Kişisel Veri Koruma Hukuku: Mevzuat & İçtihat (v1.2 / 1 ... · Kişisel Veri Koruma Hukuku alanındaki mevzuat ve içtihatlara pratik şekilde erişmek amacıyla hazırlanmıştır

Kişisel Veri Koruma Hukuku Mevzuat & İçtihat

Dr. Mehmet Bedii KAYA

Furkan Güven TAŞTAN

Kişisel Veri Koruma Hukuku - Mevzuat & İçtihatDr. Mehmet Bedii KAYA - Furkan Güven TAŞTAN

ISBN 978-605-152-682-9

1. BASKI - İSTANBUL, OCAK 2018

© ON İKİ LEVHA YAYINCILIK A. Ş.Adres Prof. Nurettin Mazhar Öktel Sok. No: 6A Şişli / İSTANBULTelefon (212) 343 09 02Faks (212) 224 40 02Web www.onikilevha.com.trE-Posta [email protected]

facebook.com/onikilevhatwitter.com/onikilevha

Baskı/Cilt Berdan Matbaa - Sadık DaşdöğenDavutpaşa Cad. Güven İş MerkeziC. Blok No: 215/216 Topkapı / İstanbulTel: (212) 613 12 11Sertifika No: 12491

YAYIN NO: 854

Dr. Mehmet Bedii KAYA Furkan Güven TAŞTAN

Kişisel Veri Koruma HukukuMevzuat & İçtihat

KANUNLAR

KANUN HÜKMÜNDE KARARNAMELER

YÖNETMELİKLER

AVRUPA KONSEYİ ve AVRUPA BİRLİĞİ DÜZENLEMELERİ

ULUSLARARASI DİĞER DÜZENLEMELER

SEÇİLMİŞ İÇTİHATLAR

1. Baskı | Çevrimiçi Sürüm: 1.2

İSTANBUL 2018

Dr. Mehmet Bedii KAYA Furkan Güven TAŞTAN

Kişisel Veri Koruma Hukuku Mevzuat & İçtihat

KANUNLAR

KANUN HÜKMÜNDE KARARNAMELER

YÖNETMELİKLER

AVRUPA KONSEYİ ve AVRUPA BİRLİĞİ DÜZENLEMELERİ

ULUSLARARASI DİĞER DÜZENLEMELER

SEÇİLMİŞ İÇTİHATLAR

1. Baskı | Çevrimiçi Sürüm: 1.2

İSTANBUL 2018

BİLGİLENDİRME

Bu çalışma, Dr. Mehmet Bedii KAYA1 ve Furkan Güven TAŞTAN2 tarafından

Kişisel Veri Koruma Hukuku alanındaki mevzuat ve içtihatlara pratik şekilde

erişmek amacıyla hazırlanmıştır.

Her türlü görüş, yorum ve önerileriniz için

[email protected] ve [email protected]

Çalışmanın güncel sürümünü indirmek için:

http://www.mbkaya.com/hukuk/veri-koruma-hukuku.pdf

http://www.sinerjik.org/hukuk/veri-koruma-hukuku.pdf

GÜNCELLEME GEÇMİŞİ

Sürüm 1.2 / 2018 Ocak (1. Baskı): Türk hukukuna ilişkin kişisel verilerin

korunmasını ilgilendiren yeni mevzuat metinleri ve içtihatları eklenmiştir.

Sürüm 1.1 / 2017 Şubat: Kullanım kolaylığı sağlamak adına tasarım

yenilenerek güncellenen mevzuat metinleri yeniden sıralanmıştır.

Sürüm 1.0 / 2016 Ekim: Kişisel verilerin korunmasına dair ulusal ve

uluslararası temel kaynaklar eklenmiştir.

1 Ankara Yıldırım Beyazıt Üniversitesi Hukuk Fakültesi Öğretim Üyesi İstanbul Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Enstitüsü Öğretim Görevlisi 2 Ankara Yıldırım Beyazıt Üniversitesi Hukuk Fakültesi Medeni Hukuk ABD Araştırma Görevlisi v

§ İÇİNDEKİLER

§ İÇİNDEKİLER .................................................................................. v

§ TÜRK HUKUKUNDAKİ TEMEL DÜZENLEMELER ....................... 11

1982 ANAYASASI (İLGİLİ HÜKÜMLER) .................................................................. 13

6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU .................................. 15

6698 SAYILI KANUN’UN GEREKÇESİ ................................................................... 45

ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ

VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK .............................. 45

KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN

SAĞLANMASI HAKKINDA YÖNETMELİK .............................................................. 91

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE

GETİRİLMESİ HAKKINDA YÖNETMELİK ............................................................ 105

KİŞİSEL VERİLERİ KORUMA KURULU ÇALIŞMA USUL VE ESASLARINA DAİR

YÖNETMELİK ............................................................................................................. 113

VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK ................................... 123

BİLGİLENDİRME

Bu çalışma, Dr. Mehmet Bedii KAYA1 ve Furkan Güven TAŞTAN2 tarafından

Kişisel Veri Koruma Hukuku alanındaki mevzuat ve içtihatlara pratik şekilde

erişmek amacıyla hazırlanmıştır.

Her türlü görüş, yorum ve önerileriniz için

[email protected] ve [email protected]

Çalışmanın güncel sürümünü indirmek için:

http://www.mbkaya.com/hukuk/veri-koruma-hukuku.pdf

http://www.sinerjik.org/hukuk/veri-koruma-hukuku.pdf

GÜNCELLEME GEÇMİŞİ

Sürüm 1.2 / 2018 Ocak (1. Baskı): Türk hukukuna ilişkin kişisel verilerin

korunmasını ilgilendiren yeni mevzuat metinleri ve içtihatları eklenmiştir.

Sürüm 1.1 / 2017 Şubat: Kullanım kolaylığı sağlamak adına tasarım

yenilenerek güncellenen mevzuat metinleri yeniden sıralanmıştır.

Sürüm 1.0 / 2016 Ekim: Kişisel verilerin korunmasına dair ulusal ve

uluslararası temel kaynaklar eklenmiştir.

1 Ankara Yıldırım Beyazıt Üniversitesi Hukuk Fakültesi Öğretim Üyesiİstanbul Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Enstitüsü Öğretim Görevlisi

2 Ankara Yıldırım Beyazıt Üniversitesi Hukuk Fakültesi Medeni Hukuk ABD Araştırma Görevlisi v

§ İÇİNDEKİLER

§ İÇİNDEKİLER .................................................................................. v

§ TÜRK HUKUKUNDAKİ TEMEL DÜZENLEMELER ....................... 11

1982 ANAYASASI (İLGİLİ HÜKÜMLER) .................................................................. 13

6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU .................................. 15

6698 SAYILI KANUN’UN GEREKÇESİ ................................................................... 45

ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ

VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK .............................. 45


SAĞLANMASI HAKKINDA YÖNETMELİK .............................................................. 91

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE

GETİRİLMESİ HAKKINDA YÖNETMELİK ............................................................ 105

KİŞİSEL VERİLERİ KORUMA KURULU ÇALIŞMA USUL VE ESASLARINA DAİR

YÖNETMELİK ............................................................................................................. 113

VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK ................................... 123

75

vi

§ TÜRK HUKUKUNDAKİ DİĞER DÜZENLEMELER ..................... 137

1774 SAYILI KİMLİK BİLDİRME KANUNU ........................................................... 139

2559 SAYILI POLİS VAZİFE VE SELÂHİYET KANUNU (İLGİLİ

HÜKÜMLER) .............................................................................................................. 149

2920 SAYILI TÜRK SİVİL HAVACILIK KANUNU (İLGİLİ HÜKÜMLER) .......... 153

4721 SAYILI TÜRK MEDENİ KANUNU (İLGİLİ HÜKÜMLER) ........................... 157

4857 SAYILI İŞ KANUNU (İLGİLİ HÜKÜMLER) .................................................. 159

4982 SAYILI BİLGİ EDİNME HAKKI KANUNU (İLGİLİ HÜKÜMLER) .............. 161

5070 SAYILI ELEKTRONİK İMZA KANUNU (İLGİLİ HÜKÜMLER) .................. 165

5237 SAYILI TÜRK CEZA KANUNU (İLGİLİ HÜKÜMLER) ................................ 167

5258 SAYILI AİLE HEKİMLİĞİ KANUNU (İLGİLİ HÜKÜMLER) ......................... 171

5271 SAYILI CEZA MUHAKEMESİ KANUNU (İLGİLİ HÜKÜMLER) ................. 173

5411 SAYILI BANKACILIK KANUNU (İLGİLİ HÜKÜMLER) ................................ 175

5429 SAYILI TÜRKİYE İSTATİSTİK KANUNU (İLGİLİ HÜKÜMLER) ............... 179

5490 SAYILI NÜFUZ HİZMETLERİ KANUNU (İLGİLİ HÜKÜMLER) ................ 181

5502 SAYILI SOSYAL GÜVENLİK KURUMU KANUNU (İLGİLİ

HÜKÜMLER) .............................................................................................................. 187

5549 SAYILI SUÇ GELİRLERİNİN AKLANMASININ ÖNLENMESİ HAKKINDA

KANUN (İLGİLİ HÜKÜMLER) ................................................................................. 189

5651 SAYILI İNTERNET ORTAMINDA YAPILAN YAYINLARIN

DÜZENLENMESİ VE BU YAYINLAR YOLUYLA İŞLENEN SUÇLARLA

MÜCADELE EDİLMESİ HAKKINDA KANUN (İLGİLİ HÜKÜMLER) .................. 191

5718 SAYILI MİLLETLERARASI ÖZEL HUKUK VE USUL HUKUKU HAKKINDA

KANUN (İLGİLİ HÜKÜMLER) ................................................................................. 193vii

5809 SAYILI ELEKTRONİK HABERLEŞME KANUNU (İLGİLİ HÜKÜMLER) .. 195

6098 SAYILI TÜRK BORÇLAR KANUNU (İLGİLİ HÜKÜMLER) ...................... 201

6102 SAYILI TÜRK TİCARET KANUNU (İLGİLİ HÜKÜMLER) ........................ 203

663 SAYILI SAĞLIK BAKANLIĞI VE BAĞLI KURULUŞLARININ TEŞKİLAT VE

GÖREVLERİ HAKKINDA KANUN HÜKMÜNDE KARARNAME (İLGİLİ

HÜKÜMLER) .............................................................................................................. 207

6328 SAYILI KAMU DENETÇİLİĞİ KURUMU KANUNU (İLGİLİ

HÜKÜMLER) .............................................................................................................. 209

6563 SAYILI ELEKTRONİK TİCARETİN DÜZENLENMESİ HAKKINDA KANUN

(İLGİLİ HÜKÜMLER) ................................................................................................. 211

KİMLİK BİLDİRME KANUNUNUN UYGULANMASI İLE İLGİLİ

YÖNETMELİK ............................................................................................................ 213

ÖZEL HASTANELER TÜZÜĞÜ (İLGİLİ HÜKÜMLER) ........................................ 227

HASTA HAKLARI YÖNETMELİĞİ (İLGİLİ HÜKÜMLER) .................................... 229

ELEKTRONİK HABERLEŞME SEKTÖRÜNDE TÜKETİCİ HAKLARI

YÖNETMELİĞİ (İLGİLİ HÜKÜMLER) .................................................................... 231

ECZACILAR VE ECZANELER HAKKINDA YÖNETMELİK (İLGİLİ

HÜKÜMLER) .............................................................................................................. 233

TİCARİ İLETİŞİM VE TİCARİ ELEKTRONİK İLETİLER HAKKINDA

YÖNETMELİK (İLGİLİ HÜKÜMLER) ...................................................................... 235

ÖZEL İSTİHDAM BÜROLARI YÖNETMELİĞİ (İLGİLİ HÜKÜMLER) .............. 237

§ AVRUPA KONSEYİ DÜZENLEMELERİ ...................................... 239

108 NO’LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI

KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ .................................... 241

vi

§ TÜRK HUKUKUNDAKİ DİĞER DÜZENLEMELER ..................... 137

1774 SAYILI KİMLİK BİLDİRME KANUNU ........................................................... 139

2559 SAYILI POLİS VAZİFE VE SELÂHİYET KANUNU (İLGİLİ

HÜKÜMLER) .............................................................................................................. 149

2920 SAYILI TÜRK SİVİL HAVACILIK KANUNU (İLGİLİ HÜKÜMLER) .......... 153

4721 SAYILI TÜRK MEDENİ KANUNU (İLGİLİ HÜKÜMLER) ........................... 157

4857 SAYILI İŞ KANUNU (İLGİLİ HÜKÜMLER) .................................................. 159

4982 SAYILI BİLGİ EDİNME HAKKI KANUNU (İLGİLİ HÜKÜMLER) .............. 161

5070 SAYILI ELEKTRONİK İMZA KANUNU (İLGİLİ HÜKÜMLER) .................. 165

5237 SAYILI TÜRK CEZA KANUNU (İLGİLİ HÜKÜMLER) ................................ 167

5258 SAYILI AİLE HEKİMLİĞİ KANUNU (İLGİLİ HÜKÜMLER) ......................... 171

5271 SAYILI CEZA MUHAKEMESİ KANUNU (İLGİLİ HÜKÜMLER) ................. 173

5411 SAYILI BANKACILIK KANUNU (İLGİLİ HÜKÜMLER) ................................ 175

5429 SAYILI TÜRKİYE İSTATİSTİK KANUNU (İLGİLİ HÜKÜMLER) ............... 179

5490 SAYILI NÜFUZ HİZMETLERİ KANUNU (İLGİLİ HÜKÜMLER) ................ 181

5502 SAYILI SOSYAL GÜVENLİK KURUMU KANUNU (İLGİLİ

HÜKÜMLER) .............................................................................................................. 187

5549 SAYILI SUÇ GELİRLERİNİN AKLANMASININ ÖNLENMESİ HAKKINDA

KANUN (İLGİLİ HÜKÜMLER) ................................................................................. 189



MÜCADELE EDİLMESİ HAKKINDA KANUN (İLGİLİ HÜKÜMLER) .................. 191

5718 SAYILI MİLLETLERARASI ÖZEL HUKUK VE USUL HUKUKU HAKKINDA

KANUN (İLGİLİ HÜKÜMLER) ................................................................................. 193vii

5809 SAYILI ELEKTRONİK HABERLEŞME KANUNU (İLGİLİ HÜKÜMLER) .. 195

6098 SAYILI TÜRK BORÇLAR KANUNU (İLGİLİ HÜKÜMLER) ...................... 201

6102 SAYILI TÜRK TİCARET KANUNU (İLGİLİ HÜKÜMLER) ........................ 203

663 SAYILI SAĞLIK BAKANLIĞI VE BAĞLI KURULUŞLARININ TEŞKİLAT VE

GÖREVLERİ HAKKINDA KANUN HÜKMÜNDE KARARNAME (İLGİLİ

HÜKÜMLER) .............................................................................................................. 207

6328 SAYILI KAMU DENETÇİLİĞİ KURUMU KANUNU (İLGİLİ

HÜKÜMLER) .............................................................................................................. 209

6563 SAYILI ELEKTRONİK TİCARETİN DÜZENLENMESİ HAKKINDA KANUN

(İLGİLİ HÜKÜMLER) ................................................................................................. 211


YÖNETMELİK ............................................................................................................ 213

ÖZEL HASTANELER TÜZÜĞÜ (İLGİLİ HÜKÜMLER) ........................................ 227

HASTA HAKLARI YÖNETMELİĞİ (İLGİLİ HÜKÜMLER) .................................... 229


YÖNETMELİĞİ (İLGİLİ HÜKÜMLER) .................................................................... 231

ECZACILAR VE ECZANELER HAKKINDA YÖNETMELİK (İLGİLİ

HÜKÜMLER) .............................................................................................................. 233


YÖNETMELİK (İLGİLİ HÜKÜMLER) ...................................................................... 235

ÖZEL İSTİHDAM BÜROLARI YÖNETMELİĞİ (İLGİLİ HÜKÜMLER) .............. 237

§ AVRUPA KONSEYİ DÜZENLEMELERİ ...................................... 239


KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ .................................... 241

viii


KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ’NE EK DENETLEYİCİ

MAKAMLAR VE SINIRAŞAN VERİ AKIŞINA İLİŞKİN PROTOKOL .................. 257

İNSAN HAKLARI AVRUPA SÖZLEŞMESİ (İLGİLİ HÜKÜMLER) ...................... 261

§ AVRUPA BİRLİĞİ DÜZENLEMELERİ ......................................... 263

95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI

BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA

PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ ....................................... 265

AVRUPA BİRLİĞİ TEMEL HAKLAR ŞARTI (İLGİLİ HÜKÜMLER) .................... 309

2002/58 SAYILI ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL

VERİLERİN İŞLENMESİ VE ÖZEL HAYATIN GİZLİLİĞİNİN KORUNMASINA

İLİŞKİN DİREKTİF ...................................................................................................... 311

2006/24 SAYILI KAMUYA AÇIK HABERLEŞME HİZMETLERİ VEYA KAMU

HABERLEŞME ŞEBEKESİ İLE BAĞLANTILI OLARAK ÜRETİLEN VEYA

İŞLENEN VERİLERİN SAKLANMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE

AVRUPA KONSEYİ DİREKTİF ................................................................................. 311

2007/228 AVRUPA TOPLULUKLARI KOMİSYONU BİLDİRİSİ ....................... 311

AVRUPA BİRLİĞİ’NİN İŞLEYİŞİ HAKKINDA ANLAŞMA (İLGİLİ

HÜKÜMLER) .............................................................................................................. 313

2016/679 AVRUPA BİRLİĞİ GENEL VERİ KORUMA TÜZÜĞÜ ...................... 315

§ ULUSLARARASI DİĞER DÜZENLEMELER ................................. 317

İNSAN HAKLARI EVRENSEL BEYANNAMESİ (İLGİLİ HÜKÜMLER) ............... 319

MEDENİ VE SİYASAL HAKLAR SÖZLEŞMESİ (İLGİLİ HÜKÜMLER) ............... 321

ix

OECD’NİN ÖZEL YAŞAMIN KORUNMASI VE KİŞİSEL VERİLERİN SINIRÖTESİ

AKIŞINA İLİŞKİN REHBER İLKELERİ ..................................................................... 323

BM’NİN BİLGİSAYARLA İŞLENEN KİŞİSEL VERİ DOSYALARINA İLİŞKİN

REHBER İLKELERİ .................................................................................................... 323

ALMAN FEDERAL VERİ KORUMA KANUNU ...................................................... 323

İSVİÇRE FEDERAL VERİ KORUMA KANUNU ..................................................... 323

§ İÇTİHATLAR .............................................................................. 325

KİŞİSEL VERİ KAVRAMINDAN HANGİ BİLGİLERİN ANLAŞILMASI

GEREKTİĞİNE İLİŞKİN YARGITAY KARARI ........................................................ 327

BİYOMETRİK YÖNTEMLERLE KİMLİK DOĞRULAMASI YAPILMASINI

ÖNGÖREN KANUN HÜKMÜNÜN ANAYASA AYKIRILIĞINA İLİŞKİN

ANAYASA MAHKEMESİ KARARI ........................................................................... 329

UNUTULMA HAKKINA İLİŞKİN YARGITAY HUKUK GENEL KURUL

KARARI ....................................................................................................................... 337

CEZA MEVZUATINDA KİŞİSEL VERİLERLE İLGİLİ BİR TANIM VE

SINIRLANDIRMA YAPILMAMASININ SUÇTA VE CEZADA KANUNİLİK

İLKESİNİ İHLAL ETMEDİĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI ...... 345

KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN

OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI ...................... 349

İŞYERİ ÖZLÜK DOSYASININ YENİ İŞVERENE GÖNDERİLMESİNİN MANEVİ

TAZMİNAT SEBEBİ OLDUĞUNA İLİŞKİN YARGITAY KARARI. ...................... 377

DİNAMİK IP ADRESİNİN KİŞİSEL VERİ OLDUĞUNA İLİŞKİN ABAD

KARARI ....................................................................................................................... 379

İCRA DOSYASINA TARAF OLMAYAN 3. KİŞİLERE AİT KİŞİSEL NİTELİĞİNİ

HAİZ TAPU KAYDI ve SATIŞ SÖZLEŞMELERİNİN İCRA MÜDÜRLÜĞÜNCE

viii


KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ’NE EK DENETLEYİCİ

MAKAMLAR VE SINIRAŞAN VERİ AKIŞINA İLİŞKİN PROTOKOL .................. 257

İNSAN HAKLARI AVRUPA SÖZLEŞMESİ (İLGİLİ HÜKÜMLER) ...................... 261

§ AVRUPA BİRLİĞİ DÜZENLEMELERİ ......................................... 263

95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI

BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA

PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ ....................................... 265

AVRUPA BİRLİĞİ TEMEL HAKLAR ŞARTI (İLGİLİ HÜKÜMLER) .................... 309

2002/58 SAYILI ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL

VERİLERİN İŞLENMESİ VE ÖZEL HAYATIN GİZLİLİĞİNİN KORUNMASINA

İLİŞKİN DİREKTİF ...................................................................................................... 311

2006/24 SAYILI KAMUYA AÇIK HABERLEŞME HİZMETLERİ VEYA KAMU

HABERLEŞME ŞEBEKESİ İLE BAĞLANTILI OLARAK ÜRETİLEN VEYA

İŞLENEN VERİLERİN SAKLANMASINA İLİŞKİN AVRUPA PARLAMENTOSU VE

AVRUPA KONSEYİ DİREKTİF ................................................................................. 311

2007/228 AVRUPA TOPLULUKLARI KOMİSYONU BİLDİRİSİ ....................... 311

AVRUPA BİRLİĞİ’NİN İŞLEYİŞİ HAKKINDA ANLAŞMA (İLGİLİ

HÜKÜMLER) .............................................................................................................. 313

2016/679 AVRUPA BİRLİĞİ GENEL VERİ KORUMA TÜZÜĞÜ ...................... 315

§ ULUSLARARASI DİĞER DÜZENLEMELER ................................. 317

İNSAN HAKLARI EVRENSEL BEYANNAMESİ (İLGİLİ HÜKÜMLER) ............... 319

MEDENİ VE SİYASAL HAKLAR SÖZLEŞMESİ (İLGİLİ HÜKÜMLER) ............... 321

ix

OECD’NİN ÖZEL YAŞAMIN KORUNMASI VE KİŞİSEL VERİLERİN SINIRÖTESİ

AKIŞINA İLİŞKİN REHBER İLKELERİ ..................................................................... 323

BM’NİN BİLGİSAYARLA İŞLENEN KİŞİSEL VERİ DOSYALARINA İLİŞKİN

REHBER İLKELERİ .................................................................................................... 323

ALMAN FEDERAL VERİ KORUMA KANUNU ...................................................... 323

İSVİÇRE FEDERAL VERİ KORUMA KANUNU ..................................................... 323

§ İÇTİHATLAR .............................................................................. 325


GEREKTİĞİNE İLİŞKİN YARGITAY KARARI ........................................................ 327

BİYOMETRİK YÖNTEMLERLE KİMLİK DOĞRULAMASI YAPILMASINI

ÖNGÖREN KANUN HÜKMÜNÜN ANAYASA AYKIRILIĞINA İLİŞKİN

ANAYASA MAHKEMESİ KARARI ........................................................................... 329


KARARI ....................................................................................................................... 337



İLKESİNİ İHLAL ETMEDİĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI ...... 345


OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI ...................... 349

İŞYERİ ÖZLÜK DOSYASININ YENİ İŞVERENE GÖNDERİLMESİNİN MANEVİ

TAZMİNAT SEBEBİ OLDUĞUNA İLİŞKİN YARGITAY KARARI. ...................... 377

DİNAMİK IP ADRESİNİN KİŞİSEL VERİ OLDUĞUNA İLİŞKİN ABAD

KARARI ....................................................................................................................... 379


HAİZ TAPU KAYDI ve SATIŞ SÖZLEŞMELERİNİN İCRA MÜDÜRLÜĞÜNCE

x

CELBİNİN İSTENEMEYECEĞİNE İLİŞKİN BÖLGE ADLİYE MAHKEMESİ

KARARI ....................................................................................................................... 381

SOSYAL MEDYA SİTESİNDE MAĞDURLARIN RIZALARINA AYKIRI ŞEKİLDE

FOTOĞRAF PAYLAŞILMASININ VERİLERİ HUKUKA AYKIRI OLARAK VERME

VEYA ELE GEÇİRME SUÇU OLUŞTURACAĞINA İLİŞKİN YARGITAY

KARARI ....................................................................................................................... 387

KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ ve MAHREMİYETİNİN

SAĞLANMASI HAKKINDA YÖNETMELİĞİN YÜRÜTMESİNİN

DURDURULMASI HAKKINDA DANIŞTAY KARARI ........................................... 389

11

§ TÜRK HUKUKUNDAKİ

TEMEL DÜZENLEMELER

x

CELBİNİN İSTENEMEYECEĞİNE İLİŞKİN BÖLGE ADLİYE MAHKEMESİ

KARARI ....................................................................................................................... 381

SOSYAL MEDYA SİTESİNDE MAĞDURLARIN RIZALARINA AYKIRI ŞEKİLDE

FOTOĞRAF PAYLAŞILMASININ VERİLERİ HUKUKA AYKIRI OLARAK VERME

VEYA ELE GEÇİRME SUÇU OLUŞTURACAĞINA İLİŞKİN YARGITAY

KARARI ....................................................................................................................... 387

KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ ve MAHREMİYETİNİN


DURDURULMASI HAKKINDA DANIŞTAY KARARI ........................................... 389

11


TEMEL DÜZENLEMELER

13

1982 ANAYASASI (İLGİLİ HÜKÜMLER)

09.11.1982 tarihli 17863 Mükerrer sayılı Resmi Gazete’de yayımlanmıştır.

MADDE 17 – Kişinin dokunulmazlığı, maddi ve manevi varlığı

(1) Herkes, yaşama, maddi ve manevi varlığını koruma ve geliştirme hakkına

sahiptir.

(…)

MADDE 20- Özel hayatın gizliliği

(1) Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına

sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz. (Üçüncü

cümle mülga: 3/10/2001-4709/5 md.)

(2) (Değişik: 3/10/2001-4709/5 md.) Millî güvenlik, kamu düzeni, suç

işlenmesinin önlenmesi, genel sağlık ve genel ahlâkın korunması veya

başkalarının hak ve özgürlüklerinin korunması sebeplerinden biri veya

birkaçına bağlı olarak, usulüne göre verilmiş hâkim kararı olmadıkça; yine bu

sebeplere bağlı olarak gecikmesinde sakınca bulunan hallerde de kanunla

yetkili kılınmış merciin yazılı emri bulunmadıkça; kimsenin üstü, özel kâğıtları

ve eşyası aranamaz ve bunlara el konulamaz. Yetkili merciin kararı yirmidört

saat içinde görevli hâkimin onayına sunulur. Hâkim, kararını el koymadan

itibaren kırksekiz saat içinde açıklar; aksi halde, el koyma kendiliğinden

kalkar.

(3) (Ek fıkra: 7/5/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin

korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel

veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini

veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp

kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda

öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin

korunmasına ilişkin esas ve usuller kanunla düzenlenir.

13



MADDE 17 – Kişinin dokunulmazlığı, maddi ve manevi varlığı

(1) Herkes, yaşama, maddi ve manevi varlığını koruma ve geliştirme hakkına

sahiptir.

(…)


(1) Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına

sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz. (Üçüncü

cümle mülga: 3/10/2001-4709/5 md.)

(2) (Değişik: 3/10/2001-4709/5 md.) Millî güvenlik, kamu düzeni, suç

işlenmesinin önlenmesi, genel sağlık ve genel ahlâkın korunması veya

başkalarının hak ve özgürlüklerinin korunması sebeplerinden biri veya

birkaçına bağlı olarak, usulüne göre verilmiş hâkim kararı olmadıkça; yine bu

sebeplere bağlı olarak gecikmesinde sakınca bulunan hallerde de kanunla

yetkili kılınmış merciin yazılı emri bulunmadıkça; kimsenin üstü, özel kâğıtları

ve eşyası aranamaz ve bunlara el konulamaz. Yetkili merciin kararı yirmidört

saat içinde görevli hâkimin onayına sunulur. Hâkim, kararını el koymadan

itibaren kırksekiz saat içinde açıklar; aksi halde, el koyma kendiliğinden

kalkar.

(3) (Ek fıkra: 7/5/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin








14

12.9.2010-5982/2. Madde Gerekçesi: Anayasada kişisel verilerin korunmasõna yšnelik dolaylõ hŸkŸmler bulunmakla birlikte yeterli değildir. Mukayeseli hukukta ve tarafõ olduğumuz uluslararasõ belgelerde de kişisel verilerin korunmasõ šnemle vurgulanmaktadõr.

Maddeyle, herkesin, kendisiyle ilgili kişisel verilerin korunmasõnõ isteme hakkõ, anayasal bir hak olarak teminat altõna alõnmaktadõr. Bu bağlamda, bireylerin kendilerini ilgilendiren kişisel veriler Ÿzerinde hangi hak ve yetkilere sahip olduğu ve kişisel verilerin

hangi hallerde işlenebileceği hŸkme bağlanõrken, kişisel verilerin korunmasõna ilişkin

esas ve usullerin kanunla dŸzenleneceği šngšrŸlmektedir.

MADDE 22 – Haberleşme hürriyeti

(1) (Değişik: 3/10/2001-4709/7 md.) Herkes, haberleşme hürriyetine sahiptir.

Haberleşmenin gizliliği esastır.

(…)

15

6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU

07.04.2016 tarihli 29677 sayılı Resmi Gazete’de yayımlanmıştır.

BİRİNCİ BÖLÜM - Amaç, Kapsam ve Tanımlar

MADDE 1- Amaç

(1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın

gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel

verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve

esasları düzenlemektir.

MADDE 2- Kapsam

(1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri

tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin

parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel

kişiler hakkında uygulanır.

MADDE 3- Tanımlar

(1) Bu Kanunun uygulanmasında;

a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür

iradeyle açıklanan rızayı,

b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi

hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle

ilişkilendirilemeyecek hâle getirilmesini,

c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,

ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü

bilgiyi,


14

12.9.2010-5982/2. Madde Gerekçesi: Anayasada kişisel verilerin korunmasõna yšnelik dolaylõ hŸkŸmler bulunmakla birlikte yeterli değildir. Mukayeseli hukukta ve tarafõ olduğumuz uluslararasõ belgelerde de kişisel verilerin korunmasõ šnemle vurgulanmaktadõr.

Maddeyle, herkesin, kendisiyle ilgili kişisel verilerin korunmasõnõ isteme hakkõ, anayasal bir hak olarak teminat altõna alõnmaktadõr. Bu bağlamda, bireylerin kendilerini ilgilendiren kişisel veriler Ÿzerinde hangi hak ve yetkilere sahip olduğu ve kişisel verilerin

hangi hallerde işlenebileceği hŸkme bağlanõrken, kişisel verilerin korunmasõna ilişkin

esas ve usullerin kanunla dŸzenleneceği šngšrŸlmektedir.

MADDE 22 – Haberleşme hürriyeti

(1) (Değişik: 3/10/2001-4709/7 md.) Herkes, haberleşme hürriyetine sahiptir.

Haberleşmenin gizliliği esastır.

(…)

15



BİRİNCİ BÖLÜM - Amaç, Kapsam ve Tanımlar

MADDE 1- Amaç

(1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın

gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel

verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve

esasları düzenlemektir.

MADDE 2- Kapsam

(1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri

tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin

parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel

kişiler hakkında uygulanır.

MADDE 3- Tanımlar


a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür

iradeyle açıklanan rızayı,

b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi

hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle


c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,

ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü

bilgiyi,


16

e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik

olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik

olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza

edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,

devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da

kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü

işlemi,

f) Kurul: Kişisel Verileri Koruma Kurulunu,

g) Kurum: Kişisel Verileri Koruma Kurumunu,

ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına

kişisel verileri işleyen gerçek veya tüzel kişiyi,

h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak

işlendiği kayıt sistemini,

ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen,

veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek

veya tüzel kişiyi,

ifade eder.

İKİNCİ BÖLÜM - Kişisel Verilerin İşlenmesi

MADDE 4- Genel ilkeler

(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve

esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olma.

b) Doğru ve gerektiğinde güncel olma.


17

c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre

kadar muhafaza edilme.

MADDE 5- Kişisel verilerin işlenme şartları

(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası

aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya

rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının

hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması

kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli

olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için

zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu

olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri

sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

MADDE 6- Özel nitelikli kişisel verilerin işlenme şartları

(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi

veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği,


16

e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik




devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da


işlemi,

f) Kurul: Kişisel Verileri Koruma Kurulunu,

g) Kurum: Kişisel Verileri Koruma Kurumunu,

ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına


h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak


ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen,



ifade eder.

İKİNCİ BÖLÜM - Kişisel Verilerin İşlenmesi

MADDE 4- Genel ilkeler

(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve

esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olma.

b) Doğru ve gerektiğinde güncel olma.


17

c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre

kadar muhafaza edilme.

MADDE 5- Kişisel verilerin işlenme şartları

(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası



b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya





olması.


zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.


olması.



MADDE 6- Özel nitelikli kişisel verilerin işlenme şartları

(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi

veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği,


18

sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri

ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi

yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler,

kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın

işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu

sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım

hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve

yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya

yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın

işlenebilir.

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından

belirlenen yeterli önlemlerin alınması şarttır.

MADDE 7- Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle

getirilmesi

(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş

olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması

hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu

tarafından silinir, yok edilir veya anonim hâle getirilir.

(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine

ilişkin diğer kanunlarda yer alan hükümler saklıdır.

(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle

getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

MADDE 8- Kişisel verilerin aktarılması

(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

(2) Kişisel veriler;


19

a) 5 inci maddenin ikinci fıkrasında,

b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında,

belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası

aranmaksızın aktarılabilir.

(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler

saklıdır.

MADDE 9- Kişisel verilerin yurt dışına aktarılması

(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü

fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı

yabancı ülkede;

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı

ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt

etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci

fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;

a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin

karşılıklılık durumunu,

c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile

işlenme amaç ve süresini,

ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,


18

sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri

ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi

yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler,

kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın

işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu

sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım

hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve

yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya

yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın

işlenebilir.

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından

belirlenen yeterli önlemlerin alınması şarttır.

MADDE 7- Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle

getirilmesi

(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş

olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması

hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu

tarafından silinir, yok edilir veya anonim hâle getirilir.

(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine

ilişkin diğer kanunlarda yer alan hükümler saklıdır.


getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

MADDE 8- Kişisel verilerin aktarılması

(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

(2) Kişisel veriler;


19

a) 5 inci maddenin ikinci fıkrasında,

b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında,

belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası

aranmaksızın aktarılabilir.

(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler

saklıdır.

MADDE 9- Kişisel verilerin yurt dışına aktarılması

(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü

fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı

yabancı ülkede;

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı

ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt

etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci

fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;

a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin

karşılıklılık durumunu,

c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile

işlenme amaç ve süresini,

ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,


20

d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından

taahhüt edilen önlemleri,

değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların

görüşünü de almak suretiyle karar verir.

(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere,

Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği

durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak

Kurulun izniyle yurt dışına aktarılabilir.

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan

hükümler saklıdır.

ÜÇÜNCÜ BÖLÜM - Haklar ve Yükümlülükler

MADDE 10- Veri sorumlusunun aydınlatma yükümlülüğü

(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği

kişi, ilgili kişilere;

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) 11 inci maddede sayılan diğer hakları,

konusunda bilgi vermekle yükümlüdür.

MADDE 11- İlgili kişinin hakları

(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,


21

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp

kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri

bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların

düzeltilmesini isteme,

e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini

veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı

üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi

suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması

hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

MADDE 12- Veri güvenliğine ilişkin yükümlülükler

(1) Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü

teknik ve idari tedbirleri almak zorundadır.

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel

kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması

hususunda bu kişilerle birlikte müştereken sorumludur.


20

d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından

taahhüt edilen önlemleri,

değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların

görüşünü de almak suretiyle karar verir.

(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere,

Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği

durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak

Kurulun izniyle yurt dışına aktarılabilir.

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan

hükümler saklıdır.

ÜÇÜNCÜ BÖLÜM - Haklar ve Yükümlülükler

MADDE 10- Veri sorumlusunun aydınlatma yükümlülüğü







d) 11 inci maddede sayılan diğer hakları,

konusunda bilgi vermekle yükümlüdür.

MADDE 11- İlgili kişinin hakları

(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,


21

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp

kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri

bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların


e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini

veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı

üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi

suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması

hâlinde zararın giderilmesini talep etme,


MADDE 12- Veri güvenliğine ilişkin yükümlülükler

(1) Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü

teknik ve idari tedbirleri almak zorundadır.

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel

kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması

hususunda bu kişilerle birlikte müştereken sorumludur.


22

(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin

uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya

yaptırmak zorundadır.

(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu

Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı

dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da

devam eder.

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde

edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve

Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde

ya da uygun göreceği başka bir yöntemle ilan edebilir.

DÖRDÜNCÜ BÖLÜM - Başvuru, Şikâyet ve Veri Sorumluları Sicili

MADDE 13- Veri sorumlusuna başvuru

(1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya

Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.

(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa

sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak,

işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki

ücret alınabilir.

(3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder

ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.

Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği

yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması

hâlinde alınan ücret ilgiliye iade edilir.


23

MADDE 14- Kurula şikâyet

(1) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya

süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri

sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru

tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

(2) 13 üncü MADDE uyarınca başvuru yolu tüketilmeden şikâyet yoluna

başvurulamaz.

(3) Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı

saklıdır.

MADDE 15- Şikâyet üzerine veya resen incelemenin usul ve esasları

(1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen,

görev alanına giren konularda gerekli incelemeyi yapar.

(2) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair

Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar veya şikâyetler

incelemeye alınmaz.

(3) Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun,

inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde

göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak

zorundadır.

(4) Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet

tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş

sayılır.

(5) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının

anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu

tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar,

tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.


22

(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin

uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya

yaptırmak zorundadır.

(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu

Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı

dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da

devam eder.

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde

edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve

Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde

ya da uygun göreceği başka bir yöntemle ilan edebilir.

DÖRDÜNCÜ BÖLÜM - Başvuru, Şikâyet ve Veri Sorumluları Sicili

MADDE 13- Veri sorumlusuna başvuru

(1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya

Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.

(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa

sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak,

işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki

ücret alınabilir.

(3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder

ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.

Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği

yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması

hâlinde alınan ücret ilgiliye iade edilir.


23

MADDE 14- Kurula şikâyet

(1) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya

süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri

sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru

tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

(2) 13 üncü MADDE uyarınca başvuru yolu tüketilmeden şikâyet yoluna

başvurulamaz.

(3) Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı

saklıdır.

MADDE 15- Şikâyet üzerine veya resen incelemenin usul ve esasları

(1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen,

görev alanına giren konularda gerekli incelemeyi yapar.

(2) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair

Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar veya şikâyetler

incelemeye alınmaz.

(3) Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun,

inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde

göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak

zorundadır.

(4) Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet

tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş

sayılır.

(5) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının

anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu

tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar,

tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.


24

(6) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın

olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu

kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili

kurum ve kuruluşların görüşlerini de alabilir.

(7) Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka

aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına

aktarılmasının durdurulmasına karar verebilir.

MADDE 16- Veri Sorumluları Sicili

(1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri

Sorumluları Sicili tutulur.

(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan

önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel

verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü

kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz

önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt

zorunluluğuna istisna getirilebilir.

(3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir

bildirimle yapılır:

a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.

b) Kişisel verilerin hangi amaçla işleneceği.

c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri

hakkındaki açıklamalar.

ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.

d) Yabancı ülkelere aktarımı öngörülen kişisel veriler.

e) Kişisel veri güvenliğine ilişkin alınan tedbirler.

f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.


25

(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler

derhâl Başkanlığa bildirilir.

(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle

düzenlenir.

BEŞİNCİ BÖLÜM - Suçlar ve Kabahatler

MADDE 17- Suçlar

(1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı

Türk Ceza Kanununun 135 ila 140 ıncı MADDE hükümleri uygulanır.

(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen

veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine

göre cezalandırılır.

MADDE 18- Kabahatler

(1) Bu Kanunun;

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine

getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri

yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk

lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine

getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına

kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim

yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından

1.000.000 Türk lirasına kadar,

idari para cezası verilir.


24

(6) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın

olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu

kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili

kurum ve kuruluşların görüşlerini de alabilir.

(7) Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka

aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına

aktarılmasının durdurulmasına karar verebilir.

MADDE 16- Veri Sorumluları Sicili

(1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri

Sorumluları Sicili tutulur.

(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan

önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel

verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü

kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz

önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt

zorunluluğuna istisna getirilebilir.

(3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir

bildirimle yapılır:

a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.

b) Kişisel verilerin hangi amaçla işleneceği.


hakkındaki açıklamalar.

ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.

d) Yabancı ülkelere aktarımı öngörülen kişisel veriler.

e) Kişisel veri güvenliğine ilişkin alınan tedbirler.

f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.


25

(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler

derhâl Başkanlığa bildirilir.

(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle

düzenlenir.

BEŞİNCİ BÖLÜM - Suçlar ve Kabahatler

MADDE 17- Suçlar

(1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı

Türk Ceza Kanununun 135 ila 140 ıncı MADDE hükümleri uygulanır.

(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen

veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine

göre cezalandırılır.

MADDE 18- Kabahatler

(1) Bu Kanunun;

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine

getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri

yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk

lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine

getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına

kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim

yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından

1.000.000 Türk lirasına kadar,

idari para cezası verilir.


26

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek

kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu

kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde,

Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev

yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki

meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre

işlem yapılır ve sonucu Kurula bildirilir.

ALTINCI BÖLÜM - Kişisel Verileri Koruma Kurumu ve Teşkilat

MADDE 19- Kişisel Verileri Koruma Kurumu

(1) Bu Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe

sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu

kurulmuştur.

(2) Kurum Başbakanlıkla ilişkilidir.

(3) Kurumun merkezi Ankara’dadır.

(4) Kurum, Kurul ve Başkanlıktan oluşur. Kurumun karar organı Kuruldur.

MADDE 20- Kurumun görevleri

(1) Kurumun görevleri şunlardır:

a) Görev alanı itibarıyla, uygulamaları ve mevzuattaki gelişmeleri takip

etmek, değerlendirme ve önerilerde bulunmak, araştırma ve incelemeler

yapmak veya yaptırmak.

b) İhtiyaç duyulması hâlinde, görev alanına giren konularda kamu kurum ve

kuruluşları, sivil toplum kuruluşları, meslek örgütleri veya üniversitelerle iş

birliği yapmak.


27

c) Kişisel verilerle ilgili uluslararası gelişmeleri izlemek ve değerlendirmek,

görev alanına giren konularda uluslararası kuruluşlarla iş birliği yapmak,

toplantılara katılmak.

ç) Yıllık faaliyet raporunu Cumhurbaşkanlığına, Türkiye Büyük Millet Meclisi

İnsan Haklarını İnceleme Komisyonuna ve Başbakanlığa sunmak.

d) Kanunlarla verilen diğer görevleri yerine getirmek.

MADDE 21- Kişisel Verileri Koruma Kurulu

(1) Kurul, bu Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi

sorumluluğu altında, bağımsız olarak yerine getirir ve kullanır. Görev alanına

giren konularla ilgili olarak hiçbir organ, makam, merci veya kişi, Kurula emir

ve talimat veremez, tavsiye veya telkinde bulunamaz.

(2) Kurul, dokuz üyeden oluşur. Kurulun beş üyesi Türkiye Büyük Millet

Meclisi, iki üyesi Cumhurbaşkanı, iki üyesi Bakanlar Kurulu tarafından seçilir.

(3) Kurula üye olabilmek için aşağıdaki şartlar aranır:

a) Kurumun görev alanındaki konularda bilgi ve deneyim sahibi olmak.

b) 14/7/1965 tarihli ve 657 sayılı Devlet Memurları Kanununun 48 inci

maddesinin birinci fıkrasının (A) bendinin(1), (4), (5), (6) ve (7) numaralı alt

bentlerinde belirtilen nitelikleri taşımak.

c) Herhangi bir siyasi parti üyesi olmamak.

ç) En az dört yıllık lisans düzeyinde yükseköğrenim görmüş olmak.

d) Kamu kurum ve kuruluşlarında, uluslararası kuruluşlarda, sivil toplum

kuruluşlarında veya kamu kurumu niteliğindeki meslek kuruluşlarında ya da

özel sektörde toplamda en az on yıl çalışmış olmak.

(4) Kurul üyeliğine seçileceklerin muvafakatleri aranır. Üye seçiminde,

Kurumun görev alanına giren konularda bilgi ve deneyimi bulunanların

çoğulcu bir şekilde temsiline özen gösterilir.


26

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek

kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu

kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde,

Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev

yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki

meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre

işlem yapılır ve sonucu Kurula bildirilir.

ALTINCI BÖLÜM - Kişisel Verileri Koruma Kurumu ve Teşkilat

MADDE 19- Kişisel Verileri Koruma Kurumu

(1) Bu Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe

sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu

kurulmuştur.

(2) Kurum Başbakanlıkla ilişkilidir.

(3) Kurumun merkezi Ankara’dadır.

(4) Kurum, Kurul ve Başkanlıktan oluşur. Kurumun karar organı Kuruldur.

MADDE 20- Kurumun görevleri

(1) Kurumun görevleri şunlardır:

a) Görev alanı itibarıyla, uygulamaları ve mevzuattaki gelişmeleri takip

etmek, değerlendirme ve önerilerde bulunmak, araştırma ve incelemeler

yapmak veya yaptırmak.

b) İhtiyaç duyulması hâlinde, görev alanına giren konularda kamu kurum ve

kuruluşları, sivil toplum kuruluşları, meslek örgütleri veya üniversitelerle iş

birliği yapmak.


27

c) Kişisel verilerle ilgili uluslararası gelişmeleri izlemek ve değerlendirmek,

görev alanına giren konularda uluslararası kuruluşlarla iş birliği yapmak,

toplantılara katılmak.

ç) Yıllık faaliyet raporunu Cumhurbaşkanlığına, Türkiye Büyük Millet Meclisi

İnsan Haklarını İnceleme Komisyonuna ve Başbakanlığa sunmak.

d) Kanunlarla verilen diğer görevleri yerine getirmek.

MADDE 21- Kişisel Verileri Koruma Kurulu

(1) Kurul, bu Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi




(2) Kurul, dokuz üyeden oluşur. Kurulun beş üyesi Türkiye Büyük Millet

Meclisi, iki üyesi Cumhurbaşkanı, iki üyesi Bakanlar Kurulu tarafından seçilir.

(3) Kurula üye olabilmek için aşağıdaki şartlar aranır:

a) Kurumun görev alanındaki konularda bilgi ve deneyim sahibi olmak.

b) 14/7/1965 tarihli ve 657 sayılı Devlet Memurları Kanununun 48 inci

maddesinin birinci fıkrasının (A) bendinin(1), (4), (5), (6) ve (7) numaralı alt

bentlerinde belirtilen nitelikleri taşımak.

c) Herhangi bir siyasi parti üyesi olmamak.

ç) En az dört yıllık lisans düzeyinde yükseköğrenim görmüş olmak.

d) Kamu kurum ve kuruluşlarında, uluslararası kuruluşlarda, sivil toplum

kuruluşlarında veya kamu kurumu niteliğindeki meslek kuruluşlarında ya da

özel sektörde toplamda en az on yıl çalışmış olmak.

(4) Kurul üyeliğine seçileceklerin muvafakatleri aranır. Üye seçiminde,

Kurumun görev alanına giren konularda bilgi ve deneyimi bulunanların

çoğulcu bir şekilde temsiline özen gösterilir.


28

(5) Türkiye Büyük Millet Meclisi, Kurula üye seçimini aşağıdaki usulle yapar:

a) Seçim için, siyasi parti gruplarının üye sayısı oranında belirlenecek üye

sayısının ikişer katı aday gösterilir ve Kurul üyeleri bu adaylar arasından her

siyasi parti grubuna düşen üye sayısı esas alınmak suretiyle Türkiye Büyük

Millet Meclisi Genel Kurulunca seçilir. Ancak, siyasi parti gruplarında, Türkiye

Büyük Millet Meclisinde yapılacak seçimlerde kime oy kullanılacağına dair

görüşme yapılamaz ve karar alınamaz.

b) Kurul üyelerinin seçimi, adayların belirlenerek ilanından sonra on gün

içinde yapılır. Siyasi parti grupları tarafından gösterilen adaylar için ayrı ayrı

listeler hâlinde birleşik oy pusulası düzenlenir. Adayların adlarının

karşısındaki özel yer işaretlenmek suretiyle oy kullanılır. Siyasi parti

gruplarının ikinci fıkraya göre belirlenen kontenjanlarından Kurula seçilecek

üyelerin sayısından fazla verilen oylar geçersiz sayılır.

c) Karar yeter sayısı olmak şartıyla seçimde en çok oyu alan boş üyelik sayısı

kadar aday seçilmiş olur.

ç) Üyelerin görev sürelerinin bitiminden iki ay önce; üyeliklerde herhangi bir

sebeple boşalma olması hâlinde, boşalma tarihinden veya boşalma tarihinde

Türkiye Büyük Millet Meclisi tatilde ise tatilin bitiminden itibaren bir ay içinde

aynı usulle seçim yapılır. Bu seçimlerde, boşalan üyeliklerin siyasi parti

gruplarına dağılımı, ilk seçimde siyasi parti grupları kontenjanından seçilen

üye sayısı ve siyasi parti gruplarının hâlihazırdaki oranı dikkate alınmak

suretiyle yapılır.

(6) Cumhurbaşkanı veya Bakanlar Kurulu tarafından seçilen üyelerden birinin

görev süresinin bitiminden kırk beş gün önce veya herhangi bir sebeple

görevin sona ermesi hâlinde durum, on beş gün içinde Kurum tarafından,

Cumhurbaşkanlığına veya Bakanlar Kuruluna sunulmak üzere Başbakanlığa

bildirilir. Üyelerin görev süresinin dolmasına bir ay kala yeni üye seçimi


29

yapılır. Bu üyeliklerde, görev süresi dolmadan herhangi bir sebeple boşalma

olması hâlinde ise bildirimden itibaren on beş gün içinde seçim yapılır.

(7) Kurul, üyeleri arasından Başkan ve İkinci Başkanı seçer. Kurulun Başkanı,

Kurumun da başkanıdır.

(8) Kurul üyelerinin görev süresi dört yıldır. Süresi biten üye yeniden

seçilebilir. Görev süresi dolmadan herhangi bir sebeple görevi sona eren

üyenin yerine seçilen kişi, yerine seçildiği üyenin kalan süresini tamamlar.

(9) Seçilen üyeler Yargıtay Birinci Başkanlık Kurulu huzurunda “Görevimi

Anayasaya ve kanunlara uygun olarak, tam bir tarafsızlık, dürüstlük,

hakkaniyet ve adalet anlayışı içinde yerine getireceğime, namusum ve

şerefim üzerine yemin ederim.” şeklinde yemin ederler. Yargıtaya yemin için

yapılan başvuru acele işlerden sayılır.

(10) Kurul üyeleri özel bir kanuna dayanmadıkça, Kuruldaki resmî

görevlerinin yürütülmesi dışında resmî veya özel hiçbir görev alamaz,

dernek, vakıf, kooperatif ve benzeri yerlerde yöneticilik yapamaz, ticaretle

uğraşamaz, serbest meslek faaliyetinde bulunamaz, hakemlik ve bilirkişilik

yapamazlar. Ancak, Kurul üyeleri, asli görevlerini aksatmayacak şekilde

bilimsel amaçlı yayın yapabilir, ders ve konferans verebilir ve bunlardan

doğacak telif hakları ile ders ve konferans ücretlerini alabilirler.

(11) Üyelerin görevleri sebebiyle işledikleri iddia edilen suçlara ilişkin

soruşturmalar 2/12/1999 tarihli ve 4483 sayılı Memurlar ve Diğer Kamu

Görevlilerinin Yargılanması Hakkında Kanuna göre yapılır ve bunlar hakkında

soruşturma izni Başbakan tarafından verilir.

(12) Kurul üyeleri hakkında yapılacak disiplin soruşturması ve

kovuşturmasında 657 sayılı Kanun hükümleri uygulanır.

(13) Kurul üyelerinin süreleri dolmadan herhangi bir nedenle görevlerine son

verilemez. Kurul üyelerinin;


28

(5) Türkiye Büyük Millet Meclisi, Kurula üye seçimini aşağıdaki usulle yapar:

a) Seçim için, siyasi parti gruplarının üye sayısı oranında belirlenecek üye

sayısının ikişer katı aday gösterilir ve Kurul üyeleri bu adaylar arasından her

siyasi parti grubuna düşen üye sayısı esas alınmak suretiyle Türkiye Büyük

Millet Meclisi Genel Kurulunca seçilir. Ancak, siyasi parti gruplarında, Türkiye

Büyük Millet Meclisinde yapılacak seçimlerde kime oy kullanılacağına dair

görüşme yapılamaz ve karar alınamaz.

b) Kurul üyelerinin seçimi, adayların belirlenerek ilanından sonra on gün

içinde yapılır. Siyasi parti grupları tarafından gösterilen adaylar için ayrı ayrı

listeler hâlinde birleşik oy pusulası düzenlenir. Adayların adlarının

karşısındaki özel yer işaretlenmek suretiyle oy kullanılır. Siyasi parti

gruplarının ikinci fıkraya göre belirlenen kontenjanlarından Kurula seçilecek

üyelerin sayısından fazla verilen oylar geçersiz sayılır.

c) Karar yeter sayısı olmak şartıyla seçimde en çok oyu alan boş üyelik sayısı

kadar aday seçilmiş olur.

ç) Üyelerin görev sürelerinin bitiminden iki ay önce; üyeliklerde herhangi bir

sebeple boşalma olması hâlinde, boşalma tarihinden veya boşalma tarihinde

Türkiye Büyük Millet Meclisi tatilde ise tatilin bitiminden itibaren bir ay içinde

aynı usulle seçim yapılır. Bu seçimlerde, boşalan üyeliklerin siyasi parti

gruplarına dağılımı, ilk seçimde siyasi parti grupları kontenjanından seçilen

üye sayısı ve siyasi parti gruplarının hâlihazırdaki oranı dikkate alınmak

suretiyle yapılır.

(6) Cumhurbaşkanı veya Bakanlar Kurulu tarafından seçilen üyelerden birinin

görev süresinin bitiminden kırk beş gün önce veya herhangi bir sebeple

görevin sona ermesi hâlinde durum, on beş gün içinde Kurum tarafından,

Cumhurbaşkanlığına veya Bakanlar Kuruluna sunulmak üzere Başbakanlığa

bildirilir. Üyelerin görev süresinin dolmasına bir ay kala yeni üye seçimi


29

yapılır. Bu üyeliklerde, görev süresi dolmadan herhangi bir sebeple boşalma

olması hâlinde ise bildirimden itibaren on beş gün içinde seçim yapılır.

(7) Kurul, üyeleri arasından Başkan ve İkinci Başkanı seçer. Kurulun Başkanı,

Kurumun da başkanıdır.




(9) Seçilen üyeler Yargıtay Birinci Başkanlık Kurulu huzurunda “Görevimi

Anayasaya ve kanunlara uygun olarak, tam bir tarafsızlık, dürüstlük,

hakkaniyet ve adalet anlayışı içinde yerine getireceğime, namusum ve

şerefim üzerine yemin ederim.” şeklinde yemin ederler. Yargıtaya yemin için

yapılan başvuru acele işlerden sayılır.

(10) Kurul üyeleri özel bir kanuna dayanmadıkça, Kuruldaki resmî

görevlerinin yürütülmesi dışında resmî veya özel hiçbir görev alamaz,

dernek, vakıf, kooperatif ve benzeri yerlerde yöneticilik yapamaz, ticaretle

uğraşamaz, serbest meslek faaliyetinde bulunamaz, hakemlik ve bilirkişilik

yapamazlar. Ancak, Kurul üyeleri, asli görevlerini aksatmayacak şekilde

bilimsel amaçlı yayın yapabilir, ders ve konferans verebilir ve bunlardan

doğacak telif hakları ile ders ve konferans ücretlerini alabilirler.

(11) Üyelerin görevleri sebebiyle işledikleri iddia edilen suçlara ilişkin

soruşturmalar 2/12/1999 tarihli ve 4483 sayılı Memurlar ve Diğer Kamu

Görevlilerinin Yargılanması Hakkında Kanuna göre yapılır ve bunlar hakkında

soruşturma izni Başbakan tarafından verilir.

(12) Kurul üyeleri hakkında yapılacak disiplin soruşturması ve

kovuşturmasında 657 sayılı Kanun hükümleri uygulanır.




30

a) Seçilmek için gereken şartları taşımadıklarının sonradan anlaşılması,

b) Görevleriyle ilgili olarak işledikleri suçlardan dolayı haklarında verilen

mahkûmiyet kararının kesinleşmesi,

c) Görevlerini yerine getiremeyeceklerinin sağlık kurulu raporuyla kesin

olarak tespit edilmesi,

ç) Görevlerine izinsiz, mazeretsiz ve kesintisiz olarak on beş gün ya da bir

yılda toplam otuz gün süreyle devam etmediklerinin tespit edilmesi,

d) Bir ay içinde izinsiz ve mazeretsiz olarak toplam üç, bir yıl içinde toplam

on Kurul toplantısına katılmadıklarının tespit edilmesi,

hâllerinde Kurul kararıyla üyelikleri sona erer.

(14) Kurul üyeliğine seçilenlerin Kurulda görev yaptıkları sürece önceki

görevleri ile olan ilişikleri kesilir. Kamu görevlisi iken üyeliğe seçilenler,

memuriyete giriş şartlarını kaybetmemeleri kaydıyla, görev sürelerinin sona

ermesi veya görevden ayrılma isteğinde bulunmaları ve otuz gün içinde eski

kurumlarına başvurmaları durumunda atamaya yetkili makam tarafından bir

ay içinde mükteseplerine uygun bir kadroya atanır. Atama gerçekleşinceye

kadar, bunların almakta oldukları her türlü ödemelerin Kurum tarafından

ödenmesine devam olunur. Bir kamu kurumunda çalışmayanlardan üyeliğe

seçilip yukarıda belirtilen şekilde görevi sona erenlere herhangi bir görev

veya işe başlayıncaya kadar, almakta oldukları her türlü ödemeler Kurum

tarafından ödenmeye devam edilir ve bu şekilde üyeliği sona erenlere Kurum

tarafından yapılacak ödeme üç ayı geçemez. Bunların Kurumda geçirdiği

süreler, özlük ve diğer hakları açısından önceki kurum veya kuruluşlarında

geçirilmiş sayılır.

MADDE 22- Kurulun görev ve yetkileri

(1) Kurulun görev ve yetkileri şunlardır:


31

a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini

sağlamak.

b) Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini

karara bağlamak.

c) Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev

alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip

işlenmediğini incelemek ve gerektiğinde bu konuda GEÇİCİ önlemler almak.

ç) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri

belirlemek.

d) Veri Sorumluları Sicilinin tutulmasını sağlamak.

e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli

düzenleyici işlemleri yapmak.

f) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici

işlem yapmak.

g) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin

düzenleyici işlem yapmak.

ğ) Bu Kanunda öngörülen idari yaptırımlara karar vermek.

h) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm

içeren mevzuat taslakları hakkında görüş bildirmek.

ı) Kurumun; stratejik planını karara bağlamak, amaç ve hedeflerini, hizmet

kalite standartlarını ve performans kriterlerini belirlemek.

i) Kurumun stratejik planı ile amaç ve hedeflerine uygun olarak hazırlanan

bütçe teklifini görüşmek ve karara bağlamak.

j) Kurumun performansı, mali durumu, yıllık faaliyetleri ve ihtiyaç duyulan

konular hakkında hazırlanan rapor taslaklarını onaylamak ve yayımlamak.


30











(14) Kurul üyeliğine seçilenlerin Kurulda görev yaptıkları sürece önceki

görevleri ile olan ilişikleri kesilir. Kamu görevlisi iken üyeliğe seçilenler,

memuriyete giriş şartlarını kaybetmemeleri kaydıyla, görev sürelerinin sona

ermesi veya görevden ayrılma isteğinde bulunmaları ve otuz gün içinde eski

kurumlarına başvurmaları durumunda atamaya yetkili makam tarafından bir

ay içinde mükteseplerine uygun bir kadroya atanır. Atama gerçekleşinceye

kadar, bunların almakta oldukları her türlü ödemelerin Kurum tarafından

ödenmesine devam olunur. Bir kamu kurumunda çalışmayanlardan üyeliğe

seçilip yukarıda belirtilen şekilde görevi sona erenlere herhangi bir görev

veya işe başlayıncaya kadar, almakta oldukları her türlü ödemeler Kurum

tarafından ödenmeye devam edilir ve bu şekilde üyeliği sona erenlere Kurum

tarafından yapılacak ödeme üç ayı geçemez. Bunların Kurumda geçirdiği

süreler, özlük ve diğer hakları açısından önceki kurum veya kuruluşlarında

geçirilmiş sayılır.

MADDE 22- Kurulun görev ve yetkileri



31


sağlamak.


karara bağlamak.



işlenmediğini incelemek ve gerektiğinde bu konuda GEÇİCİ önlemler almak.

ç) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri

belirlemek.

d) Veri Sorumluları Sicilinin tutulmasını sağlamak.

e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli


f) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici

işlem yapmak.

g) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin


ğ) Bu Kanunda öngörülen idari yaptırımlara karar vermek.

h) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm


ı) Kurumun; stratejik planını karara bağlamak, amaç ve hedeflerini, hizmet


i) Kurumun stratejik planı ile amaç ve hedeflerine uygun olarak hazırlanan


j) Kurumun performansı, mali durumu, yıllık faaliyetleri ve ihtiyaç duyulan



32

k) Taşınmaz alımı, satımı ve kiralanması konularındaki önerileri görüşüp

karara bağlamak.

l) Kanunlarla verilen diğer görevleri yerine getirmek.

MADDE 23- Kurulun çalışma esasları

(1) Kurulun toplantı günlerini ve gündemini Başkan belirler. Başkan gereken

hâllerde Kurulu olağanüstü toplantıya çağırabilir.

(2) Kurul, başkan dâhil en az altı üye ile toplanır ve üye tam sayısının salt

çoğunluğuyla karar alır. Kurul üyeleri çekimser oy kullanamaz.

(3) Kurul üyeleri; kendilerini, üçüncü dereceye kadar kan ve ikinci dereceye

kadar kayın hısımlarını, evlatlıklarını ve aralarındaki evlilik bağı kalkmış olsa

bile eşlerini ilgilendiren konularla ilgili toplantı ve oylamaya katılamaz.

(4) Kurul üyeleri çalışmaları sırasında ilgililere ve üçüncü kişilere ait

öğrendikleri sırları bu konuda kanunen yetkili kılınan mercilerden başkasına

açıklayamazlar ve kendi yararlarına kullanamazlar. Bu yükümlülük görevden

ayrılmalarından sonra da devam eder.

(5) Kurulda görüşülen işler tutanağa bağlanır. Kararlar ve varsa karşı oy

gerekçeleri karar tarihinden itibaren en geç on beş gün içinde yazılır. Kurul,

gerekli gördüğü kararları kamuoyuna duyurur.

(6) Aksi kararlaştırılmadıkça, Kurul toplantılarındaki görüşmeler gizlidir.

(7) Kurulun çalışma usul ve esasları ile kararların yazımı ve diğer hususlar

yönetmelikle düzenlenir.

MADDE 24- Başkan

(1) Başkan, Kurul ve Kurumun başkanı sıfatıyla Kurumun en üst amiri olup

Kurum hizmetlerini mevzuata, Kurumun amaç ve politikalarına, stratejik

planına, performans ölçütlerine ve hizmet kalite standartlarına uygun olarak

düzenler, yürütür ve hizmet birimleri arasında koordinasyonu sağlar.


33

(2) Başkan, Kurumun genel yönetim ve temsilinden sorumludur. Bu

sorumluluk, Kurum çalışmalarının düzenlenmesi, yürütülmesi,

denetlenmesi, değerlendirilmesi ve gerektiğinde kamuoyuna duyurulması

görev ve yetkilerini kapsar.

(3) Başkanın görevleri şunlardır:

a) Kurul toplantılarını idare etmek.

b) Kurul kararlarının tebliğini ve Kurulca gerekli görülenlerin kamuoyuna

duyurulmasını sağlamak ve uygulanmalarını izlemek.

c) Başkan Yardımcısını, daire başkanlarını ve Kurum personelini atamak.

ç) Hizmet birimlerinden gelen önerilere son şeklini vererek Kurula sunmak.

d) Stratejik planın uygulanmasını sağlamak, hizmet kalite standartları

doğrultusunda insan kaynakları ve çalışma politikalarını oluşturmak.

e) Belirlenen stratejilere, yıllık amaç ve hedeflere uygun olarak Kurumun

yıllık bütçesi ile mali tablolarını hazırlamak.

f) Kurul ve hizmet birimlerinin uyumlu, verimli, disiplinli ve düzenli bir

biçimde çalışması amacıyla koordinasyonu sağlamak.

g) Kurumun diğer kuruluşlarla ilişkilerini yürütmek.

ğ) Kurum Başkanı adına imzaya yetkili personelin görev ve yetki alanını

belirlemek.

h) Kurumun yönetim ve işleyişine ilişkin diğer görevleri yerine getirmek.

(4) Kurum Başkanının yokluğunda İkinci Başkan, Başkana vekalet eder.

MADDE 25- Başkanlığın oluşumu ve görevleri

(1) Başkanlık; Başkan Yardımcısı ve hizmet birimlerinden oluşur. Başkanlık,

dördüncü fıkrada sayılan görevleri daire başkanlıkları şeklinde teşkilatlanan

hizmet birimleri aracılığıyla yerine getirir. Daire başkanlıklarının sayısı yediyi

geçemez.


32

k) Taşınmaz alımı, satımı ve kiralanması konularındaki önerileri görüşüp

karara bağlamak.

l) Kanunlarla verilen diğer görevleri yerine getirmek.

MADDE 23- Kurulun çalışma esasları

(1) Kurulun toplantı günlerini ve gündemini Başkan belirler. Başkan gereken

hâllerde Kurulu olağanüstü toplantıya çağırabilir.

(2) Kurul, başkan dâhil en az altı üye ile toplanır ve üye tam sayısının salt

çoğunluğuyla karar alır. Kurul üyeleri çekimser oy kullanamaz.



bile eşlerini ilgilendiren konularla ilgili toplantı ve oylamaya katılamaz.

(4) Kurul üyeleri çalışmaları sırasında ilgililere ve üçüncü kişilere ait

öğrendikleri sırları bu konuda kanunen yetkili kılınan mercilerden başkasına

açıklayamazlar ve kendi yararlarına kullanamazlar. Bu yükümlülük görevden


(5) Kurulda görüşülen işler tutanağa bağlanır. Kararlar ve varsa karşı oy

gerekçeleri karar tarihinden itibaren en geç on beş gün içinde yazılır. Kurul,

gerekli gördüğü kararları kamuoyuna duyurur.

(6) Aksi kararlaştırılmadıkça, Kurul toplantılarındaki görüşmeler gizlidir.

(7) Kurulun çalışma usul ve esasları ile kararların yazımı ve diğer hususlar

yönetmelikle düzenlenir.

MADDE 24- Başkan

(1) Başkan, Kurul ve Kurumun başkanı sıfatıyla Kurumun en üst amiri olup

Kurum hizmetlerini mevzuata, Kurumun amaç ve politikalarına, stratejik

planına, performans ölçütlerine ve hizmet kalite standartlarına uygun olarak

düzenler, yürütür ve hizmet birimleri arasında koordinasyonu sağlar.


33

(2) Başkan, Kurumun genel yönetim ve temsilinden sorumludur. Bu

sorumluluk, Kurum çalışmalarının düzenlenmesi, yürütülmesi,

denetlenmesi, değerlendirilmesi ve gerektiğinde kamuoyuna duyurulması

görev ve yetkilerini kapsar.

(3) Başkanın görevleri şunlardır:

a) Kurul toplantılarını idare etmek.

b) Kurul kararlarının tebliğini ve Kurulca gerekli görülenlerin kamuoyuna

duyurulmasını sağlamak ve uygulanmalarını izlemek.

c) Başkan Yardımcısını, daire başkanlarını ve Kurum personelini atamak.

ç) Hizmet birimlerinden gelen önerilere son şeklini vererek Kurula sunmak.

d) Stratejik planın uygulanmasını sağlamak, hizmet kalite standartları

doğrultusunda insan kaynakları ve çalışma politikalarını oluşturmak.

e) Belirlenen stratejilere, yıllık amaç ve hedeflere uygun olarak Kurumun

yıllık bütçesi ile mali tablolarını hazırlamak.

f) Kurul ve hizmet birimlerinin uyumlu, verimli, disiplinli ve düzenli bir

biçimde çalışması amacıyla koordinasyonu sağlamak.

g) Kurumun diğer kuruluşlarla ilişkilerini yürütmek.

ğ) Kurum Başkanı adına imzaya yetkili personelin görev ve yetki alanını

belirlemek.

h) Kurumun yönetim ve işleyişine ilişkin diğer görevleri yerine getirmek.

(4) Kurum Başkanının yokluğunda İkinci Başkan, Başkana vekalet eder.

MADDE 25- Başkanlığın oluşumu ve görevleri

(1) Başkanlık; Başkan Yardımcısı ve hizmet birimlerinden oluşur. Başkanlık,

dördüncü fıkrada sayılan görevleri daire başkanlıkları şeklinde teşkilatlanan

hizmet birimleri aracılığıyla yerine getirir. Daire başkanlıklarının sayısı yediyi

geçemez.


34

(2) Başkan tarafından, Kuruma ilişkin görevlerinde yardımcı olmak üzere bir

Başkan Yardımcısı atanır.

(3) Başkan Yardımcısı ve daire başkanları; en az dört yıllık yükseköğretim

kurumu mezunu, on yıl süreyle kamu hizmetinde bulunan kişiler arasından

Başkan tarafından atanır.

(4) Başkanlığın görevleri şunlardır:

a) Veri Sorumluları Sicilini tutmak.

b) Kurumun ve Kurulun büro ve sekretarya işlemlerini yürütmek.

c) Kurumun taraf olduğu davalar ile icra takiplerinde avukatlar vasıtasıyla

Kurumu temsil etmek, davaları takip etmek veya ettirmek, hukuk hizmetlerini

yürütmek.

ç) Kurul üyeleri ile Kurumda görev yapanların özlük işlemlerini yürütmek.

d) Kanunlarla mali hizmet ve strateji geliştirme birimlerine verilen görevleri

yapmak.

e) Kurumun iş ve işlemlerinin yürütülmesi amacıyla bilişim sisteminin

kurulmasını ve kullanılmasını sağlamak.

f) Kurulun yıllık faaliyetleri hakkında veya ihtiyaç duyulan konularda rapor

taslaklarını hazırlamak ve Kurula sunmak.

g) Kurumun stratejik plan taslağını hazırlamak.

ğ) Kurumun personel politikasını belirlemek, personelin kariyer ve eğitim

planlarını hazırlamak ve uygulamak.

h) Personelin atama, nakil, disiplin, performans, terfi, emeklilik ve benzeri

işlemlerini yürütmek.

ı) Personelin uyacağı etik kuralları belirlemek ve gerekli eğitimi vermek.


35

i) 10/12/2003 tarihli ve 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu

çerçevesinde Kurumun ihtiyacı olan her türlü satın alma, kiralama, bakım,

onarım, yapım, arşiv, sağlık, sosyal ve benzeri hizmetleri yürütmek.

j) Kuruma ait taşınır ve taşınmazların kayıtlarını tutmak.

k) Kurul veya Başkan tarafından verilen diğer görevleri yapmak.

(5) Hizmet birimleri ile bu birimlerin çalışma usul ve esasları, bu Kanunda

belirtilen faaliyet alanı, görev ve yetkilere uygun olarak Kurumun teklifi

üzerine Bakanlar Kurulu kararıyla yürürlüğe konulan yönetmelikle belirlenir.

MADDE 26- Kişisel Verileri Koruma Uzmanı ve uzman yardımcıları

(1) Kurumda, Kişisel Verileri Koruma Uzmanı ve Kişisel Verileri Koruma

Uzman Yardımcısı istihdam edilebilir. Bunlardan 657 sayılı Kanunun ek 41 inci

maddesi çerçevesinde Kişisel Verileri Koruma Uzmanı kadrosuna atananlara

bir defaya mahsus olmak üzere bir derece yükseltilmesi uygulanır.

MADDE 27- Personele ve özlük haklarına ilişkin hükümler

(1) Kurum personeli, bu Kanunla düzenlenen hususlar dışında 657 sayılı

Kanuna tabidir.

(2) Kurul Başkan ve üyeleri ile Kurum personeline 27/6/1989 tarihli ve 375

sayılı Kanun Hükmünde Kararnamenin ek 11 inci maddesi uyarınca

belirlenmiş emsali personele mali ve sosyal haklar kapsamında yapılan

ödemeler aynı usul ve esaslar çerçevesinde ödenir. Emsali personele yapılan

ödemelerden vergi ve diğer yasal kesintilere tabi olmayanlar bu Kanuna göre

de vergi ve diğer kesintilere tabi olmaz.

(3) Kurul Başkan ve üyeleri ile Kurum personeli 31/5/2006 tarihli ve 5510

sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 4 üncü

maddesinin birinci fıkrasının (c) bendi hükümlerine tabidir. Kurul Başkan ve

üyeleri ile Kurum personeli emeklilik hakları bakımından da emsali olarak

belirlenen personel ile denk kabul edilir. 5510 sayılı Kanunun 4 üncü


34

(2) Başkan tarafından, Kuruma ilişkin görevlerinde yardımcı olmak üzere bir

Başkan Yardımcısı atanır.

(3) Başkan Yardımcısı ve daire başkanları; en az dört yıllık yükseköğretim

kurumu mezunu, on yıl süreyle kamu hizmetinde bulunan kişiler arasından

Başkan tarafından atanır.

(4) Başkanlığın görevleri şunlardır:

a) Veri Sorumluları Sicilini tutmak.

b) Kurumun ve Kurulun büro ve sekretarya işlemlerini yürütmek.

c) Kurumun taraf olduğu davalar ile icra takiplerinde avukatlar vasıtasıyla

Kurumu temsil etmek, davaları takip etmek veya ettirmek, hukuk hizmetlerini

yürütmek.

ç) Kurul üyeleri ile Kurumda görev yapanların özlük işlemlerini yürütmek.

d) Kanunlarla mali hizmet ve strateji geliştirme birimlerine verilen görevleri

yapmak.

e) Kurumun iş ve işlemlerinin yürütülmesi amacıyla bilişim sisteminin

kurulmasını ve kullanılmasını sağlamak.

f) Kurulun yıllık faaliyetleri hakkında veya ihtiyaç duyulan konularda rapor

taslaklarını hazırlamak ve Kurula sunmak.

g) Kurumun stratejik plan taslağını hazırlamak.

ğ) Kurumun personel politikasını belirlemek, personelin kariyer ve eğitim

planlarını hazırlamak ve uygulamak.

h) Personelin atama, nakil, disiplin, performans, terfi, emeklilik ve benzeri

işlemlerini yürütmek.

ı) Personelin uyacağı etik kuralları belirlemek ve gerekli eğitimi vermek.


35

i) 10/12/2003 tarihli ve 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu

çerçevesinde Kurumun ihtiyacı olan her türlü satın alma, kiralama, bakım,

onarım, yapım, arşiv, sağlık, sosyal ve benzeri hizmetleri yürütmek.

j) Kuruma ait taşınır ve taşınmazların kayıtlarını tutmak.

k) Kurul veya Başkan tarafından verilen diğer görevleri yapmak.

(5) Hizmet birimleri ile bu birimlerin çalışma usul ve esasları, bu Kanunda

belirtilen faaliyet alanı, görev ve yetkilere uygun olarak Kurumun teklifi

üzerine Bakanlar Kurulu kararıyla yürürlüğe konulan yönetmelikle belirlenir.

MADDE 26- Kişisel Verileri Koruma Uzmanı ve uzman yardımcıları

(1) Kurumda, Kişisel Verileri Koruma Uzmanı ve Kişisel Verileri Koruma

Uzman Yardımcısı istihdam edilebilir. Bunlardan 657 sayılı Kanunun ek 41 inci

maddesi çerçevesinde Kişisel Verileri Koruma Uzmanı kadrosuna atananlara

bir defaya mahsus olmak üzere bir derece yükseltilmesi uygulanır.

MADDE 27- Personele ve özlük haklarına ilişkin hükümler

(1) Kurum personeli, bu Kanunla düzenlenen hususlar dışında 657 sayılı

Kanuna tabidir.

(2) Kurul Başkan ve üyeleri ile Kurum personeline 27/6/1989 tarihli ve 375

sayılı Kanun Hükmünde Kararnamenin ek 11 inci maddesi uyarınca

belirlenmiş emsali personele mali ve sosyal haklar kapsamında yapılan

ödemeler aynı usul ve esaslar çerçevesinde ödenir. Emsali personele yapılan

ödemelerden vergi ve diğer yasal kesintilere tabi olmayanlar bu Kanuna göre

de vergi ve diğer kesintilere tabi olmaz.

(3) Kurul Başkan ve üyeleri ile Kurum personeli 31/5/2006 tarihli ve 5510

sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 4 üncü

maddesinin birinci fıkrasının (c) bendi hükümlerine tabidir. Kurul Başkan ve

üyeleri ile Kurum personeli emeklilik hakları bakımından da emsali olarak

belirlenen personel ile denk kabul edilir. 5510 sayılı Kanunun 4 üncü


36

maddesinin birinci fıkrasının (c) bendi kapsamında sigortalı iken Kurul

Başkanı ve üyeliklerine atananlardan bu görevleri sona erenler veya bu

görevlerinden ayrılma isteğinde bulunanların bu görevlerde geçen hizmet

süreleri kazanılmış hak aylık, derece ve kademelerinin tespitinde dikkate

alınır. Bunlardan bu görevleri sırasında 5510 sayılı Kanunun GEÇİCİ 4 üncü

maddesi kapsamına girenlerin bu görevlerde geçen süreleri makam

tazminatı ile temsil tazminatı ödenmesi gereken süre olarak değerlendirilir.

Kamu kurum ve kuruluşlarında 5510 sayılı Kanunun 4 üncü maddesinin

birinci fıkrasının (a) bendi kapsamında sigortalı iken Kurul Başkanı ve

üyeliklerine atananların, önceki kurum ve kuruluşları ile ilişiklerinin kesilmesi

kendilerine kıdem tazminatı veya iş sonu tazminatı ödenmesini gerektirmez.

Bu durumda olanların kıdem tazminatı veya iş sonu tazminatı ödenmesi

gereken hizmet süreleri, Kurul Başkanı ile Kurul üyeliği olarak geçen hizmet

süreleri ile birleştirilir ve emeklilik ikramiyesi ödenecek süre olarak

değerlendirilir.

(4) Merkezi yönetim kapsamındaki kamu idarelerinde, sosyal güvenlik

kurumlarında, mahallî idarelerde, mahallî idarelere bağlı idarelerde, mahallî

idare birliklerinde, döner sermayeli kuruluşlarda, kanunlarla kurulan

fonlarda, kamu tüzel kişiliğini haiz kuruluşlarda, sermayesinin yüzde

ellisinden fazlası kamuya ait kuruluşlarda, iktisadi devlet teşekkülleri ve kamu

iktisadi kuruluşları ile bunlara bağlı ortaklıklar ve müesseselerde görevli

memurlar ile diğer kamu görevlileri kurumlarının muvafakati, hâkimler ve

savcılar ise kendilerinin muvafakati ile aylık, ödenek, her türlü zam ve

tazminatlar ile diğer mali ve sosyal hak ve yardımları kurumlarınca ödenmek

kaydıyla geçici olarak Kurumda görevlendirilebilir. Kurumun bu konudaki

talepleri, ilgili kurum ve kuruluşlarca öncelikle sonuçlandırılır. Bu şekilde

görevlendirilen personel, kurumlarından aylıklı izinli sayılır. Bu personelin

izinli oldukları sürece memuriyetleri ile ilgileri ve özlük hakları devam ettiği

gibi, bu süreler yükselme ve emekliliklerinde de hesaba katılır ve


37

yükselmeleri başkaca bir işleme gerek duyulmadan süresinde yapılır. Bu

madde kapsamında görevlendirilenlerin, Kurumda geçirdikleri süreler, kendi

kurumlarında geçirilmiş sayılır. Bu şekilde görevlendirilenlerin sayısı Kişisel

Verileri Koruma Uzmanı ve Kişisel Verileri Koruma Uzman Yardımcısı toplam

kadro sayısının yüzde onunu aşamaz ve görevlendirme süresi iki yılı

geçemez. Ancak ihtiyaç hâlinde bu süre bir yıllık dönemler hâlinde

uzatılabilir.3

(5) Kurumda istihdam edilecek personele ilişkin kadro unvan ve sayıları ekli

(I) sayılı cetvelde gösterilmiştir. Toplam kadro sayısını geçmemek üzere

13/12/1983 tarihli ve 190 sayılı Genel Kadro ve Usulü Hakkında Kanun

Hükmünde Kararnamenin eki cetvellerde yer alan kadro unvanlarıyla sınırlı

olmak kaydıyla unvan ve derece değişikliği yapma, yeni unvan ekleme ve boş

kadroların iptali Kurul kararıyla yapılır.

YEDİNCİ BÖLÜM - Çeşitli Hükümler

MADDE 28- İstisnalar

(1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:

a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin

yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen

kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler

kapsamında işlenmesi.

b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle

araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

3 28/11/2017 tarihli ve 7061 sayılı Kanunun 119 uncu maddesiyle bu fıkrada yer alan “diğer kamu görevlileri kurumlarının muvafakati” ibaresinden sonra gelmek üzere “, hâkimler ve savcılar ise kendilerinin muvafakati” ibaresi eklenmiştir.


36

maddesinin birinci fıkrasının (c) bendi kapsamında sigortalı iken Kurul

Başkanı ve üyeliklerine atananlardan bu görevleri sona erenler veya bu

görevlerinden ayrılma isteğinde bulunanların bu görevlerde geçen hizmet

süreleri kazanılmış hak aylık, derece ve kademelerinin tespitinde dikkate

alınır. Bunlardan bu görevleri sırasında 5510 sayılı Kanunun GEÇİCİ 4 üncü

maddesi kapsamına girenlerin bu görevlerde geçen süreleri makam

tazminatı ile temsil tazminatı ödenmesi gereken süre olarak değerlendirilir.

Kamu kurum ve kuruluşlarında 5510 sayılı Kanunun 4 üncü maddesinin

birinci fıkrasının (a) bendi kapsamında sigortalı iken Kurul Başkanı ve

üyeliklerine atananların, önceki kurum ve kuruluşları ile ilişiklerinin kesilmesi

kendilerine kıdem tazminatı veya iş sonu tazminatı ödenmesini gerektirmez.

Bu durumda olanların kıdem tazminatı veya iş sonu tazminatı ödenmesi

gereken hizmet süreleri, Kurul Başkanı ile Kurul üyeliği olarak geçen hizmet

süreleri ile birleştirilir ve emeklilik ikramiyesi ödenecek süre olarak

değerlendirilir.

(4) Merkezi yönetim kapsamındaki kamu idarelerinde, sosyal güvenlik

kurumlarında, mahallî idarelerde, mahallî idarelere bağlı idarelerde, mahallî

idare birliklerinde, döner sermayeli kuruluşlarda, kanunlarla kurulan

fonlarda, kamu tüzel kişiliğini haiz kuruluşlarda, sermayesinin yüzde

ellisinden fazlası kamuya ait kuruluşlarda, iktisadi devlet teşekkülleri ve kamu

iktisadi kuruluşları ile bunlara bağlı ortaklıklar ve müesseselerde görevli

memurlar ile diğer kamu görevlileri kurumlarının muvafakati, hâkimler ve

savcılar ise kendilerinin muvafakati ile aylık, ödenek, her türlü zam ve

tazminatlar ile diğer mali ve sosyal hak ve yardımları kurumlarınca ödenmek

kaydıyla geçici olarak Kurumda görevlendirilebilir. Kurumun bu konudaki

talepleri, ilgili kurum ve kuruluşlarca öncelikle sonuçlandırılır. Bu şekilde

görevlendirilen personel, kurumlarından aylıklı izinli sayılır. Bu personelin

izinli oldukları sürece memuriyetleri ile ilgileri ve özlük hakları devam ettiği

gibi, bu süreler yükselme ve emekliliklerinde de hesaba katılır ve


37

yükselmeleri başkaca bir işleme gerek duyulmadan süresinde yapılır. Bu

madde kapsamında görevlendirilenlerin, Kurumda geçirdikleri süreler, kendi

kurumlarında geçirilmiş sayılır. Bu şekilde görevlendirilenlerin sayısı Kişisel

Verileri Koruma Uzmanı ve Kişisel Verileri Koruma Uzman Yardımcısı toplam

kadro sayısının yüzde onunu aşamaz ve görevlendirme süresi iki yılı

geçemez. Ancak ihtiyaç hâlinde bu süre bir yıllık dönemler hâlinde

uzatılabilir.3

(5) Kurumda istihdam edilecek personele ilişkin kadro unvan ve sayıları ekli

(I) sayılı cetvelde gösterilmiştir. Toplam kadro sayısını geçmemek üzere

13/12/1983 tarihli ve 190 sayılı Genel Kadro ve Usulü Hakkında Kanun

Hükmünde Kararnamenin eki cetvellerde yer alan kadro unvanlarıyla sınırlı

olmak kaydıyla unvan ve derece değişikliği yapma, yeni unvan ekleme ve boş

kadroların iptali Kurul kararıyla yapılır.

YEDİNCİ BÖLÜM - Çeşitli Hükümler

MADDE 28- İstisnalar

(1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:

a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin

yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen

kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler

kapsamında işlenmesi.

b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle

araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

3 28/11/2017 tarihli ve 7061 sayılı Kanunun 119 uncu maddesiyle bu fıkrada yer alan “diğer kamu görevlileri kurumlarının muvafakati” ibaresinden sonra gelmek üzere “, hâkimler ve savcılar ise kendilerinin muvafakati” ibaresi eklenmiştir.


38

c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu

düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını

ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya

bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu

düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev

ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici,

koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine

ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

(2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla

veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın

giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci

ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı

maddeleri aşağıdaki hâllerde uygulanmaz:

a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması

için gerekli olması.

b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili

kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek

kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile

disiplin soruşturma veya kovuşturması için gerekli olması.

ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin

ekonomik ve mali çıkarlarının korunması için gerekli olması.

MADDE 29- Kurumun bütçesi ve gelirleri

(1) Kurumun bütçesi, 5018 sayılı Kanunda belirlenen usul ve esaslara göre

hazırlanır ve kabul edilir.


39

(2) Kurumun gelirleri şunlardır:

a) Genel bütçeden yapılacak hazine yardımları.

b) Kuruma ait taşınır ve taşınmazlardan elde edilen gelirler.

c) Alınan bağış ve yardımlar.

ç) Gelirlerinin değerlendirilmesinden elde edilen gelirler.

d) Diğer gelirler.

MADDE 30- Değiştirilen ve eklenen hükümler

(1) 5018 sayılı Kanunun eki (III) sayılı Cetvele aşağıdaki sıra eklenmiştir.

“10) Kişisel Verileri Koruma Kurumu”

(2) 5237 sayılı Kanunun 135 inci maddesinin ikinci fıkrasında yer alan

“Kişilerin” ibaresi “Kişisel verinin, kişilerin” şeklinde; “bilgileri kişisel veri

olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır” ibaresi

“olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında

artırılır” şeklinde değiştirilmiştir.

(3) 5237 sayılı Kanunun 226 ncı maddesinin üçüncü fıkrasında yer alan

“çocukları” ibaresi “çocukları, temsili çocuk görüntülerini veya çocuk gibi

görünen kişileri” şeklinde değiştirilmiştir.

(4) 5237 sayılı Kanunun 243 üncü maddesinin birinci fıkrasında yer alan “ve”

ibaresi “veya” şeklinde değiştirilmiş ve maddeye aşağıdaki fıkra eklenmiştir.

“(4) Bir bilişim sisteminin kendi içinde veya bilişim sistemleri arasında

gerçekleşen veri nakillerini, sisteme girmeksizin teknik araçlarla hukuka

aykırı olarak izleyen kişi, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır.”

(5) 5237 sayılı Kanuna 245 inci maddeden sonra gelmek üzere aşağıdaki

245/A maddesi eklenmiştir.

“Yasak cihaz veya programlar


38

c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu

düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını

ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya

bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu

düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev

ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici,

koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine

ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

(2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla

veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın

giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci

ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı

maddeleri aşağıdaki hâllerde uygulanmaz:










MADDE 29- Kurumun bütçesi ve gelirleri

(1) Kurumun bütçesi, 5018 sayılı Kanunda belirlenen usul ve esaslara göre

hazırlanır ve kabul edilir.


39

(2) Kurumun gelirleri şunlardır:

a) Genel bütçeden yapılacak hazine yardımları.

b) Kuruma ait taşınır ve taşınmazlardan elde edilen gelirler.

c) Alınan bağış ve yardımlar.

ç) Gelirlerinin değerlendirilmesinden elde edilen gelirler.

d) Diğer gelirler.

MADDE 30- Değiştirilen ve eklenen hükümler

(1) 5018 sayılı Kanunun eki (III) sayılı Cetvele aşağıdaki sıra eklenmiştir.

“10) Kişisel Verileri Koruma Kurumu”

(2) 5237 sayılı Kanunun 135 inci maddesinin ikinci fıkrasında yer alan

“Kişilerin” ibaresi “Kişisel verinin, kişilerin” şeklinde; “bilgileri kişisel veri

olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır” ibaresi

“olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında

artırılır” şeklinde değiştirilmiştir.

(3) 5237 sayılı Kanunun 226 ncı maddesinin üçüncü fıkrasında yer alan

“çocukları” ibaresi “çocukları, temsili çocuk görüntülerini veya çocuk gibi

görünen kişileri” şeklinde değiştirilmiştir.

(4) 5237 sayılı Kanunun 243 üncü maddesinin birinci fıkrasında yer alan “ve”

ibaresi “veya” şeklinde değiştirilmiş ve maddeye aşağıdaki fıkra eklenmiştir.

“(4) Bir bilişim sisteminin kendi içinde veya bilişim sistemleri arasında

gerçekleşen veri nakillerini, sisteme girmeksizin teknik araçlarla hukuka

aykırı olarak izleyen kişi, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır.”

(5) 5237 sayılı Kanuna 245 inci maddeden sonra gelmek üzere aşağıdaki

245/A maddesi eklenmiştir.

“Yasak cihaz veya programlar


40

MADDE 245/A-(1) Bir cihazın, bilgisayar programının, şifrenin veya sair

güvenlik kodunun; münhasıran bu Bölümde yer alan suçlar ile bilişim

sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçların

işlenmesi için yapılması veya oluşturulması durumunda, bunları imal eden,

ithal eden, sevk eden, nakleden, depolayan, kabul eden, satan, satışa arz

eden, satın alan, başkalarına veren veya bulunduran kişi, bir yıldan üç yıla

kadar hapis ve beşbin güne kadar adli para cezası ile cezalandırılır.”

(6) 7/5/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanununun 3 üncü

maddesinin birinci fıkrasının (f) bendi aşağıdaki şekilde değiştirilmiştir.

“f) Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha

etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı

kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-Devlet

uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu

amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke

çapında bilişim sistemi kurulabilir.”

(7) 11/10/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının

Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 47 nci

maddesi aşağıdaki şekilde değiştirilmiştir.

“MADDE 47-(1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları

ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği

olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin

kişisel verileri işlenebilir.

(2) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu

hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık

hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık,

birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler,

Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz.


41

(3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili

kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini

sağlayacak bir sistem kurar.

(4) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili

standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak

Bakanlıkça belirlenir. Bakanlık, bu Kanun uyarınca elde edilen kişisel sağlık

verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla,

sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının

denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.

(5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk

tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel

hareketlerini Bakanlığa bildirmekle yükümlüdür.

(6) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması

ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle

düzenlenir.”

MADDE 31- Yönetmelik

(1) Bu Kanunun uygulanmasına ilişkin yönetmelikler Kurum tarafından

yürürlüğe konulur.

GEÇİCİ MADDE 1- Geçiş hükümleri

(1) Bu Kanunun yayımı tarihinden itibaren altı ay içinde 21 inci maddede

öngörülen usule göre Kurul üyeleri seçilir ve Başkanlık teşkilatı oluşturulur.

(2) Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri

Sorumluları Siciline kayıt yaptırmak zorundadır.

(3) Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı

tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir.

Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir,

yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden


40

MADDE 245/A-(1) Bir cihazın, bilgisayar programının, şifrenin veya sair

güvenlik kodunun; münhasıran bu Bölümde yer alan suçlar ile bilişim

sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçların

işlenmesi için yapılması veya oluşturulması durumunda, bunları imal eden,

ithal eden, sevk eden, nakleden, depolayan, kabul eden, satan, satışa arz

eden, satın alan, başkalarına veren veya bulunduran kişi, bir yıldan üç yıla

kadar hapis ve beşbin güne kadar adli para cezası ile cezalandırılır.”

(6) 7/5/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanununun 3 üncü

maddesinin birinci fıkrasının (f) bendi aşağıdaki şekilde değiştirilmiştir.

“f) Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha

etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı

kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-Devlet

uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu

amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke

çapında bilişim sistemi kurulabilir.”

(7) 11/10/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının

Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 47 nci

maddesi aşağıdaki şekilde değiştirilmiştir.

“MADDE 47-(1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları

ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği

olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin

kişisel verileri işlenebilir.







41















düzenlenir.”

MADDE 31- Yönetmelik

(1) Bu Kanunun uygulanmasına ilişkin yönetmelikler Kurum tarafından

yürürlüğe konulur.

GEÇİCİ MADDE 1- Geçiş hükümleri

(1) Bu Kanunun yayımı tarihinden itibaren altı ay içinde 21 inci maddede

öngörülen usule göre Kurul üyeleri seçilir ve Başkanlık teşkilatı oluşturulur.

(2) Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri

Sorumluları Siciline kayıt yaptırmak zorundadır.

(3) Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı

tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir.

Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir,

yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden


42

önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade

beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.

(4) Bu Kanunda öngörülen yönetmelikler bu Kanunun yayımı tarihinden

itibaren bir yıl içinde yürürlüğe konulur.

(5) Bu Kanunun yayımı tarihinden itibaren bir yıl içinde, kamu kurum ve

kuruluşlarında bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak

üzere üst düzey bir yönetici belirlenerek Başkanlığa bildirilir.

(6) İlk seçilen Başkan, İkinci Başkan ve kura ile belirlenen iki üye altı yıl; diğer

beş üye ise dört yıl görev yapar.

(7) Kuruma bütçe tahsis edilene kadar;

a) Kurumun giderleri Başbakanlık bütçesinden karşılanır.

b) Kurumun hizmetlerini yerine getirmesi amacıyla bina, araç, gereç,

mefruşat ve donanım gibi gerekli tüm destek hizmetleri Başbakanlıkça

sağlanır.

(8) Kurumun hizmet birimleri faaliyete geçinceye kadar sekretarya hizmetleri

Başbakanlık tarafından yerine getirilir.

GEÇİCİ MADDE 2-

(Ek:28/11/2017-7061/120 md.)

(1) En az dört yıllık lisans öğrenimi veren siyasal bilgiler, iktisadi ve idari

bilimler, iktisat, hukuk ve işletme fakültelerinden, mühendislik fakültelerinin

elektronik, elektrik-elektronik, elektronik ve haberleşme, bilgisayar, bilişim

sistemleri mühendisliği bölümlerinden ya da bunlara denkliği Yükseköğretim

Kurulu tarafından kabul edilen yurt içi ve yurt dışındaki yükseköğrenim

kurumlarından mezun olanlardan; mesleğe özel yarışma sınavı ile girilen ve

belirli süreli meslek içi eğitimden ve özel bir yeterlik sınavından sonra 657

sayılı Kanunun 36 ncı maddesinin “Ortak Hükümler” başlıklı bölümünün (A)

fıkrasının (11) numaralı bendinde belirtilen unvanlara ilişkin kurumların


43

merkez teşkilatlarına ait kadrolara atanmış ve bu kadrolarda aylıksız izin

süreleri hariç en az iki yıl bulunmuş olanlar ile öğretim üyesi kadrolarında

bulunanlar, Yabancı Dil Bilgisi Seviye Tespit Sınavından en az yetmiş puan

almış olmak ve atama tarihi itibarıyla kırk yaşından gün almamış olmak

kaydıyla, bu maddenin yürürlüğe girdiği tarihten itibaren bir yıl içinde Kişisel

Verileri Koruma Uzmanı olarak atanabilirler. Bu şekilde atanacakların sayısı

on beşi geçemez.

MADDE 32- Yürürlük

(1) Bu Kanunun;

a) 8 inci, 9 uncu, 11 inci, 13 üncü, 14 üncü, 15 inci, 16 ncı, 17 nci ve 18 inci

maddeleri yayımı tarihinden altı ay sonra,

b) Diğer maddeleri ise yayımı tarihinde,

yürürlüğe girer.

MADDE 33- Yürütme

(1) Bu Kanun hükümlerini Bakanlar Kurulu yürütür.

(I) SAYILI CETVEL KİŞİSEL VERİLERİ KORUMA KURUMU KADRO LİSTESİ

SINIF UNVAN DERECE TOPLAM

GİH Başkan Yardımcısı 1 1

GİH Daire Başkanı 1 7

GİH Hukuk Müşaviri 1 1


AH Avukat 6 4

GİH Kişisel Verileri Koruma Uzmanı 5 10


GİH Kişisel Verileri Koruma Uzman

Yardımcısı 9 60

GİH Mali Hizmetler Uzmanı 6 2


42

önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade

beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.

(4) Bu Kanunda öngörülen yönetmelikler bu Kanunun yayımı tarihinden

itibaren bir yıl içinde yürürlüğe konulur.

(5) Bu Kanunun yayımı tarihinden itibaren bir yıl içinde, kamu kurum ve

kuruluşlarında bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak

üzere üst düzey bir yönetici belirlenerek Başkanlığa bildirilir.

(6) İlk seçilen Başkan, İkinci Başkan ve kura ile belirlenen iki üye altı yıl; diğer

beş üye ise dört yıl görev yapar.

(7) Kuruma bütçe tahsis edilene kadar;

a) Kurumun giderleri Başbakanlık bütçesinden karşılanır.

b) Kurumun hizmetlerini yerine getirmesi amacıyla bina, araç, gereç,

mefruşat ve donanım gibi gerekli tüm destek hizmetleri Başbakanlıkça

sağlanır.

(8) Kurumun hizmet birimleri faaliyete geçinceye kadar sekretarya hizmetleri

Başbakanlık tarafından yerine getirilir.

GEÇİCİ MADDE 2-

(Ek:28/11/2017-7061/120 md.)

(1) En az dört yıllık lisans öğrenimi veren siyasal bilgiler, iktisadi ve idari

bilimler, iktisat, hukuk ve işletme fakültelerinden, mühendislik fakültelerinin

elektronik, elektrik-elektronik, elektronik ve haberleşme, bilgisayar, bilişim

sistemleri mühendisliği bölümlerinden ya da bunlara denkliği Yükseköğretim

Kurulu tarafından kabul edilen yurt içi ve yurt dışındaki yükseköğrenim

kurumlarından mezun olanlardan; mesleğe özel yarışma sınavı ile girilen ve

belirli süreli meslek içi eğitimden ve özel bir yeterlik sınavından sonra 657

sayılı Kanunun 36 ncı maddesinin “Ortak Hükümler” başlıklı bölümünün (A)

fıkrasının (11) numaralı bendinde belirtilen unvanlara ilişkin kurumların


43

merkez teşkilatlarına ait kadrolara atanmış ve bu kadrolarda aylıksız izin

süreleri hariç en az iki yıl bulunmuş olanlar ile öğretim üyesi kadrolarında

bulunanlar, Yabancı Dil Bilgisi Seviye Tespit Sınavından en az yetmiş puan

almış olmak ve atama tarihi itibarıyla kırk yaşından gün almamış olmak

kaydıyla, bu maddenin yürürlüğe girdiği tarihten itibaren bir yıl içinde Kişisel

Verileri Koruma Uzmanı olarak atanabilirler. Bu şekilde atanacakların sayısı

on beşi geçemez.

MADDE 32- Yürürlük

(1) Bu Kanunun;

a) 8 inci, 9 uncu, 11 inci, 13 üncü, 14 üncü, 15 inci, 16 ncı, 17 nci ve 18 inci

maddeleri yayımı tarihinden altı ay sonra,

b) Diğer maddeleri ise yayımı tarihinde,

yürürlüğe girer.

MADDE 33- Yürütme

(1) Bu Kanun hükümlerini Bakanlar Kurulu yürütür.

(I) SAYILI CETVEL KİŞİSEL VERİLERİ KORUMA KURUMU KADRO LİSTESİ

SINIF UNVAN DERECE TOPLAM

GİH Başkan Yardımcısı 1 1

GİH Daire Başkanı 1 7



AH Avukat 6 4



GİH Kişisel Verileri Koruma Uzman

Yardımcısı 9 60

GİH Mali Hizmetler Uzmanı 6 2


44

GİH Mali Hizmetler Uzman Yardımcısı 9 2

GİH Memur 5 5

GİH Memur 7 5

GİH Memur 9 5

GİH Memur 11 5

GİH Memur 13 5

GİH Bilgisayar İşletmeni 7 5

GİH Veri Hazırlama ve Kontrol İşletmeni 6 5





GİH Sekreter 5 3

GİH Sekreter 8 7

GİH Santral Memuru 9 1

GİH Şoför 11 4

TH Teknisyen 6 3

YH Teknisyen Yardımcısı 9 2

YH Hizmetli 11 10

TOPLAM 195

6698 SAYILI KANUNA EK VE DEĞİŞİKLİK GETİREN MEVZUATIN VEYA

ANAYASA MAHKEMESİ TARAFINDAN İPTAL EDİLEN HÜKÜMLERİN

YÜRÜRLÜĞE GİRİŞ TARİHİNİ GÖSTERİR LİSTE

Değiştiren

Kanunun/KHK’nin/ İptal Eden

Anayasa Mahkemesi Kararının

Numarası

6698 sayılı Kanunun

değişen veya iptal

edilen maddeleri

Yürürlüğe Giriş

Tarihi

7061 27, GEÇİCİ MADDE 2 5/12/2017

45

6698 SAYILI KANUN’UN GEREKÇESİ

18.01.2016 tarihli Kişisel Verilerin Korunması Kanunu Tasarısı’nın gerekçesidir.

EDİTÖR NOTU Tasarı, kanunlaşmadan önce bazı değişikliklere tâbi tutulduğundan işbu başlık

altında sunulan gerekçeyle yasalaşan Kanunun lafzı arasında uyumsuzluklar olabilir.

GENEL GEREKÇE

Kişisel veri, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi

olarak tanımlanabilir. Bu bağlamda kişinin kimlik, iletişim, sağlık ve mali

bilgileri ile özel hayatına, dini inancına ve siyasi görüşüne ilişkin bilgiler,

kişisel veri olarak nitelendirilmektedir.

Günümüzde bu veriler, gerek özel sektör ve gerekse kamu sektörü

tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça

kullanılmaktadır. Bu bilgilerin kullanılması bireyler ile mal ve hizmet sunanlar

bakımından bazı kolaylıklar veya avantajlar sağlasa da, bu durum söz konusu

bilgilerin istismar edilme riskini de beraberinde getirmektedir. Bu verilerin

yetkisiz kişiler tarafından elde edilmesi, kullanılması ve ifşa edilmesi gerek

taraf olduğumuz sözleşmeler ve gerekse Anayasamızda koruma altına alınan

temel hakların ihlali olarak karşımıza çıkmaktadır. Bu iki menfaat arasında

makul bir dengenin oluşturulması gerekmektedir.

Kişisel verilerin işlenebilmesi hususunda özel bir kanun ve etkin bir denetim

mekanizmasının bulunmaması toplumumuzda olumsuz bir algının

oluşmasına sebebiyet vermektedir. Oluşan bu algının ortadan kaldırılması

için kişisel verilerin belli şartlar dahilinde işlenmesine, muhafaza edilmesine

ve kontrolüne ilişkin esasların belirlenmesi gerekmektedir.

Çağımızda insan haklarının korunması bilincinin gelişmesine paralel olarak,

kişisel verilerin korunmasının da önemi her geçen gün artmaktadır. Bu


44

GİH Mali Hizmetler Uzman Yardımcısı 9 2

GİH Memur 5 5

GİH Memur 7 5

GİH Memur 9 5

GİH Memur 11 5

GİH Memur 13 5

GİH Bilgisayar İşletmeni 7 5






GİH Sekreter 5 3

GİH Sekreter 8 7

GİH Santral Memuru 9 1

GİH Şoför 11 4

TH Teknisyen 6 3

YH Teknisyen Yardımcısı 9 2

YH Hizmetli 11 10

TOPLAM 195




Değiştiren

Kanunun/KHK’nin/ İptal Eden

Anayasa Mahkemesi Kararının

Numarası



edilen maddeleri


Tarihi

7061 27, GEÇİCİ MADDE 2 5/12/2017

45


18.01.2016 tarihli Kişisel Verilerin Korunması Kanunu Tasarısı’nın gerekçesidir.

EDİTÖR NOTU Tasarı, kanunlaşmadan önce bazı değişikliklere tâbi tutulduğundan işbu başlık

altında sunulan gerekçeyle yasalaşan Kanunun lafzı arasında uyumsuzluklar olabilir.

GENEL GEREKÇE

Kişisel veri, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi

olarak tanımlanabilir. Bu bağlamda kişinin kimlik, iletişim, sağlık ve mali

bilgileri ile özel hayatına, dini inancına ve siyasi görüşüne ilişkin bilgiler,

kişisel veri olarak nitelendirilmektedir.

Günümüzde bu veriler, gerek özel sektör ve gerekse kamu sektörü

tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça

kullanılmaktadır. Bu bilgilerin kullanılması bireyler ile mal ve hizmet sunanlar

bakımından bazı kolaylıklar veya avantajlar sağlasa da, bu durum söz konusu

bilgilerin istismar edilme riskini de beraberinde getirmektedir. Bu verilerin

yetkisiz kişiler tarafından elde edilmesi, kullanılması ve ifşa edilmesi gerek

taraf olduğumuz sözleşmeler ve gerekse Anayasamızda koruma altına alınan

temel hakların ihlali olarak karşımıza çıkmaktadır. Bu iki menfaat arasında

makul bir dengenin oluşturulması gerekmektedir.

Kişisel verilerin işlenebilmesi hususunda özel bir kanun ve etkin bir denetim

mekanizmasının bulunmaması toplumumuzda olumsuz bir algının

oluşmasına sebebiyet vermektedir. Oluşan bu algının ortadan kaldırılması

için kişisel verilerin belli şartlar dahilinde işlenmesine, muhafaza edilmesine

ve kontrolüne ilişkin esasların belirlenmesi gerekmektedir.

Çağımızda insan haklarının korunması bilincinin gelişmesine paralel olarak,

kişisel verilerin korunmasının da önemi her geçen gün artmaktadır. Bu


46

nedenle günümüzde gelişmiş ülkelerde kişisel verilerin korunması alanında

detaylı kanuni düzenlemelerin uygulanmakta olduğu görülmektedir.

Buna karşın ülkemizde, kişisel verilerin korunmasına ilişkin alanı bütüncül

olarak düzenleyen bir kanun bulunmamakta, bu konuya ilişkin hükümler

farklı kanunlarda yer almaktadır. Ayrıca ülkemizde kişisel verilerin işlenmesi

sürecini kontrol edecek ve denetleyecek bir kurum da bulunmamaktadır.

Bunun bir sonucu olarak, halen kişisel veriler yeterli düzenleme ve denetime

tabi olmaksızın, birçok kişi veya kurum tarafından kullanılabilmekte ve bu

durum bazı hak ihlallerinin yaşanmasına sebep olabilmektedir.

Ülkemizde kişisel verilerin korunmasını sağlayacak bir kanunun yürürlüğe

girmesini gerektiren değişik sebepler bulunmaktadır. Öncelikle, 5237 sayılı

Türk Ceza Kanununun 135 ve devamı maddelerinde, kişisel verilerin hukuka

aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiilleri suç olarak

düzenlenmiş ve yaptırıma bağlanmıştır. Bununla birlikte, kişisel verilerin

işlenmesine yönelik özel bir kanunun bulunmaması sebebiyle, bu fillerin ne

zaman hukuka aykırı, ne zaman hukuka uygun olduğunun belirlenmesinde

tereddütlerin yaşandığı görülmektedir.

Öte yandan 12 Eylül 2010 tarihinde yapılan halkoylaması sonucu kabul

edilen 5982 sayılı Kanunla Anayasanın 20 nci maddesinde yapılan

düzenlemeyle, kişisel verilerin korunması temel bir insan hakkı olarak

güvence altına alınmış ve detayların kanunla düzenlenmesi öngörülmüştür.

Yine ülkemizle ilgili olarak devam etmekte olan Avrupa Birliği tam üyelik

sürecinde, müzakere fasıllarından dördü, doğrudan kişisel verilerle ilgilidir.

Bu fasıllarla ilgili sürecin ilerleyebilmesi için ülkemizde kişisel verilerin

korunmasına ilişkin temel bir kanunun yürürlüğe girmesi gerekmektedir.

Avrupa Birliğinin Türkiye ile ilgili olarak hazırladığı ilerleme raporlarında

Türkiye’de veri koruma alanındaki kanuni boşluğa işaret edilmektedir.


47

Ülkemizde kişisel verilerin korunmasına ilişkin kanuni bir düzenleme

olmaması sebebiyle, polis birimleri arasında etkin bir işbirliğini hayata

geçiren EUROPOL ile ülkemiz güvenlik birimleri arasında operasyonel

işbirliği anlaşması yapılamamakta ve elektronik bilgi değişimi

gerçekleştirilememektedir.

Benzer şekilde, sınır aşan suçlarla ilgili değişik ülkelerin yargı mercilerinin

ortak operasyonlar yapabilmesi amacıyla oluşturulan EUROJUST ile çok

sayıda sınır aşan suçun işlendiği geçiş güzergahında bulunan ülkemiz

arasında bu suçlarla mücadeleye yönelik işbirliği yapılamamaktadır.

Sağlık kuruluşlarında hastalara ilişkin çok sayıda özel nitelikli veri tutulmakta

olup, bu verilerin tutulmasına ilişkin kanuni dayanağın olmayışı, verilerin

güvenliğinin sağlanmasına yönelik yeterli önlemlerin alınmaması ve yetkisiz

kişilerce bu nitelikteki bilgilerin ifşa edilmesi, Avrupa İnsan Hakları

Mahkemesince özel hayatın gizliliğine müdahale olarak nitelendirilmekte ve

ihlal kararları verilebilmektedir.

Aynı şekilde, ülkemizde yaşayan yabancılar ile yurtdışında yaşayan Türk

vatandaşları bakımından Dışişleri Bakanlığı askerlik, vatandaşlık, kimlik ve

malvarlığı gibi konularda veri paylaşımında sorunlar yaşamaktadır.

Ayrıca, kişisel verilerin korunması konusunda kanun hazırlanması, ülkemizin

Katılım Ortaklığı Belgesine cevap olarak hazırladığı 2003 Ulusal Programında

taahhüt ettiği yükümlülüklerdendir.

Diğer taraftan, 64. Hükümet 2016 yılı Eylem Planında üç ay içerisinde

gerçekleştirilecek reformlar arasında kişisel verilerin korunmasına ilişkin

kanuni düzenlemelerin hayata geçirileceği yer almaktadır.

Kişisel verilerin korunması konusu ekonomik alanla da yakından ilgilidir. Zira

yabancı sermayenin ülkemizde yatırım yapması ve başka ülkelerdeki

yatırımları ile ülkemizdeki yatırımlarını etkin bir şekilde yönetebilmesi için

ihtiyaç duyduğu veri aktarımı, ülkemizde kanuni düzenleme olmaması


46

nedenle günümüzde gelişmiş ülkelerde kişisel verilerin korunması alanında

detaylı kanuni düzenlemelerin uygulanmakta olduğu görülmektedir.

Buna karşın ülkemizde, kişisel verilerin korunmasına ilişkin alanı bütüncül

olarak düzenleyen bir kanun bulunmamakta, bu konuya ilişkin hükümler

farklı kanunlarda yer almaktadır. Ayrıca ülkemizde kişisel verilerin işlenmesi

sürecini kontrol edecek ve denetleyecek bir kurum da bulunmamaktadır.

Bunun bir sonucu olarak, halen kişisel veriler yeterli düzenleme ve denetime

tabi olmaksızın, birçok kişi veya kurum tarafından kullanılabilmekte ve bu

durum bazı hak ihlallerinin yaşanmasına sebep olabilmektedir.

Ülkemizde kişisel verilerin korunmasını sağlayacak bir kanunun yürürlüğe

girmesini gerektiren değişik sebepler bulunmaktadır. Öncelikle, 5237 sayılı

Türk Ceza Kanununun 135 ve devamı maddelerinde, kişisel verilerin hukuka

aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiilleri suç olarak

düzenlenmiş ve yaptırıma bağlanmıştır. Bununla birlikte, kişisel verilerin

işlenmesine yönelik özel bir kanunun bulunmaması sebebiyle, bu fillerin ne

zaman hukuka aykırı, ne zaman hukuka uygun olduğunun belirlenmesinde

tereddütlerin yaşandığı görülmektedir.

Öte yandan 12 Eylül 2010 tarihinde yapılan halkoylaması sonucu kabul

edilen 5982 sayılı Kanunla Anayasanın 20 nci maddesinde yapılan

düzenlemeyle, kişisel verilerin korunması temel bir insan hakkı olarak

güvence altına alınmış ve detayların kanunla düzenlenmesi öngörülmüştür.

Yine ülkemizle ilgili olarak devam etmekte olan Avrupa Birliği tam üyelik

sürecinde, müzakere fasıllarından dördü, doğrudan kişisel verilerle ilgilidir.

Bu fasıllarla ilgili sürecin ilerleyebilmesi için ülkemizde kişisel verilerin

korunmasına ilişkin temel bir kanunun yürürlüğe girmesi gerekmektedir.

Avrupa Birliğinin Türkiye ile ilgili olarak hazırladığı ilerleme raporlarında

Türkiye’de veri koruma alanındaki kanuni boşluğa işaret edilmektedir.


47

Ülkemizde kişisel verilerin korunmasına ilişkin kanuni bir düzenleme

olmaması sebebiyle, polis birimleri arasında etkin bir işbirliğini hayata

geçiren EUROPOL ile ülkemiz güvenlik birimleri arasında operasyonel

işbirliği anlaşması yapılamamakta ve elektronik bilgi değişimi

gerçekleştirilememektedir.

Benzer şekilde, sınır aşan suçlarla ilgili değişik ülkelerin yargı mercilerinin

ortak operasyonlar yapabilmesi amacıyla oluşturulan EUROJUST ile çok

sayıda sınır aşan suçun işlendiği geçiş güzergahında bulunan ülkemiz

arasında bu suçlarla mücadeleye yönelik işbirliği yapılamamaktadır.

Sağlık kuruluşlarında hastalara ilişkin çok sayıda özel nitelikli veri tutulmakta

olup, bu verilerin tutulmasına ilişkin kanuni dayanağın olmayışı, verilerin

güvenliğinin sağlanmasına yönelik yeterli önlemlerin alınmaması ve yetkisiz

kişilerce bu nitelikteki bilgilerin ifşa edilmesi, Avrupa İnsan Hakları

Mahkemesince özel hayatın gizliliğine müdahale olarak nitelendirilmekte ve

ihlal kararları verilebilmektedir.

Aynı şekilde, ülkemizde yaşayan yabancılar ile yurtdışında yaşayan Türk

vatandaşları bakımından Dışişleri Bakanlığı askerlik, vatandaşlık, kimlik ve

malvarlığı gibi konularda veri paylaşımında sorunlar yaşamaktadır.

Ayrıca, kişisel verilerin korunması konusunda kanun hazırlanması, ülkemizin

Katılım Ortaklığı Belgesine cevap olarak hazırladığı 2003 Ulusal Programında

taahhüt ettiği yükümlülüklerdendir.

Diğer taraftan, 64. Hükümet 2016 yılı Eylem Planında üç ay içerisinde

gerçekleştirilecek reformlar arasında kişisel verilerin korunmasına ilişkin

kanuni düzenlemelerin hayata geçirileceği yer almaktadır.

Kişisel verilerin korunması konusu ekonomik alanla da yakından ilgilidir. Zira

yabancı sermayenin ülkemizde yatırım yapması ve başka ülkelerdeki

yatırımları ile ülkemizdeki yatırımlarını etkin bir şekilde yönetebilmesi için

ihtiyaç duyduğu veri aktarımı, ülkemizde kanuni düzenleme olmaması


48

sebebiyle gerçekleştirilememekte ve bu durum yabancı sermayenin

ülkemizde yatırım yapması bakımından caydırıcı bir etken olarak

değerlendirilmektedir. Yine işadamlarımızın yabancı ülkelerdeki yatırımları

ve ortaklıklarıyla ilgili ihtiyaç duydukları veri aktarımında sorunlar

yaşanmaktadır.

Tüm bu açıklamalar, ülkemizde kişisel verilerin korunmasına ilişkin kanunun

bir an önce yürürlüğe girmesini gerekli kılmaktadır.

Kişisel verilerin korunması konusu 1980’li yıllardan itibaren uluslararası

belgelerde yer almaya başlamıştır. İlk olarak, ülkemizin de üyesi bulunduğu,

İktisadi İşbirliği ve Kalkınma Teşkilatı (OECD) tarafından 23/9/1980 tarihinde

“Kişisel Alanın ve Sınır Aşan Kişisel Bilgi Trafiğinin Korunmasına İlişkin Rehber

İlkeler” kabul edilmiştir.

Avrupa Konseyi tarafından, tüm üye ülkelerde kişisel verilerin aynı

standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi

amacıyla hazırlanan 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi

Tutulması Karşısında Bireylerin Korunması Sözleşmesi”, 28 Ocak 1981

tarihinde imzaya açılmış ve ülkemiz tarafından da imzalanmıştır.

Avrupa Konseyi ayrıca, kişisel verilerin korunmasına yönelik, tıbbi veri

bankaları, bilimsel araştırma ve istatistik, doğrudan pazarlama, sosyal

güvenlik, sigorta, polis kayıtları, istihdam, elektronik ödeme,

telekomünikasyon ve internet gibi çeşitli sektörlerde uygulanacak ilkeleri

belirleyen tavsiye kararları da kabul etmiştir. Tasarının hazırlanması sırasında,

söz konusu tavsiye kararları gözönüne alınmakla beraber, Tasarının “çerçeve

tasarı” niteliği korunmuştur. Tüm sektörlerle ilgili düzenlemelere yer

verilmesi halinde, Tasarının hacminin çok genişleyeceği düşünülerek, söz

konusu tavsiye kararları Tasarıya alınmamıştır. Bu tavsiye kararlarında yer

alan ilkelere, ilerleyen süreçte, değişik sektörlerle ilgili yapılacak

düzenlemelerde yer verilebileceği değerlendirilmiştir.


49

Öte yandan, Avrupa Birliği, üye ülkelerin kişisel verilerin korunmasına ilişkin

mevzuatı arasında uyum sağlamak üzere, 24/10/1995 tarihinde “Kişisel

Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunması ve Serbest Veri

Trafiği Direktifi”ni (95/46/EC) yürürlüğe koymuştur. Bu Direktifle, üye

ülkelerdeki bireylerin kişisel verilerinin üst düzeyde korunması ve kişisel

verilerin Avrupa Birliği içerisinde özgür dolaşımını sağlayacak açık ve kalıcı

bir düzenleme yapılması amaçlanmıştır.

Kişisel verilerin korunmasına yönelik uluslararası belgeler gözönüne

alındığında; bu konuya ilişkin hazırlanacak kanunda, kişisel verilerin işlenme

şartlarının, bireylerin aydınlatılmasının, bu alanı denetleyecek ve

düzenleyecek bir otoritenin oluşturulmasının, veri güvenliğine ilişkin gerekli

tedbirlerin alınmasının temel ilkeler olarak kabul edildiği görülmektedir.

Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları

gözönüne alınmak suretiyle hazırlanan Tasarıyla, kişisel verilerin çağdaş

standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır.

MADDE GEREKÇELERİ

MADDE 1

Maddeyle, Kanunun amacı belirlenmektedir. Amaç, kişisel verilerin

işlenmesinin disiplin altına alınması ve Anayasada öngörülen başta özel

hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır. Son

yıllarda önem kazanan kişinin mahremiyet hakkı ile bilgi güvenliği hakkının

korunması da bu kapsamda değerlendirilmektedir. Ayrıca, kişisel verileri

işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların

da düzenlenmesi Kanunun amaçları arasında yer almaktadır.


48

sebebiyle gerçekleştirilememekte ve bu durum yabancı sermayenin

ülkemizde yatırım yapması bakımından caydırıcı bir etken olarak

değerlendirilmektedir. Yine işadamlarımızın yabancı ülkelerdeki yatırımları

ve ortaklıklarıyla ilgili ihtiyaç duydukları veri aktarımında sorunlar

yaşanmaktadır.

Tüm bu açıklamalar, ülkemizde kişisel verilerin korunmasına ilişkin kanunun

bir an önce yürürlüğe girmesini gerekli kılmaktadır.

Kişisel verilerin korunması konusu 1980’li yıllardan itibaren uluslararası

belgelerde yer almaya başlamıştır. İlk olarak, ülkemizin de üyesi bulunduğu,

İktisadi İşbirliği ve Kalkınma Teşkilatı (OECD) tarafından 23/9/1980 tarihinde

“Kişisel Alanın ve Sınır Aşan Kişisel Bilgi Trafiğinin Korunmasına İlişkin Rehber

İlkeler” kabul edilmiştir.

Avrupa Konseyi tarafından, tüm üye ülkelerde kişisel verilerin aynı

standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi

amacıyla hazırlanan 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi

Tutulması Karşısında Bireylerin Korunması Sözleşmesi”, 28 Ocak 1981

tarihinde imzaya açılmış ve ülkemiz tarafından da imzalanmıştır.

Avrupa Konseyi ayrıca, kişisel verilerin korunmasına yönelik, tıbbi veri

bankaları, bilimsel araştırma ve istatistik, doğrudan pazarlama, sosyal

güvenlik, sigorta, polis kayıtları, istihdam, elektronik ödeme,

telekomünikasyon ve internet gibi çeşitli sektörlerde uygulanacak ilkeleri

belirleyen tavsiye kararları da kabul etmiştir. Tasarının hazırlanması sırasında,

söz konusu tavsiye kararları gözönüne alınmakla beraber, Tasarının “çerçeve

tasarı” niteliği korunmuştur. Tüm sektörlerle ilgili düzenlemelere yer

verilmesi halinde, Tasarının hacminin çok genişleyeceği düşünülerek, söz

konusu tavsiye kararları Tasarıya alınmamıştır. Bu tavsiye kararlarında yer

alan ilkelere, ilerleyen süreçte, değişik sektörlerle ilgili yapılacak

düzenlemelerde yer verilebileceği değerlendirilmiştir.


49

Öte yandan, Avrupa Birliği, üye ülkelerin kişisel verilerin korunmasına ilişkin

mevzuatı arasında uyum sağlamak üzere, 24/10/1995 tarihinde “Kişisel

Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunması ve Serbest Veri

Trafiği Direktifi”ni (95/46/EC) yürürlüğe koymuştur. Bu Direktifle, üye

ülkelerdeki bireylerin kişisel verilerinin üst düzeyde korunması ve kişisel

verilerin Avrupa Birliği içerisinde özgür dolaşımını sağlayacak açık ve kalıcı

bir düzenleme yapılması amaçlanmıştır.

Kişisel verilerin korunmasına yönelik uluslararası belgeler gözönüne

alındığında; bu konuya ilişkin hazırlanacak kanunda, kişisel verilerin işlenme

şartlarının, bireylerin aydınlatılmasının, bu alanı denetleyecek ve

düzenleyecek bir otoritenin oluşturulmasının, veri güvenliğine ilişkin gerekli

tedbirlerin alınmasının temel ilkeler olarak kabul edildiği görülmektedir.

Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları

gözönüne alınmak suretiyle hazırlanan Tasarıyla, kişisel verilerin çağdaş

standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır.

MADDE GEREKÇELERİ

MADDE 1

Maddeyle, Kanunun amacı belirlenmektedir. Amaç, kişisel verilerin

işlenmesinin disiplin altına alınması ve Anayasada öngörülen başta özel

hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır. Son

yıllarda önem kazanan kişinin mahremiyet hakkı ile bilgi güvenliği hakkının

korunması da bu kapsamda değerlendirilmektedir. Ayrıca, kişisel verileri

işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların

da düzenlenmesi Kanunun amaçları arasında yer almaktadır.


50

MADDE 2

Maddeyle, Kanunun kapsamı belirlenmektedir. Buna göre Kanun, kişisel

verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişiler

hakkında uygulanacaktır. Özel sektör ile kamu sektörü bakımından bir ayrım

yapılmamış olup, öngörülen usul ve esasların her iki sektörde de

uygulanması benimsenmektedir. Kişisel verilerin otomatik olan veya

herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan

yollarla işlenmesi bakımından da herhangi bir fark öngörülmemektedir. Veri

kayıt sistemi, Kanunun 3 üncü maddesinde tanımlandığı üzere kişisel verilere

ulaşımı kolaylaştıracak şekilde, belirli bir kritere göre yapılandırılmış kayıt

sistemini ifade etmektedir. Bir dosyalama sistemi olarak nitelenebilecek veri

kayıt sistemi sadece dijital yahut elektronik ortamda oluşturulması gereken

bir sistem değildir. Bu kapsamda, otomatik olmayan yollarla işlenen kişisel

veriler bir veri kayıt sisteminin parçası değilse Kanun kapsamında

değerlendirilmeyecektir. Ancak, bu hüküm anılan verilerin kişisel veri

niteliğini etkilemeyeceğinden, bu tür verilere ilişkin hukuka aykırı eylemler

5237 sayılı Türk Ceza Kanunu uyarınca suç teşkil etmeye devam edecektir.

MADDE 3

Maddeyle, Kanunda kullanılan bazı terimlerin tanımları yapılmıştır. Kişisel

veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade

etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum

yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin

fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel

veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi

bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir

hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik,

kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması

veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi

sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon


51

numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport

numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik

bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri

nedeniyle kişisel verilerdir.

Kişisel verilerin işlenmesi kavramı geniş bir alanı kapsamaktadır. Buna göre

kişisel verilerin işlenmesi, verilerin ilk defa elde edilmesinden başlayarak

veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.

Açık rıza, 95/46 EC sayılı Direktif dikkate alınarak tanımlanmaktadır. Buna

göre, açık rıza ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla

ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve

sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır.

Kişisel verilerin anonim hale getirilmesi, verilerin başka verilerle eşleştirilerek

dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle

ilişkilendirilemeyecek hale getirilmesini ifade etmektedir. Bu kapsamda, elde

kalan veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve

destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin

anonim hale getirildiği kabul edilemez.

Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak

işlendiği kayıt sistemini ifade etmektedir. Bu sistemler elektronik yahut fiziki

ortamda oluşturulabilir. Buna göre, veri kayıt sisteminde kişisel veriler, ad,

soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, kredi

borcunu ödemeyenlere ilişkin oluşturulacak sınıflandırma da bu kapsamda

değerlendirilecektir.

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen,

veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olanlardır.

Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler

veya vakıflar gibi tüzel kişiler de olabilecektir.


50

MADDE 2

Maddeyle, Kanunun kapsamı belirlenmektedir. Buna göre Kanun, kişisel

verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişiler

hakkında uygulanacaktır. Özel sektör ile kamu sektörü bakımından bir ayrım

yapılmamış olup, öngörülen usul ve esasların her iki sektörde de

uygulanması benimsenmektedir. Kişisel verilerin otomatik olan veya


yollarla işlenmesi bakımından da herhangi bir fark öngörülmemektedir. Veri

kayıt sistemi, Kanunun 3 üncü maddesinde tanımlandığı üzere kişisel verilere

ulaşımı kolaylaştıracak şekilde, belirli bir kritere göre yapılandırılmış kayıt

sistemini ifade etmektedir. Bir dosyalama sistemi olarak nitelenebilecek veri

kayıt sistemi sadece dijital yahut elektronik ortamda oluşturulması gereken

bir sistem değildir. Bu kapsamda, otomatik olmayan yollarla işlenen kişisel

veriler bir veri kayıt sisteminin parçası değilse Kanun kapsamında

değerlendirilmeyecektir. Ancak, bu hüküm anılan verilerin kişisel veri

niteliğini etkilemeyeceğinden, bu tür verilere ilişkin hukuka aykırı eylemler

5237 sayılı Türk Ceza Kanunu uyarınca suç teşkil etmeye devam edecektir.

MADDE 3

Maddeyle, Kanunda kullanılan bazı terimlerin tanımları yapılmıştır. Kişisel

veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade

etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum

yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin

fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel

veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi

bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir

hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik,

kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması

veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi

sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon


51



bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri

nedeniyle kişisel verilerdir.

Kişisel verilerin işlenmesi kavramı geniş bir alanı kapsamaktadır. Buna göre

kişisel verilerin işlenmesi, verilerin ilk defa elde edilmesinden başlayarak

veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.

Açık rıza, 95/46 EC sayılı Direktif dikkate alınarak tanımlanmaktadır. Buna

göre, açık rıza ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla

ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve

sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır.

Kişisel verilerin anonim hale getirilmesi, verilerin başka verilerle eşleştirilerek


ilişkilendirilemeyecek hale getirilmesini ifade etmektedir. Bu kapsamda, elde

kalan veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve

destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin

anonim hale getirildiği kabul edilemez.

Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak

işlendiği kayıt sistemini ifade etmektedir. Bu sistemler elektronik yahut fiziki

ortamda oluşturulabilir. Buna göre, veri kayıt sisteminde kişisel veriler, ad,

soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, kredi

borcunu ödemeyenlere ilişkin oluşturulacak sınıflandırma da bu kapsamda


Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen,

veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olanlardır.

Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler

veya vakıflar gibi tüzel kişiler de olabilecektir.


52

Veri işleyen, veri sorumlusu adına verileri işleyen gerçek ve tüzel kişilerdir.

Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen

çalışanlar olabileceği gibi, veri sorumlusunun hizmet satın almak suretiyle

belirlediği ayrı bir gerçek veya tüzel kişi de olabilir. Herhangi bir gerçek veya

tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir.

Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin

olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu

veriler bakımından ise veri işleyen olarak kabul edilecektir.

MADDE 4

Maddeyle, kişisel verilerin işlenmesine ilişkin genel ilkeler düzenlenmektedir.

Buna göre kişisel veriler ancak Kanunda ve diğer Kanunlarda öngörülen usul

ve esaslar çerçevesinde işlenebilecektir.

Maddenin ikinci fıkrasında kişisel verilerin işlenmesine ilişkin ilkeler

sayılmaktadır. Bu ilkeler; hukuka ve dürüstlük kurallarına uygun olma, doğru

ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme,

işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta

öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza

edilmektir.

Belirli, açık ve meşru amaçlar için işlenme ilkesi, veri sorumlusunun, veri

işleme amacını açık ve kesin olarak belirlemesini ve bu amacın meşru

olmasını zorunlu kılmaktadır. Veri sorumluları, belirttikleri bu amaçlar

dışında, başka amaçlarla veri işlemeleri halinde, bu fiillerinden dolayı

sorumlu olacaklardır. Amacın meşru olması, veri sorumlusunun işlediği

verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar

için gerekli olması anlamına gelmektedir. Örneğin, bir hazır giyim

mağazasının, müşterilerinin kimlik ve iletişim bilgilerini işlemesi meşru amaç

kapsamındayken, kan gruplarını işlemesi meşru amaç kapsamında

değerlendirilemeyecektir.


53

Kişisel verilerin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ilkesi,

işlenen verilerin, belirlenen amaçların gerçekleştirilebilmesine elverişli

olmasını, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç

duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirmektedir.

Yine, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik

veri işlenebilmesi için, işlemeye ilk kez başlıyor gibi, 5 inci maddede

düzenlenmiş olan kişisel verilerin işlenme şartlarından birinin gerçekleşmesi

gerekecektir. Ayrıca işlenen veri, sadece amacın gerçekleştirilmesi için

gerekli olanla sınırlı tutulacaktır.

Kişisel verilerin, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için

gerekli olan süre kadar muhafaza edilmesi zorunludur. Buna göre, veri

sorumluları, ilgili mevzuatta verilerin saklanması için öngörülen bir süre

varsa bu süreye uyacak; yoksa verileri, ancak işlendikleri amaç için gerekli

olan süre kadar muhafaza edebilecektir. Bir verinin daha fazla saklanması için

geçerli bir sebep olmaması durumunda, o veri silinecek veya anonim hale

getirilecektir. Gelecekte kullanma ihtimalinin varlığına dayanarak veri

saklanamayacaktır. Veri sorumlusu, Kanunun 16 ncı maddesi uyarınca Sicile

kayıt için başvuru yaparken kişisel verilerin işlendikleri amaç için gerekli olan

azami süreyi bildirmek zorundadır.

MADDE 5

Maddeyle, kişisel verilerin işlenme koşulları düzenlenmektedir.

Kural olarak kişisel verilerin ilgili kişinin açık rızası veya maddede sayılan

istisnalar dışında işlenmesi yasaktır. 95/46 EC sayılı Avrupa Birliği Direktifine

göre rıza, ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili

yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o

işlemle sınırlı olarak verdiği onay beyanıdır.

Maddenin ikinci fıkrasıyla ilgili kişinin açık rızası olmasa dahi bazı hallerde

kişisel verilerin işlenebilmesi öngörülmektedir.


52

Veri işleyen, veri sorumlusu adına verileri işleyen gerçek ve tüzel kişilerdir.

Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen

çalışanlar olabileceği gibi, veri sorumlusunun hizmet satın almak suretiyle

belirlediği ayrı bir gerçek veya tüzel kişi de olabilir. Herhangi bir gerçek veya

tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir.

Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin

olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu

veriler bakımından ise veri işleyen olarak kabul edilecektir.

MADDE 4

Maddeyle, kişisel verilerin işlenmesine ilişkin genel ilkeler düzenlenmektedir.

Buna göre kişisel veriler ancak Kanunda ve diğer Kanunlarda öngörülen usul

ve esaslar çerçevesinde işlenebilecektir.

Maddenin ikinci fıkrasında kişisel verilerin işlenmesine ilişkin ilkeler

sayılmaktadır. Bu ilkeler; hukuka ve dürüstlük kurallarına uygun olma, doğru

ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme,

işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta

öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza

edilmektir.

Belirli, açık ve meşru amaçlar için işlenme ilkesi, veri sorumlusunun, veri

işleme amacını açık ve kesin olarak belirlemesini ve bu amacın meşru

olmasını zorunlu kılmaktadır. Veri sorumluları, belirttikleri bu amaçlar

dışında, başka amaçlarla veri işlemeleri halinde, bu fiillerinden dolayı

sorumlu olacaklardır. Amacın meşru olması, veri sorumlusunun işlediği

verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar

için gerekli olması anlamına gelmektedir. Örneğin, bir hazır giyim

mağazasının, müşterilerinin kimlik ve iletişim bilgilerini işlemesi meşru amaç

kapsamındayken, kan gruplarını işlemesi meşru amaç kapsamında

değerlendirilemeyecektir.


53

Kişisel verilerin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ilkesi,

işlenen verilerin, belirlenen amaçların gerçekleştirilebilmesine elverişli

olmasını, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç

duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirmektedir.

Yine, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik

veri işlenebilmesi için, işlemeye ilk kez başlıyor gibi, 5 inci maddede

düzenlenmiş olan kişisel verilerin işlenme şartlarından birinin gerçekleşmesi

gerekecektir. Ayrıca işlenen veri, sadece amacın gerçekleştirilmesi için

gerekli olanla sınırlı tutulacaktır.

Kişisel verilerin, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için

gerekli olan süre kadar muhafaza edilmesi zorunludur. Buna göre, veri

sorumluları, ilgili mevzuatta verilerin saklanması için öngörülen bir süre

varsa bu süreye uyacak; yoksa verileri, ancak işlendikleri amaç için gerekli

olan süre kadar muhafaza edebilecektir. Bir verinin daha fazla saklanması için

geçerli bir sebep olmaması durumunda, o veri silinecek veya anonim hale

getirilecektir. Gelecekte kullanma ihtimalinin varlığına dayanarak veri

saklanamayacaktır. Veri sorumlusu, Kanunun 16 ncı maddesi uyarınca Sicile

kayıt için başvuru yaparken kişisel verilerin işlendikleri amaç için gerekli olan

azami süreyi bildirmek zorundadır.

MADDE 5

Maddeyle, kişisel verilerin işlenme koşulları düzenlenmektedir.

Kural olarak kişisel verilerin ilgili kişinin açık rızası veya maddede sayılan

istisnalar dışında işlenmesi yasaktır. 95/46 EC sayılı Avrupa Birliği Direktifine

göre rıza, ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili

yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o

işlemle sınırlı olarak verdiği onay beyanıdır.

Maddenin ikinci fıkrasıyla ilgili kişinin açık rızası olmasa dahi bazı hallerde

kişisel verilerin işlenebilmesi öngörülmektedir.


54

Fıkranın (a) bendine göre ilgili kişinin açık rızası olmasa dahi kanunlarda

açıkça öngörülen hallerde kişisel veri işlenebilecektir. Örneğin, kolluk

tarafından bir suç soruşturması sebebiyle, 2559 sayılı Polis Vazife ve

Salahiyet Kanununun 5 inci maddesi uyarınca şüphelilerin parmak izlerinin

alınması; 5352 sayılı Adli Sicil Kanunu uyarınca Adalet Bakanlığının kişilerin

ceza mahkûmiyetlerine ilişkin verilerini işlemesi gibi.

Fıkranın (b) bendine göre, rızanın açıklanamadığı ya da geçerli olmadığı

hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel

verilerin işlenmesi öngörülmektedir. Örneğin kişinin şuurunun yerinde

olmadığı veya akıl hastası olması sebebiyle rızasının geçerli olmadığı bir

durumda, hayat veya beden bütünlüğünün korunması amacıyla, tıbbi

müdahale yapılması sırasında, kişisel verileri işlenebilecektir. Bu bağlamda

kan grubu, geçirilen hastalıklar ve ameliyatlar, kullanılan ilaçlar gibi veriler,

ilgili sağlık sistemi üzerinden işlenebilecektir. Yine hürriyeti tahdit edilen bir

kişinin kurtarılması amacıyla, kendisinin veya şüphelinin taşımakta olduğu

telefon, bilgisayar, kredi kartı, banka kartı veya diğer teknik bir araç

üzerinden yerinin belirlenmesi için bu veriler işlenebilecektir.

Fıkranın (c) bendine göre, bir sözleşmenin kurulması veya ifasıyla ilgili olarak

kişisel veri işlenebilecektir. Örneğin, yapılan bir sözleşme gereği paranın

ödenmesi için alacaklı tarafın hesap numarası alınabilecektir. Yine bir

bankayla kredi sözleşmesi yapılması sırasında bankanın, o kişiye ait maaş

bordrosunu, tapu kayıtlarını, icra borcu olmadığına dair belgeyi edinmesi bu

kapsamda değerlendirilecektir.

Fıkranın (ç) bendine göre, veri sorumlusu, hukuki yükümlülüğünü yerine

getirebilmesi için zorunlu olan verileri, ilgili kişinin rızası olmasa dahi

işleyebilecektir. Örneğin bir şirketin çalışanına maaş ödeyebilmesi için,

banka hesap numarası, evli olup olmadığı, bakmakla yükümlü olduğu kişiler,

eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verileri işlemesi bu

bendin verdiği yetkiye istinaden olacaktır.


55

Fıkranın (d) bendine göre, ilgili kişinin kendisi tarafından alenileştirilen bir

başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri

işlenebilecektir. Çünkü ilgili kişi tarafından alenileştirilen ve böylelikle herkes

tarafından bilinebilecek hale gelen bu tür verilerin işlenmesinde, korunması

gereken hukuki yararın ortadan kalktığı kabul edilmektedir.

Fıkranın (e) bendine göre, bir hakkın tesisi, kullanılması veya korunması için

veri işlemenin zorunlu olması durumunda kişisel veriler işlenebilecektir. Bu

bağlamda, bir şirketin kendi çalışanı tarafından açılan bir davada ispat için

bazı verileri kullanması veya kısıtlı bir kişinin haklarının korunması amacıyla

vasinin veya kayyımın, kısıtlının mali bilgilerini tutması hukuka uygun

sayılacaktır.

Fıkranın (f) bendine göre, ilgili kişinin temel hak ve özgürlüklerine zarar

vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri

işlenmesinin zorunlu olması durumunda da açık rıza şartı aranmaksızın

kişisel veriler işlenebilecektir. Buna göre, örneğin bir şirket sahibi,

çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların

terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da

işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas

alınmak üzere çalışanların kişisel verilerini işleyebilecektir. Burada,

işletmenin yeniden yapılandırılması ya da ehliyetli ve liyakatli çalışanların

terfi almaları, veri sorumlusu statüsündeki şirket sahibinin meşru menfaati

cümlesindendir. Kişisel verilerin korunmasına ilişkin temel ilkelere uyulması

ve veri sorumlusu ile ilgili kişinin menfaat dengesinin gözetilmesi

gerekmektedir.

MADDE 6

Maddeyle, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini,

mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika

üyeliği, sağlığı, cinsel hayatı, biyometrik verisi veya haklarında verilen ceza

mahkûmiyeti ve güvenlik tedbirleriyle ilgili verilerinin, özel nitelikli kişisel veri


54

Fıkranın (a) bendine göre ilgili kişinin açık rızası olmasa dahi kanunlarda

açıkça öngörülen hallerde kişisel veri işlenebilecektir. Örneğin, kolluk

tarafından bir suç soruşturması sebebiyle, 2559 sayılı Polis Vazife ve

Salahiyet Kanununun 5 inci maddesi uyarınca şüphelilerin parmak izlerinin

alınması; 5352 sayılı Adli Sicil Kanunu uyarınca Adalet Bakanlığının kişilerin

ceza mahkûmiyetlerine ilişkin verilerini işlemesi gibi.

