrük ve Ticaret Bakanlığı ile Hazine Müsteşarlığının müştereken çıkaracağı tebliğle belirlenir. 205

207

208 663 SAYILI SAĞLIK BAKANLIĞI VE BAĞLI KURULUŞLARININ TEŞKİLAT VE GÖREVLERİ HAKKINDA KANUN HÜKMÜNDE KARARNAME (İLGİLİ HÜKÜMLER) tarihli Mükerrer sayılı Resmi Gazete de yayımlanmıştır. MADDE 47- Bilgi toplama, işleme ve paylaşma yetkisi (Değişik: 24/3/ /30 md.) (1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir. (2) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz. (3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar. (4) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, bu Kanun uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar. (5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür. 207

209 663 SAYILI SAĞLIK BAKANLIĞI VE BAĞLI KURULUŞLARININ TEŞKİLAT VE GÖREVLERİ HAKKINDA KANUN HÜKMÜNDE KARARNAME (İLGİLİ HÜKÜMLER) (6) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir 208

210 6328 SAYILI KAMU DENETÇİLİĞİ KURUMU KANUNU (İLGİLİ HÜKÜMLER) tarihli sayılı Resmi Gazete de yayımlanmıştır. MADDE 18 Bilgi ve belge istenmesi (1) Kurumun inceleme ve araştırma konusu ile ilgili olarak istediği bilgi ve belgelerin, bu isteğin tebliğ edildiği tarihten itibaren otuz gün içinde verilmesi zorunludur. Bu süre içinde istenen bilgi ve belgeleri haklı bir neden olmaksızın vermeyenler hakkında Başdenetçi veya denetçinin başvurusu üzerine ilgili merci soruşturma açar. (2) Devlet sırrı veya ticari sır niteliğindeki bilgi ve belgeler, yetkili mercilerin en üst makam veya kurulunca gerekçesi belirtilmek suretiyle verilmeyebilir. Ancak, Devlet sırrı niteliğindeki bilgi ve belgeler Başdenetçi veya görevlendireceği denetçi tarafından yerinde incelenebilir. 209

211

212 6563 SAYILI ELEKTRONİK TİCARETİN DÜZENLENMESİ HAKKINDA KANUN (İLGİLİ HÜKÜMLER) tarihli sayılı Resmi Gazete de yayımlanmıştır. MADDE 2- Tanımlar (1) Bu Kanunun uygulanmasında; ( ) c) Ticari elektronik ileti: Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletileri, ç) Hizmet sağlayıcı: Elektronik ticaret faaliyetinde bulunan gerçek ya da tüzel kişileri, d) Aracı hizmet sağlayıcı: Başkalarına ait iktisadi ve ticari faaliyetlerin yapılmasına elektronik ticaret ortamını sağlayan gerçek ve tüzel kişileri, e) Bakanlık: Gümrük ve Ticaret Bakanlığını, ifade eder. MADDE 6- Ticari elektronik ileti gönderme şartı (1) Ticari elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir. Bu onay, yazılı olarak veya her türlü elektronik iletişim araçlarıyla alınabilir. Kendisiyle iletişime geçilmesi amacıyla alıcının iletişim bilgilerini vermesi hâlinde, temin edilen mal veya hizmetlere ilişkin değişiklik, kullanım ve bakıma yönelik ticari elektronik iletiler için ayrıca onay alınmaz. (2) Esnaf ve tacirlere önceden onay alınmaksızın ticari elektronik iletiler gönderilebilir. 211

213 6563 SAYILI ELEKTRONİK TİCARETİN DÜZENLENMESİ HAKKINDA KANUN (İLGİLİ HÜKÜMLER) MADDE 7- Ticari elektronik iletinin içeriği (1) Ticari elektronik iletinin içeriği, alıcıdan alınan onaya uygun olmalıdır. (2) İletide, hizmet sağlayıcının tanınmasını sağlayan bilgiler ile haberleşmenin türüne bağlı olarak telefon numarası, faks numarası, kısa mesaj numarası ve elektronik posta adresi gibi erişilebilir durumdaki iletişim bilgileri yer alır. (3) İletide, haberleşmenin türüne bağlı olarak, iletinin konusu, amacı ve başkası adına yapılması hâlinde kimin adına yapıldığına ilişkin bilgilere de yer verilir. MADDE 8- Alıcının ticari elektronik iletiyi reddetme hakkı (1) Alıcılar diledikleri zaman, hiçbir gerekçe belirtmeksizin ticari elektronik iletileri almayı reddedebilir. (2) Hizmet sağlayıcı ret bildiriminin, elektronik iletişim araçlarıyla kolay ve ücretsiz olarak iletilmesini sağlamakla ve gönderdiği iletide buna ilişkin gerekli bilgileri sunmakla yükümlüdür. (3) Talebin ulaşmasını müteakip hizmet sağlayıcı üç iş günü içinde alıcıya elektronik ileti göndermeyi durdurur. MADDE 10- Kişisel verilerin korunması (1) Hizmet sağlayıcı ve aracı hizmet sağlayıcı: a) Bu Kanun çerçevesinde yapmış olduğu işlemler nedeniyle elde ettiği kişisel verilerin saklanmasından ve güvenliğinden sorumludur. b) Kişisel verileri ilgili kişinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz. 212

214 KİMLİK BİLDİRME KANUNUNUN UYGULANMASI İLE İLGİLİ YÖNETMELİK tarihli sayılı Resmi Gazete de yayımlanmıştır. BÖLÜM I : Genel Esaslar MADDE 1 Konu Bu Yönetmelik; 26/06/1973 tarihli ve 1774 sayılı Kimlik Bildirme Kanununun 12. maddesi gereğince, anılan kanunun bildirimlerle ilgili maddelerinin uygulanma kurallarının, belge, kart ve defterlerin biçim ve kapsamı alınış, veriliş ve saklanma yöntemlerinin belirli ve standart kayıtlara bağlanması amacı ile hazırlanmıştır. MADDE 2 Kapsam Özel veya resmi her türlü konaklama, dinlenme, bakım ve tedavi tesislerinin, ticaret ve sanat amacı güden bütün iş yerlerinin ve öğrenci yurtlarının sorumlu işleticileri ile bu gibi yerlerde çalışanlar ve barınanlar; resmi dairelerin yetkili amirleri; konutlarda sürekli veya GEÇİCİ olarak kalanlar, çalışanlar veya konutlarını değiştirenler, bu Yönetmelik hükümlerine tabidir. MADDE 3 Tanımlamalar Bu Yönetmelikte sözü edilen: a) En yakın yetkili genel kolluk örgütü deyimi; tesis, iş yeri veya konutun bulunduğu yerin sürekli olarak genel güvenliğini sağlayan polis veya jandarma karakollarını, b) Sorumlu işletici deyimi; Yönetmeliğin 6. maddesinde sayılan tesislerle, her türlü ticaret ve sanat amacı güden iş yerlerini ve öğrenci yurtlarını sürekli veya geçici, sözleşmeli veya sözleşmesiz, ücretli veya ücretsiz olarak çalıştırmak ve yönetmek üzere, özel kuruluşlar için sahibi, kanuni temsilcisi veya kiracısı, resmi kuruluşlar için en büyük amir tarafından iş verilen veya 213

215 KİMLİK BİLDİRME KANUNUNUN UYGULANMASI İLE İLGİLİ YÖNETMELİK atanan kişiyi veya bu kişi tayin edilmediği takdirde o yerin sahip, kanuni temsilci veya kiracısını, c) Yetkili amir deyimi; kanuni yöntemine göre örgütü tarafından atanan ve resmi bina ve eklentilerinin korunması ile görevli ve sorumlu kişiyi, d) Aile reisi deyimi; a) Aile birliğinin reisi olan kocayı, b) İkametgahı belli olmayan kişinin karısını, c) Kocasından ayrı yaşamaya mezun olup kendine ayrı ikametgah tutan kadını, d) Sürekli iş veya hastalık ve benzeri nedenlerle konuttan zorunlu olarak ayrılan kocanın karısını, e) Aynı konutta aralarında aile bağı ile yaşayanlar içinde yaşça en büyük kişiyi, f) Ticaret ve sanat amacı güden iş yeri deyimi; her türlü ticarethane, tüccar yazıhanesi, ocak veya şantiye fabrika ve imalathane ve atölye, depo, antrepo, ardiye, mağaza ve dükkan, banka ve banker dairesi, ikraz ve istikraz müessesesi, imtiyazlı ve imtiyazsız anonim, kooperatif, limitet, komandit ve kollektif şirket gibi çalışma konusu mal veya para ticareti olan, dolayısı ile belirli yerinde para veya mal bulunduran veya hizmet arz eden ve amacı doğrultusunda maddi iş yapan özel veya kamu kuruluşlarını, ifa eder. MADDE 4 - Süreler Bu Yönetmelikte sözü edilen: a) 24 saat deyimi; işe başlamanın veya ayrılmanın vuku bulduğu saatten itibaren geçen 24 saatlik, b) Üç gün deyimi; işe başlama veya geliş veya ayrılmanın vuku bulduğu saatten itibaren işlemeye başlayan 72 saatlik, 214

216 KİMLİK BİLDİRME KANUNUNUN UYGULANMASI İLE İLGİLİ YÖNETMELİK süreyi kapsar. MADDE 5 - Kayıtlama Bu Yönetmelik hükümlerine göre kimlik bildirme belgelerini en yakın yetkili genel kolluk örgütüne vermekle yükümlü tutulanlar, kimliğini nüfus hüviyet cüzdanı veya diğer resmi geçerli belgelerle ispat edemeyen kimseleri, tesislerinde barındıramaz, konut ve iş yerinde çalıştıramaz. BÖLÜM II : Yükümlülükler KISIM I : İşyerleri Sorumlu İşleticilerinin ve Bu Yerlerde Çalışanların ve Barınanların Bildirilmesi A - Sorumlu İşleticiler MADDE 6 - İşe Başlama-Yükümlü Otel, motel, han, pansiyon, bekar odaları, kamp, kamping, tatil köyü, her türlü özel veya resmi konaklama yerleri (yatılı okulların pansiyonları, yetiştirme yurtları ve köy odaları dahil) ile özel sağlık müesseseleri, dinlenme ve huzur evleri ve dini ve hayır kurumlarının sosyal tesislerinde devamlı olarak ve her halde bir sorumlu işletici bulunur. Sorumlu işleticinin kimliği, o tesis açılmadan önce, sahip veya kanuni temsilci veya kiracısı tarafından iki örnek İŞLETİCİ KİMLİK BİLDİRME BELGESİ (form: 1) ne yazılır ve bu belgeler en yakın yetkili genel kolluk örgütüne verilir. MADDE 7 - İşleticinin Değişmesi Sorumlu işleticinin değişmesi halinde, tesisin sahip, kanuni temsilci veya kiracısı tarafından, 24 saat içinde, yeni işleticiye ait kimlik bildirme belgesi, ayrılan işleticinin adı ve ayrılış tarihi de yazılarak yukarıdaki maddede belirtilen yönteme göre en yakın yetkili genel kolluk örgütüne verilir. 215

217 KİMLİK BİLDİRME KANUNUNUN UYGULANMASI İLE İLGİLİ YÖNETMELİK B - Çalışanlar MADDE 8 - Yükümlü Yönetmeliğin: a) 6. maddesi kapsamına giren tesislerle, b) 6. MADDE kapsamı dışındaki her çeşit ticaret ve sanat amacı güden iş yerlerinin sorumlu işleticileri tarafından; buralarda sürekli veya GEÇİCİ olarak çalıştırılanların kimlikleri, iki örnek ÇALIŞANLARA AİT KİMLİK BİLDİRME BELGESİ (Form: 2) ne yazılır ve (a) bendi kapsamında olanların belgesi 24 saat, (b) bendi kapsamında olanların belgesi üç gün içinde en yakın yetkili genel kolluk örgütüne verilir. Maddenin (b) bendindeki yerler köylerde ise belgeler anılan örgütle verilmeden önce muhtara onaylatılır. MADDE 9 - Kimlik Kartı Yönetmeliğin 6. maddesinde yazılı tesislerde çalıştıklarından ötürü haklarında çalışanlara ait kimlik bildirme belgesi düzenlenenler adına sorumlu işletici tarafından; bu belgenin örgüte verildiği tarihten itibaren en geç üç gün içinde KONAKLAMA TESİSİ PERSONELİNE AİT KİMLİK KARTI (Form: 3) doldurulur ve kendilerine verilir. Ayrılmak için başvuran kişinin kimlik kartının geri alınması zorunludur. Kimlik kartları, ilgili konaklama tesisi tarafından örneğine ve boyutlarına uygun biçimde sağlanır. C - Barınanlar MADDE 10 - Yükümlü Yönetmeliğin 8. maddesine göre haklarında çalışanlara ait kimlik bildirme belgesi düzenlenen kişi aynı zamanda o iş yerinde barınıyorsa, bu belgenin ilgili hanesi işaretlenir. 216

218 KİMLİK BİLDİRME KANUNUNUN UYGULANMASI İLE İLGİLİ YÖNETMELİK İş yerlerinde çalışmadan, her ne suretle olursa olsun barınmalarına müsaade edilen kişilerin kimliği o yerin sorumlu işleticisi tarafından iki örnek BARINANLARA AİT KİMLİK BİLDİRME BELGESİ (Form: 4) ne yazılır ve bu belgeler üç gün içinde en yakın yetkili genel kolluk örgütüne verilir. Bu iş yerleri köylerde ise belgeler anılan örgüte verilmeden önce muhtara onaylatılır. KISIM II : Konutlarda Çalışanların ve Oturanların Bildirilmesi A - Çalışanlar MADDE 11 - Ortak hizmetlerde çalışanlar-yükümlü Bağımsız bir bölüm teşkil eden konutların sahip veya kiracıları ile, kat mülkiyetine tabi taşınmaz mallarda yönetici veya yönetim kurulunun bu konuda yetkili kıldığı bir üye tarafından; kapıcı, kaloriferci, bekçi ve telefoncuların ve benzeri idari, teknik ve yardımcı hizmetlerde çalıştırılanların kimlikleri, iki örnek ÇALIŞANLARA AİT KİMLİK BİLDİRME BELGESİ (Form:2) ne yazılır ve bu belgeler üç gün içinde en yakın yetkili genel kolluk örgütüne verilir. MADDE 12 - Konut hizmetlerinde çalışanlar-yükümlü (Değişik madde:rg-31/03/ ) Yerleşmek amacı ile şehir, kasaba ve köy sınırları içindeki konutlarda oturan aile reisleri, aralarında aile bağı olmaksızın bir arada kalanlardan kendilerince seçilecek biri veya yalnız yaşayan kişiler tarafından, buralarda sürekli veya GEÇİCİ olarak ve konutta kalarak çalışan hizmetçi, aşçı, mürebbiye, bekçi ve benzeri her türlü hizmetlerde çalıştırılanların kimlikleri, form 2'deki Çalışanlara Ait Kimlik Bildirme Belgesine yazılır. İki nüsha ve fotoğraflı olarak düzenlenecek bu belgeler mahalle veya köy muhtarına onaylatılarak, üç gün içinde en yakın yetkili genel kolluk örgütüne verilir. 217

219 KİMLİK BİLDİRME KANUNUNUN UYGULANMASI İLE İLGİLİ YÖNETMELİK B - Oturanlar: MADDE 13 - Yükümlü (Değişik:RG-31/03/ ) Yerleşmek amacı ile şehir, kasaba ve köy sınırları içindeki konutlarda oturmakta olan ailelerin reisleri kendileri ile birlikte sürekli olarak oturan kişilerin tamamının toplu olarak, aralarında aile bağı olmaksızın kalan kişiler ile tek başlarına yaşayanlar, kendilerinin kimliklerini form 5'deki Konutta Kalanlara Ait Kimlik Bildirme Belgesine yazarlar, iki nüsha ve18 yaşını bitirmiş olanlar için fotoğraflı olarak düzenleyecekleri bu belgeleri mahalle veya köy muhtarlarına onaylatarak üç gün içinde en yakın yetkili genel kolluk örgütüne verirler. Yabancılar için 5683 sayılı Kanunun 14 üncü maddesi hükmü saklıdır. MADDE 14 - Örnek verilmesi Kat mülkiyetine tabi taşınmaz mallarda oturmakta olan aile reisleri veya kişiler, düzenleyecekleri çalışanlara ait kimlik bildirme ve konutta kalanlara ait kimlik bildirme belgelerinin birer örneğini sorumlu yöneticiye verirler. MADDE 15 - Misafirler - Yükümlü (Değişik madde:rg-25/1/ ) Şehir, kasaba ve köy sınırları içindeki konutlara misafir olarak gelen ve 30 günden fazla bir süre için kalacak kişilerin kimlikleri, bu konutlarda oturmakta olan ailelerin reisleri veya aralarında aile bağı olmaksızın kalan veya yalnız yaşayan kişiler tarafından form 6'daki Misafirlere Ait Kimlik Bildirme Belgesine yazılır ve iki nüsha olarak düzenlenen bu belgeler üç gün içinde en yakın yetkili genel kolluk örgütüne verilir. MADDE 16 - Göçenler - Yükümlü (Değişik madde:rg-25/1/ ) Şehir, kasaba ve köy sınırları içindeki konutlarda otururken mevsimlik olarak yaylak ve kışlak gibi yerlere göçen veya yaylak ve kışlaklar arasında yer 218

220 KİMLİK BİLDİRME KANUNUNUN UYGULANMASI İLE İLGİLİ YÖNETMELİK değiştiren aile veya kişilerin kimlikleri, aile reisleri ve kişiler tarafından form 6'daki Konutta Kalanlara Ait Kimlik Bildirme Belgesine yazılır ve iki nüsha olarak düzenlenecek bu belgeler üç gün içinde en yakın yetkili genel kolluk örgütüne verilir. KISIM III : Diğer Yerlerde Çalışanların ve Barınanların Bildirilmesi MADDE 17 - Öğrenci yurtlarında bulunanlar-yükümlü Öğrenci yurtları ve benzeri yerlerin sorumlu işleticileri tarafından ; buralarda: a) Çalıştırılanların kimlikleri iki örnek ÇALIŞANLARA AİT KİMLİK BİLDİRME BELGESİ (Form.2) ne, b) Kalan öğrencilerin veya diğer kişilerin kimlikleri iki örnek BARINANLARA AİT KİMLİK BİLDİRME BELGESİ (Form 4) ne, yazılır ve bu belgeler üç gün içinde en yakın yetkili genel kolluk örgütüne verilir. Köylerde düzenlenen belgeler, anılan örgüte verilmeden önce muhtara onaylatılır. MADDE 18 - Resmi binalarda barınanlar-yükümlü Resmi binaların yetkili amiri tarafından; buralarda ve eklentilerinde yatarak kalmalarına yer gösterilenlerin kimliği iki örnek BARINANLARA AİT KİMLİK BİLDİRME BELGESİ (Form: 4) ne yazılır ve bu belgeler üç gün içinde en yakın yetkili genel kolluk örgütüne verilir. Nöbetçi Memurluğu kurulması ve Olağanüstü Hal Tatbikatlarında mesainin 24 saat Devamını sağlayan 18/01/1966 günlü ve 711 sayılı Kanun veya özel mevzuatı gereğince her gün değişerek nöbet tutan personel hakkında yukarıdaki fıkra uygulanmaz. Köylerde düzenlenen belgeler, anılan örgüte verilmeden önce muhtara onaylatılır. 219

221 KİMLİK BİLDİRME KANUNUNUN UYGULANMASI İLE İLGİLİ YÖNETMELİK MADDE 19 - Özel durumu olan sabahçı kahveleri İskele, istasyon, hava meydanı, terminal, garaj, benzin istasyon ve benzeri kara, deniz hava ulaşım merkezleri ile fuar, panayır, sergi ve pazar kurulması gibi zorunluluk olan zaman ve yerlerdeki sabahçı kahvesi ve diğer benzeri tesislerin, o yerin bağlı bulunduğu kolluk örgütü ile belediye veya köy idaresinin olumlu görüşü alındıktan sonra mahallin en büyük mülkiye amiri tarafından GEÇİCİ veya sürekli olarak açık tutulması ve buralarda kişilerin kalması için verilen izin belgesinin, tesislerin görünür bir yerine asılması zorunludur. Buralarda kalanlar için bildirim yapılmaz. KISIM IV : Belgelerin Verilmesi ve Örneklerinin Saklanması MADDE 20 - Sorumlu işleticinin işe başlaması ve ayrılması İşletici kimlik bildirme belgesi: a)ilk sorumlu işletici için doldurulduğunda önceki sorumlu işleticiye ait haneler boş bırakılarak, b)ayrılanı izleyen sorumlu işleticiler için doldurulduğunda önceki sorumlu, işleticiye ait bilgiler her halde yazılarak, kolluk örgütüne verilir. Örgütteki görevli, önceki sorumlu işletici yoksa hemen, varsa ona ait kimlik bildirme belgesinin bulup isim karşılaştırması yaptıktan sonra yeni belgenin alınış hanelerini bizzat doldurarak imzalar, birinci örneği saklar, öteki örneği yükümlüye geri verir ve önceki sorumlu işleticiye ait belgeyi imha eder. Belge örnekleri ayrılış ve başlayış tarihleri birbirini izlemek kaydı ile tesisin çalıştığı süre boyunca yükümlüler tarafından tesiste saklanır. MADDE 21 - İşe başlaması veya Öteki kişilerin gelişi İşletici kimlik bildirme belgesi dışındaki bütün belgelerin tabloları her iki örnekte doldurup imzalandıktan sonra ve zımbalı kısmın örneklerdeki ayrılış tarihi ve imza haneleri boş bırakılarak kolluk örgütüne verilir. 220

222 KİMLİK BİLDİRME KANUNUNUN UYGULANMASI İLE İLGİLİ YÖNETMELİK Örgütteki görevli, aldığı belge örneklerinin benzerliğini saptadıktan sonra, belgenin alınış hanelerini bizzat doldurarak imzalar, birinci örneği saklar, öteki örneği yükümlüye geri verir. MADDE 22 - Öteki kişilerin ayrılması veya konutun değiştirilmesi Adına belge düzenlenmiş olan çalışan veya barınan kişinin o yerden ilişiğinin kesilerek ayrılması veya konutun değiştirilmesi halinde yükümlü, belgelerin verilmesindeki sürelere uymak kaydı ile; kendisindeki örnekten ayırdığı zımbalı kısma ayrılış tarihini yazıp imzalayarak kolluk örgütüne verir. Örgütteki görevli zımbalı kısmın ilgili olduğu belge örneğini bulup karşılaştırır, bunun altındaki zımbalı kısmı ayırarak, ayrılış tarihini de yazdıktan sonra imzalar ve yükümlüye verir, ondan aldığı zımbalı kısmı kendisindeki belge örneği ile birlikte imha eder. Yükümlü, kendisinde kalan belge örneğini kolluk örgütünden aldığı zımbalı kısımla birlikte üç yıl süre ile saklar. Konutta kalanlara ait kimlik bildirme belgesinin örneği ile kolluk örgütünden alınan zımbalı kısmın saklanması zorunlu değildir. Hakkında belge verilmiş bulunan misafirlerin ayrılışı kolluk örgütüne bildirilmez. KISIM V : Konaklama Tesislerindeki GEÇİCİ Oturmaların Saptanması MADDE 23 - Yükümlü (Değişik:RG-21/01/ ) Yönetmeliğin 6.maddesinde sayılan yerlerin sorumlu işleticileri tarafından; buralarda ücretli veya ücretsiz, gündüz veya gece yatacak yer gösterilen yerli veya yabancı herkesin kimliği ile geliş ve ayrılış tarihleri, KONAKLAMA YERİ KAYIT DEFTERİ (Form:7) ne günü gününe geçirilir. 221

223 KİMLİK BİLDİRME KANUNUNUN UYGULANMASI İLE İLGİLİ YÖNETMELİK Bu yerlerde kalacak kişilerin, kendilerine verilecek kopyalı bir örnek KONAKLAMA BELGESİ (form:8) ni doldurarak imzalamaları ve sorumlu işleticiye vermeleri şarttır. Konaklama belgesindeki bilgiler, kişinin kimliğini belirten geçerli resmi belge ile karşılaştırıldıktan sonra, konaklama yeri kayıt defterine aktarılır. MADDE 24 - Konaklama yeri kayıt defteri ve konaklama belgesinin sağlanması ve saklanması Konaklama yeri kayıt defteri ve konaklama belgesi, örneğine ve boyutlarına göre ilgili konaklama tesisi tarafından sağlanır. Defter yıllık olarak tutulur, kapağına tesis adı ve yılı yazılır. Kullanılmağa başlanılmadan önce, sonu en yakın yetkili genel kolluk örgütüne sahife sayısı belirtilerek onaylatılır. Defter yüz sahifeden aşağı olamaz. Yılı içinde birden fazla defter kullanılması halinde bunların kapağına birbirini izleyen sıra numarası verilir. Şu kadar ki, gelen konuk sayısını az olduğu tesislerde tek defter kullanılması ile yetinilebilir. Bu halde, yeni yılın kayıtlarına boş bir sahife bırakıldıktan sonra başlanır. Yılın ilk gününde bir önceki yıldan kayıtları devam eden kimlikleri, o gün gelenlerden önce yeni deftere veya sahifeye bütünü ile aktarılır. Bir yıla ait konaklama belgeleri, düzenlendiği yılı izleyen takvim yılından başlayarak bir yıl; konaklama yeri kayıt defterleri, dolduğu yılı izleyen takvim yılından başlayarak beş yıl süre ile, sorumlu işleticinin sorumluluğu altında tesiste saklanır. Saklama süreleri içinde sorumlu işleticisi değişen tesisin belgeleri ve defterleri yeni sorumlu işleticiye; kesin olarak kapanan tesisin belgeleri ve defterleri en yakın yetkili genel kolluk örgütüne hemen verilir. Bu halde, 222

224 KİMLİK BİLDİRME KANUNUNUN UYGULANMASI İLE İLGİLİ YÖNETMELİK saklama görevi, geri kalan süreler için yeni sorumlu işletici veya örgüt tarafından yerine getirilir. MADDE 25 - Belge ve defterden yararlanma olanağı Yetkili resmi örgütler dışında, mahkeme kararı olmadıkça, hiç kimsenin konaklama belgelerinden ve konaklama yeri kayıt defterlerinden yararlanmasına müsaade edilemez. BÖLÜM III : Uygulamada Yapılacak Çalışmalar ve İşlemler MADDE 26 - Belgelerin saklanma yeri ve yöntemi Belgeler, verildiği en yakın genel kolluk örgütünde, karakol bölge krokisi ve binalar cetveli esas alınarak; önce mahalle ve semt (varsa bölge) sonra cadde ve sokak ve bina numarası üzerinden sınıflandırılmış ve üstünde bu bilgiler bulunan gözlerde kilit altında saklanır. Aynı binada bulunan yükümlülerce birden fazla türden belge verilmesi halinde her belge türü form sıra numarasına göre; misafirlere ait kimlik bildirme belgesi, onu düzenleyen tarafından verilmiş konutta kalanlara ait kimlik bildirme belgesine bağlanarak saklanır. Karakol amirleri, yukarıdaki yöntem esas olmak kaydı ile belgeleri daha kolay izlenmesini sağlayacak öteki yolları uygulayabilirler. Yetkili resmi örgütler dışında, mahkeme kararı olmadıkça, hiç kimsenin belgelerden yararlanmasına müsaade edilemez. MADDE 27 - Görevliler Belgeleri teslim alınması ve ayrılması, sıralanması ve saklanması görevin aynı personele gördürülmesi esastır. 223

225 KİMLİK BİLDİRME KANUNUNUN UYGULANMASI İLE İLGİLİ YÖNETMELİK MADDE 28 - Yapıların izlenmesi Her karakol üç ayda bir kez ve gerektiğinde sürekli olarak, bölgesini tarar ve bölge krokisinde veya binalar cetvelinde yer almayan yeni veya yıkılan yapıları ve her türlü ilave ve değişiklikleri saptar, bunları kroki veya cetveline işler veya düşümünü sağlar. Belediyeler, mahallin en büyük mülki amirince istenilmesi halinde düzenledikleri nümerotaj cetvelinin birer örneğini vermekle yükümlüdürler. MADDE 29 - Belgelerin sağlanma yeri (Değişik:RG-6/12/ ) Valiliklerce, İlin yıllık belge ihtiyacına göre, bu Yönetmelikte sözü edilen belgelerin özel kuruluşlarca basılarak ilgililerin taleplerine sunulması için gerekli tedbirler alınır. Özel kuruluşlarca basılan söz konusu belgeler muhtarlıklar ile herkesin kolaylıkla ulaşabileceği diğer yerlerde arza sunulur ve ilgililerce bedeli mukabili temin edilen bu belgeler doldurularak yetkili mercilere teslim edilir. MADDE 30 - İçişleri Bakanlığının yetkisi İçişleri Bakanlığı: a) Bu Yönetmeliğin verilmesini öngördüğü belgelerin örnek sayısında değişiklik yapmağa, b) Uygun gördüğü yerlerde oturanlardan, 13. MADDE gereğince anılan konutta kalanlara ait kimlik bildirme belgesinde yazılı aile reisleri ile diğer kişiler için birer kimlik kartı düzenletip bu kişilere verdirmeğe yetkilidir. Yukarıdaki fıkranın (b) bendine göre verilecek kimlik kartının adlarına düzenleneceği kişiler, düzenleme ve geri alınma yöntemleri, kapsayacağı bilgiler ve biçimi bir yönerge ile saptanır. 224

226 KİMLİK BİLDİRME KANUNUNUN UYGULANMASI İLE İLGİLİ YÖNETMELİK MADDE 31 - (Mülga madde:rg-25/01/ ) MADDE 32 - İstatistik bilgi istenmesi Devlet İstatistik Enstitüsü; Yönetmeliğin 6.maddesinde yazılı tesislerin sayılarını, unvan ve adreslerini, türlerini sınıflarını, oda ve yatak sayılarını belirten listeleri Valiliklerden sağlar. Bu tesislerin tamamı veya bir kısmından, öngöreceği yönteme ve formlara göre, belli süreler içinde istatistik bilgiler istemeye yetkilidir. MADDE - 33 Dağıtım-Görevlendirilecek kişiler Belgelerin boş olarak dağıtımı ve doldurulmuş olarak geri alınması konusunda, genel kolluk örgütleri, köy ve mahalle muhtarlarını görevlendirebilirler. EK MADDE 1 - (Değişik:RG-8/10/ ) 1774 sayılı Kimlik Bildirme Kanununun 2 inci maddesinde sayılan tesislerden; otel, motel ve tatil köyleri ile 30 yatak üzerinde kapasitesi olan özel veya resmi konaklama yerleri ve yatarak tedavi uygulayan özel sağlık müesseseleri, KONAKLAMA YERİ KAYIT DEFTERİ (Form:7)' nde yer alan bilgileri günlük bilgisayar çıktısı almak ve çıktıları sorumlu işleticiye onaylatıp beş yıl süreyle muhafaza etmek kaydıyla, İçişleri Bakanlığının ve ilgili diğer Bakanlıkların da görüşünü alarak özelliklerini tespit edeceği bir bilgisayar programında tutabilirler. Bu yerlerdeki bilgisayar çıktıları KONAKLAMA YERİ KAYIT DEFTERİ (Form:7) yerine geçer. Tespit edilecek bilgisayar programı günün şartlarına ve teknolojik gelişmelere bağlı olarak tespit usulüne uygun olarak değiştirilebilir. EK MADDE 2 - (Ek:RG-10/6/ ) Araç kiralama şirketlerinin sorumlu işleticileri ve yöneticileri, kiralanan araç bilgileri ile aracı kiralayanların kimlik bilgileri ve kira sözleşmesi kayıtlarını usulüne uygun şekilde günü gününe tutmak ve bu kapsamda mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerinin her an incelemelerine hazır 225

227 KİMLİK BİLDİRME KANUNUNUN UYGULANMASI İLE İLGİLİ YÖNETMELİK bulundurmak zorundadırlar. Ancak araç kiralayanın kamu kurum veya kuruluşu olması halinde sadece kamu kurum veya kuruluşuyla yapılan sözleşme ile araç bilgileri sisteme kaydedilir. Birinci fıkrada belirtilen veriler 5 yıl süreyle muhafaza edilir. Sistemdeki kayıtlar 5 yıl sonunda sistemden otomatik olarak silinir. EK MADDE 3 - (Ek:RG-10/6/ ) Bu Yönetmeliğe tabi gerçek kişiler ile özel hukuk tüzel kişilerinin; defter tutma, bilgi, belge ve kayıtları arşivleme yükümlülükleri ile bunları muhafaza etme sürelerine ilişkin olarak 213 sayılı Vergi Usul Kanunu, 6102 sayılı Türk Ticaret Kanunu ve diğer mevzuatta yer alan hükümler saklıdır. GEÇİCİ MADDE 1 (Ek:RG-10/6/ ) Araç kiralama şirketleri tüm kayıtlarını İçişleri Bakanlığının tespit edeceği bir bilgisayar programında tutmak ve bilgisayar terminallerini genel kolluk kuvvetlerinin 1774 sayılı Kanunun ek 1 inci maddesine göre kurulan bilgisayar terminallerine bağlamak zorundadırlar. 4/10/2015 tarihine kadar bu şartı yerine getirmeyen işletmelere mülki idare amirlerince on bin Türk lirası para cezası verilir. Bu fiilin tekrarı halinde işletme ruhsatları iptal edilir. MADDE 34 - Yürürlük tarihi Bu Yönetmelik yayımı tarihinden altı ay sonra yürürlüğe girer. MADDE 35 - Yürütme yetkisi Bu Yönetmelik hükümlerini Adalet, İçişleri, Turizm ve Tanıtma ve Devlet İstatistik Enstitüsü işlerine Bakan Devlet Bakanları yürütür. 226

228 ÖZEL HASTANELER TÜZÜĞÜ (İLGİLİ HÜKÜMLER) tarihli sayılı Resmi Gazete de yayımlanmıştır. MADDE 29 Hasta dosyaları ve iç hizmet yönergesi: (1) Özel hastanelerde yatan hastaların kimliğini, doğum yerini, adresini, yattığı ve çıktığı tarihi, hastalığının tanısını ve çıkıştaki durumunu yazmak için bir protokol defteri ile derece kağıdı, tabelası, filmleri, laboratuvar raporları vb. hastanın izlenmesi ile ilgili belgeleri içeren bir dosya tutulur. (2) Protokol defterinin ilgili yerleri ile dosyadaki belgeler, giriş ve çıkışta geciktirilmeden doldurulur. (3) Gerçek kişilere ait hastanelerde sorumlu müdürler, yönetim kurulu bulunanların bu kurulla birlikte sorumlu müdürleritarafından hususi hastaneler kanunu ve bu tüzük esaslarına göre bir iç hizmet yönergesi düzenlenir. (4) Bu yönergede hastaların kabul koşul ve yöntemleri, sınıfına göre hastalardan alınacak ücret ve ne zaman alınacağı, hasta emanet ve eşyasının saklanması, hasta ziyaret saatleri, sınıflarına göre hasta odalarının nitelikleri hastanın özel durumunun gerekleri dışında verilecek yemeklerin nitelik ve niceliği, yemek zamanları, ölüm halinde yapılacak dezenfeksiyon, tabiplerin nöbet görevleri, hemşirelerin, hastabakıcıların ve diğer hizmetlilerin görevleri, polikliniği olan hastanelerin bu hizmetlerinin yapılış biçimi ile iç hizmetlere ilişkin diğer hususların gösterilmesi zorunludur. (5) Sanatoryumlarla kürevleri için düzenlenecek yönergelerde, yukarıda sayılan hususlardan başka dinlenme zamanları ve kuruluşun özelliğine göre yapılacak tedavi yöntemi ile disiplinine ilişkin hususlar da yazılır. 227

229

230 HASTA HAKLARI YÖNETMELİĞİ (İLGİLİ HÜKÜMLER) tarihli sayılı Resmi Gazete de yayımlanmıştır. MADDE 21- Mahremiyete Saygı Gösterilmesi Hastanın, mahremiyetine saygı gösterilmesi esastır. Hasta mahremiyetinin korunmasını açıkça talep de edebilir. Her türlü tıbbi müdahale, hastanın mahremiyetine saygı gösterilmek suretiyle icra edilir. Mahremiyete saygı gösterilmesi ve bunu istemek hakkı; a) Hastanın, sağlık durumu ile ilgili tıbbi değerlendirmelerin gizlilik içerisinde yürütülmesini, b) Muayenenin, teşhisin, tedavinin ve hasta ile doğrudan teması gerektiren diğer işlemlerin makul bir gizlilik ortamında gerçekleştirilmesini, ( ) f) Sağlık harcamalarının kaynağının gizli tutulmasını, kapsar. Ölüm olayı, mahremiyetin bozulması hakkını vermez. ( ) MADDE 23- Bilgilerin Gizli Tutulması Sağlık hizmetinin verilmesi sebebiyle edinilen bilgiler, kanun ile müsaade edilen haller dışında, hiçbir şekilde açıklanamaz. Kişinin rızasına dayansa bile, kişilik haklarından bütünüyle vazgeçilmesi, bu hakların başkalarına devri veya aşırı şekilde sınırlanması neticesini doğuran hallerde bilginin açıklanması, bunları açıklayanın hukuki sorumluluğunu kaldırmaz. 229

231 HASTA HAKLARI YÖNETMELİĞİ (İLGİLİ HÜKÜMLER) Hukuki ve ahlaki yönden geçerli ve haklı bir sebebe dayanmaksızın hastaya zarar verme ihtimali bulunan bilginin ifşa edilmesi, personelin ve diğer kimselerin hukuki ve cezai sorumluluğunu da gerektirir. Araştırma ve eğitim amacı ile yapılan faaliyetlerde de hastanın kimlik bilgileri, rızası olmaksızın açıklanamaz. 230

232 ELEKTRONİK HABERLEŞME SEKTÖRÜNDE TÜKETİCİ HAKLARI YÖNETMELİĞİ (İLGİLİ HÜKÜMLER) tarihli sayılı Resmi Gazete de yayımlanmıştır. MADDE 4- Tanımlar Bu Yönetmelikte geçen; ( ) f) Kişisel veri: Belirli veya kimliği belirlenebilir gerçek veya tüzel şahıslara ilişkin bütün bilgileri, ( ) ifade eder. MADDE 5- Tüketici hakları (1) Elektronik haberleşme hizmetlerinden yararlanan tüketiciler aşağıda sıralanan haklara sahiptir; ( ) c) Abonelerin kişisel verilerinin kamuya açık rehberlerde yer alıp almamasını talep etme hakkı, ( ) MADDE 15- Abonelik sözleşmelerinin uygulanması ( ) (4) Telefon hizmetlerinde, sunulan elektronik ve/veya yazılı rehber hizmetleri için abonelik sözleşmesi imzalanırken, aboneden bu rehberlerde kişisel verilerinin yer alıp almayacağı hususunda onayı alınır. ( ) 231

233

234 ECZACILAR VE ECZANELER HAKKINDA YÖNETMELİK (İLGİLİ HÜKÜMLER) tarihli sayılı Resmi Gazete de yayımlanmıştır. MADDE 45 Eczane defter ve kayıtları (1) Eczanede satışı yapılan tüm ilaçlar elektronik ortamda kaydedilir. Bu kayıtlar denetimlerde istenilmesi hâlinde sunulmak üzere saklanır. (2) Eczanelerde teftiş defteri, personel defteri ve stajyer defteri tutulur. Defterler eczacıların bağlı oldukları eczacı odalarından temin edilir ve eczacı odalarına tasdik ettirilir. 233

