Page 11 - VGMart_2016
P. 11
işlenememektedir. “Açık rıza” terimi, daha önceki ve esaslar ile Kurulun gözetiminde, kişisel verileri işleyen
Tasarılarda yer almamasına rağmen mevcut son Tasarı’da gerçek ve tüzel kişileri içeren veri sorumluları sicili ele
düzenlenmiştir. Tasarının ilgili hükümlerinin birlikte alınmaktadır.
değerlendirilmesinden, kanunlarda açıkça öngörülmesi,
zorunluluk halleri, sözleşmelere ilişkin durumlar, bir hakkın Tasarı’da suçlar ve kabahatler açısından ikili bir ayrım
tesisi, kullanılması veya korunması ve kişisel verinin ilgilisi yapıldığı görülmekledir. 17’nci maddesi uyarınca, kişisel
tarafından alenileştirilmiş olması gibi durumlarda, ilgili verilere ilişkin suçlar bakımından TCK’nın ilgili maddelerinin
kişinin, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve uygulanacağı yönünde genel bir düzenleme bulunmasına
özgür iradeyle açıkladığı rızası, bir başka deyişle açık rızası karşın, Tasarı’nın kişisel verilerin silinmesine ilişkin madde
aranmaksızın kişisel verilerin işlenmesi mümkün kılındığı hükümlerine aykırı davranmaya ilişkin olarak TCK’nın “Verileri
görülmektedir. Örneğin sözleşmenin tarafları açısından, yok etmeme” başlıklı 138’inci maddesine göre cezalandırma
ödemeye yönelik olarak hesap bilgileri ilgili kişinin açık rızası işlemi uygulanacağı düzenlemesine ayrıca yer verilmiştir.
olmadan işlenebilecektir. Ancak açık rızanın tanımında,
yazılılık şartının bulunmaması, ispat konusunda belirsizliklere Tasarı’nın getirdiği en önemli yeniliklerden birisi de, Tasarı
veya uygulamada zorluklara yol açabilecektir. Her hâlükârda ile verilen görevleri yerine getirmek üzere, Başbakanlık
açık rıza; ilgili kişinin kendisiyle alakalı veri işlenmesine, ile ilişkili olan, idari ve mali özerkliğe sahip ve kamu tüzel
özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde kişiliğini haiz Kişisel Verileri Koruma Kurumu (“Kurum”)’nun
yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak kuruluşu ve teşkilat yapısına dair düzenlemeleri içermesidir.
vereceği onay beyanı şeklinde olmalıdır. Bu teşkilat yapısı, Kişisel Verilerin Otomatik İşleme Tabi
Tutulması Karşısında Bireylerin Korunması Sözleşmesi
Tasarı’nın 6’ncı maddesinde özel nitelikli kişisel verilerin ve Avrupa Birliği’nin Direktifi uyarınca, kişisel verilerin
neler olduğu sayılmakta, sonrasında ise özel nitelikli kişisel işlenmesine ilişkin ilkelerin uygulanmasını izlemek ve
verilerin Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yönlendirmek üzere fonksiyonel olarak bağımsız bir şekilde
yeterli önlemler alınmak kaydıyla hangi istisnai hallerde görev yapacak otoriteye karşılık gelmektedir. Tasarı’da
işlenebileceği hüküm altına alınmaktadır. Bu konuya ilişkin Kurumun karar organının Kurul olduğu, yedi üyeden oluşacak
olarak, gerek Tasarı’da, gerekse de gerekçesinde “yeterli Kurul üyelerinin kamu kurum ve kuruluşlarında, uluslararası
önlemler” ifadesinin içi doldurulmuş değildir. kuruluşlarda, sivil toplum kuruluşlarında veya kamu kurumu
niteliğindeki meslek kuruluşlarında ya da özel sektörde
Tasarı’nın 7’nci maddesi ise hukuka uygun olarak işlenmiş toplamda en az on yıl görev yapanlar arasından Bakanlar
olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan Kurulunca dört, Cumhurbaşkanınca üç üyenin seçilmesi ile
kalkması halinde, bu verilerin re’sen veya ilgili kişinin talebi oluşacağı düzenlemesi yer almaktadır. Tasarının ilerleyen
üzerine veri sorumlusu1 tarafından silinmesi, yok edilmesi maddelerinde, Kurum ve Kurulun görevleri, çalışma esasları,
veya anonim hale getirilmesini düzenlemektedir. Maddeye Başkan ve Başkanlığın oluşumu ile görevlerine ilişkin
ilişkin usul ve esasların yönetmelik ile düzenleneceği hükümler bulunmaktadır. Tasarı’nın geçici 1’inci maddesine
hüküm altına alınmıştır. Madde metninde yer alan, “İlgili göre yayım tarihinden itibaren altı ay içerisinde Kurul üyeleri
kişi”, “Anonim hale getirme” ve “Veri sorumlusu” terimleri, seçilerek Başkanlık teşkilatı oluşturulacaktır.