Fıkranın (b) bendine göre, rızanın açıklanamadığı ya da geçerli olmadığı

hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel

verilerin işlenmesi öngörülmektedir. Örneğin kişinin şuurunun yerinde

olmadığı veya akıl hastası olması sebebiyle rızasının geçerli olmadığı bir

durumda, hayat veya beden bütünlüğünün korunması amacıyla, tıbbi

müdahale yapılması sırasında, kişisel verileri işlenebilecektir. Bu bağlamda

kan grubu, geçirilen hastalıklar ve ameliyatlar, kullanılan ilaçlar gibi veriler,

ilgili sağlık sistemi üzerinden işlenebilecektir. Yine hürriyeti tahdit edilen bir

kişinin kurtarılması amacıyla, kendisinin veya şüphelinin taşımakta olduğu

telefon, bilgisayar, kredi kartı, banka kartı veya diğer teknik bir araç

üzerinden yerinin belirlenmesi için bu veriler işlenebilecektir.

Fıkranın (c) bendine göre, bir sözleşmenin kurulması veya ifasıyla ilgili olarak

kişisel veri işlenebilecektir. Örneğin, yapılan bir sözleşme gereği paranın

ödenmesi için alacaklı tarafın hesap numarası alınabilecektir. Yine bir

bankayla kredi sözleşmesi yapılması sırasında bankanın, o kişiye ait maaş

bordrosunu, tapu kayıtlarını, icra borcu olmadığına dair belgeyi edinmesi bu

kapsamda değerlendirilecektir.

Fıkranın (ç) bendine göre, veri sorumlusu, hukuki yükümlülüğünü yerine

getirebilmesi için zorunlu olan verileri, ilgili kişinin rızası olmasa dahi

işleyebilecektir. Örneğin bir şirketin çalışanına maaş ödeyebilmesi için,

banka hesap numarası, evli olup olmadığı, bakmakla yükümlü olduğu kişiler,

eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verileri işlemesi bu

bendin verdiği yetkiye istinaden olacaktır.


55

Fıkranın (d) bendine göre, ilgili kişinin kendisi tarafından alenileştirilen bir

başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri

işlenebilecektir. Çünkü ilgili kişi tarafından alenileştirilen ve böylelikle herkes

tarafından bilinebilecek hale gelen bu tür verilerin işlenmesinde, korunması

gereken hukuki yararın ortadan kalktığı kabul edilmektedir.

Fıkranın (e) bendine göre, bir hakkın tesisi, kullanılması veya korunması için

veri işlemenin zorunlu olması durumunda kişisel veriler işlenebilecektir. Bu

bağlamda, bir şirketin kendi çalışanı tarafından açılan bir davada ispat için

bazı verileri kullanması veya kısıtlı bir kişinin haklarının korunması amacıyla

vasinin veya kayyımın, kısıtlının mali bilgilerini tutması hukuka uygun

sayılacaktır.

Fıkranın (f) bendine göre, ilgili kişinin temel hak ve özgürlüklerine zarar

vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri

işlenmesinin zorunlu olması durumunda da açık rıza şartı aranmaksızın

kişisel veriler işlenebilecektir. Buna göre, örneğin bir şirket sahibi,

çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların

terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da

işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas

alınmak üzere çalışanların kişisel verilerini işleyebilecektir. Burada,

işletmenin yeniden yapılandırılması ya da ehliyetli ve liyakatli çalışanların

terfi almaları, veri sorumlusu statüsündeki şirket sahibinin meşru menfaati

cümlesindendir. Kişisel verilerin korunmasına ilişkin temel ilkelere uyulması

ve veri sorumlusu ile ilgili kişinin menfaat dengesinin gözetilmesi

gerekmektedir.

MADDE 6

Maddeyle, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini,

mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika

üyeliği, sağlığı, cinsel hayatı, biyometrik verisi veya haklarında verilen ceza

mahkûmiyeti ve güvenlik tedbirleriyle ilgili verilerinin, özel nitelikli kişisel veri


56

olduğu belirtilmektedir. Bu verilerin, başkaları tarafından öğrenildiği takdirde

ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine

neden olabilecek nitelikte veriler olmaları dikkate alınmakta, bu sebeple bu

tür veriler özel nitelikli (hassas) veri olarak kabul edilmektedir.

Kurul tarafından belirlenen yeterli önlem alınmaksızın özel nitelikli verilerin

işlenememesi öngörülmekte, ayrıca kural olarak bu tür verilerin ilgili kişinin

açık rızası olmaksızın da işlenememesi hükme bağlanmaktadır.

Maddenin dördüncü fıkrasında tahdidi olarak sayılan şartların varlığı halinde,

yeterli önlem alınması şartı baki kalmak kaydıyla ilgili kişinin açık rızası

aranmaksızın özel nitelikli kişisel verilerin işlenmesine imkân tanınmaktadır.

Dördüncü fıkranın (a) bendine göre, ilgili kişinin rızası olmasa bile,

kanunlarda açıkça öngörülen hallerde özel nitelikli kişisel veriler

işlenebilecektir. Örneğin, askerlik yapacak kişilerin bazı özel sağlık

bilgilerinin ilgili kanun hükümleri uyarınca işlenmesi, yine hastanelerin,

eczanelerin ya da Sosyal Güvenlik Kurumunun hastalarla ilgili veri işlemesi

bu kapsamda değerlendirilecektir.

Fıkranın (b) bendinde, siyasi parti, vakıf, dernek veya sendika gibi kâr amacı

gütmeyen kuruluş ya da oluşumlar tarafından, özel nitelikli kişisel verilerden

bazılarının işlenebilmesi düzenlenmektedir. Buna göre, bu kuruluş ve

oluşumlar, kendi üye ve mensuplarının özel nitelikli verilerini, kuruluş

amaçlarına ve tabi oldukları mevzuata uygun, faaliyet alanlarıyla sınırlı ve

üçüncü kişilere açıklanmamak kaydıyla işleyebileceklerdir. Örneğin, bir siyasi

partinin veya sendikanın üyelerine ilişkin kimlik ve iletişim bilgilerini, fıkrada

belirtilen şartlarla tutması, bu bent kapsamında değerlendirilecektir. Bu

kuruluşlar, sadece kendi faaliyet alanlarıyla sınırlı olarak özel nitelikli veri

işleyebileceklerdir. Örneğin, bir sendika, kendi faaliyet alanına ve amacına

ilişkin olarak sadece sendika üyeliğiyle ilgili verileri işleyebilecektir. Buna


57

karşın üyelerin sağlık veya din ya da mezhebine yönelik kişisel verileri,

faaliyet alanıyla ve amacıyla ilgisi olmaması sebebiyle işleyemeyecektir.

Fıkranın (c) bendine göre, ilgili kişinin kendisi tarafından kamuoyuna

açıklanmış olan özel nitelikli kişisel verileri işlenebilecektir. Zira ilgili kişi

tarafından alenileştirilen ve böylelikle herkes tarafından bilinen bu tür

verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı

kabul edilmektedir.

Fıkranın (ç) bendinde, özel niteliği olan kişisel verilerin, bir hakkın tesisi,

kullanılması veya korunması için işlenmesinin zorunlu olması hali

düzenlenmektedir. Örneğin, bir işverenin, engelli çalıştırma zorunluluğu

kapsamında, işyerinde, bu statüde çalıştırdığı kişilere ilişkin rapor ve belgeleri

işlemesi bu kapsamda değerlendirilecektir. Yine engelli bir kişinin özel

tüketim vergisinden muaf özel donanımlı araç almak hakkından

yararlanabilmesi için, engelliliğine ilişkin sağlık raporlarının vergi dairesi

tarafından edinilmesi ve işlenmesi de bu bent kapsamında


Fıkranın (d) bendiyle, özel nitelikli verilerin; kamu sağlığının korunması,

koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,

sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır

saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar

tarafından işlenmesi düzenlenmektedir. Bu bağlamda, Sağlık Bakanlığı ile her

türlü sağlık kuruluşunun ve Sosyal Güvenlik Kurumunun bu bentte yazılı

amaçlarla tuttukları veriler ve kayıtlar bu kapsamda değerlendirilecektir.

MADDE 7

Maddeyle, kişisel verilerin silinmesi, yok edilmesi veya anonim hale

getirilmesi düzenlenmektedir. Buna göre, hukuka uygun olarak işlenmiş olup

da işlenmesini gerektiren sebepler ortadan kalkmışsa, söz konusu veriler

resen veya ilgili kişinin talebi üzerine silinecek, yok edilecek veya anonim


56

olduğu belirtilmektedir. Bu verilerin, başkaları tarafından öğrenildiği takdirde

ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine

neden olabilecek nitelikte veriler olmaları dikkate alınmakta, bu sebeple bu

tür veriler özel nitelikli (hassas) veri olarak kabul edilmektedir.

Kurul tarafından belirlenen yeterli önlem alınmaksızın özel nitelikli verilerin

işlenememesi öngörülmekte, ayrıca kural olarak bu tür verilerin ilgili kişinin

açık rızası olmaksızın da işlenememesi hükme bağlanmaktadır.

Maddenin dördüncü fıkrasında tahdidi olarak sayılan şartların varlığı halinde,

yeterli önlem alınması şartı baki kalmak kaydıyla ilgili kişinin açık rızası

aranmaksızın özel nitelikli kişisel verilerin işlenmesine imkân tanınmaktadır.

Dördüncü fıkranın (a) bendine göre, ilgili kişinin rızası olmasa bile,

kanunlarda açıkça öngörülen hallerde özel nitelikli kişisel veriler

işlenebilecektir. Örneğin, askerlik yapacak kişilerin bazı özel sağlık

bilgilerinin ilgili kanun hükümleri uyarınca işlenmesi, yine hastanelerin,

eczanelerin ya da Sosyal Güvenlik Kurumunun hastalarla ilgili veri işlemesi

bu kapsamda değerlendirilecektir.

Fıkranın (b) bendinde, siyasi parti, vakıf, dernek veya sendika gibi kâr amacı

gütmeyen kuruluş ya da oluşumlar tarafından, özel nitelikli kişisel verilerden

bazılarının işlenebilmesi düzenlenmektedir. Buna göre, bu kuruluş ve

oluşumlar, kendi üye ve mensuplarının özel nitelikli verilerini, kuruluş

amaçlarına ve tabi oldukları mevzuata uygun, faaliyet alanlarıyla sınırlı ve

üçüncü kişilere açıklanmamak kaydıyla işleyebileceklerdir. Örneğin, bir siyasi

partinin veya sendikanın üyelerine ilişkin kimlik ve iletişim bilgilerini, fıkrada

belirtilen şartlarla tutması, bu bent kapsamında değerlendirilecektir. Bu

kuruluşlar, sadece kendi faaliyet alanlarıyla sınırlı olarak özel nitelikli veri

işleyebileceklerdir. Örneğin, bir sendika, kendi faaliyet alanına ve amacına

ilişkin olarak sadece sendika üyeliğiyle ilgili verileri işleyebilecektir. Buna


57

karşın üyelerin sağlık veya din ya da mezhebine yönelik kişisel verileri,

faaliyet alanıyla ve amacıyla ilgisi olmaması sebebiyle işleyemeyecektir.

Fıkranın (c) bendine göre, ilgili kişinin kendisi tarafından kamuoyuna

açıklanmış olan özel nitelikli kişisel verileri işlenebilecektir. Zira ilgili kişi

tarafından alenileştirilen ve böylelikle herkes tarafından bilinen bu tür

verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı

kabul edilmektedir.

Fıkranın (ç) bendinde, özel niteliği olan kişisel verilerin, bir hakkın tesisi,

kullanılması veya korunması için işlenmesinin zorunlu olması hali

düzenlenmektedir. Örneğin, bir işverenin, engelli çalıştırma zorunluluğu

kapsamında, işyerinde, bu statüde çalıştırdığı kişilere ilişkin rapor ve belgeleri

işlemesi bu kapsamda değerlendirilecektir. Yine engelli bir kişinin özel

tüketim vergisinden muaf özel donanımlı araç almak hakkından

yararlanabilmesi için, engelliliğine ilişkin sağlık raporlarının vergi dairesi

tarafından edinilmesi ve işlenmesi de bu bent kapsamında


Fıkranın (d) bendiyle, özel nitelikli verilerin; kamu sağlığının korunması,

koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,

sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır


tarafından işlenmesi düzenlenmektedir. Bu bağlamda, Sağlık Bakanlığı ile her

türlü sağlık kuruluşunun ve Sosyal Güvenlik Kurumunun bu bentte yazılı

amaçlarla tuttukları veriler ve kayıtlar bu kapsamda değerlendirilecektir.

MADDE 7

Maddeyle, kişisel verilerin silinmesi, yok edilmesi veya anonim hale

getirilmesi düzenlenmektedir. Buna göre, hukuka uygun olarak işlenmiş olup

da işlenmesini gerektiren sebepler ortadan kalkmışsa, söz konusu veriler

resen veya ilgili kişinin talebi üzerine silinecek, yok edilecek veya anonim


58

hale getirilecektir. Kişisel verilerin silinmesiyle, bu verilerin tekrar hiçbir

şekilde kullanılamayacak ve geri getirilemeyecek şekilde imhası

amaçlanmaktadır. Buna göre veriler, kayıtlı oldukları evrak, dosya, CD, disket,

hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinecektir.

Verilerin yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve

kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket,

hard disk gibi veri saklamaya elverişli materyallerin imha edilmesini ifade

etmektedir. Verilerin anonim hale getirilmesiyle, kişisel verilerin başka

verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek

kişiyleilişkilendirilemeyecek hale getirilmesi kastedilmektedir.

Maddenin ikinci fıkrasıyla, kişisel verilerin silinmesi, yok edilmesi veya

anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı

tutulması öngörülmektedir. Bu kapsamda, örneğin Adli Sicil Kanununda

verilerin silinmesini veya yok edilmesini düzenleyen hükümler Kanuna göre

öncelikli olarak uygulanacaktır.

Maddenin son fıkrasında, kişisel verilerin silinmesi, yok edilmesi veya anonim

hale getirilmesine ilişkin usul ve esasların yönetmelikte düzenlenmesi

hüküm altına alınmaktadır.

MADDE 8

Maddeyle kişisel verilerin, üçüncü kişilere aktarılması düzenlenmektedir.

Kanunun hem 5 inci maddesinde düzenlenen kişisel veriler hem de 6 ncı

maddesinde düzenlenen özel nitelikli (hassas) kişisel veriler MADDE

kapsamındadır. Kanunun 9 uncu maddesinde kişisel verilerin yurtdışına

aktarılması düzenlendiğinden bu maddede belirtilen üçüncü kişiler

yurtiçindeki kişilerdir.

Maddenin birinci fıkrasında, kişisel verilerin ilgilinin açık rızası olmaksızın

üçüncü kişilere aktarılamayacağına ilişkin ilke hükme bağlanmaktadır.

Kanunun 3 üncü maddesinin birinci fıkrasının (d) bendi uyarınca verilerin


59

aktarılması veya devralınması kişisel verilerin işlenmesi olarak

tanımlandığından; verileri alanların, kişisel verilerin işlenmesi için Kanunun 5

inci ve 6 ncı maddelerinde öngörülen şartları yerine getirmeleri ve bu

kapsamda özel nitelikle veriler yönünden yeterli önlem almaları da

gerekmektedir.

Maddenin ikinci fıkrasında verilerin, ilgilinin açık rızası olmaksızın üçüncü

kişilere aktarılmasına ilişkin düzenleme yapılmaktadır. Bu düzenleme

yapılırken 5 inci maddenin ikinci fıkrası uyarınca ilgili kişinin açık rızası

olmaksızın işlenmesine izin veren şartlar aranmakta ve bu şartların birinin

varlığı halinde, kişisel verilerin üçüncü kişilere aktarılabilmesine imkân

tanınmaktadır.

Özel nitelikli kişisel veriler yönünden ise yeterli önlemler alınmak kaydıyla, 6

ncı maddenin (b) bendi hariç olmak üzere dördüncü fıkrasında belirtilen

verilerin ilgili kişinin açık rızası olmaksızın işlenmesine izin veren şartlar esas

alınmaktadır. Bir başka ifadeyle, 6 ncı maddenin dördüncü fıkrasının (b) bendi

hariç olmak üzere ilgili kişinin açık rızası aranmaksızın işlenebilen kişisel

verilerin, 6 ncı maddenin ikinci fıkrasında öngörülen yeterli önlemler alınmak

kaydıyla ilgili kişinin rızası aranmaksızın üçüncü kişilere aktarılmasına izin

verilmektedir.

Maddenin üçüncü fıkrasında, kişisel verilerin üçüncü kişilere aktarılmasına

ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu hüküm altına

alınmaktadır.

MADDE 9

Maddeyle kişisel verilerin, yurtdışına aktarılması düzenlenmektedir. Kanunun

hem 5 inci maddesinde düzenlenen kişisel veriler hem de 6 ncı maddesinde

düzenlenen özel nitelikli (hassas) kişisel veriler MADDE kapsamındadır.


yurtdışına aktarılamayacağına ilişkin ilke hükme bağlanmaktadır.


58

hale getirilecektir. Kişisel verilerin silinmesiyle, bu verilerin tekrar hiçbir

şekilde kullanılamayacak ve geri getirilemeyecek şekilde imhası

amaçlanmaktadır. Buna göre veriler, kayıtlı oldukları evrak, dosya, CD, disket,

hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinecektir.

Verilerin yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve

kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket,

hard disk gibi veri saklamaya elverişli materyallerin imha edilmesini ifade

etmektedir. Verilerin anonim hale getirilmesiyle, kişisel verilerin başka

verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek

kişiyleilişkilendirilemeyecek hale getirilmesi kastedilmektedir.

Maddenin ikinci fıkrasıyla, kişisel verilerin silinmesi, yok edilmesi veya

anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı

tutulması öngörülmektedir. Bu kapsamda, örneğin Adli Sicil Kanununda

verilerin silinmesini veya yok edilmesini düzenleyen hükümler Kanuna göre

öncelikli olarak uygulanacaktır.

Maddenin son fıkrasında, kişisel verilerin silinmesi, yok edilmesi veya anonim

hale getirilmesine ilişkin usul ve esasların yönetmelikte düzenlenmesi

hüküm altına alınmaktadır.

MADDE 8

Maddeyle kişisel verilerin, üçüncü kişilere aktarılması düzenlenmektedir.

Kanunun hem 5 inci maddesinde düzenlenen kişisel veriler hem de 6 ncı

maddesinde düzenlenen özel nitelikli (hassas) kişisel veriler MADDE

kapsamındadır. Kanunun 9 uncu maddesinde kişisel verilerin yurtdışına

aktarılması düzenlendiğinden bu maddede belirtilen üçüncü kişiler

yurtiçindeki kişilerdir.


üçüncü kişilere aktarılamayacağına ilişkin ilke hükme bağlanmaktadır.

Kanunun 3 üncü maddesinin birinci fıkrasının (d) bendi uyarınca verilerin


59

aktarılması veya devralınması kişisel verilerin işlenmesi olarak

tanımlandığından; verileri alanların, kişisel verilerin işlenmesi için Kanunun 5

inci ve 6 ncı maddelerinde öngörülen şartları yerine getirmeleri ve bu

kapsamda özel nitelikle veriler yönünden yeterli önlem almaları da

gerekmektedir.

Maddenin ikinci fıkrasında verilerin, ilgilinin açık rızası olmaksızın üçüncü

kişilere aktarılmasına ilişkin düzenleme yapılmaktadır. Bu düzenleme

yapılırken 5 inci maddenin ikinci fıkrası uyarınca ilgili kişinin açık rızası

olmaksızın işlenmesine izin veren şartlar aranmakta ve bu şartların birinin

varlığı halinde, kişisel verilerin üçüncü kişilere aktarılabilmesine imkân

tanınmaktadır.

Özel nitelikli kişisel veriler yönünden ise yeterli önlemler alınmak kaydıyla, 6

ncı maddenin (b) bendi hariç olmak üzere dördüncü fıkrasında belirtilen

verilerin ilgili kişinin açık rızası olmaksızın işlenmesine izin veren şartlar esas

alınmaktadır. Bir başka ifadeyle, 6 ncı maddenin dördüncü fıkrasının (b) bendi

hariç olmak üzere ilgili kişinin açık rızası aranmaksızın işlenebilen kişisel

verilerin, 6 ncı maddenin ikinci fıkrasında öngörülen yeterli önlemler alınmak

kaydıyla ilgili kişinin rızası aranmaksızın üçüncü kişilere aktarılmasına izin

verilmektedir.

Maddenin üçüncü fıkrasında, kişisel verilerin üçüncü kişilere aktarılmasına

ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu hüküm altına

alınmaktadır.

MADDE 9

Maddeyle kişisel verilerin, yurtdışına aktarılması düzenlenmektedir. Kanunun

hem 5 inci maddesinde düzenlenen kişisel veriler hem de 6 ncı maddesinde

düzenlenen özel nitelikli (hassas) kişisel veriler MADDE kapsamındadır.


yurtdışına aktarılamayacağına ilişkin ilke hükme bağlanmaktadır.


60

Maddenin ikinci fıkrasında kişisel verilerin, ilgilinin açık rızası olmaksızın

yurtdışına aktarılmasına ilişkin düzenleme yapılmaktadır. Bu düzenleme

yapılırken 5 inci maddenin ikinci fıkrası kapsamındaki kişisel veriler ile 6 ncı

maddenin dördüncü fıkrasının (a), (c), (ç) ve (d) bentlerinde belirtilen özel

nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesine izin

veren şartlar esas alınmakta ve bu şartlardan birinin varlığı halinde, kişisel

verinin aktarılacağı yabancı ülkede, yeterli korumanın bulunması kaydıyla

ilgili kişinin açık rızası aranmaksızın yurtdışına aktarılmasına imkân

tanınmaktadır. Şayet ilgili yabancı ülkede yeterli koruma bulunmuyorsa,

Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı

yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili

kişinin açık rızası aranmaksızın kişisel verilerin yurtdışına aktarılmasına imkân

verilmektedir.

Maddenin üçüncü fıkrasına göre yabancı ülkelerde yeterli koruma bulunup

bulunmadığı Kurulca belirlenerek ilan edilecektir.

Maddenin dördüncü fıkrasıyla, Kurulun, yabancı ülkede yeterli koruma

bulunup bulunmadığına karar ve verilerin yurtdışına aktarılmasına izin

verirken hangi kriterleri dikkate alacağı düzenlenmektedir. Buna göre Kurul,

maddede sayılan hususları değerlendirecek, ihtiyaç duyması halinde ilgili

kurum ve kuruluşların da görüşünü almak suretiyle bir karar verecektir.

Maddenin beşinci fıkrasında, kişisel verilerin yurtdışına aktarılmasına ilişkin

ilgili kanunlarda yer alan hükümlerin saklı olduğu hüküm altına alınmaktadır.

Buna göre, örneğin 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi

Hakkında Kanunun, uluslararası bilgi değişimi konusunda Malî Suçları

Araştırma Kurulu Başkanına yetki veren 12 nci ve 19 uncu maddeleri öncelikli

olarak uygulanacaktır.


61

MADDE 10

Maddeyle, 95/46/EC sayılı Direktife uygun olarak, veri sorumlusunun

aydınlatma yükümlülüğü düzenlenmektedir. Veri sorumlusu veya

yetkilendirdiği kişi, aydınlatma yükümlülüğü kapsamında; veri

sorumlusunun ve varsa temsilcisinin kimliği, veri işleme amacı, verilerin

kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki

sebebi ile 11 inci maddede sayılan diğer hakları konusunda, ilgili kişiyi

bilgilendirecektir.

MADDE 11

Maddeyle, kişisel verileri işlenen kişinin hakları düzenlenmektedir. Buna

göre, kişi kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme,

işlenmişse buna ilişkin bilgileri talep etme, verilerin işlenme amacı ile

bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurtiçinde veya

yurtdışında verilerin aktarıldığı üçüncü kişileri bilme, 7 nci maddede

öngörülen koşullar çerçevesinde kişisel verilerin silinmesini, yok edilmesini

veya verinin muhtevasının eksik ya da gerçeğe aykırı olması hallerinde

bunların düzeltilmesini isteme hakkına sahiptir.

Yine ilgili kişi, talebi doğrultusunda yapılan düzeltme, silme ve yok etme

işlemlerinin, verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde,

zararın giderilmesini talep etme hakkına da sahiptir.

Maddenin birinci fıkrasının (g) bendinde, işlenen verilerin münhasıran

otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonucun

ortaya çıkmasına itiraz hakkı düzenlenmektedir. Örneğin, bir çalışanın

performansının, onun tarafından yapılan işlerin, otomatik bir sisteme işlenip

analiz edilerek, analiz sonucuna göre değerlendirilmesine, çalışanın itiraz

edebilmesi bu kapsamda değerlendirilecektir.


60

Maddenin ikinci fıkrasında kişisel verilerin, ilgilinin açık rızası olmaksızın

yurtdışına aktarılmasına ilişkin düzenleme yapılmaktadır. Bu düzenleme

yapılırken 5 inci maddenin ikinci fıkrası kapsamındaki kişisel veriler ile 6 ncı

maddenin dördüncü fıkrasının (a), (c), (ç) ve (d) bentlerinde belirtilen özel

nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesine izin

veren şartlar esas alınmakta ve bu şartlardan birinin varlığı halinde, kişisel

verinin aktarılacağı yabancı ülkede, yeterli korumanın bulunması kaydıyla

ilgili kişinin açık rızası aranmaksızın yurtdışına aktarılmasına imkân

tanınmaktadır. Şayet ilgili yabancı ülkede yeterli koruma bulunmuyorsa,

Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı

yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili

kişinin açık rızası aranmaksızın kişisel verilerin yurtdışına aktarılmasına imkân

verilmektedir.

Maddenin üçüncü fıkrasına göre yabancı ülkelerde yeterli koruma bulunup

bulunmadığı Kurulca belirlenerek ilan edilecektir.

Maddenin dördüncü fıkrasıyla, Kurulun, yabancı ülkede yeterli koruma

bulunup bulunmadığına karar ve verilerin yurtdışına aktarılmasına izin

verirken hangi kriterleri dikkate alacağı düzenlenmektedir. Buna göre Kurul,

maddede sayılan hususları değerlendirecek, ihtiyaç duyması halinde ilgili

kurum ve kuruluşların da görüşünü almak suretiyle bir karar verecektir.

Maddenin beşinci fıkrasında, kişisel verilerin yurtdışına aktarılmasına ilişkin

ilgili kanunlarda yer alan hükümlerin saklı olduğu hüküm altına alınmaktadır.

Buna göre, örneğin 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi

Hakkında Kanunun, uluslararası bilgi değişimi konusunda Malî Suçları

Araştırma Kurulu Başkanına yetki veren 12 nci ve 19 uncu maddeleri öncelikli

olarak uygulanacaktır.


61

MADDE 10

Maddeyle, 95/46/EC sayılı Direktife uygun olarak, veri sorumlusunun

aydınlatma yükümlülüğü düzenlenmektedir. Veri sorumlusu veya

yetkilendirdiği kişi, aydınlatma yükümlülüğü kapsamında; veri

sorumlusunun ve varsa temsilcisinin kimliği, veri işleme amacı, verilerin

kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki

sebebi ile 11 inci maddede sayılan diğer hakları konusunda, ilgili kişiyi

bilgilendirecektir.

MADDE 11

Maddeyle, kişisel verileri işlenen kişinin hakları düzenlenmektedir. Buna

göre, kişi kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme,

işlenmişse buna ilişkin bilgileri talep etme, verilerin işlenme amacı ile

bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurtiçinde veya

yurtdışında verilerin aktarıldığı üçüncü kişileri bilme, 7 nci maddede

öngörülen koşullar çerçevesinde kişisel verilerin silinmesini, yok edilmesini

veya verinin muhtevasının eksik ya da gerçeğe aykırı olması hallerinde

bunların düzeltilmesini isteme hakkına sahiptir.

Yine ilgili kişi, talebi doğrultusunda yapılan düzeltme, silme ve yok etme

işlemlerinin, verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde,

zararın giderilmesini talep etme hakkına da sahiptir.

Maddenin birinci fıkrasının (g) bendinde, işlenen verilerin münhasıran

otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonucun

ortaya çıkmasına itiraz hakkı düzenlenmektedir. Örneğin, bir çalışanın

performansının, onun tarafından yapılan işlerin, otomatik bir sisteme işlenip

analiz edilerek, analiz sonucuna göre değerlendirilmesine, çalışanın itiraz

edebilmesi bu kapsamda değerlendirilecektir.


62

MADDE 12

Maddeyle, veri sorumlusunun, veri güvenliğinin sağlanmasına ilişkin

yükümlülükleri düzenlenmektedir. Buna göre, veri sorumlusu, kişisel

verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak

erişilmesini önlemek, ayrıca verilerin muhafazasını sağlamak için uygun

güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari

tedbirleri almakla yükümlü tutulmaktadır.

İkinci fıkrada, veri sorumlusunun, verilerin kendi adına başka bir gerçek veya

tüzel kişi tarafından işlenmesi durumunda, birinci fıkrada belirtilen tedbirlerin

alınması hususunda bu kişilerle birlikte müştereken sorumlu olacağı

düzenlenmektedir. Buna göre, veri sorumlusu, örneğin şirketine ilişkin

kayıtları bir muhasebe şirketine tutturuyorsa, verilerin işlenmesine ilişkin

birinci fıkrada belirtilen tedbirlerin alınması hususunda muhasebe şirketiyle

birlikte müştereken sorumlu olacaktır.

Üçüncü fıkrada, veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun

hükümlerinin uygulanmasını sağlama ve kişisel verilerin Kanunda öngörülen

usul ve esaslara uygun olarak işlenmesi amacıyla gerekli denetimleri yapma

veya yaptırma yükümlülüğü düzenlenmektedir.

Dördüncü fıkrada, veri sorumluları ile veri işleyenlerin sır saklama

yükümlülüğü düzenlenmektedir. Buna göre, veri sorumluları ile veri

işleyenler, öğrendikleri kişisel verileri, Kanuna aykırı olarak başkalarına

açıklayamayacak veya şahsi çıkarları için kullanamayacaklardır. Bu

yükümlülük görevden ayrılmalarından sonra da devam edecektir.

Beşinci fıkrada, işlenen verilerin kanuni olmayan yollarla başkaları tarafından

elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine

ve Kurula bildireceği düzenlenmektedir. Kurul, gerekmesi halinde bu

durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan

edebilecektir.


63

MADDE 13

Maddeyle, veri sorumlusuna başvuru yolu düzenlenmektedir. Buna göre,

ilgili kişilerin, Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri

sorumlusuna iletmeleri zorunludur. İlgili kişilerin, taleplerini veri

sorumlusuna yazılı olarak ya da uygulamada oluşacak ihtiyaca göre Kurulun

belirleyeceği diğer yöntemlerle iletebilmelerine imkân sağlanmaktadır.

Bu talebi alan veri sorumlusunun, ücretsiz olarak veya işlemin ayrıca bir

maliyeti gerektirmesi halinde, Kurul tarafından belirlenen tarifeye göre

alacağı ücret mukabilinde en kısa sürede ve en geç otuz gün içinde talebi

incelemesi; kabul veya gerekçesini açıklayarak reddetmesi, ayrıca cevabını

ilgili kişiye bildirmesi öngörülmektedir. Veri sorumlusunun gerçek kişi veya

özel hukuk tüzel kişisi olabileceği ve bunların 7201 sayılı Tebligat Kanununa

tabi olmamaları dikkate alınarak, veri sorumlusunun cevabını ilgili kişiye

“bildirmesi” hükme bağlanmaktadır. Bu bildirim, bir ispat sorunu olup

gerektiğinde yargı mercilerince ele alınacaktır. 7201 sayılı Kanuna tabi kurum

ve kuruluşların bu bildirimleri anılan Kanun hükümleri uyarınca resmi tebligat

yoluyla yapacakları da açıktır.

Veri sorumlusunun talebi kabul etmesi halinde, gereğini yerine getirmesi;

şayet ilgili kişinin, Kanunun uygulanmasıyla ilgili talebine konu hususta veri

sorumlusu hatalıysa, alınan ücretin ilgiliye iade edilmesi hükme

bağlanmaktadır.

MADDE 14

Maddeyle, şikâyet yolu düzenlenmektedir. Buna göre, 13 üncü MADDE

uyarınca yapmış olduğu başvurunun reddedilmesi, verilen cevabın yetersiz

bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi,

veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde

başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.


62

MADDE 12

Maddeyle, veri sorumlusunun, veri güvenliğinin sağlanmasına ilişkin

yükümlülükleri düzenlenmektedir. Buna göre, veri sorumlusu, kişisel

verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak

erişilmesini önlemek, ayrıca verilerin muhafazasını sağlamak için uygun

güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari

tedbirleri almakla yükümlü tutulmaktadır.

İkinci fıkrada, veri sorumlusunun, verilerin kendi adına başka bir gerçek veya

tüzel kişi tarafından işlenmesi durumunda, birinci fıkrada belirtilen tedbirlerin

alınması hususunda bu kişilerle birlikte müştereken sorumlu olacağı

düzenlenmektedir. Buna göre, veri sorumlusu, örneğin şirketine ilişkin

kayıtları bir muhasebe şirketine tutturuyorsa, verilerin işlenmesine ilişkin

birinci fıkrada belirtilen tedbirlerin alınması hususunda muhasebe şirketiyle

birlikte müştereken sorumlu olacaktır.

Üçüncü fıkrada, veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun

hükümlerinin uygulanmasını sağlama ve kişisel verilerin Kanunda öngörülen

usul ve esaslara uygun olarak işlenmesi amacıyla gerekli denetimleri yapma

veya yaptırma yükümlülüğü düzenlenmektedir.

Dördüncü fıkrada, veri sorumluları ile veri işleyenlerin sır saklama

yükümlülüğü düzenlenmektedir. Buna göre, veri sorumluları ile veri

işleyenler, öğrendikleri kişisel verileri, Kanuna aykırı olarak başkalarına

açıklayamayacak veya şahsi çıkarları için kullanamayacaklardır. Bu

yükümlülük görevden ayrılmalarından sonra da devam edecektir.

Beşinci fıkrada, işlenen verilerin kanuni olmayan yollarla başkaları tarafından

elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine

ve Kurula bildireceği düzenlenmektedir. Kurul, gerekmesi halinde bu

durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan

edebilecektir.


63

MADDE 13

Maddeyle, veri sorumlusuna başvuru yolu düzenlenmektedir. Buna göre,

ilgili kişilerin, Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri

sorumlusuna iletmeleri zorunludur. İlgili kişilerin, taleplerini veri

sorumlusuna yazılı olarak ya da uygulamada oluşacak ihtiyaca göre Kurulun

belirleyeceği diğer yöntemlerle iletebilmelerine imkân sağlanmaktadır.

Bu talebi alan veri sorumlusunun, ücretsiz olarak veya işlemin ayrıca bir

maliyeti gerektirmesi halinde, Kurul tarafından belirlenen tarifeye göre

alacağı ücret mukabilinde en kısa sürede ve en geç otuz gün içinde talebi

incelemesi; kabul veya gerekçesini açıklayarak reddetmesi, ayrıca cevabını

ilgili kişiye bildirmesi öngörülmektedir. Veri sorumlusunun gerçek kişi veya

özel hukuk tüzel kişisi olabileceği ve bunların 7201 sayılı Tebligat Kanununa

tabi olmamaları dikkate alınarak, veri sorumlusunun cevabını ilgili kişiye

“bildirmesi” hükme bağlanmaktadır. Bu bildirim, bir ispat sorunu olup

gerektiğinde yargı mercilerince ele alınacaktır. 7201 sayılı Kanuna tabi kurum

ve kuruluşların bu bildirimleri anılan Kanun hükümleri uyarınca resmi tebligat

yoluyla yapacakları da açıktır.

Veri sorumlusunun talebi kabul etmesi halinde, gereğini yerine getirmesi;

şayet ilgili kişinin, Kanunun uygulanmasıyla ilgili talebine konu hususta veri

sorumlusu hatalıysa, alınan ücretin ilgiliye iade edilmesi hükme

bağlanmaktadır.

MADDE 14

Maddeyle, şikâyet yolu düzenlenmektedir. Buna göre, 13 üncü MADDE

uyarınca yapmış olduğu başvurunun reddedilmesi, verilen cevabın yetersiz

bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi,

veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde

başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.


64

İkinci fıkrada, 13 üncü maddede öngörülen başvuru müessesesinin, zorunlu

bir başvuru yolu olduğu ve bu yol tüketilmeden şikâyet yoluna

gidilemeyeceği hükme bağlanmaktadır. Böylece uyuşmazlıkların belirli bir

kısmının veri sorumluları tarafından giderilmesi ve bu suretle Kurulun yoğun

bir iş yüküyle karşı karşıya kalmasının önlenmesi amaçlanmaktadır. Başvuru

yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması

sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan

Kurula şikâyette bulunabilmesi, diğer yandan doğrudan adli veya idari yargı

yoluna gidebilmesi mümkün olacaktır. Ancak, ilgililerin masrafsız ve daha

hızlı sonuç alınması mümkün olan şikâyet yolunu tercih edecekleri

değerlendirilmektedir.

Üçüncü fıkrada, kişilik hakları ihlal edilenlerin, genel hükümlere göre

tazminat hakkı saklı tutulmaktadır. Veri sorumlusunun hukuki statüsüne göre

ilgililer adli ya da idari yargıda dava açabileceklerdir.

MADDE 15

Maddeyle, Kurul tarafından yapılacak incelemenin usul ve esasları

düzenlenmektedir. Buna göre, Kurul, şikâyet üzerine veya ihlal iddiasını

öğrenmesi halinde resen, görev alanına giren konularda gerekli incelemeyi

yapabilecektir. Bu inceleme şikâyete ya da resen öğrenilen şikâyet konusuna

münhasır olacaktır. Kurulun resen genel inceleme yetki ve görevi

bulunmamaktadır. Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı

maddesinde belirtilen şartları taşımayan ihbar ve şikâyetler incelemeye

alınmayacaktır. Veri sorumluları, Devlet sırrı niteliğindeki bilgi ve belgeler

hariç, talep edilen bilgi ve belgeleri, Kurula onbeş gün içinde göndermek

veya gerektiğinde yerinde inceleme yapılmasına imkân sağlamak

zorundadır.

Kurulun, şikâyet üzerine yapacağı inceleme sonunda cevap vermesi

öngörülmekte, şikâyet tarihinden itibaren altmış gün içinde cevap

verilmezse talebin reddedilmiş sayılacağı hükme bağlanmaktadır. Buna göre,


65

şikâyet tarihinden itibaren altmış günlük sürenin geçmesiyle idari yargıda

dava açma süresi başlayacaktır.

Kurulun, şikâyet üzerine yapacağı inceleme için altmış günlük süre

öngörülmüş ise de resen yapacağı incelemeler yönünden herhangi bir süre

öngörülmemektedir.

Kurul, şikâyet üzerine veya resen yapılacak inceleme sonucunda, Kanun

hükümlerinin ihlal edildiği kanaatine varırsa, tespit ettiği hukuka aykırılıkların

ilgili veri sorumlusu tarafından giderilmesine karar verir ve kararı ilgililere

tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün

içinde yerine getirilecektir.

Yine şikâyet üzerine veya resen yapılan inceleme sonucunda, kanuna aykırı

uygulamanın yaygın olduğunun Kurul tarafından tespit edilmesi üzerine ilgili

kurum ve kuruluşların görüşü de alınmak suretiyle bu konuda ilke kararı alınır

ve bu karar yayımlanır.

Ayrıca Kurula, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka

aykırılık şartlarının birlikte gerçekleşmesi halinde, nihai karardan önce veri

işlenmesinin veya verinin yurtdışına aktarılmasının durdurulmasına karar

verme yetkisi verilmektedir.

İlgililerin, Kurulca verilen kararlara karşı idare mahkemelerinde dava

açabilmeleri mümkündür.

MADDE 16

Maddeyle, veri sorumlularının kaydedileceği Veri Sorumluları Sicili

düzenlenmektedir. Buna göre Veri Sorumluları Sicili, Kişisel Verileri Koruma

Kurulunun gözetiminde Başkanlık tarafından kamuya açık olarak tutulacaktır.

Veri sorumluları veri işlemeye başlamadan önce bu Sicile kaydolacaklardır.

Ancak işlenen verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması

veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif


64

İkinci fıkrada, 13 üncü maddede öngörülen başvuru müessesesinin, zorunlu

bir başvuru yolu olduğu ve bu yol tüketilmeden şikâyet yoluna

gidilemeyeceği hükme bağlanmaktadır. Böylece uyuşmazlıkların belirli bir

kısmının veri sorumluları tarafından giderilmesi ve bu suretle Kurulun yoğun

bir iş yüküyle karşı karşıya kalmasının önlenmesi amaçlanmaktadır. Başvuru

yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması

sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan

Kurula şikâyette bulunabilmesi, diğer yandan doğrudan adli veya idari yargı

yoluna gidebilmesi mümkün olacaktır. Ancak, ilgililerin masrafsız ve daha

hızlı sonuç alınması mümkün olan şikâyet yolunu tercih edecekleri

değerlendirilmektedir.

Üçüncü fıkrada, kişilik hakları ihlal edilenlerin, genel hükümlere göre

tazminat hakkı saklı tutulmaktadır. Veri sorumlusunun hukuki statüsüne göre

ilgililer adli ya da idari yargıda dava açabileceklerdir.

MADDE 15

Maddeyle, Kurul tarafından yapılacak incelemenin usul ve esasları

düzenlenmektedir. Buna göre, Kurul, şikâyet üzerine veya ihlal iddiasını

öğrenmesi halinde resen, görev alanına giren konularda gerekli incelemeyi

yapabilecektir. Bu inceleme şikâyete ya da resen öğrenilen şikâyet konusuna

münhasır olacaktır. Kurulun resen genel inceleme yetki ve görevi

bulunmamaktadır. Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı

maddesinde belirtilen şartları taşımayan ihbar ve şikâyetler incelemeye

alınmayacaktır. Veri sorumluları, Devlet sırrı niteliğindeki bilgi ve belgeler

hariç, talep edilen bilgi ve belgeleri, Kurula onbeş gün içinde göndermek

veya gerektiğinde yerinde inceleme yapılmasına imkân sağlamak

zorundadır.

Kurulun, şikâyet üzerine yapacağı inceleme sonunda cevap vermesi

öngörülmekte, şikâyet tarihinden itibaren altmış gün içinde cevap

verilmezse talebin reddedilmiş sayılacağı hükme bağlanmaktadır. Buna göre,


65

şikâyet tarihinden itibaren altmış günlük sürenin geçmesiyle idari yargıda

dava açma süresi başlayacaktır.

Kurulun, şikâyet üzerine yapacağı inceleme için altmış günlük süre

öngörülmüş ise de resen yapacağı incelemeler yönünden herhangi bir süre

öngörülmemektedir.

Kurul, şikâyet üzerine veya resen yapılacak inceleme sonucunda, Kanun

hükümlerinin ihlal edildiği kanaatine varırsa, tespit ettiği hukuka aykırılıkların

ilgili veri sorumlusu tarafından giderilmesine karar verir ve kararı ilgililere

tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün

içinde yerine getirilecektir.

Yine şikâyet üzerine veya resen yapılan inceleme sonucunda, kanuna aykırı

uygulamanın yaygın olduğunun Kurul tarafından tespit edilmesi üzerine ilgili

kurum ve kuruluşların görüşü de alınmak suretiyle bu konuda ilke kararı alınır

ve bu karar yayımlanır.

Ayrıca Kurula, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka

aykırılık şartlarının birlikte gerçekleşmesi halinde, nihai karardan önce veri

işlenmesinin veya verinin yurtdışına aktarılmasının durdurulmasına karar

verme yetkisi verilmektedir.

İlgililerin, Kurulca verilen kararlara karşı idare mahkemelerinde dava

açabilmeleri mümkündür.

MADDE 16

Maddeyle, veri sorumlularının kaydedileceği Veri Sorumluları Sicili

düzenlenmektedir. Buna göre Veri Sorumluları Sicili, Kişisel Verileri Koruma

Kurulunun gözetiminde Başkanlık tarafından kamuya açık olarak tutulacaktır.

Veri sorumluları veri işlemeye başlamadan önce bu Sicile kaydolacaklardır.

Ancak işlenen verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması

veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif


66

kriterler gözönüne alınmak suretiyle, Kurul tarafından, Sicile kayıt

zorunluluğuna istisna getirilebilecektir.

Maddenin üçüncü fıkrasında Sicile kayıt başvurusunda bildirilmesi gereken

hususlar düzenlenmektedir. Bu kapsamda, örneğin veri sorumlusu ve varsa

temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği,

kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, veri güvenliğine ilişkin

alınan tedbirler, kişisel verilerin işlendikleri amaç için gerekli olan azami süre

gibi hususlar Sicile kayıt başvurusunda bildirilmelidir. Ayrıca, üçüncü fıkra

uyarınca bildirilmesi gerekli bilgilerde meydana gelen değişiklikler de derhal

Başkanlığa bildirilecektir. Veri Sorumluları Siciline ilişkin diğer usul ve esaslar

yönetmelikle düzenlenecektir.

MADDE 17

Maddeyle, kişisel verilere ilişkin suçlar ve cezai yaptırımlar 5237 sayılı Türk

Ceza Kanununun ilgili hükümlerine atıf yapılmak suretiyle

düzenlenmektedir. Kişisel verileri silmeyen veya anonim hale

getirmeyenlerin ise Türk Ceza Kanununun 138 inci maddesi hükmü uyarınca

cezalandırılmaları öngörülmektedir.

MADDE 18

Maddeyle, Kanunda öngörülen yükümlülüklere aykırı davranılması halinde

uygulanacak idari yaptırımlar düzenlenmektedir. Bu kapsamda aydınlatma

ve veri güvenliğini sağlama, Kurul kararlarını yerine getirme ve Sicile kayıt ve

bildirim yükümlülüklerine aykırı davranılması kabahat olarak öngörülmekte

ve idari para cezası yaptırımına bağlanmaktadır. İdari yaptırımlara Kurul

tarafından karar verilecektir. Verilen yaptırım kararlarına karşı idari yargı yolu

açıktır.

Maddede kabahatler karşılığında öngörülen idari para cezalarının alt ve üst

sınırları arasındaki makas bilinçli olarak geniş tutulmuştur. Kurul karar

verirken kabahatler hususunda genel kanun niteliğinde olan 30/3/2005


67

tarihli ve 5326 sayılı Kabahatler Kanununun 17 nci maddesinin ikinci

fıkrasında belirtildiği üzere kabahatin haksızlık içeriği ile failin kusuru ve

ekonomik durumunu dikkate alacaktır. Bu şekilde düzenleme yapılmak

suretiyle, söz konusu kabahatlerin çok farklı ekonomik güce sahip gerçek

veya tüzel kişiler hakkında uygulanacak olması nedeniyle yaptırım

uygulanmasında hakkaniyeti sağlamak amaçlanmıştır. Buna göre örneğin,

küçük bir şehirde faaliyet gösteren bir aile şirketiyle ülke çapında faaliyet

gösteren bir holdingin Kanun hükümlerini ihlal etmesi durumunda

belirlenecek idari para cezalarının miktarı söz konusu şirketlerin ekonomik

durumlarına göre farklı olacaktır.

İdari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel

kişileri hakkında uygulanacaktır. Maddede kabahat olarak düzenlenen

eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek

kuruluşları bünyesinde işlenmesi halinde, Kurulun yapacağı bildirim üzerine,

ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu

görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev

yapanlar hakkında disiplin hükümlerine göre işlem yapılacaktır.

Kanunda kabahatlerle ilgili hüküm bulunmayan hallerde genel kanun

niteliğindeki 5326 sayılı Kabahatler Kanunu hükümlerinin uygulanacağı

açıktır.

MADDE 19

Maddeyle, Kanunla verilen görevleri yerine getirmek üzere, idari ve mali

özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma

Kurumunun kuruluşu düzenlenmektedir. Avrupa Konseyinin 108 sayılı

Sözleşmesi ve Avrupa Birliğinin 95/46/EC sayılı Direktifi, kişisel verilerin

işlenmesine ilişkin ilkelerin uygulanmasını izlemek ve yönlendirmek üzere

fonksiyonel olarak bağımsız bir şekilde görev yapacak otoritelerin

oluşturulmasını öngörmektedir. Avrupa Birliği üyesi tüm ülkelerde veri

koruma kurulları görevlerinde bağımsız otoriteler şeklinde yapılandırılmıştır.


66

kriterler gözönüne alınmak suretiyle, Kurul tarafından, Sicile kayıt

zorunluluğuna istisna getirilebilecektir.

Maddenin üçüncü fıkrasında Sicile kayıt başvurusunda bildirilmesi gereken

hususlar düzenlenmektedir. Bu kapsamda, örneğin veri sorumlusu ve varsa

temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği,

kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, veri güvenliğine ilişkin

alınan tedbirler, kişisel verilerin işlendikleri amaç için gerekli olan azami süre

gibi hususlar Sicile kayıt başvurusunda bildirilmelidir. Ayrıca, üçüncü fıkra

uyarınca bildirilmesi gerekli bilgilerde meydana gelen değişiklikler de derhal

Başkanlığa bildirilecektir. Veri Sorumluları Siciline ilişkin diğer usul ve esaslar

yönetmelikle düzenlenecektir.

MADDE 17

Maddeyle, kişisel verilere ilişkin suçlar ve cezai yaptırımlar 5237 sayılı Türk

Ceza Kanununun ilgili hükümlerine atıf yapılmak suretiyle

düzenlenmektedir. Kişisel verileri silmeyen veya anonim hale

getirmeyenlerin ise Türk Ceza Kanununun 138 inci maddesi hükmü uyarınca

cezalandırılmaları öngörülmektedir.

MADDE 18

Maddeyle, Kanunda öngörülen yükümlülüklere aykırı davranılması halinde

uygulanacak idari yaptırımlar düzenlenmektedir. Bu kapsamda aydınlatma

ve veri güvenliğini sağlama, Kurul kararlarını yerine getirme ve Sicile kayıt ve

bildirim yükümlülüklerine aykırı davranılması kabahat olarak öngörülmekte

ve idari para cezası yaptırımına bağlanmaktadır. İdari yaptırımlara Kurul

tarafından karar verilecektir. Verilen yaptırım kararlarına karşı idari yargı yolu

açıktır.

Maddede kabahatler karşılığında öngörülen idari para cezalarının alt ve üst

sınırları arasındaki makas bilinçli olarak geniş tutulmuştur. Kurul karar

verirken kabahatler hususunda genel kanun niteliğinde olan 30/3/2005


67

tarihli ve 5326 sayılı Kabahatler Kanununun 17 nci maddesinin ikinci

fıkrasında belirtildiği üzere kabahatin haksızlık içeriği ile failin kusuru ve

ekonomik durumunu dikkate alacaktır. Bu şekilde düzenleme yapılmak

suretiyle, söz konusu kabahatlerin çok farklı ekonomik güce sahip gerçek

veya tüzel kişiler hakkında uygulanacak olması nedeniyle yaptırım

uygulanmasında hakkaniyeti sağlamak amaçlanmıştır. Buna göre örneğin,

küçük bir şehirde faaliyet gösteren bir aile şirketiyle ülke çapında faaliyet

gösteren bir holdingin Kanun hükümlerini ihlal etmesi durumunda

belirlenecek idari para cezalarının miktarı söz konusu şirketlerin ekonomik

durumlarına göre farklı olacaktır.

İdari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel

kişileri hakkında uygulanacaktır. Maddede kabahat olarak düzenlenen

eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek

kuruluşları bünyesinde işlenmesi halinde, Kurulun yapacağı bildirim üzerine,

ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu

görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev

yapanlar hakkında disiplin hükümlerine göre işlem yapılacaktır.

Kanunda kabahatlerle ilgili hüküm bulunmayan hallerde genel kanun

niteliğindeki 5326 sayılı Kabahatler Kanunu hükümlerinin uygulanacağı

açıktır.

MADDE 19

Maddeyle, Kanunla verilen görevleri yerine getirmek üzere, idari ve mali

özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma

Kurumunun kuruluşu düzenlenmektedir. Avrupa Konseyinin 108 sayılı

Sözleşmesi ve Avrupa Birliğinin 95/46/EC sayılı Direktifi, kişisel verilerin

işlenmesine ilişkin ilkelerin uygulanmasını izlemek ve yönlendirmek üzere

fonksiyonel olarak bağımsız bir şekilde görev yapacak otoritelerin

oluşturulmasını öngörmektedir. Avrupa Birliği üyesi tüm ülkelerde veri

koruma kurulları görevlerinde bağımsız otoriteler şeklinde yapılandırılmıştır.


68

Sayılan uluslararası belgeler ve mukayeseli hukuk uygulamaları gözönüne

alınmak suretiyle, Kişisel Verileri Koruma Kurumu kurulmuştur. Kurumun

Başbakanlıkla ilişkili olduğu hüküm altına alınmaktadır.

MADDE 20

Maddeyle, Kurumun görevleri belirlenmektedir. Buna göre Kuruma, görev

alanı itibarıyla, başlıca ulusal ve uluslararası düzlemde uygulama ve

mevzuattaki gelişmeleri takip ederek araştırma ve inceleme faaliyetlerinde

bulunma ve ulusal ve uluslararası kurum ve kuruluşlarla işbirliği yapma ve

ihtiyaç duyulan hususlarda önerilerde bulunma görevleri verilmektedir.

Ayrıca, Kurum faaliyetleri hakkında hazırlanan yıllık faaliyet raporlarının

Cumhurbaşkanlığına, Türkiye Büyük Millet Meclisi İnsan Haklarını İnceleme

Komisyonuna ve Başbakanlığa sunulması, Kurumun şeffaflığının ve hesap

verebilirliğinin sağlanmasına yardımcı olacaktır. Kurumun etkin ve verimli bir

şekilde çalışabilmesi için hizmet alımı yapabilmesi de hüküm altına

alınmaktadır.

MADDE 21

Maddeyle, Kişisel Verileri Koruma Kurulu düzenlenmekte ve Kurulun,

Kurumun karar organı olduğu belirtilmektedir. Avrupa Konseyinin 108 sayılı

Sözleşmesi ve Avrupa Birliğinin 95/46/EC sayılı Direktifine uygun şekilde

Kurul bağımsız olarak kurgulanmaktadır. Kurulun, Kanunla ve diğer

mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız

olarak yerine getireceği ve kullanacağı, görev alanına giren konularla ilgili

olarak hiçbir organ, makam, merci veya kişinin Kurula emir ve talimat

veremeyeceği hüküm altına alınmaktadır. Bu hüküm, Kurumun görevini,

bağımsız bir şekilde yerine getirebilmesi bakımından önem arz etmektedir.

Ayrıca, Kurulun yedi üyeden oluşması öngörülmekte ve üyelerin nitelikleri,

seçimi ve görev süreleri düzenlenmektedir. Üyelerin Cumhurbaşkanınca ve

Bakanlar Kurulunca seçilmesi Kurulun demokratik meşruiyetini


69

güçlendirmektedir. Öte yandan, üyelerin seçiminde, özel sektör ile kamu

sektöründe on yıl çalışmış olma, dört yıllık lisans mezunu olma ve Devlet

memuru olmaya ilişkin genel şartları taşıma dışında özel başka bir şart

aranmayarak üyelerin çok geniş bir alandan seçilmesi imkânı getirilmektedir.

Maddede ayrıca, Kurul üyelerinin ilk toplantının başında yemin etmeleri

düzenlenmekte ve Kurul Başkanı ile İkinci Başkanın, üyeler arasından

Bakanlar Kurulunca seçilmesi hükme bağlanmaktadır.

MADDE ile ayrıca, üyelerin görevleri sebebiyle işledikleri suçlar bakımından

soruşturma usulü düzenlenmektedir. Buna göre üyeler hakkında görevleri

sebebiyle işledikleri suçlar bakımından soruşturma yapılabilmesi Başbakanın

iznine bağlanmakta ve Kurul üyelerinin görev süreleri dolmadan herhangi bir

şekilde görevlerine son verilemeyeceği öngörülmek suretiyle üyelerin,

dolayısıyla Kurulun bağımsızlığı teminat altına alınmaktadır.

MADDE 22

Maddeyle Kurulun görev ve yetkileri düzenlenmektedir. Buna göre, kişisel

verilerin temel hak ve özgürlükleri koruyacak şekilde işlenmesi, kişisel

verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerinin karara

bağlanması, Veri Sorumluları Sicilinin tutulmasının sağlanması, kişisel

verilerin işlenmesi konusunda gerekli düzenleyici işlemlerin yapılması, kişisel

verilerin Kanuna uygun olarak işlenip işlenmediğinin incelenmesi, idari

yaptırımların uygulanması, stratejik planın ve bütçenin kabul edilmesi gibi

görevler Kurulun görevleri arasında sayılmaktadır. Kurul, özel nitelikli kişisel

verilerin yeterli önlem alınmaksızın işlenemeyeceğine ilişkin Kanunun 6 ncı

maddesinde düzenlenen hüküm uyarınca yeterli önlemin ne olduğunu

verinin niteliği ve sektörün özelliğine göre belirleyecektir.

Ayrıca, Başkanlık tarafından hazırlanan Kurumun performansı, mali durumu,

yıllık faaliyetleri ve diğer özel rapor taslakları Kurul tarafından onaylanacak,

Kurumun ihtiyaç duyduğu taşınmazların alım ve satımı ile kiralanması

konularındaki önerileri karara bağlayacaktır.


68

Sayılan uluslararası belgeler ve mukayeseli hukuk uygulamaları gözönüne

alınmak suretiyle, Kişisel Verileri Koruma Kurumu kurulmuştur. Kurumun

Başbakanlıkla ilişkili olduğu hüküm altına alınmaktadır.

MADDE 20

Maddeyle, Kurumun görevleri belirlenmektedir. Buna göre Kuruma, görev

alanı itibarıyla, başlıca ulusal ve uluslararası düzlemde uygulama ve

mevzuattaki gelişmeleri takip ederek araştırma ve inceleme faaliyetlerinde

bulunma ve ulusal ve uluslararası kurum ve kuruluşlarla işbirliği yapma ve

ihtiyaç duyulan hususlarda önerilerde bulunma görevleri verilmektedir.

Ayrıca, Kurum faaliyetleri hakkında hazırlanan yıllık faaliyet raporlarının

Cumhurbaşkanlığına, Türkiye Büyük Millet Meclisi İnsan Haklarını İnceleme

Komisyonuna ve Başbakanlığa sunulması, Kurumun şeffaflığının ve hesap

verebilirliğinin sağlanmasına yardımcı olacaktır. Kurumun etkin ve verimli bir

şekilde çalışabilmesi için hizmet alımı yapabilmesi de hüküm altına

alınmaktadır.

MADDE 21

Maddeyle, Kişisel Verileri Koruma Kurulu düzenlenmekte ve Kurulun,

Kurumun karar organı olduğu belirtilmektedir. Avrupa Konseyinin 108 sayılı

Sözleşmesi ve Avrupa Birliğinin 95/46/EC sayılı Direktifine uygun şekilde

Kurul bağımsız olarak kurgulanmaktadır. Kurulun, Kanunla ve diğer

mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız

olarak yerine getireceği ve kullanacağı, görev alanına giren konularla ilgili

olarak hiçbir organ, makam, merci veya kişinin Kurula emir ve talimat

veremeyeceği hüküm altına alınmaktadır. Bu hüküm, Kurumun görevini,

bağımsız bir şekilde yerine getirebilmesi bakımından önem arz etmektedir.

Ayrıca, Kurulun yedi üyeden oluşması öngörülmekte ve üyelerin nitelikleri,

seçimi ve görev süreleri düzenlenmektedir. Üyelerin Cumhurbaşkanınca ve

Bakanlar Kurulunca seçilmesi Kurulun demokratik meşruiyetini


69

güçlendirmektedir. Öte yandan, üyelerin seçiminde, özel sektör ile kamu

sektöründe on yıl çalışmış olma, dört yıllık lisans mezunu olma ve Devlet

memuru olmaya ilişkin genel şartları taşıma dışında özel başka bir şart

aranmayarak üyelerin çok geniş bir alandan seçilmesi imkânı getirilmektedir.

Maddede ayrıca, Kurul üyelerinin ilk toplantının başında yemin etmeleri

düzenlenmekte ve Kurul Başkanı ile İkinci Başkanın, üyeler arasından

Bakanlar Kurulunca seçilmesi hükme bağlanmaktadır.

MADDE ile ayrıca, üyelerin görevleri sebebiyle işledikleri suçlar bakımından

soruşturma usulü düzenlenmektedir. Buna göre üyeler hakkında görevleri

sebebiyle işledikleri suçlar bakımından soruşturma yapılabilmesi Başbakanın

iznine bağlanmakta ve Kurul üyelerinin görev süreleri dolmadan herhangi bir

şekilde görevlerine son verilemeyeceği öngörülmek suretiyle üyelerin,

dolayısıyla Kurulun bağımsızlığı teminat altına alınmaktadır.

MADDE 22

Maddeyle Kurulun görev ve yetkileri düzenlenmektedir. Buna göre, kişisel

verilerin temel hak ve özgürlükleri koruyacak şekilde işlenmesi, kişisel

verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerinin karara

bağlanması, Veri Sorumluları Sicilinin tutulmasının sağlanması, kişisel

verilerin işlenmesi konusunda gerekli düzenleyici işlemlerin yapılması, kişisel

verilerin Kanuna uygun olarak işlenip işlenmediğinin incelenmesi, idari

yaptırımların uygulanması, stratejik planın ve bütçenin kabul edilmesi gibi

görevler Kurulun görevleri arasında sayılmaktadır. Kurul, özel nitelikli kişisel

verilerin yeterli önlem alınmaksızın işlenemeyeceğine ilişkin Kanunun 6 ncı

maddesinde düzenlenen hüküm uyarınca yeterli önlemin ne olduğunu

verinin niteliği ve sektörün özelliğine göre belirleyecektir.

Ayrıca, Başkanlık tarafından hazırlanan Kurumun performansı, mali durumu,

yıllık faaliyetleri ve diğer özel rapor taslakları Kurul tarafından onaylanacak,

Kurumun ihtiyaç duyduğu taşınmazların alım ve satımı ile kiralanması

konularındaki önerileri karara bağlayacaktır.


70

MADDE 23

Maddeyle Kurulun çalışma esasları düzenlenmektedir. Bu kapsamda, Kurulun

toplantı ve karar yeter sayısı, Kurul üyelerinin kendilerini ve yakınlarını

ilgilendiren konularda yasaklılıkları ve sır saklama yükümlülükleri

düzenlenmektedir. Kurulun çalışma usul ve esasları ile kararların yazımı ve

diğer hususlar yönetmelikle düzenlenecektir.

MADDE 24

Maddeyle Kurum Başkanının görevleri düzenlenmektedir. Kurumun üst

yöneticisi ve Kurulun da Başkanı olan Kurum Başkanının, Kurumu yönetmek

ve temsil etmek, stratejik planın uygulanmasını sağlamak, Kurumun ve

hizmet birimlerinin uyumlu, verimli, disiplinli ve düzenli bir biçimde

çalışmasını temin etmek yanında, Kurul toplantılarının gündemini

belirleyerek toplantılara başkanlık etmek, Kurul kararlarının gereğinin yerine

getirilmesini takip etmek ve Kurumun mali tabloları ile bütçesini hazırlamak

başlıca görevleri arasındadır. Ayrıca, Kurum Başkanının yokluğunda Başkana,

İkinci Başkanın vekalet edeceği öngörülmektedir.

MADDE 25

Maddeyle Kişisel Verileri Koruma Kurumu Başkanlığının oluşumu ve görevleri

düzenlenmektedir. Başkanlık, Kurumun ve Kurulun idari ve mali işleri ile

sekretarya hizmetlerini yerine getirecektir. Başkanlık; Başkan Yardımcısı ve

daire başkanlıkları şeklinde teşkilatlanan hizmet birimlerinden oluşmaktadır.

Maddeyle, Başkan Yardımcısı ve Daire Başkanlarının nitelikleri ve atanma

usulü ile Başkanlığın görevleri ayrıntıları olarak düzenlenmektedir. Hizmet

birimleri ile bu birimlerin çalışma usul ve esasları Bakanlar Kurulu kararı ile

yürürlüğe konulan yönetmelikle düzenlenecektir.

MADDE 26

Kurum görevlerinin daha etkin bir şekilde yerine getirilebilmesi için, bu

görevlerin, konusunda uzmanlaşmış kişiler tarafından yürütülmesi şarttır. Bu


71

kapsamda Kurumda Kişisel Verileri Koruma Uzmanı ve Kişisel Verileri Koruma

Uzman Yardımcısı çalıştırılacaktır. Maddeyle, Kişisel Verileri Koruma Uzman

Yardımcısı kadrolarına atanmak için gereken şartlar bakımından 657 sayılı

Kanunun ek 41 inci maddesine atıf yapılmaktadır.

MADDE 27

Maddeyle, Kurul Başkan ve üyeleri ile Kurum personelinin mali ve sosyal

hakları düzenlenmektedir. Bununla birlikte başka kurum ve kuruluşlarda

çalışanlardan uzmanlığına ihtiyaç duyulanların Kurumda

görevlendirilmesine ilişkin düzenleme hüküm altına alınmaktadır.

Maddeyle ayrıca, Kurumda istihdam edilecek personele ilişkin kadro unvan

ve sayıları da belirlenmektedir.

MADDE 28

EDİTÖR NOTU Kanunlaştırma sürecinde Tasarı’da yapılan değişiklikler nedeniyle bu maddenin

gerekçesi kaldırılmıştır.

MADDE 29

Maddeyle Kurumun bütçesi ve gelirleri düzenlenmektedir.

MADDE 30

Maddeyle, Kanun sebebiyle diğer kanunlarda yapılacak değişiklikler ile

eklemeler düzenlenmektedir. Bu kapsamda Kişisel Verileri Koruma Kurumu,

5018 sayılı Kanuna ekli (III) sayılı cetvele eklenmektedir.

İkinci fıkrayla, 5237 sayılı Türk Ceza Kanununun 135 inci maddesinin ikinci

fıkrasında değişiklik yapılmak suretiyle, birinci fıkrada işlenen suçun

konusunun özel nitelikli (hassas) veriler olması halinde verilecek cezanın yarı

oranında artırılması öngörülmektedir.

Ayrıca, elektronik haberleşme ve veri kayıt sistemlerinde meydana gelen

gelişmeler doğrultusunda 3359 sayılı Sağlık Hizmetleri Temel Kanununun 3

üncü maddesinin birinci fıkrasının (f) bendinde değişiklik yapılarak kayıt ve


70

MADDE 23

Maddeyle Kurulun çalışma esasları düzenlenmektedir. Bu kapsamda, Kurulun

toplantı ve karar yeter sayısı, Kurul üyelerinin kendilerini ve yakınlarını

ilgilendiren konularda yasaklılıkları ve sır saklama yükümlülükleri

düzenlenmektedir. Kurulun çalışma usul ve esasları ile kararların yazımı ve

diğer hususlar yönetmelikle düzenlenecektir.

MADDE 24

Maddeyle Kurum Başkanının görevleri düzenlenmektedir. Kurumun üst

yöneticisi ve Kurulun da Başkanı olan Kurum Başkanının, Kurumu yönetmek

ve temsil etmek, stratejik planın uygulanmasını sağlamak, Kurumun ve

hizmet birimlerinin uyumlu, verimli, disiplinli ve düzenli bir biçimde

çalışmasını temin etmek yanında, Kurul toplantılarının gündemini

belirleyerek toplantılara başkanlık etmek, Kurul kararlarının gereğinin yerine

getirilmesini takip etmek ve Kurumun mali tabloları ile bütçesini hazırlamak

başlıca görevleri arasındadır. Ayrıca, Kurum Başkanının yokluğunda Başkana,

İkinci Başkanın vekalet edeceği öngörülmektedir.

MADDE 25

Maddeyle Kişisel Verileri Koruma Kurumu Başkanlığının oluşumu ve görevleri

düzenlenmektedir. Başkanlık, Kurumun ve Kurulun idari ve mali işleri ile

sekretarya hizmetlerini yerine getirecektir. Başkanlık; Başkan Yardımcısı ve

daire başkanlıkları şeklinde teşkilatlanan hizmet birimlerinden oluşmaktadır.

Maddeyle, Başkan Yardımcısı ve Daire Başkanlarının nitelikleri ve atanma

usulü ile Başkanlığın görevleri ayrıntıları olarak düzenlenmektedir. Hizmet

birimleri ile bu birimlerin çalışma usul ve esasları Bakanlar Kurulu kararı ile

yürürlüğe konulan yönetmelikle düzenlenecektir.

MADDE 26

Kurum görevlerinin daha etkin bir şekilde yerine getirilebilmesi için, bu

görevlerin, konusunda uzmanlaşmış kişiler tarafından yürütülmesi şarttır. Bu


71

kapsamda Kurumda Kişisel Verileri Koruma Uzmanı ve Kişisel Verileri Koruma

Uzman Yardımcısı çalıştırılacaktır. Maddeyle, Kişisel Verileri Koruma Uzman

Yardımcısı kadrolarına atanmak için gereken şartlar bakımından 657 sayılı

Kanunun ek 41 inci maddesine atıf yapılmaktadır.

MADDE 27

Maddeyle, Kurul Başkan ve üyeleri ile Kurum personelinin mali ve sosyal

hakları düzenlenmektedir. Bununla birlikte başka kurum ve kuruluşlarda

çalışanlardan uzmanlığına ihtiyaç duyulanların Kurumda

görevlendirilmesine ilişkin düzenleme hüküm altına alınmaktadır.

Maddeyle ayrıca, Kurumda istihdam edilecek personele ilişkin kadro unvan

ve sayıları da belirlenmektedir.

MADDE 28

EDİTÖR NOTU Kanunlaştırma sürecinde Tasarı’da yapılan değişiklikler nedeniyle bu maddenin

gerekçesi kaldırılmıştır.

MADDE 29

Maddeyle Kurumun bütçesi ve gelirleri düzenlenmektedir.

MADDE 30

Maddeyle, Kanun sebebiyle diğer kanunlarda yapılacak değişiklikler ile

eklemeler düzenlenmektedir. Bu kapsamda Kişisel Verileri Koruma Kurumu,

5018 sayılı Kanuna ekli (III) sayılı cetvele eklenmektedir.

İkinci fıkrayla, 5237 sayılı Türk Ceza Kanununun 135 inci maddesinin ikinci

fıkrasında değişiklik yapılmak suretiyle, birinci fıkrada işlenen suçun

konusunun özel nitelikli (hassas) veriler olması halinde verilecek cezanın yarı

oranında artırılması öngörülmektedir.

Ayrıca, elektronik haberleşme ve veri kayıt sistemlerinde meydana gelen

gelişmeler doğrultusunda 3359 sayılı Sağlık Hizmetleri Temel Kanununun 3

üncü maddesinin birinci fıkrasının (f) bendinde değişiklik yapılarak kayıt ve


72

bildirim sisteminin elektronik ortamda da yapılabilmesine imkan

sağlanmaktadır.

Dördüncü fıkrayla, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat

ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 47 maddesi

değiştirilmektedir. Yapılan değişiklikle, sağlık hizmeti almak üzere, kamu

veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat eden

kişilerin verilerinin işlenebilmesi hükme bağlanmakta, işlenen bu verilerin;

sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik,

tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin

planlanması ve finansmanı amacıyla Sağlık Bakanlığınca toplanarak

işlenebileceği düzenlenmektedir. Sağlık Bakanlığınca toplanan bu verilere,

ilgili kişilerin kendileri veya yetki verdikleri üçüncü kişilerin erişimlerini

sağlayacak bir sistem kurmaları da ayrıca hüküm altına alınmaktadır.

Öte yandan, kişisel sağlık verisi kayıtlarının tutulduğu bu sistemlerin

güvenliği ve güvenilirliği ile ilgili standartlar Sağlık Bakanlığınca belirlenecek,

elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli olan

tedbirler Bakanlıkça alınacak ve bu amaçla, sistemde kayıtlı bilgilerin hangi

görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan

bir güvenlik sistemi yine adı geçen Bakanlıkça kurulacaktır. Ayrıca, veri

güvenliğini sağlamak amacıyla sağlık personeli istihdam eden kamu kurum

ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettikleri

personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlü olacaktır.

Son fıkrada ise kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin

uygulanması ile ilgili diğer hususların Bakanlıkça çıkarılan yönetmelikle

düzenleneceği öngörülmektedir.

MADDE 31

Maddeyle, Kanunun uygulanmasına ilişkin yönetmeliklerin, Kurum

tarafından yürürlüğe konulması öngörülmektedir.


73

GEÇİCİ MADDE 1

Maddenin birinci fıkrasıyla, Kanunun yayımı tarihinden itibaren altı ay içinde

Kurul üyelerinin seçilmesi ve Başkanlığın kurulması ve teşkilatlanmasının

tamamlanması düzenlenmektedir.

Maddenin ikinci fıkrasında, veri sorumlularının Kurul tarafından belirlenecek

ve ilan edilecek süre içinde Sicile kayıt olmaları öngörülmektedir. Bu

düzenlemeyle Kurumun, Sicile yönelik gerekli fiziki ve teknik altyapıyı

tamamlaması amaçlanmaktadır.

Üçüncü fıkrayla, Kanunun yürürlüğe girdiği tarihten önce işlenmiş olan

kişisel verilerin iki yıl içinde Kanunda öngörülen usul ve esaslara uygun hale

getirilmesi öngörülmektedir. Kanunda öngörülen usul ve esaslara aykırı

olduğu anlaşılan kişisel verilerin ise derhal silinmesi, yok edilmesi veya

anonim hale getirilmesi düzenlenmektedir.

Dördüncü fıkrayla, Kanunda öngörülen yönetmeliklerin bir yıl içinde

yürürlüğe konulması hükme bağlanmaktadır.

Beşinci fıkrayla, kamu kurum ve kuruluşlarında Kanunun uygulanmasıyla

ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek

Başkanlığa bildirilmesi hususu düzenlenmektedir.

İlk seçilen Başkan, İkinci Başkan ve kura ile belirlenen bir üyenin altı yıl, diğer

dört üyenin ise dört yıl görev yapması öngörülmekte ve böylelikle, Kurum

hafızasının devamı için Kurul üyelerinin dönüşümlü olarak görev yapmaları

amaçlanmaktadır.

Öte yandan, Kişisel Verileri Koruma Kurumuna bütçe tahsis edilene kadar

Kurumun giderlerinin Başbakanlık bütçesinden karşılanacağı, hizmetin

yerine getirilmesi için gerekli desteğin Başbakanlıkça sağlanacağı ve hizmet

birimleri faaliyete geçinceye kadar sekretarya hizmetlerinin Başbakanlık

tarafından yürütüleceği hükme bağlanmaktadır.


72

bildirim sisteminin elektronik ortamda da yapılabilmesine imkan

sağlanmaktadır.

Dördüncü fıkrayla, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat

ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 47 maddesi

değiştirilmektedir. Yapılan değişiklikle, sağlık hizmeti almak üzere, kamu

veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat eden

kişilerin verilerinin işlenebilmesi hükme bağlanmakta, işlenen bu verilerin;

sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik,

tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin

planlanması ve finansmanı amacıyla Sağlık Bakanlığınca toplanarak

işlenebileceği düzenlenmektedir. Sağlık Bakanlığınca toplanan bu verilere,

ilgili kişilerin kendileri veya yetki verdikleri üçüncü kişilerin erişimlerini

sağlayacak bir sistem kurmaları da ayrıca hüküm altına alınmaktadır.

Öte yandan, kişisel sağlık verisi kayıtlarının tutulduğu bu sistemlerin

güvenliği ve güvenilirliği ile ilgili standartlar Sağlık Bakanlığınca belirlenecek,

elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli olan

tedbirler Bakanlıkça alınacak ve bu amaçla, sistemde kayıtlı bilgilerin hangi

görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan

bir güvenlik sistemi yine adı geçen Bakanlıkça kurulacaktır. Ayrıca, veri

güvenliğini sağlamak amacıyla sağlık personeli istihdam eden kamu kurum

ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettikleri

personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlü olacaktır.

Son fıkrada ise kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin

uygulanması ile ilgili diğer hususların Bakanlıkça çıkarılan yönetmelikle

düzenleneceği öngörülmektedir.

MADDE 31

Maddeyle, Kanunun uygulanmasına ilişkin yönetmeliklerin, Kurum

tarafından yürürlüğe konulması öngörülmektedir.


73

GEÇİCİ MADDE 1

Maddenin birinci fıkrasıyla, Kanunun yayımı tarihinden itibaren altı ay içinde

Kurul üyelerinin seçilmesi ve Başkanlığın kurulması ve teşkilatlanmasının

tamamlanması düzenlenmektedir.

Maddenin ikinci fıkrasında, veri sorumlularının Kurul tarafından belirlenecek

ve ilan edilecek süre içinde Sicile kayıt olmaları öngörülmektedir. Bu

düzenlemeyle Kurumun, Sicile yönelik gerekli fiziki ve teknik altyapıyı

tamamlaması amaçlanmaktadır.

Üçüncü fıkrayla, Kanunun yürürlüğe girdiği tarihten önce işlenmiş olan

kişisel verilerin iki yıl içinde Kanunda öngörülen usul ve esaslara uygun hale

getirilmesi öngörülmektedir. Kanunda öngörülen usul ve esaslara aykırı

olduğu anlaşılan kişisel verilerin ise derhal silinmesi, yok edilmesi veya

anonim hale getirilmesi düzenlenmektedir.

Dördüncü fıkrayla, Kanunda öngörülen yönetmeliklerin bir yıl içinde

yürürlüğe konulması hükme bağlanmaktadır.

Beşinci fıkrayla, kamu kurum ve kuruluşlarında Kanunun uygulanmasıyla

ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek

Başkanlığa bildirilmesi hususu düzenlenmektedir.

İlk seçilen Başkan, İkinci Başkan ve kura ile belirlenen bir üyenin altı yıl, diğer

dört üyenin ise dört yıl görev yapması öngörülmekte ve böylelikle, Kurum

hafızasının devamı için Kurul üyelerinin dönüşümlü olarak görev yapmaları

amaçlanmaktadır.

Öte yandan, Kişisel Verileri Koruma Kurumuna bütçe tahsis edilene kadar

Kurumun giderlerinin Başbakanlık bütçesinden karşılanacağı, hizmetin

yerine getirilmesi için gerekli desteğin Başbakanlıkça sağlanacağı ve hizmet

birimleri faaliyete geçinceye kadar sekretarya hizmetlerinin Başbakanlık

tarafından yürütüleceği hükme bağlanmaktadır.


74

MADDE 32

Yürürlük maddesidir.

MADDE 31

Yürütme maddesidir.

75

ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN

İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK


BİRİNCİ BÖLÜM – Amaç, Kapsam ve Dayanaklar

MADDE 1 – Amaç ve kapsam

(1) Bu Yönetmeliğin amacı, elektronik haberleşme sektöründe kişisel verilerin

işlenmesi, saklanması ve gizliliğinin korunması için elektronik haberleşme

sektöründe faaliyet gösteren işletmecilerin uyacakları usul ve esasları

düzenlemektir.

(2) Haberleşmenin içeriğine ilişkin verilerin saklanması bu Yönetmeliğin

kapsamına dâhil değildir.

MADDE 2 – Dayanak

(1) Bu Yönetmelik, 5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme

Kanununun 4, 6, 12 ve 51 inci maddelerine dayanılarak hazırlanmıştır.

MADDE 3 – Tanımlar ve kısaltmalar

(1) Bu Yönetmelikte geçen;

a) Abone: Bir işletmeci ile elektronik haberleşme hizmetinin sunumuna

yönelik olarak yapılan bir sözleşmeye taraf olan gerçek ya da tüzel kişiyi,

b) Acil yardım çağrıları: Ulusal ve uluslararası düzenlemelerde kabul görmüş

yangın, sağlık, doğal afetler ve güvenlik gibi acil durumlarla ilgili olarak

itfaiye, polis, jandarma, sağlık ve benzeri kuruluşlara yardım talebiyle yapılan

çağrıları,

c) (Değişik:RG-11/7/2013-28704) Anonim hale getirme: Kişisel verilerin,

belirli veya kimliği belirlenebilir bir gerçek ya da tüzel kişiyle

ilişkilendirilemeyecek veya kaynağı belirlenemeyecek hale getirilmesini,


74

MADDE 32

Yürürlük maddesidir.

MADDE 31

Yürütme maddesidir.

75

ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN

İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK


BİRİNCİ BÖLÜM – Amaç, Kapsam ve Dayanaklar


(1) Bu Yönetmeliğin amacı, elektronik haberleşme sektöründe kişisel verilerin

işlenmesi, saklanması ve gizliliğinin korunması için elektronik haberleşme

sektöründe faaliyet gösteren işletmecilerin uyacakları usul ve esasları

düzenlemektir.

(2) Haberleşmenin içeriğine ilişkin verilerin saklanması bu Yönetmeliğin

kapsamına dâhil değildir.

MADDE 2 – Dayanak

(1) Bu Yönetmelik, 5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme

Kanununun 4, 6, 12 ve 51 inci maddelerine dayanılarak hazırlanmıştır.

MADDE 3 – Tanımlar ve kısaltmalar


a) Abone: Bir işletmeci ile elektronik haberleşme hizmetinin sunumuna

yönelik olarak yapılan bir sözleşmeye taraf olan gerçek ya da tüzel kişiyi,

b) Acil yardım çağrıları: Ulusal ve uluslararası düzenlemelerde kabul görmüş

yangın, sağlık, doğal afetler ve güvenlik gibi acil durumlarla ilgili olarak

itfaiye, polis, jandarma, sağlık ve benzeri kuruluşlara yardım talebiyle yapılan

çağrıları,

c) (Değişik:RG-11/7/2013-28704) Anonim hale getirme: Kişisel verilerin,

belirli veya kimliği belirlenebilir bir gerçek ya da tüzel kişiyle

ilişkilendirilemeyecek veya kaynağı belirlenemeyecek hale getirilmesini,

ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK

76

ç) (Değişik:RG-11/7/2013-28704) Gerçekleşmeyen arama: Başarılı bir şekilde

bağlantı kurulmasına rağmen haberleşmenin gerçekleşmemesini,

d) Hücre kimliği: Mobil telefon çağrısının başladığı ya da sona erdiği hücrenin

kimliğini,

e) IMEI: Uluslararası mobil cihaz kimliğini,

f) IMSI: Uluslararası mobil abone kimliğini,

g) (Değişik:RG-11/7/2013-28704) İşlem kaydı: Kişisel verilere erişen kişiler

tarafından yapılan işlemin ileriki bir tarihte tanımlanabilmesini teminen asgari

olarak işlem, işlemin detayı, işlemi yapan kişi, işlemin yapıldığı tarih ve zaman

ile işlemi yapan kişinin bağlandığı nokta bilgilerini içeren elektronik kayıtları,

ğ) İşletmeci: Yetkilendirme çerçevesinde elektronik haberleşme hizmeti

sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını

işleten şirketi,

h) Kişisel veri: Belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin

bütün bilgileri,

ı) Kişisel veri ihlali: İstem dışı, yetki dışı ya da yasa dışı olarak; kişisel verilerin

tahrip edilmesine, kaybolmasına, iletilmesine, değiştirilmesine,

depolanmasına veya başka bir ortama kaydedilmesine, işlenmesine, ifşa

edilmesine ve söz konusu verilere erişilmesine neden olan güvenlik ihlalini,

i) Kişisel verilerin işlenmesi: Kişisel verilerin otomatik olan veya olmayan

yollarla elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, silinmesi

veya yok edilmesi, yeniden düzenlenmesi, açıklanması veya başka bir şekilde

elde edilebilir hale getirilmesi, üçüncü kişilere aktarılması, kullanılmasının

sınırlanması amacıyla işaretlenmesi, tasniflenmesi veya kullanılmasının

engellenmesi gibi bu veriler üzerinde gerçekleştirilen işlem ya da işlemler

bütününü,


77

j) Konum verisi: Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait

bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme

şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli

veriyi,

k) Kullanıcı: Aboneliği olup olmamasına bakılmaksızın elektronik haberleşme

hizmetlerinden yararlanan gerçek veya tüzel kişiyi,

l) Kullanıcı kimliği: İnternet erişim hizmetlerine ya da internet haberleşme

hizmetlerine abonelik ya da kayıt esnasında tahsis edilen tek ve kişiye özel

tanımlamayı,

m) Kurul: Bilgi Teknolojileri ve İletişim Kurulunu,

n) Kurum: Bilgi Teknolojileri ve İletişim Kurumunu,

o) (Değişik:RG-11/7/2013-28704) NAT: Şebekede taşınan IP paketlerindeki IP

adres bilgisi yanında port bilgileri de kullanılarak aynı IP’lerin birden çok

abone tarafından kullanılmasını sağlayan teknolojiyi,

ö) Rıza: İlgili kişinin kendisine ait kişisel verisinin işlenmesine yönelik, verinin

işlenme amaç ve kapsamı dâhilinde, verinin işlenmesi öncesinde özgür

iradesiyle verdiği ispatlanabilir kabul beyanını,

p) Trafik verisi: Bir elektronik haberleşme şebekesinde haberleşmenin iletimi

veya faturalama amacıyla işlenen her türlü veriyi,

r) Veri: Abone ya da kullanıcıyı teşhis etmek için yararlanılan trafik verisi,

konum verisi ya da ilgili diğer bilgileri,

ifade eder.

(2) (Değişik:RG-11/7/2013-28704) Bu Yönetmelikte geçen ancak birinci

fıkrada tanımlanmayan kavramlar ve kısaltmalar için ilgili mevzuatta yer alan

tanımlar geçerlidir.


76

ç) (Değişik:RG-11/7/2013-28704) Gerçekleşmeyen arama: Başarılı bir şekilde

bağlantı kurulmasına rağmen haberleşmenin gerçekleşmemesini,

d) Hücre kimliği: Mobil telefon çağrısının başladığı ya da sona erdiği hücrenin

kimliğini,

e) IMEI: Uluslararası mobil cihaz kimliğini,

f) IMSI: Uluslararası mobil abone kimliğini,

g) (Değişik:RG-11/7/2013-28704) İşlem kaydı: Kişisel verilere erişen kişiler

tarafından yapılan işlemin ileriki bir tarihte tanımlanabilmesini teminen asgari

olarak işlem, işlemin detayı, işlemi yapan kişi, işlemin yapıldığı tarih ve zaman

ile işlemi yapan kişinin bağlandığı nokta bilgilerini içeren elektronik kayıtları,

ğ) İşletmeci: Yetkilendirme çerçevesinde elektronik haberleşme hizmeti


işleten şirketi,

h) Kişisel veri: Belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin

bütün bilgileri,

ı) Kişisel veri ihlali: İstem dışı, yetki dışı ya da yasa dışı olarak; kişisel verilerin

tahrip edilmesine, kaybolmasına, iletilmesine, değiştirilmesine,

depolanmasına veya başka bir ortama kaydedilmesine, işlenmesine, ifşa

edilmesine ve söz konusu verilere erişilmesine neden olan güvenlik ihlalini,

i) Kişisel verilerin işlenmesi: Kişisel verilerin otomatik olan veya olmayan

yollarla elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, silinmesi

veya yok edilmesi, yeniden düzenlenmesi, açıklanması veya başka bir şekilde

elde edilebilir hale getirilmesi, üçüncü kişilere aktarılması, kullanılmasının

sınırlanması amacıyla işaretlenmesi, tasniflenmesi veya kullanılmasının

engellenmesi gibi bu veriler üzerinde gerçekleştirilen işlem ya da işlemler

bütününü,


77

j) Konum verisi: Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait

bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme

şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli

veriyi,

k) Kullanıcı: Aboneliği olup olmamasına bakılmaksızın elektronik haberleşme

hizmetlerinden yararlanan gerçek veya tüzel kişiyi,

l) Kullanıcı kimliği: İnternet erişim hizmetlerine ya da internet haberleşme

hizmetlerine abonelik ya da kayıt esnasında tahsis edilen tek ve kişiye özel

tanımlamayı,

m) Kurul: Bilgi Teknolojileri ve İletişim Kurulunu,

n) Kurum: Bilgi Teknolojileri ve İletişim Kurumunu,

o) (Değişik:RG-11/7/2013-28704) NAT: Şebekede taşınan IP paketlerindeki IP

adres bilgisi yanında port bilgileri de kullanılarak aynı IP’lerin birden çok

abone tarafından kullanılmasını sağlayan teknolojiyi,

ö) Rıza: İlgili kişinin kendisine ait kişisel verisinin işlenmesine yönelik, verinin

işlenme amaç ve kapsamı dâhilinde, verinin işlenmesi öncesinde özgür

iradesiyle verdiği ispatlanabilir kabul beyanını,

p) Trafik verisi: Bir elektronik haberleşme şebekesinde haberleşmenin iletimi

veya faturalama amacıyla işlenen her türlü veriyi,

r) Veri: Abone ya da kullanıcıyı teşhis etmek için yararlanılan trafik verisi,

konum verisi ya da ilgili diğer bilgileri,

ifade eder.

(2) (Değişik:RG-11/7/2013-28704) Bu Yönetmelikte geçen ancak birinci

fıkrada tanımlanmayan kavramlar ve kısaltmalar için ilgili mevzuatta yer alan

tanımlar geçerlidir.


78

İKİNCİ BÖLÜM - Uygulama Esasları

MADDE 4 – Kişisel verilerin işlenmesine ilişkin ilkeler

(1) Kişisel verilerin;

a) Hukuka ve dürüstlük kurallarına uygun olarak işlenmesi,

b) İlgili kişinin rızasına dayalı olarak işlenmesi,

c) Elde edilme amacıyla bağlantılı, yeterli ve orantılı olması,

ç) Doğru olması ve gerektiğinde güncellenmesi,

d) İlgili kişilerin kimliklerini belirtecek biçimde ve kaydedildikleri veya

yeniden işlenecekleri amaç için gerekli olan süre kadar muhafaza edilmesi

esastır.

(2) (Ek:RG-11/7/2013-28704) Kişisel veriler yurt dışına çıkarılamaz.

(3) (Ek:RG-11/7/2013-28704) Kişisel verilerin işlenmesi kapsamında abone

tarafından işletmeciye verilen rıza, sadece alınan hizmete özgü olmak

koşuluyla, kişisel verilerin işletmeci tarafından yetkilendirilen taraflar

marifetiyle işlenebilmesini de kapsar.

(4) (Ek:RG-11/7/2013-28704) İşletmeci tarafından yetkilendirilen taraflarca

bu Yönetmelik hükümlerinin ihlal edilmesi de dâhil olmak üzere kişisel

verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının

temininden işletmeci sorumludur.

MADDE 5 – Güvenlik

(1) İşletmeciler, kişisel verilerin işlenmesine ilişkin olarak güvenlik politikası

belirler. İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel

verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun

teknik ve idari tedbirleri alır. Söz konusu güvenlik tedbirleri, teknolojik

imkânlar göz önünde bulundurularak muhtemel riske uygun bir düzeyde

sağlanır.


79

(2) Birinci fıkrada belirtilen tedbirler, asgari istem dışı, yetki dışı ya da yasa dışı

olarak; kişisel verilerin tahrip edilmesi, kaybolması, değiştirilmesi,

depolanması veya başka bir ortama kaydedilmesi, işlenmesi, ifşa edilmesi ve

söz konusu verilere erişilmesine karşı kişisel verilerin korunmasını içerir.

(3) (Değişik:RG-11/7/2013-28704) İşletmeciler, kişisel verilere sadece yetkili

kişiler tarafından erişilebilmesini ve kişisel verilerin saklandığı sistemlerin ve

kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğini

sağlamakla yükümlüdür.

(4) (Değişik:RG-11/7/2013-28704) İşletmeciler, kişisel verilere ve ilişkili diğer

sistemlere yapılan erişimlere ilişkin işlem kayıtlarını saklamakla yükümlüdür.

(5) (Değişik:RG-11/7/2013-28704) Kurum, gerekli gördüğü hallerde

işletmecilerden, kişisel verilerin saklandığı sistemlere ve alınan güvenlik

tedbirlerine ilişkin tüm bilgi ve belgeleri isteme, ayrıca söz konusu güvenlik

tedbirlerinde değişiklik talep etme hakkını haizdir.

MADDE 6 – Riskin ve kişisel veri ihlalinin bildirilmesi

(1) (Değişik:RG-11/7/2013-28704) İşletmeci, şebekenin ve kişisel verilerin

güvenliğini ihlal eden belirli bir risk olması durumunda bu risk hakkında

Kurumu ve Kurum tarafından gerekli görülmesi halinde

abonelerini/kullanıcılarını etkin ve hızlı bir şekilde bilgilendirmekle

yükümlüdür.

(2) Bu riskin işletmeci tarafından alınan tedbirlerin dışında kalması halinde,

söz konusu riskin kapsamı, giderilme yöntemleri ve yaklaşık maliyeti

hakkında abonelerin/kullanıcıların etkin ve hızlı bir şekilde bilgilendirilmesi

sağlanır.

(3) İşletmeci, kişisel veri ihlali olması durumunda söz konusu ihlalin niteliği

ve sonuçları hakkında abonelere/kullanıcılara yapılacak bilgilendirmenin

detayları ve ihlalin giderilmesi için alınan tedbirlere ilişkin olarak Kurumu

bilgilendirir.


78

İKİNCİ BÖLÜM - Uygulama Esasları

MADDE 4 – Kişisel verilerin işlenmesine ilişkin ilkeler

(1) Kişisel verilerin;

a) Hukuka ve dürüstlük kurallarına uygun olarak işlenmesi,

b) İlgili kişinin rızasına dayalı olarak işlenmesi,

c) Elde edilme amacıyla bağlantılı, yeterli ve orantılı olması,

ç) Doğru olması ve gerektiğinde güncellenmesi,

d) İlgili kişilerin kimliklerini belirtecek biçimde ve kaydedildikleri veya

yeniden işlenecekleri amaç için gerekli olan süre kadar muhafaza edilmesi

esastır.

(2) (Ek:RG-11/7/2013-28704) Kişisel veriler yurt dışına çıkarılamaz.

(3) (Ek:RG-11/7/2013-28704) Kişisel verilerin işlenmesi kapsamında abone

tarafından işletmeciye verilen rıza, sadece alınan hizmete özgü olmak

koşuluyla, kişisel verilerin işletmeci tarafından yetkilendirilen taraflar

marifetiyle işlenebilmesini de kapsar.

(4) (Ek:RG-11/7/2013-28704) İşletmeci tarafından yetkilendirilen taraflarca

bu Yönetmelik hükümlerinin ihlal edilmesi de dâhil olmak üzere kişisel

verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının

temininden işletmeci sorumludur.

MADDE 5 – Güvenlik

(1) İşletmeciler, kişisel verilerin işlenmesine ilişkin olarak güvenlik politikası

belirler. İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel

verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun

teknik ve idari tedbirleri alır. Söz konusu güvenlik tedbirleri, teknolojik

imkânlar göz önünde bulundurularak muhtemel riske uygun bir düzeyde

sağlanır.


79

(2) Birinci fıkrada belirtilen tedbirler, asgari istem dışı, yetki dışı ya da yasa dışı

olarak; kişisel verilerin tahrip edilmesi, kaybolması, değiştirilmesi,

depolanması veya başka bir ortama kaydedilmesi, işlenmesi, ifşa edilmesi ve

söz konusu verilere erişilmesine karşı kişisel verilerin korunmasını içerir.

(3) (Değişik:RG-11/7/2013-28704) İşletmeciler, kişisel verilere sadece yetkili

kişiler tarafından erişilebilmesini ve kişisel verilerin saklandığı sistemlerin ve

kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğini


(4) (Değişik:RG-11/7/2013-28704) İşletmeciler, kişisel verilere ve ilişkili diğer

sistemlere yapılan erişimlere ilişkin işlem kayıtlarını saklamakla yükümlüdür.

(5) (Değişik:RG-11/7/2013-28704) Kurum, gerekli gördüğü hallerde

işletmecilerden, kişisel verilerin saklandığı sistemlere ve alınan güvenlik

tedbirlerine ilişkin tüm bilgi ve belgeleri isteme, ayrıca söz konusu güvenlik

tedbirlerinde değişiklik talep etme hakkını haizdir.

MADDE 6 – Riskin ve kişisel veri ihlalinin bildirilmesi

(1) (Değişik:RG-11/7/2013-28704) İşletmeci, şebekenin ve kişisel verilerin

güvenliğini ihlal eden belirli bir risk olması durumunda bu risk hakkında

Kurumu ve Kurum tarafından gerekli görülmesi halinde

abonelerini/kullanıcılarını etkin ve hızlı bir şekilde bilgilendirmekle

yükümlüdür.

(2) Bu riskin işletmeci tarafından alınan tedbirlerin dışında kalması halinde,

söz konusu riskin kapsamı, giderilme yöntemleri ve yaklaşık maliyeti

hakkında abonelerin/kullanıcıların etkin ve hızlı bir şekilde bilgilendirilmesi

sağlanır.

(3) İşletmeci, kişisel veri ihlali olması durumunda söz konusu ihlalin niteliği

ve sonuçları hakkında abonelere/kullanıcılara yapılacak bilgilendirmenin

detayları ve ihlalin giderilmesi için alınan tedbirlere ilişkin olarak Kurumu

bilgilendirir.


80

(4) Kişisel veri ihlalinden abonelerin/kullanıcıların olumsuz yönde etkilenme

ihtimalinin bulunması halinde işletmeci, kişisel veri ihlalinin niteliğine, daha

fazla bilginin elde edilebileceği iletişim noktalarına ve ihlalin olası olumsuz

etkilerini azaltmak için aboneler/kullanıcılar tarafından alınabilecek

önlemlere ilişkin olarak aboneleri/kullanıcıları ücretsiz olarak bilgilendirir.

(5) İşletmeci, gerçekleşen kişisel veri ihlallerine ilişkin olarak söz konusu

ihlalin sebeplerini, etkilerini ve çözüme yönelik tedbirleri içeren bilgileri

gizliliğini ve bütünlüğünü sağlayarak kaydetmekle yükümlüdür.

ÜÇÜNCÜ BÖLÜM - Verilerin İşlenmesi ve Saklanması

MADDE 7 – Haberleşmenin gizliliği

(1) Elektronik haberleşme ve ilgili trafik verisinin gizliliği esas olup, ilgili

mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde,

haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin

dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve gözetimi yasaktır.

(2) Elektronik haberleşme şebekeleri, haberleşmenin iletimini

gerçekleştirmek dışında abonelerin/kullanıcıların terminal cihazlarında bilgi

saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler

tarafından ancak ilgili kullanıcıların/abonelerin verilerin işlenmesi hakkında

açık ve kapsamlı olarak bilgilendirilmeleri ve rızalarının alınması kaydıyla

kullanılabilir.

MADDE 8 – Trafik verisinin işlenmesi

(1) İşletmeciler, sundukları hizmetin kapsamı dışındaki amaçlar için trafik

verisini işleyemez.

(2) Trafik verisi, ilgili mevzuat hükümlerine uygun olarak, trafiğin

yönetimi, arabağlantı, faturalama, yolsuzluk tespitleri ve benzeri işlemleri

gerçekleştirmek veya tüketici şikâyetleri ile arabağlantı ve faturalama


81

anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü amacıyla işlenir

ve bu uzlaşmazlıkların çözüm süreci tamamlanıncaya kadar gizliliği ve

bütünlüğü sağlanarak saklanır.

(3) (Değişik:RG-11/7/2013-28704) Elektronik haberleşme hizmetlerini

pazarlamak veya katma değerli elektronik haberleşme hizmetleri sunmak

amacıyla ihtiyaç duyulan trafik verileri anonim hale getirilerek veya ilgili

abonelerin/kullanıcıların işlenecek trafik verileri ve işleme süresi hakkında

bilgilendirilmelerinden sonra rızalarının alınması kaydıyla, alınan rızaya

uygun olarak sadece katma değerli elektronik haberleşme hizmetlerinin,

pazarlama faaliyetlerinin ve benzer hizmetlerin gerektirdiği ölçü ve sürede

işlenebilir.

(4) (Değişik:RG-11/7/2013-28704) Abonelere/kullanıcılara ait işlenen ve

saklanan trafik verileri, bu verilerin işlenmesini ve saklanmasını gerekli kılan

faaliyetin tamamlanmasından sonra silinir veya anonim hale getirilir.

(5) İşletmeciler, abonelerin/kullanıcıların, kısa mesaj, çağrı merkezi, internet

ve benzeri yöntemlerle vermiş oldukları rızayı aynı yöntem ya da basit bir

yöntem ile her zaman ücretsiz olarak geri almalarına imkân sağlar.

MADDE 9 – Trafik verisini işleme yetkisi

(Değişik:RG-11/7/2013-28704)

(1) Trafik verisini işleme yetkisi; trafik yönetimi, arabağlantı, faturalama,

yolsuzluk tespitleri, tüketici şikâyetlerinin değerlendirilmesi, elektronik

haberleşme hizmetlerinin pazarlanması veya katma değerli elektronik

haberleşme hizmetlerinin sunulması hususlarında işletmeci ve işletmeci

tarafından yetkilendirilen kişilerle sınırlıdır.

MADDE 10 – Trafik verisinin bildirilmesi

(1) Trafik verisi, arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere,

uzlaşmazlıkların çözümü, tüketici şikâyetlerinin değerlendirilmesi ve


80

(4) Kişisel veri ihlalinden abonelerin/kullanıcıların olumsuz yönde etkilenme

ihtimalinin bulunması halinde işletmeci, kişisel veri ihlalinin niteliğine, daha

fazla bilginin elde edilebileceği iletişim noktalarına ve ihlalin olası olumsuz

etkilerini azaltmak için aboneler/kullanıcılar tarafından alınabilecek

önlemlere ilişkin olarak aboneleri/kullanıcıları ücretsiz olarak bilgilendirir.

(5) İşletmeci, gerçekleşen kişisel veri ihlallerine ilişkin olarak söz konusu

ihlalin sebeplerini, etkilerini ve çözüme yönelik tedbirleri içeren bilgileri

gizliliğini ve bütünlüğünü sağlayarak kaydetmekle yükümlüdür.

ÜÇÜNCÜ BÖLÜM - Verilerin İşlenmesi ve Saklanması

MADDE 7 – Haberleşmenin gizliliği

(1) Elektronik haberleşme ve ilgili trafik verisinin gizliliği esas olup, ilgili



dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve gözetimi yasaktır.

(2) Elektronik haberleşme şebekeleri, haberleşmenin iletimini

gerçekleştirmek dışında abonelerin/kullanıcıların terminal cihazlarında bilgi

saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler

tarafından ancak ilgili kullanıcıların/abonelerin verilerin işlenmesi hakkında

açık ve kapsamlı olarak bilgilendirilmeleri ve rızalarının alınması kaydıyla

kullanılabilir.

MADDE 8 – Trafik verisinin işlenmesi

(1) İşletmeciler, sundukları hizmetin kapsamı dışındaki amaçlar için trafik

verisini işleyemez.

(2) Trafik verisi, ilgili mevzuat hükümlerine uygun olarak, trafiğin

yönetimi, arabağlantı, faturalama, yolsuzluk tespitleri ve benzeri işlemleri

gerçekleştirmek veya tüketici şikâyetleri ile arabağlantı ve faturalama


81

anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü amacıyla işlenir

ve bu uzlaşmazlıkların çözüm süreci tamamlanıncaya kadar gizliliği ve

bütünlüğü sağlanarak saklanır.

(3) (Değişik:RG-11/7/2013-28704) Elektronik haberleşme hizmetlerini

pazarlamak veya katma değerli elektronik haberleşme hizmetleri sunmak

amacıyla ihtiyaç duyulan trafik verileri anonim hale getirilerek veya ilgili

abonelerin/kullanıcıların işlenecek trafik verileri ve işleme süresi hakkında

bilgilendirilmelerinden sonra rızalarının alınması kaydıyla, alınan rızaya

uygun olarak sadece katma değerli elektronik haberleşme hizmetlerinin,

pazarlama faaliyetlerinin ve benzer hizmetlerin gerektirdiği ölçü ve sürede

işlenebilir.

(4) (Değişik:RG-11/7/2013-28704) Abonelere/kullanıcılara ait işlenen ve

saklanan trafik verileri, bu verilerin işlenmesini ve saklanmasını gerekli kılan

faaliyetin tamamlanmasından sonra silinir veya anonim hale getirilir.

(5) İşletmeciler, abonelerin/kullanıcıların, kısa mesaj, çağrı merkezi, internet

ve benzeri yöntemlerle vermiş oldukları rızayı aynı yöntem ya da basit bir


MADDE 9 – Trafik verisini işleme yetkisi

(Değişik:RG-11/7/2013-28704)

(1) Trafik verisini işleme yetkisi; trafik yönetimi, arabağlantı, faturalama,

yolsuzluk tespitleri, tüketici şikâyetlerinin değerlendirilmesi, elektronik

haberleşme hizmetlerinin pazarlanması veya katma değerli elektronik

haberleşme hizmetlerinin sunulması hususlarında işletmeci ve işletmeci

tarafından yetkilendirilen kişilerle sınırlıdır.

MADDE 10 – Trafik verisinin bildirilmesi

(1) Trafik verisi, arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere,

uzlaşmazlıkların çözümü, tüketici şikâyetlerinin değerlendirilmesi ve


82

denetim faaliyetlerinin gerçekleştirilmesi amacıyla yazılı olarak talep

edilmesi halinde kanunların yetkili kıldığı mercilere verilir.

MADDE 11 – Konum verisinin işlenmesi

(Değişik:RG-11/7/2013-28704)

(1) Katma değerli elektronik haberleşme hizmetleri sunmak amacıyla ihtiyaç

duyulan ve trafik verisi niteliğinde olmayan konum verileri, anonim hale

getirilerek veya ilgili abonelerin/kullanıcıların işlenecek konum verileri,

işleme amacı ve süresi hakkında bilgilendirilmelerinden sonra rızalarının

alınması kaydıyla, alınan rızaya uygun olarak sadece katma değerli elektronik

haberleşme hizmetlerinin gerektirdiği ölçü ve sürede işlenebilir. İşletmeciler

trafik verisi niteliğinde olmayan konum verilerinin işlenmesinde

abone/kullanıcılara GEÇİCİ olarak bu verilerin işlenmesini reddetme imkânı

sağlar.

(2) İşletmeciler, abonelerin/kullanıcıların trafik verisi niteliğinde olmayan

konum verilerinin işlenmesi için, kısa mesaj, çağrı merkezi, internet ve

benzeri yöntemlerle vermiş oldukları rızayı aynı yöntem ya da basit bir


(3) İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde,

ancak afet ve acil durum halleri ile acil yardım çağrıları kapsamında

abonenin/kullanıcının rızası aranmaksızın konum verisi ve ilgili kişilerin

kimlik bilgileri işlenebilir.

MADDE 12 – Konum verisini işleme yetkisi

(Değişik:RG-11/7/2013-28704)

(1) Konum verisini işleme yetkisi, katma değerli elektronik haberleşme

hizmetlerinin sunulması hususunda ya da afet ve acil durum halleri ile acil

yardım çağrıları kapsamında işletmeci ve işletmeci tarafından yetkilendirilen


83

kişilerle sınırlı olup, bu yetki söz konusu hizmetlerin gerektirdiği kapsamda

kullanılır.

MADDE 13 – Saklanacak veri kategorileri

(1) Bu Yönetmelik kapsamında saklanması öngörülen veri kategorileri,

aşağıda belirtilmiştir.

a) Haberleşmenin takibi ve kaynağının tanımlanması için:

1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; gerçekleşmeyen aramalar

da dâhil olmak üzere haberleşmenin başlatıldığı hatta ait telefon numarası,

abonenin adı ve adresi, hattın hangi tarihte hangi aboneye tahsis edildiğine

ait bilgi.

2) İnternet ortamına erişim, elektronik posta ve internet telefonu ile ilgili

olarak; tahsis edilmiş kullanıcı kimliği ve/veya telefon numarası,

haberleşmenin gerçekleştiği andaki internet protokol adresi,

abonenin/kullanıcının adı ve adresi.

b) Haberleşmenin sonlandırılacağı noktayı belirlemek için:

1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; haberleşmenin

sonlandırıldığı/sonlandırılacağı numara veya numaralar, çağrı iletme ve çağrı

transferi gibi ek hizmetlerin olması durumunda çağrının yönlendirildiği

numara veya numaralar, abonelerin adı ve adresi.

2) Elektronik posta ve internet telefonu ile ilgili olarak; elektronik posta

alıcılarına ait kullanıcı kimliği, internet telefonu ile aranan alıcılara ait kullanıcı

kimliği veya telefon numarası, internet telefonu veya elektronik posta

alıcılarının adı ve adresi.

c) Haberleşmenin tarihi, zamanı ve süresini belirlemek için:

1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; haberleşmenin başlangıç

ile bitiş tarih ve zamanı.


82

denetim faaliyetlerinin gerçekleştirilmesi amacıyla yazılı olarak talep

edilmesi halinde kanunların yetkili kıldığı mercilere verilir.

MADDE 11 – Konum verisinin işlenmesi

(Değişik:RG-11/7/2013-28704)

(1) Katma değerli elektronik haberleşme hizmetleri sunmak amacıyla ihtiyaç

duyulan ve trafik verisi niteliğinde olmayan konum verileri, anonim hale

getirilerek veya ilgili abonelerin/kullanıcıların işlenecek konum verileri,

işleme amacı ve süresi hakkında bilgilendirilmelerinden sonra rızalarının

alınması kaydıyla, alınan rızaya uygun olarak sadece katma değerli elektronik

haberleşme hizmetlerinin gerektirdiği ölçü ve sürede işlenebilir. İşletmeciler

trafik verisi niteliğinde olmayan konum verilerinin işlenmesinde

abone/kullanıcılara GEÇİCİ olarak bu verilerin işlenmesini reddetme imkânı

sağlar.

(2) İşletmeciler, abonelerin/kullanıcıların trafik verisi niteliğinde olmayan

konum verilerinin işlenmesi için, kısa mesaj, çağrı merkezi, internet ve

benzeri yöntemlerle vermiş oldukları rızayı aynı yöntem ya da basit bir


(3) İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde,

ancak afet ve acil durum halleri ile acil yardım çağrıları kapsamında

abonenin/kullanıcının rızası aranmaksızın konum verisi ve ilgili kişilerin

kimlik bilgileri işlenebilir.

MADDE 12 – Konum verisini işleme yetkisi

(Değişik:RG-11/7/2013-28704)

(1) Konum verisini işleme yetkisi, katma değerli elektronik haberleşme

hizmetlerinin sunulması hususunda ya da afet ve acil durum halleri ile acil

yardım çağrıları kapsamında işletmeci ve işletmeci tarafından yetkilendirilen


83

kişilerle sınırlı olup, bu yetki söz konusu hizmetlerin gerektirdiği kapsamda

kullanılır.

MADDE 13 – Saklanacak veri kategorileri

(1) Bu Yönetmelik kapsamında saklanması öngörülen veri kategorileri,

aşağıda belirtilmiştir.

a) Haberleşmenin takibi ve kaynağının tanımlanması için:

1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; gerçekleşmeyen aramalar

da dâhil olmak üzere haberleşmenin başlatıldığı hatta ait telefon numarası,

abonenin adı ve adresi, hattın hangi tarihte hangi aboneye tahsis edildiğine

ait bilgi.


olarak; tahsis edilmiş kullanıcı kimliği ve/veya telefon numarası,

haberleşmenin gerçekleştiği andaki internet protokol adresi,

abonenin/kullanıcının adı ve adresi.

b) Haberleşmenin sonlandırılacağı noktayı belirlemek için:

1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; haberleşmenin

sonlandırıldığı/sonlandırılacağı numara veya numaralar, çağrı iletme ve çağrı

transferi gibi ek hizmetlerin olması durumunda çağrının yönlendirildiği

numara veya numaralar, abonelerin adı ve adresi.

2) Elektronik posta ve internet telefonu ile ilgili olarak; elektronik posta

alıcılarına ait kullanıcı kimliği, internet telefonu ile aranan alıcılara ait kullanıcı

kimliği veya telefon numarası, internet telefonu veya elektronik posta

alıcılarının adı ve adresi.

c) Haberleşmenin tarihi, zamanı ve süresini belirlemek için:

1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; haberleşmenin başlangıç

ile bitiş tarih ve zamanı.


84

2) (Değişik:RG-11/7/2013-28704) İnternet erişimi, elektronik posta ve

internet telefonu ile ilgili olarak; internet erişimi ile ilgili oturum açma,

kapatma tarihi ve zamanı, tahsis edilen dinamik veya statik internet protokol

adresi, NAT kullanılan şebekelerde internet protokol adresi yanında port

bilgisi, abone/kullanıcı kimliği, elektronik posta veya internet telefonu ile

ilgili oturum açma ile kapatma tarihi ve zamanı.

ç) Haberleşmenin türünü tanımlamak için:

1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; kullanılan elektronik

haberleşme hizmeti.

2) Elektronik posta ve internet telefonu ile ilgili olarak; kullanılan internet

hizmeti.

d) Kullanıcıların haberleşme cihazlarını veya

bunların ekipmanlarını tanımlamak için:

1) Sabit telefon hizmetiyle ilgili olarak; haberleşmenin başlatıldığı ve

sonlandırıldığı telefon numaraları.

2) (Değişik:RG-11/7/2013-28704) Mobil telefon hizmetiyle ilgili olarak;

haberleşmenin başlatıldığı ve sonlandırıldığı telefon numaraları,

haberleşmenin başlatıldığı ve/veya sonlandırıldığı tarafa ait IMSI ve IMEI

numaraları; abone kaydı olmayan arama kartlı hizmetlerin olması

durumunda hizmetin aktif hale getirildiği tarih ve zaman ile hizmetin aktif

hale getirildiği hücre kimliği.


olarak; çevirmeli ağ erişimi için arayan telefon numarası, sayısal abone hattı

numarası ya da haberleşmenin kaynaklandığı diğer nokta.

e) İlgili mevzuatın öngördüğü hallerde mobil haberleşme cihazının

konumunu tespit etmek için; haberleşmenin başladığı hücre kimliği,

haberleşme verilerinin saklandığı sürede hücre kimlikleri ile ilgili olarak


85

hücrelerin coğrafi konumlarını tanımlayan veri, hücre adresi ve hücre

kimliğinin o adrese atanma ve kaldırılma tarihleri.

(2) Bu Yönetmelik kapsamında, elektronik posta ve internet telefonu ile ilgili

olarak verilerin saklanmasına ilişkin getirilen yükümlülükler, sadece

işletmecilerin kendilerinin sundukları hizmetler ile sınırlıdır.

MADDE 14 – İşletmecilerin veri saklama süreleri

(Değişik:RG-11/7/2013-28704)

(1) 13 üncü MADDE kapsamında tanımlanan veri kategorileri, haberleşmenin

yapıldığı tarihten itibaren bir yıl, gerçekleşmeyen aramalara ilişkin kayıtlar ise

üç ay süre ile saklanır.

(2) Soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel

veriler, ilgili süreç tamamlanıncaya kadar saklanır.

(3) Kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem

kayıtları dört yıl süre ile saklanır.

MADDE 15 – Saklanan verinin korunması ve güvenliği

(1) Bu Yönetmelik kapsamında saklanması öngörülen veriler için işletmeciler

asgari olarak;

a) Saklanan veriler ile şebekedeki diğer verilerin aynı kalite, güvenlik ve

koruma özelliklerine tabi olmasını,

b) (Değişik:RG-11/7/2013-28704) Verilerin yurt içinde saklanmasını,

c) Saklanan verilerin, istem dışı, yetki dışı ya da yasa dışı, erişim, tahrip, kayıp,

değişiklik, depolama, işleme ve ifşasına karşı uygun teknik ve idari tedbirlerin

alınmasını,

ç) Verilerin sadece özel yetkilendirilmiş kişiler tarafından erişilebilir olmasının

sağlanması için uygun teknik ve idari tedbirlerin alınmasını,


84

2) (Değişik:RG-11/7/2013-28704) İnternet erişimi, elektronik posta ve

internet telefonu ile ilgili olarak; internet erişimi ile ilgili oturum açma,

kapatma tarihi ve zamanı, tahsis edilen dinamik veya statik internet protokol

adresi, NAT kullanılan şebekelerde internet protokol adresi yanında port

bilgisi, abone/kullanıcı kimliği, elektronik posta veya internet telefonu ile

ilgili oturum açma ile kapatma tarihi ve zamanı.

ç) Haberleşmenin türünü tanımlamak için:

1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; kullanılan elektronik

haberleşme hizmeti.

2) Elektronik posta ve internet telefonu ile ilgili olarak; kullanılan internet

hizmeti.

d) Kullanıcıların haberleşme cihazlarını veya

bunların ekipmanlarını tanımlamak için:

1) Sabit telefon hizmetiyle ilgili olarak; haberleşmenin başlatıldığı ve

sonlandırıldığı telefon numaraları.

2) (Değişik:RG-11/7/2013-28704) Mobil telefon hizmetiyle ilgili olarak;

haberleşmenin başlatıldığı ve sonlandırıldığı telefon numaraları,

haberleşmenin başlatıldığı ve/veya sonlandırıldığı tarafa ait IMSI ve IMEI

numaraları; abone kaydı olmayan arama kartlı hizmetlerin olması

durumunda hizmetin aktif hale getirildiği tarih ve zaman ile hizmetin aktif

hale getirildiği hücre kimliği.


olarak; çevirmeli ağ erişimi için arayan telefon numarası, sayısal abone hattı

numarası ya da haberleşmenin kaynaklandığı diğer nokta.

e) İlgili mevzuatın öngördüğü hallerde mobil haberleşme cihazının

konumunu tespit etmek için; haberleşmenin başladığı hücre kimliği,

haberleşme verilerinin saklandığı sürede hücre kimlikleri ile ilgili olarak


85

hücrelerin coğrafi konumlarını tanımlayan veri, hücre adresi ve hücre

kimliğinin o adrese atanma ve kaldırılma tarihleri.

(2) Bu Yönetmelik kapsamında, elektronik posta ve internet telefonu ile ilgili

olarak verilerin saklanmasına ilişkin getirilen yükümlülükler, sadece

işletmecilerin kendilerinin sundukları hizmetler ile sınırlıdır.

MADDE 14 – İşletmecilerin veri saklama süreleri

(Değişik:RG-11/7/2013-28704)

(1) 13 üncü MADDE kapsamında tanımlanan veri kategorileri, haberleşmenin

yapıldığı tarihten itibaren bir yıl, gerçekleşmeyen aramalara ilişkin kayıtlar ise

üç ay süre ile saklanır.

(2) Soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel

veriler, ilgili süreç tamamlanıncaya kadar saklanır.

(3) Kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem

kayıtları dört yıl süre ile saklanır.

MADDE 15 – Saklanan verinin korunması ve güvenliği

(1) Bu Yönetmelik kapsamında saklanması öngörülen veriler için işletmeciler

asgari olarak;

a) Saklanan veriler ile şebekedeki diğer verilerin aynı kalite, güvenlik ve

koruma özelliklerine tabi olmasını,

b) (Değişik:RG-11/7/2013-28704) Verilerin yurt içinde saklanmasını,

c) Saklanan verilerin, istem dışı, yetki dışı ya da yasa dışı, erişim, tahrip, kayıp,

değişiklik, depolama, işleme ve ifşasına karşı uygun teknik ve idari tedbirlerin

alınmasını,

ç) Verilerin sadece özel yetkilendirilmiş kişiler tarafından erişilebilir olmasının

sağlanması için uygun teknik ve idari tedbirlerin alınmasını,


86

d) (Değişik:RG-11/7/2013-28704) İşlenen ve saklanan verinin, saklama

süresinin bitiminden itibaren en geç bir ay içinde imha edilmesi veya anonim

hale getirilmesi ve bu işlemlerin tutanakla veya sistemsel olarak kayıt altına

alınmasını


(2) İşletmeciler sundukları hizmetler kapsamında elde ettikleri verilerin

güvenliğini, bütünlüğünü, gizliliğini ve erişilebilirliğini her aşamada

sağlamakla yükümlüdür. Bu yükümlülük işletmeci tarafından yetkilendirilmiş

kişiler marifetiyle yapılan işlemleri de kapsar.

(3) İşletmeciler, kanunların yetkili kıldığı mercilerce talep edilmesi halinde,

saklanan veri ve söz konusu veriye ilişkin gerekli tüm bilgileri gecikmeksizin


MADDE 16 – İstatistikî bilgilerin verilmesi

(1) İşletmeciler son bir yıl içerisinde;

a) Yetkili merciler tarafından ilgili mevzuatı çerçevesinde talep edilen

verilerin kategorileri ve talep edilme sayılarına,

b) Verinin saklanmaya başlandığı tarih ile yetkili merciler tarafından talep

edildiği tarih arasında geçen süreye,

c) Veri talebinin karşılanamadığı durumlara,

ilişkin istatistikî bilgileri saklamakla ve talep halinde Kuruma göndermekle

yükümlüdür.

(2) Bu maddenin birinci fıkrasında belirtilen istatistikî bilgiler, kişisel verileri

içermez.


87

DÖRDÜNCÜ BÖLÜM - Sağlanan İmkânlar

MADDE 17 – Numaranın gizlenmesi

(1) İşletmeci, arayan numaranın görünmesine imkân sağladığı durumlarda;

a) (Değişik:RG-11/7/2013-28704) Arayan kullanıcıya basit bir yöntemle ve

ücretsiz olarak numarasını gizleme imkânı sağlamakla,

b) Aranan aboneye basit bir yöntemle ve ücretsiz olarak, gelen aramalarda

arayan numaranın gösterilmesini engelleme imkânı sağlamakla,

c) Arayan kişinin numarasını gizlemesi halinde, aranan abonenin/kullanıcının

isteğine bağlı ve ücretsiz olarak, gelen aramaların abone/kullanıcı tarafından

reddedilmesine imkân sağlamakla

yükümlüdür.

(2) (Değişik:RG-11/7/2013-28704) İşletmeci, bağlanılan numaranın

görünmesine imkân sağladığı durumlarda, bağlanılan aboneye basit bir

yöntemle ve ücretsiz olarak, bağlanılan numaranın arayan kullanıcıya

gösterilmesini engelleme imkânı sağlamakla yükümlüdür.

(3) İşletmeci, bu maddenin birinci ve ikinci fıkrasında belirtilen hizmet

imkânları hakkında abonelerini/kullanıcılarını kısa mesaj, internet, basın,

yayın organları, posta veya benzeri araçlarla ücretsiz olarak bilgilendirmekle

yükümlüdür.

(4) Arayan numaranın gizlenmesi imkânı, acil yardım çağrıları için geçerli

değildir.

MADDE 18 – Otomatik çağrı yönlendirme

(1) (Mülga:RG-11/7/2013-28704)

(2) İşletmeciler tarafından başka bir numaraya veya otomatik mesaj sistemine

yapılan yönlendirmelerin ücretli olması halinde abonenin/kullanıcının rızası

alınır.


86

d) (Değişik:RG-11/7/2013-28704) İşlenen ve saklanan verinin, saklama

süresinin bitiminden itibaren en geç bir ay içinde imha edilmesi veya anonim

hale getirilmesi ve bu işlemlerin tutanakla veya sistemsel olarak kayıt altına

alınmasını


(2) İşletmeciler sundukları hizmetler kapsamında elde ettikleri verilerin

güvenliğini, bütünlüğünü, gizliliğini ve erişilebilirliğini her aşamada

sağlamakla yükümlüdür. Bu yükümlülük işletmeci tarafından yetkilendirilmiş

kişiler marifetiyle yapılan işlemleri de kapsar.

(3) İşletmeciler, kanunların yetkili kıldığı mercilerce talep edilmesi halinde,

saklanan veri ve söz konusu veriye ilişkin gerekli tüm bilgileri gecikmeksizin


MADDE 16 – İstatistikî bilgilerin verilmesi

(1) İşletmeciler son bir yıl içerisinde;

a) Yetkili merciler tarafından ilgili mevzuatı çerçevesinde talep edilen

verilerin kategorileri ve talep edilme sayılarına,

b) Verinin saklanmaya başlandığı tarih ile yetkili merciler tarafından talep

edildiği tarih arasında geçen süreye,

c) Veri talebinin karşılanamadığı durumlara,

ilişkin istatistikî bilgileri saklamakla ve talep halinde Kuruma göndermekle

yükümlüdür.

(2) Bu maddenin birinci fıkrasında belirtilen istatistikî bilgiler, kişisel verileri

içermez.


87

DÖRDÜNCÜ BÖLÜM - Sağlanan İmkânlar

MADDE 17 – Numaranın gizlenmesi

(1) İşletmeci, arayan numaranın görünmesine imkân sağladığı durumlarda;

a) (Değişik:RG-11/7/2013-28704) Arayan kullanıcıya basit bir yöntemle ve

ücretsiz olarak numarasını gizleme imkânı sağlamakla,

b) Aranan aboneye basit bir yöntemle ve ücretsiz olarak, gelen aramalarda

arayan numaranın gösterilmesini engelleme imkânı sağlamakla,

c) Arayan kişinin numarasını gizlemesi halinde, aranan abonenin/kullanıcının

isteğine bağlı ve ücretsiz olarak, gelen aramaların abone/kullanıcı tarafından

reddedilmesine imkân sağlamakla

yükümlüdür.

(2) (Değişik:RG-11/7/2013-28704) İşletmeci, bağlanılan numaranın

görünmesine imkân sağladığı durumlarda, bağlanılan aboneye basit bir

yöntemle ve ücretsiz olarak, bağlanılan numaranın arayan kullanıcıya

gösterilmesini engelleme imkânı sağlamakla yükümlüdür.

(3) İşletmeci, bu maddenin birinci ve ikinci fıkrasında belirtilen hizmet

imkânları hakkında abonelerini/kullanıcılarını kısa mesaj, internet, basın,

yayın organları, posta veya benzeri araçlarla ücretsiz olarak bilgilendirmekle

yükümlüdür.

(4) Arayan numaranın gizlenmesi imkânı, acil yardım çağrıları için geçerli

değildir.

MADDE 18 – Otomatik çağrı yönlendirme

(1) (Mülga:RG-11/7/2013-28704)

(2) İşletmeciler tarafından başka bir numaraya veya otomatik mesaj sistemine

yapılan yönlendirmelerin ücretli olması halinde abonenin/kullanıcının rızası

alınır.


88

MADDE 19 – Aboneler için hazırlanan rehberler

(1) Aboneler, basılı ve/veya elektronik abone rehberlerinin, yayımlanma

amaçları ve bu rehberlerde yer alacak kişisel veriler ile bu rehberlerin

elektronik sürümlerinde olabilecek sorgulama seçenekleri ve kullanım

imkânları hakkında rehbere kaydedilmeden önce ücretsiz olarak

bilgilendirilirler.

(2) Kamuya açık rehberlerde yer alan kişisel veriler, rehberlik hizmetinin

amaç ve kapsamına uygun olarak belirlenir.

(3) Abone rehberlerinde yer almayı kabul eden aboneler, rehberlerde yer

alan kişisel verilerinin düzeltilmesini, teyit edilmesini ve/veya çıkarılmasını

ücretsiz ve basit bir yöntemle talep edebilirler.

(4) Rehberlik hizmeti kapsamında yapılacak sorgulamalarda, Elektronik

Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği’nin Elektronik

Haberleşme Hizmet, Şebeke ve Altyapılarının Tanım, Kapsam ve Süreleri ile

ilgili 27 nci maddesi kapsamında yapılan düzenlemeler esastır.

MADDE 20 – Ayrıntılı faturalarda gizlilik

(1) İşletmeciler, ayrıntılı fatura gönderdikleri abonelerin talep etmeleri

halinde, fatura ayrıntısında yer alan telefon numaralarının bazı rakamlarının

gizlenmesini sağlar.

BEŞİNCİ BÖLÜM - Çeşitli ve Son Hükümler

MADDE 21 – İdari para cezaları ve diğer yaptırımlar

(1) İşletmecilerin bu Yönetmelik ile belirlenen yükümlülükleri yerine

getirmemeleri halinde 5/9/2004 tarihli ve 25574 sayılı

Resmî Gazete’de yayımlanan Telekomünikasyon Kurumu Tarafından

İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler

Hakkında Yönetmelik hükümleri uygulanır.


89

MADDE 22 – Hüküm bulunmayan haller

(1) Bu Yönetmelikte hüküm bulunmayan hallerde, Tebliğ veya Kurul Kararı ile

düzenleme yapılır.

MADDE 23 – Yürürlükten kaldırılan yönetmelik

(1) 6/2/2004 tarihli ve 25365 sayılı Resmî Gazete’de yayımlanan

Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğinin

Korunması Hakkında Yönetmelik yürürlükten kaldırılmıştır.

MADDE 24 – Atıflar

(1) Mevzuatta 6/2/2004 tarihli ve 25365 sayılı Resmî Gazete’de yayımlanan


Korunması Hakkında Yönetmeliğe yapılan atıflar bu Yönetmeliğe yapılmış

sayılır.

GEÇİCİ MADDE 1 – Mevcut düzenlemelerin durumu

(1) Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğinin

Korunması Hakkında Yönetmeliğe dayanılarak yapılan usul ve esaslar, alınan

Kurul Kararları ile diğer idari işlemlerin bu Yönetmeliğe aykırı olmayan

hükümleri konuya ilişkin yeni bir işlem yapılana kadar geçerliliğini muhafaza

eder.

MADDE 25 – Yürürlük

(Değişik:RG-11/7/2013-28704)

(1) Bu Yönetmeliğin;

a) 4 üncü maddesinin ikinci fıkrası 1/1/2014,

b) diğer hükümleri 24/7/2013,

tarihinde yürürlüğe girer.


88

MADDE 19 – Aboneler için hazırlanan rehberler

(1) Aboneler, basılı ve/veya elektronik abone rehberlerinin, yayımlanma

amaçları ve bu rehberlerde yer alacak kişisel veriler ile bu rehberlerin

elektronik sürümlerinde olabilecek sorgulama seçenekleri ve kullanım

imkânları hakkında rehbere kaydedilmeden önce ücretsiz olarak

bilgilendirilirler.

(2) Kamuya açık rehberlerde yer alan kişisel veriler, rehberlik hizmetinin

amaç ve kapsamına uygun olarak belirlenir.

(3) Abone rehberlerinde yer almayı kabul eden aboneler, rehberlerde yer

alan kişisel verilerinin düzeltilmesini, teyit edilmesini ve/veya çıkarılmasını

ücretsiz ve basit bir yöntemle talep edebilirler.

(4) Rehberlik hizmeti kapsamında yapılacak sorgulamalarda, Elektronik

Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği’nin Elektronik

Haberleşme Hizmet, Şebeke ve Altyapılarının Tanım, Kapsam ve Süreleri ile

ilgili 27 nci maddesi kapsamında yapılan düzenlemeler esastır.

MADDE 20 – Ayrıntılı faturalarda gizlilik

(1) İşletmeciler, ayrıntılı fatura gönderdikleri abonelerin talep etmeleri

halinde, fatura ayrıntısında yer alan telefon numaralarının bazı rakamlarının

gizlenmesini sağlar.

BEŞİNCİ BÖLÜM - Çeşitli ve Son Hükümler

MADDE 21 – İdari para cezaları ve diğer yaptırımlar

(1) İşletmecilerin bu Yönetmelik ile belirlenen yükümlülükleri yerine

getirmemeleri halinde 5/9/2004 tarihli ve 25574 sayılı

Resmî Gazete’de yayımlanan Telekomünikasyon Kurumu Tarafından

İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler

Hakkında Yönetmelik hükümleri uygulanır.


89

MADDE 22 – Hüküm bulunmayan haller

(1) Bu Yönetmelikte hüküm bulunmayan hallerde, Tebliğ veya Kurul Kararı ile

düzenleme yapılır.

MADDE 23 – Yürürlükten kaldırılan yönetmelik

(1) 6/2/2004 tarihli ve 25365 sayılı Resmî Gazete’de yayımlanan


Korunması Hakkında Yönetmelik yürürlükten kaldırılmıştır.

MADDE 24 – Atıflar

(1) Mevzuatta 6/2/2004 tarihli ve 25365 sayılı Resmî Gazete’de yayımlanan


Korunması Hakkında Yönetmeliğe yapılan atıflar bu Yönetmeliğe yapılmış

sayılır.

GEÇİCİ MADDE 1 – Mevcut düzenlemelerin durumu

(1) Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğinin

Korunması Hakkında Yönetmeliğe dayanılarak yapılan usul ve esaslar, alınan

Kurul Kararları ile diğer idari işlemlerin bu Yönetmeliğe aykırı olmayan

hükümleri konuya ilişkin yeni bir işlem yapılana kadar geçerliliğini muhafaza

eder.


(Değişik:RG-11/7/2013-28704)

(1) Bu Yönetmeliğin;

a) 4 üncü maddesinin ikinci fıkrası 1/1/2014,

b) diğer hükümleri 24/7/2013,

tarihinde yürürlüğe girer.


90

MADDE 26 – Yürütme

(1) Bu Yönetmelik hükümlerini Bilgi Teknolojileri ve İletişim Kurumu Başkanı

yürütür.

Yönetmeliğin Yayımlandığı Resmî Gazete’nin

Tarihi Sayısı

24/7/2012 28363

Yönetmelikte Değişiklik Yapan Yönetmeliklerin Yayımlandığı Resmî Gazetelerin

Tarihi Sayısı 1. 15/2/2013 28560

2. 11/7/2013 28704

91


SAĞLANMASI HAKKINDA YÖNETMELİK

20.10.2016 tarihli 29863 sayılı Resmi Gazete’de yayımlanmıştır. 24.11.2017 tarihli

30250 sayılı Resmi Gazete’de yayımlanan değişiklikler işlenmiştir.

BİRİNCİ BÖLÜM - Amaç, Kapsam, Dayanak ve Tanımlar

MADDE 1 – Amaç

(1) Bu Yönetmeliğin amacı; kişisel verilerin korunması ve veri mahremiyetinin

sağlanmasına, (Değişik ibare:RG-24/11/2017-30250) kişisel sağlık verilerinin

işlenmesine, bu verilere erişim için kurulacak sisteme, kişisel sağlık verisi

kaydı tutulan sistemlerin güvenliği ve denetimi ile sağlık hizmeti

sunumundaki personel hareketlerinin Bakanlığa bildirilmesine ilişkin

işlemlerde uyulacak usul ve esasları düzenlemektir.

MADDE 2 – Kapsam

(Değişik:RG-24/11/2017-30250)

(1) Bu Yönetmelik;

a) Sağlık hizmeti sunucularına,

b) Kişisel sağlık verileri işlenen gerçek kişilere,

c) Sağlık hizmeti sunucularına ait bilgi işlem sistemleri yazılım ve donanımı

ile dosyalama sistemi gibi hizmetleri sunan gerçek ve tüzel kişilere,

ç) Bunlar dışında kalan ve bir mevzuat çerçevesinde kişisel sağlık verilerini

işleyen kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişilerine,

ilişkin hükümleri kapsar.

MADDE 3 – Dayanak

(Değişik:RG-24/11/2017-30250)

(1) Bu Yönetmelik; 11/10/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı


90


(1) Bu Yönetmelik hükümlerini Bilgi Teknolojileri ve İletişim Kurumu Başkanı

yürütür.


Tarihi Sayısı

24/7/2012 28363

Yönetmelikte Değişiklik Yapan Yönetmeliklerin Yayımlandığı Resmî Gazetelerin

Tarihi Sayısı 1. 15/2/2013 28560

2. 11/7/2013 28704

91


SAĞLANMASI HAKKINDA YÖNETMELİK

20.10.2016 tarihli 29863 sayılı Resmi Gazete’de yayımlanmıştır. 24.11.2017 tarihli

30250 sayılı Resmi Gazete’de yayımlanan değişiklikler işlenmiştir.

BİRİNCİ BÖLÜM - Amaç, Kapsam, Dayanak ve Tanımlar

MADDE 1 – Amaç

(1) Bu Yönetmeliğin amacı; kişisel verilerin korunması ve veri mahremiyetinin

sağlanmasına, (Değişik ibare:RG-24/11/2017-30250) kişisel sağlık verilerinin

işlenmesine, bu verilere erişim için kurulacak sisteme, kişisel sağlık verisi

kaydı tutulan sistemlerin güvenliği ve denetimi ile sağlık hizmeti

sunumundaki personel hareketlerinin Bakanlığa bildirilmesine ilişkin

işlemlerde uyulacak usul ve esasları düzenlemektir.

MADDE 2 – Kapsam

(Değişik:RG-24/11/2017-30250)

(1) Bu Yönetmelik;

a) Sağlık hizmeti sunucularına,

b) Kişisel sağlık verileri işlenen gerçek kişilere,

c) Sağlık hizmeti sunucularına ait bilgi işlem sistemleri yazılım ve donanımı

ile dosyalama sistemi gibi hizmetleri sunan gerçek ve tüzel kişilere,

ç) Bunlar dışında kalan ve bir mevzuat çerçevesinde kişisel sağlık verilerini

işleyen kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişilerine,

ilişkin hükümleri kapsar.

MADDE 3 – Dayanak

(Değişik:RG-24/11/2017-30250)

(1) Bu Yönetmelik; 11/10/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı

KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK

92

Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde

Kararnamenin 8 inci maddesinin birinci fıkrasının (j) bendi ile 47 nci maddesi

ve 7/5/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanununun 3 üncü

maddesinin birinci fıkrasının (f) bendine dayanılarak hazırlanmıştır.

MADDE 4 – Tanımlar

(Değişik:RG-24/11/2017-30250)


a) Anonim hale getirme: Kişisel sağlık verilerinin, başka verilerle eşleştirilerek



b) Bakanlık: Sağlık Bakanlığını,

c) Genel Müdürlük: Sağlık Bilgi Sistemleri Genel Müdürlüğünü,

ç) İlgili kişi: Kişisel sağlık verisi işlenen gerçek kişiyi,

d) Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanununu,

e) Kişisel sağlık kaydı sistemi: İlgili kişilerin sağlık verilerine kendilerinin veya

yetki verdikleri üçüncü kişilerin erişimini sağlayan, e-devlet uygulamalarına

uygun olarak kurulan sistemi,

f) Kişisel sağlık verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel

ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle

ilgili bilgileri,

g) Kişisel sağlık verilerinin işlenmesi: Kişisel sağlık verilerinin tamamen veya

kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak

kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,

depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,

açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi,


93

sınıflandırılması ya da kullanılmasının engellenmesi gibi sağlık verileri

üzerinde gerçekleştirilen her türlü işlemi,

ğ) Kurul: Kişisel Verileri Koruma Kurulunu,

h) Merkezi sağlık veri sistemi: Bakanlık tarafından oluşturulan kişisel sağlık

verilerinin toplandığı veri sistemini,

ı) Sağlık hizmeti sunucusu: Ülke genelinde birinci, ikinci ve üçüncü

basamakta faaliyet gösteren ve sağlık hizmeti sunmakta olan bütün sağlık

tesislerini,

i) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına


j) Veri sorumlusu: Kişisel sağlık verilerinin işlenme amaçlarını ve vasıtalarını

belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu

olan gerçek veya tüzel kişiyi,

ifade eder.

İKİNCİ BÖLÜM - Kişisel Sağlık Verilerinin İşlenmesinde Genel İlke ve

Esaslar

MADDE 5 – Genel ilke ve esaslar

(1) (Değişik:RG-24/11/2017-30250) Kişisel sağlık verileri, ancak Kanunda ve

bu Yönetmelikte öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel sağlık verilerinin işlenmesinde aşağıdaki ilkelere uyulması

zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olma,

b) Doğru ve gerektiğinde güncel olma,

c) Belirli, açık ve meşru amaçlar için işlenme,


92

Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde

Kararnamenin 8 inci maddesinin birinci fıkrasının (j) bendi ile 47 nci maddesi

ve 7/5/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanununun 3 üncü

maddesinin birinci fıkrasının (f) bendine dayanılarak hazırlanmıştır.


(Değişik:RG-24/11/2017-30250)


a) Anonim hale getirme: Kişisel sağlık verilerinin, başka verilerle eşleştirilerek



b) Bakanlık: Sağlık Bakanlığını,

c) Genel Müdürlük: Sağlık Bilgi Sistemleri Genel Müdürlüğünü,

ç) İlgili kişi: Kişisel sağlık verisi işlenen gerçek kişiyi,


e) Kişisel sağlık kaydı sistemi: İlgili kişilerin sağlık verilerine kendilerinin veya

yetki verdikleri üçüncü kişilerin erişimini sağlayan, e-devlet uygulamalarına

uygun olarak kurulan sistemi,

f) Kişisel sağlık verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel

ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle

ilgili bilgileri,

g) Kişisel sağlık verilerinin işlenmesi: Kişisel sağlık verilerinin tamamen veya






93

sınıflandırılması ya da kullanılmasının engellenmesi gibi sağlık verileri

üzerinde gerçekleştirilen her türlü işlemi,

ğ) Kurul: Kişisel Verileri Koruma Kurulunu,

h) Merkezi sağlık veri sistemi: Bakanlık tarafından oluşturulan kişisel sağlık

verilerinin toplandığı veri sistemini,

ı) Sağlık hizmeti sunucusu: Ülke genelinde birinci, ikinci ve üçüncü

basamakta faaliyet gösteren ve sağlık hizmeti sunmakta olan bütün sağlık

tesislerini,

i) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına


j) Veri sorumlusu: Kişisel sağlık verilerinin işlenme amaçlarını ve vasıtalarını

belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu

olan gerçek veya tüzel kişiyi,

ifade eder.

İKİNCİ BÖLÜM - Kişisel Sağlık Verilerinin İşlenmesinde Genel İlke ve

Esaslar

MADDE 5 – Genel ilke ve esaslar

(1) (Değişik:RG-24/11/2017-30250) Kişisel sağlık verileri, ancak Kanunda ve

bu Yönetmelikte öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel sağlık verilerinin işlenmesinde aşağıdaki ilkelere uyulması

zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olma,

b) Doğru ve gerektiğinde güncel olma,

c) Belirli, açık ve meşru amaçlar için işlenme,


94

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

d) İşlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

(3) (Değişik:RG-24/11/2017-30250) Sağlık hizmeti sunumunda görevli kişiler,

ilgili kişinin sağlık verilerini ancak verilecek olan sağlık hizmetinin gereği ile

sınırlı olmak kaydıyla işleyebilir.

(4) (Mülga:RG-24/11/2017-30250)

(5) (Değişik:RG-24/11/2017-30250) Sağlık hizmeti sunucularında veri işleyen

kişiler, kişisel sağlık verilerini; sağlık hizmeti sunucularının tamamen veya

kısmen otomatik olan ya da otomatik olmayan her türlü sistemleri,

Bakanlığın ülke genelinde hizmet vermek amaçlı kurulan sistemleri ve

merkezi sağlık veri sistemi ile Genel Müdürlüğün onayladığı diğer veri kayıt

ortamları haricinde hiçbir yere kopyalayamaz, kaydedemez ve depolayamaz.

(6) (Değişik:RG-24/11/2017-30250) Sağlık hizmeti sunucuları, Kanunun

emredici hükümleri ile Kurul ve Bakanlık tarafından belirlenen usul ve

esaslara uygun bir şekilde elektronik kayıt sistemlerinin kurulmasından ve

işletilmesinden, güvenlik ve mahremiyetinin sağlanmasından sorumludur.

(7) (Mülga:RG-24/11/2017-30250)



esaslara uygun bir şekilde kişisel sağlık verilerini merkezi sağlık veri sistemine

aktarır.