235

236 TİCARİ İLETİŞİM VE TİCARİ ELEKTRONİK İLETİLER HAKKINDA YÖNETMELİK (İLGİLİ HÜKÜMLER) tarihli sayılı Resmî Gazete de yayımlanmıştır. MADDE 4 Tanımlar (1) Bu Yönetmelikte geçen; ( ) b) Aracı hizmet sağlayıcı: Başkalarına ait iktisadî ve ticari faaliyetlerin yapılmasına elektronik ticaret ortamını sağlayan gerçek ve tüzel kişileri, ( ) ğ) Hizmet sağlayıcı: Elektronik ticaret faaliyetinde bulunan gerçek ya da tüzel kişileri, ( ) m) Ticari elektronik ileti: Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesajhizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletileri, ( ) ifade eder. MADDE 12 Kişisel verilerin korunması (1) Hizmet sağlayıcı ve aracı hizmet sağlayıcı, bu Yönetmelik çerçevesinde yapmış olduğu işlemler ve sunduğu hizmetler nedeniyle elde ettiği verilerin, ilgili mevzuat hükümleri saklı kalmak kaydıyla muhafazasından ve hukuka aykırı olarak bunlara erişilmesini ve işlenmesini önlemek amacıyla gerekli tedbirlerin alınmasından sorumludur. 235

237 TİCARİ İLETİŞİM VE TİCARİ ELEKTRONİK İLETİLER HAKKINDA YÖNETMELİK (İLGİLİ HÜKÜMLER) (2) Kişisel verilerin; üçüncü kişilerle paylaşılabilmesi, işlenebilmesi ve başka amaçlarla kullanılabilmesi için ilgili kişiden önceden onay alınması gerekir. 236

238 ÖZEL İSTİHDAM BÜROLARI YÖNETMELİĞİ (İLGİLİ HÜKÜMLER) tarihli sayılı Resmi Gazete de yayımlanmıştır. MADDE 24 Bilgi toplama ve kullanma (1) Özel istihdam büroları, iş arayanlara ve işverenlere ilişkin bilgileri sadece iş ve işçi bulma faaliyeti için toplayabilir, işleme tabi tutabilir veya bunlardan yararlanabilir. (2) 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ve 4904 sayılı Kanunun 19 uncu maddesi hükümleri çerçevesinde; özel istihdam bürosu, iş ve işçi bulmaya aracılık için derlediği verileri bu amaçlar dışında kullanamaz. 237

239

240 AVRUPA KONSEYİ DÜZENLEMELERİ

241

242 108 NO LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ Convention For The Protection Of Individuals With Regard To Automatic Processing Of Personal Data / Türkiye, bu sözleşmeyi imzalayan ilk Avrupa Konseyi üyesi ülkelerden birisi olmuş; ancak sözleşmenin kanunla uygun bulunması ve onaylanması yaklaşık 35 yıl sürmüştür. Sözleşme, 17 Mart 2016 tarihli ve sayılı Resmi Gazete de yayımlanarak iç hukuka dâhil edilmiştir. Gerekçesi: Günümüzde insan haklarõnõn korunmasõ bilincinin gelişmesiyle eş zamanlõ olarak, kişisel verilerin korunmasõnõn šnemi de her geçen gÿn artmaktadõr. Bu çerçevede gelişmiş ülkelerde kişisel verilerin korunmasõ alanõnda detaylõ yasal dÿzenlemelerin uygulanmakta olduğu dikkat çekmektedir. te yandan, 20 inci yÿzyõlda bilgi ve iletişim teknolojilerinde yaşanan hõzlõ gelişmeler nedeniyle kişisel verilerin kayõt altõna alõnmasõnda ciddi bir artõş yaşanmõş, internetin yaygõnlaşmasõ ise konuyu daha hassas bir boyuta taşõmõştõr. TŸrkiye, kişisel verilerin korunmasõyla ilgili uluslararasõ dÿzenlemeleri takip ederek, ulusal dÿzenlemelerine bu çerçevede yšn vermektedir yõlõnda Anayasada yapõlan değişikliklerle kişisel verilerin korunmasõ anayasal bir hak haline getirilmiştir. Avrupa Konseyi (AK) bÿnyesinde hazõrlanarak 28 Ocak 1981 tarihinde Strazburg'da imzaya açõlan ve 1 Ekim 1985 tarihinde yÿrÿrlÿğe giren 'Kişisel Verilerin Otomatik İşleme Tabi Tutulmasõ Karşõsõnda Bireylerin Korunmasõ Sšzleşmesi' Ÿlkemiz tarafõndan 28 Ocak 1981 tarihinde imzalanmõştõr. Anõlan Sšzleşmeye AK dõşõndaki Ÿlkelerin de taraf olma imkanõ bulunmaktadõr. 108 sayõlõ Sšzleşme olarak da bilinen ve 27 maddeden oluşan Sšzleşmenin temel amacõ; her Ÿye Ÿlkede, uyruğu veya ikametgahõ ne olursa olsun gerçek kişilerin, temel hak ve šzgÿrlÿklerini ve šzellikle kendilerini ilgilendiren kişisel nitelikteki verilerin otomatik bilgi işleme tabi tutulmasõ karşõsõnda šzel yaşam haklarõm gÿvence altõna almaktõr. Bu itibarla Sšzleşme, hÿkÿmetlerin vatandaşlarõnõ korumasõna yšnelik šnemli bir araç niteliğindedir. BugŸne kadar AK Ÿyesi bÿtÿn Ÿlkeler ve AK dõşõndan Uruguay olmak Ÿzere toplam 47 Ÿlke Sšzleşmeye taraf olmuş, 46 Ÿlke ise Sšzleşmeyi onaylamõştõr. TŸrkiye 241

243 108 NO LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ Sözleşmeyi imzalamõş olmasõna rağmen, onay işlemlerini henÿz tamamlamayõp yÿrÿrlÿğe koymayan tek Ÿlke konumundadõr. 108 sayõlõ Sšzleşmenin Ÿlkemizce onaylanarak yÿrÿrlÿğe konmasõ konusunda zamanõnda yapõlan değerlendirmede, Sšzleşmenin iç hukuk dÿzenlemelerinin tamamlanmasõnõn ardõndan onaylanmasõ ve yÿrÿrlÿğe konulmasõnõn uygun olacağõ sonucuna varõlmõştõr. Konunun šnemi çerçevesinde, Sšzleşme ile ilgili iç hukuk gereklerinin Sšzleşmenin onay sÿreciyle birlikte eş zamanlõ yÿrÿtÿlmesi keyfiyeti gÿndeme gelmiştir. lkemizde kişisel verilerin korunmasõ bağlamõnda sÿrdÿrÿlmekte olan ulusal mevzuat çalõşmalarõna da paralel olarak, sšzkonusu Sšzleşmenin onaylanmasõ, Ÿlkemizin Avrupa Konseyi çerçevesinde oluşturulan ortak hukuk sistemine kişisel verilerin korunmasõ alanõnda da d hil olmasõnõ sağlayarak, vatandaşlarõmõzõn insan haklarõnõn ihlal edilmesinin šnÿne geçilmesine ve Ÿlkemizin uluslararasõ saygõnlõğõna katkõda bulunacaktõr. Giriş İşbu Sözleşmeyi imzalayan Avrupa Konseyi Üyesi Devletler, Avrupa Konseyinin amacının özellikle hukukun üstünlüğüne ve insan hakları ile temel özgürlüklere saygılı olarak, üyeleri arasında daha yakın bir birliğin gerçekleştirilmesi olduğuna inanarak; Otomatik işleme tabi olan kişisel verilerin sınırlar ötesi akışının yoğunluk kazanması karşısında, temel hak ve özgürlüklere ilişkin güvencelerin, özellikle de özel yaşama saygı hakkının genişletilmesinin arzu edilebilir olduğunu değerlendirerek; Aynı zamanda sınırları dikkate almaksızın haber alma özgürlüğüne ilişkin yükümlülüklerini de teyit ederek; Temel değerler olan özel yaşama saygı ile halklar arasında serbest bilgi akışını birbiriyle uzlaştırma gerekliliğini kabul ederek; Aşağıdaki hususlarda anlaşmışlardır: 242

244 108 NO LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ Bölüm I - Genel hükümler MADDE 1 Konu ve amaç İşbu Sözleşmenin amacı, her bir Tarafın ülkesinde, uyruğu veya ikamet yeri ne olursa olsun her gerçek kişinin temel hak ve özgürlüklerini ve özellikle kendisiyle ilgili kişisel verilerin otomatik işleme tabi tutulması karşısında özel hayata saygı hakkını güvence altına almaktır. ("verilerin korunması"). MADDE 2 Tanımlar Bu Sözleşmenin amaçları bakımından: a) "Kişisel veriler": Kimliği belirli veya belirlenebilir bir gerçek kişi ("ilgili kişi") hakkındaki tüm bilgileri ifade eder; b) "Otomatik veri dosyası" otomatik işleme konu olan bilgilerin tümünü ifade eder; c) "Otomatik işlem"den, tamamen veya kısmen otomatik yöntemlerle gerçekleştirilen; verilerin kaydı, bu verilere mantıksal ve/veya aritmetik işlemlerin uygulanması, verilerin değiştirilmesi, silinmesi, geri elde edilmesi veya dağıtılması anlaşılır. d) "Dosya yöneticisi", otomatik veri dosyasının amacının ne olacağı, hangi kişisel veri kategorilerinin kaydedilmesi gerektiği ve bunlara hangi işlemlerin uygulanacağı hakkında karar verebilecek olan gerçek veya tüzel kişileri, kamu kurumunu, birimi veya ulusal kanunlara göre yetkili olan diğer kuruluşları ifade eder. MADDE 3 Kapsam 1. Taraflar, işbu Sözleşmeyi kamu sektöründe ve özel sektörde, otomatik kişisel veri dosyalarına ve kişisel verilerin otomatik işleme tabi tutulması konusunda uygulamayı taahhüt ederler. 243

245 108 NO LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ 2. Her devlet, imza sırasında veya onay, kabul, uygun bulma veya taraf olma belgelerin.in tevdi edilmesi sırasında veya daha sonra herhangi bir zamanda Avrupa Konseyi Genel Sekreterine muhatap bir beyanla: a) İşbu Sözleşmeyi, listesi tevdi edilecek olan belli otomatik kişisel veri dosyası kategorilerine uygulamayacağını bildirebilir. Ancak, devlet bu listeye, kendi iç hukukunun otomatik verilerin korunmasına ilişkin hükümlerine tabi olan otomatik dosya kategorilerini dahil edemez. Bu nedenle, ilave otomatik kişisel veri dosyası kategorilerinin kendi iç hukukunun verilerin korunmasına ilişkin hükümlerine tabi kılınması halinde, yapacağı yeni bir beyanla sözkonusu listeyi tadil eder; b) İşbu Sözleşmeyi, topluluklar, dernekler, vakıflar, şirketler, kurumlar ve tüzel kişiliğe sahip olsun veya olmasın, doğrudan veya dolaylı olarak gerçek kişilerin bir araya gelmesiyle oluşmuş her çeşit diğer kuruluş hakkında da uygulayacağını bildirebilir; c) İşbu Sözleşmeyi, otomatik bilgi işleme konu olmayan kişisel veri dosyaları hakkında da uygulayacağını bildirebilir. 3. Yukarıdaki 2. fıkranın b veya c bendinde tanımlanan beyanlardan biriyle işbu Sözleşmen.in uygulama alanını genişleten her devlet, sözkonusu beyanda, genişletmen.in ancak tevdi edeceği bir listede gösterilen bazı kişisel dosya kategorilerine uygulanacağını belirtebilir. 4. Yukarıdaki 2. fıkranın a bendinde öngörülen beyanla belli otomatik kişisel veri dosyası kategorilerini Sözleşmen.in uygulama alam dışında tutan Taraf, bunları uygulama alanı dışında tutmayan bir Taraftan işbu Sözleşmenin sözkonusu kategoriler hakkında uygulanmasını isteyemez. 5. Keza, işbu maddenin 2. b ve 2. c bentlerinde öngörülen kapsam genişletmelerinden herhangi birini yapmayan Taraf, bu genişletmeleri yapan herhangi bir Tarafın bu hususlarda Sözleşmeyi uygulaması gerektiğini öne süremez. 244

246 108 NO LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ 6. İşbu maddenin yukarıdaki 2. fıkrasında öngörülen beyanlar, bunları yapmış olan Devlet bakımından, bu beyanların imza sırasında veya onay, kabul, uygun bulma veya taraf olma belgelerinin tevdi edilmesi sırasında yapılması halinde, sözleşmen.in yürürlüğe girdiği tarihte; eğer beyanlar daha sonra yapılmışsa bunların Avrupa Konseyi Genel Sekreteri tarafından alınmasından üç ay sonra hüküm ifade eder. Bu beyanlar Avrupa Konseyi Genel Sekreterine muhatap bir bildirim ile kısmen veya tamamen geri alınabilir. Beyanların geri alınması, bildirimin alındığı tarihten üç ay sonra hüküm ifade eder. Bölüm II - Verilerin korunmasına ilişkin temel ilkeler MADDE 4 Tarafların Görevleri 1. Her Taraf, kendi iç hukukunda, işbu bölümde yer alan verilerin korunmasına ilişkin temel ilkelere işlerlik kazandırmak amacıyla gerekli önlemleri alır. 2. Bu önlemlerin Tarafça, en geç, Sözleşmenin kendisi bakımından yürürlüğe girdiği tarihte alınması zorunludur. MADDE 5 Verilerin niteliği Otomatik işleme konu olan kişisel veriler: a) Adil biçimde ve yasal yoldan elde edilir ve işlenir; b) Belli ve meşru amaçlar için kaydedilir ve bu amaçlara aykırı şekilde kullanılmaz; c) Kaydedilme amaçlarına göre uygun ve yerinde olur ve aşırı olmaz; d) Doğru bilgileri yansıtır ve gerektiğinde güncellenir; e) Kaydedilme amaçlarını gerçekleştirmek için gerekli olan süreyi aşmayacak şekilde ilgili kişilerin kimliklerini belirlemeye imkan veren bir biçimde saklanır. 245

247 108 NO LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ MADDE 6 Özel veri kategorileri İç hukukta uygun güvenceler sağlanmadıkça, ırksal kökeni, siyasi düşünceleri, dini veya diğer inançları ortaya koyan kişisel veriler ile sağlık veya cinsel hayatla ilgili kişisel veriler, otomatik işleme tabi tutulmaz. Aynı şey ceza mahkumiyetiyle ilgili kişisel veriler için de geçerlidir. MADDE 7 Verilerin güvenliği Otomatik dosyalara kaydedilen kişisel verileri korumak için, bunların kaza sonucu veya izinsiz olarak imhasına veya kaza sonucu kaybolmasına veya bunların izinsiz olarak elde edilmesine, değiştirilmesine veya dağıtılmasına karşı uygun güvenlik önlemleri alınır, MADDE 8 İlgili kişi hakkındaki ek güvenceler Herkes: a) Otomatik kişisel veri dosyasının mevcudiyetini, temel amaçlarını, dosya yöneticisinin kimliğini ve mutat ikamet yerini veya başlıca işyerini öğrenmek; b) Makul aralıklarla ve aşırı gecikmeye veya masrafa maruz kalmadan kendisi ile ilgili kişisel verilerin otomatik dosyada bulunup bulunmadığının teyidini almak ve bu bilgilerin kendisine anlaşılır bir biçim altında iletilmesini sağlamak; c) Gerekli olan durumlarda, bu verileri düzelttirmek veya bunların, işbu Sözleşmenin 5. ve 6. maddelerinde belirtilen temel ilkelere işlerlik sağlayan iç hukuk hükümlerinin ihlali suretiyle işlenmiş olması halinde, sözkonusu verileri sildirtmek; d) İşbu maddenin b ve c fıkralarında öngörülen teyit talebinin veya duruma göre bildirim, düzeltme veya silme talebinin yerine getirilmemesi halinde bir başvuru yolundan yararlanmak hakkına sahiptir. 246

248 108 NO LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ MADDE 9 İstisnalar ve kısıtlamalar 1. İşbu maddede belirtilen sınırlar dışında, Sözleşmenin 5, 6 ve 8. maddeleri hükümlerine hiçbir istisna getirilemez. 2. Taraf devletin kanunlarında öngörülmüş olması ve demokratik bir toplumda aşağıdaki hususların sağlanması için gerekli bir önlem oluşturması halinde işbu Sözleşmenin 5, 6 ve 8. maddelerine istisna getirilebilir: a) Devlet güvenliğinin korunması, kamu güvenliği, devletin mali menfaatleri veya suçların önlenmesi; b) İlgili kişinin veya başkasının hak ve özgürlüklerinin korunması. 3. İlgili kişilerin özel yaşamlarına tecavüz tehlikesi bulunmadığının açık olduğu durumlarda, 8. maddenin b, c ve d fıkralarında düzenlenen haklar istatistiki veya bilimsel amaçlar için kullanılan kişisel veri dosyaları bakımından kanunla kısıtlanabilir. MADDE 10 Yaptırımlar ve başvuru yolları Her bir Taraf, işbu bölümde düzenlenen verilerin korunması hakkındaki temel ilkelere işlerlik sağlayan iç hukuk kurallarının ihlaliyle ilgili uygun yaptırımlar ve başvuru yolları getirmekle yükümlüdür. MADDE 11 Genişletilmiş koruma İşbu bölümde yer alan hükümlerden hiçbiri, her devletin, ilgili kişilere işbu Sözleşmede öngörülenden daha fazla koruyucu önlem sağlaması imkanını sınırlayacak veya buna halel getirecek şekilde yorumlanamaz. 247

249 108 NO LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ Bölüm III - Sınır ötesi veri akışları MADDE 12 Kişisel verilerin sınır ötesi akışı ve iç hukuk 1. Otomatik işleme konu olan veya otomatik işleme konu olmak üzere toplanmış olan kişisel verilerin her türlü yoldan ulusal sınırların ötesine transferinde aşağıdaki hükümler uygulanır. 2. Bir Taraf, münhasıran özel yaşamın korunması amacıyla kişisel verilerin diğer bir Tarafa sınır ötesi akışım yasaklayamaz veya özel müsaadeye tabi tutamaz. 3. Bununla birlikte her bir Taraf, 2. fıkradaki hükümlere aşağıdaki durumlarda istisnalar getirebilir: a) Kendi mevzuatının, belli kişisel veri veya otomatik kişisel veri dosyası kategorileri için, bu verilerin veya dosyaların doğasından kaynaklanan özel düzenlemeler içermesi, diğer Tarafın düzenlemelerinin ise eşdeğer bir koruma içermemesi durumunda; b) Bu transferin bir Tarafın ülkesinden, bir diğer Taraf üzerinden Taraf olmayan bir devletin ülkesine yapılması durumunda, bu bendin başında atıfta bulunulan Tarafın mevzuatının boşluklarından yararlanmak üzere yapılacak bu tür transferleri engellemek amacıyla. Bölüm IV - Karşılıklı yardımlaşma MADDE 13 Taraflar arasında işbirliği 1. Taraflar, işbu Sözleşmeyi uygulamak üzere birbirlerine karşılıklı yardımda bulunmayı taahhüt ederler. 2. Bu amaçla: a) Taraflardan her biri bir veya birden fazla makam tayin ederek, bunların isim ve adreslerini Avrupa Konseyi Genel Sekreterine bildirir; 248

250 108 NO LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ b) Birden fazla makam tayin eden her bir Taraf, yukarıdaki bentte atıfta bulunulan bildirimde, bu mercilerden her birinin yetkisini belirtir. 3. Taraflardan birinin tayin ettiği bir makam, diğer Tarafın tayin ettiği bir makamın talebi üzerine: a) Verilerin korunması hakkındaki hukukuna ve idari uygulamalara ilişkin bilgileri verir. b) İç hukukuna ve münhasıran özel yaşamın korunması amacına uygun olarak, otomatik işleme konu olan kişisel verilerin kendileri istisna olmak üzere, ülkesinde gerçekleştirilen otomatik işlemlerle ilgili somut bilgilerin sağlanması için gerekli tüm önlemleri alır. MADDE 14 Yabancı ülkelerde ikamet eden ilgili kişilere yardım 1. Taraflardan her biri, kendi iç hukukunda öngörülen, işbu Sözleşmenin 8. maddesinde belirtilen ilkelere işlerlik kazandıran hakların kullanılması için, yabancı ülkede ikamet eden tüm kişilere yardımda bulunur. 2. Eğer böyle bir kişi diğer bir Tarafın ülkesinde ikamet ediyorsa, talebini bu Tarafın tayin ettiği makama yapma imkanına da sahip olmalıdır. 3. Yardım talebi, gerekli tüm bilgileri, diğerleri yanında özellikle aşağıdakilerle ilgili bilgileri içerir: a) Talepte bulunanın isim ve adresi ile bu kişiyi belirlemeye yarayan tüm hususlar, b) Talebin konusu kişisel verilerin yer aldığı otomatik dosya veya yöneticisi, c) Talebin amacı. MADDE 15 Tayin edilen makamlarca sağlanan yardıma ilişkin güvenceler 1. Bir Tarafın tayin ettiği makam, ne kendisine muhatap bir yardım talebini desteklemek amacıyla talebe eklenen bilgiyi, ne de kendi talep ettiği yardım 249

251 108 NO LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ üzerine diğer bir Tarafın tayin ettiği makamdan sağladığı bilgiyi, yardım talebinde belirtilen amaçlar dışında kullanabilir. 2. Taraflardan her biri, tayin edilen makamın personelinin veya bu makam adına hareket eden kişilerin, bu bilgilerin gizli tutulması veya paylaşılmaması hususunda yükümlülüklere tabi olmasını sağlayacaktır. 3. Tayin edilen makam hiçbir durumda, 14. maddenin 2. fıkrasına göre yabancı ülkede ika eden ilgili kişinin muvafakatini almadan, kendi insiyatifiyle bu kişi adına yardım talebinde bulunmaya yetkili kılınmayacaktır. Madde-16 Yardım taleplerinin reddi İşbu Sözleşmenin 13 ve 14. maddeleri uyarınca kendisine yardım talebi intikal eden tayin edilmiş makam, aşağıdaki durumlar dışında yardım talebini reddedemez: a) Yapılan talep, yanıt vermekle sorumlu makamın verilerin korunması konusundaki yetkisi dışında kalıyorsa; b) Talep, işbu Sözleşme hükümlerine uygun değilse; c) Talebin yerine getirilmesi, bunu yerine getirecek makamın bağlı olduğu devletin egemenliğine, güvenliğine veya kamu düzenine veya bu devletin yetkisi altındaki kişilerin haklarına ve temel özgürlüklerine aykırı ise. MADDE 17 Yardım giderleri ve yöntemleri 1. Tarafların 13. MADDE uyarınca birbirlerine yaptıkları karşılıklı yardım ile 14. MADDE uyarınca yabancı ülkede ikamet eden ilgili kişilere yaptıkları yardım, uzman ve tercüman ücretleri dışında, hiçbir masraf veya harcı gerektirmeyecektir. Bu masraf ve harçlar, yardım talebinde bulunan makamı tayin eden Tarafça karşılanacaktır. 2. İlgili kişi, bir başka Tarafın ülkesinde kendi hesabına yapılan işlemlerle ilgili olarak, bu Tarafın ülkesinde ikamet eden kişilerce yasal olarak ödenmesi 250

252 108 NO LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ gereken harç ve masraf dışında, hiçbir harç ve masraf ödemek zorunda olmayacaktır. 3. Yardımla ilgili diğer hususlar ve özellikle yardımın şekli ve usulü ile kullanılacak dile ilişkin konular, ilgili Taraflar arasında doğrudan kararlaştırılacaktır. Bölüm V - Danışma Komitesi MADDE 18 Komitenin oluşumu 1. İşbu Sözleşmenin yürürlüğe girmesinden soma bir Danışma Komitesi kurulur. 2. Taraflardan her biri, bu komiteye bir asıl temsilci, bir de temsilci vekili tayin eder. Sözleşmeye taraf olmayan Avrupa Konseyi üyesi her devlet Danışma Komitesinde bir gözlemci tarafından temsil edilme hakkına sahiptir. 3. Danışma Komitesi, oybirliği ile alacağı bir kararla, Avrupa Konseyi üyesi olmayan ve Sözleşmeye taraf olmayan herhangi bir devleti, belli bir oturumunda bir gözlemci tarafından temsil edilmeye davet edebilir. MADDE 19 Komitenin işlevleri Danışma Komitesi: a. Sözleşmenin uygulanmasını kolaylaştırmak veya iyileştirmek amacıyla önerilerde bulunabilir; b. Aşağıdaki 21. Maddeye uygun olarak Sözleşmede değişiklik yapılmasını önerebilir; c. Sözleşmede değişiklik yapılmasına ilişkin olarak 21. maddenin 3. fıkrası uyarınca kendisine sunulan tüm öneriler hakkında görüş bildirir; d. Taraflardan birinin talebi üzerine, işbu Sözleşmenin uygulanması ile ilgili tüm sorular hakkında görüş bildirebilir. 251

253 108 NO LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ MADDE 20 Usul 1. Danışma Komitesi, Avrupa Konseyi Genel Sekreteri tarafından toplantıya çağırılır. Komite ilk toplantısını, işbu Sözleşmenin yürürlüğe girmesini izleyen on iki ay içerisinde yapar. Komite, müteakip toplantılarını en az iki yılda bir yapar; ayrıca Tarafların temsilcilerinin üçte birinin talebi üzerine herhangi bir zamanda toplanır. 2. Danışma Komitesi toplantısı yeter sayısı, Taraf temsilcilerinin salt çoğunluğudur. 3. Danışma Komitesi, her toplantı sonunda, yaptığı çalışmalar ve Sözleşmenin işleyişi hakkında Avrupa Konseyi Bakanlar Komitesine bir rapor sunar. 4. İşbu Sözleşme hükümlerine tabi olmak üzere Danışma Komitesi iç tüzüğünü kendisi düzenler. Bölüm VI - Değişiklikler MADDE 21 Değişiklikler 1. Taraflardan biri, Avrupa Konseyi Bakanlar Komitesi veya Danışma Komitesi işbu Sözleşmede değişiklik yapılmasını önerebilir. 2. Her değişiklik önerisi, Avrupa konseyi Genel Sekreteri tarafından, Avrupa Konseyi üyesi Devletlere ve 23. MADDE hükümleri uyarınca Sözleşmeye katılan veya katılmaya çağrılan üye olmayan her devlete bildirilir. 3. Taraflardan biri veya Bakanlar Komitesi tarafından yapılan her değişiklik önerisi, Bakanlar Komitesine değişiklik hakkında görüş sunacak olan Danışma Komitesine bildirilir. 4. Bakanlar Komitesi, teklif edilen değişikliği ve Danışma Komitesi tarafından sunulabilecek her türlü görüşü dikkate alarak söz konusu değişikliği kabul edebilir. 252

254 108 NO LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ 5. Bakanlar Komitesi tarafından bu maddenin 4. fıkrasına göre kabul edilen her türlü değişiklik metni, kabul için Taraflara iletilir. 6 İşbu Maddenin 4. fıkrası uyarınca kabul edilen herhangi bir değişiklik, tüm Tarafların bununu kabul ettiklerini Genel Sekretere bildirmelerini izleyen otuzuncu günde yürürlüğe girer. Bölüm XI - Son hükümler MADDE 22 Yürürlüğe girme 1 İşbu Sözleşme Avrupa Konseyi üyesi devletlerin imzasına açıktır. Onay, kabul ya da uygun bulmaya tabidir. Onay, kabul ya da uygun bulma belgeleri, Avrupa Konseyi Genel Sekreterine teslim edilir. 2 Bu Sözleşme, en az beş Avrupa Konseyi üye devletinin önceki fıkranın hükümlerine göre Sözleşmeyle bağlı olma yönündeki muvafakatlerini ifade ettikleri tarihten itibaren üç aylık sürenin sona ermesini takip eden ayın ilk günü yürürlüğe girer. 3. Daha sonra Sözleşme ile bağlı olmak istediğini beyan eden herhangi bir üye devlet bakımından Sözleşme; onay, kabul ya da uygun bulma belgesini teslim etme tarihinden itibaren üç aylık sürenin sona ermesini takip eden ayın ilk günü yürürlüğe girer. MADDE 23 Üye olmayan devletlerin katılımı 1. İşbu Sözleşmenin yürürlüğe girmesinden sonra, Avrupa Konseyi Bakanlar Komitesi, Avrupa Konseyi Statüsünün 20. maddesinin d. fıkrasında öngörülen çoğunlukla ve komiteye katılına hakkına sahip Taraf Devlet temsilcilerinin oybirliğiyle Avrupa Konseyine üye olmayan herhangi bir Devleti işbu Sözleşmeye katılmaya davet edebilir. 253

255 108 NO LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ 2. Katılan her Devlet için Sözleşme, katılına belgesinin Avrupa Konseyi Genel Sekreterine tevdi edildiği tarihten sonraki üç aylık dönemin bitimini izleyen ayın ilk günü yürürlüğe girer. MADDE 24 Ülkesel hükümler 1. Herhangi bir Devlet, imza sırasında veya onay, kabul, uygun bulma veya taraf olma belgelerini tevdi ederken, Sözleşmenin uygulanacağı ülkeyi veya ülkeleri belirtebilir. 2. Herhangi bir Devlet, daha sonraki bir tarihte Avrupa Konseyi Genel Sekreterine muhatap bir bildirimle, işbu Sözleşmenin uygulama alanını, bildirimde belirtilen başka herhangi bir ülkeye teşmil edebilir. Sözleşme, sözkonusu ülke bakımından, söz konusu beyanın Genel Sekreter tarafından alınına tarihinden itibaren üç aylık sürenin sona ermesini takip eden ayın ilk günü yürürlüğe girer. 3. Önceki iki fıkra uyarınca yapılan herhangi bildirim, sözkonusu bildirimde belirtilen herhangi bir ülke bakımından Avrupa Konseyi Genel Sekreterine muhatap bir bildirim ile geri çekilebilir. Sözkonusu geri çekme, sözkonusu bildirimin Genel Sekreter tarafından alınma tarihinden itibaren altı aylık sürenin sona ermesini takip eden ayın ilk günü geçerlilik kazanır. MADDE 25 Çekinceler İşbu Sözleşme hükümlerine hiçbir çekince konulamaz. MADDE 26 Fesih 1. Taraflardan herhangi biri, herhangi bir zamanda Avrupa Konseyi Genel Sekreterine muhatap bir bildirim yoluyla bu Sözleşmeyi feshedebilir. 2. Söz konusu fesih, söz konusu bildirimin Genel Sekreter tarafından alınma tarihinden itibaren altı aylık sürenin sona ermesini takip eden ayın ilk günü geçerlilik kazanır. 254

256 108 NO LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ MADDE 27 Bildirimler Avrupa Konseyi Genel Sekreteri Konsey üyesi Devletlere ve bu Sözleşmeye katılan her Devlete aşağıdakileri bildirecektir: a. her imzayı; b. tevdi edilen her onay, kabul, uygun bulma veya taraf olma belgesini; c. MADDE 22, 23 ve 24 uyarınca her yürürlüğe giriş tarihini; d. bu Sözleşme ile ilgili diğer her tür belge, bildirim ya da muhaberatı. Keyfiyeti tevsiken, usulüne uygun olarak yetkilendirilmiş Sözleşmeyi imzalamışlardır. Strazburg'da 28 Ocak 1981 tarihinde İngilizce ve Fransızca dillerinde ve her iki metin eşit derecede geçerli olacak şekilde, Avrupa Konseyi arşivlerinde saklanmak üzere tek nüsha olarak imzalanmıştır. Avrupa Konseyi Genel Sekreteri, her bir Avrupa Konseyi üye Devletine ve Sözleşmeye taraf olmaya davet edilen her Devlete onaylı nüshalarını gönderecektir. 255

257

258 181 NO LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ NE EK DENETLEYİCİ MAKAMLAR VE SINIRAŞAN VERİ AKIŞINA İLİŞKİN PROTOKOL Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows / Türkiye, sözleşmeyi tarihinde imzalamış ve tarihli sayılı Resmi Gazete de yayımlanarak iç hukuka dâhil edilmiştir. Giriş Strazburg da 28 Ocak 1981 tarihinde imzaya açılan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi nin (bundan böyle Sözleşme olarak anılacaktır) tarafları; Görevlerini tam bağımsızlıkla yerine getiren denetleyici makamların, kişisel verilerin işlenmesi karşısında bireylerin etkili şekilde korunmasının bir unsurunu teşkil ettiklerine kani olarak; Toplumlar arasındaki bilgi akışının önemini göz önüne alarak; Ulusal sınırlar arasında kişisel veri alışverişinin artmasıyla, insan haklarının ve temel özgürlüklerin ve özellikle de kişisel veri alışverişi karşısında özel hayatın gizliliği hakkının etkili şekilde korunmasını sağlamanın gerekliliğini göz önüne alarak; Aşağıdaki hususlarda anlaşmaya varmışlardır: MADDE 1 Denetleyici Makamlar 1. Taraf devletler, Sözleşme nin II. ve III. bölümlerinde ve bu Protokol de belirtilen ilkeleri uygulamaya koyan iç hukukundaki önlemlere uyulmasını sağlamakla yükümlü bir ya da daha fazla yetkili makam belirler. 257

259 181 NO LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ NE EK DENETLEYİCİ MAKAMLAR VE SINIRAŞAN VERİ AKIŞINA İLİŞKİN PROTOKOL 2. a) Bu amaçla, söz konusu makamlar soruşturma ve müdahale yetkilerinin yanı sıra, kanuni takibata dâhil olma ya da bu Protokol ün 1. Maddesinin I. fıkrasında belirtilen ilkeleri uygulamaya koyan iç hukuk hükümlerinin ihlallerini yetkili adli makamların dikkatine getirme yetkisine sahiptir. b) Her denetleyici makam, yetkileri dahilinde, kişisel verilerin işlenmesi karşısında her kişinin haklarının ve temel özgürlüklerinin korunmasına dair taleplerini dinler. 3. Denetleyici makamlar görevlerini tam bağımsızlıkla yerine getirir. 4. Denetleyici makamların şikayetlere yol açan kararlarına mahkemeler yoluyla itiraz edilebilir. 5. IV. Bölüm hükümlerine uygun olarak ve Sözleşme nin 13. Maddesinin hükümlerine halel getirmeksizin, denetleyici makamlar görevlerinin yerine getirilmesinin gerektirdiği ölçüde, özellikle tüm faydalı bilgileri teati ederek birbirleriyle işbirliği yaparlar. MADDE 2 Sözleşme Taraflarından Birinin Yetki Alanına Tabi Olmayan Bir Alıcıya Sınıraşan Kişisel Veri Akışı 1. Taraf devletler, Sözleşme ye taraf olmayan bir devletin ya da kuruluşun yetki alanına tabi bir alıcıya, yalnızca bu devletin ya da kuruluşun hedeflenen veri transferinin yeterli seviyede korunmasını garanti etmesi durumunda, kişisel veri transferi yapılmasını sağlar. 2. Bu Protokol ün 2. Maddesinin 1. Fıkrasından derogasyon yoluyla taraflardan her biri: a) iç hukukun: - veri sahibinin belirli menfaatleri veya - özellikle önemli kamu menfaatleri olmak üzere meşru üstün menfaatler nedeniyle öngörmesi veya 258

260 181 NO LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ NE EK DENETLEYİCİ MAKAMLAR VE SINIRAŞAN VERİ AKIŞINA İLİŞKİN PROTOKOL b) bilhassa akdi hükümlerden kaynaklanabilecek güvencelerin transferden sorumlu kontrolör tarafından sağlanması ve iç hukuka uygun olarak bunların yetkili makamlarca yeterli bulunması durumunda kişisel veri akışına müsaade edebilir. MADDE 3 Nihai Hükümler 1. Bu Protokol ün 1. Ve 2. Maddelerinin hükümleri, taraflarca Sözleşme ye ek maddeler olarak kabul edilir ve Sözleşme nin tüm hükümleri buna göre uygulanır. 2. Bu Protokol, Sözleşme nin İmzacı Devletlerinin imzasına açıktır. Koşulları uyarınca Sözleşme ye katılmalarının ardından Avrupa Toplulukları bu Protokol ü imzalayabilir. Bu Protokol, onaya, kabule veya uygun bulmaya tabidir. Bu Protokol e İmzacı Taraf daha önce ya da eş zamanlı olarak Sözleşme yi onaylamamış, kabul etmemiş ya da uygun bulmamış ya da Sözleşme ye katılmamış ise bu Protokol ü onaylayamaz, kabul edemez ya da uygun bulamaz. Bu Protokol e ilişkin onay, kabul veya uygun bulma belgeleri, Avrupa Konseyi Genel Sekreterine tevdii edilir. 3. a) Bu Protokol, beş İmzacı Tarafın 3. Maddenin 2. fıkrası hükümleri uyarınca Protokol e tabi olmak için rızalarını ifade ettikleri tarihi takip eden üç aylık sürenin dolmasını takip eden ayın ilk günü yürürlüğe girer. b) Daha sonradan Protokol e bağlı olmak için rızasını ifade eden bir İmzacı Taraf bakımından Protokol; onay, kabul ya da uygun bulma belgesini tevdi etme tarihinden itibaren üç aylık sürenin sona ermesini takip eden ayın ilk günü yürürlüğe girer. 4. a) Bu Protokol ün yürürlüğe girmesinden sonra, Sözleşme ye katılan herhangi bir Devlet Protokol e de katılabilir. 259

261 181 NO LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ NE EK DENETLEYİCİ MAKAMLAR VE SINIRAŞAN VERİ AKIŞINA İLİŞKİN PROTOKOL b) Katılma, katılım belgesinin Avrupa Konseyi Genel Sekreterine tevdi edildiği tarihten sonraki üç aylık dönemin bitimini izleeyen ayın ilk günü yürürlüğe girer. 5. a) Taraflardan herhangi biri bu Protokol ü Avrupa Konseyi Genel Sekreterine muhatap bir bildirim yoluyla herhangi bir tarihte feshedebilir. b) Sözkonusu fesih Avrupa Konseyi Genel Sekreterine atfedilen bildirimin kabul edilme tarihinden sonraki üç aylık sürenin dolmasını takip eden ayın ilk günü yürürlüğe girer. 6. Avrupa Konseyi Genel Sekreteri Konsey üyesi Devletlere, Avrupa Topluluklarına ve bu Protokol e katılan her Devlete aşağıdakileri bildiri: a) Her imzayı b) Tevdi edilen her onay, kabul ve uygun bulma belgesini; c) Bu Protokol ün 3. Maddeye göre yürürlüğe girdiği her tarihi; d) Bu Protokol ile ilgili diğer her türlü belge, bildirim ya da muhaberatı. Yukarıdaki hususları tasdiken, usulüne uygun olarak yetkilendirilmiş aşağıda imzaları bulunanlar, bu Protokol ü imzalamışlardır. Avrupa Konseyi arşivinde saklanmak ve her iki metin de aynı derecede geçerli olmak üzere İngilizce ve Fransızca tek nüsha halinde 8 Kasım 2001 tarihinde Strazburg da düzenlenmiştir. Avrupa Konseyi Genel Sekreteri, her bir Avrupa Konseyi üye Devletine, Avrupa Topluluklarına ve Protokol e katılmaya davet edilen her devlete onaylı nüshalarını gönderir. 260

262 İNSAN HAKLARI AVRUPA SÖZLEŞMESİ (İLGİLİ HÜKÜMLER) European Convention on Human Rights / Türkiye, Sözleşmeyi tarihinde imzalamış ve tarih ve 6366 sayılı Kanun ile onaylamıştır. MADDE 8 Özel hayata ve aile hayatına saygı hakkı 1. Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hakkına sahiptir. 2. Bu hakkın kullanılmasına bir kamu makamının müdahalesi, ancak müdahalenin yasayla öngörülmüş ve demokratik bir toplumda ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için gerekli bir tedbir olması durumunda söz konusu olabilir. 261

