6698 Sayılı Kişisel Verilerin Korunması Kanunu

Madde 1 – (1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Madde 2 – (1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler¹Her ne kadar tüzel kişilerin verileri KVK Kanunu çerçevesine bir korumaya tabi olmasa da Anayasa Mahkemesi, 04.12.2014 tarihli kararında tüzel kişilerin de kişisel verilerinin korunması hakkına sahip olduğuna hükmektmiştir. ile bu verileri tamamen veya kısmen otomatik olan²KVK Kurumu rehberine göre otomatik olarak veri işlenmesi; bilgisayar, telefon, saat vb. işlemci sahibi cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyetidir. ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.³KVK Kanunu hükümlerinin uygulanmayacağı birtakım istisna halleri 28 inci maddede sayılmaktadır.⁴KVK Kanunu gerekçesine göre, kişisel verileri bir veri kayıt sisteminin parçası olmaksızın otomatik olmayan yolla işleyenler bu kanunun kapsamı dışında bırakılmışsa da 5237 sayılı Türk Ceza Kanunu bu bağlamda uygulanabilirliğini korumaktadır. KVK Kurumu rehberinin ifadeleriyle;  otomatik olmayan yollarla işlenen kişisel veriler, bir veri kayıt sisteminin parçası da değilse Kanun kapsamında değerlendirilmeyece olsa da bu durum ilgili verilerin kişisel veri niteliğini etkilemeyeceği için, bu verilere ilişkin hukuka aykırı eylemler de 5237 sayılı Türk Ceza Kanunu kapsamında suç teşkil etmeye devam edecektir.⁵KVK Kanunu, kamu kurumları ile özel kuruluşlar arasında bir ayrım gözetmemekte olup KVK Kanununca belirlenen usul ve esaslar tüm kurum ve kuruluşlar için geçerlidir. Dolayısıyla kamu kurumlarının işlediği kişisel veriler hakkında da bu KVK Kanunu hükümleri uygulanacaktır.

Madde 3 – (1) Bu Kanunun uygulanmasında;

a) Açık rıza⁶KVK Kurumu rehberine göre açık rızanın, rıza veren kişinin olumlu irade beyanını içermesi gerekmektedir. Diğer mevzuatlardaki düzenlemeler saklı kalmak üzere, açık rızanın yazılı şekilde alınmasına gerek yoktur. Elektronik ortamda alınması da mümkündür.⁷KVK Kurumu rehberinde de ifade edildiği gibi rızanın açık olması gerektiği için ilgili kişinin sessiz kalması açık rızanın varlığı şeklinde anlaşılamaz.: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan⁸KVK Kurumu rehberine göre kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekir. Ayrıca bilgilendirmenin mutlaka verinin işlemesinden önce yapılması gerekir. İşlenecek verinin niteliği, bilgilendirme düzeyini belirleyecektir. ve özgür iradeyle açıklanan⁹KVK Kurumu rehberine göre tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerekir. Özellikle işçi-işveren ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez. rızayı,

b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini¹⁰KVK Kanunu gerekçesinde ifade edildiği şekliyle: Elde kalan veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemeyecektir.¹¹KVK Kurumu rehberine göre anonimleştirme uygulanırken, mevcut veri kümesinde yer alan verinin büyüklüğü, verinin çeşitliliği, veriden sağlanmak istenen fayda ve işleme amacı gibi özellikler dikkate alınarak uygulanacak tekniklere karar verilebilecektir.,

c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,

ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi¹²Avrupa uygulamasında Adalet Divanı’nın Bodil Lindqvist kararı gereği, kişilerin isim ve telefon numaraları gibi onları belirli veya belirlenebilir kılan bilgilerin bir internet sitesinde yayınlanması, kişisel verilerin kısmen veya tamamen otomatik yollarla işlenmesi kapsamında kabul edilmektedir.,

f) Kurul: Kişisel Verileri Koruma Kurulunu,

g) Kurum: Kişisel Verileri Koruma Kurumunu,

ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi¹³KVK Kanunu gerekçesinde veri işleyenin, veri sorumlusu tarafından verilen talimatlar çerçevesinde kişisel verileri işleyen çalışanlar olabileceği gibi, veri sorumlusunun hizmet satın almak suretiyle belirlediği ayrı gerçek veya tüzel kişiler de olabileceği ifade edilmektedir. Yine herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabileceği belirtilerek şu örnek verilmektedir: Bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir.¹⁴KVK Kurumu rehberine göre örneğin bir kamu kuruluşunun, topladığı kişisel verilerin saklanması için bir bulut hizmeti sağlayıcısıyla sözleşme yapması ve bulut sağlayıcısının verileri belirli bir zamandan sonra sileceği/veri sahiplerinin kişisel verilerine erişimlerini sağlayacağı konusunda anlaşılmış olması durumda, bulut hizmeti sağlayıcısı veri işleyen statüsündedir. Zira taraflar arasındaki sözleşme gereği bulut hizmeti sağlayıcısının verileri kendi amaçları için kullanması mümkün değildir. Ayrıca bulut hizmeti sağlayıcısı, kendisi veri de toplamamaktadır. Tek faaliyeti kamu kuruluşundan gelen kişisel verileri yine kamu kuruluşunun talimatlarına uygun olarak saklamaktır.,

h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini¹⁵KVK Kurumu rehberi uyarınca, örneğin, herhangi bir kritere bağlı olmaksızın kişilerin ad ve soyadlarının rastgele bir şekilde kağıtta yer alması halinde KVK Kanunu kapsamında bir veri kayıt sisteminden bahsedilemezken söz konusu isimlerin sistematik olarak bir deftere kaydedilmesi halinde, veri kayıt sisteminin varlığı kabul edilecektir.¹⁶KVK Kurumu rehberine göre veri kayıt sistemi, elektronik veya fiziki ortamlarda oluşturulabilir.,

ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi¹⁷KVK Kurumu rehberinde de ifade edildiği üzere veri sorumlusu ifadesiyle, bir şirket içerisinde veri işleme faaliyetlerinden sorumlu bir kimse kastedilmemektedir. Veri sorumlusu bizatihi tüzel kişiliğin kendisidir.  Örneğin, veri işleme faaliyetinin bir parçası olarak bir şirkette belge teslim alan ve kaydeden kişi değil, şirketin kendisi “veri sorumlusu” sıfatına sahiptir.¹⁸KVK Kurumu rehberine göre veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği dikkate alınmalıdır:
• Kişisel verilerin toplanması ve toplama amacı,
• Toplanacak kişisel veri türleri,
• Toplanan verilerin hangi amaçlarla kullanılacağı,
• Hangi bireylerin kişisel verilerinin toplanacağı,
• Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,
• Verilerin ne kadar süreyle saklanacağı,
• Veri sahiplerinin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı.,

ifade eder.