(9) (Mülga:RG-24/11/2017-30250)


95

ÜÇÜNCÜ BÖLÜM - Kişisel Sağlık Verilerinin Korunması, İşlenmesi,

Aktarılması ve Silinmesi

MADDE 6 – Kişisel sağlık verilerinin korunması

(1) (Değişik:RG-24/11/2017-30250) Veri işleyen; kişisel sağlık verilerinin

hukuka aykırı olarak işlenmesini önlemek, kişisel sağlık verilerine hukuka

aykırı olarak erişilmesini önlemek, kişisel sağlık verilerinin muhafazasını

sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli

her türlü teknik ve idari tedbiri almak, aldığı bu tedbirlerin veri sorumlusu

tarafından denetlenmesine izin vermek zorundadır. Veri işleyen, bu

görevinin gereği olarak öğrendiği kişisel verileri Kanun hükümlerine aykırı

olarak başkasına açıklayamaz ve işleme amacı dışında kullanamaz. Bu

yükümlülük görevden ayrılmalarından sonra da devam eder.

(2) (Değişik:RG-24/11/2017-30250) Kişisel sağlık verisi işleyenler, bu verilerin

mahremiyetini sağlamak amacıyla Kanuna ve Kurul tarafından çıkartılan

ikincil düzenlemelere uyar. Kurul tarafından belirlenen yeterli önlemleri alır

ve Bakanlıkça belirlenen diğer kurallara riayet eder.

(3) (Değişik:RG-24/11/2017-30250) Kişisel sağlık verilerinin kanuni olmayan

yollarla işlenmesi hâlinde veri sorumlusu bu durumu en kısa sürede Kurula

bildirir.

(4) (Mülga:RG-24/11/2017-30250)

(5) (Mülga:RG-24/11/2017-30250)

(6) (Mülga:RG-24/11/2017-30250)

(7) Kişisel sağlık verilerinin bulunduğu bilgi sistemleri, kullanıcı tanımlanması

ve yetkilendirme dâhilinde kullanılır. Kullanıcı tanımlama ve yetkilendirmeye

ilişkin her türlü işlem kayıt altına alınır ve bu kayıtlar muhafaza edilir.

Yetkilendirme, kayıt altına alma ve verilerin muhafazasına ilişkin hususlar,

Genel Müdürlükçe belirlenir.


94

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

d) İşlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

(3) (Değişik:RG-24/11/2017-30250) Sağlık hizmeti sunumunda görevli kişiler,

ilgili kişinin sağlık verilerini ancak verilecek olan sağlık hizmetinin gereği ile

sınırlı olmak kaydıyla işleyebilir.

(4) (Mülga:RG-24/11/2017-30250)

(5) (Değişik:RG-24/11/2017-30250) Sağlık hizmeti sunucularında veri işleyen

kişiler, kişisel sağlık verilerini; sağlık hizmeti sunucularının tamamen veya

kısmen otomatik olan ya da otomatik olmayan her türlü sistemleri,

Bakanlığın ülke genelinde hizmet vermek amaçlı kurulan sistemleri ve

merkezi sağlık veri sistemi ile Genel Müdürlüğün onayladığı diğer veri kayıt

ortamları haricinde hiçbir yere kopyalayamaz, kaydedemez ve depolayamaz.



esaslara uygun bir şekilde elektronik kayıt sistemlerinin kurulmasından ve

işletilmesinden, güvenlik ve mahremiyetinin sağlanmasından sorumludur.

(7) (Mülga:RG-24/11/2017-30250)



esaslara uygun bir şekilde kişisel sağlık verilerini merkezi sağlık veri sistemine

aktarır.

(9) (Mülga:RG-24/11/2017-30250)


95

ÜÇÜNCÜ BÖLÜM - Kişisel Sağlık Verilerinin Korunması, İşlenmesi,

Aktarılması ve Silinmesi

MADDE 6 – Kişisel sağlık verilerinin korunması

(1) (Değişik:RG-24/11/2017-30250) Veri işleyen; kişisel sağlık verilerinin

hukuka aykırı olarak işlenmesini önlemek, kişisel sağlık verilerine hukuka

aykırı olarak erişilmesini önlemek, kişisel sağlık verilerinin muhafazasını

sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli

her türlü teknik ve idari tedbiri almak, aldığı bu tedbirlerin veri sorumlusu

tarafından denetlenmesine izin vermek zorundadır. Veri işleyen, bu

görevinin gereği olarak öğrendiği kişisel verileri Kanun hükümlerine aykırı

olarak başkasına açıklayamaz ve işleme amacı dışında kullanamaz. Bu

yükümlülük görevden ayrılmalarından sonra da devam eder.

(2) (Değişik:RG-24/11/2017-30250) Kişisel sağlık verisi işleyenler, bu verilerin

mahremiyetini sağlamak amacıyla Kanuna ve Kurul tarafından çıkartılan

ikincil düzenlemelere uyar. Kurul tarafından belirlenen yeterli önlemleri alır

ve Bakanlıkça belirlenen diğer kurallara riayet eder.

(3) (Değişik:RG-24/11/2017-30250) Kişisel sağlık verilerinin kanuni olmayan

yollarla işlenmesi hâlinde veri sorumlusu bu durumu en kısa sürede Kurula

bildirir.

(4) (Mülga:RG-24/11/2017-30250)

(5) (Mülga:RG-24/11/2017-30250)

(6) (Mülga:RG-24/11/2017-30250)

(7) Kişisel sağlık verilerinin bulunduğu bilgi sistemleri, kullanıcı tanımlanması

ve yetkilendirme dâhilinde kullanılır. Kullanıcı tanımlama ve yetkilendirmeye

ilişkin her türlü işlem kayıt altına alınır ve bu kayıtlar muhafaza edilir.

Yetkilendirme, kayıt altına alma ve verilerin muhafazasına ilişkin hususlar,

Genel Müdürlükçe belirlenir.


96

(8) Kişisel sağlık verilerinin bulunduğu bilgi sistemlerine erişen kullanıcıların

erişim kaydı, sağlık hizmet sunucularının sistemlerinde Bakanlıkça belirlenen

standartlara uygun olarak tutulur.

MADDE 7 – Kişisel sağlık verilerinin işlenmesi

(1) (Değişik:RG-24/11/2017-30250) Kişisel sağlık verilerinin, Kanunun 6 ncı

maddesinin üçüncü fıkrasında yer alan istisnai amaç ve koşullar kapsamında

işlenebilmesi için ilgili kişinin açık rızası aranmaz.

(2) (Değişik:RG-24/11/2017-30250) Bunların dışında kalan amaçlar

kapsamında kişisel sağlık verilerinin işlenebilmesi için ilgili kişinin, Kanunun

10 uncu maddesinde öngörülen aydınlatma yükümlülüğü uyarınca

bilgilendirilmesi ve açık rızasının alınması gerekir.

(3) İlgili kişi, aksi yönde bir hukukî düzenleme veya yargı kararı bulunmaması

halinde verilerinin işlenmesi ve aktarılması için vermiş olduğu rızayı istediği

zaman geri alabilir. Rızanın geri alınması, o tarihe kadar yapılmış bulunan

işlemler bakımından etkili olmaz.

(4) (Değişik:RG-24/11/2017-30250) Özel nitelikli kişisel verilerin

işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması

şarttır.

MADDE 8 – Kişisel sağlık verilerinin aktarılması

(1) (Değişik:RG-24/11/2017-30250) Kişisel sağlık verileri, ancak Kanunun 8

inci ve 9 uncu madde hükümleri uyarınca aktarılabilir.

(2) (Değişik:RG-24/11/2017-30250) Kişisel sağlık verileri, Kanunun 8 inci ve 9

uncu madde hükümlerinde yer alan şartların sağlanamaması hâlinde ancak

anonim hâle getirilmek suretiyle aktarılabilir.

(3) (Mülga:RG-24/11/2017-30250)

(4) (Mülga:RG-24/11/2017-30250)


97

MADDE 9 – Kişisel sağlık verilerinin silinmesi

(1) (Değişik:RG-24/11/2017-30250) Kanun, bu Yönetmelik ve ilgili diğer

mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini

gerektiren sebeplerin ortadan kalkması halinde kişisel sağlık verileri, resen

veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir

veya anonim hâle getirilir.

(2) (Mülga:RG-24/11/2017-30250)

(3) Merkezi sağlık veri sistemine aktarılan veriler, aktarımın yapıldığı tarihten

10 yıl sonra yerel veri tabanından silinebilir.


getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.

DÖRDÜNCÜ BÖLÜM - İlgili Kişi ve Veri Sorumlusu(1)

MADDE 10 – İlgili kişi

(Başlığı ile Birlikte Değişik:RG-24/11/2017-30250)

(1) İlgili kişi, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel sağlık verisi işlenip işlenmediğini öğrenme,

b) Kişisel sağlık verisi işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel sağlık verilerine erişim ve bu verileri isteme,

ç) Kişisel sağlık verilerinin işlenme amacını ve bunların amacına uygun

kullanılıp kullanılmadığını öğrenme,

d) Yurt içinde veya yurt dışında kişisel sağlık verilerinin aktarıldığı üçüncü

kişileri bilme,

e) Kişisel sağlık verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların



96

(8) Kişisel sağlık verilerinin bulunduğu bilgi sistemlerine erişen kullanıcıların

erişim kaydı, sağlık hizmet sunucularının sistemlerinde Bakanlıkça belirlenen

standartlara uygun olarak tutulur.

MADDE 7 – Kişisel sağlık verilerinin işlenmesi

(1) (Değişik:RG-24/11/2017-30250) Kişisel sağlık verilerinin, Kanunun 6 ncı

maddesinin üçüncü fıkrasında yer alan istisnai amaç ve koşullar kapsamında

işlenebilmesi için ilgili kişinin açık rızası aranmaz.

(2) (Değişik:RG-24/11/2017-30250) Bunların dışında kalan amaçlar

kapsamında kişisel sağlık verilerinin işlenebilmesi için ilgili kişinin, Kanunun

10 uncu maddesinde öngörülen aydınlatma yükümlülüğü uyarınca

bilgilendirilmesi ve açık rızasının alınması gerekir.

(3) İlgili kişi, aksi yönde bir hukukî düzenleme veya yargı kararı bulunmaması

halinde verilerinin işlenmesi ve aktarılması için vermiş olduğu rızayı istediği

zaman geri alabilir. Rızanın geri alınması, o tarihe kadar yapılmış bulunan

işlemler bakımından etkili olmaz.

(4) (Değişik:RG-24/11/2017-30250) Özel nitelikli kişisel verilerin

işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması

şarttır.

MADDE 8 – Kişisel sağlık verilerinin aktarılması

(1) (Değişik:RG-24/11/2017-30250) Kişisel sağlık verileri, ancak Kanunun 8

inci ve 9 uncu madde hükümleri uyarınca aktarılabilir.

(2) (Değişik:RG-24/11/2017-30250) Kişisel sağlık verileri, Kanunun 8 inci ve 9

uncu madde hükümlerinde yer alan şartların sağlanamaması hâlinde ancak

anonim hâle getirilmek suretiyle aktarılabilir.

(3) (Mülga:RG-24/11/2017-30250)

(4) (Mülga:RG-24/11/2017-30250)


97

MADDE 9 – Kişisel sağlık verilerinin silinmesi

(1) (Değişik:RG-24/11/2017-30250) Kanun, bu Yönetmelik ve ilgili diğer

mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini

gerektiren sebeplerin ortadan kalkması halinde kişisel sağlık verileri, resen

veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir

veya anonim hâle getirilir.

(2) (Mülga:RG-24/11/2017-30250)

(3) Merkezi sağlık veri sistemine aktarılan veriler, aktarımın yapıldığı tarihten

10 yıl sonra yerel veri tabanından silinebilir.


getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.

DÖRDÜNCÜ BÖLÜM - İlgili Kişi ve Veri Sorumlusu(1)

MADDE 10 – İlgili kişi

(Başlığı ile Birlikte Değişik:RG-24/11/2017-30250)

(1) İlgili kişi, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel sağlık verisi işlenip işlenmediğini öğrenme,

b) Kişisel sağlık verisi işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel sağlık verilerine erişim ve bu verileri isteme,

ç) Kişisel sağlık verilerinin işlenme amacını ve bunların amacına uygun

kullanılıp kullanılmadığını öğrenme,

d) Yurt içinde veya yurt dışında kişisel sağlık verilerinin aktarıldığı üçüncü

kişileri bilme,

e) Kişisel sağlık verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların



98

f) 9 uncu maddede öngörülen şartlar çerçevesinde kişisel verilerin

silinmesini isteme,

g) (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel sağlık verilerinin

aktarıldığı üçüncü kişilere bildirilmesini isteme,

ğ) İşlenen kişisel sağlık verilerinin münhasıran otomatik sistemler vasıtasıyla

analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya

çıkmasına itiraz etme,

h) Kişisel sağlık verilerinin Kanuna aykırı olarak işlenmesi sebebiyle zarara

uğraması hâlinde zararın giderilmesini talep etme,


(2) İlgili kişinin, birinci fıkranın (a), (b), (c), (ç) veya (d) bentlerinde sayılan

haklarından birini veya birkaçını kullanması hâlinde ilgili bilgi kendisine, açık

ve anlaşılabilir bir şekilde, yazılı olarak veya elektronik ortamda bildirilir.

MADDE 11 – Veri sorumlusu







d) 10 uncu maddede sayılan diğer hakları,

konularında bilgi vermekle yükümlüdür.

(2) Veri sorumlusu;

a) Kişisel sağlık verilerinin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel sağlık verilerine hukuka aykırı olarak erişilmesini önlemek,


99

c) Kişisel sağlık verilerinin muhafazasını sağlamak,

ç) Sorumlu olduğu sistemlerde yaşanabilecek muhtemel veri kayıplarının

önüne geçmek,

amaçlarıyla, uygun güvenlik düzeyini temin etmeye yönelik olarak

Bakanlıkça belirlenen her türlü tedbiri almak zorundadır.

(3) (Değişik:RG-24/11/2017-30250) Veri sorumlusu, kişisel sağlık verilerinin

kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde,

ikinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte

müştereken sorumludur.

(4) Veri sorumlusu, kendi kurum veya kuruluşunda, Kanun ve bu Yönetmelik

hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak

veya yaptırmak zorundadır.

(5) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel sağlık verilerini,

Kanun ve bu Yönetmelik hükümlerine aykırı olarak başkasına açıklayamaz ve

işleme amacı dışında kullanamazlar. Bu yükümlülük görevden


(6) (Değişik:RG-24/11/2017-30250) İşlenen kişisel verilerin kanuni olmayan

yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu bu durumu

en kısa sürede Kurula bildirir.

(7) (Mülga:RG-24/11/2017-30250)

BEŞİNCİ BÖLÜM - Genel Müdürlüğün Görevleri(1)

MADDE 12 – Kişisel Sağlık Verileri Komisyonu

(Mülga:RG-24/11/2017-30250)

MADDE 13 – Genel Müdürlüğün görevi

(1) Aşağıda belirtilen görevler, Genel Müdürlük tarafından yürütülür.


98

f) 9 uncu maddede öngörülen şartlar çerçevesinde kişisel verilerin

silinmesini isteme,

g) (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel sağlık verilerinin

aktarıldığı üçüncü kişilere bildirilmesini isteme,

ğ) İşlenen kişisel sağlık verilerinin münhasıran otomatik sistemler vasıtasıyla

analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya

çıkmasına itiraz etme,

h) Kişisel sağlık verilerinin Kanuna aykırı olarak işlenmesi sebebiyle zarara

uğraması hâlinde zararın giderilmesini talep etme,


(2) İlgili kişinin, birinci fıkranın (a), (b), (c), (ç) veya (d) bentlerinde sayılan

haklarından birini veya birkaçını kullanması hâlinde ilgili bilgi kendisine, açık

ve anlaşılabilir bir şekilde, yazılı olarak veya elektronik ortamda bildirilir.

MADDE 11 – Veri sorumlusu







d) 10 uncu maddede sayılan diğer hakları,

konularında bilgi vermekle yükümlüdür.

(2) Veri sorumlusu;

a) Kişisel sağlık verilerinin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel sağlık verilerine hukuka aykırı olarak erişilmesini önlemek,


99

c) Kişisel sağlık verilerinin muhafazasını sağlamak,

ç) Sorumlu olduğu sistemlerde yaşanabilecek muhtemel veri kayıplarının

önüne geçmek,

amaçlarıyla, uygun güvenlik düzeyini temin etmeye yönelik olarak

Bakanlıkça belirlenen her türlü tedbiri almak zorundadır.

(3) (Değişik:RG-24/11/2017-30250) Veri sorumlusu, kişisel sağlık verilerinin

kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde,

ikinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte

müştereken sorumludur.

(4) Veri sorumlusu, kendi kurum veya kuruluşunda, Kanun ve bu Yönetmelik

hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak

veya yaptırmak zorundadır.

(5) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel sağlık verilerini,

Kanun ve bu Yönetmelik hükümlerine aykırı olarak başkasına açıklayamaz ve

işleme amacı dışında kullanamazlar. Bu yükümlülük görevden


(6) (Değişik:RG-24/11/2017-30250) İşlenen kişisel verilerin kanuni olmayan

yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu bu durumu

en kısa sürede Kurula bildirir.

(7) (Mülga:RG-24/11/2017-30250)

BEŞİNCİ BÖLÜM - Genel Müdürlüğün Görevleri(1)

MADDE 12 – Kişisel Sağlık Verileri Komisyonu

(Mülga:RG-24/11/2017-30250)

MADDE 13 – Genel Müdürlüğün görevi

(1) Aşağıda belirtilen görevler, Genel Müdürlük tarafından yürütülür.


100

a) Kişisel sağlık verilerinin tutulacağı merkezî veri sistemini kurar,

b) Sağlık hizmeti sunan tüm kamu ve özel sağlık kuruluşları ile sağlık meslek

mensupları tarafından tutulan kayıtların, hizmet sunucuları tarafından

merkezi sağlık veri sistemine gönderilmesini sağlar,

c) Tüm sistemlerin entegrasyonu için gerekli teknik düzenlemeleri yapar,

ç) Ülke çapında sağlık durumu ve sağlık hizmetlerine ilişkin her türlü verinin

depolanmasını ve aktarımını mümkün kılan bilgi sistemleri ile ilgili

standartları belirler,

d) İlgili kişilerin sağlık verilerine kendilerinin veya (Değişik ibare:RG-

24/11/2017-30250) açık rıza verdikleri üçüncü kişilerin erişimini sağlayan bir

kişisel sağlık kaydı sistemi kurar,

e) Sistemlere içeriden veya dışarıdan yetkisiz erişimleri engellemek üzere üst

düzey güvenlik önlemlerinin alınmasını sağlar,

f) Sistemlerin yönetimi ve organizasyonuna ilişkin belgeleri internet

sayfasında yayımlar ve gerektiğinde bu konuda eğitim ve yönlendirme

çalışmaları yapar,

g) Bu Yönetmelikle ilgili tüm hususlarda bilgilendirici içeriğin yer aldığı bir

internet sayfası hazırlar,

ğ) Sistemlerin kullanımında oluşabilecek teknik sorunların çözümü için çağrı

merkezi kurar veya kurdurur ve internet ortamından destek verir.

ALTINCI BÖLÜM - Merkezi Sağlık Veri Sistemi ve Kişisel Sağlık Kaydı

Sistemi

MADDE 14 – Merkezi sağlık veri sistemi

(1) Sağlık hizmet sunucuları, sağlık hizmeti almak üzere kendilerine

müracaat eden kişilere ait verileri, Bakanlık tarafından çıkarılan mevzuat ile


101

belirlenmiş süreler içerisinde, kullandıkları yazılıma Bakanlıkça belirlenen

standartlara uygun bir şekilde kaydetmek ve bu verileri Bakanlıkça belirlenen

standartlara uygun bir şekilde merkezi sağlık veri sistemine göndermek

zorundadırlar. Kişisel sağlık verilerinin merkezi sağlık veri sistemine

aktarılması, veri sorumlusunun görev ve yetkisindedir.

(2) Merkezi sağlık veri sisteminin doğru bir şekilde çalışması, yeni servis

entegrasyonu ve sağlık hizmet sunucuları tarafından kaydedilen verilerin bu

sisteme doğru, eksiksiz ve gecikmeksizin aktarılması için sağlık hizmet

sunucularının kullandığı yazılımlar, Bakanlıkça belirlenen standartlar ile

uyumlu olmak zorundadır.

(3) (Değişik ibare:RG-24/11/2017-30250) Sağlık hizmeti sunucuları;

a) Bakanlıkça verilen yetki belgesine sahip,

b) Bakanlıkça yayımlanan yazılım sürüm notlarına, yeni standartlara ve

geliştirmelere uyumlu,

c) Bakanlık tarafından kullanılan sistemlere uyumlu,

yazılım kullanırlar.

(4) Bu madde uyarınca kullanılacak yazılımların Bakanlıkça belirlenen şartlara

ve yayımlanan standartlara uygunluğu, Bakanlıkça denetlenir.

(5) (Değişik:RG-24/11/2017-30250) Bu madde ile öngörülen yükümlülüklerin

yerine getirilmemesi veya eksik ya da hatalı yerine getirilmesi halinde ilgili

veri sorumlusuna, Kanunun 13 üncü maddesine uygun olarak başvuru yapılır.

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde

başvuruya cevap verilmemesi hâllerinde, Kanunun 14 üncü maddesine

uygun bir şekilde Kurula şikâyette bulunulur. Kurul, Kanunun 15 inci maddesi

çerçevesinde inceleme yapar.


100

a) Kişisel sağlık verilerinin tutulacağı merkezî veri sistemini kurar,

b) Sağlık hizmeti sunan tüm kamu ve özel sağlık kuruluşları ile sağlık meslek

mensupları tarafından tutulan kayıtların, hizmet sunucuları tarafından

merkezi sağlık veri sistemine gönderilmesini sağlar,

c) Tüm sistemlerin entegrasyonu için gerekli teknik düzenlemeleri yapar,

ç) Ülke çapında sağlık durumu ve sağlık hizmetlerine ilişkin her türlü verinin

depolanmasını ve aktarımını mümkün kılan bilgi sistemleri ile ilgili

standartları belirler,

d) İlgili kişilerin sağlık verilerine kendilerinin veya (Değişik ibare:RG-

24/11/2017-30250) açık rıza verdikleri üçüncü kişilerin erişimini sağlayan bir

kişisel sağlık kaydı sistemi kurar,

e) Sistemlere içeriden veya dışarıdan yetkisiz erişimleri engellemek üzere üst

düzey güvenlik önlemlerinin alınmasını sağlar,

f) Sistemlerin yönetimi ve organizasyonuna ilişkin belgeleri internet

sayfasında yayımlar ve gerektiğinde bu konuda eğitim ve yönlendirme

çalışmaları yapar,

g) Bu Yönetmelikle ilgili tüm hususlarda bilgilendirici içeriğin yer aldığı bir

internet sayfası hazırlar,

ğ) Sistemlerin kullanımında oluşabilecek teknik sorunların çözümü için çağrı

merkezi kurar veya kurdurur ve internet ortamından destek verir.

ALTINCI BÖLÜM - Merkezi Sağlık Veri Sistemi ve Kişisel Sağlık Kaydı

Sistemi

MADDE 14 – Merkezi sağlık veri sistemi

(1) Sağlık hizmet sunucuları, sağlık hizmeti almak üzere kendilerine

müracaat eden kişilere ait verileri, Bakanlık tarafından çıkarılan mevzuat ile


101

belirlenmiş süreler içerisinde, kullandıkları yazılıma Bakanlıkça belirlenen

standartlara uygun bir şekilde kaydetmek ve bu verileri Bakanlıkça belirlenen

standartlara uygun bir şekilde merkezi sağlık veri sistemine göndermek

zorundadırlar. Kişisel sağlık verilerinin merkezi sağlık veri sistemine

aktarılması, veri sorumlusunun görev ve yetkisindedir.

(2) Merkezi sağlık veri sisteminin doğru bir şekilde çalışması, yeni servis

entegrasyonu ve sağlık hizmet sunucuları tarafından kaydedilen verilerin bu

sisteme doğru, eksiksiz ve gecikmeksizin aktarılması için sağlık hizmet

sunucularının kullandığı yazılımlar, Bakanlıkça belirlenen standartlar ile

uyumlu olmak zorundadır.

(3) (Değişik ibare:RG-24/11/2017-30250) Sağlık hizmeti sunucuları;

a) Bakanlıkça verilen yetki belgesine sahip,

b) Bakanlıkça yayımlanan yazılım sürüm notlarına, yeni standartlara ve

geliştirmelere uyumlu,

c) Bakanlık tarafından kullanılan sistemlere uyumlu,

yazılım kullanırlar.

(4) Bu madde uyarınca kullanılacak yazılımların Bakanlıkça belirlenen şartlara

ve yayımlanan standartlara uygunluğu, Bakanlıkça denetlenir.

(5) (Değişik:RG-24/11/2017-30250) Bu madde ile öngörülen yükümlülüklerin

yerine getirilmemesi veya eksik ya da hatalı yerine getirilmesi halinde ilgili

veri sorumlusuna, Kanunun 13 üncü maddesine uygun olarak başvuru yapılır.

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde

başvuruya cevap verilmemesi hâllerinde, Kanunun 14 üncü maddesine

uygun bir şekilde Kurula şikâyette bulunulur. Kurul, Kanunun 15 inci maddesi

çerçevesinde inceleme yapar.


102

MADDE 15 – Kişisel sağlık kaydı sistemi

(1) (Değişik:RG-24/11/2017-30250) İsteyen her vatandaş; kendisine sunulan

sağlık hizmetlerini takip etmek, kendisine ait sağlık kayıtlarını görüntülemek,

sağlık tesislerinde kendisine uygulanan işlemleri ve sonuçlarını incelemek,

kişisel sağlık verilerine her yerden erişmek ve bu verileri açık rıza verdiği

üçüncü kişilerle paylaşmak için Bakanlık tarafından hazırlanan kişisel sağlık

kaydı sistemi üzerinde kullanıcı hesabı oluşturabilir.

(2) Kullanıcı hesabı e-devlet üzerinden oluşturulabileceği gibi, ilgili kişinin

başvurusu üzerine aile hekimi tarafından da oluşturulabilir.

(3) (Değişik:RG-24/11/2017-30250) İlgili kişi tarafından açık rıza verilmesi

halinde kişisel sağlık verilerine kendisinin belirleyeceği üçüncü kişiler

tarafından da erişilebilir.

(4) Anne veya babanın, onbeş yaş altındaki çocuklarının kişisel sağlık

verilerine erişimleri için diğer ebeveynin onayı gerekir. Evliliğin sona ermiş

olması hâlinde velayet hakkını kullanma yetkisine sahip bulunan ana veya

baba, çocuğun kişisel sağlık verilerine erişimi için diğer tarafın onayına

ihtiyaç duymaz.

(5) (Değişik:RG-24/11/2017-30250) İlgili kişi, kişisel sağlık kaydı sistemi

üzerinden kendisine ilişkin sağlık verilerini görüntüleyebilir, eksik bilgilerinin

sisteme eklenmesini, yanlış bilgilerinin düzeltilmesini veya silinmesini talep

edebilir, kullanıcı hesabını dondurabilir.

YEDİNCİ BÖLÜM - Bildirim Yükümlülüğü

MADDE 16 – Bildirim yükümlülüğü

(1) Sağlık personeli istihdam eden sağlık hizmet sunucuları, istihdam ettiği

personele ait bilgileri ve personel hareketlerini onbeş gün içerisinde

Bakanlığa bildirmekle yükümlüdürler.


103

(2) Bildirim, Bakanlıkça belirlenecek yöntem aracılığı ile yapılır.

(3) Birinci fıkrada öngörülen yükümlülüğün belirlenen süre içerisinde yerine

getirilmemesi veya eksik ya da hatalı yerine getirilmesi hâlinde sorumlu kişi,

kurum veya kuruluş, yazılı olarak uyarılır. Uyarıyı gerektiren problemin onbeş

gün içerisinde giderilmemesi hâlinde uyarı tekrarlanır. İkinci uyarıdan

itibaren onbeş günün sonunda uyarıyı gerektiren problemin giderilmemiş

olması hâlinde sorumlu kişi, kurum veya kuruluş hakkında genel hükümlere

göre işlem tesis edilir.

SEKİZİNCİ BÖLÜM - Çeşitli ve Son Hükümler

MADDE 17 – Yaptırım

(Değişik:RG-24/11/2017-30250)

(1) Bu Yönetmelikle korunan kişisel verilere ilişkin suçlar bakımından

Kanunun 17 nci maddesine göre işlem yapılır.

(2) Bu Yönetmelik gereklerinin, kamu kurum ve kuruluşunda görev yapan

memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek

kuruluşlarında görev yapanlar tarafından yerine getirilmemesi hâlinde,

Kurulun yapacağı bildirim üzerine disiplin hükümlerine göre işlem yapılır ve

sonucu Kurula bildirilir. Özel hukuk gerçek ve tüzel kişileri hakkında Kanunun

18 inci maddesi uyarınca işlem yapılır.

MADDE 18 – Hüküm bulunmayan hâller

(Değişik:RG-24/11/2017-30250)

(1) Kişisel sağlık verilerinin işlenmesi ile ilgili olarak bu Yönetmelikte hüküm

bulunmayan hâllerde Kanun, Kurul tarafından çıkarılacak ikincil

düzenlemeler ve Kurulun ilke kararları uygulanır.


102

MADDE 15 – Kişisel sağlık kaydı sistemi

(1) (Değişik:RG-24/11/2017-30250) İsteyen her vatandaş; kendisine sunulan

sağlık hizmetlerini takip etmek, kendisine ait sağlık kayıtlarını görüntülemek,

sağlık tesislerinde kendisine uygulanan işlemleri ve sonuçlarını incelemek,

kişisel sağlık verilerine her yerden erişmek ve bu verileri açık rıza verdiği

üçüncü kişilerle paylaşmak için Bakanlık tarafından hazırlanan kişisel sağlık

kaydı sistemi üzerinde kullanıcı hesabı oluşturabilir.

(2) Kullanıcı hesabı e-devlet üzerinden oluşturulabileceği gibi, ilgili kişinin

başvurusu üzerine aile hekimi tarafından da oluşturulabilir.

(3) (Değişik:RG-24/11/2017-30250) İlgili kişi tarafından açık rıza verilmesi

halinde kişisel sağlık verilerine kendisinin belirleyeceği üçüncü kişiler

tarafından da erişilebilir.

(4) Anne veya babanın, onbeş yaş altındaki çocuklarının kişisel sağlık

verilerine erişimleri için diğer ebeveynin onayı gerekir. Evliliğin sona ermiş

olması hâlinde velayet hakkını kullanma yetkisine sahip bulunan ana veya

baba, çocuğun kişisel sağlık verilerine erişimi için diğer tarafın onayına

ihtiyaç duymaz.

(5) (Değişik:RG-24/11/2017-30250) İlgili kişi, kişisel sağlık kaydı sistemi

üzerinden kendisine ilişkin sağlık verilerini görüntüleyebilir, eksik bilgilerinin

sisteme eklenmesini, yanlış bilgilerinin düzeltilmesini veya silinmesini talep

edebilir, kullanıcı hesabını dondurabilir.

YEDİNCİ BÖLÜM - Bildirim Yükümlülüğü

MADDE 16 – Bildirim yükümlülüğü

(1) Sağlık personeli istihdam eden sağlık hizmet sunucuları, istihdam ettiği

personele ait bilgileri ve personel hareketlerini onbeş gün içerisinde

Bakanlığa bildirmekle yükümlüdürler.


103

(2) Bildirim, Bakanlıkça belirlenecek yöntem aracılığı ile yapılır.

(3) Birinci fıkrada öngörülen yükümlülüğün belirlenen süre içerisinde yerine

getirilmemesi veya eksik ya da hatalı yerine getirilmesi hâlinde sorumlu kişi,

kurum veya kuruluş, yazılı olarak uyarılır. Uyarıyı gerektiren problemin onbeş

gün içerisinde giderilmemesi hâlinde uyarı tekrarlanır. İkinci uyarıdan

itibaren onbeş günün sonunda uyarıyı gerektiren problemin giderilmemiş

olması hâlinde sorumlu kişi, kurum veya kuruluş hakkında genel hükümlere

göre işlem tesis edilir.

SEKİZİNCİ BÖLÜM - Çeşitli ve Son Hükümler

MADDE 17 – Yaptırım

(Değişik:RG-24/11/2017-30250)

(1) Bu Yönetmelikle korunan kişisel verilere ilişkin suçlar bakımından

Kanunun 17 nci maddesine göre işlem yapılır.

(2) Bu Yönetmelik gereklerinin, kamu kurum ve kuruluşunda görev yapan

memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek

kuruluşlarında görev yapanlar tarafından yerine getirilmemesi hâlinde,

Kurulun yapacağı bildirim üzerine disiplin hükümlerine göre işlem yapılır ve

sonucu Kurula bildirilir. Özel hukuk gerçek ve tüzel kişileri hakkında Kanunun

18 inci maddesi uyarınca işlem yapılır.

MADDE 18 – Hüküm bulunmayan hâller

(Değişik:RG-24/11/2017-30250)

(1) Kişisel sağlık verilerinin işlenmesi ile ilgili olarak bu Yönetmelikte hüküm

bulunmayan hâllerde Kanun, Kurul tarafından çıkarılacak ikincil

düzenlemeler ve Kurulun ilke kararları uygulanır.


104


(1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.


(1) Bu Yönetmelik hükümlerini Sağlık Bakanı yürütür.

(1) 24/11/2017 tarihli ve 30250 sayılı Resmi Gazete’de yayımlanan değişiklik ile

Yönetmeliğin dördüncü bölüm başlığı “Veri Sahibi ve Veri Sorumlusu” , beşinci

bölüm başlığı “Kişisel Sağlık Verileri Komisyonu ve Genel Müdürlük” iken metne

işlendiği şekilde değiştirilmiştir.


Tarihi Sayısı

20/10/2016 29863

Yönetmelikte Değişiklik Yapan Yönetmeliklerin Yayımlandığı

Resmî Gazetelerin

Tarihi Sayısı

1 24/11/2017 30250

105

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM

HALE GETİRİLMESİ HAKKINDA YÖNETMELİK


BİRİNCİ BÖLÜM: Amaç, Kapsam, Dayanak ve Tanımlar

MADDE 1 – Amaç

(1) Bu Yönetmeliğin amacı, tamamen veya kısmen otomatik olan ya da


yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale

getirilmesine ilişkin usul ve esasları belirlemektir.

MADDE 2 – Kapsam

(1) Bu Yönetmelik hükümleri; 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin

Korunması Kanununun 7 nci maddesi uyarınca veri sorumluları hakkında

uygulanır.

MADDE 3 – Dayanak

(1) Bu Yönetmelik, 6698 sayılı Kanunun 7 nci maddesinin üçüncü fıkrası ile

22 nci maddesinin birinci fıkrasının (e) bendine dayanılarak hazırlanmıştır.


(1) Bu Yönetmeliğin uygulanmasında;

a) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek

veya tüzel kişi kategorisini,

b) İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve

yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri

sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve

talimat doğrultusunda kişisel verileri işleyen kişileri,


104




(1) Bu Yönetmelik hükümlerini Sağlık Bakanı yürütür.

(1) 24/11/2017 tarihli ve 30250 sayılı Resmi Gazete’de yayımlanan değişiklik ile

Yönetmeliğin dördüncü bölüm başlığı “Veri Sahibi ve Veri Sorumlusu” , beşinci

bölüm başlığı “Kişisel Sağlık Verileri Komisyonu ve Genel Müdürlük” iken metne

işlendiği şekilde değiştirilmiştir.


Tarihi Sayısı

20/10/2016 29863

Yönetmelikte Değişiklik Yapan Yönetmeliklerin Yayımlandığı

Resmî Gazetelerin

Tarihi Sayısı

1 24/11/2017 30250

105

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM

HALE GETİRİLMESİ HAKKINDA YÖNETMELİK



MADDE 1 – Amaç

(1) Bu Yönetmeliğin amacı, tamamen veya kısmen otomatik olan ya da


yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale

getirilmesine ilişkin usul ve esasları belirlemektir.

MADDE 2 – Kapsam

(1) Bu Yönetmelik hükümleri; 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin

Korunması Kanununun 7 nci maddesi uyarınca veri sorumluları hakkında

uygulanır.

MADDE 3 – Dayanak

(1) Bu Yönetmelik, 6698 sayılı Kanunun 7 nci maddesinin üçüncü fıkrası ile

22 nci maddesinin birinci fıkrasının (e) bendine dayanılarak hazırlanmıştır.


(1) Bu Yönetmeliğin uygulanmasında;



b) İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve

yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri

sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve

talimat doğrultusunda kişisel verileri işleyen kişileri,

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK

106

c) İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale

getirilmesini,

ç) Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması

Kanununu,

d) Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri

kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen

kişisel verilerin bulunduğu her türlü ortamı,

e) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak

gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri

işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi

grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar

için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel

verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak

detaylandırdıkları envanteri,

f) Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin

işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok

etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,

g) Kurul: Kişisel Verileri Koruma Kurulunu,

ğ) Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının

tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha

politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek

silme, yok etme veya anonim hale getirme işlemini,

h) Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri

sorumluları sicilini,

ı) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak



107

i) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen,



ifade eder.

(2) Bu Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar geçerlidir.

İKİNCİ BÖLÜM: Kişisel Veri Saklama ve İmha Politikası

MADDE 5 – Kişisel veri saklama ve imha politikasına ilişkin esaslar

(1) Kanunun 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla

yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak

kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.

(2) Kişisel veri saklama ve imha politikası hazırlanmış olması; kişisel verilerin

Kanuna ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya

anonim hale getirildiği anlamına gelmez.

(3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında

bulunmayan veri sorumlularının, Kanun ve bu Yönetmelik uyarınca kişisel

verileri saklama, silme, yok etme veya anonim hale getirme yükümlülükleri

devam eder.

MADDE 6 – Kişisel veri saklama ve imha politikasının kapsamı

(1) Kişisel veri saklama ve imha politikası asgari olarak;

a) Kişisel veri saklama ve imha politikasının hazırlanma amacına,

b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,

c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik

terimlerin tanımlarına,

ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da

diğer sebeplere ilişkin açıklamaya,


106

c) İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale

getirilmesini,

ç) Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması

Kanununu,

d) Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri

kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen

kişisel verilerin bulunduğu her türlü ortamı,

e) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak

gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri

işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi

grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar

için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel

verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak

detaylandırdıkları envanteri,

f) Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin



g) Kurul: Kişisel Verileri Koruma Kurulunu,

ğ) Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının

tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha

politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek

silme, yok etme veya anonim hale getirme işlemini,

h) Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri

sorumluları sicilini,

ı) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak



107

i) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen,



ifade eder.

(2) Bu Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar geçerlidir.

İKİNCİ BÖLÜM: Kişisel Veri Saklama ve İmha Politikası

MADDE 5 – Kişisel veri saklama ve imha politikasına ilişkin esaslar

(1) Kanunun 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla

yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak

kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.

(2) Kişisel veri saklama ve imha politikası hazırlanmış olması; kişisel verilerin

Kanuna ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya

anonim hale getirildiği anlamına gelmez.

(3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında

bulunmayan veri sorumlularının, Kanun ve bu Yönetmelik uyarınca kişisel

verileri saklama, silme, yok etme veya anonim hale getirme yükümlülükleri

devam eder.

MADDE 6 – Kişisel veri saklama ve imha politikasının kapsamı

(1) Kişisel veri saklama ve imha politikası asgari olarak;

a) Kişisel veri saklama ve imha politikasının hazırlanma amacına,

b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,

c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik

terimlerin tanımlarına,

ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da

diğer sebeplere ilişkin açıklamaya,


108

d) Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak

işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,

e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve

idari tedbirlere,

f) Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına,

birimlerine ve görev tanımlarına,

g) Saklama ve imha sürelerini gösteren tabloya,

ğ) Periyodik imha sürelerine,

h) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise

söz konusu değişikliğe,

ilişkin bilgileri kapsar.

ÜÇÜNCÜ BÖLÜM: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim

Hale Getirilmesi

MADDE 7 – İlkeler

(1) Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme

şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri

sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok

edilmesi veya anonim hâle getirilmesi gerekir.

(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde

Kanunun 4 üncü maddesindeki genel ilkeler ile 12 nci maddesi kapsamında

alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul

kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket

edilmesi zorunludur.


109

(3) Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili

yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki

yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

(4) Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale

getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve

prosedürlerinde açıklamakla yükümlüdür.

(5) Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel

verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden

uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini

açıklayarak seçer.

MADDE 8 – Kişisel verilerin silinmesi

(1) Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde

erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

(2) Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve

tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri

almakla yükümlüdür.

MADDE 9 – Kişisel verilerin yok edilmesi

(1) Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir

şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi

işlemidir.

(2) Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü

teknik ve idari tedbirleri almakla yükümlüdür.

MADDE 10 – Kişisel verilerin anonim hale getirilmesi

(1) Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle

eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek

kişiyle ilişkilendirilemeyecek hale getirilmesidir.


108

d) Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak

işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,

e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve

idari tedbirlere,

f) Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına,

birimlerine ve görev tanımlarına,

g) Saklama ve imha sürelerini gösteren tabloya,

ğ) Periyodik imha sürelerine,

h) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise

söz konusu değişikliğe,

ilişkin bilgileri kapsar.

ÜÇÜNCÜ BÖLÜM: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim

Hale Getirilmesi

MADDE 7 – İlkeler

(1) Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme

şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri

sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok

edilmesi veya anonim hâle getirilmesi gerekir.

(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde

Kanunun 4 üncü maddesindeki genel ilkeler ile 12 nci maddesi kapsamında

alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul

kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket

edilmesi zorunludur.


109

(3) Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili

yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki

yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

(4) Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale

getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve

prosedürlerinde açıklamakla yükümlüdür.

(5) Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel

verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden

uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini

açıklayarak seçer.

MADDE 8 – Kişisel verilerin silinmesi

(1) Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde

erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

(2) Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve

tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri

almakla yükümlüdür.

MADDE 9 – Kişisel verilerin yok edilmesi

(1) Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir

şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi

işlemidir.

(2) Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü

teknik ve idari tedbirleri almakla yükümlüdür.

MADDE 10 – Kişisel verilerin anonim hale getirilmesi

(1) Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle

eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek

kişiyle ilişkilendirilemeyecek hale getirilmesidir.


110

(2) Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri

sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin

başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından

uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir

bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

(3) Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her

türlü teknik ve idari tedbirleri almakla yükümlüdür.

MADDE 11 – Kişisel verileri resen silme, yok etme veya anonim hale

getirme süreleri

(1) Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu,

kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün

ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri

siler, yok eder veya anonim hale getirir.

(2) Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu

tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her

halde altı ayı geçemez.

(3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan

veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme

yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri


(4) Kurul, telafisi güç veya imkansız zararların doğması ve açıkça hukuka

aykırılık olması halinde, bu maddede belirlenen süreleri kısaltabilir.

MADDE 12 – Kişisel verileri ilgili kişinin talep etmesi durumunda silme

ve yok etme süreleri

(1) İlgili kişi, Kanunun 13 üncü maddesine istinaden veri sorumlusuna

başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep

ettiğinde;


111

a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu

talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri

sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili

kişiye bilgi verir.

b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu

olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu

üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında

gerekli işlemlerin yapılmasını temin eder.

c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri

sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca

gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün

içinde yazılı olarak ya da elektronik ortamda bildirilir.

DÖRDÜNCÜ BÖLÜM: Çeşitli ve Son Hükümler

MADDE 13 – Tereddütlerin giderilmesi

(1) Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri ve

uygulamaya ilişkin aksaklıkları gidermeye ve uygulamayı yönlendirmeye, ilke

ve standartları belirlemeye ve uygulama birliğini sağlayacak gerekli

düzenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi

istemeye, bu Yönetmelikte yer almayan konularda ilgili mevzuat hükümleri

çerçevesinde karar vermeye Kurul yetkilidir.


(1) Bu Yönetmelik 1/1/2018 tarihinde yürürlüğe girer.


(1) Bu Yönetmelik hükümlerini Başkan yürütür.


110

(2) Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri

sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin

başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından

uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir

bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

(3) Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her

türlü teknik ve idari tedbirleri almakla yükümlüdür.

MADDE 11 – Kişisel verileri resen silme, yok etme veya anonim hale

getirme süreleri

(1) Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu,

kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün

ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri


(2) Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu

tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her

halde altı ayı geçemez.

(3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan

veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme

yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri


(4) Kurul, telafisi güç veya imkansız zararların doğması ve açıkça hukuka

aykırılık olması halinde, bu maddede belirlenen süreleri kısaltabilir.

MADDE 12 – Kişisel verileri ilgili kişinin talep etmesi durumunda silme

ve yok etme süreleri

(1) İlgili kişi, Kanunun 13 üncü maddesine istinaden veri sorumlusuna

başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep

ettiğinde;


111

a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu

talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri

sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili

kişiye bilgi verir.

b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu

olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu

üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında

gerekli işlemlerin yapılmasını temin eder.

c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri

sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca

gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün

içinde yazılı olarak ya da elektronik ortamda bildirilir.













113

KİŞİSEL VERİLERİ KORUMA KURULU ÇALIŞMA USUL VE

ESASLARINA DAİR YÖNETMELİK




(1) Bu Yönetmelik Kişisel Verileri Koruma Kurulunun çalışma usul ve

esaslarını, görevlerini, yetkilerini ve sorumluluklarını belirlemek için

hazırlanmıştır.

MADDE 2 – Dayanak

(1) Bu Yönetmelik, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması

Kanununun 22 nci ve 23 üncü maddesine dayanılarak hazırlanmıştır.



a) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,

b) Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması

Kanununu,

c) Kurul: Kişisel Verileri Koruma Kurulunu,

ç) Kurum: Kişisel Verileri Koruma Kurumunu,

d) Üye: Kişisel Verileri Koruma Kurulu üyesini,

ifade eder.

113

KİŞİSEL VERİLERİ KORUMA KURULU ÇALIŞMA USUL VE

ESASLARINA DAİR YÖNETMELİK




(1) Bu Yönetmelik Kişisel Verileri Koruma Kurulunun çalışma usul ve

esaslarını, görevlerini, yetkilerini ve sorumluluklarını belirlemek için

hazırlanmıştır.

MADDE 2 – Dayanak

(1) Bu Yönetmelik, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması

Kanununun 22 nci ve 23 üncü maddesine dayanılarak hazırlanmıştır.



a) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,

b) Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması

Kanununu,

c) Kurul: Kişisel Verileri Koruma Kurulunu,

ç) Kurum: Kişisel Verileri Koruma Kurumunu,

d) Üye: Kişisel Verileri Koruma Kurulu üyesini,

ifade eder.

KİŞİSEL VERİLERİ KORUMA KURULU ÇALIŞMA USUL VE ESASLARINA DAİR YÖNETMELİK

114

İKİNCİ BÖLÜM: Kişisel Verileri Koruma Kurulu

MADDE 4 – Kurul

(1) Kurul, Kurumun karar organıdır. Kurul; biri Başkan, biri İkinci Başkan olmak

üzere toplam dokuz üyeden oluşur.

(2) Kurulun beş üyesi Türkiye Büyük Millet Meclisi, iki üyesi Cumhurbaşkanı,

iki üyesi Bakanlar Kurulu tarafından seçilir.

(3) Kurul, Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi




MADDE 5 – Başkan

(1) Kurumun en üst yöneticisi olan Başkan, Kurumun genel yönetim ve temsili

ile Kurul tarafından alınan kararların yürütülmesinden sorumludur.

(2) Başkan ve İkinci Başkan Kurul tarafından ayrı ayrı seçilir. Seçimde aday

gösterilmez. Seçimin gizli veya açık oylamayla yapılacağı Kurulca

kararlaştırılır. Sonuç bir tutanakla belirtilir ve toplantıya katılan Kurul

üyelerince imzalanır.

(3) Başkanın izin, hastalık, yurt dışı görev ve diğer nedenlerle yokluğunda

İkinci Başkan, Başkana vekaleteder.

MADDE 6 – Üyeler








115










MADDE 7 – Kurulun görev ve yetkileri



sağlamak.


karara bağlamak.



işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak.

ç) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici

işlem yapmak.

d) Özel nitelikli kişisel verilerin işlenmesi için alınması gereken yeterli

önlemleri belirlemek.

e) Veri Sorumluları Sicilinin tutulmasını sağlamak.

f) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine

ilişkin usul ve esasları belirlemek.


114

İKİNCİ BÖLÜM: Kişisel Verileri Koruma Kurulu

MADDE 4 – Kurul

(1) Kurul, Kurumun karar organıdır. Kurul; biri Başkan, biri İkinci Başkan olmak

üzere toplam dokuz üyeden oluşur.

(2) Kurulun beş üyesi Türkiye Büyük Millet Meclisi, iki üyesi Cumhurbaşkanı,

iki üyesi Bakanlar Kurulu tarafından seçilir.

(3) Kurul, Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi




MADDE 5 – Başkan

(1) Kurumun en üst yöneticisi olan Başkan, Kurumun genel yönetim ve temsili

ile Kurul tarafından alınan kararların yürütülmesinden sorumludur.

(2) Başkan ve İkinci Başkan Kurul tarafından ayrı ayrı seçilir. Seçimde aday

gösterilmez. Seçimin gizli veya açık oylamayla yapılacağı Kurulca

kararlaştırılır. Sonuç bir tutanakla belirtilir ve toplantıya katılan Kurul

üyelerince imzalanır.

(3) Başkanın izin, hastalık, yurt dışı görev ve diğer nedenlerle yokluğunda

İkinci Başkan, Başkana vekaleteder.

MADDE 6 – Üyeler








115










MADDE 7 – Kurulun görev ve yetkileri



sağlamak.


karara bağlamak.



işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak.

ç) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici

işlem yapmak.

d) Özel nitelikli kişisel verilerin işlenmesi için alınması gereken yeterli

önlemleri belirlemek.

e) Veri Sorumluları Sicilinin tutulmasını sağlamak.

f) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine

ilişkin usul ve esasları belirlemek.


116

g) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli


ğ) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin


h) Yurt dışına veri aktarılabilmesi için yeterli korumaya sahip olan ve olmayan

ülkeleri belirleyip ilan etmek.

ı) Kişisel verilerin korunması, işlenmesi ve güvenliği ile

ilgili sektörel uygulama esaslarını belirlemek ve akreditasyon, sertifikasyon,

eğitim ile rehberlik konularında usul ve esasları belirlemek.

i) Kişisel verilerin korunması ile ilgili yurt içi ve yurt dışı projeler yapmak ve

yaptırmak.

j) Kişisel verilerin korunması konusunda kurum ve kuruluşları bilgilendirmek,

kamuoyuna yönelik farkındalıkfaaliyetleri gerçekleştirmek.

k) Ücret tarifeleri ile ilgili çalışmalar yapmak.

l) Üniversiteler ve ilgili diğer yurt içi ve yurt dışı kurum ve kuruluşlarla işbirliği

ve koordinasyon çalışmaları yürütmek.

m) Kanunda öngörülen idari yaptırımlara karar vermek.

n) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm


o) Kurumun; stratejik planını karara bağlamak, amaç ve hedeflerini, hizmet


ö) Kurumun stratejik planı ile amaç ve hedeflerine uygun olarak hazırlanan


p) Kurumun performansı, mali durumu, yıllık faaliyetleri ve ihtiyaç duyulan



117

r) Taşınmaz alımı, satımı ve kiralanması konularındaki önerileri görüşüp

karara bağlamak.

ÜÇÜNCÜ BÖLÜM: Kurulun Çalışma Usul ve Esasları

MADDE 8 – Kurulun gündemi

(1) Kurul toplantı gündemleri; Başkan tarafından belirlenir.

(2) Gündem ve gündemdeki konulara ilişkin karar taslakları, karar için gerekli

dokümanlar ile Kurumun görüş ve önerileri, toplantı tarihinden en az 3 gün

önce İnceleme Dairesi Başkanlığı tarafından üyelere dağıtılır.

(3) Bir toplantıda, gündem maddelerinin görüşülmesi süre nedeniyle

bitirilemezse; görüşülemeyen maddeler herhangi bir işleme gerek

kalmaksızın bir sonraki toplantı gündemine dahil edilir.

MADDE 9 – Toplantı ve karar yeter sayısı

(1) Kurul, Başkan dâhil en az altı üye ile toplanır.

(2) Kurul, Başkanın belirleyeceği tarihte toplanır. Başkan gereken hâllerde

Kurulu olağanüstü toplantıya çağırabilir.

(3) Üyelerin bütün toplantılarda bulunmaları esastır.

(4) Toplantıya katılamayacak olan üyeler, geçerli mazeretlerini yazılı olarak

Başkanlığa bildirirler.

(5) Kurul, üye tam sayısının salt çoğunluğuyla karar alır. Kurul üyeleri

çekimser oy kullanamaz.

(6) Toplantılar esas itibariyle Kurum merkezinde yapılır. İhtiyaç duyulması

halinde Kurulca, Kurum merkezi dışındaki yerlerde de toplantı

yapılabilmesine karar verilebilir.

(7) Toplantıların fiziki olarak yapılması esas olmakla birlikte ihtiyaç duyulması

ve Başkanın uygun görmesi halinde gerekli güvenlik önlemleri alınarak


116

g) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli


ğ) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin


h) Yurt dışına veri aktarılabilmesi için yeterli korumaya sahip olan ve olmayan

ülkeleri belirleyip ilan etmek.

ı) Kişisel verilerin korunması, işlenmesi ve güvenliği ile

ilgili sektörel uygulama esaslarını belirlemek ve akreditasyon, sertifikasyon,

eğitim ile rehberlik konularında usul ve esasları belirlemek.

i) Kişisel verilerin korunması ile ilgili yurt içi ve yurt dışı projeler yapmak ve

yaptırmak.

j) Kişisel verilerin korunması konusunda kurum ve kuruluşları bilgilendirmek,

kamuoyuna yönelik farkındalıkfaaliyetleri gerçekleştirmek.

k) Ücret tarifeleri ile ilgili çalışmalar yapmak.

l) Üniversiteler ve ilgili diğer yurt içi ve yurt dışı kurum ve kuruluşlarla işbirliği

ve koordinasyon çalışmaları yürütmek.

m) Kanunda öngörülen idari yaptırımlara karar vermek.

n) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm


o) Kurumun; stratejik planını karara bağlamak, amaç ve hedeflerini, hizmet


ö) Kurumun stratejik planı ile amaç ve hedeflerine uygun olarak hazırlanan


p) Kurumun performansı, mali durumu, yıllık faaliyetleri ve ihtiyaç duyulan



117

r) Taşınmaz alımı, satımı ve kiralanması konularındaki önerileri görüşüp

karara bağlamak.

ÜÇÜNCÜ BÖLÜM: Kurulun Çalışma Usul ve Esasları

MADDE 8 – Kurulun gündemi

(1) Kurul toplantı gündemleri; Başkan tarafından belirlenir.

(2) Gündem ve gündemdeki konulara ilişkin karar taslakları, karar için gerekli

dokümanlar ile Kurumun görüş ve önerileri, toplantı tarihinden en az 3 gün

önce İnceleme Dairesi Başkanlığı tarafından üyelere dağıtılır.

(3) Bir toplantıda, gündem maddelerinin görüşülmesi süre nedeniyle

bitirilemezse; görüşülemeyen maddeler herhangi bir işleme gerek

kalmaksızın bir sonraki toplantı gündemine dahil edilir.

MADDE 9 – Toplantı ve karar yeter sayısı

(1) Kurul, Başkan dâhil en az altı üye ile toplanır.

(2) Kurul, Başkanın belirleyeceği tarihte toplanır. Başkan gereken hâllerde

Kurulu olağanüstü toplantıya çağırabilir.

(3) Üyelerin bütün toplantılarda bulunmaları esastır.

(4) Toplantıya katılamayacak olan üyeler, geçerli mazeretlerini yazılı olarak

Başkanlığa bildirirler.

(5) Kurul, üye tam sayısının salt çoğunluğuyla karar alır. Kurul üyeleri

çekimser oy kullanamaz.

(6) Toplantılar esas itibariyle Kurum merkezinde yapılır. İhtiyaç duyulması

halinde Kurulca, Kurum merkezi dışındaki yerlerde de toplantı

yapılabilmesine karar verilebilir.

(7) Toplantıların fiziki olarak yapılması esas olmakla birlikte ihtiyaç duyulması

ve Başkanın uygun görmesi halinde gerekli güvenlik önlemleri alınarak


118

elektronik ortamda toplantı yapılabilir ya da elektronik yollarla toplantıya

katılım sağlanabilir.

MADDE 10 – Görüşmelerde usul ve oylama

(1) Kararlar, müzakere yapılarak alınır. Konular gündemdeki sıralarına göre

görüşülür.

(2) Başkan, gündem maddelerinin görüşülmesinde sıra dâhilinde Kurul

üyelerine söz verir. Konu üzerinde görüşmeler tamamlandıktan sonra

gündem maddesi oya sunulur.

(3) Kararlar, kabul veya ret için el kaldırmak suretiyle işaretle oylanır.

(4) Kurul kararları toplantı bitiminde tutanak altına alınır.



bile eşlerini ilgilendiren konularla ilgili toplantı ve oylamaya katılamaz. Bu

durum karar metninde ayrıca belirtilir.

MADDE 11 – Görüşmelerin gizliliği ve toplantılara katılabilecek olanlar

(1) Aksi kararlaştırılmadıkça, Kurul toplantılarındaki görüşmeler gizlidir. Kurul

toplantılarına, Başkan ve üyeler ile görüşme tutanaklarını düzenlemekle

görevli personel dışında hiç kimse katılamaz. Ancak, Başkan tarafından,

ihtiyaç duyulması halinde taraflar, kişiler veya temsilciler Kurul toplantısına

davet edilebilir. Ancak Kurul kararları toplantıya dışarıdan katılanların yanında

alınmaz.

MADDE 12 – Karar

(1) Toplantıda görüşülen gündem maddelerine ilişkin alınan kararlar

tutanakla tespit edilir.

(2) Karar tutanağı toplantı esnasında toplantıya katılan tüm üyeler tarafından

imzalanır.


119

(3) Kanunda belirtilen süreler saklı kalmak üzere, Kurul kararı, alındığı toplantı

tarihinden itibaren en geç on beş gün içinde gerekçeleri, varsa karşı oy

gerekçeleri ile birlikte yazılır.

(4) Toplantıya katıldığı halde Kurul kararlarını süresi içinde mazeretsiz olarak

imzalamayan Kurul üyeleri, ilgili toplantı tutanağındaki beyanları

doğrultusunda oy kullanmış sayılır.

(5) Kurul toplantısında alınan her bir kararın yazıldığı son sayfa, toplantıya

katılan üyelerin isimleri yazılmak suretiyle üyelerce imzalanır, önceki sayfalar

ise imzalanır veya paraflanır.

(6) Toplantı ve karar numaraları, her yıl birden başlar ve o yılın sonuna kadar

sıra numarasını takip eder.

MADDE 13 – Kararlarda bulunması gereken hususlar

(1) Şikâyet üzerine veya ihlal iddiasının öğrenilmesi durumunda resen yapılan

inceleme sonucu verilen kararlar aşağıdaki hususları ihtiva eder:

a) Karar veren Kurul üyelerinin ad ve soyadları.

b) İnceleme ve araştırmayı yapanların ad ve soyadları.

c) Tarafların adı, soyadı ve unvanları ile adresleri ve sıfatları.

ç) Tarafların iddia ve beyanlarının özeti.

d) İddia ve beyanların değerlendirilmesi.

e) Kararın hukuki dayanağı.

f) Sonuç.

g) Varsa karşı oy gerekçeleri.

(2) Diğer kararlar aşağıdaki hususları ihtiva eder:


b) Kararın konusu ve hukuki dayanağı.


118

elektronik ortamda toplantı yapılabilir ya da elektronik yollarla toplantıya

katılım sağlanabilir.

MADDE 10 – Görüşmelerde usul ve oylama

(1) Kararlar, müzakere yapılarak alınır. Konular gündemdeki sıralarına göre

görüşülür.

(2) Başkan, gündem maddelerinin görüşülmesinde sıra dâhilinde Kurul

üyelerine söz verir. Konu üzerinde görüşmeler tamamlandıktan sonra

gündem maddesi oya sunulur.

(3) Kararlar, kabul veya ret için el kaldırmak suretiyle işaretle oylanır.

(4) Kurul kararları toplantı bitiminde tutanak altına alınır.



bile eşlerini ilgilendiren konularla ilgili toplantı ve oylamaya katılamaz. Bu

durum karar metninde ayrıca belirtilir.

MADDE 11 – Görüşmelerin gizliliği ve toplantılara katılabilecek olanlar

(1) Aksi kararlaştırılmadıkça, Kurul toplantılarındaki görüşmeler gizlidir. Kurul

toplantılarına, Başkan ve üyeler ile görüşme tutanaklarını düzenlemekle

görevli personel dışında hiç kimse katılamaz. Ancak, Başkan tarafından,

ihtiyaç duyulması halinde taraflar, kişiler veya temsilciler Kurul toplantısına

davet edilebilir. Ancak Kurul kararları toplantıya dışarıdan katılanların yanında

alınmaz.

MADDE 12 – Karar

(1) Toplantıda görüşülen gündem maddelerine ilişkin alınan kararlar

tutanakla tespit edilir.

(2) Karar tutanağı toplantı esnasında toplantıya katılan tüm üyeler tarafından

imzalanır.


119

(3) Kanunda belirtilen süreler saklı kalmak üzere, Kurul kararı, alındığı toplantı

tarihinden itibaren en geç on beş gün içinde gerekçeleri, varsa karşı oy

gerekçeleri ile birlikte yazılır.

(4) Toplantıya katıldığı halde Kurul kararlarını süresi içinde mazeretsiz olarak

imzalamayan Kurul üyeleri, ilgili toplantı tutanağındaki beyanları

doğrultusunda oy kullanmış sayılır.

(5) Kurul toplantısında alınan her bir kararın yazıldığı son sayfa, toplantıya

katılan üyelerin isimleri yazılmak suretiyle üyelerce imzalanır, önceki sayfalar

ise imzalanır veya paraflanır.

(6) Toplantı ve karar numaraları, her yıl birden başlar ve o yılın sonuna kadar

sıra numarasını takip eder.

MADDE 13 – Kararlarda bulunması gereken hususlar

(1) Şikâyet üzerine veya ihlal iddiasının öğrenilmesi durumunda resen yapılan

inceleme sonucu verilen kararlar aşağıdaki hususları ihtiva eder:


b) İnceleme ve araştırmayı yapanların ad ve soyadları.

c) Tarafların adı, soyadı ve unvanları ile adresleri ve sıfatları.

ç) Tarafların iddia ve beyanlarının özeti.

d) İddia ve beyanların değerlendirilmesi.

e) Kararın hukuki dayanağı.

f) Sonuç.

g) Varsa karşı oy gerekçeleri.

(2) Diğer kararlar aşağıdaki hususları ihtiva eder:


b) Kararın konusu ve hukuki dayanağı.


120

c) Sonuç.

ç) Varsa karşı oy gerekçeleri.

MADDE 14 – Kararların saklanması

(1) Kararlar İnceleme Dairesi Başkanlığı tarafından dosyalanır. Kararların

onaylı örnekleri ilgili birimlere gönderilir.

(2) Birimlere gönderilecek onaylı karar örneklerinde karşı oy gerekçeleri

bulunmaz.

(3) Karar örneklerinin aslına uygunluğu İnceleme Dairesi Başkanlığı

tarafından onaylanır.

MADDE 15 – Kararların açıklanması ve yayımlanması

(1) Kurul, gerekli gördüğü kararları kamuya duyurur.

(2) Kurul kararları, yazımın tamamlanmasının ardından ilgili taraflara bildirilir.

(3) Toplantılarda görüşülen konular ve alınan kararlar hakkında basın ve

yayın organlarına ancak Başkan tarafından açıklama yapılabilir.

MADDE 16 – Komisyon çalışmaları

(1) Kurulda görüşülüp, kararlaştırılması gereken konuların ön incelemesini

yapıp, daha ayrıntılı bir kapsam ve derinlikte Kurula sunmak üzere, üyelerden

oluşan ihtisas komisyonu veya çalışma grupları Kurul kararıyla kurulabilir.

Söz konusu komisyon veya çalışma gruplarında Kurul kararıyla Kurum

personeli görevlendirilebilir.

MADDE 17 – Sır saklama

(1) Kurul üyeleriyle, Başkan tarafından ihtiyaç duyulması halinde Kurul

toplantısına ya da hazırlık çalışmalarına katılanlar, çalışmaları sırasında

ilgililere ve üçüncü kişilere ait öğrendikleri sırları bu konuda kanunen yetkili

kılınan mercilerden başkasına açıklayamazlar ve kendi yararlarına


121

kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam

eder.


MADDE 18 – Düzenleme yetkisi

(1) Bu Yönetmelikte yer almayan ya da açıklık bulunmayan konularda ilgili

mevzuat hükümleri çerçevesinde karar vermeye, uygulamayı düzenlemeye

ve yönlendirmeye Kurul yetkilidir.






120

c) Sonuç.

ç) Varsa karşı oy gerekçeleri.

MADDE 14 – Kararların saklanması

(1) Kararlar İnceleme Dairesi Başkanlığı tarafından dosyalanır. Kararların

onaylı örnekleri ilgili birimlere gönderilir.

(2) Birimlere gönderilecek onaylı karar örneklerinde karşı oy gerekçeleri

bulunmaz.

(3) Karar örneklerinin aslına uygunluğu İnceleme Dairesi Başkanlığı

tarafından onaylanır.

MADDE 15 – Kararların açıklanması ve yayımlanması

(1) Kurul, gerekli gördüğü kararları kamuya duyurur.

(2) Kurul kararları, yazımın tamamlanmasının ardından ilgili taraflara bildirilir.

(3) Toplantılarda görüşülen konular ve alınan kararlar hakkında basın ve

yayın organlarına ancak Başkan tarafından açıklama yapılabilir.

MADDE 16 – Komisyon çalışmaları

(1) Kurulda görüşülüp, kararlaştırılması gereken konuların ön incelemesini

yapıp, daha ayrıntılı bir kapsam ve derinlikte Kurula sunmak üzere, üyelerden

oluşan ihtisas komisyonu veya çalışma grupları Kurul kararıyla kurulabilir.

Söz konusu komisyon veya çalışma gruplarında Kurul kararıyla Kurum

personeli görevlendirilebilir.

MADDE 17 – Sır saklama

(1) Kurul üyeleriyle, Başkan tarafından ihtiyaç duyulması halinde Kurul

toplantısına ya da hazırlık çalışmalarına katılanlar, çalışmaları sırasında

ilgililere ve üçüncü kişilere ait öğrendikleri sırları bu konuda kanunen yetkili

kılınan mercilerden başkasına açıklayamazlar ve kendi yararlarına


121

kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam

eder.


MADDE 18 – Düzenleme yetkisi

(1) Bu Yönetmelikte yer almayan ya da açıklık bulunmayan konularda ilgili

mevzuat hükümleri çerçevesinde karar vermeye, uygulamayı düzenlemeye

ve yönlendirmeye Kurul yetkilidir.





123

VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK



MADDE 1 – Amaç

(1) Bu Yönetmeliğin amacı, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin

Korunması Kanunu uyarınca Kurulun gözetiminde, Başkanlık tarafından

kamuya açık olarak tutulacak olan Veri Sorumluları Sicilinin oluşturulması,

idaresi ile Veri Sorumluları Siciline yapılması öngörülen kayıtlara ilişkin usul

ve esasları belirlemek ve uygulanmasını sağlamaktır.

MADDE 2 – Kapsam

(1) Bu Yönetmelik, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen,


ve tüzel kişileri kapsar.

MADDE 3 – Dayanak

(1) Bu Yönetmelik, 6698 sayılı Kanunun 16 ncı maddesinin beşinci fıkrası ile

22 nci maddesinin birinci fıkrasının (d) ve (e) bentlerine dayanılarak

hazırlanmıştır.





b) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,

c) Başkanlık: Kişisel Verileri Koruma Kurumu Başkanlığını,

ç) İrtibat kişisi: Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik

olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı

123




MADDE 1 – Amaç

(1) Bu Yönetmeliğin amacı, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin

Korunması Kanunu uyarınca Kurulun gözetiminde, Başkanlık tarafından

kamuya açık olarak tutulacak olan Veri Sorumluları Sicilinin oluşturulması,

idaresi ile Veri Sorumluları Siciline yapılması öngörülen kayıtlara ilişkin usul

ve esasları belirlemek ve uygulanmasını sağlamaktır.

MADDE 2 – Kapsam

(1) Bu Yönetmelik, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen,


ve tüzel kişileri kapsar.

MADDE 3 – Dayanak

(1) Bu Yönetmelik, 6698 sayılı Kanunun 16 ncı maddesinin beşinci fıkrası ile

22 nci maddesinin birinci fıkrasının (d) ve (e) bentlerine dayanılarak

hazırlanmıştır.





b) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,

c) Başkanlık: Kişisel Verileri Koruma Kurumu Başkanlığını,

ç) İrtibat kişisi: Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik

olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı


124

olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili

olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt

esnasında bildirilen gerçek kişiyi,


e) Kayıt: Kayıt yükümlülüğü altında bulunan veri sorumlularının Yönetmelik

ile belirlenen usul ve esaslara uygun olarak yaptığı bildirimi,

f) Kayıt yükümlülüğü: Yönetmelik uyarınca gerçekleştirilmesi gereken kayıt

ile ilgili yükümlülüğü,

g) Kayıtlı elektronik posta (KEP) adresi: Elektronik iletilerin, gönderimi ve

teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukuki delil sağlayan,

elektronik postanın nitelikli şeklini,

ğ) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü

bilgiyi,

h) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak

gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme

amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla

ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için

gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri

ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları

envanteri,

ı) Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin



i) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik





125

devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da


işlemi,

j) Kurul: Kişisel Verileri Koruma Kurulunu,

k) Kurum: Kurul ve Başkanlıktan oluşan Kişisel Verileri Koruma Kurumunu,

l) Sicil: Başkanlık tarafından tutulan Veri Sorumluları Sicilini,

m) Veri kategorisi: Kişisel verilerin ortak özelliklerine göre gruplandırıldığı

veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfını,

n) Veri konusu kişi grubu: Veri sorumlularının kişisel verilerini işledikleri ilgili

kişi kategorisini,

o) Veri sorumluları sicil bilgi sistemi (VERBİS): Veri sorumlularının Sicile

başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet

üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim

sistemini,

ö) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen,



p) Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını

bu Yönetmeliğin 11 inci maddesinin ikinci fıkrasında belirtilen konularda

asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti

vatandaşı gerçek kişiyi,

ifade eder.

(2) Bu Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar uygulanır.


124

olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili

olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt

esnasında bildirilen gerçek kişiyi,


e) Kayıt: Kayıt yükümlülüğü altında bulunan veri sorumlularının Yönetmelik

ile belirlenen usul ve esaslara uygun olarak yaptığı bildirimi,

f) Kayıt yükümlülüğü: Yönetmelik uyarınca gerçekleştirilmesi gereken kayıt

ile ilgili yükümlülüğü,

g) Kayıtlı elektronik posta (KEP) adresi: Elektronik iletilerin, gönderimi ve

teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukuki delil sağlayan,

elektronik postanın nitelikli şeklini,

ğ) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü

bilgiyi,

h) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak

gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme

amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla

ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için

gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri

ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları

envanteri,

ı) Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin



i) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik





125

devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da


işlemi,

j) Kurul: Kişisel Verileri Koruma Kurulunu,

k) Kurum: Kurul ve Başkanlıktan oluşan Kişisel Verileri Koruma Kurumunu,

l) Sicil: Başkanlık tarafından tutulan Veri Sorumluları Sicilini,

m) Veri kategorisi: Kişisel verilerin ortak özelliklerine göre gruplandırıldığı

veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfını,

n) Veri konusu kişi grubu: Veri sorumlularının kişisel verilerini işledikleri ilgili

kişi kategorisini,

o) Veri sorumluları sicil bilgi sistemi (VERBİS): Veri sorumlularının Sicile

başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet

üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim

sistemini,

ö) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen,



p) Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını

bu Yönetmeliğin 11 inci maddesinin ikinci fıkrasında belirtilen konularda

asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti

vatandaşı gerçek kişiyi,

ifade eder.

(2) Bu Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar uygulanır.


126

İKİNCİ BÖLÜM: Sicilin Oluşturulması, İdaresi, Gözetimi ve Sicile Erişim

MADDE 5 – İlke, usul ve esaslar

(1) Sicilin oluşturulması, idaresi ve gözetimi hususunda aşağıdaki ilke, usul ve

esaslara uyulur:

a) Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kaydolmak

zorundadır.

b) Türkiye’de yerleşik olmayan veri sorumluları, veri işlemeye başlamadan

önce veri sorumlusu temsilcisi marifetiyle Sicile kaydolmak zorundadır.

c) Sicil kamuya açık biçimde tutulur. Kurul, kamuya açıklık ilkesinin

sağlanması şartıyla, bu ilkenin kapsamı ve istisnalarını belirleme yetkisini

haizdir.

ç) Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme

Envanterine dayalı olarak hazırlanır.

d) Kanunun 10 uncu maddesinde veri sorumluları için belirtilen aydınlatma

yükümlülüğünde, Kanunun 13 üncü maddesinde belirtilen ilgili kişi

başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık

rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı

olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır.

e) Veri sorumluları, Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz,

doğru, güncel ve hukuka uygun olmasından sorumludur. Veri sorumlularının

Sicile kaydolması Kanun kapsamındaki diğer yükümlülüklerini ortadan

kaldırmaz.

f) Kanunun 28 inci maddesinde belirtilen durumlar saklı kalmak kaydıyla

Yönetmeliğin 16 ncı maddesinde belirtilen objektif kriterlere dayalı olarak

belirli şartları taşıyan veri sorumlularının Kurul tarafından Sicile kayıtla

yükümlü tutulmaması; bu veri sorumlularının Kanun kapsamındaki

yükümlülüklerini ortadan kaldırmaz.


127

g) Sicile ilişkin işlemler, veri sorumluları tarafından VERBİS üzerinden

gerçekleştirilir.

ğ) Veri sorumluları tarafından Sicile sunulan ve Sicilde yayınlanan kişisel

verilerin işlendikleri amaç için gerekli olan azami süre; Kanunun 7 nci

maddesinde belirtilen veri sorumlularının silme, yok etme veya anonim hale

getirme yükümlülüklerinin yerine getirilmesinde esas alınır.

MADDE 6 – Sicilin oluşturulması, idaresi ve gözetimi

(1) Sicil, Başkanlık tarafından oluşturulur. Başkanlık, Sicilin oluşturulması,

idaresi, güncel biçimde tutulması ve muhafaza edilmesi amacıyla; VERBİS’in

kurulması ve işletilmesi için gerekli teknik ve idari tedbirleri alır.

(2) Sicilin oluşturulmasından ve idaresinden sorumlu hizmet birimi, Veri

Yönetimi Dairesi Başkanlığıdır.

(3) Sicilin gözetimi Kurul tarafından gerçekleştirilir. Veri Yönetimi Dairesi

Başkanlığı tarafından üç aylık dönemler halinde hazırlanan ve kapsamı Kurul

tarafından belirlenecek olan faaliyet raporu Kurula sunulur.

MADDE 7 – Sicile erişim

(1) Başkanlık, Sicilde yer alan güncel bilgileri Kurul kararları uyarınca

belirlenecek uygun yöntemlerle kamuya açıklar.

(2) Veri sorumluları sicilinde yer alan bilgilerden aşağıdakiler kamuya

açıklanır:

a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisinin adı,

adresi ve alınmış olması halinde KEP adresi,

b) Kişisel verilerin hangi amaçlarla işlenebileceği,

c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri,

ç) Kişisel verilerin aktarılabileceği alıcı ve alıcı grupları,

d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,


126

İKİNCİ BÖLÜM: Sicilin Oluşturulması, İdaresi, Gözetimi ve Sicile Erişim

MADDE 5 – İlke, usul ve esaslar

(1) Sicilin oluşturulması, idaresi ve gözetimi hususunda aşağıdaki ilke, usul ve

esaslara uyulur:

a) Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kaydolmak

zorundadır.

b) Türkiye’de yerleşik olmayan veri sorumluları, veri işlemeye başlamadan

önce veri sorumlusu temsilcisi marifetiyle Sicile kaydolmak zorundadır.

c) Sicil kamuya açık biçimde tutulur. Kurul, kamuya açıklık ilkesinin

sağlanması şartıyla, bu ilkenin kapsamı ve istisnalarını belirleme yetkisini

haizdir.

ç) Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme

Envanterine dayalı olarak hazırlanır.

d) Kanunun 10 uncu maddesinde veri sorumluları için belirtilen aydınlatma

yükümlülüğünde, Kanunun 13 üncü maddesinde belirtilen ilgili kişi

başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık

rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı

olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır.

e) Veri sorumluları, Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz,

doğru, güncel ve hukuka uygun olmasından sorumludur. Veri sorumlularının

Sicile kaydolması Kanun kapsamındaki diğer yükümlülüklerini ortadan

kaldırmaz.

f) Kanunun 28 inci maddesinde belirtilen durumlar saklı kalmak kaydıyla

Yönetmeliğin 16 ncı maddesinde belirtilen objektif kriterlere dayalı olarak

belirli şartları taşıyan veri sorumlularının Kurul tarafından Sicile kayıtla

yükümlü tutulmaması; bu veri sorumlularının Kanun kapsamındaki



127

g) Sicile ilişkin işlemler, veri sorumluları tarafından VERBİS üzerinden

gerçekleştirilir.

ğ) Veri sorumluları tarafından Sicile sunulan ve Sicilde yayınlanan kişisel

verilerin işlendikleri amaç için gerekli olan azami süre; Kanunun 7 nci

maddesinde belirtilen veri sorumlularının silme, yok etme veya anonim hale

getirme yükümlülüklerinin yerine getirilmesinde esas alınır.

MADDE 6 – Sicilin oluşturulması, idaresi ve gözetimi

(1) Sicil, Başkanlık tarafından oluşturulur. Başkanlık, Sicilin oluşturulması,

idaresi, güncel biçimde tutulması ve muhafaza edilmesi amacıyla; VERBİS’in

kurulması ve işletilmesi için gerekli teknik ve idari tedbirleri alır.

(2) Sicilin oluşturulmasından ve idaresinden sorumlu hizmet birimi, Veri

Yönetimi Dairesi Başkanlığıdır.

(3) Sicilin gözetimi Kurul tarafından gerçekleştirilir. Veri Yönetimi Dairesi

Başkanlığı tarafından üç aylık dönemler halinde hazırlanan ve kapsamı Kurul

tarafından belirlenecek olan faaliyet raporu Kurula sunulur.

MADDE 7 – Sicile erişim

(1) Başkanlık, Sicilde yer alan güncel bilgileri Kurul kararları uyarınca

belirlenecek uygun yöntemlerle kamuya açıklar.

(2) Veri sorumluları sicilinde yer alan bilgilerden aşağıdakiler kamuya

açıklanır:

a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisinin adı,

adresi ve alınmış olması halinde KEP adresi,

b) Kişisel verilerin hangi amaçlarla işlenebileceği,

c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri,

ç) Kişisel verilerin aktarılabileceği alıcı ve alıcı grupları,



128

e) Sicile kayıt tarihi ile kaydın sona erdiği tarih,

f) Kişisel veri güvenliğine ilişkin alınan tedbirler,

g) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

ÜÇÜNCÜ BÖLÜM: Kayıt Yükümlülüğünün Başlangıcı, VERBİS’e Girilecek

Bilgiler, Kayıt Başvurusu, Kaydın Yenilenmesi ve Silinmesi

MADDE 8 – Kayıt yükümlülüğünün başlangıcı

(1) Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kayıt

yükümlülüklerini yerine getirmek zorundadır.

(2) Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline

gelen veri sorumluları, yükümlülük altına girmelerini müteakip otuz gün

içerisinde Sicile kaydolurlar.

(3) Kayıt yükümlülüğü altında bulunan veri sorumluları, herhangi bir fiili,

teknik ya da hukuki imkânsızlık nedeniyle kayıt yükümlülüklerinin yerine

getirilememesi halinde, bu imkânsızlığın ortaya çıktığı tarihten itibaren en

geç 7 iş günü içerisinde Kuruma yazılı olarak başvurmak ve gerekçesini

belirtmek şartıyla, kayıt yükümlülüklerini yerine getirmek için Kurumdan ek

süre talep edebilirler. Kurum, bir defaya mahsus olmak ve her halde otuz

günü geçmemek üzere ek süre verebilir.

MADDE 9 – Kayıt yükümlülüğü kapsamında iletilecek bilgiler

(1) Sicile yapılan kayıt başvurusu aşağıdaki bilgileri içerir:

a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik

ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda

yer alan bilgiler,



129


hakkındaki açıklamalar,

ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,


e) Kanunun 12 nci maddesinde öngörülen ve Kurul tarafından belirlenen

kriterlere göre alınan tedbirler,

f) Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli

olan azami muhafaza edilme süresi.

(2) Veri sorumluları tarafından birinci fıkranın (b), (c), (ç) ve (d) bentleri

uyarınca Sicile açıklanacak bilgiler; Kişisel Veri İşleme Envanterine dayalı

olarak VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile

iletilir.

(3) Veri sorumluları tarafından birinci fıkranın (e) bendi uyarınca Sicile

açıklanacak bilgiler; Kanunun 12 nci maddesinde belirtilen hususları

kapsayacak şekilde VERBİS’te belirtilen başlıklar kullanılarak VERBİS

üzerinden Sicile iletilir.

(4) Veri sorumluları tarafından birinci fıkranın (f) bendi uyarınca Sicile

açıklanacak kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için

gerekli olan azami muhafaza edilme süresine ilişkin bilgiler veri kategorileri

ile eşleştirilerek Sicile bildirilir. Veri sorumlusu tarafından Sicile bildirilen veri

kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için

gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler

farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi

öngörülmüşse öngörülen bu süre yoksa bunlardan en uzun süre esas

alınarak bu veri kategorisi için Sicile bildirim yapılır. Kişisel verilerin

işlendikleri amaç için gerekli olan azami muhafaza edilme süresi

belirlenirken;


128

e) Sicile kayıt tarihi ile kaydın sona erdiği tarih,

f) Kişisel veri güvenliğine ilişkin alınan tedbirler,

g) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

ÜÇÜNCÜ BÖLÜM: Kayıt Yükümlülüğünün Başlangıcı, VERBİS’e Girilecek

Bilgiler, Kayıt Başvurusu, Kaydın Yenilenmesi ve Silinmesi

MADDE 8 – Kayıt yükümlülüğünün başlangıcı

(1) Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kayıt

yükümlülüklerini yerine getirmek zorundadır.

(2) Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline

gelen veri sorumluları, yükümlülük altına girmelerini müteakip otuz gün

içerisinde Sicile kaydolurlar.

(3) Kayıt yükümlülüğü altında bulunan veri sorumluları, herhangi bir fiili,

teknik ya da hukuki imkânsızlık nedeniyle kayıt yükümlülüklerinin yerine

getirilememesi halinde, bu imkânsızlığın ortaya çıktığı tarihten itibaren en

geç 7 iş günü içerisinde Kuruma yazılı olarak başvurmak ve gerekçesini

belirtmek şartıyla, kayıt yükümlülüklerini yerine getirmek için Kurumdan ek

süre talep edebilirler. Kurum, bir defaya mahsus olmak ve her halde otuz

günü geçmemek üzere ek süre verebilir.

MADDE 9 – Kayıt yükümlülüğü kapsamında iletilecek bilgiler

(1) Sicile yapılan kayıt başvurusu aşağıdaki bilgileri içerir:

a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik

ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda

yer alan bilgiler,



129


hakkındaki açıklamalar,

ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,


e) Kanunun 12 nci maddesinde öngörülen ve Kurul tarafından belirlenen

kriterlere göre alınan tedbirler,

f) Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli

olan azami muhafaza edilme süresi.

(2) Veri sorumluları tarafından birinci fıkranın (b), (c), (ç) ve (d) bentleri

uyarınca Sicile açıklanacak bilgiler; Kişisel Veri İşleme Envanterine dayalı

olarak VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile

iletilir.

(3) Veri sorumluları tarafından birinci fıkranın (e) bendi uyarınca Sicile

açıklanacak bilgiler; Kanunun 12 nci maddesinde belirtilen hususları

kapsayacak şekilde VERBİS’te belirtilen başlıklar kullanılarak VERBİS

üzerinden Sicile iletilir.

(4) Veri sorumluları tarafından birinci fıkranın (f) bendi uyarınca Sicile

açıklanacak kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için

gerekli olan azami muhafaza edilme süresine ilişkin bilgiler veri kategorileri

ile eşleştirilerek Sicile bildirilir. Veri sorumlusu tarafından Sicile bildirilen veri

kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için

gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler

farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi

öngörülmüşse öngörülen bu süre yoksa bunlardan en uzun süre esas

alınarak bu veri kategorisi için Sicile bildirim yapılır. Kişisel verilerin

işlendikleri amaç için gerekli olan azami muhafaza edilme süresi

belirlenirken;


130

a) İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun

faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,

b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve

ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,

c) İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun

elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak

geçerli olacağı süre,

ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının

yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,

d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde

güncel tutulmasına elverişli olup olmadığı,

e) Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer

alan kişisel verileri saklamak zorunda olduğu süre,

f) Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye

bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi,

dikkate alınır.

(5) Veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami

sürenin belirlenmesi, bu sürelerin kişisel veri işleme envanterinde belirtilen

bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için kişisel veri

saklama ve imha politikası hazırlayarak, bu politikanın uygulanmasını temin

ederler.

(6) VERBİS içerisinde belirtilen başlıkların ve içeriklerinin, veri sorumlusunun

gerçekleştirdiği faaliyetleri ve Sicile iletmesi gereken bilgileri tam olarak

kapsamaması durumunda; veri sorumlusu bu bilgileri ayrıca VERBİS

içerisinde bu amaca ilişkin ayrılan “Diğer” başlıklı bölümlere girerek Sicile

bildirimini tamamlar.


131

MADDE 10 – Kayıt başvurusu

(1) Veri sorumluları, 9 uncu maddede belirtilen bilgileri VERBİS’e yüklemek

suretiyle kayıt yükümlülüğünü yerine getirmiş sayılır.

(2) Kurum tarafından 8 inci maddenin üçüncü fıkrasında belirtildiği üzere

kendilerine ek süre verilmiş olan veri sorumluları, bu süre tamamlanmadan

kayıt başvurusunu tamamlamak zorundadır.

MADDE 11 – Veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisinin

yükümlülükleri

(1) Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik

olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili

mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya

ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel

kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine

getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi

görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin

sorumluluğunu ortadan kaldırmaz.

(2) Türkiye’de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi

atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli

örneği, kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından

Kuruma sunulur.

(3) Veri sorumlusu temsilcisi atama kararı, asgari olarak aşağıda belirtilen

hususları kapsayacak şekilde düzenlenir:

a) Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına

tebellüğ veya kabul etme,

b) Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna

iletme, veri sorumlusundan gelecek cevabı Kuruma iletme,


130

a) İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun

faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,

b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve

ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,

c) İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun

elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak

geçerli olacağı süre,

ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının

yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,

d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde

güncel tutulmasına elverişli olup olmadığı,

e) Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer

alan kişisel verileri saklamak zorunda olduğu süre,

f) Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye

bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi,

dikkate alınır.

(5) Veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami

sürenin belirlenmesi, bu sürelerin kişisel veri işleme envanterinde belirtilen

bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için kişisel veri

saklama ve imha politikası hazırlayarak, bu politikanın uygulanmasını temin

ederler.

(6) VERBİS içerisinde belirtilen başlıkların ve içeriklerinin, veri sorumlusunun

gerçekleştirdiği faaliyetleri ve Sicile iletmesi gereken bilgileri tam olarak

kapsamaması durumunda; veri sorumlusu bu bilgileri ayrıca VERBİS

içerisinde bu amaca ilişkin ayrılan “Diğer” başlıklı bölümlere girerek Sicile

bildirimini tamamlar.


131

MADDE 10 – Kayıt başvurusu

(1) Veri sorumluları, 9 uncu maddede belirtilen bilgileri VERBİS’e yüklemek

suretiyle kayıt yükümlülüğünü yerine getirmiş sayılır.

(2) Kurum tarafından 8 inci maddenin üçüncü fıkrasında belirtildiği üzere

kendilerine ek süre verilmiş olan veri sorumluları, bu süre tamamlanmadan

kayıt başvurusunu tamamlamak zorundadır.

MADDE 11 – Veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisinin

yükümlülükleri

(1) Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik

olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili

mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya

ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel

kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine

getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi

görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin

sorumluluğunu ortadan kaldırmaz.

(2) Türkiye’de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi

atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli

örneği, kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından

Kuruma sunulur.

(3) Veri sorumlusu temsilcisi atama kararı, asgari olarak aşağıda belirtilen

hususları kapsayacak şekilde düzenlenir:

a) Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına

tebellüğ veya kabul etme,

b) Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna

iletme, veri sorumlusundan gelecek cevabı Kuruma iletme,


132

c) Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili

kişilerin Kanunun 13 üncü maddesinin birinci fıkrası uyarınca veri

sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri

sorumlusuna iletme,

ç) Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili

kişilere Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca veri

sorumlusunun cevabını iletme,

d) Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapma.

(4) Türkiye’de yerleşik olan tüzel kişiler Sicile kayıt sırasında irtibat kişisi

bilgilerini Sicile işlerler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik

hükümlerine göre temsile yetkili değildir. İrtibat kişisi, ilgili kişilerin veri

sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi

sağlar.

(5) Kamu kurum ve kuruluşlarında irtibat kişisi, üst düzey yönetici tarafından

Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire

başkanı veya üstü yöneticidir.

MADDE 12 – İletişimin sağlanması

(1) Kanunun uygulanmasıyla ilgili olarak Kurum tarafından veri sorumlusuyla

kurulacak her türlü iletişim;

a) Türkiye’de yerleşik tüzel kişiler için, Sicile bildirilen kimlik, adres veya KEP

adresi bilgileri üzerinden ilgili tüzel kişi,

b) Türkiye’de yerleşik gerçek kişiler için, Sicile bildirilen kimlik, adres veya

KEP adresi bilgileri üzerinden ilgili gerçek kişi,

c) Türkiye’de yerleşik olmayan veri sorumluları için, Sicile bildirilen veri

sorumlusu temsilcisi,

vasıtasıyla gerçekleştirilir.


133

MADDE 13 – Kayıt bilgilerinde değişiklikler

(1) Veri sorumluları, sicilde kayıtlı bilgilerde değişiklik olması halinde

meydana gelen değişiklikleri, VERBİS üzerinden yedi gün içerisinde Kuruma

bildirir.

MADDE 14 – Sicil kaydının silinmesi

(1) Veri sorumlusu, sicil kaydının silinmesine ilişkin olarak VERBİS üzerinden

Kuruma başvurur.

(2) Kayıt yükümlüğünü gerektiren faaliyet sona erer ya da ortadan kalkarsa,

sicil kaydı silinir. Bu kayıtlar, istendiğinde erişilebilir olmakla birlikte üzerinde

herhangi bir değişiklik yapılamayacak şekilde tutulur.

(3) Sicil kaydının silinmesi veri sorumlusunun Sicile kayıtlı olduğu dönemdeki


DÖRDÜNCÜ BÖLÜM: Kayıt Yükümlülüğünün İstisnaları

MADDE 15 – İstisna uygulanacak haller

(1) Aşağıda belirtilen kişisel veri işleme faaliyetleri bakımından veri

sorumlusunun bu faaliyetleri Sicile kayıt etmesi ve bildirmesi yükümlülüğü

yoktur:









132

c) Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili

kişilerin Kanunun 13 üncü maddesinin birinci fıkrası uyarınca veri

sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri

sorumlusuna iletme,

ç) Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili

kişilere Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca veri

sorumlusunun cevabını iletme,

d) Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapma.

(4) Türkiye’de yerleşik olan tüzel kişiler Sicile kayıt sırasında irtibat kişisi

bilgilerini Sicile işlerler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik

hükümlerine göre temsile yetkili değildir. İrtibat kişisi, ilgili kişilerin veri

sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi

sağlar.

(5) Kamu kurum ve kuruluşlarında irtibat kişisi, üst düzey yönetici tarafından

Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire

başkanı veya üstü yöneticidir.

MADDE 12 – İletişimin sağlanması

(1) Kanunun uygulanmasıyla ilgili olarak Kurum tarafından veri sorumlusuyla

kurulacak her türlü iletişim;

a) Türkiye’de yerleşik tüzel kişiler için, Sicile bildirilen kimlik, adres veya KEP

adresi bilgileri üzerinden ilgili tüzel kişi,

b) Türkiye’de yerleşik gerçek kişiler için, Sicile bildirilen kimlik, adres veya

KEP adresi bilgileri üzerinden ilgili gerçek kişi,

c) Türkiye’de yerleşik olmayan veri sorumluları için, Sicile bildirilen veri

sorumlusu temsilcisi,

vasıtasıyla gerçekleştirilir.


133

MADDE 13 – Kayıt bilgilerinde değişiklikler

(1) Veri sorumluları, sicilde kayıtlı bilgilerde değişiklik olması halinde

meydana gelen değişiklikleri, VERBİS üzerinden yedi gün içerisinde Kuruma

bildirir.

MADDE 14 – Sicil kaydının silinmesi

(1) Veri sorumlusu, sicil kaydının silinmesine ilişkin olarak VERBİS üzerinden

Kuruma başvurur.

(2) Kayıt yükümlüğünü gerektiren faaliyet sona erer ya da ortadan kalkarsa,

sicil kaydı silinir. Bu kayıtlar, istendiğinde erişilebilir olmakla birlikte üzerinde

herhangi bir değişiklik yapılamayacak şekilde tutulur.

(3) Sicil kaydının silinmesi veri sorumlusunun Sicile kayıtlı olduğu dönemdeki


DÖRDÜNCÜ BÖLÜM: Kayıt Yükümlülüğünün İstisnaları

MADDE 15 – İstisna uygulanacak haller

(1) Aşağıda belirtilen kişisel veri işleme faaliyetleri bakımından veri

sorumlusunun bu faaliyetleri Sicile kayıt etmesi ve bildirmesi yükümlülüğü

yoktur:









134



MADDE 16 – İstisna kriterleri

(1) Kurul, aşağıdaki kriterleri göz önünde bulundurarak kayıt yükümlülüğüne

istisna getirebilir:

a) Kişisel verinin niteliği.

b) Kişisel verinin sayısı.

c) Kişisel verinin işlenme amacı.

ç) Kişisel verinin işlendiği faaliyet alanı.

d) Kişisel verinin üçüncü kişilere aktarılma durumu.

e) Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması.

f) Kişisel verilerin muhafaza edilmesi süresi.

g) Veri konusu kişi grubu veya veri kategorileri.

(2) Kurul, birinci fıkrada sayılan kriterler çerçevesinde belirlenen istisnaların

kapsamı ile uygulama usul ve esaslarını belirlemek amacıyla karar alma

yetkisini haizdir. Kurul bu kararlarını uygun yöntemlerle yayımlayarak

kamuya duyurur.

BEŞİNCİ BÖLÜM: Çeşitli ve Son Hükümler

MADDE 17 – İdari yaptırım

(1) Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket

edenler hakkında Kanunun 18 inci maddesinin birinci fıkrasının (ç) bendinde

yer alan idari para cezası uygulanır.


edilmesi eyleminin, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki


135

meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim

üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer

kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev

yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula

bildirilir.













134



MADDE 16 – İstisna kriterleri

(1) Kurul, aşağıdaki kriterleri göz önünde bulundurarak kayıt yükümlülüğüne

istisna getirebilir:

a) Kişisel verinin niteliği.

b) Kişisel verinin sayısı.

c) Kişisel verinin işlenme amacı.

ç) Kişisel verinin işlendiği faaliyet alanı.

d) Kişisel verinin üçüncü kişilere aktarılma durumu.

e) Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması.

f) Kişisel verilerin muhafaza edilmesi süresi.

g) Veri konusu kişi grubu veya veri kategorileri.

(2) Kurul, birinci fıkrada sayılan kriterler çerçevesinde belirlenen istisnaların

kapsamı ile uygulama usul ve esaslarını belirlemek amacıyla karar alma

yetkisini haizdir. Kurul bu kararlarını uygun yöntemlerle yayımlayarak

kamuya duyurur.

BEŞİNCİ BÖLÜM: Çeşitli ve Son Hükümler

MADDE 17 – İdari yaptırım


edenler hakkında Kanunun 18 inci maddesinin birinci fıkrasının (ç) bendinde

yer alan idari para cezası uygulanır.


edilmesi eyleminin, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki


135

meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim

üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer

kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev

yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula

bildirilir.












137


DİĞER DÜZENLEMELER

137


DİĞER DÜZENLEMELER

139

1774 SAYILI KİMLİK BİLDİRME KANUNU


MADDE 1

Bu Kanunda sayılan, özel veya resmi, her türlü konaklama, dinlenme bakım

ve tedavi tesisleri ve işyerleri ile konutlarda GEÇİCİ veya sürekli olarak

kalanlar, oturanlar, çalışanlar ve ayrılanlar ile araç kiralayan gerçek ve tüzel

kişilerin kimliklerinin tespiti ve bildirilmesi bu Kanunun hükümlerine göre

yapılır.4

Askeri konaklama, dinlenme ve kamp tesisleri ile ordu evleri bu Kanunun

kapsamı dışındadır.

MADDE 2

Otel, motel, han, pansiyon, bekar odaları, günübirlik kiralanan evler, kamp,

kamping, tatil köyü ve benzeri her türlü, özel veya resmi konaklama yerleri

ile özel sağlık müesseseleri, dinlenme ve huzur evleri, dini ve hayır

kurumlarının sosyal tesislerinin sorumlu işleticileri, bu yerlerde ücretli veya

ücretsiz, gündüz veya gece, yatacak yer gösterdikleri yerli veya yabancı

herkesin kimlik ve geliş- ayrılış kayıtlarını, örneğine ve usulüne uygun şekilde

günü gününe tutmak, genel kolluk örgütlerinin her an incelemelerine hazır

bulundurmak, Devlet İstatistik Enstitüsüne, talebi halinde vermek

zorundadırlar.5

4 27/3/2015 tarihli ve 6638 sayılı Kanunun 18 inci maddesiyle, bu fıkrada yer alan “ayrılanların” ibaresi “ayrılanlar ile araç kiralayan gerçek ve tüzel kişilerin” şeklinde değiştirilmiştir.

5 31/10/2016 tarihli ve 678 sayılı KHK’nin 2 nci maddesiyle, bu maddenin birinci fıkrasına “bekar odaları,” ibaresinden sonra gelmek üzere “günübirlik kiralanan evler,” ibaresi eklenmiştir.

139



MADDE 1

Bu Kanunda sayılan, özel veya resmi, her türlü konaklama, dinlenme bakım

ve tedavi tesisleri ve işyerleri ile konutlarda GEÇİCİ veya sürekli olarak

kalanlar, oturanlar, çalışanlar ve ayrılanlar ile araç kiralayan gerçek ve tüzel

kişilerin kimliklerinin tespiti ve bildirilmesi bu Kanunun hükümlerine göre

yapılır.4

Askeri konaklama, dinlenme ve kamp tesisleri ile ordu evleri bu Kanunun

kapsamı dışındadır.

MADDE 2

Otel, motel, han, pansiyon, bekar odaları, günübirlik kiralanan evler, kamp,

kamping, tatil köyü ve benzeri her türlü, özel veya resmi konaklama yerleri

ile özel sağlık müesseseleri, dinlenme ve huzur evleri, dini ve hayır

kurumlarının sosyal tesislerinin sorumlu işleticileri, bu yerlerde ücretli veya

ücretsiz, gündüz veya gece, yatacak yer gösterdikleri yerli veya yabancı

herkesin kimlik ve geliş- ayrılış kayıtlarını, örneğine ve usulüne uygun şekilde

günü gününe tutmak, genel kolluk örgütlerinin her an incelemelerine hazır

bulundurmak, Devlet İstatistik Enstitüsüne, talebi halinde vermek

zorundadırlar.5

4 27/3/2015 tarihli ve 6638 sayılı Kanunun 18 inci maddesiyle, bu fıkrada yer alan “ayrılanların” ibaresi “ayrılanlar ile araç kiralayan gerçek ve tüzel kişilerin” şeklinde değiştirilmiştir.

5 31/10/2016 tarihli ve 678 sayılı KHK’nin 2 nci maddesiyle, bu maddenin birinci fıkrasına “bekar odaları,” ibaresinden sonra gelmek üzere “günübirlik kiralanan evler,” ibaresi eklenmiştir.


140

MADDE 3

İkinci maddede sayılan tesislerin sorumlu işleticilerinin kimlikleri, tesis

açılmadan evvel müessesenin sahibi veya kanuni temsilcisi tarafından

örneğine uygun şekilde, en yakın kolluk örgütüne bildirilir.

Sorumlu işleticinin değişmesi halinde keyfiyetin 24 saat içinde ve yukarıdaki

fıkrada gösterilen şekilde bildirilmesi zorunludur.

İşleticiler, kendilerine bu konuda verilen görev ve yükümlülükleri, kendi

sorumlulukları altında yöneticilerine devredebilirler.

Bu durumda işletici ve yönetici müştereken sorumlu olurlar.

Kamu kuruluşlarına ait tesislerin amir ve müdürleri işletici gibi sorumludurlar.

MADDE 4

İkinci maddedeki tesislerin sorumlu işleticileri, müesseselerinde sürekli veya

GEÇİCİ olarak çalıştırdıkları kimseleri ve bunların ayrılışlarını, örneğine uygun

kimlik bildirme belgesi doldurarak, 24 saat içinde bağlı oldukları en yakın

kolluk örgütüne bildirirler.

Kolluk örgütüne bildirilerek çalıştırılanlara, sorumlu işletici tarafından

doldurulup onaylanan, örneğine uygun bir kimlik kartı verilir.

Kolluk görevlilerince her istenildiğinde bu kimlik kartının gösterilmesi

zorunludur.

MADDE 5 – (Mülga: 25/4/2006 – 5490/71 md.)

MADDE 6

Şehir, kasaba ve köy sınırları içindeki;

a) (Mülga: 25/4/2006 – 5490/71 md.)

b) Bu Kanunun ikinci maddesinde sayılanlar dışında kalan her çeşit ticaret ve

sanat amacı güden iş yerlerinde çalışanlar ve buralarda her türlü

barındırmalar için iş yerlerinin sorumlu işleticisi;


141

c) Öğrenci yurtları ve benzeri yerlerde çalışanlar ile bu yerlerde kalmakta

olan öğrenciler için o yerin sorumlu işleticisi;

(Ek ibare: 25/4/2006 – 5490/72 md.) tarafından örneğine uygun kimlik

belgesi doldurularak üç gün içinde genel kolluk örgütüne verilmesi

zorunludur.

d) (Mülga: 25/4/2006 – 5490/71 md.)

Konutun değiştirilmesi veya (b) ve (c) bentlerinde sayılan konut, iş yeri ve

yurtlarda çalışmakta veya barınmakta olanların ayrılmaları halinde de,

yukarıdaki şekil ve süre içinde bildirim belgesi gereklidir.6

(Değişik: 29/8/1996 - 4178/8 md.) Kimlik bildirimleri, mahalli kolluk örgütüne

verilmeden evvel mahalle veya köy muhtarına onaylatılır.

MADDE 7

GEÇİCİ yer değiştirmelerde;

a) Konutlarda 30 günden fazla kalacak misafir için aile reisi;

b) Yaylak ve kışlak gibi yerlere mevsimlik olarak göçenler için de aile reisi

tarafından, örneğine uygun bildirim,

Üç gün içinde kolluk örgütüne verilir.

MADDE 8 – (Mülga: 25/4/2006 – 5490/71 md.)

MADDE 9

Bu Kanun hükümlerine göre kimlik bildirme belgesini yetkili idareye

vermekle yükümlü tutulanlar, kimliğini nüfus hüviyet cüzdanı ve diğer resmi

6 25/4/2006 tarihli ve 5490 sayılı Kanunun 72 nci maddesiyle; bu fıkrada yer alan "olanlar ile (d) bendinde belirtilen yerlerde kalanların" ibaresi "olanların" şeklinde değiştirilmiş ve metne işlenmiştir.


140

MADDE 3

İkinci maddede sayılan tesislerin sorumlu işleticilerinin kimlikleri, tesis

açılmadan evvel müessesenin sahibi veya kanuni temsilcisi tarafından

örneğine uygun şekilde, en yakın kolluk örgütüne bildirilir.

Sorumlu işleticinin değişmesi halinde keyfiyetin 24 saat içinde ve yukarıdaki

fıkrada gösterilen şekilde bildirilmesi zorunludur.

İşleticiler, kendilerine bu konuda verilen görev ve yükümlülükleri, kendi

sorumlulukları altında yöneticilerine devredebilirler.

Bu durumda işletici ve yönetici müştereken sorumlu olurlar.

Kamu kuruluşlarına ait tesislerin amir ve müdürleri işletici gibi sorumludurlar.

MADDE 4

İkinci maddedeki tesislerin sorumlu işleticileri, müesseselerinde sürekli veya

GEÇİCİ olarak çalıştırdıkları kimseleri ve bunların ayrılışlarını, örneğine uygun

kimlik bildirme belgesi doldurarak, 24 saat içinde bağlı oldukları en yakın

kolluk örgütüne bildirirler.

Kolluk örgütüne bildirilerek çalıştırılanlara, sorumlu işletici tarafından

doldurulup onaylanan, örneğine uygun bir kimlik kartı verilir.

Kolluk görevlilerince her istenildiğinde bu kimlik kartının gösterilmesi

zorunludur.

MADDE 5 – (Mülga: 25/4/2006 – 5490/71 md.)

MADDE 6

Şehir, kasaba ve köy sınırları içindeki;

a) (Mülga: 25/4/2006 – 5490/71 md.)

b) Bu Kanunun ikinci maddesinde sayılanlar dışında kalan her çeşit ticaret ve

sanat amacı güden iş yerlerinde çalışanlar ve buralarda her türlü

barındırmalar için iş yerlerinin sorumlu işleticisi;


141

c) Öğrenci yurtları ve benzeri yerlerde çalışanlar ile bu yerlerde kalmakta

olan öğrenciler için o yerin sorumlu işleticisi;

(Ek ibare: 25/4/2006 – 5490/72 md.) tarafından örneğine uygun kimlik

belgesi doldurularak üç gün içinde genel kolluk örgütüne verilmesi

zorunludur.

d) (Mülga: 25/4/2006 – 5490/71 md.)

Konutun değiştirilmesi veya (b) ve (c) bentlerinde sayılan konut, iş yeri ve

yurtlarda çalışmakta veya barınmakta olanların ayrılmaları halinde de,

yukarıdaki şekil ve süre içinde bildirim belgesi gereklidir.6

(Değişik: 29/8/1996 - 4178/8 md.) Kimlik bildirimleri, mahalli kolluk örgütüne

verilmeden evvel mahalle veya köy muhtarına onaylatılır.

MADDE 7

GEÇİCİ yer değiştirmelerde;

a) Konutlarda 30 günden fazla kalacak misafir için aile reisi;

b) Yaylak ve kışlak gibi yerlere mevsimlik olarak göçenler için de aile reisi

tarafından, örneğine uygun bildirim,

Üç gün içinde kolluk örgütüne verilir.

MADDE 8 – (Mülga: 25/4/2006 – 5490/71 md.)

MADDE 9

Bu Kanun hükümlerine göre kimlik bildirme belgesini yetkili idareye

vermekle yükümlü tutulanlar, kimliğini nüfus hüviyet cüzdanı ve diğer resmi

6 25/4/2006 tarihli ve 5490 sayılı Kanunun 72 nci maddesiyle; bu fıkrada yer alan "olanlar ile (d) bendinde belirtilen yerlerde kalanların" ibaresi "olanların" şeklinde değiştirilmiş ve metne işlenmiştir.


142

geçerli belgelerle ispat edemeyen kimseleri tesislerinde barındıramaz, konut

ve işyerlerinde çalıştıramaz.

MADDE 10

Kahvehane, oyun salonu, kulüp, lokal ve benzeri yerlerde ve bu Kanunun

kapsamına giren diğer yatısız iş yerlerinde, özel kanunları müsaade ettiği

takdirde, ancak sahipleri ve çalıştırdıkları kimseler yatabilir, başkaları

kalamazlar.

İskele, istasyon, hava meydanı terminal, garaj, benzin istasyonu ve benzeri

kara, deniz ve hava ulaşım merkezleri ile fuar, panayır, sergi ve pazar

kurulması gibi zorunluluk olan zaman ve yerlerde, sabahçı kahvesi ve

benzeri diğer tesislere, bağlı olduğu kolluk kuvvetinin görüşü alınmak

şartıyla belediye veya il özel idaresi tarafından GEÇİCİ veya, sürekli olarak

izin verilebilir. Buralarda kalanlar için bildirim yapılmaz.7

MADDE 11

Kat mülkiyetine tabi taşınmaz mal yöneticileri ve kapıcıları, binalarında

bildirim dışı kimselerin oturup oturmadığını, çalışıp çalışmadığını, garaj,

kömürlük, boş daire gibi bölümlere saklanmalar, sığınmalar, bazı eşya veya

maddeleri gizlemeler olup olmadığını kontrol etmekle yükümlüdürler.

Bütün kat sahipleri ve kiracıları ile binada çalışanlar bu konularda yöneticiye

yardımcı olmak ve gereken bilgileri vermek zorundadırlar.

Yönetici ve kapıcıların, bu Kanuna aykırılıkları ve diğer şüpheli gördükleri

hususları, bağlı oldukları genel kolluk örgütüne bildirmeleri gereklidir.

7 Bu fıkrada yer alan "bağlı olduğu kolluk örgütünün ve ilgili mahalli idarenin görüşü alınarak mahalli ve en büyük mülkiye amiri tarafından“ ibaresi, 24/11/2004 tarihli ve 5259 sayılı Kanunun 6 ncı maddesiyle " bağlı olduğu kolluk kuvvetinin görüşü alınmak şartıyla belediye veya il özel idaresi tarafından”olarak değiştirilmiş ve metne işlenmiştir.


143

MADDE 12

Bu Kanunun bildirimlerle ilgili maddelerinin uygulama biçimi, söz konusu

kimlik bildirme belge, defter ve kartlarının şekli, muhtevası, verilişi, alınış,

Adalet, İçişleri, Turizm ve Tanıtma ve Devlet İstatistik Enstitüsü işlerine bakan

Devlet Bakanlıklarınca müştereken hazırlanacak bir yönetmelikle gösterilir.

MADDE 13 – (Mülga: 29/8/1996 - 4178/9 md.)

MADDE 14

Bu Kanuna göre verilecek belgeler ve yapılacak her türlü bildirimler, her çeşit

vergi, resim ve harçtan muaftır. Mahkeme kararı olmadıkça, yetkili resmi

örgütler dışında, hiç kimsenin bunlardan yararlanmasına müsaade edilemez.

MADDE 15 – (Değişik: 23/1/2008-5728/363 md.) (1)

(…) 83 ve 4 üncü maddelerdeki yükümlülüklerden her birine aykırı hareket

edenlere ikiyüzelli Türk Lirası idarî para cezası verilir.

MADDE 16 – (Mülga: 25/4/2006 – 5490/71 md.)

MADDE 17 – (Değişik: 23/1/2008-5728/364 md.)

6, 7, 9, 10 ve 11 inci maddelerdeki hükümlere aykırı hareket edenlere yirmi

Türk Lirası; kimlik bildirme belgesinde gerçeğe uymayan bilgi verenlere yüz

Türk Lirası idarî para cezası verilir.

MADDE 18 – (Değişik: 23/1/2008-5728/365 md.)

Bu Kanunda belirtilen idarî para cezaları, mahallî mülkî amir tarafından verilir.

8 31/10/2016 tarihli ve 678 sayılı KHK’nin 3 üncü maddesiyle, bu maddenin birinci fıkrasında yer alan “2,” ibaresi yürürlükten kaldırılmıştır.


142

geçerli belgelerle ispat edemeyen kimseleri tesislerinde barındıramaz, konut

ve işyerlerinde çalıştıramaz.

MADDE 10

Kahvehane, oyun salonu, kulüp, lokal ve benzeri yerlerde ve bu Kanunun

kapsamına giren diğer yatısız iş yerlerinde, özel kanunları müsaade ettiği

takdirde, ancak sahipleri ve çalıştırdıkları kimseler yatabilir, başkaları

kalamazlar.

İskele, istasyon, hava meydanı terminal, garaj, benzin istasyonu ve benzeri

kara, deniz ve hava ulaşım merkezleri ile fuar, panayır, sergi ve pazar

kurulması gibi zorunluluk olan zaman ve yerlerde, sabahçı kahvesi ve

benzeri diğer tesislere, bağlı olduğu kolluk kuvvetinin görüşü alınmak

şartıyla belediye veya il özel idaresi tarafından GEÇİCİ veya, sürekli olarak

izin verilebilir. Buralarda kalanlar için bildirim yapılmaz.7

MADDE 11

Kat mülkiyetine tabi taşınmaz mal yöneticileri ve kapıcıları, binalarında

bildirim dışı kimselerin oturup oturmadığını, çalışıp çalışmadığını, garaj,

kömürlük, boş daire gibi bölümlere saklanmalar, sığınmalar, bazı eşya veya

maddeleri gizlemeler olup olmadığını kontrol etmekle yükümlüdürler.

Bütün kat sahipleri ve kiracıları ile binada çalışanlar bu konularda yöneticiye

yardımcı olmak ve gereken bilgileri vermek zorundadırlar.

Yönetici ve kapıcıların, bu Kanuna aykırılıkları ve diğer şüpheli gördükleri

hususları, bağlı oldukları genel kolluk örgütüne bildirmeleri gereklidir.

7 Bu fıkrada yer alan "bağlı olduğu kolluk örgütünün ve ilgili mahalli idarenin görüşü alınarak mahalli ve en büyük mülkiye amiri tarafından“ ibaresi, 24/11/2004 tarihli ve 5259 sayılı Kanunun 6 ncı maddesiyle " bağlı olduğu kolluk kuvvetinin görüşü alınmak şartıyla belediye veya il özel idaresi tarafından”olarak değiştirilmiş ve metne işlenmiştir.


143

MADDE 12

Bu Kanunun bildirimlerle ilgili maddelerinin uygulama biçimi, söz konusu

kimlik bildirme belge, defter ve kartlarının şekli, muhtevası, verilişi, alınış,

Adalet, İçişleri, Turizm ve Tanıtma ve Devlet İstatistik Enstitüsü işlerine bakan

Devlet Bakanlıklarınca müştereken hazırlanacak bir yönetmelikle gösterilir.

MADDE 13 – (Mülga: 29/8/1996 - 4178/9 md.)

MADDE 14

Bu Kanuna göre verilecek belgeler ve yapılacak her türlü bildirimler, her çeşit

vergi, resim ve harçtan muaftır. Mahkeme kararı olmadıkça, yetkili resmi

örgütler dışında, hiç kimsenin bunlardan yararlanmasına müsaade edilemez.

MADDE 15 – (Değişik: 23/1/2008-5728/363 md.) (1)

(…) 83 ve 4 üncü maddelerdeki yükümlülüklerden her birine aykırı hareket

edenlere ikiyüzelli Türk Lirası idarî para cezası verilir.

MADDE 16 – (Mülga: 25/4/2006 – 5490/71 md.)

MADDE 17 – (Değişik: 23/1/2008-5728/364 md.)

6, 7, 9, 10 ve 11 inci maddelerdeki hükümlere aykırı hareket edenlere yirmi

Türk Lirası; kimlik bildirme belgesinde gerçeğe uymayan bilgi verenlere yüz

Türk Lirası idarî para cezası verilir.

MADDE 18 – (Değişik: 23/1/2008-5728/365 md.)

Bu Kanunda belirtilen idarî para cezaları, mahallî mülkî amir tarafından verilir.

8 31/10/2016 tarihli ve 678 sayılı KHK’nin 3 üncü maddesiyle, bu maddenin birinci fıkrasında yer alan “2,” ibaresi yürürlükten kaldırılmıştır.


144

MADDE 19

10/6/l930 tarihli ve 1704 sayılı Otel Pansiyon, Ticarethane vesair Umumi

Müesseselerde Oturan ve Çalışanların Hüviyet Varakası Vermeleri

Mecburiyetine dair Kanun ile bu Kanunun bazı maddelerini tadil ve tashih

icrasına ve bir MADDE ilavesine dair 14/1/1933 tarih ve 2099 sayılı Kanun

yürürlükten kaldırılmıştır.

EK MADDE 1 – (Ek: 29/8/1996 - 4178/10 md.)

Bu Kanunun uygulanması sırasında genel kolluk kuvvetlerine ait karakollara,

il merkezlerinden de sorgulanabilen bilgisayar terminalleri konulur. Bunun

için gerekli giderler İçişleri Bakanlığı bütçesine konulacak ödenekten

karşılanır.

(Değişik ikinci fıkra: 31/10/2016-KHK-678/4 md.) Bu Kanunun 2 nci

maddesinde sayılan özel veya resmi her türlü konaklama tesisleri tüm

kayıtlarını bilgisayarda günü gününe tutmak, genel kolluk kuvvetlerinin

bilgisayar terminallerine bağlanarak mevcut bilgi, belge ve kayıtları genel

kolluk kuvvetlerine anlık olarak bildirmek zorundadırlar.

(Ek fıkra: 31/10/2016-KHK-678/4 md.) İkinci fıkrada belirtilen genel kolluk

kuvvetlerinin terminallerine bağlanmayanlara onbin Türk Lirası, anlık veri

göndermeyen veya gerçeğe aykırı kayıt tutanlara beşbin Türk Lirası idari para

cezası, mülki idare amirlerince verilir. Bu fiillerin tekrarı halinde işletme

ruhsatları iptal edilir. Bu maddeye göre verilen idari para cezaları tebliğinden

itibaren bir ay içinde ödenir.

(Ek fıkra: 31/10/2016-KHK-678/4 md.) Bu Kanunun 2 nci maddesinde sayılan

özel veya resmi her türlü konaklama tesisleri, ikinci fıkrada belirtilen genel

kolluk kuvvetlerinin terminallerine bağlanmak için gerekli işlemleri bu

maddenin yürürlüğe girdiği tarihten itibaren iki ay içinde tamamlar.


145

(Ek fıkra: 31/10/2016-KHK-678/4 md.) Bu maddenin uygulanması ile görevi

gereği bu verileri kullanan kamu personelinin denetimine ilişkin usul ve

esaslar İçişleri Bakanlığı tarafından belirlenir.

EK MADDE 2 – (Ek: 15/5/2008-5763/12 md.)

Bu Kanunun 4 üncü ve 6 ncı maddeleri gereğince verilen sürekli veya GEÇİCİ

olarak çalışanlara ait kimlik bilgileri, genel kolluk kuvvetlerince ilgili Sosyal

Güvenlik Kurumu Başkanlığı il müdürlükleri veya merkez müdürlüklerine

bildirilir.

EK MADDE 3 – (Ek: 27/3/2015-6638/19 md.)

Araç kiralama şirketlerinin sorumlu işleticileri ve yöneticileri, kiralanan araç

bilgileri ile aracı kiralayanların kimlik bilgileri ve kira sözleşmesi kayıtlarını

usulüne uygun şekilde günü gününe tutmak ve bu kapsamda mevcut bilgi,

belge ve kayıtları genel kolluk kuvvetlerinin her an incelemelerine hazır

bulundurmak zorundadırlar. Ancak araç kiralayanın kamu kurum veya

kuruluşu olması hâlinde sadece kamu kurum veya kuruluşuyla yapılan

sözleşme ile araç bilgileri sisteme kaydedilir.

Araç kiralama esnasında gerçeğe aykırı kimlik kullananlar ile birinci fıkra

kapsamında elde edilen bilgi ve kayıtları, hukuka aykırı olarak kullanan, bir

başkasına veren, yayan veya ele geçiren kişi, 26/9/2004 tarihli ve 5237 sayılı

Türk Ceza Kanunu hükümlerine göre cezalandırılır.

Birinci fıkrada belirtilen yükümlülüklere aykırı hareket edenlere beş bin Türk

Lirası, gerçeğe aykırı kayıt tutan veya bilgi verenlere on bin Türk Lirası idari

para cezası, mülki idare amirlerince verilir. Bu Kanuna göre verilen idari para

cezaları tebliğinden itibaren 1 ay içinde ödenir. İşlenen bir suçun gizlenmesi

amacıyla bilgilerin yok edilmesi hâlinde işletme ruhsatı iptal edilir. Bu fıkraya

göre idari yaptırımların uygulanması ceza soruşturması ve kovuşturması

yapılmasına engel değildir.


144

MADDE 19

10/6/l930 tarihli ve 1704 sayılı Otel Pansiyon, Ticarethane vesair Umumi

Müesseselerde Oturan ve Çalışanların Hüviyet Varakası Vermeleri

Mecburiyetine dair Kanun ile bu Kanunun bazı maddelerini tadil ve tashih

icrasına ve bir MADDE ilavesine dair 14/1/1933 tarih ve 2099 sayılı Kanun

yürürlükten kaldırılmıştır.

EK MADDE 1 – (Ek: 29/8/1996 - 4178/10 md.)

Bu Kanunun uygulanması sırasında genel kolluk kuvvetlerine ait karakollara,

il merkezlerinden de sorgulanabilen bilgisayar terminalleri konulur. Bunun

için gerekli giderler İçişleri Bakanlığı bütçesine konulacak ödenekten

karşılanır.

(Değişik ikinci fıkra: 31/10/2016-KHK-678/4 md.) Bu Kanunun 2 nci

maddesinde sayılan özel veya resmi her türlü konaklama tesisleri tüm

kayıtlarını bilgisayarda günü gününe tutmak, genel kolluk kuvvetlerinin

bilgisayar terminallerine bağlanarak mevcut bilgi, belge ve kayıtları genel

kolluk kuvvetlerine anlık olarak bildirmek zorundadırlar.

(Ek fıkra: 31/10/2016-KHK-678/4 md.) İkinci fıkrada belirtilen genel kolluk

kuvvetlerinin terminallerine bağlanmayanlara onbin Türk Lirası, anlık veri

göndermeyen veya gerçeğe aykırı kayıt tutanlara beşbin Türk Lirası idari para

cezası, mülki idare amirlerince verilir. Bu fiillerin tekrarı halinde işletme

ruhsatları iptal edilir. Bu maddeye göre verilen idari para cezaları tebliğinden

itibaren bir ay içinde ödenir.

(Ek fıkra: 31/10/2016-KHK-678/4 md.) Bu Kanunun 2 nci maddesinde sayılan

özel veya resmi her türlü konaklama tesisleri, ikinci fıkrada belirtilen genel

kolluk kuvvetlerinin terminallerine bağlanmak için gerekli işlemleri bu

maddenin yürürlüğe girdiği tarihten itibaren iki ay içinde tamamlar.


145

(Ek fıkra: 31/10/2016-KHK-678/4 md.) Bu maddenin uygulanması ile görevi

gereği bu verileri kullanan kamu personelinin denetimine ilişkin usul ve

esaslar İçişleri Bakanlığı tarafından belirlenir.

EK MADDE 2 – (Ek: 15/5/2008-5763/12 md.)

Bu Kanunun 4 üncü ve 6 ncı maddeleri gereğince verilen sürekli veya GEÇİCİ

olarak çalışanlara ait kimlik bilgileri, genel kolluk kuvvetlerince ilgili Sosyal

Güvenlik Kurumu Başkanlığı il müdürlükleri veya merkez müdürlüklerine

bildirilir.

EK MADDE 3 – (Ek: 27/3/2015-6638/19 md.)






kuruluşu olması hâlinde sadece kamu kurum veya kuruluşuyla yapılan


Araç kiralama esnasında gerçeğe aykırı kimlik kullananlar ile birinci fıkra

kapsamında elde edilen bilgi ve kayıtları, hukuka aykırı olarak kullanan, bir

başkasına veren, yayan veya ele geçiren kişi, 26/9/2004 tarihli ve 5237 sayılı

Türk Ceza Kanunu hükümlerine göre cezalandırılır.

Birinci fıkrada belirtilen yükümlülüklere aykırı hareket edenlere beş bin Türk

Lirası, gerçeğe aykırı kayıt tutan veya bilgi verenlere on bin Türk Lirası idari

para cezası, mülki idare amirlerince verilir. Bu Kanuna göre verilen idari para

cezaları tebliğinden itibaren 1 ay içinde ödenir. İşlenen bir suçun gizlenmesi

amacıyla bilgilerin yok edilmesi hâlinde işletme ruhsatı iptal edilir. Bu fıkraya

göre idari yaptırımların uygulanması ceza soruşturması ve kovuşturması

yapılmasına engel değildir.


146

Bu maddenin uygulanması ile görevi gereği bu verileri kullanan kamu

personelinin denetimine ilişkin esas ve usuller İçişleri Bakanlığı tarafından

belirlenir.

GEÇİCİ MADDE 1

Bu Kanunun yayım tarihi ile 12 nci MADDE gereğince hazırlanacak

yönetmeliğin yürürlüğe giriş tarihi arasında geçecek süre içinde 1704 ve

2099 sayılı Kanunların uygulanmasına devam olunur.

GEÇİCİ MADDE 2

Bu Kanunun yayımı tarihden sonra 12 nci maddedeki yönetmelik çıkıncaya

kadar 5 inci MADDE ve 6 ncı maddenin (a), (c), (d) bentlerini gerekli görülen

yerlerde uygulatmaya İçişleri Bakanı yetkilidir.

GEÇİCİ MADDE 3

Bu Kanunun 12 nci maddesinde belirtilen yönetmelik, bu Kanunun yürürlüğe

girdiği tarihten itibaren altı ay içinde çıkarılır.

GEÇİCİ MADDE 4 – (Ek: 27/3/2015-6638/20 md.)

Bu maddenin yürürlüğe girdiği tarihten itibaren altı ay içinde araç kiralama

şirketleri tüm kayıtlarını bilgisayarda tutmak ve bilgisayar terminallerini genel

kolluk kuvvetlerinin ek 1 inci maddeye göre kurulan bilgisayar terminallerine

bağlamak zorundadırlar. Bu şartı yerine getirmeyen işletmelere mülki idare

amirlerince on bin Türk Lirası idari para cezası verilir. Bu fiilin tekrarı hâlinde

işletme ruhsatları iptal edilir.

MADDE 20

Bu Kanunun 6 ve 7 nci maddeleri, 6 ncı maddenin (b) bendi hariç, 12 nci

maddeye dayanılarak çıkarılacak yönetmeliğin yürürlük tarihinde, diğer

maddeleri bu Kanunun yayımı tarihinde yürürlüğe girer.


147

MADDE 21

Bu Kanun hükümlerini Bakanlar Kurulu yürütür.




Değiştiren

Kanunun/KHK’nin/

İptal Eden Anayasa

Mahkemesi

Kararının

Numarası



edilen maddeleri


Tarihi

4178 — 4/9/1996

5259 10 1/12/2004

5490 5,6,8,16,17 29/4/2006

5728 15, 17, 18, Ek MADDE 1 8/2/2008

5763 Ek MADDE 2 26/5/2008

6638 1, Ek MADDE 3, GEÇİCİ

MADDE 4

4/4/2015

KHK/678 2, 15, Ek MADDE 1 22/11/2016


146

Bu maddenin uygulanması ile görevi gereği bu verileri kullanan kamu

personelinin denetimine ilişkin esas ve usuller İçişleri Bakanlığı tarafından

belirlenir.

GEÇİCİ MADDE 1

Bu Kanunun yayım tarihi ile 12 nci MADDE gereğince hazırlanacak

yönetmeliğin yürürlüğe giriş tarihi arasında geçecek süre içinde 1704 ve

2099 sayılı Kanunların uygulanmasına devam olunur.

GEÇİCİ MADDE 2

Bu Kanunun yayımı tarihden sonra 12 nci maddedeki yönetmelik çıkıncaya

kadar 5 inci MADDE ve 6 ncı maddenin (a), (c), (d) bentlerini gerekli görülen

yerlerde uygulatmaya İçişleri Bakanı yetkilidir.

GEÇİCİ MADDE 3

Bu Kanunun 12 nci maddesinde belirtilen yönetmelik, bu Kanunun yürürlüğe

girdiği tarihten itibaren altı ay içinde çıkarılır.

GEÇİCİ MADDE 4 – (Ek: 27/3/2015-6638/20 md.)

Bu maddenin yürürlüğe girdiği tarihten itibaren altı ay içinde araç kiralama

şirketleri tüm kayıtlarını bilgisayarda tutmak ve bilgisayar terminallerini genel

kolluk kuvvetlerinin ek 1 inci maddeye göre kurulan bilgisayar terminallerine

bağlamak zorundadırlar. Bu şartı yerine getirmeyen işletmelere mülki idare

amirlerince on bin Türk Lirası idari para cezası verilir. Bu fiilin tekrarı hâlinde

işletme ruhsatları iptal edilir.

MADDE 20

Bu Kanunun 6 ve 7 nci maddeleri, 6 ncı maddenin (b) bendi hariç, 12 nci

maddeye dayanılarak çıkarılacak yönetmeliğin yürürlük tarihinde, diğer

maddeleri bu Kanunun yayımı tarihinde yürürlüğe girer.


147

MADDE 21

Bu Kanun hükümlerini Bakanlar Kurulu yürütür.




Değiştiren

Kanunun/KHK’nin/

İptal Eden Anayasa

Mahkemesi

Kararının

Numarası



edilen maddeleri


Tarihi

4178 — 4/9/1996

5259 10 1/12/2004

5490 5,6,8,16,17 29/4/2006

5728 15, 17, 18, Ek MADDE 1 8/2/2008

5763 Ek MADDE 2 26/5/2008

6638 1, Ek MADDE 3, GEÇİCİ

MADDE 4

4/4/2015

KHK/678 2, 15, Ek MADDE 1 22/11/2016

149

2559 SAYILI POLİS VAZİFE VE SELÂHİYET KANUNU (İLGİLİ HÜKÜMLER)


MADDE 5 - Parmak izi ve fotoğrafların kayda alınması

(Değişik: 2/6/2007-5681/2 md.)

Polis;

a) Gönüllü,

b) Her çeşit silah ruhsatı, sürücü belgesi, pasaport veya pasaport yerine

geçen belge almak için başvuruda bulunan,

c) Başta polis olmak üzere, genel veya özel kolluk görevlisi ya da özel

güvenlik görevlisi olarak istihdam edilen,

ç) Türk vatandaşlığına başvuruda bulunan,

d) Sığınma talebinde bulunan veya gerekli görülmesi halinde, ülkeye giriş

yapan sair yabancı,

e) Gözaltına alınan,

kişilerin parmak izini alır.

Birinci fıkraya göre alınan parmak izi, ait olduğu kişinin kimlik bilgileri ile

birlikte, ne zaman ve kim tarafından alındığı belirtilmek suretiyle, bu amaca

özgü sisteme kaydedilerek saklanır. Ancak, parmak izinin hangi sebeple

alındığı sisteme kaydedilmez.

Olay yerinden elde edilen ve kime ait olduğu henüz tespit edilemeyen

parmak izleri, kime ait olduğu tespit edilinceye kadar, ilgili soruşturma dosya

numarası ile birlikte sisteme kaydedilir.

5271 sayılı Ceza Muhakemesi Kanununun 81 inci maddesi ile 5275 sayılı Ceza

ve Güvenlik Tedbirlerinin İnfazı Hakkında Kanunun 21 inci maddesi

hükümlerine göre alınan parmak izleri de bu sisteme kaydedilir.

149



MADDE 5 - Parmak izi ve fotoğrafların kayda alınması

(Değişik: 2/6/2007-5681/2 md.)

Polis;

a) Gönüllü,

b) Her çeşit silah ruhsatı, sürücü belgesi, pasaport veya pasaport yerine

geçen belge almak için başvuruda bulunan,

c) Başta polis olmak üzere, genel veya özel kolluk görevlisi ya da özel

güvenlik görevlisi olarak istihdam edilen,

ç) Türk vatandaşlığına başvuruda bulunan,

d) Sığınma talebinde bulunan veya gerekli görülmesi halinde, ülkeye giriş

yapan sair yabancı,

e) Gözaltına alınan,

kişilerin parmak izini alır.

Birinci fıkraya göre alınan parmak izi, ait olduğu kişinin kimlik bilgileri ile

birlikte, ne zaman ve kim tarafından alındığı belirtilmek suretiyle, bu amaca

özgü sisteme kaydedilerek saklanır. Ancak, parmak izinin hangi sebeple

alındığı sisteme kaydedilmez.

Olay yerinden elde edilen ve kime ait olduğu henüz tespit edilemeyen

parmak izleri, kime ait olduğu tespit edilinceye kadar, ilgili soruşturma dosya

numarası ile birlikte sisteme kaydedilir.

5271 sayılı Ceza Muhakemesi Kanununun 81 inci maddesi ile 5275 sayılı Ceza

ve Güvenlik Tedbirlerinin İnfazı Hakkında Kanunun 21 inci maddesi

hükümlerine göre alınan parmak izleri de bu sisteme kaydedilir.


150

(a) bendi hariç birinci fıkra ile dördüncü fıkra kapsamına giren kişilerin ayrıca

fotoğrafları alınarak, ikinci fıkrada belirlenen esaslara uygun olarak parmak

izi ile birlikte sisteme kaydedilir.

Bu sistemde yer alan bilgiler, kimlik tespiti, suçun önlenmesi veya

yürütülmekte olan soruşturma ve kovuşturma kapsamında maddî gerçeğin

ortaya çıkarılması amacıyla mahkeme, hâkim, Cumhuriyet savcısı ve kolluk

tarafından kullanılabilir.

Kolluk birimleri, kimlik tespiti yapmak ya da olay yerinden alınan parmak izini

karşılaştırmak amacıyla doğrudan bu sistemle bağlantı kurabilir.

Sistemde kayıtlı bilgilerin hangi kamu görevlisi tarafından ve ne amaçla

kullanıldığının denetlenebilmesine imkân tanıyan bir güvenlik sistemi

kurulur.

Sistemde yer alan kayıtlar gizlidir; altıncı ve yedinci fıkralarda belirlenen

amaçlar dışında kullanılamaz.

Sisteme kayıtlı olan parmak izi ve fotoğraflar, kişinin ölümünden itibaren on

yıl ve her halde kayıt tarihinden itibaren seksen yıl geçtikten sonra sistemden

silinir.

Parmak izi ile fotoğrafların sistemde kaydedilmesi ve saklanması ile bu

kayıtlardan yararlanmaya ilişkin diğer esas ve usûller, İçişleri Bakanlığı

tarafından Adalet Bakanlığının görüşü alınarak çıkarılacak yönetmelikle

düzenlenir.

(…)

EK MADDE 6 - Adlî görev ve yetkiler

(Ek: 16/6/1985 - 3233/7 md.; Değişik: 2/6/2007-5681/5 md.)

(…)


151

(Ek fıkra: 2/1/2017-KHK-680/27 md.) Polis, sanal ortamda işlenen suçlarda,

yetkili Cumhuriyet başsavcılığının tespiti amacıyla, internet abonelerine ait

kimlik bilgilerine ulaşmaya, sanal ortamda araştırma yapmaya yetkilidir.

Erişim sağlayıcıları, yer sağlayıcıları ve içerik sağlayıcıları talep edilen bu

bilgileri kolluğun bu suçlarla mücadele için oluşturduğu birimine bildirir.


150

(a) bendi hariç birinci fıkra ile dördüncü fıkra kapsamına giren kişilerin ayrıca

fotoğrafları alınarak, ikinci fıkrada belirlenen esaslara uygun olarak parmak

izi ile birlikte sisteme kaydedilir.

Bu sistemde yer alan bilgiler, kimlik tespiti, suçun önlenmesi veya

yürütülmekte olan soruşturma ve kovuşturma kapsamında maddî gerçeğin

ortaya çıkarılması amacıyla mahkeme, hâkim, Cumhuriyet savcısı ve kolluk

tarafından kullanılabilir.

Kolluk birimleri, kimlik tespiti yapmak ya da olay yerinden alınan parmak izini

karşılaştırmak amacıyla doğrudan bu sistemle bağlantı kurabilir.

Sistemde kayıtlı bilgilerin hangi kamu görevlisi tarafından ve ne amaçla

kullanıldığının denetlenebilmesine imkân tanıyan bir güvenlik sistemi

kurulur.

Sistemde yer alan kayıtlar gizlidir; altıncı ve yedinci fıkralarda belirlenen

amaçlar dışında kullanılamaz.

Sisteme kayıtlı olan parmak izi ve fotoğraflar, kişinin ölümünden itibaren on

yıl ve her halde kayıt tarihinden itibaren seksen yıl geçtikten sonra sistemden

silinir.

Parmak izi ile fotoğrafların sistemde kaydedilmesi ve saklanması ile bu

kayıtlardan yararlanmaya ilişkin diğer esas ve usûller, İçişleri Bakanlığı

tarafından Adalet Bakanlığının görüşü alınarak çıkarılacak yönetmelikle

düzenlenir.

(…)

EK MADDE 6 - Adlî görev ve yetkiler

(Ek: 16/6/1985 - 3233/7 md.; Değişik: 2/6/2007-5681/5 md.)

(…)


151

(Ek fıkra: 2/1/2017-KHK-680/27 md.) Polis, sanal ortamda işlenen suçlarda,

yetkili Cumhuriyet başsavcılığının tespiti amacıyla, internet abonelerine ait

kimlik bilgilerine ulaşmaya, sanal ortamda araştırma yapmaya yetkilidir.

Erişim sağlayıcıları, yer sağlayıcıları ve içerik sağlayıcıları talep edilen bu

bilgileri kolluğun bu suçlarla mücadele için oluşturduğu birimine bildirir.

153

2920 SAYILI TÜRK SİVİL HAVACILIK KANUNU (İLGİLİ HÜKÜMLER)

19.10.1983 tarihli ve 18196 sayılı Resmi Gazete’de yayımlanmıştır.

Madde 40 – Milli Sivil Havacılık Güvenlik Kurulu ve havacılık güvenliği9

(Ek: 28/11/2017-7061/39 md.)

(1) Tüm sivil havacılık faaliyetleri ile sivil havacılık tesis ve eklentilerinin

yasadışı eylemlere karşı korunması amacıyla uluslararası uygulamalara

uygun olarak gereken mevzuatı hazırlamak, denetlemek, uygun eğitimlerin

alınmasını sağlamak ve ülkemizi uluslararası kuruluşlar nezdinde temsile

Ulaştırma, Denizcilik ve Haberleşme Bakanlığı yetkilidir. Bakanlık, bu görevini

öncelikle İçişleri Bakanlığı olmak üzere diğer kurum ve kuruluşlar ile

koordineli şekilde yürütür.

(2) Sivil havacılık güvenliği ile ilgili politikaların belirlenmesi ile kurumlar

arasında koordinasyonun sağlanmasından sorumlu olmak üzere, İçişleri

Bakanlığı Müsteşarı veya güvenlikten sorumlu Müsteşar Yardımcısının

başkanlığında, Gümrük ve Ticaret Bakanlığı ile Ulaştırma, Denizcilik ve

Haberleşme Bakanlığı Müsteşarları veya Müsteşar Yardımcıları, Emniyet

Genel Müdürlüğü ve Jandarma Genel Komutanlığı temsilcileri, Gümrükler

Genel Müdürü ve Gümrükler Muhafaza Genel Müdürü, Sivil Havacılık Genel

Müdürü ve Devlet Hava Meydanları İşletmesi Genel Müdürünün katılımıyla

Milli Sivil Havacılık Güvenlik Kurulu oluşturulur. Kurulun üyeleri, görev ve

yetkileri, Kurul kararıyla havaalanlarında da dahil oluşturulacak alt kurullar ve

alt kurulların görev ve yetkileri İçişleri Bakanlığı ve Ulaştırma, Denizcilik ve

Haberleşme Bakanlığınca müştereken çıkarılan yönetmelikle düzenlenir.

(3) Sivil havacılık alanında faaliyet gösteren tüm kurum ve kuruluşlar, şahıslar

ve yolcuların uyması gereken güvenlik tedbirleri ile yasaklanan hususlar,

9 Bu madde başlığı “Güvenlik tedbirleri” iken, 28/11/2017 tarihli ve 7061 sayılı Kanunun 39 uncu maddesiyle metne işlendiği şekilde değiştirilmiştir.

153


19.10.1983 tarihli ve 18196 sayılı Resmi Gazete’de yayımlanmıştır.

Madde 40 – Milli Sivil Havacılık Güvenlik Kurulu ve havacılık güvenliği9

(Ek: 28/11/2017-7061/39 md.)

(1) Tüm sivil havacılık faaliyetleri ile sivil havacılık tesis ve eklentilerinin

yasadışı eylemlere karşı korunması amacıyla uluslararası uygulamalara

uygun olarak gereken mevzuatı hazırlamak, denetlemek, uygun eğitimlerin

alınmasını sağlamak ve ülkemizi uluslararası kuruluşlar nezdinde temsile

Ulaştırma, Denizcilik ve Haberleşme Bakanlığı yetkilidir. Bakanlık, bu görevini

öncelikle İçişleri Bakanlığı olmak üzere diğer kurum ve kuruluşlar ile

koordineli şekilde yürütür.

(2) Sivil havacılık güvenliği ile ilgili politikaların belirlenmesi ile kurumlar

arasında koordinasyonun sağlanmasından sorumlu olmak üzere, İçişleri

Bakanlığı Müsteşarı veya güvenlikten sorumlu Müsteşar Yardımcısının

başkanlığında, Gümrük ve Ticaret Bakanlığı ile Ulaştırma, Denizcilik ve

Haberleşme Bakanlığı Müsteşarları veya Müsteşar Yardımcıları, Emniyet

Genel Müdürlüğü ve Jandarma Genel Komutanlığı temsilcileri, Gümrükler

Genel Müdürü ve Gümrükler Muhafaza Genel Müdürü, Sivil Havacılık Genel

Müdürü ve Devlet Hava Meydanları İşletmesi Genel Müdürünün katılımıyla

Milli Sivil Havacılık Güvenlik Kurulu oluşturulur. Kurulun üyeleri, görev ve

yetkileri, Kurul kararıyla havaalanlarında da dahil oluşturulacak alt kurullar ve

alt kurulların görev ve yetkileri İçişleri Bakanlığı ve Ulaştırma, Denizcilik ve

Haberleşme Bakanlığınca müştereken çıkarılan yönetmelikle düzenlenir.

(3) Sivil havacılık alanında faaliyet gösteren tüm kurum ve kuruluşlar, şahıslar

ve yolcuların uyması gereken güvenlik tedbirleri ile yasaklanan hususlar,

9 Bu madde başlığı “Güvenlik tedbirleri” iken, 28/11/2017 tarihli ve 7061 sayılı Kanunun 39 uncu maddesiyle metne işlendiği şekilde değiştirilmiştir.