263

264 AVRUPA BİRLİĞİ DÜZENLEMELERİ 263

265

266 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data / BAŞLANGIÇ AVRUPA PARLAMENTOSU VE AVRUPA BİRLİĞİ KONSEYİ, Avrupa Topluluğunu Kuran Anlaşmayı ve özellikle ilgili 100a maddesini göz önünde bulundurarak, Komisyonun teklifini 22 göz önünde bulundurarak, Ekonomik ve Sosyal Komite nin 23 görüşünü göz önünde bulundurarak, Anlaşmanın 189b maddesinde ortaya koyulan prosedür uyarınca hareket ederek 24 aşağıda sıralanan nedenlerden dolayı: (1) Topluluk un amaçları, Avrupa Birliği Anlaşması tarafından tadil edildiği, Anlaşmada öngörüldüğü şekilde; İnsan Hakları ve Temel Özgürlüklerin Korunması Hakkındaki Avrupa Sözleşmesi'nde ve Üye Devletler in anayasaları ve yasalarında tanınan temel haklar üzerinden demokrasiyi geliştirerek ve barış ve özgürlüğü koruyup güçlendirerek halklarının yaşama koşullarının sürekli iyileştirilmesini teşvik ederek, Avrupa yı bölen 22 OJ No: C 277, syf:3 ve OJ No: C 311, , syf:3 23 OJ No: C 159, , syf: Haziran 1995 tarihli Avrupa Parlamentosu Kararı (OJ No: C 166, ) ve 20 Şubat 1995 tarihli Komisyon ortak görüşü (OJ No: C 93, , syf:1) ; 2 Eylül 1993 de onaylanan (OJ No: C 342, , syf:30) 11 Mart 1992 tarihli Avrupa Parlamentosu Görüşü (OJ No: C 94, , syf:198) 265

267 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ engelleri gidermek için ortak eylemle ekonomik ve sosyal ilerlemeyi sağlayarak, Topluluk a mensup Devletlerarasında daha yakın ilişkileri teşvik etmeyi içerir; (2) Veri işleme sistemleri insana hizmet etmek üzere tasarlanır ve böyle olmalıdır; gerçek kişilerin milliyetine veya ikametgahlarına bakmaksızın, başta kişisel mahremiyet olmak üzere, temel haklarını ve özgürlüklerini korumalıdır ve bireylerin ekonomik ve sosyal ilerlemesine, refahına ve ticari genişlemeye katkıda bulunmalıdır; (3) Malların, kişilerin, servislerin ve sermayenin serbest dolaşımının sağlanması hakkındaki Anlaşmanın 7a maddesi uyarınca bir iç pazarın kurulması ve işletilmesi;yalnızca kişisel verilerin bir Üye Devletten diğerine serbestçe akabilmesini değil, aynı zamanda bireylerin temel haklarının güvenceye alınmasını gerektirir; (4) Topluluk a, ekonomik ve sosyal faaliyetin çeşitli alanlarında kişisel verilerin işlenmesine dönük olarak artan sıklıkta başvuru yapılmaktadır; bilgi teknolojisinde sağlanan ilerlemeler, bu tür verilerin işlenmesini ve değişimini önemli ölçüde kolaylaştırmaktadır; (5) Anlaşmanın 7a maddesinin anlamı kapsamında iç pazarın kurulması ve işlemesinden kaynaklanan ekonomik ve sosyal entegrasyon; Üye Devletlerde ekonomik ve sosyal faaliyete özel veya kamu sıfatıyla katılan herkes arasında kişisel verilerin sınır ötesi akışında zorunlu olarak önemli bir artışa yol açacaktır. Farklı Üye Devletlerdeki teşebbüsler arasında kişisel verilerin alışverişi artmaya başlamıştır; çeşitli Üye Devletlerdeki ulusal makamlardan, iç pazarın sınırları dikkate almaksızın diğer bir Üye Devletteki bir makam adına görevlerini yerine getirebilmek veya görevlerini yapabilmek hususunda topluluk hukukuna binaen, kişisel verileri takas etmesi ve iş birliği yapması istenmektedir; 266

268 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ (6) Üstelik Toplulukta yeni haberleşme ağlarının eşgüdümlü uygulanması ve bilimsel ve teknik işbirliğindeki artış, kişisel verilerin sınır ötesi akışını gerektirmekte ve kolaylaştırmaktadır; (7) Üye Devletlerde uygulanan kişisel verilerin işlenmesine dair başta kişisel mahremiyet hakkı olmak üzere bireylerin hakları ve özgürlüklerinin korunma seviyesindeki farklılıklar, bir Üye Devlet toprağından diğer Üye Devlete bu tür verilerin iletilmesini engelleyebilir; bu nedenle bu fark, Topluluk seviyesindeki birtakım ekonomik faaliyetlerin takibi için bir engel oluşturabilir, rekabeti bozabilir ve Topluluk hukuku kapsamında makamların sorumluluklarını yerini getirmesini engelleyebilir; koruma seviyesindeki bu fark, çok çeşitli ulusal kanunlar, yönetmelikler ve idari hükümlerin varlığından dolayıdır; (8) Kişisel verilerin akışındaki engelleri kaldırmak için, bireylerin hak ve özgürlüklerinin korunma seviyesi bu tür verilerin işlenmesine ilişkin olarak tüm Üye Devletlerde eşit olmalıdır; bu amaç iç pazar için hayatidir ancak özellikle Anlaşmanın 7a maddesinde belirtilen iç pazar amacına uyan tutarlı bir şekilde kişisel verilerin sınır ötesi akışının düzenlenmesini temin etmek hususunda Üye Devletlerdeki ilgili kanunlar arasında mevcut uyuşmazlıkların ölçeği göz önüne alındığında bu, Üye Devletler tarafından tek başına başarılamaz; bu yüzden bu kanunları yaklaştırmak için Topluluk eylemine gerek duyulmaktadır; (9) Ulusal kanunların yakınlaştırılmasından kaynaklanan eşdeğer koruma dikkate alındığında, Üye Devletler, özellikle kişisel gizlilik hakkı başta olmak üzere, bireylerin özgürlükleri ve haklarının korunması gerekçesiyle, kişisel verilerin aralarında serbest dolaşımını artık engelleyemeyeceklerdir; Üye Devletlere, Direktifin uygulanması bağlamında, iş ve sosyal ortaklar tarafından da yerine getirilebilecek bir manevra alanı bırakılacaktır; bu nedenle Üye Devletler veri işlemenin 267

269 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ yasallığını yöneten genel koşulları, kendi ulusal yasalarına koyabileceklerdir. Üye Devletler bu şekilde kendi mevzuatlarıyla güncel olarak sağlanan korumayı geliştirmeye çalışacaklardır; bu manevra alanının limitleri dâhilinde ve Topluluk kanuna uygun olarak, Direktifin uygulanmasında eşitsizlikler ortaya çıkabilir ve bu, Topluluğun yanı sıra bir Üye Devlet bünyesinde verilerin dolaşımı etkileyebilir; (10) Kişisel verilerin işlenmesi hakkındaki ulusal kanunların amacı, başta kişisel mahremiyet hakkı olmak üzere, hem Topluluk kanununun genel esaslarında, hem de İnsan Hakları ve Temel Özgürlüklerini Koruma hakkındaki Avrupa Sözleşmesinin 8. maddesinde tanınan temel hakları ve özgürlükleri korumaktır; bu nedenle, bu kanunların yakınlaştırılması, sağladıkları korumanın azalmasına yol açmamalı aksine, Topluluk içinde yüksek seviyeli bir korumanın sağlanması için çabalamalıdır; (11) Kişisel mahremiyet başta olmak üzere bireylerin haklarının ve özgürlüklerinin korunması hakkında bu Direktifte belirtilen esaslar, Kişisel Verilerin Otomatik İşlenmesine İlişkin Bireylerin Korunması Hakkındaki 28 Ocak 1981 tarihli Avrupa Konseyi Sözleşmesinde belirtilenleri güçlendirir ve genişletir; (12) Koruma esasları, faaliyetleri Topluluk hukukunca yönetilen herhangi bir kişinin kişisel verilerinin tüm işlenmesine uygulanmalıdır; adres kayıtlarını tutma ve yazışma gibi özellikle şahsi veya ailevi olan aktiviteler esnasında, bir gerçek kişinin gerçekleştirdiği veri işleme, hariç tutulmalıdır; (13) Avrupa Topluluğunu Kuran Anlaşmanın 100a maddesi veya MADDE 56 (2), MADDE 57 kapsamında Üye Devletler üzerine düşen yükümlülükler saklı kalmak üzere; kamu güvenliği, savunma, devlet güvenliğine dair Avrupa Birliği Anlaşmasının V ve VI. Başlığında atıfta bulunulan faaliyetler ile ceza kanunları alanındaki Devlet faaliyetleri; Topluluk hukuku 268

270 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ kapsamında değildir; Devletin güvenlik konularıyla ilişkili olduğunda, devletin ekonomik refahını güvenceye almak için gerekli olan kişisel verilerin işlenmesi, bu Direktifin kapsamında değildir; (14) Gerçek kişilere ilişkin ses ve görüntü verilerini yakalamak, iletmek, değiştirmek, kaydetmek, saklamak veya nakletmek için kullanılan teknolojilerin, bilgi toplumu çerçevesinde devam eden gelişmelerinin önemi dikkate alındığında, bu Direktif bu tür verileri gerektiren işlemeye uygulanmalıdır; (15) Bu tür verilerin işlenmesi; söz konusu kişisel verilere kolay erişime izin vermek için, yalnızca otomatik olursa veya işlenen veriler, bireylere ilişkin özel kriterlere göre yapılandırılan bir dosyalama sistemi içine alınırsa veya alınması planlanırsa, bu Direktif kapsamındadır; (16) Video gözetim durumlarındaki gibi, ses ve görüntü verilerinin işlenmesi; ceza hukuku alanına ilişkin Devlet faaliyetleri esnasında veya ulusal güvenlik, savunma kamu güvenliği amacıyla veya Topluluk hukuku kapsamına girmeyen diğer faaliyetler için yürütülürse bu Direktif kapsamına girmez; (17) Başta görsel işitsel alan olmak üzere, ilgili edebi ve sanatsal ifade amaçlarının yanı sıra gazetecilik amaçları için ses ve görüntü verilerinin işlenmesinde; Direktifin esasları, MADDE 9 da öngörülen hükümlere göre, sınırlı bir şekilde uygulanacaktır; (18) Bireylerin, bu Direktif kapsamında sağlanan korumadan yoksun kalmamalarını sağlamak için, Topluluktaki herhangi bir kişisel veri işlenmesi, Üye Devletler den birinin kanununa uygun olarak yerine getirilmelidir; bu bağlamda, bir Üye Devlette yerleşik bir denetleyicinin sorumluluğu altında yapılan işlem, o Devletin kanununca yönetilmelidir; 269

271 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ (19) Bir Üye Devletin sınırları içindeki kuruluş, istikrarlı düzenlemeler aracılığıyla faaliyetin etkin ve reel olarak gerçekleştirilmesini sağlar. İster bir tüzel kişiliğin şubesi veya bağlı kuruluşu olsun bu tür kuruluşun yasal biçimi; bu bakımdan belirleyici bir faktör değildir; özellikle bağlı kuruluşlar aracılığıyla çeşitli Üye Devletlerin topraklarında tek bir denetleyici kuruluş kurulursa, ulusal kuralların boşluklarından yaralanmayı önlemek için, denetleyici kuruluşların her birinin, faaliyetlerine uygulanan ulusal kanunun emrettiği yükümlülükleri yerine getirmesi sağlanmalıdır; (20) Verilerin işlenmesinin üçüncü bir ülkede kurulan bir tüzel kişilik tarafından yapılması, bu Direktifte sağlanan bireylerin korunma biçimine engel olmamalıdır; bu durumlarda, işleme, kullanılan yöntemlerin bulunduğu Üye Devlet kanununca yönetilmelidir ve bu Direktifte sağlanan hakların, uygulamada gözetilmesini sağlayacak garantiler olmalıdır; (21) Bu Direktif, ülkesellik ilkeleri saklı kalmak üzere ceza konularına uygulanır; (22) Üye Devletler, işlemenin yasallığına dair genel koşulları, çıkardıkları yasalarda veya bu Direktif kapsamındaki tedbirleri yürürlüğe koyduklarında, daha hassas olarak tanımlayacaklardır; MADDE 7 ve 8 ile bağlantılı olarak özellikle MADDE 5, genel kurallardan bağımsız olarak Üye Devletlere, MADDE 8 in kapsadığı çeşitli veri kategorileri için ve belirli sektörler için, özel işleme koşulları koymaya izin verir. (23) Üye Devletler, hem kişisel verilerin işlenmesi hususunda bireylerin korunması hakkındaki genel kanunlar, hem de örneğin istatistik enstitülerine ilişkin olanlar gibi sektörel kanunlar yoluyla bireylerin korunmasını uygulamayı temin etmek üzere yetkilendirilmişlerdir; 270

272 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ (24) Kendilerini ilgilendiren verileri işlemeye dair tüzel kişilerin korunmasına ilişkin mevzuat, bu Direktiften etkilenmez; (25) Korumanın esasları; bir taraftan, başta işlemenin yürütülebileceği koşullar ve denetleme makamına bildirim, teknik güvenlik ve veri kalitesi olmak üzere işlemeden sorumlu diğer kuruluşlar veya kişiler, kamu makamları, işletmeler, temsilciler üzerine yüklenen yükümlülüklere ve diğer taraftan, bireylere verilen haklara, işlemenin konusu olan verilere, işlemenin yapıldığını bildirime, verileri danışmaya, düzeltme talep etmeye ve hatta bazı koşullarda işlemeye itiraza yansıtılmalıdır; (26) Koruma esasları, tespit edilmiş veya tespit edilebilir bir kişiye ilişkin herhangi bir bilgiye uygulanmalıdır; bir kişinin tespit edilebilir olup olmadığını belirlemek için, adı geçen şahsı tespit etmek için herhangi bir diğer kişi tarafından veya denetleyici tarafından kullanılabilecek makul tüm araçlar dikkate alınmalıdır; koruma esasları, veri öznesinin artık tespit edilebilir olmadığı bir biçimde anonimleşmiş verilere uygulanmayacaktır; MADDE 27 nin anlamı dahilindeki davranış kuralları, verilerin anonimleşebilmesine ve veri öznesinin tespitinin artık mümkün olmadığı bir biçimde alıkonma biçimlerine dair rehberlik sağlamak için yararlı bir araç olabilir; (27) Bireylerin korunması, manuel işlemenin yanı sıra verilerin otomatik işlenmesinde de uygulanmalıdır; bu korumanın kapsamı kullanılan tekniklere bağlı olarak geçerli olmamalıdır, aksi takdirde, bu ciddi bir kanun boşluklarından yararlanma riski yaratacaktır; yine de manuel işlemeye dair bu Direktif yapılandırılmamış dosyaları değil yalnızca dosyalama sistemlerini kapsar, özellikle bir dosyalama sisteminin içeriği, kişisel verilere kolay erişime olanak veren bireylere ilişkin özel kriterlere göre yapılandırılmalıdır; MADDE 2 (c)deki tanım doğrultusunda, kişisel verilerin yapılandırılmış bir dizisinin bileşenlerini belirlemek için farklı 271

273 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ kriterler ve bu tür bir veri dizisine erişimi yöneten farklı kriterler, her bir Üye Devlet tarafından belirlenebilir; özel kriterlere göre yapılandırılmamış kapak sayfalarının yanı sıra dosyalar veya dosya dizileri, hiçbir koşul altında bu Direktifin kapsamına girmeyecektir; (28) Kişisel verilerin işlenmesi, ilgili bireyler için yasal ve adil olmalıdır; özellikle veriler uygun, ilgili olmalıdır ve işlendikleri amacı aşmamalıdır; bu tür amaçlar açık ve meşru olmalı ve verilerin toplanma zamanında belirlenmelidir; toplama sonrasındaki işleme amaçları, başlangıçta belirtilen amaçlarla uyumsuz olmamalıdır; (29) Tarihsel, istatistiksel veya bilimsel amaçlarla kişisel verilerin ayrıca işlenmesi, Üye Devletlerin uygun korunma önlemleri sağlaması koşuluyla önceden toplanmış verilerin amaçlarıyla uyumsuz olarak kabul edilmez, bu korunma önlemleri özellikle, herhangi bir özel bireye dair tedbirlerin veya kararların desteklenmesinde verilerin kullanımınına imkan vermemelidir; (30) Kişisel verilerin işlenmesi, ayrıca veri öznesinin haklarının ve özgürlüklerinin çiğnenmemesi koşuluyla, yasal olması amacıyla, veri öznesinin rızasıyla yürütülmelidir veya veri öznesi hakkında bağlayıcı bir sözleşmenin yerine getirilmesi veya sonuçlandırılması için veya gerçek veya tüzel bir kişinin meşru menfaati için veya resmi otoritenin uygulanması için veya kamu menfaatine yürütülen bir görevin yerine getirilmesi için gerekli olmalıdır; özellikle etkin rekabeti garanti ederken, ilgili menfaatler arasında bir denge sağlamak için, Üye Devletler, şirketlerin veya diğer kuruluşların olağan meşru iş faaliyetleri bağlamında kişisel verilerin kullanılabilme veya üçüncü bir şahsa açıklanma koşullarını belirleyebilirler; benzer şekilde Üye Devletler, örneğin nedenlerini belirtmeksizin ve bedelsiz olarak, hakkındaki verilerin işlenmesine itiraz etmek için bir veri öznesine izin veren hükümlere tabi 272

274 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ olan ister siyasi yapıdaki herhangi diğer bir dernek veya vakıf veya yardım kuruluşu tarafından isterse ticari olarak yürütülen pazarlama amaçları için, kişisel verilerin üçüncü bir şahsa açıklanabilme koşullarını belirtebilirler; (31) Veri öznesinin yaşamı için asıl olan bir menfaati korumak için yapıldığında kişisel verilerin işlenmesi, aynı derecede yasal kabul edilmelidir; (32) Kamu menfaatinde veya resmi otoritenin uygulamasında yürütülen bir görevi yerine getiren denetleyicinin, bir kamu idaresi veya kamu hukuku veya bir meslek örgütü gibi özel bir kanun tarafından yönetilen başka bir tüzel veya gerçek kişi mi olacağını belirlemek ulusal mevzuata kalmaktadır; (33) Veri öznesi açık şekilde rıza göstermezse, temel özgürlükleri veya kişisel mahremiyeti ihlal eden yapıdaki veriler işlenmemelidir; ancak, temel özgürlüklerin yerine getirilmesine izin verecek amaçlar için, bazı derneklerin veya vakıfların meşru faaliyetleri esnasında veya mesleki gizlilik hakkındaki yasal bir yükümlülüğe tabi kişiler tarafından bu verilerin sağlık amaçları için kullanılması durumunda; bu yasaklamaya uymama durumu açıkça belirtilmelidir; (34) Sağlık sigortası sistemindeki hizmetler ve yardımlar için talepleri belirtmede kullanılan prosedürlerin kalitesini ve maliyet etkinliğini temin etmek başta olmak üzere - kamu menfaati için önemli nedenlerle gerekçelendirildiğinde, önemli kamu menfaati gerekçesine dayanması durumunda; bilimsel araştırma ve hükümet istatistikleri halk sağlığı ve sosyal koruma gibi alanlarda, Üye Devletlerin verilerin hassas kategorilerini işleme yasağına uymamasına da izin verilmelidir; ancak bireylerin kişisel gizlilik ve temel haklarını korumak hususunda özel ve uygun korunma önlemlerini sağlamak, Üye Devletlerin ödevidir; 273

275 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ (35) Ayrıca, resmi olarak tanınan dini derneklerle ilgili veya uluslararası kamu hukuku veya anayasa hukukunda öngörülen amaçları başarmak için resmi makamlar tarafından kişisel verilerin işlenmesi, kamu menfaatinin önemli gerekçeleri üzerine yürütülür; (36) Belirli Üye Devletlerde, seçim faaliyetleri esnasında demokratik sistemin işlemesi, siyasi partilerin halkın siyasi görüşü hakkındaki verileri derlemesini gerektirir, uygun korunma önlemleriın sağlanması koşuluyla bu tür verilerin işlenmesine önemli kamu menfaati nedeniyle izin verilebilir; (37) Başta görsel işitsel alan olmak üzere, sanatsal ifade, edebi amaçları için veya gazetecilik amaçları için kişisel verilerin işlenmesi; özellikle, İnsan Hakları ve Temel Özgürlüklerinin Korunması hakkındaki Avrupa Sözleşmesinin 10. maddesinde garanti edildiği gibi, özellikle bilgi alma ve verme hakkı ve bilgilendirme hakkıyla bireylerin temel haklarını uzlaştırmanın gerekli olması durumunda, bu Direktifin bazı hükümlerinin koşullarından muaf tutulmaya yetki vermelidir. Bu yüzden üye Devletler, denetleme makamının yetkisi ve üçüncü ülkelere verilerin aktarılması hakkındaki tedbirlere, veri işlemenin yasallığı hakkındaki genel tedbirlere dair temel haklar arasında denge sağlama amacı için gerekli muafiyetleri ve derogasyonları belirtmelidir; (38) Verilerin işlenmesinin adil olması için, veri öznesi, işleme faaliyetinin varlığını öğrenecek konumda olmalıdır ve veriler ondan toplandığında, toplama koşullarını dikkate alan doğru ve tam bilgi verilmelidir; (39) Bazı verilerin işlenmesi, denetleyicinin veri öznesinden doğrudan toplamadığı verileri gerektirir, ayrıca, veri öznesinden veriler toplandığı esnada, ifşa beklenmese bile, veriler üçüncü bir şahsa yasal olarak ifşa edilebilir; tüm bu durumlarda, veri öznesi, veriler kaydedildiğinde veya 274

276 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ en geç veriler ilk kez bir üçüncü şahsa ifşa edildiğinde, bilgilendirilmelidir; (40) Ancak, veri öznesinin önceden bilgili olması durumunda, bu yükümlülüğü uygulamak gereksizdir; ayrıca, açıklama veya kaydetme açık şekilde yasayla sağlanırsa veya veri öznesine bilgi sağlamanın imkansızlığı kanıtlanırsa veya işlemenin tarihsel, istatistiki veya bilimsel amaçlar için olması halinde gerekebilecek aşırı çabayı gerektirmesi halinde bu tür bir yükümlülük olmayacaktır; bu bakımdan, veri öznelerinin sayısı, verilerin yaşı ve kabul edilen herhangi dengeleyici tedbirler dikkate alınmalıdır; (41) Her kişi, özellikle işlemenin yasallığını ve verilerin doğruluğunu onaylamak için işlenmekte olan ona ait verilere erişim hakkını kullanabilmelidir; aynı nedenlerle, her veri öznesi en azından MADDE 15(1)de atıfta bulunulan otomatik kararlar durumunda, ona ilişkin verilerin otomatik işlenmesiyle ilgili mantığı bilme hakkına sahip olmalıdır; bu hak, başta yazılımı koruyan telif hakkını ve ticari sırları veya fikri mülkiyeti ters şekilde etkilememelidir; ancak bu düşünceler, veri öznesinin bilgilendirilmemesine yol açmamalıdır; (42) Üye Devletler, veri öznesinin menfaati için veya diğerlerinin hak ve özgürlüklerini korumak için bilgiye erişim hakkını sınırlandırabilirler; örneğin, tıbbi verilere erişimin yalnızca bir sağlık uzmanı tarafından elde edilebileceğini belirtebilirler; (43) Benzer şekilde denetleyicinin bazı yükümlülükleri ve bilgilendirme ve erişim hakları üzerindeki sınırlandırmalar; örneğin, düzenlenen mesleklerdeki etik ihlallerine dair kriminal soruşturmalar, takibatlar ve davaların yanı sıra bir Üye Devlet veya Birliğin ulusal güvenlik, savunma, kamu güvenliği veya önemli ekonomik veya mali menfaatlerini güvence altına almanın gerektirdiği ölçüde Üye Devletler tarafından uygulanabilir; 275

277 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ istisnalar ve sınırlamaların listesi, kamu güvenliği, ekonomik veya mali menfaatler ve suç önlemeye ilişkin en son söz edilen üç alanda gerekli yönetmelik veya izleme, denetim görevlerini içermelidir; bu üç alandaki görevlerin listelenmesi, Devlet güvenlik veya savunma nedenleri için sınırlamaları veya istisnaların meşruiyetini etkilemez; (44) Üye Devletler, Topluluk hukuku gerekçesiyle, yukarıda atıfta bulunulan amaçların bazısını güvenceye almak için, verilerin kalitesi ve bireyleri bilgilendirme yükümlülüğü, erişim hakkına ilişkin bu Direktifin hükümlerine uymayabilir; (45) Verilerin, gerçek veya tüzel bir kişinin meşru menfaatleri veya resmi otorite, kamu menfaati gerekçesiyle yasal olarak işlenebileceği durumlarda, herhangi bir veri öznesine, yine de kendisine ait herhangi bir verinin işlenmesine itiraz etmek için özel durumuna ilişkin meşru ve mecburi gerekçelerle izin verilmelidir; bununla birlikte Üye Devletler bunun aksine ulusal hüküm koyabilirler; (46) Kişisel verilerin işlenmesine dair veri öznelerinin haklarının ve özgürlüklerinin korunması, hem, güvenliği sağlamak ve bu suretle herhangi bir yetkisiz işlemeyi önlemek için işlemenin kendi zamanında hem de işleme sisteminin tasarımı zamanında uygun teknik ve kurumsal tedbirlerin alınmasını gerektirir; bu tedbirlere denetleyicilerin uymasını sağlamak Üye Devletlerin ödevidir, bu tedbirler, korunacak verilerin yapısı ve işlemenin yapısındaki risklere ilişkin uygulamanın maliyetlerini ve durumunu dikkate alarak uygun güvenlik seviyesini sağlamalıdır; (47) Tek amacı verilerin iletilmesi olan, kişisel verileri içeren bir mesajın bir iletişim aracıyla veya elektronik posta servisiyle iletilmesi durumunda, mesajda belirtilen kişisel verilere dair denetleyici; iletim servislerini sunan kişi yerine, mesajın çıktığı kişi olarak kabul edilecektir; bununla birlikte bu 276

278 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ tür servisleri sunanlar, normal olarak, servisin çalışması için gerekli ek kişisel verilerin işlenmesi bakımından denetleyici olarak kabul edilecektir; (48) Denetleme makamını bilgilendirmeye dönük prosedürler, faaliyetin, bu Direktif kapsamında alınan ulusal tedbirlere uygun olduğunu doğrulama amacı için, herhangi bir işleme faaliyetinin amaçlarının ve ana özelliklerinin açıklanmasını sağlamak üzere tasarlanmıştır; (49) Uygun olmayan idari formalitelerden kaçınmak için, gerekli bildirim yükümlülüğünden muafiyetler; sınırlarını belirten bir Üye Devlet tarafından alınan bir tedbire uyumlu olması koşuluyla, işlemenin, veri öznelerinin haklarını ve özgürlüklerini olumsuz şekilde etkilemesinin mümkün olmadığı durumlarda, Üye Devlet tarafından koyulabilir; benzer şekilde muafiyet veya basitleştirme, denetleyici tarafından atanan bir kişinin yürütülen işlemenin veri öznelerinin haklarını ve özgürlüklerini olumsuz şekilde etkilemesinin olanaksız olmasını sağladığında, Üye Devletler tarafından koyulabilir; ister denetleyicinin bir çalışanı olsun veya olmasın bu tür bir veri koruma görevlisi tam bağımsızlık içinde işlevlerini yerine getirecek bir konumda olmalıdır; (50) Muafiyet veya basitleştirme, meşru bir menfaati kanıtlayan bir kişi veya kamu tarafından danışmaya açma ve kamuya bilgi sağlamak için ulusal yasaya göre tek amacı kayıt tutma olan işleme faaliyetleri için öngörülebilir; (51) Yine de bildirim yükümlülüğünden muafiyet veya basitleştirme denetleyiciyi bu Direktiften kaynaklanan diğer yükümlülüklerinin herhangi birisinden kurtarmayacaktır; (52) Bu bağlamda, genel olarak yetkili makamlar tarafından olaydan sonra doğrulama yeterli bir tedbir olarak kabul edilmelidir; 277

279 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ (53) Ancak bazı işleme faaliyetlerinin, yeni teknolojilerin özel kullanımından dolayı veya bir sözleşme, hak, faydadan bireyleri kapsam dışı tutanlar gibi kendi amaçlarının kapsamı nedeniyle veri öznelerinin hak ve özgürlüklerine özel riskler yaratması olasıdır; Üye Devletler isterlerse mevzuatlarında bu tür riskleri belirtebilirler; (54) Toplulukta yapılan tüm işlemeye ilişkin olarak; özel riskleri ortaya çıkaran miktar çok sınırlı olmalıdır; Üye Devletler denetleme makamı veya makamla işbirliği içindeki veri koruma görevlisinin, işlenmesinden önce kontrolün yapılmasını sağlamalıdır; bu ön kontrolün ardından, ulusal yasasına göre denetleme makamı, işlemeye dair bir görüş veya bir izin verebilir; bu tür kontrol; ya ulusal parlamentonun bir tedbirin ya da işlemenin yapısını tanımlayan ve uygun korunma önlemlerini belirten bir yasal tedbirin hazırlanmasıyla eş zamanlı olabilir; (55) Denetleyici veri öznelerinin haklarını gözetmezse, ulusal mevzuat bir yargı yolu sağlamalıdır; yasadışı işlemenin bir sonucu olarak bir kişinin maruz kalabileceği herhangi bir zarar; mücbir sebepler durumunda ya da hatanın veri öznesinin tarafında olduğunu saptadığı durumlarda; zarardan sorumlu olmadığını kanıtlarsa yükümlülükten muaf tutulacak olan denetleyici tarafından tazmin edilmelidir; yaptırımlar, bu Direktif kapsamında alınan ulusal tedbirlere uymayanın kamu veya özel hukuk tarafından yönetilen herhangi bir kişi olduğuna bakılmaksızın uygulanmalıdır; (56) Kişisel verilerin sınır ötesi dolaşımı, uluslararası ticaretin genişletilmesi için gereklidir, Bu Direktifle Topluluk bünyesinde garanti edilen bireylerin korunması; yeterli koruma seviyesini sağlayan üçüncü ülkelere kişisel verilerin aktarılmasını önlememelidir; üçüncü bir ülke tarafından sağlanan koruma seviyesinin yeterliliği, transfer işlemleri veya transfer işlemini çevreleyen tüm koşulların ışığında değerlendirilmelidir; 278

280 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ (57) Diğer taraftan yeterli ve elverişli koruma seviyesini sağlamayan üçüncü bir ülkeye, kişisel verilerin transferi yasaklanmalıdır; (58) Transferin, yasayla belirlenen bir kayıttan ve meşru menfaate sahip kamu veya kişiler tarafından danışma için yapıldığı veya örneğin, sosyal güvenlik konularında yetkili servisler arasında veya gümrük veya vergi idareleri arasında verilerin uluslararası transferi durumunda, önemli kamu menfaati korumasının bunu gerektirdiği bir sözleşme veya yasal hak talebine ilişkin transferin gerektiği, veri öznesinin rızasını verdiği bazı durumlarda bu yasaktan muafiyet için önlemler alınmalıdır; bu tür bir transferin kayıttaki mevcut tüm veri kategorilerini veya verilerin tümünü gerektirmediği durumlarda ve kayıt, meşru bir menfaate sahip kişiler tarafından danışılma içinse, transfer yalnızca bu kişilerin talebi üzerine veya bunlar alıcı olacaklarsa yapılmalıdır; (59) Denetleyicinin, uygun korunma önlemleri sunduğu durumlarda, üçüncü bir ülkede koruma olmayışını tazmin etmek için özel önlemler alınmalıdır; ayrıca Topluluk ve bu tür üçüncü ülkeler arasındaki müzakere prosedürleri için önlem alınmalıdır; (60) Herhangi bir durumda, üçüncü ülkelere transferler, bu Direktif ve özellikle ilgili 8. maddesi uyarınca, yalnızca Üye Devletler tarafından kabul edilen hükümlere tam uygun şekilde gerçekleştirilebilir; (61) Üye Devletler ve Komisyon, kendi ilgili yetki alanları içinde, uygulanması için benimsenen ulusal hükümleri gözeterek ve bazı sektörlerde yerine getirilen işlemenin özel karakteristiklerini göz önüne alarak, bu Direktifin uygulanmasını kolaylaştırmak hususunda, davranış kurallarını düzenlemeleri için ticari birlikleri ve ilgili diğer temsilci kuruluşları teşvik etmelidir; 279

281 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ (62) Denetim makamına ilişkin Üye Devletlerdeki tam bağımsız olarak işlevlerini yerine getiren kuruluşlar; kişisel verilerin işlenmesine dair bireylerin korunmasında, zorunlu bir bileşendir; (63) Bu tür makamlar, özellikle yasal takibata kalkışma yetkisi ve bireylerden şikayet durumlarında inceleme ve müdahale yetkileri dahil olmak üzere kendi görevlerini yerine getirmek için gerekli araçlara sahip olmalıdır; bu tür makamlar, kendi yetki alanlarındaki Üye Devletlerde; işlemenin şeffaflığını sağlamak için yardımcı olmalıdırlar; (64) Farklı Üye Devletlerdeki makamlar, Avrupa Birliği çapında, koruma kurallarının uygun şekilde gözetilmesini sağlamak için kendi görevlerini yerine getirmede birbirlerini desteklemeye ihtiyaç duyacaklardır; (65) Topluluk düzeyinde, kişisel verilerin işlenmesine dair Bireylerin Korunması hakkında bir Çalışma Grubu kurulmalıdır ve işlevlerini yerine getirmede tamamen bağımsız olmalıdır; özel yapılarını dikkate alarak, Komisyona tavsiyelerde bulunmalıdır ve özellikle bu Direktif uyarınca kabul edilen ulusal kuralların homojen uygulanmasına katkı sağlamalıdır; (66) Bu direktif, üçüncü ülkelere verilerin transferine ilişkin olarak, 87/373/EEC4 sayılı Konsey kararında belirtilen şekilde bir prosedürün tesisini ve Komisyon üzerindeki uygulama yetkilerinin verilmesini gerektirir5; (67) AT Anlaşmasının MADDE 189 b sinde öngörülen prosedüre uygun olarak kabul edilen eylemler için tedbirleri uygulamaya dair, Avrupa Parlamentosu, Konsey ve Komisyon arasında GEÇİCİ bir anlaşma üzerine mutabakata 20 Aralık 1994 tarihinde erişilmiştir; (68) Bu Direktifte düzenlenen kişisel verilerin işlenmesine dair, kişisel mahremiyet hakkı başta olmak üzere; bireylerin hak ve özgürlüklerinin korunmasına dair prensiplere; özellikle, bu prensiplere dayalı özel 280

282 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ kurallarla ilgili belirli sektörlere göre, ilave yapılabilir veya daha açık şekilde anlatılabilir; (69) Üye Devletlere, önceden devam eden tüm işleme faaliyetlerine, yeni ulusal kuralları kademeli şekilde uygulamak için, bu Direktifin yerini alan ulusal tedbirlerin uygulamaya girdiği yıldan itibaren üç yılı geçemeyen bir süre verilmelidir; maliyet etkin uygulanmasını kolaylaştırmak için, Direktif hükümlerinin bazısıyla mevcut manuel dosyalama sistemlerinin uyumunu sağlamak üzere, bu Direktifin kabul edilme tarihinden 12 yıl sonra biten başka bir süre Üye Devletlere verilecektir; bu tür dosyalama sistemlerinde bulunan veriler bu genişletilmiş geçiş dönemi esnasında manuel olarak işlenir. Bu sistemler, bu işleme sırasındaki hükümlerle uyumlu hale getirilmelidir; (70) Bu hükümlerin yürürlüğe girmesinden önce bildirilen rıza ve ücrete dayalı sonuçlandırılan bir sözleşmenin yerine getirilmesinde gerekli herhangi bir hassas veri için, bu Direktif uyarınca alınan ulusal hükümler yürürlüğe girdikten sonra, veri öznesinin sürece devam etmesi için denetleyiciye yine izin vermesine gerek yoktur; (71) Bu tür düzenleme, kişisel verilerin işlenmesine dair bireylerin korunmasını ilgilendirmediğinde, Bu Direktif, ülkede oturan tüketicilere yönelik pazarlama faaliyetlerini düzenleyen bir üye Devlet yönteminin yerini almaz; (72) Bu Direktif, bu Direktifte düzenlenen prensipler uygulandığında, dikkate alınması gereken resmi belgelere kamu erişim esaslarına olanak sağlar; BU DİREKTİFİ KABUL ETMİŞTİR: 281

283 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA BÖLÜM I - GENEL HÜKÜMLER PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ MADDE 1 Direktifin Amacı (1) Bu Direktife uygun olarak, Üye Devletler, kişisel verilerin işlenmesine dair başta kişisel mahremiyet hakkı olmak üzere gerçek kişilerin temel haklarını ve özgürlüklerini koruyacaktır; (2) Üye Devletler 1. paragraf kapsamında sağlanan korumayla bağlantılı nedenler için Üye Devletler arasında kişisel verilerin akışını yasaklamayacak ya da engellemeyeceklerdir; MADDE 2 Tanımlar Bu Direktifin amacı için: a. kişisel veri fiziksel, fizyolojik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özel bir veya daha fazla faktöre veya bir kimlik numarasına atıf başta olmak üzere doğrudan veya dolaylı olarak tespit edilebilen bir tespit edilebilir kişi; tespit edilmiş veya tespit edilebilir gerçek kişiye ( veri öznesi) ilişkin herhangi bir bilgiyi kastedecektir; b. kişisel verilerin işlenmesi (işleme), silme veya tahrip etme, engelleme, birleştirme veya sıralama, sağlama ya da dağıtma, iletmeyle açıklama, toplama, kaydetme, organizasyon, depolama, adaptasyon veya değiştirme, kurtarma, danışma gibi otomatik ya da otomatik olmayan araçlarla kişisel veriler üzerinde yapılan herhangi bir faaliyet veya faaliyet dizisini kastedecektir; c. kişisel veri dosyalama sistemi (dosyalama sistemi) ister merkezi ister merkezi olmayan ya da bir işlevsel veya coğrafi tabana dağıtılmış özel kriterlere göre erişilebilir olan herhangi bir yapılandırılmış kişisel veri dizisini kastedecektir; d. denetleyici, kişisel verilerin işlenme araçlarını ve amaçlarını tek başına ya da diğerleriyle ortaklaşa belirleyen gerçek veya tüzel kişiyi, kamu 282

284 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ makamını, devlet dairesini veya başka bir kuruluşu kastedecektir; işleme amaçları ve araçları ulusal veya Topluluk hukuku veya yönetmelikleriyle belirlendiğinde, denetleyici veya atanması için özel kriterler, ulusal veya topluluk hukukuyla belirlenebilir; e. işleyici, denetleyici adına kişisel verileri işleyen bir gerçek veya tüzel kişiyi, kamu makamını, devlet dairesini veya diğer bir kuruluşu kastedecektir; f. üçüncü şahıs, veri işlemek için yetkilendirilen işleyici veya denetleyicinin doğrudan yetkisi altındaki kişiler ve işleyici, denetleyici,veri öznesi dışındaki herhangi bir gerçek veya tüzel kişi, kamu makamını, devlet dairesini veya başka bir kuruluşu kastedecektir; g. alıcı, ister bir üçüncü şahıs olsun ya da olmasın, verilerin açıklandığı bir gerçek veya tüzel kişiyi, kamu makamını, devlet dairesini veya başka bir kuruluşu kastedecektir; ancak, özel bir soruşturma çerçevesinde verileri alan makamlar alıcı olarak kabul edilmeyecektir; h. veri öznesinin rızası, kendisine dair kişisel verilerin işlenmesi için veri öznesinin kabulüne işaret eden, özgürce ve bilgilendirilme yapıldıktan sonra alınan rızayı kastedecektir. MADDE 3 Kapsam (1) Bu Direktif, bir dosyalama sisteminin parçasını oluşturması istenen veya bir dosyalama sisteminin parçasını oluşturan kişisel verilerin otomatik araçlar dışında işlenmesine ve kısmen veya tamamen otomatik araçlarla kişisel verilerin işlenmesine uygulanacaktır. (2) Bu Direktif, kişisel verilerin işlenmesine uygulanmayacaktır: - ceza hukuku alanındaki Devlet faaliyetleri ve (işleme faaliyeti Devlet güvenlik konularını ilgilendirdiğinde, Devletin ekonomik refahı dahil olmak üzere) Devlet güvenliği, savunma, kamu güvenliğine ilişkin verilerin işlenmesi için herhangi bir durumda ve Avrupa Birliği Anlaşmasının V ve VI. 283