Madde 4 – (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olma.

b) Doğru ve gerektiğinde güncel olma.

c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Madde 5¹⁹Bu maddedeki şartlar sağlansa dahi kişisel veri işleme faaliyetinin, madde 4 kapsamındaki Genel İlkeler doğrultusunda gerçekleştirilmesi ve KVK Kanununun diğer hükümlerine uygun olması gerekmektedir.²⁰KVK Kurumu rehberinde de ifade edildiği üzere kişisel veri işleme faaliyetinin birden fazla sayıda temeli bulunabilir. Örneğin, maaş bordrosu düzenlemek amacıyla çalışanların kişisel verilerinin işlenmesi faaliyetinin hukuki dayanağı, kişisel veri işleme temellerinden sözleşmenin ifası ve veri sorumlusunun hukuki yükümlülüğünün yerine getirilmesi olabilecektir. – (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi²¹Bu hukuka uygunluk temeline ilişkin mevzuat sayfamızı inceleyebilirsiniz..

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.²²Avrupa Birliği Madde 29 Çalışma Grubu, 1/2006 sayılı görüşünde yabancı devlet kanunlarınca doğan hukuki yükümlülüklerin, Avrupa Birliği veri koruma direktifinde yer alan “veri sorumlusunun hukuki yükümlülüklerini yerine getirmesi için veri işlemenin gerekli olması” kapsamında değerlendirilemeyeceğini ifade etmiştir.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Madde 6²³Bu maddedeki şartlar sağlansa dahi kişisel veri işleme faaliyetinin, madde 4 kapsamındaki Genel İlkeler doğrultusunda gerçekleştirilmesi ve KVK Kanununun diğer hükümlerine uygun olması gerekmektedir. – (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.²⁴Söz konusu yeterli önlemler KVK Kurulunun 31.01.2018 tarih ve 2018/10 sayılı kararınca belirlenmiştir ve Resmi Gazete'de yayımlanmıştır.²⁵KVK Kanunu gerekçesinde de ifade edildiği üzere üçüncü fıkradaki istisnalara dayanılsa dahi bu fıkrada bahsi geçen önlemlerin alınması şarttır.

Madde 7²⁶KVK Kurumu rehberinde de ifade edildiği üzere işlenmesini gerektiren sebeplerin ortadan kalktığı kişisel verileri silmek, yok etmek veya anonim hale getirmek veri sorumlusunun yükümlülüklerindendir. Bunun için ilgili kişinin başvurusu şart değildir. Bununla birlikte, veri sorumlusunun ihmali durumunda verileri işlenen kişinin ilgili verilerin yok edilmesini, silinmesini veya anonim hale getirilmesini talep etme hakkı bulunmaktadır. – (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir²⁷Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca kişisel verilerin silinmesi, söz konusu verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir., yok edilir²⁸Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. veya anonim hâle getirilir²⁹Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir..

(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.

(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.³⁰Söz konusu yönetmelik, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik adıyla 28.10.2017 tarih ve 30224 sayılı Resmi Gazete'de yayımlanmıştır.

Madde 8³¹KVK Kurumu rehberinde de ifade edildiği üzere veri sorumlusu sıfatına sahip bir tüzel kişiliğin bünyesinde gerçekleşen veri aktarımı, üçüncü kişiye yapılan aktarımlar olarak değerlendirilemez. Kişiler, kişisel verilerini bir tüzel kişi ile paylaştıklarında, tüzel kişilik veri sorumlusu sıfatına sahip olmaktadır. Tüzel kişiliğin bünyesinde faaliyet gösteren çalışanlar veya farklı birimler arasında verilerin el değiştirmesi, bu anlamda üçüncü kişiye aktarım değildir.³²KVK Kanunu gerekçesinde ifade edildiği üzere, kişisel verilerin aktarıldığı üçüncü kişilerin, kişisel verilerin işlenmesi için KVK Kanunu madde 5 ve 6 kapsamında öngörülen şartları yerine getirmeleri ve özel nitelikle kişisel veriler yönünden yeterli önlemleri de almaları gerekmektedir. – (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

(2) Kişisel veriler;

a) 5 inci maddenin ikinci fıkrasında,

b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde,

ilgili kişinin açık rızası aranmaksızın aktarılabilir.

(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Madde 9³³Avrupa uygulamasında Adalet Divanı’nın Bodil Lindqvist kararı gereği, bir internet sitesinde bulunan kişisel verilerin internete bağlı herkesin (yurtdışında bulunanlar dahil) erişimine açılmış olması kişisel verilerin yabancı ülkelere aktarılması kapsamında değerlendirilmemektedir. – (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri³⁴KVK Kurumu, söz konusu yazılı taahhüt içeriğinde yer alması gereken asgari unsurları ilan etmiştir. Avrupa Birliği uygulamasında “standart sözleşmesel hükümler” altında Avrupa Komisyonu tarafından yayınlanan ve yeterli korumayı sağlayacağı varsayılan model sözleşmeler kullanılmaktadır. Bunların İngilizce dilindeki metinleri için buraya tıklayınız. ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.³⁵KVK Kurulu, yeterli korumanın bulunduğu ülkeleri henüz ilan etmemiştir.

(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;

a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,

c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,

değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.³⁶Avrupa Birliği pozitif hukukunda yeri olmayan bu hükmün uygulamasının nasıl olacağı belirsizdir. KVK Kurumu rehberine göre  Türkiye Cumhuriyeti’nin veya ilgili kişinin menfaatlerinin ciddi bir şekilde zarar görme ihtimali olması halinde, Türkiye’den yurtdışına yapılacak tüm veri aktarımları gerekli görüldüğü takdirde Kurulun onayına tabi olabilecektir.

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Madde 10³⁷Aydınlatma yükümlülüğünün yerine getirilmesinde uyulması gereken usul ve esaslar, KVK Kurulu tarafından hazırlanan tebliğ uyarınca belirlenmiştir. – (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) 11 inci maddede sayılan diğer hakları,

konusunda bilgi vermekle yükümlüdür.³⁸KVK Kurumu rehberinde de ifade edildiği üzere aydınlatma yükümlülüğünün yerine getirilmesi konusu, ilgili kişinin onayına tabi değildir. Tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getirilebilir. Buna karşın usuli açıdan aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.³⁹Hüküm, verilerin ilgili kişiden edinilmesi ile üçüncü bir kişiden edinilmesi yahut ilgili kişinin bu bilgilere zaten sahip olup olmadığı arasında bir fark gözetmemektedir.⁴⁰28 inci maddenin ikinci fıkrasında aydınlatma yükümlülüğüne birtakım şartlarla istisnalar tanınmaktadır.