154

5/6/1945 tarihli ve 4749 sayılı Kanunla uygun bulunan Şikago Sözleşmesinin

17 numaralı eki ile uluslararası uygulamalara ve önlemlere uygun olarak Milli

Sivil Havacılık Güvenlik Kurulu tarafından hazırlanan ve İçişleri Bakanlığı ile

Ulaştırma, Denizcilik ve Haberleşme Bakanlığı tarafından müştereken

çıkarılan yönetmelikle düzenlenir. Acil durumlarda alınması gereken ilave

tedbirler, İçişleri Bakanlığı temsilcisinin başkanlığında, Gümrük ve Ticaret

Bakanlığı, Ulaştırma, Denizcilik ve Haberleşme Bakanlığı, Emniyet Genel

Müdürlüğü ve Jandarma Genel Komutanlığı temsilcileri, Sivil Havacılık Genel

Müdürü ve Devlet Hava Meydanları İşletmesi Genel Müdüründen oluşan

Güvenlik Komisyonu tarafından alınır.

(4) Havaalanlarında, ulusal ve uluslararası mevzuata göre güvenliğin

sağlanması, havacılık güvenliğine yönelik kurum ve kuruluşlar arasında

işbirliği ve koordinasyonun tesis edilmesi, kurum ve kuruluşların havacılık

güvenliğine yönelik çalışmalarının denetlenmesi, denetim sonuçlarının

takibi ve icrası, havaalanı güvenlik programının oluşturulması ve icrası

10/6/1949 tarihli ve 5442 sayılı İl İdaresi Kanunu uyarınca görevlendirilen

mülki idare amiri tarafından yerine getirilir. Havaalanı mülki idare amirlerinin

havaalanlarındaki havacılık güvenliğine ilişkin görev, yetki ve sorumlulukları

İçişleri Bakanlığının uygun görüşü üzerine Ulaştırma, Denizcilik ve

Haberleşme Bakanlığı tarafından çıkarılan yönetmelikte düzenlenir.

(5) Havayolu ile seyahat edecek kişilerin bilgileri kişilerin seyahatini

kolaylaştırmak veya güvenlik ve risk değerlendirmesi yapmak amacıyla

24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu

çerçevesinde toplanabilir, kaydedilebilir, işlenebilir, paylaşılabilir, havacılık

güvenliği ve emniyetini sağlamak üzere değerlendirilerek gereken tedbirler

alınabilir. Bu kapsamda, talep halinde yolcu bilgileri havayolu işletmeleri

veya kurumlar tarafından üçüncü ülkelerle İçişleri Bakanlığının uygun görüşü

ile paylaşılabilir. İçişleri Bakanlığı değerlendirme esnasında ilgili tüm kurum

ve kuruluşlar ile koordine sağlar ve mütekabiliyet çerçevesinde karar verir.


155

(6) Türk tescilli sivil hava araçlarında özel eğitimli silahlı güvenlik görevlileri

bulundurulabilir. Türkiye’ye uçuşu olan yabancı tescilli sivil hava araçlarında

silahlı güvenlik görevlisi bulundurulmasına izin verilmesine, mütekabiliyet

ilkesi saklı kalmak kaydıyla İçişleri Bakanlığı yetkilidir. Silahlı güvenlik

görevlisinin görev, yetki ve sorumlulukları İçişleri Bakanlığı tarafından

çıkarılan yönetmelikle düzenlenir.


154

5/6/1945 tarihli ve 4749 sayılı Kanunla uygun bulunan Şikago Sözleşmesinin

17 numaralı eki ile uluslararası uygulamalara ve önlemlere uygun olarak Milli

Sivil Havacılık Güvenlik Kurulu tarafından hazırlanan ve İçişleri Bakanlığı ile

Ulaştırma, Denizcilik ve Haberleşme Bakanlığı tarafından müştereken

çıkarılan yönetmelikle düzenlenir. Acil durumlarda alınması gereken ilave

tedbirler, İçişleri Bakanlığı temsilcisinin başkanlığında, Gümrük ve Ticaret

Bakanlığı, Ulaştırma, Denizcilik ve Haberleşme Bakanlığı, Emniyet Genel

Müdürlüğü ve Jandarma Genel Komutanlığı temsilcileri, Sivil Havacılık Genel

Müdürü ve Devlet Hava Meydanları İşletmesi Genel Müdüründen oluşan

Güvenlik Komisyonu tarafından alınır.

(4) Havaalanlarında, ulusal ve uluslararası mevzuata göre güvenliğin

sağlanması, havacılık güvenliğine yönelik kurum ve kuruluşlar arasında

işbirliği ve koordinasyonun tesis edilmesi, kurum ve kuruluşların havacılık

güvenliğine yönelik çalışmalarının denetlenmesi, denetim sonuçlarının

takibi ve icrası, havaalanı güvenlik programının oluşturulması ve icrası

10/6/1949 tarihli ve 5442 sayılı İl İdaresi Kanunu uyarınca görevlendirilen

mülki idare amiri tarafından yerine getirilir. Havaalanı mülki idare amirlerinin

havaalanlarındaki havacılık güvenliğine ilişkin görev, yetki ve sorumlulukları

İçişleri Bakanlığının uygun görüşü üzerine Ulaştırma, Denizcilik ve

Haberleşme Bakanlığı tarafından çıkarılan yönetmelikte düzenlenir.

(5) Havayolu ile seyahat edecek kişilerin bilgileri kişilerin seyahatini

kolaylaştırmak veya güvenlik ve risk değerlendirmesi yapmak amacıyla

24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu

çerçevesinde toplanabilir, kaydedilebilir, işlenebilir, paylaşılabilir, havacılık

güvenliği ve emniyetini sağlamak üzere değerlendirilerek gereken tedbirler

alınabilir. Bu kapsamda, talep halinde yolcu bilgileri havayolu işletmeleri

veya kurumlar tarafından üçüncü ülkelerle İçişleri Bakanlığının uygun görüşü

ile paylaşılabilir. İçişleri Bakanlığı değerlendirme esnasında ilgili tüm kurum

ve kuruluşlar ile koordine sağlar ve mütekabiliyet çerçevesinde karar verir.


155

(6) Türk tescilli sivil hava araçlarında özel eğitimli silahlı güvenlik görevlileri

bulundurulabilir. Türkiye’ye uçuşu olan yabancı tescilli sivil hava araçlarında

silahlı güvenlik görevlisi bulundurulmasına izin verilmesine, mütekabiliyet

ilkesi saklı kalmak kaydıyla İçişleri Bakanlığı yetkilidir. Silahlı güvenlik

görevlisinin görev, yetki ve sorumlulukları İçişleri Bakanlığı tarafından

çıkarılan yönetmelikle düzenlenir.

157

4721 SAYILI TÜRK MEDENİ KANUNU (İLGİLİ HÜKÜMLER)


MADDE 23

Kimse, hak ve fiil ehliyetlerinden kısmen de olsa vazgeçemez.

Kimse özgürlüklerinden vazgeçemez veya onları hukuka ya da ahlâka aykırı

olarak sınırlayamaz.

Yazılı rıza üzerine insan kökenli biyolojik Maddelerin alınması, aşılanması ve

nakli mümkündür. Ancak, biyolojik MADDE verme borcu altına girmiş

olandan edimini yerine getirmesi istenemez; maddî ve manevî tazminat

isteminde bulunulamaz.

MADDE 24

Hukuka aykırı olarak kişilik hakkına saldırılan kimse, hâkimden, saldırıda

bulunanlara karşı korunmasını isteyebilir.

Kişilik hakkı zedelenen kimsenin rızası, daha üstün nitelikte özel veya

kamusal yarar ya da kanunun verdiği yetkinin kullanılması sebeplerinden

biriyle haklı kılınmadıkça, kişilik haklarına yapılan her saldırı hukuka aykırıdır.

MADDE 25

Davacı, hâkimden saldırı tehlikesinin önlenmesini, sürmekte olan saldırıya

son verilmesini, sona ermiş olsa bile etkileri devam eden saldırının hukuka

aykırılığının tespitini isteyebilir.

Davacı bunlarla birlikte, düzeltmenin veya kararın üçüncü kişilere bildirilmesi

ya da yayımlanması isteminde de bulunabilir.

Davacının, maddî ve manevî tazminat istemleri ile hukuka aykırı saldırı

dolayısıyla elde edilmiş olan kazancın vekâletsiz iş görme hükümlerine göre

kendisine verilmesine ilişkin istemde bulunma hakkı saklıdır.

157



MADDE 23

Kimse, hak ve fiil ehliyetlerinden kısmen de olsa vazgeçemez.

Kimse özgürlüklerinden vazgeçemez veya onları hukuka ya da ahlâka aykırı

olarak sınırlayamaz.

Yazılı rıza üzerine insan kökenli biyolojik Maddelerin alınması, aşılanması ve

nakli mümkündür. Ancak, biyolojik MADDE verme borcu altına girmiş

olandan edimini yerine getirmesi istenemez; maddî ve manevî tazminat

isteminde bulunulamaz.

MADDE 24

Hukuka aykırı olarak kişilik hakkına saldırılan kimse, hâkimden, saldırıda

bulunanlara karşı korunmasını isteyebilir.

Kişilik hakkı zedelenen kimsenin rızası, daha üstün nitelikte özel veya

kamusal yarar ya da kanunun verdiği yetkinin kullanılması sebeplerinden

biriyle haklı kılınmadıkça, kişilik haklarına yapılan her saldırı hukuka aykırıdır.

MADDE 25

Davacı, hâkimden saldırı tehlikesinin önlenmesini, sürmekte olan saldırıya

son verilmesini, sona ermiş olsa bile etkileri devam eden saldırının hukuka

aykırılığının tespitini isteyebilir.

Davacı bunlarla birlikte, düzeltmenin veya kararın üçüncü kişilere bildirilmesi

ya da yayımlanması isteminde de bulunabilir.

Davacının, maddî ve manevî tazminat istemleri ile hukuka aykırı saldırı

dolayısıyla elde edilmiş olan kazancın vekâletsiz iş görme hükümlerine göre

kendisine verilmesine ilişkin istemde bulunma hakkı saklıdır.


158

Manevî tazminat istemi, karşı tarafça kabul edilmiş olmadıkça devredilemez;

mirasbırakan tarafından ileri sürülmüş olmadıkça mirasçılara geçmez.

Davacı, kişilik haklarının korunması için kendi yerleşim yeri veya davalının

yerleşim yeri mahkemesinde dava açabilir.

159

4857 SAYILI İŞ KANUNU (İLGİLİ HÜKÜMLER)


MADDE 75- İşçi özlük dosyası

İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu

dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar

uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak

ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır.

İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun

olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri

açıklamamakla yükümlüdür.


158

Manevî tazminat istemi, karşı tarafça kabul edilmiş olmadıkça devredilemez;

mirasbırakan tarafından ileri sürülmüş olmadıkça mirasçılara geçmez.

Davacı, kişilik haklarının korunması için kendi yerleşim yeri veya davalının

yerleşim yeri mahkemesinde dava açabilir.

159

4857 SAYILI İŞ KANUNU (İLGİLİ HÜKÜMLER)


MADDE 75- İşçi özlük dosyası

İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu

dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar

uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak

ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır.

İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun

olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri

açıklamamakla yükümlüdür.

161

4982 SAYILI BİLGİ EDİNME HAKKI KANUNU (İLGİLİ HÜKÜMLER)


MADDE 1- Amaç

Bu Kanunun amacı; demokratik ve şeffaf yönetimin gereği olan eşitlik,

tarafsızlık ve açıklık ilkelerine uygun olarak kişilerin bilgi edinme hakkını

kullanmalarına ilişkin esas ve usulleri düzenlemektir.

MADDE 2- Kapsam

Bu Kanun; kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek

kuruluşlarının faaliyetlerinde uygulanır.

1.11.1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun

hükümleri saklıdır.

(Ek fıkra: 12/7/2013-6495/33 md.; İptal fıkra: Anayasa Mahkemesi’nin

4/12/2014 tarihli ve E.:2013/114, K.:2014/184 sayılı Kararı ile.)

MADDE 3- Tanımlar

Bu Kanunda geçen;

a) Kurum ve kuruluş: Bu Kanunun 2 nci maddesinde geçen ve kapsama dahil

olan bilgi edinme başvurusu yapılacak bütün makam ve mercileri,

b) Başvuru sahibi: Bu Kanun kapsamında bilgi edinme hakkını kullanarak

kurum ve kuruluşlara başvuran gerçek ve tüzel kişileri,

c) Bilgi: Kurum ve kuruluşların sahip oldukları kayıtlarda yer alan bu Kanun

kapsamındaki her türlü veriyi,

d) Belge: Kurum ve kuruluşların sahip oldukları bu Kanun kapsamındaki yazılı,

basılı veya çoğaltılmış dosya, evrak, kitap, dergi, broşür, etüt, mektup,

program, talimat, kroki, plân, film, fotoğraf, teyp ve video kaseti, harita,

elektronik ortamda kaydedilen her türlü bilgi, haber ve veri taşıyıcılarını,

161



MADDE 1- Amaç

Bu Kanunun amacı; demokratik ve şeffaf yönetimin gereği olan eşitlik,

tarafsızlık ve açıklık ilkelerine uygun olarak kişilerin bilgi edinme hakkını

kullanmalarına ilişkin esas ve usulleri düzenlemektir.

MADDE 2- Kapsam

Bu Kanun; kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek

kuruluşlarının faaliyetlerinde uygulanır.

1.11.1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun

hükümleri saklıdır.

(Ek fıkra: 12/7/2013-6495/33 md.; İptal fıkra: Anayasa Mahkemesi’nin

4/12/2014 tarihli ve E.:2013/114, K.:2014/184 sayılı Kararı ile.)

MADDE 3- Tanımlar

Bu Kanunda geçen;

a) Kurum ve kuruluş: Bu Kanunun 2 nci maddesinde geçen ve kapsama dahil

olan bilgi edinme başvurusu yapılacak bütün makam ve mercileri,

b) Başvuru sahibi: Bu Kanun kapsamında bilgi edinme hakkını kullanarak

kurum ve kuruluşlara başvuran gerçek ve tüzel kişileri,

c) Bilgi: Kurum ve kuruluşların sahip oldukları kayıtlarda yer alan bu Kanun

kapsamındaki her türlü veriyi,

d) Belge: Kurum ve kuruluşların sahip oldukları bu Kanun kapsamındaki yazılı,

basılı veya çoğaltılmış dosya, evrak, kitap, dergi, broşür, etüt, mektup,

program, talimat, kroki, plân, film, fotoğraf, teyp ve video kaseti, harita,

elektronik ortamda kaydedilen her türlü bilgi, haber ve veri taşıyıcılarını,


162

e) Bilgi veya belgeye erişim: İstenen bilgi veya belgenin niteliğine göre,

kurum ve kuruluşlarca, başvuru sahibine söz konusu bilgi veya belgenin bir

kopyasının verilmesini, kopya verilmesinin mümkün olmadığı hâllerde,

başvuru sahibinin bilgi veya belgenin aslını inceleyerek not almasına veya

içeriğini görmesine veya işitmesine izin verilmesini,

f) Kurul: Bilgi Edinme Değerlendirme Kurulunu,

İfade eder.

MADDE 4- Bilgi edinme hakkı

Herkes bilgi edinme hakkına sahiptir.

Türkiye'de ikamet eden yabancılar ile Türkiye'de faaliyette bulunan yabancı

tüzel kişiler, isteyecekleri bilgi kendileriyle veya faaliyet alanlarıyla ilgili

olmak kaydıyla ve karşılıklılık ilkesi çerçevesinde, bu Kanun hükümlerinden

yararlanırlar.

Türkiye'nin taraf olduğu uluslararası sözleşmelerden doğan hak ve

yükümlülükleri saklıdır.

MADDE 5- Bilgi verme yükümlülüğü

Kurum ve kuruluşlar, bu Kanunda yer alan istisnalar dışındaki her türlü bilgi

veya belgeyi başvuranların yararlanmasına sunmak ve bilgi edinme

başvurularını etkin, süratli ve doğru sonuçlandırmak üzere, gerekli idarî ve

teknik tedbirleri almakla yükümlüdürler.

Bu Kanun yürürlüğe girdiği tarihten itibaren diğer kanunların bu Kanuna

aykırı hükümleri uygulanmaz.

(…)


Kişinin izin verdiği hâller saklı kalmak üzere, özel hayatın gizliliği kapsamında,

açıklanması hâlinde kişinin sağlık bilgileri ile özel ve aile hayatına, şeref ve


163

haysiyetine, meslekî ve ekonomik değerlerine haksız müdahale oluşturacak

bilgi veya belgeler, bilgi edinme hakkı kapsamı dışındadır.

Kamu yararının gerektirdiği hâllerde, kişisel bilgi veya belgeler, kurum ve

kuruluşlar tarafından, ilgili kişiye en az yedi gün önceden haber verilerek

yazılı rızası alınmak koşuluyla açıklanabilir.

(…)

MADDE 29- Ceza hükümleri

Bu Kanunun uygulanmasında ihmâli, kusuru veya kastı bulunan memurlar ve

diğer kamu görevlileri hakkında, işledikleri fiillerin genel hükümler

çerçevesinde ceza kovuşturması gerektirmesi hususu saklı kalmak kaydıyla,

tâbi oldukları mevzuatta yer alan disiplin cezaları uygulanır.

Bu Kanunla erişilen bilgi ve belgeler ticarî amaçla çoğaltılamaz ve

kullanılamaz.


162

e) Bilgi veya belgeye erişim: İstenen bilgi veya belgenin niteliğine göre,

kurum ve kuruluşlarca, başvuru sahibine söz konusu bilgi veya belgenin bir

kopyasının verilmesini, kopya verilmesinin mümkün olmadığı hâllerde,

başvuru sahibinin bilgi veya belgenin aslını inceleyerek not almasına veya

içeriğini görmesine veya işitmesine izin verilmesini,

f) Kurul: Bilgi Edinme Değerlendirme Kurulunu,

İfade eder.

MADDE 4- Bilgi edinme hakkı

Herkes bilgi edinme hakkına sahiptir.

Türkiye'de ikamet eden yabancılar ile Türkiye'de faaliyette bulunan yabancı

tüzel kişiler, isteyecekleri bilgi kendileriyle veya faaliyet alanlarıyla ilgili

olmak kaydıyla ve karşılıklılık ilkesi çerçevesinde, bu Kanun hükümlerinden

yararlanırlar.

Türkiye'nin taraf olduğu uluslararası sözleşmelerden doğan hak ve

yükümlülükleri saklıdır.

MADDE 5- Bilgi verme yükümlülüğü

Kurum ve kuruluşlar, bu Kanunda yer alan istisnalar dışındaki her türlü bilgi

veya belgeyi başvuranların yararlanmasına sunmak ve bilgi edinme

başvurularını etkin, süratli ve doğru sonuçlandırmak üzere, gerekli idarî ve

teknik tedbirleri almakla yükümlüdürler.

Bu Kanun yürürlüğe girdiği tarihten itibaren diğer kanunların bu Kanuna

aykırı hükümleri uygulanmaz.

(…)


Kişinin izin verdiği hâller saklı kalmak üzere, özel hayatın gizliliği kapsamında,

açıklanması hâlinde kişinin sağlık bilgileri ile özel ve aile hayatına, şeref ve


163

haysiyetine, meslekî ve ekonomik değerlerine haksız müdahale oluşturacak

bilgi veya belgeler, bilgi edinme hakkı kapsamı dışındadır.

Kamu yararının gerektirdiği hâllerde, kişisel bilgi veya belgeler, kurum ve

kuruluşlar tarafından, ilgili kişiye en az yedi gün önceden haber verilerek

yazılı rızası alınmak koşuluyla açıklanabilir.

(…)

MADDE 29- Ceza hükümleri

Bu Kanunun uygulanmasında ihmâli, kusuru veya kastı bulunan memurlar ve

diğer kamu görevlileri hakkında, işledikleri fiillerin genel hükümler

çerçevesinde ceza kovuşturması gerektirmesi hususu saklı kalmak kaydıyla,

tâbi oldukları mevzuatta yer alan disiplin cezaları uygulanır.

Bu Kanunla erişilen bilgi ve belgeler ticarî amaçla çoğaltılamaz ve

kullanılamaz.

165

5070 SAYILI ELEKTRONİK İMZA KANUNU (İLGİLİ HÜKÜMLER)


MADDE 12 (Bilgilerin korunması)

Elektronik sertifika hizmet sağlayıcısı;

a) Elektronik sertifika talep eden kişiden, elektronik sertifika vermek için

gerekli bilgiler hariç bilgi talep edemez ve bu bilgileri kişinin rızası dışında

elde edemez,

b) Elektronik sertifika sahibinin izni olmaksızın sertifikayı üçüncü kişilerin

ulaşabileceği ortamlarda bulunduramaz,

c) Elektronik sertifika talep eden kişinin yazılı rızası olmaksızın üçüncü

kişilerin kişisel verileri elde etmesini engeller. Bu bilgileri sertifika sahibinin

onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz.

165

5070 SAYILI ELEKTRONİK İMZA KANUNU (İLGİLİ HÜKÜMLER)


MADDE 12 (Bilgilerin korunması)

Elektronik sertifika hizmet sağlayıcısı;

a) Elektronik sertifika talep eden kişiden, elektronik sertifika vermek için

gerekli bilgiler hariç bilgi talep edemez ve bu bilgileri kişinin rızası dışında

elde edemez,

b) Elektronik sertifika sahibinin izni olmaksızın sertifikayı üçüncü kişilerin

ulaşabileceği ortamlarda bulunduramaz,

c) Elektronik sertifika talep eden kişinin yazılı rızası olmaksızın üçüncü

kişilerin kişisel verileri elde etmesini engeller. Bu bilgileri sertifika sahibinin

onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz.

167

5237 SAYILI TÜRK CEZA KANUNU (İLGİLİ HÜKÜMLER)


MADDE 60- Tüzel kişiler hakkında güvenlik tedbirleri

(1) Bir kamu kurumunun verdiği izne dayalı olarak faaliyette bulunan özel

hukuk tüzel kişisinin organ veya temsilcilerinin iştirakiyle ve bu iznin verdiği

yetkinin kötüye kullanılması suretiyle tüzel kişi yararına işlenen kasıtlı

suçlardan mahkûmiyet halinde, iznin iptaline karar verilir.

(2) Müsadere hükümleri, yararına işlenen suçlarda özel hukuk tüzel kişileri

hakkında da uygulanır.

(3) Yukarıdaki fıkralar hükümlerinin uygulanmasının işlenen fiile nazaran

daha ağır sonuçlar ortaya çıkarabileceği durumlarda, hakim bu tedbirlere

hükmetmeyebilir.

(4) Bu MADDE hükümleri kanunun ayrıca belirttiği hallerde uygulanır.

MADDE 132- Haberleşmenin gizliliğini ihlal 10(1) Kişiler arasındaki haberleşmenin gizliliğini ihlal eden kimse, bir yıldan üç

yıla kadar hapis cezası ile cezalandırılır. Bu gizlilik ihlali haberleşme

içeriklerinin kaydı suretiyle gerçekleşirse, verilecek ceza bir kat artırılır.

(2) Kişiler arasındaki haberleşme içeriklerini hukuka aykırı olarak ifşa eden

kimse, iki yıldan beş yıla kadar hapis cezası ile cezalandırılır.

10 2/7/2012 tarihli ve 6352 sayılı Kanunun 79 uncu maddesiyle, bu maddenin birinci fıkrasında yer alan “altı aydan iki yıla kadar hapis veya adlî para” ibaresi “bir yıldan üç yıla kadar hapis” ve “bir yıldan üç yıla kadar hapis cezasına hükmolunur” ibaresi ise “verilecek ceza bir kat artırılır” şeklinde; ikinci fıkrasında yer alan “bir yıldan üç yıla kadar hapis” ibaresi “iki yıldan beş yıla kadar hapis” şeklinde; üçüncü fıkrasında yer alan “altı aydan iki yıla kadar hapis veya adlî para” ibaresi “bir yıldan üç yıla kadar hapis” şeklinde değiştirilmiş, fıkraya “rızası olmaksızın” ibaresinden sonra gelmek üzere “hukuka aykırı olarak” ibaresi eklenmiştir.

167



MADDE 60- Tüzel kişiler hakkında güvenlik tedbirleri

(1) Bir kamu kurumunun verdiği izne dayalı olarak faaliyette bulunan özel

hukuk tüzel kişisinin organ veya temsilcilerinin iştirakiyle ve bu iznin verdiği

yetkinin kötüye kullanılması suretiyle tüzel kişi yararına işlenen kasıtlı

suçlardan mahkûmiyet halinde, iznin iptaline karar verilir.

(2) Müsadere hükümleri, yararına işlenen suçlarda özel hukuk tüzel kişileri

hakkında da uygulanır.

(3) Yukarıdaki fıkralar hükümlerinin uygulanmasının işlenen fiile nazaran

daha ağır sonuçlar ortaya çıkarabileceği durumlarda, hakim bu tedbirlere

hükmetmeyebilir.

(4) Bu MADDE hükümleri kanunun ayrıca belirttiği hallerde uygulanır.

MADDE 132- Haberleşmenin gizliliğini ihlal 10(1) Kişiler arasındaki haberleşmenin gizliliğini ihlal eden kimse, bir yıldan üç

yıla kadar hapis cezası ile cezalandırılır. Bu gizlilik ihlali haberleşme

içeriklerinin kaydı suretiyle gerçekleşirse, verilecek ceza bir kat artırılır.

(2) Kişiler arasındaki haberleşme içeriklerini hukuka aykırı olarak ifşa eden

kimse, iki yıldan beş yıla kadar hapis cezası ile cezalandırılır.

10 2/7/2012 tarihli ve 6352 sayılı Kanunun 79 uncu maddesiyle, bu maddenin birinci fıkrasında yer alan “altı aydan iki yıla kadar hapis veya adlî para” ibaresi “bir yıldan üç yıla kadar hapis” ve “bir yıldan üç yıla kadar hapis cezasına hükmolunur” ibaresi ise “verilecek ceza bir kat artırılır” şeklinde; ikinci fıkrasında yer alan “bir yıldan üç yıla kadar hapis” ibaresi “iki yıldan beş yıla kadar hapis” şeklinde; üçüncü fıkrasında yer alan “altı aydan iki yıla kadar hapis veya adlî para” ibaresi “bir yıldan üç yıla kadar hapis” şeklinde değiştirilmiş, fıkraya “rızası olmaksızın” ibaresinden sonra gelmek üzere “hukuka aykırı olarak” ibaresi eklenmiştir.


168

(3) Kendisiyle yapılan haberleşmelerin içeriğini diğer tarafın rızası olmaksızın

hukuka aykırı olarak alenen ifşa eden kişi, bir yıldan üç yıla kadar hapis cezası

ile cezalandırılır. (Ek cümle: 2/7/2012-6352/79 md.) İfşa edilen bu verilerin

basın ve yayın yoluyla yayımlanması halinde de aynı cezaya hükmolunur.

(4) (Mülga: 2/7/2012-6352/79 md.)

MADDE 133- Kişiler arasındaki konuşmaların dinlenmesi ve kayda

alınması) 11(1) Kişiler arasındaki aleni olmayan konuşmaları, taraflardan herhangi birinin

rızası olmaksızın bir aletle dinleyen veya bunları bir ses alma cihazı ile

kaydeden kişi, iki yıldan beş yıla kadar hapis cezası ile cezalandırılır.

(2) Katıldığı aleni olmayan bir söyleşiyi, diğer konuşanların rızası olmadan ses

alma cihazı ile kayda alan kişi, altı aydan iki yıla kadar hapis veya adlî para

cezası ile cezalandırılır.

(3) (Değişik: 2/7/2012-6352/80 md.) Kişiler arasındaki aleni olmayan

konuşmaların kaydedilmesi suretiyle elde edilen verileri hukuka aykırı olarak

ifşa eden kişi, iki yıldan beş yıla kadar hapis ve dörtbin güne kadar adlî para

cezası ile cezalandırılır. İfşa edilen bu verilerin basın ve yayın yoluyla

yayımlanması halinde de aynı cezaya hükmolunur.

11 2/7/2012 tarihli ve 6352 sayılı Kanunun 80 inci maddesiyle, bu maddenin birinci fıkrasında yer alan “iki aydan altı aya kadar hapis” ibaresi “iki yıldan beş yıla kadar hapis” şeklinde; ikinci fıkrasında yer alan “altı aya kadar hapis” ibaresi “altı aydan iki yıla kadar hapis” şeklinde değiştirilmiştir.


169

MADDE 134- Özel hayatın gizliliğini ihlal 12(1) Kişilerin özel hayatının gizliliğini ihlal eden kimse, bir yıldan üç yıla kadar

hapis cezası ile cezalandırılır. Gizliliğin görüntü veya seslerin kayda alınması

suretiyle ihlal edilmesi halinde, verilecek ceza bir kat artırılır.

(2) (Değişik: 2/7/2012-6352/81 md.) Kişilerin özel hayatına ilişkin görüntü

veya sesleri hukuka aykırı olarak ifşa eden kimse iki yıldan beş yıla kadar hapis



MADDE 135- Kişisel verilerin kaydedilmesi

(1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla

kadar hapis cezası verilir.13

(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki

kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına,

sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda

birinci fıkra uyarınca verilecek ceza yarı oranında artırılır14.

MADDE 136- Verileri hukuka aykırı olarak verme veya ele geçirme

(1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele

geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.15

12 2/7/2012 tarihli ve 6352 sayılı Kanunun 81 inci maddesiyle, bu maddenin birinci fıkrasında yer alan “altı aydan iki yıla kadar hapis veya adlî para” ibaresi “bir yıldan üç yıla kadar hapis” ve “cezanın alt sınırı bir yıldan az olamaz” ibaresi ise “verilecek ceza bir kat artırılır” şeklinde değiştirilmiştir.

13 21/2/2014 tarihli ve 6526 sayılı kanunun 3 üncü maddesiyle bu fıkrada yer alan “altı aydan” ibaresi “bir yıldan” şeklinde değiştirilmiştir.

14 24/3/2016 tarihli ve 6698 sayılı Kanunun 30 uncu maddesiyle, bu fıkrada yer alan “Kişilerin” ibaresi “Kişisel verinin, kişilerin” şeklinde; “bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır” ibaresi “olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır” şeklinde değiştirilmiştir.

15 21/2/2014 tarihli ve 6526 sayılı kanunun 4 üncü maddesiyle bu fıkrada yer alan “bir yıldan” ibaresi “iki yıldan” şeklinde değiştirilmiştir.


168

(3) Kendisiyle yapılan haberleşmelerin içeriğini diğer tarafın rızası olmaksızın

hukuka aykırı olarak alenen ifşa eden kişi, bir yıldan üç yıla kadar hapis cezası

ile cezalandırılır. (Ek cümle: 2/7/2012-6352/79 md.) İfşa edilen bu verilerin

basın ve yayın yoluyla yayımlanması halinde de aynı cezaya hükmolunur.

(4) (Mülga: 2/7/2012-6352/79 md.)

MADDE 133- Kişiler arasındaki konuşmaların dinlenmesi ve kayda

alınması) 11(1) Kişiler arasındaki aleni olmayan konuşmaları, taraflardan herhangi birinin

rızası olmaksızın bir aletle dinleyen veya bunları bir ses alma cihazı ile

kaydeden kişi, iki yıldan beş yıla kadar hapis cezası ile cezalandırılır.

(2) Katıldığı aleni olmayan bir söyleşiyi, diğer konuşanların rızası olmadan ses

alma cihazı ile kayda alan kişi, altı aydan iki yıla kadar hapis veya adlî para

cezası ile cezalandırılır.

(3) (Değişik: 2/7/2012-6352/80 md.) Kişiler arasındaki aleni olmayan

konuşmaların kaydedilmesi suretiyle elde edilen verileri hukuka aykırı olarak

ifşa eden kişi, iki yıldan beş yıla kadar hapis ve dörtbin güne kadar adlî para



11 2/7/2012 tarihli ve 6352 sayılı Kanunun 80 inci maddesiyle, bu maddenin birinci fıkrasında yer alan “iki aydan altı aya kadar hapis” ibaresi “iki yıldan beş yıla kadar hapis” şeklinde; ikinci fıkrasında yer alan “altı aya kadar hapis” ibaresi “altı aydan iki yıla kadar hapis” şeklinde değiştirilmiştir.


169

MADDE 134- Özel hayatın gizliliğini ihlal 12(1) Kişilerin özel hayatının gizliliğini ihlal eden kimse, bir yıldan üç yıla kadar

hapis cezası ile cezalandırılır. Gizliliğin görüntü veya seslerin kayda alınması

suretiyle ihlal edilmesi halinde, verilecek ceza bir kat artırılır.

(2) (Değişik: 2/7/2012-6352/81 md.) Kişilerin özel hayatına ilişkin görüntü

veya sesleri hukuka aykırı olarak ifşa eden kimse iki yıldan beş yıla kadar hapis



MADDE 135- Kişisel verilerin kaydedilmesi

(1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla

kadar hapis cezası verilir.13

(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki

kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına,

sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda

birinci fıkra uyarınca verilecek ceza yarı oranında artırılır14.

MADDE 136- Verileri hukuka aykırı olarak verme veya ele geçirme

(1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele

geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.15

12 2/7/2012 tarihli ve 6352 sayılı Kanunun 81 inci maddesiyle, bu maddenin birinci fıkrasında yer alan “altı aydan iki yıla kadar hapis veya adlî para” ibaresi “bir yıldan üç yıla kadar hapis” ve “cezanın alt sınırı bir yıldan az olamaz” ibaresi ise “verilecek ceza bir kat artırılır” şeklinde değiştirilmiştir.

13 21/2/2014 tarihli ve 6526 sayılı kanunun 3 üncü maddesiyle bu fıkrada yer alan “altı aydan” ibaresi “bir yıldan” şeklinde değiştirilmiştir.

14 24/3/2016 tarihli ve 6698 sayılı Kanunun 30 uncu maddesiyle, bu fıkrada yer alan “Kişilerin” ibaresi “Kişisel verinin, kişilerin” şeklinde; “bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır” ibaresi “olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır” şeklinde değiştirilmiştir.

15 21/2/2014 tarihli ve 6526 sayılı kanunun 4 üncü maddesiyle bu fıkrada yer alan “bir yıldan” ibaresi “iki yıldan” şeklinde değiştirilmiştir.


170

MADDE 137- Nitelikli haller

(1) Yukarıdaki maddelerde tanımlanan suçların;

a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak

suretiyle,

b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,

İşlenmesi halinde, verilecek ceza yarı oranında artırılır.

MADDE 138- Verileri yok etmeme

(1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem

içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir

yıldan iki yıla kadar hapis cezası verilir.16

(2) (Ek: 21/2/2014-6526/5 md.) Suçun konusunun Ceza Muhakemesi

Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken

veri olması hâlinde verilecek ceza bir kat artırılır.

MADDE 139- Şikayet

(1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele

geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların

soruşturulması ve kovuşturulması şikayete bağlıdır.

MADDE 140- Tüzel kişiler hakkında güvenlik tedbiri uygulanması

(1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel

kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.

16 21/2/2014 tarihli ve 6526 sayılı kanunun 5 inci maddesiyle bu fıkrada yer alan “altı aydan bir yıla kadar hapis” ibaresi “bir yıldan iki yıla kadar hapis” şeklinde değiştirilmiştir.

171

5258 SAYILI AİLE HEKİMLİĞİ KANUNU (İLGİLİ HÜKÜMLER)


MADDE 5- Hizmetin esasları

(…)

(3) Aile hekimlerinin şahsî kayıtları ilgili il ve ilçe sağlık idare birimlerinde

tutulur. Aile hekimlerinin kullandığı basılı veya elektronik ortamda tutulan

kayıtlar, kişilerin sağlık dosyaları ile raporlar, sevk belgesi ve reçete gibi

belgeler resmî kayıt ve evrak niteliğindedir. Bu kayıt ve belgeler, hekimin

ayrılması veya kişinin hekim değiştirmesi halinde eksiksiz olarak devredilir.

İlgili mevzuatta birinci basamak sağlık kuruluşları ve resmî tabiplerce

düzenlenmesi öngörülen her türlü rapor, sevk evrakı, reçete ve sair belgeler,

aile hekimliği uygulamasına geçilen yerlerde aile hekimleri tarafından

düzenlenir.


170

MADDE 137- Nitelikli haller

(1) Yukarıdaki maddelerde tanımlanan suçların;

a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak

suretiyle,

b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,

İşlenmesi halinde, verilecek ceza yarı oranında artırılır.

MADDE 138- Verileri yok etmeme

(1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem

içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir

yıldan iki yıla kadar hapis cezası verilir.16

(2) (Ek: 21/2/2014-6526/5 md.) Suçun konusunun Ceza Muhakemesi

Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken

veri olması hâlinde verilecek ceza bir kat artırılır.

MADDE 139- Şikayet

(1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele

geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların

soruşturulması ve kovuşturulması şikayete bağlıdır.

MADDE 140- Tüzel kişiler hakkında güvenlik tedbiri uygulanması

(1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel

kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.

16 21/2/2014 tarihli ve 6526 sayılı kanunun 5 inci maddesiyle bu fıkrada yer alan “altı aydan bir yıla kadar hapis” ibaresi “bir yıldan iki yıla kadar hapis” şeklinde değiştirilmiştir.

171

5258 SAYILI AİLE HEKİMLİĞİ KANUNU (İLGİLİ HÜKÜMLER)


MADDE 5- Hizmetin esasları

(…)

(3) Aile hekimlerinin şahsî kayıtları ilgili il ve ilçe sağlık idare birimlerinde

tutulur. Aile hekimlerinin kullandığı basılı veya elektronik ortamda tutulan

kayıtlar, kişilerin sağlık dosyaları ile raporlar, sevk belgesi ve reçete gibi

belgeler resmî kayıt ve evrak niteliğindedir. Bu kayıt ve belgeler, hekimin

ayrılması veya kişinin hekim değiştirmesi halinde eksiksiz olarak devredilir.

İlgili mevzuatta birinci basamak sağlık kuruluşları ve resmî tabiplerce

düzenlenmesi öngörülen her türlü rapor, sevk evrakı, reçete ve sair belgeler,

aile hekimliği uygulamasına geçilen yerlerde aile hekimleri tarafından

düzenlenir.

173

5271 SAYILI CEZA MUHAKEMESİ KANUNU (İLGİLİ HÜKÜMLER)


ÜÇÜNCÜ KISIM

Tanıklık, Bilirkişi İncelemesi ve Keşif

(…)

ÜÇÜNCÜ BÖLÜM

Gözlem Altına Alma, Muayene, Keşif ve Otopsi

(…)

MADDE 80– Genetik inceleme sonuçlarının gizliliği

(Değişik: 25/5/2005 – 5353/4 md.)

(1) 75, 76 ve 78 inci MADDE hükümlerine göre alınan örnekler üzerinde

yapılan inceleme sonuçları, kişisel veri niteliğinde olup, başka bir amaçla

kullanılamaz; dosya içeriğini öğrenme yetkisine sahip bulunan kişiler

tarafından bir başkasına verilemez.

(2) Bu bilgiler, kovuşturmaya yer olmadığı kararına itiraz süresinin dolması,

itirazın reddi, beraat veya ceza verilmesine yer olmadığı kararı verilip

kesinleşmesi hâllerinde Cumhuriyet savcısının huzurunda derhâl yok edilir

ve bu husus dosyasında muhafaza edilmek üzere tutanağa geçirilir.

173

5271 SAYILI CEZA MUHAKEMESİ KANUNU (İLGİLİ HÜKÜMLER)


ÜÇÜNCÜ KISIM

Tanıklık, Bilirkişi İncelemesi ve Keşif

(…)

ÜÇÜNCÜ BÖLÜM

Gözlem Altına Alma, Muayene, Keşif ve Otopsi

(…)

MADDE 80– Genetik inceleme sonuçlarının gizliliği

(Değişik: 25/5/2005 – 5353/4 md.)

(1) 75, 76 ve 78 inci MADDE hükümlerine göre alınan örnekler üzerinde

yapılan inceleme sonuçları, kişisel veri niteliğinde olup, başka bir amaçla

kullanılamaz; dosya içeriğini öğrenme yetkisine sahip bulunan kişiler

tarafından bir başkasına verilemez.

(2) Bu bilgiler, kovuşturmaya yer olmadığı kararına itiraz süresinin dolması,

itirazın reddi, beraat veya ceza verilmesine yer olmadığı kararı verilip

kesinleşmesi hâllerinde Cumhuriyet savcısının huzurunda derhâl yok edilir

ve bu husus dosyasında muhafaza edilmek üzere tutanağa geçirilir.

175

5411 SAYILI BANKACILIK KANUNU (İLGİLİ HÜKÜMLER)


MADDE 73- Sırların saklanması

Kurul başkan ve üyeleri ile Kurum personeli, Fon Kurulu başkan ve üyeleri ile

Fon personeli görevleri sırasında öğrendikleri bankalara ve bunların bağlı

ortaklık, iştirak, birlikte kontrol edilen ortaklıkları ve müşterilerine ait sırları

bu Kanuna ve özel kanunlarına göre yetkili olanlardan başkasına açıklayamaz

ve kendilerinin veya başkalarının yararlarına kullanamazlar. Kurumun

dışarıdan destek hizmeti aldığı kişi ve kuruluşlar ile bunların çalışanları da bu

hükme tâbidir. Bu yükümlülük görevden ayrıldıktan sonra da devam eder.

Bu Kanun hükümleri uyarınca Kurumun, yurt dışındaki muadili denetim

mercileri ile düzenleyeceği mutabakat zabıtları çerçevesinde vereceği bilgi

ve belgeler birinci fıkradaki sır kapsamında değildir. Kurul düzenleyeceği

mutabakat zabıtları veya zabıtlar dışında elde edeceği sırların korunmasını

sağlamakla görevlidir. Kurumun elde edeceği sır niteliğindeki bilgi ve

belgeler, kuruluş ve faaliyet izni verilmesinde, faaliyetlerin denetiminde,

düzenlemelere uyulup uyulmadığının izlenmesinde ve Kurul kararlarına karşı

açılacak idarî davaların görülmesinde kullanılabilir. (Değişik dördüncü

cümle: 13/2/2011-6111/146 md.) Kurumun bu fıkra kapsamında elde

edeceği sır niteliğindeki bilgi ve belgeler, ceza soruşturması ve kovuşturması

kapsamında savcılıklar ile ceza mahkemeleri, görevden ayrılmış olsalar dahi,

görevleriyle bağlantılı olarak işledikleri iddia edilen suçlardan dolayı

başlatılan soruşturma ve kovuşturmalar ile bağlantılı olarak talepte

bulunacak Kurul Başkanı ve üyeleri ile Kurum personeli dışında hiçbir kişi,

kurum ve kuruluşa verilemez. Mahkeme kararına bağlanmış sır kapsamına

giren bilgilerin verilmesinden Kurum sorumlu tutulamaz.

(Değişik üçüncü fıkra: 13/2/2011-6111/146 md.) Sıfat ve görevleri

dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu

175



MADDE 73- Sırların saklanması

Kurul başkan ve üyeleri ile Kurum personeli, Fon Kurulu başkan ve üyeleri ile

Fon personeli görevleri sırasında öğrendikleri bankalara ve bunların bağlı

ortaklık, iştirak, birlikte kontrol edilen ortaklıkları ve müşterilerine ait sırları

bu Kanuna ve özel kanunlarına göre yetkili olanlardan başkasına açıklayamaz

ve kendilerinin veya başkalarının yararlarına kullanamazlar. Kurumun

dışarıdan destek hizmeti aldığı kişi ve kuruluşlar ile bunların çalışanları da bu

hükme tâbidir. Bu yükümlülük görevden ayrıldıktan sonra da devam eder.

Bu Kanun hükümleri uyarınca Kurumun, yurt dışındaki muadili denetim

mercileri ile düzenleyeceği mutabakat zabıtları çerçevesinde vereceği bilgi

ve belgeler birinci fıkradaki sır kapsamında değildir. Kurul düzenleyeceği

mutabakat zabıtları veya zabıtlar dışında elde edeceği sırların korunmasını

sağlamakla görevlidir. Kurumun elde edeceği sır niteliğindeki bilgi ve

belgeler, kuruluş ve faaliyet izni verilmesinde, faaliyetlerin denetiminde,

düzenlemelere uyulup uyulmadığının izlenmesinde ve Kurul kararlarına karşı

açılacak idarî davaların görülmesinde kullanılabilir. (Değişik dördüncü

cümle: 13/2/2011-6111/146 md.) Kurumun bu fıkra kapsamında elde

edeceği sır niteliğindeki bilgi ve belgeler, ceza soruşturması ve kovuşturması

kapsamında savcılıklar ile ceza mahkemeleri, görevden ayrılmış olsalar dahi,

görevleriyle bağlantılı olarak işledikleri iddia edilen suçlardan dolayı

başlatılan soruşturma ve kovuşturmalar ile bağlantılı olarak talepte

bulunacak Kurul Başkanı ve üyeleri ile Kurum personeli dışında hiçbir kişi,

kurum ve kuruluşa verilemez. Mahkeme kararına bağlanmış sır kapsamına

giren bilgilerin verilmesinden Kurum sorumlu tutulamaz.

(Değişik üçüncü fıkra: 13/2/2011-6111/146 md.) Sıfat ve görevleri

dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu


176

sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına

açıklayamazlar. Bu yükümlülük görevden ayrıldıktan sonra da devam eder.

22/4/1926 tarihli ve 818 sayılı Borçlar Kanunu, 13/6/1952 tarihli ve 5953 sayılı

Basın Mesleğinde Çalışanlarla Çalıştıranlar Arasındaki Münasebetlerin

Tanzimi Hakkında Kanun, 20/4/1967 tarihli ve 854 sayılı Deniz İş Kanunu ile

22/5/2003 tarihli ve 4857 sayılı İş Kanunu kapsamında çalıştırılan işçi, gemi

adamı ve gazetecinin ücret, prim, ikramiye ve bu nitelikte her çeşit istihkak

ödemelerinin özel olarak açılan banka hesabına yapılması halinde, bu

hesaplara ilişkin bilgi ve belgelerin Çalışma ve Sosyal Güvenlik Bakanlığı,

Maliye Bakanlığı ve Hazine Müsteşarlığı ile bunlara bağlı ve ilgili kurum ve

kuruluşlara verilmesi ile 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve

Genel Sağlık Sigortası Kanununun 8 inci ve 100 üncü maddelerinin

uygulanması ile genel sağlık sigortalılığında gelir testinin yapılmasına ilişkin

bilgi ve belgelerin Sosyal Güvenlik Kurumuna ve il veya ilçe sosyal

yardımlaşma ve dayanışma vakıflarınca yapılan sosyal yardım hak

sahiplerinin tespiti ile gelir testi işlemlerinin yürütülmesi amacıyla Aile ve

Sosyal Politikalar Bakanlığı Sosyal Yardımlar Genel Müdürlüğüne verilmesi

sırrın ifşası sayılmaz. Bu bilgi ve belgelerin verilmesine ilişkin usûl ve esaslar

Çalışma ve Sosyal Güvenlik Bakanlığı, Maliye Bakanlığı, Hazine

Müsteşarlığının bağlı olduğu Bakanlık ile Kurulca belirlenir17. (1)

(Değişik dördüncü fıkra: 13/2/2011-6111/146 md.) Kurumun gözetim ve

denetimine tabi kuruluşların, bunların ortaklarına, bağlı ortaklık, iştirak,

birlikte kontrol edilen ortaklıklarının faaliyetlerine veya müşterilerine ilişkin

yabancı ülke kanunlarına göre denetime yetkili ve Kurum muadili mercilerin

17 13/6/2012 tarihli ve 6327 sayılı Kanunun 39 uncu maddesiyle, bu fıkrada yer alan “Sosyal Güvenlik Kurumuna” ibaresinden sonra gelmek üzere “ve il veya ilçe sosyal yardımlaşma ve dayanışma vakıflarınca yapılan sosyal yardım hak sahiplerinin tespiti ile gelir testi işlemlerinin yürütülmesi amacıyla Aile ve Sosyal Politikalar Bakanlığı Sosyal Yardımlar Genel Müdürlüğüne” ibaresi eklenmiş ve metne işlenmiştir.


177

taleplerinin Kurumca karşılanması, gizlilik sözleşmesi yapılması ve sadece

belirtilen amaçlar ile sınırlı kılınması koşuluyla bankaların ve finansal

kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en

az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla

yapacakları her türlü bilgi ve belge alışverişinin yanı sıra doğrudan veya

dolaylı pay sahipliği yoluyla sermayelerinin yüzde onunu ve daha fazlasını

temsil eden paylarının satışı amacıyla muhtemel alıcıların yapacakları

değerleme çalışmalarında ya da sermayelerinin yüzde on veya daha fazlasına

sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal

kuruluşlar da dâhil ana ortaklıkların konsolide finansal tablo hazırlama

çalışmalarında, risk yönetimi ve iç denetim uygulamalarında veya kredileri

de dâhil varlıklarının ya da bunlara dayalı menkul kıymetlerin satışı amacıyla

yapılacak değerleme çalışmalarında ya da değerleme, derecelendirme veya

destek hizmeti alınması ile bağımsız denetim faaliyetlerinde ve gerekli

tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak

üzere bilgi ve belge taleplerinin karşılanması sırasında banka ya da müşteri

sırrı niteliğindeki bilgilerin öğrenilmesi sır saklama yükümlülüğü dışındadır.


176

sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına

açıklayamazlar. Bu yükümlülük görevden ayrıldıktan sonra da devam eder.

22/4/1926 tarihli ve 818 sayılı Borçlar Kanunu, 13/6/1952 tarihli ve 5953 sayılı

Basın Mesleğinde Çalışanlarla Çalıştıranlar Arasındaki Münasebetlerin

Tanzimi Hakkında Kanun, 20/4/1967 tarihli ve 854 sayılı Deniz İş Kanunu ile

22/5/2003 tarihli ve 4857 sayılı İş Kanunu kapsamında çalıştırılan işçi, gemi

adamı ve gazetecinin ücret, prim, ikramiye ve bu nitelikte her çeşit istihkak

ödemelerinin özel olarak açılan banka hesabına yapılması halinde, bu

hesaplara ilişkin bilgi ve belgelerin Çalışma ve Sosyal Güvenlik Bakanlığı,

Maliye Bakanlığı ve Hazine Müsteşarlığı ile bunlara bağlı ve ilgili kurum ve

kuruluşlara verilmesi ile 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve

Genel Sağlık Sigortası Kanununun 8 inci ve 100 üncü maddelerinin

uygulanması ile genel sağlık sigortalılığında gelir testinin yapılmasına ilişkin

bilgi ve belgelerin Sosyal Güvenlik Kurumuna ve il veya ilçe sosyal

yardımlaşma ve dayanışma vakıflarınca yapılan sosyal yardım hak

sahiplerinin tespiti ile gelir testi işlemlerinin yürütülmesi amacıyla Aile ve

Sosyal Politikalar Bakanlığı Sosyal Yardımlar Genel Müdürlüğüne verilmesi

sırrın ifşası sayılmaz. Bu bilgi ve belgelerin verilmesine ilişkin usûl ve esaslar

Çalışma ve Sosyal Güvenlik Bakanlığı, Maliye Bakanlığı, Hazine

Müsteşarlığının bağlı olduğu Bakanlık ile Kurulca belirlenir17. (1)

(Değişik dördüncü fıkra: 13/2/2011-6111/146 md.) Kurumun gözetim ve

denetimine tabi kuruluşların, bunların ortaklarına, bağlı ortaklık, iştirak,

birlikte kontrol edilen ortaklıklarının faaliyetlerine veya müşterilerine ilişkin

yabancı ülke kanunlarına göre denetime yetkili ve Kurum muadili mercilerin

17 13/6/2012 tarihli ve 6327 sayılı Kanunun 39 uncu maddesiyle, bu fıkrada yer alan “Sosyal Güvenlik Kurumuna” ibaresinden sonra gelmek üzere “ve il veya ilçe sosyal yardımlaşma ve dayanışma vakıflarınca yapılan sosyal yardım hak sahiplerinin tespiti ile gelir testi işlemlerinin yürütülmesi amacıyla Aile ve Sosyal Politikalar Bakanlığı Sosyal Yardımlar Genel Müdürlüğüne” ibaresi eklenmiş ve metne işlenmiştir.


177

taleplerinin Kurumca karşılanması, gizlilik sözleşmesi yapılması ve sadece

belirtilen amaçlar ile sınırlı kılınması koşuluyla bankaların ve finansal

kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en

az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla

yapacakları her türlü bilgi ve belge alışverişinin yanı sıra doğrudan veya

dolaylı pay sahipliği yoluyla sermayelerinin yüzde onunu ve daha fazlasını

temsil eden paylarının satışı amacıyla muhtemel alıcıların yapacakları

değerleme çalışmalarında ya da sermayelerinin yüzde on veya daha fazlasına

sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal

kuruluşlar da dâhil ana ortaklıkların konsolide finansal tablo hazırlama

çalışmalarında, risk yönetimi ve iç denetim uygulamalarında veya kredileri

de dâhil varlıklarının ya da bunlara dayalı menkul kıymetlerin satışı amacıyla

yapılacak değerleme çalışmalarında ya da değerleme, derecelendirme veya

destek hizmeti alınması ile bağımsız denetim faaliyetlerinde ve gerekli

tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak

üzere bilgi ve belge taleplerinin karşılanması sırasında banka ya da müşteri

sırrı niteliğindeki bilgilerin öğrenilmesi sır saklama yükümlülüğü dışındadır.

179

5429 SAYILI TÜRKİYE İSTATİSTİK KANUNU (İLGİLİ HÜKÜMLER)


MADDE 2- Tanımlar

Bu Kanunun uygulanmasında; (…)

n) Veri: Anket veya idarî kayıtlar yoluyla elde edilen nicel ve/veya nitel

istatistikî bilgileri,

o) Bireysel veri: Hakkında bilgi toplanan istatistikî birimlerin, özellikleri ile

birlikte tanımlandığı veriyi,

179

5429 SAYILI TÜRKİYE İSTATİSTİK KANUNU (İLGİLİ HÜKÜMLER)


MADDE 2- Tanımlar


n) Veri: Anket veya idarî kayıtlar yoluyla elde edilen nicel ve/veya nitel

istatistikî bilgileri,

o) Bireysel veri: Hakkında bilgi toplanan istatistikî birimlerin, özellikleri ile

birlikte tanımlandığı veriyi,

181

5490 SAYILI NÜFUS HİZMETLERİ KANUNU (İLGİLİ HÜKÜMLER)

MADDE 3- Tanımlar

(1) Bu Kanunda geçen;

(…)

k) (Değişik: 19/10/2017-7039/1 md.) Kimlik Paylaşımı Sistemi: Merkezi veri

tabanında tutulan kayıtların kurumlar ve kamu hizmeti sunan tüzel kişiler ile

paylaşıldığı sistemi,

(…)

o) (Değişik: 19/10/2017-7039/1 md.) Merkezî veri tabanı: Genel Müdürlükçe

elektronik ortamda tutulan verileri,

ö) (Değişik: 19/10/2017-7039/1 md.) MERNİS: Merkezî Nüfus İdaresi

Sistemini,

(…)

ş) Nüfus kaydı: Aile kütüğüne işlenmiş kişisel bilgileri,

t) Nüfus kayıt örneği: Aile kütüğüne işlenmiş kişisel bilgilerin özetlerini

gösterir belgeyi,

(…)

aa) Ulusal adres veri tabanı: Adres bilgilerinin tutulduğu merkezî veri

tabanını,

(…)

ff) (Ek: 14/1/2016-6661/8 md.) Biyometrik veri: Elektronik sistemler aracılığı

ile kimlik tespit ve kimlik doğrulama işlemlerinin gerçekleştirilmesini

sağlamak amacıyla alınan parmak izi, damar izi ve el ayasından elde edilen

kişiye özgü verileri,

181


MADDE 3- Tanımlar


(…)

k) (Değişik: 19/10/2017-7039/1 md.) Kimlik Paylaşımı Sistemi: Merkezi veri

tabanında tutulan kayıtların kurumlar ve kamu hizmeti sunan tüzel kişiler ile

paylaşıldığı sistemi,

(…)

o) (Değişik: 19/10/2017-7039/1 md.) Merkezî veri tabanı: Genel Müdürlükçe

elektronik ortamda tutulan verileri,

ö) (Değişik: 19/10/2017-7039/1 md.) MERNİS: Merkezî Nüfus İdaresi

Sistemini,

(…)

ş) Nüfus kaydı: Aile kütüğüne işlenmiş kişisel bilgileri,

t) Nüfus kayıt örneği: Aile kütüğüne işlenmiş kişisel bilgilerin özetlerini

gösterir belgeyi,

(…)

aa) Ulusal adres veri tabanı: Adres bilgilerinin tutulduğu merkezî veri

tabanını,

(…)

ff) (Ek: 14/1/2016-6661/8 md.) Biyometrik veri: Elektronik sistemler aracılığı

ile kimlik tespit ve kimlik doğrulama işlemlerinin gerçekleştirilmesini

sağlamak amacıyla alınan parmak izi, damar izi ve el ayasından elde edilen

kişiye özgü verileri,


182

gg) (Ek: 19/10/2017-7039/1 md.) Veri Paylaşımı Kurulu: Merkezî veri

tabanında yer alan bilgilerin paylaşımına ilişkin talepleri değerlendirmek

üzere oluşturulan kurulu,

(…)

ifade eder.

MADDE 43- Nüfus kayıt örneği verilmesi

(1) Kişinin aile kütüğündeki kaydının çıkarılması ve aslına uygunluğunun

nüfus müdürlüğünce onanması ile elde edilen nüfus kayıt örnekleri, aksi

ispat edilene kadar geçerlidir. Nüfus kayıt örneği, istenme nedeni ve hangi

amaçla kullanılacağının belirtildiği yazılı istek olmadan verilemez. Ancak

kişinin kimliğini kanıtlayan resmî bir belge ile şahsen başvurması halinde

yazılı müracaat aranmaz. Nüfus kayıt örneklerinde, bunları istemeye yetkili

olanlar tarafından açıkça ve gerekçeli olarak istenmediği takdirde, kimlik

bilgileri dışında kişisel bilgilere yer verilmez. Bu belgeler üzerinde silinti ve

kazıntı yapılamaz.

(2) Düzenlendikleri tarihten itibaren yüzseksen gün içinde kullanılmayan

nüfus kayıt örnekleri geçerliliğini kaybeder. Nüfus kayıt örneğinin

kullanılacağı alanlara göre Bakanlık bu süreyi otuz güne kadar kısaltmaya

yetkilidir.

MADDE 44- Nüfus kayıt örneğini almaya yetkili olanlar

(1) Nüfus kayıt örneklerini;

a) Bakanlık,

b) Dış temsilcilikler,

c) Asker alma işlemleri için Milli Savunma Bakanlığı,

ç) Adlî makamlar,

d) Adlî işlemlerle sınırlı olmak üzere kolluk kuruluşları,


183

e) Evlenme işlemleri için evlendirme işlemini yapmaya yetkili olanlar,

f) Ölüm işlemleri için resmî sağlık kuruluşları,

g) Kaydın sahipleri veya bunların eşleri ile veli, vasi, alt ve üst soyları ya da bu

kişilere ait vekâletnameyi ibraz edenler, 18

nüfus müdürlüklerinden doğrudan almaya yetkilidirler.

(2) Birinci fıkrada sayılanlar dışında kalan kurumlar ve tüzel kişiler, yazılı

olarak başvurmak ve istem nedenini açıkça belirtmek suretiyle Bakanlık veya

mülkî idare amirinin emri ile nüfus kayıt örneğini alabilirler. Bakanlık bu

madde hükümlerini işletmek üzere Kimlik Paylaşımı Sistemi kurar.

(3) Yerleşim yeri adresi ve diğer adres bilgilerinin verilmesi kişinin rızasına

bağlıdır.

(4) Birinci fıkranın (g) bendinde sayılan kişiler dışında kalan üçüncü şahıslar

medenî hal bilgisi dışında bir kişinin nüfus kaydına ilişkin örnek veya bilgi

alamazlar.

(5) (Ek: 19/10/2017-7039/10 md.) Kişiler; kendileri ve alt ya da üst soylarına

ait nüfus kayıt örneklerini, kendileri ve ergin olmayan çocuklarının ise

yerleşim yeri belgelerini, güvenli kimlik doğrulama araçlarını kullanarak e-

Devlet kapısı üzerinden sorgulayabilir, sonucu fiziki veya elektronik ortamda

merciine verebilirler. E-Devlet kapısı üzerinden alınan belgeler, nüfus

müdürlüklerinden alınmış diğer belgelerle aynı hukuki değere sahiptir.

MADDE 45- Kimlik Paylaşımı Sisteminin kullanılması19

(Değişik: 19/10/2017-7039/11 md.)

18 19/10/2017 tarihli ve 7039 sayılı Kanunun 10 uncu maddesiyle, bu bentte yer alan “vekillik belgesini” ibaresi “vekâletnameyi” şeklinde değiştirilmiştir.

19 Bu madde başlığı “Kimlik ve Adres Paylaşımı Sistemlerinin kullanılması” iken, 19/10/2017 tarihli ve 7039 sayılı Kanunun 11 inci maddesiyle metne işlendiği şekilde değiştirilmiştir.


182

gg) (Ek: 19/10/2017-7039/1 md.) Veri Paylaşımı Kurulu: Merkezî veri

tabanında yer alan bilgilerin paylaşımına ilişkin talepleri değerlendirmek

üzere oluşturulan kurulu,

(…)

ifade eder.

MADDE 43- Nüfus kayıt örneği verilmesi

(1) Kişinin aile kütüğündeki kaydının çıkarılması ve aslına uygunluğunun

nüfus müdürlüğünce onanması ile elde edilen nüfus kayıt örnekleri, aksi

ispat edilene kadar geçerlidir. Nüfus kayıt örneği, istenme nedeni ve hangi

amaçla kullanılacağının belirtildiği yazılı istek olmadan verilemez. Ancak

kişinin kimliğini kanıtlayan resmî bir belge ile şahsen başvurması halinde

yazılı müracaat aranmaz. Nüfus kayıt örneklerinde, bunları istemeye yetkili

olanlar tarafından açıkça ve gerekçeli olarak istenmediği takdirde, kimlik

bilgileri dışında kişisel bilgilere yer verilmez. Bu belgeler üzerinde silinti ve

kazıntı yapılamaz.

(2) Düzenlendikleri tarihten itibaren yüzseksen gün içinde kullanılmayan

nüfus kayıt örnekleri geçerliliğini kaybeder. Nüfus kayıt örneğinin

kullanılacağı alanlara göre Bakanlık bu süreyi otuz güne kadar kısaltmaya

yetkilidir.

MADDE 44- Nüfus kayıt örneğini almaya yetkili olanlar

(1) Nüfus kayıt örneklerini;

a) Bakanlık,

b) Dış temsilcilikler,

c) Asker alma işlemleri için Milli Savunma Bakanlığı,

ç) Adlî makamlar,

d) Adlî işlemlerle sınırlı olmak üzere kolluk kuruluşları,


183

e) Evlenme işlemleri için evlendirme işlemini yapmaya yetkili olanlar,

f) Ölüm işlemleri için resmî sağlık kuruluşları,

g) Kaydın sahipleri veya bunların eşleri ile veli, vasi, alt ve üst soyları ya da bu

kişilere ait vekâletnameyi ibraz edenler, 18

nüfus müdürlüklerinden doğrudan almaya yetkilidirler.

(2) Birinci fıkrada sayılanlar dışında kalan kurumlar ve tüzel kişiler, yazılı

olarak başvurmak ve istem nedenini açıkça belirtmek suretiyle Bakanlık veya

mülkî idare amirinin emri ile nüfus kayıt örneğini alabilirler. Bakanlık bu

madde hükümlerini işletmek üzere Kimlik Paylaşımı Sistemi kurar.

(3) Yerleşim yeri adresi ve diğer adres bilgilerinin verilmesi kişinin rızasına

bağlıdır.

(4) Birinci fıkranın (g) bendinde sayılan kişiler dışında kalan üçüncü şahıslar

medenî hal bilgisi dışında bir kişinin nüfus kaydına ilişkin örnek veya bilgi

alamazlar.

(5) (Ek: 19/10/2017-7039/10 md.) Kişiler; kendileri ve alt ya da üst soylarına

ait nüfus kayıt örneklerini, kendileri ve ergin olmayan çocuklarının ise

yerleşim yeri belgelerini, güvenli kimlik doğrulama araçlarını kullanarak e-

Devlet kapısı üzerinden sorgulayabilir, sonucu fiziki veya elektronik ortamda

merciine verebilirler. E-Devlet kapısı üzerinden alınan belgeler, nüfus

müdürlüklerinden alınmış diğer belgelerle aynı hukuki değere sahiptir.

MADDE 45- Kimlik Paylaşımı Sisteminin kullanılması19

(Değişik: 19/10/2017-7039/11 md.)

18 19/10/2017 tarihli ve 7039 sayılı Kanunun 10 uncu maddesiyle, bu bentte yer alan “vekillik belgesini” ibaresi “vekâletnameyi” şeklinde değiştirilmiştir.

19 Bu madde başlığı “Kimlik ve Adres Paylaşımı Sistemlerinin kullanılması” iken, 19/10/2017 tarihli ve 7039 sayılı Kanunun 11 inci maddesiyle metne işlendiği şekilde değiştirilmiştir.


184

(1) Bakanlık, merkezî veri tabanında tutulan verileri bu Kanunda belirtilen usul

ve esaslar çerçevesinde kurumlarla; kimlik verilerini, kamu hizmeti sunan

tüzel kişilikler, 3/6/2007 tarihli ve 5684 sayılı Sigortacılık Kanunu

çerçevesinde faaliyette bulunan sigorta ve emeklilik şirketleri, 19/10/2005

tarihli ve 5411 sayılı Bankacılık Kanunu çerçevesinde faaliyette bulunan

bankalar, Risk Merkezi ve 5411 sayılı Kanunun 73 üncü maddesinin son fıkrası

uyarınca bilgi paylaşımı amacıyla kurulmuş şirketler, 21/11/2012 tarihli ve

6361 sayılı Finansal Kiralama, Faktoring ve Finansman Şirketleri Kanunu

kapsamındaki finansal kiralama şirketleri ile finansman şirketleri; yerleşim

yeri ve diğer adres bilgilerini ise Bakanlıkça belirlenen adrese dayalı kamu

hizmeti sunan kuruluşlar, 5684 sayılı Kanun çerçevesinde faaliyette bulunan

sigorta ve emeklilik şirketleri, 5411 sayılı Kanun çerçevesinde faaliyette

bulunan bankalar, Risk Merkezi ve 5411 sayılı Kanunun 73 üncü maddesinin

son fıkrası uyarınca bilgi paylaşımı amacıyla kurulmuş şirketler, 6361 sayılı

Finansal Kiralama, Faktoring ve Finansman Şirketleri Kanunu kapsamındaki

finansal kiralama şirketleri ve finansman şirketleri ile paylaşabilir.

(2) Veri paylaşımından yararlanacakları belirlemeye, paylaşımın kapsamına

ve hangi yöntemle yapılacağına karar vermek üzere Genel Müdürlük

bünyesinde Veri Paylaşımı Kurulu oluşturulur. Veri Paylaşımı Kurulunun

çalışma usul ve esasları Bakanlıkça çıkarılan yönetmelikle belirlenir.

(3) Birinci fıkrada belirtilenler kendi iş ve işlemlerine esas olmak üzere sadece

ilgili kişilerin bilgilerini alabilirler ve aldıkları bilgileri tanımlanmış hizmetlerin

yerine getirilmesi dışında başka hiçbir amaçla kullanamaz; ilgilisi veya 44

üncü maddede belirtilenler dışında kimseye veremez. Sistemin bütün

aşamalarında görev yapan yetkililer de bu kurallara uymakla yükümlüdür. Bu

yükümlülük, kamu görevlilerinin görevlerinden ayrılmalarından sonra da

devam eder. Bu fıkra hükümlerine aykırı davrananlar hakkında 24/3/2016

tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümlerine göre

işlem yapılır.


185

(4) Birinci fıkrada belirtilenler Kimlik Paylaşımı Sisteminden alabilecekleri

verileri çevrimdışı olarak talep edemezler. Ancak kamusal hizmetin

planlanması ve yürütülmesinde zorunlu bir ihtiyaç olduğunun tespit

edilmesi, kullanım amacı ve yasal dayanağının belirtilmesi hâlinde ihtiyaç ile

orantılı olarak veri talepleri asgari düzeyde çevrimdışı karşılanabilir.

(5) Genel Müdürlük, kişisel verilerin hukuka aykırı olarak işlenmesini,

erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik

tedbirlerini alır ve veri talebinde bulunan kurum ve kamu hizmeti sunan tüzel

kişilerin de bu tedbirleri almasını takip eder.

(6) Genel Müdürlükten alınan bilgilerin iş ve işlemlerde kullanılmasının

hukukî sonuçları bilgiyi alan kurum ve tüzel kişiliğin sorumluluğundadır.

(7) Kimlik Paylaşımı Sistemi üzerinden nüfus kayıt örneği, yerleşim yeri

belgesi ve kimlik kartı örneğine erişebilen kurum ve tüzel kişiler bu belgeleri

ilgilisinden ve nüfus müdürlüğünden talep etmeksizin Kimlik Paylaşımı

Sisteminden temin ederler.

(8) Bu Kanun ile kurulan veri tabanlarının istatistik amaçlı kullanımında

10/11/2005 tarihli ve 5429 sayılı Türkiye İstatistik Kanunu hükümleri

uygulanır.


184

(1) Bakanlık, merkezî veri tabanında tutulan verileri bu Kanunda belirtilen usul

ve esaslar çerçevesinde kurumlarla; kimlik verilerini, kamu hizmeti sunan

tüzel kişilikler, 3/6/2007 tarihli ve 5684 sayılı Sigortacılık Kanunu

çerçevesinde faaliyette bulunan sigorta ve emeklilik şirketleri, 19/10/2005

tarihli ve 5411 sayılı Bankacılık Kanunu çerçevesinde faaliyette bulunan

bankalar, Risk Merkezi ve 5411 sayılı Kanunun 73 üncü maddesinin son fıkrası

uyarınca bilgi paylaşımı amacıyla kurulmuş şirketler, 21/11/2012 tarihli ve

6361 sayılı Finansal Kiralama, Faktoring ve Finansman Şirketleri Kanunu

kapsamındaki finansal kiralama şirketleri ile finansman şirketleri; yerleşim

yeri ve diğer adres bilgilerini ise Bakanlıkça belirlenen adrese dayalı kamu

hizmeti sunan kuruluşlar, 5684 sayılı Kanun çerçevesinde faaliyette bulunan

sigorta ve emeklilik şirketleri, 5411 sayılı Kanun çerçevesinde faaliyette

bulunan bankalar, Risk Merkezi ve 5411 sayılı Kanunun 73 üncü maddesinin

son fıkrası uyarınca bilgi paylaşımı amacıyla kurulmuş şirketler, 6361 sayılı

Finansal Kiralama, Faktoring ve Finansman Şirketleri Kanunu kapsamındaki

finansal kiralama şirketleri ve finansman şirketleri ile paylaşabilir.

(2) Veri paylaşımından yararlanacakları belirlemeye, paylaşımın kapsamına

ve hangi yöntemle yapılacağına karar vermek üzere Genel Müdürlük

bünyesinde Veri Paylaşımı Kurulu oluşturulur. Veri Paylaşımı Kurulunun

çalışma usul ve esasları Bakanlıkça çıkarılan yönetmelikle belirlenir.

(3) Birinci fıkrada belirtilenler kendi iş ve işlemlerine esas olmak üzere sadece

ilgili kişilerin bilgilerini alabilirler ve aldıkları bilgileri tanımlanmış hizmetlerin

yerine getirilmesi dışında başka hiçbir amaçla kullanamaz; ilgilisi veya 44

üncü maddede belirtilenler dışında kimseye veremez. Sistemin bütün

aşamalarında görev yapan yetkililer de bu kurallara uymakla yükümlüdür. Bu

yükümlülük, kamu görevlilerinin görevlerinden ayrılmalarından sonra da

devam eder. Bu fıkra hükümlerine aykırı davrananlar hakkında 24/3/2016

tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümlerine göre

işlem yapılır.


185

(4) Birinci fıkrada belirtilenler Kimlik Paylaşımı Sisteminden alabilecekleri

verileri çevrimdışı olarak talep edemezler. Ancak kamusal hizmetin

planlanması ve yürütülmesinde zorunlu bir ihtiyaç olduğunun tespit

edilmesi, kullanım amacı ve yasal dayanağının belirtilmesi hâlinde ihtiyaç ile

orantılı olarak veri talepleri asgari düzeyde çevrimdışı karşılanabilir.

(5) Genel Müdürlük, kişisel verilerin hukuka aykırı olarak işlenmesini,

erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik

tedbirlerini alır ve veri talebinde bulunan kurum ve kamu hizmeti sunan tüzel

kişilerin de bu tedbirleri almasını takip eder.

(6) Genel Müdürlükten alınan bilgilerin iş ve işlemlerde kullanılmasının

hukukî sonuçları bilgiyi alan kurum ve tüzel kişiliğin sorumluluğundadır.

(7) Kimlik Paylaşımı Sistemi üzerinden nüfus kayıt örneği, yerleşim yeri

belgesi ve kimlik kartı örneğine erişebilen kurum ve tüzel kişiler bu belgeleri

ilgilisinden ve nüfus müdürlüğünden talep etmeksizin Kimlik Paylaşımı

Sisteminden temin ederler.

(8) Bu Kanun ile kurulan veri tabanlarının istatistik amaçlı kullanımında

10/11/2005 tarihli ve 5429 sayılı Türkiye İstatistik Kanunu hükümleri

uygulanır.

187

5502 SAYILI SOSYAL GÜVENLİK KURUMU KANUNU (İLGİLİ HÜKÜMLER)


MADDE 2- Tanımlar

Bu Kanunda geçen (…)

c) Kurum: Sosyal Güvenlik Kurumunu; (…)

ifade eder.

MADDE 35- Kurumun taşınmaz edinimi, taşınır ve taşınmaz mal varlıkları

ile gayri maddi haklarının hukuki durumu

(5) (Ek fıkra: 10/9/2014-6552/37 md.; Değişik: 4/4/2015-6645/43 md.)

Kurum, bu Kanun ve diğer kanunlarla verilen görevleri yerine getirmek

amacıyla işlediği kişisel veriler ile ticari sır niteliğinde olan verileri, veri

sahibinin noter onaylı muvafakati olmadan gerçek veya tüzel kişilerle

paylaşamaz. Ancak, 10/12/2003 tarihli ve 5018 sayılı Kamu Malî Yönetimi ve

Kontrol Kanununun eki (I), (II), (III) ve (IV) sayılı cetvellerde yer alan kamu

idarelerinin kanunlarında belirtilen görevleri yapabilmeleri için ihtiyaç

duydukları sağlık verisi dışındaki kişisel veriler ile ticari sır niteliğindeki veriler

paylaşılabilir. Kurum, bunların dışındaki gayri maddi hakları ile kimliği belirli

veya belirlenebilir bir gerçek veya tüzel kişiyle ilişkilendirilemeyecek şekilde

anonim hâle getirdiği verileri araştırma, planlama ve istatistik gibi amaçlar

için kamu idareleri, bilimsel araştırma yapan kamu personeli, bilimsel

dernekler, kamu kurumu niteliğindeki meslek kuruluşları veya üniversiteler

ile ücretsiz olarak paylaşabilir. Anonim hâle getirilen verinin tüzel kişilere ait

olması hâlinde bu fıkrada sayılanlar dışındaki gerçek veya tüzel kişilere tüzel

kişinin noter onaylı muvafakati alınmak kaydıyla ücretli olarak verilebilir. Veri

paylaşılan kamu idareleri ile gerçek ve tüzel kişiler, paylaşılan verinin

gizliliğinden ve güvenliğinden sorumludur. Bu fıkranın aksine davrananlar

hakkında, veri paylaşımı yapılanlar da dâhil olmak üzere 5237 sayılı Türk Ceza

Kanunu ile diğer ilgili mevzuat hükümleri uygulanır.

187

5502 SAYILI SOSYAL GÜVENLİK KURUMU KANUNU (İLGİLİ HÜKÜMLER)


MADDE 2- Tanımlar

Bu Kanunda geçen (…)

c) Kurum: Sosyal Güvenlik Kurumunu; (…)

ifade eder.

MADDE 35- Kurumun taşınmaz edinimi, taşınır ve taşınmaz mal varlıkları

ile gayri maddi haklarının hukuki durumu

(5) (Ek fıkra: 10/9/2014-6552/37 md.; Değişik: 4/4/2015-6645/43 md.)

Kurum, bu Kanun ve diğer kanunlarla verilen görevleri yerine getirmek

amacıyla işlediği kişisel veriler ile ticari sır niteliğinde olan verileri, veri

sahibinin noter onaylı muvafakati olmadan gerçek veya tüzel kişilerle

paylaşamaz. Ancak, 10/12/2003 tarihli ve 5018 sayılı Kamu Malî Yönetimi ve

Kontrol Kanununun eki (I), (II), (III) ve (IV) sayılı cetvellerde yer alan kamu

idarelerinin kanunlarında belirtilen görevleri yapabilmeleri için ihtiyaç

duydukları sağlık verisi dışındaki kişisel veriler ile ticari sır niteliğindeki veriler

paylaşılabilir. Kurum, bunların dışındaki gayri maddi hakları ile kimliği belirli

veya belirlenebilir bir gerçek veya tüzel kişiyle ilişkilendirilemeyecek şekilde

anonim hâle getirdiği verileri araştırma, planlama ve istatistik gibi amaçlar

için kamu idareleri, bilimsel araştırma yapan kamu personeli, bilimsel

dernekler, kamu kurumu niteliğindeki meslek kuruluşları veya üniversiteler

ile ücretsiz olarak paylaşabilir. Anonim hâle getirilen verinin tüzel kişilere ait

olması hâlinde bu fıkrada sayılanlar dışındaki gerçek veya tüzel kişilere tüzel

kişinin noter onaylı muvafakati alınmak kaydıyla ücretli olarak verilebilir. Veri

paylaşılan kamu idareleri ile gerçek ve tüzel kişiler, paylaşılan verinin

gizliliğinden ve güvenliğinden sorumludur. Bu fıkranın aksine davrananlar

hakkında, veri paylaşımı yapılanlar da dâhil olmak üzere 5237 sayılı Türk Ceza

Kanunu ile diğer ilgili mevzuat hükümleri uygulanır.

189

5549 SAYILI SUÇ GELİRLERİNİN AKLANMASININ ÖNLENMESİ

HAKKINDA KANUN (İLGİLİ HÜKÜMLER)


MADDE 1 – Amaç

(1) Bu Kanunun amacı, suç gelirlerinin aklanmasının önlenmesine ilişkin usûl

ve esasları belirlemektir.

(…)

MADDE 12 – Uluslararası bilgi değişimi

(1) Başkanlığın görev alanına giren konularda uluslararası bilgi değişimini

teminen, yabancı ülkelerdeki muadil kurumlarla uluslararası antlaşma

niteliğinde olmayan mutabakat muhtıraları imzalamaya ve imzalanan

mutabakat muhtıralarını değiştirmeye Malî Suçları Araştırma Kurulu Başkanı

yetkilidir. İmzalanacak mutabakat muhtıraları ve değişiklikleri Bakanlar

Kurulu kararıyla yürürlüğe girer.

MADDE 19 – Başkanlığın görev ve yetkileri

(1) Malî Suçları Araştırma Kurulu Başkanlığı doğrudan Maliye Bakanına bağlı

olup görev ve yetkileri şunlardır:

(…)

e) Suç gelirlerinin aklanması ve terörün finansmanının önlenmesi

kapsamında veri toplamak, şüpheli işlem bildirimlerini almak, analiz etmek

ve değerlendirmek.

(…)

j) Kamu kurum ve kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği olmayan

kuruluşlardan her türlü bilgi ve belgeyi istemek.

189

5549 SAYILI SUÇ GELİRLERİNİN AKLANMASININ ÖNLENMESİ



MADDE 1 – Amaç

(1) Bu Kanunun amacı, suç gelirlerinin aklanmasının önlenmesine ilişkin usûl

ve esasları belirlemektir.

(…)

MADDE 12 – Uluslararası bilgi değişimi

(1) Başkanlığın görev alanına giren konularda uluslararası bilgi değişimini

teminen, yabancı ülkelerdeki muadil kurumlarla uluslararası antlaşma

niteliğinde olmayan mutabakat muhtıraları imzalamaya ve imzalanan

mutabakat muhtıralarını değiştirmeye Malî Suçları Araştırma Kurulu Başkanı

yetkilidir. İmzalanacak mutabakat muhtıraları ve değişiklikleri Bakanlar

Kurulu kararıyla yürürlüğe girer.

MADDE 19 – Başkanlığın görev ve yetkileri

(1) Malî Suçları Araştırma Kurulu Başkanlığı doğrudan Maliye Bakanına bağlı

olup görev ve yetkileri şunlardır:

(…)

e) Suç gelirlerinin aklanması ve terörün finansmanının önlenmesi

kapsamında veri toplamak, şüpheli işlem bildirimlerini almak, analiz etmek

ve değerlendirmek.

(…)

j) Kamu kurum ve kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği olmayan

kuruluşlardan her türlü bilgi ve belgeyi istemek.

5549 SAYILI SUÇ GELİRLERİNİN AKLANMASININ ÖNLENMESİ HAKKINDA KANUN (İLGİLİ HÜKÜMLER)

190

(…)

m) Yabancı ülkelerdeki muadil kurumlarla bilgi ve belge değişiminde

bulunmak, bu amaçla uluslararası antlaşma niteliğinde olmayan mutabakat

muhtırası imzalamak.

191



MÜCADELE EDİLMESİ HAKKINDA KANUN (İLGİLİ HÜKÜMLER)


MADDE 2- Tanımlar


ç) Bilgi: Verilerin anlam kazanmış biçimini,

k) Veri: Bilgisayar tarafından üzerinde işlem yapılabilen her türlü değeri,

5549 SAYILI SUÇ GELİRLERİNİN AKLANMASININ ÖNLENMESİ HAKKINDA KANUN (İLGİLİ HÜKÜMLER)

190

(…)

m) Yabancı ülkelerdeki muadil kurumlarla bilgi ve belge değişiminde

bulunmak, bu amaçla uluslararası antlaşma niteliğinde olmayan mutabakat

muhtırası imzalamak.

191



MÜCADELE EDİLMESİ HAKKINDA KANUN (İLGİLİ HÜKÜMLER)


MADDE 2- Tanımlar


ç) Bilgi: Verilerin anlam kazanmış biçimini,

k) Veri: Bilgisayar tarafından üzerinde işlem yapılabilen her türlü değeri,

193

5718 SAYILI MİLLETLERARASI ÖZEL HUKUK VE USUL HUKUKU



MADDE 35 – Kişilik haklarının ihlâlinde sorumluluk

(1) Kişilik haklarının, basın, radyo, televizyon gibi medya yoluyla, internet

veya diğer kitle iletişim araçları ile ihlâlinden doğan taleplere, zarar görenin

seçimine göre;

a) Zarar veren, zararın bu ülkede meydana geleceğini bilecek durumda ise

zarar görenin mutad meskeni hukuku,

b) Zarar verenin işyeri veya mutad meskeninin bulunduğu ülke hukuku veya

c) Zarar veren, zararın bu ülkede meydana geleceğini bilecek durumda ise

zararın meydana geldiği ülke hukuku,

uygulanır.

(2) Kişilik haklarının ihlâlinde cevap hakkı, süreli yayınlarda, münhasıran

baskının yapıldığı ya da programın yayınlandığı ülke hukukuna tâbidir.

(3) Maddenin birinci fıkrası, kişisel verilerin işlenmesi veya kişisel veriler

hakkında bilgi alma hakkının sınırlandırılması yolu ile kişiliğin ihlâl

edilmesinden doğan taleplere de uygulanır.

193

5718 SAYILI MİLLETLERARASI ÖZEL HUKUK VE USUL HUKUKU



MADDE 35 – Kişilik haklarının ihlâlinde sorumluluk

(1) Kişilik haklarının, basın, radyo, televizyon gibi medya yoluyla, internet

veya diğer kitle iletişim araçları ile ihlâlinden doğan taleplere, zarar görenin

seçimine göre;

a) Zarar veren, zararın bu ülkede meydana geleceğini bilecek durumda ise

zarar görenin mutad meskeni hukuku,

b) Zarar verenin işyeri veya mutad meskeninin bulunduğu ülke hukuku veya

c) Zarar veren, zararın bu ülkede meydana geleceğini bilecek durumda ise

zararın meydana geldiği ülke hukuku,

uygulanır.

(2) Kişilik haklarının ihlâlinde cevap hakkı, süreli yayınlarda, münhasıran

baskının yapıldığı ya da programın yayınlandığı ülke hukukuna tâbidir.

(3) Maddenin birinci fıkrası, kişisel verilerin işlenmesi veya kişisel veriler

hakkında bilgi alma hakkının sınırlandırılması yolu ile kişiliğin ihlâl

edilmesinden doğan taleplere de uygulanır.

195

5809 SAYILI ELEKTRONİK HABERLEŞME KANUNU (İLGİLİ HÜKÜMLER)


MADDE 3- Tanımlar ve kısaltmalar


z) İşletmeci: Yetkilendirme çerçevesinde elektronik haberleşme hizmeti


işleten şirketi,

(…)

ee) Kurum: Bilgi Teknolojileri ve İletişim Kurumunu,

MADDE 12- İşletmecilerin hak ve yükümlülükleri

(1) İşletmeci, Kurum düzenlemeleri ve yetkilendirmesinde öngörülen şartlara

uygun olarak yetkilendirildiği kapsamdaki elektronik haberleşme hizmetini

sunma hakkına sahiptir.

(2) Kurum, işletmecilere sektörün ihtiyaçları, uluslararası düzenlemeler,

teknolojide meydana gelen gelişmeler gibi hususları gözeterek aşağıdaki

hususlar başta olmak üzere, mevzuat doğrultusunda yükümlülükler

getirebilir:

(…)

d) Kişisel veri ve gizliliğin korunması.

DÖRDÜNCÜ KISIM

Tüketici ve Son Kullanıcı Hakları

(…)

195



MADDE 3- Tanımlar ve kısaltmalar


z) İşletmeci: Yetkilendirme çerçevesinde elektronik haberleşme hizmeti


işleten şirketi,

(…)

ee) Kurum: Bilgi Teknolojileri ve İletişim Kurumunu,

MADDE 12- İşletmecilerin hak ve yükümlülükleri

(1) İşletmeci, Kurum düzenlemeleri ve yetkilendirmesinde öngörülen şartlara

uygun olarak yetkilendirildiği kapsamdaki elektronik haberleşme hizmetini

sunma hakkına sahiptir.

(2) Kurum, işletmecilere sektörün ihtiyaçları, uluslararası düzenlemeler,

teknolojide meydana gelen gelişmeler gibi hususları gözeterek aşağıdaki

hususlar başta olmak üzere, mevzuat doğrultusunda yükümlülükler

getirebilir:

(…)

d) Kişisel veri ve gizliliğin korunması.

DÖRDÜNCÜ KISIM

Tüketici ve Son Kullanıcı Hakları

(…)


196

MADDE 51-Kişisel verilerin işlenmesi ve gizliliğin korunması

(1) (İptal: Anayasa Mahkemesi’nin 9/4/2014 tarihli ve E.: 2013/22 K.: 2014/74

sayılı Kararı20 ile.; Yeniden düzenleme: 27/3/2015-6639/31 md.)

(1) Kişisel verilerin işlenmesinde; hukuka ve dürüstlük kurallarına uygun

olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar

için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile

işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine

uyulur.

(2) Elektronik haberleşmenin ve ilgili trafik verisinin gizliliği esas olup, ilgili



dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi yasaktır.

(3) Elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışında

abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan

bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili

abonelerin/kullanıcıların verilerin işlenmesi hakkında açık ve kapsamlı olarak

bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir.

(4) İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel verilerin

ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve

idari tedbirleri alır.

20 Anayasa Mahkemesi’nin kararından önceki birinci fıkra hükmü şu şekildeydi: “(1) Kurum, elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve

gizliliğinin korunmasına yönelik usul ve esasları belirlemeye yetkilidir”.

Anayasa Mahkemesi, “Yasama yetkisinin devredilemezliği ilkesi gereğince, Anayasa'nın açıkça kanunla düzenlenmesini öngördüğü konularda yürütme organına doğrudan ve ilk elden düzenleyici işlem yapma yetkisi verilemez. Elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirleme yetkisini Bilgi Teknolojileri ve İletişim Kurumuna veren itiraz konusu kural, Anayasa'nın 20. maddesinde öngörülen kişisel verilerin korunmasına ilişkin usul ve esasların ancak kanunla düzenlenebileceğine ilişkin güvenceye aykırıdır.” gerekçesiyle söz konusu hükmü iptal etmiştir.


197

(5) Bu Kanunun 49 uncu maddesi kapsamında veya kamu yararının

sağlanması amacıyla Kurum tarafından işletmecilere getirilen

yükümlülüklerin yerine getirilebilmesi için kişisel veriler işlenebilir.

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin ilgili mevzuat hükümleri

saklı kalmak kaydıyla, trafik ve konum verileri ancak ilgili kişilerin açık rızaları

alınmak koşuluyla yurt dışına aktarılabilir.

(7) Trafik verileri; trafiğin yönetimi, arabağlantı, faturalama,

usulsüzlük/dolandırıcılık tespitleri ve benzeri işlemleri gerçekleştirmek veya

tüketici şikâyetleri ile arabağlantı ve faturalama anlaşmazlıkları başta olmak

üzere, uzlaşmazlıkların çözümü amacıyla sadece işletmeci tarafından

yetkilendirilen kişilerle sınırlı kalmak kaydıyla işlenir ve bu uzlaşmazlıkların

çözüm süreci tamamlanıncaya kadar gizliliği ve bütünlüğü sağlanarak

saklanır. Katma değerli elektronik haberleşme hizmetlerinin sunulması ya da

elektronik haberleşme hizmetlerinin pazarlanması amacıyla ihtiyaç duyulan

trafik verileri ile konum verileri anonim hâle getirilerek veya ilgili

abonelerin/kullanıcıların açık rızalarının alınması ve sadece işletmeci

tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla, belirtilen

faaliyetlerin gerektirdiği ölçü ve sürede işlenebilir.

(8) İşletmeciler konum verilerinin işlenmesinde abonelere/kullanıcılara bu

verilerin işlenmesini reddetme imkânı sağlar. İlgili mevzuatın ve yargı

kararlarının öngördüğü durumlar haricinde ancak acil yardım çağrıları ile

29/5/2009 tarihli ve 5902 sayılı Afet ve Acil Durum Yönetimi Başkanlığının

Teşkilat ve Görevleri Hakkında Kanunda tanımlanan afet ve acil durum

hâllerinde abonelerin/kullanıcıların açık rızası aranmaksızın konum verileri

ve ilgili kişilerin kimlik bilgileri işletmeci tarafından yetkilendirilen kişilerle

sınırlı olmak kaydıyla işlenebilir.


196

MADDE 51-Kişisel verilerin işlenmesi ve gizliliğin korunması

(1) (İptal: Anayasa Mahkemesi’nin 9/4/2014 tarihli ve E.: 2013/22 K.: 2014/74

sayılı Kararı20 ile.; Yeniden düzenleme: 27/3/2015-6639/31 md.)

(1) Kişisel verilerin işlenmesinde; hukuka ve dürüstlük kurallarına uygun

olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar

için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile

işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine

uyulur.

(2) Elektronik haberleşmenin ve ilgili trafik verisinin gizliliği esas olup, ilgili



dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi yasaktır.

(3) Elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışında

abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan

bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili

abonelerin/kullanıcıların verilerin işlenmesi hakkında açık ve kapsamlı olarak

bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir.

(4) İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel verilerin

ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve

idari tedbirleri alır.

20 Anayasa Mahkemesi’nin kararından önceki birinci fıkra hükmü şu şekildeydi: “(1) Kurum, elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve

gizliliğinin korunmasına yönelik usul ve esasları belirlemeye yetkilidir”.

Anayasa Mahkemesi, “Yasama yetkisinin devredilemezliği ilkesi gereğince, Anayasa'nın açıkça kanunla düzenlenmesini öngördüğü konularda yürütme organına doğrudan ve ilk elden düzenleyici işlem yapma yetkisi verilemez. Elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirleme yetkisini Bilgi Teknolojileri ve İletişim Kurumuna veren itiraz konusu kural, Anayasa'nın 20. maddesinde öngörülen kişisel verilerin korunmasına ilişkin usul ve esasların ancak kanunla düzenlenebileceğine ilişkin güvenceye aykırıdır.” gerekçesiyle söz konusu hükmü iptal etmiştir.


197

(5) Bu Kanunun 49 uncu maddesi kapsamında veya kamu yararının

sağlanması amacıyla Kurum tarafından işletmecilere getirilen

yükümlülüklerin yerine getirilebilmesi için kişisel veriler işlenebilir.

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin ilgili mevzuat hükümleri

saklı kalmak kaydıyla, trafik ve konum verileri ancak ilgili kişilerin açık rızaları

alınmak koşuluyla yurt dışına aktarılabilir.

(7) Trafik verileri; trafiğin yönetimi, arabağlantı, faturalama,

usulsüzlük/dolandırıcılık tespitleri ve benzeri işlemleri gerçekleştirmek veya

tüketici şikâyetleri ile arabağlantı ve faturalama anlaşmazlıkları başta olmak

üzere, uzlaşmazlıkların çözümü amacıyla sadece işletmeci tarafından

yetkilendirilen kişilerle sınırlı kalmak kaydıyla işlenir ve bu uzlaşmazlıkların

çözüm süreci tamamlanıncaya kadar gizliliği ve bütünlüğü sağlanarak

saklanır. Katma değerli elektronik haberleşme hizmetlerinin sunulması ya da

elektronik haberleşme hizmetlerinin pazarlanması amacıyla ihtiyaç duyulan

trafik verileri ile konum verileri anonim hâle getirilerek veya ilgili

abonelerin/kullanıcıların açık rızalarının alınması ve sadece işletmeci

tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla, belirtilen

faaliyetlerin gerektirdiği ölçü ve sürede işlenebilir.

(8) İşletmeciler konum verilerinin işlenmesinde abonelere/kullanıcılara bu

verilerin işlenmesini reddetme imkânı sağlar. İlgili mevzuatın ve yargı

kararlarının öngördüğü durumlar haricinde ancak acil yardım çağrıları ile

29/5/2009 tarihli ve 5902 sayılı Afet ve Acil Durum Yönetimi Başkanlığının

Teşkilat ve Görevleri Hakkında Kanunda tanımlanan afet ve acil durum

hâllerinde abonelerin/kullanıcıların açık rızası aranmaksızın konum verileri

ve ilgili kişilerin kimlik bilgileri işletmeci tarafından yetkilendirilen kişilerle



198

(9) Abone/kullanıcı şikâyetlerinin incelenmesi ve denetim faaliyetleri

kapsamında trafik ve konum verileri ile kişisel veriler, belirtilen faaliyetlerle


(10) Bu Kanun kapsamında sunulan hizmetlere ilişkin olarak;

a) Soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel

veriler ilgili süreç tamamlanıncaya kadar,

b) Kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem

kayıtları iki yıl,

c) Kişisel verilerin işlenmesine yönelik abonelerin/kullanıcıların rızalarını

gösteren kayıtlar asgari olarak abonelik süresince,

saklanır. Veri kategorileri ile haberleşmenin yapıldığı tarihten itibaren bir

yıldan az ve iki yıldan fazla olmamak üzere verilerin saklanma süreleri

yönetmelikle belirlenir.

(11) İşletmeciler, tahsilata ilişkin riskin yönetilmesi ve kötü niyetli

kullanımların önlenmesi amacıyla abonelerin elektronik haberleşme

hizmetlerine yönelik fatura tutarı ve ödeme bilgilerini diğer işletmecilerle

paylaşabilir veya işleyebilir.

(12) Bu Kanun kapsamında kişisel verilerin gizliliğinin, güvenliğinin ve amacı

doğrultusunda kullanılmasının temininden işletmeciler sorumludur.

(13) Bu maddenin uygulanmasına ilişkin usul ve esaslar Kurum tarafından

belirlenir.

MADDE 60- Kurumun yetkisi ve idarî yaptırımlar

(…)

(9) (Ek: 15/8/20165-KHK-671/25 md.; Aynen kabul: 9/11/2016-6757/22

md.) Anayasanın 22 nci maddesinde sayılan sebeplerden biri veya birkaçına

bağlı olarak, gecikmesinde sakınca bulunan hâllerde Başbakanlık, alınması


199

gereken tedbirleri belirler ve uygulanmak üzere Kuruma bildirir. Kurum

Başkanı, Başbakanlığın gerekli gördüğü tedbirlere ilişkin kararını derhal

işletmecilere, erişim sağlayıcılara, veri merkezlerine ve ilgili içerik ve yer

sağlayıcılara bildirir. Bu kararın gereği, derhal ve kararın bildirilmesi anından

itibaren en geç iki saat içinde yerine getirilir. Bu karar, yirmidört saat içinde

sulh ceza hâkiminin onayına sunulur. Hâkim kararını kırksekiz saat içinde

açıklar, aksi halde karar kendiliğinden kalkar. 21


md.) Kurum, kamu kurum ve kuruluşları ile gerçek ve tüzel kişilerin siber

saldırılara karşı korunması ve bu saldırılara karşı caydırıcılık sağlamak için her

türlü tedbiri alır veya aldırır. 10


md.) Kurum, görevi kapsamında ilgili yerlerden bilgi, belge, veri ve kayıtları

alabilir ve değerlendirmesini yapabilir; arşivlerden, elektronik bilgi işlem

merkezlerinden ve iletişim altyapısından yararlanabilir, bunlarla irtibat

kurabilir ve bu kapsamda diğer gerekli önlemleri alabilir veya aldırabilir.

Kurum, bu fıkrada belirtilen görevlerin ifasında bakanlıklar, kurum ve

kuruluşlar ile işbirliği içerisinde çalışır. Bu kapsamda Kurum tarafından

istenen her türlü bilgi ve belge talebi; ilgili bakanlık, kurum ve kuruluşlar

tarafından gecikmeksizin yerine getirilir. Bu fıkraya göre bilgi ve belge

talebinde bulunulması ve bu taleplerin yerine getirilmesine ilişkin usul ve

esaslar ile diğer hususlar Başbakanlıkça belirlenir. 10


md.) Gerçek kişiler ile özel hukuk tüzel kişileri, Kurumun bu maddedeki

21 15/8/2016 tarihli ve 671 sayılı KHK’nin 25 inci maddesiyle sekizinci fıkradan sonra gelmek üzere “9,10,11,12” numaralı fıkralar eklenmiş ve sonraki mevcut fıkra 13 olarak teselsül ettirilmiş olup, daha sonra bu hüküm 9/11/2016 tarihli ve 6757 sayılı Kanunun 22 nci maddesiyle aynen kabul edilerek kanunlaşmıştır.


198

(9) Abone/kullanıcı şikâyetlerinin incelenmesi ve denetim faaliyetleri

kapsamında trafik ve konum verileri ile kişisel veriler, belirtilen faaliyetlerle


(10) Bu Kanun kapsamında sunulan hizmetlere ilişkin olarak;

a) Soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel

veriler ilgili süreç tamamlanıncaya kadar,

b) Kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem

kayıtları iki yıl,

c) Kişisel verilerin işlenmesine yönelik abonelerin/kullanıcıların rızalarını

gösteren kayıtlar asgari olarak abonelik süresince,

saklanır. Veri kategorileri ile haberleşmenin yapıldığı tarihten itibaren bir

yıldan az ve iki yıldan fazla olmamak üzere verilerin saklanma süreleri

yönetmelikle belirlenir.

(11) İşletmeciler, tahsilata ilişkin riskin yönetilmesi ve kötü niyetli

kullanımların önlenmesi amacıyla abonelerin elektronik haberleşme

hizmetlerine yönelik fatura tutarı ve ödeme bilgilerini diğer işletmecilerle

paylaşabilir veya işleyebilir.

(12) Bu Kanun kapsamında kişisel verilerin gizliliğinin, güvenliğinin ve amacı

doğrultusunda kullanılmasının temininden işletmeciler sorumludur.

(13) Bu maddenin uygulanmasına ilişkin usul ve esaslar Kurum tarafından

belirlenir.

MADDE 60- Kurumun yetkisi ve idarî yaptırımlar

(…)


md.) Anayasanın 22 nci maddesinde sayılan sebeplerden biri veya birkaçına

bağlı olarak, gecikmesinde sakınca bulunan hâllerde Başbakanlık, alınması


199

gereken tedbirleri belirler ve uygulanmak üzere Kuruma bildirir. Kurum

Başkanı, Başbakanlığın gerekli gördüğü tedbirlere ilişkin kararını derhal

işletmecilere, erişim sağlayıcılara, veri merkezlerine ve ilgili içerik ve yer

sağlayıcılara bildirir. Bu kararın gereği, derhal ve kararın bildirilmesi anından

itibaren en geç iki saat içinde yerine getirilir. Bu karar, yirmidört saat içinde

sulh ceza hâkiminin onayına sunulur. Hâkim kararını kırksekiz saat içinde

açıklar, aksi halde karar kendiliğinden kalkar. 21


md.) Kurum, kamu kurum ve kuruluşları ile gerçek ve tüzel kişilerin siber

saldırılara karşı korunması ve bu saldırılara karşı caydırıcılık sağlamak için her

türlü tedbiri alır veya aldırır. 10


md.) Kurum, görevi kapsamında ilgili yerlerden bilgi, belge, veri ve kayıtları

alabilir ve değerlendirmesini yapabilir; arşivlerden, elektronik bilgi işlem

merkezlerinden ve iletişim altyapısından yararlanabilir, bunlarla irtibat

kurabilir ve bu kapsamda diğer gerekli önlemleri alabilir veya aldırabilir.

Kurum, bu fıkrada belirtilen görevlerin ifasında bakanlıklar, kurum ve

kuruluşlar ile işbirliği içerisinde çalışır. Bu kapsamda Kurum tarafından

istenen her türlü bilgi ve belge talebi; ilgili bakanlık, kurum ve kuruluşlar

tarafından gecikmeksizin yerine getirilir. Bu fıkraya göre bilgi ve belge

talebinde bulunulması ve bu taleplerin yerine getirilmesine ilişkin usul ve

esaslar ile diğer hususlar Başbakanlıkça belirlenir. 10


md.) Gerçek kişiler ile özel hukuk tüzel kişileri, Kurumun bu maddedeki

21 15/8/2016 tarihli ve 671 sayılı KHK’nin 25 inci maddesiyle sekizinci fıkradan sonra gelmek üzere “9,10,11,12” numaralı fıkralar eklenmiş ve sonraki mevcut fıkra 13 olarak teselsül ettirilmiş olup, daha sonra bu hüküm 9/11/2016 tarihli ve 6757 sayılı Kanunun 22 nci maddesiyle aynen kabul edilerek kanunlaşmıştır.


200

görevleri ile ilgili taleplerini, tabi oldukları mevzuat hükümlerini gerekçe

göstermek suretiyle yerine getirmekten kaçınamazlar. İşletmeciler dışında

Kurumun görevleri ile ilgili yükümlülüklerini yerine getirmeyenlere bu

maddenin ikinci fıkrasındaki yaptırım uygulanır.

(13) Bu maddenin uygulanmasına ve bu Kanunda öngörülen yükümlülüklerin

işletmeciler tarafından yerine getirilmemesi halinde uygulanacak idarî para

cezalarına ilişkin hususlar Kurum tarafından çıkarılacak yönetmelikle

düzenlenir. 10

201

6098 SAYILI TÜRK BORÇLAR KANUNU (İLGİLİ HÜKÜMLER)


MADDE 419- İşçinin kişiliğinin korunması; Kişisel verilerin

kullanılmasında

İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya

hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir.

Özel kanun hükümleri saklıdır.


200

görevleri ile ilgili taleplerini, tabi oldukları mevzuat hükümlerini gerekçe

göstermek suretiyle yerine getirmekten kaçınamazlar. İşletmeciler dışında

Kurumun görevleri ile ilgili yükümlülüklerini yerine getirmeyenlere bu

maddenin ikinci fıkrasındaki yaptırım uygulanır.

(13) Bu maddenin uygulanmasına ve bu Kanunda öngörülen yükümlülüklerin

işletmeciler tarafından yerine getirilmemesi halinde uygulanacak idarî para

cezalarına ilişkin hususlar Kurum tarafından çıkarılacak yönetmelikle

düzenlenir. 10

201

6098 SAYILI TÜRK BORÇLAR KANUNU (İLGİLİ HÜKÜMLER)


MADDE 419- İşçinin kişiliğinin korunması; Kişisel verilerin

kullanılmasında

İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya

hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir.

Özel kanun hükümleri saklıdır.

203

6102 SAYILI TÜRK TİCARET KANUNU (İLGİLİ HÜKÜMLER)


MADDE 24

(1) (Değişik: 15/8/2017-KHK-694/162 md.) Gümrük ve Ticaret Bakanlığı

tarafından il merkezindeki ticaret ve sanayi odaları ile ticaret odalarında

faaliyet gösterecek şekilde ticaret sicili müdürlükleri kurulur. Bakanlık il

merkezleri dışındaki odalarda ticaret sicili müdürlükleri kurabileceği gibi

müdürlüklere bağlı şubeler de kurabilir.

(2) (Ek: 15/8/2017-KHK-694/162 md.) Ticaret sicili, Bakanlığın gözetim ve

denetiminde ticaret sicili müdürlükleri ve şubeleri tarafından tutulur.

(3) Ticaret sicili kayıtlarının elektronik ortamda tutulmasına ilişkin usul ve

esaslar Kanunun 26 ncı maddesine göre çıkarılacak yönetmelikte gösterilir.

Bu kayıtlar ile tescil ve ilan edilmesi gereken içeriklerin düzenli olarak

depolandığı ve elektronik ortamda sunulabilen merkezi ortak veri tabanı,

Gümrük ve Ticaret Bakanlığı ile Türkiye Odalar ve Borsalar Birliği nezdinde

oluşturulur.(1)

(4) Ticaret sicili müdürlüğünün kurulmasında aranacak şartlar ve odalar

arasında sicil işlemleri ile ilgili olarak varlığı gerekli işbirliğinin sağlanmasına

ilişkin esaslar, Gümrük ve Ticaret Bakanlığınca çıkarılacak bir tebliğle

düzenlenir.

(5) (Ek: 26/6/2012-6335/3 md.) Ticaret sicili kayıt işlemlerinin elektronik

ortamda yapılması için toplanması ve işlenmesi gerekli olan kişisel veriler,

kişisel verilerin korunması ve bilgi güvenliğinin sağlanmasına ilişkin

mevzuata uygun bir şekilde korunur.

(…)

203



MADDE 24

(1) (Değişik: 15/8/2017-KHK-694/162 md.) Gümrük ve Ticaret Bakanlığı

tarafından il merkezindeki ticaret ve sanayi odaları ile ticaret odalarında

faaliyet gösterecek şekilde ticaret sicili müdürlükleri kurulur. Bakanlık il

merkezleri dışındaki odalarda ticaret sicili müdürlükleri kurabileceği gibi

müdürlüklere bağlı şubeler de kurabilir.

(2) (Ek: 15/8/2017-KHK-694/162 md.) Ticaret sicili, Bakanlığın gözetim ve

denetiminde ticaret sicili müdürlükleri ve şubeleri tarafından tutulur.

(3) Ticaret sicili kayıtlarının elektronik ortamda tutulmasına ilişkin usul ve

esaslar Kanunun 26 ncı maddesine göre çıkarılacak yönetmelikte gösterilir.

Bu kayıtlar ile tescil ve ilan edilmesi gereken içeriklerin düzenli olarak

depolandığı ve elektronik ortamda sunulabilen merkezi ortak veri tabanı,

Gümrük ve Ticaret Bakanlığı ile Türkiye Odalar ve Borsalar Birliği nezdinde

oluşturulur.(1)

(4) Ticaret sicili müdürlüğünün kurulmasında aranacak şartlar ve odalar

arasında sicil işlemleri ile ilgili olarak varlığı gerekli işbirliğinin sağlanmasına

ilişkin esaslar, Gümrük ve Ticaret Bakanlığınca çıkarılacak bir tebliğle

düzenlenir.

(5) (Ek: 26/6/2012-6335/3 md.) Ticaret sicili kayıt işlemlerinin elektronik

ortamda yapılması için toplanması ve işlenmesi gerekli olan kişisel veriler,

kişisel verilerin korunması ve bilgi güvenliğinin sağlanmasına ilişkin

mevzuata uygun bir şekilde korunur.

(…)


204

MADDE 780

(1) Çek;

a) Senet metninde “çek” kelimesini ve eğer senet Türkçe’den başka bir dille

yazılmış ise o dilde “çek” karşılığı olarak kullanılan kelimeyi,

b) Kayıtsız ve şartsız belirli bir bedelin ödenmesi için havaleyi,

c) Ödeyecek kişinin, “muhatabın” ticaret unvanını,

d) Ödeme yerini,

e) Düzenlenme tarihini ve yerini,

f) Düzenleyenin imzasını,

g) (Ek: 15/7/2016-6728/70 md.) Banka tarafından verilen seri numarasını,

h) (Ek: 15/7/2016-6728/70 md.) Karekodu,

içerir.

(2) (Ek fıkra : 15/7/2016-6728/70 md.) Çek alacaklıları, ellerinde bulunan çek

ile çek hesabı sahibine ve bu çeki düzenleyenlere ilişkin verilere karekod

aracılığıyla erişim sağlayabilir. Karekod ile;

a) Çek hesabı sahibinin adı, soyadı veya ticaret unvanı,

b) Çek hesabı sahibinin tacir olması hâlinde, ticaret siciline tescil edilen

yetkililerinin adı, soyadı veya ticaret unvanı,

c) Çek hesabı sahibinin, çek hesabı bulunan toplam banka sayısı,

d) Çek hesabı sahibine ait bankalara ibraz edilmemiş çek adedi ve tutarı,

e) Düzenlenerek bankalara teslim edilen çeklerin adedi ve tutarı,

f) Son beş yıl içerisinde ibrazında ödenen çeklerin adedi ve tutarı,

g) İbraz edilen ilk çekin ibraz tarihi,

h) İbraz edilen son çekin ibraz tarihi,


205

ı) İbrazında ödenen son çekin ibraz tarihi,

i) Son beş yılda “karşılıksızdır” işlemi gören ve halen ödenmemiş çeklerin

adedi ve tutarları,

j) Son beş yılda “karşılıksızdır” işlemi gören ve sonradan ödenen çeklerin

adedi ve tutarı,

k) Son beş yılda “karşılıksızdır” işlemi gören son çekin ibraz tarihi,

l) Çek hesabı sahibi hakkında çek hesabı açma yasağı bulunup bulunmadığı,

varsa yasaklama kararının tarihi,

m) Her bir çek yaprağı ile ilgili olarak tedbir kaydı olup olmadığı,

n) Çek hesabı sahibi tacirse, iflasına karar verilip verilmediği, iflasına karar

verilmişse kararın tarihi,

çek hesabı sahibi ya da cirantanın rızası aranmaksızın üçüncü kişilerin

erişimine sunulur.

(3) (Ek fıkra : 15/7/2016-6728/70 md.) İkinci fıkrada belirtilen verilere

ulaşılmasını sağlayacak karekod okutma ve bilgi paylaşım sistemi 5411 sayılı

Kanunun ek 1 inci madde hükmü uyarınca kurulan Türkiye Bankalar Birliği

Risk Merkezi tarafından oluşturulur. Risk Merkezi sistemdeki verileri, 5411

sayılı Kanunun ek 1 inci maddesinin on birinci fıkrası uyarınca bilgi alışverişini

gerçekleştirdiği şirket ile paylaşmaya yetkilidir. Bu yetki kullanıldığı takdirde

sistem bilgilerin paylaşıldığı şirket nezdinde kurulabilir.

(4) (Ek fıkra : 15/7/2016-6728/70 md.) Çekte yer alacak MERSİS numarası ile

karekodun tanım ve içerikleri ile bu maddenin uygulanmasına ilişkin usul ve

esaslar Gümrük ve Ticaret Bakanlığı ile Hazine Müsteşarlığının müştereken

çıkaracağı tebliğle belirlenir.


204

MADDE 780

(1) Çek;

a) Senet metninde “çek” kelimesini ve eğer senet Türkçe’den başka bir dille

yazılmış ise o dilde “çek” karşılığı olarak kullanılan kelimeyi,

b) Kayıtsız ve şartsız belirli bir bedelin ödenmesi için havaleyi,

c) Ödeyecek kişinin, “muhatabın” ticaret unvanını,

d) Ödeme yerini,

e) Düzenlenme tarihini ve yerini,

f) Düzenleyenin imzasını,

g) (Ek: 15/7/2016-6728/70 md.) Banka tarafından verilen seri numarasını,

h) (Ek: 15/7/2016-6728/70 md.) Karekodu,

içerir.

(2) (Ek fıkra : 15/7/2016-6728/70 md.) Çek alacaklıları, ellerinde bulunan çek

ile çek hesabı sahibine ve bu çeki düzenleyenlere ilişkin verilere karekod

aracılığıyla erişim sağlayabilir. Karekod ile;

a) Çek hesabı sahibinin adı, soyadı veya ticaret unvanı,

b) Çek hesabı sahibinin tacir olması hâlinde, ticaret siciline tescil edilen

yetkililerinin adı, soyadı veya ticaret unvanı,

c) Çek hesabı sahibinin, çek hesabı bulunan toplam banka sayısı,

d) Çek hesabı sahibine ait bankalara ibraz edilmemiş çek adedi ve tutarı,

e) Düzenlenerek bankalara teslim edilen çeklerin adedi ve tutarı,

f) Son beş yıl içerisinde ibrazında ödenen çeklerin adedi ve tutarı,

g) İbraz edilen ilk çekin ibraz tarihi,

h) İbraz edilen son çekin ibraz tarihi,


205

ı) İbrazında ödenen son çekin ibraz tarihi,

i) Son beş yılda “karşılıksızdır” işlemi gören ve halen ödenmemiş çeklerin

adedi ve tutarları,

j) Son beş yılda “karşılıksızdır” işlemi gören ve sonradan ödenen çeklerin

adedi ve tutarı,

k) Son beş yılda “karşılıksızdır” işlemi gören son çekin ibraz tarihi,

l) Çek hesabı sahibi hakkında çek hesabı açma yasağı bulunup bulunmadığı,

varsa yasaklama kararının tarihi,

m) Her bir çek yaprağı ile ilgili olarak tedbir kaydı olup olmadığı,

n) Çek hesabı sahibi tacirse, iflasına karar verilip verilmediği, iflasına karar

verilmişse kararın tarihi,

çek hesabı sahibi ya da cirantanın rızası aranmaksızın üçüncü kişilerin

erişimine sunulur.

(3) (Ek fıkra : 15/7/2016-6728/70 md.) İkinci fıkrada belirtilen verilere

ulaşılmasını sağlayacak karekod okutma ve bilgi paylaşım sistemi 5411 sayılı

Kanunun ek 1 inci madde hükmü uyarınca kurulan Türkiye Bankalar Birliği

Risk Merkezi tarafından oluşturulur. Risk Merkezi sistemdeki verileri, 5411

sayılı Kanunun ek 1 inci maddesinin on birinci fıkrası uyarınca bilgi alışverişini

gerçekleştirdiği şirket ile paylaşmaya yetkilidir. Bu yetki kullanıldığı takdirde

sistem bilgilerin paylaşıldığı şirket nezdinde kurulabilir.

(4) (Ek fıkra : 15/7/2016-6728/70 md.) Çekte yer alacak MERSİS numarası ile

karekodun tanım ve içerikleri ile bu maddenin uygulanmasına ilişkin usul ve

esaslar Gümrük ve Ticaret Bakanlığı ile Hazine Müsteşarlığının müştereken

çıkaracağı tebliğle belirlenir.

207

663 SAYILI SAĞLIK BAKANLIĞI VE BAĞLI KURULUŞLARININ

TEŞKİLAT VE GÖREVLERİ HAKKINDA KANUN HÜKMÜNDE

KARARNAME (İLGİLİ HÜKÜMLER)


MADDE 47- Bilgi toplama, işleme ve paylaşma yetkisi

(Değişik: 24/3/2016-6698/30 md.)

(1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık

mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak

vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel

verileri işlenebilir.


















207

663 SAYILI SAĞLIK BAKANLIĞI VE BAĞLI KURULUŞLARININ

TEŞKİLAT VE GÖREVLERİ HAKKINDA KANUN HÜKMÜNDE

KARARNAME (İLGİLİ HÜKÜMLER)


MADDE 47- Bilgi toplama, işleme ve paylaşma yetkisi

(Değişik: 24/3/2016-6698/30 md.)

(1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık

mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak

vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel

verileri işlenebilir.


















663 SAYILI SAĞLIK BAKANLIĞI VE BAĞLI KURULUŞLARININ TEŞKİLAT VE GÖREVLERİ HAKKINDA KANUN HÜKMÜNDE KARARNAME

(İLGİLİ HÜKÜMLER)

208



düzenlenir

209

6328 SAYILI KAMU DENETÇİLİĞİ KURUMU KANUNU



MADDE 18– Bilgi ve belge istenmesi

(1) Kurumun inceleme ve araştırma konusu ile ilgili olarak istediği bilgi ve

belgelerin, bu isteğin tebliğ edildiği tarihten itibaren otuz gün içinde

verilmesi zorunludur. Bu süre içinde istenen bilgi ve belgeleri haklı bir neden

olmaksızın vermeyenler hakkında Başdenetçi veya denetçinin başvurusu

üzerine ilgili merci soruşturma açar.

(2) Devlet sırrı veya ticari sır niteliğindeki bilgi ve belgeler, yetkili mercilerin

en üst makam veya kurulunca gerekçesi belirtilmek suretiyle verilmeyebilir.

Ancak, Devlet sırrı niteliğindeki bilgi ve belgeler Başdenetçi veya

görevlendireceği denetçi tarafından yerinde incelenebilir.

663 SAYILI SAĞLIK BAKANLIĞI VE BAĞLI KURULUŞLARININ TEŞKİLAT VE GÖREVLERİ HAKKINDA KANUN HÜKMÜNDE KARARNAME


208



düzenlenir

209

6328 SAYILI KAMU DENETÇİLİĞİ KURUMU KANUNU



MADDE 18– Bilgi ve belge istenmesi

(1) Kurumun inceleme ve araştırma konusu ile ilgili olarak istediği bilgi ve

belgelerin, bu isteğin tebliğ edildiği tarihten itibaren otuz gün içinde

verilmesi zorunludur. Bu süre içinde istenen bilgi ve belgeleri haklı bir neden

olmaksızın vermeyenler hakkında Başdenetçi veya denetçinin başvurusu

üzerine ilgili merci soruşturma açar.

(2) Devlet sırrı veya ticari sır niteliğindeki bilgi ve belgeler, yetkili mercilerin

en üst makam veya kurulunca gerekçesi belirtilmek suretiyle verilmeyebilir.

Ancak, Devlet sırrı niteliğindeki bilgi ve belgeler Başdenetçi veya

görevlendireceği denetçi tarafından yerinde incelenebilir.

211

6563 SAYILI ELEKTRONİK TİCARETİN DÜZENLENMESİ



MADDE 2- Tanımlar


(…)

c) Ticari elektronik ileti: Telefon, çağrı merkezleri, faks, otomatik arama

makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti

gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari

amaçlarla gönderilen veri, ses ve görüntü içerikli iletileri,

ç) Hizmet sağlayıcı: Elektronik ticaret faaliyetinde bulunan gerçek ya da tüzel

kişileri,

d) Aracı hizmet sağlayıcı: Başkalarına ait iktisadi ve ticari faaliyetlerin

yapılmasına elektronik ticaret ortamını sağlayan gerçek ve tüzel kişileri,

e) Bakanlık: Gümrük ve Ticaret Bakanlığını,

ifade eder.

MADDE 6- Ticari elektronik ileti gönderme şartı

(1) Ticari elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla

gönderilebilir. Bu onay, yazılı olarak veya her türlü elektronik iletişim

araçlarıyla alınabilir. Kendisiyle iletişime geçilmesi amacıyla alıcının iletişim

bilgilerini vermesi hâlinde, temin edilen mal veya hizmetlere ilişkin değişiklik,

kullanım ve bakıma yönelik ticari elektronik iletiler için ayrıca onay alınmaz.

(2) Esnaf ve tacirlere önceden onay alınmaksızın ticari elektronik iletiler

gönderilebilir.

211

6563 SAYILI ELEKTRONİK TİCARETİN DÜZENLENMESİ



MADDE 2- Tanımlar


(…)

c) Ticari elektronik ileti: Telefon, çağrı merkezleri, faks, otomatik arama




ç) Hizmet sağlayıcı: Elektronik ticaret faaliyetinde bulunan gerçek ya da tüzel

kişileri,

d) Aracı hizmet sağlayıcı: Başkalarına ait iktisadi ve ticari faaliyetlerin


e) Bakanlık: Gümrük ve Ticaret Bakanlığını,

ifade eder.

MADDE 6- Ticari elektronik ileti gönderme şartı

(1) Ticari elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla

gönderilebilir. Bu onay, yazılı olarak veya her türlü elektronik iletişim

araçlarıyla alınabilir. Kendisiyle iletişime geçilmesi amacıyla alıcının iletişim

bilgilerini vermesi hâlinde, temin edilen mal veya hizmetlere ilişkin değişiklik,

kullanım ve bakıma yönelik ticari elektronik iletiler için ayrıca onay alınmaz.

(2) Esnaf ve tacirlere önceden onay alınmaksızın ticari elektronik iletiler

gönderilebilir.

6563 SAYILI ELEKTRONİK TİCARETİN DÜZENLENMESİ HAKKINDA KANUN (İLGİLİ HÜKÜMLER)

212

MADDE 7- Ticari elektronik iletinin içeriği

(1) Ticari elektronik iletinin içeriği, alıcıdan alınan onaya uygun olmalıdır.

(2) İletide, hizmet sağlayıcının tanınmasını sağlayan bilgiler ile

haberleşmenin türüne bağlı olarak telefon numarası, faks numarası, kısa

mesaj numarası ve elektronik posta adresi gibi erişilebilir durumdaki iletişim

bilgileri yer alır.

(3) İletide, haberleşmenin türüne bağlı olarak, iletinin konusu, amacı ve

başkası adına yapılması hâlinde kimin adına yapıldığına ilişkin bilgilere de yer

verilir.

MADDE 8- Alıcının ticari elektronik iletiyi reddetme hakkı

(1) Alıcılar diledikleri zaman, hiçbir gerekçe belirtmeksizin ticari elektronik

iletileri almayı reddedebilir.

(2) Hizmet sağlayıcı ret bildiriminin, elektronik iletişim araçlarıyla kolay ve

ücretsiz olarak iletilmesini sağlamakla ve gönderdiği iletide buna ilişkin

gerekli bilgileri sunmakla yükümlüdür.

(3) Talebin ulaşmasını müteakip hizmet sağlayıcı üç iş günü içinde alıcıya

elektronik ileti göndermeyi durdurur.

MADDE 10- Kişisel verilerin korunması

(1) Hizmet sağlayıcı ve aracı hizmet sağlayıcı:

a) Bu Kanun çerçevesinde yapmış olduğu işlemler nedeniyle elde ettiği kişisel

verilerin saklanmasından ve güvenliğinden sorumludur.

b) Kişisel verileri ilgili kişinin onayı olmaksızın üçüncü kişilere iletemez ve

başka amaçlarla kullanamaz.

213


YÖNETMELİK


BÖLÜM I : Genel Esaslar

MADDE 1 – Konu

Bu Yönetmelik; 26/06/1973 tarihli ve 1774 sayılı Kimlik Bildirme Kanununun

12. maddesi gereğince, anılan kanunun bildirimlerle ilgili maddelerinin

uygulanma kurallarının, belge, kart ve defterlerin biçim ve kapsamı alınış,

veriliş ve saklanma yöntemlerinin belirli ve standart kayıtlara bağlanması

amacı ile hazırlanmıştır.

MADDE 2 – Kapsam

Özel veya resmi her türlü konaklama, dinlenme, bakım ve tedavi tesislerinin,

ticaret ve sanat amacı güden bütün iş yerlerinin ve öğrenci yurtlarının

sorumlu işleticileri ile bu gibi yerlerde çalışanlar ve barınanlar; resmi

dairelerin yetkili amirleri; konutlarda sürekli veya GEÇİCİ olarak kalanlar,

çalışanlar veya konutlarını değiştirenler, bu Yönetmelik hükümlerine tabidir.

MADDE 3 – Tanımlamalar

Bu Yönetmelikte sözü edilen:

a) En yakın yetkili genel kolluk örgütü deyimi; tesis, iş yeri veya konutun

bulunduğu yerin sürekli olarak genel güvenliğini sağlayan polis veya

jandarma karakollarını,

b) Sorumlu işletici deyimi; Yönetmeliğin 6. maddesinde sayılan tesislerle, her

türlü ticaret ve sanat amacı güden iş yerlerini ve öğrenci yurtlarını sürekli

veya geçici, sözleşmeli veya sözleşmesiz, ücretli veya ücretsiz olarak

çalıştırmak ve yönetmek üzere, özel kuruluşlar için sahibi, kanuni temsilcisi

veya kiracısı, resmi kuruluşlar için en büyük amir tarafından iş verilen veya

6563 SAYILI ELEKTRONİK TİCARETİN DÜZENLENMESİ HAKKINDA KANUN (İLGİLİ HÜKÜMLER)

212

MADDE 7- Ticari elektronik iletinin içeriği

(1) Ticari elektronik iletinin içeriği, alıcıdan alınan onaya uygun olmalıdır.

(2) İletide, hizmet sağlayıcının tanınmasını sağlayan bilgiler ile

haberleşmenin türüne bağlı olarak telefon numarası, faks numarası, kısa

mesaj numarası ve elektronik posta adresi gibi erişilebilir durumdaki iletişim

bilgileri yer alır.

(3) İletide, haberleşmenin türüne bağlı olarak, iletinin konusu, amacı ve

başkası adına yapılması hâlinde kimin adına yapıldığına ilişkin bilgilere de yer

verilir.

MADDE 8- Alıcının ticari elektronik iletiyi reddetme hakkı

(1) Alıcılar diledikleri zaman, hiçbir gerekçe belirtmeksizin ticari elektronik

iletileri almayı reddedebilir.

(2) Hizmet sağlayıcı ret bildiriminin, elektronik iletişim araçlarıyla kolay ve

ücretsiz olarak iletilmesini sağlamakla ve gönderdiği iletide buna ilişkin

gerekli bilgileri sunmakla yükümlüdür.

(3) Talebin ulaşmasını müteakip hizmet sağlayıcı üç iş günü içinde alıcıya

elektronik ileti göndermeyi durdurur.

MADDE 10- Kişisel verilerin korunması

(1) Hizmet sağlayıcı ve aracı hizmet sağlayıcı:

a) Bu Kanun çerçevesinde yapmış olduğu işlemler nedeniyle elde ettiği kişisel

verilerin saklanmasından ve güvenliğinden sorumludur.

b) Kişisel verileri ilgili kişinin onayı olmaksızın üçüncü kişilere iletemez ve

başka amaçlarla kullanamaz.

213


YÖNETMELİK


BÖLÜM I : Genel Esaslar

MADDE 1 – Konu

Bu Yönetmelik; 26/06/1973 tarihli ve 1774 sayılı Kimlik Bildirme Kanununun

12. maddesi gereğince, anılan kanunun bildirimlerle ilgili maddelerinin

uygulanma kurallarının, belge, kart ve defterlerin biçim ve kapsamı alınış,

veriliş ve saklanma yöntemlerinin belirli ve standart kayıtlara bağlanması

amacı ile hazırlanmıştır.

MADDE 2 – Kapsam

Özel veya resmi her türlü konaklama, dinlenme, bakım ve tedavi tesislerinin,

ticaret ve sanat amacı güden bütün iş yerlerinin ve öğrenci yurtlarının

sorumlu işleticileri ile bu gibi yerlerde çalışanlar ve barınanlar; resmi

dairelerin yetkili amirleri; konutlarda sürekli veya GEÇİCİ olarak kalanlar,

çalışanlar veya konutlarını değiştirenler, bu Yönetmelik hükümlerine tabidir.

MADDE 3 – Tanımlamalar


a) En yakın yetkili genel kolluk örgütü deyimi; tesis, iş yeri veya konutun

bulunduğu yerin sürekli olarak genel güvenliğini sağlayan polis veya

jandarma karakollarını,

b) Sorumlu işletici deyimi; Yönetmeliğin 6. maddesinde sayılan tesislerle, her

türlü ticaret ve sanat amacı güden iş yerlerini ve öğrenci yurtlarını sürekli

veya geçici, sözleşmeli veya sözleşmesiz, ücretli veya ücretsiz olarak

çalıştırmak ve yönetmek üzere, özel kuruluşlar için sahibi, kanuni temsilcisi

veya kiracısı, resmi kuruluşlar için en büyük amir tarafından iş verilen veya

KİMLİK BİLDİRME KANUNUNUN UYGULANMASI İLE İLGİLİ YÖNETMELİK

214

atanan kişiyi veya bu kişi tayin edilmediği takdirde o yerin sahip, kanuni

temsilci veya kiracısını,

c) Yetkili amir deyimi; kanuni yöntemine göre örgütü tarafından atanan ve

resmi bina ve eklentilerinin korunması ile görevli ve sorumlu kişiyi,

d) Aile reisi deyimi;

a) Aile birliğinin reisi olan kocayı,

b) İkametgahı belli olmayan kişinin karısını,

c) Kocasından ayrı yaşamaya mezun olup kendine ayrı ikametgah tutan

kadını,

d) Sürekli iş veya hastalık ve benzeri nedenlerle konuttan zorunlu olarak

ayrılan kocanın karısını,

e) Aynı konutta aralarında aile bağı ile yaşayanlar içinde yaşça en büyük kişiyi,

f) Ticaret ve sanat amacı güden iş yeri deyimi; her türlü ticarethane, tüccar

yazıhanesi, ocak veya şantiye fabrika ve imalathane ve atölye, depo, antrepo,

ardiye, mağaza ve dükkan, banka ve banker dairesi, ikraz ve istikraz

müessesesi, imtiyazlı ve imtiyazsız anonim, kooperatif, limitet, komandit ve

kollektif şirket gibi çalışma konusu mal veya para ticareti olan, dolayısı ile

belirli yerinde para veya mal bulunduran veya hizmet arz eden ve amacı

doğrultusunda maddi iş yapan özel veya kamu kuruluşlarını,

ifa eder.

MADDE 4 - Süreler


a) 24 saat deyimi; işe başlamanın veya ayrılmanın vuku bulduğu saatten

itibaren geçen 24 saatlik,

b) Üç gün deyimi; işe başlama veya geliş veya ayrılmanın vuku bulduğu

saatten itibaren işlemeye başlayan 72 saatlik,


215

süreyi kapsar.

MADDE 5 - Kayıtlama

Bu Yönetmelik hükümlerine göre kimlik bildirme belgelerini en yakın yetkili

genel kolluk örgütüne vermekle yükümlü tutulanlar, kimliğini nüfus hüviyet

cüzdanı veya diğer resmi geçerli belgelerle ispat edemeyen kimseleri,

tesislerinde barındıramaz, konut ve iş yerinde çalıştıramaz.

BÖLÜM II : Yükümlülükler

KISIM I : İşyerleri Sorumlu İşleticilerinin ve Bu Yerlerde Çalışanların ve

Barınanların Bildirilmesi

A - Sorumlu İşleticiler

MADDE 6 - İşe Başlama-Yükümlü

Otel, motel, han, pansiyon, bekar odaları, kamp, kamping, tatil köyü, her

türlü özel veya resmi konaklama yerleri (yatılı okulların pansiyonları,

yetiştirme yurtları ve köy odaları dahil) ile özel sağlık müesseseleri, dinlenme

ve huzur evleri ve dini ve hayır kurumlarının sosyal tesislerinde devamlı

olarak ve her halde bir sorumlu işletici bulunur.

Sorumlu işleticinin kimliği, o tesis açılmadan önce, sahip veya kanuni temsilci

veya kiracısı tarafından iki örnek İŞLETİCİ KİMLİK BİLDİRME BELGESİ (form:

1) ne yazılır ve bu belgeler en yakın yetkili genel kolluk örgütüne verilir.

MADDE 7 - İşleticinin Değişmesi

Sorumlu işleticinin değişmesi halinde, tesisin sahip, kanuni temsilci veya

kiracısı tarafından, 24 saat içinde, yeni işleticiye ait kimlik bildirme belgesi,

ayrılan işleticinin adı ve ayrılış tarihi de yazılarak yukarıdaki maddede

belirtilen yönteme göre en yakın yetkili genel kolluk örgütüne verilir.


214

atanan kişiyi veya bu kişi tayin edilmediği takdirde o yerin sahip, kanuni

temsilci veya kiracısını,

c) Yetkili amir deyimi; kanuni yöntemine göre örgütü tarafından atanan ve

resmi bina ve eklentilerinin korunması ile görevli ve sorumlu kişiyi,

d) Aile reisi deyimi;

a) Aile birliğinin reisi olan kocayı,

b) İkametgahı belli olmayan kişinin karısını,

c) Kocasından ayrı yaşamaya mezun olup kendine ayrı ikametgah tutan

kadını,

d) Sürekli iş veya hastalık ve benzeri nedenlerle konuttan zorunlu olarak

ayrılan kocanın karısını,

e) Aynı konutta aralarında aile bağı ile yaşayanlar içinde yaşça en büyük kişiyi,

f) Ticaret ve sanat amacı güden iş yeri deyimi; her türlü ticarethane, tüccar

yazıhanesi, ocak veya şantiye fabrika ve imalathane ve atölye, depo, antrepo,

ardiye, mağaza ve dükkan, banka ve banker dairesi, ikraz ve istikraz

müessesesi, imtiyazlı ve imtiyazsız anonim, kooperatif, limitet, komandit ve

kollektif şirket gibi çalışma konusu mal veya para ticareti olan, dolayısı ile

belirli yerinde para veya mal bulunduran veya hizmet arz eden ve amacı

doğrultusunda maddi iş yapan özel veya kamu kuruluşlarını,

ifa eder.

MADDE 4 - Süreler


a) 24 saat deyimi; işe başlamanın veya ayrılmanın vuku bulduğu saatten

itibaren geçen 24 saatlik,

b) Üç gün deyimi; işe başlama veya geliş veya ayrılmanın vuku bulduğu

saatten itibaren işlemeye başlayan 72 saatlik,


215

süreyi kapsar.

MADDE 5 - Kayıtlama

Bu Yönetmelik hükümlerine göre kimlik bildirme belgelerini en yakın yetkili

genel kolluk örgütüne vermekle yükümlü tutulanlar, kimliğini nüfus hüviyet

cüzdanı veya diğer resmi geçerli belgelerle ispat edemeyen kimseleri,

tesislerinde barındıramaz, konut ve iş yerinde çalıştıramaz.

BÖLÜM II : Yükümlülükler

KISIM I : İşyerleri Sorumlu İşleticilerinin ve Bu Yerlerde Çalışanların ve

Barınanların Bildirilmesi

A - Sorumlu İşleticiler

MADDE 6 - İşe Başlama-Yükümlü

Otel, motel, han, pansiyon, bekar odaları, kamp, kamping, tatil köyü, her

türlü özel veya resmi konaklama yerleri (yatılı okulların pansiyonları,

yetiştirme yurtları ve köy odaları dahil) ile özel sağlık müesseseleri, dinlenme

ve huzur evleri ve dini ve hayır kurumlarının sosyal tesislerinde devamlı

olarak ve her halde bir sorumlu işletici bulunur.

Sorumlu işleticinin kimliği, o tesis açılmadan önce, sahip veya kanuni temsilci

veya kiracısı tarafından iki örnek İŞLETİCİ KİMLİK BİLDİRME BELGESİ (form:

1) ne yazılır ve bu belgeler en yakın yetkili genel kolluk örgütüne verilir.

MADDE 7 - İşleticinin Değişmesi

Sorumlu işleticinin değişmesi halinde, tesisin sahip, kanuni temsilci veya

kiracısı tarafından, 24 saat içinde, yeni işleticiye ait kimlik bildirme belgesi,

ayrılan işleticinin adı ve ayrılış tarihi de yazılarak yukarıdaki maddede

belirtilen yönteme göre en yakın yetkili genel kolluk örgütüne verilir.


216

B - Çalışanlar

MADDE 8 - Yükümlü

Yönetmeliğin:

a) 6. maddesi kapsamına giren tesislerle,

b) 6. MADDE kapsamı dışındaki her çeşit ticaret ve sanat amacı güden iş

yerlerinin sorumlu işleticileri tarafından; buralarda sürekli veya GEÇİCİ olarak

çalıştırılanların kimlikleri, iki örnek ÇALIŞANLARA AİT KİMLİK BİLDİRME

BELGESİ (Form: 2) ne yazılır ve (a) bendi kapsamında olanların belgesi 24 saat,

(b) bendi kapsamında olanların belgesi üç gün içinde en yakın yetkili genel

kolluk örgütüne verilir.

Maddenin (b) bendindeki yerler köylerde ise belgeler anılan örgütle

verilmeden önce muhtara onaylatılır.

MADDE 9 - Kimlik Kartı

Yönetmeliğin 6. maddesinde yazılı tesislerde çalıştıklarından ötürü

haklarında çalışanlara ait kimlik bildirme belgesi düzenlenenler adına

sorumlu işletici tarafından; bu belgenin örgüte verildiği tarihten itibaren en

geç üç gün içinde KONAKLAMA TESİSİ PERSONELİNE AİT KİMLİK KARTI

(Form: 3) doldurulur ve kendilerine verilir.

Ayrılmak için başvuran kişinin kimlik kartının geri alınması zorunludur.

Kimlik kartları, ilgili konaklama tesisi tarafından örneğine ve boyutlarına

uygun biçimde sağlanır.

C - Barınanlar


Yönetmeliğin 8. maddesine göre haklarında çalışanlara ait kimlik bildirme

belgesi düzenlenen kişi aynı zamanda o iş yerinde barınıyorsa, bu belgenin

ilgili hanesi işaretlenir.


217

İş yerlerinde çalışmadan, her ne suretle olursa olsun barınmalarına müsaade

edilen kişilerin kimliği o yerin sorumlu işleticisi tarafından iki örnek

BARINANLARA AİT KİMLİK BİLDİRME BELGESİ (Form: 4) ne yazılır ve bu

belgeler üç gün içinde en yakın yetkili genel kolluk örgütüne verilir.

Bu iş yerleri köylerde ise belgeler anılan örgüte verilmeden önce muhtara

onaylatılır.

KISIM II : Konutlarda Çalışanların ve Oturanların Bildirilmesi

A - Çalışanlar

MADDE 11 - Ortak hizmetlerde çalışanlar-Yükümlü

Bağımsız bir bölüm teşkil eden konutların sahip veya kiracıları ile, kat

mülkiyetine tabi taşınmaz mallarda yönetici veya yönetim kurulunun bu

konuda yetkili kıldığı bir üye tarafından; kapıcı, kaloriferci, bekçi ve

telefoncuların ve benzeri idari, teknik ve yardımcı hizmetlerde


BELGESİ (Form:2) ne yazılır ve bu belgeler üç gün içinde en yakın yetkili genel


MADDE 12 - Konut hizmetlerinde çalışanlar-Yükümlü

(Değişik madde:RG-31/03/2001-24359)

Yerleşmek amacı ile şehir, kasaba ve köy sınırları içindeki konutlarda oturan

aile reisleri, aralarında aile bağı olmaksızın bir arada kalanlardan kendilerince

seçilecek biri veya yalnız yaşayan kişiler tarafından, buralarda sürekli veya

GEÇİCİ olarak ve konutta kalarak çalışan hizmetçi, aşçı, mürebbiye, bekçi ve

benzeri her türlü hizmetlerde çalıştırılanların kimlikleri, form 2'deki

Çalışanlara Ait Kimlik Bildirme Belgesine yazılır. İki nüsha ve fotoğraflı olarak

düzenlenecek bu belgeler mahalle veya köy muhtarına onaylatılarak, üç gün

içinde en yakın yetkili genel kolluk örgütüne verilir.


216

B - Çalışanlar


Yönetmeliğin:

a) 6. maddesi kapsamına giren tesislerle,

b) 6. MADDE kapsamı dışındaki her çeşit ticaret ve sanat amacı güden iş

yerlerinin sorumlu işleticileri tarafından; buralarda sürekli veya GEÇİCİ olarak


BELGESİ (Form: 2) ne yazılır ve (a) bendi kapsamında olanların belgesi 24 saat,

(b) bendi kapsamında olanların belgesi üç gün içinde en yakın yetkili genel


Maddenin (b) bendindeki yerler köylerde ise belgeler anılan örgütle

verilmeden önce muhtara onaylatılır.

MADDE 9 - Kimlik Kartı

Yönetmeliğin 6. maddesinde yazılı tesislerde çalıştıklarından ötürü

haklarında çalışanlara ait kimlik bildirme belgesi düzenlenenler adına

sorumlu işletici tarafından; bu belgenin örgüte verildiği tarihten itibaren en

geç üç gün içinde KONAKLAMA TESİSİ PERSONELİNE AİT KİMLİK KARTI

(Form: 3) doldurulur ve kendilerine verilir.

Ayrılmak için başvuran kişinin kimlik kartının geri alınması zorunludur.

Kimlik kartları, ilgili konaklama tesisi tarafından örneğine ve boyutlarına

uygun biçimde sağlanır.

C - Barınanlar


Yönetmeliğin 8. maddesine göre haklarında çalışanlara ait kimlik bildirme

belgesi düzenlenen kişi aynı zamanda o iş yerinde barınıyorsa, bu belgenin

ilgili hanesi işaretlenir.


217

İş yerlerinde çalışmadan, her ne suretle olursa olsun barınmalarına müsaade

edilen kişilerin kimliği o yerin sorumlu işleticisi tarafından iki örnek

BARINANLARA AİT KİMLİK BİLDİRME BELGESİ (Form: 4) ne yazılır ve bu

belgeler üç gün içinde en yakın yetkili genel kolluk örgütüne verilir.

Bu iş yerleri köylerde ise belgeler anılan örgüte verilmeden önce muhtara

onaylatılır.

KISIM II : Konutlarda Çalışanların ve Oturanların Bildirilmesi

A - Çalışanlar

MADDE 11 - Ortak hizmetlerde çalışanlar-Yükümlü

Bağımsız bir bölüm teşkil eden konutların sahip veya kiracıları ile, kat

mülkiyetine tabi taşınmaz mallarda yönetici veya yönetim kurulunun bu

konuda yetkili kıldığı bir üye tarafından; kapıcı, kaloriferci, bekçi ve

telefoncuların ve benzeri idari, teknik ve yardımcı hizmetlerde


BELGESİ (Form:2) ne yazılır ve bu belgeler üç gün içinde en yakın yetkili genel


MADDE 12 - Konut hizmetlerinde çalışanlar-Yükümlü


Yerleşmek amacı ile şehir, kasaba ve köy sınırları içindeki konutlarda oturan

aile reisleri, aralarında aile bağı olmaksızın bir arada kalanlardan kendilerince

seçilecek biri veya yalnız yaşayan kişiler tarafından, buralarda sürekli veya

GEÇİCİ olarak ve konutta kalarak çalışan hizmetçi, aşçı, mürebbiye, bekçi ve

benzeri her türlü hizmetlerde çalıştırılanların kimlikleri, form 2'deki

Çalışanlara Ait Kimlik Bildirme Belgesine yazılır. İki nüsha ve fotoğraflı olarak

düzenlenecek bu belgeler mahalle veya köy muhtarına onaylatılarak, üç gün



218

B - Oturanlar:


(Değişik:RG-31/03/2001-24359) Yerleşmek amacı ile şehir, kasaba ve köy

sınırları içindeki konutlarda oturmakta olan ailelerin reisleri kendileri ile

birlikte sürekli olarak oturan kişilerin tamamının toplu olarak, aralarında aile

bağı olmaksızın kalan kişiler ile tek başlarına yaşayanlar, kendilerinin

kimliklerini form 5'deki Konutta Kalanlara Ait Kimlik Bildirme Belgesine

yazarlar, iki nüsha ve18 yaşını bitirmiş olanlar için fotoğraflı olarak

düzenleyecekleri bu belgeleri mahalle veya köy muhtarlarına onaylatarak üç

gün içinde en yakın yetkili genel kolluk örgütüne verirler.