285 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ başlıklarıyla belirtilenler gibi Topluluk hukuku kaspamının dışına düşen bir faaliyet esnasında, - bir gerçek kişi tarafından, tamamen kişisel veya ev içi faaliyeti esnasında. MADDE 4 Uygulanacak ulusal kanun (1) Her bir Üye Devlet, aşağıdaki durumlarda, kişisel verilerin işlenmesi için bu Direktif uyarınca kabul ettikleri ulusal hükümleri uygulayacaklardır: a. İşleme, Üye Devletin topraklarındaki denetleyici kuruluşunun faaliyetleri bağlamında yapıldığında; aynı denetleyici, çeşitli Üye Devletlerin toprağında yerleşikse, bu kuruluşların her birinin, uygulanan ulusal mevzuatlarda öngörülen yükümlülüklere uymasını temin edecek gerekli tedbirleri almalıdır; b. denetleyici Üye Devletin topraklarında yerleşik olmayıp, uluslararası kamu hukukuna göre ulusal hukukun uygulandığı bir yerde bulunuyorsa; c. denetleyici Topluluk topraklarında yerleşik değilse ve işleme amaçları için, kişisel veriler, bahse konu Üye devlet topraklarında konumlanan otomatik cihazları kullanırsa, bu tür cihazlar yalnızca Topluluk toprağı boyunca iletilme amacı için kullanılmadıkça; (2) 1 (c) paragrafında atıfta bulunulan koşullarda, denetleyici, denetleyicinin kendisine karşı başlatılabilecek davalara zarar vermeksizin o Üye Devlet toprağında yerleşik bir temsilci atamalıdır. BÖLÜM II - KİŞİSEL VERİLERİN İŞLENMESİNİN YASALLIĞI HAKKINDAKİ GENEL KURALLAR MADDE 5 Üye Devletler, bu bölüm hükümlerinin sınırları kapsamında, kişisel verileri işlemenin yasal olduğu koşulları daha hassas şekilde belirleyeceklerdir. 284

286 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ I. KISIM - VERİ KALİTESİNE İLİŞKİN PRENSİPLER MADDE 6 (1) Üye Devletler, kişisel verilerin aşağıdaki şekilde olmasını sağlayacaklardır: a. adil ve yasal olarak işlenmiş; b. belirli, açık ve meşru amaçlar için toplanmış ve bu amaçlarla uyumsuz biçimde başkaca işlenmemiş. Üye Devletlerin uygun korunma önlemleri sağlaması koşuluyla; tarihsel, istatistiksel veya bilimsel amaçlar için verilerin detaylı işlenmesi; uyumsuz olarak kabul edilmeyecektir; c. toplandığı ve/veya ayrıca işlendiği amaçlara ilişkin olarak yeterlidir, ilgilidir ve bu amacı aşmaz; d. doğrudur ve gerektiği yerde güncel tutulur. Toplanma ve sonrasındaki işlenme, silinme veya düzeltilme amaçlarını göz önünde tutarak verilerin yanlış veya eksik olmamasını sağlayacak tüm makul önlemler alınmalıdır; e. verilerin toplandığı esnada veya sonrasında işlendiği amaçlar için gerekenden daha uzun olmayan süre boyunca, veri öznelerinin tespitine izin veren biçimde tutulur. Üye Devletler, tarihsel, istatistiksel veya bilimsel kullanım amacıyla daha uzun süreli depolanan kişisel veriler için uygun koruma önlemleri alacaktır. (2) 1. paragrafa uyulmasını sağlamak, denetleyicinin sorumluluğunda olacaktır. II. KISIM VERİ İŞLEMEYİ YASALLAŞTIRMA KRİTERLERİ MADDE 7 Üye Devletler, kişisel verilerin işlenebilmesini yalnızca aşağıdaki koşullar sağlanırsa sağlayacaklardır: a. Veri öznesi açık, kesin ve net bir biçimde rızasını vermişse veya 285

287 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ b. İşleme, bir sözleşme yapmadan önce veri öznesinin talebi üzerine önlem almak için ya da veri öznesinin taraf olduğu bir sözleşmenin yerine getirilmesi için gerekliyse veya c. İşleme denetleyicinin konusu olan bir yasal yükümlülüğe uyum için gerekirse, veya d. (d) İşleme, veri öznesinin hayati menfaatlerini korumak için gerekliyse; veya e. İşleme, verilerin açıklandığı üçüncü bir şahıs veya denetleyiciye yetki veren kamu makamının uygulamasında veya kamu menfaatine yapılan bir görevin yerine getirilmesi için gerekliyse; veya f. İşleme, bu tür menfaatlerin, MADDE 1(1) kapsamında koruma gerektiren veri öznesinin temel hak ve özgürlükleriyle ilgili menfaatleri çiğnemesi haricinde, verilerin açıklandığı üçüncü şahıs veya şahıslar tarafından ya da denetleyici tarafından takip edilen meşru menfaatlerin amaçları için gerekliyse; III.KISIM ÖZEL İŞLEME KATEGORİLERİ MADDE 8 Verilerin özel işleme kategorileri (1) Üye Devletler, sağlık durumuna veya cinsel yaşama ilişkin verilerin işlenmesini ve sendika üyeliğini, dini veya felsefi inançları, siyasi görüşleri, ırk veya etnik kökeni açıklayan kişisel verilerin işlenmesini yasaklayacaktır. (2) 1. paragraf aşağıdaki durumlarda uygulanmayacaktır: a. veri öznesinin rızasını vermesiyle 1. paragrafta atıfta bulunulan yasağın kaldırılamayacağını Üye Devlet kanunlarının belirtmesi haricinde, bu verilerin işlenmesinde veri öznesi açık rızasını vermişse; veya b. işlemenin, yeterli korunma önlemleri için sağlanan ulusal kanunla yetkilendirildiği kadarıyla, istihdam kanunu alanında, denetleyicinin 286

288 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ yükümlülüklerini ve özel haklarını yerine getirme amacı için gerekli olduğunda; veya c. işleme, veri öznesinin rızasını vernesinin fiziksel veya yasal olarak elverişsiz olduğu durumda, diğer bir kişinin veya veri öznesinin hayati menfaatlerini korumak için gerekliyse; veya d. işleme; veri öznelerinin rızası olmaksızın verilerin üçüncü şahıslara açıklanmadığı ve işlemenin yalnızca amaçlarıyla bağlantılı olarak düzenli iletişimde oldukları kişileri veya kuruluş mensuplarını ilgilendirmesi koşuluyla bir vakıf, dernek veya siyasi, felsefi, dini veya ticaret birliği amaçlı başka bir kar amacı gütmeyen kuruluş tarafından uygun teminatlı meşru faaliyetler esnasında yapılırsa, veya e. işleme, veri öznesi tarafından açıkça halka duyurulan verilere ilişkinse ya da kanuni hakların tesisi, yerine getirilmesi veya savunulması için gerekliyse. (3) Paragraf 1, sağlık hizmetlerinin yönetimi veya bakım veya tedavinin sağlanması, tıbbi teşhis, önleyici tıp amaçları için veri işlemenin gerektiği yerde ve mesleki gizlilik yükümlülüğü için ulusal yetkili kuruluşlar tarafından veya eşdeğer gizlilik yükümlülüğüne tabi diğer bir kişi tarafından saptanan ulusal kanun kapsamında bir sağlık uzman öznesi tarafından bu verilerin işlendiği yerde uygulanmayacaktır. (4) Uygun korunma önlemlerinin sağlanmasına tabi olarak, Üye Devletler, önemli kamu menfaati nedenleri için, ya ulusal yasa ya da denetleme makamının kararıyla paragraf 2 de belirtilenlere ek olarak muafiyetler koyabilir. (5) Suçlar, adli hükümler veya güvenlik tedbirlerine ilişkin verilerin işlenmesi, yalnızca resmi makamın kontrolü altında yapılabilir veya ulusal yasa kapsamında uygun özel korunma önlemleri sağlanırsa, uygun özel korunma önlemleri sağlayan ulusal hükümler kapsamında Üye Devlet tarafından 287

289 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ verilebilecek tadillere tabi olabilir. Ancak, adli hükümlerin tam bir kaydı yalnızca resmi makamın kontrolü altında tutulabilir. Üye Devletler, hukuk davalarındaki kararlar veya idari müeyyidelere ilişkin verilerin de resmi makamın kontrolü altında işlenmesini sağlayabilirler. (6) 4 ve 5. paragraflar için 1. paragraftan tadiller komisyona haber verilecektir. (7) Üye Devletler, ulusal bir tespit numarası veya genel başvurunun diğer belirtecinin işlenebileceği koşulları belirleyecektir. MADDE 9 İfade özgürlüğü ve kişisel verilerin işlenmesi Üye Devletler, kişisel verilerin ifade özgürlüğünü yöneten kurallarla kişisel gizlilik hakkını uzlaştırmak için gerekirse, yalnızca, edebi veya sanatsal açıklama amacı veya gazetecilik amaçları için kişisel verilerin işlenmesinde Kısım IV ve Kısım VI, bu Bölümün hükümlerinden muafiyetler veya derogasyonlar sağlayacaktır. IV.KISIM VERİ ÖZNESİNE VERİLECEK BİLGİLER MADDE 10 Veri öznesinden verilerin toplanma durumlarında bilgilendirme Üye Devletler, önceden mevcut olması haricinde, kendine dair bilgilerin toplandığı bir veri öznesine, denetleyici veya temsilcisinin en azından aşağıdaki bilgileri vermesini sağlamalıdır: a. Denetleyici ve varsa temsilcisinin kimliği; b. Kastedilen veri işleme amaçları; c. Aşağıdakiler gibi herhangi bir başka bilgi; verilerin alıcıları veya alıcı kategorileri, yanıt vermemenin olası sonuçlarının yanı sıra soruların yanıtlarının zorunlu veya gönüllü olup olmadığı, 288

290 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ (özneyle) ilgili verileri düzeltme hakkının ve verilere erişim hakkının olması, (denetleyici veya temsilcisi) bu tür başka bilgilendirmenin gerekli olmasına göre, verilerin toplanmasındaki özel koşulları göz önünde bulundurarak veri öznesine ilişkin adil işlemeyi garanti etmelidirler. MADDE 11 Verilerin veri öznesinden elde edilmediğinde bilgilendirme Veriler veri öznesinden elde edilmediğinde, Üye Devletler, (veri öznesinin bu bilgilere) önceden sahip olması hariç, kişisel verilerin kaydının yapılması esnasında ya da üçüncü bir şahsa ifşa öngörüldüğünde, verilerin ilk ifşa zamanından önce, denetleyici veya temsilcisinin en azından aşağıdaki bilgileri veri öznesine vermesini sağlayacaktır: a. Denetleyicinin ve varsa temsilcisinin kimliği; b. İşlemenin amaçları; c. Aşağıdakiler gibi herhangi bir başka bilgi; verilerin alıcıları veya alıcı kategorileri, yanıt vermemenin olası sonuçlarının yanı sıra soruların yanıtlarının zorunlu veya gönüllü olup olmadığı, (özneyle) ilgili verileri düzeltme hakkı ve verilere (kendisinin) erişim hakkının olması, (denetleyici veya temsilcisi) bu tür başka bilgilendirmenin gerekli olmasına göre, verilerin toplanmasındaki özel koşulları göz önünde bulundurarak veri öznesine ilişkin adil işlemeyi garanti etmelidirler. Kayıt veya ifşa açıkça yasayla belirtilirse ya da aşırı bir çaba gerektirecek ya da imkansızlığı kanıtlanan verilerin sağlanması için, tarihsel veya bilimsel araştırma amaçları için veya istatistiksel amaçlar için işleme durumunda; Paragraf 1 uygulanmayacaktır. Bu durumlarda, Üye Devletler uygun korunma önlemleri sağlayacaktır. 289

291 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ V.KISIM VERİ ÖZNELERİNİN VERİLERE ERİŞME HAKKI MADDE 12 Erişim hakkı Üye Devletler, her veri öznesinin denetleyiciden (aşağıdakileri) temin etme hakkını garanti edecektir: a. aşırı gecikme veya masraf olmaksızın ve makul aralıklarla, sınırlama olmaksızın: kendisine dair verilerin işlenip işlenmeyeceği hususunda onay ve en azından, verilerin açıklandığı alıcı kategorileri veya alıcıları ve ilgili verilerin kategorileri, işleme amaçları hususunda bilgi, kaynakları hususunda herhangi bir mevcut bilginin ve işleme tabi tutulan verilerin anlaşılır biçimde ona iletilmesi, en azından MADDE 15(1) de atıfta bulunulan otomatik kararlar durumunda, kendisine ilişkin verilerin otomatik işlenmesiyle ilgili mantık bilgisi; b. Özellikle verinin eksik veya yanlış yapısı yüzünden, bu Direktifin hükümlerine uymayan işlemede, verilerin engellenmesi veya silinmesi, uygun olarak düzeltilmesi; c. Bunun imkansız olduğu gösterilmezse veya orantısız çabayı gerektirmezse, (b) bendine uygun olarak yapılan herhangi bir düzeltme, silme veya engelleme hakkında, verilerin açıklandığı üçüncü şahıslara bildirim. 290

292 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ VI.KISIM MUAFİYETLER VE SINIRLAMALAR MADDE 13 Muafiyetler ve sınırlamalar (1) Bu tür bir sınırlama, aşağıdakileri sağlamak için gerekli tedbirleri oluşturduğunda, Üye Devletler, 6(1), 10, 11(1), 12 ve 21 maddelerinde belirtilen hak ve yükümlülüklerin kapsamını sınırlandıracak yasal tedbirleri kabul edebilirler: a. ulusal güvenlik; b. savunma; c. kamu güvenliği; d. düzenlenmiş meslekler için etik ihlallerinin veya ceza gerektiren suçların önlenmesi, incelenmesi, tespiti ve kovuşturulması; e. parasal, bütçe ve vergilendirme konuları dahil olmak üzere, Avrupa Birliği nin veya bir Üye Devletin önemli bir ekonomik veya mali menfaati; f. c), (d) ve (e) de atıfta bulunulan durumlarda, resmi makamın yürütmesiyle ara sıra da olsa bağlantılı düzenleyici fonksiyon veya izleme, denetim; g. diğerlerinin hak ve özgürlüklerinin veya veri öznesinin korunması. (2) Üye Devletler, yeterli yasal korunma önlemlerine tabi olarak özellikle veriler herhangi özel bir bireye dair kararlar veya tedbirler almak için kullanılmadığında, veri öznesinin gizlilik hakkını ihlal riski açıkça yoksa, veriler yalnızca bilimsel araştırma amacı için işlendiğinde veya yalnızca istatistik yaratma amacı için gerekli dönemi aşmayan bir süre için kişisel formda tutulduğunda, MADDE 12 de belirtilen hakları bir yasama tedbiriyle sınırlandırabilir. 291

293 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ VII. KISIM VERİ ÖZNESİNİN İTİRAZ HAKKI MADDE 14 Veri öznesinin itiraz hakkı Üye Devletler aşağıdaki hakları veri öznesine vereceklerdir: a. En azından MADDE 7 (e) ve (f) de atıfta bulunulan durumlarda, ulusal mevzuat tarafından aksinin belirtilmesi haricinde, kendisine dair verilerin işlenmesinde, özel durumuna ilişkin zorlayıcı kanuni gerekçelere her zaman itiraz etmek. Gerekçeli bir itiraz olduğunda, denetleyici tarafından başlatılan işleme, artık bu verileri kapsamayabilir; b. Denetleyicinin doğrudan pazarlama amaçları için işlenmesini öngördüğü, kendine ait kişisel verilerin işlenmesine ücretsiz ve istek üzerine itiraz etme (hakkı) veya kişisel veriler üçüncü şahıslara ilk kez ifşa edilmeden veya doğrudan pazarlama amaçları için üçüncü şahıslar adına kullanılmadan önce bilgilendirilme (hakkı) ve bu tür ifşalara veya kullanımlara ücretsiz itiraz hakkının açık şekilde sunulması; Üye Devletler, (b) nin ilk alt paragrafında atıfta bulunulan hakkın varlığından veri öznelerinin haberdar olmasını temin etmek için gerekli tedbirleri alacaklardır. MADDE 15 Otomatik bireysel kararlar (1) Üye Devletler, her kişiye, işte performans, kredibilite, güvenilirlik, tutum v.b gibi kendisine ilişkin bazı kişisel yönleri değerlendirmek için yalnızca verilerin otomatik işlenmesine dayalı ve onu önemli derecede etkileyen veya ona ilişkin yasal etkiler üreten bir karara tabi kalmama hakkı verecektir. (2) Bu Direktifin diğer maddelerine tabi olarak Üye Devletler şayet karar aşağıdaki şekilde alındı veya yetki veriyorsa, 1. paragrafta atıfta bulunulan türde bir karara bir kişinin tabi olabilmesini sağlayacaklardır: 292

294 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ a. kendi görüşünü belirtmesine izin veren düzenlemeler gibi meşru menfaatlerini güvenceye alacak uygun tedbirler olduğunda ya da veri öznesi tarafından sunulan sözleşmenin yapılması veya yerine getirilme talebinin karşılanması koşuluyla bir sözleşmenin yapılması veya yerine getirilmesi esnasında alınırsa veya; b. öznenin meşru menfaatlerini güvenceye alacak tedbirleri de belirten bir yasa tarafından yetkilendirilirse. VIII. KISIM İŞLEMENİN GİZLİLİĞİ VE GÜVENLİĞİ MADDE 16 İşlemenin gizliliği Kişisel verilere erişme hakkı olan işleyicinin kendisi dahil olmak üzere, işleyicinin veya denetleyicinin yetkisi altındaki herhangi bir kişi, bunu yapması kanun tarafından istenmezse, denetleyicinin talimatı haricinde verileri işlememelidir. MADDE 17 İşlemenin güvenliği (1) Üye Devletler, özellikle işlemenin bir ağ üzerinde verilerin iletilmesini gerektirdiğinde ve işlemenin tüm diğer yasa dışı biçimlerine karşı, yetkisiz açıklama veya erişim, değiştirme, kazara kayıp veya kazara veya yasa dışı tahribe karşı kişisel verileri korumak için gereken uygun teknik ve kurumsal tedbirleri, denetleyicinin uygulamasını sağlayacaklardır. Bu tür tedbirler, uygulamalarının durum ve maliyetini dikkate alarak, korunacak verinin yapısına ve işleme tarafından sunulan risklere uygun seviyede güvenlik sağlayacaktır. (2) Üye Devletler, işleme kendi adına yürütüldüğünde, denetleyicinin yürütülecek işlemeyi yöneten teknik güvenlik tedbirlerine ve kurumsal tedbirlere dair yeterli garantiler sağlayan bir işleyiciyi seçmesini ve bu tedbirlerle uyum sağlamasını temin edecektir. 293

295 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ (3) İşleyici vasıtasıyla işlemenin yapılması özellikle aşağıdakileri şart koşan ve işleyiciyi denetleyiciye bağlayan yasal belge veya bir sözleşme ile yönetilmelidir: - işleyici yalnızca denetleyiciden gelen talimatlara göre hareket edecektir. - işleyicinin yerleşik olduğu Üye Devlet kanunuyla tanımlandığı şekilde, 1. paragrafta düzenlenen yükümlülükler işleyicinin de ödevi olacaktır. (4) Paragraf 1 de atıfta bulunulan tedbirlere dair koşullara ve veri korunmasına ilişkin yasal belge veya sözleşmenin parçaları, kanıtı tutma amaçları için yazılı veya eşdeğer diğer bir biçimde olacaktır. IX.KISIM BİLDİRİM MADDE 18 Denetleme makamına bildirimde bulunma yükümlülüğü (1) Üye Devletler, kısmen veya tamamen otomatik işleme faaliyeti veya tek amaç veya ilgili çeşitli amaçlara hizmet etmesi istenen bu tür bir dizi faaliyeti yürütmeden önce denetleyici ve varsa temsilcisinin, MADDE 28 de atıfta bulunulan denetleme makamına bildirimde bulunmasını sağlayacaklardır. (2) Üye Devletler, yalnızca aşağıdaki durumlarda ve aşağıdaki koşullarda bildirimden muafiyeti veya bildirimin basitleştirilmesini sağlayabilirler: - veri öznelerinin haklarını ve özgürlüklerini olumsuz şekilde etkileyecek, işlenecek verileri muhtemelen dikkate almayan işleme faaliyeti kategorileri için, depolanacak veriler süre uzunluğu ve verilerin ifşa edileceği alıcılar veya alıcı kategorileri, veri öznesi kategorisi veya kategorileri, işlemeye tabi veri kategorileri veya veriler, işleme amaçlarını belirtirler, ve/veya; - denetleyici, kendisini yöneten ulusal kanunla uyumlu olarak özellikle aşağıdakilerden sorumlu bir kişisel veri koruma görevlisi atar; 294

296 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ - bu Direktif uyarınca, alınan ulusal hükümlerin bağımsız şekilde dahili uygulamasını sağlama; - MADDE 21(2) de atıfta bulunulan bilgilendirme maddelerini içeren şekilde, denetleyici tarafından yürütülen işleme faaliyetlerinin kaydını tutma; - böylece, veri öznelerinin hak ve özgürlüklerinin, işleme faaliyetleri tarafından olumsuz şekilde etkilenmesinin olanaksız olmasını sağlama. (3) Üye Devletler, bir meşru menfaat gösteren herhangi bir kişi tarafından veya genel olarak kamu tarafından danışmaya açık olan ve kamuya bilgi sağlamak amaçlı kanunlara veya yönetmeliklere göre tek amacı bir kayıt tutma olan işlemeye 1. paragrafın uygulanmamasını sağlayabilir. (4) Üye Devletler, MADDE 8(2)(d) de atıfta bulunulan işleme faaliyetleri durumunda, bildirimin basitleştirilmesini veya bildirimde bulunma yükümlülüğünden muafiyeti sağlayabilirler. (5) Üye Devletler, kişisel verileri kapsayan belirli veya tüm otomatik olmayan işleme faaliyetlerinin bildirilmesini şart koşabilirler ya da bu işleme faaliyetlerinin basitleştirilmiş bildirime tabi olmasını belirtebilirler. MADDE 19 Bildirim içerikleri (1) Üye Devletler, bildirimde verilecek bilgileri belirteceklerdir. Bunlar en azından aşağıdakileri içerecektir: a. Denetleyici ve varsa temsilcisinin adı ve adresi; b. İşlemenin amacı veya amaçları; c. Bunlara ilişkin veri kategorileri veya verinin ve özne verisinin kategorileri veya kategorisinin tanımı; d. Verilerin açıklanabileceği alıcılar veya alıcı kategorileri; e. Üçüncü ülkelere önerilen veri transferleri; 295

297 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ f. Veri güvenliğini sağlamak üzere MADDE 17 uyarınca alınan tedbirlerin uygunluğunun sağlanması için bir ön değerlendirmeye olanak sağlayan genel bir tanım; (2) Üye Devletler paragraf 1 de atıf yapılan bilgileri etkileyen herhangi bir değişikliğin denetleme makamına bildirilmesine dönük prosedürleri belirletecektir. MADDE 20 Ön kontrol (1) Üye Devletler, veri öznelerinin haklarına ve özgürlüklerine özel riskler sunması, olası işleme faaliyetlerini belirleyecektir ve bu işleme faaliyetlerinin başlatılmasından önce incelenmesini kontrol edecektir. (2) Bu tür ön kontroller, şüphe durumunda denetim makamına danışması gereken bir veri koruma görevlisi tarafından veya denetleyiciden bir bildirimin alınmasını takiben denetleme makamı tarafından yerine getirilecektir. (3) Üye Devletler ya ulusal parlamentonun bir tedbiri ya da işlemenin yapısını tanımlayan ve uygun korunma önlemlerini belirten bu tür bir yasama tedbirine dayalı bir tedbirin hazırlanması bağlamında, bu tür kontrolleri de yapabilir. MADDE 21 İşleme faaliyetlerinin duyurulması (1) Üye Devletler, işleme faaliyetlerinin duyurulmasını temin etmek için tedbirler alacaktır. (2) Üye Devletler, MADDE 18 e uygun olarak, bildirilen işleme faaliyetlerinin bir kaydının denetleme makamı tarafından tutulmasını sağlayacaktır. Kayıt, en azından MADDE 19(1) (a) (e) de listelenen bilgileri içerecektir. Kayıt herhangi bir kişi tarafından denetlenebilir. 296

298 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ (3) Üye Devletler, bildirime tabi olmayan işleme faaliyetlerine ilişkin olarak, Üye Devletler tarafından atanan denetleyicilerin veya diğer bir kuruluşun, talep üzerine herhandi bir kişiye uygun biçimde en azından MADDE 19(1) (a) (e)de atıfta bulunulan bilgileri sağlamasını temin edecektir. Üye Devletler ya meşru menfaat kanıtını temin edebilen herhangi bir kişi tarafından ya da genel olarak kamu tarafından danışmaya açık olan ve kamuya bilgi sağlaması kastedilen yönetmeliklere veya yasalara göre; tek amacı bir kayıt tutulması olan işlemeye bu hükmün uygulanmamasını sağlayabilir. BÖLÜM III - YARGI YOLLARI, SORUMLULUK VE MÜEYYİDELER MADDE 22 Yargı yolları Yargı makamına başvurudan önce, MADDE 28 de atıfta bulunulan denetleme makamı öncesinde, diğerlerine ilaveten koyulabilecek hüküm için herhangi bir idari çözüme zarar vermeksizin, Üye Devletler, söz konusu işlemeye uygulanan ulusal kanun tarafından garanti edilen hakların herhangi bir ihlali için bir yargı yolunu, her kişinin hakkı olarak sağlayacaktır. MADDE 23 Sorumluluk (1) Üye Devletler, bu Direktif uyarınca kabul edilen ulusal hükümlerle uyumsuz herhangi bir işlemenin veya yasadışı bir işleme faaliyetinin sonucu olarak zarara uğrayan herhangi bir kişinin, uğradığı zarar için denetleyiciden tazminat almaya hak kazanmasını sağlayacaktır. (2) Denetleyici, zarara yol açan olayda sorumlu olmadığını kanıtlarsa, kısmen ya da tamamen bu yükümlülükten muaf tutulabilir. 297

299 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ MADDE 24 Müeyyideler Üye Devletler, bu Direktifin hükümlerinin tam uygulanmasını sağlayacak uygun tedbirleri kabul edecektir ve özellikle, bu direktif uyarınca kabul edilen hükümlerin ihlali durumunda uygulanacak müeyyideleri koyacaktır. BÖLÜM IV - KİŞİSEL VERİLERİN ÜÇÜNCÜ ÜLKELERE TRANSFERİ MADDE 25 Prensipler (1) Üye Devletler, bu Direktifin diğer hükümleri uyarınca benimsenen ulusal hükümlere uyuma zarar vermeksizin, yalnızca söz konusu üçüncü ülke yeterli koruma seviyesi sağlarsa, transfer sonrası işleme için istenen veya işlemeye tabi olan kişisel verilerin bir üçüncü ülkeye transferinin gerçekleşebilmesini sağlayacaktır. (2) Bir üçüncü ülke tarafından sağlanan koruma seviyesinin yeterliliği, veri transfer faaliyetlerinin dizisinin veya bir veri transfer faaliyetini çevreleyen tüm koşulların ışığında değerlendirilecektir. O ülkeyle uyumlu meslek kuralları ve güvenlik tedbirleri ve söz konusu üçüncü ülkedeki yürülükte olan hem genel hem sektörel yasa hükümleri, son varış ülkesi ve menşe ülke, önerilen faaliyet veya faaliyetlerin süresi ve amacı, verilerin yapısına özel önem verilecektir. (3) Üye Devletler ve Komisyon, 2. paragrafın anlamı dahilinde yeterli koruma seviyesini bir üçüncü ülkenin sağlamadığını düşündükleri durumlarda birbirlerini bilgilendireceklerdir. (4) Komisyon, bu maddenin 2. paragrafının anlamında, bir üçüncü ülkenin yeterli koruma seviyesini sağlamadığını MADDE 31 (2) kapsamında sağlanan prosedure göre tespit ederse, Üye Devletler, söz konusu üçüncü ülkeye aynı tipte verilerin herhangi bir transferini önlemek için gerekli önlemleri alacaklardır. 298

300 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ (5) Komisyon, uygun bir zamanda, paragraf 4 uyarınca sağlanan bulgudan kaynaklanan durumu çözmek amacıyla müzakerelere başlayacaktır. (6) Komisyon, MADDE 31 (2) de atıfta bulunulan prosedüre uygun olarak; bireylerin temel haklarının ve özel yaşamlarının korunması için, özellikle paragraf 5 te atıfta bulunulan müzakerelerin sonuçlanması üzerine, giriştiği uluslararası taahhütler veya kendi yerel yasası nedeniyle, bu maddenin 2. paragrafı anlamı dahilinde üçüncü bir ülkenin yeterli bir koruma seviyesini temin etmesini isteyebilir. Üye Devletler, Komisyonun kararıyla uyum sağlamak için gerekli tedbirleri alacaktır. MADDE 26 İstisnalar (1) MADDE 25 den derogasyon (uygulama dışı tutma) yoluyla ve özel durumları yöneten iç hukukun aksini belirtmesi haricinde, Üye Devletler, aşağıdaki koşullarda MADDE 25 (2) nin anlamı dahilinde yeterli koruma seviyesini sağlamayan üçüncü bir ülkeye kişisel verilerin transfer dizisini veya transferinin yapılabilmesini sağlayacaktır: a. Veri öznesi önerilen transfer için açık şekilde rızasını vermişse veya b. Veri öznesinin talebine yanıt olarak alınan ön sözleşme tedbirlerinin uygulanması veya denetleyici ve veri öznesi arasındaki bir sözleşmenin yerine getirilmesi için transfer gerekliyse; veya c. Üçüncü bir şahıs ve denetleyici arasında veri öznesinin menfaatine sonuçlanan bir sözleşmenin yerine getirilmesi veya sonuçlandırılması için transfer gerekliyse, veya d. Transfer; kanuni hakların tesisi, işletilmesi veya savunulması için veya önemli kamu menfaati zemininde yasal olarak gerekliyse veya zorunluysa, veya e. Veri öznesinin hayati menfaatlerinin korunması için transfer gerekirse, veya 299

301 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ f. Özel durumda yapılan konsültasyon için kanunda öngörülen koşullar ölçüsünde, bir meşru menfaat gösteren herhangi bir kişi tarafından veya genel olarak kamu tarafından danışmaya açık olan ve kamuya bilgi sağlamak amaçlı kanunlar veya yönetmeliklere göre transfer bir kayıttan sağlanırsa. (2) Paragraf 1 e zarar vermeksizin, bir Üye Devlet, ilgili hakların işletilmesine dair ve bireylerin temel hak ve özgürlükleri ve kişisel mahremiyet hakkının korunmasına ilişkin anlam dahilinde, yeterli koruma seviyesini sağlamayan üçüncü bir ülkeye kişisel veri transferler dizisine veya bir transferine izin verebilir, bu tür korunma önlemleri özellikle uygun sözleşme maddelerinden kaynaklanabilir. (3) Üye Devlet, paragraf 2 uyarınca verdiği izinlerden Üye Devletleri ve Komisyonu haberdar edecektir. Bir Üye Devlet veya Komisyon, bireylerin temel hakları ve özgürlükleri ve mahremiyetinin korunmasını gerektiren gerekçeli dayanaklara itiraz ederse, Komisyon, MADDE 31 (2) de belirtilen prosedüre göre uygun tedbirleri alacaktır. Üye Devletler Komisyonun kararına uymak için gerekli tedbirleri alacaklardır. (4) MADDE 31 (2) de atıfta bulunulan prosedüre uygun olarak, Komisyon, bazı standart sözleşme maddelerinin paragraf 2 nin gerektirdiği şekilde yeterli teminat sunmasına karar verirse, Üye Devletler, Komisyon kararına uymak için gerekli tedbirleri alacaklardır. 300

302 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA BÖLÜM V - DAVRANIŞ KURALLARI PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ MADDE 27 (1) Üye Devletler ve Komisyon, çeşitli sektörlerin özel niteliklerini dikkate alarak, bu Direktif uyarınca Üye Devletler tarafından benimsenen ulusal hükümlerin doğru uygulanmasına katkı sağlamak için planlanan davranış kurallarını düzenlemeye teşvik edecektir. (2) Üye Devletler, mevcut ulusal kodları tadil etme veya genişletme niyetine sahip veya taslak ulusal kodları hazırlamış denetleyicilerin diğer kategorilerini temsil eden diğer kuruluşlar ve ticari kurumların, davranış kurallarını ulusal makamın görüşüne sunabilmesi için önlem alacaktır. Üye Devletler, sunulan taslakların, bu Direktif uyarınca kabul edilen ulusal hükümlerle uyumlu olup olmadığını ulusal makamın belirlemesi için önlem alacaktır. Komisyon, taslağı uygun görürse, ulusal makam, kendi temsilcilerinin veya veri öznelerinin görüşlerini isteyecektir. (3) Taslak Topluluk kodları ve mevcut Topluluk kodlarının uzantıları veya düzeltmeleri, MADDE 29 da atıfta bulunulan çalışma grubuna sunulabilir. Bu çalışma grubu diğer şeyler arasında, sunulan taslağın, bu Direktif uyarınca kabul edilen ulusal hükümlere uygun olup olmadığını belirleyecektir. Uygun bulursa, (ulusal) makam, veri öznelerinin ve kendi temsilcilerinin görüşlerini isteyecektir. Komisyon, Çalışma Grubu tarafından onaylanmış kuralların uygun şekilde tanıtımını sağlayabilir. 301

303 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ BÖLÜM VI - KİŞİSEL VERİLERİN İŞLENMESİNE DAİR BİREYLERİN KORUNMASI HAKKINDAKİ ÇALIŞMA GRUBU VE DENETLEME MAKAMI MADDE 28 Denetleme makamı (1) Her bir Üye Devlet,, bu Direktif uyarınca Üye Devletler tarafından kabul edilen hükümlerin kendi ülkesindeki uygulamasını izlemekten, bir veya daha fazla kamu makamının sorumlu olmasını sağlayacaktır. Bu makamlar, onlara tevdi edilen işlevleri yerine getirmede tam bağımsız olarak hareket edeceklerdir. (2) Her bir Üye Devlet, kişisel verilerin işlenmesine dair bireylerin hak ve özgürlüklerinin korunmasına ilişkin idari tedbirleri veya yönetmelikleri hazırlarken, denetim makamına danışılmasını sağlayacaktır. (3) Her bir makama özellikle sağlanacaktır: - denetim görevlerinin yerine getirilmesi için gerekli tüm bilgileri toplama yetkileri ve işleme faaliyetlerinin konusunu oluşturan verilere erişim yetkileri gibi araştırma yetkileri; - örneğin ulusal parlamentolar veya diğer siyasi kuruluşlara konuyu havale etme veya denetleyiciye ihtar verme veya uyarma, işleme üzerinde GEÇİCİ veya kesin yasaklama koyma, verilerin yok edilmesini veya silinmesini, engellenmesini emretme, bu tür görüşlerin uygun şekilde yayınlanmasını sağlama ve MADDE 20 e uygun olarak işleme faaliyetlerinin yerine getirilmesinden önce görüş bildirme gibi etkin müdahale yetkileri; - Bu Direktif uyarınca kabul edilen ulusal hükümler ihlal edildiğinde veya bu ihlalleri yargı makamlarının dikkatine sunma için kanuni kovuşturmaya girişme yetkisi. Denetleme makamının şikayetlere yol açan kararları; mahkemelerde temyiz edilebilir. 302

304 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ (4) Her bir denetim makamı, kişisel verilerin işlenmesine dair hak ve özgürlüklerin korunmasına ilişkin o kişiyi temsil eden bir dernek veya herhangi bir kişi tarafından arzedilen iddiaları dinleyecektir. Her bir denetim makamı, özellikle, bu Direktifin 13. maddesi uyarınca kabul edilen ulusal hükümler uygulandığında, herhangi bir kişi tarafından arz edilen veri işlemenin yasallığı hakkındaki kontroller için iddiaları dinleyecektir. Kişi, bir kontrolün yapıldığından her halükarda bilgilendirilecektir. (5) Her denetleme makamı, faaliyetleri hakkında düzenli aralıklarla bir rapor hazırlayacaktır. Rapor, kamuya açıklanacaktır. (6) Her denetleme makamı, sözkonusu işlemeye uygulanan ulusal kanun her ne olursa olsun, paragraf 3 e uygun olarak verilen yetkileri kendi Üye Devletinin toprağında uygulamaya yetkilidir. Her bir makamdan, diğer bir Üye Devletin makamı ile yetkilerini uygulaması istenebilir. Denetleme makamları, özellikle tüm yararlı bilgileri takas ederek, kendi görevlerini yerine getirmek için gerekli ölçüde birbirleriyle iş birliği yapacaklardır. (7) Üye Devletler, görevlerinin bitiminden sonra bile, denetleme makamının personellerinin ve mensuplarının, eriştikleri gizli bilgilere dair mesleki gizlilik görevine tabi olmalarını sağlayacaktır. MADDE 29 Kişisel Verilerin İşlenmesine dair Bireylerin Korunması Hakkındaki Çalışma Grubu (1) Bundan böyle Çalışma Grubu denilecek olan, Kişisel Verilerin İşlenmesine dair Bireylerin Korunması hakkında bir çalışma grubu, bu belgeyle kurulmaktadır. Danışma statüsüne sahip olacak ve bağımsız olarak hareket edecektir. 303

305 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ (2) Çalışma Grubu, Komisyon un bir temsilcisi ve Topluluk kurumları ve kuruluşları için kurulan makamların veya makamın birer temsilcisi ve her bir Üye Devlet tarafından atanan denetleme makamı veya makamlarının birer temsilcisinden oluşacaktır. Çalışma Grubunun her bir üyesi, temsil ettikleri makam veya makamlar, kurumlar tarafından atanacaklardır. Bir Üye Devlet birden fazla denetleme makamı atamışsa, bunlar ortak bir temsilci atayacaklardır. Aynısı, Topluluk kurum ve kuruluşları için saptanan makamlara uygulanacaktır. (3) Çalışma Grubu, denetleme makamları temsilcilerinin salt (kendi) çoğunluğuyla kararlar alacaktır. (4) Çalışma Grubu, başkanını seçer. Başkanın görev süresi iki yıl olacaktır. Başkan yeniden seçilebilecektir. (5) Çalışma Grubunun sekreteryası Komisyon tarafından sağlanacaktır. (6) Çalışma Grubu, kendi prosedür kurallarını kabul edecektir. (7) Çalışma Grubu, ya Komisyon un talebi veya denetleme makamının bir temsilcisinin talebi üzerine veya kendi insiyatifiyle, başkanı tarafından gündemine getirilen maddeleri ele alacaktır. MADDE 30 (1) Çalışma Grubu: a. Bu tür tedbirlerin düzenli uygulanmasına katkı sağlamak için bu Direktif kapsamında benimsenen ulusal tedbirlerin uygulanmasını kapsayan herhangi bir sorunu inceleyecektir; b. Topluluktaki ve üçüncü ülkelerdeki koruma seviyesi hakkında Komisyon a görüş verecektir; c. Kişisel verilerin işlenmesine dair gerçek kişilerin hak ve özgürlüklerini güvenceye alacak ek veya özel tedbirler hakkında ve bu tür hak ve 304