MADDE 11⁴¹Söz konusu hakların kullanım şekli madde 13 ve devamında düzenlenmektedir. – (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme⁴²KVK Kanunu gerekçesine göre örneğin, bir çalışanın performansının, onun tarafından yapılan işlerin, otomatik bir sisteme işlenip analiz edilerek analiz sonucuna göre değerlendirilmesine çalışanın itiraz edebilmesi bu kapsamda değerlendirilecektir.,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.⁴³28 inci maddenin ikinci fıkrasında ilgili kişinin haklarına -zararın giderilmesini talep hakkı hariç- birtakım şartlarla istisnalar tanınmaktadır.

MADDE 12 – (1) Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini⁴⁴KVK Kurumu rehberine göre uygun önlemlerin belirlenmesinde gözetilecek olan kriter, şirketin büyüklüğü veya cirosundan ziyade şirketin yaptığı işin ve korunan kişisel verinin niteliğidir. Örneğin, küçük ölçekli olmakla birlikte özel nitelikli kişisel veri işleyen veri sorumlusunun daha yüksek standartlarda koruma önlemi alması gerekmektedir. temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.⁴⁵KVK Kurulu kararına göre bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkilerini aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılmasına karşı veri sorumlularınca gerekli teknik ve idari önlemlerin alınması bu hüküm kapsamında değerlendirilmektedir.

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde⁴⁶KVK Kurumu rehberine göre veri güvenliği ihlali, işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesidir. Örneğin; hizmet sağlayıcısının bilgisayar sisteminde bulunan müşterilere ait kişisel verilere, güvenlik ihlalleri nedeniyle internet aracılığıyla üçüncü kişiler tarafından erişilmesi, veri sorumlusunun veya veri işleyenin müşterilerine ait kişisel verilerin bulunduğu USB anahtarı veya CD-ROM’unun çalınması, özel nitelikli kişisel verilerin yer aldığı sabit diskin silinmeden internet üzerinden satılması gibi., veri sorumlusu bu durumu en kısa sürede⁴⁷KVK Kurulu'nun 2019/10 sayılı kararı ile kurula yapılacak bildirimler için bu süre 72 saat olarak belirlenmiş, aynı kararda ilgili kişilere bildirimlerin ise "makul olan en kısa süre içerisinde" yapılması gerektiği ifade edilmiştir. ilgilisine ve Kurula bildirir⁴⁸KVK Kurulu, kendisine ve ilgili kişilere yapılacak veri güvenliği ihlali bildirimlerine ilişkin usul ve esasları 2019/10 sayılı kararı ile belirlemiştir. Bu karardan özetle:
• KVK Kuruluna yapılacak bildirimlerin "Kişisel Veri İhlali Bildirim Formu" aracılığıyla yapılması gerektiği ifade edilmiştir.
• İlgili kişilere yapılacak bildirimlerin, ilgili kişinin iletişim bilgisi veri sorumlusunda mevcutsa doğrudan, mevcut değilse diğer "uygun yöntemlerle" yapılması (örneğin veri sorumlusunun kendi internet sitesinde duyuru yayımlaması) gerektiği belirtilmiştir.
• İhlalin veri işleyen nezdinde yaşanması halinde, veri işleyenin "herhangi bir gecikmeye yer vermeksizin" veri sorumlusuna bildirimde bulunması gerektiği belirtilmiştir.
• İhlalin yurt dışında yerleşik veri sorumlusu nezdinde yaşanması halinde, ihlal sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda KVK Kuruluna bildirimde bulunulması gerektiği ifade edilmiştir.
• Veri sorumlusu tarafından bir "Veri İhlali Müdahale Planı" hazırlanması gerektiği belirtilmiş ve bu planda yer alması gereken bazı hususlar örnek olarak sayılmıştır.. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir⁴⁹KVK Kurulu, bu yönde karar aldığı veri güvenliği ihlallerini www.kvkk.gov.tr adresi üzerinden ilan etmektedir. Örnek bir veri güvenliği ihlali duyurusu için tıklayınız..

Madde 13⁵⁰Veri sorumlusuna başvuruda uyulması gereken usul ve esaslar, KVK Kurulu tarafından hazırlanan tebliğ uyarınca belirlenmiştir.– (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı⁵¹KVK Kurumu rehberine göre yazılı başvuru, genel hükümler gereği ıslak imza içeren belge ile yapılan başvuru anlamına gelmektedir. Buna ek olarak güvenli elektronik imza ile imzalanan belgeler de yazılı şekil şartını sağlayabilecektir. olarak veya Kurulun belirleyeceği diğer yöntemlerle⁵²Bu yöntemler, KVK Kurulu tarafından hazırlanan tebliğ uyarınca belirlenmiştir. veri sorumlusuna iletir.

(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.

(3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

MADDE 14 – (1) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir⁵³KVK Kurulu 2019/9 sayılı kararına göre kurula şikayetin, (i) veri sorumlusunun kendisine yapılan başvuruya 30 gün içerisinde cevap vermesi halinde cevaptan itibaren 30 gün, (ii) veri sorumlusunun 30 gün içerisinde bir cevap vermemesi halinde ise veri sorumlusuna başvurudan itibaren 60 gün içerisinde yapılması gerekmektedir. Öte yandan kurula göre veri sorumlusunun 30 günlük süreden sonra bir cevap vermesinin sürelere herhangi bir etkisi yoktur. Dolayısıyla veri sorumlusuna tanınan 30 günlük sürenin sona ermesiyle birlikte ilgili kişi şikayet hakkını kazanmaktadır..

(2) 13 üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.

(3) Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.

MADDE 15 - (1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.⁵⁴KVK Kurumu rehberine göre KVK Kuruluna isimsiz olarak ihbar ya da şikâyette bulunmak söz konusu olmayacaktır. Buna karşın isimsiz olarak ihbar yapılmış olmasına rağmen, ihbar dilekçesi içerisinde bahsedilen hak ihlallerinin yine de Kurul tarafından resen araştırmaya konu edilebilmesi söz konusu olabilecektir. Zira ihbar dilekçesi isimsiz olarak geldiği için, o dilekçede belirtilen hak ihlaline göz yumulması hukukun genel prensipleri ile bağdaşmayacaktır.

(2) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar veya şikâyetler incelemeye alınmaz.

(3) Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.

(4) Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.

(5) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.

(6) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.

(7) Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.

Madde 16 - (1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.