Yabancılar için 5683 sayılı Kanunun 14 üncü maddesi hükmü saklıdır.

MADDE 14 - Örnek verilmesi

Kat mülkiyetine tabi taşınmaz mallarda oturmakta olan aile reisleri veya

kişiler, düzenleyecekleri çalışanlara ait kimlik bildirme ve konutta kalanlara

ait kimlik bildirme belgelerinin birer örneğini sorumlu yöneticiye verirler.

MADDE 15 - Misafirler - Yükümlü


Şehir, kasaba ve köy sınırları içindeki konutlara misafir olarak gelen ve 30

günden fazla bir süre için kalacak kişilerin kimlikleri, bu konutlarda

oturmakta olan ailelerin reisleri veya aralarında aile bağı olmaksızın kalan

veya yalnız yaşayan kişiler tarafından form 6'daki Misafirlere Ait Kimlik

Bildirme Belgesine yazılır ve iki nüsha olarak düzenlenen bu belgeler üç gün


MADDE 16 - Göçenler - Yükümlü


Şehir, kasaba ve köy sınırları içindeki konutlarda otururken mevsimlik olarak

yaylak ve kışlak gibi yerlere göçen veya yaylak ve kışlaklar arasında yer


219

değiştiren aile veya kişilerin kimlikleri, aile reisleri ve kişiler tarafından form

6'daki Konutta Kalanlara Ait Kimlik Bildirme Belgesine yazılır ve iki nüsha

olarak düzenlenecek bu belgeler üç gün içinde en yakın yetkili genel kolluk

örgütüne verilir.

KISIM III : Diğer Yerlerde Çalışanların ve Barınanların Bildirilmesi

MADDE 17 - Öğrenci yurtlarında bulunanlar-Yükümlü

Öğrenci yurtları ve benzeri yerlerin sorumlu işleticileri tarafından ; buralarda:

a) Çalıştırılanların kimlikleri iki örnek ÇALIŞANLARA AİT KİMLİK BİLDİRME

BELGESİ (Form.2) ne,

b) Kalan öğrencilerin veya diğer kişilerin kimlikleri iki örnek BARINANLARA

AİT KİMLİK BİLDİRME BELGESİ (Form 4) ne,

yazılır ve bu belgeler üç gün içinde en yakın yetkili genel kolluk örgütüne

verilir.

Köylerde düzenlenen belgeler, anılan örgüte verilmeden önce muhtara

onaylatılır.

MADDE 18 - Resmi binalarda barınanlar-Yükümlü

Resmi binaların yetkili amiri tarafından; buralarda ve eklentilerinde yatarak

kalmalarına yer gösterilenlerin kimliği iki örnek BARINANLARA AİT KİMLİK

BİLDİRME BELGESİ (Form: 4) ne yazılır ve bu belgeler üç gün içinde en yakın

yetkili genel kolluk örgütüne verilir.

Nöbetçi Memurluğu kurulması ve Olağanüstü Hal Tatbikatlarında mesainin

24 saat Devamını sağlayan 18/01/1966 günlü ve 711 sayılı Kanun veya özel

mevzuatı gereğince her gün değişerek nöbet tutan personel hakkında

yukarıdaki fıkra uygulanmaz.


onaylatılır.


218

B - Oturanlar:


(Değişik:RG-31/03/2001-24359) Yerleşmek amacı ile şehir, kasaba ve köy

sınırları içindeki konutlarda oturmakta olan ailelerin reisleri kendileri ile

birlikte sürekli olarak oturan kişilerin tamamının toplu olarak, aralarında aile

bağı olmaksızın kalan kişiler ile tek başlarına yaşayanlar, kendilerinin

kimliklerini form 5'deki Konutta Kalanlara Ait Kimlik Bildirme Belgesine

yazarlar, iki nüsha ve18 yaşını bitirmiş olanlar için fotoğraflı olarak

düzenleyecekleri bu belgeleri mahalle veya köy muhtarlarına onaylatarak üç

gün içinde en yakın yetkili genel kolluk örgütüne verirler.

Yabancılar için 5683 sayılı Kanunun 14 üncü maddesi hükmü saklıdır.

MADDE 14 - Örnek verilmesi

Kat mülkiyetine tabi taşınmaz mallarda oturmakta olan aile reisleri veya

kişiler, düzenleyecekleri çalışanlara ait kimlik bildirme ve konutta kalanlara

ait kimlik bildirme belgelerinin birer örneğini sorumlu yöneticiye verirler.

MADDE 15 - Misafirler - Yükümlü


Şehir, kasaba ve köy sınırları içindeki konutlara misafir olarak gelen ve 30

günden fazla bir süre için kalacak kişilerin kimlikleri, bu konutlarda

oturmakta olan ailelerin reisleri veya aralarında aile bağı olmaksızın kalan

veya yalnız yaşayan kişiler tarafından form 6'daki Misafirlere Ait Kimlik

Bildirme Belgesine yazılır ve iki nüsha olarak düzenlenen bu belgeler üç gün


MADDE 16 - Göçenler - Yükümlü


Şehir, kasaba ve köy sınırları içindeki konutlarda otururken mevsimlik olarak

yaylak ve kışlak gibi yerlere göçen veya yaylak ve kışlaklar arasında yer


219

değiştiren aile veya kişilerin kimlikleri, aile reisleri ve kişiler tarafından form

6'daki Konutta Kalanlara Ait Kimlik Bildirme Belgesine yazılır ve iki nüsha

olarak düzenlenecek bu belgeler üç gün içinde en yakın yetkili genel kolluk

örgütüne verilir.

KISIM III : Diğer Yerlerde Çalışanların ve Barınanların Bildirilmesi

MADDE 17 - Öğrenci yurtlarında bulunanlar-Yükümlü

Öğrenci yurtları ve benzeri yerlerin sorumlu işleticileri tarafından ; buralarda:

a) Çalıştırılanların kimlikleri iki örnek ÇALIŞANLARA AİT KİMLİK BİLDİRME

BELGESİ (Form.2) ne,

b) Kalan öğrencilerin veya diğer kişilerin kimlikleri iki örnek BARINANLARA

AİT KİMLİK BİLDİRME BELGESİ (Form 4) ne,

yazılır ve bu belgeler üç gün içinde en yakın yetkili genel kolluk örgütüne

verilir.


onaylatılır.

MADDE 18 - Resmi binalarda barınanlar-Yükümlü

Resmi binaların yetkili amiri tarafından; buralarda ve eklentilerinde yatarak

kalmalarına yer gösterilenlerin kimliği iki örnek BARINANLARA AİT KİMLİK

BİLDİRME BELGESİ (Form: 4) ne yazılır ve bu belgeler üç gün içinde en yakın

yetkili genel kolluk örgütüne verilir.

Nöbetçi Memurluğu kurulması ve Olağanüstü Hal Tatbikatlarında mesainin

24 saat Devamını sağlayan 18/01/1966 günlü ve 711 sayılı Kanun veya özel

mevzuatı gereğince her gün değişerek nöbet tutan personel hakkında

yukarıdaki fıkra uygulanmaz.


onaylatılır.


220

MADDE 19 - Özel durumu olan sabahçı kahveleri

İskele, istasyon, hava meydanı, terminal, garaj, benzin istasyon ve benzeri

kara, deniz hava ulaşım merkezleri ile fuar, panayır, sergi ve pazar kurulması

gibi zorunluluk olan zaman ve yerlerdeki sabahçı kahvesi ve diğer benzeri

tesislerin, o yerin bağlı bulunduğu kolluk örgütü ile belediye veya köy

idaresinin olumlu görüşü alındıktan sonra mahallin en büyük mülkiye amiri

tarafından GEÇİCİ veya sürekli olarak açık tutulması ve buralarda kişilerin

kalması için verilen izin belgesinin, tesislerin görünür bir yerine asılması

zorunludur. Buralarda kalanlar için bildirim yapılmaz.

KISIM IV : Belgelerin Verilmesi ve Örneklerinin Saklanması

MADDE 20 - Sorumlu işleticinin işe başlaması ve ayrılması

İşletici kimlik bildirme belgesi:

a)İlk sorumlu işletici için doldurulduğunda önceki sorumlu işleticiye ait

haneler boş bırakılarak,

b)Ayrılanı izleyen sorumlu işleticiler için doldurulduğunda önceki sorumlu,

işleticiye ait bilgiler her halde yazılarak, kolluk örgütüne verilir.

Örgütteki görevli, önceki sorumlu işletici yoksa hemen, varsa ona ait kimlik

bildirme belgesinin bulup isim karşılaştırması yaptıktan sonra yeni belgenin

alınış hanelerini bizzat doldurarak imzalar, birinci örneği saklar, öteki örneği

yükümlüye geri verir ve önceki sorumlu işleticiye ait belgeyi imha eder.

Belge örnekleri ayrılış ve başlayış tarihleri birbirini izlemek kaydı ile tesisin

çalıştığı süre boyunca yükümlüler tarafından tesiste saklanır.

MADDE 21 - İşe başlaması veya Öteki kişilerin gelişi

İşletici kimlik bildirme belgesi dışındaki bütün belgelerin tabloları her iki

örnekte doldurup imzalandıktan sonra ve zımbalı kısmın örneklerdeki ayrılış

tarihi ve imza haneleri boş bırakılarak kolluk örgütüne verilir.


221

Örgütteki görevli, aldığı belge örneklerinin benzerliğini saptadıktan sonra,

belgenin alınış hanelerini bizzat doldurarak imzalar, birinci örneği saklar,

öteki örneği yükümlüye geri verir.

MADDE 22 - Öteki kişilerin ayrılması veya konutun değiştirilmesi

Adına belge düzenlenmiş olan çalışan veya barınan kişinin o yerden ilişiğinin

kesilerek ayrılması veya konutun değiştirilmesi halinde yükümlü, belgelerin

verilmesindeki sürelere uymak kaydı ile; kendisindeki örnekten ayırdığı

zımbalı kısma ayrılış tarihini yazıp imzalayarak kolluk örgütüne verir.

Örgütteki görevli zımbalı kısmın ilgili olduğu belge örneğini bulup

karşılaştırır, bunun altındaki zımbalı kısmı ayırarak, ayrılış tarihini de

yazdıktan sonra imzalar ve yükümlüye verir, ondan aldığı zımbalı kısmı

kendisindeki belge örneği ile birlikte imha eder.

Yükümlü, kendisinde kalan belge örneğini kolluk örgütünden aldığı zımbalı

kısımla birlikte üç yıl süre ile saklar.

Konutta kalanlara ait kimlik bildirme belgesinin örneği ile kolluk örgütünden

alınan zımbalı kısmın saklanması zorunlu değildir.

Hakkında belge verilmiş bulunan misafirlerin ayrılışı kolluk örgütüne

bildirilmez.

KISIM V : Konaklama Tesislerindeki GEÇİCİ Oturmaların Saptanması


(Değişik:RG-21/01/1975-15125)

Yönetmeliğin 6.maddesinde sayılan yerlerin sorumlu işleticileri tarafından;

buralarda ücretli veya ücretsiz, gündüz veya gece yatacak yer gösterilen yerli

veya yabancı herkesin kimliği ile geliş ve ayrılış tarihleri, KONAKLAMA YERİ

KAYIT DEFTERİ (Form:7) ne günü gününe geçirilir.


220

MADDE 19 - Özel durumu olan sabahçı kahveleri

İskele, istasyon, hava meydanı, terminal, garaj, benzin istasyon ve benzeri

kara, deniz hava ulaşım merkezleri ile fuar, panayır, sergi ve pazar kurulması

gibi zorunluluk olan zaman ve yerlerdeki sabahçı kahvesi ve diğer benzeri

tesislerin, o yerin bağlı bulunduğu kolluk örgütü ile belediye veya köy

idaresinin olumlu görüşü alındıktan sonra mahallin en büyük mülkiye amiri

tarafından GEÇİCİ veya sürekli olarak açık tutulması ve buralarda kişilerin

kalması için verilen izin belgesinin, tesislerin görünür bir yerine asılması

zorunludur. Buralarda kalanlar için bildirim yapılmaz.

KISIM IV : Belgelerin Verilmesi ve Örneklerinin Saklanması

MADDE 20 - Sorumlu işleticinin işe başlaması ve ayrılması

İşletici kimlik bildirme belgesi:

a)İlk sorumlu işletici için doldurulduğunda önceki sorumlu işleticiye ait

haneler boş bırakılarak,

b)Ayrılanı izleyen sorumlu işleticiler için doldurulduğunda önceki sorumlu,

işleticiye ait bilgiler her halde yazılarak, kolluk örgütüne verilir.

Örgütteki görevli, önceki sorumlu işletici yoksa hemen, varsa ona ait kimlik

bildirme belgesinin bulup isim karşılaştırması yaptıktan sonra yeni belgenin

alınış hanelerini bizzat doldurarak imzalar, birinci örneği saklar, öteki örneği

yükümlüye geri verir ve önceki sorumlu işleticiye ait belgeyi imha eder.

Belge örnekleri ayrılış ve başlayış tarihleri birbirini izlemek kaydı ile tesisin

çalıştığı süre boyunca yükümlüler tarafından tesiste saklanır.

MADDE 21 - İşe başlaması veya Öteki kişilerin gelişi

İşletici kimlik bildirme belgesi dışındaki bütün belgelerin tabloları her iki

örnekte doldurup imzalandıktan sonra ve zımbalı kısmın örneklerdeki ayrılış

tarihi ve imza haneleri boş bırakılarak kolluk örgütüne verilir.


221

Örgütteki görevli, aldığı belge örneklerinin benzerliğini saptadıktan sonra,

belgenin alınış hanelerini bizzat doldurarak imzalar, birinci örneği saklar,

öteki örneği yükümlüye geri verir.

MADDE 22 - Öteki kişilerin ayrılması veya konutun değiştirilmesi

Adına belge düzenlenmiş olan çalışan veya barınan kişinin o yerden ilişiğinin

kesilerek ayrılması veya konutun değiştirilmesi halinde yükümlü, belgelerin

verilmesindeki sürelere uymak kaydı ile; kendisindeki örnekten ayırdığı

zımbalı kısma ayrılış tarihini yazıp imzalayarak kolluk örgütüne verir.

Örgütteki görevli zımbalı kısmın ilgili olduğu belge örneğini bulup

karşılaştırır, bunun altındaki zımbalı kısmı ayırarak, ayrılış tarihini de

yazdıktan sonra imzalar ve yükümlüye verir, ondan aldığı zımbalı kısmı

kendisindeki belge örneği ile birlikte imha eder.

Yükümlü, kendisinde kalan belge örneğini kolluk örgütünden aldığı zımbalı

kısımla birlikte üç yıl süre ile saklar.

Konutta kalanlara ait kimlik bildirme belgesinin örneği ile kolluk örgütünden

alınan zımbalı kısmın saklanması zorunlu değildir.

Hakkında belge verilmiş bulunan misafirlerin ayrılışı kolluk örgütüne

bildirilmez.

KISIM V : Konaklama Tesislerindeki GEÇİCİ Oturmaların Saptanması


(Değişik:RG-21/01/1975-15125)

Yönetmeliğin 6.maddesinde sayılan yerlerin sorumlu işleticileri tarafından;

buralarda ücretli veya ücretsiz, gündüz veya gece yatacak yer gösterilen yerli

veya yabancı herkesin kimliği ile geliş ve ayrılış tarihleri, KONAKLAMA YERİ

KAYIT DEFTERİ (Form:7) ne günü gününe geçirilir.


222

Bu yerlerde kalacak kişilerin, kendilerine verilecek kopyalı bir örnek

KONAKLAMA BELGESİ (form:8) ni doldurarak imzalamaları ve sorumlu

işleticiye vermeleri şarttır.

Konaklama belgesindeki bilgiler, kişinin kimliğini belirten geçerli resmi belge

ile karşılaştırıldıktan sonra, konaklama yeri kayıt defterine aktarılır.

MADDE 24 - Konaklama yeri kayıt defteri ve konaklama belgesinin

sağlanması ve saklanması

Konaklama yeri kayıt defteri ve konaklama belgesi, örneğine ve boyutlarına

göre ilgili konaklama tesisi tarafından sağlanır.

Defter yıllık olarak tutulur, kapağına tesis adı ve yılı yazılır. Kullanılmağa

başlanılmadan önce, sonu en yakın yetkili genel kolluk örgütüne sahife sayısı

belirtilerek onaylatılır.

Defter yüz sahifeden aşağı olamaz. Yılı içinde birden fazla defter kullanılması

halinde bunların kapağına birbirini izleyen sıra numarası verilir. Şu kadar ki,

gelen konuk sayısını az olduğu tesislerde tek defter kullanılması ile

yetinilebilir. Bu halde, yeni yılın kayıtlarına boş bir sahife bırakıldıktan sonra

başlanır.

Yılın ilk gününde bir önceki yıldan kayıtları devam eden kimlikleri, o gün

gelenlerden önce yeni deftere veya sahifeye bütünü ile aktarılır.

Bir yıla ait konaklama belgeleri, düzenlendiği yılı izleyen takvim yılından

başlayarak bir yıl; konaklama yeri kayıt defterleri, dolduğu yılı izleyen takvim

yılından başlayarak beş yıl süre ile, sorumlu işleticinin sorumluluğu altında

tesiste saklanır.

Saklama süreleri içinde sorumlu işleticisi değişen tesisin belgeleri ve

defterleri yeni sorumlu işleticiye; kesin olarak kapanan tesisin belgeleri ve

defterleri en yakın yetkili genel kolluk örgütüne hemen verilir. Bu halde,


223

saklama görevi, geri kalan süreler için yeni sorumlu işletici veya örgüt

tarafından yerine getirilir.

MADDE 25 - Belge ve defterden yararlanma olanağı

Yetkili resmi örgütler dışında, mahkeme kararı olmadıkça, hiç kimsenin

konaklama belgelerinden ve konaklama yeri kayıt defterlerinden

yararlanmasına müsaade edilemez.

BÖLÜM III : Uygulamada Yapılacak Çalışmalar ve İşlemler

MADDE 26 - Belgelerin saklanma yeri ve yöntemi

Belgeler, verildiği en yakın genel kolluk örgütünde, karakol bölge krokisi ve

binalar cetveli esas alınarak; önce mahalle ve semt (varsa bölge) sonra cadde

ve sokak ve bina numarası üzerinden sınıflandırılmış ve üstünde bu bilgiler

bulunan gözlerde kilit altında saklanır.

Aynı binada bulunan yükümlülerce birden fazla türden belge verilmesi

halinde her belge türü form sıra numarasına göre; misafirlere ait kimlik

bildirme belgesi, onu düzenleyen tarafından verilmiş konutta kalanlara ait

kimlik bildirme belgesine bağlanarak saklanır.

Karakol amirleri, yukarıdaki yöntem esas olmak kaydı ile belgeleri daha kolay

izlenmesini sağlayacak öteki yolları uygulayabilirler.


belgelerden yararlanmasına müsaade edilemez.

MADDE 27 - Görevliler

Belgeleri teslim alınması ve ayrılması, sıralanması ve saklanması görevin aynı

personele gördürülmesi esastır.


222

Bu yerlerde kalacak kişilerin, kendilerine verilecek kopyalı bir örnek

KONAKLAMA BELGESİ (form:8) ni doldurarak imzalamaları ve sorumlu

işleticiye vermeleri şarttır.

Konaklama belgesindeki bilgiler, kişinin kimliğini belirten geçerli resmi belge

ile karşılaştırıldıktan sonra, konaklama yeri kayıt defterine aktarılır.

MADDE 24 - Konaklama yeri kayıt defteri ve konaklama belgesinin

sağlanması ve saklanması

Konaklama yeri kayıt defteri ve konaklama belgesi, örneğine ve boyutlarına

göre ilgili konaklama tesisi tarafından sağlanır.

Defter yıllık olarak tutulur, kapağına tesis adı ve yılı yazılır. Kullanılmağa

başlanılmadan önce, sonu en yakın yetkili genel kolluk örgütüne sahife sayısı

belirtilerek onaylatılır.

Defter yüz sahifeden aşağı olamaz. Yılı içinde birden fazla defter kullanılması

halinde bunların kapağına birbirini izleyen sıra numarası verilir. Şu kadar ki,

gelen konuk sayısını az olduğu tesislerde tek defter kullanılması ile

yetinilebilir. Bu halde, yeni yılın kayıtlarına boş bir sahife bırakıldıktan sonra

başlanır.

Yılın ilk gününde bir önceki yıldan kayıtları devam eden kimlikleri, o gün

gelenlerden önce yeni deftere veya sahifeye bütünü ile aktarılır.

Bir yıla ait konaklama belgeleri, düzenlendiği yılı izleyen takvim yılından

başlayarak bir yıl; konaklama yeri kayıt defterleri, dolduğu yılı izleyen takvim

yılından başlayarak beş yıl süre ile, sorumlu işleticinin sorumluluğu altında

tesiste saklanır.

Saklama süreleri içinde sorumlu işleticisi değişen tesisin belgeleri ve

defterleri yeni sorumlu işleticiye; kesin olarak kapanan tesisin belgeleri ve

defterleri en yakın yetkili genel kolluk örgütüne hemen verilir. Bu halde,


223

saklama görevi, geri kalan süreler için yeni sorumlu işletici veya örgüt

tarafından yerine getirilir.

MADDE 25 - Belge ve defterden yararlanma olanağı


konaklama belgelerinden ve konaklama yeri kayıt defterlerinden

yararlanmasına müsaade edilemez.

BÖLÜM III : Uygulamada Yapılacak Çalışmalar ve İşlemler

MADDE 26 - Belgelerin saklanma yeri ve yöntemi

Belgeler, verildiği en yakın genel kolluk örgütünde, karakol bölge krokisi ve

binalar cetveli esas alınarak; önce mahalle ve semt (varsa bölge) sonra cadde

ve sokak ve bina numarası üzerinden sınıflandırılmış ve üstünde bu bilgiler

bulunan gözlerde kilit altında saklanır.

Aynı binada bulunan yükümlülerce birden fazla türden belge verilmesi

halinde her belge türü form sıra numarasına göre; misafirlere ait kimlik

bildirme belgesi, onu düzenleyen tarafından verilmiş konutta kalanlara ait

kimlik bildirme belgesine bağlanarak saklanır.

Karakol amirleri, yukarıdaki yöntem esas olmak kaydı ile belgeleri daha kolay

izlenmesini sağlayacak öteki yolları uygulayabilirler.


belgelerden yararlanmasına müsaade edilemez.

MADDE 27 - Görevliler

Belgeleri teslim alınması ve ayrılması, sıralanması ve saklanması görevin aynı

personele gördürülmesi esastır.


224

MADDE 28 - Yapıların izlenmesi

Her karakol üç ayda bir kez ve gerektiğinde sürekli olarak, bölgesini tarar ve

bölge krokisinde veya binalar cetvelinde yer almayan yeni veya yıkılan

yapıları ve her türlü ilave ve değişiklikleri saptar, bunları kroki veya cetveline

işler veya düşümünü sağlar.

Belediyeler, mahallin en büyük mülki amirince istenilmesi halinde

düzenledikleri nümerotaj cetvelinin birer örneğini vermekle yükümlüdürler.

MADDE 29 - Belgelerin sağlanma yeri

(Değişik:RG-6/12/1996-22839)

Valiliklerce, İlin yıllık belge ihtiyacına göre, bu Yönetmelikte sözü edilen

belgelerin özel kuruluşlarca basılarak ilgililerin taleplerine sunulması için

gerekli tedbirler alınır.

Özel kuruluşlarca basılan söz konusu belgeler muhtarlıklar ile herkesin

kolaylıkla ulaşabileceği diğer yerlerde arza sunulur ve ilgililerce bedeli

mukabili temin edilen bu belgeler doldurularak yetkili mercilere teslim edilir.

MADDE 30 - İçişleri Bakanlığının yetkisi

İçişleri Bakanlığı:

a) Bu Yönetmeliğin verilmesini öngördüğü belgelerin örnek sayısında

değişiklik yapmağa,

b) Uygun gördüğü yerlerde oturanlardan, 13. MADDE gereğince anılan

konutta kalanlara ait kimlik bildirme belgesinde yazılı aile reisleri ile diğer

kişiler için birer kimlik kartı düzenletip bu kişilere verdirmeğe yetkilidir.

Yukarıdaki fıkranın (b) bendine göre verilecek kimlik kartının adlarına

düzenleneceği kişiler, düzenleme ve geri alınma yöntemleri, kapsayacağı

bilgiler ve biçimi bir yönerge ile saptanır.


225

MADDE 31 - (Mülga madde:RG-25/01/1998-23241)

MADDE 32 - İstatistik bilgi istenmesi

Devlet İstatistik Enstitüsü; Yönetmeliğin 6.maddesinde yazılı tesislerin

sayılarını, unvan ve adreslerini, türlerini sınıflarını, oda ve yatak sayılarını

belirten listeleri Valiliklerden sağlar. Bu tesislerin tamamı veya bir kısmından,

öngöreceği yönteme ve formlara göre, belli süreler içinde istatistik bilgiler

istemeye yetkilidir.

MADDE - 33 Dağıtım-Görevlendirilecek kişiler

Belgelerin boş olarak dağıtımı ve doldurulmuş olarak geri alınması

konusunda, genel kolluk örgütleri, köy ve mahalle muhtarlarını

görevlendirebilirler.

EK MADDE 1 - (Değişik:RG-8/10/1999-23840)

1774 sayılı Kimlik Bildirme Kanununun 2 inci maddesinde sayılan tesislerden;

otel, motel ve tatil köyleri ile 30 yatak üzerinde kapasitesi olan özel veya

resmi konaklama yerleri ve yatarak tedavi uygulayan özel sağlık

müesseseleri, KONAKLAMA YERİ KAYIT DEFTERİ (Form:7)' nde yer alan

bilgileri günlük bilgisayar çıktısı almak ve çıktıları sorumlu işleticiye onaylatıp

beş yıl süreyle muhafaza etmek kaydıyla, İçişleri Bakanlığının ve ilgili diğer

Bakanlıkların da görüşünü alarak özelliklerini tespit edeceği bir bilgisayar

programında tutabilirler. Bu yerlerdeki bilgisayar çıktıları KONAKLAMA YERİ

KAYIT DEFTERİ (Form:7) yerine geçer. Tespit edilecek bilgisayar programı

günün şartlarına ve teknolojik gelişmelere bağlı olarak tespit usulüne uygun

olarak değiştirilebilir.

EK MADDE 2 - (Ek:RG-10/6/2015-29382)






224

MADDE 28 - Yapıların izlenmesi

Her karakol üç ayda bir kez ve gerektiğinde sürekli olarak, bölgesini tarar ve

bölge krokisinde veya binalar cetvelinde yer almayan yeni veya yıkılan

yapıları ve her türlü ilave ve değişiklikleri saptar, bunları kroki veya cetveline

işler veya düşümünü sağlar.

Belediyeler, mahallin en büyük mülki amirince istenilmesi halinde

düzenledikleri nümerotaj cetvelinin birer örneğini vermekle yükümlüdürler.

MADDE 29 - Belgelerin sağlanma yeri

(Değişik:RG-6/12/1996-22839)

Valiliklerce, İlin yıllık belge ihtiyacına göre, bu Yönetmelikte sözü edilen

belgelerin özel kuruluşlarca basılarak ilgililerin taleplerine sunulması için

gerekli tedbirler alınır.

Özel kuruluşlarca basılan söz konusu belgeler muhtarlıklar ile herkesin

kolaylıkla ulaşabileceği diğer yerlerde arza sunulur ve ilgililerce bedeli

mukabili temin edilen bu belgeler doldurularak yetkili mercilere teslim edilir.

MADDE 30 - İçişleri Bakanlığının yetkisi

İçişleri Bakanlığı:

a) Bu Yönetmeliğin verilmesini öngördüğü belgelerin örnek sayısında

değişiklik yapmağa,

b) Uygun gördüğü yerlerde oturanlardan, 13. MADDE gereğince anılan

konutta kalanlara ait kimlik bildirme belgesinde yazılı aile reisleri ile diğer

kişiler için birer kimlik kartı düzenletip bu kişilere verdirmeğe yetkilidir.

Yukarıdaki fıkranın (b) bendine göre verilecek kimlik kartının adlarına

düzenleneceği kişiler, düzenleme ve geri alınma yöntemleri, kapsayacağı

bilgiler ve biçimi bir yönerge ile saptanır.


225

MADDE 31 - (Mülga madde:RG-25/01/1998-23241)

MADDE 32 - İstatistik bilgi istenmesi

Devlet İstatistik Enstitüsü; Yönetmeliğin 6.maddesinde yazılı tesislerin

sayılarını, unvan ve adreslerini, türlerini sınıflarını, oda ve yatak sayılarını

belirten listeleri Valiliklerden sağlar. Bu tesislerin tamamı veya bir kısmından,

öngöreceği yönteme ve formlara göre, belli süreler içinde istatistik bilgiler

istemeye yetkilidir.

MADDE - 33 Dağıtım-Görevlendirilecek kişiler

Belgelerin boş olarak dağıtımı ve doldurulmuş olarak geri alınması

konusunda, genel kolluk örgütleri, köy ve mahalle muhtarlarını

görevlendirebilirler.

EK MADDE 1 - (Değişik:RG-8/10/1999-23840)

1774 sayılı Kimlik Bildirme Kanununun 2 inci maddesinde sayılan tesislerden;

otel, motel ve tatil köyleri ile 30 yatak üzerinde kapasitesi olan özel veya

resmi konaklama yerleri ve yatarak tedavi uygulayan özel sağlık

müesseseleri, KONAKLAMA YERİ KAYIT DEFTERİ (Form:7)' nde yer alan

bilgileri günlük bilgisayar çıktısı almak ve çıktıları sorumlu işleticiye onaylatıp

beş yıl süreyle muhafaza etmek kaydıyla, İçişleri Bakanlığının ve ilgili diğer

Bakanlıkların da görüşünü alarak özelliklerini tespit edeceği bir bilgisayar

programında tutabilirler. Bu yerlerdeki bilgisayar çıktıları KONAKLAMA YERİ

KAYIT DEFTERİ (Form:7) yerine geçer. Tespit edilecek bilgisayar programı

günün şartlarına ve teknolojik gelişmelere bağlı olarak tespit usulüne uygun

olarak değiştirilebilir.

EK MADDE 2 - (Ek:RG-10/6/2015-29382)






226


kuruluşu olması halinde sadece kamu kurum veya kuruluşuyla yapılan


Birinci fıkrada belirtilen veriler 5 yıl süreyle muhafaza edilir. Sistemdeki

kayıtlar 5 yıl sonunda sistemden otomatik olarak silinir.

EK MADDE 3 - (Ek:RG-10/6/2015-29382)

Bu Yönetmeliğe tabi gerçek kişiler ile özel hukuk tüzel kişilerinin; defter

tutma, bilgi, belge ve kayıtları arşivleme yükümlülükleri ile bunları muhafaza

etme sürelerine ilişkin olarak 213 sayılı Vergi Usul Kanunu, 6102 sayılı Türk

Ticaret Kanunu ve diğer mevzuatta yer alan hükümler saklıdır.

GEÇİCİ MADDE 1 – (Ek:RG-10/6/2015-29382)

Araç kiralama şirketleri tüm kayıtlarını İçişleri Bakanlığının tespit edeceği bir

bilgisayar programında tutmak ve bilgisayar terminallerini genel kolluk

kuvvetlerinin 1774 sayılı Kanunun ek 1 inci maddesine göre kurulan bilgisayar

terminallerine bağlamak zorundadırlar. 4/10/2015 tarihine kadar bu şartı

yerine getirmeyen işletmelere mülki idare amirlerince on bin Türk lirası para

cezası verilir. Bu fiilin tekrarı halinde işletme ruhsatları iptal edilir.

MADDE 34 - Yürürlük tarihi

Bu Yönetmelik yayımı tarihinden altı ay sonra yürürlüğe girer.

MADDE 35 - Yürütme yetkisi

Bu Yönetmelik hükümlerini Adalet, İçişleri, Turizm ve Tanıtma ve Devlet

İstatistik Enstitüsü işlerine Bakan Devlet Bakanları yürütür.

227

ÖZEL HASTANELER TÜZÜĞÜ (İLGİLİ HÜKÜMLER)


MADDE 29– Hasta dosyaları ve iç hizmet yönergesi:

(1) Özel hastanelerde yatan hastaların kimliğini, doğum yerini, adresini,

yattığı ve çıktığı tarihi, hastalığının tanısını ve çıkıştaki durumunu yazmak için

bir protokol defteri ile derece kağıdı, tabelası, filmleri, laboratuvar raporları

vb. hastanın izlenmesi ile ilgili belgeleri içeren bir dosya tutulur.

(2) Protokol defterinin ilgili yerleri ile dosyadaki belgeler, giriş ve çıkışta

geciktirilmeden doldurulur.

(3) Gerçek kişilere ait hastanelerde sorumlu müdürler, yönetim kurulu

bulunanların bu kurulla birlikte sorumlu müdürleritarafından hususi

hastaneler kanunu ve bu tüzük esaslarına göre bir iç hizmet yönergesi

düzenlenir.

(4) Bu yönergede hastaların kabul koşul ve yöntemleri, sınıfına göre

hastalardan alınacak ücret ve ne zaman alınacağı, hasta emanet ve eşyasının

saklanması, hasta ziyaret saatleri, sınıflarına göre hasta odalarının nitelikleri

hastanın özel durumunun gerekleri dışında verilecek yemeklerin nitelik ve

niceliği, yemek zamanları, ölüm halinde yapılacak dezenfeksiyon, tabiplerin

nöbet görevleri, hemşirelerin, hastabakıcıların ve diğer hizmetlilerin

görevleri, polikliniği olan hastanelerin bu hizmetlerinin yapılış biçimi ile iç

hizmetlere ilişkin diğer hususların gösterilmesi zorunludur.

(5) Sanatoryumlarla kürevleri için düzenlenecek yönergelerde, yukarıda

sayılan hususlardan başka dinlenme zamanları ve kuruluşun özelliğine göre

yapılacak tedavi yöntemi ile disiplinine ilişkin hususlar da yazılır.


226


kuruluşu olması halinde sadece kamu kurum veya kuruluşuyla yapılan


Birinci fıkrada belirtilen veriler 5 yıl süreyle muhafaza edilir. Sistemdeki

kayıtlar 5 yıl sonunda sistemden otomatik olarak silinir.

EK MADDE 3 - (Ek:RG-10/6/2015-29382)

Bu Yönetmeliğe tabi gerçek kişiler ile özel hukuk tüzel kişilerinin; defter

tutma, bilgi, belge ve kayıtları arşivleme yükümlülükleri ile bunları muhafaza

etme sürelerine ilişkin olarak 213 sayılı Vergi Usul Kanunu, 6102 sayılı Türk

Ticaret Kanunu ve diğer mevzuatta yer alan hükümler saklıdır.

GEÇİCİ MADDE 1 – (Ek:RG-10/6/2015-29382)

Araç kiralama şirketleri tüm kayıtlarını İçişleri Bakanlığının tespit edeceği bir

bilgisayar programında tutmak ve bilgisayar terminallerini genel kolluk

kuvvetlerinin 1774 sayılı Kanunun ek 1 inci maddesine göre kurulan bilgisayar

terminallerine bağlamak zorundadırlar. 4/10/2015 tarihine kadar bu şartı

yerine getirmeyen işletmelere mülki idare amirlerince on bin Türk lirası para

cezası verilir. Bu fiilin tekrarı halinde işletme ruhsatları iptal edilir.

MADDE 34 - Yürürlük tarihi

Bu Yönetmelik yayımı tarihinden altı ay sonra yürürlüğe girer.

MADDE 35 - Yürütme yetkisi

Bu Yönetmelik hükümlerini Adalet, İçişleri, Turizm ve Tanıtma ve Devlet

İstatistik Enstitüsü işlerine Bakan Devlet Bakanları yürütür.

227

ÖZEL HASTANELER TÜZÜĞÜ (İLGİLİ HÜKÜMLER)


MADDE 29– Hasta dosyaları ve iç hizmet yönergesi:

(1) Özel hastanelerde yatan hastaların kimliğini, doğum yerini, adresini,

yattığı ve çıktığı tarihi, hastalığının tanısını ve çıkıştaki durumunu yazmak için

bir protokol defteri ile derece kağıdı, tabelası, filmleri, laboratuvar raporları

vb. hastanın izlenmesi ile ilgili belgeleri içeren bir dosya tutulur.

(2) Protokol defterinin ilgili yerleri ile dosyadaki belgeler, giriş ve çıkışta

geciktirilmeden doldurulur.

(3) Gerçek kişilere ait hastanelerde sorumlu müdürler, yönetim kurulu

bulunanların bu kurulla birlikte sorumlu müdürleritarafından hususi

hastaneler kanunu ve bu tüzük esaslarına göre bir iç hizmet yönergesi

düzenlenir.

(4) Bu yönergede hastaların kabul koşul ve yöntemleri, sınıfına göre

hastalardan alınacak ücret ve ne zaman alınacağı, hasta emanet ve eşyasının

saklanması, hasta ziyaret saatleri, sınıflarına göre hasta odalarının nitelikleri

hastanın özel durumunun gerekleri dışında verilecek yemeklerin nitelik ve

niceliği, yemek zamanları, ölüm halinde yapılacak dezenfeksiyon, tabiplerin

nöbet görevleri, hemşirelerin, hastabakıcıların ve diğer hizmetlilerin

görevleri, polikliniği olan hastanelerin bu hizmetlerinin yapılış biçimi ile iç

hizmetlere ilişkin diğer hususların gösterilmesi zorunludur.

(5) Sanatoryumlarla kürevleri için düzenlenecek yönergelerde, yukarıda

sayılan hususlardan başka dinlenme zamanları ve kuruluşun özelliğine göre

yapılacak tedavi yöntemi ile disiplinine ilişkin hususlar da yazılır.

229

HASTA HAKLARI YÖNETMELİĞİ (İLGİLİ HÜKÜMLER)


MADDE 21- Mahremiyete Saygı Gösterilmesi

Hastanın, mahremiyetine saygı gösterilmesi esastır. Hasta mahremiyetinin

korunmasını açıkça talep de edebilir. Her türlü tıbbi müdahale, hastanın

mahremiyetine saygı gösterilmek suretiyle icra edilir.

Mahremiyete saygı gösterilmesi ve bunu istemek hakkı;

a) Hastanın, sağlık durumu ile ilgili tıbbi değerlendirmelerin gizlilik içerisinde

yürütülmesini,

b) Muayenenin, teşhisin, tedavinin ve hasta ile doğrudan teması gerektiren

diğer işlemlerin makul bir gizlilik ortamında gerçekleştirilmesini,

(…)

f) Sağlık harcamalarının kaynağının gizli tutulmasını, kapsar.

Ölüm olayı, mahremiyetin bozulması hakkını vermez.

(…)

MADDE 23- Bilgilerin Gizli Tutulması

Sağlık hizmetinin verilmesi sebebiyle edinilen bilgiler, kanun ile müsaade

edilen haller dışında, hiçbir şekilde açıklanamaz.

Kişinin rızasına dayansa bile, kişilik haklarından bütünüyle vazgeçilmesi, bu

hakların başkalarına devri veya aşırı şekilde sınırlanması neticesini doğuran

hallerde bilginin açıklanması, bunları açıklayanın hukuki sorumluluğunu

kaldırmaz.

229



MADDE 21- Mahremiyete Saygı Gösterilmesi

Hastanın, mahremiyetine saygı gösterilmesi esastır. Hasta mahremiyetinin

korunmasını açıkça talep de edebilir. Her türlü tıbbi müdahale, hastanın

mahremiyetine saygı gösterilmek suretiyle icra edilir.

Mahremiyete saygı gösterilmesi ve bunu istemek hakkı;

a) Hastanın, sağlık durumu ile ilgili tıbbi değerlendirmelerin gizlilik içerisinde

yürütülmesini,

b) Muayenenin, teşhisin, tedavinin ve hasta ile doğrudan teması gerektiren

diğer işlemlerin makul bir gizlilik ortamında gerçekleştirilmesini,

(…)

f) Sağlık harcamalarının kaynağının gizli tutulmasını, kapsar.

Ölüm olayı, mahremiyetin bozulması hakkını vermez.

(…)

MADDE 23- Bilgilerin Gizli Tutulması

Sağlık hizmetinin verilmesi sebebiyle edinilen bilgiler, kanun ile müsaade

edilen haller dışında, hiçbir şekilde açıklanamaz.

Kişinin rızasına dayansa bile, kişilik haklarından bütünüyle vazgeçilmesi, bu

hakların başkalarına devri veya aşırı şekilde sınırlanması neticesini doğuran

hallerde bilginin açıklanması, bunları açıklayanın hukuki sorumluluğunu

kaldırmaz.


230

Hukuki ve ahlaki yönden geçerli ve haklı bir sebebe dayanmaksızın hastaya

zarar verme ihtimali bulunan bilginin ifşa edilmesi, personelin ve diğer

kimselerin hukuki ve cezai sorumluluğunu da gerektirir.

Araştırma ve eğitim amacı ile yapılan faaliyetlerde de hastanın kimlik bilgileri,

rızası olmaksızın açıklanamaz.

231


YÖNETMELİĞİ (İLGİLİ HÜKÜMLER)


MADDE 4- Tanımlar

Bu Yönetmelikte geçen; (…)

f) Kişisel veri: Belirli veya kimliği belirlenebilir gerçek veya tüzel şahıslara

ilişkin bütün bilgileri,

(…)

ifade eder.

MADDE 5- Tüketici hakları

(1) Elektronik haberleşme hizmetlerinden yararlanan tüketiciler aşağıda

sıralanan haklara sahiptir;

(…)

c) Abonelerin kişisel verilerinin kamuya açık rehberlerde yer alıp almamasını

talep etme hakkı,

(…)

MADDE 15- Abonelik sözleşmelerinin uygulanması

(…)

(4) Telefon hizmetlerinde, sunulan elektronik ve/veya yazılı rehber

hizmetleri için abonelik sözleşmesi imzalanırken, aboneden bu rehberlerde

kişisel verilerinin yer alıp almayacağı hususunda onayı alınır.

(…)


230

Hukuki ve ahlaki yönden geçerli ve haklı bir sebebe dayanmaksızın hastaya

zarar verme ihtimali bulunan bilginin ifşa edilmesi, personelin ve diğer

kimselerin hukuki ve cezai sorumluluğunu da gerektirir.

Araştırma ve eğitim amacı ile yapılan faaliyetlerde de hastanın kimlik bilgileri,

rızası olmaksızın açıklanamaz.

231


YÖNETMELİĞİ (İLGİLİ HÜKÜMLER)


MADDE 4- Tanımlar

Bu Yönetmelikte geçen; (…)

f) Kişisel veri: Belirli veya kimliği belirlenebilir gerçek veya tüzel şahıslara

ilişkin bütün bilgileri,

(…)

ifade eder.

MADDE 5- Tüketici hakları

(1) Elektronik haberleşme hizmetlerinden yararlanan tüketiciler aşağıda

sıralanan haklara sahiptir;

(…)

c) Abonelerin kişisel verilerinin kamuya açık rehberlerde yer alıp almamasını

talep etme hakkı,

(…)

MADDE 15- Abonelik sözleşmelerinin uygulanması

(…)

(4) Telefon hizmetlerinde, sunulan elektronik ve/veya yazılı rehber

hizmetleri için abonelik sözleşmesi imzalanırken, aboneden bu rehberlerde

kişisel verilerinin yer alıp almayacağı hususunda onayı alınır.

(…)

233

ECZACILAR VE ECZANELER HAKKINDA YÖNETMELİK



MADDE 45 – Eczane defter ve kayıtları

(1) Eczanede satışı yapılan tüm ilaçlar elektronik ortamda kaydedilir. Bu

kayıtlar denetimlerde istenilmesi hâlinde sunulmak üzere saklanır.

(2) Eczanelerde teftiş defteri, personel defteri ve stajyer defteri tutulur.

Defterler eczacıların bağlı oldukları eczacı odalarından temin edilir ve eczacı

odalarına tasdik ettirilir.

233

ECZACILAR VE ECZANELER HAKKINDA YÖNETMELİK



MADDE 45 – Eczane defter ve kayıtları

(1) Eczanede satışı yapılan tüm ilaçlar elektronik ortamda kaydedilir. Bu

kayıtlar denetimlerde istenilmesi hâlinde sunulmak üzere saklanır.

(2) Eczanelerde teftiş defteri, personel defteri ve stajyer defteri tutulur.

Defterler eczacıların bağlı oldukları eczacı odalarından temin edilir ve eczacı

odalarına tasdik ettirilir.

235


YÖNETMELİK (İLGİLİ HÜKÜMLER)

15.07.2015 tarihli 29417 sayılı Resmî Gazete’de yayımlanmıştır.



(…)

b) Aracı hizmet sağlayıcı: Başkalarına ait iktisadî ve ticari faaliyetlerin


(…)

ğ) Hizmet sağlayıcı: Elektronik ticaret faaliyetinde bulunan gerçek ya da tüzel

kişileri,

(…)

m) Ticari elektronik ileti: Telefon, çağrı merkezleri, faks, otomatik arama




(…)

ifade eder.

MADDE 12 – Kişisel verilerin korunması

(1) Hizmet sağlayıcı ve aracı hizmet sağlayıcı, bu Yönetmelik çerçevesinde

yapmış olduğu işlemler ve sunduğu hizmetler nedeniyle elde ettiği verilerin,

ilgili mevzuat hükümleri saklı kalmak kaydıyla muhafazasından ve hukuka

aykırı olarak bunlara erişilmesini ve işlenmesini önlemek amacıyla gerekli

tedbirlerin alınmasından sorumludur.

235


YÖNETMELİK (İLGİLİ HÜKÜMLER)

15.07.2015 tarihli 29417 sayılı Resmî Gazete’de yayımlanmıştır.



(…)

b) Aracı hizmet sağlayıcı: Başkalarına ait iktisadî ve ticari faaliyetlerin


(…)

ğ) Hizmet sağlayıcı: Elektronik ticaret faaliyetinde bulunan gerçek ya da tüzel

kişileri,

(…)

m) Ticari elektronik ileti: Telefon, çağrı merkezleri, faks, otomatik arama




(…)

ifade eder.

MADDE 12 – Kişisel verilerin korunması

(1) Hizmet sağlayıcı ve aracı hizmet sağlayıcı, bu Yönetmelik çerçevesinde

yapmış olduğu işlemler ve sunduğu hizmetler nedeniyle elde ettiği verilerin,

ilgili mevzuat hükümleri saklı kalmak kaydıyla muhafazasından ve hukuka

aykırı olarak bunlara erişilmesini ve işlenmesini önlemek amacıyla gerekli

tedbirlerin alınmasından sorumludur.

TİCARİ İLETİŞİM VE TİCARİ ELEKTRONİK İLETİLER HAKKINDA YÖNETMELİK (İLGİLİ HÜKÜMLER)

236

(2) Kişisel verilerin; üçüncü kişilerle paylaşılabilmesi, işlenebilmesi ve başka

amaçlarla kullanılabilmesi için ilgili kişiden önceden onay alınması gerekir.

237

ÖZEL İSTİHDAM BÜROLARI YÖNETMELİĞİ (İLGİLİ HÜKÜMLER)


MADDE 24 – Bilgi toplama ve kullanma

(1) Özel istihdam büroları, iş arayanlara ve işverenlere ilişkin bilgileri sadece

iş ve işçi bulma faaliyeti için toplayabilir, işleme tabi tutabilir veya bunlardan

yararlanabilir.

(2) 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ve

4904 sayılı Kanunun 19 uncu maddesi hükümleri çerçevesinde; özel

istihdam bürosu, iş ve işçi bulmaya aracılık için derlediği verileri bu amaçlar

dışında kullanamaz.

TİCARİ İLETİŞİM VE TİCARİ ELEKTRONİK İLETİLER HAKKINDA YÖNETMELİK (İLGİLİ HÜKÜMLER)

236

(2) Kişisel verilerin; üçüncü kişilerle paylaşılabilmesi, işlenebilmesi ve başka

amaçlarla kullanılabilmesi için ilgili kişiden önceden onay alınması gerekir.

237

ÖZEL İSTİHDAM BÜROLARI YÖNETMELİĞİ (İLGİLİ HÜKÜMLER)


MADDE 24 – Bilgi toplama ve kullanma

(1) Özel istihdam büroları, iş arayanlara ve işverenlere ilişkin bilgileri sadece

iş ve işçi bulma faaliyeti için toplayabilir, işleme tabi tutabilir veya bunlardan

yararlanabilir.

(2) 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ve

4904 sayılı Kanunun 19 uncu maddesi hükümleri çerçevesinde; özel

istihdam bürosu, iş ve işçi bulmaya aracılık için derlediği verileri bu amaçlar

dışında kullanamaz.

239

§ AVRUPA KONSEYİ DÜZENLEMELERİ

239

§ AVRUPA KONSEYİ DÜZENLEMELERİ

241

108 NO’LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ

TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ

“Convention For The Protection Of Individuals With Regard To Automatic

Processing Of Personal Data / 28.01.1981”

Türkiye, bu sözleşmeyi imzalayan ilk Avrupa Konseyi üyesi ülkelerden birisi

olmuş; ancak sözleşmenin kanunla uygun bulunması ve onaylanması yaklaşık

35 yıl sürmüştür. Sözleşme, 17 Mart 2016 tarihli ve 29656 sayılı Resmi Gazete’de

yayımlanarak iç hukuka dâhil edilmiştir.

Gerekçesi: Günümüzde insan haklarõnõn korunmasõ bilincinin gelişmesiyle eş

zamanlõ olarak, kişisel verilerin korunmasõnõn šnemi de her geçen gŸn artmaktadõr. Bu çerçevede gelişmiş ülkelerde kişisel verilerin korunmasõ alanõnda detaylõ yasal dŸzenlemelerin uygulanmakta olduğu dikkat çekmektedir. …te yandan, 20 inci yŸzyõlda bilgi ve iletişim teknolojilerinde yaşanan hõzlõ gelişmeler nedeniyle kişisel verilerin kayõt altõna alõnmasõnda ciddi bir artõş yaşanmõş, internetin yaygõnlaşmasõ ise konuyu daha hassas bir boyuta taşõmõştõr.

TŸrkiye, kişisel verilerin korunmasõyla ilgili uluslararasõ dŸzenlemeleri takip ederek, ulusal dŸzenlemelerine bu çerçevede yšn vermektedir. 2010 yõlõnda Anayasada yapõlan değişikliklerle kişisel verilerin korunmasõ anayasal bir hak haline getirilmiştir.

Avrupa Konseyi (AK) bŸnyesinde hazõrlanarak 28 Ocak 1981 tarihinde Strazburg'da imzaya açõlan ve 1 Ekim 1985 tarihinde yŸrŸrlŸğe giren 'Kişisel Verilerin Otomatik İşleme

Tabi Tutulmasõ Karşõsõnda Bireylerin Korunmasõ Sšzleşmesi' Ÿlkemiz tarafõndan 28 Ocak 1981 tarihinde imzalanmõştõr. Anõlan Sšzleşmeye AK dõşõndaki Ÿlkelerin de taraf olma imkanõ bulunmaktadõr.

108 sayõlõ Sšzleşme olarak da bilinen ve 27 maddeden oluşan Sšzleşmenin temel amacõ; her Ÿye Ÿlkede, uyruğu veya ikametgahõ ne olursa olsun gerçek kişilerin, temel hak ve šzgŸrlŸklerini ve šzellikle kendilerini ilgilendiren kişisel nitelikteki verilerin otomatik bilgi işleme tabi tutulmasõ karşõsõnda šzel yaşam haklarõm gŸvence altõna almaktõr. Bu itibarla Sšzleşme, hŸkŸmetlerin vatandaşlarõnõ korumasõna yšnelik šnemli bir araç niteliğindedir.

BugŸne kadar AK Ÿyesi bŸtŸn Ÿlkeler ve AK dõşõndan Uruguay olmak Ÿzere toplam 47 Ÿlke Sšzleşmeye taraf olmuş, 46 Ÿlke ise Sšzleşmeyi onaylamõştõr. TŸrkiye

241


TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ

“Convention For The Protection Of Individuals With Regard To Automatic

Processing Of Personal Data / 28.01.1981”

Türkiye, bu sözleşmeyi imzalayan ilk Avrupa Konseyi üyesi ülkelerden birisi

olmuş; ancak sözleşmenin kanunla uygun bulunması ve onaylanması yaklaşık

35 yıl sürmüştür. Sözleşme, 17 Mart 2016 tarihli ve 29656 sayılı Resmi Gazete’de

yayımlanarak iç hukuka dâhil edilmiştir.

Gerekçesi: Günümüzde insan haklarõnõn korunmasõ bilincinin gelişmesiyle eş

zamanlõ olarak, kişisel verilerin korunmasõnõn šnemi de her geçen gŸn artmaktadõr. Bu çerçevede gelişmiş ülkelerde kişisel verilerin korunmasõ alanõnda detaylõ yasal dŸzenlemelerin uygulanmakta olduğu dikkat çekmektedir. …te yandan, 20 inci yŸzyõlda bilgi ve iletişim teknolojilerinde yaşanan hõzlõ gelişmeler nedeniyle kişisel verilerin kayõt altõna alõnmasõnda ciddi bir artõş yaşanmõş, internetin yaygõnlaşmasõ ise konuyu daha hassas bir boyuta taşõmõştõr.

TŸrkiye, kişisel verilerin korunmasõyla ilgili uluslararasõ dŸzenlemeleri takip ederek, ulusal dŸzenlemelerine bu çerçevede yšn vermektedir. 2010 yõlõnda Anayasada yapõlan değişikliklerle kişisel verilerin korunmasõ anayasal bir hak haline getirilmiştir.

Avrupa Konseyi (AK) bŸnyesinde hazõrlanarak 28 Ocak 1981 tarihinde Strazburg'da imzaya açõlan ve 1 Ekim 1985 tarihinde yŸrŸrlŸğe giren 'Kişisel Verilerin Otomatik İşleme

Tabi Tutulmasõ Karşõsõnda Bireylerin Korunmasõ Sšzleşmesi' Ÿlkemiz tarafõndan 28 Ocak 1981 tarihinde imzalanmõştõr. Anõlan Sšzleşmeye AK dõşõndaki Ÿlkelerin de taraf olma imkanõ bulunmaktadõr.

108 sayõlõ Sšzleşme olarak da bilinen ve 27 maddeden oluşan Sšzleşmenin temel amacõ; her Ÿye Ÿlkede, uyruğu veya ikametgahõ ne olursa olsun gerçek kişilerin, temel hak ve šzgŸrlŸklerini ve šzellikle kendilerini ilgilendiren kişisel nitelikteki verilerin otomatik bilgi işleme tabi tutulmasõ karşõsõnda šzel yaşam haklarõm gŸvence altõna almaktõr. Bu itibarla Sšzleşme, hŸkŸmetlerin vatandaşlarõnõ korumasõna yšnelik šnemli bir araç niteliğindedir.

BugŸne kadar AK Ÿyesi bŸtŸn Ÿlkeler ve AK dõşõndan Uruguay olmak Ÿzere toplam 47 Ÿlke Sšzleşmeye taraf olmuş, 46 Ÿlke ise Sšzleşmeyi onaylamõştõr. TŸrkiye

108 NO’LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ

242

Sözleşmeyi imzalamõş olmasõna rağmen, onay işlemlerini henŸz tamamlamayõp yŸrŸrlŸğe koymayan tek Ÿlke konumundadõr.

108 sayõlõ Sšzleşmenin Ÿlkemizce onaylanarak yŸrŸrlŸğe konmasõ konusunda zamanõnda yapõlan değerlendirmede, Sšzleşmenin iç hukuk dŸzenlemelerinin tamamlanmasõnõn ardõndan onaylanmasõ ve yŸrŸrlŸğe konulmasõnõn uygun olacağõ sonucuna varõlmõştõr. Konunun šnemi çerçevesinde, Sšzleşme ile ilgili iç hukuk gereklerinin Sšzleşmenin onay sŸreciyle birlikte eş zamanlõ yŸrŸtŸlmesi keyfiyeti gŸndeme gelmiştir.

†lkemizde kişisel verilerin korunmasõ bağlamõnda sŸrdŸrŸlmekte olan ulusal mevzuat çalõşmalarõna da paralel olarak, sšzkonusu Sšzleşmenin onaylanmasõ, Ÿlkemizin Avrupa Konseyi çerçevesinde oluşturulan ortak hukuk sistemine kişisel verilerin korunmasõ alanõnda da d‰hil olmasõnõ sağlayarak, vatandaşlarõmõzõn insan haklarõnõn ihlal edilmesinin šnŸne geçilmesine ve Ÿlkemizin uluslararasõ saygõnlõğõna katkõda bulunacaktõr.

Giriş

İşbu Sözleşmeyi imzalayan Avrupa Konseyi Üyesi Devletler,

Avrupa Konseyinin amacının özellikle hukukun üstünlüğüne ve insan hakları

ile temel özgürlüklere saygılı olarak, üyeleri arasında daha yakın bir birliğin

gerçekleştirilmesi olduğuna inanarak;

Otomatik işleme tabi olan kişisel verilerin sınırlar ötesi akışının yoğunluk

kazanması karşısında, temel hak ve özgürlüklere ilişkin güvencelerin,

özellikle de özel yaşama saygı hakkının genişletilmesinin arzu edilebilir

olduğunu değerlendirerek;

Aynı zamanda sınırları dikkate almaksızın haber alma özgürlüğüne ilişkin

yükümlülüklerini de teyit ederek;

Temel değerler olan özel yaşama saygı ile halklar arasında serbest bilgi

akışını birbiriyle uzlaştırma gerekliliğini kabul ederek;

Aşağıdaki hususlarda anlaşmışlardır:


243

Bölüm I - Genel hükümler

MADDE 1 Konu ve amaç

İşbu Sözleşmenin amacı, her bir Tarafın ülkesinde, uyruğu veya ikamet yeri

ne olursa olsun her gerçek kişinin temel hak ve özgürlüklerini ve özellikle

kendisiyle ilgili kişisel verilerin otomatik işleme tabi tutulması karşısında özel

hayata saygı hakkını güvence altına almaktır. ("verilerin korunması").

MADDE 2 Tanımlar

Bu Sözleşmenin amaçları bakımından:

a) "Kişisel veriler": Kimliği belirli veya belirlenebilir bir gerçek kişi ("ilgili kişi")

hakkındaki tüm bilgileri ifade eder;

b) "Otomatik veri dosyası" otomatik işleme konu olan bilgilerin tümünü ifade

eder;

c) "Otomatik işlem"den, tamamen veya kısmen otomatik yöntemlerle

gerçekleştirilen; verilerin kaydı, bu verilere mantıksal ve/veya aritmetik

işlemlerin uygulanması, verilerin değiştirilmesi, silinmesi, geri elde edilmesi

veya dağıtılması anlaşılır.

d) "Dosya yöneticisi", otomatik veri dosyasının amacının ne olacağı, hangi

kişisel veri kategorilerinin kaydedilmesi gerektiği ve bunlara hangi işlemlerin

uygulanacağı hakkında karar verebilecek olan gerçek veya tüzel kişileri,

kamu kurumunu, birimi veya ulusal kanunlara göre yetkili olan diğer

kuruluşları ifade eder.

MADDE 3 Kapsam

1. Taraflar, işbu Sözleşmeyi kamu sektöründe ve özel sektörde, otomatik

kişisel veri dosyalarına ve kişisel verilerin otomatik işleme tabi tutulması

konusunda uygulamayı taahhüt ederler.


242

Sözleşmeyi imzalamõş olmasõna rağmen, onay işlemlerini henŸz tamamlamayõp yŸrŸrlŸğe koymayan tek Ÿlke konumundadõr.

108 sayõlõ Sšzleşmenin Ÿlkemizce onaylanarak yŸrŸrlŸğe konmasõ konusunda zamanõnda yapõlan değerlendirmede, Sšzleşmenin iç hukuk dŸzenlemelerinin tamamlanmasõnõn ardõndan onaylanmasõ ve yŸrŸrlŸğe konulmasõnõn uygun olacağõ sonucuna varõlmõştõr. Konunun šnemi çerçevesinde, Sšzleşme ile ilgili iç hukuk gereklerinin Sšzleşmenin onay sŸreciyle birlikte eş zamanlõ yŸrŸtŸlmesi keyfiyeti gŸndeme gelmiştir.

†lkemizde kişisel verilerin korunmasõ bağlamõnda sŸrdŸrŸlmekte olan ulusal mevzuat çalõşmalarõna da paralel olarak, sšzkonusu Sšzleşmenin onaylanmasõ, Ÿlkemizin Avrupa Konseyi çerçevesinde oluşturulan ortak hukuk sistemine kişisel verilerin korunmasõ alanõnda da d‰hil olmasõnõ sağlayarak, vatandaşlarõmõzõn insan haklarõnõn ihlal edilmesinin šnŸne geçilmesine ve Ÿlkemizin uluslararasõ saygõnlõğõna katkõda bulunacaktõr.

Giriş

İşbu Sözleşmeyi imzalayan Avrupa Konseyi Üyesi Devletler,

Avrupa Konseyinin amacının özellikle hukukun üstünlüğüne ve insan hakları

ile temel özgürlüklere saygılı olarak, üyeleri arasında daha yakın bir birliğin

gerçekleştirilmesi olduğuna inanarak;

Otomatik işleme tabi olan kişisel verilerin sınırlar ötesi akışının yoğunluk

kazanması karşısında, temel hak ve özgürlüklere ilişkin güvencelerin,

özellikle de özel yaşama saygı hakkının genişletilmesinin arzu edilebilir

olduğunu değerlendirerek;

Aynı zamanda sınırları dikkate almaksızın haber alma özgürlüğüne ilişkin

yükümlülüklerini de teyit ederek;

Temel değerler olan özel yaşama saygı ile halklar arasında serbest bilgi

akışını birbiriyle uzlaştırma gerekliliğini kabul ederek;

Aşağıdaki hususlarda anlaşmışlardır:


243

Bölüm I - Genel hükümler

MADDE 1 Konu ve amaç

İşbu Sözleşmenin amacı, her bir Tarafın ülkesinde, uyruğu veya ikamet yeri

ne olursa olsun her gerçek kişinin temel hak ve özgürlüklerini ve özellikle

kendisiyle ilgili kişisel verilerin otomatik işleme tabi tutulması karşısında özel

hayata saygı hakkını güvence altına almaktır. ("verilerin korunması").

MADDE 2 Tanımlar

Bu Sözleşmenin amaçları bakımından:

a) "Kişisel veriler": Kimliği belirli veya belirlenebilir bir gerçek kişi ("ilgili kişi")

hakkındaki tüm bilgileri ifade eder;

b) "Otomatik veri dosyası" otomatik işleme konu olan bilgilerin tümünü ifade

eder;

c) "Otomatik işlem"den, tamamen veya kısmen otomatik yöntemlerle

gerçekleştirilen; verilerin kaydı, bu verilere mantıksal ve/veya aritmetik

işlemlerin uygulanması, verilerin değiştirilmesi, silinmesi, geri elde edilmesi

veya dağıtılması anlaşılır.

d) "Dosya yöneticisi", otomatik veri dosyasının amacının ne olacağı, hangi

kişisel veri kategorilerinin kaydedilmesi gerektiği ve bunlara hangi işlemlerin

uygulanacağı hakkında karar verebilecek olan gerçek veya tüzel kişileri,

kamu kurumunu, birimi veya ulusal kanunlara göre yetkili olan diğer

kuruluşları ifade eder.

MADDE 3 Kapsam

1. Taraflar, işbu Sözleşmeyi kamu sektöründe ve özel sektörde, otomatik

kişisel veri dosyalarına ve kişisel verilerin otomatik işleme tabi tutulması

konusunda uygulamayı taahhüt ederler.


244

2. Her devlet, imza sırasında veya onay, kabul, uygun bulma veya taraf olma

belgelerin.in tevdi edilmesi sırasında veya daha sonra herhangi bir zamanda

Avrupa Konseyi Genel Sekreterine muhatap bir beyanla:

a) İşbu Sözleşmeyi, listesi tevdi edilecek olan belli otomatik kişisel veri

dosyası kategorilerine uygulamayacağını bildirebilir. Ancak, devlet bu

listeye, kendi iç hukukunun otomatik verilerin korunmasına ilişkin

hükümlerine tabi olan otomatik dosya kategorilerini dahil edemez. Bu

nedenle, ilave otomatik kişisel veri dosyası kategorilerinin kendi iç

hukukunun verilerin korunmasına ilişkin hükümlerine tabi kılınması halinde,

yapacağı yeni bir beyanla sözkonusu listeyi tadil eder;

b) İşbu Sözleşmeyi, topluluklar, dernekler, vakıflar, şirketler, kurumlar ve

tüzel kişiliğe sahip olsun veya olmasın, doğrudan veya dolaylı olarak gerçek

kişilerin bir araya gelmesiyle oluşmuş her çeşit diğer kuruluş hakkında da

uygulayacağını bildirebilir;

c) İşbu Sözleşmeyi, otomatik bilgi işleme konu olmayan kişisel veri dosyaları

hakkında da uygulayacağını bildirebilir.

3. Yukarıdaki 2. fıkranın b veya c bendinde tanımlanan beyanlardan biriyle

işbu Sözleşmen.in uygulama alanını genişleten her devlet, sözkonusu

beyanda, genişletmen.in ancak tevdi edeceği bir listede gösterilen bazı

kişisel dosya kategorilerine uygulanacağını belirtebilir.

4. Yukarıdaki 2. fıkranın a bendinde öngörülen beyanla belli otomatik kişisel

veri dosyası kategorilerini Sözleşmen.in uygulama alam dışında tutan Taraf,

bunları uygulama alanı dışında tutmayan bir Taraftan işbu Sözleşmenin

sözkonusu kategoriler hakkında uygulanmasını isteyemez.

5. Keza, işbu maddenin 2. b ve 2. c bentlerinde öngörülen kapsam

genişletmelerinden herhangi birini yapmayan Taraf, bu genişletmeleri yapan

herhangi bir Tarafın bu hususlarda Sözleşmeyi uygulaması gerektiğini öne

süremez.


245

6. İşbu maddenin yukarıdaki 2. fıkrasında öngörülen beyanlar, bunları yapmış

olan Devlet bakımından, bu beyanların imza sırasında veya onay, kabul,

uygun bulma veya taraf olma belgelerinin tevdi edilmesi sırasında yapılması

halinde, sözleşmen.in yürürlüğe girdiği tarihte; eğer beyanlar daha sonra

yapılmışsa bunların Avrupa Konseyi Genel Sekreteri tarafından alınmasından

üç ay sonra hüküm ifade eder. Bu beyanlar Avrupa Konseyi Genel Sekreterine

muhatap bir bildirim ile kısmen veya tamamen geri alınabilir. Beyanların geri

alınması, bildirimin alındığı tarihten üç ay sonra hüküm ifade eder.

Bölüm II - Verilerin korunmasına ilişkin temel ilkeler

MADDE 4 Tarafların Görevleri

1. Her Taraf, kendi iç hukukunda, işbu bölümde yer alan verilerin

korunmasına ilişkin temel ilkelere işlerlik kazandırmak amacıyla gerekli

önlemleri alır.

2. Bu önlemlerin Tarafça, en geç, Sözleşmenin kendisi bakımından yürürlüğe

girdiği tarihte alınması zorunludur.

MADDE 5 Verilerin niteliği

Otomatik işleme konu olan kişisel veriler:

a) Adil biçimde ve yasal yoldan elde edilir ve işlenir;

b) Belli ve meşru amaçlar için kaydedilir ve bu amaçlara aykırı şekilde

kullanılmaz;

c) Kaydedilme amaçlarına göre uygun ve yerinde olur ve aşırı olmaz;

d) Doğru bilgileri yansıtır ve gerektiğinde güncellenir;

e) Kaydedilme amaçlarını gerçekleştirmek için gerekli olan süreyi aşmayacak

şekilde ilgili kişilerin kimliklerini belirlemeye imkan veren bir biçimde

saklanır.


244

2. Her devlet, imza sırasında veya onay, kabul, uygun bulma veya taraf olma

belgelerin.in tevdi edilmesi sırasında veya daha sonra herhangi bir zamanda

Avrupa Konseyi Genel Sekreterine muhatap bir beyanla:

a) İşbu Sözleşmeyi, listesi tevdi edilecek olan belli otomatik kişisel veri

dosyası kategorilerine uygulamayacağını bildirebilir. Ancak, devlet bu

listeye, kendi iç hukukunun otomatik verilerin korunmasına ilişkin

hükümlerine tabi olan otomatik dosya kategorilerini dahil edemez. Bu

nedenle, ilave otomatik kişisel veri dosyası kategorilerinin kendi iç

hukukunun verilerin korunmasına ilişkin hükümlerine tabi kılınması halinde,

yapacağı yeni bir beyanla sözkonusu listeyi tadil eder;

b) İşbu Sözleşmeyi, topluluklar, dernekler, vakıflar, şirketler, kurumlar ve

tüzel kişiliğe sahip olsun veya olmasın, doğrudan veya dolaylı olarak gerçek

kişilerin bir araya gelmesiyle oluşmuş her çeşit diğer kuruluş hakkında da

uygulayacağını bildirebilir;

c) İşbu Sözleşmeyi, otomatik bilgi işleme konu olmayan kişisel veri dosyaları

hakkında da uygulayacağını bildirebilir.

3. Yukarıdaki 2. fıkranın b veya c bendinde tanımlanan beyanlardan biriyle

işbu Sözleşmen.in uygulama alanını genişleten her devlet, sözkonusu

beyanda, genişletmen.in ancak tevdi edeceği bir listede gösterilen bazı

kişisel dosya kategorilerine uygulanacağını belirtebilir.

4. Yukarıdaki 2. fıkranın a bendinde öngörülen beyanla belli otomatik kişisel

veri dosyası kategorilerini Sözleşmen.in uygulama alam dışında tutan Taraf,

bunları uygulama alanı dışında tutmayan bir Taraftan işbu Sözleşmenin

sözkonusu kategoriler hakkında uygulanmasını isteyemez.

5. Keza, işbu maddenin 2. b ve 2. c bentlerinde öngörülen kapsam

genişletmelerinden herhangi birini yapmayan Taraf, bu genişletmeleri yapan

herhangi bir Tarafın bu hususlarda Sözleşmeyi uygulaması gerektiğini öne

süremez.


245

6. İşbu maddenin yukarıdaki 2. fıkrasında öngörülen beyanlar, bunları yapmış

olan Devlet bakımından, bu beyanların imza sırasında veya onay, kabul,

uygun bulma veya taraf olma belgelerinin tevdi edilmesi sırasında yapılması

halinde, sözleşmen.in yürürlüğe girdiği tarihte; eğer beyanlar daha sonra

yapılmışsa bunların Avrupa Konseyi Genel Sekreteri tarafından alınmasından

üç ay sonra hüküm ifade eder. Bu beyanlar Avrupa Konseyi Genel Sekreterine

muhatap bir bildirim ile kısmen veya tamamen geri alınabilir. Beyanların geri

alınması, bildirimin alındığı tarihten üç ay sonra hüküm ifade eder.

Bölüm II - Verilerin korunmasına ilişkin temel ilkeler

MADDE 4 Tarafların Görevleri

1. Her Taraf, kendi iç hukukunda, işbu bölümde yer alan verilerin

korunmasına ilişkin temel ilkelere işlerlik kazandırmak amacıyla gerekli

önlemleri alır.

2. Bu önlemlerin Tarafça, en geç, Sözleşmenin kendisi bakımından yürürlüğe

girdiği tarihte alınması zorunludur.

MADDE 5 Verilerin niteliği

Otomatik işleme konu olan kişisel veriler:

a) Adil biçimde ve yasal yoldan elde edilir ve işlenir;

b) Belli ve meşru amaçlar için kaydedilir ve bu amaçlara aykırı şekilde

kullanılmaz;

c) Kaydedilme amaçlarına göre uygun ve yerinde olur ve aşırı olmaz;

d) Doğru bilgileri yansıtır ve gerektiğinde güncellenir;

e) Kaydedilme amaçlarını gerçekleştirmek için gerekli olan süreyi aşmayacak

şekilde ilgili kişilerin kimliklerini belirlemeye imkan veren bir biçimde

saklanır.


246

MADDE 6 Özel veri kategorileri

İç hukukta uygun güvenceler sağlanmadıkça, ırksal kökeni, siyasi

düşünceleri, dini veya diğer inançları ortaya koyan kişisel veriler ile sağlık

veya cinsel hayatla ilgili kişisel veriler, otomatik işleme tabi tutulmaz. Aynı

şey ceza mahkumiyetiyle ilgili kişisel veriler için de geçerlidir.

MADDE 7 Verilerin güvenliği

Otomatik dosyalara kaydedilen kişisel verileri korumak için, bunların kaza

sonucu veya izinsiz olarak imhasına veya kaza sonucu kaybolmasına veya

bunların izinsiz olarak elde edilmesine, değiştirilmesine veya dağıtılmasına

karşı uygun güvenlik önlemleri alınır,

MADDE 8 İlgili kişi hakkındaki ek güvenceler

Herkes:

a) Otomatik kişisel veri dosyasının mevcudiyetini, temel amaçlarını, dosya

yöneticisinin kimliğini ve mutat ikamet yerini veya başlıca işyerini öğrenmek;

b) Makul aralıklarla ve aşırı gecikmeye veya masrafa maruz kalmadan kendisi

ile ilgili kişisel verilerin otomatik dosyada bulunup bulunmadığının teyidini

almak ve bu bilgilerin kendisine anlaşılır bir biçim altında iletilmesini

sağlamak;

c) Gerekli olan durumlarda, bu verileri düzelttirmek veya bunların, işbu

Sözleşmenin 5. ve 6. maddelerinde belirtilen temel ilkelere işlerlik sağlayan

iç hukuk hükümlerinin ihlali suretiyle işlenmiş olması halinde, sözkonusu

verileri sildirtmek;

d) İşbu maddenin b ve c fıkralarında öngörülen teyit talebinin veya duruma

göre bildirim, düzeltme veya silme talebinin yerine getirilmemesi halinde bir

başvuru yolundan yararlanmak hakkına sahiptir.


247

MADDE 9 İstisnalar ve kısıtlamalar

1. İşbu maddede belirtilen sınırlar dışında, Sözleşmenin 5, 6 ve 8. maddeleri

hükümlerine hiçbir istisna getirilemez.

2. Taraf devletin kanunlarında öngörülmüş olması ve demokratik bir

toplumda aşağıdaki hususların sağlanması için gerekli bir önlem oluşturması

halinde işbu Sözleşmenin 5, 6 ve 8. maddelerine istisna getirilebilir:

a) Devlet güvenliğinin korunması, kamu güvenliği, devletin mali menfaatleri

veya suçların önlenmesi;

b) İlgili kişinin veya başkasının hak ve özgürlüklerinin korunması.

3. İlgili kişilerin özel yaşamlarına tecavüz tehlikesi bulunmadığının açık

olduğu durumlarda, 8. maddenin b, c ve d fıkralarında düzenlenen haklar

istatistiki veya bilimsel amaçlar için kullanılan kişisel veri dosyaları

bakımından kanunla kısıtlanabilir.

MADDE 10 Yaptırımlar ve başvuru yolları

Her bir Taraf, işbu bölümde düzenlenen verilerin korunması hakkındaki

temel ilkelere işlerlik sağlayan iç hukuk kurallarının ihlaliyle ilgili uygun

yaptırımlar ve başvuru yolları getirmekle yükümlüdür.

MADDE 11 Genişletilmiş koruma

İşbu bölümde yer alan hükümlerden hiçbiri, her devletin, ilgili kişilere işbu

Sözleşmede öngörülenden daha fazla koruyucu önlem sağlaması imkanını

sınırlayacak veya buna halel getirecek şekilde yorumlanamaz.


246

MADDE 6 Özel veri kategorileri

İç hukukta uygun güvenceler sağlanmadıkça, ırksal kökeni, siyasi

düşünceleri, dini veya diğer inançları ortaya koyan kişisel veriler ile sağlık

veya cinsel hayatla ilgili kişisel veriler, otomatik işleme tabi tutulmaz. Aynı

şey ceza mahkumiyetiyle ilgili kişisel veriler için de geçerlidir.

MADDE 7 Verilerin güvenliği

Otomatik dosyalara kaydedilen kişisel verileri korumak için, bunların kaza

sonucu veya izinsiz olarak imhasına veya kaza sonucu kaybolmasına veya

bunların izinsiz olarak elde edilmesine, değiştirilmesine veya dağıtılmasına

karşı uygun güvenlik önlemleri alınır,

MADDE 8 İlgili kişi hakkındaki ek güvenceler

Herkes:

a) Otomatik kişisel veri dosyasının mevcudiyetini, temel amaçlarını, dosya

yöneticisinin kimliğini ve mutat ikamet yerini veya başlıca işyerini öğrenmek;

b) Makul aralıklarla ve aşırı gecikmeye veya masrafa maruz kalmadan kendisi

ile ilgili kişisel verilerin otomatik dosyada bulunup bulunmadığının teyidini

almak ve bu bilgilerin kendisine anlaşılır bir biçim altında iletilmesini

sağlamak;

c) Gerekli olan durumlarda, bu verileri düzelttirmek veya bunların, işbu

Sözleşmenin 5. ve 6. maddelerinde belirtilen temel ilkelere işlerlik sağlayan

iç hukuk hükümlerinin ihlali suretiyle işlenmiş olması halinde, sözkonusu

verileri sildirtmek;

d) İşbu maddenin b ve c fıkralarında öngörülen teyit talebinin veya duruma

göre bildirim, düzeltme veya silme talebinin yerine getirilmemesi halinde bir

başvuru yolundan yararlanmak hakkına sahiptir.


247

MADDE 9 İstisnalar ve kısıtlamalar

1. İşbu maddede belirtilen sınırlar dışında, Sözleşmenin 5, 6 ve 8. maddeleri

hükümlerine hiçbir istisna getirilemez.

2. Taraf devletin kanunlarında öngörülmüş olması ve demokratik bir

toplumda aşağıdaki hususların sağlanması için gerekli bir önlem oluşturması

halinde işbu Sözleşmenin 5, 6 ve 8. maddelerine istisna getirilebilir:

a) Devlet güvenliğinin korunması, kamu güvenliği, devletin mali menfaatleri

veya suçların önlenmesi;

b) İlgili kişinin veya başkasının hak ve özgürlüklerinin korunması.

3. İlgili kişilerin özel yaşamlarına tecavüz tehlikesi bulunmadığının açık

olduğu durumlarda, 8. maddenin b, c ve d fıkralarında düzenlenen haklar

istatistiki veya bilimsel amaçlar için kullanılan kişisel veri dosyaları

bakımından kanunla kısıtlanabilir.

MADDE 10 Yaptırımlar ve başvuru yolları

Her bir Taraf, işbu bölümde düzenlenen verilerin korunması hakkındaki

temel ilkelere işlerlik sağlayan iç hukuk kurallarının ihlaliyle ilgili uygun

yaptırımlar ve başvuru yolları getirmekle yükümlüdür.

MADDE 11 Genişletilmiş koruma

İşbu bölümde yer alan hükümlerden hiçbiri, her devletin, ilgili kişilere işbu

Sözleşmede öngörülenden daha fazla koruyucu önlem sağlaması imkanını

sınırlayacak veya buna halel getirecek şekilde yorumlanamaz.


248

Bölüm III - Sınır ötesi veri akışları

MADDE 12 Kişisel verilerin sınır ötesi akışı ve iç hukuk

1. Otomatik işleme konu olan veya otomatik işleme konu olmak üzere

toplanmış olan kişisel verilerin her türlü yoldan ulusal sınırların ötesine

transferinde aşağıdaki hükümler uygulanır.

2. Bir Taraf, münhasıran özel yaşamın korunması amacıyla kişisel verilerin

diğer bir Tarafa sınır ötesi akışım yasaklayamaz veya özel müsaadeye tabi

tutamaz.

3. Bununla birlikte her bir Taraf, 2. fıkradaki hükümlere aşağıdaki durumlarda

istisnalar getirebilir:

a) Kendi mevzuatının, belli kişisel veri veya otomatik kişisel veri dosyası

kategorileri için, bu verilerin veya dosyaların doğasından kaynaklanan özel

düzenlemeler içermesi, diğer Tarafın düzenlemelerinin ise eşdeğer bir

koruma içermemesi durumunda;

b) Bu transferin bir Tarafın ülkesinden, bir diğer Taraf üzerinden Taraf

olmayan bir devletin ülkesine yapılması durumunda, bu bendin başında atıfta

bulunulan Tarafın mevzuatının boşluklarından yararlanmak üzere yapılacak

bu tür transferleri engellemek amacıyla.

Bölüm IV - Karşılıklı yardımlaşma

MADDE 13 Taraflar arasında işbirliği

1. Taraflar, işbu Sözleşmeyi uygulamak üzere birbirlerine karşılıklı yardımda

bulunmayı taahhüt ederler.

2. Bu amaçla:

a) Taraflardan her biri bir veya birden fazla makam tayin ederek, bunların isim

ve adreslerini Avrupa Konseyi Genel Sekreterine bildirir;


249

b) Birden fazla makam tayin eden her bir Taraf, yukarıdaki bentte atıfta

bulunulan bildirimde, bu mercilerden her birinin yetkisini belirtir.

3. Taraflardan birinin tayin ettiği bir makam, diğer Tarafın tayin ettiği bir

makamın talebi üzerine:

a) Verilerin korunması hakkındaki hukukuna ve idari uygulamalara ilişkin

bilgileri verir.

b) İç hukukuna ve münhasıran özel yaşamın korunması amacına uygun

olarak, otomatik işleme konu olan kişisel verilerin kendileri istisna olmak

üzere, ülkesinde gerçekleştirilen otomatik işlemlerle ilgili somut bilgilerin

sağlanması için gerekli tüm önlemleri alır.

MADDE 14 Yabancı ülkelerde ikamet eden ilgili kişilere yardım

1. Taraflardan her biri, kendi iç hukukunda öngörülen, işbu Sözleşmenin 8.

maddesinde belirtilen ilkelere işlerlik kazandıran hakların kullanılması için,

yabancı ülkede ikamet eden tüm kişilere yardımda bulunur.

2. Eğer böyle bir kişi diğer bir Tarafın ülkesinde ikamet ediyorsa, talebini bu

Tarafın tayin ettiği makama yapma imkanına da sahip olmalıdır.

3. Yardım talebi, gerekli tüm bilgileri, diğerleri yanında özellikle

aşağıdakilerle ilgili bilgileri içerir:

a) Talepte bulunanın isim ve adresi ile bu kişiyi belirlemeye yarayan tüm

hususlar,

b) Talebin konusu kişisel verilerin yer aldığı otomatik dosya veya yöneticisi,

c) Talebin amacı.

MADDE 15 Tayin edilen makamlarca sağlanan yardıma ilişkin

güvenceler

1. Bir Tarafın tayin ettiği makam, ne kendisine muhatap bir yardım talebini

desteklemek amacıyla talebe eklenen bilgiyi, ne de kendi talep ettiği yardım


248

Bölüm III - Sınır ötesi veri akışları

MADDE 12 Kişisel verilerin sınır ötesi akışı ve iç hukuk

1. Otomatik işleme konu olan veya otomatik işleme konu olmak üzere

toplanmış olan kişisel verilerin her türlü yoldan ulusal sınırların ötesine

transferinde aşağıdaki hükümler uygulanır.

2. Bir Taraf, münhasıran özel yaşamın korunması amacıyla kişisel verilerin

diğer bir Tarafa sınır ötesi akışım yasaklayamaz veya özel müsaadeye tabi

tutamaz.

3. Bununla birlikte her bir Taraf, 2. fıkradaki hükümlere aşağıdaki durumlarda

istisnalar getirebilir:

a) Kendi mevzuatının, belli kişisel veri veya otomatik kişisel veri dosyası

kategorileri için, bu verilerin veya dosyaların doğasından kaynaklanan özel

düzenlemeler içermesi, diğer Tarafın düzenlemelerinin ise eşdeğer bir

koruma içermemesi durumunda;

b) Bu transferin bir Tarafın ülkesinden, bir diğer Taraf üzerinden Taraf

olmayan bir devletin ülkesine yapılması durumunda, bu bendin başında atıfta

bulunulan Tarafın mevzuatının boşluklarından yararlanmak üzere yapılacak

bu tür transferleri engellemek amacıyla.

Bölüm IV - Karşılıklı yardımlaşma

MADDE 13 Taraflar arasında işbirliği

1. Taraflar, işbu Sözleşmeyi uygulamak üzere birbirlerine karşılıklı yardımda

bulunmayı taahhüt ederler.

2. Bu amaçla:

a) Taraflardan her biri bir veya birden fazla makam tayin ederek, bunların isim

ve adreslerini Avrupa Konseyi Genel Sekreterine bildirir;


249

b) Birden fazla makam tayin eden her bir Taraf, yukarıdaki bentte atıfta

bulunulan bildirimde, bu mercilerden her birinin yetkisini belirtir.

3. Taraflardan birinin tayin ettiği bir makam, diğer Tarafın tayin ettiği bir

makamın talebi üzerine:

a) Verilerin korunması hakkındaki hukukuna ve idari uygulamalara ilişkin

bilgileri verir.

b) İç hukukuna ve münhasıran özel yaşamın korunması amacına uygun

olarak, otomatik işleme konu olan kişisel verilerin kendileri istisna olmak

üzere, ülkesinde gerçekleştirilen otomatik işlemlerle ilgili somut bilgilerin

sağlanması için gerekli tüm önlemleri alır.

MADDE 14 Yabancı ülkelerde ikamet eden ilgili kişilere yardım

1. Taraflardan her biri, kendi iç hukukunda öngörülen, işbu Sözleşmenin 8.

maddesinde belirtilen ilkelere işlerlik kazandıran hakların kullanılması için,

yabancı ülkede ikamet eden tüm kişilere yardımda bulunur.

2. Eğer böyle bir kişi diğer bir Tarafın ülkesinde ikamet ediyorsa, talebini bu

Tarafın tayin ettiği makama yapma imkanına da sahip olmalıdır.

3. Yardım talebi, gerekli tüm bilgileri, diğerleri yanında özellikle

aşağıdakilerle ilgili bilgileri içerir:

a) Talepte bulunanın isim ve adresi ile bu kişiyi belirlemeye yarayan tüm

hususlar,

b) Talebin konusu kişisel verilerin yer aldığı otomatik dosya veya yöneticisi,

c) Talebin amacı.

MADDE 15 Tayin edilen makamlarca sağlanan yardıma ilişkin

güvenceler

1. Bir Tarafın tayin ettiği makam, ne kendisine muhatap bir yardım talebini

desteklemek amacıyla talebe eklenen bilgiyi, ne de kendi talep ettiği yardım


250

üzerine diğer bir Tarafın tayin ettiği makamdan sağladığı bilgiyi, yardım

talebinde belirtilen amaçlar dışında kullanabilir.

2. Taraflardan her biri, tayin edilen makamın personelinin veya bu makam

adına hareket eden kişilerin, bu bilgilerin gizli tutulması veya paylaşılmaması

hususunda yükümlülüklere tabi olmasını sağlayacaktır.

3. Tayin edilen makam hiçbir durumda, 14. maddenin 2. fıkrasına göre

yabancı ülkede ika eden ilgili kişinin muvafakatini almadan, kendi insiyatifiyle

bu kişi adına yardım talebinde bulunmaya yetkili kılınmayacaktır.

Madde-16 Yardım taleplerinin reddi

İşbu Sözleşmenin 13 ve 14. maddeleri uyarınca kendisine yardım talebi intikal

eden tayin edilmiş makam, aşağıdaki durumlar dışında yardım talebini

reddedemez:

a) Yapılan talep, yanıt vermekle sorumlu makamın verilerin korunması

konusundaki yetkisi dışında kalıyorsa;

b) Talep, işbu Sözleşme hükümlerine uygun değilse;

c) Talebin yerine getirilmesi, bunu yerine getirecek makamın bağlı olduğu

devletin egemenliğine, güvenliğine veya kamu düzenine veya bu devletin

yetkisi altındaki kişilerin haklarına ve temel özgürlüklerine aykırı ise.

MADDE 17 Yardım giderleri ve yöntemleri

1. Tarafların 13. MADDE uyarınca birbirlerine yaptıkları karşılıklı yardım ile 14.

MADDE uyarınca yabancı ülkede ikamet eden ilgili kişilere yaptıkları yardım,

uzman ve tercüman ücretleri dışında, hiçbir masraf veya harcı

gerektirmeyecektir. Bu masraf ve harçlar, yardım talebinde bulunan makamı

tayin eden Tarafça karşılanacaktır.

2. İlgili kişi, bir başka Tarafın ülkesinde kendi hesabına yapılan işlemlerle ilgili

olarak, bu Tarafın ülkesinde ikamet eden kişilerce yasal olarak ödenmesi


251

gereken harç ve masraf dışında, hiçbir harç ve masraf ödemek zorunda

olmayacaktır.

3. Yardımla ilgili diğer hususlar ve özellikle yardımın şekli ve usulü ile

kullanılacak dile ilişkin konular, ilgili Taraflar arasında doğrudan

kararlaştırılacaktır.

Bölüm V - Danışma Komitesi

MADDE 18 Komitenin oluşumu

1. İşbu Sözleşmenin yürürlüğe girmesinden soma bir Danışma Komitesi

kurulur.

2. Taraflardan her biri, bu komiteye bir asıl temsilci, bir de temsilci vekili tayin

eder. Sözleşmeye taraf olmayan Avrupa Konseyi üyesi her devlet Danışma

Komitesinde bir gözlemci tarafından temsil edilme hakkına sahiptir.

3. Danışma Komitesi, oybirliği ile alacağı bir kararla, Avrupa Konseyi üyesi

olmayan ve Sözleşmeye taraf olmayan herhangi bir devleti, belli bir

oturumunda bir gözlemci tarafından temsil edilmeye davet edebilir.

MADDE 19 Komitenin işlevleri Danışma Komitesi:

a. Sözleşmenin uygulanmasını kolaylaştırmak veya iyileştirmek amacıyla

önerilerde bulunabilir;

b. Aşağıdaki 21. Maddeye uygun olarak Sözleşmede değişiklik yapılmasını

önerebilir;

c. Sözleşmede değişiklik yapılmasına ilişkin olarak 21. maddenin 3. fıkrası

uyarınca kendisine sunulan tüm öneriler hakkında görüş bildirir;

d. Taraflardan birinin talebi üzerine, işbu Sözleşmenin uygulanması ile ilgili

tüm sorular hakkında görüş bildirebilir.


250

üzerine diğer bir Tarafın tayin ettiği makamdan sağladığı bilgiyi, yardım

talebinde belirtilen amaçlar dışında kullanabilir.

2. Taraflardan her biri, tayin edilen makamın personelinin veya bu makam

adına hareket eden kişilerin, bu bilgilerin gizli tutulması veya paylaşılmaması

hususunda yükümlülüklere tabi olmasını sağlayacaktır.

3. Tayin edilen makam hiçbir durumda, 14. maddenin 2. fıkrasına göre

yabancı ülkede ika eden ilgili kişinin muvafakatini almadan, kendi insiyatifiyle

bu kişi adına yardım talebinde bulunmaya yetkili kılınmayacaktır.

Madde-16 Yardım taleplerinin reddi

İşbu Sözleşmenin 13 ve 14. maddeleri uyarınca kendisine yardım talebi intikal

eden tayin edilmiş makam, aşağıdaki durumlar dışında yardım talebini

reddedemez:

a) Yapılan talep, yanıt vermekle sorumlu makamın verilerin korunması

konusundaki yetkisi dışında kalıyorsa;

b) Talep, işbu Sözleşme hükümlerine uygun değilse;

c) Talebin yerine getirilmesi, bunu yerine getirecek makamın bağlı olduğu

devletin egemenliğine, güvenliğine veya kamu düzenine veya bu devletin

yetkisi altındaki kişilerin haklarına ve temel özgürlüklerine aykırı ise.

MADDE 17 Yardım giderleri ve yöntemleri

1. Tarafların 13. MADDE uyarınca birbirlerine yaptıkları karşılıklı yardım ile 14.

MADDE uyarınca yabancı ülkede ikamet eden ilgili kişilere yaptıkları yardım,

uzman ve tercüman ücretleri dışında, hiçbir masraf veya harcı

gerektirmeyecektir. Bu masraf ve harçlar, yardım talebinde bulunan makamı

tayin eden Tarafça karşılanacaktır.

2. İlgili kişi, bir başka Tarafın ülkesinde kendi hesabına yapılan işlemlerle ilgili

olarak, bu Tarafın ülkesinde ikamet eden kişilerce yasal olarak ödenmesi


251

gereken harç ve masraf dışında, hiçbir harç ve masraf ödemek zorunda

olmayacaktır.

3. Yardımla ilgili diğer hususlar ve özellikle yardımın şekli ve usulü ile

kullanılacak dile ilişkin konular, ilgili Taraflar arasında doğrudan

kararlaştırılacaktır.

Bölüm V - Danışma Komitesi

MADDE 18 Komitenin oluşumu

1. İşbu Sözleşmenin yürürlüğe girmesinden soma bir Danışma Komitesi

kurulur.

2. Taraflardan her biri, bu komiteye bir asıl temsilci, bir de temsilci vekili tayin

eder. Sözleşmeye taraf olmayan Avrupa Konseyi üyesi her devlet Danışma

Komitesinde bir gözlemci tarafından temsil edilme hakkına sahiptir.

3. Danışma Komitesi, oybirliği ile alacağı bir kararla, Avrupa Konseyi üyesi

olmayan ve Sözleşmeye taraf olmayan herhangi bir devleti, belli bir

oturumunda bir gözlemci tarafından temsil edilmeye davet edebilir.

MADDE 19 Komitenin işlevleri Danışma Komitesi:

a. Sözleşmenin uygulanmasını kolaylaştırmak veya iyileştirmek amacıyla

önerilerde bulunabilir;

b. Aşağıdaki 21. Maddeye uygun olarak Sözleşmede değişiklik yapılmasını

önerebilir;

c. Sözleşmede değişiklik yapılmasına ilişkin olarak 21. maddenin 3. fıkrası

uyarınca kendisine sunulan tüm öneriler hakkında görüş bildirir;

d. Taraflardan birinin talebi üzerine, işbu Sözleşmenin uygulanması ile ilgili

tüm sorular hakkında görüş bildirebilir.


252

MADDE 20 Usul

1. Danışma Komitesi, Avrupa Konseyi Genel Sekreteri tarafından toplantıya

çağırılır. Komite ilk toplantısını, işbu Sözleşmenin yürürlüğe girmesini izleyen

on iki ay içerisinde yapar. Komite, müteakip toplantılarını en az iki yılda bir

yapar; ayrıca Tarafların temsilcilerinin üçte birinin talebi üzerine herhangi bir

zamanda toplanır.

2. Danışma Komitesi toplantısı yeter sayısı, Taraf temsilcilerinin salt

çoğunluğudur.

3. Danışma Komitesi, her toplantı sonunda, yaptığı çalışmalar ve

Sözleşmenin işleyişi hakkında Avrupa Konseyi Bakanlar Komitesine bir rapor

sunar.

4. İşbu Sözleşme hükümlerine tabi olmak üzere Danışma Komitesi iç

tüzüğünü kendisi düzenler.

Bölüm VI - Değişiklikler

MADDE 21 Değişiklikler

1. Taraflardan biri, Avrupa Konseyi Bakanlar Komitesi veya Danışma Komitesi

işbu Sözleşmede değişiklik yapılmasını önerebilir.

2. Her değişiklik önerisi, Avrupa konseyi Genel Sekreteri tarafından, Avrupa

Konseyi üyesi Devletlere ve 23. MADDE hükümleri uyarınca Sözleşmeye

katılan veya katılmaya çağrılan üye olmayan her devlete bildirilir.

3. Taraflardan biri veya Bakanlar Komitesi tarafından yapılan her değişiklik

önerisi, Bakanlar Komitesine değişiklik hakkında görüş sunacak olan

Danışma Komitesine bildirilir.

4. Bakanlar Komitesi, teklif edilen değişikliği ve Danışma Komitesi tarafından

sunulabilecek her türlü görüşü dikkate alarak söz konusu değişikliği kabul

edebilir.


253

5. Bakanlar Komitesi tarafından bu maddenin 4. fıkrasına göre kabul edilen

her türlü değişiklik metni, kabul için Taraflara iletilir.

6 İşbu Maddenin 4. fıkrası uyarınca kabul edilen herhangi bir değişiklik, tüm

Tarafların bununu kabul ettiklerini Genel Sekretere bildirmelerini izleyen

otuzuncu günde yürürlüğe girer.

Bölüm XI - Son hükümler

MADDE 22 Yürürlüğe girme

1 İşbu Sözleşme Avrupa Konseyi üyesi devletlerin imzasına açıktır. Onay,

kabul ya da uygun bulmaya tabidir. Onay, kabul ya da uygun bulma belgeleri,

Avrupa Konseyi Genel Sekreterine teslim edilir.

2 Bu Sözleşme, en az beş Avrupa Konseyi üye devletinin önceki fıkranın

hükümlerine göre Sözleşmeyle bağlı olma yönündeki muvafakatlerini ifade

ettikleri tarihten itibaren üç aylık sürenin sona ermesini takip eden ayın ilk

günü yürürlüğe girer.

3. Daha sonra Sözleşme ile bağlı olmak istediğini beyan eden herhangi bir

üye devlet bakımından Sözleşme; onay, kabul ya da uygun bulma belgesini

teslim etme tarihinden itibaren üç aylık sürenin sona ermesini takip eden ayın

ilk günü yürürlüğe girer.

MADDE 23 Üye olmayan devletlerin katılımı

1. İşbu Sözleşmenin yürürlüğe girmesinden sonra, Avrupa Konseyi Bakanlar

Komitesi, Avrupa Konseyi Statüsünün 20. maddesinin d. fıkrasında öngörülen

çoğunlukla ve komiteye katılına hakkına sahip Taraf Devlet temsilcilerinin

oybirliğiyle Avrupa Konseyine üye olmayan herhangi bir Devleti işbu

Sözleşmeye katılmaya davet edebilir.


252

MADDE 20 Usul

1. Danışma Komitesi, Avrupa Konseyi Genel Sekreteri tarafından toplantıya

çağırılır. Komite ilk toplantısını, işbu Sözleşmenin yürürlüğe girmesini izleyen

on iki ay içerisinde yapar. Komite, müteakip toplantılarını en az iki yılda bir

yapar; ayrıca Tarafların temsilcilerinin üçte birinin talebi üzerine herhangi bir

zamanda toplanır.

2. Danışma Komitesi toplantısı yeter sayısı, Taraf temsilcilerinin salt

çoğunluğudur.

3. Danışma Komitesi, her toplantı sonunda, yaptığı çalışmalar ve

Sözleşmenin işleyişi hakkında Avrupa Konseyi Bakanlar Komitesine bir rapor

sunar.

4. İşbu Sözleşme hükümlerine tabi olmak üzere Danışma Komitesi iç

tüzüğünü kendisi düzenler.

Bölüm VI - Değişiklikler

MADDE 21 Değişiklikler

1. Taraflardan biri, Avrupa Konseyi Bakanlar Komitesi veya Danışma Komitesi

işbu Sözleşmede değişiklik yapılmasını önerebilir.

2. Her değişiklik önerisi, Avrupa konseyi Genel Sekreteri tarafından, Avrupa

Konseyi üyesi Devletlere ve 23. MADDE hükümleri uyarınca Sözleşmeye

katılan veya katılmaya çağrılan üye olmayan her devlete bildirilir.

3. Taraflardan biri veya Bakanlar Komitesi tarafından yapılan her değişiklik

önerisi, Bakanlar Komitesine değişiklik hakkında görüş sunacak olan

Danışma Komitesine bildirilir.

4. Bakanlar Komitesi, teklif edilen değişikliği ve Danışma Komitesi tarafından

sunulabilecek her türlü görüşü dikkate alarak söz konusu değişikliği kabul

edebilir.


253

5. Bakanlar Komitesi tarafından bu maddenin 4. fıkrasına göre kabul edilen

her türlü değişiklik metni, kabul için Taraflara iletilir.

6 İşbu Maddenin 4. fıkrası uyarınca kabul edilen herhangi bir değişiklik, tüm

Tarafların bununu kabul ettiklerini Genel Sekretere bildirmelerini izleyen

otuzuncu günde yürürlüğe girer.

Bölüm XI - Son hükümler

MADDE 22 Yürürlüğe girme

1 İşbu Sözleşme Avrupa Konseyi üyesi devletlerin imzasına açıktır. Onay,

kabul ya da uygun bulmaya tabidir. Onay, kabul ya da uygun bulma belgeleri,

Avrupa Konseyi Genel Sekreterine teslim edilir.

2 Bu Sözleşme, en az beş Avrupa Konseyi üye devletinin önceki fıkranın

hükümlerine göre Sözleşmeyle bağlı olma yönündeki muvafakatlerini ifade

ettikleri tarihten itibaren üç aylık sürenin sona ermesini takip eden ayın ilk


3. Daha sonra Sözleşme ile bağlı olmak istediğini beyan eden herhangi bir

üye devlet bakımından Sözleşme; onay, kabul ya da uygun bulma belgesini

teslim etme tarihinden itibaren üç aylık sürenin sona ermesini takip eden ayın

ilk günü yürürlüğe girer.

MADDE 23 Üye olmayan devletlerin katılımı

1. İşbu Sözleşmenin yürürlüğe girmesinden sonra, Avrupa Konseyi Bakanlar

Komitesi, Avrupa Konseyi Statüsünün 20. maddesinin d. fıkrasında öngörülen

çoğunlukla ve komiteye katılına hakkına sahip Taraf Devlet temsilcilerinin

oybirliğiyle Avrupa Konseyine üye olmayan herhangi bir Devleti işbu

Sözleşmeye katılmaya davet edebilir.


254

2. Katılan her Devlet için Sözleşme, katılına belgesinin Avrupa Konseyi Genel

Sekreterine tevdi edildiği tarihten sonraki üç aylık dönemin bitimini izleyen

ayın ilk günü yürürlüğe girer.

MADDE 24 Ülkesel hükümler

1. Herhangi bir Devlet, imza sırasında veya onay, kabul, uygun bulma veya

taraf olma belgelerini tevdi ederken, Sözleşmenin uygulanacağı ülkeyi veya

ülkeleri belirtebilir.

2. Herhangi bir Devlet, daha sonraki bir tarihte Avrupa Konseyi Genel

Sekreterine muhatap bir bildirimle, işbu Sözleşmenin uygulama alanını,

bildirimde belirtilen başka herhangi bir ülkeye teşmil edebilir. Sözleşme,

sözkonusu ülke bakımından, söz konusu beyanın Genel Sekreter tarafından

alınına tarihinden itibaren üç aylık sürenin sona ermesini takip eden ayın ilk


3. Önceki iki fıkra uyarınca yapılan herhangi bildirim, sözkonusu bildirimde

belirtilen herhangi bir ülke bakımından Avrupa Konseyi Genel Sekreterine

muhatap bir bildirim ile geri çekilebilir. Sözkonusu geri çekme, sözkonusu

bildirimin Genel Sekreter tarafından alınma tarihinden itibaren altı aylık

sürenin sona ermesini takip eden ayın ilk günü geçerlilik kazanır.

MADDE 25 Çekinceler

İşbu Sözleşme hükümlerine hiçbir çekince konulamaz.

MADDE 26 Fesih

1. Taraflardan herhangi biri, herhangi bir zamanda Avrupa Konseyi Genel

Sekreterine muhatap bir bildirim yoluyla bu Sözleşmeyi feshedebilir.

2. Söz konusu fesih, söz konusu bildirimin Genel Sekreter tarafından alınma

tarihinden itibaren altı aylık sürenin sona ermesini takip eden ayın ilk günü

geçerlilik kazanır.


255

MADDE 27 Bildirimler

Avrupa Konseyi Genel Sekreteri Konsey üyesi Devletlere ve bu Sözleşmeye

katılan her Devlete aşağıdakileri bildirecektir:

a. her imzayı;

b. tevdi edilen her onay, kabul, uygun bulma veya taraf olma belgesini;

c. MADDE 22, 23 ve 24 uyarınca her yürürlüğe giriş tarihini;

d. bu Sözleşme ile ilgili diğer her tür belge, bildirim ya da muhaberatı.

Keyfiyeti tevsiken, usulüne uygun olarak yetkilendirilmiş Sözleşmeyi

imzalamışlardır.

Strazburg'da 28 Ocak 1981 tarihinde İngilizce ve Fransızca dillerinde ve her

iki metin eşit derecede geçerli olacak şekilde, Avrupa Konseyi arşivlerinde

saklanmak üzere tek nüsha olarak imzalanmıştır. Avrupa Konseyi Genel

Sekreteri, her bir Avrupa Konseyi üye Devletine ve Sözleşmeye taraf olmaya

davet edilen her Devlete onaylı nüshalarını gönderecektir.


254

2. Katılan her Devlet için Sözleşme, katılına belgesinin Avrupa Konseyi Genel

Sekreterine tevdi edildiği tarihten sonraki üç aylık dönemin bitimini izleyen

ayın ilk günü yürürlüğe girer.

MADDE 24 Ülkesel hükümler

1. Herhangi bir Devlet, imza sırasında veya onay, kabul, uygun bulma veya

taraf olma belgelerini tevdi ederken, Sözleşmenin uygulanacağı ülkeyi veya

ülkeleri belirtebilir.

2. Herhangi bir Devlet, daha sonraki bir tarihte Avrupa Konseyi Genel

Sekreterine muhatap bir bildirimle, işbu Sözleşmenin uygulama alanını,

bildirimde belirtilen başka herhangi bir ülkeye teşmil edebilir. Sözleşme,

sözkonusu ülke bakımından, söz konusu beyanın Genel Sekreter tarafından

alınına tarihinden itibaren üç aylık sürenin sona ermesini takip eden ayın ilk


3. Önceki iki fıkra uyarınca yapılan herhangi bildirim, sözkonusu bildirimde

belirtilen herhangi bir ülke bakımından Avrupa Konseyi Genel Sekreterine

muhatap bir bildirim ile geri çekilebilir. Sözkonusu geri çekme, sözkonusu

bildirimin Genel Sekreter tarafından alınma tarihinden itibaren altı aylık

sürenin sona ermesini takip eden ayın ilk günü geçerlilik kazanır.

MADDE 25 Çekinceler

İşbu Sözleşme hükümlerine hiçbir çekince konulamaz.

MADDE 26 Fesih

1. Taraflardan herhangi biri, herhangi bir zamanda Avrupa Konseyi Genel

Sekreterine muhatap bir bildirim yoluyla bu Sözleşmeyi feshedebilir.

2. Söz konusu fesih, söz konusu bildirimin Genel Sekreter tarafından alınma

tarihinden itibaren altı aylık sürenin sona ermesini takip eden ayın ilk günü

geçerlilik kazanır.


255

MADDE 27 Bildirimler

Avrupa Konseyi Genel Sekreteri Konsey üyesi Devletlere ve bu Sözleşmeye

katılan her Devlete aşağıdakileri bildirecektir:

a. her imzayı;

b. tevdi edilen her onay, kabul, uygun bulma veya taraf olma belgesini;

c. MADDE 22, 23 ve 24 uyarınca her yürürlüğe giriş tarihini;

d. bu Sözleşme ile ilgili diğer her tür belge, bildirim ya da muhaberatı.

Keyfiyeti tevsiken, usulüne uygun olarak yetkilendirilmiş Sözleşmeyi

imzalamışlardır.

Strazburg'da 28 Ocak 1981 tarihinde İngilizce ve Fransızca dillerinde ve her

iki metin eşit derecede geçerli olacak şekilde, Avrupa Konseyi arşivlerinde

saklanmak üzere tek nüsha olarak imzalanmıştır. Avrupa Konseyi Genel

Sekreteri, her bir Avrupa Konseyi üye Devletine ve Sözleşmeye taraf olmaya

davet edilen her Devlete onaylı nüshalarını gönderecektir.

257


TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI

SÖZLEŞMESİ’NE EK DENETLEYİCİ MAKAMLAR VE SINIRAŞAN

VERİ AKIŞINA İLİŞKİN PROTOKOL

“Additional Protocol to the Convention for the Protection of Individuals with

regard to Automatic Processing of Personal Data regarding supervisory

authorities and transborder data flows / 08.11.2011”

Türkiye, sözleşmeyi 08.11.2001 tarihinde imzalamış ve 05.05.2016 tarihli 29703

sayılı Resmi Gazete’de yayımlanarak iç hukuka dâhil edilmiştir.

Giriş

Strazburg’da 28 Ocak 1981 tarihinde imzaya açılan Kişisel Verilerin Otomatik

İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin

(bundan böyle “Sözleşme” olarak anılacaktır) tarafları;

Görevlerini tam bağımsızlıkla yerine getiren denetleyici makamların, kişisel

verilerin işlenmesi karşısında bireylerin etkili şekilde korunmasının bir

unsurunu teşkil ettiklerine kani olarak;

Toplumlar arasındaki bilgi akışının önemini göz önüne alarak;

Ulusal sınırlar arasında kişisel veri alışverişinin artmasıyla, insan haklarının ve

temel özgürlüklerin ve özellikle de kişisel veri alışverişi karşısında özel

hayatın gizliliği hakkının etkili şekilde korunmasını sağlamanın gerekliliğini

göz önüne alarak;

Aşağıdaki hususlarda anlaşmaya varmışlardır:

MADDE 1 – Denetleyici Makamlar

1. Taraf devletler, Sözleşme’nin II. ve III. bölümlerinde ve bu Protokol’de

belirtilen ilkeleri uygulamaya koyan iç hukukundaki önlemlere uyulmasını

sağlamakla yükümlü bir ya da daha fazla yetkili makam belirler.

257


TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI

SÖZLEŞMESİ’NE EK DENETLEYİCİ MAKAMLAR VE SINIRAŞAN

VERİ AKIŞINA İLİŞKİN PROTOKOL

“Additional Protocol to the Convention for the Protection of Individuals with

regard to Automatic Processing of Personal Data regarding supervisory

authorities and transborder data flows / 08.11.2011”

Türkiye, sözleşmeyi 08.11.2001 tarihinde imzalamış ve 05.05.2016 tarihli 29703

sayılı Resmi Gazete’de yayımlanarak iç hukuka dâhil edilmiştir.

Giriş

Strazburg’da 28 Ocak 1981 tarihinde imzaya açılan Kişisel Verilerin Otomatik

İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin

(bundan böyle “Sözleşme” olarak anılacaktır) tarafları;

Görevlerini tam bağımsızlıkla yerine getiren denetleyici makamların, kişisel

verilerin işlenmesi karşısında bireylerin etkili şekilde korunmasının bir

unsurunu teşkil ettiklerine kani olarak;

Toplumlar arasındaki bilgi akışının önemini göz önüne alarak;

Ulusal sınırlar arasında kişisel veri alışverişinin artmasıyla, insan haklarının ve

temel özgürlüklerin ve özellikle de kişisel veri alışverişi karşısında özel

hayatın gizliliği hakkının etkili şekilde korunmasını sağlamanın gerekliliğini

göz önüne alarak;

Aşağıdaki hususlarda anlaşmaya varmışlardır:

MADDE 1 – Denetleyici Makamlar

1. Taraf devletler, Sözleşme’nin II. ve III. bölümlerinde ve bu Protokol’de

belirtilen ilkeleri uygulamaya koyan iç hukukundaki önlemlere uyulmasını

sağlamakla yükümlü bir ya da daha fazla yetkili makam belirler.

181 NO’LU KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ’NE EK

DENETLEYİCİ MAKAMLAR VE SINIRAŞAN VERİ AKIŞINA İLİŞKİN PROTOKOL

258

2. a) Bu amaçla, söz konusu makamlar soruşturma ve müdahale yetkilerinin

yanı sıra, kanuni takibata dâhil olma ya da bu Protokol’ün 1. Maddesinin I.

fıkrasında ‘belirtilen ilkeleri uygulamaya koyan iç hukuk hükümlerinin

ihlallerini yetkili adli makamların dikkatine getirme yetkisine sahiptir.

b) Her denetleyici makam, yetkileri dahilinde, kişisel verilerin işlenmesi

karşısında her kişinin haklarının ve temel özgürlüklerinin korunmasına dair

taleplerini dinler.

3. Denetleyici makamlar görevlerini tam bağımsızlıkla yerine getirir.

4. Denetleyici makamların şikayetlere yol açan kararlarına mahkemeler

yoluyla itiraz edilebilir.

5. IV. Bölüm hükümlerine uygun olarak ve Sözleşme’nin 13. Maddesinin

hükümlerine halel getirmeksizin, denetleyici makamlar görevlerinin yerine

getirilmesinin gerektirdiği ölçüde, özellikle tüm faydalı bilgileri teati ederek

birbirleriyle işbirliği yaparlar.

MADDE 2 – Sözleşme Taraflarından Birinin Yetki Alanına Tabi Olmayan

Bir Alıcıya Sınıraşan Kişisel Veri Akışı

1. Taraf devletler, Sözleşme’ye taraf olmayan bir devletin ya da kuruluşun

yetki alanına tabi bir alıcıya, yalnızca bu devletin ya da kuruluşun hedeflenen

veri transferinin yeterli seviyede korunmasını garanti etmesi durumunda,

kişisel veri transferi yapılmasını sağlar.

2. Bu Protokol’ün 2. Maddesinin 1. Fıkrasından derogasyon yoluyla

taraflardan her biri:

a) iç hukukun:

- veri sahibinin belirli menfaatleri veya

- özellikle önemli kamu menfaatleri olmak üzere meşru üstün menfaatler

nedeniyle öngörmesi veya



259

b) bilhassa akdi hükümlerden kaynaklanabilecek güvencelerin transferden

sorumlu kontrolör tarafından sağlanması ve iç hukuka uygun olarak bunların

yetkili makamlarca yeterli bulunması durumunda kişisel veri akışına müsaade

edebilir.

MADDE 3 – Nihai Hükümler

1. Bu Protokol’ün 1. Ve 2. Maddelerinin hükümleri, taraflarca Sözleşme’ye ek

maddeler olarak kabul edilir ve Sözleşme’nin tüm hükümleri buna göre

uygulanır.

2. Bu Protokol, Sözleşme’nin İmzacı Devletlerinin imzasına açıktır. Koşulları

uyarınca Sözleşme’ye katılmalarının ardından Avrupa Toplulukları bu

Protokol’ü imzalayabilir. Bu Protokol, onaya, kabule veya uygun bulmaya

tabidir. Bu Protokol’e İmzacı Taraf daha önce ya da eş zamanlı olarak

Sözleşme’yi onaylamamış, kabul etmemiş ya da uygun bulmamış ya da

Sözleşme’ye katılmamış ise bu Protokol’ü onaylayamaz, kabul edemez ya da

uygun bulamaz. Bu Protokol’e ilişkin onay, kabul veya uygun bulma

belgeleri, Avrupa Konseyi Genel Sekreterine tevdii edilir.

3. a) Bu Protokol, beş İmzacı Tarafın 3. Maddenin 2. fıkrası hükümleri

uyarınca Protokol’e tabi olmak için rızalarını ifade ettikleri tarihi takip eden

üç aylık sürenin dolmasını takip eden ayın ilk günü yürürlüğe girer.

b) Daha sonradan Protokol’e bağlı olmak için rızasını ifade eden bir İmzacı

Taraf bakımından Protokol; onay, kabul ya da uygun bulma belgesini tevdi

etme tarihinden itibaren üç aylık sürenin sona ermesini takip eden ayın ilk


4. a) Bu Protokol’ün yürürlüğe girmesinden sonra, Sözleşme’ye katılan

herhangi bir Devlet Protokol’e de katılabilir.



258

2. a) Bu amaçla, söz konusu makamlar soruşturma ve müdahale yetkilerinin

yanı sıra, kanuni takibata dâhil olma ya da bu Protokol’ün 1. Maddesinin I.

fıkrasında ‘belirtilen ilkeleri uygulamaya koyan iç hukuk hükümlerinin

ihlallerini yetkili adli makamların dikkatine getirme yetkisine sahiptir.

b) Her denetleyici makam, yetkileri dahilinde, kişisel verilerin işlenmesi

karşısında her kişinin haklarının ve temel özgürlüklerinin korunmasına dair

taleplerini dinler.

3. Denetleyici makamlar görevlerini tam bağımsızlıkla yerine getirir.

4. Denetleyici makamların şikayetlere yol açan kararlarına mahkemeler

yoluyla itiraz edilebilir.

5. IV. Bölüm hükümlerine uygun olarak ve Sözleşme’nin 13. Maddesinin

hükümlerine halel getirmeksizin, denetleyici makamlar görevlerinin yerine

getirilmesinin gerektirdiği ölçüde, özellikle tüm faydalı bilgileri teati ederek

birbirleriyle işbirliği yaparlar.

MADDE 2 – Sözleşme Taraflarından Birinin Yetki Alanına Tabi Olmayan

Bir Alıcıya Sınıraşan Kişisel Veri Akışı

1. Taraf devletler, Sözleşme’ye taraf olmayan bir devletin ya da kuruluşun

yetki alanına tabi bir alıcıya, yalnızca bu devletin ya da kuruluşun hedeflenen

veri transferinin yeterli seviyede korunmasını garanti etmesi durumunda,

kişisel veri transferi yapılmasını sağlar.

2. Bu Protokol’ün 2. Maddesinin 1. Fıkrasından derogasyon yoluyla

taraflardan her biri:

a) iç hukukun:

- veri sahibinin belirli menfaatleri veya

- özellikle önemli kamu menfaatleri olmak üzere meşru üstün menfaatler

nedeniyle öngörmesi veya



259

b) bilhassa akdi hükümlerden kaynaklanabilecek güvencelerin transferden

sorumlu kontrolör tarafından sağlanması ve iç hukuka uygun olarak bunların

yetkili makamlarca yeterli bulunması durumunda kişisel veri akışına müsaade

edebilir.

MADDE 3 – Nihai Hükümler

1. Bu Protokol’ün 1. Ve 2. Maddelerinin hükümleri, taraflarca Sözleşme’ye ek

maddeler olarak kabul edilir ve Sözleşme’nin tüm hükümleri buna göre

uygulanır.

2. Bu Protokol, Sözleşme’nin İmzacı Devletlerinin imzasına açıktır. Koşulları

uyarınca Sözleşme’ye katılmalarının ardından Avrupa Toplulukları bu

Protokol’ü imzalayabilir. Bu Protokol, onaya, kabule veya uygun bulmaya

tabidir. Bu Protokol’e İmzacı Taraf daha önce ya da eş zamanlı olarak

Sözleşme’yi onaylamamış, kabul etmemiş ya da uygun bulmamış ya da

Sözleşme’ye katılmamış ise bu Protokol’ü onaylayamaz, kabul edemez ya da

uygun bulamaz. Bu Protokol’e ilişkin onay, kabul veya uygun bulma

belgeleri, Avrupa Konseyi Genel Sekreterine tevdii edilir.

3. a) Bu Protokol, beş İmzacı Tarafın 3. Maddenin 2. fıkrası hükümleri

uyarınca Protokol’e tabi olmak için rızalarını ifade ettikleri tarihi takip eden

üç aylık sürenin dolmasını takip eden ayın ilk günü yürürlüğe girer.

b) Daha sonradan Protokol’e bağlı olmak için rızasını ifade eden bir İmzacı

Taraf bakımından Protokol; onay, kabul ya da uygun bulma belgesini tevdi

etme tarihinden itibaren üç aylık sürenin sona ermesini takip eden ayın ilk


4. a) Bu Protokol’ün yürürlüğe girmesinden sonra, Sözleşme’ye katılan

herhangi bir Devlet Protokol’e de katılabilir.



260

b) Katılma, katılım belgesinin Avrupa Konseyi Genel Sekreterine tevdi edildiği

tarihten sonraki üç aylık dönemin bitimini izleeyen ayın ilk günü yürürlüğe

girer.

5. a) Taraflardan herhangi biri bu Protokol’ü Avrupa Konseyi Genel

Sekreterine muhatap bir bildirim yoluyla herhangi bir tarihte feshedebilir.

b) Sözkonusu fesih Avrupa Konseyi Genel Sekreterine atfedilen bildirimin

kabul edilme tarihinden sonraki üç aylık sürenin dolmasını takip eden ayın ilk


6. Avrupa Konseyi Genel Sekreteri Konsey üyesi Devletlere, Avrupa

Topluluklarına ve bu Protokol’e katılan her Devlete aşağıdakileri bildiri:

a) Her imzayı

b) Tevdi edilen her onay, kabul ve uygun bulma belgesini;

c) Bu Protokol’ün 3. Maddeye göre yürürlüğe girdiği her tarihi;

d) Bu Protokol ile ilgili diğer her türlü belge, bildirim ya da muhaberatı.

Yukarıdaki hususları tasdiken, usulüne uygun olarak yetkilendirilmiş aşağıda

imzaları bulunanlar, bu Protokol’ü imzalamışlardır.

Avrupa Konseyi arşivinde saklanmak ve her iki metin de aynı derecede

geçerli olmak üzere İngilizce ve Fransızca tek nüsha halinde 8 Kasım 2001

tarihinde Strazburg’da düzenlenmiştir. Avrupa Konseyi Genel Sekreteri, her

bir Avrupa Konseyi üye Devletine, Avrupa Topluluklarına ve Protokol’e

katılmaya davet edilen her devlete onaylı nüshalarını gönderir.

261

İNSAN HAKLARI AVRUPA SÖZLEŞMESİ


“European Convention on Human Rights / 4.11.1950”

Türkiye, Sözleşmeyi 4.11.1950 tarihinde imzalamış ve 10.03.1954 tarih ve 6366

sayılı Kanun ile onaylamıştır.

MADDE 8 – Özel hayata ve aile hayatına saygı hakkı

1. Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi

hakkına sahiptir.

2. Bu hakkın kullanılmasına bir kamu makamının müdahalesi, ancak

müdahalenin yasayla öngörülmüş ve demokratik bir toplumda ulusal

güvenlik, kamu güvenliği, ülkenin ekonomik refahı, düzenin korunması, suç

işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve

özgürlüklerinin korunması için gerekli bir tedbir olması durumunda söz

konusu olabilir.



260

b) Katılma, katılım belgesinin Avrupa Konseyi Genel Sekreterine tevdi edildiği

tarihten sonraki üç aylık dönemin bitimini izleeyen ayın ilk günü yürürlüğe

girer.

5. a) Taraflardan herhangi biri bu Protokol’ü Avrupa Konseyi Genel

Sekreterine muhatap bir bildirim yoluyla herhangi bir tarihte feshedebilir.

b) Sözkonusu fesih Avrupa Konseyi Genel Sekreterine atfedilen bildirimin

kabul edilme tarihinden sonraki üç aylık sürenin dolmasını takip eden ayın ilk


6. Avrupa Konseyi Genel Sekreteri Konsey üyesi Devletlere, Avrupa

Topluluklarına ve bu Protokol’e katılan her Devlete aşağıdakileri bildiri:

a) Her imzayı

b) Tevdi edilen her onay, kabul ve uygun bulma belgesini;

c) Bu Protokol’ün 3. Maddeye göre yürürlüğe girdiği her tarihi;

d) Bu Protokol ile ilgili diğer her türlü belge, bildirim ya da muhaberatı.

Yukarıdaki hususları tasdiken, usulüne uygun olarak yetkilendirilmiş aşağıda

imzaları bulunanlar, bu Protokol’ü imzalamışlardır.

Avrupa Konseyi arşivinde saklanmak ve her iki metin de aynı derecede

geçerli olmak üzere İngilizce ve Fransızca tek nüsha halinde 8 Kasım 2001

tarihinde Strazburg’da düzenlenmiştir. Avrupa Konseyi Genel Sekreteri, her

bir Avrupa Konseyi üye Devletine, Avrupa Topluluklarına ve Protokol’e

katılmaya davet edilen her devlete onaylı nüshalarını gönderir.

261

İNSAN HAKLARI AVRUPA SÖZLEŞMESİ


“European Convention on Human Rights / 4.11.1950”

Türkiye, Sözleşmeyi 4.11.1950 tarihinde imzalamış ve 10.03.1954 tarih ve 6366

sayılı Kanun ile onaylamıştır.

MADDE 8 – Özel hayata ve aile hayatına saygı hakkı

1. Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi

hakkına sahiptir.

2. Bu hakkın kullanılmasına bir kamu makamının müdahalesi, ancak





konusu olabilir.

263

§ AVRUPA BİRLİĞİ DÜZENLEMELERİ

263

§ AVRUPA BİRLİĞİ DÜZENLEMELERİ

265

95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST

DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN

AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ

“Directive 95/46/EC of the European Parliament and of the Council of 24

October 1995 on the protection of individuals with regard to the processing of

personal data and on the free movement of such data” / 27.10.1995

BAŞLANGIÇ

AVRUPA PARLAMENTOSU VE AVRUPA BİRLİĞİ KONSEYİ,

Avrupa Topluluğunu Kuran Anlaşmayı ve özellikle ilgili 100a maddesini göz

önünde bulundurarak,

Komisyonun teklifini22 göz önünde bulundurarak,

Ekonomik ve Sosyal Komite’nin23 görüşünü göz önünde bulundurarak,

Anlaşmanın 189b maddesinde ortaya koyulan prosedür uyarınca hareket

ederek24 aşağıda sıralanan nedenlerden dolayı:

(1) Topluluk’un amaçları, Avrupa Birliği Anlaşması tarafından tadil edildiği,

Anlaşmada öngörüldüğü şekilde; İnsan Hakları ve Temel Özgürlüklerin

Korunması Hakkındaki Avrupa Sözleşmesi'nde ve Üye Devletler’in

anayasaları ve yasalarında tanınan temel haklar üzerinden demokrasiyi

geliştirerek ve barış ve özgürlüğü koruyup güçlendirerek halklarının

yaşama koşullarının sürekli iyileştirilmesini teşvik ederek, Avrupa’yı bölen

22 OJ No: C 277, 5.11.1990 syf:3 ve OJ No: C 311, 27.11.1992, syf:3

23 OJ No: C 159, 17.6.1991, syf:38

24 15 Haziran 1995 tarihli Avrupa Parlamentosu Kararı (OJ No: C 166, 3.7.1995) ve 20 Şubat 1995 tarihli Komisyon ortak görüşü (OJ No: C 93, 13.4.1995, syf:1) ; 2 Eylül 1993’de onaylanan (OJ No: C 342, 20.12.1993, syf:30) 11 Mart 1992 tarihli Avrupa Parlamentosu Görüşü (OJ No: C 94, 13.4.1992, syf:198)

265

95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST

DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN

AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ

“Directive 95/46/EC of the European Parliament and of the Council of 24

October 1995 on the protection of individuals with regard to the processing of

personal data and on the free movement of such data” / 27.10.1995

BAŞLANGIÇ

AVRUPA PARLAMENTOSU VE AVRUPA BİRLİĞİ KONSEYİ,

Avrupa Topluluğunu Kuran Anlaşmayı ve özellikle ilgili 100a maddesini göz

önünde bulundurarak,

Komisyonun teklifini22 göz önünde bulundurarak,

Ekonomik ve Sosyal Komite’nin23 görüşünü göz önünde bulundurarak,

Anlaşmanın 189b maddesinde ortaya koyulan prosedür uyarınca hareket

ederek24 aşağıda sıralanan nedenlerden dolayı:

(1) Topluluk’un amaçları, Avrupa Birliği Anlaşması tarafından tadil edildiği,

Anlaşmada öngörüldüğü şekilde; İnsan Hakları ve Temel Özgürlüklerin

Korunması Hakkındaki Avrupa Sözleşmesi'nde ve Üye Devletler’in

anayasaları ve yasalarında tanınan temel haklar üzerinden demokrasiyi

geliştirerek ve barış ve özgürlüğü koruyup güçlendirerek halklarının

yaşama koşullarının sürekli iyileştirilmesini teşvik ederek, Avrupa’yı bölen

22 OJ No: C 277, 5.11.1990 syf:3 ve OJ No: C 311, 27.11.1992, syf:3

23 OJ No: C 159, 17.6.1991, syf:38

24 15 Haziran 1995 tarihli Avrupa Parlamentosu Kararı (OJ No: C 166, 3.7.1995) ve 20 Şubat 1995 tarihli Komisyon ortak görüşü (OJ No: C 93, 13.4.1995, syf:1) ; 2 Eylül 1993’de onaylanan (OJ No: C 342, 20.12.1993, syf:30) 11 Mart 1992 tarihli Avrupa Parlamentosu Görüşü (OJ No: C 94, 13.4.1992, syf:198)

95/46 SAYILI KİŞİSEL VERİLERİN İŞLENMESİ VE SERBEST DOLAŞIMI BAKIMINDAN BİREYLERİN KORUNMASINA İLİŞKİN AVRUPA

PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİFİ

266

engelleri gidermek için ortak eylemle ekonomik ve sosyal ilerlemeyi

sağlayarak, Topluluk’a mensup Devletlerarasında daha yakın ilişkileri

teşvik etmeyi içerir;

(2) Veri işleme sistemleri insana hizmet etmek üzere tasarlanır ve böyle

olmalıdır; gerçek kişilerin milliyetine veya ikametgahlarına bakmaksızın,

başta kişisel mahremiyet olmak üzere, temel haklarını ve özgürlüklerini

korumalıdır ve bireylerin ekonomik ve sosyal ilerlemesine, refahına ve

ticari genişlemeye katkıda bulunmalıdır;

(3) Malların, kişilerin, servislerin ve sermayenin serbest dolaşımının

sağlanması hakkındaki Anlaşmanın 7a maddesi uyarınca bir iç pazarın

kurulması ve işletilmesi;yalnızca kişisel verilerin bir Üye Devletten

diğerine serbestçe akabilmesini değil, aynı zamanda bireylerin temel

haklarının güvenceye alınmasını gerektirir;

(4) Topluluk’a, ekonomik ve sosyal faaliyetin çeşitli alanlarında kişisel

verilerin işlenmesine dönük olarak artan sıklıkta başvuru yapılmaktadır;

bilgi teknolojisinde sağlanan ilerlemeler, bu tür verilerin işlenmesini ve

değişimini önemli ölçüde kolaylaştırmaktadır;

(5) Anlaşmanın 7a maddesinin anlamı kapsamında iç pazarın kurulması ve

işlemesinden kaynaklanan ekonomik ve sosyal entegrasyon; Üye

Devletlerde ekonomik ve sosyal faaliyete özel veya kamu sıfatıyla katılan

herkes arasında kişisel verilerin sınır ötesi akışında zorunlu olarak önemli

bir artışa yol açacaktır. Farklı Üye Devletlerdeki teşebbüsler arasında

kişisel verilerin alışverişi artmaya başlamıştır; çeşitli Üye Devletlerdeki

ulusal makamlardan, iç pazarın sınırları dikkate almaksızın diğer bir Üye

Devletteki bir makam adına görevlerini yerine getirebilmek veya

görevlerini yapabilmek hususunda topluluk hukukuna binaen, kişisel

verileri takas etmesi ve iş birliği yapması istenmektedir;



267

(6) Üstelik Toplulukta yeni haberleşme ağlarının eşgüdümlü uygulanması ve

bilimsel ve teknik işbirliğindeki artış, kişisel verilerin sınır ötesi akışını

gerektirmekte ve kolaylaştırmaktadır;

(7) Üye Devletlerde uygulanan kişisel verilerin işlenmesine dair başta kişisel

mahremiyet hakkı olmak üzere bireylerin hakları ve özgürlüklerinin

korunma seviyesindeki farklılıklar, bir Üye Devlet toprağından diğer Üye

Devlete bu tür verilerin iletilmesini engelleyebilir; bu nedenle bu fark,

Topluluk seviyesindeki birtakım ekonomik faaliyetlerin takibi için bir

engel oluşturabilir, rekabeti bozabilir ve Topluluk hukuku kapsamında

makamların sorumluluklarını yerini getirmesini engelleyebilir; koruma

seviyesindeki bu fark, çok çeşitli ulusal kanunlar, yönetmelikler ve idari

hükümlerin varlığından dolayıdır;

(8) Kişisel verilerin akışındaki engelleri kaldırmak için, bireylerin hak ve

özgürlüklerinin korunma seviyesi bu tür verilerin işlenmesine ilişkin

olarak tüm Üye Devletlerde eşit olmalıdır; bu amaç iç pazar için hayatidir

ancak özellikle Anlaşmanın 7a maddesinde belirtilen iç pazar amacına

uyan tutarlı bir şekilde kişisel verilerin sınır ötesi akışının düzenlenmesini

temin etmek hususunda Üye Devletlerdeki ilgili kanunlar arasında

mevcut uyuşmazlıkların ölçeği göz önüne alındığında bu, Üye Devletler

tarafından tek başına başarılamaz; bu yüzden bu kanunları yaklaştırmak

için Topluluk eylemine gerek duyulmaktadır;

(9) Ulusal kanunların yakınlaştırılmasından kaynaklanan eşdeğer koruma

dikkate alındığında, Üye Devletler, özellikle kişisel gizlilik hakkı başta

olmak üzere, bireylerin özgürlükleri ve haklarının korunması

gerekçesiyle, kişisel verilerin aralarında serbest dolaşımını artık

engelleyemeyeceklerdir; Üye Devletlere, Direktifin uygulanması

bağlamında, iş ve sosyal ortaklar tarafından da yerine getirilebilecek bir

manevra alanı bırakılacaktır; bu nedenle Üye Devletler veri işlemenin



266

engelleri gidermek için ortak eylemle ekonomik ve sosyal ilerlemeyi

sağlayarak, Topluluk’a mensup Devletlerarasında daha yakın ilişkileri

teşvik etmeyi içerir;

(2) Veri işleme sistemleri insana hizmet etmek üzere tasarlanır ve böyle

olmalıdır; gerçek kişilerin milliyetine veya ikametgahlarına bakmaksızın,

başta kişisel mahremiyet olmak üzere, temel haklarını ve özgürlüklerini

korumalıdır ve bireylerin ekonomik ve sosyal ilerlemesine, refahına ve

ticari genişlemeye katkıda bulunmalıdır;

(3) Malların, kişilerin, servislerin ve sermayenin serbest dolaşımının

sağlanması hakkındaki Anlaşmanın 7a maddesi uyarınca bir iç pazarın

kurulması ve işletilmesi;yalnızca kişisel verilerin bir Üye Devletten

diğerine serbestçe akabilmesini değil, aynı zamanda bireylerin temel

haklarının güvenceye alınmasını gerektirir;

(4) Topluluk’a, ekonomik ve sosyal faaliyetin çeşitli alanlarında kişisel

verilerin işlenmesine dönük olarak artan sıklıkta başvuru yapılmaktadır;

bilgi teknolojisinde sağlanan ilerlemeler, bu tür verilerin işlenmesini ve

değişimini önemli ölçüde kolaylaştırmaktadır;

(5) Anlaşmanın 7a maddesinin anlamı kapsamında iç pazarın kurulması ve

işlemesinden kaynaklanan ekonomik ve sosyal entegrasyon; Üye

Devletlerde ekonomik ve sosyal faaliyete özel veya kamu sıfatıyla katılan

herkes arasında kişisel verilerin sınır ötesi akışında zorunlu olarak önemli

bir artışa yol açacaktır. Farklı Üye Devletlerdeki teşebbüsler arasında

kişisel verilerin alışverişi artmaya başlamıştır; çeşitli Üye Devletlerdeki

ulusal makamlardan, iç pazarın sınırları dikkate almaksızın diğer bir Üye

Devletteki bir makam adına görevlerini yerine getirebilmek veya

görevlerini yapabilmek hususunda topluluk hukukuna binaen, kişisel

verileri takas etmesi ve iş birliği yapması istenmektedir;



267

(6) Üstelik Toplulukta yeni haberleşme ağlarının eşgüdümlü uygulanması ve

bilimsel ve teknik işbirliğindeki artış, kişisel verilerin sınır ötesi akışını

gerektirmekte ve kolaylaştırmaktadır;

(7) Üye Devletlerde uygulanan kişisel verilerin işlenmesine dair başta kişisel

mahremiyet hakkı olmak üzere bireylerin hakları ve özgürlüklerinin

korunma seviyesindeki farklılıklar, bir Üye Devlet toprağından diğer Üye

Devlete bu tür verilerin iletilmesini engelleyebilir; bu nedenle bu fark,

Topluluk seviyesindeki birtakım ekonomik faaliyetlerin takibi için bir

engel oluşturabilir, rekabeti bozabilir ve Topluluk hukuku kapsamında

makamların sorumluluklarını yerini getirmesini engelleyebilir; koruma

seviyesindeki bu fark, çok çeşitli ulusal kanunlar, yönetmelikler ve idari

hükümlerin varlığından dolayıdır;

(8) Kişisel verilerin akışındaki engelleri kaldırmak için, bireylerin hak ve

özgürlüklerinin korunma seviyesi bu tür verilerin işlenmesine ilişkin

olarak tüm Üye Devletlerde eşit olmalıdır; bu amaç iç pazar için hayatidir

ancak özellikle Anlaşmanın 7a maddesinde belirtilen iç pazar amacına

uyan tutarlı bir şekilde kişisel verilerin sınır ötesi akışının düzenlenmesini

temin etmek hususunda Üye Devletlerdeki ilgili kanunlar arasında

mevcut uyuşmazlıkların ölçeği göz önüne alındığında bu, Üye Devletler

tarafından tek başına başarılamaz; bu yüzden bu kanunları yaklaştırmak

için Topluluk eylemine gerek duyulmaktadır;

(9) Ulusal kanunların yakınlaştırılmasından kaynaklanan eşdeğer koruma

dikkate alındığında, Üye Devletler, özellikle kişisel gizlilik hakkı başta

olmak üzere, bireylerin özgürlükleri ve haklarının korunması

gerekçesiyle, kişisel verilerin aralarında serbest dolaşımını artık

engelleyemeyeceklerdir; Üye Devletlere, Direktifin uygulanması

bağlamında, iş ve sosyal ortaklar tarafından da yerine getirilebilecek bir

manevra alanı bırakılacaktır; bu nedenle Üye Devletler veri işlemenin



268

yasallığını yöneten genel koşulları, kendi ulusal yasalarına

koyabileceklerdir. Üye Devletler bu şekilde kendi mevzuatlarıyla güncel

olarak sağlanan korumayı geliştirmeye çalışacaklardır; bu manevra

alanının limitleri dâhilinde ve Topluluk kanuna uygun olarak, Direktifin

uygulanmasında eşitsizlikler ortaya çıkabilir ve bu, Topluluğun yanı sıra

bir Üye Devlet bünyesinde verilerin dolaşımı etkileyebilir;

(10) Kişisel verilerin işlenmesi hakkındaki ulusal kanunların amacı, başta

kişisel mahremiyet hakkı olmak üzere, hem Topluluk kanununun genel

esaslarında, hem de İnsan Hakları ve Temel Özgürlüklerini Koruma

hakkındaki Avrupa Sözleşmesinin 8. maddesinde tanınan temel hakları ve

özgürlükleri korumaktır; bu nedenle, bu kanunların yakınlaştırılması,

sağladıkları korumanın azalmasına yol açmamalı aksine, Topluluk içinde

yüksek seviyeli bir korumanın sağlanması için çabalamalıdır;

(11) Kişisel mahremiyet başta olmak üzere bireylerin haklarının ve

özgürlüklerinin korunması hakkında bu Direktifte belirtilen esaslar,

Kişisel Verilerin Otomatik İşlenmesine İlişkin Bireylerin Korunması

Hakkındaki 28 Ocak 1981 tarihli Avrupa Konseyi Sözleşmesinde

belirtilenleri güçlendirir ve genişletir;

(12) Koruma esasları, faaliyetleri Topluluk hukukunca yönetilen herhangi bir

kişinin kişisel verilerinin tüm işlenmesine uygulanmalıdır; adres

kayıtlarını tutma ve yazışma gibi özellikle şahsi veya ailevi olan aktiviteler

esnasında, bir gerçek kişinin gerçekleştirdiği veri işleme, hariç

tutulmalıdır;

(13) Avrupa Topluluğunu Kuran Anlaşmanın 100a maddesi veya MADDE 56

(2), MADDE 57 kapsamında Üye Devletler üzerine düşen yükümlülükler

saklı kalmak üzere; kamu güvenliği, savunma, devlet güvenliğine dair

Avrupa Birliği Anlaşmasının V ve VI. Başlığında atıfta bulunulan faaliyetler

ile ceza kanunları alanındaki Devlet faaliyetleri; Topluluk hukuku



269

kapsamında değildir; Devletin güvenlik konularıyla ilişkili olduğunda,

devletin ekonomik refahını güvenceye almak için gerekli olan kişisel

verilerin işlenmesi, bu Direktifin kapsamında değildir;

(14) Gerçek kişilere ilişkin ses ve görüntü verilerini yakalamak, iletmek,

değiştirmek, kaydetmek, saklamak veya nakletmek için kullanılan

teknolojilerin, bilgi toplumu çerçevesinde devam eden gelişmelerinin

önemi dikkate alındığında, bu Direktif bu tür verileri gerektiren işlemeye

uygulanmalıdır;

(15) Bu tür verilerin işlenmesi; söz konusu kişisel verilere kolay erişime izin

vermek için, yalnızca otomatik olursa veya işlenen veriler, bireylere

ilişkin özel kriterlere göre yapılandırılan bir dosyalama sistemi içine

alınırsa veya alınması planlanırsa, bu Direktif kapsamındadır;

(16) Video gözetim durumlarındaki gibi, ses ve görüntü verilerinin işlenmesi;

ceza hukuku alanına ilişkin Devlet faaliyetleri esnasında veya ulusal

güvenlik, savunma kamu güvenliği amacıyla veya Topluluk hukuku

kapsamına girmeyen diğer faaliyetler için yürütülürse bu Direktif

kapsamına girmez;

(17) Başta görsel işitsel alan olmak üzere, ilgili edebi ve sanatsal ifade

amaçlarının yanı sıra gazetecilik amaçları için ses ve görüntü verilerinin

işlenmesinde; Direktifin esasları, MADDE 9’da öngörülen hükümlere

göre, sınırlı bir şekilde uygulanacaktır;

(18) Bireylerin, bu Direktif kapsamında sağlanan korumadan yoksun

kalmamalarını sağlamak için, Topluluktaki herhangi bir kişisel veri

işlenmesi, Üye Devletler’den birinin kanununa uygun olarak yerine

getirilmelidir; bu bağlamda, bir Üye Devlette yerleşik bir denetleyicinin

sorumluluğu altında yapılan işlem, o Devletin kanununca yönetilmelidir;



268

yasallığını yöneten genel koşulları, kendi ulusal yasalarına

koyabileceklerdir. Üye Devletler bu şekilde kendi mevzuatlarıyla güncel

olarak sağlanan korumayı geliştirmeye çalışacaklardır; bu manevra

alanının limitleri dâhilinde ve Topluluk kanuna uygun olarak, Direktifin

uygulanmasında eşitsizlikler ortaya çıkabilir ve bu, Topluluğun yanı sıra

bir Üye Devlet bünyesinde verilerin dolaşımı etkileyebilir;

(10) Kişisel verilerin işlenmesi hakkındaki ulusal kanunların amacı, başta

kişisel mahremiyet hakkı olmak üzere, hem Topluluk kanununun genel

esaslarında, hem de İnsan Hakları ve Temel Özgürlüklerini Koruma

hakkındaki Avrupa Sözleşmesinin 8. maddesinde tanınan temel hakları ve

özgürlükleri korumaktır; bu nedenle, bu kanunların yakınlaştırılması,

sağladıkları korumanın azalmasına yol açmamalı aksine, Topluluk içinde

yüksek seviyeli bir korumanın sağlanması için çabalamalıdır;

(11) Kişisel mahremiyet başta olmak üzere bireylerin haklarının ve

özgürlüklerinin korunması hakkında bu Direktifte belirtilen esaslar,

Kişisel Verilerin Otomatik İşlenmesine İlişkin Bireylerin Korunması

Hakkındaki 28 Ocak 1981 tarihli Avrupa Konseyi Sözleşmesinde

belirtilenleri güçlendirir ve genişletir;

(12) Koruma esasları, faaliyetleri Topluluk hukukunca yönetilen herhangi bir

kişinin kişisel verilerinin tüm işlenmesine uygulanmalıdır; adres

kayıtlarını tutma ve yazışma gibi özellikle şahsi veya ailevi olan aktiviteler

esnasında, bir gerçek kişinin gerçekleştirdiği veri işleme, hariç

tutulmalıdır;

(13) Avrupa Topluluğunu Kuran Anlaşmanın 100a maddesi veya MADDE 56

(2), MADDE 57 kapsamında Üye Devletler üzerine düşen yükümlülükler

saklı kalmak üzere; kamu güvenliği, savunma, devlet güvenliğine dair

Avrupa Birliği Anlaşmasının V ve VI. Başlığında atıfta bulunulan faaliyetler

ile ceza kanunları alanındaki Devlet faaliyetleri; Topluluk hukuku



269

kapsamında değildir; Devletin güvenlik konularıyla ilişkili olduğunda,

devletin ekonomik refahını güvenceye almak için gerekli olan kişisel

verilerin işlenmesi, bu Direktifin kapsamında değildir;

(14) Gerçek kişilere ilişkin ses ve görüntü verilerini yakalamak, iletmek,

değiştirmek, kaydetmek, saklamak veya nakletmek için kullanılan

teknolojilerin, bilgi toplumu çerçevesinde devam eden gelişmelerinin

önemi dikkate alındığında, bu Direktif bu tür verileri gerektiren işlemeye

uygulanmalıdır;

(15) Bu tür verilerin işlenmesi; söz konusu kişisel verilere kolay erişime izin

vermek için, yalnızca otomatik olursa veya işlenen veriler, bireylere

ilişkin özel kriterlere göre yapılandırılan bir dosyalama sistemi içine

alınırsa veya alınması planlanırsa, bu Direktif kapsamındadır;

(16) Video gözetim durumlarındaki gibi, ses ve görüntü verilerinin işlenmesi;

ceza hukuku alanına ilişkin Devlet faaliyetleri esnasında veya ulusal

güvenlik, savunma kamu güvenliği amacıyla veya Topluluk hukuku

kapsamına girmeyen diğer faaliyetler için yürütülürse bu Direktif

kapsamına girmez;

(17) Başta görsel işitsel alan olmak üzere, ilgili edebi ve sanatsal ifade

amaçlarının yanı sıra gazetecilik amaçları için ses ve görüntü verilerinin

işlenmesinde; Direktifin esasları, MADDE 9’da öngörülen hükümlere

göre, sınırlı bir şekilde uygulanacaktır;

(18) Bireylerin, bu Direktif kapsamında sağlanan korumadan yoksun

kalmamalarını sağlamak için, Topluluktaki herhangi bir kişisel veri

işlenmesi, Üye Devletler’den birinin kanununa uygun olarak yerine

getirilmelidir; bu bağlamda, bir Üye Devlette yerleşik bir denetleyicinin

sorumluluğu altında yapılan işlem, o Devletin kanununca yönetilmelidir;



270

(19) Bir Üye Devletin sınırları içindeki kuruluş, istikrarlı düzenlemeler

aracılığıyla faaliyetin etkin ve reel olarak gerçekleştirilmesini sağlar. İster

bir tüzel kişiliğin şubesi veya bağlı kuruluşu olsun bu tür kuruluşun yasal

biçimi; bu bakımdan belirleyici bir faktör değildir; özellikle bağlı

kuruluşlar aracılığıyla çeşitli Üye Devletlerin topraklarında tek bir

denetleyici kuruluş kurulursa, ulusal kuralların boşluklarından

yaralanmayı önlemek için, denetleyici kuruluşların her birinin,

faaliyetlerine uygulanan ulusal kanunun emrettiği yükümlülükleri yerine

getirmesi sağlanmalıdır;

(20) Verilerin işlenmesinin üçüncü bir ülkede kurulan bir tüzel kişilik

tarafından yapılması, bu Direktifte sağlanan bireylerin korunma biçimine

engel olmamalıdır; bu durumlarda, işleme, kullanılan yöntemlerin

bulunduğu Üye Devlet kanununca yönetilmelidir ve bu Direktifte

sağlanan hakların, uygulamada gözetilmesini sağlayacak garantiler

olmalıdır;

(21) Bu Direktif, ülkesellik ilkeleri saklı kalmak üzere ceza konularına

uygulanır;

(22) Üye Devletler, işlemenin yasallığına dair genel koşulları, çıkardıkları

yasalarda veya bu Direktif kapsamındaki tedbirleri yürürlüğe

koyduklarında, daha hassas olarak tanımlayacaklardır; MADDE 7 ve 8 ile

bağlantılı olarak özellikle MADDE 5, genel kurallardan bağımsız olarak

Üye Devletlere, MADDE 8’in kapsadığı çeşitli veri kategorileri için ve

belirli sektörler için, özel işleme koşulları koymaya izin verir.