306 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ özgürlükleri etkileyen diğer önerilmiş Topluluk tedbirleri hakkında, bu Direktifin herhangi bir önerilen tadili üzerinde Komisyona tavsiyede bulunacaktır; d. Topluluk seviyesinde hazırlanan davranış kuralları hakkında görüş verecektir. (2) Çalışma Grubu, Topluluktaki kişisel verilerin işlenmesine dair kişilerin korunmasında eşdeğerliği muhtemelen etkileyecek uyuşmazlıkların Üye Devletlerin uygulamalarından ya da kanunlarından kaynaklandığını saptarsa, bu doğrultuda Komisyon u bilgilendirecektir. (3) Çalışma Grubu kendi insiyatifiyle, Toplulukta kişisel verilerin işlenmesine dair kişilerin korunmasına ilişkin tüm konularda tavsiyelerde bulunabilir. (4) Çalışma Grubunun fikirleri ve tavsiyeleri, MADDE 31 de atıfta bulunulan komiteye ve Komisyon a iletilecektir. (5) Komisyon, görüş ve tavsiyelerine yanıt olarak aldığı önlemleri Çalışma Grubu na bildirecektir. Bunu Avrupa Parlamentosu ve Konseyi ne de iletilecek bir raporla yapacaktır. Rapor kamuya açık olacaktır. (6) Çalışma Grubu, Komisyon, Avrupa Parlamentosu ve Konseyi ne iletilecek olan üçüncü ülkelerde ve topluluktaki kişisel verilerin işlenmesine dair gerçek kişilerin korunmasına dair durum hakkında bir yıllık rapor hazırlayacaktır. Rapor halka duyurulacaktır. BÖLÜM VII - TEDBİRLERİ UYGULAYAN TOPLULUK MADDE 31 (1) Komisyon a, Üye Devletlerin temsilcilerinden oluşan ve başkanlığını Komisyon temsilcisinin yaptığı bir Komite yardımcı olacaktır. 305

307 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ (2) Komisyon temsilcisi, komiteye, alınacak önlemlerin bir taslağını sunacaktır. Komite, taslak hakkındaki görüşlerini başkan tarafından konunun aciliyetine bağlı olarak saptanacak olan bir süre içinde bildirecektir. Görüş, Antlaşmanın MADDE 148 (2) saptanmış olan çoğunluk ile bildirilecektir. Komitede Üye Devletlerin temsilcilerinin oyları, aynı Madde de belirtildiği şekilde ağırlık taşıyacaktır. Başkan, oy kullanmayacaktır. Komisyon, derhal uygulanacak olan önlemleri benimseyecektir. Ancak, eğer bu önlemler komitenin görüşüne uygun değilse, Komisyon tarafından Konsey e derhal iletilecektir. Böyle bir durumda: Komisyon, üzerinde karar varmış olduğu önlemlerin uygulanmasını, söz konusu iletiyi aldığı tarihten itibaren üç aylık bir süre için erteleyecektir, Konsey, birinci paragrafta belirtilmiş olan süre zarfında nitelikli çoğunlukla hareket ederek farklı bir karar alabilir. MADDE 32 Nihai Hükümler (1) Üye Devletler, bu Direktifle uyum sağlamak için gerekli idari hükümleri, yasaları ve yönetmelikleri kabul edilme tarihinden itibaren en geç üç yıllık dönemin bitimine kadar yürürlüğe koyacaklardır. Üye Devletler bu kararları kabul ettiğinde, bunlar, bu Direktife bir atıfı içerecektir veya kendi resmi yayınları dolayısıyla bu tür bir atıf eşlik edecektir. Bu tür referans yapma yöntemleri, Üye Devletler tarafından öngörülecektir. (2) Üye Devletler, bu Direktif uyarınca kabul edilen ulusal hükümlerin yürürlüğe girdiği tarihte devam eden işlemenin; bu yürürlük tarihinden itibaren üç yıl içinde, bu hükümlerle uygun hale getirilmesini temin edeceklerdir. Önceki alt paragraftan derogasyon yoluyla, Üye Devletler, bu Direktifin uygulanmasına ilişkin benimsenen ulusal hükümlerin yürürlüğe koyulduğu 306

308 95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ tarihte manuel dosyalama sisteminde tutulan verilerin işlenmesinin kabul tarihinden itibaren 12 yıl içinde, bu Direktifin 6, 7 ve 8. maddelerine uyumlu hale getirilmesini sağlayabilirler. Ancak, Üye Devletler, denetleyici tarafından izlenen meşru amaçlarla uyumsuz bir biçimde depolanan veya eksik, yanlış olan verilerin engellenmesi veya silinmesi, düzeltilmesi ve elde etme hakkını, özellikle erişim hakkını yerine getirme zamanında ve talebi üzerine veri öznesine vereceklerdir. (3) Paragraf 2 den derogasyon yoluyla, Üye Devletler, uygun korunma önlemlerine tabii olarak, yalnızca, tarihsel araştırma amacıyla tutulan verilerin bu Direktifin 6, 7 ve 8. Maddesine uyumlu hale getirilmesine gerek olmadığını belirtebilirler. (4) Üye Devletler, bu Direktifle kapsanan alanda kabul ettikleri iç hukuk hükümlerinin metnini Komisyona iletecektir. MADDE 33 Komisyon, gerekirse, tadiller için uygun önerileri raporuna ekleyerek, bu Direktifin uygulanması hakkında MADDE 326 de atıfta bulunulan tarihin 3 yıl öncesinden başlayarak düzenli aralıklarla Avrupa Parlamentosu ve Konseye rapor sunacaktır. Rapor halka duyurulacaktır. Komisyon, özellikle, gerçek kişilere ilişkin ses ve görüntü verilerinin işlenmesinde bu Direktifin uygulanmasını inceleyecektir ve bilgi toplumundaki ilerleme durumunun ışığında ve bilgi teknolojisindeki gelişmeleri dikkate alarak gerekeceği kanıtlanan herhangi uygun önerileri sunacaktır. MADDE 34 Bu Direktif Üye Devletlere hitap etmektedir. 307

309

310 AVRUPA BİRLİĞİ TEMEL HAKLAR ŞARTI (İLGİLİ HÜKÜMLER) Charter of Fundamental Rights of the European Union, 2000/C / MADDE 8 Kişisel verilerin korunması 1. Herkes, kendisiyle ilgili kişisel verilerinin korunması hakkına sahiptir. 2. Bu veriler belirli amaçlar için adil biçimde, ilgili kişinin rızasına ya da yasalarca belirlenmiş diğer meşru temellere dayanarak işlenir. Herkes, kendisiyle ilgili toplanan verilere erişme ve bunları düzelttirme hakkına sahiptir. 3. Bu kurallara riayet etme, bağımsız bir otoritenin kontrolüne tâbidir. 309

311

312 2002/58 SAYILI ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE ÖZEL HAYATIN GİZLİLİĞİNİN KORUNMASINA İLİŞKİN DİREKTİF Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) / EDİTÖR NOTU Bu Direktif, 97/66/EC Sayılı Telekomünikasyon Alanında Kişisel Verilerine İşlenmesi Ve Özel Hayatın Korunmasına İlişkin Direktifi yürürlükten Kaldırmıştır. 2006/24 SAYILI KAMUYA AÇIK HABERLEŞME HİZMETLERİ VEYA KAMU HABERLEŞME ŞEBEKESİ İLE BAĞLANTILI OLARAK ÜRETİLEN VEYA İŞLENEN VERİLERİN SAKLANMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİF Directive 2006/24/EC of The European Parliament and of The Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC / /228 AVRUPA TOPLULUKLARI KOMİSYONU BİLDİRİSİ Communication from the Commission to the European Parliament and the Council on Promoting Data Protection by Privacy Enhancing Technologies (PETs) /

313

314 AVRUPA BİRLİĞİ NİN İŞLEYİŞİ HAKKINDA ANLAŞMA (İLGİLİ HÜKÜMLER) Consolidated version of the Treaty on the Functioning of the European Union / MADDE Herkes, kendisine ilişkin kişisel verilerinin korunması hakkına sahiptir. 2. Avrupa Parlamentosu ve Konsey, Birlik hukuku kapsamına giren faaliyetlerin yürütülmesinde, Birlik kurum, organ, ofis veya ajansları ile üye devletler tarafından kişisel verilerin işlenmesi sırasında bireylerin korunmasına ve bu bilgilerin serbest dolaşımına ilişkin kuralları olağan yasama usulü uyarınca belirler. Bu kurallara uyulması, bağımsız otoritelerin denetimine tabidir. Bu maddeye dayanarak kabul edilen kurallar, Avrupa Birliği Antlaşması nın 39. Maddesinde yer alan spesifik kurallara halel getirmez. 313

315

316 2016/679 AVRUPA BİRLİĞİ GENEL VERİ KORUMA TÜZÜĞÜ Regulation (EU) 2016/679 of The European Parliament and of The Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) /

317

318 ULUSLARARASI DİĞER DÜZENLEMELER

319

320 İNSAN HAKLARI EVRENSEL BEYANNAMESİ (İLGİLİ HÜKÜMLER) Universal Declaration of Human Rights / Nisan 1949 tarih ve 9119 Sayılı Bakanlar Kurulu ile "İnsan Hakları Evrensel Beyannamesi'nin Resmi Gazete ile yayımlanması kararlaştırılmıştır. Anılan Bakanlar Kurulu Kararı tarihli 7217 sayılı Resmi Gazete'de yayımlanmıştır. Birleşmiş Milletler Genel Kurulu; İnsanlık topluluğunun bütün bireyleriyle kuruluşlarının bu Bildirgeyi her zaman göz önünde tutarak eğitim ve öğretim yoluyla bu hak ve özgürlüklere saygıyı geliştirmeye, giderek artan ulusal ve uluslararası önlemlerle gerek üye devletlerin halkları ve gerekse bu devletlerin yönetimi altındaki ülkeler halkları arasında bu hakların dünyaca etkin olarak tanınmasını ve uygulanmasını sağlamaya çaba göstermeleri amacıyla tüm halklar ve uluslar için ortak ideal ölçüleri belirleyen bu İnsan Hakları Evrensel Bildirgesini ilan eder. MADDE 12 Kimsenin özel yaşamına, ailesine konutuna ya da haberleşmesine keyfi olarak karışılamaz, şeref ve adına saldırılamaz. Herkesin bu gibi karışma ve saldırılara karşı yasa tarafından korunmaya hakkı vardır. 319

321

322 MEDENİ VE SİYASAL HAKLAR SÖZLEŞMESİ (İLGİLİ HÜKÜMLER) International Covenant on Civil and Political Rights / Türkiye Sözleşme yi 15 Ağustos 2000 tarihinde imzalamış ve tarihli Resmî Gazete de yayımlanan 4868 sayılı Kanun la onaylanmıştır. MADDE 17- Mahremiyet Hakkı (1) Hiç kimsenin özel ve aile yaşamına, konutuna veya haberleşmesine keyfi veya hukuka aykırı olarak müdahale edilemez; onuru veya itibarı hukuka aykırı saldırılara maruz bırakılamaz. (2) Herkes bu tür saldırılara veya müdahalelere karşı hukuk tarafından korunma hakkına sahiptir 321

323

324 OECD NİN ÖZEL YAŞAMIN KORUNMASI VE KİŞİSEL VERİLERİN SINIRÖTESİ AKIŞINA İLİŞKİN REHBER İLKELERİ OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data / Recommendation Of The Council Concerning Guidelines Governing The Protection of Privacy And Transborder Flows Of Personal Data / BM NİN BİLGİSAYARLA İŞLENEN KİŞİSEL VERİ DOSYALARINA İLİŞKİN REHBER İLKELERİ Guidelines for the Regulation of Computerized Personal Data Files Adopted by General Assembly resolution 45/95 / ALMAN FEDERAL VERİ KORUMA KANUNU Bundesdatenschutzgesetz (BDSG) / İSVİÇRE FEDERAL VERİ KORUMA KANUNU Bundesgesetz über den Datenschutz (DSG) / The Federal Assembly of the Swiss Confederation s decision date: 19 June 1992, In force 1 July

325

326 İÇTİHATLAR

327

328 KİŞİSEL VERİ KAVRAMINDAN HANGİ BİLGİLERİN ANLAŞILMASI GEREKTİĞİNE İLİŞKİN YARGITAY KARARI Yargıtay 12. Ceza Dairesi; 2013/9043 E. 2014/151 K T. ( ) Belirli veya belirlenebilir bir kişiye ait her türlü bilginin, başkasına verilmesi, yayılması ya da ele geçirilmesi, TCK'nın 136/1. maddesinde Verileri hukuka aykırı olarak verme veya ele geçirme başlığı altında suç olarak tanımlanmış olup, eylemin; kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak ya da belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle gerçekleşmesi hali, aynı Kanunun 137. maddesinde cezada artırım nedeni olarak öngörülmüştür. Verileri hukuka aykırı olarak verme veya ele geçirme suçunun maddi konusunu oluşturan kişisel veri kavramından, kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı nüfus bilgileri (T.C. kimlik numarası, adı, soyadı, doğum yeri ve tarihi, anne ve baba adı gibi), adli sicil kaydı, yerleşim yeri, eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, elektronik posta adresi, kan grubu, medeni hali, parmak izi, DNA'sı, saç, tükürük, tırnak gibi biyolojik örnekleri, cinsel ve ahlaki eğilimi, sağlık bilgileri, etnik kökeni, siyasi, felsefi ve dini görüşü, sendikal bağlantıları gibi kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin anlaşılması gerekir; ancak, herkes tarafından bilinen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olan kişisel bilgiler, yasal anlamda kişisel veri olarak değerlendirilemez, aksinin kabulü; anılan maddenin uygulama alanının amaçlanandan fazla genişletilerek, uygulamada belirsizlik ve hemen her eylemin suç oluşturması gibi olumsuz sonuçlar doğurur, bu nedenle, bir kişisel bilginin, açıklanan anlamda kişisel veri kabul edilip edilmeyeceğine karar verilirken, somut olayın özellikleri dikkate alınarak 327

329 KİŞİSEL VERİ KAVRAMINDAN HANGİ BİLGİLERİN ANLAŞILMASI GEREKTİĞİNE İLİŞKİN YARGITAY KARARI titizlikle değerlendirme yapılması, sanığın eylemiyle hukuka aykırı hareket ettiğini bildiği ya da bilebilecek durumda olduğunun da ayrıca tespit edilmesi gerekir. ( ) 328

330 BİYOMETRİK YÖNTEMLERLE KİMLİK DOĞRULAMASI YAPILMASINI ÖNGÖREN KANUN HÜKMÜNÜN ANAYASA AYKIRILIĞINA İLİŞKİN ANAYASA MAHKEMESİ KARARI Anayasa Mahkemesi, 2014/180 E. 2015/30 K T tarihli sayılı Resmi Gazete de yayımlanmıştır. İTİRAZ YOLUNA BAŞVURAN : Danıştay Onbeşinci Dairesi İTİRAZIN KONUSU : tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu'nun 67. maddesinin üçüncü fıkrasına, tarihli ve 6283 sayılı Kanun'un 1. maddesiyle eklenen ".biyometrik yöntemlerle kimlik doğrulamasının yapılması ve/veya." ibaresinin Anayasa'nın 2., 13. ve 20. maddelerine aykırılığı ileri sürülerek iptaline karar verilmesi istemidir. I- OLAY Genel sağlık sigortalısı davacı tarafından, biyometrik kimlik doğrulama sistemine tanımlanmaksızın hizmet sunmayan özel hastane başhekimliğinin uygulamasının bildirimi niteliğinde olan işlemin ve dayanak gösterdiği mevzuatın iptali istemiyle Sosyal Güvenlik Kurumu Başkanlığı aleyhine açılan davada, itiraz konusu kuralın Anayasa'ya aykırı olduğu kanısına varan Mahkeme, iptali için başvurmuştur. ( ) III- YASA METİNLERİ A- İtiraz Konusu Yasa Kuralı Kanun'un itiraz konusu kuralı da içeren 67. maddesinin üçüncü fıkrası şöyledir: "Ayrıca genel sağlık sigortalısı ve bakmakla yükümlü olduğu kişilerin sağlık hizmetlerinden ve diğer haklardan yararlanabilmeleri için sağlık hizmet 329

331 BİYOMETRİK YÖNTEMLERLE KİMLİK DOĞRULAMASI YAPILMASINI ÖNGÖREN KANUN HÜKMÜNÜN ANAYASA AYKIRILIĞINA İLİŞKİN ANAYASA MAHKEMESİ KARARI sunucularına başvurduklarında acil haller hariç olmak üzere (acil hallerde ise acil halin sona ermesinden sonra); biyometrik yöntemlerle kimlik doğrulamasının yapılması ve/veya nüfus cüzdanı, sürücü belgesi, evlenme cüzdanı, pasaport veya Kurum tarafından verilen resimli sağlık kartı belgelerinden birinin gösterilmesi zorunludur." ( ) V- ESASIN İNCELENMESİ Başvuru kararı ve ekleri, Raportör Berrak YILMAZ tarafından hazırlanan işin esasına ilişkin rapor, itiraz konusu yasa kuralı, dayanılan Anayasa kuralları ve bunların gerekçeleri ile diğer yasama belgeleri okunup incelendikten sonra gereği görüşülüp düşünüldü: Başvuru kararında, biyometrik yöntemlerle yapılacak kimlik doğrulaması sonucu elde edilecek kişisel verilerin toplanması ve işlenmesinin kapsamı ile bu verilerin korunmasına ilişkin usul ve esasların belirli olmadığı, yasama organı tarafından temel ilkeleri koyulmadan, çerçevesi çizilmeden biyometrik veri toplanmasına olanak veren itiraz konusu kuralın, Anayasa'nın 2., 13. ve 20. maddelerine aykırı olduğu ileri sürülmüştür. Kanun'un 67. maddesinin itiraz konusu kuralı da içeren üçüncü fıkrasında, genel sağlık sigortalısı ve bakmakla yükümlü olduğu kişilerin sağlık hizmetlerinden ve diğer haklardan yararlanabilmeleri için sağlık hizmet sunucularına başvurduklarında acil hâller hariç olmak üzere (acil hâllerde ise acil hâlin sona ermesinden sonra); biyometrik yöntemlerle kimlik doğrulamasının yapılması ve/veya nüfus cüzdanı, sürücü belgesi, evlenme cüzdanı, pasaport veya Kurum tarafından verilen resimli sağlık kartı belgelerinden birinin gösterilmesinin zorunlu olduğu öngörülmüştür. Biyometrik yöntemlerle kimlik doğrulama, hizmet talep eden bir kullanıcının, ölçülebilir fizyolojik ve bireysel özellikler yoluyla gerçekleştirilen ve 330

332 BİYOMETRİK YÖNTEMLERLE KİMLİK DOĞRULAMASI YAPILMASINI ÖNGÖREN KANUN HÜKMÜNÜN ANAYASA AYKIRILIĞINA İLİŞKİN ANAYASA MAHKEMESİ KARARI otomatik olarak doğrulanabilen kimlik denetleme yoluyla gerçek kullanıcı olup olmadığının doğrulanması anlamına gelmektedir. Anayasa'nın 2. maddesinde belirtilen hukuk devleti, insan haklarına dayanan, bu hak ve özgürlükleri koruyup güçlendiren, eylem ve işlemleri hukuka uygun olan, her alanda adaletli bir hukuk düzeni kurup bunu geliştirerek sürdüren, Anayasa'ya aykırı durum ve tutumlardan kaçınan, hukuku tüm devlet organlarına egemen kılan, Anayasa ve kanunlarla kendini bağlı sayan, yargı denetimine açık olan devlettir. Kanun koyucu, Anayasa'ya ve hukukun genel ilkelerine aykırı olmamak kaydıyla her türlü düzenlemeyi yapma konusunda takdir yetkisine sahiptir. Kanun koyucunun hukuki düzenlemelerde kendisine tanınan takdir yetkisini anayasal sınırlar içinde adalet, hakkaniyet ve kamu yararı ölçütlerini göz önünde tutarak kullanması ve keyfi davranmaması gerekir. Anayasa'nın 2. maddesinde yer alan hukuk devletinin temel ilkelerinden biri "belirlilik"tir. Belirlilik ilkesi, yalnızca yasal belirliliği değil, daha geniş anlamda hukuki belirliliği de ifade etmektedir. Yasal düzenlemeye dayanarak erişilebilir, bilinebilir ve öngörülebilir gibi niteliksel gereklilikleri karşılaması koşuluyla, mahkeme içtihatları ve yürütmenin düzenleyici işlemleri ile de hukuki belirlilik sağlanabilir. Aslolan muhtemel muhataplarının mevcut şartlar altında belirli bir işlemin ne tür sonuçlar doğurabileceğini öngörmelerini mümkün kılacak bir normun varlığıdır. Anayasa'nın 20. maddesinin birinci fıkrasında, herkesin, özel hayatına saygı gösterilmesini isteme hakkına sahip olduğu, özel hayatın ve aile hayatının gizliliğine dokunulamayacağı belirtilmiş; üçüncü fıkrasında da "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel 331

333 BİYOMETRİK YÖNTEMLERLE KİMLİK DOĞRULAMASI YAPILMASINI ÖNGÖREN KANUN HÜKMÜNÜN ANAYASA AYKIRILIĞINA İLİŞKİN ANAYASA MAHKEMESİ KARARI veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." denilerek kişisel verilerin korunması, özel hayatın gizliliğinin korunması kapsamında güvenceye kavuşturulmuştur. Anayasa'nın 13. maddesinde, temel hak ve hürriyetlerin, özlerine dokunulmaksızın yalnızca Anayasa'nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabileceği, bu sınırlamaların Anayasa'nın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamayacağı belirtilmiştir. Kişisel verilerin korunması hakkı, kişinin insan onurunun korunması ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır. Ancak söz konusu hak mutlak ve sınırsız olmayıp Anayasa'nın 13. ve 20. maddeleri gereğince belirli koşullarda, demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı olmamak üzere kanunla sınırlanabilir. Nitekim Türkiye'nin imzaladığı ancak uygulama kanununun yürürlüğe konamaması nedeniyle taraf olmadığı 1981 tarihli ve 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Avrupa Konseyi Sözleşmesi'nin 9. maddesinde de devlet güvenliği, kamu güvenliği, devletin ekonomik menfaatlerinin korunması ve suçlarla mücadele edilmesi, ilgilinin veya üçüncü kişilerin hak ve özgürlüklerinin korunması ile verilerin istatistiki veya bilimsel amaçlarla kullanılması durumlarında kişisel verilerin korunmasına sınırlamalar getirilebileceği öngörülmüştür. Bu nedenle, kişisel verilerin korunması temel hakkına kamu yararı nedenlerine dayalı olarak müdahale edilebilmesine olanak tanınmaktadır. 332

334 BİYOMETRİK YÖNTEMLERLE KİMLİK DOĞRULAMASI YAPILMASINI ÖNGÖREN KANUN HÜKMÜNÜN ANAYASA AYKIRILIĞINA İLİŞKİN ANAYASA MAHKEMESİ KARARI İtiraz konusu kuralla, genel sağlık sigortalısı olanlar ve bakmakla yükümlü olduğu kişilerin sağlık hizmetlerinden ve diğer haklardan yararlanabilmeleri için hastane gibi kurumlara başvurduğunda, nüfus cüzdanı, sürücü belgesi, evlenme cüzdanı, pasaport veya verilmiş ise çalıştığı Kurum sağlık kartı belgelerinden biriyle kimlik tespitinin yanında veya sadece biyometrik yöntemlerle kimlik doğrulaması yapılması öngörülmektedir. Kişisel veri kavramı, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır. Bu bağlamda itiraz konusu kuralla öngörülen biyometrik yöntemle elde edilen verilerin kişisel veri olduğunda kuşku yoktur. Bununla birlikte söz konusu verilerin, 108 sayılı Sözleşme'nin 6. maddesinde özel olarak belirtilen politik düşünce, dini inanç, sağlık, cinsel yaşam veya ceza mahkûmiyetlerine ilişkin veriler gibi çok hassas verilerden olduğu da söylenemez. Biyometrik yöntemlerle kimlik doğrulama, kişinin kendi özelliklerini esas alması nedeniyle izinsiz kullanımlara karşı güvenli, kamu kuruluşlarına yönelik yolsuzluk ve bunların neden olduğu zararlara karşı etkili ve sosyal güvenliği olan kişiler bakımından da güvenli hizmet alınmasını sağlayan bir yöntemdir. İtiraz konusu kuralla öngörülen yöntemin sağlık sektöründeki suiistimallerin engellenmesi ve bu konudaki sahteciliğin önlenmesi maksadıyla önemli bir güvenlik önlemi olduğunda şüphe yoktur. Nitekim itiraz konusu kuralın gerekçesinde sağlık hizmetlerinin elektronik ortamda güvenilir altyapılar üzerinden sağlanması ve hizmetten yararlananların 333

335 BİYOMETRİK YÖNTEMLERLE KİMLİK DOĞRULAMASI YAPILMASINI ÖNGÖREN KANUN HÜKMÜNÜN ANAYASA AYKIRILIĞINA İLİŞKİN ANAYASA MAHKEMESİ KARARI kimliklerinin saptanmasında geleneksel yöntemlerin eksiklikleri nedeniyle ortaya çıkan kötüye kullanımların önlenmesinin amaçlandığı belirtilmiştir. Dolayısıyla kuralla öngörülen yöntemin etkin bir şekilde kullanılmasının, Sosyal Güvenlik Kurumundan haksız menfaat temin edilmesini engellemeye yönelik olduğu ve kuralda kamu yararı bulunduğu açıktır. Bu bağlamda itiraz konusu kuralla özel hayatın ve kişisel verilerin korunması haklarına yönelik olarak yapılan müdahalenin, öngörülen amaçla orantılı olduğu, müdahale edilen hakların özüne dokunmadığı ve demokratik toplum düzeninin gereklerine aykırılık teşkil etmediği anlaşıldığından Anayasa'ya aykırı bir yönü yoktur. Öte yandan itiraz konusu kuralla öngörülen yöntemin sadece sağlık sektöründe bu hizmetten yararlanma amacıyla kullanılabileceği, bu nedenle elde edilen verilerin sadece bu amaçla sınırlı olarak ve hizmetin devamı için zorunlu olduğu müddetle sınırlı olmak üzere tutulabileceği dikkate alındığında, bu verilerin neden ve hangi gerekçeyle temin edileceğine ilişkin olarak konu, amaç ve kapsamı ile ne şekilde ve hangi süreyle kullanılacaklarına dair bir belirsizlik olduğu söylenemez. Ayrıca itiraz konusu kuralda öngörülen yöntemle elde edilen verilerin amaç ve kapsam dışında depolanması ve kullanılması hâlinde 5237 sayılı Türk Ceza Kanunu'ndaki kişisel verilerin korunmasına ilişkin ceza hükümlerinin uygulanacak olması nedeniyle bu konuda kanuni güvence de bulunmaktadır. Açıklanan nedenlerle, itiraz konusu kural Anayasa'nın 2., 13. ve 20. maddelerine aykırı değildir. İptal isteminin reddi gerekir. Serruh KALELİ, Alparslan ALTAN, Serdar ÖZGÜLDÜR, Engin YILDIRIM ve Erdal TERCAN bu görüşe katılmamışlardır. 334

336 BİYOMETRİK YÖNTEMLERLE KİMLİK DOĞRULAMASI YAPILMASINI ÖNGÖREN KANUN HÜKMÜNÜN ANAYASA AYKIRILIĞINA İLİŞKİN ANAYASA MAHKEMESİ KARARI VI- SONUÇ tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu'nun 67. maddesinin üçüncü fıkrasına, tarihli ve 6283 sayılı Kanun'un 1. maddesiyle eklenen ".biyometrik yöntemlerle kimlik doğrulamasının yapılması ve/veya." ibaresinin, Anayasa'ya aykırı olmadığına ve itirazın REDDİNE, Serruh KALELİ, Alparslan ALTAN, Serdar ÖZGÜLDÜR, Engin YILDIRIM ile Erdal TERCAN'ın karşıoyları ve OYÇOKLUĞ UYLA, tarihinde karar verildi. 335

337

338 UNUTULMA HAKKINA İLİŞKİN YARGITAY HUKUK GENEL KURUL KARARI Yargıtay Hukuk Genel Kurulu; 2014/4-56 E. 2015/1679 K. ( ) Dava, kişilik hakkına saldırı nedenine dayalı tazminat istemine ilişkindir. Davacı M. T. vekili 16/08/2010 harç tarihli dava dilekçesinde özetle; müvekkilinin 14/11/2003 tarihinden beri İzmir Adliyesinde savcılık zabıt katibi olarak görev yaptığını, 18/07/2005 ile 11/04/2006 tarihleri arasında o dönem İzmir C. Başsavcı vekili olarak görev yapan Z. ile çalışmak için görevlendirildiğini ancak başladıktan sonra 8 ay boyunca Başsavcı vekilinin sözlü ve fiziksel taciziyle karşı karşıya kaldığını, fiziksel tacizin başlaması ve bu durumun çekilmez hale gelmesi nedeniyle davacının şikayette bulunduğunu, ailesinin ve çevresinin duymaması için çaba sarf ettiğini, Z. hakkında soruşturma açıldığını ve cezalandırıldığını, sanığın Başsavcı vekili olması nedeni ile olayların o dönem için basında yer aldığını, davacının bu olayları unutmaya başladığı bir dönemde Yargıtay 4. Ceza Dairesi Başkanı ve tetkik hakimleri olan davalıların Nisan 2010 tarihinde yorumlu-uygulamalı Türk Ceza Kanunu adlı altı ciltlik eser yayınladıklarını, örnek Yargıtay kararlarının başladığı 3262 nolu sayfa ve devamındaki sayfalarda davacının başına gelen olayların, tüm aktörlerin isimlerinin açıkça yazılmak suretiyle ve olayın tamamının açık bir şekilde anlatıldığını, davacı tarafından bu durumun öğrenilmesiyle davacının tekrar psikolojik bunalıma girdiğini, bütün kötü olayları tekrar yaşamak zorunda kaldığını, adliyede çalışması nedeniyle bu olayın davacının çevresinde, savcı ve avukatlar tarafından duyulduğunu, müvekkilinin zor da olsa saklayabildiği bir olayın kamuoyuna duyurulduğunu, iffetinin tartışılır hale geldiğini, bir genç kızın hayalleri ve geleceğinin kararmış olduğunu, eserin bir defa yararlanılacak bir eser olmadığını, uzun yıllar boyunca yaygın kitlelerce okunacak nitelikte bulunduğunu belirterek tüm bu nedenlerle davacının isminin geçtiği söz 337

339 UNUTULMA HAKKINA İLİŞKİN YARGITAY HUKUK GENEL KURUL KARARI konusu ciltlerin toplatılmasını, ,00-TL manevi tazminatın davalılardan tahsiline karar verilmesini istemiştir. Davalılar O. Y., H. T. G., M. A. ve A... Ltd. Şti. vekili havale tarihli cevap dilekçesinde özetle; Söz konusu kitapların bilimsel eser niteliğinde olduğunu, bilimsel eser niteliğinde olan kitaplarda fail ve mağdur adının olmasının hukuka aykırı olmadığını, ceza hukukundaki kitaplarının kaynağının yargısal kararlar olduğunu, geniş kitlelere hitap etmediğini, ceza hakimleri, savcılar ve ceza avukatlarınca okunduğunu, kitapta isim belirtmenin hukuka aykırı olmadığını, eserde adı geçen kişilerle ilgili vakıalar daha önce yargı konusu olduğu için ilgili mahkemelerin bulunduğu yerlerdeki kişiler tarafından duyulup öğrenildiğini, bu nedenle sözü edilen vakıaların ilk defa dava konusu eserde gündeme getirilmediğini, AİHM kararlarının ve Anayasa Mahkemesi kararlarının da isimler çıkarılmadan yayınlandığını, 2011 yılının başından itibaren UYAP sisteminde bulunan kararlardaki kişisel veriler rumuzlanmadan hakim ve savcının kullanımına açıldığını, dava konusu kararın son bölümünde rumuzlama yapılmış ise de ilk bölümünde yapılmamasının dizgi hatası olduğunu, olayın üzerine adliyeye gelen müfettişin yaptığı soruşturma sırasında tüm adliyenin olayı öğrendiğini ve olayın basına da yansıdığını, yine davacının ileri sürdüğü hususların daha sonra düzeltildiğini ve düzeltilmiş bir nüshasının davacı vekilini sunulduğunu bu nedenle kitabın toplatılmasına gerek olmadığını istenen tazminatın fahiş olduğunu savunarak davanın reddine karar verilmesini talep etmiştir. Mahkemece, davanın kısmen kabulüne dair verilen kararın taraflarca temyiz edilmesi üzerine yukarıda başlık bölümde yazılan Yargıtay ilamı ile bozulmuş, karar düzeltme istemi oyçokluğu ile reddedilmiş, mahkemece önceki gerekçeler tekrar edilerek direnilmiş; hükmü davalılar vekili temyize getirmiştir. Hukuk Genel Kurulu önüne gelen uyuşmazlık; davalılar O. Y., H. ve M. A. tarafından yayına hazırlanan ve davalılardan A... Ltd. Şti. tarafından basılan 338

340 UNUTULMA HAKKINA İLİŞKİN YARGITAY HUKUK GENEL KURUL KARARI eserde yer alan kararda, davalının isminin rumuzlanmadan ve rızası alınmadan açık bir şekilde yazılmasının kişilik hakkında saldırı oluşturup oluşturmayacağı noktasında toplanmaktadır. ( ) İşin esasına gelince; uyuşmazlığın çözümünde etkili yasal mevzuata bakılacak olursa; ( ) Önümüze gelen sorunun temelinde unutulma hakkı ve bunun sonucu olan kişisel verilerin ve kişilik hakkının korunması ile bilim ve sanat hürriyetinin birbiri karşısında sınırlarının belirlenmesi yatmaktadır. Sorunun çözümünde dikkat edilmesi gereken husus, bilim ve sanat özgürlüğü ile bireyin temel hakları arasında adil bir dengenin kurulmasıdır. Kişisel veri belli veya belirlenebilir olan gerçek veya tüzel bir kişiye ilişkin her türlü bilgiyi ifade eder. Avrupa Birliği'nin 95/46/EC sayılı Bireylerin Kişisel Verilerinin İşlenmesi ve Serbestçe Dolaşımı Karşısında Korunmasına İlişkin Direktif'in 2/a ve Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair 108 sayılı Avrupa Konseyi Sözleşmesi'nin 2 ( a ) maddelerinde benzer tanımlama yer almaktadır. Kişisel verilerin korunması insan haklarıyla yakından ilişkilidir. Çünkü kişisel verilerin açıklanması öncelikle özel hayatın gizliliğini ihlal edilebileceği gibi bir takım diğer bağlantılı hakları da zarar görebilir. AİHS'de kişisel verilerle ilgili bir hüküm yoktur. Ancak mahkeme konuyla ilgili kararlarında kişisel veri içeriğini doldurmuştur. Hemen ifade edilmesi gerekir ki kişisel verinin sayısal olarak sınırlandırılması mümkün değildir. Ancak içtihatlar ve akademik yayınlar dikkate alındığında bireyin kimliğini ortaya çıkartan, bir kişiyi belirli kılan ve karakterize eden kişinin kimlik, ekonomik ve dijital bilgileri, tabiiyeti, kanaatleri, ırk, siyasî düşünce, felsefî inanç, din, mezhep veya diğer inançları, dernek, vakıf ve sendika üyeliği, sağlık bilgileri, fotoğrafları, parmak izi, sağlık verileri, telefon mesajları, telefon rehberi, 339

341 UNUTULMA HAKKINA İLİŞKİN YARGITAY HUKUK GENEL KURUL KARARI sosyal paylaşım sitelerinde yazdığı veya paylaştığı yazı, fotoğraf, ses veya görüntü kayıtlarıkişisel verileri olarak kabul edilebilir. Kişisel verilerin korunması, çağımızda, insan hakları kavramı ve korunması bilincinin gittikçe gelişmesine paralel olarak önemini artırmaktadır. Kişisel verilerin korunması hakkının temel amacı, bireyin özel yaşamının gizliliğinin güvence altına alınması yoluyla kişiyi korumaktır. Bilgi toplumunda giderek oldukça önemli bir konu haline gelen kişisel verilerin korunması hakkı, bireyin, demokratik bir hukuk devletinde özgür iradesiyle kendi yaşamını bizzat düzenleyebilmesinin bir gereği olarak karşımıza çıkmaktadır. Diğer taraftan bireyin kişiliğini serbestçe geliştirmesi, kişiliğinin korunması ve özgür bireylerden oluşan bir toplum düzeninin oluşturulması, ancak bireyin kişisel verilerine ilişkin hakkının korunmasıyla mümkündür. Bu hak yukarıda ifade edildiği üzere TC Anayasası'nın 20/2 maddesinde açık bir şekilde düzenlenmiştir. Unutulma hakkına gelince; unutulma hakkı ve bununla ilişkili olan gerektiği ölçüde ve en kısa süreliğine kişisel verilerin depolanması veya tutulması konuları, aslında kişisel verilerin korunması hakkının çatısını oluşturmaktadır. Her iki hakkın temelinde bireyin kişisel verileri üzerinde serbestçe tasarruf edebilmesini, geçmişin engeline takılmaksızın geleceğe yönelik plan yapabilmesini, kişisel verilerin kişi aleyhine kullanılmasının engellenmesini sağlamak yatmaktadır. Unutulma hakkı ile geçmişinde kendi iradesi ile veya üçüncü kişinin neden olduğu bir olay nedeni ile kişinin geleceğinin olumsuz bir şekilde etkilenmesinin engellenmesi sağlanmaktadır. Bireyin geçmişinde yaşadığı olumsuz etkilerden kurtularak geleceğini şekillendirebilmesi bireyin yararına olduğu gibi toplumun kalitesinin gelişmişlik seviyesinin yükselmesine etkisi de tartışılmazdır. Unutulma hakkı; üstün bir kamu yararı olmadığı sürece, dijital hafızada yer alan geçmişte yaşanılan olumsuz olayların bir süre sonra unutulmasını, 340

342 UNUTULMA HAKKINA İLİŞKİN YARGITAY HUKUK GENEL KURUL KARARI başkalarının bilmesini istemediği kişisel verilerin silinmesini ve yayılmasının önlemesini isteme hakkı olarak ifade edilebilir. Bu hak bir yandan kişiye geçmişini kontrol etme, belirli hususların geçmişinden silinmesini ve hatırlanmamayı isteme hakkı sağladığı gibi, diğer yandan muhataplarına kişi hakkındaki bir kısım bilgilerin üçüncü kişilerin kullanmamasını veya üçüncü kişilerin hatırlamamasına yönelik önlenmeleri alma yükümlülüğü yükler. Bu hakkın; bireylerin fotoğraf, internet günlüğü gibi kendileri hakkındaki içerikleri silmek için üçüncü şahısları zorlamayı içermesinin yanında geçmişteki cezalarına ilişkin bilgilerin veya haklarında olumsuz yorumlara neden olabilecek bilgi ve fotoğraflarının kaldırılmasını isteme hakkını tanıdığı kabul edilmektedir. Diğer taraftan bu hak, bireyin geçmişindeki belirli yönlerinin mümkün olmayacak biçimde hatırlanmaması için önlemler alınmasını gerektirmektedir. Avrupa İnsan Hakları Sözleşmesi ( AİHS )'nin 8. maddesinde yer alan özel yaşama saygı hakkı altında korunan mahremiyet hakkı nın, bireyin kendisi hakkındaki bilgileri kontrol edebilmesi şeklindeki hukuki çıkarlarını da içerdiği ifade edilmektedir. Zira bireyin kendisine ait herhangi bir bilginin, kendi rızası olmaksızın açıklanmaması, yayılmaması ve bu bilgilere başkalarının ulaşamaması kısacası kişisel verilerinin mahrem kalması konusunda hukuki menfaati bulunmaktadır. ( Gülay Arslan Öncü, Avrupa İnsan Hakları Sözleşmesinde Özel Yaşamın Korunması, Beta Yayınları, İstanbul 2011, s.182 ) Kişiye unutulma hakkının sağlanması ile birlikte özel hayatının gizliliği korunmuş olacaktır. Somut olaya bu kapsamda bakıldığında; davacı, kamu görevinin veya hizmet ilişkisinin sağladığı nüfuzu kötüye kullanarak, müteselsilen cinsel saldırı suçunun mağdurudur yılında gerçekleşen eylem tarihinde davacı bekâr olup maruz kaldığı eylem geleceği açısından etkilidir. Yapılan 341

