2016-02-10 - 14:30
Adalet Komisyonu'nda, başta özel hayatın gizliliği olmak üzere, kişilerin temel hak ve özgürlüklerini koruyan, "Kişisel Verilerin Korunması Kanunu Tasarısı" kabul edildi.
Adalet Komisyonu'nda, başta özel hayatın gizliliği olmak üzere, kişilerin temel hak ve özgürlüklerini koruyan, "Kişisel Verilerin Korunması Kanunu Tasarısı" kabul edildi.
AK PARTİ Ankara Milletvekili Ahmet İyimaya başkanlığında toplanan komisyon, Kişisel Verilerin Korunması Tasarısı'nı alt komisyon metni üzerinden görüştü.
Adalet Komisyonu'nda kabul edilen Kişisel Verilerin Korunması Kanunu Tasarısı, kişisel verilerin işlenmesinde, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyenlerin yükümlülükleri ve uyacakları usul ve esasları düzenliyor.
Tasarıya göre, kişisel veriler ancak usul ve esaslara uygun olarak işlenebilecek.
Kişisel verilerin işlenmesinde; "hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme" ilkelerine uyulması zorunlu olacak.
Kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemeyecek. İlgili kişinin açık rızası aranmaksızın, şu şartlardan en az birinin varlığı halinde veriler işlenebilecek:
"- Kanunlarda açıkça öngörülmesi,
- Rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı ve beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
- Yeterli önlem alınarak işlenecek."
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri sayılacak. Özel nitelikli kişisel veriler, Kişisel Verileri Koruma Kurulunca belirlenen yeterli önlemler alınmaksızın hiçbir şekilde işlenemeyecek.
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasak olacak.
Bu kişisel verilerin işlenmesinde ancak "kanunlarda açıkça öngörülmesi", "kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi" şartı aranacak.
Özel nitelikli kişisel veriler, Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması şartıyla işlenebilecek.
Kanunlara uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler, resen veya ilgili kişinin talebi üzerine silinecek, yok edilecek veya anonim hale getirilecek.
Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamayacak, ancak belirtilen şartlardan birinin bulunması halinde açık rıza aranmadan aktarılabilecek.
Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacak. Kişisel veriler ancak; kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin bulunması şartıyla yurt dışına aktarılabilecek.
Tasarıyla, kişisel verileri işlenen kişinin hakları düzenleniyor.
Buna göre; herkes, kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenebilecek, kişisel verileri işlenmişse buna ilişkin bilgi talep edebilecek, kişisel verilerin aktarıldığı üçüncü kişileri bilebilecek, kişisel verilerin eksik veya yanlış işlenmesi halinde bunların düzeltilmesini isteyebilecek, kişisel verilerin silinmesini veya yok edilmesini isteyebilecek, kişisel verilerin ilgili kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep edebilecek.
Tasarıyla, veri sorumlusunun veri güvenliğinin sağlanmasına ilişkin yükümlülükleri düzenleniyor. Buna göre, veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, bu verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alacak.
Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu düzenlemedeki hükümlere aykırı olarak başkasına açıklayamayacak, kendi şahsi çıkarları için kullanamayacak. Bu yükümlülük, görevden ayrılmalarından sonra da devam edecek.
Tasarıyla, veri sorumlusuna başvuru yolu düzenleniyor. Buna göre, ilgili kişi taleplerini veri sorumlusuna iletecek. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandıracak. Ancak işlemin ayrıca bir maliyeti gerektirmesi halinde Kurulca belirlenen tarifedeki ücret alınabilecek. Veri sorumlusu talebi kabul edecek veya gerekçesini açıklayarak reddedecek ve cevabını ilgili kişiye yazıyla ya da elektronik ortamda bildirecek.
Başvurusu reddedilen kişi, cevabı öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kurula şikayette bulunabilecek. Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklı olacak.
Kişisel Verilerin Korunması Kanunu Tasarısına göre, Kişisel Verileri Koruma Kurulu gözetiminde, Kurum Başkanlığınca kamuya açık olarak Veri Sorumluları Sicili tutulacak.
Kişisel verileri işleyenler, veri işlemeye başlamadan önce sicile kaydolmak zorunda olacak ancak işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle Kurul tarafından sicile kayıt zorunluluğuna istisna getirilebilecek.
Kişisel verileri silmeyen veya anonim hale getirmeyenlere, bir yıldan iki yıla kadar hapis cezası verilecek.
Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenlere 15 bin liradan 1 milyon liraya kadar, Kurul tarafından verilen kararları yerine getirmeyenlere 25 bin liradan 1 milyon liraya kadar, sicile kayıt ve bildirim yükümlülüğüne aykırı hareket edenlere 20 bin liradan 1 milyon liraya kadar idari para cezası uygulanacak.
Bu eylemleri yapan memurlar hakkında disiplin hükümlerine göre işlem gerçekleştirilecek.
Tasarıyla, verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip Kişisel Verileri Koruma Kurumu oluşturuluyor.
Kurum, Başbakanlıkla ilişkili ve merkezi Ankara'da olacak. Kurum, yıllık faaliyet raporunu Cumhurbaşkanlığına, TBMM İnsan Haklarını İnceleme Komisyonuna ve Başbakanlığa sunacak.
Kişisel Verileri Koruma Kurulu, görev ve yetkilerini bağımsız olarak yerine getirecek; hiçbir organ, makam, merci veya kişi Kurula emir ve talimat veremeyecek, tavsiye veya telkinde bulunamayacak.
Kurul, yedi üyeden oluşacak. Kamu veya özel sektörde en az on yıl görev yapanlar arasından Bakanlar Kurulu'nca dört, Cumhurbaşkanı'nca üç üye seçilecek.
Kurul başkan ve ikinci başkanı, üyeler arasından Bakanlar Kurulu tarafından belirlenecek. Kurul üyelerinin görev süresi dört yıl olacak; süresi biten üye yeniden seçilebilecek.
Seçilen üyeler Yargıtay Birinci Başkanlık Kurulu huzurunda, "Anayasa'ya ve kanunlara uygun olarak tam bir tarafsızlık, dürüstlük, hakkaniyet ve adalet anlayışı içinde yerine getireceğime, namusum ve şerefim üzerine yemin ederim" şeklinde yemin edecek.
Üyeler, kuruldaki resmi görevlerinin dışında resmi veya özel hiç bir görev alamayacak; dernek, vakıf ve kooperatiflerde yöneticilik yapamayacak, ticaretle uğraşamayacak, hakemlik ve bilirkişilik yapamayacak. Ancak, asli görevlerini aksatmayacak şekilde ders ve konferans verebilecek ve bunların ücretlerini alabilecek.
Üyelerin görevleri sebebiyle işledikleri iddia edilen suçlara ilişkin soruşturmalar, Memurlar ve Diğer Kamu Görevlilerinin Yargılanması Hakkında Kanuna göre yapılacak, soruşturma izni de Başbakan tarafından verilecek.
Kurul üyelerinin süreleri dolmadan görevlerine son verilemeyecek.
Kurulun görev ve yetkilerinin sıralandığı tasarıya göre, Kurulun toplantı günlerini ve gündemini Başkan belirleyecek. Kurul, en az beş üye ile toplanacak ve üye tam sayısının salt çoğunluğuyla karar alacak.
Kurul üyeleri; kendileri, akrabaları, evlatlıkları, eşleri, boşandıkları eşlerini ilgilendiren toplantı ve oylamaya katılamayacak; öğrendikleri sırları açıklayamayacak, kendi yararına kullanamayacak.
Kişisel Verileri Koruma Kurumunda, uzman ve uzman yardımcısı istihdam edilebilecek. Kişisel Verileri Koruma Uzmanı kadrosuna atananlara, bir defaya mahsus olmak üzere bir derece yükseltilmesi uygulanacak.
Kurum personeli, 657 sayılı Kanuna tabi olacak. Başka kurum ve kuruluşlarda çalışanlardan uzmanlığına ihtiyaç duyulanların Kurumda görevlendirilmesine imkan sağlanıyor.
Kuruma 195 kadro ihdas ediliyor.
Tasarıda, düzenleme kapsamı dışında tutulan hususlar da belirtiliyor.
Buna göre, gerçek kişilerin kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetleri; kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi; kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği veya kişilik haklarını ihlal etmemek kaydıyla sanat, tarih, edebiyat veya bilimsel amaçlarla veya ifade özgürlüğü kapsamında işlenmesi kapsam dışında tutuluyor.
Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi istisna olarak düzenleniyor. Buna göre, Milli İstihbarat Teşkilatı ile diğer istihbarat birimlerinin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini ve ekonomik güvenliği sağlamaya yönelik faaliyetler kapsamında işlediği veriler düzenleme kapsamı dışında olacak.