(23) Üye Devletler, hem kişisel verilerin işlenmesi hususunda bireylerin

korunması hakkındaki genel kanunlar, hem de örneğin istatistik

enstitülerine ilişkin olanlar gibi sektörel kanunlar yoluyla bireylerin

korunmasını uygulamayı temin etmek üzere yetkilendirilmişlerdir;



271

(24) Kendilerini ilgilendiren verileri işlemeye dair tüzel kişilerin korunmasına

ilişkin mevzuat, bu Direktiften etkilenmez;

(25) Korumanın esasları; bir taraftan, başta işlemenin yürütülebileceği

koşullar ve denetleme makamına bildirim, teknik güvenlik ve veri kalitesi

olmak üzere işlemeden sorumlu diğer kuruluşlar veya kişiler, kamu

makamları, işletmeler, temsilciler üzerine yüklenen yükümlülüklere ve

diğer taraftan, bireylere verilen haklara, işlemenin konusu olan verilere,

işlemenin yapıldığını bildirime, verileri danışmaya, düzeltme talep

etmeye ve hatta bazı koşullarda işlemeye itiraza yansıtılmalıdır;

(26) Koruma esasları, tespit edilmiş veya tespit edilebilir bir kişiye ilişkin

herhangi bir bilgiye uygulanmalıdır; bir kişinin tespit edilebilir olup

olmadığını belirlemek için, adı geçen şahsı tespit etmek için herhangi bir

diğer kişi tarafından veya denetleyici tarafından kullanılabilecek makul

tüm araçlar dikkate alınmalıdır; koruma esasları, veri öznesinin artık tespit

edilebilir olmadığı bir biçimde anonimleşmiş verilere

uygulanmayacaktır; MADDE 27’nin anlamı dahilindeki davranış kuralları,

verilerin anonimleşebilmesine ve veri öznesinin tespitinin artık mümkün

olmadığı bir biçimde alıkonma biçimlerine dair rehberlik sağlamak için

yararlı bir araç olabilir;

(27) Bireylerin korunması, manuel işlemenin yanı sıra verilerin otomatik

işlenmesinde de uygulanmalıdır; bu korumanın kapsamı kullanılan

tekniklere bağlı olarak geçerli olmamalıdır, aksi takdirde, bu ciddi bir

kanun boşluklarından yararlanma riski yaratacaktır; yine de manuel

işlemeye dair bu Direktif yapılandırılmamış dosyaları değil yalnızca

dosyalama sistemlerini kapsar, özellikle bir dosyalama sisteminin içeriği,

kişisel verilere kolay erişime olanak veren bireylere ilişkin özel kriterlere

göre yapılandırılmalıdır; MADDE 2 (c)deki tanım doğrultusunda, kişisel

verilerin yapılandırılmış bir dizisinin bileşenlerini belirlemek için farklı



270

(19) Bir Üye Devletin sınırları içindeki kuruluş, istikrarlı düzenlemeler

aracılığıyla faaliyetin etkin ve reel olarak gerçekleştirilmesini sağlar. İster

bir tüzel kişiliğin şubesi veya bağlı kuruluşu olsun bu tür kuruluşun yasal

biçimi; bu bakımdan belirleyici bir faktör değildir; özellikle bağlı

kuruluşlar aracılığıyla çeşitli Üye Devletlerin topraklarında tek bir

denetleyici kuruluş kurulursa, ulusal kuralların boşluklarından

yaralanmayı önlemek için, denetleyici kuruluşların her birinin,

faaliyetlerine uygulanan ulusal kanunun emrettiği yükümlülükleri yerine

getirmesi sağlanmalıdır;

(20) Verilerin işlenmesinin üçüncü bir ülkede kurulan bir tüzel kişilik

tarafından yapılması, bu Direktifte sağlanan bireylerin korunma biçimine

engel olmamalıdır; bu durumlarda, işleme, kullanılan yöntemlerin

bulunduğu Üye Devlet kanununca yönetilmelidir ve bu Direktifte

sağlanan hakların, uygulamada gözetilmesini sağlayacak garantiler

olmalıdır;

(21) Bu Direktif, ülkesellik ilkeleri saklı kalmak üzere ceza konularına

uygulanır;

(22) Üye Devletler, işlemenin yasallığına dair genel koşulları, çıkardıkları

yasalarda veya bu Direktif kapsamındaki tedbirleri yürürlüğe

koyduklarında, daha hassas olarak tanımlayacaklardır; MADDE 7 ve 8 ile

bağlantılı olarak özellikle MADDE 5, genel kurallardan bağımsız olarak

Üye Devletlere, MADDE 8’in kapsadığı çeşitli veri kategorileri için ve

belirli sektörler için, özel işleme koşulları koymaya izin verir.

(23) Üye Devletler, hem kişisel verilerin işlenmesi hususunda bireylerin

korunması hakkındaki genel kanunlar, hem de örneğin istatistik

enstitülerine ilişkin olanlar gibi sektörel kanunlar yoluyla bireylerin

korunmasını uygulamayı temin etmek üzere yetkilendirilmişlerdir;



271

(24) Kendilerini ilgilendiren verileri işlemeye dair tüzel kişilerin korunmasına

ilişkin mevzuat, bu Direktiften etkilenmez;

(25) Korumanın esasları; bir taraftan, başta işlemenin yürütülebileceği

koşullar ve denetleme makamına bildirim, teknik güvenlik ve veri kalitesi

olmak üzere işlemeden sorumlu diğer kuruluşlar veya kişiler, kamu

makamları, işletmeler, temsilciler üzerine yüklenen yükümlülüklere ve

diğer taraftan, bireylere verilen haklara, işlemenin konusu olan verilere,

işlemenin yapıldığını bildirime, verileri danışmaya, düzeltme talep

etmeye ve hatta bazı koşullarda işlemeye itiraza yansıtılmalıdır;

(26) Koruma esasları, tespit edilmiş veya tespit edilebilir bir kişiye ilişkin

herhangi bir bilgiye uygulanmalıdır; bir kişinin tespit edilebilir olup

olmadığını belirlemek için, adı geçen şahsı tespit etmek için herhangi bir

diğer kişi tarafından veya denetleyici tarafından kullanılabilecek makul

tüm araçlar dikkate alınmalıdır; koruma esasları, veri öznesinin artık tespit

edilebilir olmadığı bir biçimde anonimleşmiş verilere

uygulanmayacaktır; MADDE 27’nin anlamı dahilindeki davranış kuralları,

verilerin anonimleşebilmesine ve veri öznesinin tespitinin artık mümkün

olmadığı bir biçimde alıkonma biçimlerine dair rehberlik sağlamak için

yararlı bir araç olabilir;

(27) Bireylerin korunması, manuel işlemenin yanı sıra verilerin otomatik

işlenmesinde de uygulanmalıdır; bu korumanın kapsamı kullanılan

tekniklere bağlı olarak geçerli olmamalıdır, aksi takdirde, bu ciddi bir

kanun boşluklarından yararlanma riski yaratacaktır; yine de manuel

işlemeye dair bu Direktif yapılandırılmamış dosyaları değil yalnızca

dosyalama sistemlerini kapsar, özellikle bir dosyalama sisteminin içeriği,

kişisel verilere kolay erişime olanak veren bireylere ilişkin özel kriterlere

göre yapılandırılmalıdır; MADDE 2 (c)deki tanım doğrultusunda, kişisel

verilerin yapılandırılmış bir dizisinin bileşenlerini belirlemek için farklı



272

kriterler ve bu tür bir veri dizisine erişimi yöneten farklı kriterler, her bir

Üye Devlet tarafından belirlenebilir; özel kriterlere göre

yapılandırılmamış kapak sayfalarının yanı sıra dosyalar veya dosya

dizileri, hiçbir koşul altında bu Direktifin kapsamına girmeyecektir;

(28) Kişisel verilerin işlenmesi, ilgili bireyler için yasal ve adil olmalıdır;

özellikle veriler uygun, ilgili olmalıdır ve işlendikleri amacı aşmamalıdır;

bu tür amaçlar açık ve meşru olmalı ve verilerin toplanma zamanında

belirlenmelidir; toplama sonrasındaki işleme amaçları, başlangıçta

belirtilen amaçlarla uyumsuz olmamalıdır;

(29) Tarihsel, istatistiksel veya bilimsel amaçlarla kişisel verilerin ayrıca

işlenmesi, Üye Devletlerin uygun korunma önlemleri sağlaması

koşuluyla önceden toplanmış verilerin amaçlarıyla uyumsuz olarak kabul

edilmez, bu korunma önlemleri özellikle, herhangi bir özel bireye dair

tedbirlerin veya kararların desteklenmesinde verilerin kullanımınına

imkan vermemelidir;

(30) Kişisel verilerin işlenmesi, ayrıca veri öznesinin haklarının ve

özgürlüklerinin çiğnenmemesi koşuluyla, yasal olması amacıyla, veri

öznesinin rızasıyla yürütülmelidir veya veri öznesi hakkında bağlayıcı bir

sözleşmenin yerine getirilmesi veya sonuçlandırılması için veya gerçek

veya tüzel bir kişinin meşru menfaati için veya resmi otoritenin

uygulanması için veya kamu menfaatine yürütülen bir görevin yerine

getirilmesi için gerekli olmalıdır; özellikle etkin rekabeti garanti ederken,

ilgili menfaatler arasında bir denge sağlamak için, Üye Devletler,

şirketlerin veya diğer kuruluşların olağan meşru iş faaliyetleri bağlamında

kişisel verilerin kullanılabilme veya üçüncü bir şahsa açıklanma

koşullarını belirleyebilirler; benzer şekilde Üye Devletler, örneğin

nedenlerini belirtmeksizin ve bedelsiz olarak, hakkındaki verilerin

işlenmesine itiraz etmek için bir veri öznesine izin veren hükümlere tabi



273

olan ister siyasi yapıdaki herhangi diğer bir dernek veya vakıf veya yardım

kuruluşu tarafından isterse ticari olarak yürütülen pazarlama amaçları

için, kişisel verilerin üçüncü bir şahsa açıklanabilme koşullarını

belirtebilirler;

(31) Veri öznesinin yaşamı için asıl olan bir menfaati korumak için

yapıldığında kişisel verilerin işlenmesi, aynı derecede yasal kabul

edilmelidir;

(32) Kamu menfaatinde veya resmi otoritenin uygulamasında yürütülen bir

görevi yerine getiren denetleyicinin, bir kamu idaresi veya kamu hukuku

veya bir meslek örgütü gibi özel bir kanun tarafından yönetilen başka bir

tüzel veya gerçek kişi mi olacağını belirlemek ulusal mevzuata

kalmaktadır;

(33) Veri öznesi açık şekilde rıza göstermezse, temel özgürlükleri veya kişisel

mahremiyeti ihlal eden yapıdaki veriler işlenmemelidir; ancak, temel

özgürlüklerin yerine getirilmesine izin verecek amaçlar için, bazı

derneklerin veya vakıfların meşru faaliyetleri esnasında veya mesleki

gizlilik hakkındaki yasal bir yükümlülüğe tabi kişiler tarafından bu

verilerin sağlık amaçları için kullanılması durumunda; bu yasaklamaya

uymama durumu açıkça belirtilmelidir;

(34) Sağlık sigortası sistemindeki hizmetler ve yardımlar için talepleri

belirtmede kullanılan prosedürlerin kalitesini ve maliyet etkinliğini temin

etmek başta olmak üzere - kamu menfaati için önemli nedenlerle

gerekçelendirildiğinde, önemli kamu menfaati gerekçesine dayanması

durumunda; bilimsel araştırma ve hükümet istatistikleri halk sağlığı ve

sosyal koruma gibi alanlarda, Üye Devletlerin verilerin hassas

kategorilerini işleme yasağına uymamasına da izin verilmelidir; ancak

bireylerin kişisel gizlilik ve temel haklarını korumak hususunda özel ve

uygun korunma önlemlerini sağlamak, Üye Devletlerin ödevidir;



272

kriterler ve bu tür bir veri dizisine erişimi yöneten farklı kriterler, her bir

Üye Devlet tarafından belirlenebilir; özel kriterlere göre

yapılandırılmamış kapak sayfalarının yanı sıra dosyalar veya dosya

dizileri, hiçbir koşul altında bu Direktifin kapsamına girmeyecektir;

(28) Kişisel verilerin işlenmesi, ilgili bireyler için yasal ve adil olmalıdır;

özellikle veriler uygun, ilgili olmalıdır ve işlendikleri amacı aşmamalıdır;

bu tür amaçlar açık ve meşru olmalı ve verilerin toplanma zamanında

belirlenmelidir; toplama sonrasındaki işleme amaçları, başlangıçta

belirtilen amaçlarla uyumsuz olmamalıdır;

(29) Tarihsel, istatistiksel veya bilimsel amaçlarla kişisel verilerin ayrıca

işlenmesi, Üye Devletlerin uygun korunma önlemleri sağlaması

koşuluyla önceden toplanmış verilerin amaçlarıyla uyumsuz olarak kabul

edilmez, bu korunma önlemleri özellikle, herhangi bir özel bireye dair

tedbirlerin veya kararların desteklenmesinde verilerin kullanımınına

imkan vermemelidir;

(30) Kişisel verilerin işlenmesi, ayrıca veri öznesinin haklarının ve

özgürlüklerinin çiğnenmemesi koşuluyla, yasal olması amacıyla, veri

öznesinin rızasıyla yürütülmelidir veya veri öznesi hakkında bağlayıcı bir

sözleşmenin yerine getirilmesi veya sonuçlandırılması için veya gerçek

veya tüzel bir kişinin meşru menfaati için veya resmi otoritenin

uygulanması için veya kamu menfaatine yürütülen bir görevin yerine

getirilmesi için gerekli olmalıdır; özellikle etkin rekabeti garanti ederken,

ilgili menfaatler arasında bir denge sağlamak için, Üye Devletler,

şirketlerin veya diğer kuruluşların olağan meşru iş faaliyetleri bağlamında

kişisel verilerin kullanılabilme veya üçüncü bir şahsa açıklanma

koşullarını belirleyebilirler; benzer şekilde Üye Devletler, örneğin

nedenlerini belirtmeksizin ve bedelsiz olarak, hakkındaki verilerin

işlenmesine itiraz etmek için bir veri öznesine izin veren hükümlere tabi



273

olan ister siyasi yapıdaki herhangi diğer bir dernek veya vakıf veya yardım

kuruluşu tarafından isterse ticari olarak yürütülen pazarlama amaçları

için, kişisel verilerin üçüncü bir şahsa açıklanabilme koşullarını

belirtebilirler;

(31) Veri öznesinin yaşamı için asıl olan bir menfaati korumak için

yapıldığında kişisel verilerin işlenmesi, aynı derecede yasal kabul

edilmelidir;

(32) Kamu menfaatinde veya resmi otoritenin uygulamasında yürütülen bir

görevi yerine getiren denetleyicinin, bir kamu idaresi veya kamu hukuku

veya bir meslek örgütü gibi özel bir kanun tarafından yönetilen başka bir

tüzel veya gerçek kişi mi olacağını belirlemek ulusal mevzuata

kalmaktadır;

(33) Veri öznesi açık şekilde rıza göstermezse, temel özgürlükleri veya kişisel

mahremiyeti ihlal eden yapıdaki veriler işlenmemelidir; ancak, temel

özgürlüklerin yerine getirilmesine izin verecek amaçlar için, bazı

derneklerin veya vakıfların meşru faaliyetleri esnasında veya mesleki

gizlilik hakkındaki yasal bir yükümlülüğe tabi kişiler tarafından bu

verilerin sağlık amaçları için kullanılması durumunda; bu yasaklamaya

uymama durumu açıkça belirtilmelidir;

(34) Sağlık sigortası sistemindeki hizmetler ve yardımlar için talepleri

belirtmede kullanılan prosedürlerin kalitesini ve maliyet etkinliğini temin

etmek başta olmak üzere - kamu menfaati için önemli nedenlerle

gerekçelendirildiğinde, önemli kamu menfaati gerekçesine dayanması

durumunda; bilimsel araştırma ve hükümet istatistikleri halk sağlığı ve

sosyal koruma gibi alanlarda, Üye Devletlerin verilerin hassas

kategorilerini işleme yasağına uymamasına da izin verilmelidir; ancak

bireylerin kişisel gizlilik ve temel haklarını korumak hususunda özel ve

uygun korunma önlemlerini sağlamak, Üye Devletlerin ödevidir;



274

(35) Ayrıca, resmi olarak tanınan dini derneklerle ilgili veya uluslararası kamu

hukuku veya anayasa hukukunda öngörülen amaçları başarmak için

resmi makamlar tarafından kişisel verilerin işlenmesi, kamu menfaatinin

önemli gerekçeleri üzerine yürütülür;

(36) Belirli Üye Devletlerde, seçim faaliyetleri esnasında demokratik sistemin

işlemesi, siyasi partilerin halkın siyasi görüşü hakkındaki verileri

derlemesini gerektirir, uygun korunma önlemleriın sağlanması koşuluyla

bu tür verilerin işlenmesine önemli kamu menfaati nedeniyle izin

verilebilir;

(37) Başta görsel işitsel alan olmak üzere, sanatsal ifade, edebi amaçları için

veya gazetecilik amaçları için kişisel verilerin işlenmesi; özellikle, İnsan

Hakları ve Temel Özgürlüklerinin Korunması hakkındaki Avrupa

Sözleşmesinin 10. maddesinde garanti edildiği gibi, özellikle bilgi alma ve

verme hakkı ve bilgilendirme hakkıyla bireylerin temel haklarını

uzlaştırmanın gerekli olması durumunda, bu Direktifin bazı hükümlerinin

koşullarından muaf tutulmaya yetki vermelidir. Bu yüzden üye Devletler,

denetleme makamının yetkisi ve üçüncü ülkelere verilerin aktarılması

hakkındaki tedbirlere, veri işlemenin yasallığı hakkındaki genel tedbirlere

dair temel haklar arasında denge sağlama amacı için gerekli muafiyetleri

ve derogasyonları belirtmelidir;

(38) Verilerin işlenmesinin adil olması için, veri öznesi, işleme faaliyetinin

varlığını öğrenecek konumda olmalıdır ve veriler ondan toplandığında,

toplama koşullarını dikkate alan doğru ve tam bilgi verilmelidir;

(39) Bazı verilerin işlenmesi, denetleyicinin veri öznesinden doğrudan

toplamadığı verileri gerektirir, ayrıca, veri öznesinden veriler toplandığı

esnada, ifşa beklenmese bile, veriler üçüncü bir şahsa yasal olarak ifşa

edilebilir; tüm bu durumlarda, veri öznesi, veriler kaydedildiğinde veya



275

en geç veriler ilk kez bir üçüncü şahsa ifşa edildiğinde,

bilgilendirilmelidir;

(40) Ancak, veri öznesinin önceden bilgili olması durumunda, bu

yükümlülüğü uygulamak gereksizdir; ayrıca, açıklama veya kaydetme

açık şekilde yasayla sağlanırsa veya veri öznesine bilgi sağlamanın

imkansızlığı kanıtlanırsa veya işlemenin tarihsel, istatistiki veya bilimsel

amaçlar için olması halinde gerekebilecek aşırı çabayı gerektirmesi

halinde bu tür bir yükümlülük olmayacaktır; bu bakımdan, veri

öznelerinin sayısı, verilerin yaşı ve kabul edilen herhangi dengeleyici

tedbirler dikkate alınmalıdır;

(41) Her kişi, özellikle işlemenin yasallığını ve verilerin doğruluğunu

onaylamak için işlenmekte olan ona ait verilere erişim hakkını

kullanabilmelidir; aynı nedenlerle, her veri öznesi en azından MADDE

15(1)de atıfta bulunulan otomatik kararlar durumunda, ona ilişkin

verilerin otomatik işlenmesiyle ilgili mantığı bilme hakkına sahip

olmalıdır; bu hak, başta yazılımı koruyan telif hakkını ve ticari sırları veya

fikri mülkiyeti ters şekilde etkilememelidir; ancak bu düşünceler, veri

öznesinin bilgilendirilmemesine yol açmamalıdır;

(42) Üye Devletler, veri öznesinin menfaati için veya diğerlerinin hak ve

özgürlüklerini korumak için bilgiye erişim hakkını sınırlandırabilirler;

örneğin, tıbbi verilere erişimin yalnızca bir sağlık uzmanı tarafından elde

edilebileceğini belirtebilirler;

(43) Benzer şekilde denetleyicinin bazı yükümlülükleri ve bilgilendirme ve

erişim hakları üzerindeki sınırlandırmalar; örneğin, düzenlenen

mesleklerdeki etik ihlallerine dair kriminal soruşturmalar, takibatlar ve

davaların yanı sıra bir Üye Devlet veya Birliğin ulusal güvenlik, savunma,

kamu güvenliği veya önemli ekonomik veya mali menfaatlerini güvence

altına almanın gerektirdiği ölçüde Üye Devletler tarafından uygulanabilir;



274

(35) Ayrıca, resmi olarak tanınan dini derneklerle ilgili veya uluslararası kamu

hukuku veya anayasa hukukunda öngörülen amaçları başarmak için

resmi makamlar tarafından kişisel verilerin işlenmesi, kamu menfaatinin

önemli gerekçeleri üzerine yürütülür;

(36) Belirli Üye Devletlerde, seçim faaliyetleri esnasında demokratik sistemin

işlemesi, siyasi partilerin halkın siyasi görüşü hakkındaki verileri

derlemesini gerektirir, uygun korunma önlemleriın sağlanması koşuluyla

bu tür verilerin işlenmesine önemli kamu menfaati nedeniyle izin

verilebilir;

(37) Başta görsel işitsel alan olmak üzere, sanatsal ifade, edebi amaçları için

veya gazetecilik amaçları için kişisel verilerin işlenmesi; özellikle, İnsan

Hakları ve Temel Özgürlüklerinin Korunması hakkındaki Avrupa

Sözleşmesinin 10. maddesinde garanti edildiği gibi, özellikle bilgi alma ve

verme hakkı ve bilgilendirme hakkıyla bireylerin temel haklarını

uzlaştırmanın gerekli olması durumunda, bu Direktifin bazı hükümlerinin

koşullarından muaf tutulmaya yetki vermelidir. Bu yüzden üye Devletler,

denetleme makamının yetkisi ve üçüncü ülkelere verilerin aktarılması

hakkındaki tedbirlere, veri işlemenin yasallığı hakkındaki genel tedbirlere

dair temel haklar arasında denge sağlama amacı için gerekli muafiyetleri

ve derogasyonları belirtmelidir;

(38) Verilerin işlenmesinin adil olması için, veri öznesi, işleme faaliyetinin

varlığını öğrenecek konumda olmalıdır ve veriler ondan toplandığında,

toplama koşullarını dikkate alan doğru ve tam bilgi verilmelidir;

(39) Bazı verilerin işlenmesi, denetleyicinin veri öznesinden doğrudan

toplamadığı verileri gerektirir, ayrıca, veri öznesinden veriler toplandığı

esnada, ifşa beklenmese bile, veriler üçüncü bir şahsa yasal olarak ifşa

edilebilir; tüm bu durumlarda, veri öznesi, veriler kaydedildiğinde veya



275

en geç veriler ilk kez bir üçüncü şahsa ifşa edildiğinde,

bilgilendirilmelidir;

(40) Ancak, veri öznesinin önceden bilgili olması durumunda, bu

yükümlülüğü uygulamak gereksizdir; ayrıca, açıklama veya kaydetme

açık şekilde yasayla sağlanırsa veya veri öznesine bilgi sağlamanın

imkansızlığı kanıtlanırsa veya işlemenin tarihsel, istatistiki veya bilimsel

amaçlar için olması halinde gerekebilecek aşırı çabayı gerektirmesi

halinde bu tür bir yükümlülük olmayacaktır; bu bakımdan, veri

öznelerinin sayısı, verilerin yaşı ve kabul edilen herhangi dengeleyici

tedbirler dikkate alınmalıdır;

(41) Her kişi, özellikle işlemenin yasallığını ve verilerin doğruluğunu

onaylamak için işlenmekte olan ona ait verilere erişim hakkını

kullanabilmelidir; aynı nedenlerle, her veri öznesi en azından MADDE

15(1)de atıfta bulunulan otomatik kararlar durumunda, ona ilişkin

verilerin otomatik işlenmesiyle ilgili mantığı bilme hakkına sahip

olmalıdır; bu hak, başta yazılımı koruyan telif hakkını ve ticari sırları veya

fikri mülkiyeti ters şekilde etkilememelidir; ancak bu düşünceler, veri

öznesinin bilgilendirilmemesine yol açmamalıdır;

(42) Üye Devletler, veri öznesinin menfaati için veya diğerlerinin hak ve

özgürlüklerini korumak için bilgiye erişim hakkını sınırlandırabilirler;

örneğin, tıbbi verilere erişimin yalnızca bir sağlık uzmanı tarafından elde

edilebileceğini belirtebilirler;

(43) Benzer şekilde denetleyicinin bazı yükümlülükleri ve bilgilendirme ve

erişim hakları üzerindeki sınırlandırmalar; örneğin, düzenlenen

mesleklerdeki etik ihlallerine dair kriminal soruşturmalar, takibatlar ve

davaların yanı sıra bir Üye Devlet veya Birliğin ulusal güvenlik, savunma,

kamu güvenliği veya önemli ekonomik veya mali menfaatlerini güvence

altına almanın gerektirdiği ölçüde Üye Devletler tarafından uygulanabilir;



276

istisnalar ve sınırlamaların listesi, kamu güvenliği, ekonomik veya mali

menfaatler ve suç önlemeye ilişkin en son söz edilen üç alanda gerekli

yönetmelik veya izleme, denetim görevlerini içermelidir; bu üç alandaki

görevlerin listelenmesi, Devlet güvenlik veya savunma nedenleri için

sınırlamaları veya istisnaların meşruiyetini etkilemez;

(44) Üye Devletler, Topluluk hukuku gerekçesiyle, yukarıda atıfta bulunulan

amaçların bazısını güvenceye almak için, verilerin kalitesi ve bireyleri

bilgilendirme yükümlülüğü, erişim hakkına ilişkin bu Direktifin

hükümlerine uymayabilir;

(45) Verilerin, gerçek veya tüzel bir kişinin meşru menfaatleri veya resmi

otorite, kamu menfaati gerekçesiyle yasal olarak işlenebileceği

durumlarda, herhangi bir veri öznesine, yine de kendisine ait herhangi

bir verinin işlenmesine itiraz etmek için özel durumuna ilişkin meşru ve

mecburi gerekçelerle izin verilmelidir; bununla birlikte Üye Devletler

bunun aksine ulusal hüküm koyabilirler;

(46) Kişisel verilerin işlenmesine dair veri öznelerinin haklarının ve

özgürlüklerinin korunması, hem, güvenliği sağlamak ve bu suretle

herhangi bir yetkisiz işlemeyi önlemek için işlemenin kendi zamanında

hem de işleme sisteminin tasarımı zamanında uygun teknik ve kurumsal

tedbirlerin alınmasını gerektirir; bu tedbirlere denetleyicilerin uymasını

sağlamak Üye Devletlerin ödevidir, bu tedbirler, korunacak verilerin

yapısı ve işlemenin yapısındaki risklere ilişkin uygulamanın maliyetlerini

ve durumunu dikkate alarak uygun güvenlik seviyesini sağlamalıdır;

(47) Tek amacı verilerin iletilmesi olan, kişisel verileri içeren bir mesajın bir

iletişim aracıyla veya elektronik posta servisiyle iletilmesi durumunda,

mesajda belirtilen kişisel verilere dair denetleyici; iletim servislerini sunan

kişi yerine, mesajın çıktığı kişi olarak kabul edilecektir; bununla birlikte bu



277

tür servisleri sunanlar, normal olarak, servisin çalışması için gerekli ek

kişisel verilerin işlenmesi bakımından denetleyici olarak kabul edilecektir;

(48) Denetleme makamını bilgilendirmeye dönük prosedürler, faaliyetin, bu

Direktif kapsamında alınan ulusal tedbirlere uygun olduğunu doğrulama

amacı için, herhangi bir işleme faaliyetinin amaçlarının ve ana

özelliklerinin açıklanmasını sağlamak üzere tasarlanmıştır;

(49) Uygun olmayan idari formalitelerden kaçınmak için, gerekli bildirim

yükümlülüğünden muafiyetler; sınırlarını belirten bir Üye Devlet

tarafından alınan bir tedbire uyumlu olması koşuluyla, işlemenin, veri

öznelerinin haklarını ve özgürlüklerini olumsuz şekilde etkilemesinin

mümkün olmadığı durumlarda, Üye Devlet tarafından koyulabilir; benzer

şekilde muafiyet veya basitleştirme, denetleyici tarafından atanan bir

kişinin yürütülen işlemenin veri öznelerinin haklarını ve özgürlüklerini

olumsuz şekilde etkilemesinin olanaksız olmasını sağladığında, Üye

Devletler tarafından koyulabilir; ister denetleyicinin bir çalışanı olsun

veya olmasın bu tür bir veri koruma görevlisi tam bağımsızlık içinde

işlevlerini yerine getirecek bir konumda olmalıdır;

(50) Muafiyet veya basitleştirme, meşru bir menfaati kanıtlayan bir kişi veya

kamu tarafından danışmaya açma ve kamuya bilgi sağlamak için ulusal

yasaya göre tek amacı kayıt tutma olan işleme faaliyetleri için

öngörülebilir;

(51) Yine de bildirim yükümlülüğünden muafiyet veya basitleştirme

denetleyiciyi bu Direktiften kaynaklanan diğer yükümlülüklerinin

herhangi birisinden kurtarmayacaktır;

(52) Bu bağlamda, genel olarak yetkili makamlar tarafından olaydan sonra

doğrulama yeterli bir tedbir olarak kabul edilmelidir;



276

istisnalar ve sınırlamaların listesi, kamu güvenliği, ekonomik veya mali

menfaatler ve suç önlemeye ilişkin en son söz edilen üç alanda gerekli

yönetmelik veya izleme, denetim görevlerini içermelidir; bu üç alandaki

görevlerin listelenmesi, Devlet güvenlik veya savunma nedenleri için

sınırlamaları veya istisnaların meşruiyetini etkilemez;

(44) Üye Devletler, Topluluk hukuku gerekçesiyle, yukarıda atıfta bulunulan

amaçların bazısını güvenceye almak için, verilerin kalitesi ve bireyleri

bilgilendirme yükümlülüğü, erişim hakkına ilişkin bu Direktifin

hükümlerine uymayabilir;

(45) Verilerin, gerçek veya tüzel bir kişinin meşru menfaatleri veya resmi

otorite, kamu menfaati gerekçesiyle yasal olarak işlenebileceği

durumlarda, herhangi bir veri öznesine, yine de kendisine ait herhangi

bir verinin işlenmesine itiraz etmek için özel durumuna ilişkin meşru ve

mecburi gerekçelerle izin verilmelidir; bununla birlikte Üye Devletler

bunun aksine ulusal hüküm koyabilirler;

(46) Kişisel verilerin işlenmesine dair veri öznelerinin haklarının ve

özgürlüklerinin korunması, hem, güvenliği sağlamak ve bu suretle

herhangi bir yetkisiz işlemeyi önlemek için işlemenin kendi zamanında

hem de işleme sisteminin tasarımı zamanında uygun teknik ve kurumsal

tedbirlerin alınmasını gerektirir; bu tedbirlere denetleyicilerin uymasını

sağlamak Üye Devletlerin ödevidir, bu tedbirler, korunacak verilerin

yapısı ve işlemenin yapısındaki risklere ilişkin uygulamanın maliyetlerini

ve durumunu dikkate alarak uygun güvenlik seviyesini sağlamalıdır;

(47) Tek amacı verilerin iletilmesi olan, kişisel verileri içeren bir mesajın bir

iletişim aracıyla veya elektronik posta servisiyle iletilmesi durumunda,

mesajda belirtilen kişisel verilere dair denetleyici; iletim servislerini sunan

kişi yerine, mesajın çıktığı kişi olarak kabul edilecektir; bununla birlikte bu



277

tür servisleri sunanlar, normal olarak, servisin çalışması için gerekli ek

kişisel verilerin işlenmesi bakımından denetleyici olarak kabul edilecektir;

(48) Denetleme makamını bilgilendirmeye dönük prosedürler, faaliyetin, bu

Direktif kapsamında alınan ulusal tedbirlere uygun olduğunu doğrulama

amacı için, herhangi bir işleme faaliyetinin amaçlarının ve ana

özelliklerinin açıklanmasını sağlamak üzere tasarlanmıştır;

(49) Uygun olmayan idari formalitelerden kaçınmak için, gerekli bildirim

yükümlülüğünden muafiyetler; sınırlarını belirten bir Üye Devlet

tarafından alınan bir tedbire uyumlu olması koşuluyla, işlemenin, veri

öznelerinin haklarını ve özgürlüklerini olumsuz şekilde etkilemesinin

mümkün olmadığı durumlarda, Üye Devlet tarafından koyulabilir; benzer

şekilde muafiyet veya basitleştirme, denetleyici tarafından atanan bir

kişinin yürütülen işlemenin veri öznelerinin haklarını ve özgürlüklerini

olumsuz şekilde etkilemesinin olanaksız olmasını sağladığında, Üye

Devletler tarafından koyulabilir; ister denetleyicinin bir çalışanı olsun

veya olmasın bu tür bir veri koruma görevlisi tam bağımsızlık içinde

işlevlerini yerine getirecek bir konumda olmalıdır;

(50) Muafiyet veya basitleştirme, meşru bir menfaati kanıtlayan bir kişi veya

kamu tarafından danışmaya açma ve kamuya bilgi sağlamak için ulusal

yasaya göre tek amacı kayıt tutma olan işleme faaliyetleri için

öngörülebilir;

(51) Yine de bildirim yükümlülüğünden muafiyet veya basitleştirme

denetleyiciyi bu Direktiften kaynaklanan diğer yükümlülüklerinin

herhangi birisinden kurtarmayacaktır;

(52) Bu bağlamda, genel olarak yetkili makamlar tarafından olaydan sonra

doğrulama yeterli bir tedbir olarak kabul edilmelidir;



278

(53) Ancak bazı işleme faaliyetlerinin, yeni teknolojilerin özel kullanımından

dolayı veya bir sözleşme, hak, faydadan bireyleri kapsam dışı tutanlar gibi

kendi amaçlarının kapsamı nedeniyle veri öznelerinin hak ve

özgürlüklerine özel riskler yaratması olasıdır; Üye Devletler isterlerse

mevzuatlarında bu tür riskleri belirtebilirler;

(54) Toplulukta yapılan tüm işlemeye ilişkin olarak; özel riskleri ortaya çıkaran

miktar çok sınırlı olmalıdır; Üye Devletler denetleme makamı veya

makamla işbirliği içindeki veri koruma görevlisinin, işlenmesinden önce

kontrolün yapılmasını sağlamalıdır; bu ön kontrolün ardından, ulusal

yasasına göre denetleme makamı, işlemeye dair bir görüş veya bir izin

verebilir; bu tür kontrol; ya ulusal parlamentonun bir tedbirin ya da

işlemenin yapısını tanımlayan ve uygun korunma önlemlerini belirten bir

yasal tedbirin hazırlanmasıyla eş zamanlı olabilir;

(55) Denetleyici veri öznelerinin haklarını gözetmezse, ulusal mevzuat bir

yargı yolu sağlamalıdır; yasadışı işlemenin bir sonucu olarak bir kişinin

maruz kalabileceği herhangi bir zarar; mücbir sebepler durumunda ya da

hatanın veri öznesinin tarafında olduğunu saptadığı durumlarda;

zarardan sorumlu olmadığını kanıtlarsa yükümlülükten muaf tutulacak

olan denetleyici tarafından tazmin edilmelidir; yaptırımlar, bu Direktif

kapsamında alınan ulusal tedbirlere uymayanın kamu veya özel hukuk

tarafından yönetilen herhangi bir kişi olduğuna bakılmaksızın

uygulanmalıdır;

(56) Kişisel verilerin sınır ötesi dolaşımı, uluslararası ticaretin genişletilmesi

için gereklidir, Bu Direktifle Topluluk bünyesinde garanti edilen

bireylerin korunması; yeterli koruma seviyesini sağlayan üçüncü ülkelere

kişisel verilerin aktarılmasını önlememelidir; üçüncü bir ülke tarafından

sağlanan koruma seviyesinin yeterliliği, transfer işlemleri veya transfer

işlemini çevreleyen tüm koşulların ışığında değerlendirilmelidir;



279

(57) Diğer taraftan yeterli ve elverişli koruma seviyesini sağlamayan üçüncü

bir ülkeye, kişisel verilerin transferi yasaklanmalıdır;

(58) Transferin, yasayla belirlenen bir kayıttan ve meşru menfaate sahip kamu

veya kişiler tarafından danışma için yapıldığı veya örneğin, sosyal

güvenlik konularında yetkili servisler arasında veya gümrük veya vergi

idareleri arasında verilerin uluslararası transferi durumunda, önemli

kamu menfaati korumasının bunu gerektirdiği bir sözleşme veya yasal

hak talebine ilişkin transferin gerektiği, veri öznesinin rızasını verdiği bazı

durumlarda bu yasaktan muafiyet için önlemler alınmalıdır; bu tür bir

transferin kayıttaki mevcut tüm veri kategorilerini veya verilerin tümünü

gerektirmediği durumlarda ve kayıt, meşru bir menfaate sahip kişiler

tarafından danışılma içinse, transfer yalnızca bu kişilerin talebi üzerine

veya bunlar alıcı olacaklarsa yapılmalıdır;

(59) Denetleyicinin, uygun korunma önlemleri sunduğu durumlarda, üçüncü

bir ülkede koruma olmayışını tazmin etmek için özel önlemler

alınmalıdır; ayrıca Topluluk ve bu tür üçüncü ülkeler arasındaki

müzakere prosedürleri için önlem alınmalıdır;

(60) Herhangi bir durumda, üçüncü ülkelere transferler, bu Direktif ve

özellikle ilgili 8. maddesi uyarınca, yalnızca Üye Devletler tarafından

kabul edilen hükümlere tam uygun şekilde gerçekleştirilebilir;

(61) Üye Devletler ve Komisyon, kendi ilgili yetki alanları içinde, uygulanması

için benimsenen ulusal hükümleri gözeterek ve bazı sektörlerde yerine

getirilen işlemenin özel karakteristiklerini göz önüne alarak, bu Direktifin

uygulanmasını kolaylaştırmak hususunda, davranış kurallarını

düzenlemeleri için ticari birlikleri ve ilgili diğer temsilci kuruluşları teşvik

etmelidir;



278

(53) Ancak bazı işleme faaliyetlerinin, yeni teknolojilerin özel kullanımından

dolayı veya bir sözleşme, hak, faydadan bireyleri kapsam dışı tutanlar gibi

kendi amaçlarının kapsamı nedeniyle veri öznelerinin hak ve

özgürlüklerine özel riskler yaratması olasıdır; Üye Devletler isterlerse

mevzuatlarında bu tür riskleri belirtebilirler;

(54) Toplulukta yapılan tüm işlemeye ilişkin olarak; özel riskleri ortaya çıkaran

miktar çok sınırlı olmalıdır; Üye Devletler denetleme makamı veya

makamla işbirliği içindeki veri koruma görevlisinin, işlenmesinden önce

kontrolün yapılmasını sağlamalıdır; bu ön kontrolün ardından, ulusal

yasasına göre denetleme makamı, işlemeye dair bir görüş veya bir izin

verebilir; bu tür kontrol; ya ulusal parlamentonun bir tedbirin ya da

işlemenin yapısını tanımlayan ve uygun korunma önlemlerini belirten bir

yasal tedbirin hazırlanmasıyla eş zamanlı olabilir;

(55) Denetleyici veri öznelerinin haklarını gözetmezse, ulusal mevzuat bir

yargı yolu sağlamalıdır; yasadışı işlemenin bir sonucu olarak bir kişinin

maruz kalabileceği herhangi bir zarar; mücbir sebepler durumunda ya da

hatanın veri öznesinin tarafında olduğunu saptadığı durumlarda;

zarardan sorumlu olmadığını kanıtlarsa yükümlülükten muaf tutulacak

olan denetleyici tarafından tazmin edilmelidir; yaptırımlar, bu Direktif

kapsamında alınan ulusal tedbirlere uymayanın kamu veya özel hukuk

tarafından yönetilen herhangi bir kişi olduğuna bakılmaksızın

uygulanmalıdır;

(56) Kişisel verilerin sınır ötesi dolaşımı, uluslararası ticaretin genişletilmesi

için gereklidir, Bu Direktifle Topluluk bünyesinde garanti edilen

bireylerin korunması; yeterli koruma seviyesini sağlayan üçüncü ülkelere

kişisel verilerin aktarılmasını önlememelidir; üçüncü bir ülke tarafından

sağlanan koruma seviyesinin yeterliliği, transfer işlemleri veya transfer

işlemini çevreleyen tüm koşulların ışığında değerlendirilmelidir;



279

(57) Diğer taraftan yeterli ve elverişli koruma seviyesini sağlamayan üçüncü

bir ülkeye, kişisel verilerin transferi yasaklanmalıdır;

(58) Transferin, yasayla belirlenen bir kayıttan ve meşru menfaate sahip kamu

veya kişiler tarafından danışma için yapıldığı veya örneğin, sosyal

güvenlik konularında yetkili servisler arasında veya gümrük veya vergi

idareleri arasında verilerin uluslararası transferi durumunda, önemli

kamu menfaati korumasının bunu gerektirdiği bir sözleşme veya yasal

hak talebine ilişkin transferin gerektiği, veri öznesinin rızasını verdiği bazı

durumlarda bu yasaktan muafiyet için önlemler alınmalıdır; bu tür bir

transferin kayıttaki mevcut tüm veri kategorilerini veya verilerin tümünü

gerektirmediği durumlarda ve kayıt, meşru bir menfaate sahip kişiler

tarafından danışılma içinse, transfer yalnızca bu kişilerin talebi üzerine

veya bunlar alıcı olacaklarsa yapılmalıdır;

(59) Denetleyicinin, uygun korunma önlemleri sunduğu durumlarda, üçüncü

bir ülkede koruma olmayışını tazmin etmek için özel önlemler

alınmalıdır; ayrıca Topluluk ve bu tür üçüncü ülkeler arasındaki

müzakere prosedürleri için önlem alınmalıdır;

(60) Herhangi bir durumda, üçüncü ülkelere transferler, bu Direktif ve

özellikle ilgili 8. maddesi uyarınca, yalnızca Üye Devletler tarafından

kabul edilen hükümlere tam uygun şekilde gerçekleştirilebilir;

(61) Üye Devletler ve Komisyon, kendi ilgili yetki alanları içinde, uygulanması

için benimsenen ulusal hükümleri gözeterek ve bazı sektörlerde yerine

getirilen işlemenin özel karakteristiklerini göz önüne alarak, bu Direktifin

uygulanmasını kolaylaştırmak hususunda, davranış kurallarını

düzenlemeleri için ticari birlikleri ve ilgili diğer temsilci kuruluşları teşvik

etmelidir;



280

(62) Denetim makamına ilişkin Üye Devletlerdeki tam bağımsız olarak

işlevlerini yerine getiren kuruluşlar; kişisel verilerin işlenmesine dair

bireylerin korunmasında, zorunlu bir bileşendir;

(63) Bu tür makamlar, özellikle yasal takibata kalkışma yetkisi ve bireylerden

şikayet durumlarında inceleme ve müdahale yetkileri dahil olmak üzere

kendi görevlerini yerine getirmek için gerekli araçlara sahip olmalıdır; bu

tür makamlar, kendi yetki alanlarındaki Üye Devletlerde; işlemenin

şeffaflığını sağlamak için yardımcı olmalıdırlar;

(64) Farklı Üye Devletlerdeki makamlar, Avrupa Birliği çapında, koruma

kurallarının uygun şekilde gözetilmesini sağlamak için kendi görevlerini

yerine getirmede birbirlerini desteklemeye ihtiyaç duyacaklardır;

(65) Topluluk düzeyinde, kişisel verilerin işlenmesine dair Bireylerin

Korunması hakkında bir Çalışma Grubu kurulmalıdır ve işlevlerini yerine

getirmede tamamen bağımsız olmalıdır; özel yapılarını dikkate alarak,

Komisyona tavsiyelerde bulunmalıdır ve özellikle bu Direktif uyarınca

kabul edilen ulusal kuralların homojen uygulanmasına katkı sağlamalıdır;

(66) Bu direktif, üçüncü ülkelere verilerin transferine ilişkin olarak,

87/373/EEC4 sayılı Konsey kararında belirtilen şekilde bir prosedürün

tesisini ve Komisyon üzerindeki uygulama yetkilerinin verilmesini

gerektirir5;

(67) AT Anlaşmasının MADDE 189 b’sinde öngörülen prosedüre uygun olarak

kabul edilen eylemler için tedbirleri uygulamaya dair, Avrupa

Parlamentosu, Konsey ve Komisyon arasında GEÇİCİ bir anlaşma üzerine

mutabakata 20 Aralık 1994 tarihinde erişilmiştir;

(68) Bu Direktifte düzenlenen kişisel verilerin işlenmesine dair, kişisel

mahremiyet hakkı başta olmak üzere; bireylerin hak ve özgürlüklerinin

korunmasına dair prensiplere; özellikle, bu prensiplere dayalı özel



281

kurallarla ilgili belirli sektörlere göre, ilave yapılabilir veya daha açık

şekilde anlatılabilir;

(69) Üye Devletlere, önceden devam eden tüm işleme faaliyetlerine, yeni

ulusal kuralları kademeli şekilde uygulamak için, bu Direktifin yerini alan

ulusal tedbirlerin uygulamaya girdiği yıldan itibaren üç yılı geçemeyen

bir süre verilmelidir; maliyet etkin uygulanmasını kolaylaştırmak için,

Direktif hükümlerinin bazısıyla mevcut manuel dosyalama sistemlerinin

uyumunu sağlamak üzere, bu Direktifin kabul edilme tarihinden 12 yıl

sonra biten başka bir süre Üye Devletlere verilecektir; bu tür dosyalama

sistemlerinde bulunan veriler bu genişletilmiş geçiş dönemi esnasında

manuel olarak işlenir. Bu sistemler, bu işleme sırasındaki hükümlerle

uyumlu hale getirilmelidir;

(70) Bu hükümlerin yürürlüğe girmesinden önce bildirilen rıza ve ücrete

dayalı sonuçlandırılan bir sözleşmenin yerine getirilmesinde gerekli

herhangi bir hassas veri için, bu Direktif uyarınca alınan ulusal hükümler

yürürlüğe girdikten sonra, veri öznesinin sürece devam etmesi için

denetleyiciye yine izin vermesine gerek yoktur;

(71) Bu tür düzenleme, kişisel verilerin işlenmesine dair bireylerin

korunmasını ilgilendirmediğinde, Bu Direktif, ülkede oturan tüketicilere

yönelik pazarlama faaliyetlerini düzenleyen bir üye Devlet yönteminin

yerini almaz;

(72) Bu Direktif, bu Direktifte düzenlenen prensipler uygulandığında, dikkate

alınması gereken resmi belgelere kamu erişim esaslarına olanak sağlar;

BU DİREKTİFİ KABUL ETMİŞTİR:



280

(62) Denetim makamına ilişkin Üye Devletlerdeki tam bağımsız olarak

işlevlerini yerine getiren kuruluşlar; kişisel verilerin işlenmesine dair

bireylerin korunmasında, zorunlu bir bileşendir;

(63) Bu tür makamlar, özellikle yasal takibata kalkışma yetkisi ve bireylerden

şikayet durumlarında inceleme ve müdahale yetkileri dahil olmak üzere

kendi görevlerini yerine getirmek için gerekli araçlara sahip olmalıdır; bu

tür makamlar, kendi yetki alanlarındaki Üye Devletlerde; işlemenin

şeffaflığını sağlamak için yardımcı olmalıdırlar;

(64) Farklı Üye Devletlerdeki makamlar, Avrupa Birliği çapında, koruma

kurallarının uygun şekilde gözetilmesini sağlamak için kendi görevlerini

yerine getirmede birbirlerini desteklemeye ihtiyaç duyacaklardır;

(65) Topluluk düzeyinde, kişisel verilerin işlenmesine dair Bireylerin

Korunması hakkında bir Çalışma Grubu kurulmalıdır ve işlevlerini yerine

getirmede tamamen bağımsız olmalıdır; özel yapılarını dikkate alarak,

Komisyona tavsiyelerde bulunmalıdır ve özellikle bu Direktif uyarınca

kabul edilen ulusal kuralların homojen uygulanmasına katkı sağlamalıdır;

(66) Bu direktif, üçüncü ülkelere verilerin transferine ilişkin olarak,

87/373/EEC4 sayılı Konsey kararında belirtilen şekilde bir prosedürün

tesisini ve Komisyon üzerindeki uygulama yetkilerinin verilmesini

gerektirir5;

(67) AT Anlaşmasının MADDE 189 b’sinde öngörülen prosedüre uygun olarak

kabul edilen eylemler için tedbirleri uygulamaya dair, Avrupa

Parlamentosu, Konsey ve Komisyon arasında GEÇİCİ bir anlaşma üzerine

mutabakata 20 Aralık 1994 tarihinde erişilmiştir;

(68) Bu Direktifte düzenlenen kişisel verilerin işlenmesine dair, kişisel

mahremiyet hakkı başta olmak üzere; bireylerin hak ve özgürlüklerinin

korunmasına dair prensiplere; özellikle, bu prensiplere dayalı özel



281

kurallarla ilgili belirli sektörlere göre, ilave yapılabilir veya daha açık

şekilde anlatılabilir;

(69) Üye Devletlere, önceden devam eden tüm işleme faaliyetlerine, yeni

ulusal kuralları kademeli şekilde uygulamak için, bu Direktifin yerini alan

ulusal tedbirlerin uygulamaya girdiği yıldan itibaren üç yılı geçemeyen

bir süre verilmelidir; maliyet etkin uygulanmasını kolaylaştırmak için,

Direktif hükümlerinin bazısıyla mevcut manuel dosyalama sistemlerinin

uyumunu sağlamak üzere, bu Direktifin kabul edilme tarihinden 12 yıl

sonra biten başka bir süre Üye Devletlere verilecektir; bu tür dosyalama

sistemlerinde bulunan veriler bu genişletilmiş geçiş dönemi esnasında

manuel olarak işlenir. Bu sistemler, bu işleme sırasındaki hükümlerle

uyumlu hale getirilmelidir;

(70) Bu hükümlerin yürürlüğe girmesinden önce bildirilen rıza ve ücrete

dayalı sonuçlandırılan bir sözleşmenin yerine getirilmesinde gerekli

herhangi bir hassas veri için, bu Direktif uyarınca alınan ulusal hükümler

yürürlüğe girdikten sonra, veri öznesinin sürece devam etmesi için

denetleyiciye yine izin vermesine gerek yoktur;

(71) Bu tür düzenleme, kişisel verilerin işlenmesine dair bireylerin

korunmasını ilgilendirmediğinde, Bu Direktif, ülkede oturan tüketicilere

yönelik pazarlama faaliyetlerini düzenleyen bir üye Devlet yönteminin

yerini almaz;

(72) Bu Direktif, bu Direktifte düzenlenen prensipler uygulandığında, dikkate

alınması gereken resmi belgelere kamu erişim esaslarına olanak sağlar;

BU DİREKTİFİ KABUL ETMİŞTİR:



282

BÖLÜM I - GENEL HÜKÜMLER

MADDE 1 Direktifin Amacı

(1) Bu Direktife uygun olarak, Üye Devletler, kişisel verilerin işlenmesine dair

başta kişisel mahremiyet hakkı olmak üzere gerçek kişilerin temel haklarını

ve özgürlüklerini koruyacaktır;

(2) Üye Devletler 1. paragraf kapsamında sağlanan korumayla bağlantılı

nedenler için Üye Devletler arasında kişisel verilerin akışını yasaklamayacak

ya da engellemeyeceklerdir;

MADDE 2 Tanımlar

Bu Direktifin amacı için:

a. “kişisel veri” fiziksel, fizyolojik, zihinsel, ekonomik, kültürel veya sosyal

kimliğine özel bir veya daha fazla faktöre veya bir kimlik numarasına atıf

başta olmak üzere doğrudan veya dolaylı olarak tespit edilebilen bir

tespit edilebilir kişi; tespit edilmiş veya tespit edilebilir gerçek kişiye (“veri

öznesi) ilişkin herhangi bir bilgiyi kastedecektir;

b. “kişisel verilerin işlenmesi (işleme)”, silme veya tahrip etme, engelleme,

birleştirme veya sıralama, sağlama ya da dağıtma, iletmeyle açıklama,

toplama, kaydetme, organizasyon, depolama, adaptasyon veya

değiştirme, kurtarma, danışma gibi otomatik ya da otomatik olmayan

araçlarla kişisel veriler üzerinde yapılan herhangi bir faaliyet veya faaliyet

dizisini kastedecektir;

c. “kişisel veri dosyalama sistemi (dosyalama sistemi)” ister merkezi ister

merkezi olmayan ya da bir işlevsel veya coğrafi tabana dağıtılmış özel

kriterlere göre erişilebilir olan herhangi bir yapılandırılmış kişisel veri


d. “denetleyici”, kişisel verilerin işlenme araçlarını ve amaçlarını tek başına

ya da diğerleriyle ortaklaşa belirleyen gerçek veya tüzel kişiyi, kamu



283

makamını, devlet dairesini veya başka bir kuruluşu kastedecektir; işleme

amaçları ve araçları ulusal veya Topluluk hukuku veya yönetmelikleriyle

belirlendiğinde, denetleyici veya atanması için özel kriterler, ulusal veya

topluluk hukukuyla belirlenebilir;

e. “işleyici”, denetleyici adına kişisel verileri işleyen bir gerçek veya tüzel

kişiyi, kamu makamını, devlet dairesini veya diğer bir kuruluşu

kastedecektir;

f. “üçüncü şahıs”, veri işlemek için yetkilendirilen işleyici veya

denetleyicinin doğrudan yetkisi altındaki kişiler ve işleyici,

denetleyici,veri öznesi dışındaki herhangi bir gerçek veya tüzel kişi, kamu

makamını, devlet dairesini veya başka bir kuruluşu kastedecektir;

g. “alıcı”, ister bir üçüncü şahıs olsun ya da olmasın, verilerin açıklandığı bir

gerçek veya tüzel kişiyi, kamu makamını, devlet dairesini veya başka bir

kuruluşu kastedecektir; ancak, özel bir soruşturma çerçevesinde verileri

alan makamlar alıcı olarak kabul edilmeyecektir;

h. “veri öznesinin rızası”, kendisine dair kişisel verilerin işlenmesi için veri

öznesinin kabulüne işaret eden, özgürce ve bilgilendirilme yapıldıktan

sonra alınan rızayı kastedecektir.

MADDE 3 Kapsam

(1) Bu Direktif, bir dosyalama sisteminin parçasını oluşturması istenen veya

bir dosyalama sisteminin parçasını oluşturan kişisel verilerin otomatik araçlar

dışında işlenmesine ve kısmen veya tamamen otomatik araçlarla kişisel

verilerin işlenmesine uygulanacaktır.

(2) Bu Direktif, kişisel verilerin işlenmesine uygulanmayacaktır:

- ceza hukuku alanındaki Devlet faaliyetleri ve (işleme faaliyeti Devlet

güvenlik konularını ilgilendirdiğinde, Devletin ekonomik refahı dahil olmak

üzere) Devlet güvenliği, savunma, kamu güvenliğine ilişkin verilerin

işlenmesi için herhangi bir durumda ve Avrupa Birliği Anlaşmasının V ve VI.



282

BÖLÜM I - GENEL HÜKÜMLER

MADDE 1 Direktifin Amacı

(1) Bu Direktife uygun olarak, Üye Devletler, kişisel verilerin işlenmesine dair

başta kişisel mahremiyet hakkı olmak üzere gerçek kişilerin temel haklarını

ve özgürlüklerini koruyacaktır;

(2) Üye Devletler 1. paragraf kapsamında sağlanan korumayla bağlantılı

nedenler için Üye Devletler arasında kişisel verilerin akışını yasaklamayacak

ya da engellemeyeceklerdir;

MADDE 2 Tanımlar

Bu Direktifin amacı için:

a. “kişisel veri” fiziksel, fizyolojik, zihinsel, ekonomik, kültürel veya sosyal

kimliğine özel bir veya daha fazla faktöre veya bir kimlik numarasına atıf

başta olmak üzere doğrudan veya dolaylı olarak tespit edilebilen bir

tespit edilebilir kişi; tespit edilmiş veya tespit edilebilir gerçek kişiye (“veri

öznesi) ilişkin herhangi bir bilgiyi kastedecektir;

b. “kişisel verilerin işlenmesi (işleme)”, silme veya tahrip etme, engelleme,

birleştirme veya sıralama, sağlama ya da dağıtma, iletmeyle açıklama,

toplama, kaydetme, organizasyon, depolama, adaptasyon veya

değiştirme, kurtarma, danışma gibi otomatik ya da otomatik olmayan

araçlarla kişisel veriler üzerinde yapılan herhangi bir faaliyet veya faaliyet


c. “kişisel veri dosyalama sistemi (dosyalama sistemi)” ister merkezi ister

merkezi olmayan ya da bir işlevsel veya coğrafi tabana dağıtılmış özel

kriterlere göre erişilebilir olan herhangi bir yapılandırılmış kişisel veri


d. “denetleyici”, kişisel verilerin işlenme araçlarını ve amaçlarını tek başına

ya da diğerleriyle ortaklaşa belirleyen gerçek veya tüzel kişiyi, kamu



283

makamını, devlet dairesini veya başka bir kuruluşu kastedecektir; işleme

amaçları ve araçları ulusal veya Topluluk hukuku veya yönetmelikleriyle

belirlendiğinde, denetleyici veya atanması için özel kriterler, ulusal veya

topluluk hukukuyla belirlenebilir;

e. “işleyici”, denetleyici adına kişisel verileri işleyen bir gerçek veya tüzel

kişiyi, kamu makamını, devlet dairesini veya diğer bir kuruluşu

kastedecektir;

f. “üçüncü şahıs”, veri işlemek için yetkilendirilen işleyici veya

denetleyicinin doğrudan yetkisi altındaki kişiler ve işleyici,

denetleyici,veri öznesi dışındaki herhangi bir gerçek veya tüzel kişi, kamu

makamını, devlet dairesini veya başka bir kuruluşu kastedecektir;

g. “alıcı”, ister bir üçüncü şahıs olsun ya da olmasın, verilerin açıklandığı bir

gerçek veya tüzel kişiyi, kamu makamını, devlet dairesini veya başka bir

kuruluşu kastedecektir; ancak, özel bir soruşturma çerçevesinde verileri

alan makamlar alıcı olarak kabul edilmeyecektir;

h. “veri öznesinin rızası”, kendisine dair kişisel verilerin işlenmesi için veri

öznesinin kabulüne işaret eden, özgürce ve bilgilendirilme yapıldıktan

sonra alınan rızayı kastedecektir.

MADDE 3 Kapsam

(1) Bu Direktif, bir dosyalama sisteminin parçasını oluşturması istenen veya

bir dosyalama sisteminin parçasını oluşturan kişisel verilerin otomatik araçlar

dışında işlenmesine ve kısmen veya tamamen otomatik araçlarla kişisel

verilerin işlenmesine uygulanacaktır.

(2) Bu Direktif, kişisel verilerin işlenmesine uygulanmayacaktır:

- ceza hukuku alanındaki Devlet faaliyetleri ve (işleme faaliyeti Devlet

güvenlik konularını ilgilendirdiğinde, Devletin ekonomik refahı dahil olmak

üzere) Devlet güvenliği, savunma, kamu güvenliğine ilişkin verilerin

işlenmesi için herhangi bir durumda ve Avrupa Birliği Anlaşmasının V ve VI.



284

başlıklarıyla belirtilenler gibi Topluluk hukuku kaspamının dışına düşen bir

faaliyet esnasında,

- bir gerçek kişi tarafından, tamamen kişisel veya ev içi faaliyeti esnasında.

MADDE 4 Uygulanacak ulusal kanun

(1) Her bir Üye Devlet, aşağıdaki durumlarda, kişisel verilerin işlenmesi için

bu Direktif uyarınca kabul ettikleri ulusal hükümleri uygulayacaklardır:

a. İşleme, Üye Devletin topraklarındaki denetleyici kuruluşunun faaliyetleri

bağlamında yapıldığında; aynı denetleyici, çeşitli Üye Devletlerin

toprağında yerleşikse, bu kuruluşların her birinin, uygulanan ulusal

mevzuatlarda öngörülen yükümlülüklere uymasını temin edecek gerekli

tedbirleri almalıdır;

b. denetleyici Üye Devletin topraklarında yerleşik olmayıp, uluslararası

kamu hukukuna göre ulusal hukukun uygulandığı bir yerde bulunuyorsa;

c. denetleyici Topluluk topraklarında yerleşik değilse ve işleme amaçları

için, kişisel veriler, bahse konu Üye devlet topraklarında konumlanan

otomatik cihazları kullanırsa, bu tür cihazlar yalnızca Topluluk toprağı

boyunca iletilme amacı için kullanılmadıkça;

(2) 1 (c) paragrafında atıfta bulunulan koşullarda, denetleyici, denetleyicinin

kendisine karşı başlatılabilecek davalara zarar vermeksizin o Üye Devlet

toprağında yerleşik bir temsilci atamalıdır.

BÖLÜM II - KİŞİSEL VERİLERİN İŞLENMESİNİN YASALLIĞI HAKKINDAKİ

GENEL KURALLAR

MADDE 5

Üye Devletler, bu bölüm hükümlerinin sınırları kapsamında, kişisel verileri

işlemenin yasal olduğu koşulları daha hassas şekilde belirleyeceklerdir.



285

I. KISIM - VERİ KALİTESİNE İLİŞKİN PRENSİPLER

MADDE 6

(1) Üye Devletler, kişisel verilerin aşağıdaki şekilde olmasını sağlayacaklardır:

a. adil ve yasal olarak işlenmiş;

b. belirli, açık ve meşru amaçlar için toplanmış ve bu amaçlarla uyumsuz

biçimde başkaca işlenmemiş. Üye Devletlerin uygun korunma önlemleri

sağlaması koşuluyla; tarihsel, istatistiksel veya bilimsel amaçlar için

verilerin detaylı işlenmesi; uyumsuz olarak kabul edilmeyecektir;

c. toplandığı ve/veya ayrıca işlendiği amaçlara ilişkin olarak yeterlidir,

ilgilidir ve bu amacı aşmaz;

d. doğrudur ve gerektiği yerde güncel tutulur. Toplanma ve sonrasındaki

işlenme, silinme veya düzeltilme amaçlarını göz önünde tutarak verilerin

yanlış veya eksik olmamasını sağlayacak tüm makul önlemler alınmalıdır;

e. verilerin toplandığı esnada veya sonrasında işlendiği amaçlar için

gerekenden daha uzun olmayan süre boyunca, veri öznelerinin tespitine

izin veren biçimde tutulur. Üye Devletler, tarihsel, istatistiksel veya

bilimsel kullanım amacıyla daha uzun süreli depolanan kişisel veriler için

uygun koruma önlemleri alacaktır.

(2) 1. paragrafa uyulmasını sağlamak, denetleyicinin sorumluluğunda

olacaktır.

II. KISIM

VERİ İŞLEMEYİ YASALLAŞTIRMA KRİTERLERİ

MADDE 7

Üye Devletler, kişisel verilerin işlenebilmesini yalnızca aşağıdaki koşullar

sağlanırsa sağlayacaklardır:

a. Veri öznesi açık, kesin ve net bir biçimde rızasını vermişse veya



284

başlıklarıyla belirtilenler gibi Topluluk hukuku kaspamının dışına düşen bir

faaliyet esnasında,

- bir gerçek kişi tarafından, tamamen kişisel veya ev içi faaliyeti esnasında.

MADDE 4 Uygulanacak ulusal kanun

(1) Her bir Üye Devlet, aşağıdaki durumlarda, kişisel verilerin işlenmesi için

bu Direktif uyarınca kabul ettikleri ulusal hükümleri uygulayacaklardır:

a. İşleme, Üye Devletin topraklarındaki denetleyici kuruluşunun faaliyetleri

bağlamında yapıldığında; aynı denetleyici, çeşitli Üye Devletlerin

toprağında yerleşikse, bu kuruluşların her birinin, uygulanan ulusal

mevzuatlarda öngörülen yükümlülüklere uymasını temin edecek gerekli

tedbirleri almalıdır;

b. denetleyici Üye Devletin topraklarında yerleşik olmayıp, uluslararası

kamu hukukuna göre ulusal hukukun uygulandığı bir yerde bulunuyorsa;

c. denetleyici Topluluk topraklarında yerleşik değilse ve işleme amaçları

için, kişisel veriler, bahse konu Üye devlet topraklarında konumlanan

otomatik cihazları kullanırsa, bu tür cihazlar yalnızca Topluluk toprağı

boyunca iletilme amacı için kullanılmadıkça;

(2) 1 (c) paragrafında atıfta bulunulan koşullarda, denetleyici, denetleyicinin

kendisine karşı başlatılabilecek davalara zarar vermeksizin o Üye Devlet

toprağında yerleşik bir temsilci atamalıdır.

BÖLÜM II - KİŞİSEL VERİLERİN İŞLENMESİNİN YASALLIĞI HAKKINDAKİ

GENEL KURALLAR

MADDE 5

Üye Devletler, bu bölüm hükümlerinin sınırları kapsamında, kişisel verileri

işlemenin yasal olduğu koşulları daha hassas şekilde belirleyeceklerdir.



285

I. KISIM - VERİ KALİTESİNE İLİŞKİN PRENSİPLER

MADDE 6

(1) Üye Devletler, kişisel verilerin aşağıdaki şekilde olmasını sağlayacaklardır:

a. adil ve yasal olarak işlenmiş;

b. belirli, açık ve meşru amaçlar için toplanmış ve bu amaçlarla uyumsuz

biçimde başkaca işlenmemiş. Üye Devletlerin uygun korunma önlemleri

sağlaması koşuluyla; tarihsel, istatistiksel veya bilimsel amaçlar için

verilerin detaylı işlenmesi; uyumsuz olarak kabul edilmeyecektir;

c. toplandığı ve/veya ayrıca işlendiği amaçlara ilişkin olarak yeterlidir,

ilgilidir ve bu amacı aşmaz;

d. doğrudur ve gerektiği yerde güncel tutulur. Toplanma ve sonrasındaki

işlenme, silinme veya düzeltilme amaçlarını göz önünde tutarak verilerin

yanlış veya eksik olmamasını sağlayacak tüm makul önlemler alınmalıdır;

e. verilerin toplandığı esnada veya sonrasında işlendiği amaçlar için

gerekenden daha uzun olmayan süre boyunca, veri öznelerinin tespitine

izin veren biçimde tutulur. Üye Devletler, tarihsel, istatistiksel veya

bilimsel kullanım amacıyla daha uzun süreli depolanan kişisel veriler için

uygun koruma önlemleri alacaktır.

(2) 1. paragrafa uyulmasını sağlamak, denetleyicinin sorumluluğunda

olacaktır.

II. KISIM

VERİ İŞLEMEYİ YASALLAŞTIRMA KRİTERLERİ

MADDE 7

Üye Devletler, kişisel verilerin işlenebilmesini yalnızca aşağıdaki koşullar

sağlanırsa sağlayacaklardır:

a. Veri öznesi açık, kesin ve net bir biçimde rızasını vermişse veya



286

b. İşleme, bir sözleşme yapmadan önce veri öznesinin talebi üzerine önlem

almak için ya da veri öznesinin taraf olduğu bir sözleşmenin yerine

getirilmesi için gerekliyse veya

c. İşleme denetleyicinin konusu olan bir yasal yükümlülüğe uyum için

gerekirse, veya

d. (d) İşleme, veri öznesinin hayati menfaatlerini korumak için gerekliyse;

veya

e. İşleme, verilerin açıklandığı üçüncü bir şahıs veya denetleyiciye yetki

veren kamu makamının uygulamasında veya kamu menfaatine yapılan

bir görevin yerine getirilmesi için gerekliyse; veya

f. İşleme, bu tür menfaatlerin, MADDE 1(1) kapsamında koruma gerektiren

veri öznesinin temel hak ve özgürlükleriyle ilgili menfaatleri çiğnemesi

haricinde, verilerin açıklandığı üçüncü şahıs veya şahıslar tarafından ya

da denetleyici tarafından takip edilen meşru menfaatlerin amaçları için

gerekliyse;

III.KISIM

ÖZEL İŞLEME KATEGORİLERİ

MADDE 8 Verilerin özel işleme kategorileri

(1) Üye Devletler, sağlık durumuna veya cinsel yaşama ilişkin verilerin

işlenmesini ve sendika üyeliğini, dini veya felsefi inançları, siyasi görüşleri, ırk

veya etnik kökeni açıklayan kişisel verilerin işlenmesini yasaklayacaktır.

(2) 1. paragraf aşağıdaki durumlarda uygulanmayacaktır:

a. veri öznesinin rızasını vermesiyle 1. paragrafta atıfta bulunulan yasağın

kaldırılamayacağını Üye Devlet kanunlarının belirtmesi haricinde, bu

verilerin işlenmesinde veri öznesi açık rızasını vermişse; veya

b. işlemenin, yeterli korunma önlemleri için sağlanan ulusal kanunla

yetkilendirildiği kadarıyla, istihdam kanunu alanında, denetleyicinin



287

yükümlülüklerini ve özel haklarını yerine getirme amacı için gerekli

olduğunda; veya

c. işleme, veri öznesinin rızasını vernesinin fiziksel veya yasal olarak

elverişsiz olduğu durumda, diğer bir kişinin veya veri öznesinin hayati

menfaatlerini korumak için gerekliyse; veya

d. işleme; veri öznelerinin rızası olmaksızın verilerin üçüncü şahıslara

açıklanmadığı ve işlemenin yalnızca amaçlarıyla bağlantılı olarak düzenli

iletişimde oldukları kişileri veya kuruluş mensuplarını ilgilendirmesi

koşuluyla bir vakıf, dernek veya siyasi, felsefi, dini veya ticaret birliği

amaçlı başka bir kar amacı gütmeyen kuruluş tarafından uygun teminatlı

meşru faaliyetler esnasında yapılırsa, veya

e. işleme, veri öznesi tarafından açıkça halka duyurulan verilere ilişkinse ya

da kanuni hakların tesisi, yerine getirilmesi veya savunulması için

gerekliyse.

(3) Paragraf 1, sağlık hizmetlerinin yönetimi veya bakım veya tedavinin

sağlanması, tıbbi teşhis, önleyici tıp amaçları için veri işlemenin gerektiği

yerde ve mesleki gizlilik yükümlülüğü için ulusal yetkili kuruluşlar tarafından

veya eşdeğer gizlilik yükümlülüğüne tabi diğer bir kişi tarafından saptanan

ulusal kanun kapsamında bir sağlık uzman öznesi tarafından bu verilerin

işlendiği yerde uygulanmayacaktır.

(4) Uygun korunma önlemlerinin sağlanmasına tabi olarak, Üye Devletler,

önemli kamu menfaati nedenleri için, ya ulusal yasa ya da denetleme

makamının kararıyla paragraf 2’de belirtilenlere ek olarak muafiyetler

koyabilir.

(5) Suçlar, adli hükümler veya güvenlik tedbirlerine ilişkin verilerin işlenmesi,

yalnızca resmi makamın kontrolü altında yapılabilir veya ulusal yasa

kapsamında uygun özel korunma önlemleri sağlanırsa, uygun özel korunma

önlemleri sağlayan ulusal hükümler kapsamında Üye Devlet tarafından



286

b. İşleme, bir sözleşme yapmadan önce veri öznesinin talebi üzerine önlem

almak için ya da veri öznesinin taraf olduğu bir sözleşmenin yerine

getirilmesi için gerekliyse veya

c. İşleme denetleyicinin konusu olan bir yasal yükümlülüğe uyum için

gerekirse, veya

d. (d) İşleme, veri öznesinin hayati menfaatlerini korumak için gerekliyse;

veya

e. İşleme, verilerin açıklandığı üçüncü bir şahıs veya denetleyiciye yetki

veren kamu makamının uygulamasında veya kamu menfaatine yapılan

bir görevin yerine getirilmesi için gerekliyse; veya

f. İşleme, bu tür menfaatlerin, MADDE 1(1) kapsamında koruma gerektiren

veri öznesinin temel hak ve özgürlükleriyle ilgili menfaatleri çiğnemesi

haricinde, verilerin açıklandığı üçüncü şahıs veya şahıslar tarafından ya

da denetleyici tarafından takip edilen meşru menfaatlerin amaçları için

gerekliyse;

III.KISIM

ÖZEL İŞLEME KATEGORİLERİ

MADDE 8 Verilerin özel işleme kategorileri

(1) Üye Devletler, sağlık durumuna veya cinsel yaşama ilişkin verilerin

işlenmesini ve sendika üyeliğini, dini veya felsefi inançları, siyasi görüşleri, ırk

veya etnik kökeni açıklayan kişisel verilerin işlenmesini yasaklayacaktır.

(2) 1. paragraf aşağıdaki durumlarda uygulanmayacaktır:

a. veri öznesinin rızasını vermesiyle 1. paragrafta atıfta bulunulan yasağın

kaldırılamayacağını Üye Devlet kanunlarının belirtmesi haricinde, bu

verilerin işlenmesinde veri öznesi açık rızasını vermişse; veya

b. işlemenin, yeterli korunma önlemleri için sağlanan ulusal kanunla

yetkilendirildiği kadarıyla, istihdam kanunu alanında, denetleyicinin



287

yükümlülüklerini ve özel haklarını yerine getirme amacı için gerekli

olduğunda; veya

c. işleme, veri öznesinin rızasını vernesinin fiziksel veya yasal olarak

elverişsiz olduğu durumda, diğer bir kişinin veya veri öznesinin hayati

menfaatlerini korumak için gerekliyse; veya

d. işleme; veri öznelerinin rızası olmaksızın verilerin üçüncü şahıslara

açıklanmadığı ve işlemenin yalnızca amaçlarıyla bağlantılı olarak düzenli

iletişimde oldukları kişileri veya kuruluş mensuplarını ilgilendirmesi

koşuluyla bir vakıf, dernek veya siyasi, felsefi, dini veya ticaret birliği

amaçlı başka bir kar amacı gütmeyen kuruluş tarafından uygun teminatlı

meşru faaliyetler esnasında yapılırsa, veya

e. işleme, veri öznesi tarafından açıkça halka duyurulan verilere ilişkinse ya

da kanuni hakların tesisi, yerine getirilmesi veya savunulması için

gerekliyse.

(3) Paragraf 1, sağlık hizmetlerinin yönetimi veya bakım veya tedavinin

sağlanması, tıbbi teşhis, önleyici tıp amaçları için veri işlemenin gerektiği

yerde ve mesleki gizlilik yükümlülüğü için ulusal yetkili kuruluşlar tarafından

veya eşdeğer gizlilik yükümlülüğüne tabi diğer bir kişi tarafından saptanan

ulusal kanun kapsamında bir sağlık uzman öznesi tarafından bu verilerin

işlendiği yerde uygulanmayacaktır.

(4) Uygun korunma önlemlerinin sağlanmasına tabi olarak, Üye Devletler,

önemli kamu menfaati nedenleri için, ya ulusal yasa ya da denetleme

makamının kararıyla paragraf 2’de belirtilenlere ek olarak muafiyetler

koyabilir.

(5) Suçlar, adli hükümler veya güvenlik tedbirlerine ilişkin verilerin işlenmesi,

yalnızca resmi makamın kontrolü altında yapılabilir veya ulusal yasa

kapsamında uygun özel korunma önlemleri sağlanırsa, uygun özel korunma

önlemleri sağlayan ulusal hükümler kapsamında Üye Devlet tarafından



288

verilebilecek tadillere tabi olabilir. Ancak, adli hükümlerin tam bir kaydı

yalnızca resmi makamın kontrolü altında tutulabilir.

Üye Devletler, hukuk davalarındaki kararlar veya idari müeyyidelere ilişkin

verilerin de resmi makamın kontrolü altında işlenmesini sağlayabilirler.

(6) 4 ve 5. paragraflar için 1. paragraftan tadiller komisyona haber verilecektir.

(7) Üye Devletler, ulusal bir tespit numarası veya genel başvurunun diğer

belirtecinin işlenebileceği koşulları belirleyecektir.

MADDE 9 İfade özgürlüğü ve kişisel verilerin işlenmesi

Üye Devletler, kişisel verilerin ifade özgürlüğünü yöneten kurallarla kişisel

gizlilik hakkını uzlaştırmak için gerekirse, yalnızca, edebi veya sanatsal

açıklama amacı veya gazetecilik amaçları için kişisel verilerin işlenmesinde

Kısım IV ve Kısım VI, bu Bölümün hükümlerinden muafiyetler veya

derogasyonlar sağlayacaktır.

IV.KISIM

VERİ ÖZNESİNE VERİLECEK BİLGİLER

MADDE 10 Veri öznesinden verilerin toplanma durumlarında

bilgilendirme

Üye Devletler, önceden mevcut olması haricinde, kendine dair bilgilerin

toplandığı bir veri öznesine, denetleyici veya temsilcisinin en azından

aşağıdaki bilgileri vermesini sağlamalıdır:

a. Denetleyici ve varsa temsilcisinin kimliği;

b. Kastedilen veri işleme amaçları;

c. Aşağıdakiler gibi herhangi bir başka bilgi;

– verilerin alıcıları veya alıcı kategorileri,

– yanıt vermemenin olası sonuçlarının yanı sıra soruların yanıtlarının

zorunlu veya gönüllü olup olmadığı,



289

– (özneyle) ilgili verileri düzeltme hakkının ve verilere erişim hakkının

olması,

(denetleyici veya temsilcisi) bu tür başka bilgilendirmenin gerekli olmasına

göre, verilerin toplanmasındaki özel koşulları göz önünde bulundurarak veri

öznesine ilişkin adil işlemeyi garanti etmelidirler.

MADDE 11 Verilerin veri öznesinden elde edilmediğinde bilgilendirme

Veriler veri öznesinden elde edilmediğinde, Üye Devletler, (veri öznesinin bu

bilgilere) önceden sahip olması hariç, kişisel verilerin kaydının yapılması

esnasında ya da üçüncü bir şahsa ifşa öngörüldüğünde, verilerin ilk ifşa

zamanından önce, denetleyici veya temsilcisinin en azından aşağıdaki

bilgileri veri öznesine vermesini sağlayacaktır:

a. Denetleyicinin ve varsa temsilcisinin kimliği;

b. İşlemenin amaçları;





– (özneyle) ilgili verileri düzeltme hakkı ve verilere (kendisinin) erişim

hakkının olması,




Kayıt veya ifşa açıkça yasayla belirtilirse ya da aşırı bir çaba gerektirecek ya

da imkansızlığı kanıtlanan verilerin sağlanması için, tarihsel veya bilimsel

araştırma amaçları için veya istatistiksel amaçlar için işleme durumunda;

Paragraf 1 uygulanmayacaktır. Bu durumlarda, Üye Devletler uygun

korunma önlemleri sağlayacaktır.



288

verilebilecek tadillere tabi olabilir. Ancak, adli hükümlerin tam bir kaydı

yalnızca resmi makamın kontrolü altında tutulabilir.

Üye Devletler, hukuk davalarındaki kararlar veya idari müeyyidelere ilişkin

verilerin de resmi makamın kontrolü altında işlenmesini sağlayabilirler.

(6) 4 ve 5. paragraflar için 1. paragraftan tadiller komisyona haber verilecektir.

(7) Üye Devletler, ulusal bir tespit numarası veya genel başvurunun diğer

belirtecinin işlenebileceği koşulları belirleyecektir.

MADDE 9 İfade özgürlüğü ve kişisel verilerin işlenmesi

Üye Devletler, kişisel verilerin ifade özgürlüğünü yöneten kurallarla kişisel

gizlilik hakkını uzlaştırmak için gerekirse, yalnızca, edebi veya sanatsal

açıklama amacı veya gazetecilik amaçları için kişisel verilerin işlenmesinde

Kısım IV ve Kısım VI, bu Bölümün hükümlerinden muafiyetler veya

derogasyonlar sağlayacaktır.

IV.KISIM

VERİ ÖZNESİNE VERİLECEK BİLGİLER

MADDE 10 Veri öznesinden verilerin toplanma durumlarında

bilgilendirme

Üye Devletler, önceden mevcut olması haricinde, kendine dair bilgilerin

toplandığı bir veri öznesine, denetleyici veya temsilcisinin en azından

aşağıdaki bilgileri vermesini sağlamalıdır:

a. Denetleyici ve varsa temsilcisinin kimliği;

b. Kastedilen veri işleme amaçları;







289

– (özneyle) ilgili verileri düzeltme hakkının ve verilere erişim hakkının

olması,




MADDE 11 Verilerin veri öznesinden elde edilmediğinde bilgilendirme

Veriler veri öznesinden elde edilmediğinde, Üye Devletler, (veri öznesinin bu

bilgilere) önceden sahip olması hariç, kişisel verilerin kaydının yapılması

esnasında ya da üçüncü bir şahsa ifşa öngörüldüğünde, verilerin ilk ifşa

zamanından önce, denetleyici veya temsilcisinin en azından aşağıdaki

bilgileri veri öznesine vermesini sağlayacaktır:

a. Denetleyicinin ve varsa temsilcisinin kimliği;

b. İşlemenin amaçları;





– (özneyle) ilgili verileri düzeltme hakkı ve verilere (kendisinin) erişim

hakkının olması,




Kayıt veya ifşa açıkça yasayla belirtilirse ya da aşırı bir çaba gerektirecek ya

da imkansızlığı kanıtlanan verilerin sağlanması için, tarihsel veya bilimsel

araştırma amaçları için veya istatistiksel amaçlar için işleme durumunda;

Paragraf 1 uygulanmayacaktır. Bu durumlarda, Üye Devletler uygun

korunma önlemleri sağlayacaktır.



290

V.KISIM

VERİ ÖZNELERİNİN VERİLERE ERİŞME HAKKI

MADDE 12 Erişim hakkı

Üye Devletler, her veri öznesinin denetleyiciden (aşağıdakileri) temin etme

hakkını garanti edecektir:

a. aşırı gecikme veya masraf olmaksızın ve makul aralıklarla, sınırlama

olmaksızın:

—kendisine dair verilerin işlenip işlenmeyeceği hususunda onay ve en

azından, verilerin açıklandığı alıcı kategorileri veya alıcıları ve ilgili

verilerin kategorileri, işleme amaçları hususunda bilgi,

—kaynakları hususunda herhangi bir mevcut bilginin ve işleme tabi

tutulan verilerin anlaşılır biçimde ona iletilmesi,

—en azından MADDE 15(1)’de atıfta bulunulan otomatik kararlar

durumunda, kendisine ilişkin verilerin otomatik işlenmesiyle ilgili mantık

bilgisi;

b. Özellikle verinin eksik veya yanlış yapısı yüzünden, bu Direktifin

hükümlerine uymayan işlemede, verilerin engellenmesi veya silinmesi,

uygun olarak düzeltilmesi;

c. Bunun imkansız olduğu gösterilmezse veya orantısız çabayı

gerektirmezse, (b) bendine uygun olarak yapılan herhangi bir düzeltme,

silme veya engelleme hakkında, verilerin açıklandığı üçüncü şahıslara

bildirim.



291

VI.KISIM

MUAFİYETLER VE SINIRLAMALAR

MADDE 13 Muafiyetler ve sınırlamalar

(1) Bu tür bir sınırlama, aşağıdakileri sağlamak için gerekli tedbirleri

oluşturduğunda, Üye Devletler, 6(1), 10, 11(1), 12 ve 21 maddelerinde

belirtilen hak ve yükümlülüklerin kapsamını sınırlandıracak yasal tedbirleri

kabul edebilirler:

a. ulusal güvenlik;

b. savunma;

c. kamu güvenliği;

d. düzenlenmiş meslekler için etik ihlallerinin veya ceza gerektiren suçların

önlenmesi, incelenmesi, tespiti ve kovuşturulması;

e. parasal, bütçe ve vergilendirme konuları dahil olmak üzere, Avrupa

Birliği’nin veya bir Üye Devletin önemli bir ekonomik veya mali menfaati;

f. c), (d) ve (e)’de atıfta bulunulan durumlarda, resmi makamın yürütmesiyle

ara sıra da olsa bağlantılı düzenleyici fonksiyon veya izleme, denetim;

g. diğerlerinin hak ve özgürlüklerinin veya veri öznesinin korunması.

(2) Üye Devletler, yeterli yasal korunma önlemlerine tabi olarak özellikle

veriler herhangi özel bir bireye dair kararlar veya tedbirler almak için

kullanılmadığında, veri öznesinin gizlilik hakkını ihlal riski açıkça yoksa,

veriler yalnızca bilimsel araştırma amacı için işlendiğinde veya yalnızca

istatistik yaratma amacı için gerekli dönemi aşmayan bir süre için kişisel

formda tutulduğunda, MADDE 12’de belirtilen hakları bir yasama tedbiriyle

sınırlandırabilir.



290

V.KISIM

VERİ ÖZNELERİNİN VERİLERE ERİŞME HAKKI

MADDE 12 Erişim hakkı

Üye Devletler, her veri öznesinin denetleyiciden (aşağıdakileri) temin etme

hakkını garanti edecektir:

a. aşırı gecikme veya masraf olmaksızın ve makul aralıklarla, sınırlama

olmaksızın:

—kendisine dair verilerin işlenip işlenmeyeceği hususunda onay ve en

azından, verilerin açıklandığı alıcı kategorileri veya alıcıları ve ilgili

verilerin kategorileri, işleme amaçları hususunda bilgi,

—kaynakları hususunda herhangi bir mevcut bilginin ve işleme tabi

tutulan verilerin anlaşılır biçimde ona iletilmesi,

—en azından MADDE 15(1)’de atıfta bulunulan otomatik kararlar

durumunda, kendisine ilişkin verilerin otomatik işlenmesiyle ilgili mantık

bilgisi;

b. Özellikle verinin eksik veya yanlış yapısı yüzünden, bu Direktifin

hükümlerine uymayan işlemede, verilerin engellenmesi veya silinmesi,

uygun olarak düzeltilmesi;

c. Bunun imkansız olduğu gösterilmezse veya orantısız çabayı

gerektirmezse, (b) bendine uygun olarak yapılan herhangi bir düzeltme,

silme veya engelleme hakkında, verilerin açıklandığı üçüncü şahıslara

bildirim.



291

VI.KISIM

MUAFİYETLER VE SINIRLAMALAR

MADDE 13 Muafiyetler ve sınırlamalar

(1) Bu tür bir sınırlama, aşağıdakileri sağlamak için gerekli tedbirleri

oluşturduğunda, Üye Devletler, 6(1), 10, 11(1), 12 ve 21 maddelerinde

belirtilen hak ve yükümlülüklerin kapsamını sınırlandıracak yasal tedbirleri

kabul edebilirler:

a. ulusal güvenlik;

b. savunma;

c. kamu güvenliği;

d. düzenlenmiş meslekler için etik ihlallerinin veya ceza gerektiren suçların

önlenmesi, incelenmesi, tespiti ve kovuşturulması;

e. parasal, bütçe ve vergilendirme konuları dahil olmak üzere, Avrupa

Birliği’nin veya bir Üye Devletin önemli bir ekonomik veya mali menfaati;

f. c), (d) ve (e)’de atıfta bulunulan durumlarda, resmi makamın yürütmesiyle

ara sıra da olsa bağlantılı düzenleyici fonksiyon veya izleme, denetim;

g. diğerlerinin hak ve özgürlüklerinin veya veri öznesinin korunması.

(2) Üye Devletler, yeterli yasal korunma önlemlerine tabi olarak özellikle

veriler herhangi özel bir bireye dair kararlar veya tedbirler almak için

kullanılmadığında, veri öznesinin gizlilik hakkını ihlal riski açıkça yoksa,

veriler yalnızca bilimsel araştırma amacı için işlendiğinde veya yalnızca

istatistik yaratma amacı için gerekli dönemi aşmayan bir süre için kişisel

formda tutulduğunda, MADDE 12’de belirtilen hakları bir yasama tedbiriyle

sınırlandırabilir.



292

VII. KISIM

VERİ ÖZNESİNİN İTİRAZ HAKKI

MADDE 14 Veri öznesinin itiraz hakkı

Üye Devletler aşağıdaki hakları veri öznesine vereceklerdir:

a. En azından MADDE 7 (e) ve (f)’de atıfta bulunulan durumlarda, ulusal

mevzuat tarafından aksinin belirtilmesi haricinde, kendisine dair verilerin

işlenmesinde, özel durumuna ilişkin zorlayıcı kanuni gerekçelere her

zaman itiraz etmek. Gerekçeli bir itiraz olduğunda, denetleyici tarafından

başlatılan işleme, artık bu verileri kapsamayabilir;

b. Denetleyicinin doğrudan pazarlama amaçları için işlenmesini

öngördüğü, kendine ait kişisel verilerin işlenmesine ücretsiz ve istek

üzerine itiraz etme (hakkı) veya kişisel veriler üçüncü şahıslara ilk kez ifşa

edilmeden veya doğrudan pazarlama amaçları için üçüncü şahıslar adına

kullanılmadan önce bilgilendirilme (hakkı) ve bu tür ifşalara veya

kullanımlara ücretsiz itiraz hakkının açık şekilde sunulması;

Üye Devletler, (b)’nin ilk alt paragrafında atıfta bulunulan hakkın varlığından

veri öznelerinin haberdar olmasını temin etmek için gerekli tedbirleri

alacaklardır.

MADDE 15 Otomatik bireysel kararlar

(1) Üye Devletler, her kişiye, işte performans, kredibilite, güvenilirlik, tutum

v.b gibi kendisine ilişkin bazı kişisel yönleri değerlendirmek için yalnızca

verilerin otomatik işlenmesine dayalı ve onu önemli derecede etkileyen veya

ona ilişkin yasal etkiler üreten bir karara tabi kalmama hakkı verecektir.

(2) Bu Direktifin diğer maddelerine tabi olarak Üye Devletler şayet karar

aşağıdaki şekilde alındı veya yetki veriyorsa, 1. paragrafta atıfta bulunulan

türde bir karara bir kişinin tabi olabilmesini sağlayacaklardır:



293

a. kendi görüşünü belirtmesine izin veren düzenlemeler gibi meşru

menfaatlerini güvenceye alacak uygun tedbirler olduğunda ya da veri

öznesi tarafından sunulan sözleşmenin yapılması veya yerine getirilme

talebinin karşılanması koşuluyla bir sözleşmenin yapılması veya yerine

getirilmesi esnasında alınırsa veya;

b. öznenin meşru menfaatlerini güvenceye alacak tedbirleri de belirten bir

yasa tarafından yetkilendirilirse.

VIII. KISIM

İŞLEMENİN GİZLİLİĞİ VE GÜVENLİĞİ

MADDE 16 İşlemenin gizliliği

Kişisel verilere erişme hakkı olan işleyicinin kendisi dahil olmak üzere,

işleyicinin veya denetleyicinin yetkisi altındaki herhangi bir kişi, bunu

yapması kanun tarafından istenmezse, denetleyicinin talimatı haricinde

verileri işlememelidir.

MADDE 17 İşlemenin güvenliği

(1) Üye Devletler, özellikle işlemenin bir ağ üzerinde verilerin iletilmesini

gerektirdiğinde ve işlemenin tüm diğer yasa dışı biçimlerine karşı, yetkisiz

açıklama veya erişim, değiştirme, kazara kayıp veya kazara veya yasa dışı

tahribe karşı kişisel verileri korumak için gereken uygun teknik ve kurumsal

tedbirleri, denetleyicinin uygulamasını sağlayacaklardır.

Bu tür tedbirler, uygulamalarının durum ve maliyetini dikkate alarak,

korunacak verinin yapısına ve işleme tarafından sunulan risklere uygun

seviyede güvenlik sağlayacaktır.

(2) Üye Devletler, işleme kendi adına yürütüldüğünde, denetleyicinin

yürütülecek işlemeyi yöneten teknik güvenlik tedbirlerine ve kurumsal

tedbirlere dair yeterli garantiler sağlayan bir işleyiciyi seçmesini ve bu

tedbirlerle uyum sağlamasını temin edecektir.



292

VII. KISIM

VERİ ÖZNESİNİN İTİRAZ HAKKI

MADDE 14 Veri öznesinin itiraz hakkı

Üye Devletler aşağıdaki hakları veri öznesine vereceklerdir:

a. En azından MADDE 7 (e) ve (f)’de atıfta bulunulan durumlarda, ulusal

mevzuat tarafından aksinin belirtilmesi haricinde, kendisine dair verilerin

işlenmesinde, özel durumuna ilişkin zorlayıcı kanuni gerekçelere her

zaman itiraz etmek. Gerekçeli bir itiraz olduğunda, denetleyici tarafından

başlatılan işleme, artık bu verileri kapsamayabilir;

b. Denetleyicinin doğrudan pazarlama amaçları için işlenmesini

öngördüğü, kendine ait kişisel verilerin işlenmesine ücretsiz ve istek

üzerine itiraz etme (hakkı) veya kişisel veriler üçüncü şahıslara ilk kez ifşa

edilmeden veya doğrudan pazarlama amaçları için üçüncü şahıslar adına

kullanılmadan önce bilgilendirilme (hakkı) ve bu tür ifşalara veya

kullanımlara ücretsiz itiraz hakkının açık şekilde sunulması;

Üye Devletler, (b)’nin ilk alt paragrafında atıfta bulunulan hakkın varlığından

veri öznelerinin haberdar olmasını temin etmek için gerekli tedbirleri

alacaklardır.

MADDE 15 Otomatik bireysel kararlar

(1) Üye Devletler, her kişiye, işte performans, kredibilite, güvenilirlik, tutum

v.b gibi kendisine ilişkin bazı kişisel yönleri değerlendirmek için yalnızca

verilerin otomatik işlenmesine dayalı ve onu önemli derecede etkileyen veya

ona ilişkin yasal etkiler üreten bir karara tabi kalmama hakkı verecektir.

(2) Bu Direktifin diğer maddelerine tabi olarak Üye Devletler şayet karar

aşağıdaki şekilde alındı veya yetki veriyorsa, 1. paragrafta atıfta bulunulan

türde bir karara bir kişinin tabi olabilmesini sağlayacaklardır:



293

a. kendi görüşünü belirtmesine izin veren düzenlemeler gibi meşru

menfaatlerini güvenceye alacak uygun tedbirler olduğunda ya da veri

öznesi tarafından sunulan sözleşmenin yapılması veya yerine getirilme

talebinin karşılanması koşuluyla bir sözleşmenin yapılması veya yerine

getirilmesi esnasında alınırsa veya;

b. öznenin meşru menfaatlerini güvenceye alacak tedbirleri de belirten bir

yasa tarafından yetkilendirilirse.

VIII. KISIM

İŞLEMENİN GİZLİLİĞİ VE GÜVENLİĞİ

MADDE 16 İşlemenin gizliliği

Kişisel verilere erişme hakkı olan işleyicinin kendisi dahil olmak üzere,

işleyicinin veya denetleyicinin yetkisi altındaki herhangi bir kişi, bunu

yapması kanun tarafından istenmezse, denetleyicinin talimatı haricinde

verileri işlememelidir.

MADDE 17 İşlemenin güvenliği

(1) Üye Devletler, özellikle işlemenin bir ağ üzerinde verilerin iletilmesini

gerektirdiğinde ve işlemenin tüm diğer yasa dışı biçimlerine karşı, yetkisiz

açıklama veya erişim, değiştirme, kazara kayıp veya kazara veya yasa dışı

tahribe karşı kişisel verileri korumak için gereken uygun teknik ve kurumsal

tedbirleri, denetleyicinin uygulamasını sağlayacaklardır.

Bu tür tedbirler, uygulamalarının durum ve maliyetini dikkate alarak,

korunacak verinin yapısına ve işleme tarafından sunulan risklere uygun

seviyede güvenlik sağlayacaktır.

(2) Üye Devletler, işleme kendi adına yürütüldüğünde, denetleyicinin

yürütülecek işlemeyi yöneten teknik güvenlik tedbirlerine ve kurumsal

tedbirlere dair yeterli garantiler sağlayan bir işleyiciyi seçmesini ve bu

tedbirlerle uyum sağlamasını temin edecektir.



294

(3) İşleyici vasıtasıyla işlemenin yapılması özellikle aşağıdakileri şart koşan ve

işleyiciyi denetleyiciye bağlayan yasal belge veya bir sözleşme ile

yönetilmelidir:

- işleyici yalnızca denetleyiciden gelen talimatlara göre hareket edecektir.

- işleyicinin yerleşik olduğu Üye Devlet kanunuyla tanımlandığı şekilde, 1.

paragrafta düzenlenen yükümlülükler işleyicinin de ödevi olacaktır.

(4) Paragraf 1’de atıfta bulunulan tedbirlere dair koşullara ve veri

korunmasına ilişkin yasal belge veya sözleşmenin parçaları, kanıtı tutma

amaçları için yazılı veya eşdeğer diğer bir biçimde olacaktır.

IX.KISIM

BİLDİRİM

MADDE 18 Denetleme makamına bildirimde bulunma yükümlülüğü

(1) Üye Devletler, kısmen veya tamamen otomatik işleme faaliyeti veya tek

amaç veya ilgili çeşitli amaçlara hizmet etmesi istenen bu tür bir dizi faaliyeti

yürütmeden önce denetleyici ve varsa temsilcisinin, MADDE 28’de atıfta

bulunulan denetleme makamına bildirimde bulunmasını sağlayacaklardır.

(2) Üye Devletler, yalnızca aşağıdaki durumlarda ve aşağıdaki koşullarda

bildirimden muafiyeti veya bildirimin basitleştirilmesini sağlayabilirler:

- veri öznelerinin haklarını ve özgürlüklerini olumsuz şekilde etkileyecek,

işlenecek verileri muhtemelen dikkate almayan işleme faaliyeti

kategorileri için, depolanacak veriler süre uzunluğu ve verilerin ifşa

edileceği alıcılar veya alıcı kategorileri, veri öznesi kategorisi veya

kategorileri, işlemeye tabi veri kategorileri veya veriler, işleme amaçlarını

belirtirler, ve/veya;

- denetleyici, kendisini yöneten ulusal kanunla uyumlu olarak özellikle

aşağıdakilerden sorumlu bir kişisel veri koruma görevlisi atar;



295

- bu Direktif uyarınca, alınan ulusal hükümlerin bağımsız şekilde dahili

uygulamasını sağlama;

- MADDE 21(2)’de atıfta bulunulan bilgilendirme maddelerini içeren

şekilde, denetleyici tarafından yürütülen işleme faaliyetlerinin kaydını

tutma;

- böylece, veri öznelerinin hak ve özgürlüklerinin, işleme faaliyetleri

tarafından olumsuz şekilde etkilenmesinin olanaksız olmasını sağlama.

(3) Üye Devletler, bir meşru menfaat gösteren herhangi bir kişi tarafından

veya genel olarak kamu tarafından danışmaya açık olan ve kamuya bilgi

sağlamak amaçlı kanunlara veya yönetmeliklere göre tek amacı bir kayıt

tutma olan işlemeye 1. paragrafın uygulanmamasını sağlayabilir.

(4) Üye Devletler, MADDE 8(2)(d)’de atıfta bulunulan işleme faaliyetleri

durumunda, bildirimin basitleştirilmesini veya bildirimde bulunma

yükümlülüğünden muafiyeti sağlayabilirler.

(5) Üye Devletler, kişisel verileri kapsayan belirli veya tüm otomatik olmayan

işleme faaliyetlerinin bildirilmesini şart koşabilirler ya da bu işleme

faaliyetlerinin basitleştirilmiş bildirime tabi olmasını belirtebilirler.

MADDE 19 Bildirim içerikleri

(1) Üye Devletler, bildirimde verilecek bilgileri belirteceklerdir. Bunlar en

azından aşağıdakileri içerecektir:

a. Denetleyici ve varsa temsilcisinin adı ve adresi;

b. İşlemenin amacı veya amaçları;

c. Bunlara ilişkin veri kategorileri veya verinin ve özne verisinin kategorileri

veya kategorisinin tanımı;

d. Verilerin açıklanabileceği alıcılar veya alıcı kategorileri;

e. Üçüncü ülkelere önerilen veri transferleri;



294

(3) İşleyici vasıtasıyla işlemenin yapılması özellikle aşağıdakileri şart koşan ve

işleyiciyi denetleyiciye bağlayan yasal belge veya bir sözleşme ile

yönetilmelidir:

- işleyici yalnızca denetleyiciden gelen talimatlara göre hareket edecektir.

- işleyicinin yerleşik olduğu Üye Devlet kanunuyla tanımlandığı şekilde, 1.

paragrafta düzenlenen yükümlülükler işleyicinin de ödevi olacaktır.

(4) Paragraf 1’de atıfta bulunulan tedbirlere dair koşullara ve veri

korunmasına ilişkin yasal belge veya sözleşmenin parçaları, kanıtı tutma

amaçları için yazılı veya eşdeğer diğer bir biçimde olacaktır.

IX.KISIM

BİLDİRİM

MADDE 18 Denetleme makamına bildirimde bulunma yükümlülüğü

(1) Üye Devletler, kısmen veya tamamen otomatik işleme faaliyeti veya tek

amaç veya ilgili çeşitli amaçlara hizmet etmesi istenen bu tür bir dizi faaliyeti

yürütmeden önce denetleyici ve varsa temsilcisinin, MADDE 28’de atıfta

bulunulan denetleme makamına bildirimde bulunmasını sağlayacaklardır.

(2) Üye Devletler, yalnızca aşağıdaki durumlarda ve aşağıdaki koşullarda

bildirimden muafiyeti veya bildirimin basitleştirilmesini sağlayabilirler:

- veri öznelerinin haklarını ve özgürlüklerini olumsuz şekilde etkileyecek,

işlenecek verileri muhtemelen dikkate almayan işleme faaliyeti

kategorileri için, depolanacak veriler süre uzunluğu ve verilerin ifşa

edileceği alıcılar veya alıcı kategorileri, veri öznesi kategorisi veya

kategorileri, işlemeye tabi veri kategorileri veya veriler, işleme amaçlarını

belirtirler, ve/veya;

- denetleyici, kendisini yöneten ulusal kanunla uyumlu olarak özellikle

aşağıdakilerden sorumlu bir kişisel veri koruma görevlisi atar;



295

- bu Direktif uyarınca, alınan ulusal hükümlerin bağımsız şekilde dahili

uygulamasını sağlama;

- MADDE 21(2)’de atıfta bulunulan bilgilendirme maddelerini içeren

şekilde, denetleyici tarafından yürütülen işleme faaliyetlerinin kaydını

tutma;

- böylece, veri öznelerinin hak ve özgürlüklerinin, işleme faaliyetleri

tarafından olumsuz şekilde etkilenmesinin olanaksız olmasını sağlama.

(3) Üye Devletler, bir meşru menfaat gösteren herhangi bir kişi tarafından

veya genel olarak kamu tarafından danışmaya açık olan ve kamuya bilgi

sağlamak amaçlı kanunlara veya yönetmeliklere göre tek amacı bir kayıt

tutma olan işlemeye 1. paragrafın uygulanmamasını sağlayabilir.

(4) Üye Devletler, MADDE 8(2)(d)’de atıfta bulunulan işleme faaliyetleri

durumunda, bildirimin basitleştirilmesini veya bildirimde bulunma

yükümlülüğünden muafiyeti sağlayabilirler.

(5) Üye Devletler, kişisel verileri kapsayan belirli veya tüm otomatik olmayan

işleme faaliyetlerinin bildirilmesini şart koşabilirler ya da bu işleme

faaliyetlerinin basitleştirilmiş bildirime tabi olmasını belirtebilirler.

MADDE 19 Bildirim içerikleri

(1) Üye Devletler, bildirimde verilecek bilgileri belirteceklerdir. Bunlar en

azından aşağıdakileri içerecektir:

a. Denetleyici ve varsa temsilcisinin adı ve adresi;

b. İşlemenin amacı veya amaçları;

c. Bunlara ilişkin veri kategorileri veya verinin ve özne verisinin kategorileri

veya kategorisinin tanımı;

d. Verilerin açıklanabileceği alıcılar veya alıcı kategorileri;

e. Üçüncü ülkelere önerilen veri transferleri;



296

f. Veri güvenliğini sağlamak üzere MADDE 17 uyarınca alınan tedbirlerin

uygunluğunun sağlanması için bir ön değerlendirmeye olanak sağlayan

genel bir tanım;

(2) Üye Devletler paragraf 1’de atıf yapılan bilgileri etkileyen herhangi bir

değişikliğin denetleme makamına bildirilmesine dönük prosedürleri

belirletecektir.

MADDE 20 Ön kontrol

(1) Üye Devletler, veri öznelerinin haklarına ve özgürlüklerine özel riskler

sunması, olası işleme faaliyetlerini belirleyecektir ve bu işleme faaliyetlerinin

başlatılmasından önce incelenmesini kontrol edecektir.

(2) Bu tür ön kontroller, şüphe durumunda denetim makamına danışması

gereken bir veri koruma görevlisi tarafından veya denetleyiciden bir

bildirimin alınmasını takiben denetleme makamı tarafından yerine

getirilecektir.

(3) Üye Devletler ya ulusal parlamentonun bir tedbiri ya da işlemenin yapısını

tanımlayan ve uygun korunma önlemlerini belirten bu tür bir yasama

tedbirine dayalı bir tedbirin hazırlanması bağlamında, bu tür kontrolleri de

yapabilir.

MADDE 21 İşleme faaliyetlerinin duyurulması

(1) Üye Devletler, işleme faaliyetlerinin duyurulmasını temin etmek için

tedbirler alacaktır.

(2) Üye Devletler, MADDE 18’e uygun olarak, bildirilen işleme faaliyetlerinin

bir kaydının denetleme makamı tarafından tutulmasını sağlayacaktır.

Kayıt, en azından MADDE 19(1) (a) (e) de listelenen bilgileri içerecektir.

Kayıt herhangi bir kişi tarafından denetlenebilir.



297

(3) Üye Devletler, bildirime tabi olmayan işleme faaliyetlerine ilişkin olarak,

Üye Devletler tarafından atanan denetleyicilerin veya diğer bir kuruluşun,

talep üzerine herhandi bir kişiye uygun biçimde en azından MADDE 19(1) (a)

(e)de atıfta bulunulan bilgileri sağlamasını temin edecektir.

Üye Devletler ya meşru menfaat kanıtını temin edebilen herhangi bir kişi

tarafından ya da genel olarak kamu tarafından danışmaya açık olan ve

kamuya bilgi sağlaması kastedilen yönetmeliklere veya yasalara göre; tek

amacı bir kayıt tutulması olan işlemeye bu hükmün uygulanmamasını

sağlayabilir.

BÖLÜM III - YARGI YOLLARI, SORUMLULUK VE MÜEYYİDELER

MADDE 22 Yargı yolları

Yargı makamına başvurudan önce, MADDE 28’de atıfta bulunulan denetleme

makamı öncesinde, diğerlerine ilaveten koyulabilecek hüküm için herhangi

bir idari çözüme zarar vermeksizin, Üye Devletler, söz konusu işlemeye

uygulanan ulusal kanun tarafından garanti edilen hakların herhangi bir ihlali

için bir yargı yolunu, her kişinin hakkı olarak sağlayacaktır.

MADDE 23 Sorumluluk

(1) Üye Devletler, bu Direktif uyarınca kabul edilen ulusal hükümlerle

uyumsuz herhangi bir işlemenin veya yasadışı bir işleme faaliyetinin sonucu

olarak zarara uğrayan herhangi bir kişinin, uğradığı zarar için denetleyiciden

tazminat almaya hak kazanmasını sağlayacaktır.

(2) Denetleyici, zarara yol açan olayda sorumlu olmadığını kanıtlarsa, kısmen

ya da tamamen bu yükümlülükten muaf tutulabilir.



296

f. Veri güvenliğini sağlamak üzere MADDE 17 uyarınca alınan tedbirlerin

uygunluğunun sağlanması için bir ön değerlendirmeye olanak sağlayan

genel bir tanım;

(2) Üye Devletler paragraf 1’de atıf yapılan bilgileri etkileyen herhangi bir

değişikliğin denetleme makamına bildirilmesine dönük prosedürleri

belirletecektir.

MADDE 20 Ön kontrol

(1) Üye Devletler, veri öznelerinin haklarına ve özgürlüklerine özel riskler

sunması, olası işleme faaliyetlerini belirleyecektir ve bu işleme faaliyetlerinin

başlatılmasından önce incelenmesini kontrol edecektir.

(2) Bu tür ön kontroller, şüphe durumunda denetim makamına danışması

gereken bir veri koruma görevlisi tarafından veya denetleyiciden bir

bildirimin alınmasını takiben denetleme makamı tarafından yerine

getirilecektir.

(3) Üye Devletler ya ulusal parlamentonun bir tedbiri ya da işlemenin yapısını

tanımlayan ve uygun korunma önlemlerini belirten bu tür bir yasama

tedbirine dayalı bir tedbirin hazırlanması bağlamında, bu tür kontrolleri de

yapabilir.

MADDE 21 İşleme faaliyetlerinin duyurulması

(1) Üye Devletler, işleme faaliyetlerinin duyurulmasını temin etmek için

tedbirler alacaktır.

(2) Üye Devletler, MADDE 18’e uygun olarak, bildirilen işleme faaliyetlerinin

bir kaydının denetleme makamı tarafından tutulmasını sağlayacaktır.

Kayıt, en azından MADDE 19(1) (a) (e) de listelenen bilgileri içerecektir.

Kayıt herhangi bir kişi tarafından denetlenebilir.



297

(3) Üye Devletler, bildirime tabi olmayan işleme faaliyetlerine ilişkin olarak,

Üye Devletler tarafından atanan denetleyicilerin veya diğer bir kuruluşun,

talep üzerine herhandi bir kişiye uygun biçimde en azından MADDE 19(1) (a)

(e)de atıfta bulunulan bilgileri sağlamasını temin edecektir.

Üye Devletler ya meşru menfaat kanıtını temin edebilen herhangi bir kişi

tarafından ya da genel olarak kamu tarafından danışmaya açık olan ve

kamuya bilgi sağlaması kastedilen yönetmeliklere veya yasalara göre; tek

amacı bir kayıt tutulması olan işlemeye bu hükmün uygulanmamasını

sağlayabilir.

BÖLÜM III - YARGI YOLLARI, SORUMLULUK VE MÜEYYİDELER

MADDE 22 Yargı yolları

Yargı makamına başvurudan önce, MADDE 28’de atıfta bulunulan denetleme

makamı öncesinde, diğerlerine ilaveten koyulabilecek hüküm için herhangi

bir idari çözüme zarar vermeksizin, Üye Devletler, söz konusu işlemeye

uygulanan ulusal kanun tarafından garanti edilen hakların herhangi bir ihlali

için bir yargı yolunu, her kişinin hakkı olarak sağlayacaktır.

MADDE 23 Sorumluluk

(1) Üye Devletler, bu Direktif uyarınca kabul edilen ulusal hükümlerle

uyumsuz herhangi bir işlemenin veya yasadışı bir işleme faaliyetinin sonucu

olarak zarara uğrayan herhangi bir kişinin, uğradığı zarar için denetleyiciden

tazminat almaya hak kazanmasını sağlayacaktır.

(2) Denetleyici, zarara yol açan olayda sorumlu olmadığını kanıtlarsa, kısmen

ya da tamamen bu yükümlülükten muaf tutulabilir.



298

MADDE 24 Müeyyideler

Üye Devletler, bu Direktifin hükümlerinin tam uygulanmasını sağlayacak

uygun tedbirleri kabul edecektir ve özellikle, bu direktif uyarınca kabul edilen

hükümlerin ihlali durumunda uygulanacak müeyyideleri koyacaktır.

BÖLÜM IV - KİŞİSEL VERİLERİN ÜÇÜNCÜ ÜLKELERE TRANSFERİ

MADDE 25 Prensipler

(1) Üye Devletler, bu Direktifin diğer hükümleri uyarınca benimsenen ulusal

hükümlere uyuma zarar vermeksizin, yalnızca söz konusu üçüncü ülke

yeterli koruma seviyesi sağlarsa, transfer sonrası işleme için istenen veya

işlemeye tabi olan kişisel verilerin bir üçüncü ülkeye transferinin

gerçekleşebilmesini sağlayacaktır.

(2) Bir üçüncü ülke tarafından sağlanan koruma seviyesinin yeterliliği, veri

transfer faaliyetlerinin dizisinin veya bir veri transfer faaliyetini çevreleyen

tüm koşulların ışığında değerlendirilecektir. O ülkeyle uyumlu meslek

kuralları ve güvenlik tedbirleri ve söz konusu üçüncü ülkedeki yürülükte olan

hem genel hem sektörel yasa hükümleri, son varış ülkesi ve menşe ülke,

önerilen faaliyet veya faaliyetlerin süresi ve amacı, verilerin yapısına özel

önem verilecektir.

(3) Üye Devletler ve Komisyon, 2. paragrafın anlamı dahilinde yeterli koruma

seviyesini bir üçüncü ülkenin sağlamadığını düşündükleri durumlarda

birbirlerini bilgilendireceklerdir.

(4) Komisyon, bu maddenin 2. paragrafının anlamında, bir üçüncü ülkenin

yeterli koruma seviyesini sağlamadığını MADDE 31 (2) kapsamında sağlanan

prosedure göre tespit ederse, Üye Devletler, söz konusu üçüncü ülkeye aynı

tipte verilerin herhangi bir transferini önlemek için gerekli önlemleri

alacaklardır.



299

(5) Komisyon, uygun bir zamanda, paragraf 4 uyarınca sağlanan bulgudan

kaynaklanan durumu çözmek amacıyla müzakerelere başlayacaktır.

(6) Komisyon, MADDE 31 (2)’de atıfta bulunulan prosedüre uygun olarak;

bireylerin temel haklarının ve özel yaşamlarının korunması için, özellikle

paragraf 5’te atıfta bulunulan müzakerelerin sonuçlanması üzerine, giriştiği

uluslararası taahhütler veya kendi yerel yasası nedeniyle, bu maddenin 2.

paragrafı anlamı dahilinde üçüncü bir ülkenin yeterli bir koruma seviyesini

temin etmesini isteyebilir.

Üye Devletler, Komisyonun kararıyla uyum sağlamak için gerekli tedbirleri

alacaktır.

MADDE 26 İstisnalar

(1) MADDE 25’den derogasyon (uygulama dışı tutma) yoluyla ve özel

durumları yöneten iç hukukun aksini belirtmesi haricinde, Üye Devletler,

aşağıdaki koşullarda MADDE 25 (2)’nin anlamı dahilinde yeterli koruma

seviyesini sağlamayan üçüncü bir ülkeye kişisel verilerin transfer dizisini veya

transferinin yapılabilmesini sağlayacaktır:

a. Veri öznesi önerilen transfer için açık şekilde rızasını vermişse veya

b. Veri öznesinin talebine yanıt olarak alınan ön sözleşme tedbirlerinin

uygulanması veya denetleyici ve veri öznesi arasındaki bir sözleşmenin

yerine getirilmesi için transfer gerekliyse; veya

c. Üçüncü bir şahıs ve denetleyici arasında veri öznesinin menfaatine

sonuçlanan bir sözleşmenin yerine getirilmesi veya sonuçlandırılması

için transfer gerekliyse, veya

d. Transfer; kanuni hakların tesisi, işletilmesi veya savunulması için veya

önemli kamu menfaati zemininde yasal olarak gerekliyse veya

zorunluysa, veya

e. Veri öznesinin hayati menfaatlerinin korunması için transfer gerekirse,

veya



298

MADDE 24 Müeyyideler

Üye Devletler, bu Direktifin hükümlerinin tam uygulanmasını sağlayacak

uygun tedbirleri kabul edecektir ve özellikle, bu direktif uyarınca kabul edilen

hükümlerin ihlali durumunda uygulanacak müeyyideleri koyacaktır.

BÖLÜM IV - KİŞİSEL VERİLERİN ÜÇÜNCÜ ÜLKELERE TRANSFERİ

MADDE 25 Prensipler

(1) Üye Devletler, bu Direktifin diğer hükümleri uyarınca benimsenen ulusal

hükümlere uyuma zarar vermeksizin, yalnızca söz konusu üçüncü ülke

yeterli koruma seviyesi sağlarsa, transfer sonrası işleme için istenen veya

işlemeye tabi olan kişisel verilerin bir üçüncü ülkeye transferinin

gerçekleşebilmesini sağlayacaktır.

(2) Bir üçüncü ülke tarafından sağlanan koruma seviyesinin yeterliliği, veri

transfer faaliyetlerinin dizisinin veya bir veri transfer faaliyetini çevreleyen

tüm koşulların ışığında değerlendirilecektir. O ülkeyle uyumlu meslek

kuralları ve güvenlik tedbirleri ve söz konusu üçüncü ülkedeki yürülükte olan

hem genel hem sektörel yasa hükümleri, son varış ülkesi ve menşe ülke,

önerilen faaliyet veya faaliyetlerin süresi ve amacı, verilerin yapısına özel

önem verilecektir.

(3) Üye Devletler ve Komisyon, 2. paragrafın anlamı dahilinde yeterli koruma

seviyesini bir üçüncü ülkenin sağlamadığını düşündükleri durumlarda

birbirlerini bilgilendireceklerdir.

(4) Komisyon, bu maddenin 2. paragrafının anlamında, bir üçüncü ülkenin

yeterli koruma seviyesini sağlamadığını MADDE 31 (2) kapsamında sağlanan

prosedure göre tespit ederse, Üye Devletler, söz konusu üçüncü ülkeye aynı

tipte verilerin herhangi bir transferini önlemek için gerekli önlemleri

alacaklardır.



299

(5) Komisyon, uygun bir zamanda, paragraf 4 uyarınca sağlanan bulgudan

kaynaklanan durumu çözmek amacıyla müzakerelere başlayacaktır.

(6) Komisyon, MADDE 31 (2)’de atıfta bulunulan prosedüre uygun olarak;

bireylerin temel haklarının ve özel yaşamlarının korunması için, özellikle

paragraf 5’te atıfta bulunulan müzakerelerin sonuçlanması üzerine, giriştiği

uluslararası taahhütler veya kendi yerel yasası nedeniyle, bu maddenin 2.

paragrafı anlamı dahilinde üçüncü bir ülkenin yeterli bir koruma seviyesini

temin etmesini isteyebilir.

Üye Devletler, Komisyonun kararıyla uyum sağlamak için gerekli tedbirleri

alacaktır.

MADDE 26 İstisnalar

(1) MADDE 25’den derogasyon (uygulama dışı tutma) yoluyla ve özel

durumları yöneten iç hukukun aksini belirtmesi haricinde, Üye Devletler,

aşağıdaki koşullarda MADDE 25 (2)’nin anlamı dahilinde yeterli koruma

seviyesini sağlamayan üçüncü bir ülkeye kişisel verilerin transfer dizisini veya

transferinin yapılabilmesini sağlayacaktır:

a. Veri öznesi önerilen transfer için açık şekilde rızasını vermişse veya

b. Veri öznesinin talebine yanıt olarak alınan ön sözleşme tedbirlerinin

uygulanması veya denetleyici ve veri öznesi arasındaki bir sözleşmenin

yerine getirilmesi için transfer gerekliyse; veya

c. Üçüncü bir şahıs ve denetleyici arasında veri öznesinin menfaatine

sonuçlanan bir sözleşmenin yerine getirilmesi veya sonuçlandırılması

için transfer gerekliyse, veya

d. Transfer; kanuni hakların tesisi, işletilmesi veya savunulması için veya

önemli kamu menfaati zemininde yasal olarak gerekliyse veya

zorunluysa, veya

e. Veri öznesinin hayati menfaatlerinin korunması için transfer gerekirse,

veya



300

f. Özel durumda yapılan konsültasyon için kanunda öngörülen koşullar

ölçüsünde, bir meşru menfaat gösteren herhangi bir kişi tarafından veya

genel olarak kamu tarafından danışmaya açık olan ve kamuya bilgi

sağlamak amaçlı kanunlar veya yönetmeliklere göre transfer bir kayıttan

sağlanırsa.

(2) Paragraf 1’e zarar vermeksizin, bir Üye Devlet, ilgili hakların işletilmesine

dair ve bireylerin temel hak ve özgürlükleri ve kişisel mahremiyet hakkının

korunmasına ilişkin anlam dahilinde, yeterli koruma seviyesini sağlamayan

üçüncü bir ülkeye kişisel veri transferler dizisine veya bir transferine izin

verebilir, bu tür korunma önlemleri özellikle uygun sözleşme maddelerinden

kaynaklanabilir.

(3) Üye Devlet, paragraf 2 uyarınca verdiği izinlerden Üye Devletleri ve

Komisyonu haberdar edecektir.

Bir Üye Devlet veya Komisyon, bireylerin temel hakları ve özgürlükleri ve

mahremiyetinin korunmasını gerektiren gerekçeli dayanaklara itiraz ederse,

Komisyon, MADDE 31 (2)’de belirtilen prosedüre göre uygun tedbirleri

alacaktır.

Üye Devletler Komisyonun kararına uymak için gerekli tedbirleri alacaklardır.

(4) MADDE 31 (2)’de atıfta bulunulan prosedüre uygun olarak, Komisyon, bazı

standart sözleşme maddelerinin paragraf 2’nin gerektirdiği şekilde yeterli

teminat sunmasına karar verirse, Üye Devletler, Komisyon kararına uymak

için gerekli tedbirleri alacaklardır.



301

BÖLÜM V - DAVRANIŞ KURALLARI

MADDE 27

(1) Üye Devletler ve Komisyon, çeşitli sektörlerin özel niteliklerini dikkate

alarak, bu Direktif uyarınca Üye Devletler tarafından benimsenen ulusal

hükümlerin doğru uygulanmasına katkı sağlamak için planlanan davranış

kurallarını düzenlemeye teşvik edecektir.

(2) Üye Devletler, mevcut ulusal kodları tadil etme veya genişletme niyetine

sahip veya taslak ulusal kodları hazırlamış denetleyicilerin diğer

kategorilerini temsil eden diğer kuruluşlar ve ticari kurumların, davranış

kurallarını ulusal makamın görüşüne sunabilmesi için önlem alacaktır.

Üye Devletler, sunulan taslakların, bu Direktif uyarınca kabul edilen ulusal

hükümlerle uyumlu olup olmadığını ulusal makamın belirlemesi için önlem

alacaktır. Komisyon, taslağı uygun görürse, ulusal makam, kendi

temsilcilerinin veya veri öznelerinin görüşlerini isteyecektir.

(3) Taslak Topluluk kodları ve mevcut Topluluk kodlarının uzantıları veya

düzeltmeleri, MADDE 29’da atıfta bulunulan çalışma grubuna sunulabilir. Bu

çalışma grubu diğer şeyler arasında, sunulan taslağın, bu Direktif uyarınca

kabul edilen ulusal hükümlere uygun olup olmadığını belirleyecektir. Uygun

bulursa, (ulusal) makam, veri öznelerinin ve kendi temsilcilerinin görüşlerini

isteyecektir. Komisyon, Çalışma Grubu tarafından onaylanmış kuralların

uygun şekilde tanıtımını sağlayabilir.



300

f. Özel durumda yapılan konsültasyon için kanunda öngörülen koşullar

ölçüsünde, bir meşru menfaat gösteren herhangi bir kişi tarafından veya

genel olarak kamu tarafından danışmaya açık olan ve kamuya bilgi

sağlamak amaçlı kanunlar veya yönetmeliklere göre transfer bir kayıttan

sağlanırsa.

(2) Paragraf 1’e zarar vermeksizin, bir Üye Devlet, ilgili hakların işletilmesine

dair ve bireylerin temel hak ve özgürlükleri ve kişisel mahremiyet hakkının

korunmasına ilişkin anlam dahilinde, yeterli koruma seviyesini sağlamayan

üçüncü bir ülkeye kişisel veri transferler dizisine veya bir transferine izin

verebilir, bu tür korunma önlemleri özellikle uygun sözleşme maddelerinden

kaynaklanabilir.

(3) Üye Devlet, paragraf 2 uyarınca verdiği izinlerden Üye Devletleri ve

Komisyonu haberdar edecektir.

Bir Üye Devlet veya Komisyon, bireylerin temel hakları ve özgürlükleri ve

mahremiyetinin korunmasını gerektiren gerekçeli dayanaklara itiraz ederse,

Komisyon, MADDE 31 (2)’de belirtilen prosedüre göre uygun tedbirleri

alacaktır.

Üye Devletler Komisyonun kararına uymak için gerekli tedbirleri alacaklardır.

(4) MADDE 31 (2)’de atıfta bulunulan prosedüre uygun olarak, Komisyon, bazı

standart sözleşme maddelerinin paragraf 2’nin gerektirdiği şekilde yeterli

teminat sunmasına karar verirse, Üye Devletler, Komisyon kararına uymak

için gerekli tedbirleri alacaklardır.



301

BÖLÜM V - DAVRANIŞ KURALLARI

MADDE 27

(1) Üye Devletler ve Komisyon, çeşitli sektörlerin özel niteliklerini dikkate

alarak, bu Direktif uyarınca Üye Devletler tarafından benimsenen ulusal

hükümlerin doğru uygulanmasına katkı sağlamak için planlanan davranış

kurallarını düzenlemeye teşvik edecektir.

(2) Üye Devletler, mevcut ulusal kodları tadil etme veya genişletme niyetine

sahip veya taslak ulusal kodları hazırlamış denetleyicilerin diğer

kategorilerini temsil eden diğer kuruluşlar ve ticari kurumların, davranış

kurallarını ulusal makamın görüşüne sunabilmesi için önlem alacaktır.

Üye Devletler, sunulan taslakların, bu Direktif uyarınca kabul edilen ulusal

hükümlerle uyumlu olup olmadığını ulusal makamın belirlemesi için önlem

alacaktır. Komisyon, taslağı uygun görürse, ulusal makam, kendi

temsilcilerinin veya veri öznelerinin görüşlerini isteyecektir.

(3) Taslak Topluluk kodları ve mevcut Topluluk kodlarının uzantıları veya

düzeltmeleri, MADDE 29’da atıfta bulunulan çalışma grubuna sunulabilir. Bu

çalışma grubu diğer şeyler arasında, sunulan taslağın, bu Direktif uyarınca

kabul edilen ulusal hükümlere uygun olup olmadığını belirleyecektir. Uygun

bulursa, (ulusal) makam, veri öznelerinin ve kendi temsilcilerinin görüşlerini

isteyecektir. Komisyon, Çalışma Grubu tarafından onaylanmış kuralların

uygun şekilde tanıtımını sağlayabilir.



302

BÖLÜM VI - KİŞİSEL VERİLERİN İŞLENMESİNE DAİR BİREYLERİN

KORUNMASI HAKKINDAKİ ÇALIŞMA GRUBU VE DENETLEME MAKAMI

MADDE 28 Denetleme makamı

(1) Her bir Üye Devlet, , bu Direktif uyarınca Üye Devletler tarafından kabul

edilen hükümlerin kendi ülkesindeki uygulamasını izlemekten, bir veya daha

fazla kamu makamının sorumlu olmasını sağlayacaktır.

Bu makamlar, onlara tevdi edilen işlevleri yerine getirmede tam bağımsız

olarak hareket edeceklerdir.

(2) Her bir Üye Devlet, kişisel verilerin işlenmesine dair bireylerin hak ve

özgürlüklerinin korunmasına ilişkin idari tedbirleri veya yönetmelikleri

hazırlarken, denetim makamına danışılmasını sağlayacaktır.

(3) Her bir makama özellikle sağlanacaktır:

- denetim görevlerinin yerine getirilmesi için gerekli tüm bilgileri toplama

yetkileri ve işleme faaliyetlerinin konusunu oluşturan verilere erişim yetkileri

gibi araştırma yetkileri;

- örneğin ulusal parlamentolar veya diğer siyasi kuruluşlara konuyu havale

etme veya denetleyiciye ihtar verme veya uyarma, işleme üzerinde GEÇİCİ

veya kesin yasaklama koyma, verilerin yok edilmesini veya silinmesini,

engellenmesini emretme, bu tür görüşlerin uygun şekilde yayınlanmasını

sağlama ve MADDE 20’e uygun olarak işleme faaliyetlerinin yerine

getirilmesinden önce görüş bildirme gibi etkin müdahale yetkileri;

- Bu Direktif uyarınca kabul edilen ulusal hükümler ihlal edildiğinde veya bu

ihlalleri yargı makamlarının dikkatine sunma için kanuni kovuşturmaya

girişme yetkisi.

Denetleme makamının şikayetlere yol açan kararları; mahkemelerde temyiz

edilebilir.



303

(4) Her bir denetim makamı, kişisel verilerin işlenmesine dair hak ve

özgürlüklerin korunmasına ilişkin o kişiyi temsil eden bir dernek veya

herhangi bir kişi tarafından arzedilen iddiaları dinleyecektir.

Her bir denetim makamı, özellikle, bu Direktifin 13. maddesi uyarınca kabul

edilen ulusal hükümler uygulandığında, herhangi bir kişi tarafından arz

edilen veri işlemenin yasallığı hakkındaki kontroller için iddiaları

dinleyecektir. Kişi, bir kontrolün yapıldığından her halükarda

bilgilendirilecektir.

(5) Her denetleme makamı, faaliyetleri hakkında düzenli aralıklarla bir rapor

hazırlayacaktır. Rapor, kamuya açıklanacaktır.

(6) Her denetleme makamı, sözkonusu işlemeye uygulanan ulusal kanun her

ne olursa olsun, paragraf 3’e uygun olarak verilen yetkileri kendi Üye

Devletinin toprağında uygulamaya yetkilidir. Her bir makamdan, diğer bir

Üye Devletin makamı ile yetkilerini uygulaması istenebilir.

Denetleme makamları, özellikle tüm yararlı bilgileri takas ederek, kendi

görevlerini yerine getirmek için gerekli ölçüde birbirleriyle iş birliği

yapacaklardır.

(7) Üye Devletler, görevlerinin bitiminden sonra bile, denetleme makamının

personellerinin ve mensuplarının, eriştikleri gizli bilgilere dair mesleki gizlilik

görevine tabi olmalarını sağlayacaktır.

MADDE 29 Kişisel Verilerin İşlenmesine dair Bireylerin Korunması

Hakkındaki Çalışma Grubu

(1) Bundan böyle “Çalışma Grubu” denilecek olan, Kişisel Verilerin

İşlenmesine dair Bireylerin Korunması hakkında bir çalışma grubu, bu

belgeyle kurulmaktadır.

Danışma statüsüne sahip olacak ve bağımsız olarak hareket edecektir.



302

BÖLÜM VI - KİŞİSEL VERİLERİN İŞLENMESİNE DAİR BİREYLERİN

KORUNMASI HAKKINDAKİ ÇALIŞMA GRUBU VE DENETLEME MAKAMI

MADDE 28 Denetleme makamı

(1) Her bir Üye Devlet, , bu Direktif uyarınca Üye Devletler tarafından kabul

edilen hükümlerin kendi ülkesindeki uygulamasını izlemekten, bir veya daha

fazla kamu makamının sorumlu olmasını sağlayacaktır.

Bu makamlar, onlara tevdi edilen işlevleri yerine getirmede tam bağımsız

olarak hareket edeceklerdir.

(2) Her bir Üye Devlet, kişisel verilerin işlenmesine dair bireylerin hak ve

özgürlüklerinin korunmasına ilişkin idari tedbirleri veya yönetmelikleri

hazırlarken, denetim makamına danışılmasını sağlayacaktır.

(3) Her bir makama özellikle sağlanacaktır:

- denetim görevlerinin yerine getirilmesi için gerekli tüm bilgileri toplama

yetkileri ve işleme faaliyetlerinin konusunu oluşturan verilere erişim yetkileri

gibi araştırma yetkileri;

- örneğin ulusal parlamentolar veya diğer siyasi kuruluşlara konuyu havale

etme veya denetleyiciye ihtar verme veya uyarma, işleme üzerinde GEÇİCİ

veya kesin yasaklama koyma, verilerin yok edilmesini veya silinmesini,

engellenmesini emretme, bu tür görüşlerin uygun şekilde yayınlanmasını

sağlama ve MADDE 20’e uygun olarak işleme faaliyetlerinin yerine

getirilmesinden önce görüş bildirme gibi etkin müdahale yetkileri;

- Bu Direktif uyarınca kabul edilen ulusal hükümler ihlal edildiğinde veya bu

ihlalleri yargı makamlarının dikkatine sunma için kanuni kovuşturmaya

girişme yetkisi.

Denetleme makamının şikayetlere yol açan kararları; mahkemelerde temyiz

edilebilir.



303

(4) Her bir denetim makamı, kişisel verilerin işlenmesine dair hak ve

özgürlüklerin korunmasına ilişkin o kişiyi temsil eden bir dernek veya

herhangi bir kişi tarafından arzedilen iddiaları dinleyecektir.

Her bir denetim makamı, özellikle, bu Direktifin 13. maddesi uyarınca kabul

edilen ulusal hükümler uygulandığında, herhangi bir kişi tarafından arz

edilen veri işlemenin yasallığı hakkındaki kontroller için iddiaları

dinleyecektir. Kişi, bir kontrolün yapıldığından her halükarda

bilgilendirilecektir.

(5) Her denetleme makamı, faaliyetleri hakkında düzenli aralıklarla bir rapor

hazırlayacaktır. Rapor, kamuya açıklanacaktır.

(6) Her denetleme makamı, sözkonusu işlemeye uygulanan ulusal kanun her

ne olursa olsun, paragraf 3’e uygun olarak verilen yetkileri kendi Üye

Devletinin toprağında uygulamaya yetkilidir. Her bir makamdan, diğer bir

Üye Devletin makamı ile yetkilerini uygulaması istenebilir.

Denetleme makamları, özellikle tüm yararlı bilgileri takas ederek, kendi

görevlerini yerine getirmek için gerekli ölçüde birbirleriyle iş birliği

yapacaklardır.

(7) Üye Devletler, görevlerinin bitiminden sonra bile, denetleme makamının

personellerinin ve mensuplarının, eriştikleri gizli bilgilere dair mesleki gizlilik

görevine tabi olmalarını sağlayacaktır.

MADDE 29 Kişisel Verilerin İşlenmesine dair Bireylerin Korunması

Hakkındaki Çalışma Grubu

(1) Bundan böyle “Çalışma Grubu” denilecek olan, Kişisel Verilerin

İşlenmesine dair Bireylerin Korunması hakkında bir çalışma grubu, bu

belgeyle kurulmaktadır.

Danışma statüsüne sahip olacak ve bağımsız olarak hareket edecektir.



304

(2) Çalışma Grubu, Komisyon’un bir temsilcisi ve Topluluk kurumları ve

kuruluşları için kurulan makamların veya makamın birer temsilcisi ve her bir

Üye Devlet tarafından atanan denetleme makamı veya makamlarının birer

temsilcisinden oluşacaktır.

Çalışma Grubunun her bir üyesi, temsil ettikleri makam veya makamlar,

kurumlar tarafından atanacaklardır. Bir Üye Devlet birden fazla denetleme

makamı atamışsa, bunlar ortak bir temsilci atayacaklardır. Aynısı, Topluluk

kurum ve kuruluşları için saptanan makamlara uygulanacaktır.

(3) Çalışma Grubu, denetleme makamları temsilcilerinin salt (kendi)

çoğunluğuyla kararlar alacaktır.

(4) Çalışma Grubu, başkanını seçer. Başkanın görev süresi iki yıl olacaktır.

Başkan yeniden seçilebilecektir.

(5) Çalışma Grubunun sekreteryası Komisyon tarafından sağlanacaktır.

(6) Çalışma Grubu, kendi prosedür kurallarını kabul edecektir.

(7) Çalışma Grubu, ya Komisyon’un talebi veya denetleme makamının bir

temsilcisinin talebi üzerine veya kendi insiyatifiyle, başkanı tarafından

gündemine getirilen maddeleri ele alacaktır.

MADDE 30

(1) Çalışma Grubu:

a. Bu tür tedbirlerin düzenli uygulanmasına katkı sağlamak için bu Direktif

kapsamında benimsenen ulusal tedbirlerin uygulanmasını kapsayan

herhangi bir sorunu inceleyecektir;

b. Topluluktaki ve üçüncü ülkelerdeki koruma seviyesi hakkında

Komisyon’a görüş verecektir;

c. Kişisel verilerin işlenmesine dair gerçek kişilerin hak ve özgürlüklerini

güvenceye alacak ek veya özel tedbirler hakkında ve bu tür hak ve



305

özgürlükleri etkileyen diğer önerilmiş Topluluk tedbirleri hakkında, bu

Direktifin herhangi bir önerilen tadili üzerinde Komisyona tavsiyede

bulunacaktır;

d. Topluluk seviyesinde hazırlanan davranış kuralları hakkında görüş

verecektir.

(2) Çalışma Grubu, Topluluktaki kişisel verilerin işlenmesine dair kişilerin

korunmasında eşdeğerliği muhtemelen etkileyecek uyuşmazlıkların Üye

Devletlerin uygulamalarından ya da kanunlarından kaynaklandığını saptarsa,

bu doğrultuda Komisyon’u bilgilendirecektir.