(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.⁵⁵Veri Sorumluları Siciline kayıt yükümlülüğünün başlaması için kanunun geçici 1. maddesinin 2. fıkrası uyarınca KVK Kurulu tarafından ilgili sürelerin ilan edilmesi öngörülmüştür. KVK Kurulu’nun 2018/88 sayılı kararı ile kayıt yükümlülüklerinin başlama tarihleri ve kayıt için verilen süreler tespit edilmiştir. Süreler hakkında detaylı bilgi için tıklayınız. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.⁵⁶KVK Kurulu'nun 2018/32, 2018/68, 2018/75 ve 2018/87 (2018/87 sayılı kararına ilişkin düzeltme) sayılı kararları uyarınca Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulacak kişi ve kurumlar aşağıdaki şekilde belirlenmiştir:
- Yalnızca otomatik olmayan yöntemlerle kişisel veri işleyen veri sorumluları,
- Noterler,
- Dernek, vakıf ve sendikalar (yalnızca kendi çalışan, üye ve bağışçılarına yönelik ve faaliyet alanlarıyla kısıtlı işleme faaliyetleri bakımından),
- Siyasi partiler,
- Avukatlar,
- Serbest muhasebeci mali müşavirler ve yeminli mali müşavirler,
- Gümrük müşvavirleri ve yetkilendirilmiş gümrük müşavirleri,
- Arabulucular,
- Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olan veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar.⁵⁷KVK Kurulu tarafından öngörülebilecek istisnalardan ayrı olarak 28 inci maddenin ikinci fıkrasında da Veri Sorumluları Sicili’ne kayıt yükümlülüğüne birtakım kanuni istisnalar getirilmektedir.

(3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:

a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.

b) Kişisel verilerin hangi amaçla işleneceği.

c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.

ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.

d) Yabancı ülkelere aktarımı öngörülen kişisel veriler.

e) Kişisel veri güvenliğine ilişkin alınan tedbirler.

f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir.

(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.⁵⁸Söz konusu yönetmelik, Veri Sorumluları Sicili Hakkında Yönetmelik adıyla 28.10.2017 tarih ve 30224 sayılı Resmi Gazete'de yayımlanmıştır.

Madde 17 - (1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.⁵⁹KVK Kurumu rehberine göre KVK Kanununun Resmî Gazete’de yayımlanmasından önce KVK Kanununda yer alan hükümlere aykırı olarak işlenmiş veriler sebebiyle cezai sorumluluk doğmayacaktır.

(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.

Madde 18 - (1) Bu Kanunun;

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,

idari para cezası verilir.⁶⁰KVK Kanunu gerekçesinde kabahatler karşılığında öngörülen idari para cezalarının alt ve üst sınırları arasındaki farkın bilinçli olarak geniş tutulduğu ifade edilmektedir. Buna göre kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumu miktarın tayininde dikkate alınacaktır. Raporda şu örnek verilmeketedir: Küçük bir şehirde faaliyet gösteren bir aile şirketiyle ülke çapında faaliyet gösteren bir holdingin bu kanun hükümlerini ihlal etmesi durumunda belirlenecek idari para cezalarının miktarı söz konusu şirketlerin ekonomik durumlarına göre farklı olacaktır.⁶¹5326 sayılı Kabahatler Kanunu madde 15/2 gereğince aynı kabahatin birden fazla işlenmesi halinde her bir kabahatle ilgili olarak ayrı ayrı idari para cezası verilmesi gerekeceği şeklinde yorumlanmaktadır.⁶²KVK Kurumu rehberine göre KVK Kanununun Resmî Gazete’de yayımlanmasından önce KVK Kanununda yer alan hükümlere aykırı olarak işlenmiş veriler sebebiyle idari sorumluluk doğmayacaktır.

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

Madde 19 - (1) Bu Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuştur.

(2) Kurum Cumhurbaşkanının görevlendireceği bakan ile⁶³Kişisel Verileri Koruma Kurumu'nun ilgili olduğu bakanlık, Cumhurbaşkanlığı'nın 1 numaralı genelgesi ile Adalet Bakanlığı olarak belirlenmiştir. ilişkilidir.

(3) Kurumun merkezi Ankara’dadır.

(4) Kurum, Kurul ve Başkanlıktan oluşur. Kurumun karar organı Kuruldur.

Madde 20 - (1) Kurumun görevleri şunlardır:

a) Görev alanı itibarıyla, uygulamaları ve mevzuattaki gelişmeleri takip etmek, değerlendirme ve önerilerde bulunmak, araştırma ve incelemeler yapmak veya yaptırmak.

b) İhtiyaç duyulması hâlinde, görev alanına giren konularda kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek örgütleri veya üniversitelerle iş birliği yapmak.

c) Kişisel verilerle ilgili uluslararası gelişmeleri izlemek ve değerlendirmek, görev alanına giren konularda uluslararası kuruluşlarla iş birliği yapmak, toplantılara katılmak.

ç) Yıllık faaliyet raporunu Cumhurbaşkanlığına, Türkiye Büyük Millet Meclisi İnsan Haklarını İnceleme Komisyonuna sunmak.

d) Kanunlarla verilen diğer görevleri yerine getirmek.

Madde 21 - (1) Kurul, bu Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirir ve kullanır. Görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişi, Kurula emir ve talimat veremez, tavsiye veya telkinde bulunamaz.

(2) Kurul, dokuz üyeden oluşur. Kurulun beş üyesi Türkiye Büyük Millet Meclisi, dört üyesi Cumhurbaşkanı tarafından seçilir.⁶⁴Mevcut kurul üyeleri görmek için tıklayınız.

(3) Kurula üye olabilmek için aşağıdaki şartlar aranır:

a) Kurumun görev alanındaki konularda bilgi ve deneyim sahibi olmak.

b) 14/7/1965 tarihli ve 657 sayılı Devlet Memurları Kanununun 48 inci maddesinin birinci fıkrasının (A) bendinin (1), (4), (5), (6) ve (7) numaralı alt bentlerinde belirtilen nitelikleri taşımak.

c) Herhangi bir siyasi parti üyesi olmamak.

ç) En az dört yıllık lisans düzeyinde yükseköğrenim görmüş olmak.

(4)⁶⁵703 sayılı KHK uyarınca yürürlükten kaldırılmıştır.

(5) Türkiye Büyük Millet Meclisi, Kurula üye seçimini aşağıdaki usulle yapar:

a) Seçim için, siyasi parti gruplarının üye sayısı oranında belirlenecek üye sayısının ikişer katı aday gösterilir ve Kurul üyeleri bu adaylar arasından her siyasi parti grubuna düşen üye sayısı esas alınmak suretiyle Türkiye Büyük Millet Meclisi Genel Kurulunca seçilir. Ancak, siyasi parti gruplarında, Türkiye Büyük Millet Meclisinde yapılacak seçimlerde kime oy kullanılacağına dair görüşme yapılamaz ve karar alınamaz.

b) Kurul üyelerinin seçimi, adayların belirlenerek ilanından sonra on gün içinde yapılır. Siyasi parti grupları tarafından gösterilen adaylar için ayrı ayrı listeler hâlinde birleşik oy pusulası düzenlenir. Adayların adlarının karşısındaki özel yer işaretlenmek suretiyle oy kullanılır. Siyasi parti gruplarının ikinci fıkraya göre belirlenen kontenjanlarından Kurula seçilecek üyelerin sayısından fazla verilen oylar geçersiz sayılır.

c) Karar yeter sayısı olmak şartıyla seçimde en çok oyu alan boş üyelik sayısı kadar aday seçilmiş olur.