Hazine yardımları, taşınır ve taşınmazdan elde edilen gelirler, alınan bağış ve yardımlar kurumun gelirlerini oluşturacak.
Bilişim sisteminin kendi içinde veya bilişim sistemleri arasında gerçekleşen veri nakillerini, sisteme girmeksizin teknik araçlarla hukuka aykırı olarak izleyen kişi bir yıldan üç yıla kadar hapis cezası ile cezalandırılacak.
Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilecek.
Bir cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun, bilişim sistemlerinin araç olarak kullanılması suretiyle işlenmesi durumunda, bunları imal ve ithal eden, sevk eden, nakleden, depolayan, satan kişi bir yıldan üç yıla kadar hapis cezasına çarptırılacak.
Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulacak.
Bu sistem, e-devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilecek. Bu amaçla, Sağlık Bakanlığı'nca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabilecek.
Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve finansmanı amacıyla Bakanlık, elde edilen verileri alarak işleyebilecek. Bakanlık, toplanan ve işlenen verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kuracak.
Bakanlık, düzenleme uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alacak. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkan tanıyan bir güvenlik sistemi kuracak.
Yönetmelikler, Kişisel Verileri Koruma Kurumu tarafından yürürlüğe konulacak.
Düzenlemenin yayımı tarihinden itibaren altı ay içinde Kişisel Verileri Koruma Kurulu üyeleri seçilecek ve Başkanlık teşkilatı oluşturulacak.
Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde sicile kayıt yaptırmak zorunda olacak. Daha önce işlenmiş kişisel veriler, düzenlemenin yayımı tarihinden itibaren 2 yıl içinde Kanun hükümlerine uygun hale getirilecek.
Düzenleme hükümlerine aykırı olduğu tespit edilen kişisel veriler derhal silinecek, yok edilecek veya anonim hale getirilecek.
Düzenlemenin yayımı tarihinden itibaren bir yıl içinde, kamu kurum ve kuruluşlarında koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Başkanlığa bildirilecek.
İlk seçilen Başkan, İkinci Başkan ve kura ile belirlenen bir üye 6 yıl; diğer dört üye ise 4 yıl görev yapacak.
Kurumun giderleri, bütçe tahsis edilene kadar Başbakanlık bütçesinden karşılanacak, hizmet birimleri faaliyete geçinceye kadar da sekretarya hizmetleri Başbakanlık tarafından yerine getirilecek.
AK PARTİ Ankara Milletvekili Ahmet İyimaya başkanlığında toplanan komisyon, Kişisel Verilerin Korunması Tasarısı'nı alt komisyon metni üzerinden görüştü.
Adalet Komisyonu'nda kabul edilen Kişisel Verilerin Korunması Kanunu Tasarısı, kişisel verilerin işlenmesinde, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyenlerin yükümlülükleri ve uyacakları usul ve esasları düzenliyor.
Tasarıya göre, kişisel veriler ancak usul ve esaslara uygun olarak işlenebilecek.
Kişisel verilerin işlenmesinde; "hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme" ilkelerine uyulması zorunlu olacak.
Kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemeyecek. İlgili kişinin açık rızası aranmaksızın, şu şartlardan en az birinin varlığı halinde veriler işlenebilecek:
"- Kanunlarda açıkça öngörülmesi,
- Rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı ve beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
- Yeterli önlem alınarak işlenecek."
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri sayılacak. Özel nitelikli kişisel veriler, Kişisel Verileri Koruma Kurulunca belirlenen yeterli önlemler alınmaksızın hiçbir şekilde işlenemeyecek.
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasak olacak.
Bu kişisel verilerin işlenmesinde ancak "kanunlarda açıkça öngörülmesi", "kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi" şartı aranacak.
Özel nitelikli kişisel veriler, Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması şartıyla işlenebilecek.
Kanunlara uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler, resen veya ilgili kişinin talebi üzerine silinecek, yok edilecek veya anonim hale getirilecek.
Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamayacak, ancak belirtilen şartlardan birinin bulunması halinde açık rıza aranmadan aktarılabilecek.
Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacak. Kişisel veriler ancak; kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin bulunması şartıyla yurt dışına aktarılabilecek.
Tasarıyla, kişisel verileri işlenen kişinin hakları düzenleniyor.
