Kişisel Verilerin Korunması Kanunu

* Orijinal Türkçe metin ile İngilizce çeviri arasında herhangi bir anlam farkı olması durumunda Türkçe metin geçerli olacaktır.

Kanun Numarası : 6698

Onay Tarihi : 24/3/2016

Resmi Gazete’de Yayımlanmıştır: Tarih: 7/4/2016 (GG/AA/YYY) Sayı: 29677

Kanun : Düzen’de yayınlandı: 5 Cilt Sayı: 57

BİRİNCİ BÖLÜM

Amaç, Kapsam ve Tanımlar

Amaç

MADDE 1 – (1) Bu Kanunun amacı; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Kapsam

MADDE 2 – (2) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek veya tüzel kişiler hakkında uygulanır.

İKİNCİ BÖLÜM

Kişisel Verilerin İşlenmesi

Genel Prensipler

MADDE 4 – (1) Kişisel veriler, ancak bu Kanunda veya diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulur:

a) Yasalara uygunluk ve adalet

b) Doğru olmak ve gerektiğinde güncel tutulmak.

c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d) İlgili mevzuatta öngörülen veya kişisel verilerin işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel verilerin işlenme koşulları

MADDE 5 – (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez.

(2) Kişisel veriler, ancak aşağıdaki şartlardan birinin varlığı hâlinde ilgili kişinin açık rızası aranmaksızın işlenebilir:

a) Kanunlar tarafından açıkça öngörülmüş olması.

b) Bedensel engeli nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun tabi olduğu bir hukuki yükümlülüğün yerine getirilmesi için zorunlu olması.

d) Kişisel verilerin ilgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel nitelikli kişisel verilerin işlenme şartları

Madde 6 – (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak kabul edilir.

(2) Özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayata ilişkin veriler dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kamu kurum ve kuruluşları tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

MADDE 7 – Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Veri işleme nedenlerinin artık mevcut olmaması durumunda, resen veya veri sahibinin talebi üzerine.

Kişisel verilerin aktarılması

MADDE 8 – (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

(2) Kişisel veriler, Kanunda öngörülen şartlardan birinin varlığı halinde veri sahibinin açık rızası aranmaksızın aktarılabilir:

a) 5. maddenin ikinci paragrafı,

b) Yeterli önlemlerin alınması kaydıyla, 6. maddenin üçüncü paragrafı.

Kişisel verilerin yurt dışına aktarılması

MADDE 9 – (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

(2) Kişisel veriler, Kanunun 5 inci maddesinin ikinci fıkrası ile 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı ülkede bulunması halinde ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir;

(a) Yeterli koruma sağlanır.

(b) Yeterli korumanın sağlanmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması.

(3) Kurul, yeterli korumaya sahip ülkeleri belirler ve ilan eder.

(4) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanun hükümleri saklıdır.

ÜÇÜNCÜ BÖLÜM

Haklar ve Yükümlülükler

Veri Sorumlusunun Aydınlatma Yükümlülüğü

MADDE 10 – (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişileri aşağıdaki hususlarda bilgilendirmekle yükümlüdür:

a) veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin işlenme amacı;

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

Veri Sahibinin Hakları

MADDE 11 – (1) Herkes, kendisiyle ilgili kişisel verilerin işlenmesini veri sorumlusundan talep etme hakkına sahiptir;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verilerinin işlenip işlenmediğini öğrenme ve buna ilişkin bilgi talep etme,

c) Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme

veriler amaca uygun olarak kullanılır,

ç) Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,

d) Varsa, eksik veya yanlış verilerin düzeltilmesini talep etme,

e) 7. maddede belirtilen koşullar altında kişisel verilerinin silinmesini veya yok edilmesini talep etme,

f) alt bentler uyarınca yürütülen işlemlerin raporlanmasını talep etmek (d) ve (e) kişisel verilerinin aktarıldığı üçüncü taraflara,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

Veri güvenliğine ilişkin yükümlülükler

MADDE 12- (1) Veri sorumlusu, aşağıda belirtilen amaçlar doğrultusunda uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür:

a) kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) kişisel verilerin korunmasını sağlamak.

DÖRDÜNCÜ BÖLÜM

Talep, Şikayet ve Veri Sorumluları Sicili

Kurul’a Şikâyet

MADDE 14 – (1) Talebin reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde talep tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

(2) 13. madde uyarınca veri sorumlusuna yönelik talep yolu tüketilmeden şikayette bulunulamaz.

(3) Kişilik hakları ihlal edilenlerin genel hükümler çerçevesinde tazminat hakkı saklıdır.

Re’sen (kendiliğinden) veya şikâyet üzerine inceleme usul ve esasları

MADDE 15 – (1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrendiği hallerde resen görev alanına giren konularda gerekli incelemeyi yapar.

(2) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesindeki şartları taşımayan ihbar ve şikâyetler incelenmez.