TBMM Genel Kurulu’nda “temel kanun” olarak görüşülen ve daha önce 6 maddesi kabûl edilen Kişisel Verilerin Korunması Yasa Tasarısı’nın birinci bölümünde yer alan 8 madde daha görüşüldü. Görüşülen 8 madde de kabûl edildi. Kabûl edilen maddelere göre, kişisel verilerin işlenmesinde, başta “özel hayatın gizliliği” olmak üzere “kişilerin temel hak ve özgürlükleri”ni korumak ve kişisel verileri işleyenlerin yükümlülükleri ve uyacakları usûl ve esaslar düzenleniyor.
Tasarıya göre, kişisel veriler ancak usûl ve esaslara uygun olarak işlenebilecek.
Kişisel verilerin işlenmesinde; “hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkelerine uyulması zorunlu olacak.
Kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemeyecek. İlgili kişinin açık rızası aranmaksızın, şu şartlardan en az birinin varlığı hâlinde veriler yeterli önlem alınarak işlenebilecek:
“- Kanunlarda açıkça öngörülmesi,
- Rızasını açıklayamayacak durumda bulunan veya rızasına hukukî geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı ve beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukukî yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.”.
Kişilerin ırkı, etnik kökeni, siyasî düşüncesi, felsefî inancı, dinî, mezhebî veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri “özel nitelikli kişisel veri” sayılacak. Özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasak olacak.
Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilecek. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ve finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecek.
Özel nitelikli kişisel verilerin işlenmesinde ayrıca Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması şart olacak.
Kanunlara uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler, resen veya ilgili kişinin talebi üzerine silinecek, yok edilecek veya anonim hâle getirilecek.
Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamayacak, ancak belirtilen şartlardan birinin bulunması hâlinde açık rıza aranmadan aktarılabilecek.
Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacak. Kişisel veriler ancak; kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin bulunması şartıyla yurt dışına aktarılabilecek.
Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak kurulun izniyle yurt dışına aktarılabilecek.
Herkes Kendisiyle İlgili Veri İşlenip İşlenmediğini Öğrenebilecek
Tasarıyla, kişisel verileri işlenen kişinin hakları düzenleniyor. Buna göre; herkes, kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenebilecek, kişisel verileri işlenmişse buna ilişkin bilgi talep edebilecek, kişisel verilerin aktarıldığı üçüncü kişileri bilebilecek, kişisel verilerin eksik veya yanlış işlenmesi hâlinde bunların düzeltilmesini isteyebilecek, kişisel verilerin silinmesini veya yok edilmesini isteyebilecek, kişisel verilerin ilgili kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep edebilecek.
Tasarıyla, veri sorumlusunun veri güvenliğinin sağlanmasına ilişkin yükümlülükleri düzenleniyor. Buna göre, veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, bu verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri alacak.
Kişisel Verileri Başkasına Açıklayamayacak
Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu düzenlemedeki hükümlere aykırı olarak başkasına açıklayamayacak, kendi şahsî çıkarları için kullanamayacak. Bu yükümlülük, görevden ayrılmalarından sonra da devam edecek.
Tasarıyla, veri sorumlusuna başvuru yolu düzenleniyor. Buna göre, ilgili kişi taleplerini veri sorumlusuna iletecek. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandıracak. Ancak işlemin ayrıca bir maliyeti gerektirmesi hâlinde kurulca belirlenen tarifedeki ücret alınabilecek. Veri sorumlusu talebi kabûl edecek veya gerekçesini açıklayarak reddedecek ve cevabını ilgili kişiye yazıyla ya da elektronik ortamda bildirecek.
Başvurusu reddedilen kişi, cevabı öğrendiği tarihten itibaren 30 ve her hâlde başvuru tarihinden itibaren 60 gün içinde kurula şikâyette bulunabilecek. Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklı olacak.
TBMM Başkanvekili Ahmet Aydın, tasarının 14. maddesinin kabûl edilmesinin ardından birleşime ara verdi. Aranın ardından komisyonun yerine oturmaması üzerine Aydın, birleşimi saat 14.00'te toplanmak üzere kapattı.
AA