ç) Üyelerin görev sürelerinin bitiminden iki ay önce; üyeliklerde herhangi bir sebeple boşalma olması hâlinde, boşalma tarihinden veya boşalma tarihinde Türkiye Büyük Millet Meclisi tatilde ise tatilin bitiminden itibaren bir ay içinde aynı usulle seçim yapılır. Bu seçimlerde, boşalan üyeliklerin siyasi parti gruplarına dağılımı, ilk seçimde siyasi parti grupları kontenjanından seçilen üye sayısı ve siyasi parti gruplarının hâlihazırdaki oranı dikkate alınmak suretiyle yapılır.

(6) Cumhurbaşkanı tarafından seçilen üyelerden birinin görev süresinin bitiminden kırk beş gün önce veya herhangi bir sebeple görevin sona ermesi hâlinde durum, on beş gün içinde Kurum tarafından, Cumhurbaşkanlığına bildirilir. Üyelerin görev süresinin dolmasına bir ay kala yeni üye seçimi yapılır. Bu üyeliklerde, görev süresi dolmadan herhangi bir sebeple boşalma olması hâlinde ise bildirimden itibaren on beş gün içinde seçim yapılır.

(7) Kurul, üyeleri arasından Başkan ve İkinci Başkanı seçer. Kurulun Başkanı, Kurumun da başkanıdır.

(8) Kurul üyelerinin görev süresi dört yıldır. Süresi biten üye yeniden seçilebilir. Görev süresi dolmadan herhangi bir sebeple görevi sona eren üyenin yerine seçilen kişi, yerine seçildiği üyenin kalan süresini tamamlar.

(9) Seçilen üyeler Yargıtay Birinci Başkanlık Kurulu huzurunda “Görevimi Anayasaya ve kanunlara uygun olarak, tam bir tarafsızlık, dürüstlük, hakkaniyet ve adalet anlayışı içinde yerine getireceğime, namusum ve şerefim üzerine yemin ederim.” şeklinde yemin ederler. Yargıtaya yemin için yapılan başvuru acele işlerden sayılır.

(10) Kurul üyeleri özel bir kanuna dayanmadıkça, Kuruldaki resmî görevlerinin yürütülmesi dışında resmî veya özel hiçbir görev alamaz, dernek, vakıf, kooperatif ve benzeri yerlerde yöneticilik yapamaz, ticaretle uğraşamaz, serbest meslek faaliyetinde bulunamaz, hakemlik ve bilirkişilik yapamazlar. Ancak, Kurul üyeleri, asli görevlerini aksatmayacak şekilde bilimsel amaçlı yayın yapabilir, ders ve konferans verebilir ve bunlardan doğacak telif hakları ile ders ve konferans ücretlerini alabilirler.

(11) Üyelerin görevleri sebebiyle işledikleri iddia edilen suçlara ilişkin soruşturmalar 2/12/1999 tarihli ve 4483 sayılı Memurlar ve Diğer Kamu Görevlilerinin Yargılanması Hakkında Kanuna göre yapılır ve bunlar hakkında soruşturma izni Cumhurbaşkanı tarafından verilir.

(12) Kurul üyeleri hakkında yapılacak disiplin soruşturması ve kovuşturmasında 657 sayılı Kanun hükümleri uygulanır.

(13) Kurul üyelerinin süreleri dolmadan herhangi bir nedenle görevlerine son verilemez. Kurul üyelerinin;

a) Seçilmek için gereken şartları taşımadıklarının sonradan anlaşılması,

b) Görevleriyle ilgili olarak işledikleri suçlardan dolayı haklarında verilen mahkûmiyet kararının kesinleşmesi,

c) Görevlerini yerine getiremeyeceklerinin sağlık kurulu raporuyla kesin olarak tespit edilmesi,

ç) Görevlerine izinsiz, mazeretsiz ve kesintisiz olarak on beş gün ya da bir yılda toplam otuz gün süreyle devam etmediklerinin tespit edilmesi,

d) Bir ay içinde izinsiz ve mazeretsiz olarak toplam üç, bir yıl içinde toplam on Kurul toplantısına katılmadıklarının tespit edilmesi,

hâllerinde Kurul kararıyla üyelikleri sona erer.

(14) Kurul üyeliğine seçilenlerin Kurulda görev yaptıkları sürece önceki görevleri ile olan ilişikleri kesilir. Kamu görevlisi iken üyeliğe seçilenler, memuriyete giriş şartlarını kaybetmemeleri kaydıyla, görev sürelerinin sona ermesi veya görevden ayrılma isteğinde bulunmaları ve otuz gün içinde eski kurumlarına başvurmaları durumunda atamaya yetkili makam tarafından bir ay içinde mükteseplerine uygun bir kadroya atanır. Atama gerçekleşinceye kadar, bunların almakta oldukları her türlü ödemelerin Kurum tarafından ödenmesine devam olunur. Bir kamu kurumunda çalışmayanlardan üyeliğe seçilip yukarıda belirtilen şekilde görevi sona erenlere herhangi bir görev veya işe başlayıncaya kadar, almakta oldukları her türlü ödemeler Kurum tarafından ödenmeye devam edilir ve bu şekilde üyeliği sona erenlere Kurum tarafından yapılacak ödeme üç ayı geçemez. Bunların Kurumda geçirdiği süreler, özlük ve diğer hakları açısından önceki kurum veya kuruluşlarında geçirilmiş sayılır.

Madde 22 - (1) Kurulun görev ve yetkileri şunlardır:

a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak.

b) Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak.

c) Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak.

ç) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek.

d) Veri Sorumluları Sicilinin tutulmasını sağlamak.

e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak.

f) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak.

g) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak.

ğ) Bu Kanunda öngörülen idari yaptırımlara karar vermek.

h) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek.

ı) Kurumun; stratejik planını karara bağlamak, amaç ve hedeflerini, hizmet kalite standartlarını ve performans kriterlerini belirlemek.

i) Kurumun stratejik planı ile amaç ve hedeflerine uygun olarak hazırlanan bütçe teklifini görüşmek ve karara bağlamak.

j) Kurumun performansı, mali durumu, yıllık faaliyetleri ve ihtiyaç duyulan konular hakkında hazırlanan rapor taslaklarını onaylamak ve yayımlamak.

k) Taşınmaz alımı, satımı ve kiralanması konularındaki önerileri görüşüp karara bağlamak.

l) Kanunlarla verilen diğer görevleri yerine getirmek.

Madde 23 - (1) Kurulun toplantı günlerini ve gündemini Başkan belirler. Başkan gereken hâllerde Kurulu olağanüstü toplantıya çağırabilir.

(2) Kurul, başkan dâhil en az altı üye ile toplanır ve üye tam sayısının salt çoğunluğuyla karar alır. Kurul üyeleri çekimser oy kullanamaz.