343 UNUTULMA HAKKINA İLİŞKİN YARGITAY HUKUK GENEL KURUL KARARI yargılama sonunda kamu görevlisi olan sanık ceza almıştır. Temyiz istemi üzerine yapılan inceleme sonunda ise hüküm 2009 yılında onanmıştır. Mağdur davacı gerek hazırlık gerekse de yargılama sırasında cinsel saldırının nasıl gerçekleştiğini açık bir şekilde anlatmış, bu anlatımlar doğal olarak karar metnine geçirilmiştir. Karar mağdur ve sanığın ismi rumuzlanmadan 2010 yılı nisan ayında yayınlanan kitapta yer almıştır. Hemen ifade edilmelidir ki; davacının rızası dışında bir kitapta geçen ismi kişisel veri niteliğindedir. Ayrıca şunun da ifade edilmesi gereklidir ki; unutulma hakkı tanımlarına bakıldığında her ne kadar dijital veriler için düzenlenmiş ise de, bu hakkın özellikleri ve bu hakkın insan haklarıyla arasındaki ilişkisi dikkate alındığında; yalnızca dijital ortamdaki kişisel veriler için değil, kamunun kolayca ulaşabileceği yerde tutulan kişisel verilere yönelik olarak da kabul edilmesi gerektiği açıktır. Davacı, geçmişte yaşadığı kötü bir olayın toplum hafızasından silinmesini istemektedir. Unutulma hakkı ile geçmişindeki yaşanan talihsiz bir olayın unutularak geleceğini serbestçe şekillendirmek, diğer bir deyişle hayatında, yeni bir sayfa açma olanağı istemektedir. Kaldı ki, davacı da yargılama sırasında verdiği dilekçelerinde bu istem üzerinde ısrarla durmuştur. Davacı unutulma hakkı ile özel hayatına ilişkin kişisel verilerinin üçüncü kişiler tarafından bilinmemesini, aradan geçen süre nedeniyle toplum hafızasından silinmesini istemektedir. Bu bağlamda değerlendirildiğinde; 4 yıl önce gerçekleşen bir olayın mağduru olan kişinin adının açık bir şekilde yazılarak kitapta yer alması halinde unutulma hakkının bunun sonucunda da davacının özel hayatının gizliliğinin ihlal edildiği kabul edilmelidir. Avrupa Birliği Adalet Divanı'nın Google Kararı nda açıkladığı gibi ilgili verinin kamu hayatında oynadığı önemli rol ve halkın ilgili veriye yönelik yoğun ilgisi şeklinde, üstün bir kamu 342

344 UNUTULMA HAKKINA İLİŞKİN YARGITAY HUKUK GENEL KURUL KARARI yararını ortaya koyan özel sebepler bulunmadığına göre bilimsel esere alınan karardakişisel veriler açık bir şekilde yer almamalıdır. Görüşmeler sırasında azınlıkta kalan üyeler mahkeme kararlarında yer alan isimlerin rumuzlanmasına gerek olmadığını, yargılamanın istisnalar haricinde açık bir şekilde yapıldığını hükmün alenen tefhim edildiğini, bu nedenle özel hayatın gizliliğinin ihlal edilmediğini savunmuşlar ise bu görüş sorunun mahkeme kararlarında isimlerin rumuzlanmadan yer alması değil, kararların kitaba alınması sırasında rumuzlanması gerekip gerekmediği sorunu olduğu gerekçesi ile kurul çoğunluğu tarafından kabul edilmemiştir. O halde davacının isminin rumuzlanmadan kitapta yer almasının unutulma hakkını ve bunun neticesinde özel hayatın gizliliğini ihlal ettiği dikkate alındığında davacı lehine manevi tazminat koşullarının gerçekleştiğinin kabulü zorunludur. Ne var ki, Özel Dairece tazminat miktarı yönünden inceleme yapılmadığından bu yöne ilişkin temyiz itirazlarının incelenmesi için dosyanın Özel Daireye gönderilmesi gerekir. SONUÇ : Yukarıda yazılı gerekçelerle yerel mahkemenin direnme kararı yerinde bulunduğundan tazminat miktarı yönünden mahkemenin kurduğu hükme yönelik temyiz itirazlarının incelenmesi için dosyanın 4. Hukuk Dairesine gönderilmesine, gününde oyçokluğu ile karar verildi. 343

345

346 CEZA MEVZUATINDA KİŞİSEL VERİLERLE İLGİLİ BİR TANIM VE SINIRLANDIRMA YAPILMAMASININ SUÇTA VE CEZADA KANUNİLİK İLKESİNİ İHLAL ETMEDİĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI Anayasa Mahkemesi, 2015/32 E. 2015/102 K T tarihli sayılı Resmi Gazete de yayımlanmıştır. İTİRAZIN KONUSU: tarihli ve 5237 sayılı Türk Ceza Kanunu nun, tarihli ve 6526 sayılı Kanun un 4. maddesiyle değişik 136. maddesinin(1) numaralı fıkrasının, Anayasa nın 38. maddesine aykırılığı ileri sürülerek iptaline karar verilmesi talebidir. ( ) A- İtirazın Gerekçesi 3. Başvuru kararında özetle, ceza mevzuatında kişisel verilerle ilgili bir tanım ve sınırlandırma yapılmadığından, itiraz konusu kuralın suçta ve cezada kanunilik ve belirlilik ilkelerine ve Anayasa nın 38. maddesine aykırı olduğu ileri sürülmüştür. B- Anayasa ya Aykırılık Sorunu ( ) sayılı Kanun un Kişisel verilerin kaydedilmesi başlıklı 135. maddesinin gerekçesinde, gerçek kişiyle ilgili her türlü bilginin kişisel veri olarak kabul edilmesi gerektiği belirtilmiştir. Ayrıca, Kanun un 134. ilâ 139. maddeleri arasında kişisel verilerin korunmasına yönelik hükümler yer almaktadır. Söz konusu maddelerde kişisel verilerin açık bir tanımı yer almamakla birlikte kişisel verilere yönelik olarak kişilerin özel hayatına ilişkin görüntü veya sesler, siyasi, felsefi veya dini görüş, ırki köken, ahlaki eğilim, cinsel yaşam, sağlık durumu ve sendikal bağlantılar gibi kavramlara yer verilmektedir. 345

347 CEZA MEVZUATINDA KİŞİSEL VERİLERLE İLGİLİ BİR TANIM VE SINIRLANDIRMA YAPILMAMASININ SUÇTA VE CEZADA KANUNİLİK İLKESİNİ İHLAL ETMEDİĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI 9. Anayasa Mahkemesinin kararlarında da belirtildiği üzere, kişisel veri, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir (E.2013/122, K.2014/74, ; E.2014/149, K.2014/151, ; E.2013/84, K.2014/183, ; E.2014/74, K.2014/201, ; E.2014/180, K.2015/30, ). 10. Türkiye nin imzaladığı ancak uygulama kanununun yürürlüğe konmaması nedeniyle henüz taraf olmadığı 1981 tarihli ve 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Avrupa Konseyi Sözleşmesi nin 2. maddesinde kişisel veri, kimliği belirli veya belirlenebilecek verinin öznesi olan gerçek kişiyle ilgili tüm bilgiler şeklinde tanımlanmaktadır. Sözleşme nin özellikli veri kategorileri başlıklı 6. maddesinde ise iç hukukta uygun güvenceler sağlanmadıkça, ırk menşeini, politik düşünceleri, dinî veya diğer inançları ortaya koyan kişisel nitelikteki verilerle sağlık veya cinsel yaşamla ilgili kişisel nitelikteki veriler ve ceza mahkûmiyetleri, otomatik bilgi işlemine tâbi tutulamazlar demek suretiyle söz konusu verilerin kişisel veri kapsamında olduğunu belirlemektedir. Ekonomik Kalkınma ve İşbirliği Örgütü nün (OECD) yayınladığı Kişisel Verilerin Korunması Rehber İlkeleri nde kişisel veri, belirli veya belirlenebilir bir gerçek kişiye ilişkin tüm bilgiler şeklinde tanımlanmaktadır. Avrupa Birliği nin 95/46/EC sayılı Veri Koruma Direktifi nin 2. maddesinde de kişisel veri, belirli ya da kimliği belirlenebilir gerçek kişi ile ilişkilendirilebilen her türlü bilgi şeklinde tanımlandıktan sonra bir kişinin 346

348 CEZA MEVZUATINDA KİŞİSEL VERİLERLE İLGİLİ BİR TANIM VE SINIRLANDIRMA YAPILMAMASININ SUÇTA VE CEZADA KANUNİLİK İLKESİNİ İHLAL ETMEDİĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI doğrudan veya dolaylı olarak tanımlanabilmesine imkân sağlayan kişinin kimlik numarası, fiziksel, psikolojik, duygusal, ekonomik ve kültürel kimliği veya sosyal kimliğin nin bu kapsamda değerlendirildiği ifade edilmektedir. 11. Kişisel veri kavramı tarafı olduğumuz Avrupa İnsan Hakları Sözleşmesi nde (AİHS) açık bir şekilde düzenlenmemekle birlikte, Sözleşme nin uygulanmasına ilişkin Avrupa İnsan Hakları Mahkemesi (AİHM) kararlarında Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına Dair Sözleşme ye atıfta bulunulmakta ve bu verilerin özel yaşamın gizliliğinin bir parçası olduğu kabul edilmektedir. AİHM kararlarında kişilere ait görüntü, fotoğraf, parmak izi, DNA profili, hücre örnekleri, ev adresi ve yaş, doğum tarihi ve fiziksel özellikler kişisel veri kapsamında değerlendirilmektedir (Peck/Birleşik Krallık, B.No: 44647/98, ; Sciacca/İtalya, B.No:50774/99, ; S. ve Marper/Birleşik Krallık, (Büyük Daire), B.No: 30562/04, 30566/04, ; Alkaya/Türkiye, B.No:42811/06, ; K.U./Finlandiya, B.No:2872/02, ). 12. İtiraz konusu kuralla, kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağı düzenlenmiştir. Kanun koyucunun kuralla, gerekçede de ifade edildiği gibi Anayasa nın 20. maddesi ile güvence altına alınan kişisel verilerin ve özel hayatın daha etkin bir şekilde korunmasını sağlamayı amaçladığı anlaşılmaktadır. Zira kişisel verilerin korunması hakkı, kişinin insan onurunun korunması ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, kişisel verilerin işlenmesi sırasında bireyin hak ve özgürlüklerini korumayı amaçlamaktadır. 13. Kuralda yer alan kişisel veri kavramı teknolojik gelişmelere bağlı olarak çok farklı şekillerde ortaya çıkabileceğinden bu kapsama giren tüm verilerin kanun koyucu tarafından önceden öngörülebilmesi ve tek tek sayılabilmesi 347

349 CEZA MEVZUATINDA KİŞİSEL VERİLERLE İLGİLİ BİR TANIM VE SINIRLANDIRMA YAPILMAMASININ SUÇTA VE CEZADA KANUNİLİK İLKESİNİ İHLAL ETMEDİĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI mümkün değildir. Bununla birlikte gerek ulusal ve uluslararası mevzuat gerekse yargı içtihatları çerçevesinde kişisel veri kavramının, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade ettiği kabul edilmektedir. 14. Kişisel veri kavramının bu çerçevede doktrin, uygulama ve yargı kararlarında belirlenerek anlam ve içeriğinin gelişip değişeceğinde kuşku yoktur. Dolayısıyla başvuru kararında her ne kadar ceza mevzuatında kişisel veri ile ilgili bir tanım ve sınırlandırmanın yapılmadığı, bu nedenle itiraz konusu kuralın belirsiz olduğu ileri sürülmüş ise de ulusal ve uluslararası mevzuat ile yargı içtihatları dikkate alındığında kuralın belirsiz olduğundan söz edilemeyeceği açıktır. Ayrıca itiraz konusu kuralla kişisel verileri, hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme eylemi suç olarak kabul edilmekte ve bu eylem nedeniyle verilecek ceza kuralda açıkça belirlendiğinden kuralla hangi somut eylem ve olguya hangi hukuksal yaptırımın bağlandığı açıkça ortaya konulmaktadır. Dolayısıyla itiraz konusu kuralda suçta ve cezada kanunilik ilkesi ile özel hayatın gizliliği ilkesine aykırılık bulunmamaktadır. 15. Açıklanan nedenlerle kural, Anayasa nın 20. ve 38. maddelerine aykırı değildir. İptal talebinin reddi gerekir. IV- HÜKÜM tarihli ve 5237 sayılı Türk Ceza Kanunu nun, tarihli ve 6526 sayılı Kanun un 4. maddesiyle değiştirilen 136. maddesinin(1) numaralı fıkrasının Anayasa ya aykırı olmadığına ve itirazın REDDİNE, tarihinde OYBİRLİĞİYLE karar verildi. 348

350 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI Ömür Kara ve O nursal Özbek Başvurusu Başvuru No: 2013/4825, Karar Tarihi: 24/03/2016 I. BAŞVURUNUN KONUSU 1. Başvuru, özel bir şirket bünyesinde çalışan başvurucuların mahremiyete ilişkin yazışmalar içeren kurumsal e-posta hesaplarının işveren tarafından incelenmesi ve bu yazışmaların işe iade davasında delil olarak kullanılması nedenleriyle özel hayata saygı ve haberleşmenin gizliliği haklarının ihlal edildiği iddialarına ilişkindir. II. BAŞVURU SÜRECİ 2. Başvuru 27/6/2013 tarihinde Bakırköy 8. İş Mahkemesi vasıtasıyla yapılmıştır. Başvuru formu ve eklerinin idari yönden yapılan ön incelemesi neticesinde başvurunun Komisyona sunulmasına engel teşkil edecek bir eksikliğinin bulunmadığı tespit edilmiştir. 3. İkinci Bölüm Üçüncü Komisyonunca başvurunun kabul edilebilirlik incelemesinin Bölüm tarafından yapılmasına karar verilmiştir. 4. Bölüm tarafından 18/2/2014 tarihinde, başvurunun kabul edilebilirlik ve esas incelemesinin birlikte yapılmasına karar verilmiştir. 5. Konu bakımından irtibat nedeniyle 2013/5442 numaralı başvurunun 2013/4825 numaralı başvuru üzerinde birleştirilmesine ve incelemenin bu dosya üzerinden yapılmasına karar verilmiştir. 6. Başvuru belgelerinin bir örneği 2013/5442 numaralı başvuru dosyası üzerinden bilgi için Adalet Bakanlığına (Bakanlık) gönderilmiştir. Bakanlık, görüşünü 21/4/2014 tarihinde Anayasa Mahkemesine sunmuştur. 349

351 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI 7. Bakanlık tarafından Anayasa Mahkemesine sunulan görüş 29/4/2014 tarihinde başvuruculara tebliğ edilmiştir. Başvurucular, Bakanlığın görüşüne karşı beyanlarını 14/5/2014 tarihinde ibraz etmiştir. III. OLAY VE OLGULAR A. Olaylar 8. Başvuru formu ve eklerinde ifade edildiği şekliyle ilgili olaylar özetle şöyledir: 9. Birinci başvurucu 1/3/2010 tarihinde imzaladığı iş sözleşmesi ile, ikinci başvurucu 11/4/2011 tarihinde imzaladığı iş sözleşmesi ile işveren T. Ticaret A.Ş. (Şirket) bünyesinde işçi statüsünde çalışmaya başlamıştır. 10. Anılan iş sözleşmelerinin "Özel Şartlar" başlıklı bölümünde "13.8. Personel, işyerinde yürürlükte olan tüm Yönetmelik, iç Tüzük, Prosedür ve talimatlara uymakla yükümlüdür. ", " İşyerinde uyulması gereken kurallara ilişkin iç tüzük, yönetmelik, oryantasyon kitapçığı, hükümler ve seyahat yönetmeliği, talimatlar, prosedürler, iş bu iş akdinin ayrılmaz eki ve parçasıdır. " şeklinde ifadelere yer verilerek yönetmelik ile diğer düzenlemeler iş sözleşmelerinin bir parçası olarak belirlenmiş ve bu düzenlemelere uygun davranmak konusunda başvurucular ve işveren karşılıklı taahhüt altına girmişlerdir. 11. Bu kapsamda Şirket Temel Yönetmeliği'nin "İşyerleri içerisinde, temel ahlaki kurallara uyulması ve yanlış anlaşılacak davranış ve ilişkilerden kaçınılması " başlıklı 20. maddesinde yer alan "Eşit veya ast/üst pozisyonlarda çalışan personel, hem eşitleri hem de üst veya astları ile karşılıklı saygıya dayanan mesafeli ve profesyonel bir ilişki kurmalı, özel yaşamlarını, birbirlerine açacak kadar samimi olmaktan kaçınılmalı, özel dostluklarını tercihen şirket dışındaki arkadaşları ile oluşturmalı" şeklindeki düzenleme, anılan iş sözleşmelerinin bir parçası kabul edilerek her iki başvurucu tarafından imzalanmıştır. Yine iş sözleşmelerinin devamı olarak kabul edilen 350

352 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI Bilgi Güvenliği Taahhütnamesi'nin 2. maddesinde yer alan "Şirket tarafından çalışanlara iş için tahsis edilmiş olan bilgisayar, e-posta, internet kullanımı, telefon, USB memory, CD-writer, iletişim programı ve diğer İT kaynaklarını ve iletişim araçlarını zaruri ihtiyaçları aşan ölçüde kişisel amaçlı, kabul edilemez maksatlı, eğlence niyetli, genel ahlaka, örf ve adetlere aykırı şekilde kullanılmayacağı" şeklindeki taahhüt ile 6. maddesinde yer alan "Yetkili şirket yöneticileri tarafından çalışanlara herhangi bir haber verilmeksizin ve uyarıda bulunulmaksızın; kullandıkları İT ve iletişim kaynaklarının her zaman takip altında tutulabileceği, yaptıkları yazışmaların ve iletişim kayıtlarının yedeklenebileceği, raporlanabileceği, gerekli durumlarda detay bazlı incelenebileceği, el konulabileceğini ve kullanım sınırlaması getirilebileceği" şeklindeki taahhütleri içeren düzenlemeler de başvurucular tarafından imzalanmıştır /5/2012 tarihinde işveren Şirketin yöneticilerinin başvurucularla yaptıkları görüşmede, ikinci başvurucunun eşinin Şirket üst yöneticisini ziyaret ederek başvurucular arasında duygusal bir ilişki bulunduğunu belirttiği ve buna kanıt olarak başvuruculara ait e-posta yazışmalarının bir suretini Şirket yönetimine verdiği dile getirilmiştir. Ayrıca bu nedenle işverenin artık başvurucularla çalışmak istemediği, istifa edebilecekleri ya da karşılıklı anlaşma yoluna gidilebileceği, aksi takdirde iş sözleşmelerinin işveren tarafından feshedileceği ifade edilmiştir. Başvurucular, duygusal ilişki yaşadıkları iddiasını reddetmişler ve iş sözleşmelerinin feshini gerektirecek bir neden bulunmadığım belirtmişlerdir. Anılan görüşme sonrasında iş yerinde kullanım amaçlı olarak başvuruculara tahsis edilen bilgisayarlar işveren tarafından kapatılmıştır. Ayrıca aynı gün talepleri üzerine başvuruculara yıllık izin verilmiştir. 13. Başvurucuların iş sözleşmeleri 22/5/2003 tarihli ve 4857 sayılı İş Kanunu'nun 25. maddesinde yer alan "Ahlak ve iyiniyet kurallarına uymayan 351

353 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI haller ve benzerleri " başlıklı (II) numaralı bendi gereğince 21/5/2012 tarihinde işveren tarafından feshedilmiştir. 14. Başvurucular; ikinci başvurucu ile eşi arasında boşanma davasının devam ettiğini, haklarında dile getirilen beyanların bir iftiradan ibaret olduğunu, özel hayatlarının gizliliği ve haberleşme hürriyetleri yok sayılarak kişisel e-posta hesaplarının incelendiğini, ve bu hesaplardan elde edilen yazışmaların içerikleri üzerinden ulaşılan "evlilik dışı ilişki yaşadıkları" şeklindeki varsayım gerekçe gösterilerek iş sözleşmelerinin haksız yere feshedildiğini ileri sürerek 20/6/2012 tarihinde işveren şirket aleyhine işe iade istemli tespit davası açmışlardır. 15. Söz konusu davalar Bakırköy 12. İş Mahkemesinin 2012/279 ve 2012/280 Esas sıralarına kaydedilmiştir. 16. Davalı işveren tarafından sunulan cevap dilekçesinde, başvurucuların iş sözleşmelerinin yalnızca ikinci başvurucunun eşinin tek taraflı beyanları üzerine feshedilmediği, başvurucuların özel hayat alanlarının dışında kalan ve Şirketin işleyişini ilgilendiren iddiaların araştırılması için başvurucuların kullanımına tahsis edilen ancak mülkiyeti Şirkete ait olan bilgisayarların sınırlı şekilde incelendiği, iddiaları destekleyen ve iş sözleşmelerinin devamını çekilmez kılan hususların bulunduğu, iddiaları doğrulayacak şekilde başvurucuların karşılıklı olarak e-posta hesapları üzerinden yazıştıklarının tespit edildiği, bu yazışmalann müstehcenlik unsurları taşıdığı, tüm bu hususların iş sözleşmesi ile iş sözleşmesinin parçası olan Şirket içindeki diğer düzenlemelere aykırılıklar oluşturduğu belirtilmiş ve söz konu yazışmaların içerikleri Mahkemeye delil olarak sunulmuştur /279 Esas sıra sayılı davada, davalı Şirket çalışanları tarafından Mahkeme huzurunda tanık sıfatıyla verilen ifadelerin ilgili kısımları şöyledir: "... ben 2005 yılından bu yana davalı işyerinde çalışmaktayım, ben Uluslararası mağazacılık insan kaynakları direktörü olarak davalı işyerinde 352

354 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI çalışmaktayım, davacı firmanın avukatıydı, fesih öncesinde 3-4 ay öncesinde davacı ve Ö. Hanım aralarında yakınlık olduğu konusunda birkaç duyum aldım, aralarındaki ilişkinin profesyonelliğin ötesinde yorumlandığını gördüm, bu konuda davacı ve Ö. Hanımı bilgilendirdim, onlarda böyle bir ilişkinin olmadığını söylediler, davacı Ö.K. 'nın çalıştığı bölüm kapanmadı, grup içerisinde organizasyonda değişiklik oldu, bu değişikli O.Ö.'i ilgilendirdi, V. beyle O.Ö. in eşi İ.Ö. bu konuda görüşmüş bunu bana yönetim kurulu başkanı V. Bey söyledi, bilgi işlem vasıtasıyla davacının ini özel amaçlı kullanıp kullanmadığı konusunda araştırma yaptık, gerçekten de belirtilen e- mailler bilgisayar kayıtlarında mevcuttur,... davacı ile Ö. hanım arasında iş ilişkisinden farklı bir ilişki olduğuna dair diğer birimlerde çalışan kişilerden işyerinde bu kadar uzun mola nasıl yapılabiliyor. Hep aynı 2 kişinin işyerinde dikkat çekici şekilde her molada sürekli birlikte olmalarının dikkat çektiği hususunda bana bilgi verildi. Ben kendileri ile görüştüğümde reddettiler. Buna ilişkin olarak genel müdürümüzün de bana uyarısı olmuştur. Bu durumun dışında davacının işyerindeki performansı veya çalışmasına ilişkin herhangi bir olumsuzluk bana iletilmedi. İşyerinde davacının evli olması sebebiyle bize bu konuyu bilmeniz gerekir şeklinde uyarılar gelmişti. Davacı vekilinin talebi üzerine soruldu: davacı ile Ö. hanım arasındaki diyalogun liseli aşıklar şeklinde benzetme ile bana iletilmişti dedi. " "... ben 2003 yılından bu yana davalı işyerinde çalışmaktayım, ben Uluslararası genişleme direktörü olarak davalı işyerinde çalışmaktayım, davacı firmanın avukatıydı, davacı ve Ömür Hanım mesai saatlerinin arasında mola zamanlarında normal mesai arkadaşlarından daha fazla vakit geçirmekte idiler, davacının işi aksatacak şekilde mesai saatleri içerisinde davranışlarına tanık olmadım. " "Ben ekim 2011 ayı ile ocak 2013 ayı arasında davalı işyerinde personel ve özlük işleri müdürü olarak çalıştım, benim işyerine karşı açılmış herhangi bir davamyoktur. Davacı firmanın avukatıydı. Bildiğim kadarıyla şu an davacının 353

355 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI çalıştığı bölüm faaliyet göstermemektedir, ben sadece fesih sürecinde yer aldım bunun dışında tam bilgim yoktur, fesih öncesinde feshe, daha sonra ek olarak sunulan yazışmaları ve diğer belgeler nedeniyle davacı ve Ömür Hanımın iş akdi feshedildi. " "O.Ö. benim eski eşim olur, işyerinden ortak arkadaşlarımla davacı ile eşim arasında yakınlık olduğunu duydum, ayrıca birbirlerine göndermiş oldukları leri gördüm, bunun üzerine yönetim kurulu başkanı V. Bey ile görüştüm, diğer yönetici ve avukatlarıyla görüşüp durumu değerlendireceğini söyledi, benim gerekçelerimle hareket etmeyeceğini söyledi, gerekli araştırma yapıldıktan sonra işlem yapılacağını söyledi, daha sonra dan iş akitlerinin feshedildiğini öğrendim, evliliğin bitmesine bu neden olmuştur iki tarafla da görüşmeme rağmen sonuç alamadım dedi. " "Ağustos 2011 ve temmuz 2012 tarihleri arasında davalı işyerinde Uluslar arası finansal kiralama ve sözleşme uzmanı olarak çalıştım, davacı firmanın avukatıydı. Davacı ile Ö. Hanım arasında yakınlık konusunda herhangi bir bilgim yoktur, davacının çalıştığı bölüm kapatılmadı, O.Ö. bana Ö.K. ile beraberliği nedeniyle iş akdinin feshedildiğini, eşinin lerini kırıp e- mailleri V. beye gösterdiğini söyledi, bir daha işyerinde çalışmak istemediğini söyledi, her zaman dikkat çekecek şekilde Ö.K. ile beraberliği yoktu, herkese karşı sıcak davranmaktadır, ben hiçbir farklılık görmedim, davacı hakkında daha önce fesih konusunda araştırma yapılıp yapılmadığını bilmiyorum.. " /280 Esas Sıra sayılı davada verilen tanık ifadeleri de aynı doğrultudadır. 19. Birinci başvurucu açısından Bakırköy 12. İş Mahkemesinin 8/2/2013 tarihli ve E.2012/280, K.2013/76 sayılı kararı ile; ikinci başvurucu açısından Bakırköy 12. İş Mahkemesinin 7/3/2013 tarihli ve E.2012/279, K.2013/129 sayılı kararı ile davaların reddine karar verilmiştir /2/2013 tarihli kararın gerekçesi şöyledir: 354

356 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI "... Davacının hizmet cetveli, işyeri özlük dosyası dosyaya celb edilmiştir. Dava ile ilgili olarak davacı ve davalı tanıklarının beyanları alınmıştır. Dosyanın incelenmesinden; davacının iş akdinin 4857 sayılı Kanunun 25/2. maddesi gereğince feshedildiği, davacı ile O.Ö. arasındaki lerin dosyaya ibraz edildiği, şirketin kendisine tahsis edilen adresinden mesai saatleri içerisinde özel amaçlı olarak gönderilmesi ve kabul edilmesinin doğruluk ve bağlılıkla bağdaşmayan eylem niteliğinde olduğu, davacı ve O. Ö. arasındaki yakınlaşma nedeniyle, aynı zamanda O.Ö. k in eşinin işyerine gelip şikayetçi olması nedeniyle de şirket açısından iş akdinin devamının imkansız hale geldiği nazara alınarak davanın reddine karar vermek gerekmiştir" /3/2013 tarihli kararın gerekçesi ise şöyledir: "... Mahkememizce davacının hizmet cetveli, işyeri özlük dosyası getirtilip incelenmiş, davacı ve davalı tanıkları dinlenmiştir. Davalı tarafından sunulan, şirketçe tahsis edilmiş adresinden yapılan yazışmaların içeriği davacı tarafından kabul edilmiştir. Tüm dosya kapsamı, yazışmaları, tanıkların beyanları birlikte değerlendirildiğinde; evli olan davacının işyerinde bir bayan işçi ile gönül ilişkisine girmesi sonrası, davacı eşinin işyerine geldiği ve durumu yöneticilere ilettiği, bu nedenle işyerinde olumsuzluklar yaşandığı ve bu olumsuzlukların davacının davranışından kaynaklandığı, işverenin zor durumda kaldığı ve işveren açısından iş ilişkisinin sürdürülmesi olanağı kalmadığı anlaşıldığından davanın reddine karar vermek gerekli ve uygun görülmüştür. " 22. Kişisel hesaplar üzerinden gerçekleştirilen yazışmalardan oluşan e- postalarm fesih gerekçesi olarak gösterilmesiyle özel hayatın gizliliğinin ihlal edildiği, buna rağmen söz konusu delil içeriklerinin Mahkemece değerlendirildiği ve yalnızca bu hukuka aykırı deliller esas alınarak hüküm 355

357 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI kurulduğu, performans ve verimliliğe ilişkin tanık ifadelerinin dikkate alınmadığı, özel hayat alanına yönelen haksız müdahalenin Mahkemece benimsendiği, işe iade davalarının kabulü gerekirken şartları oluşmadığı halde reddedildiği ileri sürülmüş ve söz konusu kararlar bozma talebiyle başvurucuların vekilince temyiz edilmiştir. 23. Temyiz nedenlerine karşı cevap dilekçesi sunan davalı işveren vekilince, yazışmaların Şirket tarafından çalışanlar adına açılmış e-posta hesapları üzerinden gerçekleştirildiği, bu hesapların yalnızca iş amaçlı kullanılması yönünde başvuruculara gerekli uyarıların yapıldığı, buna rağmen yazışmaların içeriğinde adap ve ahlaka aykırı unsurlar içeren yazılar ve resimler bulunduğu, lehe tanık ifadeleri ve tüm bu saptamalar dikkate alındığında birinci başvurucu ile fesih sürecinde evli olan ikinci başvurucu arasında duygusal bir ilişkinin bulunduğu, bu nedenlerle davacıların iş sözleşmelerinin devamının çekilmez hale geldiği ileri sürülmüş ve söz konusu kararların onamnası talep edilmiştir. 24. Temyiz incelemesi neticesinde delillerin takdirinde isabetsizlik bulunmadığı gerekçesiyle birinci başvurucu açısından Yargıtay 22. Hukuk Dairesinin 30/4/2013 tarihli ve E.2013/6232, K.2013/9082 sayılı ilamı ile; ikinci başvurucu açısından yine Dairenin 16/5/2013 tarihli ve E.2013/9419, K.2013/11237 sayılı ilamı ile kararlar onanarak kesinleşmiştir /4/2013 tarihli nihai karar 29/5/2013 tarihinde başvurucuların vekiline tebliğ edilmiş ve 27/6/2013 tarihinde bireysel başvuru yapılmıştır sayılı Kanun'un "İşverenin haklı nedenle derhal fesih hakkı" kenar başlıklı 25. maddesinin ilgili kısımları şöyledir: "Süresi belirli olsun veya olmasın işveren, aşağıda yazılı hallerde iş sözleşmesini sürenin bitiminden önce veya bildirim süresini beklemeksizin feshedebilir: II- Ahlak ve iyi niyet kurallarına uymayan haller ve benzerleri: 356

358 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI b) İşçinin, işveren yahut bunların aile üyelerinden birinin şeref ve namusuna dokunacak sözler sarfetmesi veya davranışlarda bulunması, yahut işveren hakkında şeref ve haysiyet kırıcı asılsız ihbar ve isnadlarda bulunması. c) İşçinin işverenin başka bir işçisine cinsel tacizde bulunması. d) İşçinin işverene yahut onun ailesi üyelerinden birine yahut işverenin başka işçisine sataşması, işyerine sarhoş yahut uyuşturucu MADDE almış olarak gelmesi ya da işyerinde bu maddeleri kullanması. e) İşçinin, işverenin güvenini kötüye kullanmak, hırsızlık yapmak, işverenin meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan davranışlarda bulunması. h) işçinin yapmakla ödevli bulunduğu görevleri kendisine hatırlatıldığı halde yapmamakta ısrar etmesi. III- Zorlayıcı sebepler: işçiyi işyerinde bir haftadan fazla süre ile çalışmaktan alıkoyan zorlayıcı bir sebebin ortaya çıkması. 27. Başvurucular tarafından imzalanan iş sözleşmelerinin "Özel Şartlar" başlıklı bölümünde yer alan ilgili düzenleme şöyledir: "13.8. Personel, işyerinde yürürlükte olan tüm Yönetmelik, İç Tüzük, Prosedür ve talimatlara uymakla yükümlüdür İşyerinde uyulması gereken kurallara ilişkin iç tüzük, yönetmelik, oryantasyon kitapçığı, hükümler ve seyahat yönetmeliği, talimatlar, prosedürler, iş bu iş akdinin ayrılmaz eki ve parçasıdır. " 28. Şirket Temel Yönetmeliği'nin "İşyerleri içerisinde, temel ahlaki kurallara uyulması ve yanlış anlaşılacak davranış ve ilişkilerden kaçınılması " başlıklı 20. maddesi şöyledir: 357

359 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI "Eşit veya ast/üst pozisyonlarda çalışan personel, hem eşitleri hem de üst veya astları ile karşılıklı saygıya dayanan mesafeli ve profesyonel bir ilişki kurmalı, özel yaşamlarını, birbirlerine açacak kadar samimi olmaktan kaçınılmalı, özel dostluklarını tercihen şirket dışındaki arkadaşları ile oluşturmalı. (Eşitler veya ast/üst arasındaki aşırı samimiyet, duygusallığı öne çıkarıp, profesyonellikten uzaklaştıracağı için günlük iş ilişkilerinde, performans değerlendirmede ve ileride oluşabilecek terfi sonrası otorite kurmada, zaaflara neden olabilecektir.) " 29. Başvurucular tarafından imzalanan Bilgi Güvenliği Taahhütnamesinin ilgili kısımları şöyledir: "Çalışanı olduğum Şirketin faaliyetleri kapsamında; 2. Şirket tarafından şahsıma iş için tahsis edilmiş olan bilgisayar, e-posta, internet kullanımı, telefon, USB memory, CD-writer, iletişim programı ve diğer IT kaynaklarını ve iletişim araçlarını zaruri ihtiyaçları aşan ölçüde kişisel amaçlı, kabul edilemez maksatlı (örn: yasal olmayan kopyalama, iş yürütme, iş araştırma, izinsiz yazılım kurulumu, kullanımı v.b.), eğlence niyetli(örn: çevrimiçi topluluklara, sohbet odalarına, forumlara katılım, toplu gönderimi, müzik sitelerine giriş v.b.), genel ahlaka, örf ve adetlere aykırı şekilde (örn: cinsel içerikli materyallere erişim, taciz, kumar, bahis amaçlı) kullanmayacağımı, 6. Yetkili şirket yöneticileri tarafından şahsıma herhangi bir haber verilmeksizin ve uyarıda bulunulmaksızın; kullandığım IT ve iletişim kaynaklarının her zaman takip altında tutulabileceğini, yaptığım yazışmaların ve iletişim kayıtlarının yedeklenebileceğini, raporlanabileceğini, gerekli durumlarda detay bazlı incelenebileceğini, el konulabileceğini ve kullanım sınırlaması getirilebileceğini,... kabul ve taahhüt ediyorum.... iş bu taahhütname tarafımdan okunarak imzalanmıştır. " 358

360 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI IV. İNCELEME VE GEREKÇE 30. Mahkemenin 24/3/2016 tarihinde yapmış olduğu toplantıda başvuru incelenip gereği düşünüldü: A. Başvurucunun İddiaları 31. Başvurucular; kişisel e-posta hesaplan üzerinden gerçekleştirdikleri yazışmaların içeriklerine işveren tarafından nzaları olmaksızın ulaşıldığını, bu içerikler dikkate alınarak devamının çekilmez hale geldiği gerekçesiyle iş sözleşmelerinin feshedildiğini, açtıkları işe iade istemli tespit davasında söz konusu yazışmaların delil olarak kabul edildiğini, elde ediliş biçimleri dikkate alınmaksızın e-posta içeriklerini inceleyip değerlendiren Mahkemece feshin hukuka uygun olduğuna karar verildiğini, ikinci başvurucunun eski eşinin tanık sıfatıyla Mahkeme huzurunda dinlenmesi ile söz konusu davanın özel hayatlarının detayları üzerinden devam eden bir davaya büründüğünü, Mahkeme tarafından özel hayatlarına ilişkin yazışmaların bu şekilde alenileştirildiğini, üçüncü kişiler tarafından özel hayat alanlarına yapılan haksız müdahale karşısında Mahkemece bir korunma sağlanmadığını ve dava sürecinde dile getirdikleri düşüncelerin sorgulandığını belirterek Anayasa'nın 20., 22. ve 25. maddelerinde tanımlanan haklarının ihlal edildiğini iddia etmişlerdir. 32. Anayasa Mahkemesi, olayların başvurucu tarafından yapılan hukuki nitelendirmesi ile bağlı olmayıp olay ve olguların hukuki tavsifini kendisi takdir eder (Tahir Catian,B.No: 2012/969, 18/9/2013, 16). 33. Bakanlık görüş yazısında, delillerin takdirine ilişkin şikayetlerin yargılamanın adil olup olmadığının değerlendirilmesinden ibaret olduğu, bu nedenle adil yargılanma hakkı bağlamında incelenmesi gerektiği, buna ilişkin görüşlerin benzer nitelikteki şikayetlerin bulunduğu başvurularda sunulduğu belirtilmiştir. Ayrıca davalı işverenin davranışları yönünden yapılan değerlendirmede, davalı Şirket aleyhine tazminat davası açılabileceği ve ilgili 359

361 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI kişiler hakkında suç duyurusunda bulunulabileceği dikkate alınarak başvuru yollarının tüketilip tüketilmediği açısından inceleme yapılması gerektiği, özel yazışmaların davalarda kullanılması yönünden yapılan değerlendirmede ise özel hayatın kapsamı ile fesih işlemi arasındaki ilişkinin incelenmesi ve özel hayata saygı hakkının kamusal makamlara tedbirler alma yükümlülüğü yükleyip yüklemediği açısından inceleme yapılması gerektiği ifade edilmiş; Avrupa insan Hakları Mahkemesi (AİHM) önüne benzer ihlal iddialarıyla yansıyan dava ve karar örneklerine yer verilmiştir. 34. Başvurucular tarafından Bakanlık görüşüne karşı verilen beyanda, ihlal iddialarının yargılamanın adil olup olmadığı hususuna değil, özel hayata saygı hakkına ve haberleşmenin gizliliğine ilişkin olduğu belirtilmiş ve başvuru dilekçelerindeki görüş ve talepler tekrar edilmiştir. 35. Söz konusu iddiaların özünün, başvurucuların özel hayat alanlarına üçüncü kişilerin yaptığı müdahalelere karşı Mahkemeler tarafından bir koruma sağlanmaması ve kişisel yazışmaların Mahkemelerce delil olarak kabul edilip alenileştirilmesi hususunda olduğu anlaşıldığından incelemenin delillerin değerlendirilmesinin adil olup olmadığı yönünden değil, iddiaların özüne uygun olarak özel hayata saygı hakkı ile haberleşmenin gizliliği hakkı yönünden yapılması gerektiği değerlendirilmiştir. 1. Kabul Edilebilirlik Yönünden 36. Başvurucular tarafından açılan işe iade davalarının gerekçesi, iş sözleşmelerinin feshedilmesine dayanak olarak gösterilen kurumsal e-posta hesaplarının incelenmesiyle elde edilen yazışmalar nedeniyle özel hayata saygı hakkı ile haberleşme hürriyetlerinin ihlal edilmesi, bunun da fesih işlemlerini hükümsüz kılmasıdır. Dolayısıyla haberleşmelerin denetlenmesi şeklindeki işverenin müdahalesine ilişkin şikayetlerin Derece Mahkemeleri önünde dile getirildiği sonucuna ulaşılmaktadır. 360