(3) Çalışma Grubu kendi insiyatifiyle, Toplulukta kişisel verilerin işlenmesine

dair kişilerin korunmasına ilişkin tüm konularda tavsiyelerde bulunabilir.

(4) Çalışma Grubunun fikirleri ve tavsiyeleri, MADDE 31’de atıfta bulunulan

komiteye ve Komisyon’a iletilecektir.

(5) Komisyon, görüş ve tavsiyelerine yanıt olarak aldığı önlemleri Çalışma

Grubu’na bildirecektir. Bunu Avrupa Parlamentosu ve Konseyi’ne de

iletilecek bir raporla yapacaktır. Rapor kamuya açık olacaktır.

(6) Çalışma Grubu, Komisyon, Avrupa Parlamentosu ve Konseyi’ne iletilecek

olan üçüncü ülkelerde ve topluluktaki kişisel verilerin işlenmesine dair

gerçek kişilerin korunmasına dair durum hakkında bir yıllık rapor

hazırlayacaktır. Rapor halka duyurulacaktır.

BÖLÜM VII - TEDBİRLERİ UYGULAYAN TOPLULUK

MADDE 31

(1) Komisyon’a, Üye Devletlerin temsilcilerinden oluşan ve başkanlığını

Komisyon temsilcisinin yaptığı bir Komite yardımcı olacaktır.



304

(2) Çalışma Grubu, Komisyon’un bir temsilcisi ve Topluluk kurumları ve

kuruluşları için kurulan makamların veya makamın birer temsilcisi ve her bir

Üye Devlet tarafından atanan denetleme makamı veya makamlarının birer

temsilcisinden oluşacaktır.

Çalışma Grubunun her bir üyesi, temsil ettikleri makam veya makamlar,

kurumlar tarafından atanacaklardır. Bir Üye Devlet birden fazla denetleme

makamı atamışsa, bunlar ortak bir temsilci atayacaklardır. Aynısı, Topluluk

kurum ve kuruluşları için saptanan makamlara uygulanacaktır.

(3) Çalışma Grubu, denetleme makamları temsilcilerinin salt (kendi)

çoğunluğuyla kararlar alacaktır.

(4) Çalışma Grubu, başkanını seçer. Başkanın görev süresi iki yıl olacaktır.

Başkan yeniden seçilebilecektir.

(5) Çalışma Grubunun sekreteryası Komisyon tarafından sağlanacaktır.

(6) Çalışma Grubu, kendi prosedür kurallarını kabul edecektir.

(7) Çalışma Grubu, ya Komisyon’un talebi veya denetleme makamının bir

temsilcisinin talebi üzerine veya kendi insiyatifiyle, başkanı tarafından

gündemine getirilen maddeleri ele alacaktır.

MADDE 30

(1) Çalışma Grubu:

a. Bu tür tedbirlerin düzenli uygulanmasına katkı sağlamak için bu Direktif

kapsamında benimsenen ulusal tedbirlerin uygulanmasını kapsayan

herhangi bir sorunu inceleyecektir;

b. Topluluktaki ve üçüncü ülkelerdeki koruma seviyesi hakkında

Komisyon’a görüş verecektir;

c. Kişisel verilerin işlenmesine dair gerçek kişilerin hak ve özgürlüklerini

güvenceye alacak ek veya özel tedbirler hakkında ve bu tür hak ve



305

özgürlükleri etkileyen diğer önerilmiş Topluluk tedbirleri hakkında, bu

Direktifin herhangi bir önerilen tadili üzerinde Komisyona tavsiyede

bulunacaktır;

d. Topluluk seviyesinde hazırlanan davranış kuralları hakkında görüş

verecektir.

(2) Çalışma Grubu, Topluluktaki kişisel verilerin işlenmesine dair kişilerin

korunmasında eşdeğerliği muhtemelen etkileyecek uyuşmazlıkların Üye

Devletlerin uygulamalarından ya da kanunlarından kaynaklandığını saptarsa,

bu doğrultuda Komisyon’u bilgilendirecektir.

(3) Çalışma Grubu kendi insiyatifiyle, Toplulukta kişisel verilerin işlenmesine

dair kişilerin korunmasına ilişkin tüm konularda tavsiyelerde bulunabilir.

(4) Çalışma Grubunun fikirleri ve tavsiyeleri, MADDE 31’de atıfta bulunulan

komiteye ve Komisyon’a iletilecektir.

(5) Komisyon, görüş ve tavsiyelerine yanıt olarak aldığı önlemleri Çalışma

Grubu’na bildirecektir. Bunu Avrupa Parlamentosu ve Konseyi’ne de

iletilecek bir raporla yapacaktır. Rapor kamuya açık olacaktır.

(6) Çalışma Grubu, Komisyon, Avrupa Parlamentosu ve Konseyi’ne iletilecek

olan üçüncü ülkelerde ve topluluktaki kişisel verilerin işlenmesine dair

gerçek kişilerin korunmasına dair durum hakkında bir yıllık rapor

hazırlayacaktır. Rapor halka duyurulacaktır.

BÖLÜM VII - TEDBİRLERİ UYGULAYAN TOPLULUK

MADDE 31

(1) Komisyon’a, Üye Devletlerin temsilcilerinden oluşan ve başkanlığını

Komisyon temsilcisinin yaptığı bir Komite yardımcı olacaktır.



306

(2) Komisyon temsilcisi, komiteye, alınacak önlemlerin bir taslağını

sunacaktır. Komite, taslak hakkındaki görüşlerini başkan tarafından konunun

aciliyetine bağlı olarak saptanacak olan bir süre içinde bildirecektir.

Görüş, Antlaşmanın MADDE 148 (2) saptanmış olan çoğunluk ile

bildirilecektir. Komitede Üye Devletlerin temsilcilerinin oyları, aynı Madde’de

belirtildiği şekilde ağırlık taşıyacaktır. Başkan, oy kullanmayacaktır.

Komisyon, derhal uygulanacak olan önlemleri benimseyecektir. Ancak, eğer

bu önlemler komitenin görüşüne uygun değilse, Komisyon tarafından

Konsey’e derhal iletilecektir. Böyle bir durumda:

— Komisyon, üzerinde karar varmış olduğu önlemlerin uygulanmasını, söz

konusu iletiyi aldığı tarihten itibaren üç aylık bir süre için erteleyecektir,

— Konsey, birinci paragrafta belirtilmiş olan süre zarfında nitelikli çoğunlukla

hareket ederek farklı bir karar alabilir.

MADDE 32 Nihai Hükümler

(1) Üye Devletler, bu Direktifle uyum sağlamak için gerekli idari hükümleri,

yasaları ve yönetmelikleri kabul edilme tarihinden itibaren en geç üç yıllık

dönemin bitimine kadar yürürlüğe koyacaklardır.

Üye Devletler bu kararları kabul ettiğinde, bunlar, bu Direktife bir atıfı

içerecektir veya kendi resmi yayınları dolayısıyla bu tür bir atıf eşlik edecektir.

Bu tür referans yapma yöntemleri, Üye Devletler tarafından öngörülecektir.

(2) Üye Devletler, bu Direktif uyarınca kabul edilen ulusal hükümlerin

yürürlüğe girdiği tarihte devam eden işlemenin; bu yürürlük tarihinden

itibaren üç yıl içinde, bu hükümlerle uygun hale getirilmesini temin

edeceklerdir.

Önceki alt paragraftan derogasyon yoluyla, Üye Devletler, bu Direktifin

uygulanmasına ilişkin benimsenen ulusal hükümlerin yürürlüğe koyulduğu



307

tarihte manuel dosyalama sisteminde tutulan verilerin işlenmesinin kabul

tarihinden itibaren 12 yıl içinde, bu Direktifin 6, 7 ve 8. maddelerine uyumlu

hale getirilmesini sağlayabilirler. Ancak, Üye Devletler, denetleyici tarafından

izlenen meşru amaçlarla uyumsuz bir biçimde depolanan veya eksik, yanlış

olan verilerin engellenmesi veya silinmesi, düzeltilmesi ve elde etme hakkını,

özellikle erişim hakkını yerine getirme zamanında ve talebi üzerine veri

öznesine vereceklerdir.

(3) Paragraf 2’den derogasyon yoluyla, Üye Devletler, uygun korunma

önlemlerine tabii olarak, yalnızca, tarihsel araştırma amacıyla tutulan

verilerin bu Direktifin 6, 7 ve 8. Maddesine uyumlu hale getirilmesine gerek

olmadığını belirtebilirler.

(4) Üye Devletler, bu Direktifle kapsanan alanda kabul ettikleri iç hukuk

hükümlerinin metnini Komisyona iletecektir.

MADDE 33

Komisyon, gerekirse, tadiller için uygun önerileri raporuna ekleyerek, bu

Direktifin uygulanması hakkında MADDE 326 de atıfta bulunulan tarihin 3 yıl

öncesinden başlayarak düzenli aralıklarla Avrupa Parlamentosu ve Konseye

rapor sunacaktır. Rapor halka duyurulacaktır.

Komisyon, özellikle, gerçek kişilere ilişkin ses ve görüntü verilerinin

işlenmesinde bu Direktifin uygulanmasını inceleyecektir ve bilgi

toplumundaki ilerleme durumunun ışığında ve bilgi teknolojisindeki

gelişmeleri dikkate alarak gerekeceği kanıtlanan herhangi uygun önerileri

sunacaktır.

MADDE 34

Bu Direktif Üye Devletlere hitap etmektedir.



306

(2) Komisyon temsilcisi, komiteye, alınacak önlemlerin bir taslağını

sunacaktır. Komite, taslak hakkındaki görüşlerini başkan tarafından konunun

aciliyetine bağlı olarak saptanacak olan bir süre içinde bildirecektir.

Görüş, Antlaşmanın MADDE 148 (2) saptanmış olan çoğunluk ile

bildirilecektir. Komitede Üye Devletlerin temsilcilerinin oyları, aynı Madde’de

belirtildiği şekilde ağırlık taşıyacaktır. Başkan, oy kullanmayacaktır.

Komisyon, derhal uygulanacak olan önlemleri benimseyecektir. Ancak, eğer

bu önlemler komitenin görüşüne uygun değilse, Komisyon tarafından

Konsey’e derhal iletilecektir. Böyle bir durumda:

— Komisyon, üzerinde karar varmış olduğu önlemlerin uygulanmasını, söz

konusu iletiyi aldığı tarihten itibaren üç aylık bir süre için erteleyecektir,

— Konsey, birinci paragrafta belirtilmiş olan süre zarfında nitelikli çoğunlukla

hareket ederek farklı bir karar alabilir.

MADDE 32 Nihai Hükümler

(1) Üye Devletler, bu Direktifle uyum sağlamak için gerekli idari hükümleri,

yasaları ve yönetmelikleri kabul edilme tarihinden itibaren en geç üç yıllık

dönemin bitimine kadar yürürlüğe koyacaklardır.

Üye Devletler bu kararları kabul ettiğinde, bunlar, bu Direktife bir atıfı

içerecektir veya kendi resmi yayınları dolayısıyla bu tür bir atıf eşlik edecektir.

Bu tür referans yapma yöntemleri, Üye Devletler tarafından öngörülecektir.

(2) Üye Devletler, bu Direktif uyarınca kabul edilen ulusal hükümlerin

yürürlüğe girdiği tarihte devam eden işlemenin; bu yürürlük tarihinden

itibaren üç yıl içinde, bu hükümlerle uygun hale getirilmesini temin

edeceklerdir.

Önceki alt paragraftan derogasyon yoluyla, Üye Devletler, bu Direktifin

uygulanmasına ilişkin benimsenen ulusal hükümlerin yürürlüğe koyulduğu



307

tarihte manuel dosyalama sisteminde tutulan verilerin işlenmesinin kabul

tarihinden itibaren 12 yıl içinde, bu Direktifin 6, 7 ve 8. maddelerine uyumlu

hale getirilmesini sağlayabilirler. Ancak, Üye Devletler, denetleyici tarafından

izlenen meşru amaçlarla uyumsuz bir biçimde depolanan veya eksik, yanlış

olan verilerin engellenmesi veya silinmesi, düzeltilmesi ve elde etme hakkını,

özellikle erişim hakkını yerine getirme zamanında ve talebi üzerine veri

öznesine vereceklerdir.

(3) Paragraf 2’den derogasyon yoluyla, Üye Devletler, uygun korunma

önlemlerine tabii olarak, yalnızca, tarihsel araştırma amacıyla tutulan

verilerin bu Direktifin 6, 7 ve 8. Maddesine uyumlu hale getirilmesine gerek

olmadığını belirtebilirler.

(4) Üye Devletler, bu Direktifle kapsanan alanda kabul ettikleri iç hukuk

hükümlerinin metnini Komisyona iletecektir.

MADDE 33

Komisyon, gerekirse, tadiller için uygun önerileri raporuna ekleyerek, bu

Direktifin uygulanması hakkında MADDE 326 de atıfta bulunulan tarihin 3 yıl

öncesinden başlayarak düzenli aralıklarla Avrupa Parlamentosu ve Konseye

rapor sunacaktır. Rapor halka duyurulacaktır.

Komisyon, özellikle, gerçek kişilere ilişkin ses ve görüntü verilerinin

işlenmesinde bu Direktifin uygulanmasını inceleyecektir ve bilgi

toplumundaki ilerleme durumunun ışığında ve bilgi teknolojisindeki

gelişmeleri dikkate alarak gerekeceği kanıtlanan herhangi uygun önerileri

sunacaktır.

MADDE 34

Bu Direktif Üye Devletlere hitap etmektedir.

309

AVRUPA BİRLİĞİ TEMEL HAKLAR ŞARTI (İLGİLİ HÜKÜMLER)

“Charter of Fundamental Rights of the European Union, 2000/C” / 18.12.2000

MADDE 8 Kişisel verilerin korunması

1. Herkes, kendisiyle ilgili kişisel verilerinin korunması hakkına sahiptir.

2. Bu veriler belirli amaçlar için adil biçimde, ilgili kişinin rızasına ya da

yasalarca belirlenmiş diğer meşru temellere dayanarak işlenir. Herkes,

kendisiyle ilgili toplanan verilere erişme ve bunları düzelttirme hakkına

sahiptir.

3. Bu kurallara riayet etme, bağımsız bir otoritenin kontrolüne tâbidir.

309

AVRUPA BİRLİĞİ TEMEL HAKLAR ŞARTI (İLGİLİ HÜKÜMLER)

“Charter of Fundamental Rights of the European Union, 2000/C” / 18.12.2000

MADDE 8 Kişisel verilerin korunması

1. Herkes, kendisiyle ilgili kişisel verilerinin korunması hakkına sahiptir.

2. Bu veriler belirli amaçlar için adil biçimde, ilgili kişinin rızasına ya da

yasalarca belirlenmiş diğer meşru temellere dayanarak işlenir. Herkes,

kendisiyle ilgili toplanan verilere erişme ve bunları düzelttirme hakkına

sahiptir.

3. Bu kurallara riayet etme, bağımsız bir otoritenin kontrolüne tâbidir.

311

2002/58 SAYILI ELEKTRONİK HABERLEŞME SEKTÖRÜNDE

KİŞİSEL VERİLERİN İŞLENMESİ VE ÖZEL HAYATIN GİZLİLİĞİNİN

KORUNMASINA İLİŞKİN DİREKTİF

“Directive 2002/58/EC of the European Parliament and of the Council of 12 July

2002 concerning the processing of personal data and the protection of privacy

in the electronic communications sector (Directive on privacy and electronic

communications)” / 12.06.2002

EDİTÖR NOTU Bu Direktif, 97/66/EC Sayılı Telekomünikasyon Alanında Kişisel Verilerine

İşlenmesi Ve Özel Hayatın Korunmasına İlişkin Direktifi yürürlükten Kaldırmıştır.

2006/24 SAYILI KAMUYA AÇIK HABERLEŞME HİZMETLERİ VEYA

KAMU HABERLEŞME ŞEBEKESİ İLE BAĞLANTILI OLARAK

ÜRETİLEN VEYA İŞLENEN VERİLERİN SAKLANMASINA İLİŞKİN

AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİF

“Directive 2006/24/EC of The European Parliament and of The Council of 15

March 2006 on the retention of data generated or processed in connection with

the provision of publicly available electronic communications services or of

public communications networks and amending Directive 2002/58/EC” /

15.03.2006

2007/228 AVRUPA TOPLULUKLARI KOMİSYONU BİLDİRİSİ

“Communication from the Commission to the European Parliament and the

Council on Promoting Data Protection by Privacy Enhancing Technologies

(PETs)” / 2.5.2007

311

2002/58 SAYILI ELEKTRONİK HABERLEŞME SEKTÖRÜNDE

KİŞİSEL VERİLERİN İŞLENMESİ VE ÖZEL HAYATIN GİZLİLİĞİNİN

KORUNMASINA İLİŞKİN DİREKTİF

“Directive 2002/58/EC of the European Parliament and of the Council of 12 July

2002 concerning the processing of personal data and the protection of privacy

in the electronic communications sector (Directive on privacy and electronic

communications)” / 12.06.2002

EDİTÖR NOTU Bu Direktif, 97/66/EC Sayılı Telekomünikasyon Alanında Kişisel Verilerine

İşlenmesi Ve Özel Hayatın Korunmasına İlişkin Direktifi yürürlükten Kaldırmıştır.

2006/24 SAYILI KAMUYA AÇIK HABERLEŞME HİZMETLERİ VEYA

KAMU HABERLEŞME ŞEBEKESİ İLE BAĞLANTILI OLARAK

ÜRETİLEN VEYA İŞLENEN VERİLERİN SAKLANMASINA İLİŞKİN

AVRUPA PARLAMENTOSU VE AVRUPA KONSEYİ DİREKTİF

“Directive 2006/24/EC of The European Parliament and of The Council of 15

March 2006 on the retention of data generated or processed in connection with

the provision of publicly available electronic communications services or of

public communications networks and amending Directive 2002/58/EC” /

15.03.2006

2007/228 AVRUPA TOPLULUKLARI KOMİSYONU BİLDİRİSİ

“Communication from the Commission to the European Parliament and the

Council on Promoting Data Protection by Privacy Enhancing Technologies

(PETs)” / 2.5.2007

313

AVRUPA BİRLİĞİ’NİN İŞLEYİŞİ HAKKINDA ANLAŞMA


“Consolidated version of the Treaty on the Functioning of the European Union”

/ 26.10.2012

MADDE 16

1. Herkes, kendisine ilişkin kişisel verilerinin korunması hakkına sahiptir.

2. Avrupa Parlamentosu ve Konsey, Birlik hukuku kapsamına giren

faaliyetlerin yürütülmesinde, Birlik kurum, organ, ofis veya ajansları ile üye

devletler tarafından kişisel verilerin işlenmesi sırasında bireylerin

korunmasına ve bu bilgilerin serbest dolaşımına ilişkin kuralları olağan

yasama usulü uyarınca belirler. Bu kurallara uyulması, bağımsız otoritelerin

denetimine tabidir.

Bu maddeye dayanarak kabul edilen kurallar, Avrupa Birliği Antlaşması’nın

39. Maddesinde yer alan spesifik kurallara halel getirmez.

313

AVRUPA BİRLİĞİ’NİN İŞLEYİŞİ HAKKINDA ANLAŞMA


“Consolidated version of the Treaty on the Functioning of the European Union”

/ 26.10.2012

MADDE 16

1. Herkes, kendisine ilişkin kişisel verilerinin korunması hakkına sahiptir.

2. Avrupa Parlamentosu ve Konsey, Birlik hukuku kapsamına giren

faaliyetlerin yürütülmesinde, Birlik kurum, organ, ofis veya ajansları ile üye

devletler tarafından kişisel verilerin işlenmesi sırasında bireylerin

korunmasına ve bu bilgilerin serbest dolaşımına ilişkin kuralları olağan

yasama usulü uyarınca belirler. Bu kurallara uyulması, bağımsız otoritelerin

denetimine tabidir.

Bu maddeye dayanarak kabul edilen kurallar, Avrupa Birliği Antlaşması’nın

39. Maddesinde yer alan spesifik kurallara halel getirmez.

315

2016/679 AVRUPA BİRLİĞİ GENEL VERİ KORUMA TÜZÜĞÜ

“Regulation (EU) 2016/679 of The European Parliament and of The Council of

27 April 2016 on the protection of natural persons with regard to the processing

of personal data and on the free movement of such data, and repealing

Directive 95/46/EC (General Data Protection Regulation)” / 4.5.2016

315

2016/679 AVRUPA BİRLİĞİ GENEL VERİ KORUMA TÜZÜĞÜ

“Regulation (EU) 2016/679 of The European Parliament and of The Council of

27 April 2016 on the protection of natural persons with regard to the processing

of personal data and on the free movement of such data, and repealing

Directive 95/46/EC (General Data Protection Regulation)” / 4.5.2016

http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016R0679

317

§ ULUSLARARASI DİĞER DÜZENLEMELER

317

§ ULUSLARARASI DİĞER DÜZENLEMELER

319

İNSAN HAKLARI EVRENSEL BEYANNAMESİ (İLGİLİ HÜKÜMLER)

“Universal Declaration of Human Rights” / 10.12.1948

6 Nisan 1949 tarih ve 9119 Sayılı Bakanlar Kurulu ile "İnsan Hakları Evrensel

Beyannamesi'nin Resmi Gazete ile yayımlanması kararlaştırılmıştır. Anılan

Bakanlar Kurulu Kararı 27.05.1949 tarihli 7217 sayılı Resmi Gazete'de

yayımlanmıştır.

Birleşmiş Milletler Genel Kurulu;

İnsanlık topluluğunun bütün bireyleriyle kuruluşlarının bu Bildirgeyi her

zaman göz önünde tutarak eğitim ve öğretim yoluyla bu hak ve özgürlüklere

saygıyı geliştirmeye, giderek artan ulusal ve uluslararası önlemlerle gerek

üye devletlerin halkları ve gerekse bu devletlerin yönetimi altındaki ülkeler

halkları arasında bu hakların dünyaca etkin olarak tanınmasını ve

uygulanmasını sağlamaya çaba göstermeleri amacıyla tüm halklar ve uluslar

için ortak ideal ölçüleri belirleyen bu İnsan Hakları Evrensel Bildirgesini ilan

eder.

MADDE 12

Kimsenin özel yaşamına, ailesine konutuna ya da haberleşmesine keyfi

olarak karışılamaz, şeref ve adına saldırılamaz. Herkesin bu gibi karışma ve

saldırılara karşı yasa tarafından korunmaya hakkı vardır.

319

İNSAN HAKLARI EVRENSEL BEYANNAMESİ (İLGİLİ HÜKÜMLER)

“Universal Declaration of Human Rights” / 10.12.1948

6 Nisan 1949 tarih ve 9119 Sayılı Bakanlar Kurulu ile "İnsan Hakları Evrensel

Beyannamesi'nin Resmi Gazete ile yayımlanması kararlaştırılmıştır. Anılan

Bakanlar Kurulu Kararı 27.05.1949 tarihli 7217 sayılı Resmi Gazete'de

yayımlanmıştır.

Birleşmiş Milletler Genel Kurulu;

İnsanlık topluluğunun bütün bireyleriyle kuruluşlarının bu Bildirgeyi her

zaman göz önünde tutarak eğitim ve öğretim yoluyla bu hak ve özgürlüklere

saygıyı geliştirmeye, giderek artan ulusal ve uluslararası önlemlerle gerek

üye devletlerin halkları ve gerekse bu devletlerin yönetimi altındaki ülkeler

halkları arasında bu hakların dünyaca etkin olarak tanınmasını ve

uygulanmasını sağlamaya çaba göstermeleri amacıyla tüm halklar ve uluslar

için ortak ideal ölçüleri belirleyen bu İnsan Hakları Evrensel Bildirgesini ilan

eder.

MADDE 12

Kimsenin özel yaşamına, ailesine konutuna ya da haberleşmesine keyfi

olarak karışılamaz, şeref ve adına saldırılamaz. Herkesin bu gibi karışma ve

saldırılara karşı yasa tarafından korunmaya hakkı vardır.

321

MEDENİ VE SİYASAL HAKLAR SÖZLEŞMESİ (İLGİLİ HÜKÜMLER)

“International Covenant on Civil and Political Rights” / 19.12.1966

Türkiye Sözleşme’yi 15 Ağustos 2000 tarihinde imzalamış ve 18.06.2003 tarihli

Resmî Gazete’de yayımlanan 4868 sayılı Kanun’la onaylanmıştır.

MADDE 17- Mahremiyet Hakkı

(1) Hiç kimsenin özel ve aile yaşamına, konutuna veya haberleşmesine keyfi

veya hukuka aykırı olarak müdahale edilemez; onuru veya itibarı hukuka

aykırı saldırılara maruz bırakılamaz.

(2) Herkes bu tür saldırılara veya müdahalelere karşı hukuk tarafından

korunma hakkına sahiptir

321

MEDENİ VE SİYASAL HAKLAR SÖZLEŞMESİ (İLGİLİ HÜKÜMLER)

“International Covenant on Civil and Political Rights” / 19.12.1966

Türkiye Sözleşme’yi 15 Ağustos 2000 tarihinde imzalamış ve 18.06.2003 tarihli

Resmî Gazete’de yayımlanan 4868 sayılı Kanun’la onaylanmıştır.

MADDE 17- Mahremiyet Hakkı

(1) Hiç kimsenin özel ve aile yaşamına, konutuna veya haberleşmesine keyfi

veya hukuka aykırı olarak müdahale edilemez; onuru veya itibarı hukuka

aykırı saldırılara maruz bırakılamaz.

(2) Herkes bu tür saldırılara veya müdahalelere karşı hukuk tarafından

korunma hakkına sahiptir

323

OECD’NİN ÖZEL YAŞAMIN KORUNMASI VE KİŞİSEL VERİLERİN

SINIRÖTESİ AKIŞINA İLİŞKİN REHBER İLKELERİ

“OECD Guidelines on the Protection of Privacy and Transborder Flows of

Personal Data / Recommendation Of The Council Concerning Guidelines

Governing The Protection of Privacy And Transborder Flows Of Personal Data”

/ 23.09.1980

BM’NİN BİLGİSAYARLA İŞLENEN KİŞİSEL VERİ DOSYALARINA

İLİŞKİN REHBER İLKELERİ

“Guidelines for the Regulation of Computerized Personal Data Files

Adopted by General Assembly resolution 45/95” / 14.12.1990

ALMAN FEDERAL VERİ KORUMA KANUNU

“Bundesdatenschutzgesetz” (BDSG) / 27.01.1977

İSVİÇRE FEDERAL VERİ KORUMA KANUNU

Bundesgesetz über den Datenschutz (DSG) / 19.06.1992

The Federal Assembly of the Swiss Confederation’s decision date: 19 June 1992,

In force 1 July 1993.

323

OECD’NİN ÖZEL YAŞAMIN KORUNMASI VE KİŞİSEL VERİLERİN

SINIRÖTESİ AKIŞINA İLİŞKİN REHBER İLKELERİ

“OECD Guidelines on the Protection of Privacy and Transborder Flows of

Personal Data / Recommendation Of The Council Concerning Guidelines

Governing The Protection of Privacy And Transborder Flows Of Personal Data”

/ 23.09.1980

BM’NİN BİLGİSAYARLA İŞLENEN KİŞİSEL VERİ DOSYALARINA

İLİŞKİN REHBER İLKELERİ

“Guidelines for the Regulation of Computerized Personal Data Files

Adopted by General Assembly resolution 45/95” / 14.12.1990

ALMAN FEDERAL VERİ KORUMA KANUNU

“Bundesdatenschutzgesetz” (BDSG) / 27.01.1977

İSVİÇRE FEDERAL VERİ KORUMA KANUNU

Bundesgesetz über den Datenschutz (DSG) / 19.06.1992

The Federal Assembly of the Swiss Confederation’s decision date: 19 June 1992,

In force 1 July 1993.

325

§ İÇTİHATLAR

325

§ İÇTİHATLAR

327


GEREKTİĞİNE İLİŞKİN YARGITAY KARARI

Yargıtay 12. Ceza Dairesi; 2013/9043 E. 2014/151 K. 13.01.2014 T.

(…) Belirli veya belirlenebilir bir kişiye ait her türlü bilginin, başkasına

verilmesi, yayılması ya da ele geçirilmesi, TCK'nın 136/1. maddesinde

“Verileri hukuka aykırı olarak verme veya ele geçirme” başlığı altında suç

olarak tanımlanmış olup, eylemin; kamu görevlisi tarafından ve görevinin

verdiği yetki kötüye kullanılmak ya da belli bir meslek ve sanatın sağladığı

kolaylıktan yararlanmak suretiyle gerçekleşmesi hali, aynı Kanunun 137.

maddesinde cezada artırım nedeni olarak öngörülmüştür.

Verileri hukuka aykırı olarak verme veya ele geçirme suçunun maddi

konusunu oluşturan “kişisel veri” kavramından, kişinin, yetkisiz üçüncü

kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak

sınırlı bir çevre ile paylaştığı nüfus bilgileri (T.C. kimlik numarası, adı, soyadı,

doğum yeri ve tarihi, anne ve baba adı gibi), adli sicil kaydı, yerleşim yeri,

eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, elektronik

posta adresi, kan grubu, medeni hali, parmak izi, DNA'sı, saç, tükürük, tırnak

gibi biyolojik örnekleri, cinsel ve ahlaki eğilimi, sağlık bilgileri, etnik kökeni,

siyasi, felsefi ve dini görüşü, sendikal bağlantıları gibi kişinin kimliğini

belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden

ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her

türlü bilginin anlaşılması gerekir; ancak, herkes tarafından bilinen ve/veya

kolaylıkla ulaşılması ve bilinmesi mümkün olan kişisel bilgiler, yasal anlamda

“kişisel veri” olarak değerlendirilemez, aksinin kabulü; anılan maddenin

uygulama alanının amaçlanandan fazla genişletilerek, uygulamada belirsizlik

ve hemen her eylemin suç oluşturması gibi olumsuz sonuçlar doğurur, bu

nedenle, bir kişisel bilginin, açıklanan anlamda “kişisel veri” kabul edilip

edilmeyeceğine karar verilirken, somut olayın özellikleri dikkate alınarak

327


GEREKTİĞİNE İLİŞKİN YARGITAY KARARI

Yargıtay 12. Ceza Dairesi; 2013/9043 E. 2014/151 K. 13.01.2014 T.

(…) Belirli veya belirlenebilir bir kişiye ait her türlü bilginin, başkasına

verilmesi, yayılması ya da ele geçirilmesi, TCK'nın 136/1. maddesinde

“Verileri hukuka aykırı olarak verme veya ele geçirme” başlığı altında suç

olarak tanımlanmış olup, eylemin; kamu görevlisi tarafından ve görevinin

verdiği yetki kötüye kullanılmak ya da belli bir meslek ve sanatın sağladığı

kolaylıktan yararlanmak suretiyle gerçekleşmesi hali, aynı Kanunun 137.

maddesinde cezada artırım nedeni olarak öngörülmüştür.

Verileri hukuka aykırı olarak verme veya ele geçirme suçunun maddi

konusunu oluşturan “kişisel veri” kavramından, kişinin, yetkisiz üçüncü

kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak

sınırlı bir çevre ile paylaştığı nüfus bilgileri (T.C. kimlik numarası, adı, soyadı,

doğum yeri ve tarihi, anne ve baba adı gibi), adli sicil kaydı, yerleşim yeri,

eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, elektronik

posta adresi, kan grubu, medeni hali, parmak izi, DNA'sı, saç, tükürük, tırnak

gibi biyolojik örnekleri, cinsel ve ahlaki eğilimi, sağlık bilgileri, etnik kökeni,

siyasi, felsefi ve dini görüşü, sendikal bağlantıları gibi kişinin kimliğini

belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden

ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her

türlü bilginin anlaşılması gerekir; ancak, herkes tarafından bilinen ve/veya

kolaylıkla ulaşılması ve bilinmesi mümkün olan kişisel bilgiler, yasal anlamda

“kişisel veri” olarak değerlendirilemez, aksinin kabulü; anılan maddenin

uygulama alanının amaçlanandan fazla genişletilerek, uygulamada belirsizlik

ve hemen her eylemin suç oluşturması gibi olumsuz sonuçlar doğurur, bu

nedenle, bir kişisel bilginin, açıklanan anlamda “kişisel veri” kabul edilip

edilmeyeceğine karar verilirken, somut olayın özellikleri dikkate alınarak

KİŞİSEL VERİ KAVRAMINDAN HANGİ BİLGİLERİN ANLAŞILMASI GEREKTİĞİNE İLİŞKİN YARGITAY KARARI

328

titizlikle değerlendirme yapılması, sanığın eylemiyle hukuka aykırı hareket

ettiğini bildiği ya da bilebilecek durumda olduğunun da ayrıca tespit edilmesi

gerekir.

(…)

329

BİYOMETRİK YÖNTEMLERLE KİMLİK DOĞRULAMASI

YAPILMASINI ÖNGÖREN KANUN HÜKMÜNÜN ANAYASA

AYKIRILIĞINA İLİŞKİN ANAYASA MAHKEMESİ KARARI

Anayasa Mahkemesi, 2014/180 E. 2015/30 K. 19.3.2015 T.


İTİRAZ YOLUNA BAŞVURAN : Danıştay Onbeşinci Dairesi

İTİRAZIN KONUSU : 31.5.2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve

Genel Sağlık Sigortası Kanunu'nun 67. maddesinin üçüncü fıkrasına, 1.3.2012

tarihli ve 6283 sayılı Kanun'un 1. maddesiyle eklenen ".biyometrik

yöntemlerle kimlik doğrulamasının yapılması ve/veya." ibaresinin

Anayasa'nın 2., 13. ve 20. maddelerine aykırılığı ileri sürülerek iptaline karar

verilmesi istemidir.

I- OLAY

Genel sağlık sigortalısı davacı tarafından, biyometrik kimlik doğrulama

sistemine tanımlanmaksızın hizmet sunmayan özel hastane başhekimliğinin

uygulamasının bildirimi niteliğinde olan işlemin ve dayanak gösterdiği

mevzuatın iptali istemiyle Sosyal Güvenlik Kurumu Başkanlığı aleyhine açılan

davada, itiraz konusu kuralın Anayasa'ya aykırı olduğu kanısına varan

Mahkeme, iptali için başvurmuştur.

(…)

III- YASA METİNLERİ

A- İtiraz Konusu Yasa Kuralı

Kanun'un itiraz konusu kuralı da içeren 67. maddesinin üçüncü fıkrası

şöyledir:

"Ayrıca genel sağlık sigortalısı ve bakmakla yükümlü olduğu kişilerin sağlık

hizmetlerinden ve diğer haklardan yararlanabilmeleri için sağlık hizmet

KİŞİSEL VERİ KAVRAMINDAN HANGİ BİLGİLERİN ANLAŞILMASI GEREKTİĞİNE İLİŞKİN YARGITAY KARARI

328

titizlikle değerlendirme yapılması, sanığın eylemiyle hukuka aykırı hareket

ettiğini bildiği ya da bilebilecek durumda olduğunun da ayrıca tespit edilmesi

gerekir.

(…)

329

BİYOMETRİK YÖNTEMLERLE KİMLİK DOĞRULAMASI

YAPILMASINI ÖNGÖREN KANUN HÜKMÜNÜN ANAYASA

AYKIRILIĞINA İLİŞKİN ANAYASA MAHKEMESİ KARARI



İTİRAZ YOLUNA BAŞVURAN : Danıştay Onbeşinci Dairesi

İTİRAZIN KONUSU : 31.5.2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve

Genel Sağlık Sigortası Kanunu'nun 67. maddesinin üçüncü fıkrasına, 1.3.2012

tarihli ve 6283 sayılı Kanun'un 1. maddesiyle eklenen ".biyometrik

yöntemlerle kimlik doğrulamasının yapılması ve/veya." ibaresinin

Anayasa'nın 2., 13. ve 20. maddelerine aykırılığı ileri sürülerek iptaline karar

verilmesi istemidir.

I- OLAY

Genel sağlık sigortalısı davacı tarafından, biyometrik kimlik doğrulama

sistemine tanımlanmaksızın hizmet sunmayan özel hastane başhekimliğinin

uygulamasının bildirimi niteliğinde olan işlemin ve dayanak gösterdiği

mevzuatın iptali istemiyle Sosyal Güvenlik Kurumu Başkanlığı aleyhine açılan

davada, itiraz konusu kuralın Anayasa'ya aykırı olduğu kanısına varan

Mahkeme, iptali için başvurmuştur.

(…)

III- YASA METİNLERİ

A- İtiraz Konusu Yasa Kuralı

Kanun'un itiraz konusu kuralı da içeren 67. maddesinin üçüncü fıkrası

şöyledir:

"Ayrıca genel sağlık sigortalısı ve bakmakla yükümlü olduğu kişilerin sağlık


BİYOMETRİK YÖNTEMLERLE KİMLİK DOĞRULAMASI YAPILMASINI ÖNGÖREN KANUN HÜKMÜNÜN ANAYASA AYKIRILIĞINA

İLİŞKİN ANAYASA MAHKEMESİ KARARI

330

sunucularına başvurduklarında acil haller hariç olmak üzere (acil hallerde ise

acil halin sona ermesinden sonra); biyometrik yöntemlerle kimlik

doğrulamasının yapılması ve/veya nüfus cüzdanı, sürücü belgesi, evlenme

cüzdanı, pasaport veya Kurum tarafından verilen resimli sağlık kartı

belgelerinden birinin gösterilmesi zorunludur."

(…)

V- ESASIN İNCELENMESİ

Başvuru kararı ve ekleri, Raportör Berrak YILMAZ tarafından hazırlanan işin

esasına ilişkin rapor, itiraz konusu yasa kuralı, dayanılan Anayasa kuralları ve

bunların gerekçeleri ile diğer yasama belgeleri okunup incelendikten sonra

gereği görüşülüp düşünüldü:

Başvuru kararında, biyometrik yöntemlerle yapılacak kimlik doğrulaması

sonucu elde edilecek kişisel verilerin toplanması ve işlenmesinin kapsamı ile

bu verilerin korunmasına ilişkin usul ve esasların belirli olmadığı, yasama

organı tarafından temel ilkeleri koyulmadan, çerçevesi çizilmeden

biyometrik veri toplanmasına olanak veren itiraz konusu kuralın, Anayasa'nın

2., 13. ve 20. maddelerine aykırı olduğu ileri sürülmüştür.

Kanun'un 67. maddesinin itiraz konusu kuralı da içeren üçüncü fıkrasında,

genel sağlık sigortalısı ve bakmakla yükümlü olduğu kişilerin sağlık


sunucularına başvurduklarında acil hâller hariç olmak üzere (acil hâllerde ise

acil hâlin sona ermesinden sonra); biyometrik yöntemlerle kimlik



belgelerinden birinin gösterilmesinin zorunlu olduğu öngörülmüştür.

Biyometrik yöntemlerle kimlik doğrulama, hizmet talep eden bir kullanıcının,

ölçülebilir fizyolojik ve bireysel özellikler yoluyla gerçekleştirilen ve



331

otomatik olarak doğrulanabilen kimlik denetleme yoluyla gerçek kullanıcı

olup olmadığının doğrulanması anlamına gelmektedir.

Anayasa'nın 2. maddesinde belirtilen hukuk devleti, insan haklarına dayanan,

bu hak ve özgürlükleri koruyup güçlendiren, eylem ve işlemleri hukuka

uygun olan, her alanda adaletli bir hukuk düzeni kurup bunu geliştirerek

sürdüren, Anayasa'ya aykırı durum ve tutumlardan kaçınan, hukuku tüm

devlet organlarına egemen kılan, Anayasa ve kanunlarla kendini bağlı sayan,

yargı denetimine açık olan devlettir. Kanun koyucu, Anayasa'ya ve hukukun

genel ilkelerine aykırı olmamak kaydıyla her türlü düzenlemeyi yapma

konusunda takdir yetkisine sahiptir. Kanun koyucunun hukuki

düzenlemelerde kendisine tanınan takdir yetkisini anayasal sınırlar içinde

adalet, hakkaniyet ve kamu yararı ölçütlerini göz önünde tutarak kullanması

ve keyfi davranmaması gerekir.

Anayasa'nın 2. maddesinde yer alan hukuk devletinin temel ilkelerinden biri

"belirlilik"tir. Belirlilik ilkesi, yalnızca yasal belirliliği değil, daha geniş anlamda

hukuki belirliliği de ifade etmektedir. Yasal düzenlemeye dayanarak

erişilebilir, bilinebilir ve öngörülebilir gibi niteliksel gereklilikleri karşılaması

koşuluyla, mahkeme içtihatları ve yürütmenin düzenleyici işlemleri ile de

hukuki belirlilik sağlanabilir. Aslolan muhtemel muhataplarının mevcut

şartlar altında belirli bir işlemin ne tür sonuçlar doğurabileceğini

öngörmelerini mümkün kılacak bir normun varlığıdır.

Anayasa'nın 20. maddesinin birinci fıkrasında, herkesin, özel hayatına saygı

gösterilmesini isteme hakkına sahip olduğu, özel hayatın ve aile hayatının

gizliliğine dokunulamayacağı belirtilmiş; üçüncü fıkrasında da "Herkes,

kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak;

kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere

erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları

doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel



330

sunucularına başvurduklarında acil haller hariç olmak üzere (acil hallerde ise

acil halin sona ermesinden sonra); biyometrik yöntemlerle kimlik



belgelerinden birinin gösterilmesi zorunludur."

(…)

V- ESASIN İNCELENMESİ

Başvuru kararı ve ekleri, Raportör Berrak YILMAZ tarafından hazırlanan işin

esasına ilişkin rapor, itiraz konusu yasa kuralı, dayanılan Anayasa kuralları ve

bunların gerekçeleri ile diğer yasama belgeleri okunup incelendikten sonra

gereği görüşülüp düşünüldü:

Başvuru kararında, biyometrik yöntemlerle yapılacak kimlik doğrulaması

sonucu elde edilecek kişisel verilerin toplanması ve işlenmesinin kapsamı ile

bu verilerin korunmasına ilişkin usul ve esasların belirli olmadığı, yasama

organı tarafından temel ilkeleri koyulmadan, çerçevesi çizilmeden

biyometrik veri toplanmasına olanak veren itiraz konusu kuralın, Anayasa'nın

2., 13. ve 20. maddelerine aykırı olduğu ileri sürülmüştür.

Kanun'un 67. maddesinin itiraz konusu kuralı da içeren üçüncü fıkrasında,

genel sağlık sigortalısı ve bakmakla yükümlü olduğu kişilerin sağlık


sunucularına başvurduklarında acil hâller hariç olmak üzere (acil hâllerde ise

acil hâlin sona ermesinden sonra); biyometrik yöntemlerle kimlik



belgelerinden birinin gösterilmesinin zorunlu olduğu öngörülmüştür.

Biyometrik yöntemlerle kimlik doğrulama, hizmet talep eden bir kullanıcının,

ölçülebilir fizyolojik ve bireysel özellikler yoluyla gerçekleştirilen ve



331

otomatik olarak doğrulanabilen kimlik denetleme yoluyla gerçek kullanıcı

olup olmadığının doğrulanması anlamına gelmektedir.

Anayasa'nın 2. maddesinde belirtilen hukuk devleti, insan haklarına dayanan,

bu hak ve özgürlükleri koruyup güçlendiren, eylem ve işlemleri hukuka

uygun olan, her alanda adaletli bir hukuk düzeni kurup bunu geliştirerek

sürdüren, Anayasa'ya aykırı durum ve tutumlardan kaçınan, hukuku tüm

devlet organlarına egemen kılan, Anayasa ve kanunlarla kendini bağlı sayan,

yargı denetimine açık olan devlettir. Kanun koyucu, Anayasa'ya ve hukukun

genel ilkelerine aykırı olmamak kaydıyla her türlü düzenlemeyi yapma

konusunda takdir yetkisine sahiptir. Kanun koyucunun hukuki

düzenlemelerde kendisine tanınan takdir yetkisini anayasal sınırlar içinde

adalet, hakkaniyet ve kamu yararı ölçütlerini göz önünde tutarak kullanması

ve keyfi davranmaması gerekir.

Anayasa'nın 2. maddesinde yer alan hukuk devletinin temel ilkelerinden biri

"belirlilik"tir. Belirlilik ilkesi, yalnızca yasal belirliliği değil, daha geniş anlamda

hukuki belirliliği de ifade etmektedir. Yasal düzenlemeye dayanarak

erişilebilir, bilinebilir ve öngörülebilir gibi niteliksel gereklilikleri karşılaması

koşuluyla, mahkeme içtihatları ve yürütmenin düzenleyici işlemleri ile de

hukuki belirlilik sağlanabilir. Aslolan muhtemel muhataplarının mevcut

şartlar altında belirli bir işlemin ne tür sonuçlar doğurabileceğini

öngörmelerini mümkün kılacak bir normun varlığıdır.

Anayasa'nın 20. maddesinin birinci fıkrasında, herkesin, özel hayatına saygı

gösterilmesini isteme hakkına sahip olduğu, özel hayatın ve aile hayatının

gizliliğine dokunulamayacağı belirtilmiş; üçüncü fıkrasında da "Herkes,

kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak;

kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere

erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları

doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel



332

veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla

işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla

düzenlenir." denilerek kişisel verilerin korunması, özel hayatın gizliliğinin

korunması kapsamında güvenceye kavuşturulmuştur.

Anayasa'nın 13. maddesinde, temel hak ve hürriyetlerin, özlerine

dokunulmaksızın yalnızca Anayasa'nın ilgili maddelerinde belirtilen

sebeplere bağlı olarak ve ancak kanunla sınırlanabileceği, bu sınırlamaların

Anayasa'nın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik

Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamayacağı

belirtilmiştir.

Kişisel verilerin korunması hakkı, kişinin insan onurunun korunması ve

kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak

ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı

amaçlamaktadır. Ancak söz konusu hak mutlak ve sınırsız olmayıp

Anayasa'nın 13. ve 20. maddeleri gereğince belirli koşullarda, demokratik

toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı olmamak üzere

kanunla sınırlanabilir. Nitekim Türkiye'nin imzaladığı ancak uygulama

kanununun yürürlüğe konamaması nedeniyle taraf olmadığı 1981 tarihli ve

108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin

Korunmasına Dair Avrupa Konseyi Sözleşmesi'nin 9. maddesinde de devlet

güvenliği, kamu güvenliği, devletin ekonomik menfaatlerinin korunması ve

suçlarla mücadele edilmesi, ilgilinin veya üçüncü kişilerin hak ve

özgürlüklerinin korunması ile verilerin istatistiki veya bilimsel amaçlarla

kullanılması durumlarında kişisel verilerin korunmasına sınırlamalar

getirilebileceği öngörülmüştür. Bu nedenle, kişisel verilerin korunması temel

hakkına kamu yararı nedenlerine dayalı olarak müdahale edilebilmesine

olanak tanınmaktadır.



333

İtiraz konusu kuralla, genel sağlık sigortalısı olanlar ve bakmakla yükümlü

olduğu kişilerin sağlık hizmetlerinden ve diğer haklardan yararlanabilmeleri

için hastane gibi kurumlara başvurduğunda, nüfus cüzdanı, sürücü belgesi,

evlenme cüzdanı, pasaport veya verilmiş ise çalıştığı Kurum sağlık kartı

belgelerinden biriyle kimlik tespitinin yanında veya sadece biyometrik

yöntemlerle kimlik doğrulaması yapılması öngörülmektedir.

Kişisel veri kavramı, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye

ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi

ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil;

telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport


bilgiler, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan

kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak

belirlenebilir kılan tüm veriler kişisel veri kapsamındadır. Bu bağlamda itiraz

konusu kuralla öngörülen biyometrik yöntemle elde edilen verilerin kişisel

veri olduğunda kuşku yoktur. Bununla birlikte söz konusu verilerin, 108 sayılı

Sözleşme'nin 6. maddesinde özel olarak belirtilen politik düşünce, dini inanç,

sağlık, cinsel yaşam veya ceza mahkûmiyetlerine ilişkin veriler gibi çok

hassas verilerden olduğu da söylenemez.

Biyometrik yöntemlerle kimlik doğrulama, kişinin kendi özelliklerini esas

alması nedeniyle izinsiz kullanımlara karşı güvenli, kamu kuruluşlarına

yönelik yolsuzluk ve bunların neden olduğu zararlara karşı etkili ve sosyal

güvenliği olan kişiler bakımından da güvenli hizmet alınmasını sağlayan bir

yöntemdir. İtiraz konusu kuralla öngörülen yöntemin sağlık sektöründeki

suiistimallerin engellenmesi ve bu konudaki sahteciliğin önlenmesi

maksadıyla önemli bir güvenlik önlemi olduğunda şüphe yoktur. Nitekim

itiraz konusu kuralın gerekçesinde sağlık hizmetlerinin elektronik ortamda

güvenilir altyapılar üzerinden sağlanması ve hizmetten yararlananların



332

veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla

işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla

düzenlenir." denilerek kişisel verilerin korunması, özel hayatın gizliliğinin

korunması kapsamında güvenceye kavuşturulmuştur.

Anayasa'nın 13. maddesinde, temel hak ve hürriyetlerin, özlerine

dokunulmaksızın yalnızca Anayasa'nın ilgili maddelerinde belirtilen

sebeplere bağlı olarak ve ancak kanunla sınırlanabileceği, bu sınırlamaların

Anayasa'nın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik

Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamayacağı

belirtilmiştir.

Kişisel verilerin korunması hakkı, kişinin insan onurunun korunması ve

kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak

ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı

amaçlamaktadır. Ancak söz konusu hak mutlak ve sınırsız olmayıp

Anayasa'nın 13. ve 20. maddeleri gereğince belirli koşullarda, demokratik

toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı olmamak üzere

kanunla sınırlanabilir. Nitekim Türkiye'nin imzaladığı ancak uygulama

kanununun yürürlüğe konamaması nedeniyle taraf olmadığı 1981 tarihli ve

108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin

Korunmasına Dair Avrupa Konseyi Sözleşmesi'nin 9. maddesinde de devlet

güvenliği, kamu güvenliği, devletin ekonomik menfaatlerinin korunması ve

suçlarla mücadele edilmesi, ilgilinin veya üçüncü kişilerin hak ve

özgürlüklerinin korunması ile verilerin istatistiki veya bilimsel amaçlarla

kullanılması durumlarında kişisel verilerin korunmasına sınırlamalar

getirilebileceği öngörülmüştür. Bu nedenle, kişisel verilerin korunması temel

hakkına kamu yararı nedenlerine dayalı olarak müdahale edilebilmesine

olanak tanınmaktadır.



333

İtiraz konusu kuralla, genel sağlık sigortalısı olanlar ve bakmakla yükümlü

olduğu kişilerin sağlık hizmetlerinden ve diğer haklardan yararlanabilmeleri

için hastane gibi kurumlara başvurduğunda, nüfus cüzdanı, sürücü belgesi,

evlenme cüzdanı, pasaport veya verilmiş ise çalıştığı Kurum sağlık kartı

belgelerinden biriyle kimlik tespitinin yanında veya sadece biyometrik

yöntemlerle kimlik doğrulaması yapılması öngörülmektedir.

Kişisel veri kavramı, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye

ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi

ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil;

telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport


bilgiler, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan

kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak

belirlenebilir kılan tüm veriler kişisel veri kapsamındadır. Bu bağlamda itiraz

konusu kuralla öngörülen biyometrik yöntemle elde edilen verilerin kişisel

veri olduğunda kuşku yoktur. Bununla birlikte söz konusu verilerin, 108 sayılı

Sözleşme'nin 6. maddesinde özel olarak belirtilen politik düşünce, dini inanç,

sağlık, cinsel yaşam veya ceza mahkûmiyetlerine ilişkin veriler gibi çok

hassas verilerden olduğu da söylenemez.

Biyometrik yöntemlerle kimlik doğrulama, kişinin kendi özelliklerini esas

alması nedeniyle izinsiz kullanımlara karşı güvenli, kamu kuruluşlarına

yönelik yolsuzluk ve bunların neden olduğu zararlara karşı etkili ve sosyal

güvenliği olan kişiler bakımından da güvenli hizmet alınmasını sağlayan bir

yöntemdir. İtiraz konusu kuralla öngörülen yöntemin sağlık sektöründeki

suiistimallerin engellenmesi ve bu konudaki sahteciliğin önlenmesi

maksadıyla önemli bir güvenlik önlemi olduğunda şüphe yoktur. Nitekim

itiraz konusu kuralın gerekçesinde sağlık hizmetlerinin elektronik ortamda

güvenilir altyapılar üzerinden sağlanması ve hizmetten yararlananların



334

kimliklerinin saptanmasında geleneksel yöntemlerin eksiklikleri nedeniyle

ortaya çıkan kötüye kullanımların önlenmesinin amaçlandığı belirtilmiştir.

Dolayısıyla kuralla öngörülen yöntemin etkin bir şekilde kullanılmasının,

Sosyal Güvenlik Kurumundan haksız menfaat temin edilmesini engellemeye

yönelik olduğu ve kuralda kamu yararı bulunduğu açıktır.

Bu bağlamda itiraz konusu kuralla özel hayatın ve kişisel verilerin korunması

haklarına yönelik olarak yapılan müdahalenin, öngörülen amaçla orantılı

olduğu, müdahale edilen hakların özüne dokunmadığı ve demokratik

toplum düzeninin gereklerine aykırılık teşkil etmediği anlaşıldığından

Anayasa'ya aykırı bir yönü yoktur.

Öte yandan itiraz konusu kuralla öngörülen yöntemin sadece sağlık

sektöründe bu hizmetten yararlanma amacıyla kullanılabileceği, bu nedenle

elde edilen verilerin sadece bu amaçla sınırlı olarak ve hizmetin devamı için

zorunlu olduğu müddetle sınırlı olmak üzere tutulabileceği dikkate

alındığında, bu verilerin neden ve hangi gerekçeyle temin edileceğine ilişkin

olarak konu, amaç ve kapsamı ile ne şekilde ve hangi süreyle

kullanılacaklarına dair bir belirsizlik olduğu söylenemez.

Ayrıca itiraz konusu kuralda öngörülen yöntemle elde edilen verilerin amaç

ve kapsam dışında depolanması ve kullanılması hâlinde 5237 sayılı Türk Ceza

Kanunu'ndaki kişisel verilerin korunmasına ilişkin ceza hükümlerinin

uygulanacak olması nedeniyle bu konuda kanuni güvence de

bulunmaktadır.

Açıklanan nedenlerle, itiraz konusu kural Anayasa'nın 2., 13. ve 20.

maddelerine aykırı değildir. İptal isteminin reddi gerekir.

Serruh KALELİ, Alparslan ALTAN, Serdar ÖZGÜLDÜR, Engin YILDIRIM ve Erdal

TERCAN bu görüşe katılmamışlardır.



335

VI- SONUÇ

31.5.2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası

Kanunu'nun 67. maddesinin üçüncü fıkrasına, 1.3.2012 tarihli ve 6283 sayılı

Kanun'un 1. maddesiyle eklenen ".biyometrik yöntemlerle kimlik

doğrulamasının yapılması ve/veya." ibaresinin, Anayasa'ya aykırı olmadığına

ve itirazın REDDİNE, Serruh KALELİ, Alparslan ALTAN, Serdar ÖZGÜLDÜR,

Engin YILDIRIM ile Erdal TERCAN'ın karşıoyları ve OYÇOKLUĞ UYLA,

19.3.2015 tarihinde karar verildi.



334

kimliklerinin saptanmasında geleneksel yöntemlerin eksiklikleri nedeniyle

ortaya çıkan kötüye kullanımların önlenmesinin amaçlandığı belirtilmiştir.

Dolayısıyla kuralla öngörülen yöntemin etkin bir şekilde kullanılmasının,

Sosyal Güvenlik Kurumundan haksız menfaat temin edilmesini engellemeye

yönelik olduğu ve kuralda kamu yararı bulunduğu açıktır.

Bu bağlamda itiraz konusu kuralla özel hayatın ve kişisel verilerin korunması

haklarına yönelik olarak yapılan müdahalenin, öngörülen amaçla orantılı

olduğu, müdahale edilen hakların özüne dokunmadığı ve demokratik

toplum düzeninin gereklerine aykırılık teşkil etmediği anlaşıldığından

Anayasa'ya aykırı bir yönü yoktur.

Öte yandan itiraz konusu kuralla öngörülen yöntemin sadece sağlık

sektöründe bu hizmetten yararlanma amacıyla kullanılabileceği, bu nedenle

elde edilen verilerin sadece bu amaçla sınırlı olarak ve hizmetin devamı için

zorunlu olduğu müddetle sınırlı olmak üzere tutulabileceği dikkate

alındığında, bu verilerin neden ve hangi gerekçeyle temin edileceğine ilişkin

olarak konu, amaç ve kapsamı ile ne şekilde ve hangi süreyle

kullanılacaklarına dair bir belirsizlik olduğu söylenemez.

Ayrıca itiraz konusu kuralda öngörülen yöntemle elde edilen verilerin amaç

ve kapsam dışında depolanması ve kullanılması hâlinde 5237 sayılı Türk Ceza

Kanunu'ndaki kişisel verilerin korunmasına ilişkin ceza hükümlerinin

uygulanacak olması nedeniyle bu konuda kanuni güvence de

bulunmaktadır.

Açıklanan nedenlerle, itiraz konusu kural Anayasa'nın 2., 13. ve 20.

maddelerine aykırı değildir. İptal isteminin reddi gerekir.

Serruh KALELİ, Alparslan ALTAN, Serdar ÖZGÜLDÜR, Engin YILDIRIM ve Erdal

TERCAN bu görüşe katılmamışlardır.



335

VI- SONUÇ

31.5.2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası

Kanunu'nun 67. maddesinin üçüncü fıkrasına, 1.3.2012 tarihli ve 6283 sayılı

Kanun'un 1. maddesiyle eklenen ".biyometrik yöntemlerle kimlik

doğrulamasının yapılması ve/veya." ibaresinin, Anayasa'ya aykırı olmadığına

ve itirazın REDDİNE, Serruh KALELİ, Alparslan ALTAN, Serdar ÖZGÜLDÜR,

Engin YILDIRIM ile Erdal TERCAN'ın karşıoyları ve OYÇOKLUĞ UYLA,

19.3.2015 tarihinde karar verildi.

337


KARARI

Yargıtay Hukuk Genel Kurulu; 2014/4-56 E. 2015/1679 K.

(…) Dava, kişilik hakkına saldırı nedenine dayalı tazminat istemine ilişkindir.

Davacı M. T. vekili 16/08/2010 harç tarihli dava dilekçesinde özetle;

“müvekkilinin 14/11/2003 tarihinden beri İzmir Adliyesinde savcılık zabıt

katibi olarak görev yaptığını, 18/07/2005 ile 11/04/2006 tarihleri arasında o

dönem İzmir C. Başsavcı vekili olarak görev yapan Z. ile çalışmak için

görevlendirildiğini ancak başladıktan sonra 8 ay boyunca Başsavcı vekilinin

sözlü ve fiziksel taciziyle karşı karşıya kaldığını, fiziksel tacizin başlaması ve

bu durumun çekilmez hale gelmesi nedeniyle davacının şikayette

bulunduğunu, ailesinin ve çevresinin duymaması için çaba sarf ettiğini, Z.

hakkında soruşturma açıldığını ve cezalandırıldığını, sanığın Başsavcı vekili

olması nedeni ile olayların o dönem için basında yer aldığını, davacının bu

olayları unutmaya başladığı bir dönemde Yargıtay 4. Ceza Dairesi Başkanı ve

tetkik hakimleri olan davalıların Nisan 2010 tarihinde yorumlu-uygulamalı

Türk Ceza Kanunu adlı altı ciltlik eser yayınladıklarını, örnek Yargıtay

kararlarının başladığı 3262 nolu sayfa ve devamındaki sayfalarda davacının

başına gelen olayların, tüm aktörlerin isimlerinin açıkça yazılmak suretiyle ve

olayın tamamının açık bir şekilde anlatıldığını, davacı tarafından bu durumun

öğrenilmesiyle davacının tekrar psikolojik bunalıma girdiğini, bütün kötü

olayları tekrar yaşamak zorunda kaldığını, adliyede çalışması nedeniyle bu

olayın davacının çevresinde, savcı ve avukatlar tarafından duyulduğunu,

müvekkilinin zor da olsa saklayabildiği bir olayın kamuoyuna

duyurulduğunu, iffetinin tartışılır hale geldiğini, bir genç kızın hayalleri ve

geleceğinin kararmış olduğunu, eserin bir defa yararlanılacak bir eser

olmadığını, uzun yıllar boyunca yaygın kitlelerce okunacak nitelikte

bulunduğunu belirterek tüm bu nedenlerle davacının isminin geçtiği söz

337


KARARI

Yargıtay Hukuk Genel Kurulu; 2014/4-56 E. 2015/1679 K.

(…) Dava, kişilik hakkına saldırı nedenine dayalı tazminat istemine ilişkindir.

Davacı M. T. vekili 16/08/2010 harç tarihli dava dilekçesinde özetle;

“müvekkilinin 14/11/2003 tarihinden beri İzmir Adliyesinde savcılık zabıt

katibi olarak görev yaptığını, 18/07/2005 ile 11/04/2006 tarihleri arasında o

dönem İzmir C. Başsavcı vekili olarak görev yapan Z. ile çalışmak için

görevlendirildiğini ancak başladıktan sonra 8 ay boyunca Başsavcı vekilinin

sözlü ve fiziksel taciziyle karşı karşıya kaldığını, fiziksel tacizin başlaması ve

bu durumun çekilmez hale gelmesi nedeniyle davacının şikayette

bulunduğunu, ailesinin ve çevresinin duymaması için çaba sarf ettiğini, Z.

hakkında soruşturma açıldığını ve cezalandırıldığını, sanığın Başsavcı vekili

olması nedeni ile olayların o dönem için basında yer aldığını, davacının bu

olayları unutmaya başladığı bir dönemde Yargıtay 4. Ceza Dairesi Başkanı ve

tetkik hakimleri olan davalıların Nisan 2010 tarihinde yorumlu-uygulamalı

Türk Ceza Kanunu adlı altı ciltlik eser yayınladıklarını, örnek Yargıtay

kararlarının başladığı 3262 nolu sayfa ve devamındaki sayfalarda davacının

başına gelen olayların, tüm aktörlerin isimlerinin açıkça yazılmak suretiyle ve

olayın tamamının açık bir şekilde anlatıldığını, davacı tarafından bu durumun

öğrenilmesiyle davacının tekrar psikolojik bunalıma girdiğini, bütün kötü

olayları tekrar yaşamak zorunda kaldığını, adliyede çalışması nedeniyle bu

olayın davacının çevresinde, savcı ve avukatlar tarafından duyulduğunu,

müvekkilinin zor da olsa saklayabildiği bir olayın kamuoyuna

duyurulduğunu, iffetinin tartışılır hale geldiğini, bir genç kızın hayalleri ve

geleceğinin kararmış olduğunu, eserin bir defa yararlanılacak bir eser

olmadığını, uzun yıllar boyunca yaygın kitlelerce okunacak nitelikte

bulunduğunu belirterek tüm bu nedenlerle davacının isminin geçtiği söz

UNUTULMA HAKKINA İLİŞKİN YARGITAY HUKUK GENEL KURUL KARARI

338

konusu ciltlerin toplatılmasını, 50.000,00-TL manevi tazminatın davalılardan

tahsiline karar verilmesini istemiştir.

Davalılar O. Y., H. T. G., M. A. ve A... Ltd. Şti. vekili 11.10.2010 havale tarihli

cevap dilekçesinde özetle; “ Söz konusu kitapların bilimsel eser niteliğinde

olduğunu, bilimsel eser niteliğinde olan kitaplarda fail ve mağdur adının

olmasının hukuka aykırı olmadığını, ceza hukukundaki kitaplarının

kaynağının yargısal kararlar olduğunu, geniş kitlelere hitap etmediğini, ceza

hakimleri, savcılar ve ceza avukatlarınca okunduğunu, kitapta isim

belirtmenin hukuka aykırı olmadığını, eserde adı geçen kişilerle ilgili vakıalar

daha önce yargı konusu olduğu için ilgili mahkemelerin bulunduğu

yerlerdeki kişiler tarafından duyulup öğrenildiğini, bu nedenle sözü edilen

vakıaların ilk defa dava konusu eserde gündeme getirilmediğini, AİHM

kararlarının ve Anayasa Mahkemesi kararlarının da isimler çıkarılmadan

yayınlandığını, 2011 yılının başından itibaren UYAP sisteminde bulunan

kararlardaki kişisel veriler rumuzlanmadan hakim ve savcının kullanımına

açıldığını, dava konusu kararın son bölümünde rumuzlama yapılmış ise de ilk

bölümünde yapılmamasının dizgi hatası olduğunu, olayın üzerine adliyeye

gelen müfettişin yaptığı soruşturma sırasında tüm adliyenin olayı öğrendiğini

ve olayın basına da yansıdığını, yine davacının ileri sürdüğü hususların daha

sonra düzeltildiğini ve düzeltilmiş bir nüshasının davacı vekilini sunulduğunu

bu nedenle kitabın toplatılmasına gerek olmadığını istenen tazminatın fahiş

olduğunu savunarak” davanın reddine karar verilmesini talep etmiştir.

Mahkemece, davanın kısmen kabulüne dair verilen kararın taraflarca temyiz

edilmesi üzerine yukarıda başlık bölümde yazılan Yargıtay ilamı ile bozulmuş,

karar düzeltme istemi oyçokluğu ile reddedilmiş, mahkemece önceki

gerekçeler tekrar edilerek direnilmiş; hükmü davalılar vekili temyize

getirmiştir.

Hukuk Genel Kurulu önüne gelen uyuşmazlık; davalılar O. Y., H. ve M. A.

tarafından yayına hazırlanan ve davalılardan A... Ltd. Şti. tarafından basılan


339

eserde yer alan kararda, davalının isminin rumuzlanmadan ve rızası

alınmadan açık bir şekilde yazılmasının kişilik hakkında saldırı oluşturup

oluşturmayacağı noktasında toplanmaktadır.

(…)

İşin esasına gelince; uyuşmazlığın çözümünde etkili yasal mevzuata

bakılacak olursa;

(…) Önümüze gelen sorunun temelinde unutulma hakkı ve bunun sonucu

olan kişisel verilerin ve kişilik hakkının korunması ile bilim ve sanat

hürriyetinin birbiri karşısında sınırlarının belirlenmesi yatmaktadır. Sorunun

çözümünde dikkat edilmesi gereken husus, bilim ve sanat özgürlüğü ile

bireyin temel hakları arasında adil bir dengenin kurulmasıdır.

Kişisel veri belli veya belirlenebilir olan gerçek veya tüzel bir kişiye ilişkin her

türlü bilgiyi ifade eder. Avrupa Birliği'nin 95/46/EC sayılı Bireylerin Kişisel

Verilerinin İşlenmesi ve Serbestçe Dolaşımı Karşısında Korunmasına İlişkin

Direktif'in 2/a ve Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması

Karşısında Şahısların Korunmasına Dair 108 sayılı Avrupa Konseyi

Sözleşmesi'nin 2 ( a ) maddelerinde benzer tanımlama yer almaktadır.

Kişisel verilerin korunması insan haklarıyla yakından ilişkilidir. Çünkü kişisel

verilerin açıklanması öncelikle özel hayatın gizliliğini ihlal edilebileceği gibi

bir takım diğer bağlantılı hakları da zarar görebilir.

AİHS'de kişisel verilerle ilgili bir hüküm yoktur. Ancak mahkeme konuyla ilgili

kararlarında kişisel veri içeriğini doldurmuştur. Hemen ifade edilmesi gerekir

ki kişisel verinin sayısal olarak sınırlandırılması mümkün değildir. Ancak

içtihatlar ve akademik yayınlar dikkate alındığında bireyin kimliğini ortaya

çıkartan, bir kişiyi belirli kılan ve karakterize eden kişinin kimlik, ekonomik ve

dijital bilgileri, tabiiyeti, kanaatleri, ırk, siyasî düşünce, felsefî inanç, din,

mezhep veya diğer inançları, dernek, vakıf ve sendika üyeliği, sağlık bilgileri,

fotoğrafları, parmak izi, sağlık verileri, telefon mesajları, telefon rehberi,


338

konusu ciltlerin toplatılmasını, 50.000,00-TL manevi tazminatın davalılardan

tahsiline karar verilmesini istemiştir.

Davalılar O. Y., H. T. G., M. A. ve A... Ltd. Şti. vekili 11.10.2010 havale tarihli

cevap dilekçesinde özetle; “ Söz konusu kitapların bilimsel eser niteliğinde

olduğunu, bilimsel eser niteliğinde olan kitaplarda fail ve mağdur adının

olmasının hukuka aykırı olmadığını, ceza hukukundaki kitaplarının

kaynağının yargısal kararlar olduğunu, geniş kitlelere hitap etmediğini, ceza

hakimleri, savcılar ve ceza avukatlarınca okunduğunu, kitapta isim

belirtmenin hukuka aykırı olmadığını, eserde adı geçen kişilerle ilgili vakıalar

daha önce yargı konusu olduğu için ilgili mahkemelerin bulunduğu

yerlerdeki kişiler tarafından duyulup öğrenildiğini, bu nedenle sözü edilen

vakıaların ilk defa dava konusu eserde gündeme getirilmediğini, AİHM

kararlarının ve Anayasa Mahkemesi kararlarının da isimler çıkarılmadan

yayınlandığını, 2011 yılının başından itibaren UYAP sisteminde bulunan

kararlardaki kişisel veriler rumuzlanmadan hakim ve savcının kullanımına

açıldığını, dava konusu kararın son bölümünde rumuzlama yapılmış ise de ilk

bölümünde yapılmamasının dizgi hatası olduğunu, olayın üzerine adliyeye

gelen müfettişin yaptığı soruşturma sırasında tüm adliyenin olayı öğrendiğini

ve olayın basına da yansıdığını, yine davacının ileri sürdüğü hususların daha

sonra düzeltildiğini ve düzeltilmiş bir nüshasının davacı vekilini sunulduğunu

bu nedenle kitabın toplatılmasına gerek olmadığını istenen tazminatın fahiş

olduğunu savunarak” davanın reddine karar verilmesini talep etmiştir.

Mahkemece, davanın kısmen kabulüne dair verilen kararın taraflarca temyiz

edilmesi üzerine yukarıda başlık bölümde yazılan Yargıtay ilamı ile bozulmuş,

karar düzeltme istemi oyçokluğu ile reddedilmiş, mahkemece önceki

gerekçeler tekrar edilerek direnilmiş; hükmü davalılar vekili temyize

getirmiştir.

Hukuk Genel Kurulu önüne gelen uyuşmazlık; davalılar O. Y., H. ve M. A.

tarafından yayına hazırlanan ve davalılardan A... Ltd. Şti. tarafından basılan


339

eserde yer alan kararda, davalının isminin rumuzlanmadan ve rızası

alınmadan açık bir şekilde yazılmasının kişilik hakkında saldırı oluşturup

oluşturmayacağı noktasında toplanmaktadır.

(…)

İşin esasına gelince; uyuşmazlığın çözümünde etkili yasal mevzuata

bakılacak olursa;

(…) Önümüze gelen sorunun temelinde unutulma hakkı ve bunun sonucu

olan kişisel verilerin ve kişilik hakkının korunması ile bilim ve sanat

hürriyetinin birbiri karşısında sınırlarının belirlenmesi yatmaktadır. Sorunun

çözümünde dikkat edilmesi gereken husus, bilim ve sanat özgürlüğü ile

bireyin temel hakları arasında adil bir dengenin kurulmasıdır.

Kişisel veri belli veya belirlenebilir olan gerçek veya tüzel bir kişiye ilişkin her

türlü bilgiyi ifade eder. Avrupa Birliği'nin 95/46/EC sayılı Bireylerin Kişisel

Verilerinin İşlenmesi ve Serbestçe Dolaşımı Karşısında Korunmasına İlişkin

Direktif'in 2/a ve Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması

Karşısında Şahısların Korunmasına Dair 108 sayılı Avrupa Konseyi

Sözleşmesi'nin 2 ( a ) maddelerinde benzer tanımlama yer almaktadır.

Kişisel verilerin korunması insan haklarıyla yakından ilişkilidir. Çünkü kişisel

verilerin açıklanması öncelikle özel hayatın gizliliğini ihlal edilebileceği gibi

bir takım diğer bağlantılı hakları da zarar görebilir.

AİHS'de kişisel verilerle ilgili bir hüküm yoktur. Ancak mahkeme konuyla ilgili

kararlarında kişisel veri içeriğini doldurmuştur. Hemen ifade edilmesi gerekir

ki kişisel verinin sayısal olarak sınırlandırılması mümkün değildir. Ancak

içtihatlar ve akademik yayınlar dikkate alındığında bireyin kimliğini ortaya

çıkartan, bir kişiyi belirli kılan ve karakterize eden kişinin kimlik, ekonomik ve

dijital bilgileri, tabiiyeti, kanaatleri, ırk, siyasî düşünce, felsefî inanç, din,

mezhep veya diğer inançları, dernek, vakıf ve sendika üyeliği, sağlık bilgileri,

fotoğrafları, parmak izi, sağlık verileri, telefon mesajları, telefon rehberi,


340

sosyal paylaşım sitelerinde yazdığı veya paylaştığı yazı, fotoğraf, ses veya

görüntü kayıtlarıkişisel verileri olarak kabul edilebilir.

Kişisel verilerin korunması, çağımızda, insan hakları kavramı ve korunması

bilincinin gittikçe gelişmesine paralel olarak önemini artırmaktadır. Kişisel

verilerin korunması hakkının temel amacı, bireyin özel yaşamının gizliliğinin

güvence altına alınması yoluyla kişiyi korumaktır. Bilgi toplumunda giderek

oldukça önemli bir konu haline gelen kişisel verilerin korunması hakkı,

bireyin, demokratik bir hukuk devletinde özgür iradesiyle kendi yaşamını

bizzat düzenleyebilmesinin bir gereği olarak karşımıza çıkmaktadır. Diğer

taraftan bireyin kişiliğini serbestçe geliştirmesi, kişiliğinin korunması ve

özgür bireylerden oluşan bir toplum düzeninin oluşturulması, ancak

bireyin kişisel verilerine ilişkin hakkının korunmasıyla mümkündür. Bu hak

yukarıda ifade edildiği üzere TC Anayasası'nın 20/2 maddesinde açık bir

şekilde düzenlenmiştir.

Unutulma hakkına gelince; unutulma hakkı ve bununla ilişkili olan gerektiği

ölçüde ve en kısa süreliğine kişisel verilerin depolanması veya tutulması

konuları, aslında kişisel verilerin korunması hakkının çatısını oluşturmaktadır.

Her iki hakkın temelinde bireyin kişisel verileri üzerinde serbestçe tasarruf

edebilmesini, geçmişin engeline takılmaksızın geleceğe yönelik plan

yapabilmesini, kişisel verilerin kişi aleyhine kullanılmasının engellenmesini

sağlamak yatmaktadır. Unutulma hakkı ile geçmişinde kendi iradesi ile veya

üçüncü kişinin neden olduğu bir olay nedeni ile kişinin geleceğinin olumsuz

bir şekilde etkilenmesinin engellenmesi sağlanmaktadır. Bireyin geçmişinde

yaşadığı olumsuz etkilerden kurtularak geleceğini şekillendirebilmesi bireyin

yararına olduğu gibi toplumun kalitesinin gelişmişlik seviyesinin

yükselmesine etkisi de tartışılmazdır.

Unutulma hakkı; üstün bir kamu yararı olmadığı sürece, dijital hafızada yer

alan geçmişte yaşanılan olumsuz olayların bir süre sonra unutulmasını,


341

başkalarının bilmesini istemediği kişisel verilerin silinmesini ve yayılmasının

önlemesini isteme hakkı olarak ifade edilebilir.

Bu hak bir yandan kişiye “geçmişini kontrol etme”, “belirli hususların

geçmişinden silinmesini ve hatırlanmamayı isteme hakkı” sağladığı gibi, diğer

yandan muhataplarına kişi hakkındaki bir kısım bilgilerin üçüncü kişilerin

kullanmamasını veya üçüncü kişilerin hatırlamamasına yönelik önlenmeleri

alma yükümlülüğü yükler. Bu hakkın; bireylerin fotoğraf, internet günlüğü

gibi kendileri hakkındaki içerikleri silmek için üçüncü şahısları zorlamayı

içermesinin yanında geçmişteki cezalarına ilişkin bilgilerin veya haklarında

olumsuz yorumlara neden olabilecek bilgi ve fotoğraflarının kaldırılmasını

isteme hakkını tanıdığı kabul edilmektedir. Diğer taraftan bu hak, bireyin

geçmişindeki belirli yönlerinin mümkün olmayacak biçimde hatırlanmaması

için önlemler alınmasını gerektirmektedir.

Avrupa İnsan Hakları Sözleşmesi ( AİHS )'nin 8. maddesinde yer alan özel

yaşama saygı hakkı altında korunan “mahremiyet hakkı”nın, bireyin kendisi

hakkındaki bilgileri kontrol edebilmesi şeklindeki hukuki çıkarlarını da

içerdiği ifade edilmektedir. Zira bireyin kendisine ait herhangi bir bilginin,

kendi rızası olmaksızın açıklanmaması, yayılmaması ve bu bilgilere

başkalarının ulaşamaması kısacası kişisel verilerinin mahrem kalması

konusunda hukuki menfaati bulunmaktadır. ( Gülay Arslan Öncü, Avrupa

İnsan Hakları Sözleşmesinde Özel Yaşamın Korunması, Beta Yayınları,

İstanbul 2011, s.182 )

Kişiye unutulma hakkının sağlanması ile birlikte özel hayatının gizliliği

korunmuş olacaktır.

Somut olaya bu kapsamda bakıldığında; davacı, kamu görevinin veya hizmet

ilişkisinin sağladığı nüfuzu kötüye kullanarak, müteselsilen cinsel saldırı

suçunun mağdurudur. 2006 yılında gerçekleşen eylem tarihinde davacı

bekâr olup maruz kaldığı eylem geleceği açısından etkilidir. Yapılan


340

sosyal paylaşım sitelerinde yazdığı veya paylaştığı yazı, fotoğraf, ses veya

görüntü kayıtlarıkişisel verileri olarak kabul edilebilir.

Kişisel verilerin korunması, çağımızda, insan hakları kavramı ve korunması

bilincinin gittikçe gelişmesine paralel olarak önemini artırmaktadır. Kişisel

verilerin korunması hakkının temel amacı, bireyin özel yaşamının gizliliğinin

güvence altına alınması yoluyla kişiyi korumaktır. Bilgi toplumunda giderek

oldukça önemli bir konu haline gelen kişisel verilerin korunması hakkı,

bireyin, demokratik bir hukuk devletinde özgür iradesiyle kendi yaşamını

bizzat düzenleyebilmesinin bir gereği olarak karşımıza çıkmaktadır. Diğer

taraftan bireyin kişiliğini serbestçe geliştirmesi, kişiliğinin korunması ve

özgür bireylerden oluşan bir toplum düzeninin oluşturulması, ancak

bireyin kişisel verilerine ilişkin hakkının korunmasıyla mümkündür. Bu hak

yukarıda ifade edildiği üzere TC Anayasası'nın 20/2 maddesinde açık bir

şekilde düzenlenmiştir.

Unutulma hakkına gelince; unutulma hakkı ve bununla ilişkili olan gerektiği

ölçüde ve en kısa süreliğine kişisel verilerin depolanması veya tutulması

konuları, aslında kişisel verilerin korunması hakkının çatısını oluşturmaktadır.

Her iki hakkın temelinde bireyin kişisel verileri üzerinde serbestçe tasarruf

edebilmesini, geçmişin engeline takılmaksızın geleceğe yönelik plan

yapabilmesini, kişisel verilerin kişi aleyhine kullanılmasının engellenmesini

sağlamak yatmaktadır. Unutulma hakkı ile geçmişinde kendi iradesi ile veya

üçüncü kişinin neden olduğu bir olay nedeni ile kişinin geleceğinin olumsuz

bir şekilde etkilenmesinin engellenmesi sağlanmaktadır. Bireyin geçmişinde

yaşadığı olumsuz etkilerden kurtularak geleceğini şekillendirebilmesi bireyin

yararına olduğu gibi toplumun kalitesinin gelişmişlik seviyesinin

yükselmesine etkisi de tartışılmazdır.

Unutulma hakkı; üstün bir kamu yararı olmadığı sürece, dijital hafızada yer

alan geçmişte yaşanılan olumsuz olayların bir süre sonra unutulmasını,


341

başkalarının bilmesini istemediği kişisel verilerin silinmesini ve yayılmasının

önlemesini isteme hakkı olarak ifade edilebilir.

Bu hak bir yandan kişiye “geçmişini kontrol etme”, “belirli hususların

geçmişinden silinmesini ve hatırlanmamayı isteme hakkı” sağladığı gibi, diğer

yandan muhataplarına kişi hakkındaki bir kısım bilgilerin üçüncü kişilerin

kullanmamasını veya üçüncü kişilerin hatırlamamasına yönelik önlenmeleri

alma yükümlülüğü yükler. Bu hakkın; bireylerin fotoğraf, internet günlüğü

gibi kendileri hakkındaki içerikleri silmek için üçüncü şahısları zorlamayı

içermesinin yanında geçmişteki cezalarına ilişkin bilgilerin veya haklarında

olumsuz yorumlara neden olabilecek bilgi ve fotoğraflarının kaldırılmasını

isteme hakkını tanıdığı kabul edilmektedir. Diğer taraftan bu hak, bireyin

geçmişindeki belirli yönlerinin mümkün olmayacak biçimde hatırlanmaması

için önlemler alınmasını gerektirmektedir.

Avrupa İnsan Hakları Sözleşmesi ( AİHS )'nin 8. maddesinde yer alan özel

yaşama saygı hakkı altında korunan “mahremiyet hakkı”nın, bireyin kendisi

hakkındaki bilgileri kontrol edebilmesi şeklindeki hukuki çıkarlarını da

içerdiği ifade edilmektedir. Zira bireyin kendisine ait herhangi bir bilginin,

kendi rızası olmaksızın açıklanmaması, yayılmaması ve bu bilgilere

başkalarının ulaşamaması kısacası kişisel verilerinin mahrem kalması

konusunda hukuki menfaati bulunmaktadır. ( Gülay Arslan Öncü, Avrupa

İnsan Hakları Sözleşmesinde Özel Yaşamın Korunması, Beta Yayınları,

İstanbul 2011, s.182 )

Kişiye unutulma hakkının sağlanması ile birlikte özel hayatının gizliliği

korunmuş olacaktır.

Somut olaya bu kapsamda bakıldığında; davacı, kamu görevinin veya hizmet

ilişkisinin sağladığı nüfuzu kötüye kullanarak, müteselsilen cinsel saldırı

suçunun mağdurudur. 2006 yılında gerçekleşen eylem tarihinde davacı

bekâr olup maruz kaldığı eylem geleceği açısından etkilidir. Yapılan


342

yargılama sonunda kamu görevlisi olan sanık ceza almıştır. Temyiz istemi

üzerine yapılan inceleme sonunda ise hüküm 2009 yılında onanmıştır.

Mağdur davacı gerek hazırlık gerekse de yargılama sırasında cinsel saldırının

nasıl gerçekleştiğini açık bir şekilde anlatmış, bu anlatımlar doğal olarak karar

metnine geçirilmiştir. Karar mağdur ve sanığın ismi rumuzlanmadan 2010 yılı

nisan ayında yayınlanan kitapta yer almıştır.

Hemen ifade edilmelidir ki; davacının rızası dışında bir kitapta geçen

ismi kişisel veri niteliğindedir.

Ayrıca şunun da ifade edilmesi gereklidir ki; unutulma hakkı tanımlarına

bakıldığında her ne kadar dijital veriler için düzenlenmiş ise de, bu hakkın

özellikleri ve bu hakkın insan haklarıyla arasındaki ilişkisi dikkate alındığında;

yalnızca dijital ortamdaki kişisel veriler için değil, kamunun kolayca

ulaşabileceği yerde tutulan kişisel verilere yönelik olarak da kabul edilmesi

gerektiği açıktır.

Davacı, geçmişte yaşadığı kötü bir olayın toplum hafızasından silinmesini

istemektedir. Unutulma hakkı ile geçmişindeki yaşanan talihsiz bir olayın

unutularak geleceğini serbestçe şekillendirmek, diğer bir deyişle hayatında,

yeni bir sayfa açma olanağı istemektedir. Kaldı ki, davacı da yargılama

sırasında verdiği dilekçelerinde bu istem üzerinde ısrarla durmuştur. Davacı

unutulma hakkı ile özel hayatına ilişkin kişisel verilerinin üçüncü kişiler

tarafından bilinmemesini, aradan geçen süre nedeniyle toplum hafızasından

silinmesini istemektedir.

Bu bağlamda değerlendirildiğinde; 4 yıl önce gerçekleşen bir olayın

mağduru olan kişinin adının açık bir şekilde yazılarak kitapta yer alması

halinde unutulma hakkının bunun sonucunda da davacının özel hayatının

gizliliğinin ihlal edildiği kabul edilmelidir. Avrupa Birliği Adalet Divanı'nın

“Google Kararı”nda açıkladığı gibi ilgili verinin kamu hayatında oynadığı

önemli rol ve halkın ilgili veriye yönelik yoğun ilgisi şeklinde, üstün bir kamu


343

yararını ortaya koyan özel sebepler bulunmadığına göre bilimsel esere alınan

karardakişisel veriler açık bir şekilde yer almamalıdır.

Görüşmeler sırasında azınlıkta kalan üyeler mahkeme kararlarında yer alan

isimlerin rumuzlanmasına gerek olmadığını, yargılamanın istisnalar haricinde

açık bir şekilde yapıldığını hükmün alenen tefhim edildiğini, bu nedenle özel

hayatın gizliliğinin ihlal edilmediğini savunmuşlar ise bu görüş “sorunun

mahkeme kararlarında isimlerin rumuzlanmadan yer alması değil, kararların

kitaba alınması sırasında rumuzlanması gerekip gerekmediği sorunu olduğu”

gerekçesi ile kurul çoğunluğu tarafından kabul edilmemiştir.

O halde davacının isminin rumuzlanmadan kitapta yer almasının unutulma

hakkını ve bunun neticesinde özel hayatın gizliliğini ihlal ettiği dikkate

alındığında davacı lehine manevi tazminat koşullarının gerçekleştiğinin

kabulü zorunludur.

Ne var ki, Özel Dairece tazminat miktarı yönünden inceleme

yapılmadığından bu yöne ilişkin temyiz itirazlarının incelenmesi için

dosyanın Özel Daireye gönderilmesi gerekir.

SONUÇ : Yukarıda yazılı gerekçelerle yerel mahkemenin direnme kararı

yerinde bulunduğundan tazminat miktarı yönünden mahkemenin kurduğu

hükme yönelik temyiz itirazlarının incelenmesi için dosyanın 4. Hukuk

Dairesine gönderilmesine, 17.06.2015 gününde oyçokluğu ile karar verildi.


342

yargılama sonunda kamu görevlisi olan sanık ceza almıştır. Temyiz istemi

üzerine yapılan inceleme sonunda ise hüküm 2009 yılında onanmıştır.

Mağdur davacı gerek hazırlık gerekse de yargılama sırasında cinsel saldırının

nasıl gerçekleştiğini açık bir şekilde anlatmış, bu anlatımlar doğal olarak karar

metnine geçirilmiştir. Karar mağdur ve sanığın ismi rumuzlanmadan 2010 yılı

nisan ayında yayınlanan kitapta yer almıştır.

Hemen ifade edilmelidir ki; davacının rızası dışında bir kitapta geçen

ismi kişisel veri niteliğindedir.

Ayrıca şunun da ifade edilmesi gereklidir ki; unutulma hakkı tanımlarına

bakıldığında her ne kadar dijital veriler için düzenlenmiş ise de, bu hakkın

özellikleri ve bu hakkın insan haklarıyla arasındaki ilişkisi dikkate alındığında;

yalnızca dijital ortamdaki kişisel veriler için değil, kamunun kolayca

ulaşabileceği yerde tutulan kişisel verilere yönelik olarak da kabul edilmesi

gerektiği açıktır.

Davacı, geçmişte yaşadığı kötü bir olayın toplum hafızasından silinmesini

istemektedir. Unutulma hakkı ile geçmişindeki yaşanan talihsiz bir olayın

unutularak geleceğini serbestçe şekillendirmek, diğer bir deyişle hayatında,

yeni bir sayfa açma olanağı istemektedir. Kaldı ki, davacı da yargılama

sırasında verdiği dilekçelerinde bu istem üzerinde ısrarla durmuştur. Davacı

unutulma hakkı ile özel hayatına ilişkin kişisel verilerinin üçüncü kişiler

tarafından bilinmemesini, aradan geçen süre nedeniyle toplum hafızasından

silinmesini istemektedir.

Bu bağlamda değerlendirildiğinde; 4 yıl önce gerçekleşen bir olayın

mağduru olan kişinin adının açık bir şekilde yazılarak kitapta yer alması

halinde unutulma hakkının bunun sonucunda da davacının özel hayatının

gizliliğinin ihlal edildiği kabul edilmelidir. Avrupa Birliği Adalet Divanı'nın

“Google Kararı”nda açıkladığı gibi ilgili verinin kamu hayatında oynadığı

önemli rol ve halkın ilgili veriye yönelik yoğun ilgisi şeklinde, üstün bir kamu


343

yararını ortaya koyan özel sebepler bulunmadığına göre bilimsel esere alınan

karardakişisel veriler açık bir şekilde yer almamalıdır.

Görüşmeler sırasında azınlıkta kalan üyeler mahkeme kararlarında yer alan

isimlerin rumuzlanmasına gerek olmadığını, yargılamanın istisnalar haricinde

açık bir şekilde yapıldığını hükmün alenen tefhim edildiğini, bu nedenle özel

hayatın gizliliğinin ihlal edilmediğini savunmuşlar ise bu görüş “sorunun

mahkeme kararlarında isimlerin rumuzlanmadan yer alması değil, kararların

kitaba alınması sırasında rumuzlanması gerekip gerekmediği sorunu olduğu”

gerekçesi ile kurul çoğunluğu tarafından kabul edilmemiştir.

O halde davacının isminin rumuzlanmadan kitapta yer almasının unutulma

hakkını ve bunun neticesinde özel hayatın gizliliğini ihlal ettiği dikkate

alındığında davacı lehine manevi tazminat koşullarının gerçekleştiğinin

kabulü zorunludur.

Ne var ki, Özel Dairece tazminat miktarı yönünden inceleme

yapılmadığından bu yöne ilişkin temyiz itirazlarının incelenmesi için

dosyanın Özel Daireye gönderilmesi gerekir.

SONUÇ : Yukarıda yazılı gerekçelerle yerel mahkemenin direnme kararı

yerinde bulunduğundan tazminat miktarı yönünden mahkemenin kurduğu

hükme yönelik temyiz itirazlarının incelenmesi için dosyanın 4. Hukuk

Dairesine gönderilmesine, 17.06.2015 gününde oyçokluğu ile karar verildi.

345



İLKESİNİ İHLAL ETMEDİĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI



İTİRAZIN KONUSU: 26.9.2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun,

21.2.2014 tarihli ve 6526 sayılı Kanun’un 4. maddesiyle değişik 136.

maddesinin(1) numaralı fıkrasının, Anayasa’nın 38. maddesine aykırılığı ileri

sürülerek iptaline karar verilmesi talebidir.

(…)

A- İtirazın Gerekçesi

3. Başvuru kararında özetle, ceza mevzuatında kişisel verilerle ilgili bir tanım

ve sınırlandırma yapılmadığından, itiraz konusu kuralın suçta ve cezada

kanunilik ve belirlilik ilkelerine ve Anayasa’nın 38. maddesine aykırı olduğu

ileri sürülmüştür.

B- Anayasa’ya Aykırılık Sorunu

(…)

8. 5237 sayılı Kanun’un “Kişisel verilerin kaydedilmesi” başlıklı 135.

maddesinin gerekçesinde, gerçek kişiyle ilgili her türlü bilginin kişisel veri

olarak kabul edilmesi gerektiği belirtilmiştir. Ayrıca, Kanun’un 134. ilâ 139.

maddeleri arasında kişisel verilerin korunmasına yönelik hükümler yer

almaktadır. Söz konusu maddelerde kişisel verilerin açık bir tanımı yer

almamakla birlikte kişisel verilere yönelik olarak “kişilerin özel hayatına ilişkin

görüntü veya sesler”, “siyasi, felsefi veya dini görüş”, “ırki köken”, “ahlaki

eğilim”, “cinsel yaşam”, “sağlık durumu” ve “sendikal bağlantılar” gibi

kavramlara yer verilmektedir.

345






İTİRAZIN KONUSU: 26.9.2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun,

21.2.2014 tarihli ve 6526 sayılı Kanun’un 4. maddesiyle değişik 136.

maddesinin(1) numaralı fıkrasının, Anayasa’nın 38. maddesine aykırılığı ileri

sürülerek iptaline karar verilmesi talebidir.

(…)

A- İtirazın Gerekçesi

3. Başvuru kararında özetle, ceza mevzuatında kişisel verilerle ilgili bir tanım

ve sınırlandırma yapılmadığından, itiraz konusu kuralın suçta ve cezada

kanunilik ve belirlilik ilkelerine ve Anayasa’nın 38. maddesine aykırı olduğu

ileri sürülmüştür.

B- Anayasa’ya Aykırılık Sorunu

(…)

8. 5237 sayılı Kanun’un “Kişisel verilerin kaydedilmesi” başlıklı 135.

maddesinin gerekçesinde, gerçek kişiyle ilgili her türlü bilginin kişisel veri

olarak kabul edilmesi gerektiği belirtilmiştir. Ayrıca, Kanun’un 134. ilâ 139.

maddeleri arasında kişisel verilerin korunmasına yönelik hükümler yer

almaktadır. Söz konusu maddelerde kişisel verilerin açık bir tanımı yer

almamakla birlikte kişisel verilere yönelik olarak “kişilerin özel hayatına ilişkin

görüntü veya sesler”, “siyasi, felsefi veya dini görüş”, “ırki köken”, “ahlaki

eğilim”, “cinsel yaşam”, “sağlık durumu” ve “sendikal bağlantılar” gibi

kavramlara yer verilmektedir.

CEZA MEVZUATINDA KİŞİSEL VERİLERLE İLGİLİ BİR TANIM VE SINIRLANDIRMA YAPILMAMASININ SUÇTA VE CEZADA KANUNİLİK


346

9. Anayasa Mahkemesinin kararlarında da belirtildiği üzere, “kişisel

veri”, “belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün

bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum

yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon


numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi,

e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup

üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak

belirlenebilir kılan tüm veriler” kişisel veri olarak kabul edilmektedir

(E.2013/122, K.2014/74, 9.4.2014; E.2014/149, K.2014/151, 2.10.2014;

E.2013/84, K.2014/183, 4.12.2014; E.2014/74, K.2014/201, 25.12.2014;

E.2014/180, K.2015/30, 19.3.2015).

10. Türkiye’nin imzaladığı ancak uygulama kanununun yürürlüğe

konmaması nedeniyle henüz taraf olmadığı 1981 tarihli ve 108 sayılı Kişisel

Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına

Dair Avrupa Konseyi Sözleşmesi’nin 2. maddesinde “kişisel veri”, “kimliği

belirli veya belirlenebilecek verinin öznesi olan gerçek kişiyle ilgili tüm

bilgiler” şeklinde tanımlanmaktadır. Sözleşme’nin “özellikli veri kategorileri”

başlıklı 6. maddesinde ise “iç hukukta uygun güvenceler sağlanmadıkça, ırk

menşeini, politik düşünceleri, dinî veya diğer inançları ortaya koyan kişisel

nitelikteki verilerle sağlık veya cinsel yaşamla ilgili kişisel nitelikteki veriler ve

ceza mahkûmiyetleri, otomatik bilgi işlemine tâbi tutulamazlar” demek

suretiyle söz konusu verilerin kişisel veri kapsamında olduğunu

belirlemektedir. Ekonomik Kalkınma ve İşbirliği Örgütü’nün (OECD)

yayınladığı Kişisel Verilerin Korunması Rehber İlkeleri’nde “kişisel veri”,

“belirli veya belirlenebilir bir gerçek kişiye ilişkin tüm bilgiler” şeklinde

tanımlanmaktadır. Avrupa Birliği’nin 95/46/EC sayılı Veri Koruma Direktifi’nin

2. maddesinde de “kişisel veri”, “belirli ya da kimliği belirlenebilir gerçek kişi

ile ilişkilendirilebilen her türlü bilgi” şeklinde tanımlandıktan sonra “bir kişinin



347

doğrudan veya dolaylı olarak tanımlanabilmesine imkân sağlayan kişinin

kimlik numarası, fiziksel, psikolojik, duygusal, ekonomik ve kültürel kimliği

veya sosyal kimliğin”nin bu kapsamda değerlendirildiği ifade edilmektedir.

11. “Kişisel veri” kavramı tarafı olduğumuz Avrupa İnsan Hakları

Sözleşmesi’nde (AİHS) açık bir şekilde düzenlenmemekle birlikte,

Sözleşme’nin uygulanmasına ilişkin Avrupa İnsan Hakları Mahkemesi (AİHM)

kararlarında Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında

Bireylerin Korunmasına Dair Sözleşme’ye atıfta bulunulmakta ve bu verilerin

özel yaşamın gizliliğinin bir parçası olduğu kabul edilmektedir. AİHM

kararlarında kişilere ait “görüntü”, “fotoğraf”, “parmak izi”, “DNA profili”,

“hücre örnekleri”, “ev adresi” ve “yaş, doğum tarihi ve fiziksel özellikler”

“kişisel veri” kapsamında değerlendirilmektedir (Peck/Birleşik Krallık, B.No:

44647/98, 28.01.2003; Sciacca/İtalya, B.No:50774/99, 11.01.2005; S. ve

Marper/Birleşik Krallık, (Büyük Daire), B.No: 30562/04, 30566/04,

04.12.2008; Alkaya/Türkiye, B.No:42811/06, 09.10.2012; K.U./Finlandiya,

B.No:2872/02, 02.12.2008).

12. İtiraz konusu kuralla, kişisel verileri, hukuka aykırı olarak bir başkasına

veren, yayan veya ele geçiren kişinin iki yıldan dört yıla kadar hapis cezası ile

cezalandırılacağı düzenlenmiştir. Kanun koyucunun kuralla, gerekçede de

ifade edildiği gibi Anayasa’nın 20. maddesi ile güvence altına alınan kişisel

verilerin ve özel hayatın daha etkin bir şekilde korunmasını sağlamayı

amaçladığı anlaşılmaktadır. Zira kişisel verilerin korunması hakkı, kişinin

insan onurunun korunması ve kişiliğini serbestçe geliştirebilmesi hakkının

özel bir biçimi olarak, kişisel verilerin işlenmesi sırasında bireyin hak ve

özgürlüklerini korumayı amaçlamaktadır.

13. Kuralda yer alan “kişisel veri” kavramı teknolojik gelişmelere bağlı olarak

çok farklı şekillerde ortaya çıkabileceğinden bu kapsama giren tüm verilerin

kanun koyucu tarafından önceden öngörülebilmesi ve tek tek sayılabilmesi



346

9. Anayasa Mahkemesinin kararlarında da belirtildiği üzere, “kişisel

veri”, “belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün

bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum

yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon


numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi,

e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup

üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak

belirlenebilir kılan tüm veriler” kişisel veri olarak kabul edilmektedir

(E.2013/122, K.2014/74, 9.4.2014; E.2014/149, K.2014/151, 2.10.2014;

E.2013/84, K.2014/183, 4.12.2014; E.2014/74, K.2014/201, 25.12.2014;

E.2014/180, K.2015/30, 19.3.2015).

10. Türkiye’nin imzaladığı ancak uygulama kanununun yürürlüğe

konmaması nedeniyle henüz taraf olmadığı 1981 tarihli ve 108 sayılı Kişisel

Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına

Dair Avrupa Konseyi Sözleşmesi’nin 2. maddesinde “kişisel veri”, “kimliği

belirli veya belirlenebilecek verinin öznesi olan gerçek kişiyle ilgili tüm

bilgiler” şeklinde tanımlanmaktadır. Sözleşme’nin “özellikli veri kategorileri”

başlıklı 6. maddesinde ise “iç hukukta uygun güvenceler sağlanmadıkça, ırk

menşeini, politik düşünceleri, dinî veya diğer inançları ortaya koyan kişisel

nitelikteki verilerle sağlık veya cinsel yaşamla ilgili kişisel nitelikteki veriler ve

ceza mahkûmiyetleri, otomatik bilgi işlemine tâbi tutulamazlar” demek

suretiyle söz konusu verilerin kişisel veri kapsamında olduğunu

belirlemektedir. Ekonomik Kalkınma ve İşbirliği Örgütü’nün (OECD)

yayınladığı Kişisel Verilerin Korunması Rehber İlkeleri’nde “kişisel veri”,

“belirli veya belirlenebilir bir gerçek kişiye ilişkin tüm bilgiler” şeklinde

tanımlanmaktadır. Avrupa Birliği’nin 95/46/EC sayılı Veri Koruma Direktifi’nin

2. maddesinde de “kişisel veri”, “belirli ya da kimliği belirlenebilir gerçek kişi

ile ilişkilendirilebilen her türlü bilgi” şeklinde tanımlandıktan sonra “bir kişinin



347

doğrudan veya dolaylı olarak tanımlanabilmesine imkân sağlayan kişinin

kimlik numarası, fiziksel, psikolojik, duygusal, ekonomik ve kültürel kimliği

veya sosyal kimliğin”nin bu kapsamda değerlendirildiği ifade edilmektedir.

11. “Kişisel veri” kavramı tarafı olduğumuz Avrupa İnsan Hakları

Sözleşmesi’nde (AİHS) açık bir şekilde düzenlenmemekle birlikte,

Sözleşme’nin uygulanmasına ilişkin Avrupa İnsan Hakları Mahkemesi (AİHM)

kararlarında Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında

Bireylerin Korunmasına Dair Sözleşme’ye atıfta bulunulmakta ve bu verilerin

özel yaşamın gizliliğinin bir parçası olduğu kabul edilmektedir. AİHM

kararlarında kişilere ait “görüntü”, “fotoğraf”, “parmak izi”, “DNA profili”,

“hücre örnekleri”, “ev adresi” ve “yaş, doğum tarihi ve fiziksel özellikler”

“kişisel veri” kapsamında değerlendirilmektedir (Peck/Birleşik Krallık, B.No:

44647/98, 28.01.2003; Sciacca/İtalya, B.No:50774/99, 11.01.2005; S. ve

Marper/Birleşik Krallık, (Büyük Daire), B.No: 30562/04, 30566/04,

04.12.2008; Alkaya/Türkiye, B.No:42811/06, 09.10.2012; K.U./Finlandiya,

B.No:2872/02, 02.12.2008).

12. İtiraz konusu kuralla, kişisel verileri, hukuka aykırı olarak bir başkasına

veren, yayan veya ele geçiren kişinin iki yıldan dört yıla kadar hapis cezası ile

cezalandırılacağı düzenlenmiştir. Kanun koyucunun kuralla, gerekçede de

ifade edildiği gibi Anayasa’nın 20. maddesi ile güvence altına alınan kişisel

verilerin ve özel hayatın daha etkin bir şekilde korunmasını sağlamayı

amaçladığı anlaşılmaktadır. Zira kişisel verilerin korunması hakkı, kişinin

insan onurunun korunması ve kişiliğini serbestçe geliştirebilmesi hakkının

özel bir biçimi olarak, kişisel verilerin işlenmesi sırasında bireyin hak ve

özgürlüklerini korumayı amaçlamaktadır.

13. Kuralda yer alan “kişisel veri” kavramı teknolojik gelişmelere bağlı olarak

çok farklı şekillerde ortaya çıkabileceğinden bu kapsama giren tüm verilerin

kanun koyucu tarafından önceden öngörülebilmesi ve tek tek sayılabilmesi



348

mümkün değildir. Bununla birlikte gerek ulusal ve uluslararası mevzuat

gerekse yargı içtihatları çerçevesinde “kişisel veri” kavramının, belirli veya

kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade ettiği

kabul edilmektedir.

14. “Kişisel veri” kavramının bu çerçevede doktrin, uygulama ve yargı

kararlarında belirlenerek anlam ve içeriğinin gelişip değişeceğinde kuşku

yoktur. Dolayısıyla başvuru kararında her ne kadar ceza mevzuatında “kişisel

veri” ile ilgili bir tanım ve sınırlandırmanın yapılmadığı, bu nedenle itiraz

konusu kuralın belirsiz olduğu ileri sürülmüş ise de ulusal ve uluslararası

mevzuat ile yargı içtihatları dikkate alındığında kuralın belirsiz olduğundan

söz edilemeyeceği açıktır. Ayrıca itiraz konusu kuralla “kişisel verileri, hukuka

aykırı olarak bir başkasına verme, yayma veya ele geçirme” eylemi suç olarak

kabul edilmekte ve bu eylem nedeniyle verilecek ceza kuralda açıkça

belirlendiğinden kuralla hangi somut eylem ve olguya hangi hukuksal

yaptırımın bağlandığı açıkça ortaya konulmaktadır. Dolayısıyla itiraz konusu

kuralda suçta ve cezada kanunilik ilkesi ile özel hayatın gizliliği ilkesine

aykırılık bulunmamaktadır.

15. Açıklanan nedenlerle kural, Anayasa’nın 20. ve 38. maddelerine aykırı

değildir. İptal talebinin reddi gerekir.

IV- HÜKÜM

26.9.2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun, 21.2.2014 tarihli ve

6526 sayılı Kanun’un 4. maddesiyle değiştirilen 136. maddesinin(1) numaralı

fıkrasının Anayasa’ya aykırı olmadığına ve itirazın REDDİNE, 12.11.2015

tarihinde OYBİRLİĞİYLE karar verildi.

349


OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI

Ömür Kara ve O nursal Özbek Başvurusu

Başvuru No: 2013/4825, Karar Tarihi: 24/03/2016

I. BAŞVURUNUN KONUSU

1. Başvuru, özel bir şirket bünyesinde çalışan başvurucuların mahremiyete

ilişkin yazışmalar içeren kurumsal e-posta hesaplarının işveren tarafından

incelenmesi ve bu yazışmaların işe iade davasında delil olarak kullanılması

nedenleriyle özel hayata saygı ve haberleşmenin gizliliği haklarının ihlal

edildiği iddialarına ilişkindir.

II. BAŞVURU SÜRECİ

2. Başvuru 27/6/2013 tarihinde Bakırköy 8. İş Mahkemesi vasıtasıyla

yapılmıştır. Başvuru formu ve eklerinin idari yönden yapılan ön incelemesi

neticesinde başvurunun Komisyona sunulmasına engel teşkil edecek bir

eksikliğinin bulunmadığı tespit edilmiştir.

3. İkinci Bölüm Üçüncü Komisyonunca başvurunun kabul edilebilirlik

incelemesinin Bölüm tarafından yapılmasına karar verilmiştir.

4. Bölüm tarafından 18/2/2014 tarihinde, başvurunun kabul edilebilirlik ve

esas incelemesinin birlikte yapılmasına karar verilmiştir.

5. Konu bakımından irtibat nedeniyle 2013/5442 numaralı başvurunun

2013/4825 numaralı başvuru üzerinde birleştirilmesine ve incelemenin bu

dosya üzerinden yapılmasına karar verilmiştir.

6. Başvuru belgelerinin bir örneği 2013/5442 numaralı başvuru dosyası

üzerinden bilgi için Adalet Bakanlığına (Bakanlık) gönderilmiştir. Bakanlık,

görüşünü 21/4/2014 tarihinde Anayasa Mahkemesine sunmuştur.



348

mümkün değildir. Bununla birlikte gerek ulusal ve uluslararası mevzuat

gerekse yargı içtihatları çerçevesinde “kişisel veri” kavramının, belirli veya

kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade ettiği

kabul edilmektedir.

14. “Kişisel veri” kavramının bu çerçevede doktrin, uygulama ve yargı

kararlarında belirlenerek anlam ve içeriğinin gelişip değişeceğinde kuşku

yoktur. Dolayısıyla başvuru kararında her ne kadar ceza mevzuatında “kişisel

veri” ile ilgili bir tanım ve sınırlandırmanın yapılmadığı, bu nedenle itiraz

konusu kuralın belirsiz olduğu ileri sürülmüş ise de ulusal ve uluslararası

mevzuat ile yargı içtihatları dikkate alındığında kuralın belirsiz olduğundan

söz edilemeyeceği açıktır. Ayrıca itiraz konusu kuralla “kişisel verileri, hukuka

aykırı olarak bir başkasına verme, yayma veya ele geçirme” eylemi suç olarak

kabul edilmekte ve bu eylem nedeniyle verilecek ceza kuralda açıkça

belirlendiğinden kuralla hangi somut eylem ve olguya hangi hukuksal

yaptırımın bağlandığı açıkça ortaya konulmaktadır. Dolayısıyla itiraz konusu

kuralda suçta ve cezada kanunilik ilkesi ile özel hayatın gizliliği ilkesine

aykırılık bulunmamaktadır.

15. Açıklanan nedenlerle kural, Anayasa’nın 20. ve 38. maddelerine aykırı

değildir. İptal talebinin reddi gerekir.

IV- HÜKÜM

26.9.2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun, 21.2.2014 tarihli ve

6526 sayılı Kanun’un 4. maddesiyle değiştirilen 136. maddesinin(1) numaralı

fıkrasının Anayasa’ya aykırı olmadığına ve itirazın REDDİNE, 12.11.2015

tarihinde OYBİRLİĞİYLE karar verildi.

349


OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI

Ömür Kara ve O nursal Özbek Başvurusu

Başvuru No: 2013/4825, Karar Tarihi: 24/03/2016

I. BAŞVURUNUN KONUSU

1. Başvuru, özel bir şirket bünyesinde çalışan başvurucuların mahremiyete

ilişkin yazışmalar içeren kurumsal e-posta hesaplarının işveren tarafından

incelenmesi ve bu yazışmaların işe iade davasında delil olarak kullanılması

nedenleriyle özel hayata saygı ve haberleşmenin gizliliği haklarının ihlal

edildiği iddialarına ilişkindir.

II. BAŞVURU SÜRECİ

2. Başvuru 27/6/2013 tarihinde Bakırköy 8. İş Mahkemesi vasıtasıyla

yapılmıştır. Başvuru formu ve eklerinin idari yönden yapılan ön incelemesi

neticesinde başvurunun Komisyona sunulmasına engel teşkil edecek bir

eksikliğinin bulunmadığı tespit edilmiştir.

3. İkinci Bölüm Üçüncü Komisyonunca başvurunun kabul edilebilirlik

incelemesinin Bölüm tarafından yapılmasına karar verilmiştir.

4. Bölüm tarafından 18/2/2014 tarihinde, başvurunun kabul edilebilirlik ve

esas incelemesinin birlikte yapılmasına karar verilmiştir.

5. Konu bakımından irtibat nedeniyle 2013/5442 numaralı başvurunun

2013/4825 numaralı başvuru üzerinde birleştirilmesine ve incelemenin bu

dosya üzerinden yapılmasına karar verilmiştir.

6. Başvuru belgelerinin bir örneği 2013/5442 numaralı başvuru dosyası

üzerinden bilgi için Adalet Bakanlığına (Bakanlık) gönderilmiştir. Bakanlık,

görüşünü 21/4/2014 tarihinde Anayasa Mahkemesine sunmuştur.

KURUMSAL E-POSTA HESABININ İŞVERENLER TARAFINDAN OKUNABİLECEĞİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI

350

7. Bakanlık tarafından Anayasa Mahkemesine sunulan görüş 29/4/2014

tarihinde başvuruculara tebliğ edilmiştir. Başvurucular, Bakanlığın görüşüne

karşı beyanlarını 14/5/2014 tarihinde ibraz etmiştir.

III. OLAY VE OLGULAR

A. Olaylar

8. Başvuru formu ve eklerinde ifade edildiği şekliyle ilgili olaylar özetle

şöyledir:

9. Birinci başvurucu 1/3/2010 tarihinde imzaladığı iş sözleşmesi ile, ikinci

başvurucu 11/4/2011 tarihinde imzaladığı iş sözleşmesi ile işveren T. Ticaret

A.Ş. (Şirket) bünyesinde işçi statüsünde çalışmaya başlamıştır.

10. Anılan iş sözleşmelerinin "Özel Şartlar" başlıklı bölümünde "13.8.

Personel, işyerinde yürürlükte olan tüm Yönetmelik, iç Tüzük, Prosedür ve

talimatlara uymakla yükümlüdür. ", "13.23. İşyerinde uyulması gereken

kurallara ilişkin iç tüzük, yönetmelik, oryantasyon kitapçığı, hükümler ve

seyahat yönetmeliği, talimatlar, prosedürler, iş bu iş akdinin ayrılmaz eki ve

parçasıdır. " şeklinde ifadelere yer verilerek yönetmelik ile diğer

düzenlemeler iş sözleşmelerinin bir parçası olarak belirlenmiş ve bu

düzenlemelere uygun davranmak konusunda başvurucular ve işveren

karşılıklı taahhüt altına girmişlerdir.

11. Bu kapsamda Şirket Temel Yönetmeliği'nin "İşyerleri içerisinde, temel

ahlaki kurallara uyulması ve yanlış anlaşılacak davranış ve ilişkilerden

kaçınılması " başlıklı 20. maddesinde yer alan "Eşit veya ast/üst pozisyonlarda

çalışan personel, hem eşitleri hem de üst veya astları ile karşılıklı saygıya

dayanan mesafeli ve profesyonel bir ilişki kurmalı, özel yaşamlarını,

birbirlerine açacak kadar samimi olmaktan kaçınılmalı, özel dostluklarını

tercihen şirket dışındaki arkadaşları ile oluşturmalı" şeklindeki düzenleme,

anılan iş sözleşmelerinin bir parçası kabul edilerek her iki başvurucu

tarafından imzalanmıştır. Yine iş sözleşmelerinin devamı olarak kabul edilen


351

Bilgi Güvenliği Taahhütnamesi'nin 2. maddesinde yer alan "Şirket tarafından

çalışanlara iş için tahsis edilmiş olan bilgisayar, e-posta, internet kullanımı,

telefon, USB memory, CD-writer, iletişim programı ve diğer İT kaynaklarını

ve iletişim araçlarını zaruri ihtiyaçları aşan ölçüde kişisel amaçlı, kabul

edilemez maksatlı, eğlence niyetli, genel ahlaka, örf ve adetlere aykırı şekilde

kullanılmayacağı" şeklindeki taahhüt ile 6. maddesinde yer alan "Yetkili şirket

yöneticileri tarafından çalışanlara herhangi bir haber verilmeksizin ve uyarıda

bulunulmaksızın; kullandıkları İT ve iletişim kaynaklarının her zaman takip

altında tutulabileceği, yaptıkları yazışmaların ve iletişim kayıtlarının

yedeklenebileceği, raporlanabileceği, gerekli durumlarda detay bazlı

incelenebileceği, el konulabileceğini ve kullanım sınırlaması getirilebileceği"

şeklindeki taahhütleri içeren düzenlemeler de başvurucular tarafından

imzalanmıştır.

12. 14/5/2012 tarihinde işveren Şirketin yöneticilerinin başvurucularla

yaptıkları görüşmede, ikinci başvurucunun eşinin Şirket üst yöneticisini

ziyaret ederek başvurucular arasında duygusal bir ilişki bulunduğunu

belirttiği ve buna kanıt olarak başvuruculara ait e-posta yazışmalarının bir

suretini Şirket yönetimine verdiği dile getirilmiştir. Ayrıca bu nedenle

işverenin artık başvurucularla çalışmak istemediği, istifa edebilecekleri ya da

karşılıklı anlaşma yoluna gidilebileceği, aksi takdirde iş sözleşmelerinin

işveren tarafından feshedileceği ifade edilmiştir. Başvurucular, duygusal ilişki

yaşadıkları iddiasını reddetmişler ve iş sözleşmelerinin feshini gerektirecek

bir neden bulunmadığım belirtmişlerdir. Anılan görüşme sonrasında iş

yerinde kullanım amaçlı olarak başvuruculara tahsis edilen bilgisayarlar

işveren tarafından kapatılmıştır. Ayrıca aynı gün talepleri üzerine

başvuruculara yıllık izin verilmiştir.

13. Başvurucuların iş sözleşmeleri 22/5/2003 tarihli ve 4857 sayılı İş

Kanunu'nun 25. maddesinde yer alan "Ahlak ve iyiniyet kurallarına uymayan


350

7. Bakanlık tarafından Anayasa Mahkemesine sunulan görüş 29/4/2014

tarihinde başvuruculara tebliğ edilmiştir. Başvurucular, Bakanlığın görüşüne

karşı beyanlarını 14/5/2014 tarihinde ibraz etmiştir.

III. OLAY VE OLGULAR

A. Olaylar

8. Başvuru formu ve eklerinde ifade edildiği şekliyle ilgili olaylar özetle

şöyledir:

9. Birinci başvurucu 1/3/2010 tarihinde imzaladığı iş sözleşmesi ile, ikinci

başvurucu 11/4/2011 tarihinde imzaladığı iş sözleşmesi ile işveren T. Ticaret

A.Ş. (Şirket) bünyesinde işçi statüsünde çalışmaya başlamıştır.

10. Anılan iş sözleşmelerinin "Özel Şartlar" başlıklı bölümünde "13.8.

Personel, işyerinde yürürlükte olan tüm Yönetmelik, iç Tüzük, Prosedür ve

talimatlara uymakla yükümlüdür. ", "13.23. İşyerinde uyulması gereken

kurallara ilişkin iç tüzük, yönetmelik, oryantasyon kitapçığı, hükümler ve

seyahat yönetmeliği, talimatlar, prosedürler, iş bu iş akdinin ayrılmaz eki ve

parçasıdır. " şeklinde ifadelere yer verilerek yönetmelik ile diğer

düzenlemeler iş sözleşmelerinin bir parçası olarak belirlenmiş ve bu

düzenlemelere uygun davranmak konusunda başvurucular ve işveren

karşılıklı taahhüt altına girmişlerdir.

11. Bu kapsamda Şirket Temel Yönetmeliği'nin "İşyerleri içerisinde, temel

ahlaki kurallara uyulması ve yanlış anlaşılacak davranış ve ilişkilerden

kaçınılması " başlıklı 20. maddesinde yer alan "Eşit veya ast/üst pozisyonlarda

çalışan personel, hem eşitleri hem de üst veya astları ile karşılıklı saygıya

dayanan mesafeli ve profesyonel bir ilişki kurmalı, özel yaşamlarını,

birbirlerine açacak kadar samimi olmaktan kaçınılmalı, özel dostluklarını

tercihen şirket dışındaki arkadaşları ile oluşturmalı" şeklindeki düzenleme,

anılan iş sözleşmelerinin bir parçası kabul edilerek her iki başvurucu

tarafından imzalanmıştır. Yine iş sözleşmelerinin devamı olarak kabul edilen


351

Bilgi Güvenliği Taahhütnamesi'nin 2. maddesinde yer alan "Şirket tarafından

çalışanlara iş için tahsis edilmiş olan bilgisayar, e-posta, internet kullanımı,

telefon, USB memory, CD-writer, iletişim programı ve diğer İT kaynaklarını

ve iletişim araçlarını zaruri ihtiyaçları aşan ölçüde kişisel amaçlı, kabul

edilemez maksatlı, eğlence niyetli, genel ahlaka, örf ve adetlere aykırı şekilde

kullanılmayacağı" şeklindeki taahhüt ile 6. maddesinde yer alan "Yetkili şirket

yöneticileri tarafından çalışanlara herhangi bir haber verilmeksizin ve uyarıda

bulunulmaksızın; kullandıkları İT ve iletişim kaynaklarının her zaman takip

altında tutulabileceği, yaptıkları yazışmaların ve iletişim kayıtlarının

yedeklenebileceği, raporlanabileceği, gerekli durumlarda detay bazlı

incelenebileceği, el konulabileceğini ve kullanım sınırlaması getirilebileceği"

şeklindeki taahhütleri içeren düzenlemeler de başvurucular tarafından

imzalanmıştır.

12. 14/5/2012 tarihinde işveren Şirketin yöneticilerinin başvurucularla

yaptıkları görüşmede, ikinci başvurucunun eşinin Şirket üst yöneticisini

ziyaret ederek başvurucular arasında duygusal bir ilişki bulunduğunu

belirttiği ve buna kanıt olarak başvuruculara ait e-posta yazışmalarının bir

suretini Şirket yönetimine verdiği dile getirilmiştir. Ayrıca bu nedenle

işverenin artık başvurucularla çalışmak istemediği, istifa edebilecekleri ya da

karşılıklı anlaşma yoluna gidilebileceği, aksi takdirde iş sözleşmelerinin

işveren tarafından feshedileceği ifade edilmiştir. Başvurucular, duygusal ilişki

yaşadıkları iddiasını reddetmişler ve iş sözleşmelerinin feshini gerektirecek

bir neden bulunmadığım belirtmişlerdir. Anılan görüşme sonrasında iş

yerinde kullanım amaçlı olarak başvuruculara tahsis edilen bilgisayarlar

işveren tarafından kapatılmıştır. Ayrıca aynı gün talepleri üzerine

başvuruculara yıllık izin verilmiştir.

13. Başvurucuların iş sözleşmeleri 22/5/2003 tarihli ve 4857 sayılı İş

Kanunu'nun 25. maddesinde yer alan "Ahlak ve iyiniyet kurallarına uymayan


352

haller ve benzerleri " başlıklı (II) numaralı bendi gereğince 21/5/2012

tarihinde işveren tarafından feshedilmiştir.

14. Başvurucular; ikinci başvurucu ile eşi arasında boşanma davasının devam

ettiğini, haklarında dile getirilen beyanların bir iftiradan ibaret olduğunu, özel

hayatlarının gizliliği ve haberleşme hürriyetleri yok sayılarak kişisel e-posta

hesaplarının incelendiğini, ve bu hesaplardan elde edilen yazışmaların

içerikleri üzerinden ulaşılan "evlilik dışı ilişki yaşadıkları" şeklindeki varsayım

gerekçe gösterilerek iş sözleşmelerinin haksız yere feshedildiğini ileri

sürerek 20/6/2012 tarihinde işveren şirket aleyhine işe iade istemli tespit

davası açmışlardır.

15. Söz konusu davalar Bakırköy 12. İş Mahkemesinin 2012/279 ve 2012/280

Esas sıralarına kaydedilmiştir.

16. Davalı işveren tarafından sunulan cevap dilekçesinde, başvurucuların iş

sözleşmelerinin yalnızca ikinci başvurucunun eşinin tek taraflı beyanları

üzerine feshedilmediği, başvurucuların özel hayat alanlarının dışında kalan

ve Şirketin işleyişini ilgilendiren iddiaların araştırılması için başvurucuların

kullanımına tahsis edilen ancak mülkiyeti Şirkete ait olan bilgisayarların sınırlı

şekilde incelendiği, iddiaları destekleyen ve iş sözleşmelerinin devamını

çekilmez kılan hususların bulunduğu, iddiaları doğrulayacak şekilde

başvurucuların karşılıklı olarak e-posta hesapları üzerinden yazıştıklarının

tespit edildiği, bu yazışmalann müstehcenlik unsurları taşıdığı, tüm bu

hususların iş sözleşmesi ile iş sözleşmesinin parçası olan Şirket içindeki diğer

düzenlemelere aykırılıklar oluşturduğu belirtilmiş ve söz konu yazışmaların

içerikleri Mahkemeye delil olarak sunulmuştur.

17. 2012/279 Esas sıra sayılı davada, davalı Şirket çalışanları tarafından

Mahkeme huzurunda tanık sıfatıyla verilen ifadelerin ilgili kısımları şöyledir:

"... ben 2005 yılından bu yana davalı işyerinde çalışmaktayım, ben

Uluslararası mağazacılık insan kaynakları direktörü olarak davalı işyerinde


353

çalışmaktayım, davacı firmanın avukatıydı, fesih öncesinde 3-4 ay öncesinde

davacı ve Ö. Hanım aralarında yakınlık olduğu konusunda birkaç duyum

aldım, aralarındaki ilişkinin profesyonelliğin ötesinde yorumlandığını

gördüm, bu konuda davacı ve Ö. Hanımı bilgilendirdim, onlarda böyle bir

ilişkinin olmadığını söylediler, davacı Ö.K. 'nın çalıştığı bölüm kapanmadı,

grup içerisinde organizasyonda değişiklik oldu, bu değişikli O.Ö.'i ilgilendirdi,

V. beyle O.Ö. in eşi İ.Ö. bu konuda görüşmüş bunu bana yönetim kurulu

başkanı V. Bey söyledi, bilgi işlem vasıtasıyla davacının e-mailini özel amaçlı

kullanıp kullanmadığı konusunda araştırma yaptık, gerçekten de belirtilen e-

mailler bilgisayar kayıtlarında mevcuttur, ... davacı ile Ö. hanım arasında iş

ilişkisinden farklı bir ilişki olduğuna dair diğer birimlerde çalışan kişilerden

işyerinde bu kadar uzun mola nasıl yapılabiliyor. Hep aynı 2 kişinin işyerinde

dikkat çekici şekilde her molada sürekli birlikte olmalarının dikkat çektiği

hususunda bana bilgi verildi. Ben kendileri ile görüştüğümde reddettiler.

Buna ilişkin olarak genel müdürümüzün de bana uyarısı olmuştur. Bu

durumun dışında davacının işyerindeki performansı veya çalışmasına ilişkin

herhangi bir olumsuzluk bana iletilmedi. İşyerinde davacının evli olması

sebebiyle bize bu konuyu bilmeniz gerekir şeklinde uyarılar gelmişti. Davacı

vekilinin talebi üzerine soruldu: davacı ile Ö. hanım arasındaki diyalogun liseli

aşıklar şeklinde benzetme ile bana iletilmişti dedi. "


Uluslararası genişleme direktörü olarak davalı işyerinde çalışmaktayım,

davacı firmanın avukatıydı, davacı ve Ömür Hanım mesai saatlerinin arasında

mola zamanlarında normal mesai arkadaşlarından daha fazla vakit

geçirmekte idiler, davacının işi aksatacak şekilde mesai saatleri içerisinde

davranışlarına tanık olmadım. "

"Ben ekim 2011 ayı ile ocak 2013 ayı arasında davalı işyerinde personel ve

özlük işleri müdürü olarak çalıştım, benim işyerine karşı açılmış herhangi bir

davamyoktur. Davacı firmanın avukatıydı. Bildiğim kadarıyla şu an davacının


352

haller ve benzerleri " başlıklı (II) numaralı bendi gereğince 21/5/2012

tarihinde işveren tarafından feshedilmiştir.

14. Başvurucular; ikinci başvurucu ile eşi arasında boşanma davasının devam

ettiğini, haklarında dile getirilen beyanların bir iftiradan ibaret olduğunu, özel

hayatlarının gizliliği ve haberleşme hürriyetleri yok sayılarak kişisel e-posta

hesaplarının incelendiğini, ve bu hesaplardan elde edilen yazışmaların

içerikleri üzerinden ulaşılan "evlilik dışı ilişki yaşadıkları" şeklindeki varsayım

gerekçe gösterilerek iş sözleşmelerinin haksız yere feshedildiğini ileri

sürerek 20/6/2012 tarihinde işveren şirket aleyhine işe iade istemli tespit

davası açmışlardır.

15. Söz konusu davalar Bakırköy 12. İş Mahkemesinin 2012/279 ve 2012/280

Esas sıralarına kaydedilmiştir.

16. Davalı işveren tarafından sunulan cevap dilekçesinde, başvurucuların iş

sözleşmelerinin yalnızca ikinci başvurucunun eşinin tek taraflı beyanları

üzerine feshedilmediği, başvurucuların özel hayat alanlarının dışında kalan

ve Şirketin işleyişini ilgilendiren iddiaların araştırılması için başvurucuların

kullanımına tahsis edilen ancak mülkiyeti Şirkete ait olan bilgisayarların sınırlı

şekilde incelendiği, iddiaları destekleyen ve iş sözleşmelerinin devamını

çekilmez kılan hususların bulunduğu, iddiaları doğrulayacak şekilde

başvurucuların karşılıklı olarak e-posta hesapları üzerinden yazıştıklarının

tespit edildiği, bu yazışmalann müstehcenlik unsurları taşıdığı, tüm bu

hususların iş sözleşmesi ile iş sözleşmesinin parçası olan Şirket içindeki diğer

düzenlemelere aykırılıklar oluşturduğu belirtilmiş ve söz konu yazışmaların

içerikleri Mahkemeye delil olarak sunulmuştur.

17. 2012/279 Esas sıra sayılı davada, davalı Şirket çalışanları tarafından

Mahkeme huzurunda tanık sıfatıyla verilen ifadelerin ilgili kısımları şöyledir:


Uluslararası mağazacılık insan kaynakları direktörü olarak davalı işyerinde


353

çalışmaktayım, davacı firmanın avukatıydı, fesih öncesinde 3-4 ay öncesinde

davacı ve Ö. Hanım aralarında yakınlık olduğu konusunda birkaç duyum

aldım, aralarındaki ilişkinin profesyonelliğin ötesinde yorumlandığını

gördüm, bu konuda davacı ve Ö. Hanımı bilgilendirdim, onlarda böyle bir

ilişkinin olmadığını söylediler, davacı Ö.K. 'nın çalıştığı bölüm kapanmadı,

grup içerisinde organizasyonda değişiklik oldu, bu değişikli O.Ö.'i ilgilendirdi,

V. beyle O.Ö. in eşi İ.Ö. bu konuda görüşmüş bunu bana yönetim kurulu

başkanı V. Bey söyledi, bilgi işlem vasıtasıyla davacının e-mailini özel amaçlı

kullanıp kullanmadığı konusunda araştırma yaptık, gerçekten de belirtilen e-

mailler bilgisayar kayıtlarında mevcuttur, ... davacı ile Ö. hanım arasında iş

ilişkisinden farklı bir ilişki olduğuna dair diğer birimlerde çalışan kişilerden

işyerinde bu kadar uzun mola nasıl yapılabiliyor. Hep aynı 2 kişinin işyerinde

dikkat çekici şekilde her molada sürekli birlikte olmalarının dikkat çektiği

hususunda bana bilgi verildi. Ben kendileri ile görüştüğümde reddettiler.

Buna ilişkin olarak genel müdürümüzün de bana uyarısı olmuştur. Bu

durumun dışında davacının işyerindeki performansı veya çalışmasına ilişkin

herhangi bir olumsuzluk bana iletilmedi. İşyerinde davacının evli olması

sebebiyle bize bu konuyu bilmeniz gerekir şeklinde uyarılar gelmişti. Davacı

vekilinin talebi üzerine soruldu: davacı ile Ö. hanım arasındaki diyalogun liseli

aşıklar şeklinde benzetme ile bana iletilmişti dedi. "


Uluslararası genişleme direktörü olarak davalı işyerinde çalışmaktayım,

davacı firmanın avukatıydı, davacı ve Ömür Hanım mesai saatlerinin arasında

mola zamanlarında normal mesai arkadaşlarından daha fazla vakit

geçirmekte idiler, davacının işi aksatacak şekilde mesai saatleri içerisinde

davranışlarına tanık olmadım. "

"Ben ekim 2011 ayı ile ocak 2013 ayı arasında davalı işyerinde personel ve

özlük işleri müdürü olarak çalıştım, benim işyerine karşı açılmış herhangi bir

davamyoktur. Davacı firmanın avukatıydı. Bildiğim kadarıyla şu an davacının


354

çalıştığı bölüm faaliyet göstermemektedir, ben sadece fesih sürecinde yer

aldım bunun dışında tam bilgim yoktur, fesih öncesinde feshe, daha sonra ek

olarak sunulan e-mail yazışmaları ve diğer belgeler nedeniyle davacı ve

Ömür Hanımın iş akdi feshedildi. "

"O.Ö. benim eski eşim olur, işyerinden ortak arkadaşlarımla davacı ile eşim

arasında yakınlık olduğunu duydum, ayrıca birbirlerine göndermiş oldukları

e-mailleri gördüm, bunun üzerine yönetim kurulu başkanı V. Bey ile

görüştüm, diğer yönetici ve avukatlarıyla görüşüp durumu

değerlendireceğini söyledi, benim gerekçelerimle hareket etmeyeceğini

söyledi, gerekli araştırma yapıldıktan sonra işlem yapılacağını söyledi, daha

sonra dan iş akitlerinin feshedildiğini öğrendim, evliliğin bitmesine bu neden

olmuştur iki tarafla da görüşmeme rağmen sonuç alamadım dedi. "

"Ağustos 2011 ve temmuz 2012 tarihleri arasında davalı işyerinde Uluslar

arası finansal kiralama ve sözleşme uzmanı olarak çalıştım, davacı firmanın

avukatıydı. Davacı ile Ö. Hanım arasında yakınlık konusunda herhangi bir

bilgim yoktur, davacının çalıştığı bölüm kapatılmadı, O.Ö. bana Ö.K. ile

beraberliği nedeniyle iş akdinin feshedildiğini, eşinin e-maillerini kırıp e-

mailleri V. beye gösterdiğini söyledi, bir daha işyerinde çalışmak istemediğini

söyledi, her zaman dikkat çekecek şekilde Ö.K. ile beraberliği yoktu, herkese

karşı sıcak davranmaktadır, ben hiçbir farklılık görmedim, davacı hakkında

daha önce fesih konusunda araştırma yapılıp yapılmadığını bilmiyorum.. "

18. 2012/280 Esas Sıra sayılı davada verilen tanık ifadeleri de aynı

doğrultudadır.

19. Birinci başvurucu açısından Bakırköy 12. İş Mahkemesinin 8/2/2013 tarihli

ve E.2012/280, K.2013/76 sayılı kararı ile; ikinci başvurucu açısından Bakırköy

12. İş Mahkemesinin 7/3/2013 tarihli ve E.2012/279, K.2013/129 sayılı kararı

ile davaların reddine karar verilmiştir.

20. 8/2/2013 tarihli kararın gerekçesi şöyledir:


355

"... Davacının hizmet cetveli, işyeri özlük dosyası dosyaya celb edilmiştir.

Dava ile ilgili olarak davacı ve davalı tanıklarının beyanları alınmıştır.

Dosyanın incelenmesinden; davacının iş akdinin 4857 sayılı Kanunun 25/2.

maddesi gereğince feshedildiği, davacı ile O.Ö. arasındaki e-maillerin

dosyaya ibraz edildiği, şirketin kendisine tahsis edilen e-mail adresinden

mesai saatleri içerisinde özel amaçlı olarak e-mail gönderilmesi ve kabul

edilmesinin doğruluk ve bağlılıkla bağdaşmayan eylem niteliğinde olduğu,

davacı ve O. Ö. arasındaki yakınlaşma nedeniyle, aynı zamanda O.Ö. k in

eşinin işyerine gelip şikayetçi olması nedeniyle de şirket açısından iş akdinin

devamının imkansız hale geldiği nazara alınarak davanın reddine karar

vermek gerekmiştir".

21. 7/3/2013 tarihli kararın gerekçesi ise şöyledir:

"... Mahkememizce davacının hizmet cetveli, işyeri özlük dosyası getirtilip

incelenmiş, davacı ve davalı tanıkları dinlenmiştir. Davalı tarafından sunulan,

şirketçe tahsis edilmiş e-mail adresinden yapılan yazışmaların içeriği davacı

tarafından kabul edilmiştir.

Tüm dosya kapsamı, e-mail yazışmaları, tanıkların beyanları birlikte

değerlendirildiğinde; evli olan davacının işyerinde bir bayan işçi ile gönül

ilişkisine girmesi sonrası, davacı eşinin işyerine geldiği ve durumu

yöneticilere ilettiği, bu nedenle işyerinde olumsuzluklar yaşandığı ve bu

olumsuzlukların davacının davranışından kaynaklandığı, işverenin zor

durumda kaldığı ve işveren açısından iş ilişkisinin sürdürülmesi olanağı

kalmadığı anlaşıldığından davanın reddine karar vermek gerekli ve uygun

görülmüştür. "

22. Kişisel hesaplar üzerinden gerçekleştirilen yazışmalardan oluşan e-

postalarm fesih gerekçesi olarak gösterilmesiyle özel hayatın gizliliğinin ihlal

edildiği, buna rağmen söz konusu delil içeriklerinin Mahkemece

değerlendirildiği ve yalnızca bu hukuka aykırı deliller esas alınarak hüküm


354

çalıştığı bölüm faaliyet göstermemektedir, ben sadece fesih sürecinde yer

aldım bunun dışında tam bilgim yoktur, fesih öncesinde feshe, daha sonra ek

olarak sunulan e-mail yazışmaları ve diğer belgeler nedeniyle davacı ve

Ömür Hanımın iş akdi feshedildi. "

"O.Ö. benim eski eşim olur, işyerinden ortak arkadaşlarımla davacı ile eşim

arasında yakınlık olduğunu duydum, ayrıca birbirlerine göndermiş oldukları

e-mailleri gördüm, bunun üzerine yönetim kurulu başkanı V. Bey ile

görüştüm, diğer yönetici ve avukatlarıyla görüşüp durumu

değerlendireceğini söyledi, benim gerekçelerimle hareket etmeyeceğini

söyledi, gerekli araştırma yapıldıktan sonra işlem yapılacağını söyledi, daha

sonra dan iş akitlerinin feshedildiğini öğrendim, evliliğin bitmesine bu neden

olmuştur iki tarafla da görüşmeme rağmen sonuç alamadım dedi. "

"Ağustos 2011 ve temmuz 2012 tarihleri arasında davalı işyerinde Uluslar

arası finansal kiralama ve sözleşme uzmanı olarak çalıştım, davacı firmanın

avukatıydı. Davacı ile Ö. Hanım arasında yakınlık konusunda herhangi bir

bilgim yoktur, davacının çalıştığı bölüm kapatılmadı, O.Ö. bana Ö.K. ile

beraberliği nedeniyle iş akdinin feshedildiğini, eşinin e-maillerini kırıp e-

mailleri V. beye gösterdiğini söyledi, bir daha işyerinde çalışmak istemediğini

söyledi, her zaman dikkat çekecek şekilde Ö.K. ile beraberliği yoktu, herkese

karşı sıcak davranmaktadır, ben hiçbir farklılık görmedim, davacı hakkında

daha önce fesih konusunda araştırma yapılıp yapılmadığını bilmiyorum.. "

18. 2012/280 Esas Sıra sayılı davada verilen tanık ifadeleri de aynı

doğrultudadır.

19. Birinci başvurucu açısından Bakırköy 12. İş Mahkemesinin 8/2/2013 tarihli

ve E.2012/280, K.2013/76 sayılı kararı ile; ikinci başvurucu açısından Bakırköy

12. İş Mahkemesinin 7/3/2013 tarihli ve E.2012/279, K.2013/129 sayılı kararı

ile davaların reddine karar verilmiştir.

20. 8/2/2013 tarihli kararın gerekçesi şöyledir:


355

"... Davacının hizmet cetveli, işyeri özlük dosyası dosyaya celb edilmiştir.

Dava ile ilgili olarak davacı ve davalı tanıklarının beyanları alınmıştır.

Dosyanın incelenmesinden; davacının iş akdinin 4857 sayılı Kanunun 25/2.

maddesi gereğince feshedildiği, davacı ile O.Ö. arasındaki e-maillerin

dosyaya ibraz edildiği, şirketin kendisine tahsis edilen e-mail adresinden

mesai saatleri içerisinde özel amaçlı olarak e-mail gönderilmesi ve kabul

edilmesinin doğruluk ve bağlılıkla bağdaşmayan eylem niteliğinde olduğu,

davacı ve O. Ö. arasındaki yakınlaşma nedeniyle, aynı zamanda O.Ö. k in

eşinin işyerine gelip şikayetçi olması nedeniyle de şirket açısından iş akdinin

devamının imkansız hale geldiği nazara alınarak davanın reddine karar

vermek gerekmiştir".

21. 7/3/2013 tarihli kararın gerekçesi ise şöyledir:

"... Mahkememizce davacının hizmet cetveli, işyeri özlük dosyası getirtilip

incelenmiş, davacı ve davalı tanıkları dinlenmiştir. Davalı tarafından sunulan,

şirketçe tahsis edilmiş e-mail adresinden yapılan yazışmaların içeriği davacı

tarafından kabul edilmiştir.

Tüm dosya kapsamı, e-mail yazışmaları, tanıkların beyanları birlikte

değerlendirildiğinde; evli olan davacının işyerinde bir bayan işçi ile gönül

ilişkisine girmesi sonrası, davacı eşinin işyerine geldiği ve durumu

yöneticilere ilettiği, bu nedenle işyerinde olumsuzluklar yaşandığı ve bu

olumsuzlukların davacının davranışından kaynaklandığı, işverenin zor

durumda kaldığı ve işveren açısından iş ilişkisinin sürdürülmesi olanağı

kalmadığı anlaşıldığından davanın reddine karar vermek gerekli ve uygun

görülmüştür. "

22. Kişisel hesaplar üzerinden gerçekleştirilen yazışmalardan oluşan e-

postalarm fesih gerekçesi olarak gösterilmesiyle özel hayatın gizliliğinin ihlal

edildiği, buna rağmen söz konusu delil içeriklerinin Mahkemece

değerlendirildiği ve yalnızca bu hukuka aykırı deliller esas alınarak hüküm


356

kurulduğu, performans ve verimliliğe ilişkin tanık ifadelerinin dikkate

alınmadığı, özel hayat alanına yönelen haksız müdahalenin Mahkemece

benimsendiği, işe iade davalarının kabulü gerekirken şartları oluşmadığı

halde reddedildiği ileri sürülmüş ve söz konusu kararlar bozma talebiyle

başvurucuların vekilince temyiz edilmiştir.

23. Temyiz nedenlerine karşı cevap dilekçesi sunan davalı işveren vekilince,

yazışmaların Şirket tarafından çalışanlar adına açılmış e-posta hesapları

üzerinden gerçekleştirildiği, bu hesapların yalnızca iş amaçlı kullanılması

yönünde başvuruculara gerekli uyarıların yapıldığı, buna rağmen

yazışmaların içeriğinde adap ve ahlaka aykırı unsurlar içeren yazılar ve

resimler bulunduğu, lehe tanık ifadeleri ve tüm bu saptamalar dikkate

alındığında birinci başvurucu ile fesih sürecinde evli olan ikinci başvurucu

arasında duygusal bir ilişkinin bulunduğu, bu nedenlerle davacıların iş

sözleşmelerinin devamının çekilmez hale geldiği ileri sürülmüş ve söz

konusu kararların onamnası talep edilmiştir.

24. Temyiz incelemesi neticesinde delillerin takdirinde isabetsizlik

bulunmadığı gerekçesiyle birinci başvurucu açısından Yargıtay 22. Hukuk

Dairesinin 30/4/2013 tarihli ve E.2013/6232, K.2013/9082 sayılı ilamı ile;

ikinci başvurucu açısından yine Dairenin 16/5/2013 tarihli ve E.2013/9419,

K.2013/11237 sayılı ilamı ile kararlar onanarak kesinleşmiştir.

25. 30/4/2013 tarihli nihai karar 29/5/2013 tarihinde başvurucuların vekiline

tebliğ edilmiş ve 27/6/2013 tarihinde bireysel başvuru yapılmıştır.