(3) Kurul üyeleri; kendilerini, üçüncü dereceye kadar kan ve ikinci dereceye kadar kayın hısımlarını, evlatlıklarını ve aralarındaki evlilik bağı kalkmış olsa bile eşlerini ilgilendiren konularla ilgili toplantı ve oylamaya katılamaz.

(4) Kurul üyeleri çalışmaları sırasında ilgililere ve üçüncü kişilere ait öğrendikleri sırları bu konuda kanunen yetkili kılınan mercilerden başkasına açıklayamazlar ve kendi yararlarına kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(5) Kurulda görüşülen işler tutanağa bağlanır. Kararlar ve varsa karşı oy gerekçeleri karar tarihinden itibaren en geç on beş gün içinde yazılır. Kurul, gerekli gördüğü kararları kamuoyuna duyurur.

(6) Aksi kararlaştırılmadıkça, Kurul toplantılarındaki görüşmeler gizlidir.

(7) Kurulun çalışma usul ve esasları ile kararların yazımı ve diğer hususlar yönetmelikle düzenlenir.⁶⁶Söz konusu yönetmelik, Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik adıyla 28.10.2017 tarih ve 30224 sayılı Resmi Gazete'de yayımlanmıştır.

Madde 24- (1) Başkan, Kurul ve Kurumun başkanı sıfatıyla Kurumun en üst amiri olup Kurum hizmetlerini mevzuata, Kurumun amaç ve politikalarına, stratejik planına, performans ölçütlerine ve hizmet kalite standartlarına uygun olarak düzenler, yürütür ve hizmet birimleri arasında koordinasyonu sağlar.

(2) Başkan, Kurumun genel yönetim ve temsilinden sorumludur. Bu sorumluluk, Kurum çalışmalarının düzenlenmesi, yürütülmesi, denetlenmesi, değerlendirilmesi ve gerektiğinde kamuoyuna duyurulması görev ve yetkilerini kapsar.

(3) Başkanın görevleri şunlardır:

a) Kurul toplantılarını idare etmek.

b) Kurul kararlarının tebliğini ve Kurulca gerekli görülenlerin kamuoyuna duyurulmasını sağlamak ve uygulanmalarını izlemek.

c) Başkan Yardımcısını, daire başkanlarını ve Kurum personelini atamak.

ç) Hizmet birimlerinden gelen önerilere son şeklini vererek Kurula sunmak.

d) Stratejik planın uygulanmasını sağlamak, hizmet kalite standartları doğrultusunda insan kaynakları ve çalışma politikalarını oluşturmak.

e) Belirlenen stratejilere, yıllık amaç ve hedeflere uygun olarak Kurumun yıllık bütçesi ile mali tablolarını hazırlamak.

f) Kurul ve hizmet birimlerinin uyumlu, verimli, disiplinli ve düzenli bir biçimde çalışması amacıyla koordinasyonu sağlamak.

g) Kurumun diğer kuruluşlarla ilişkilerini yürütmek.

ğ) Kurum Başkanı adına imzaya yetkili personelin görev ve yetki alanını belirlemek.

h) Kurumun yönetim ve işleyişine ilişkin diğer görevleri yerine getirmek.

(4) Kurum Başkanının yokluğunda İkinci Başkan, Başkana vekalet eder.

Madde 25 - (1) Başkanlık; Başkan Yardımcısı ve hizmet birimlerinden oluşur. Başkanlık, dördüncü fıkrada sayılan görevleri daire başkanlıkları şeklinde teşkilatlanan hizmet birimleri aracılığıyla yerine getirir. Daire başkanlıklarının sayısı yediyi geçemez.

(2) Başkan tarafından, Kuruma ilişkin görevlerinde yardımcı olmak üzere bir Başkan Yardımcısı atanır.

(3) Başkan Yardımcısı ve daire başkanları; en az dört yıllık yükseköğretim kurumu mezunu, on yıl süreyle kamu hizmetinde bulunan kişiler arasından Başkan tarafından atanır.

(4) Başkanlığın görevleri şunlardır:

a) Veri Sorumluları Sicilini tutmak.

b) Kurumun ve Kurulun büro ve sekretarya işlemlerini yürütmek.

c) Kurumun taraf olduğu davalar ile icra takiplerinde avukatlar vasıtasıyla Kurumu temsil etmek, davaları takip etmek veya ettirmek, hukuk hizmetlerini yürütmek.

ç) Kurul üyeleri ile Kurumda görev yapanların özlük işlemlerini yürütmek.

d) Kanunlarla mali hizmet ve strateji geliştirme birimlerine verilen görevleri yapmak.

e) Kurumun iş ve işlemlerinin yürütülmesi amacıyla bilişim sisteminin kurulmasını ve kullanılmasını sağlamak.

f) Kurulun yıllık faaliyetleri hakkında veya ihtiyaç duyulan konularda rapor taslaklarını hazırlamak ve Kurula sunmak.

g) Kurumun stratejik plan taslağını hazırlamak.

ğ) Kurumun personel politikasını belirlemek, personelin kariyer ve eğitim planlarını hazırlamak ve uygulamak.

h) Personelin atama, nakil, disiplin, performans, terfi, emeklilik ve benzeri işlemlerini yürütmek.

ı) Personelin uyacağı etik kuralları belirlemek ve gerekli eğitimi vermek.

i) 10/12/2003 tarihli ve 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu çerçevesinde Kurumun ihtiyacı olan her türlü satın alma, kiralama, bakım, onarım, yapım, arşiv, sağlık, sosyal ve benzeri hizmetleri yürütmek.

j) Kuruma ait taşınır ve taşınmazların kayıtlarını tutmak.

k) Kurul veya Başkan tarafından verilen diğer görevleri yapmak.

(5) Hizmet birimleri ile bu birimlerin çalışma usul ve esasları, bu Kanunda belirtilen faaliyet alanı, görev ve yetkilere uygun olarak Kurumun teklifi üzerine Cumhurbaşkanınca yürürlüğe konulan yönetmelikle belirlenir⁶⁷KVK Kurumu'nun teşkilat yapısı, hizmet birimlerinin görev, yetki ve sorumlulukları ile çalışma usul ve esaslarını belirlemek üzere Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliği, 26.04.2018 tarih ve 30403 sayılı Resmi Gazete'de yayımlanmıştır..

Madde 26 - (1) Kurumda, Kişisel Verileri Koruma Uzmanı ve Kişisel Verileri Koruma Uzman Yardımcısı istihdam edilebilir. Bunlardan 657 sayılı Kanunun ek 41 inci maddesi çerçevesinde Kişisel Verileri Koruma Uzmanı kadrosuna atananlara bir defaya mahsus olmak üzere bir derece yükseltilmesi uygulanır.⁶⁸Kişisel verileri koruma uzman yardımcılarının mesleğe alınmaları, yetiştirilmeleri, uzmanlığına atanmaları, görev, yetki ve sorumluluklarının düzenlenmesi amacıyla Kişisel Verileri Koruma Uzmanlığı Yönetmeliği, 09.02.2018 tarih ve 30327 sayılı Resmi Gazete'de yayımlanmıştır.