362 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI 37. Açıkça dayanaktan yoksun olmadığı ve kabul edilemezliğine karar verilmesini gerektirecek başka bir neden de bulunmadığı anlaşılan özel hayata saygı hakkı ile haberleşmenin gizliliği hakkının ihlal edildiğine ilişkin iddianın kabul edilebilir olduğuna karar verilmesi gerekir. 2. Esas Yönünden 38. Başvurucular esas olarak üçüncü kişilerin müdahalesi karşısında özel hayat alanlarının Mahkemelerce korunmadığını ve kişisel yazışmalarının Mahkemelerce delil olarak kabul edilip alenileştirildiğini, bu nedenle Anayasa'nın 20. ve 22. maddelerinde tanımlanan haklarının ihlal edildiğini ileri sürmüşlerdir. 39. Anayasa'nın 148. maddesinin üçüncü fıkrası ile 6216 sayılı Kanun'un 45. maddesinin(1) numaralı fıkrası hükümlerine göre Anayasa Mahkemesine yapılan bir bireysel başvurunun esasının incelenebilmesi için kamu gücü tarafından müdahale edildiği iddia edilen hakkın, Anayasa'da güvence altına alınmış olmasının yanı sıra Sözleşme ve Türkiye'nin taraf olduğu ek protokollerinin kapsamına girmesi gerekir. Bir başka ifadeyle Anayasa ve Sözleşme'nin ortak koruma alanı dışında kalan bir hak ihlali iddiasını içeren başvurunun kabul edilebilir olduğuna karar verilmesi mümkün değildir (ıonurhan Solmaz, B. No: 2012/1049, 26/3/2013, 18). 40. Anayasa'nm "Özel hayatın gizliliği" kenar başlıklı 20. maddesinin birinci fıkrası şöyledir: "Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz." 41. Anayasa'nın "Haberleşme hürriyeti " kenar başlıklı 22. maddesi şöyledir: "Herkes, haberleşme hürriyetine sahiptir. Haberleşmenin gizliliği esastır. Milli güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve genel ahlakın korunması veya başkalarının hak ve özgürlüklerinin korunması 361

363 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI sebeplerinden biri veya birkaçına bağlı olarak usulüne göre verilmiş hakim kararı olmadıkça; yine bu sebeplere bağlı olarak gecikmesinde sakınca bulunan hallerde de kanunla yetkili kılınmış merciin yazılı emri bulunmadıkça; haberleşme engellenemez ve gizliliğine dokunulamaz. Yetkili merciin kararı yirmi dört saat içinde görevli hakimin onayına sunulur. Hakim, kararını kırk sekiz saat içinde açıklar; aksi halde, karar kendiliğinden kalkar. İstisnaların uygulanacağı kamu kurum ve kuruluşları kanunda belirtilir." 42. Sözleşme'nin "Özel ve aile hayatına saygı hakkı" kenar başlıklı 8. maddesi şöyledir: "(1) Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hakkına sahiptir. (2) Bu hakkın kullanılmasına bir kamu makamının müdahalesi, ancak müdahalenin yasayla öngörülmüş ve demokratik bir toplumda ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için gerekli bir tedbir olması durumunda söz konusu olabilir." 43. Özel hayata saygı hakkı Anayasa'nın 20. maddesinde koruma altına alınmıştır. Devlet, kişilerin özel ve aile hayatına keyfi olarak müdahale etmemek ve üçüncü kişilerin haksız saldırılarını önlemekle yükümlüdür. Özel hayat geniş bir kavram olup bu kavramın kapsayıcı bir tanımının yapılması oldukça zordur. Bununla beraber bu kavram; kişinin maddi ve manevi bütünlüğü, fiziksel ve sosyal kimliği, bireyin ismi, cinsel yönelimi, cinsel yaşamı gibi unsurları korumaktadır. Kişisel bilgiler ve veriler, kişisel gelişim, aile hayatı vb. konular da bu hakkın içinde yer almaktadır {Bülent Polat [GK], B. No: 2013/7666, 10/12/2015, 61). Ayrıca Anayasa'nın 20. ve 22. maddelerinde yer alan güvencelerin amacı gözetildiğinde somut olayda olduğu gibi iş yerlerinden gerçekleştirilen kişisel telefon görüşmelerinin ve 362

364 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI internet kullanımının izlenmesiyle elde edilmiş veriler de benzer şekilde bu hak kapsamında İncelenmektedir (Benzer yöndeki AİHM kararı için bkz. Barbulescu/Romanya, B. No: 61496/08, 12/1/2016, 36). 44. Özel hayat kavramı, özel bir sosyal hayat sürdürmeyi yani kişinin sosyal kimliğini geliştirme hakkı anlamında bir "özel hayatı" güvence altına almaktadır. Bu yönü ile birlikte değerlendirildiğinde bahsi geçen hak, ilişki kurmak ve geliştirmek üzere çevresinde bulunanlarla temas kurma hakkını da içermektedir. AİHM içtihatlarında da mesleki hayat çerçevesinde yürütülen faaliyetlerin "özel hayat" kavramı dışında tutulamayacağı belirtilmektedir. Mesleki hayata getirilen sınırlamalar, bireyin sosyal kimliğini yakınlarında bulunan insanlarla olan ilişkilerini geliştirme şeklinde yansıttığı ölçüde Sözleşme'nin 8. maddesi kapsamına girebilmektedir. Bu noktada belirtmek gerekir ki insanların büyük çoğunluğu, dış dünya ile olan ilişkilerini geliştirme olanaklarını daha çok mesleki hayatları çerçevesinde yürüttükleri faaliyet kapsamında elde etmektedir {Bülent Polat, 62; Özpınar/Türkiye, B. No: 20999/04, 19/10/2010, 45; Niemietz/Almanya, No: 13710/88, 16/12/1992, 29). a. Genel İlkeler 45. Anayasa ve Sözleşme'nin ortak koruma alanı kapsamında kalan temel haklar, yalnızca kamusal gücün doğrudan uygulanmasıyla değil; kimi zamanda özel hukuk kişileri arasındaki uyuşmazlıklara konu olacak şekilde üçüncü kişilerin müdahaleleriyle zedelenebilmektedir. İlkinde söz konusu güvencelerin sağlanması adına kamusal makamlara yüklenen negatif ve pozitif tüm yükümlülüklerin doğrudan yerine getirilmesi konusunda tereddüt bulunmamakta ise de ikinci durumda devletin üçüncü kişilerin müdahalelerine karşı bireylere ne tür bir koruma imkanı sunması gerektiği ve hangi çerçevede yükümlülükler taşıdığı hususunda her olayın kendine özgü koşullarına göre değerlendirmelerde bulunulması gerekmektedir. 363

365 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI 46. Anayasa'nm 11. maddesine göre Anayasa hükümleri; yasama, yürütme ve yargı organları ile idare makamlarının yanı sıra diğer kuruluş ve kişileri de bağlayan temel hukuk kurallarıdır. Buna göre Anayasa'da tanınan hak ve özgürlükler tüm bireyler bakımından güvence altındadır. Yine Anayasa'mn 5. maddesinde sayılan devletin temel amaç ve görevlerinin kapsamı ile temel hak ve hürriyetlerin niteliklerine yönelik Anayasa'nm 12. maddesinde yer alan vurgu da bu koruma alanını pekiştirmektedir. Söz konusu hak ve özgürlüklerin etkili şekilde korunması amacıyla özel hukuk kişileri arasındaki uyuşmazlıklardan dahi kaynaklansa kamusal makamlar belirli durumlarda pozitif yükümlülükler altına girebilir. Uyuşmazlıkların özel hukuk kişileri arasında gerçekleştiği durumlarda temel hak ve özgürlüklerin sağladığı güvencelerin yerine getirilip getirilmediği denetlenirken Anayasa'nm kamusal makamlara yüklediği sorumluluklardan doğrudan özel hukuk kişileri sorumlu tutulamayacağından taşıdığı koşulların özelliklerine göre bu tür başvuruların devletin pozitif yükümlülükleri bağlamında ele alınması gerekebilir {Barbulescu/Romanya, 53). 47. Bu yükümlülükler özel hukuk kişilerinin birbirleri ile olan uyuşmazlıklarının çözümüne ilişkin yasal alt yapının oluşturulmasını, söz konusu uyuşmazlıkların adil yargılama gereklerine uygun ve usul yönünden güvenceleri haiz bir yargılama kapsamında incelenmesini ve bu yargılamalarda temel haklara ilişkin anayasal güvencelerin gözetilip gözetilmediğinin denetlenmesini gerektirir. Bu gereklilikler üçüncü kişilerin, bireylerin hak ve özgürlüklerine yaptığı haksız müdahalelere karşı kamusal makamlar tarafından müsamaha gösterilmemesi zorunluluğundan kaynaklanır. Zira derece mahkemeleri, özel hukuk ilişkisi kapsamındaki uyuşmazlıkların çözümlenmesinde bağlayıcı kararlar vererek güvencelerin korunup konulmamasında rol almaktadır. Bu noktada uyuşmazlıkların yargısal makamlar önüne taşınması ve hakkaniyete uygun bir yargılama 364

366 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI yapılarak çözümlenmesi, kamusal makamların pozitif yükümlülüklerinin bir parçasını oluşturur. 48. AİHM de devletin doğrudan müdahalesinden kaynaklanmasa da bu tür uyuşmazlıklarla ilgili olarak devletlerin sorumluluğunun devam edebileceğini, kamusal makamlardan gelebilecek keyfi uygulamalardan başka Sözleşme'deki haklara etkili şekilde koruma sağlanabilmesi için özel hukuk kişileri arasındaki ilişkilerde de makul ve uygun önlemler almak suretiyle devletlerin müdahale etme yükümlülüğü taşıyabileceğini ifade etmektedir (Sorensetı ve Rasmussen/Danimarka [BD], B. No: 52562/99, 52620/99, 11/1/2006, 57; Palomo Sanchez ve diğerleri/ispanya [BD], B. No: 28955/06,..., 12/9/2011, 59). 49. Başvuru konusu olayda olduğu gibi kamu gücünü kullanan aktörler dışında kalan kişiler arasındaki özel hukuk ilişkilerinde kamusal makamların yükümlülükleri; bireylerin temel hak ve özgürlüklerine, bu başvuru açısından özel hayata saygı hakkı ile haberleşmenin gizliliği hakkına üçüncü kişilerin müdahalesinin önlenmesi için gerekli önlemlerin alınması ve mahkemelerce korunma sağlanmasıdır. Kamusal makamlarca gerekli yapısal önlemler alınmış olunsa da uyuşmazlık konusu davayı yürüten mahkemelerce verilen kararlarda üçüncü kişilerin müdahalelerine karşı bireylere korunma imkanı sağlanmadığı durumlarda bu yükümlülükler gereği gibi yerine getirilmemiş olacaktır. Bu, kamusal makam olan mahkemeler aracılığıyla bireylerin hak ve özgürlüklerinin korunmasız bırakıldığı anlamına gelecektir. 50. Bu doğrultuda, özel hukuk iş ilişkisi kapsamında çalışan bireylerin Anayasa ile güvence altına alman haklarına yönelik müdahale iddiası içeren uyuşmazlıklarının karara bağlandığı davalarda derece mahkemelerince söz konusu güvenceler göz ardı edilmemeli, işveren ve çalışanlar arasındaki çatışan çıkarlar adil biçimde dengelenmeli, başvuruculara tahsis edilmiş kurumsal e-posta hesaplarının incelenmesi şeklindeki müdahalenin 365

367 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI işverenin meşru amacıyla ölçülü olup olmadığı değerlendirilmeli ve ulaşılan sonuç hakkında hüküm kurulurken ilgili ve yeterli gerekçeler sunulmalıdır. 51. Derece mahkemeleri tarafından tarafların çıkarları dengelenirken ve müdahalenin ölçülülüğü irdelenirken iş sözleşmelerinde kısıtlayıcı ve zorlayıcı düzenlemelerin ne şekilde belirlendiği, tarafların bu düzenlemeler hakkında bilgilendirilip bilgilendirilmediği, çalışanların temel haklarına yönelik müdahalede bulunulmasına neden olan meşru amacın müdahale ile ölçülü olup olmadığı, başvuruya konu olayda olduğu gibi sözleşmenin feshinin çalışanların eylem ya da eylemsizlikleri karşısında makul ve orantılı bir işlem olup olmadığı somut olayın koşullarına göre ele alınmalıdır. Ayrıca yargılamalar sırasında gerçekleştirilen işlemlerin ve neticede verilen kararın gerekçesinin bizatihi özel hayat alanına ilişkin bir müdahale oluşturmaması için derece mahkemelerince gereken özen gösterilmelidir. 52. AİHM de özel hukuk iş ilişkilerinde Sözleşmenin maddelerinin ihlal edildiği iddiasıyla önüne gelen davalarda, taraf devletlerin anılan maddelerdeki güvencelerden kaynaklanan pozitif yükümlülüklerini yerine getirip getirmediğini incelemekte ve işten çıkarılan başvurucuların söz konusu güvencelerinin özel hukuk iş ilişkileri çerçevesinde ulusal mahkemelerce yeterli derecede korunup korunmadığını irdelemektedir {Palomo Sanchez ve diğerleri/ispanya, 61). 53. AİHM'e göre Sözleşme'nin maddelerinde yer alan haklara ilişkin olan özel hukuk uyuşmazlıklarında bireylerin çıkarlarıyla toplumun çatışan çıkarları arasında ulusal mahkemelerce adil bir denge kurulması gerekir. {Köpke/Almanya, B. No: 420/07, 5/10/2010; Palomo Sanchez ve diğerleri/ispanya, 62; Eweida ve diğerleri/birleşik Krallık, B. No: 48420/10,..., 15/1/2013, 84 ). Ayrıca güvence altındaki söz konusu haklara özel hukuk iş ilişkisi kapsamında yapılan müdahalelerin meşru amaçla ölçülü olup olmadığı ile ulusal mahkemelerce verilen kararlarda sunulan gerekçelerin 366

368 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI ilgili ve yeterli olup olmadığı tespit edilmelidir (Palomo Sanchez ve diğerleri/ispanya, 63). 54. Karşılıklı menfaatler gözetilerek özel hukuk kişileri tarafından imzalanan iş sözleşmeleri gereğince taraflar, doğal olarak birtakım sorumluluklar altına girmekte, çalışma saatleri içinde bazı kısıtlayıcı kurallara uyacaklarım taahhüt etmekte ve sözleşmeye aykırılık halinde ne tür yaptırımlarla karşı karşıya kalacakları hususunda bilgi sahibi olmaktadır. Bu noktada iş yerindeki huzur ve güvenin devamından elde edilecek yararlar gözetilerek işveren tarafından çalışma saatleri içinde çalışanların bazı haklarının kısıtlanabilmesi ve belirlenen çalışma düzeninin gerçekleşebilmesi için çalışanların bazı kurallara uymak zorunda bırakılmaları mümkün olabilmektedir. Ancak bu tür kısıtlayıcı ve belirlenen özel kurallara uyulmasını zorlayıcı nitelikteki hususların çalışanların temel haklarının özünü zedeleyici nitelikte olmaması, imza altına alınan iş sözleşmelerinde bu hususların açık bir şekilde yer alması ve çalışanların bu hususlarda bilgilendirilmesi gerekir. Bilgilendinnelerin ve gerekli uyarıların yapılmadığı durumlarda çalışanlar, temel hak ve özgürlüklerine keyfi bir müdahalede bulunulmayacağı hususunda makul bir beklenti içinde olacaklarından sözleşme şartlarını genellikle belirleyici konumda olan işverenler tarafından çalışanlara yönelecek bu tür müdahalelerin kabul görmesi söz konusu olmayacaktır. 55. Çatışan çıkarların belirlenmesi, doğru dengenin kurulması ve müdahalelerin işverenin meşru amacıyla ölçülü olup olmadığının tespiti öncelikle derece mahkemelerinin yetki ve sorumluluk alanındadır. Olayın tüm tarafları ile doğrudan temas halinde bulunan derece mahkemelerinin olayın koşullarını değerlendirmek açısından daha avantajlı konumda bulunduğu da tartışmasızdır. Anayasa Mahkemesinin rolü ise bu kuralların yorumunun Anayasa'ya uygun olup olmadığını belirlemekle sınırlıdır. Bu nedenle Anayasa Mahkemesi, derece mahkemeleri tarafından izlenen usulü denetleme ve özellikle mahkemelerin tarafların sınırlanan hak ve 367

369 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI özgürlüklerine yönelik müdahalelerin hukukiliğini yorumlayıp uygularken Anayasa'nm 20. ve 22. maddesindeki güvenceleri gözetip gözetmediğini belirleme yetkisine sahiptir. Bu kapsamda Anayasa Mahkemesinin görevi, sözleşmelerin fesih nedeninin oluşup oluşmadığını değerlendirmek ve bunların uygulanması hususunda derece mahkemelerinin yerini almak olmayıp kamusal makamların takdir haklan kapsamında aldıkları kararları, özel hayata saygı hakkı ile haberleşme hürriyeti bağlamındaki güvenceler açısından değerlendirmektir. 56. Bu doğrultuda AİHM de ulusal mahkemeler tarafından izlenen usulü denetleme ve özellikle ulusal mahkemelerin mevzuat hükümlerini yorumlayıp uygularken Sözleşme'deki ve özellikle 8. maddedeki güvenceleri gözetip gözetmediğini belirleme yetkisine sahip olduğunu vurgulamakta; yaptığı denetime temel aldığı önemli bir ilke olan ikincillik ilkesi gereği, ulusal mahkemelerin mevzuat hükümlerinin yorumlanmasına ilişkin takdirini değerlendirmeye tabi tutmamakta; ancak ulusal mahkemeler tarafından ulaşılan sonucun Sözleşme'nin 8. maddesinde öngörülen standartlara uygun bir denge sağlayıp sağlamadığını ve ulaşılan sonucun bu yönüyle özel hayata saygı hakkının ihlali anlamına gelip gelmediğini incelemektedir (Petrenco/Moldova, B. No: 20928/05, 30/6/2010, 54; Palomo Sanchez ve diğerleri/ispanya, 55). b. Genel İlkelerin Uygulanması 57. Somut olaydaki uyuşmazlığın özel hukuk kişileri arasında gerçekleşmesi nedeniyle temel hak ve özgürlüklerin sağladığı güvencelerin yerine getirilmediği iddiasını içeren başvurunun devletin pozitif yükümlülükleri bağlamında ele alınması gerekir (bkz. 46). 58. Belirtildiği üzere özel hayata saygı hakkı kapsamında ele alınabilecek olan negatif ve pozitif yükümlülüklerin sınırının ve pozitif yükümlülüklerin hangi durumda olumlu edimde bulunulmasını zorunlu kıldığının kesin 368

370 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI çizgilerle belirlenmesi mümkün olmayıp bu yükümlülüklerin olaydan olaya farklılaşması olasıdır (bkz. 45, 46). ' 59. Başvurucular, e-posta hesaplarının incelenmesinin özel hayat alanlarına ve haberleşme hürriyetlerine haksız bir müdahale oluşturmasına rağmen feshin haksız olduğunun tespit edilerek geçersiz sayılması ve işe iadelerinin sağlanması talebiyle açtıkları işe iade davalarında bu yönde bir tespit yapılmadığını, aksine Mahkemelerce verilen kararlar nedeniyle söz konusu müdahalelerin meşru hale getirildiğini ve yazışmalarının alenileştirildiğini iddia etmişlerdir. Bu kapsamdaki iddiaların, müdahalelerin nedeni olarak gösterilen olayların gerçekleştiği sürecin özellikleri incelenerek ve derece mahkemelerince gerçekleştirilen yargılamalarda yukarıda belirlenen ilkelere (bkz. 50, 51, 54) uygun şekilde hareket edilip edilmediği dikkate alınarak değerlendirilmesi gerekir. 60. Başvuru konusu olayda işe iade davalarını yürüten Bakırköy 12. İş Mahkemesinin 31/1/2013 tarihli birinci oturumunda, ikinci başvurucunun eski eşi dahil yedi tanık dinlenmiş; tanık ifadelerinin genelinde başvurucular arasındaki ilişkinin boyutu ve yakınlığı hakkında tanıkların gözlemlerine yer verilmiştir. Ayrıca farklı birimlerde çalışan başvurucuların arkadaşlıklarının verimlilik ve performanslarına olan yansıması ile genel olarak iş ortamına olan etkisi de tanık ifadelerinde dile getirilmiştir. Buna göre fesih tarihinde başvurucular ile aynı Şirket bünyesinde birlikte çalışan diğer tanıkların beyanlarında başvurucuların performans ve verimliliklerine ilişkin olumsuz değerlendirmelerin bulunmadığı görülmüş, bazı tanıklar ise başvurucuların birbirlerine yakın davrandıkları konusunda birtakım duyumlar aldıklarını ancak arkadaşlık ilişkisinin ötesindeki bir ilişkinin varlığından haberdar olmadıklarını dile getirmişlerdir (bkz. 17). 61. Tarafların yargılama sürecinde dile getirdikleri beyanlar ile tanıkların ifadeleri incelendiğinde, ikinci başvurucunun eski eşi tarafından işverene sunulan başvuruculara ait yazışmaların kişisel e-posta hesapları üzerinden mi 369

371 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI yoksa kurumsal e-posta hesapları üzerinden mi gerçekleştirildiği hususu tespit edilememekle birlikte başvurucuların iş sözleşmelerinin feshedildiği tarihte işveren Şirket bünyesinde insan kaynakları direktörü olarak çalışan tanığın mahkeme huzurunda dile getirdiği "..Bilgi işlem vasıtasıyla davacının lini özel amaçlı kullanıp kullanmadığı konusunda araştırma yaptık, gerçekten de belirtilen ler bilgisayar kayıtlarında mevcuttur. '' şeklindeki beyanları ile işverenin Derece Mahkemelerine sunduğu dilekçelerdeki kabul beyanları dikkate alındığında, söz konusu yazışmaların içerikleri ile ikinci başvurucunun eski eşinin beyanları üzerinden durumdan haberdar olan işveren tarafından yazışmaların doğruluğunun teyit edilmesi amacıyla bilgi işlem sisteminden ulaşılabilen başvurucuların kurumsal e- posta hesaplarının incelendiği anlaşılmaktadır. 62. Yargılamaya konu dava dosyalarından, başvurucuların karşılıklı olarak gerçekleştirdikleri yazışmaların dava dışı üçüncü kişi tarafından davalı Şirketin yetkili kişi ya da organlarının bilgisine sunulduğu, bundan sonra kurumsal e-posta hesapları üzerinden işveren tarafından inceleme yapıldığı, elde edilen yazışmalarda yer alan unsurların iş sözleşmelerine aykırı olduğundan yola çıkılarak farklı gerekçelerin de eklenmesiyle sözleşmelerin feshedildiği, davalı Şirket tarafından söz konusu yazışmaların liste halinde ilk Derece Mahkemelerine delil olarak sunulduğu, delilleri inceleyen ve tanıkları dinleyen Mahkemelerce oluşturulan karar gerekçelerinde söz konusu yazışmaların içeriklerine ilişkin olarak herhangi bir detaya yer verilmediği ve işveren açısından iş ilişkilerinin sürdürülmesi olanağının kalmadığı şeklinde değerlendirme yapılarak davaların reddedildiği görülmektedir. 63. Başvuru konusu olayda, işverenin belirlediği kurallar çerçevesinde iş yerinde huzur ve disiplinin devamından elde edeceği faydalar ile başvurucuların özel hayatlarına saygı hakları ve haberleşmelerinin gizliliği arasında var olan bir çatışma halinden söz edilebilir. Ancak Anayasa Mahkemesinin görevi, özel hukuk kişileri arasındaki söz konusu uyuşmazlık 370

372 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI hakkında doğrudan değerlendirmelerde bulunmak değildir. Anayasa Mahkemesinin rolü, uyuşmazlığın çözümünde tarafları bağlayıcı kararlar alan derece mahkemeleri tarafından izlenen usulü denetlemek ve tarafların sınırlanan hak ve özgürlüklerine yönelik müdahalelerin hukukiliğini yorumlayıp uygularken Anayasa'nın 20. ve 22. maddelerindeki güvencelerin derece mahkemelerince gözetilip gözetilmediğini belirlemektir. 64. Başvurucular ve işveren tarafından imzalanan iş sözleşmelerinde yer alan hükümler gereğince başvurucuların iş yerinde uyulması gereken kurallara ilişkin yürürlükte olan İç Tüzük'ü, Temel Yönetmelik'i, oryantasyon kitapçığını, Seyahat Yönetmeliği'ni, talimatları ve prosedürleri ilgili sözleşmelerin aynlmaz eki ve parçası olarak kabul ettikleri ve tüm bu düzenlemelere uymakla kendilerini yükümlü kıldıkları görülmektedir. 65. İşverenlerin keyfi ve sınırsız bir şekilde çalışanların özel hayat alanlarına ve haberleşme hürriyetlerine yönelik müdahalelerde bulunabilmelerine izin veren düzenlemelerin, Anayasa'nın 11. ve 12. maddeleri kapsamında kabul görmesi mümkün olmamakla birlikte anayasal hak ve özgürlüklerin sağladığı güvencelere, kanunlara, uluslararası sözleşmelere aykın olmayacak şekilde işletmenin ticari gerekliliklerine ve disiplin anlayışına göre belirlenen kuralların açık bir şekilde yer aldığı düzenlemelerin bulunduğu ve bu düzenlemeler konusunda çalışanların önceden bilgilendirilip uyarıldığı durumlarda, kapsamı belirli şekilde çalışanların özellikle çalışma saatleri içinde birtakım haklarının kısıtlanması ve kuralların dışına çıkılmamaya zorlamnası amacıyla tedbirler alınması makul görülebilir. Bu doğrultuda bir bilgilendirmenin ve uyarının yapılmadığı durumlarda, hak ve özgürlüklerine bir müdahalede bulunulmayacağı hususunda çalışanların makul bir beklenti taşıyacaklarının kabul edilmesi ve söz konusu hak ve özgürlüklerin sağladığı güvencelerden yararlandırılması gerekmektedir. 66. Bu kapsamda yapılan incelemede iş sözleşmelerinin parçası olarak kabul edilen İş Yeri Temel Yönetmeliği'nin, Bilgi Güvenliği Taahhütnamesinin, 371

373 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI temel yönetim ilkeleri ve temel davranış kurallarının yer aldığı düzenlemenin, ticari alışveriş yapılan firma ilişkilerine yönelik etik kuralların yer aldığı düzenlemenin, İş Yeri Seyahat Yönetmeliği'nin, İş Yeri Disiplin Yönetmeliği'nin, İş Yeri Personel Yönetmeliği'nin ve İş Yeri Kıyafet Yönetmeliği'nin iş sözleşmesiyle birlikte başvurucular tarafından her bir sayfasının ayrı ayrı imzalandığı ve böylece iş yerinde huzur ve disiplinin sağlanması amacıyla işveren tarafından hazırlanmış kuralları ve kısıtlamaları içeren tüm genel düzenlemeler hakkında başvurucuların yeterli biçimde bilgilendirildiği anlaşılmaktadır. 67. Özellikle Bilgi Güvenliği Taahhütnamesi'yle başvurucuların, Şirket tarafından kendilerine iş için tahsis edilmiş olan bilgisayar, e-posta, internet kullanımı, telefon, iletişim programı, diğer IT kaynaklarını ve iletişim araçlarını zaruri ihtiyaçları aşan ölçüde kişisel amaçlı, eğlence niyetli, genel ahlaka, örf ve adetlere aykırı şekilde kullanmayacakları hususunda işverenlerine karşı taahhüt altına girdikleri; aynca Şirket yöneticileri tarafından başvuruculara haber verilmeksizin ve uyarıda bulunulmaksızın kullandıkları IT ve iletişim kaynaklarının her zaman takip altında tutulabileceği, yapılan yazışmaların ve iletişim kayıtlarının yedeklenebileceği, raporlanabileceği, gerekli durumlarda detaylı olarak incelenebileceği, el konulabileceği ve kullanım sınırlaması getirilebileceği hususunda da kabul beyanında bulundukları ve taahhüt verdikleri görülmektedir. 68. İş sözleşmelerinin parçası olan düzenlemeler ile şirket kaynaklarının, bilgisayarların, kurumsal e-posta hesaplarının kişisel amaçlar doğrultusunda kullanımı kesin şekilde yasaklanmış; gerektiğinde yazışmaların ve iletişim kayıtlarının takip edilebileceği ve incelenebileceği hususunda başvuruculara gerekli uyarılar ve bilgilendirmeler yapılmıştır. Bunun yanında, kurumsal olmadığı sürece kişisel hesapların ve kişisel iletişim vasıtalarının mesai saatleri içerisinde kullanılma imkanı olmasına ve buna ilişkin bir engel 372

374 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI bulunmamasına rağmen, yapılan işin gerekleriyle ilgisi olmayan yazışmaların iş sözleşmelerine aykırı biçimde mesai saatleri içerisinde kurumsal hesaplar üzerinden gerçekleştirildiği anlaşılmaktadır. Bu nedenlerle başvurucuların kurumsal e-posta hesapları üzerinden gerçekleştirdikleri kişisel yazışmaların korunması konusunda makul bir beklenti içinde oldukları sonucuna ulaşılamaz. 69. Ayrıca işveren, başvurucuların kurumsal e-posta hesaplarını incelemiş; bunu da ikinci başvurucunun eski eşi tarafından Şirket yönetimine sunulan e-posta yazışmaları hakkında bilgi sahibi olduktan sonra başvurucuların Şirket düzenlemelerine aykırı davranışlarının bulunduğu şeklindeki iddianın doğruluğunu teyit etme inancıyla gerçekleştirmiştir. Bu yöndeki tespit ile birlikte 4857 sayılı Kanun hükümleri ve iş sözleşmelerinde yer alan düzenlemeler dikkate alındığında kurumsal e-posta hesaplarının kişisel amaçlarla ve Temel Yönetmelik'e uygun kullanıp kullanmadığını doğrulamak amacıyla başvurucuların yazışmalarını inceleyen işverenin meşru bir amaç taşıdığı ve işveren tarafından gerçekleştirilen müdahalenin söz konusu meşru amaçla ölçülü olduğu, bu hususların Derece Mahkemelerince verilen kararların gerekçelerinde dikkate alındığı kanaatine ulaşılmıştır. 70. Başvuruya konu edilen yargılama süreçleri incelendiğinde öncelikle başvurucuların Derece Mahkemeleri önünde delillerini sundukları, iddiada bulunma ve savunma haklarını herhangi bir engellemeyle karşı karşıya kalmadan kullandıkları görülmektedir. Ayrıca söz konusu yazışmaların çalışma saatleri içinde kişisel amaçlar doğrultusunda kullanıldığı, iş yeri düzenine ilişkin olarak belirlenen düzenlemeler hakkında başvurucuların bilgilendirildikleri ve uyarıldıkları, bu durumu ispat edecek şekilde imzalarının alındığı, sözleşmelere aykırı davranışların bulunduğu hususunda oluşan inanç doğrultusunda önceden belirlenmiş müdahale sınırlarına riayet edilerek işveren tarafından kurumsal e-posta hesaplanma denetlendiği, bunun dışında işveren tarafından başvuruculara ait diğer verilere ulaşılıp 373

375 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI inceleme yapıldığına dair herhangi bir bilginin bulunmadığı anlaşılmaktadır. Yargılamalarda, başvuruculara ait hizmet cetveli ile iş yeri özlük dosyalarının Derece Mahkemeleri tarafından celp edilerek incelendiği, karar gerekçelerinde kurumsal e-posta yazışmalarının içeriklerine yer verilmediği, dava konusuyla sınırlı bir şekilde değerlendirme yapıldığı, başvurucuların doğruluk ve bağlılıkla bağdaşmayan eylemleri nedeniyle iş yerinde olumsuzlukların yaşandığı ve bu durumun işveren açısından sözleşmelerin sürdürülmesi imkanını ortadan kaldırdığının kararlarda vurgulandığı, başvurucuların eylemlerinin 4857 sayılı Kanun'un yanı sıra iş sözleşmelerine ve iş yerinin iç düzenlemelerine aykırılıklar oluşturduğu, bu nedenlerle sözleşmelerin feshedilmesinde hukuka aykırı bir durumun bulunmadığı şeklinde kararlar verilmiştir. Ayrıca ikinci başvurucunun eski eşinin tanık sıfatıyla alman ifadesinin işverenin iddialarının doğruluğunun anlaşılabilmesi amacıyla Mahkemece sorulan ve mahremiyet içermeyen sorulara verilen cevaplardan oluştuğu, yargılama süreçlerinde ve oluşturulan karar gerekçelerinde başvurucuların özel hayat alanlarını alenileştiren ve haberleşmelerinin gizliliğini ortadan kaldıran herhangi bir unsura yer verilmediği anlaşılmaktadır. 71. Derece Mahkemelerince verilen kararlarda, başvurucuların makul bir beklentisinin bulunmadığı hususunun dikkate alınarak başvurucular ile işveren arasında çatışan çıkarların dengelendiği, işveren tarafından başvuruculara tahsis edilmiş kurumsal e-posta hesaplarının incelenmesi şeklindeki müdahalenin Şirket içi düzenlemeler gereğince işverenin meşru amacıyla ölçülü olup olmadığı hususunda değerlendirmelerin yapıldığı, sözleşmelerin feshinin başvurucuların eylemleri karşısında makul ve orantılı bir işlem olup olmadığının gözetildiği ve tüm bu hususlara dayanılarak davaların reddine ilişkin ilgili ve yeterli gerekçeler sunulduğu, ayrıca başvurucular arasındaki yazışmalara ait içeriklerin gerek yargılamaya ilişkin 374

376 KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI işlemlerde gerekse karar gerekçesinde alenileştirilmediği sonucuna ulaşılmıştır. 72. Açıklanan nedenlerle özel hukuk iş ilişkilerinden doğan uyuşmazlıkları karara bağlayan Derece Mahkemelerince ilgili ve yeterli gerekçeler oluşturularak anayasal güvencelerin korunması açısından pozitif yükümlülüklerin yerine getirildiği ve yargılama süreçlerinde gerçekleştirilen işlemlerde yazışmaların içeriklerinin alenileştirilmediği anlaşıldığından başvurucuların Anayasa'nın 20. maddesinde güvence altına alman özel hayata saygı hakkı ile Anayasa'nın 22. maddesinde güvence altına alman haberleşmenin gizliliği hakkının ihlal edilmediğine karar verilmesi gerekir. V. HÜKÜM Açıklanan gerekçelerle; A. Özel hayata saygı hakkının ve haberleşmenin gizliliği hakkının ihlal edildiğine ilişkin iddianın KABUL EDİLEBİLİR OLDUĞUNA, B. Anayasa'nın 20. maddesinde güvence altına alınan özel hayata saygı hakkının ve Anayasa'nın 22. maddesinde güvence altına alınan haberleşmenin gizliliği hakkının İHLAL EDİLMEDİĞİNE, C. Başvurucular tarafından yapılan yargılama giderlerinin üzerlerinde BIRAKILMASINA 24/3/2016 tarihinde OYBİRLİĞİYLE karar verildi. 375

377

378 İŞYERİ ÖZLÜK DOSYASININ YENİ İŞVERENE GÖNDERİLMESİNİN MANEVİ TAZMİNAT SEBEBİ OLDUĞ UNA İLİŞKİN YARGITAY KARARI Yargıtay 9. Hukuk Dairesi, 2014/37215 E., 2016/9418 K T. ( ) Somut olay, yargılama sırasında dinlenen tanıklar ve sunulan deliller değerlendirildiğinde, içerisinde özel yazışmaların, davacının bir kısım senede bağlı tutarları eski işyerine ödeyeceğine dair taahhüdünü içeren işten ayrılma dilekçesi ve ödeme dekontlarının olduğu işyeri özlük dosyasının yeni çalıştığı işverenine gönderilmesi eyleminin davacıyı rahatsız etme, onu doğruları söylemeyen bir kişi olarak gösterme amacı taşıdığı, bu olay sonrası davacının iş sözleşmesinin feshinin gündeme geldiği ancak buna engel olunduğu, yaşanan olay nedeniyle davacının manevi yönden etkileneceği açık olup bu nedenle manevi tazminata hak kazandığının kabulü gerekirken reddi hatalıdır. ( ) 377

379

380 DİNAMİK IP ADRESİNİN KİŞİSEL VERİ OLDUĞUNA İLİŞKİN ABAD KARARI Judgment in Case C-582/14 Patrick Breyer v Bundesrepublik Deutschland Judgment 1. This request for a preliminary ruling concerns the interpretation of Article 2(a) and 7(f) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (OJ 1995 L 281, p. 31). 2. The request has been made in proceedings between Mr Patrick Breyer and the Bundesrepublik Deutschland (Federal Republic of Germany) concerning the registration and storage by the latter of the internet protocol address ( IP address ) allocated to Mr Breyer when he accessed several internet sites run by German Federal institutions. ( ) 49 Having regard to all the foregoing considerations, the answer to the first question is that Article 2(a) of Directive 95/46 must be interpreted as meaning that a dynamic IP address registered by an online media services provider when a person accesses a website that the provider makes accessible to the public constitutes personal data within the meaning of that provision, in relation to that provider, where the latter has the legal means which enable it to identify the data subject with additional data which the internet service provider has about that person. ( ) 379

381

382 İCRA DOSYASINA TARAF OLMAYAN 3. KİŞİLERE AİT KİŞİSEL NİTELİĞİNİ HAİZ TAPU KAYDI VE SATIŞ SÖZLEŞMELERİNİN İCRA MÜDÜRLÜĞÜNCE CELBİNİN İSTENEMEYECEĞİNE İLİŞKİN BAM KARARI İzmir Bölge Adliye Mahkemesi, 12. Hukuk Dairesi, 2016/59 E. 2016/68 K T. ( ) Davacı alacaklı taraf icra müdürlüğüne sunduğu talebi ile borçlu adına kayıtlı pasif taşınmaz kaydı olup olmadığının sorgulanmasını ve borçlunun anne babasını gösterir aile nüfus kaydının sorgulanarak muris tespit edilmesi halinde adına kayıtlı taşınmaz bulunup bulunmadığının sorgulanmasını talep etmiş, müdürlük bu talebi reddetmiştir. Şikayete konu karar bu karardır. Burada çözülmesi gereken ilk ihtilaf borçlu dışındaki kişilerin nüfus kayıt bilgilerinin takip dosyası kapsamında temin edilerek açığa çıkarılmasının mümkün olup olmadığıdır. Konu ile ilgili mevzuat hükümleri incelendiğinde TC Anayasası MADDE 13: Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve laik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz. TC Anayasası MADDE 20/3: Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir. Avrupa İnsan Hakları Sözleşmesi MADDE 8: 1- Herkes, özel ve aile yaşamına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir. 381

