işlenememektedir. “Açık rıza” terimi, daha önceki                  ve esaslar ile Kurulun gözetiminde, kişisel verileri işleyen
Tasarılarda yer almamasına rağmen mevcut son Tasarı’da             gerçek ve tüzel kişileri içeren veri sorumluları sicili ele
düzenlenmiştir. Tasarının ilgili hükümlerinin birlikte             alınmaktadır.
değerlendirilmesinden, kanunlarda açıkça öngörülmesi,
zorunluluk halleri, sözleşmelere ilişkin durumlar, bir hakkın      Tasarı’da suçlar ve kabahatler açısından ikili bir ayrım
tesisi, kullanılması veya korunması ve kişisel verinin ilgilisi    yapıldığı görülmekledir. 17’nci maddesi uyarınca, kişisel
tarafından alenileştirilmiş olması gibi durumlarda, ilgili         verilere ilişkin suçlar bakımından TCK’nın ilgili maddelerinin
kişinin, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve    uygulanacağı yönünde genel bir düzenleme bulunmasına
özgür iradeyle açıkladığı rızası, bir başka deyişle açık rızası    karşın, Tasarı’nın kişisel verilerin silinmesine ilişkin madde
aranmaksızın kişisel verilerin işlenmesi mümkün kılındığı          hükümlerine aykırı davranmaya ilişkin olarak TCK’nın “Verileri
görülmektedir. Örneğin sözleşmenin tarafları açısından,            yok etmeme” başlıklı 138’inci maddesine göre cezalandırma
ödemeye yönelik olarak hesap bilgileri ilgili kişinin açık rızası  işlemi uygulanacağı düzenlemesine ayrıca yer verilmiştir.
olmadan işlenebilecektir. Ancak açık rızanın tanımında,
yazılılık şartının bulunmaması, ispat konusunda belirsizliklere    Tasarı’nın getirdiği en önemli yeniliklerden birisi de, Tasarı
veya uygulamada zorluklara yol açabilecektir. Her hâlükârda        ile verilen görevleri yerine getirmek üzere, Başbakanlık
açık rıza; ilgili kişinin kendisiyle alakalı veri işlenmesine,     ile ilişkili olan, idari ve mali özerkliğe sahip ve kamu tüzel
özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde     kişiliğini haiz Kişisel Verileri Koruma Kurumu (“Kurum”)’nun
yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak      kuruluşu ve teşkilat yapısına dair düzenlemeleri içermesidir.
vereceği onay beyanı şeklinde olmalıdır.                           Bu teşkilat yapısı, Kişisel Verilerin Otomatik İşleme Tabi
                                                                   Tutulması Karşısında Bireylerin Korunması Sözleşmesi
Tasarı’nın 6’ncı maddesinde özel nitelikli kişisel verilerin       ve Avrupa Birliği’nin Direktifi uyarınca, kişisel verilerin
neler olduğu sayılmakta, sonrasında ise özel nitelikli kişisel     işlenmesine ilişkin ilkelerin uygulanmasını izlemek ve
verilerin Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından      yönlendirmek üzere fonksiyonel olarak bağımsız bir şekilde
yeterli önlemler alınmak kaydıyla hangi istisnai hallerde          görev yapacak otoriteye karşılık gelmektedir. Tasarı’da
işlenebileceği hüküm altına alınmaktadır. Bu konuya ilişkin        Kurumun karar organının Kurul olduğu, yedi üyeden oluşacak
olarak, gerek Tasarı’da, gerekse de gerekçesinde “yeterli          Kurul üyelerinin kamu kurum ve kuruluşlarında, uluslararası
önlemler” ifadesinin içi doldurulmuş değildir.                     kuruluşlarda, sivil toplum kuruluşlarında veya kamu kurumu
                                                                   niteliğindeki meslek kuruluşlarında ya da özel sektörde
Tasarı’nın 7’nci maddesi ise hukuka uygun olarak işlenmiş          toplamda en az on yıl görev yapanlar arasından Bakanlar
olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan         Kurulunca dört, Cumhurbaşkanınca üç üyenin seçilmesi ile
kalkması halinde, bu verilerin re’sen veya ilgili kişinin talebi   oluşacağı düzenlemesi yer almaktadır. Tasarının ilerleyen
üzerine veri sorumlusu1 tarafından silinmesi, yok edilmesi         maddelerinde, Kurum ve Kurulun görevleri, çalışma esasları,
veya anonim hale getirilmesini düzenlemektedir. Maddeye            Başkan ve Başkanlığın oluşumu ile görevlerine ilişkin
ilişkin usul ve esasların yönetmelik ile düzenleneceği             hükümler bulunmaktadır. Tasarı’nın geçici 1’inci maddesine
hüküm altına alınmıştır. Madde metninde yer alan, “İlgili          göre yayım tarihinden itibaren altı ay içerisinde Kurul üyeleri
kişi”, “Anonim hale getirme” ve “Veri sorumlusu” terimleri,        seçilerek Başkanlık teşkilatı oluşturulacaktır.