Madde 27 - (1) Kurum personeli, bu Kanunla düzenlenen hususlar dışında 657 sayılı Kanuna tabidir.⁶⁹KVK Kurumu'nda görev yapan personelin görevde yükselme ve unvan değişikliğine ilişkin usul ve esaslarını belirlemek üzere Kişisel Verileri Koruma Kurumu Personeli Görevde Yükselme ve Unvan Değişikliği Yönetmeliği, 05.05.2018 tarih ve 30412 sayılı Resmi Gazete'de yayımlanmıştır.

(2) Kurul Başkan ve üyeleri ile Kurum personeline 27/6/1989 tarihli ve 375 sayılı Kanun Hükmünde Kararnamenin ek 11 inci maddesi uyarınca belirlenmiş emsali personele mali ve sosyal haklar kapsamında yapılan ödemeler aynı usul ve esaslar çerçevesinde ödenir. Emsali personele yapılan ödemelerden vergi ve diğer yasal kesintilere tabi olmayanlar bu Kanuna göre de vergi ve diğer kesintilere tabi olmaz.

(3) Kurul Başkan ve üyeleri ile Kurum personeli 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 4 üncü maddesinin birinci fıkrasının (c) bendi hükümlerine tabidir. Kurul Başkan ve üyeleri ile Kurum personeli emeklilik hakları bakımından da emsali olarak belirlenen personel ile denk kabul edilir. 5510 sayılı Kanunun 4 üncü maddesinin birinci fıkrasının (c) bendi kapsamında sigortalı iken Kurul Başkanı ve üyeliklerine atananlardan bu görevleri sona erenler veya bu görevlerinden ayrılma isteğinde bulunanların bu görevlerde geçen hizmet süreleri kazanılmış hak aylık, derece ve kademelerinin tespitinde dikkate alınır. Bunlardan bu görevleri sırasında 5510 sayılı Kanunun geçici 4 üncü maddesi kapsamına girenlerin bu görevlerde geçen süreleri makam tazminatı ile temsil tazminatı ödenmesi gereken süre olarak değerlendirilir. Kamu kurum ve kuruluşlarında 5510 sayılı Kanunun 4 üncü maddesinin birinci fıkrasının (a) bendi kapsamında sigortalı iken Kurul Başkanı ve üyeliklerine atananların, önceki kurum ve kuruluşları ile ilişiklerinin kesilmesi kendilerine kıdem tazminatı veya iş sonu tazminatı ödenmesini gerektirmez. Bu durumda olanların kıdem tazminatı veya iş sonu tazminatı ödenmesi gereken hizmet süreleri, Kurul Başkanı ile Kurul üyeliği olarak geçen hizmet süreleri ile birleştirilir ve emeklilik ikramiyesi ödenecek süre olarak değerlendirilir.

(4) Merkezi yönetim kapsamındaki kamu idarelerinde, sosyal güvenlik kurumlarında, mahallî idarelerde, mahallî idarelere bağlı idarelerde, mahallî idare birliklerinde, döner sermayeli kuruluşlarda, kanunlarla kurulan fonlarda, kamu tüzel kişiliğini haiz kuruluşlarda, sermayesinin yüzde ellisinden fazlası kamuya ait kuruluşlarda, iktisadi devlet teşekkülleri ve kamu iktisadi kuruluşları ile bunlara bağlı ortaklıklar ve müesseselerde görevli memurlar ile diğer kamu görevlileri kurumlarının muvafakati, hâkimler ve savcılar ise kendilerinin muvafakati ile aylık, ödenek, her türlü zam ve tazminatlar ile diğer mali ve sosyal hak ve yardımları kurumlarınca ödenmek kaydıyla geçici olarak Kurumda görevlendirilebilir. Kurumun bu konudaki talepleri, ilgili kurum ve kuruluşlarca öncelikle sonuçlandırılır. Bu şekilde görevlendirilen personel, kurumlarından aylıklı izinli sayılır. Bu personelin izinli oldukları sürece memuriyetleri ile ilgileri ve özlük hakları devam ettiği gibi, bu süreler yükselme ve emekliliklerinde de hesaba katılır ve yükselmeleri başkaca bir işleme gerek duyulmadan süresinde yapılır. Bu madde kapsamında görevlendirilenlerin, Kurumda geçirdikleri süreler, kendi kurumlarında geçirilmiş sayılır. Bu şekilde görevlendirilenlerin sayısı Kişisel Verileri Koruma Uzmanı ve Kişisel Verileri Koruma Uzman Yardımcısı toplam kadro sayısının yüzde onunu aşamaz ve görevlendirme süresi iki yılı geçemez. Ancak ihtiyaç hâlinde bu süre bir yıllık dönemler hâlinde uzatılabilir.

(5) Kurumda istihdam edilecek personele ilişkin kadro unvan ve sayıları ekli (I) sayılı cetvelde gösterilmiştir. Toplam kadro sayısını geçmemek üzere 13/12/1983 tarihli ve 190 sayılı Genel Kadro ve Usulü Hakkında Kanun Hükmünde Kararnamenin eki cetvellerde yer alan kadro unvanlarıyla sınırlı olmak kaydıyla unvan ve derece değişikliği yapma, yeni unvan ekleme ve boş kadroların iptali Kurul kararıyla yapılır.

Madde 28⁷⁰Bu maddede sayılan hususların kanun kapsamına alınmamış olması, onlara ilişkin kişisel verilerin korunması hakkı bağlamında hiçbir güvence bulunmadığı anlamına gelmemektedir. Nitekim özellikle Türk Ceza Kanunu ve Avrupa İnsan Hakları Sözleşmesi bu istisnalar bakımından da durumun şartlarına göre uygulanabilir olacaktır. - (1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:

a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi⁷¹KVK Kurumu rehberine göre bu fıkra kapsamında; aynı konutta yaşayan aile fertlerinin aile içinde verileri işlemesi noktasında istisna söz konusudur. Örneğin, doğum günü gibi özel günlerde aile içerisinde çekilen fotoğraflar bu Kanun kapsamında değildir. Ancak bu verilerin üçüncü kişilerle paylaşılması veya alenileştirilmesi halinde, örneğin doğum gününde çekilen fotoğrafların aleni olacak şekilde sosyal medyada paylaşılması durumunda istisnadan söz edilemeyecektir..

b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi⁷²KVK Kurumu rehberine göre örneğin, istatistik amaçlı ve sonradan anonimleştirmek üzere yapılacak anket için kişisel veri toplanması sonrasında anonimleştirme yapılması durumu bu istisna kapsamına girmektedir..