Buna göre; herkes, kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenebilecek, kişisel verileri işlenmişse buna ilişkin bilgi talep edebilecek, kişisel verilerin aktarıldığı üçüncü kişileri bilebilecek, kişisel verilerin eksik veya yanlış işlenmesi halinde bunların düzeltilmesini isteyebilecek, kişisel verilerin silinmesini veya yok edilmesini isteyebilecek, kişisel verilerin ilgili kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep edebilecek.
Tasarıyla, veri sorumlusunun veri güvenliğinin sağlanmasına ilişkin yükümlülükleri düzenleniyor. Buna göre, veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, bu verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alacak.
Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu düzenlemedeki hükümlere aykırı olarak başkasına açıklayamayacak, kendi şahsi çıkarları için kullanamayacak. Bu yükümlülük, görevden ayrılmalarından sonra da devam edecek.
Tasarıyla, veri sorumlusuna başvuru yolu düzenleniyor. Buna göre, ilgili kişi taleplerini veri sorumlusuna iletecek. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandıracak. Ancak işlemin ayrıca bir maliyeti gerektirmesi halinde Kurulca belirlenen tarifedeki ücret alınabilecek. Veri sorumlusu talebi kabul edecek veya gerekçesini açıklayarak reddedecek ve cevabını ilgili kişiye yazıyla ya da elektronik ortamda bildirecek.
Başvurusu reddedilen kişi, cevabı öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kurula şikayette bulunabilecek. Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklı olacak.
Kişisel Verilerin Korunması Kanunu Tasarısına göre, Kişisel Verileri Koruma Kurulu gözetiminde, Kurum Başkanlığınca kamuya açık olarak Veri Sorumluları Sicili tutulacak.
Kişisel verileri işleyenler, veri işlemeye başlamadan önce sicile kaydolmak zorunda olacak ancak işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle Kurul tarafından sicile kayıt zorunluluğuna istisna getirilebilecek.
Kişisel verileri silmeyen veya anonim hale getirmeyenlere, bir yıldan iki yıla kadar hapis cezası verilecek.
Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenlere 15 bin liradan 1 milyon liraya kadar, Kurul tarafından verilen kararları yerine getirmeyenlere 25 bin liradan 1 milyon liraya kadar, sicile kayıt ve bildirim yükümlülüğüne aykırı hareket edenlere 20 bin liradan 1 milyon liraya kadar idari para cezası uygulanacak.
Bu eylemleri yapan memurlar hakkında disiplin hükümlerine göre işlem gerçekleştirilecek.
Tasarıyla, verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip Kişisel Verileri Koruma Kurumu oluşturuluyor.
Kurum, Başbakanlıkla ilişkili ve merkezi Ankara'da olacak. Kurum, yıllık faaliyet raporunu Cumhurbaşkanlığına, TBMM İnsan Haklarını İnceleme Komisyonuna ve Başbakanlığa sunacak.
Kişisel Verileri Koruma Kurulu, görev ve yetkilerini bağımsız olarak yerine getirecek; hiçbir organ, makam, merci veya kişi Kurula emir ve talimat veremeyecek, tavsiye veya telkinde bulunamayacak.
Kurul, yedi üyeden oluşacak. Kamu veya özel sektörde en az on yıl görev yapanlar arasından Bakanlar Kurulu'nca dört, Cumhurbaşkanı'nca üç üye seçilecek.
Kurul başkan ve ikinci başkanı, üyeler arasından Bakanlar Kurulu tarafından belirlenecek. Kurul üyelerinin görev süresi dört yıl olacak; süresi biten üye yeniden seçilebilecek.
Seçilen üyeler Yargıtay Birinci Başkanlık Kurulu huzurunda, "Anayasa'ya ve kanunlara uygun olarak tam bir tarafsızlık, dürüstlük, hakkaniyet ve adalet anlayışı içinde yerine getireceğime, namusum ve şerefim üzerine yemin ederim" şeklinde yemin edecek.
Üyeler, kuruldaki resmi görevlerinin dışında resmi veya özel hiç bir görev alamayacak; dernek, vakıf ve kooperatiflerde yöneticilik yapamayacak, ticaretle uğraşamayacak, hakemlik ve bilirkişilik yapamayacak. Ancak, asli görevlerini aksatmayacak şekilde ders ve konferans verebilecek ve bunların ücretlerini alabilecek.
Üyelerin görevleri sebebiyle işledikleri iddia edilen suçlara ilişkin soruşturmalar, Memurlar ve Diğer Kamu Görevlilerinin Yargılanması Hakkında Kanuna göre yapılacak, soruşturma izni de Başbakan tarafından verilecek.