Tasarı’nın “Tanımlar” başlıklı 3’üncü maddesi altında
tanımlanmaktadır.                                                  Tasarı’nın 28’inci maddesinde ise, Tasarı hükümlerinin
                                                                   uygulanmayacağı durumlar sayılmaktadır. Bu hüküm
Kişisel verilerin aktarılması ve yurt dışına aktarılması,          kapsamında, kişisel verilerin milli savunmayı, milli güvenliği,
ayrı başlıklar olarak Tasarı’da yer almaktadır. Buna göre,         kamu güvenliğini, kamu düzenini veya ekonomik güvenliği
kişisel veriler kural olarak ilgilinin açık rızası olmaksızın      sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler
aktarılamamakla birlikte, yeterli önlemler alınması kaydıyla,      kapsamında işlenmesi, Tasarı hükümlerinin uygulanmayacağı
maddede yer alan durumlarda istisnai olarak aktarım                durumlar arasında sayılmaktadır. Tasarı’nın gerekçesinde de,
mümkün kılınmıştır. Öte yandan, kişisel veriler ilgilinin          Milli İstihbarat Teşkilatı ile diğer istihbarat birimlerinin söz
açık rızası olmaksızın yurt dışına da aktarılamamakla              konusu faaliyetler kapsamında veri işlemesi kapsam dışında
birlikte, Kurul tarafından, maddedeki ölçütler kullanılarak        tutulmaktadır. Bu ve diğer istisnaların çok geniş tutularak
belirlenecek olan, yabancı ülkede “yeterli korumanın               sorumsuzluk alanının genişletildiği ve Tasarı’nın uygulama
bulunması” durumunda ilgilinin açık rızası olmaksızın bu           alanının daraltıldığı görülmektedir.
aktarım yapılabilecektir. İki madde arasında en dikkat çeken
fark, kişisel verilerin aktarılması noktasında Kurul izninin       IV. Tasarı’nın getirdiği yükümlülükler ve
aranmamasına rağmen; yurt dışına aktarılması noktasında            mevzuata uyum çalışmaları
“yeterli koruma”nın bulunmaması durumunda aktarıma ilişkin
olarak yabancı ülkedeki veri sorumlularının yeterli korumayı       Tasarı’nın “Haklar ve Yükümlülükler” başlıklı üçüncü
yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması        bölümü altında yer alan 10, 11 ve 12’nci maddelerinde,
şartlarının getirilmiş olmasıdır.                                  kişisel verilerin elde edilmesi sırasında veri sorumlusu veya
                                                                   yetkilendirdiği kişi; veri sorumlusunun veya temsilcisinin
Tasarı’nın 13, 14, 15 ve 16’ncı maddelerinde, Tasarı               kimliği, verilerin hangi amaçla işleneceği ve bu verilerin
maddelerinin uygulanmasıyla ilgili taleplerin yazılı olarak veri   kimlere ve hangi amaçla aktarılabileceği gibi konularda
sorumlusuna iletilmesi; başvurunun reddedilmesi durumunda          ilgili kişiye bilgi vermekle yükümlü kılınmaktadır. Ancak ilgili
Kurula şikâyet usulü ve re’sen yapılan incelemeye ilişkin usul     kişinin haklarını düzenleyen 10’uncu madde uyarınca, veri

1 Veri sorumlusu, Tasarının 3’üncü maddesi uyarınca, “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi”
ifade etmektedir.

Mart 2016                                                                                                                                                                                                            11