c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi⁷³KVK Kurumu rehberine göre bu konularda yetkili birimin; milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini ve ekonomik güvenliği sağlamaya yönelik olmak üzere mali araştırma yapmak, mali istihbarat elde etmek ve üretmek, veri toplamak, şüpheli işlem bildirimleri ve diğer bildirimleri almak, analiz etmek, inceleme yapmak, değerlendirmek ve ilgili kurumlarla paylaşmak suretiyle işlediği veriler KVK Kanunu kapsamı dışındadır..

d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

(2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:

a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması⁷⁴KVK Kurumu rehberine göre örneğin, bir polisin ciddi bir suçla ilgili şüphelinin kişisel verilerini işlemesi bu kapsamda değerlendirilebilecektir. Çünkü polisin hangi kişisel verilerini işlediği veya hangi amaçlarla işlediğini şüpheliye anlatması halinde, şüphelinin ilgili verileri yok etmesi veya silmesi riski doğacaktır..

b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi⁷⁵KVK Kurumu rehberine göre örneğin, kişinin herkesin erişimine açık bir şekilde sosyal medya hesabında kişisel verisini paylaşması halinde verinin işlenmesi bu istisna kapsamındadır..

c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Madde 29 - (1) Kurumun bütçesi, 5018 sayılı Kanunda belirlenen usul ve esaslara göre hazırlanır ve kabul edilir.

(2) Kurumun gelirleri şunlardır:

a) Genel bütçeden yapılacak hazine yardımları.

b) Kuruma ait taşınır ve taşınmazlardan elde edilen gelirler.

c) Alınan bağış ve yardımlar.

ç) Gelirlerinin değerlendirilmesinden elde edilen gelirler.

d) Diğer gelirler.

Madde 30⁷⁶Bu madde ile diğer kanunlarda yapılan değişikliklerin metnine, KVK Kanununun Resmi Gazete’de yayımlanan metninden erişilebilir. - (1) (10/12/2003 tarihli ve 5018 sayılı Kanun ile ilgili olup yerine işlenmiştir.)

(2) ila (5) - (26/9/2004 tarihli ve 5237 sayılı Kanun ile ilgili olup yerine işlenmiştir.)

(6) (7/5/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanunu ile ilgili olup yerine işlenmiştir.)

(7) (11/10/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname ile ilgili olup yerine işlenmiştir.)

Madde 31 - (1) Bu Kanunun uygulanmasına ilişkin yönetmelikler Kurum tarafından yürürlüğe konulur.

Geçici Madde 1 - (1) Bu Kanunun yayımı tarihinden itibaren altı ay içinde 21 inci maddede öngörülen usule göre Kurul üyeleri seçilir ve Başkanlık teşkilatı oluşturulur.

(2) Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.

(3) Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.

(4) Bu Kanunda öngörülen yönetmelikler bu Kanunun yayımı tarihinden itibaren bir yıl içinde yürürlüğe konulur.

(5) Bu Kanunun yayımı tarihinden itibaren bir yıl içinde, kamu kurum ve kuruluşlarında bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Başkanlığa bildirilir.

(6) İlk seçilen Başkan, İkinci Başkan ve kura ile belirlenen iki üye altı yıl; diğer beş üye ise dört yıl görev yapar.

(7) Kuruma bütçe tahsis edilene kadar;

a) Kurumun giderleri Başbakanlık bütçesinden karşılanır.

b) Kurumun hizmetlerini yerine getirmesi amacıyla bina, araç, gereç, mefruşat ve donanım gibi gerekli tüm destek hizmetleri Başbakanlıkça sağlanır.

(8) Kurumun hizmet birimleri faaliyete geçinceye kadar sekretarya hizmetleri Başbakanlık tarafından yerine getirilir.

Geçici Madde 2 - (Ek:28/11/2017-7061/120 md.) (1) En az dört yıllık lisans öğrenimi veren siyasal bilgiler, iktisadi ve idari bilimler, iktisat, hukuk ve işletme fakültelerinden, mühendislik fakültelerinin elektronik, elektrik-elektronik, elektronik ve haberleşme, bilgisayar, bilişim sistemleri mühendisliği bölümlerinden ya da bunlara denkliği Yükseköğretim Kurulu tarafından kabul edilen yurt içi ve yurt dışındaki yükseköğrenim kurumlarından mezun olanlardan; mesleğe özel yarışma sınavı ile girilen ve belirli süreli meslek içi eğitimden ve özel bir yeterlik sınavından sonra 657 sayılı Kanunun 36 ncı maddesinin “Ortak Hükümler” başlıklı bölümünün (A) fıkrasının (11) numaralı bendinde belirtilen unvanlara ilişkin kurumların merkez teşkilatlarına ait kadrolara atanmış ve bu kadrolarda aylıksız izin süreleri hariç en az iki yıl bulunmuş olanlar ile öğretim üyesi kadrolarında bulunanlar, Yabancı Dil Bilgisi Seviye Tespit Sınavından en az yetmiş puan almış olmak ve atama tarihi itibarıyla kırk yaşından gün almamış olmak kaydıyla, bu maddenin yürürlüğe girdiği tarihten itibaren bir yıl içinde Kişisel Verileri Koruma Uzmanı olarak atanabilirler. Bu şekilde atanacakların sayısı on beşi geçemez.

Madde 32 - (1) Bu Kanunun;

a) 8 inci⁷⁷Madde Başlığı: Kişisel verilerin aktarılması, 9 uncu⁷⁸Madde Başlığı: Kişisel verilerin yurt dışına aktarılması: Kişisel verilerin yurt dışına aktarılması, 11 inci⁷⁹Madde Başlığı: İlgili kişinin hakları: İlgili kişinin hakları, 13 üncü⁸⁰Madde Başlığı: Veri sorumlusuna başvuru: Veri sorumlusuna başvuru, 14 üncü⁸¹Madde Başlığı: Kurula şikayet: Kurula şikayet, 15 inci⁸²Madde Başlığı: Şikayet üzerine veya resen incelemenin usul ve esasları: Şikayet üzerine veya resen incelemenin usul ve esasları, 16 ncı⁸³Madde Başlığı: Veri Sorumluları Sicili: Veri Sorumluları Sicili, 17 nci⁸⁴Madde Başlığı: Suçlar: Suçlar ve 18 inci⁸⁵Madde Başlığı:Kabahatler [İdari Para Cezaları]: Kabahatler [İdari Para Cezaları] maddeleri yayımı tarihinden altı ay sonra⁸⁶7 Ekim 2016 tarihine karşılık gelmektedir.,

b) Diğer maddeleri ise yayımı tarihinde⁸⁷7 Nisan 2016 tarihinde yayımlandığından bu tarihe karşılık gelmektedir..,

yürürlüğe girer.

Madde 33 - (1) Bu Kanun hükümlerini Bakanlar Kurulu yürütür.