383 İCRA DOSYASINA TARAF OLMAYAN 3. KİŞİLERE AİT KİŞİSEL NİTELİĞİNİ HAİZ TAPU KAYDI ve SATIŞ SÖZLEŞMELERİNİN İCRA MÜDÜRLÜĞÜNCE CELBİNİN İSTENEMEYECEĞİNE İLİŞKİN BAM KARARI 2- Bu hakkın kullanımına, yasa/hukuk uyarınca olması ve ulusal güvenlik, kamu emniyeti ya da ülkenin ekonomik refahı, düzensizliğin ya da suçun önlenmesi, sağlığın ya da ahlakın korunması ya da başkalarının haklarının ve özgürlüklerinin korunması için demokratik toplumda gerekli olması hali istisna olmak üzere, bir kamu makamı tarafından bulunulmayacaktır. Nüfus Hizmetleri Kanunu MADDE 9: 1- Nüfus kayıtları ve bu kayıtların tutulmasına dayanak olan belgeler gizlidir. Bunlar, yetkili ve sorumlu memurlar ile teftiş ve denetim yetkisi olanlar dışında kimse tarafından görülüp incelenemez. Mahkemeler bu hükmün dışındadır. 2- Nüfus kayıtlarına bu bilgileri işleyen memurlar ve Kimlik Paylaşımı Sistemi kapsamında nüfus kayıtlarından faydalanan diğer görevliler de bu gizliliğe uymak zorundadırlar. Bu yükümlülük, kamu görevlilerinin görevlerinden ayrılmalarından sonra da devam eder. MADDE 44: 1- Nüfus kayıt örneklerini; ç) Adlı makamlar, nüfus müdürlüklerinden doğrudan almaya yetkilidirler. Kişisel Verilerin Korunması Kanunu MADDE 3/1-d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, MADDE 3/1-e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, MADDE 5: 1 - Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. 2- Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 382

384 İCRA DOSYASINA TARAF OLMAYAN 3. KİŞİLERE AİT KİŞİSEL NİTELİĞİNİ HAİZ TAPU KAYDI ve SATIŞ SÖZLEŞMELERİNİN İCRA MÜDÜRLÜĞÜNCE CELBİNİN İSTENEMEYECEĞİNE İLİŞKİN BAM KARARI a) Kanunlarda açıkça öngörülmesi. b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) ilgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. MADDE 28: 1- Bu Kanun hükümleri aşağıdaki hallerde uygulanmaz:... d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi, düzenlemelerine rastlanmaktadır. Yukarıda yer verilen mevzuat hükümlerine göre kişinin nüfus kaydının kişisel veri niteliğinde olduğu tartışmasızdır. (Kişisel Verilerin Korunması Kanunu MADDE 3/1-d) Kişisel verilerin tamamen veya kısmen elde edilerek kaydedilmesi ise kişisel verilerin işlenmesidir. (Kişisel Verilerin Korunması Kanunu MADDE 3/1-e) Kişisel veriler ilgili kişinin açık rızası olmaksızın içlenemez. (Kişisel Verilerin Korunması Kanunu MADDE 5) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenebilmesi ise bu kuralın istisnasıdır.(kişisel Verilerin Korunması Kanunu MADDE 28/1-d) Kişisel veri 383

385 İCRA DOSYASINA TARAF OLMAYAN 3. KİŞİLERE AİT KİŞİSEL NİTELİĞİNİ HAİZ TAPU KAYDI ve SATIŞ SÖZLEŞMELERİNİN İCRA MÜDÜRLÜĞÜNCE CELBİNİN İSTENEMEYECEĞİNE İLİŞKİN BAM KARARI olduğu açık olan nüfus kaydına ilişkin bir başka düzenleme olan Nüfus Hizmetleri Kanununun 9. maddesine göre ise nüfus kayıtları ve bu kayıtların tutulmasına dayanak olan belgeler gizlidir. Tüm bu hususlardan açıkça anlaşıldığı üzere kişisel veriler ve bu bağlamda nüfus kayıtları gizlidir, edinilip kaydedilmeleri ilgili kişinin açık rızasına bağlıdır ve bu durum gerek Anayasa, gerek Avrupa İnsan Hakları Sözleşmesi ve gerekse kanunlarla düzenlenerek koruma altına alınmıştır. Somut olayda nüfus kaydına ulaşması ve kaydetmesi istenen kurum icra müdürlüğü olup bu kurumun yukarıda belirtilen istisnalar arasında sayılan kurumlardan olmadığı da açıktır. Davacı tarafın beyanlarında dile getirdiği gibi borçlunun murisi olabilecek kişilerin nüfus kaydına erişilmesinin ve onların ölmüş olup olmadıklarının tespitinin borcu tahsilde alacaklı tarafa katkı sağlayacağı muhakkaktır. Hatta bu durum murisinden kendisine intikal eden malları adına tescil ettirmeyen borçluların bu şekilde davranmalarının önüne geçmek sonucunu da doğurabilecektir. Ancak kişisel verilerin bu şekilde işlenmesi ile elde edilmesi muhtemel yararların yanısıra doğabilecek zararlar da birlikte değerlendirilmelidir. Anayasa Mahkemesinin 09/04/2014 tarih ve 2013/ /74 E. K. sayılı kararında kişisel verilerin niçin gizli tutulması gerektiği ayrıntılı olarak açıklanmıştır. "Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır. Bilişim teknolojilerindeki gelişmeler sonucunda, geleneksel yöntemlerle mümkün olmayan çok sayıda verinin toplanabilmesi; daha önce birbirinden ilişkisiz şekilde tutulan pek çok verinin merkezi olarak bir araya getirilebilmesi; verilerin, veri eşleştirme ve veri madenciliği gibi ileri teknolojik imkanlarla analize tabi tutulmak suretiyle, veriden yeni veriler üretme kapasitesinin artması; verilere erişim ve veri 384

386 İCRA DOSYASINA TARAF OLMAYAN 3. KİŞİLERE AİT KİŞİSEL NİTELİĞİNİ HAİZ TAPU KAYDI ve SATIŞ SÖZLEŞMELERİNİN İCRA MÜDÜRLÜĞÜNCE CELBİNİN İSTENEMEYECEĞİNE İLİŞKİN BAM KARARI transferinin kolaylaşması; kişisel verilerin ticari işletmeler için kıymetli bir varlık niteliği kazanması neticesinde, özel sektör unsurlarınca yaratılan risklerin daha yaygın ve önemli boyutlara ulaşması ve terör ve suç örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması gibi etkenler, günümüzde kişisel verilerin en üst seviyede korunmasını zorunlu kılmaktadır. Bu bağlamda Anayasa'nın 20. Maddesinin üçüncü fıkrasının son cümlesinde, "Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." hükmüne yer verilerek kişisel verilerin korunması hakkı anayasal güvenceye bağlanmış ve bu şekilde kamu makamlarının keyfi müdahalelerine karşı koruma altına alınmıştır." O halde yapılacak bir fayda-zarar kıyaslamasında kişisel verilere kolaylıkla ulaşılmasının yaratması muhtemel olan zararlarının sağlaması muhtemel olan yararlarına göre daha fazla ve daha mühim olduğu anlaşılmaktadır. Tüm bu açıklamalar çerçevesinde davacı tarafın icra müdürlüğüne yaptığı borçlunun anne babasını gösterir aile nüfus kaydının sorgulanarak muris tespit edilmesi halinde adına kayıtlı taşınmaz bulunup bulunmadığının sorgulanmasına ilişkin talebi yerinde olmayıp bu talebin reddine ilişkin' müdürlük kararı doğrudur. Nitekim bu hususta yerleşmeye başlayan uygulama kapsamında da mahkemelerce verilen benzer mahiyetteki kararlar Yargıtay tarafından da onanmaktadır. (Benzer mahiyette Yargıtay 12 H.D.' nin 05/05/2016 tarih ve 2015/ /13366 E.K. sayılı onama kararı) Davacı tarafın diğer talebi ise borçlunun varsa pasif taşınmaz kayıtlarının sorgulanması talebidir. Alacaklı bu yöndeki bir bilgiye kendisi ulaşamaz. Ancak bu talebin yerine getirilmesi halinde ulaşacağı pasif taşınmaz kaydı vasıtası ile örneğin tasarrufun iptali gibi bir dava açarak alacağına kavuşma imkanına sahip olabilir. Pasif tapu kaydı sorgulanasın da ulaşılacak bilgi borçlu adına daha önce kayıtlı bulunan taşınmaz bilgisi olup bu bilgi bu taşınmazın şimdiki maliki hakkında herhangi bir bilgi içermeyecektir. Bu nedenle bu kaydın dosyaya dahil edilmesi, borçlu dışındaki herhangi bir

387 İCRA DOSYASINA TARAF OLMAYAN 3. KİŞİLERE AİT KİŞİSEL NİTELİĞİNİ HAİZ TAPU KAYDI ve SATIŞ SÖZLEŞMELERİNİN İCRA MÜDÜRLÜĞÜNCE CELBİNİN İSTENEMEYECEĞİNE İLİŞKİN BAM KARARI kişinin bilgilerinin dosyaya yansıması sonucunu doğurmayacağı gibi borcun tahsili için imkan sağlayabilecektir. O halde bu yöndeki talebin icra müdürlüğünce ve özellikle de dosyanın infazına yarar sağlamayacağı ve borçlu aleyhine delil toplanamayacağı gerekçesi ile reddi yerinde değildir. Davacı tarafın şikayetinin borçlunun varsa pasif taşınmaz kayıtlarının sorgulanması talebinin reddine ilişkin karara karşı yapmış olduğu şikayet yerinde olup, şikayetin bu kısmının da mahkemece reddedilmiş olması yerinde değildir. Yukarıda açıklanan nedenlerle davacı tarafın istinaf başvurusunun kısmen kabulü ile HMK 353/1-b-2 maddesi gereği istinafa konu kararın düzeltilerek yeniden esas hakkında karar verilmesi gerekmiş ve aşağıdaki şekilde hüküm kurulmuştur. ( ) 386

388 SOSYAL MEDYA SİTESİNDE MAĞDURLARIN RIZALARINA AYKIRI ŞEKİLDE FOTOĞRAF PAYLAŞILMASININ VERİLERİ HUKUKA AYKIRI OLARAK VERME VEYA ELE GEÇİRME SUÇU OLUŞTURACAĞINA İLİŞKİN YARGITAY KARARI Yargıtay 12. Ceza Dairesi 2015/13582 E. 2017/3109 K T. ( ) Sanık H.'ın, öz kızı olan mağdur E. ile diğer mağdur C. evlendikten sonra, her iki mağdurla aralarında başlayan husumetten dolayı mağdurlara tepki olarak, Facebook adlı sosyal paylaşım sitesinde kendi ismini kullanarak açtığı hesap üzerinden, mağdur E.'nin bekarken çektirdiği ve diğer mağdur C.'ın temin ettiği resimlerini, onların uyarılarını dikkate almaksızın, rızalarına aykırı şekilde paylaştığı iddiasına konu olayda, Mağdurların günlük kıyafetleriyle poz vermiş şekilde çektirdikleri resimleri, mağdurların başkaları tarafından görülmesini ve bilinmesini istemeyecekleri özel yaşam alanlarına ilişkin görüntüler olarak kabul edilemeyeceğinden, mağdurların kişisel veri niteliğindeki resimlerini, hukuka uygunluk nedenlerinin bulunmaması nedeniyle hukuka aykırı olduğunda tereddüt bulunmayan bir yöntemle facebook hesabı üzerinden yayımlayan sanığın eylemlerinin, verileri hukuka aykırı olarak verme veya ele geçirme suçunu oluşturacağı gözetilmeden, eylemler salt özel hayatın gizliliğini ihlal suçu kapsamında değerlendirilip, yasal ve yeterli olmayan yazılı gerekçelerle sanık hakkında beraat hükümleri kurulması, kanuna aykırıdır. ( ) 387

389

390 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİĞİN YÜRÜTMESİNİN DURDURULMASI HAKKINDA DANIŞTAY KARARI Danıştay 15. Daire; E. 2016/10500; İstemin Özeti : tarihli ve Sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin muhtelif maddelerinin ve tümünün yürütmesinin durdurulması ve iptali istenilmektedir. Sağlık Bakanlığı'nın Savunmasının Özeti : Kişisel Verilerin işlenmesine İlişkin Usûl ve Esasların Ancak Kanunla Düzenlenebileceği iddiası hakkında; Anayasa'nın 20. maddesinin üçüncü fıkrasının son cümlesinde "Kişisel verilerin korunmasına dair esas ve usuller kanunla düzenlenir." hükmünün bulunduğu, Anayasa'da, "Kişisel verilerin otomatik işleme tabi tutulmasına dair usûl ve esasların ancak kanunla düzenlenebileceğine" dair herhangi bir hüküm bulunmadığı, davacının, aynı fıkranın bir önceki "Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir." cümlesi ile bu hükmü karıştırdığının düşünüldüğü, ayrıca, Yönetmeliğin dayanağı olan 663 Sayılı KHK'nın 47. maddesinin, 6698 Sayılı Kanun'un 30. maddesinin yedinci fıkrası ile düzenlendiği, dolayısı ile kişisel sağlık verilerinin işlenmesine dair usûl ve esasların Bakanlıkça yürürlüğe konulacak bir yönetmelikle düzenleneceği hususunun, 6698 Sayılı Kanun'un emredici hükmüne dayandığı, Anayasa'nın 20. maddesinde öngörülen kanun olan 6698 Sayılı Kanun'un tarihi itibariyle yürürlükte olduğu ve Anayasa'nın 20. maddesinde öngörülen hükmün bu Kanun ile yerine getirildiği, iç hukukta uygun güvencelerin sağlanması ön koşulunun yerine getirilmediğini iddia etmenin, yürürlükte olan Kanunu yok saymak anlamına geldiği, 389

391 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ ve MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİĞİN YÜRÜTMESİNİN DURDURULMASI HAKKINDA DANIŞTAY KARARI 6698 Sayılı Kanun m. 6/IV Uyarınca Yeterli Önlemlerin Henüz Belirlenmemiş Olduğu iddiası hakkında; 6698 Sayılı Kanun'un yürürlüğe girmiş olması ve 6. maddesinin dördüncü fıkrasında değinilen yeterli önlemlerin henüz belirlenmemiş olmasının, kişisel sağlık verilerinin Sağlık Bakanlığı tarafından işlenememesi için ileri sürmenin izahtan vareste olduğu, bu iddianın doğruluğunu savunmanın, özel nitelikli kişisel verilerden olan kişisel sağlık verilerinin yalnızca Sağlık Bakanlığı tarafından değil; aynı zamanda hiçbir kişi (hekim), kurum ve kuruluş (özel ve kamu sağlık tesisleri) tarafından işlenmemesini de beraberinde getireceğinin ki bunun da ülkemizdeki tüm sağlık hizmetlerinin durması anlamına geleceği, hatta dernek üyeliğinin de özel nitelikli kişisel veriler arasında zikredilmiş olması göz önünde bulundurulduğunda, davacı Türk Dermatoloji Derneği ile Türk Psikiyatri Derneğinin kendi üyelerine dair verileri işleyemeyecekleri, dernek üyesi olmaları gerekçesiyle üyelerine hiçbir iş ve işlemde bulunamayacakları, ki bu durumun hayatın olağan akışına aykırı olduğu nitekim 6698 Sayılı Kanun'un 6. maddesinin dördüncü fıkrasında öngörülen ve Kurul tarafından belirlenecek yeterli önlemlerin alınması şartının, yalnızca aynı maddenin üçüncü fıkrası uyarınca istisnai hallerde işlenen özel nitelikli kişisel veriler için de geçerli olduğu Kanun hükmünün yalnızca Sağlık Bakanlığı değil; özel nitelikli kişisel veri işleyen tüm gerçek kişiler ile özel hukuk ve kamu hukuku tüzel kişilerini bağladığı, dolayısı ile özel nitelikli kişisel verilerin işlenmesinde gerekli olan yeterli önlemlerin Kurul tarafından henüz belirlenmemiş olması hususunu, kişisel sağlık verilerinin Sağlık Bakanlığı tarafından işlenememesi için bir gerekçe olarak sunmanın tutarlı hiç bir tarafı bulunmadığı, 6698 Sayılı Kanun'un 6. maddesinin dördüncü fıkrası uyarınca özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğu, bu yeterli önlemlerin ise Kurul tarafından henüz belirlenmediği, 390

392 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ ve MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİĞİN YÜRÜTMESİNİN DURDURULMASI HAKKINDA DANIŞTAY KARARI 6698 Sayılı Kanun'un 22. maddesinin birinci fıkrasının (h) bendi gereği kişisel verilere dair hüküm içeren mevzuat taslaklarını hazırlarken Kurul'dan görüş alınmasının zorunlu olduğu davacı tarafından iddia edilmekte ise de, Kanun'da böyle bir zorunluluk bulunmadığı, ilgili hükümde, "Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere dair hüküm içeren mevzuat taslakları hakkında görüş bildirmek" hususunun, Kurulun görev ve yetkileri arasında zikredildiği, bu hükmün, Yönetmeliğin çıkartılmasında Kuruldan görüş alınmasının zorunlu olduğu anlamına gelmediği, ayrıca, Yönetmeliğin çıkartıldığı tarihte Kurulun henüz teşekkül etmediği, teşekkül etmeyen bir Kuruldan görüş alınmasının da mümkün olmadığı, Kanun'un Geçici 1. maddesinin 1. fıkrası uyarınca en geç tarihinde oluşması gereken Kurul'un bu tarihten ancak aylar sonra oluşturulduğu, Yönetmeliğin ise tarihinde Resmi Gazete'de yayımlanarak yürürlüğe girdiği, Dava konusu Yönetmelik hükümlerinin, en başta Anayasa olmak üzere kişisel veriler hukuku ile ilgili milletlerarası hukuk kurallarına, kanunlara ve hizmet gereklerine tamamiyle uygun olduğu savunulmaktadır. Kişisel Verileri Koruma Kurumu'nun Savunmasının Özeti : 12 Ocak 2017 'de, 6698 Sayılı Kanun'un 21. maddesi hükümlerine göre, -en son iki üyesi 4 Ocak 2017'de TBMM Genel Kurulu Kararıyla seçilmiş- seçilen Kişisel Verileri Koruma Kurulu üyelerinin Yargıtay 1. Başkanlık Kurulu huzurunda yemin ettikleri, 30 Ocak 2017'de Başkan ve 2 Başkanın seçildiği, Kurum tarafından halihazırda başta hizmet birimlerinin çalışma usul ve esaslarını belirleyen teşkilat yönetmeliğinin hazırlanması ile diğer mevzuat hazırlıkları, idari ve teknik çalışmalarının yürütüldüğü, Sağlık Bakanlığı tarafından çıkarılan davaya konu yönetmeliğin hazırlanma sürecinde Kurumun dahlinin bulunmadığı, işbu davada taraf sıfatına haiz olmadıkları, 391

393 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ ve MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİĞİN YÜRÜTMESİNİN DURDURULMASI HAKKINDA DANIŞTAY KARARI Anayasa'nın 20. maddesinin 3. fıkrasındaki, kişisel verilerin korunmasına dair esas ve usullerin kanunla düzenlenmesi hükmünün, bu alanın yalnızca kanunla düzenleneceği anlamına gelmediği, Anayasa'nın 20. maddesinde öngörülen kanun olan 6698 Sayılı Kanun ile düzenleme altına alman fiillerin ne zaman hukuka aykırı, ne zaman hukuka uygun olduğunun tereddütsüz olarak belirlendiği, suç teşkil eden fiiller bakımından da Kanundan önce yürürlükte bulunan Türk Ceza Kanunu'nun maddelerine özel olarak atıfta bulunulduğu, sağlık verilerinin özel nitelikli kişisel veri olduğu, bu konunun da Kanunun 6. maddesiyle düzenlendiği özel nitelikli kişisel verilere rastgele, dayanaksız bir müdahalede bulunulmasının söz konusu olmadığı savunulmaktadır. Danıştay Tetkik Hakimi Düşüncesi : Yönetmeliğin iptali istenen maddelerinin incelemesine geçilmesi gerektiği düşünülmektedir. TÜRK MİLLETİ ADINA Hüküm veren Danıştay Onbeşinci Dairesince davalı idarelerin birinci savunmaları alındıktan sonra incelenmesine karar verilen yürütmenin durdurulması istemi, savunmaların verildiği görülmüş olmakla incelenerek işin gereği görüşüldü: KARAR : Dava, tarihli ve Sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin muhtelif maddelerinin ve tümünün yürütmesinin durdurulması ve iptali istemiyle açılmıştır. Davacılar, Anayasa'da kişisel verilerin otomatik işleme tabi tutulmasına dair usul ve esasların ancak kanunla düzenlenebileceği belirtilmişken, sağlık verilerinin işlenme ve korunma kurallarının yönetmelikle düzenlendiği, 6698 Sayılı Kanun'da sağlık gibi özel nitelikli verilerin işlenmesinde uyulacak önlemleri belirlemekle yetkili olan Kişisel Verileri Koruma Kurulu 392

394 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ ve MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİĞİN YÜRÜTMESİNİN DURDURULMASI HAKKINDA DANIŞTAY KARARI oluşturulmadan alana dair düzenleme yapıldığı, Kanunun 22. maddesinin 1. fıkrasının (h) bendine göre diğer kurum ve kuruluşların kişisel verilere dair hüküm içeren mevzuat taslaklarını hazırlarken Kurul'dan görüş almasının zorunlu olduğu, Dava konusu düzenlemede sağlık hizmeti ilişkisinin iki tarafı olan hekimlerin sır saklama başta olmak üzere mesleki hak ve yükümlülükleri ile veri sahibi hastanın haklarının yok sayıldığı, bu durumun aynı zamanda hastanın Anayasa'nın 56. maddesinde güvence altına alınan sağlık hakkını ihlal ettiği, Sağlık verilerinin rıza alınmaksızın işlenebileceği istisnai hallerin Yönetmelik ve dayanak kanunda, ülkemizce usulüne uygun olarak onaylanarak yürürlüğe giren 1981 tarihli ve 108 Sayılı "Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Sözleşme"ye aykırı biçimde geniş tutulduğu, özel hayatın korunması ilkesinin özünün zedelendiği, Sözleşmenin 9. maddesinin 2. fıkrasında sağlık verilerinin işlenmeme yasağına sadece devlet güvenliğinin korunması, kamu güvenliği, devletin mali menfaatleri veya suçların önlenmesi ile ilgili kişinin veya başkasının hak ve özgürlüklerinin korunması" halinde istisna getirilebileceği; ancak bu istisnaların da kanunla düzenlenmesinin ve demokratik bir toplumda zorunlu olmasının ön koşul olduğu, maddenin 1. fıkrasına göre ise sayılan bu haller dışında devletlerin başka istisnai halleri düzenleyemeyeceği, Dava konusu Yönetmeliğin "Kişisel sağlık verilerinin işlenmesi" başlıklı 7 maddesinin 1 fıkrasında "Kişisel sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik tıbbî teşhis tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği"nin belirtilerek sözleşmedeki hallerin keyfi biçimde genişletildiği, bu maddenin 6698 Sayılı 393

395 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ ve MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİĞİN YÜRÜTMESİNİN DURDURULMASI HAKKINDA DANIŞTAY KARARI Kanun'un 6 maddesinin 3. fıkrasının aynen tekrarı olduğu, diğer dayanak 663 Sayılı KHK'nın 47 maddesinin 2. fıkrasında da yer aldığı, Maddede sayılan hallerin hiçbirinin demokratik bir toplumda gerekli, elzem, amaçla orantılı ve ölçülü bir tedbir olmadığı, Neredeyse hiçbir istisna hali bırakılmaksızın niteliği ne olursa olsun tüm sağlık verilerinin işlenmesi kamu kurumlan arasında paylaşılması ve uluslararası güçlere aktarılmasının toplumsal kaygılarla kişileri sağlık hizmeti almaktan alıkoyabileceği, kişilerin bilgilerini kamusal olarak kaydedilmesinden endişe ederek' bazı temel hak ve hürriyetleri kullanmaktan imtina edebilecekleri, Bu sebeplerle Yönetmeliğin 8. maddesinin 1. fıkrası ile 7. maddesinin 1. fıkrasının ve bu fıkranın dayanağı olan 6698 Sayılı Kanun'un 6. maddesinin 3. fıkrasının ve 663 Sayılı KHK'nın 47. maddesinin, Anayasa'nın 2., 17., 20., 56. maddelerine, 108 Sayılı Sözleşmenin 9 maddesinin 2. fıkrasına ve BİYOTIP Sözleşmesinin özel hayat ve bilgi edinme hakkına yönelik 10. maddesine aykırılığından hareketle Anayasa'nın 90. maddesine aykırı olduğu, Nitekim, 6698 Sayılı Kanun'un bir çok hükmünün ana muhalefet partisi tarafından Anayasa Mahkemesi'ne götürüldüğü, bu hükümler içerisinde 6. maddesinin 3 fıkrasının 663 Sayılı KHK'nın 47. maddesinin de bulunduğu, Yönetmeliğin sağlık verilerinin korunmasına dair yeterli ve objektif hükümler içermediği, 6. maddenin, 2. fıkrasındaki "Sağlık hizmet sunucuları, kişisel sağlık verilerinin mahremiyetini sağlamak amacıyla Bakanlıkça belirlenen tüm önlemleri alır." 7. fıkrasının son cümlesindeki "Yetkilendirme, kayıt altına alma ve verilerin muhafazasına dair hususlar, Genel Müdürlükçe belirlenir." 394

396 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ ve MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİĞİN YÜRÜTMESİNİN DURDURULMASI HAKKINDA DANIŞTAY KARARI 8. fıkrasındaki "Kişisel sağlık verilerinin bulunduğu bilgi sistemlerine erişen kullanıcıların erişim kaydı, sağlık hizmet sunucularının sistemlerinde Bakanlıkça belirlenen standartlara uygun olarak tutulur." 7. maddenin 4. fıkrasındaki "Kişisel sağlık verilerinin işlenmesinde ayrıca Kurul tarafından belirlenen yeterli önlemler de alınır." 8. maddenin 3. fıkrasındaki "Kanun ile belirlenmiş olan görev ve sorumluluklarını yerine getirmek üzere veri talebinde bulunan kamu kurum ve kuruluşları ile Bakanlık veya bağlı kurum ve kuruluşları arasında yapılacak veri aktarımı; aktarımın usulünü ve diğer gerekli hususları belirleyen bir protokol aracılığı ile yapılır." ibarelerinde sağlık verilerini korumanın yöntemi, esasları, kapsam, tam belirlenmeden idareye ucu açık, çevresi çizilmemiş, sınırsız bir yetki verildiği; yönetmelikle düzenlenmesi gereken hususların idarenin keyfine bırakıldığı kişisel sağlık verilerinin idare tarafından işlenerek içeriği belirsiz protokoller ile diğer kamu kurum ve kuruluşlarına aktarılabileceği, veri sahiplerinin ise bu protokol içeriklerine müdahale edemeyecekleri, aktarımda uygulanacak kuralların belirli biçimde düzenlenmemesi ve protokole bırakılması sebebiyle aktarımda uyulacak esasların da bilinemeyeceği, Yönetmeliğin 4. maddesinin 1. fıkrasının (o) bendinde yer alan veri sorumlusunun 6698 Sayılı Kanun'un 3. maddesinin (ı) bendinin aynen tekrar, olduğu, 11. maddesinde de veri sorumlusunun görevi, yetkileri ve sorumluluk sınırlarının düzenlendiği, ancak veri sorumlusunun kim olacağının belirtilmediği, oysa sağlık verilerini işlemeye girişen bu sistemi kuran sağlık hizmet sunucularını buna uymaya zorlayan idarenin bu sorumluluğu da üstlenerek veri sorumlusu olarak kabulünün gerektiği, veri sorumlusunun kim olacağının yoruma yer bırakmayacak şekilde açıkça düzenlenmesinin gerektiği, yani mevcut hükümlerin noksan düzenleme sebebiyle hukuka aykırı oldukları, 395

397 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ ve MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİĞİN YÜRÜTMESİNİN DURDURULMASI HAKKINDA DANIŞTAY KARARI Sağlık verisi sahibinin Anayasa ve 108 numaralı Sözleşme ile güvence altına alınan haklarının yönetmelikle ortadan kaldırıldığı, Örneğin, veri sahibi kişilerin tutulan tutulan sağlık verilerinin başka kurumlara ya da özel firmalara aktarılmasına rıza göstermeme gibi bir hakka sahip olmadığı, bu durumun verilerin silinmesini talep hakkı için de geçerli olduğunu, Yönetmeliğin 15. maddesinin 5. fıkrasında "ilgili kişi, kişisel sağlık kaydı sistemi üzerinden kendisine dair sağlık verilerini yönetebilir bu verileri silebilir, eksik bilgilerinin sisteme eklenmesini, yanlış bilgilerin düzeltilmesini veya silinmesini talep edebilir, kullanıcı hesabını dondurabilir" düzenlemesine yer verildiğini, ancak verilerin asıl tutulduğu ve Bakanlığın elinde olan sistemin "Merkezi Sağlık Veri Sistemi" olduğu veri sahibinin bu sisteme müdahale olanağının bulunmadığı, sadece kendi kendi hesabı olan kişisel sağlık kaydı sistemi üzerinde değişiklik yapmasının bir anlamının bulunmadığı, Yönetmeliğin 5. maddesinin 2. fıkrasının (d) bendine göre sağlık verilerinin işlendikleri amaç için gerekli olan süre kadar saklanabileceğinin belirtildiği, ancak verilerin hangi süreden sonra silineceğinin düzenlenmediği, 9. maddenin 3. fıkrasında işlenen sağlık verilerinin yerel veri tabanından 10 yıl sonra silineceğinin belirtildiği, ancak sistemin ana bilgi deposu olan merkezi sağlık veri sisteminden ne zaman silineceğinin düzenlenmediği, 9. maddenin 1. fıkrasındaki "Bu Yönetmelik, 6698 Sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel sağlık verileri, ilgili kişinin talebi üzerine veri sorumlusu tarafından anonim hale getirilir veya silinir." ibaresi ile idareye takdir hakkı tanındığı oysa işlenme sebebi ortadan kalkar kalkmaz verinin silinmesinin esas olması gerektiği, 9. maddenin 2. fıkrası ile sağlık verisi sahibinin silinme talep etmesine rağmen idare tarafından "bir hakkın tesisi, kullanılması veya korunması ya da verilerin 396

398 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ ve MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİĞİN YÜRÜTMESİNİN DURDURULMASI HAKKINDA DANIŞTAY KARARI ihtiyaç halinde adli mercilere verilebilmesi" gibi son derece muğlak ve her durumu kapsayan hallerde verilerin silinmeyip arşivlendiği, Bu nedenlerle, Yönetmeliğin 9. maddesinin 1., 2. ve 3. fıkralarının hukuka aykırı olduğu, Yönetmelikle "Kişisel Sağlık Verileri Komisyonu" adı altında dayanak yasalarda öngörülmeyen bir komisyonun oluşturulduğu, Kişisel Verileri Koruma Kurulunun yurtdışına veri aktarılmasına karar verme yetkisinin Komisyona verildiği, "Sağlık Verileri Komisyonu" başlıklı 12. maddenin 1. fıkrasında "Kişisel sağlık verilerine dair hususlarda, Kanunun ve Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlık politikasının belirlenmesine yardımcı olmak, görüş belirtmek anlaşmazlıkları çözümlemek veri aktarımına dair başvurular, değerlendirmek şikayetleri incelemek ve gerekli denetimleri yapmak üzere, Müsteşara bağlı olarak görev yapacak Kişisel Sağlık Verileri Komisyonunun oluşturulduğu" 2 fıkrasında "Komisyonun, Müsteşarın veya görevlendirdiği Müsteşar Yardımcısının başkanlığında Hukuk Müşavirliği, Sağlık Hizmetleri Genel Müdürlüğü, Sağlık Bilgi Sistemleri Genel Müdürlüğü, Yönetim Hizmetleri Genel Müdürlüğü, Acil Sağlık Hizmetleri Genel Müdürlüğü, Türkiye Kamu Hastaneleri Kurumu, Türkiye Halk Sağlığı Kurumu, Türkiye İlaç ve Tıbbi Cihaz Kurumu ve Türkiye Hudut ve Sahiller Sağlık Genel Müdürlüğünün bu işle ilgili yetkilendirildikleri birer üyeden üyeden oluşacağının" düzenlendiği, Alana dair önemli kararlar, alan sürekli kurulların Bakanlıkların görev ve yetkisini düzenleyen kanunlarda açıkça düzenlenmiş ya da kurulmasına olanak sağlanmış olmasının şart olduğu, bu haliyle Komisyonun kuruluş meşruiyetini yasadan alan, tarafsız ve alana dair meslek örgütlerinin 397

399 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ ve MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİĞİN YÜRÜTMESİNİN DURDURULMASI HAKKINDA DANIŞTAY KARARI katılımıyla oluşan bir oluşum olmadığı, bu sebeple 12. maddenin tamamının hukuka aykırı olduğu, Yönetmeliğin 8. maddesinin 4. fıkrasındaki "Kişisel sağlık verilerinin uluslararası aktarımına dair her türlü talep ile bu maddede sayılanlar dışındaki veri aktarım talepleri Kanunda öngörülen hükümler çerçevesinde, genetik verilerin hassasiyeti hususu da dikkate alınarak Komisyon tarafından değerlendirilir" ibaresinin, 6698 Sayılı Kanun'un 9. maddesine açıkça aykırı olduğu, Kanunda yurt dışına veri aktarılmasına yönelik talepler hakkında karar verme yetkisinin Kişisel Verileri Koruma Kurulu'nda olduğunu ileri sürerek, düzenlemenin yürütmesinin durdurulması ve iptalini istemektedirler tarihli ve Sayılı Resmi Gazete'de yayımlanarak yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Türkiye Büyük Millet Meclisine sunulan genel gerekçesinden de anlaşılacağı üzere, kişisel verilerin korunması konusunun pek çok sektörü ve kamu ya da özel pek çok kurumu ilgilendirmesi sebebiyle bir "çerçeve kanun" olarak hazırlanmıştır. Bu Kanuna neden ihtiyaç duyulduğunu açıklayan genel gerekçede Türk Ceza Kanunu'nun 135 vd. maddelerinde kişisel verilerin hukuka aykırı olarak elde edilmesi kaydedilmesi veya ifşa edilmesi fiillerinin suç olarak düzenlendiği ve yaptırıma başlandığı, ancak kişisel verilerin işlenmesine yönelik özel bir kanun bulunmaması sebebiyle bu fiillerin ne zaman hukuka aykırı ne zaman hukuka uygun olduğunun belirlenmesinde tereddütler yaşandığı vurgulanmaktadır. Ayrıca 2010 yılında Anayasa'nın 20. maddesinde yapılan düzenlemeyle kişisel verilerin korunması temel bir insan hakkı olarak güvence alınmış ve konuya dair usul ve esasların kanunla düzenleneceği öngörülmüştür. Genel gerekçede, kişisel verilerin korunmasına yönelik bir kanuni düzenleme olmamasının uluslararası ilişkiler açısından da sorunlar yarattığı, EUROPOL 398

400 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ ve MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİĞİN YÜRÜTMESİNİN DURDURULMASI HAKKINDA DANIŞTAY KARARI EUROJUST gibi Avrupa kurumları ile ilişkilerin sekteye uğradığı, sağlık kuruluşlarınca tutulan kişisel verilerin güvenliğinin sağlanmasında yeterli yasal önlem olmamasının Avrupa İnsan Hakları Mahkemesince özel hayatın gizliliğine müdahale olarak kabul edildiği ve bu sebeple ihlal kararları verildiği belirtilmektedir. Yine genel gerekçede, bu Kanunun Türkiye'nin Avrupa Birliğine üyelik süreci açısından da önemine dikkat çekilmekte, Türkiye'nin, Avrupa Konseyi tarafından tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan 108 Sayılı "Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi" ne de 1981 yılından itibaren taraf olduğu ifade edilmektedir. Bütün bu hususlardan anlaşılacağı üzere 6698 Sayılı Kanun, kişisel verilerin korunması konusunda önemli bir yasal boşluğu doldurmak amacıyla kabul edilen çerçeve niteliğinde bir yasal düzenlemedir. Genel gerekçede yer verilen şu tespit Kanun ile oluşturulan Kişisel Verileri Koruma Kurulu'nun genel kontrol ve denetleme işlevlerine dikkat çekmesi bakımından önemlidir. "Ülkemizde kişisel verilerin işlenmesi sürecini kontrol edecek ve denetleyecek bir kurum bulunmamaktadır. Bunun bir sonucu olarak halen kişisel veriler yeterli düzenleme ve denetime tabi olmaksızın, birçok kişi veya kurum tarafından kullanabilmekte ve bu durum bazı hak ihlallerinin yaşanmasına sebep olabilmektedir." 6698 Sayılı Kanun'un 21. maddesi hükümlerine göre oluşturulan Kişisel Verileri Koruma Kurulunun görev ve yetkileri, aynı Kanun'un 22. maddesiyle belirlenmiştir. 22. maddenin 1. fıkrasının (h) bendinde "Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere dair hüküm içeren mevzuat taslakları hakkında görüş bildirmek" hükmüne yer verilmiştir Anılan Kanun'un, "özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6. maddesinin 1. fıkrasında davaya konu Yönetmelikle düzenlenen, sağlık 399

401 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ ve MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİĞİN YÜRÜTMESİNİN DURDURULMASI HAKKINDA DANIŞTAY KARARI verilerinin de özel nitelikli kişisel veri olduğu belirtilmiş; maddenin 4. fıkrasında, "özel nitelikli kişisel verilerin işlenmesinde ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır." hükmü getirilmiştir Sayılı Kanun'un Geçici 1. maddesi hükmü uyarınca, Kanunun 21. maddesine göre oluşturulacak Kişisel Verileri Koruma Kurulu'nun Kanunun Resmi Gazetede yayımlandığı 7/4/2016 tarihinden itibaren altı ay içinde üyelerinin seçiminin tamamlanması gerekmekte iken, bu yasal gerekliliğin ancak tarihinde yerine getirilebildiği anlaşılmaktadır. Davalıların savunmaları ve dosya içeriğinden, davaya konu yönetmeliğin Resmi Gazete'de yayımlandığı tarih olan 'da Kişisel Verileri Koruma Kurulu'nun henüz oluşturulmadığı, dolayısıyla 6698 Sayılı Kanun'un 6. maddesinin 4. fıkrasında belirtilen yeterli önlemlerin Kurul tarafından belirlenmediği ve Kanun'un 22. maddesinin 1. fıkrasının (h) bendine göre diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere dair hüküm içeren mevzuat taslakları hakkında Kurul görüşü alınmadan davaya konu düzenlemenin tesis edildiği görülmektedir. Yukarıda yer verilen genel gerekçe ve Kanun hükümlerine göre, Kişisel Verileri Koruma Kurulu'nun kişisel verilerin korunması konusunda genel nitelikte bir kontrol ve denetim yetkisine sahip olduğu, diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere dair hükümler içeren mevzuat taslakları hakkında Kişisel Verileri Koruma Kurulun'dan görüş alınmasının şart olduğu, Kişisel Verileri Koruma Kurulu'nun kontrol ve denetiminden geçirilmeksizin hazırlanan ve tarihinde Resmi Gazete'de yayımlanarak yürürlüğe giren davaya konu düzenlemede bu sebeple mevzuata ve hukuka uygunluk bulunmadığı sonucuna ulaşılmıştır. SONUÇ : Açıklanan nedenlerle, olayda 2577 Sayılı İdari Yargılama Usulü Kanunu'nun 4001 Sayılı Kanun ile değişik 27. maddesinin 2. fıkrasında sayılan koşullar gerçekleşmiş olduğundan yürütmenin durdurulması isteminin 400

402 KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ ve MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİĞİN YÜRÜTMESİNİN DURDURULMASI HAKKINDA DANIŞTAY KARARI kabulüne, tarihli ve Sayılı Resmi Gazetede yayımlanarak yürürlüğü giren, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin yürürlüğünün durdurulmasına, bu kararın tebliğini izleyen günden itibaren 7 gün içinde İdari Dava Daireleri Kurulu'na itiraz yolu açık olmak üzere, tarihinde oyçokluğu ile karar verildi. 401

403