Kurul üyelerinin süreleri dolmadan görevlerine son verilemeyecek.
Kurulun görev ve yetkilerinin sıralandığı tasarıya göre, Kurulun toplantı günlerini ve gündemini Başkan belirleyecek. Kurul, en az beş üye ile toplanacak ve üye tam sayısının salt çoğunluğuyla karar alacak.
Kurul üyeleri; kendileri, akrabaları, evlatlıkları, eşleri, boşandıkları eşlerini ilgilendiren toplantı ve oylamaya katılamayacak; öğrendikleri sırları açıklayamayacak, kendi yararına kullanamayacak.
Kişisel Verileri Koruma Kurumunda, uzman ve uzman yardımcısı istihdam edilebilecek. Kişisel Verileri Koruma Uzmanı kadrosuna atananlara, bir defaya mahsus olmak üzere bir derece yükseltilmesi uygulanacak.
Kurum personeli, 657 sayılı Kanuna tabi olacak. Başka kurum ve kuruluşlarda çalışanlardan uzmanlığına ihtiyaç duyulanların Kurumda görevlendirilmesine imkan sağlanıyor.
Kuruma 195 kadro ihdas ediliyor.
Tasarıda, düzenleme kapsamı dışında tutulan hususlar da belirtiliyor.
Buna göre, gerçek kişilerin kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetleri; kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi; kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği veya kişilik haklarını ihlal etmemek kaydıyla sanat, tarih, edebiyat veya bilimsel amaçlarla veya ifade özgürlüğü kapsamında işlenmesi kapsam dışında tutuluyor.
Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi istisna olarak düzenleniyor. Buna göre, Milli İstihbarat Teşkilatı ile diğer istihbarat birimlerinin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini ve ekonomik güvenliği sağlamaya yönelik faaliyetler kapsamında işlediği veriler düzenleme kapsamı dışında olacak.
Hazine yardımları, taşınır ve taşınmazdan elde edilen gelirler, alınan bağış ve yardımlar kurumun gelirlerini oluşturacak.
Bilişim sisteminin kendi içinde veya bilişim sistemleri arasında gerçekleşen veri nakillerini, sisteme girmeksizin teknik araçlarla hukuka aykırı olarak izleyen kişi bir yıldan üç yıla kadar hapis cezası ile cezalandırılacak.
Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilecek.
Bir cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun, bilişim sistemlerinin araç olarak kullanılması suretiyle işlenmesi durumunda, bunları imal ve ithal eden, sevk eden, nakleden, depolayan, satan kişi bir yıldan üç yıla kadar hapis cezasına çarptırılacak.
Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulacak.
Bu sistem, e-devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilecek. Bu amaçla, Sağlık Bakanlığı'nca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabilecek.
Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve finansmanı amacıyla Bakanlık, elde edilen verileri alarak işleyebilecek. Bakanlık, toplanan ve işlenen verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kuracak.
Bakanlık, düzenleme uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alacak. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkan tanıyan bir güvenlik sistemi kuracak.
Yönetmelikler, Kişisel Verileri Koruma Kurumu tarafından yürürlüğe konulacak.
Düzenlemenin yayımı tarihinden itibaren altı ay içinde Kişisel Verileri Koruma Kurulu üyeleri seçilecek ve Başkanlık teşkilatı oluşturulacak.
Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde sicile kayıt yaptırmak zorunda olacak. Daha önce işlenmiş kişisel veriler, düzenlemenin yayımı tarihinden itibaren 2 yıl içinde Kanun hükümlerine uygun hale getirilecek.
Düzenleme hükümlerine aykırı olduğu tespit edilen kişisel veriler derhal silinecek, yok edilecek veya anonim hale getirilecek.
Düzenlemenin yayımı tarihinden itibaren bir yıl içinde, kamu kurum ve kuruluşlarında koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Başkanlığa bildirilecek.
İlk seçilen Başkan, İkinci Başkan ve kura ile belirlenen bir üye 6 yıl; diğer dört üye ise 4 yıl görev yapacak.
Kurumun giderleri, bütçe tahsis edilene kadar Başbakanlık bütçesinden karşılanacak, hizmet birimleri faaliyete geçinceye kadar da sekretarya hizmetleri Başbakanlık tarafından yerine getirilecek.