Tasarı’nın “Tanımlar” başlıklı 3’üncü maddesi altında
tanımlanmaktadır. Tasarı’nın 28’inci maddesinde ise, Tasarı hükümlerinin
uygulanmayacağı durumlar sayılmaktadır. Bu hüküm
Kişisel verilerin aktarılması ve yurt dışına aktarılması, kapsamında, kişisel verilerin milli savunmayı, milli güvenliği,
ayrı başlıklar olarak Tasarı’da yer almaktadır. Buna göre, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği
kişisel veriler kural olarak ilgilinin açık rızası olmaksızın sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler
aktarılamamakla birlikte, yeterli önlemler alınması kaydıyla, kapsamında işlenmesi, Tasarı hükümlerinin uygulanmayacağı
maddede yer alan durumlarda istisnai olarak aktarım durumlar arasında sayılmaktadır. Tasarı’nın gerekçesinde de,
mümkün kılınmıştır. Öte yandan, kişisel veriler ilgilinin Milli İstihbarat Teşkilatı ile diğer istihbarat birimlerinin söz
açık rızası olmaksızın yurt dışına da aktarılamamakla konusu faaliyetler kapsamında veri işlemesi kapsam dışında
birlikte, Kurul tarafından, maddedeki ölçütler kullanılarak tutulmaktadır. Bu ve diğer istisnaların çok geniş tutularak
belirlenecek olan, yabancı ülkede “yeterli korumanın sorumsuzluk alanının genişletildiği ve Tasarı’nın uygulama
bulunması” durumunda ilgilinin açık rızası olmaksızın bu alanının daraltıldığı görülmektedir.
aktarım yapılabilecektir. İki madde arasında en dikkat çeken
fark, kişisel verilerin aktarılması noktasında Kurul izninin IV. Tasarı’nın getirdiği yükümlülükler ve
aranmamasına rağmen; yurt dışına aktarılması noktasında mevzuata uyum çalışmaları
“yeterli koruma”nın bulunmaması durumunda aktarıma ilişkin
olarak yabancı ülkedeki veri sorumlularının yeterli korumayı Tasarı’nın “Haklar ve Yükümlülükler” başlıklı üçüncü
yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması bölümü altında yer alan 10, 11 ve 12’nci maddelerinde,
şartlarının getirilmiş olmasıdır. kişisel verilerin elde edilmesi sırasında veri sorumlusu veya
yetkilendirdiği kişi; veri sorumlusunun veya temsilcisinin
Tasarı’nın 13, 14, 15 ve 16’ncı maddelerinde, Tasarı kimliği, verilerin hangi amaçla işleneceği ve bu verilerin
maddelerinin uygulanmasıyla ilgili taleplerin yazılı olarak veri kimlere ve hangi amaçla aktarılabileceği gibi konularda
sorumlusuna iletilmesi; başvurunun reddedilmesi durumunda ilgili kişiye bilgi vermekle yükümlü kılınmaktadır. Ancak ilgili
Kurula şikâyet usulü ve re’sen yapılan incelemeye ilişkin usul kişinin haklarını düzenleyen 10’uncu madde uyarınca, veri
1 Veri sorumlusu, Tasarının 3’üncü maddesi uyarınca, “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi”
ifade etmektedir.
Mart 2016 11