26. 4857 sayılı Kanun'un "İşverenin haklı nedenle derhal fesih hakkı" kenar

başlıklı 25. maddesinin ilgili kısımları şöyledir:

"Süresi belirli olsun veya olmasın işveren, aşağıda yazılı hallerde iş

sözleşmesini sürenin bitiminden önce veya bildirim süresini beklemeksizin

feshedebilir:

II- Ahlak ve iyi niyet kurallarına uymayan haller ve benzerleri:


357

b) İşçinin, işveren yahut bunların aile üyelerinden birinin şeref ve namusuna

dokunacak sözler sarfetmesi veya davranışlarda bulunması, yahut işveren

hakkında şeref ve haysiyet kırıcı asılsız ihbar ve isnadlarda bulunması.

c) İşçinin işverenin başka bir işçisine cinsel tacizde bulunması.

d) İşçinin işverene yahut onun ailesi üyelerinden birine yahut işverenin başka

işçisine sataşması, işyerine sarhoş yahut uyuşturucu MADDE almış olarak

gelmesi ya da işyerinde bu maddeleri kullanması.

e) İşçinin, işverenin güvenini kötüye kullanmak, hırsızlık yapmak, işverenin

meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan

davranışlarda bulunması.

h) işçinin yapmakla ödevli bulunduğu görevleri kendisine hatırlatıldığı halde

yapmamakta ısrar etmesi.

III- Zorlayıcı sebepler:

işçiyi işyerinde bir haftadan fazla süre ile çalışmaktan alıkoyan zorlayıcı bir

sebebin ortaya çıkması.

27. Başvurucular tarafından imzalanan iş sözleşmelerinin "Özel Şartlar"

başlıklı bölümünde yer alan ilgili düzenleme şöyledir:

"13.8. Personel, işyerinde yürürlükte olan tüm Yönetmelik, İç Tüzük,

Prosedür ve talimatlara uymakla yükümlüdür.

13.23. İşyerinde uyulması gereken kurallara ilişkin iç tüzük, yönetmelik,

oryantasyon kitapçığı, hükümler ve seyahat yönetmeliği, talimatlar,

prosedürler, iş bu iş akdinin ayrılmaz eki ve parçasıdır. "

28. Şirket Temel Yönetmeliği'nin "İşyerleri içerisinde, temel ahlaki kurallara

uyulması ve yanlış anlaşılacak davranış ve ilişkilerden kaçınılması " başlıklı 20.

maddesi şöyledir:


356

kurulduğu, performans ve verimliliğe ilişkin tanık ifadelerinin dikkate

alınmadığı, özel hayat alanına yönelen haksız müdahalenin Mahkemece

benimsendiği, işe iade davalarının kabulü gerekirken şartları oluşmadığı

halde reddedildiği ileri sürülmüş ve söz konusu kararlar bozma talebiyle

başvurucuların vekilince temyiz edilmiştir.

23. Temyiz nedenlerine karşı cevap dilekçesi sunan davalı işveren vekilince,

yazışmaların Şirket tarafından çalışanlar adına açılmış e-posta hesapları

üzerinden gerçekleştirildiği, bu hesapların yalnızca iş amaçlı kullanılması

yönünde başvuruculara gerekli uyarıların yapıldığı, buna rağmen

yazışmaların içeriğinde adap ve ahlaka aykırı unsurlar içeren yazılar ve

resimler bulunduğu, lehe tanık ifadeleri ve tüm bu saptamalar dikkate

alındığında birinci başvurucu ile fesih sürecinde evli olan ikinci başvurucu

arasında duygusal bir ilişkinin bulunduğu, bu nedenlerle davacıların iş

sözleşmelerinin devamının çekilmez hale geldiği ileri sürülmüş ve söz

konusu kararların onamnası talep edilmiştir.

24. Temyiz incelemesi neticesinde delillerin takdirinde isabetsizlik

bulunmadığı gerekçesiyle birinci başvurucu açısından Yargıtay 22. Hukuk

Dairesinin 30/4/2013 tarihli ve E.2013/6232, K.2013/9082 sayılı ilamı ile;

ikinci başvurucu açısından yine Dairenin 16/5/2013 tarihli ve E.2013/9419,

K.2013/11237 sayılı ilamı ile kararlar onanarak kesinleşmiştir.

25. 30/4/2013 tarihli nihai karar 29/5/2013 tarihinde başvurucuların vekiline

tebliğ edilmiş ve 27/6/2013 tarihinde bireysel başvuru yapılmıştır.

26. 4857 sayılı Kanun'un "İşverenin haklı nedenle derhal fesih hakkı" kenar

başlıklı 25. maddesinin ilgili kısımları şöyledir:

"Süresi belirli olsun veya olmasın işveren, aşağıda yazılı hallerde iş

sözleşmesini sürenin bitiminden önce veya bildirim süresini beklemeksizin

feshedebilir:

II- Ahlak ve iyi niyet kurallarına uymayan haller ve benzerleri:


357

b) İşçinin, işveren yahut bunların aile üyelerinden birinin şeref ve namusuna

dokunacak sözler sarfetmesi veya davranışlarda bulunması, yahut işveren

hakkında şeref ve haysiyet kırıcı asılsız ihbar ve isnadlarda bulunması.

c) İşçinin işverenin başka bir işçisine cinsel tacizde bulunması.

d) İşçinin işverene yahut onun ailesi üyelerinden birine yahut işverenin başka

işçisine sataşması, işyerine sarhoş yahut uyuşturucu MADDE almış olarak

gelmesi ya da işyerinde bu maddeleri kullanması.

e) İşçinin, işverenin güvenini kötüye kullanmak, hırsızlık yapmak, işverenin

meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan

davranışlarda bulunması.

h) işçinin yapmakla ödevli bulunduğu görevleri kendisine hatırlatıldığı halde

yapmamakta ısrar etmesi.

III- Zorlayıcı sebepler:

işçiyi işyerinde bir haftadan fazla süre ile çalışmaktan alıkoyan zorlayıcı bir

sebebin ortaya çıkması.

27. Başvurucular tarafından imzalanan iş sözleşmelerinin "Özel Şartlar"

başlıklı bölümünde yer alan ilgili düzenleme şöyledir:

"13.8. Personel, işyerinde yürürlükte olan tüm Yönetmelik, İç Tüzük,

Prosedür ve talimatlara uymakla yükümlüdür.

13.23. İşyerinde uyulması gereken kurallara ilişkin iç tüzük, yönetmelik,

oryantasyon kitapçığı, hükümler ve seyahat yönetmeliği, talimatlar,

prosedürler, iş bu iş akdinin ayrılmaz eki ve parçasıdır. "

28. Şirket Temel Yönetmeliği'nin "İşyerleri içerisinde, temel ahlaki kurallara

uyulması ve yanlış anlaşılacak davranış ve ilişkilerden kaçınılması " başlıklı 20.

maddesi şöyledir:


358

"Eşit veya ast/üst pozisyonlarda çalışan personel, hem eşitleri hem de üst

veya astları ile karşılıklı saygıya dayanan mesafeli ve profesyonel bir ilişki

kurmalı, özel yaşamlarını, birbirlerine açacak kadar samimi olmaktan

kaçınılmalı, özel dostluklarını tercihen şirket dışındaki arkadaşları ile

oluşturmalı. (Eşitler veya ast/üst arasındaki aşırı samimiyet, duygusallığı öne

çıkarıp, profesyonellikten uzaklaştıracağı için günlük iş ilişkilerinde,

performans değerlendirmede ve ileride oluşabilecek terfi sonrası otorite

kurmada, zaaflara neden olabilecektir.) "

29. Başvurucular tarafından imzalanan Bilgi Güvenliği Taahhütnamesinin

ilgili kısımları şöyledir:

"Çalışanı olduğum Şirketin faaliyetleri kapsamında;

2. Şirket tarafından şahsıma iş için tahsis edilmiş olan bilgisayar, e-posta,

internet kullanımı, telefon, USB memory, CD-writer, iletişim programı ve

diğer IT kaynaklarını ve iletişim araçlarını zaruri ihtiyaçları aşan ölçüde kişisel

amaçlı, kabul edilemez maksatlı (örn: yasal olmayan kopyalama, iş yürütme,

iş araştırma, izinsiz yazılım kurulumu, kullanımı v.b.), eğlence niyetli(örn:

çevrimiçi topluluklara, sohbet odalarına, forumlara katılım, toplu e-mail

gönderimi, müzik sitelerine giriş v.b.), genel ahlaka, örf ve adetlere aykırı

şekilde (örn: cinsel içerikli materyallere erişim, taciz, kumar, bahis amaçlı)

kullanmayacağımı,

6. Yetkili şirket yöneticileri tarafından şahsıma herhangi bir haber

verilmeksizin ve uyarıda bulunulmaksızın; kullandığım IT ve iletişim

kaynaklarının her zaman takip altında tutulabileceğini, yaptığım yazışmaların

ve iletişim kayıtlarının yedeklenebileceğini, raporlanabileceğini, gerekli

durumlarda detay bazlı incelenebileceğini, el konulabileceğini ve kullanım

sınırlaması getirilebileceğini,

... kabul ve taahhüt ediyorum. ... iş bu taahhütname tarafımdan okunarak

imzalanmıştır. "


359

IV. İNCELEME VE GEREKÇE

30. Mahkemenin 24/3/2016 tarihinde yapmış olduğu toplantıda başvuru

incelenip gereği düşünüldü:

A. Başvurucunun İddiaları

31. Başvurucular; kişisel e-posta hesaplan üzerinden gerçekleştirdikleri

yazışmaların içeriklerine işveren tarafından nzaları olmaksızın ulaşıldığını, bu

içerikler dikkate alınarak devamının çekilmez hale geldiği gerekçesiyle iş

sözleşmelerinin feshedildiğini, açtıkları işe iade istemli tespit davasında söz

konusu yazışmaların delil olarak kabul edildiğini, elde ediliş biçimleri dikkate

alınmaksızın e-posta içeriklerini inceleyip değerlendiren Mahkemece feshin

hukuka uygun olduğuna karar verildiğini, ikinci başvurucunun eski eşinin

tanık sıfatıyla Mahkeme huzurunda dinlenmesi ile söz konusu davanın özel

hayatlarının detayları üzerinden devam eden bir davaya büründüğünü,

Mahkeme tarafından özel hayatlarına ilişkin yazışmaların bu şekilde

alenileştirildiğini, üçüncü kişiler tarafından özel hayat alanlarına yapılan

haksız müdahale karşısında Mahkemece bir korunma sağlanmadığını ve dava

sürecinde dile getirdikleri düşüncelerin sorgulandığını belirterek Anayasa'nın

20., 22. ve 25. maddelerinde tanımlanan haklarının ihlal edildiğini iddia

etmişlerdir.

32. Anayasa Mahkemesi, olayların başvurucu tarafından yapılan hukuki

nitelendirmesi ile bağlı olmayıp olay ve olguların hukuki tavsifini kendisi

takdir eder (Tahir Catian,B.No: 2012/969, 18/9/2013, § 16).

33. Bakanlık görüş yazısında, delillerin takdirine ilişkin şikayetlerin

yargılamanın adil olup olmadığının değerlendirilmesinden ibaret olduğu, bu

nedenle adil yargılanma hakkı bağlamında incelenmesi gerektiği, buna ilişkin

görüşlerin benzer nitelikteki şikayetlerin bulunduğu başvurularda sunulduğu

belirtilmiştir. Ayrıca davalı işverenin davranışları yönünden yapılan

değerlendirmede, davalı Şirket aleyhine tazminat davası açılabileceği ve ilgili


358

"Eşit veya ast/üst pozisyonlarda çalışan personel, hem eşitleri hem de üst

veya astları ile karşılıklı saygıya dayanan mesafeli ve profesyonel bir ilişki

kurmalı, özel yaşamlarını, birbirlerine açacak kadar samimi olmaktan

kaçınılmalı, özel dostluklarını tercihen şirket dışındaki arkadaşları ile

oluşturmalı. (Eşitler veya ast/üst arasındaki aşırı samimiyet, duygusallığı öne

çıkarıp, profesyonellikten uzaklaştıracağı için günlük iş ilişkilerinde,

performans değerlendirmede ve ileride oluşabilecek terfi sonrası otorite

kurmada, zaaflara neden olabilecektir.) "

29. Başvurucular tarafından imzalanan Bilgi Güvenliği Taahhütnamesinin

ilgili kısımları şöyledir:

"Çalışanı olduğum Şirketin faaliyetleri kapsamında;

2. Şirket tarafından şahsıma iş için tahsis edilmiş olan bilgisayar, e-posta,

internet kullanımı, telefon, USB memory, CD-writer, iletişim programı ve

diğer IT kaynaklarını ve iletişim araçlarını zaruri ihtiyaçları aşan ölçüde kişisel

amaçlı, kabul edilemez maksatlı (örn: yasal olmayan kopyalama, iş yürütme,

iş araştırma, izinsiz yazılım kurulumu, kullanımı v.b.), eğlence niyetli(örn:

çevrimiçi topluluklara, sohbet odalarına, forumlara katılım, toplu e-mail

gönderimi, müzik sitelerine giriş v.b.), genel ahlaka, örf ve adetlere aykırı

şekilde (örn: cinsel içerikli materyallere erişim, taciz, kumar, bahis amaçlı)

kullanmayacağımı,

6. Yetkili şirket yöneticileri tarafından şahsıma herhangi bir haber

verilmeksizin ve uyarıda bulunulmaksızın; kullandığım IT ve iletişim

kaynaklarının her zaman takip altında tutulabileceğini, yaptığım yazışmaların

ve iletişim kayıtlarının yedeklenebileceğini, raporlanabileceğini, gerekli

durumlarda detay bazlı incelenebileceğini, el konulabileceğini ve kullanım

sınırlaması getirilebileceğini,

... kabul ve taahhüt ediyorum. ... iş bu taahhütname tarafımdan okunarak

imzalanmıştır. "


359

IV. İNCELEME VE GEREKÇE

30. Mahkemenin 24/3/2016 tarihinde yapmış olduğu toplantıda başvuru

incelenip gereği düşünüldü:

A. Başvurucunun İddiaları

31. Başvurucular; kişisel e-posta hesaplan üzerinden gerçekleştirdikleri

yazışmaların içeriklerine işveren tarafından nzaları olmaksızın ulaşıldığını, bu

içerikler dikkate alınarak devamının çekilmez hale geldiği gerekçesiyle iş

sözleşmelerinin feshedildiğini, açtıkları işe iade istemli tespit davasında söz

konusu yazışmaların delil olarak kabul edildiğini, elde ediliş biçimleri dikkate

alınmaksızın e-posta içeriklerini inceleyip değerlendiren Mahkemece feshin

hukuka uygun olduğuna karar verildiğini, ikinci başvurucunun eski eşinin

tanık sıfatıyla Mahkeme huzurunda dinlenmesi ile söz konusu davanın özel

hayatlarının detayları üzerinden devam eden bir davaya büründüğünü,

Mahkeme tarafından özel hayatlarına ilişkin yazışmaların bu şekilde

alenileştirildiğini, üçüncü kişiler tarafından özel hayat alanlarına yapılan

haksız müdahale karşısında Mahkemece bir korunma sağlanmadığını ve dava

sürecinde dile getirdikleri düşüncelerin sorgulandığını belirterek Anayasa'nın

20., 22. ve 25. maddelerinde tanımlanan haklarının ihlal edildiğini iddia

etmişlerdir.

32. Anayasa Mahkemesi, olayların başvurucu tarafından yapılan hukuki

nitelendirmesi ile bağlı olmayıp olay ve olguların hukuki tavsifini kendisi

takdir eder (Tahir Catian,B.No: 2012/969, 18/9/2013, § 16).

33. Bakanlık görüş yazısında, delillerin takdirine ilişkin şikayetlerin

yargılamanın adil olup olmadığının değerlendirilmesinden ibaret olduğu, bu

nedenle adil yargılanma hakkı bağlamında incelenmesi gerektiği, buna ilişkin

görüşlerin benzer nitelikteki şikayetlerin bulunduğu başvurularda sunulduğu

belirtilmiştir. Ayrıca davalı işverenin davranışları yönünden yapılan

değerlendirmede, davalı Şirket aleyhine tazminat davası açılabileceği ve ilgili


360

kişiler hakkında suç duyurusunda bulunulabileceği dikkate alınarak başvuru

yollarının tüketilip tüketilmediği açısından inceleme yapılması gerektiği, özel

yazışmaların davalarda kullanılması yönünden yapılan değerlendirmede ise

özel hayatın kapsamı ile fesih işlemi arasındaki ilişkinin incelenmesi ve özel

hayata saygı hakkının kamusal makamlara tedbirler alma yükümlülüğü

yükleyip yüklemediği açısından inceleme yapılması gerektiği ifade edilmiş;

Avrupa insan Hakları Mahkemesi (AİHM) önüne benzer ihlal iddialarıyla

yansıyan dava ve karar örneklerine yer verilmiştir.

34. Başvurucular tarafından Bakanlık görüşüne karşı verilen beyanda, ihlal

iddialarının yargılamanın adil olup olmadığı hususuna değil, özel hayata

saygı hakkına ve haberleşmenin gizliliğine ilişkin olduğu belirtilmiş ve

başvuru dilekçelerindeki görüş ve talepler tekrar edilmiştir.

35. Söz konusu iddiaların özünün, başvurucuların özel hayat alanlarına

üçüncü kişilerin yaptığı müdahalelere karşı Mahkemeler tarafından bir

koruma sağlanmaması ve kişisel yazışmaların Mahkemelerce delil olarak

kabul edilip alenileştirilmesi hususunda olduğu anlaşıldığından incelemenin

delillerin değerlendirilmesinin adil olup olmadığı yönünden değil, iddiaların

özüne uygun olarak özel hayata saygı hakkı ile haberleşmenin gizliliği hakkı

yönünden yapılması gerektiği değerlendirilmiştir.

1. Kabul Edilebilirlik Yönünden

36. Başvurucular tarafından açılan işe iade davalarının gerekçesi, iş

sözleşmelerinin feshedilmesine dayanak olarak gösterilen kurumsal e-posta

hesaplarının incelenmesiyle elde edilen yazışmalar nedeniyle özel hayata

saygı hakkı ile haberleşme hürriyetlerinin ihlal edilmesi, bunun da fesih

işlemlerini hükümsüz kılmasıdır. Dolayısıyla haberleşmelerin denetlenmesi

şeklindeki işverenin müdahalesine ilişkin şikayetlerin Derece Mahkemeleri

önünde dile getirildiği sonucuna ulaşılmaktadır.


361

37. Açıkça dayanaktan yoksun olmadığı ve kabul edilemezliğine karar

verilmesini gerektirecek başka bir neden de bulunmadığı anlaşılan özel

hayata saygı hakkı ile haberleşmenin gizliliği hakkının ihlal edildiğine ilişkin

iddianın kabul edilebilir olduğuna karar verilmesi gerekir.

2. Esas Yönünden

38. Başvurucular esas olarak üçüncü kişilerin müdahalesi karşısında özel

hayat alanlarının Mahkemelerce korunmadığını ve kişisel yazışmalarının

Mahkemelerce delil olarak kabul edilip alenileştirildiğini, bu nedenle

Anayasa'nın 20. ve 22. maddelerinde tanımlanan haklarının ihlal edildiğini

ileri sürmüşlerdir.

39. Anayasa'nın 148. maddesinin üçüncü fıkrası ile 6216 sayılı Kanun'un 45.

maddesinin(1) numaralı fıkrası hükümlerine göre Anayasa Mahkemesine

yapılan bir bireysel başvurunun esasının incelenebilmesi için kamu gücü

tarafından müdahale edildiği iddia edilen hakkın, Anayasa'da güvence altına

alınmış olmasının yanı sıra Sözleşme ve Türkiye'nin taraf olduğu ek

protokollerinin kapsamına girmesi gerekir. Bir başka ifadeyle Anayasa ve

Sözleşme'nin ortak koruma alanı dışında kalan bir hak ihlali iddiasını içeren

başvurunun kabul edilebilir olduğuna karar verilmesi mümkün değildir

(ıOnurhan Solmaz, B. No: 2012/1049, 26/3/2013, § 18).

40. Anayasa'nm "Özel hayatın gizliliği" kenar başlıklı 20. maddesinin birinci

fıkrası şöyledir:

"Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına

sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz."

41. Anayasa'nın "Haberleşme hürriyeti " kenar başlıklı 22. maddesi şöyledir:

"Herkes, haberleşme hürriyetine sahiptir. Haberleşmenin gizliliği esastır.

Milli güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve

genel ahlakın korunması veya başkalarının hak ve özgürlüklerinin korunması


360

kişiler hakkında suç duyurusunda bulunulabileceği dikkate alınarak başvuru

yollarının tüketilip tüketilmediği açısından inceleme yapılması gerektiği, özel

yazışmaların davalarda kullanılması yönünden yapılan değerlendirmede ise

özel hayatın kapsamı ile fesih işlemi arasındaki ilişkinin incelenmesi ve özel

hayata saygı hakkının kamusal makamlara tedbirler alma yükümlülüğü

yükleyip yüklemediği açısından inceleme yapılması gerektiği ifade edilmiş;

Avrupa insan Hakları Mahkemesi (AİHM) önüne benzer ihlal iddialarıyla

yansıyan dava ve karar örneklerine yer verilmiştir.

34. Başvurucular tarafından Bakanlık görüşüne karşı verilen beyanda, ihlal

iddialarının yargılamanın adil olup olmadığı hususuna değil, özel hayata

saygı hakkına ve haberleşmenin gizliliğine ilişkin olduğu belirtilmiş ve

başvuru dilekçelerindeki görüş ve talepler tekrar edilmiştir.

35. Söz konusu iddiaların özünün, başvurucuların özel hayat alanlarına

üçüncü kişilerin yaptığı müdahalelere karşı Mahkemeler tarafından bir

koruma sağlanmaması ve kişisel yazışmaların Mahkemelerce delil olarak

kabul edilip alenileştirilmesi hususunda olduğu anlaşıldığından incelemenin

delillerin değerlendirilmesinin adil olup olmadığı yönünden değil, iddiaların

özüne uygun olarak özel hayata saygı hakkı ile haberleşmenin gizliliği hakkı

yönünden yapılması gerektiği değerlendirilmiştir.

1. Kabul Edilebilirlik Yönünden

36. Başvurucular tarafından açılan işe iade davalarının gerekçesi, iş

sözleşmelerinin feshedilmesine dayanak olarak gösterilen kurumsal e-posta

hesaplarının incelenmesiyle elde edilen yazışmalar nedeniyle özel hayata

saygı hakkı ile haberleşme hürriyetlerinin ihlal edilmesi, bunun da fesih

işlemlerini hükümsüz kılmasıdır. Dolayısıyla haberleşmelerin denetlenmesi

şeklindeki işverenin müdahalesine ilişkin şikayetlerin Derece Mahkemeleri

önünde dile getirildiği sonucuna ulaşılmaktadır.


361

37. Açıkça dayanaktan yoksun olmadığı ve kabul edilemezliğine karar

verilmesini gerektirecek başka bir neden de bulunmadığı anlaşılan özel

hayata saygı hakkı ile haberleşmenin gizliliği hakkının ihlal edildiğine ilişkin

iddianın kabul edilebilir olduğuna karar verilmesi gerekir.

2. Esas Yönünden

38. Başvurucular esas olarak üçüncü kişilerin müdahalesi karşısında özel

hayat alanlarının Mahkemelerce korunmadığını ve kişisel yazışmalarının

Mahkemelerce delil olarak kabul edilip alenileştirildiğini, bu nedenle

Anayasa'nın 20. ve 22. maddelerinde tanımlanan haklarının ihlal edildiğini

ileri sürmüşlerdir.

39. Anayasa'nın 148. maddesinin üçüncü fıkrası ile 6216 sayılı Kanun'un 45.

maddesinin(1) numaralı fıkrası hükümlerine göre Anayasa Mahkemesine

yapılan bir bireysel başvurunun esasının incelenebilmesi için kamu gücü

tarafından müdahale edildiği iddia edilen hakkın, Anayasa'da güvence altına

alınmış olmasının yanı sıra Sözleşme ve Türkiye'nin taraf olduğu ek

protokollerinin kapsamına girmesi gerekir. Bir başka ifadeyle Anayasa ve

Sözleşme'nin ortak koruma alanı dışında kalan bir hak ihlali iddiasını içeren

başvurunun kabul edilebilir olduğuna karar verilmesi mümkün değildir

(ıOnurhan Solmaz, B. No: 2012/1049, 26/3/2013, § 18).

40. Anayasa'nm "Özel hayatın gizliliği" kenar başlıklı 20. maddesinin birinci

fıkrası şöyledir:

"Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına

sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz."

41. Anayasa'nın "Haberleşme hürriyeti " kenar başlıklı 22. maddesi şöyledir:

"Herkes, haberleşme hürriyetine sahiptir. Haberleşmenin gizliliği esastır.

Milli güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve

genel ahlakın korunması veya başkalarının hak ve özgürlüklerinin korunması


362

sebeplerinden biri veya birkaçına bağlı olarak usulüne göre verilmiş hakim

kararı olmadıkça; yine bu sebeplere bağlı olarak gecikmesinde sakınca

bulunan hallerde de kanunla yetkili kılınmış merciin yazılı emri

bulunmadıkça; haberleşme engellenemez ve gizliliğine dokunulamaz. Yetkili

merciin kararı yirmi dört saat içinde görevli hakimin onayına sunulur. Hakim,

kararını kırk sekiz saat içinde açıklar; aksi halde, karar kendiliğinden kalkar.

İstisnaların uygulanacağı kamu kurum ve kuruluşları kanunda belirtilir."

42. Sözleşme'nin "Özel ve aile hayatına saygı hakkı" kenar başlıklı 8. maddesi

şöyledir:

"(1) Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi

hakkına sahiptir.

(2) Bu hakkın kullanılmasına bir kamu makamının müdahalesi, ancak





konusu olabilir."

43. Özel hayata saygı hakkı Anayasa'nın 20. maddesinde koruma altına

alınmıştır. Devlet, kişilerin özel ve aile hayatına keyfi olarak müdahale

etmemek ve üçüncü kişilerin haksız saldırılarını önlemekle yükümlüdür. Özel

hayat geniş bir kavram olup bu kavramın kapsayıcı bir tanımının yapılması

oldukça zordur. Bununla beraber bu kavram; kişinin maddi ve manevi

bütünlüğü, fiziksel ve sosyal kimliği, bireyin ismi, cinsel yönelimi, cinsel

yaşamı gibi unsurları korumaktadır. Kişisel bilgiler ve veriler, kişisel gelişim,

aile hayatı vb. konular da bu hakkın içinde yer almaktadır {Bülent Polat [GK],

B. No: 2013/7666, 10/12/2015, § 61). Ayrıca Anayasa'nın 20. ve 22.

maddelerinde yer alan güvencelerin amacı gözetildiğinde somut olayda

olduğu gibi iş yerlerinden gerçekleştirilen kişisel telefon görüşmelerinin ve


363

internet kullanımının izlenmesiyle elde edilmiş veriler de benzer şekilde bu

hak kapsamında İncelenmektedir (Benzer yöndeki AİHM kararı için bkz.

Barbulescu/Romanya, B. No: 61496/08, 12/1/2016, §36).

44. Özel hayat kavramı, özel bir sosyal hayat sürdürmeyi yani kişinin sosyal

kimliğini geliştirme hakkı anlamında bir "özel hayatı" güvence altına

almaktadır. Bu yönü ile birlikte değerlendirildiğinde bahsi geçen hak, ilişki

kurmak ve geliştirmek üzere çevresinde bulunanlarla temas kurma hakkını

da içermektedir. AİHM içtihatlarında da mesleki hayat çerçevesinde

yürütülen faaliyetlerin "özel hayat" kavramı dışında tutulamayacağı

belirtilmektedir. Mesleki hayata getirilen sınırlamalar, bireyin sosyal kimliğini

yakınlarında bulunan insanlarla olan ilişkilerini geliştirme şeklinde yansıttığı

ölçüde Sözleşme'nin 8. maddesi kapsamına girebilmektedir. Bu noktada

belirtmek gerekir ki insanların büyük çoğunluğu, dış dünya ile olan ilişkilerini

geliştirme olanaklarını daha çok mesleki hayatları çerçevesinde yürüttükleri

faaliyet kapsamında elde etmektedir {Bülent Polat, § 62; Özpınar/Türkiye, B.

No: 20999/04, 19/10/2010, §45; Niemietz/Almanya, No: 13710/88,

16/12/1992, § 29).

a. Genel İlkeler

45. Anayasa ve Sözleşme'nin ortak koruma alanı kapsamında kalan temel

haklar, yalnızca kamusal gücün doğrudan uygulanmasıyla değil; kimi

zamanda özel hukuk kişileri arasındaki uyuşmazlıklara konu olacak şekilde

üçüncü kişilerin müdahaleleriyle zedelenebilmektedir. İlkinde söz konusu

güvencelerin sağlanması adına kamusal makamlara yüklenen negatif ve

pozitif tüm yükümlülüklerin doğrudan yerine getirilmesi konusunda

tereddüt bulunmamakta ise de ikinci durumda devletin üçüncü kişilerin

müdahalelerine karşı bireylere ne tür bir koruma imkanı sunması gerektiği ve

hangi çerçevede yükümlülükler taşıdığı hususunda her olayın kendine özgü

koşullarına göre değerlendirmelerde bulunulması gerekmektedir.


362

sebeplerinden biri veya birkaçına bağlı olarak usulüne göre verilmiş hakim

kararı olmadıkça; yine bu sebeplere bağlı olarak gecikmesinde sakınca

bulunan hallerde de kanunla yetkili kılınmış merciin yazılı emri

bulunmadıkça; haberleşme engellenemez ve gizliliğine dokunulamaz. Yetkili

merciin kararı yirmi dört saat içinde görevli hakimin onayına sunulur. Hakim,

kararını kırk sekiz saat içinde açıklar; aksi halde, karar kendiliğinden kalkar.

İstisnaların uygulanacağı kamu kurum ve kuruluşları kanunda belirtilir."

42. Sözleşme'nin "Özel ve aile hayatına saygı hakkı" kenar başlıklı 8. maddesi

şöyledir:

"(1) Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi

hakkına sahiptir.

(2) Bu hakkın kullanılmasına bir kamu makamının müdahalesi, ancak





konusu olabilir."

43. Özel hayata saygı hakkı Anayasa'nın 20. maddesinde koruma altına

alınmıştır. Devlet, kişilerin özel ve aile hayatına keyfi olarak müdahale

etmemek ve üçüncü kişilerin haksız saldırılarını önlemekle yükümlüdür. Özel

hayat geniş bir kavram olup bu kavramın kapsayıcı bir tanımının yapılması

oldukça zordur. Bununla beraber bu kavram; kişinin maddi ve manevi

bütünlüğü, fiziksel ve sosyal kimliği, bireyin ismi, cinsel yönelimi, cinsel

yaşamı gibi unsurları korumaktadır. Kişisel bilgiler ve veriler, kişisel gelişim,

aile hayatı vb. konular da bu hakkın içinde yer almaktadır {Bülent Polat [GK],

B. No: 2013/7666, 10/12/2015, § 61). Ayrıca Anayasa'nın 20. ve 22.

maddelerinde yer alan güvencelerin amacı gözetildiğinde somut olayda

olduğu gibi iş yerlerinden gerçekleştirilen kişisel telefon görüşmelerinin ve


363

internet kullanımının izlenmesiyle elde edilmiş veriler de benzer şekilde bu

hak kapsamında İncelenmektedir (Benzer yöndeki AİHM kararı için bkz.

Barbulescu/Romanya, B. No: 61496/08, 12/1/2016, §36).

44. Özel hayat kavramı, özel bir sosyal hayat sürdürmeyi yani kişinin sosyal

kimliğini geliştirme hakkı anlamında bir "özel hayatı" güvence altına

almaktadır. Bu yönü ile birlikte değerlendirildiğinde bahsi geçen hak, ilişki

kurmak ve geliştirmek üzere çevresinde bulunanlarla temas kurma hakkını

da içermektedir. AİHM içtihatlarında da mesleki hayat çerçevesinde

yürütülen faaliyetlerin "özel hayat" kavramı dışında tutulamayacağı

belirtilmektedir. Mesleki hayata getirilen sınırlamalar, bireyin sosyal kimliğini

yakınlarında bulunan insanlarla olan ilişkilerini geliştirme şeklinde yansıttığı

ölçüde Sözleşme'nin 8. maddesi kapsamına girebilmektedir. Bu noktada

belirtmek gerekir ki insanların büyük çoğunluğu, dış dünya ile olan ilişkilerini

geliştirme olanaklarını daha çok mesleki hayatları çerçevesinde yürüttükleri

faaliyet kapsamında elde etmektedir {Bülent Polat, § 62; Özpınar/Türkiye, B.

No: 20999/04, 19/10/2010, §45; Niemietz/Almanya, No: 13710/88,

16/12/1992, § 29).

a. Genel İlkeler

45. Anayasa ve Sözleşme'nin ortak koruma alanı kapsamında kalan temel

haklar, yalnızca kamusal gücün doğrudan uygulanmasıyla değil; kimi

zamanda özel hukuk kişileri arasındaki uyuşmazlıklara konu olacak şekilde

üçüncü kişilerin müdahaleleriyle zedelenebilmektedir. İlkinde söz konusu

güvencelerin sağlanması adına kamusal makamlara yüklenen negatif ve

pozitif tüm yükümlülüklerin doğrudan yerine getirilmesi konusunda

tereddüt bulunmamakta ise de ikinci durumda devletin üçüncü kişilerin

müdahalelerine karşı bireylere ne tür bir koruma imkanı sunması gerektiği ve

hangi çerçevede yükümlülükler taşıdığı hususunda her olayın kendine özgü

koşullarına göre değerlendirmelerde bulunulması gerekmektedir.


364

46. Anayasa'nm 11. maddesine göre Anayasa hükümleri; yasama, yürütme ve

yargı organları ile idare makamlarının yanı sıra diğer kuruluş ve kişileri de

bağlayan temel hukuk kurallarıdır. Buna göre Anayasa'da tanınan hak ve

özgürlükler tüm bireyler bakımından güvence altındadır. Yine Anayasa'mn 5.

maddesinde sayılan devletin temel amaç ve görevlerinin kapsamı ile temel

hak ve hürriyetlerin niteliklerine yönelik Anayasa'nm 12. maddesinde yer

alan vurgu da bu koruma alanını pekiştirmektedir. Söz konusu hak ve

özgürlüklerin etkili şekilde korunması amacıyla özel hukuk kişileri arasındaki

uyuşmazlıklardan dahi kaynaklansa kamusal makamlar belirli durumlarda

pozitif yükümlülükler altına girebilir. Uyuşmazlıkların özel hukuk kişileri

arasında gerçekleştiği durumlarda temel hak ve özgürlüklerin sağladığı

güvencelerin yerine getirilip getirilmediği denetlenirken Anayasa'nm

kamusal makamlara yüklediği sorumluluklardan doğrudan özel hukuk kişileri

sorumlu tutulamayacağından taşıdığı koşulların özelliklerine göre bu tür

başvuruların devletin pozitif yükümlülükleri bağlamında ele alınması

gerekebilir {Barbulescu/Romanya, § 53).

47. Bu yükümlülükler özel hukuk kişilerinin birbirleri ile olan

uyuşmazlıklarının çözümüne ilişkin yasal alt yapının oluşturulmasını, söz

konusu uyuşmazlıkların adil yargılama gereklerine uygun ve usul yönünden

güvenceleri haiz bir yargılama kapsamında incelenmesini ve bu

yargılamalarda temel haklara ilişkin anayasal güvencelerin gözetilip

gözetilmediğinin denetlenmesini gerektirir. Bu gereklilikler üçüncü kişilerin,

bireylerin hak ve özgürlüklerine yaptığı haksız müdahalelere karşı kamusal

makamlar tarafından müsamaha gösterilmemesi zorunluluğundan

kaynaklanır. Zira derece mahkemeleri, özel hukuk ilişkisi kapsamındaki

uyuşmazlıkların çözümlenmesinde bağlayıcı kararlar vererek güvencelerin

korunup konulmamasında rol almaktadır. Bu noktada uyuşmazlıkların

yargısal makamlar önüne taşınması ve hakkaniyete uygun bir yargılama


365

yapılarak çözümlenmesi, kamusal makamların pozitif yükümlülüklerinin bir

parçasını oluşturur.

48. AİHM de devletin doğrudan müdahalesinden kaynaklanmasa da bu tür

uyuşmazlıklarla ilgili olarak devletlerin sorumluluğunun devam

edebileceğini, kamusal makamlardan gelebilecek keyfi uygulamalardan

başka Sözleşme'deki haklara etkili şekilde koruma sağlanabilmesi için özel

hukuk kişileri arasındaki ilişkilerde de makul ve uygun önlemler almak

suretiyle devletlerin müdahale etme yükümlülüğü taşıyabileceğini ifade

etmektedir (Sorensetı ve Rasmussen/Danimarka [BD], B. No: 52562/99,

52620/99, 11/1/2006, § 57; Palomo Sanchez ve diğerleri/İspanya [BD], B. No:

28955/06,..., 12/9/2011, § 59).

49. Başvuru konusu olayda olduğu gibi kamu gücünü kullanan aktörler

dışında kalan kişiler arasındaki özel hukuk ilişkilerinde kamusal makamların

yükümlülükleri; bireylerin temel hak ve özgürlüklerine, bu başvuru açısından

özel hayata saygı hakkı ile haberleşmenin gizliliği hakkına üçüncü kişilerin

müdahalesinin önlenmesi için gerekli önlemlerin alınması ve mahkemelerce

korunma sağlanmasıdır. Kamusal makamlarca gerekli yapısal önlemler

alınmış olunsa da uyuşmazlık konusu davayı yürüten mahkemelerce verilen

kararlarda üçüncü kişilerin müdahalelerine karşı bireylere korunma imkanı

sağlanmadığı durumlarda bu yükümlülükler gereği gibi yerine getirilmemiş

olacaktır. Bu, kamusal makam olan mahkemeler aracılığıyla bireylerin hak ve

özgürlüklerinin korunmasız bırakıldığı anlamına gelecektir.

50. Bu doğrultuda, özel hukuk iş ilişkisi kapsamında çalışan bireylerin

Anayasa ile güvence altına alman haklarına yönelik müdahale iddiası içeren

uyuşmazlıklarının karara bağlandığı davalarda derece mahkemelerince söz

konusu güvenceler göz ardı edilmemeli, işveren ve çalışanlar arasındaki

çatışan çıkarlar adil biçimde dengelenmeli, başvuruculara tahsis edilmiş

kurumsal e-posta hesaplarının incelenmesi şeklindeki müdahalenin


364

46. Anayasa'nm 11. maddesine göre Anayasa hükümleri; yasama, yürütme ve

yargı organları ile idare makamlarının yanı sıra diğer kuruluş ve kişileri de

bağlayan temel hukuk kurallarıdır. Buna göre Anayasa'da tanınan hak ve

özgürlükler tüm bireyler bakımından güvence altındadır. Yine Anayasa'mn 5.

maddesinde sayılan devletin temel amaç ve görevlerinin kapsamı ile temel

hak ve hürriyetlerin niteliklerine yönelik Anayasa'nm 12. maddesinde yer

alan vurgu da bu koruma alanını pekiştirmektedir. Söz konusu hak ve

özgürlüklerin etkili şekilde korunması amacıyla özel hukuk kişileri arasındaki

uyuşmazlıklardan dahi kaynaklansa kamusal makamlar belirli durumlarda

pozitif yükümlülükler altına girebilir. Uyuşmazlıkların özel hukuk kişileri

arasında gerçekleştiği durumlarda temel hak ve özgürlüklerin sağladığı

güvencelerin yerine getirilip getirilmediği denetlenirken Anayasa'nm

kamusal makamlara yüklediği sorumluluklardan doğrudan özel hukuk kişileri

sorumlu tutulamayacağından taşıdığı koşulların özelliklerine göre bu tür

başvuruların devletin pozitif yükümlülükleri bağlamında ele alınması

gerekebilir {Barbulescu/Romanya, § 53).

47. Bu yükümlülükler özel hukuk kişilerinin birbirleri ile olan

uyuşmazlıklarının çözümüne ilişkin yasal alt yapının oluşturulmasını, söz

konusu uyuşmazlıkların adil yargılama gereklerine uygun ve usul yönünden

güvenceleri haiz bir yargılama kapsamında incelenmesini ve bu

yargılamalarda temel haklara ilişkin anayasal güvencelerin gözetilip

gözetilmediğinin denetlenmesini gerektirir. Bu gereklilikler üçüncü kişilerin,

bireylerin hak ve özgürlüklerine yaptığı haksız müdahalelere karşı kamusal

makamlar tarafından müsamaha gösterilmemesi zorunluluğundan

kaynaklanır. Zira derece mahkemeleri, özel hukuk ilişkisi kapsamındaki

uyuşmazlıkların çözümlenmesinde bağlayıcı kararlar vererek güvencelerin

korunup konulmamasında rol almaktadır. Bu noktada uyuşmazlıkların

yargısal makamlar önüne taşınması ve hakkaniyete uygun bir yargılama


365

yapılarak çözümlenmesi, kamusal makamların pozitif yükümlülüklerinin bir

parçasını oluşturur.

48. AİHM de devletin doğrudan müdahalesinden kaynaklanmasa da bu tür

uyuşmazlıklarla ilgili olarak devletlerin sorumluluğunun devam

edebileceğini, kamusal makamlardan gelebilecek keyfi uygulamalardan

başka Sözleşme'deki haklara etkili şekilde koruma sağlanabilmesi için özel

hukuk kişileri arasındaki ilişkilerde de makul ve uygun önlemler almak

suretiyle devletlerin müdahale etme yükümlülüğü taşıyabileceğini ifade

etmektedir (Sorensetı ve Rasmussen/Danimarka [BD], B. No: 52562/99,

52620/99, 11/1/2006, § 57; Palomo Sanchez ve diğerleri/İspanya [BD], B. No:

28955/06,..., 12/9/2011, § 59).

49. Başvuru konusu olayda olduğu gibi kamu gücünü kullanan aktörler

dışında kalan kişiler arasındaki özel hukuk ilişkilerinde kamusal makamların

yükümlülükleri; bireylerin temel hak ve özgürlüklerine, bu başvuru açısından

özel hayata saygı hakkı ile haberleşmenin gizliliği hakkına üçüncü kişilerin

müdahalesinin önlenmesi için gerekli önlemlerin alınması ve mahkemelerce

korunma sağlanmasıdır. Kamusal makamlarca gerekli yapısal önlemler

alınmış olunsa da uyuşmazlık konusu davayı yürüten mahkemelerce verilen

kararlarda üçüncü kişilerin müdahalelerine karşı bireylere korunma imkanı

sağlanmadığı durumlarda bu yükümlülükler gereği gibi yerine getirilmemiş

olacaktır. Bu, kamusal makam olan mahkemeler aracılığıyla bireylerin hak ve

özgürlüklerinin korunmasız bırakıldığı anlamına gelecektir.

50. Bu doğrultuda, özel hukuk iş ilişkisi kapsamında çalışan bireylerin

Anayasa ile güvence altına alman haklarına yönelik müdahale iddiası içeren

uyuşmazlıklarının karara bağlandığı davalarda derece mahkemelerince söz

konusu güvenceler göz ardı edilmemeli, işveren ve çalışanlar arasındaki

çatışan çıkarlar adil biçimde dengelenmeli, başvuruculara tahsis edilmiş

kurumsal e-posta hesaplarının incelenmesi şeklindeki müdahalenin


366

işverenin meşru amacıyla ölçülü olup olmadığı değerlendirilmeli ve ulaşılan

sonuç hakkında hüküm kurulurken ilgili ve yeterli gerekçeler sunulmalıdır.

51. Derece mahkemeleri tarafından tarafların çıkarları dengelenirken ve

müdahalenin ölçülülüğü irdelenirken iş sözleşmelerinde kısıtlayıcı ve

zorlayıcı düzenlemelerin ne şekilde belirlendiği, tarafların bu düzenlemeler

hakkında bilgilendirilip bilgilendirilmediği, çalışanların temel haklarına

yönelik müdahalede bulunulmasına neden olan meşru amacın müdahale ile

ölçülü olup olmadığı, başvuruya konu olayda olduğu gibi sözleşmenin

feshinin çalışanların eylem ya da eylemsizlikleri karşısında makul ve orantılı

bir işlem olup olmadığı somut olayın koşullarına göre ele alınmalıdır. Ayrıca

yargılamalar sırasında gerçekleştirilen işlemlerin ve neticede verilen kararın

gerekçesinin bizatihi özel hayat alanına ilişkin bir müdahale oluşturmaması

için derece mahkemelerince gereken özen gösterilmelidir.

52. AİHM de özel hukuk iş ilişkilerinde Sözleşmenin 8-11. maddelerinin ihlal

edildiği iddiasıyla önüne gelen davalarda, taraf devletlerin anılan

maddelerdeki güvencelerden kaynaklanan pozitif yükümlülüklerini yerine

getirip getirmediğini incelemekte ve işten çıkarılan başvurucuların söz

konusu güvencelerinin özel hukuk iş ilişkileri çerçevesinde ulusal

mahkemelerce yeterli derecede korunup korunmadığını irdelemektedir

{Palomo Sanchez ve diğerleri/İspanya, § 61).

53. AİHM'e göre Sözleşme'nin 8-11. maddelerinde yer alan haklara ilişkin

olan özel hukuk uyuşmazlıklarında bireylerin çıkarlarıyla toplumun çatışan

çıkarları arasında ulusal mahkemelerce adil bir denge kurulması gerekir.

{Köpke/Almanya, B. No: 420/07, 5/10/2010; Palomo Sanchez ve

diğerleri/İspanya, § 62; Eweida ve diğerleri/Birleşik Krallık, B. No: 48420/10,

..., 15/1/2013, § 84 ). Ayrıca güvence altındaki söz konusu haklara özel hukuk

iş ilişkisi kapsamında yapılan müdahalelerin meşru amaçla ölçülü olup

olmadığı ile ulusal mahkemelerce verilen kararlarda sunulan gerekçelerin


367

ilgili ve yeterli olup olmadığı tespit edilmelidir (Palomo Sanchez ve

diğerleri/İspanya, § 63).

54. Karşılıklı menfaatler gözetilerek özel hukuk kişileri tarafından imzalanan

iş sözleşmeleri gereğince taraflar, doğal olarak birtakım sorumluluklar altına

girmekte, çalışma saatleri içinde bazı kısıtlayıcı kurallara uyacaklarım taahhüt

etmekte ve sözleşmeye aykırılık halinde ne tür yaptırımlarla karşı karşıya

kalacakları hususunda bilgi sahibi olmaktadır. Bu noktada iş yerindeki huzur

ve güvenin devamından elde edilecek yararlar gözetilerek işveren tarafından

çalışma saatleri içinde çalışanların bazı haklarının kısıtlanabilmesi ve

belirlenen çalışma düzeninin gerçekleşebilmesi için çalışanların bazı

kurallara uymak zorunda bırakılmaları mümkün olabilmektedir. Ancak bu tür

kısıtlayıcı ve belirlenen özel kurallara uyulmasını zorlayıcı nitelikteki

hususların çalışanların temel haklarının özünü zedeleyici nitelikte olmaması,

imza altına alınan iş sözleşmelerinde bu hususların açık bir şekilde yer alması

ve çalışanların bu hususlarda bilgilendirilmesi gerekir. Bilgilendinnelerin ve

gerekli uyarıların yapılmadığı durumlarda çalışanlar, temel hak ve

özgürlüklerine keyfi bir müdahalede bulunulmayacağı hususunda makul bir

beklenti içinde olacaklarından sözleşme şartlarını genellikle belirleyici

konumda olan işverenler tarafından çalışanlara yönelecek bu tür

müdahalelerin kabul görmesi söz konusu olmayacaktır.

55. Çatışan çıkarların belirlenmesi, doğru dengenin kurulması ve

müdahalelerin işverenin meşru amacıyla ölçülü olup olmadığının tespiti

öncelikle derece mahkemelerinin yetki ve sorumluluk alanındadır. Olayın

tüm tarafları ile doğrudan temas halinde bulunan derece mahkemelerinin

olayın koşullarını değerlendirmek açısından daha avantajlı konumda

bulunduğu da tartışmasızdır. Anayasa Mahkemesinin rolü ise bu kuralların

yorumunun Anayasa'ya uygun olup olmadığını belirlemekle sınırlıdır. Bu

nedenle Anayasa Mahkemesi, derece mahkemeleri tarafından izlenen usulü

denetleme ve özellikle mahkemelerin tarafların sınırlanan hak ve


366

işverenin meşru amacıyla ölçülü olup olmadığı değerlendirilmeli ve ulaşılan

sonuç hakkında hüküm kurulurken ilgili ve yeterli gerekçeler sunulmalıdır.

51. Derece mahkemeleri tarafından tarafların çıkarları dengelenirken ve

müdahalenin ölçülülüğü irdelenirken iş sözleşmelerinde kısıtlayıcı ve

zorlayıcı düzenlemelerin ne şekilde belirlendiği, tarafların bu düzenlemeler

hakkında bilgilendirilip bilgilendirilmediği, çalışanların temel haklarına

yönelik müdahalede bulunulmasına neden olan meşru amacın müdahale ile

ölçülü olup olmadığı, başvuruya konu olayda olduğu gibi sözleşmenin

feshinin çalışanların eylem ya da eylemsizlikleri karşısında makul ve orantılı

bir işlem olup olmadığı somut olayın koşullarına göre ele alınmalıdır. Ayrıca

yargılamalar sırasında gerçekleştirilen işlemlerin ve neticede verilen kararın

gerekçesinin bizatihi özel hayat alanına ilişkin bir müdahale oluşturmaması

için derece mahkemelerince gereken özen gösterilmelidir.

52. AİHM de özel hukuk iş ilişkilerinde Sözleşmenin 8-11. maddelerinin ihlal

edildiği iddiasıyla önüne gelen davalarda, taraf devletlerin anılan

maddelerdeki güvencelerden kaynaklanan pozitif yükümlülüklerini yerine

getirip getirmediğini incelemekte ve işten çıkarılan başvurucuların söz

konusu güvencelerinin özel hukuk iş ilişkileri çerçevesinde ulusal

mahkemelerce yeterli derecede korunup korunmadığını irdelemektedir

{Palomo Sanchez ve diğerleri/İspanya, § 61).

53. AİHM'e göre Sözleşme'nin 8-11. maddelerinde yer alan haklara ilişkin

olan özel hukuk uyuşmazlıklarında bireylerin çıkarlarıyla toplumun çatışan

çıkarları arasında ulusal mahkemelerce adil bir denge kurulması gerekir.

{Köpke/Almanya, B. No: 420/07, 5/10/2010; Palomo Sanchez ve

diğerleri/İspanya, § 62; Eweida ve diğerleri/Birleşik Krallık, B. No: 48420/10,

..., 15/1/2013, § 84 ). Ayrıca güvence altındaki söz konusu haklara özel hukuk

iş ilişkisi kapsamında yapılan müdahalelerin meşru amaçla ölçülü olup

olmadığı ile ulusal mahkemelerce verilen kararlarda sunulan gerekçelerin


367

ilgili ve yeterli olup olmadığı tespit edilmelidir (Palomo Sanchez ve


54. Karşılıklı menfaatler gözetilerek özel hukuk kişileri tarafından imzalanan

iş sözleşmeleri gereğince taraflar, doğal olarak birtakım sorumluluklar altına

girmekte, çalışma saatleri içinde bazı kısıtlayıcı kurallara uyacaklarım taahhüt

etmekte ve sözleşmeye aykırılık halinde ne tür yaptırımlarla karşı karşıya

kalacakları hususunda bilgi sahibi olmaktadır. Bu noktada iş yerindeki huzur

ve güvenin devamından elde edilecek yararlar gözetilerek işveren tarafından

çalışma saatleri içinde çalışanların bazı haklarının kısıtlanabilmesi ve

belirlenen çalışma düzeninin gerçekleşebilmesi için çalışanların bazı

kurallara uymak zorunda bırakılmaları mümkün olabilmektedir. Ancak bu tür

kısıtlayıcı ve belirlenen özel kurallara uyulmasını zorlayıcı nitelikteki

hususların çalışanların temel haklarının özünü zedeleyici nitelikte olmaması,

imza altına alınan iş sözleşmelerinde bu hususların açık bir şekilde yer alması

ve çalışanların bu hususlarda bilgilendirilmesi gerekir. Bilgilendinnelerin ve

gerekli uyarıların yapılmadığı durumlarda çalışanlar, temel hak ve

özgürlüklerine keyfi bir müdahalede bulunulmayacağı hususunda makul bir

beklenti içinde olacaklarından sözleşme şartlarını genellikle belirleyici

konumda olan işverenler tarafından çalışanlara yönelecek bu tür

müdahalelerin kabul görmesi söz konusu olmayacaktır.

55. Çatışan çıkarların belirlenmesi, doğru dengenin kurulması ve

müdahalelerin işverenin meşru amacıyla ölçülü olup olmadığının tespiti

öncelikle derece mahkemelerinin yetki ve sorumluluk alanındadır. Olayın

tüm tarafları ile doğrudan temas halinde bulunan derece mahkemelerinin

olayın koşullarını değerlendirmek açısından daha avantajlı konumda

bulunduğu da tartışmasızdır. Anayasa Mahkemesinin rolü ise bu kuralların

yorumunun Anayasa'ya uygun olup olmadığını belirlemekle sınırlıdır. Bu

nedenle Anayasa Mahkemesi, derece mahkemeleri tarafından izlenen usulü

denetleme ve özellikle mahkemelerin tarafların sınırlanan hak ve


368

özgürlüklerine yönelik müdahalelerin hukukiliğini yorumlayıp uygularken

Anayasa'nm 20. ve 22. maddesindeki güvenceleri gözetip gözetmediğini

belirleme yetkisine sahiptir. Bu kapsamda Anayasa Mahkemesinin görevi,

sözleşmelerin fesih nedeninin oluşup oluşmadığını değerlendirmek ve

bunların uygulanması hususunda derece mahkemelerinin yerini almak

olmayıp kamusal makamların takdir haklan kapsamında aldıkları kararları,

özel hayata saygı hakkı ile haberleşme hürriyeti bağlamındaki güvenceler

açısından değerlendirmektir.

56. Bu doğrultuda AİHM de ulusal mahkemeler tarafından izlenen usulü

denetleme ve özellikle ulusal mahkemelerin mevzuat hükümlerini

yorumlayıp uygularken Sözleşme'deki ve özellikle 8. maddedeki güvenceleri

gözetip gözetmediğini belirleme yetkisine sahip olduğunu vurgulamakta;

yaptığı denetime temel aldığı önemli bir ilke olan ikincillik ilkesi gereği, ulusal

mahkemelerin mevzuat hükümlerinin yorumlanmasına ilişkin takdirini

değerlendirmeye tabi tutmamakta; ancak ulusal mahkemeler tarafından

ulaşılan sonucun Sözleşme'nin 8. maddesinde öngörülen standartlara uygun

bir denge sağlayıp sağlamadığını ve ulaşılan sonucun bu yönüyle özel hayata

saygı hakkının ihlali anlamına gelip gelmediğini incelemektedir

(Petrenco/Moldova, B. No: 20928/05, 30/6/2010, § 54; Palomo Sanchez ve


b. Genel İlkelerin Uygulanması

57. Somut olaydaki uyuşmazlığın özel hukuk kişileri arasında gerçekleşmesi

nedeniyle temel hak ve özgürlüklerin sağladığı güvencelerin yerine

getirilmediği iddiasını içeren başvurunun devletin pozitif yükümlülükleri

bağlamında ele alınması gerekir (bkz. § 46).

58. Belirtildiği üzere özel hayata saygı hakkı kapsamında ele alınabilecek

olan negatif ve pozitif yükümlülüklerin sınırının ve pozitif yükümlülüklerin

hangi durumda olumlu edimde bulunulmasını zorunlu kıldığının kesin


369

çizgilerle belirlenmesi mümkün olmayıp bu yükümlülüklerin olaydan olaya

farklılaşması olasıdır (bkz. §§ 45, 46). '

59. Başvurucular, e-posta hesaplarının incelenmesinin özel hayat alanlarına

ve haberleşme hürriyetlerine haksız bir müdahale oluşturmasına rağmen

feshin haksız olduğunun tespit edilerek geçersiz sayılması ve işe iadelerinin

sağlanması talebiyle açtıkları işe iade davalarında bu yönde bir tespit

yapılmadığını, aksine Mahkemelerce verilen kararlar nedeniyle söz konusu

müdahalelerin meşru hale getirildiğini ve yazışmalarının alenileştirildiğini

iddia etmişlerdir. Bu kapsamdaki iddiaların, müdahalelerin nedeni olarak

gösterilen olayların gerçekleştiği sürecin özellikleri incelenerek ve derece

mahkemelerince gerçekleştirilen yargılamalarda yukarıda belirlenen ilkelere

(bkz. §§ 50, 51, 54) uygun şekilde hareket edilip edilmediği dikkate alınarak

değerlendirilmesi gerekir.

60. Başvuru konusu olayda işe iade davalarını yürüten Bakırköy 12. İş

Mahkemesinin 31/1/2013 tarihli birinci oturumunda, ikinci başvurucunun

eski eşi dahil yedi tanık dinlenmiş; tanık ifadelerinin genelinde başvurucular

arasındaki ilişkinin boyutu ve yakınlığı hakkında tanıkların gözlemlerine yer

verilmiştir. Ayrıca farklı birimlerde çalışan başvurucuların arkadaşlıklarının

verimlilik ve performanslarına olan yansıması ile genel olarak iş ortamına

olan etkisi de tanık ifadelerinde dile getirilmiştir. Buna göre fesih tarihinde

başvurucular ile aynı Şirket bünyesinde birlikte çalışan diğer tanıkların

beyanlarında başvurucuların performans ve verimliliklerine ilişkin olumsuz

değerlendirmelerin bulunmadığı görülmüş, bazı tanıklar ise başvurucuların

birbirlerine yakın davrandıkları konusunda birtakım duyumlar aldıklarını

ancak arkadaşlık ilişkisinin ötesindeki bir ilişkinin varlığından haberdar

olmadıklarını dile getirmişlerdir (bkz. § 17).

61. Tarafların yargılama sürecinde dile getirdikleri beyanlar ile tanıkların

ifadeleri incelendiğinde, ikinci başvurucunun eski eşi tarafından işverene

sunulan başvuruculara ait yazışmaların kişisel e-posta hesapları üzerinden mi


368

özgürlüklerine yönelik müdahalelerin hukukiliğini yorumlayıp uygularken

Anayasa'nm 20. ve 22. maddesindeki güvenceleri gözetip gözetmediğini

belirleme yetkisine sahiptir. Bu kapsamda Anayasa Mahkemesinin görevi,

sözleşmelerin fesih nedeninin oluşup oluşmadığını değerlendirmek ve

bunların uygulanması hususunda derece mahkemelerinin yerini almak

olmayıp kamusal makamların takdir haklan kapsamında aldıkları kararları,

özel hayata saygı hakkı ile haberleşme hürriyeti bağlamındaki güvenceler

açısından değerlendirmektir.

56. Bu doğrultuda AİHM de ulusal mahkemeler tarafından izlenen usulü

denetleme ve özellikle ulusal mahkemelerin mevzuat hükümlerini

yorumlayıp uygularken Sözleşme'deki ve özellikle 8. maddedeki güvenceleri

gözetip gözetmediğini belirleme yetkisine sahip olduğunu vurgulamakta;

yaptığı denetime temel aldığı önemli bir ilke olan ikincillik ilkesi gereği, ulusal

mahkemelerin mevzuat hükümlerinin yorumlanmasına ilişkin takdirini

değerlendirmeye tabi tutmamakta; ancak ulusal mahkemeler tarafından

ulaşılan sonucun Sözleşme'nin 8. maddesinde öngörülen standartlara uygun

bir denge sağlayıp sağlamadığını ve ulaşılan sonucun bu yönüyle özel hayata

saygı hakkının ihlali anlamına gelip gelmediğini incelemektedir

(Petrenco/Moldova, B. No: 20928/05, 30/6/2010, § 54; Palomo Sanchez ve


b. Genel İlkelerin Uygulanması

57. Somut olaydaki uyuşmazlığın özel hukuk kişileri arasında gerçekleşmesi

nedeniyle temel hak ve özgürlüklerin sağladığı güvencelerin yerine

getirilmediği iddiasını içeren başvurunun devletin pozitif yükümlülükleri

bağlamında ele alınması gerekir (bkz. § 46).

58. Belirtildiği üzere özel hayata saygı hakkı kapsamında ele alınabilecek

olan negatif ve pozitif yükümlülüklerin sınırının ve pozitif yükümlülüklerin

hangi durumda olumlu edimde bulunulmasını zorunlu kıldığının kesin


369

çizgilerle belirlenmesi mümkün olmayıp bu yükümlülüklerin olaydan olaya

farklılaşması olasıdır (bkz. §§ 45, 46). '

59. Başvurucular, e-posta hesaplarının incelenmesinin özel hayat alanlarına

ve haberleşme hürriyetlerine haksız bir müdahale oluşturmasına rağmen

feshin haksız olduğunun tespit edilerek geçersiz sayılması ve işe iadelerinin

sağlanması talebiyle açtıkları işe iade davalarında bu yönde bir tespit

yapılmadığını, aksine Mahkemelerce verilen kararlar nedeniyle söz konusu

müdahalelerin meşru hale getirildiğini ve yazışmalarının alenileştirildiğini

iddia etmişlerdir. Bu kapsamdaki iddiaların, müdahalelerin nedeni olarak

gösterilen olayların gerçekleştiği sürecin özellikleri incelenerek ve derece

mahkemelerince gerçekleştirilen yargılamalarda yukarıda belirlenen ilkelere

(bkz. §§ 50, 51, 54) uygun şekilde hareket edilip edilmediği dikkate alınarak

değerlendirilmesi gerekir.

60. Başvuru konusu olayda işe iade davalarını yürüten Bakırköy 12. İş

Mahkemesinin 31/1/2013 tarihli birinci oturumunda, ikinci başvurucunun

eski eşi dahil yedi tanık dinlenmiş; tanık ifadelerinin genelinde başvurucular

arasındaki ilişkinin boyutu ve yakınlığı hakkında tanıkların gözlemlerine yer

verilmiştir. Ayrıca farklı birimlerde çalışan başvurucuların arkadaşlıklarının

verimlilik ve performanslarına olan yansıması ile genel olarak iş ortamına

olan etkisi de tanık ifadelerinde dile getirilmiştir. Buna göre fesih tarihinde

başvurucular ile aynı Şirket bünyesinde birlikte çalışan diğer tanıkların

beyanlarında başvurucuların performans ve verimliliklerine ilişkin olumsuz

değerlendirmelerin bulunmadığı görülmüş, bazı tanıklar ise başvurucuların

birbirlerine yakın davrandıkları konusunda birtakım duyumlar aldıklarını

ancak arkadaşlık ilişkisinin ötesindeki bir ilişkinin varlığından haberdar

olmadıklarını dile getirmişlerdir (bkz. § 17).

61. Tarafların yargılama sürecinde dile getirdikleri beyanlar ile tanıkların

ifadeleri incelendiğinde, ikinci başvurucunun eski eşi tarafından işverene

sunulan başvuruculara ait yazışmaların kişisel e-posta hesapları üzerinden mi


370

yoksa kurumsal e-posta hesapları üzerinden mi gerçekleştirildiği hususu

tespit edilememekle birlikte başvurucuların iş sözleşmelerinin feshedildiği

tarihte işveren Şirket bünyesinde insan kaynakları direktörü olarak çalışan

tanığın mahkeme huzurunda dile getirdiği "..Bilgi işlem vasıtasıyla davacının

e-maillini özel amaçlı kullanıp kullanmadığı konusunda araştırma yaptık,

gerçekten de belirtilen e-mailler bilgisayar kayıtlarında mevcuttur. ''

şeklindeki beyanları ile işverenin Derece Mahkemelerine sunduğu

dilekçelerdeki kabul beyanları dikkate alındığında, söz konusu yazışmaların

içerikleri ile ikinci başvurucunun eski eşinin beyanları üzerinden durumdan

haberdar olan işveren tarafından yazışmaların doğruluğunun teyit edilmesi

amacıyla bilgi işlem sisteminden ulaşılabilen başvurucuların kurumsal e-

posta hesaplarının incelendiği anlaşılmaktadır.

62. Yargılamaya konu dava dosyalarından, başvurucuların karşılıklı olarak

gerçekleştirdikleri yazışmaların dava dışı üçüncü kişi tarafından davalı

Şirketin yetkili kişi ya da organlarının bilgisine sunulduğu, bundan sonra

kurumsal e-posta hesapları üzerinden işveren tarafından inceleme yapıldığı,

elde edilen yazışmalarda yer alan unsurların iş sözleşmelerine aykırı

olduğundan yola çıkılarak farklı gerekçelerin de eklenmesiyle sözleşmelerin

feshedildiği, davalı Şirket tarafından söz konusu yazışmaların liste halinde ilk

Derece Mahkemelerine delil olarak sunulduğu, delilleri inceleyen ve tanıkları

dinleyen Mahkemelerce oluşturulan karar gerekçelerinde söz konusu

yazışmaların içeriklerine ilişkin olarak herhangi bir detaya yer verilmediği ve

işveren açısından iş ilişkilerinin sürdürülmesi olanağının kalmadığı şeklinde

değerlendirme yapılarak davaların reddedildiği görülmektedir.

63. Başvuru konusu olayda, işverenin belirlediği kurallar çerçevesinde iş

yerinde huzur ve disiplinin devamından elde edeceği faydalar ile

başvurucuların özel hayatlarına saygı hakları ve haberleşmelerinin gizliliği

arasında var olan bir çatışma halinden söz edilebilir. Ancak Anayasa

Mahkemesinin görevi, özel hukuk kişileri arasındaki söz konusu uyuşmazlık


371

hakkında doğrudan değerlendirmelerde bulunmak değildir. Anayasa

Mahkemesinin rolü, uyuşmazlığın çözümünde tarafları bağlayıcı kararlar

alan derece mahkemeleri tarafından izlenen usulü denetlemek ve tarafların

sınırlanan hak ve özgürlüklerine yönelik müdahalelerin hukukiliğini

yorumlayıp uygularken Anayasa'nın 20. ve 22. maddelerindeki güvencelerin

derece mahkemelerince gözetilip gözetilmediğini belirlemektir.

64. Başvurucular ve işveren tarafından imzalanan iş sözleşmelerinde yer alan

hükümler gereğince başvurucuların iş yerinde uyulması gereken kurallara

ilişkin yürürlükte olan İç Tüzük'ü, Temel Yönetmelik'i, oryantasyon

kitapçığını, Seyahat Yönetmeliği'ni, talimatları ve prosedürleri ilgili

sözleşmelerin aynlmaz eki ve parçası olarak kabul ettikleri ve tüm bu

düzenlemelere uymakla kendilerini yükümlü kıldıkları görülmektedir.

65. İşverenlerin keyfi ve sınırsız bir şekilde çalışanların özel hayat alanlarına

ve haberleşme hürriyetlerine yönelik müdahalelerde bulunabilmelerine izin

veren düzenlemelerin, Anayasa'nın 11. ve 12. maddeleri kapsamında kabul

görmesi mümkün olmamakla birlikte anayasal hak ve özgürlüklerin sağladığı

güvencelere, kanunlara, uluslararası sözleşmelere aykın olmayacak şekilde

işletmenin ticari gerekliliklerine ve disiplin anlayışına göre belirlenen

kuralların açık bir şekilde yer aldığı düzenlemelerin bulunduğu ve bu

düzenlemeler konusunda çalışanların önceden bilgilendirilip uyarıldığı

durumlarda, kapsamı belirli şekilde çalışanların özellikle çalışma saatleri

içinde birtakım haklarının kısıtlanması ve kuralların dışına çıkılmamaya

zorlamnası amacıyla tedbirler alınması makul görülebilir. Bu doğrultuda bir

bilgilendirmenin ve uyarının yapılmadığı durumlarda, hak ve özgürlüklerine

bir müdahalede bulunulmayacağı hususunda çalışanların makul bir beklenti

taşıyacaklarının kabul edilmesi ve söz konusu hak ve özgürlüklerin sağladığı

güvencelerden yararlandırılması gerekmektedir.

66. Bu kapsamda yapılan incelemede iş sözleşmelerinin parçası olarak kabul

edilen İş Yeri Temel Yönetmeliği'nin, Bilgi Güvenliği Taahhütnamesinin,


370

yoksa kurumsal e-posta hesapları üzerinden mi gerçekleştirildiği hususu

tespit edilememekle birlikte başvurucuların iş sözleşmelerinin feshedildiği

tarihte işveren Şirket bünyesinde insan kaynakları direktörü olarak çalışan

tanığın mahkeme huzurunda dile getirdiği "..Bilgi işlem vasıtasıyla davacının

e-maillini özel amaçlı kullanıp kullanmadığı konusunda araştırma yaptık,

gerçekten de belirtilen e-mailler bilgisayar kayıtlarında mevcuttur. ''

şeklindeki beyanları ile işverenin Derece Mahkemelerine sunduğu

dilekçelerdeki kabul beyanları dikkate alındığında, söz konusu yazışmaların

içerikleri ile ikinci başvurucunun eski eşinin beyanları üzerinden durumdan

haberdar olan işveren tarafından yazışmaların doğruluğunun teyit edilmesi

amacıyla bilgi işlem sisteminden ulaşılabilen başvurucuların kurumsal e-

posta hesaplarının incelendiği anlaşılmaktadır.

62. Yargılamaya konu dava dosyalarından, başvurucuların karşılıklı olarak

gerçekleştirdikleri yazışmaların dava dışı üçüncü kişi tarafından davalı

Şirketin yetkili kişi ya da organlarının bilgisine sunulduğu, bundan sonra

kurumsal e-posta hesapları üzerinden işveren tarafından inceleme yapıldığı,

elde edilen yazışmalarda yer alan unsurların iş sözleşmelerine aykırı

olduğundan yola çıkılarak farklı gerekçelerin de eklenmesiyle sözleşmelerin

feshedildiği, davalı Şirket tarafından söz konusu yazışmaların liste halinde ilk

Derece Mahkemelerine delil olarak sunulduğu, delilleri inceleyen ve tanıkları

dinleyen Mahkemelerce oluşturulan karar gerekçelerinde söz konusu

yazışmaların içeriklerine ilişkin olarak herhangi bir detaya yer verilmediği ve

işveren açısından iş ilişkilerinin sürdürülmesi olanağının kalmadığı şeklinde

değerlendirme yapılarak davaların reddedildiği görülmektedir.

63. Başvuru konusu olayda, işverenin belirlediği kurallar çerçevesinde iş

yerinde huzur ve disiplinin devamından elde edeceği faydalar ile

başvurucuların özel hayatlarına saygı hakları ve haberleşmelerinin gizliliği

arasında var olan bir çatışma halinden söz edilebilir. Ancak Anayasa

Mahkemesinin görevi, özel hukuk kişileri arasındaki söz konusu uyuşmazlık


371

hakkında doğrudan değerlendirmelerde bulunmak değildir. Anayasa

Mahkemesinin rolü, uyuşmazlığın çözümünde tarafları bağlayıcı kararlar

alan derece mahkemeleri tarafından izlenen usulü denetlemek ve tarafların

sınırlanan hak ve özgürlüklerine yönelik müdahalelerin hukukiliğini

yorumlayıp uygularken Anayasa'nın 20. ve 22. maddelerindeki güvencelerin

derece mahkemelerince gözetilip gözetilmediğini belirlemektir.

64. Başvurucular ve işveren tarafından imzalanan iş sözleşmelerinde yer alan

hükümler gereğince başvurucuların iş yerinde uyulması gereken kurallara

ilişkin yürürlükte olan İç Tüzük'ü, Temel Yönetmelik'i, oryantasyon

kitapçığını, Seyahat Yönetmeliği'ni, talimatları ve prosedürleri ilgili

sözleşmelerin aynlmaz eki ve parçası olarak kabul ettikleri ve tüm bu

düzenlemelere uymakla kendilerini yükümlü kıldıkları görülmektedir.

65. İşverenlerin keyfi ve sınırsız bir şekilde çalışanların özel hayat alanlarına

ve haberleşme hürriyetlerine yönelik müdahalelerde bulunabilmelerine izin

veren düzenlemelerin, Anayasa'nın 11. ve 12. maddeleri kapsamında kabul

görmesi mümkün olmamakla birlikte anayasal hak ve özgürlüklerin sağladığı

güvencelere, kanunlara, uluslararası sözleşmelere aykın olmayacak şekilde

işletmenin ticari gerekliliklerine ve disiplin anlayışına göre belirlenen

kuralların açık bir şekilde yer aldığı düzenlemelerin bulunduğu ve bu

düzenlemeler konusunda çalışanların önceden bilgilendirilip uyarıldığı

durumlarda, kapsamı belirli şekilde çalışanların özellikle çalışma saatleri

içinde birtakım haklarının kısıtlanması ve kuralların dışına çıkılmamaya

zorlamnası amacıyla tedbirler alınması makul görülebilir. Bu doğrultuda bir

bilgilendirmenin ve uyarının yapılmadığı durumlarda, hak ve özgürlüklerine

bir müdahalede bulunulmayacağı hususunda çalışanların makul bir beklenti

taşıyacaklarının kabul edilmesi ve söz konusu hak ve özgürlüklerin sağladığı

güvencelerden yararlandırılması gerekmektedir.

66. Bu kapsamda yapılan incelemede iş sözleşmelerinin parçası olarak kabul

edilen İş Yeri Temel Yönetmeliği'nin, Bilgi Güvenliği Taahhütnamesinin,


372

temel yönetim ilkeleri ve temel davranış kurallarının yer aldığı

düzenlemenin, ticari alışveriş yapılan firma ilişkilerine yönelik etik kuralların

yer aldığı düzenlemenin, İş Yeri Seyahat Yönetmeliği'nin, İş Yeri Disiplin

Yönetmeliği'nin, İş Yeri Personel Yönetmeliği'nin ve İş Yeri Kıyafet

Yönetmeliği'nin iş sözleşmesiyle birlikte başvurucular tarafından her bir

sayfasının ayrı ayrı imzalandığı ve böylece iş yerinde huzur ve disiplinin

sağlanması amacıyla işveren tarafından hazırlanmış kuralları ve kısıtlamaları

içeren tüm genel düzenlemeler hakkında başvurucuların yeterli biçimde

bilgilendirildiği anlaşılmaktadır.

67. Özellikle Bilgi Güvenliği Taahhütnamesi'yle başvurucuların, Şirket

tarafından kendilerine iş için tahsis edilmiş olan bilgisayar, e-posta, internet

kullanımı, telefon, iletişim programı, diğer IT kaynaklarını ve iletişim

araçlarını zaruri ihtiyaçları aşan ölçüde kişisel amaçlı, eğlence niyetli, genel

ahlaka, örf ve adetlere aykırı şekilde kullanmayacakları hususunda

işverenlerine karşı taahhüt altına girdikleri; aynca Şirket yöneticileri

tarafından başvuruculara haber verilmeksizin ve uyarıda bulunulmaksızın

kullandıkları IT ve iletişim kaynaklarının her zaman takip altında

tutulabileceği, yapılan yazışmaların ve iletişim kayıtlarının

yedeklenebileceği, raporlanabileceği, gerekli durumlarda detaylı olarak

incelenebileceği, el konulabileceği ve kullanım sınırlaması getirilebileceği

hususunda da kabul beyanında bulundukları ve taahhüt verdikleri

görülmektedir.

68. İş sözleşmelerinin parçası olan düzenlemeler ile şirket kaynaklarının,

bilgisayarların, kurumsal e-posta hesaplarının kişisel amaçlar doğrultusunda

kullanımı kesin şekilde yasaklanmış; gerektiğinde yazışmaların ve iletişim

kayıtlarının takip edilebileceği ve incelenebileceği hususunda başvuruculara

gerekli uyarılar ve bilgilendirmeler yapılmıştır. Bunun yanında, kurumsal

olmadığı sürece kişisel hesapların ve kişisel iletişim vasıtalarının mesai

saatleri içerisinde kullanılma imkanı olmasına ve buna ilişkin bir engel


373

bulunmamasına rağmen, yapılan işin gerekleriyle ilgisi olmayan yazışmaların

iş sözleşmelerine aykırı biçimde mesai saatleri içerisinde kurumsal hesaplar

üzerinden gerçekleştirildiği anlaşılmaktadır. Bu nedenlerle başvurucuların

kurumsal e-posta hesapları üzerinden gerçekleştirdikleri kişisel yazışmaların

korunması konusunda makul bir beklenti içinde oldukları sonucuna

ulaşılamaz.

69. Ayrıca işveren, başvurucuların kurumsal e-posta hesaplarını incelemiş;

bunu da ikinci başvurucunun eski eşi tarafından Şirket yönetimine sunulan

e-posta yazışmaları hakkında bilgi sahibi olduktan sonra başvurucuların

Şirket düzenlemelerine aykırı davranışlarının bulunduğu şeklindeki iddianın

doğruluğunu teyit etme inancıyla gerçekleştirmiştir. Bu yöndeki tespit ile

birlikte 4857 sayılı Kanun hükümleri ve iş sözleşmelerinde yer alan

düzenlemeler dikkate alındığında kurumsal e-posta hesaplarının kişisel

amaçlarla ve Temel Yönetmelik'e uygun kullanıp kullanmadığını doğrulamak

amacıyla başvurucuların yazışmalarını inceleyen işverenin meşru bir amaç

taşıdığı ve işveren tarafından gerçekleştirilen müdahalenin söz konusu

meşru amaçla ölçülü olduğu, bu hususların Derece Mahkemelerince verilen

kararların gerekçelerinde dikkate alındığı kanaatine ulaşılmıştır.

70. Başvuruya konu edilen yargılama süreçleri incelendiğinde öncelikle

başvurucuların Derece Mahkemeleri önünde delillerini sundukları, iddiada

bulunma ve savunma haklarını herhangi bir engellemeyle karşı karşıya

kalmadan kullandıkları görülmektedir. Ayrıca söz konusu yazışmaların

çalışma saatleri içinde kişisel amaçlar doğrultusunda kullanıldığı, iş yeri

düzenine ilişkin olarak belirlenen düzenlemeler hakkında başvurucuların

bilgilendirildikleri ve uyarıldıkları, bu durumu ispat edecek şekilde

imzalarının alındığı, sözleşmelere aykırı davranışların bulunduğu hususunda

oluşan inanç doğrultusunda önceden belirlenmiş müdahale sınırlarına riayet

edilerek işveren tarafından kurumsal e-posta hesaplanma denetlendiği,

bunun dışında işveren tarafından başvuruculara ait diğer verilere ulaşılıp


372

temel yönetim ilkeleri ve temel davranış kurallarının yer aldığı

düzenlemenin, ticari alışveriş yapılan firma ilişkilerine yönelik etik kuralların

yer aldığı düzenlemenin, İş Yeri Seyahat Yönetmeliği'nin, İş Yeri Disiplin

Yönetmeliği'nin, İş Yeri Personel Yönetmeliği'nin ve İş Yeri Kıyafet

Yönetmeliği'nin iş sözleşmesiyle birlikte başvurucular tarafından her bir

sayfasının ayrı ayrı imzalandığı ve böylece iş yerinde huzur ve disiplinin

sağlanması amacıyla işveren tarafından hazırlanmış kuralları ve kısıtlamaları

içeren tüm genel düzenlemeler hakkında başvurucuların yeterli biçimde

bilgilendirildiği anlaşılmaktadır.

67. Özellikle Bilgi Güvenliği Taahhütnamesi'yle başvurucuların, Şirket

tarafından kendilerine iş için tahsis edilmiş olan bilgisayar, e-posta, internet

kullanımı, telefon, iletişim programı, diğer IT kaynaklarını ve iletişim

araçlarını zaruri ihtiyaçları aşan ölçüde kişisel amaçlı, eğlence niyetli, genel

ahlaka, örf ve adetlere aykırı şekilde kullanmayacakları hususunda

işverenlerine karşı taahhüt altına girdikleri; aynca Şirket yöneticileri

tarafından başvuruculara haber verilmeksizin ve uyarıda bulunulmaksızın

kullandıkları IT ve iletişim kaynaklarının her zaman takip altında

tutulabileceği, yapılan yazışmaların ve iletişim kayıtlarının

yedeklenebileceği, raporlanabileceği, gerekli durumlarda detaylı olarak

incelenebileceği, el konulabileceği ve kullanım sınırlaması getirilebileceği

hususunda da kabul beyanında bulundukları ve taahhüt verdikleri

görülmektedir.

68. İş sözleşmelerinin parçası olan düzenlemeler ile şirket kaynaklarının,

bilgisayarların, kurumsal e-posta hesaplarının kişisel amaçlar doğrultusunda

kullanımı kesin şekilde yasaklanmış; gerektiğinde yazışmaların ve iletişim

kayıtlarının takip edilebileceği ve incelenebileceği hususunda başvuruculara

gerekli uyarılar ve bilgilendirmeler yapılmıştır. Bunun yanında, kurumsal

olmadığı sürece kişisel hesapların ve kişisel iletişim vasıtalarının mesai

saatleri içerisinde kullanılma imkanı olmasına ve buna ilişkin bir engel


373

bulunmamasına rağmen, yapılan işin gerekleriyle ilgisi olmayan yazışmaların

iş sözleşmelerine aykırı biçimde mesai saatleri içerisinde kurumsal hesaplar

üzerinden gerçekleştirildiği anlaşılmaktadır. Bu nedenlerle başvurucuların

kurumsal e-posta hesapları üzerinden gerçekleştirdikleri kişisel yazışmaların

korunması konusunda makul bir beklenti içinde oldukları sonucuna

ulaşılamaz.

69. Ayrıca işveren, başvurucuların kurumsal e-posta hesaplarını incelemiş;

bunu da ikinci başvurucunun eski eşi tarafından Şirket yönetimine sunulan

e-posta yazışmaları hakkında bilgi sahibi olduktan sonra başvurucuların

Şirket düzenlemelerine aykırı davranışlarının bulunduğu şeklindeki iddianın

doğruluğunu teyit etme inancıyla gerçekleştirmiştir. Bu yöndeki tespit ile

birlikte 4857 sayılı Kanun hükümleri ve iş sözleşmelerinde yer alan

düzenlemeler dikkate alındığında kurumsal e-posta hesaplarının kişisel

amaçlarla ve Temel Yönetmelik'e uygun kullanıp kullanmadığını doğrulamak

amacıyla başvurucuların yazışmalarını inceleyen işverenin meşru bir amaç

taşıdığı ve işveren tarafından gerçekleştirilen müdahalenin söz konusu

meşru amaçla ölçülü olduğu, bu hususların Derece Mahkemelerince verilen

kararların gerekçelerinde dikkate alındığı kanaatine ulaşılmıştır.

70. Başvuruya konu edilen yargılama süreçleri incelendiğinde öncelikle

başvurucuların Derece Mahkemeleri önünde delillerini sundukları, iddiada

bulunma ve savunma haklarını herhangi bir engellemeyle karşı karşıya

kalmadan kullandıkları görülmektedir. Ayrıca söz konusu yazışmaların

çalışma saatleri içinde kişisel amaçlar doğrultusunda kullanıldığı, iş yeri

düzenine ilişkin olarak belirlenen düzenlemeler hakkında başvurucuların

bilgilendirildikleri ve uyarıldıkları, bu durumu ispat edecek şekilde

imzalarının alındığı, sözleşmelere aykırı davranışların bulunduğu hususunda

oluşan inanç doğrultusunda önceden belirlenmiş müdahale sınırlarına riayet

edilerek işveren tarafından kurumsal e-posta hesaplanma denetlendiği,

bunun dışında işveren tarafından başvuruculara ait diğer verilere ulaşılıp


374

inceleme yapıldığına dair herhangi bir bilginin bulunmadığı anlaşılmaktadır.

Yargılamalarda, başvuruculara ait hizmet cetveli ile iş yeri özlük dosyalarının

Derece Mahkemeleri tarafından celp edilerek incelendiği, karar

gerekçelerinde kurumsal e-posta yazışmalarının içeriklerine yer verilmediği,

dava konusuyla sınırlı bir şekilde değerlendirme yapıldığı, başvurucuların

doğruluk ve bağlılıkla bağdaşmayan eylemleri nedeniyle iş yerinde

olumsuzlukların yaşandığı ve bu durumun işveren açısından sözleşmelerin

sürdürülmesi imkanını ortadan kaldırdığının kararlarda vurgulandığı,

başvurucuların eylemlerinin 4857 sayılı Kanun'un yanı sıra iş sözleşmelerine

ve iş yerinin iç düzenlemelerine aykırılıklar oluşturduğu, bu nedenlerle

sözleşmelerin feshedilmesinde hukuka aykırı bir durumun bulunmadığı

şeklinde kararlar verilmiştir. Ayrıca ikinci başvurucunun eski eşinin tanık

sıfatıyla alman ifadesinin işverenin iddialarının doğruluğunun anlaşılabilmesi

amacıyla Mahkemece sorulan ve mahremiyet içermeyen sorulara verilen

cevaplardan oluştuğu, yargılama süreçlerinde ve oluşturulan karar

gerekçelerinde başvurucuların özel hayat alanlarını alenileştiren ve

haberleşmelerinin gizliliğini ortadan kaldıran herhangi bir unsura yer

verilmediği anlaşılmaktadır.

71. Derece Mahkemelerince verilen kararlarda, başvurucuların makul bir

beklentisinin bulunmadığı hususunun dikkate alınarak başvurucular ile

işveren arasında çatışan çıkarların dengelendiği, işveren tarafından

başvuruculara tahsis edilmiş kurumsal e-posta hesaplarının incelenmesi

şeklindeki müdahalenin Şirket içi düzenlemeler gereğince işverenin meşru

amacıyla ölçülü olup olmadığı hususunda değerlendirmelerin yapıldığı,

sözleşmelerin feshinin başvurucuların eylemleri karşısında makul ve orantılı

bir işlem olup olmadığının gözetildiği ve tüm bu hususlara dayanılarak

davaların reddine ilişkin ilgili ve yeterli gerekçeler sunulduğu, ayrıca

başvurucular arasındaki yazışmalara ait içeriklerin gerek yargılamaya ilişkin


375

işlemlerde gerekse karar gerekçesinde alenileştirilmediği sonucuna

ulaşılmıştır.

72. Açıklanan nedenlerle özel hukuk iş ilişkilerinden doğan uyuşmazlıkları

karara bağlayan Derece Mahkemelerince ilgili ve yeterli gerekçeler

oluşturularak anayasal güvencelerin korunması açısından pozitif

yükümlülüklerin yerine getirildiği ve yargılama süreçlerinde gerçekleştirilen

işlemlerde yazışmaların içeriklerinin alenileştirilmediği anlaşıldığından

başvurucuların Anayasa'nın 20. maddesinde güvence altına alman özel

hayata saygı hakkı ile Anayasa'nın 22. maddesinde güvence altına alman

haberleşmenin gizliliği hakkının ihlal edilmediğine karar verilmesi gerekir.

V. HÜKÜM

Açıklanan gerekçelerle;

A. Özel hayata saygı hakkının ve haberleşmenin gizliliği hakkının ihlal

edildiğine ilişkin iddianın KABUL EDİLEBİLİR OLDUĞUNA,

B. Anayasa'nın 20. maddesinde güvence altına alınan özel hayata saygı

hakkının ve Anayasa'nın 22. maddesinde güvence altına alınan

haberleşmenin gizliliği hakkının İHLAL EDİLMEDİĞİNE,

C. Başvurucular tarafından yapılan yargılama giderlerinin üzerlerinde

BIRAKILMASINA

24/3/2016 tarihinde OYBİRLİĞİYLE karar verildi.


374

inceleme yapıldığına dair herhangi bir bilginin bulunmadığı anlaşılmaktadır.

Yargılamalarda, başvuruculara ait hizmet cetveli ile iş yeri özlük dosyalarının

Derece Mahkemeleri tarafından celp edilerek incelendiği, karar

gerekçelerinde kurumsal e-posta yazışmalarının içeriklerine yer verilmediği,

dava konusuyla sınırlı bir şekilde değerlendirme yapıldığı, başvurucuların

doğruluk ve bağlılıkla bağdaşmayan eylemleri nedeniyle iş yerinde

olumsuzlukların yaşandığı ve bu durumun işveren açısından sözleşmelerin

sürdürülmesi imkanını ortadan kaldırdığının kararlarda vurgulandığı,

başvurucuların eylemlerinin 4857 sayılı Kanun'un yanı sıra iş sözleşmelerine

ve iş yerinin iç düzenlemelerine aykırılıklar oluşturduğu, bu nedenlerle

sözleşmelerin feshedilmesinde hukuka aykırı bir durumun bulunmadığı

şeklinde kararlar verilmiştir. Ayrıca ikinci başvurucunun eski eşinin tanık

sıfatıyla alman ifadesinin işverenin iddialarının doğruluğunun anlaşılabilmesi

amacıyla Mahkemece sorulan ve mahremiyet içermeyen sorulara verilen

cevaplardan oluştuğu, yargılama süreçlerinde ve oluşturulan karar

gerekçelerinde başvurucuların özel hayat alanlarını alenileştiren ve

haberleşmelerinin gizliliğini ortadan kaldıran herhangi bir unsura yer

verilmediği anlaşılmaktadır.

71. Derece Mahkemelerince verilen kararlarda, başvurucuların makul bir

beklentisinin bulunmadığı hususunun dikkate alınarak başvurucular ile

işveren arasında çatışan çıkarların dengelendiği, işveren tarafından

başvuruculara tahsis edilmiş kurumsal e-posta hesaplarının incelenmesi

şeklindeki müdahalenin Şirket içi düzenlemeler gereğince işverenin meşru

amacıyla ölçülü olup olmadığı hususunda değerlendirmelerin yapıldığı,

sözleşmelerin feshinin başvurucuların eylemleri karşısında makul ve orantılı

bir işlem olup olmadığının gözetildiği ve tüm bu hususlara dayanılarak

davaların reddine ilişkin ilgili ve yeterli gerekçeler sunulduğu, ayrıca

başvurucular arasındaki yazışmalara ait içeriklerin gerek yargılamaya ilişkin


375

işlemlerde gerekse karar gerekçesinde alenileştirilmediği sonucuna

ulaşılmıştır.

72. Açıklanan nedenlerle özel hukuk iş ilişkilerinden doğan uyuşmazlıkları

karara bağlayan Derece Mahkemelerince ilgili ve yeterli gerekçeler

oluşturularak anayasal güvencelerin korunması açısından pozitif

yükümlülüklerin yerine getirildiği ve yargılama süreçlerinde gerçekleştirilen

işlemlerde yazışmaların içeriklerinin alenileştirilmediği anlaşıldığından

başvurucuların Anayasa'nın 20. maddesinde güvence altına alman özel

hayata saygı hakkı ile Anayasa'nın 22. maddesinde güvence altına alman

haberleşmenin gizliliği hakkının ihlal edilmediğine karar verilmesi gerekir.

V. HÜKÜM

Açıklanan gerekçelerle;

A. Özel hayata saygı hakkının ve haberleşmenin gizliliği hakkının ihlal

edildiğine ilişkin iddianın KABUL EDİLEBİLİR OLDUĞUNA,

B. Anayasa'nın 20. maddesinde güvence altına alınan özel hayata saygı

hakkının ve Anayasa'nın 22. maddesinde güvence altına alınan

haberleşmenin gizliliği hakkının İHLAL EDİLMEDİĞİNE,

C. Başvurucular tarafından yapılan yargılama giderlerinin üzerlerinde

BIRAKILMASINA

24/3/2016 tarihinde OYBİRLİĞİYLE karar verildi.

377

İŞYERİ ÖZLÜK DOSYASININ YENİ İŞVERENE GÖNDERİLMESİNİN

MANEVİ TAZMİNAT SEBEBİ OLDUĞUNA İLİŞKİN YARGITAY KARARI

Yargıtay 9. Hukuk Dairesi, 2014/37215 E., 2016/9418 K. 14.04.2016 T.

(…) Somut olay, yargılama sırasında dinlenen tanıklar ve sunulan deliller

değerlendirildiğinde, içerisinde özel yazışmaların, davacının bir kısım senede

bağlı tutarları eski işyerine ödeyeceğine dair taahhüdünü içeren işten ayrılma

dilekçesi ve ödeme dekontlarının olduğu işyeri özlük dosyasının yeni çalıştığı

işverenine gönderilmesi eyleminin davacıyı rahatsız etme, onu doğruları

söylemeyen bir kişi olarak gösterme amacı taşıdığı, bu olay sonrası davacının

iş sözleşmesinin feshinin gündeme geldiği ancak buna engel olunduğu,

yaşanan olay nedeniyle davacının manevi yönden etkileneceği açık olup bu

nedenle manevi tazminata hak kazandığının kabulü gerekirken reddi

hatalıdır. (…)

377

İŞYERİ ÖZLÜK DOSYASININ YENİ İŞVERENE GÖNDERİLMESİNİN

MANEVİ TAZMİNAT SEBEBİ OLDUĞUNA İLİŞKİN YARGITAY KARARI

Yargıtay 9. Hukuk Dairesi, 2014/37215 E., 2016/9418 K. 14.04.2016 T.

(…) Somut olay, yargılama sırasında dinlenen tanıklar ve sunulan deliller

değerlendirildiğinde, içerisinde özel yazışmaların, davacının bir kısım senede

bağlı tutarları eski işyerine ödeyeceğine dair taahhüdünü içeren işten ayrılma

dilekçesi ve ödeme dekontlarının olduğu işyeri özlük dosyasının yeni çalıştığı

işverenine gönderilmesi eyleminin davacıyı rahatsız etme, onu doğruları

söylemeyen bir kişi olarak gösterme amacı taşıdığı, bu olay sonrası davacının

iş sözleşmesinin feshinin gündeme geldiği ancak buna engel olunduğu,

yaşanan olay nedeniyle davacının manevi yönden etkileneceği açık olup bu

nedenle manevi tazminata hak kazandığının kabulü gerekirken reddi

hatalıdır. (…)

379

DİNAMİK IP ADRESİNİN KİŞİSEL VERİ OLDUĞUNA İLİŞKİN

ABAD KARARI

Judgment in Case C-582/14 Patrick Breyer v Bundesrepublik Deutschland

Judgment

1. This request for a preliminary ruling concerns the interpretation of

Article 2(a) and 7(f) of Directive 95/46/EC of the European Parliament and of

the Council of 24 October 1995 on the protection of individuals with regard

to the processing of personal data and on the free movement of such data

(OJ 1995 L 281, p. 31).

2. The request has been made in proceedings between Mr Patrick Breyer and

the Bundesrepublik Deutschland (Federal Republic of Germany) concerning

the registration and storage by the latter of the internet protocol address (‘IP

address’) allocated to Mr Breyer when he accessed several internet sites run

by German Federal institutions.

(…)

49 Having regard to all the foregoing considerations, the answer to the first

question is that Article 2(a) of Directive 95/46 must be interpreted as

meaning that a dynamic IP address registered by an online media services

provider when a person accesses a website that the provider makes

accessible to the public constitutes personal data within the meaning of that

provision, in relation to that provider, where the latter has the legal means

which enable it to identify the data subject with additional data which the

internet service provider has about that person.

(…)

379

DİNAMİK IP ADRESİNİN KİŞİSEL VERİ OLDUĞUNA İLİŞKİN

ABAD KARARI

Judgment in Case C-582/14 Patrick Breyer v Bundesrepublik Deutschland

Judgment

1. This request for a preliminary ruling concerns the interpretation of

Article 2(a) and 7(f) of Directive 95/46/EC of the European Parliament and of

the Council of 24 October 1995 on the protection of individuals with regard

to the processing of personal data and on the free movement of such data

(OJ 1995 L 281, p. 31).

2. The request has been made in proceedings between Mr Patrick Breyer and

the Bundesrepublik Deutschland (Federal Republic of Germany) concerning

the registration and storage by the latter of the internet protocol address (‘IP

address’) allocated to Mr Breyer when he accessed several internet sites run

by German Federal institutions.

(…)

49 Having regard to all the foregoing considerations, the answer to the first

question is that Article 2(a) of Directive 95/46 must be interpreted as

meaning that a dynamic IP address registered by an online media services

provider when a person accesses a website that the provider makes

accessible to the public constitutes personal data within the meaning of that

provision, in relation to that provider, where the latter has the legal means

which enable it to identify the data subject with additional data which the

internet service provider has about that person.

(…)

381


HAİZ TAPU KAYDI VE SATIŞ SÖZLEŞMELERİNİN İCRA

MÜDÜRLÜĞÜNCE CELBİNİN İSTENEMEYECEĞİNE İLİŞKİN BAM KARARI

İzmir Bölge Adliye Mahkemesi, 12. Hukuk Dairesi,

2016/59 E. 2016/68 K. 13.10.2016 T.

(…) Davacı alacaklı taraf icra müdürlüğüne sunduğu talebi ile borçlu adına

kayıtlı pasif taşınmaz kaydı olup olmadığının sorgulanmasını ve borçlunun

anne babasını gösterir aile nüfus kaydının sorgulanarak muris tespit edilmesi

halinde adına kayıtlı taşınmaz bulunup bulunmadığının sorgulanmasını talep

etmiş, müdürlük bu talebi reddetmiştir. Şikayete konu karar bu karardır.

Burada çözülmesi gereken ilk ihtilaf borçlu dışındaki kişilerin nüfus kayıt

bilgilerinin takip dosyası kapsamında temin edilerek açığa çıkarılmasının

mümkün olup olmadığıdır.

Konu ile ilgili mevzuat hükümleri incelendiğinde TC Anayasası MADDE 13:

Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili

maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla

sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik

toplum düzeninin ve laik Cumhuriyetin gereklerine ve ölçülülük ilkesine

aykırı olamaz.

TC Anayasası MADDE 20/3: Herkes, kendisiyle ilgili kişisel verilerin







Avrupa İnsan Hakları Sözleşmesi MADDE 8: 1- Herkes, özel ve aile yaşamına,

konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir.

381


HAİZ TAPU KAYDI VE SATIŞ SÖZLEŞMELERİNİN İCRA


İzmir Bölge Adliye Mahkemesi, 12. Hukuk Dairesi,

2016/59 E. 2016/68 K. 13.10.2016 T.

(…) Davacı alacaklı taraf icra müdürlüğüne sunduğu talebi ile borçlu adına

kayıtlı pasif taşınmaz kaydı olup olmadığının sorgulanmasını ve borçlunun

anne babasını gösterir aile nüfus kaydının sorgulanarak muris tespit edilmesi

halinde adına kayıtlı taşınmaz bulunup bulunmadığının sorgulanmasını talep

etmiş, müdürlük bu talebi reddetmiştir. Şikayete konu karar bu karardır.

Burada çözülmesi gereken ilk ihtilaf borçlu dışındaki kişilerin nüfus kayıt

bilgilerinin takip dosyası kapsamında temin edilerek açığa çıkarılmasının

mümkün olup olmadığıdır.

Konu ile ilgili mevzuat hükümleri incelendiğinde TC Anayasası MADDE 13:

Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili

maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla

sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik

toplum düzeninin ve laik Cumhuriyetin gereklerine ve ölçülülük ilkesine

aykırı olamaz.

TC Anayasası MADDE 20/3: Herkes, kendisiyle ilgili kişisel verilerin







Avrupa İnsan Hakları Sözleşmesi MADDE 8: 1- Herkes, özel ve aile yaşamına,

konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir.

İCRA DOSYASINA TARAF OLMAYAN 3. KİŞİLERE AİT KİŞİSEL NİTELİĞİNİ HAİZ TAPU KAYDI ve SATIŞ SÖZLEŞMELERİNİN İCRA


382

2- Bu hakkın kullanımına, yasa/hukuk uyarınca olması ve ulusal güvenlik,

kamu emniyeti ya da ülkenin ekonomik refahı, düzensizliğin ya da suçun

önlenmesi, sağlığın ya da ahlakın korunması ya da başkalarının haklarının ve

özgürlüklerinin korunması için demokratik toplumda gerekli olması hali

istisna olmak üzere, bir kamu makamı tarafından bulunulmayacaktır.

Nüfus Hizmetleri Kanunu MADDE 9: 1- Nüfus kayıtları ve bu kayıtların

tutulmasına dayanak olan belgeler gizlidir. Bunlar, yetkili ve sorumlu

memurlar ile teftiş ve denetim yetkisi olanlar dışında kimse tarafından

görülüp incelenemez. Mahkemeler bu hükmün dışındadır.

2- Nüfus kayıtlarına bu bilgileri işleyen memurlar ve Kimlik Paylaşımı Sistemi

kapsamında nüfus kayıtlarından faydalanan diğer görevliler de bu gizliliğe

uymak zorundadırlar. Bu yükümlülük, kamu görevlilerinin görevlerinden


MADDE 44: 1- Nüfus kayıt örneklerini; ç) Adlı makamlar, nüfus

müdürlüklerinden doğrudan almaya yetkilidirler.

Kişisel Verilerin Korunması Kanunu MADDE 3/1-d) Kişisel veri: Kimliği belirli

veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

MADDE 3/1-e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya





sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde

gerçekleştirilen her türlü işlemi,

MADDE 5: 1 - Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

2- Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası




383


b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya





olması.


zorunlu olması.

d) ilgili kişinin kendisi tarafından alenileştirilmiş olması.


olması.



MADDE 28: 1- Bu Kanun hükümleri aşağıdaki hallerde uygulanmaz: ... d)

Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine

ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi,

düzenlemelerine rastlanmaktadır.

Yukarıda yer verilen mevzuat hükümlerine göre kişinin nüfus kaydının kişisel

veri niteliğinde olduğu tartışmasızdır. (Kişisel Verilerin Korunması Kanunu

MADDE 3/1-d) Kişisel verilerin tamamen veya kısmen elde edilerek

kaydedilmesi ise kişisel verilerin işlenmesidir. (Kişisel Verilerin Korunması

Kanunu MADDE 3/1-e) Kişisel veriler ilgili kişinin açık rızası olmaksızın

içlenemez. (Kişisel Verilerin Korunması Kanunu MADDE 5) Kişisel verilerin

soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı

makamları veya infaz mercileri tarafından işlenebilmesi ise bu kuralın

istisnasıdır.(Kişisel Verilerin Korunması Kanunu MADDE 28/1-d) Kişisel veri



382

2- Bu hakkın kullanımına, yasa/hukuk uyarınca olması ve ulusal güvenlik,

kamu emniyeti ya da ülkenin ekonomik refahı, düzensizliğin ya da suçun

önlenmesi, sağlığın ya da ahlakın korunması ya da başkalarının haklarının ve

özgürlüklerinin korunması için demokratik toplumda gerekli olması hali

istisna olmak üzere, bir kamu makamı tarafından bulunulmayacaktır.

Nüfus Hizmetleri Kanunu MADDE 9: 1- Nüfus kayıtları ve bu kayıtların

tutulmasına dayanak olan belgeler gizlidir. Bunlar, yetkili ve sorumlu

memurlar ile teftiş ve denetim yetkisi olanlar dışında kimse tarafından

görülüp incelenemez. Mahkemeler bu hükmün dışındadır.

2- Nüfus kayıtlarına bu bilgileri işleyen memurlar ve Kimlik Paylaşımı Sistemi

kapsamında nüfus kayıtlarından faydalanan diğer görevliler de bu gizliliğe

uymak zorundadırlar. Bu yükümlülük, kamu görevlilerinin görevlerinden


MADDE 44: 1- Nüfus kayıt örneklerini; ç) Adlı makamlar, nüfus

müdürlüklerinden doğrudan almaya yetkilidirler.

Kişisel Verilerin Korunması Kanunu MADDE 3/1-d) Kişisel veri: Kimliği belirli

veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

MADDE 3/1-e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya





sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde

gerçekleştirilen her türlü işlemi,

MADDE 5: 1 - Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

2- Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası




383


b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya





olması.


zorunlu olması.

d) ilgili kişinin kendisi tarafından alenileştirilmiş olması.


olması.



MADDE 28: 1- Bu Kanun hükümleri aşağıdaki hallerde uygulanmaz: ... d)

Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine

ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi,

düzenlemelerine rastlanmaktadır.

Yukarıda yer verilen mevzuat hükümlerine göre kişinin nüfus kaydının kişisel

veri niteliğinde olduğu tartışmasızdır. (Kişisel Verilerin Korunması Kanunu

MADDE 3/1-d) Kişisel verilerin tamamen veya kısmen elde edilerek

kaydedilmesi ise kişisel verilerin işlenmesidir. (Kişisel Verilerin Korunması

Kanunu MADDE 3/1-e) Kişisel veriler ilgili kişinin açık rızası olmaksızın

içlenemez. (Kişisel Verilerin Korunması Kanunu MADDE 5) Kişisel verilerin

soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı

makamları veya infaz mercileri tarafından işlenebilmesi ise bu kuralın

istisnasıdır.(Kişisel Verilerin Korunması Kanunu MADDE 28/1-d) Kişisel veri



384

olduğu açık olan nüfus kaydına ilişkin bir başka düzenleme olan Nüfus

Hizmetleri Kanununun 9. maddesine göre ise nüfus kayıtları ve bu kayıtların

tutulmasına dayanak olan belgeler gizlidir. Tüm bu hususlardan açıkça

anlaşıldığı üzere kişisel veriler ve bu bağlamda nüfus kayıtları gizlidir, edinilip

kaydedilmeleri ilgili kişinin açık rızasına bağlıdır ve bu durum gerek Anayasa,

gerek Avrupa İnsan Hakları Sözleşmesi ve gerekse kanunlarla düzenlenerek

koruma altına alınmıştır. Somut olayda nüfus kaydına ulaşması ve

kaydetmesi istenen kurum icra müdürlüğü olup bu kurumun yukarıda

belirtilen istisnalar arasında sayılan kurumlardan olmadığı da açıktır.

Davacı tarafın beyanlarında dile getirdiği gibi borçlunun murisi olabilecek

kişilerin nüfus kaydına erişilmesinin ve onların ölmüş olup olmadıklarının

tespitinin borcu tahsilde alacaklı tarafa katkı sağlayacağı muhakkaktır. Hatta

bu durum murisinden kendisine intikal eden malları adına tescil ettirmeyen

borçluların bu şekilde davranmalarının önüne geçmek sonucunu da

doğurabilecektir. Ancak kişisel verilerin bu şekilde işlenmesi ile elde edilmesi

muhtemel yararların yanısıra doğabilecek zararlar da birlikte

değerlendirilmelidir.

Anayasa Mahkemesinin 09/04/2014 tarih ve 2013/122 - 2014/74 E. K. sayılı

kararında kişisel verilerin niçin gizli tutulması gerektiği ayrıntılı olarak

açıklanmıştır. "Kişisel verilerin korunması hakkı, kişinin insan onurunun

korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi

olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında

korumayı amaçlamaktadır. Bilişim teknolojilerindeki gelişmeler sonucunda,

geleneksel yöntemlerle mümkün olmayan çok sayıda verinin

toplanabilmesi; daha önce birbirinden ilişkisiz şekilde tutulan pek çok verinin

merkezi olarak bir araya getirilebilmesi; verilerin, veri eşleştirme ve veri

madenciliği gibi ileri teknolojik imkanlarla analize tabi tutulmak suretiyle,

veriden yeni veriler üretme kapasitesinin artması; verilere erişim ve veri



385

transferinin kolaylaşması; kişisel verilerin ticari işletmeler için kıymetli bir

varlık niteliği kazanması neticesinde, özel sektör unsurlarınca yaratılan

risklerin daha yaygın ve önemli boyutlara ulaşması ve terör ve suç

örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması gibi

etkenler, günümüzde kişisel verilerin en üst seviyede korunmasını zorunlu

kılmaktadır. Bu bağlamda Anayasa'nın 20. Maddesinin üçüncü fıkrasının son

cümlesinde, "Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla

düzenlenir." hükmüne yer verilerek kişisel verilerin korunması hakkı anayasal

güvenceye bağlanmış ve bu şekilde kamu makamlarının keyfi

müdahalelerine karşı koruma altına alınmıştır."

O halde yapılacak bir fayda-zarar kıyaslamasında kişisel verilere kolaylıkla

ulaşılmasının yaratması muhtemel olan zararlarının sağlaması muhtemel

olan yararlarına göre daha fazla ve daha mühim olduğu anlaşılmaktadır. Tüm

bu açıklamalar çerçevesinde davacı tarafın icra müdürlüğüne yaptığı

borçlunun anne babasını gösterir aile nüfus kaydının sorgulanarak muris

tespit edilmesi halinde adına kayıtlı taşınmaz bulunup bulunmadığının

sorgulanmasına ilişkin talebi yerinde olmayıp bu talebin reddine ilişkin'

müdürlük kararı doğrudur. Nitekim bu hususta yerleşmeye başlayan

uygulama kapsamında da mahkemelerce verilen benzer mahiyetteki kararlar

Yargıtay tarafından da onanmaktadır. (Benzer mahiyette Yargıtay 12 H.D.' nin

05/05/2016 tarih ve 2015/33810-2016/13366 E.K. sayılı onama kararı) Davacı

tarafın diğer talebi ise borçlunun varsa pasif taşınmaz kayıtlarının

sorgulanması talebidir. Alacaklı bu yöndeki bir bilgiye kendisi ulaşamaz.

Ancak bu talebin yerine getirilmesi halinde ulaşacağı pasif taşınmaz kaydı

vasıtası ile örneğin tasarrufun iptali gibi bir dava açarak alacağına kavuşma

imkanına sahip olabilir. Pasif tapu kaydı sorgulanasın da ulaşılacak bilgi

borçlu adına daha önce kayıtlı bulunan taşınmaz bilgisi olup bu bilgi bu

taşınmazın şimdiki maliki hakkında herhangi bir bilgi içermeyecektir. Bu

nedenle bu kaydın dosyaya dahil edilmesi, borçlu dışındaki herhangi bir 3.



384

olduğu açık olan nüfus kaydına ilişkin bir başka düzenleme olan Nüfus

Hizmetleri Kanununun 9. maddesine göre ise nüfus kayıtları ve bu kayıtların

tutulmasına dayanak olan belgeler gizlidir. Tüm bu hususlardan açıkça

anlaşıldığı üzere kişisel veriler ve bu bağlamda nüfus kayıtları gizlidir, edinilip

kaydedilmeleri ilgili kişinin açık rızasına bağlıdır ve bu durum gerek Anayasa,

gerek Avrupa İnsan Hakları Sözleşmesi ve gerekse kanunlarla düzenlenerek

koruma altına alınmıştır. Somut olayda nüfus kaydına ulaşması ve

kaydetmesi istenen kurum icra müdürlüğü olup bu kurumun yukarıda

belirtilen istisnalar arasında sayılan kurumlardan olmadığı da açıktır.

Davacı tarafın beyanlarında dile getirdiği gibi borçlunun murisi olabilecek

kişilerin nüfus kaydına erişilmesinin ve onların ölmüş olup olmadıklarının

tespitinin borcu tahsilde alacaklı tarafa katkı sağlayacağı muhakkaktır. Hatta

bu durum murisinden kendisine intikal eden malları adına tescil ettirmeyen

borçluların bu şekilde davranmalarının önüne geçmek sonucunu da

doğurabilecektir. Ancak kişisel verilerin bu şekilde işlenmesi ile elde edilmesi

muhtemel yararların yanısıra doğabilecek zararlar da birlikte

değerlendirilmelidir.

Anayasa Mahkemesinin 09/04/2014 tarih ve 2013/122 - 2014/74 E. K. sayılı

kararında kişisel verilerin niçin gizli tutulması gerektiği ayrıntılı olarak

açıklanmıştır. "Kişisel verilerin korunması hakkı, kişinin insan onurunun

korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi

olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında

korumayı amaçlamaktadır. Bilişim teknolojilerindeki gelişmeler sonucunda,

geleneksel yöntemlerle mümkün olmayan çok sayıda verinin

toplanabilmesi; daha önce birbirinden ilişkisiz şekilde tutulan pek çok verinin

merkezi olarak bir araya getirilebilmesi; verilerin, veri eşleştirme ve veri

madenciliği gibi ileri teknolojik imkanlarla analize tabi tutulmak suretiyle,

veriden yeni veriler üretme kapasitesinin artması; verilere erişim ve veri



385

transferinin kolaylaşması; kişisel verilerin ticari işletmeler için kıymetli bir

varlık niteliği kazanması neticesinde, özel sektör unsurlarınca yaratılan

risklerin daha yaygın ve önemli boyutlara ulaşması ve terör ve suç

örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması gibi

etkenler, günümüzde kişisel verilerin en üst seviyede korunmasını zorunlu

kılmaktadır. Bu bağlamda Anayasa'nın 20. Maddesinin üçüncü fıkrasının son

cümlesinde, "Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla

düzenlenir." hükmüne yer verilerek kişisel verilerin korunması hakkı anayasal

güvenceye bağlanmış ve bu şekilde kamu makamlarının keyfi

müdahalelerine karşı koruma altına alınmıştır."

O halde yapılacak bir fayda-zarar kıyaslamasında kişisel verilere kolaylıkla

ulaşılmasının yaratması muhtemel olan zararlarının sağlaması muhtemel

olan yararlarına göre daha fazla ve daha mühim olduğu anlaşılmaktadır. Tüm

bu açıklamalar çerçevesinde davacı tarafın icra müdürlüğüne yaptığı

borçlunun anne babasını gösterir aile nüfus kaydının sorgulanarak muris

tespit edilmesi halinde adına kayıtlı taşınmaz bulunup bulunmadığının

sorgulanmasına ilişkin talebi yerinde olmayıp bu talebin reddine ilişkin'

müdürlük kararı doğrudur. Nitekim bu hususta yerleşmeye başlayan

uygulama kapsamında da mahkemelerce verilen benzer mahiyetteki kararlar

Yargıtay tarafından da onanmaktadır. (Benzer mahiyette Yargıtay 12 H.D.' nin

05/05/2016 tarih ve 2015/33810-2016/13366 E.K. sayılı onama kararı) Davacı

tarafın diğer talebi ise borçlunun varsa pasif taşınmaz kayıtlarının

sorgulanması talebidir. Alacaklı bu yöndeki bir bilgiye kendisi ulaşamaz.

Ancak bu talebin yerine getirilmesi halinde ulaşacağı pasif taşınmaz kaydı

vasıtası ile örneğin tasarrufun iptali gibi bir dava açarak alacağına kavuşma

imkanına sahip olabilir. Pasif tapu kaydı sorgulanasın da ulaşılacak bilgi

borçlu adına daha önce kayıtlı bulunan taşınmaz bilgisi olup bu bilgi bu

taşınmazın şimdiki maliki hakkında herhangi bir bilgi içermeyecektir. Bu

nedenle bu kaydın dosyaya dahil edilmesi, borçlu dışındaki herhangi bir 3.



386

kişinin bilgilerinin dosyaya yansıması sonucunu doğurmayacağı gibi borcun

tahsili için imkan sağlayabilecektir. O halde bu yöndeki talebin icra

müdürlüğünce ve özellikle de dosyanın infazına yarar sağlamayacağı ve

borçlu aleyhine delil toplanamayacağı gerekçesi ile reddi yerinde değildir.

Davacı tarafın şikayetinin borçlunun varsa pasif taşınmaz kayıtlarının

sorgulanması talebinin reddine ilişkin karara karşı yapmış olduğu şikayet

yerinde olup, şikayetin bu kısmının da mahkemece reddedilmiş olması

yerinde değildir. Yukarıda açıklanan nedenlerle davacı tarafın istinaf

başvurusunun kısmen kabulü ile HMK 353/1-b-2 maddesi gereği istinafa

konu kararın düzeltilerek yeniden esas hakkında karar verilmesi gerekmiş ve

aşağıdaki şekilde hüküm kurulmuştur. (…)

387

SOSYAL MEDYA SİTESİNDE MAĞDURLARIN RIZALARINA AYKIRI

ŞEKİLDE FOTOĞRAF PAYLAŞILMASININ VERİLERİ HUKUKA

AYKIRI OLARAK VERME VEYA ELE GEÇİRME SUÇU

OLUŞTURACAĞINA İLİŞKİN YARGITAY KARARI

Yargıtay 12. Ceza Dairesi 2015/13582 E. 2017/3109 K. 12.04.2017 T.

(…)

Sanık H.'ın, öz kızı olan mağdur E. ile diğer mağdur C. evlendikten sonra, her

iki mağdurla aralarında başlayan husumetten dolayı mağdurlara tepki olarak,

Facebook adlı sosyal paylaşım sitesinde kendi ismini kullanarak açtığı hesap

üzerinden, mağdur E.'nin bekarken çektirdiği ve diğer mağdur C.'ın temin

ettiği resimlerini, onların uyarılarını dikkate almaksızın, rızalarına aykırı

şekilde paylaştığı iddiasına konu olayda,

Mağdurların günlük kıyafetleriyle poz vermiş şekilde çektirdikleri resimleri,

mağdurların başkaları tarafından görülmesini ve bilinmesini istemeyecekleri

özel yaşam alanlarına ilişkin görüntüler olarak kabul edilemeyeceğinden,

mağdurların kişisel veri niteliğindeki resimlerini, hukuka uygunluk

nedenlerinin bulunmaması nedeniyle hukuka aykırı olduğunda tereddüt

bulunmayan bir yöntemle facebook hesabı üzerinden yayımlayan sanığın

eylemlerinin, verileri hukuka aykırı olarak verme veya ele geçirme suçunu

oluşturacağı gözetilmeden, eylemler salt özel hayatın gizliliğini ihlal suçu

kapsamında değerlendirilip, yasal ve yeterli olmayan yazılı gerekçelerle sanık

hakkında beraat hükümleri kurulması, kanuna aykırıdır.

(…)



386

kişinin bilgilerinin dosyaya yansıması sonucunu doğurmayacağı gibi borcun

tahsili için imkan sağlayabilecektir. O halde bu yöndeki talebin icra

müdürlüğünce ve özellikle de dosyanın infazına yarar sağlamayacağı ve

borçlu aleyhine delil toplanamayacağı gerekçesi ile reddi yerinde değildir.

Davacı tarafın şikayetinin borçlunun varsa pasif taşınmaz kayıtlarının

sorgulanması talebinin reddine ilişkin karara karşı yapmış olduğu şikayet

yerinde olup, şikayetin bu kısmının da mahkemece reddedilmiş olması

yerinde değildir. Yukarıda açıklanan nedenlerle davacı tarafın istinaf

başvurusunun kısmen kabulü ile HMK 353/1-b-2 maddesi gereği istinafa

konu kararın düzeltilerek yeniden esas hakkında karar verilmesi gerekmiş ve

aşağıdaki şekilde hüküm kurulmuştur. (…)

387

SOSYAL MEDYA SİTESİNDE MAĞDURLARIN RIZALARINA AYKIRI

ŞEKİLDE FOTOĞRAF PAYLAŞILMASININ VERİLERİ HUKUKA

AYKIRI OLARAK VERME VEYA ELE GEÇİRME SUÇU

OLUŞTURACAĞINA İLİŞKİN YARGITAY KARARI

Yargıtay 12. Ceza Dairesi 2015/13582 E. 2017/3109 K. 12.04.2017 T.

(…)

Sanık H.'ın, öz kızı olan mağdur E. ile diğer mağdur C. evlendikten sonra, her

iki mağdurla aralarında başlayan husumetten dolayı mağdurlara tepki olarak,

Facebook adlı sosyal paylaşım sitesinde kendi ismini kullanarak açtığı hesap

üzerinden, mağdur E.'nin bekarken çektirdiği ve diğer mağdur C.'ın temin

ettiği resimlerini, onların uyarılarını dikkate almaksızın, rızalarına aykırı

şekilde paylaştığı iddiasına konu olayda,

Mağdurların günlük kıyafetleriyle poz vermiş şekilde çektirdikleri resimleri,

mağdurların başkaları tarafından görülmesini ve bilinmesini istemeyecekleri

özel yaşam alanlarına ilişkin görüntüler olarak kabul edilemeyeceğinden,

mağdurların kişisel veri niteliğindeki resimlerini, hukuka uygunluk

nedenlerinin bulunmaması nedeniyle hukuka aykırı olduğunda tereddüt

bulunmayan bir yöntemle facebook hesabı üzerinden yayımlayan sanığın

eylemlerinin, verileri hukuka aykırı olarak verme veya ele geçirme suçunu

oluşturacağı gözetilmeden, eylemler salt özel hayatın gizliliğini ihlal suçu

kapsamında değerlendirilip, yasal ve yeterli olmayan yazılı gerekçelerle sanık

hakkında beraat hükümleri kurulması, kanuna aykırıdır.

(…)

389



DURDURULMASI HAKKINDA DANIŞTAY KARARI

Danıştay 15. Daire; E. 2016/10500; 6.7.2017

İstemin Özeti : 20.10.2016 tarihli ve 29863 Sayılı Resmî Gazete'de

yayımlanarak yürürlüğe giren, Kişisel Sağlık Verilerinin İşlenmesi ve

Mahremiyetinin Sağlanması Hakkında Yönetmeliğin muhtelif maddelerinin

ve tümünün yürütmesinin durdurulması ve iptali istenilmektedir.

Sağlık Bakanlığı'nın Savunmasının Özeti : Kişisel Verilerin işlenmesine

İlişkin Usûl ve Esasların Ancak Kanunla Düzenlenebileceği iddiası hakkında;

Anayasa'nın 20. maddesinin üçüncü fıkrasının son cümlesinde "Kişisel

verilerin korunmasına dair esas ve usuller kanunla düzenlenir." hükmünün

bulunduğu, Anayasa'da, "Kişisel verilerin otomatik işleme tabi tutulmasına

dair usûl ve esasların ancak kanunla düzenlenebileceğine" dair herhangi bir

hüküm bulunmadığı, davacının, aynı fıkranın bir önceki "Kişisel veriler, ancak

kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir." cümlesi ile

bu hükmü karıştırdığının düşünüldüğü, ayrıca, Yönetmeliğin dayanağı olan

663 Sayılı KHK'nın 47. maddesinin, 6698 Sayılı Kanun'un 30. maddesinin

yedinci fıkrası ile düzenlendiği, dolayısı ile kişisel sağlık verilerinin

işlenmesine dair usûl ve esasların Bakanlıkça yürürlüğe konulacak bir

yönetmelikle düzenleneceği hususunun, 6698 Sayılı Kanun'un emredici

hükmüne dayandığı,

Anayasa'nın 20. maddesinde öngörülen kanun olan 6698 Sayılı Kanun'un

07.04.2016 tarihi itibariyle yürürlükte olduğu ve Anayasa'nın 20. maddesinde

öngörülen hükmün bu Kanun ile yerine getirildiği, iç hukukta uygun

güvencelerin sağlanması ön koşulunun yerine getirilmediğini iddia etmenin,

yürürlükte olan Kanunu yok saymak anlamına geldiği,

389




Danıştay 15. Daire; E. 2016/10500; 6.7.2017

İstemin Özeti : 20.10.2016 tarihli ve 29863 Sayılı Resmî Gazete'de

yayımlanarak yürürlüğe giren, Kişisel Sağlık Verilerinin İşlenmesi ve


ve tümünün yürütmesinin durdurulması ve iptali istenilmektedir.

Sağlık Bakanlığı'nın Savunmasının Özeti : Kişisel Verilerin işlenmesine

İlişkin Usûl ve Esasların Ancak Kanunla Düzenlenebileceği iddiası hakkında;

Anayasa'nın 20. maddesinin üçüncü fıkrasının son cümlesinde "Kişisel

verilerin korunmasına dair esas ve usuller kanunla düzenlenir." hükmünün

bulunduğu, Anayasa'da, "Kişisel verilerin otomatik işleme tabi tutulmasına

dair usûl ve esasların ancak kanunla düzenlenebileceğine" dair herhangi bir

hüküm bulunmadığı, davacının, aynı fıkranın bir önceki "Kişisel veriler, ancak

kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir." cümlesi ile

bu hükmü karıştırdığının düşünüldüğü, ayrıca, Yönetmeliğin dayanağı olan

663 Sayılı KHK'nın 47. maddesinin, 6698 Sayılı Kanun'un 30. maddesinin

yedinci fıkrası ile düzenlendiği, dolayısı ile kişisel sağlık verilerinin

işlenmesine dair usûl ve esasların Bakanlıkça yürürlüğe konulacak bir

yönetmelikle düzenleneceği hususunun, 6698 Sayılı Kanun'un emredici

hükmüne dayandığı,

Anayasa'nın 20. maddesinde öngörülen kanun olan 6698 Sayılı Kanun'un

07.04.2016 tarihi itibariyle yürürlükte olduğu ve Anayasa'nın 20. maddesinde

öngörülen hükmün bu Kanun ile yerine getirildiği, iç hukukta uygun

güvencelerin sağlanması ön koşulunun yerine getirilmediğini iddia etmenin,

yürürlükte olan Kanunu yok saymak anlamına geldiği,

KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ ve MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİĞİN YÜRÜTMESİNİN


390

6698 Sayılı Kanun m. 6/IV Uyarınca Yeterli Önlemlerin Henüz Belirlenmemiş

Olduğu iddiası hakkında; 6698 Sayılı Kanun'un yürürlüğe girmiş olması ve 6.

maddesinin dördüncü fıkrasında değinilen yeterli önlemlerin henüz

belirlenmemiş olmasının, kişisel sağlık verilerinin Sağlık Bakanlığı tarafından

işlenememesi için ileri sürmenin izahtan vareste olduğu, bu iddianın

doğruluğunu savunmanın, özel nitelikli kişisel verilerden olan kişisel

sağlık verilerinin yalnızca Sağlık Bakanlığı tarafından değil; aynı zamanda

hiçbir kişi (hekim), kurum ve kuruluş (özel ve kamu sağlık tesisleri) tarafından

işlenmemesini de beraberinde getireceğinin ki bunun da ülkemizdeki tüm

sağlık hizmetlerinin durması anlamına geleceği, hatta dernek üyeliğinin de

özel nitelikli kişisel veriler arasında zikredilmiş olması göz önünde

bulundurulduğunda, davacı Türk Dermatoloji Derneği ile Türk Psikiyatri

Derneğinin kendi üyelerine dair verileri işleyemeyecekleri, dernek üyesi

olmaları gerekçesiyle üyelerine hiçbir iş ve işlemde bulunamayacakları, ki bu

durumun hayatın olağan akışına aykırı olduğu nitekim 6698 Sayılı

Kanun'un 6. maddesinin dördüncü fıkrasında öngörülen ve Kurul tarafından

belirlenecek yeterli önlemlerin alınması şartının, yalnızca aynı maddenin

üçüncü fıkrası uyarınca istisnai hallerde işlenen özel nitelikli kişisel veriler için

de geçerli olduğu Kanun hükmünün yalnızca Sağlık Bakanlığı değil; özel

nitelikli kişisel veri işleyen tüm gerçek kişiler ile özel hukuk ve kamu hukuku

tüzel kişilerini bağladığı, dolayısı ile özel nitelikli kişisel verilerin işlenmesinde

gerekli olan yeterli önlemlerin Kurul tarafından henüz belirlenmemiş olması

hususunu, kişisel sağlık verilerinin Sağlık Bakanlığı tarafından işlenememesi

için bir gerekçe olarak sunmanın tutarlı hiç bir tarafı bulunmadığı, 6698 Sayılı

Kanun'un 6. maddesinin dördüncü fıkrası uyarınca özel nitelikli kişisel

verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin

alınmasının şart olduğu, bu yeterli önlemlerin ise Kurul tarafından henüz

belirlenmediği,



391

6698 Sayılı Kanun'un 22. maddesinin birinci fıkrasının (h) bendi gereği kişisel

verilere dair hüküm içeren mevzuat taslaklarını hazırlarken Kurul'dan görüş

alınmasının zorunlu olduğu davacı tarafından iddia edilmekte ise de,

Kanun'da böyle bir zorunluluk bulunmadığı, ilgili hükümde, "Diğer kurum ve

kuruluşlarca hazırlanan ve kişisel verilere dair hüküm içeren mevzuat

taslakları hakkında görüş bildirmek" hususunun, Kurulun görev ve yetkileri

arasında zikredildiği, bu hükmün, Yönetmeliğin çıkartılmasında Kuruldan

görüş alınmasının zorunlu olduğu anlamına gelmediği, ayrıca, Yönetmeliğin

çıkartıldığı tarihte Kurulun henüz teşekkül etmediği, teşekkül etmeyen bir

Kuruldan görüş alınmasının da mümkün olmadığı, Kanun'un Geçici 1.

maddesinin 1. fıkrası uyarınca en geç 07.10.2016 tarihinde oluşması gereken

Kurul'un bu tarihten ancak aylar sonra oluşturulduğu, Yönetmeliğin ise

20.10.2016 tarihinde Resmi Gazete'de yayımlanarak yürürlüğe girdiği,

Dava konusu Yönetmelik hükümlerinin, en başta Anayasa olmak üzere kişisel

veriler hukuku ile ilgili milletlerarası hukuk kurallarına, kanunlara ve hizmet

gereklerine tamamiyle uygun olduğu savunulmaktadır.

Kişisel Verileri Koruma Kurumu'nun Savunmasının Özeti : 12 Ocak 2017

'de, 6698 Sayılı Kanun'un 21. maddesi hükümlerine göre, -en son iki üyesi 4

Ocak 2017'de TBMM Genel Kurulu Kararıyla seçilmiş- seçilen Kişisel Verileri

Koruma Kurulu üyelerinin Yargıtay 1. Başkanlık Kurulu huzurunda yemin

ettikleri, 30 Ocak 2017'de Başkan ve 2 Başkanın seçildiği, Kurum tarafından

halihazırda başta hizmet birimlerinin çalışma usul ve esaslarını belirleyen

teşkilat yönetmeliğinin hazırlanması ile diğer mevzuat hazırlıkları, idari ve

teknik çalışmalarının yürütüldüğü,

Sağlık Bakanlığı tarafından çıkarılan davaya konu yönetmeliğin hazırlanma

sürecinde Kurumun dahlinin bulunmadığı, işbu davada taraf sıfatına haiz

olmadıkları,



390

6698 Sayılı Kanun m. 6/IV Uyarınca Yeterli Önlemlerin Henüz Belirlenmemiş

Olduğu iddiası hakkında; 6698 Sayılı Kanun'un yürürlüğe girmiş olması ve 6.

maddesinin dördüncü fıkrasında değinilen yeterli önlemlerin henüz

belirlenmemiş olmasının, kişisel sağlık verilerinin Sağlık Bakanlığı tarafından

işlenememesi için ileri sürmenin izahtan vareste olduğu, bu iddianın

doğruluğunu savunmanın, özel nitelikli kişisel verilerden olan kişisel

sağlık verilerinin yalnızca Sağlık Bakanlığı tarafından değil; aynı zamanda

hiçbir kişi (hekim), kurum ve kuruluş (özel ve kamu sağlık tesisleri) tarafından

işlenmemesini de beraberinde getireceğinin ki bunun da ülkemizdeki tüm

sağlık hizmetlerinin durması anlamına geleceği, hatta dernek üyeliğinin de

özel nitelikli kişisel veriler arasında zikredilmiş olması göz önünde

bulundurulduğunda, davacı Türk Dermatoloji Derneği ile Türk Psikiyatri

Derneğinin kendi üyelerine dair verileri işleyemeyecekleri, dernek üyesi

olmaları gerekçesiyle üyelerine hiçbir iş ve işlemde bulunamayacakları, ki bu

durumun hayatın olağan akışına aykırı olduğu nitekim 6698 Sayılı

Kanun'un 6. maddesinin dördüncü fıkrasında öngörülen ve Kurul tarafından

belirlenecek yeterli önlemlerin alınması şartının, yalnızca aynı maddenin

üçüncü fıkrası uyarınca istisnai hallerde işlenen özel nitelikli kişisel veriler için

de geçerli olduğu Kanun hükmünün yalnızca Sağlık Bakanlığı değil; özel

nitelikli kişisel veri işleyen tüm gerçek kişiler ile özel hukuk ve kamu hukuku

tüzel kişilerini bağladığı, dolayısı ile özel nitelikli kişisel verilerin işlenmesinde

gerekli olan yeterli önlemlerin Kurul tarafından henüz belirlenmemiş olması

hususunu, kişisel sağlık verilerinin Sağlık Bakanlığı tarafından işlenememesi

için bir gerekçe olarak sunmanın tutarlı hiç bir tarafı bulunmadığı, 6698 Sayılı

Kanun'un 6. maddesinin dördüncü fıkrası uyarınca özel nitelikli kişisel

verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin

alınmasının şart olduğu, bu yeterli önlemlerin ise Kurul tarafından henüz

belirlenmediği,



391

6698 Sayılı Kanun'un 22. maddesinin birinci fıkrasının (h) bendi gereği kişisel

verilere dair hüküm içeren mevzuat taslaklarını hazırlarken Kurul'dan görüş

alınmasının zorunlu olduğu davacı tarafından iddia edilmekte ise de,

Kanun'da böyle bir zorunluluk bulunmadığı, ilgili hükümde, "Diğer kurum ve


taslakları hakkında görüş bildirmek" hususunun, Kurulun görev ve yetkileri

arasında zikredildiği, bu hükmün, Yönetmeliğin çıkartılmasında Kuruldan

görüş alınmasının zorunlu olduğu anlamına gelmediği, ayrıca, Yönetmeliğin

çıkartıldığı tarihte Kurulun henüz teşekkül etmediği, teşekkül etmeyen bir

Kuruldan görüş alınmasının da mümkün olmadığı, Kanun'un Geçici 1.

maddesinin 1. fıkrası uyarınca en geç 07.10.2016 tarihinde oluşması gereken

Kurul'un bu tarihten ancak aylar sonra oluşturulduğu, Yönetmeliğin ise

20.10.2016 tarihinde Resmi Gazete'de yayımlanarak yürürlüğe girdiği,

Dava konusu Yönetmelik hükümlerinin, en başta Anayasa olmak üzere kişisel

veriler hukuku ile ilgili milletlerarası hukuk kurallarına, kanunlara ve hizmet

gereklerine tamamiyle uygun olduğu savunulmaktadır.

Kişisel Verileri Koruma Kurumu'nun Savunmasının Özeti : 12 Ocak 2017

'de, 6698 Sayılı Kanun'un 21. maddesi hükümlerine göre, -en son iki üyesi 4

Ocak 2017'de TBMM Genel Kurulu Kararıyla seçilmiş- seçilen Kişisel Verileri

Koruma Kurulu üyelerinin Yargıtay 1. Başkanlık Kurulu huzurunda yemin

ettikleri, 30 Ocak 2017'de Başkan ve 2 Başkanın seçildiği, Kurum tarafından

halihazırda başta hizmet birimlerinin çalışma usul ve esaslarını belirleyen

teşkilat yönetmeliğinin hazırlanması ile diğer mevzuat hazırlıkları, idari ve

teknik çalışmalarının yürütüldüğü,

Sağlık Bakanlığı tarafından çıkarılan davaya konu yönetmeliğin hazırlanma

sürecinde Kurumun dahlinin bulunmadığı, işbu davada taraf sıfatına haiz

olmadıkları,



392

Anayasa'nın 20. maddesinin 3. fıkrasındaki, kişisel verilerin korunmasına dair

esas ve usullerin kanunla düzenlenmesi hükmünün, bu alanın yalnızca

kanunla düzenleneceği anlamına gelmediği,

Anayasa'nın 20. maddesinde öngörülen kanun olan 6698 Sayılı Kanun ile

düzenleme altına alman fiillerin ne zaman hukuka aykırı, ne zaman hukuka

uygun olduğunun tereddütsüz olarak belirlendiği, suç teşkil eden fiiller

bakımından da Kanundan önce yürürlükte bulunan Türk Ceza Kanunu'nun

135-140. maddelerine özel olarak atıfta bulunulduğu, sağlık verilerinin özel

nitelikli kişisel veri olduğu, bu konunun da Kanunun 6. maddesiyle

düzenlendiği özel nitelikli kişisel verilere rastgele, dayanaksız bir

müdahalede bulunulmasının söz konusu olmadığı savunulmaktadır.

Danıştay Tetkik Hakimi Düşüncesi : Yönetmeliğin iptali istenen

maddelerinin incelemesine geçilmesi gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA

Hüküm veren Danıştay Onbeşinci Dairesince davalı idarelerin birinci

savunmaları alındıktan sonra incelenmesine karar verilen yürütmenin

durdurulması istemi, savunmaların verildiği görülmüş olmakla incelenerek

işin gereği görüşüldü:

KARAR : Dava, 20.10.2016 tarihli ve 29863 Sayılı Resmî Gazete'de

yayımlanarak yürürlüğe giren Kişisel Sağlık Verilerinin İşlenmesi ve


ve tümünün yürütmesinin durdurulması ve iptali istemiyle açılmıştır.

Davacılar, Anayasa'da kişisel verilerin otomatik işleme tabi tutulmasına dair

usul ve esasların ancak kanunla düzenlenebileceği belirtilmişken, sağlık

verilerinin işlenme ve korunma kurallarının yönetmelikle düzenlendiği,

6698 Sayılı Kanun'da sağlık gibi özel nitelikli verilerin işlenmesinde uyulacak

önlemleri belirlemekle yetkili olan Kişisel Verileri Koruma Kurulu



393

oluşturulmadan alana dair düzenleme yapıldığı, Kanunun 22. maddesinin 1.

fıkrasının (h) bendine göre diğer kurum ve kuruluşların kişisel verilere dair

hüküm içeren mevzuat taslaklarını hazırlarken Kurul'dan görüş almasının

zorunlu olduğu,

Dava konusu düzenlemede sağlık hizmeti ilişkisinin iki tarafı olan hekimlerin

sır saklama başta olmak üzere mesleki hak ve yükümlülükleri ile veri sahibi

hastanın haklarının yok sayıldığı, bu durumun aynı zamanda hastanın

Anayasa'nın 56. maddesinde güvence altına alınan sağlık hakkını ihlal ettiği,

Sağlık verilerinin rıza alınmaksızın işlenebileceği istisnai hallerin Yönetmelik

ve dayanak kanunda, ülkemizce usulüne uygun olarak onaylanarak

yürürlüğe giren 1981 tarihli ve 108 Sayılı "Kişisel Verilerin Otomatik İşleme

Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Sözleşme"ye aykırı

biçimde geniş tutulduğu, özel hayatın korunması ilkesinin özünün

zedelendiği,

Sözleşmenin 9. maddesinin 2. fıkrasında sağlık verilerinin işlenmeme

yasağına sadece devlet güvenliğinin korunması, kamu güvenliği, devletin

mali menfaatleri veya suçların önlenmesi ile ilgili kişinin veya başkasının hak

ve özgürlüklerinin korunması" halinde istisna getirilebileceği; ancak bu

istisnaların da kanunla düzenlenmesinin ve demokratik bir toplumda zorunlu

olmasının ön koşul olduğu, maddenin 1. fıkrasına göre ise sayılan bu haller

dışında devletlerin başka istisnai halleri düzenleyemeyeceği,

Dava konusu Yönetmeliğin "Kişisel sağlık verilerinin işlenmesi" başlıklı 7

maddesinin 1 fıkrasında "Kişisel sağlık verileri; kamu sağlığının korunması,

koruyucu hekimlik tıbbî teşhis tedavi ve bakım hizmetlerinin yürütülmesi,

sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır


tarafından ilgilinin açık rızası aranmaksızın işlenebileceği"nin belirtilerek

sözleşmedeki hallerin keyfi biçimde genişletildiği, bu maddenin 6698 Sayılı



392

Anayasa'nın 20. maddesinin 3. fıkrasındaki, kişisel verilerin korunmasına dair

esas ve usullerin kanunla düzenlenmesi hükmünün, bu alanın yalnızca

kanunla düzenleneceği anlamına gelmediği,

Anayasa'nın 20. maddesinde öngörülen kanun olan 6698 Sayılı Kanun ile

düzenleme altına alman fiillerin ne zaman hukuka aykırı, ne zaman hukuka

uygun olduğunun tereddütsüz olarak belirlendiği, suç teşkil eden fiiller

bakımından da Kanundan önce yürürlükte bulunan Türk Ceza Kanunu'nun

135-140. maddelerine özel olarak atıfta bulunulduğu, sağlık verilerinin özel

nitelikli kişisel veri olduğu, bu konunun da Kanunun 6. maddesiyle

düzenlendiği özel nitelikli kişisel verilere rastgele, dayanaksız bir

müdahalede bulunulmasının söz konusu olmadığı savunulmaktadır.

Danıştay Tetkik Hakimi Düşüncesi : Yönetmeliğin iptali istenen

maddelerinin incelemesine geçilmesi gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA

Hüküm veren Danıştay Onbeşinci Dairesince davalı idarelerin birinci

savunmaları alındıktan sonra incelenmesine karar verilen yürütmenin

durdurulması istemi, savunmaların verildiği görülmüş olmakla incelenerek

işin gereği görüşüldü:

KARAR : Dava, 20.10.2016 tarihli ve 29863 Sayılı Resmî Gazete'de

yayımlanarak yürürlüğe giren Kişisel Sağlık Verilerinin İşlenmesi ve


ve tümünün yürütmesinin durdurulması ve iptali istemiyle açılmıştır.

Davacılar, Anayasa'da kişisel verilerin otomatik işleme tabi tutulmasına dair

usul ve esasların ancak kanunla düzenlenebileceği belirtilmişken, sağlık

verilerinin işlenme ve korunma kurallarının yönetmelikle düzenlendiği,

6698 Sayılı Kanun'da sağlık gibi özel nitelikli verilerin işlenmesinde uyulacak

önlemleri belirlemekle yetkili olan Kişisel Verileri Koruma Kurulu



393

oluşturulmadan alana dair düzenleme yapıldığı, Kanunun 22. maddesinin 1.

fıkrasının (h) bendine göre diğer kurum ve kuruluşların kişisel verilere dair

hüküm içeren mevzuat taslaklarını hazırlarken Kurul'dan görüş almasının

zorunlu olduğu,

Dava konusu düzenlemede sağlık hizmeti ilişkisinin iki tarafı olan hekimlerin

sır saklama başta olmak üzere mesleki hak ve yükümlülükleri ile veri sahibi

hastanın haklarının yok sayıldığı, bu durumun aynı zamanda hastanın

Anayasa'nın 56. maddesinde güvence altına alınan sağlık hakkını ihlal ettiği,

Sağlık verilerinin rıza alınmaksızın işlenebileceği istisnai hallerin Yönetmelik

ve dayanak kanunda, ülkemizce usulüne uygun olarak onaylanarak

yürürlüğe giren 1981 tarihli ve 108 Sayılı "Kişisel Verilerin Otomatik İşleme

Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Sözleşme"ye aykırı

biçimde geniş tutulduğu, özel hayatın korunması ilkesinin özünün

zedelendiği,

Sözleşmenin 9. maddesinin 2. fıkrasında sağlık verilerinin işlenmeme

yasağına sadece devlet güvenliğinin korunması, kamu güvenliği, devletin

mali menfaatleri veya suçların önlenmesi ile ilgili kişinin veya başkasının hak

ve özgürlüklerinin korunması" halinde istisna getirilebileceği; ancak bu

istisnaların da kanunla düzenlenmesinin ve demokratik bir toplumda zorunlu

olmasının ön koşul olduğu, maddenin 1. fıkrasına göre ise sayılan bu haller

dışında devletlerin başka istisnai halleri düzenleyemeyeceği,

Dava konusu Yönetmeliğin "Kişisel sağlık verilerinin işlenmesi" başlıklı 7

maddesinin 1 fıkrasında "Kişisel sağlık verileri; kamu sağlığının korunması,

koruyucu hekimlik tıbbî teşhis tedavi ve bakım hizmetlerinin yürütülmesi,

sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır


tarafından ilgilinin açık rızası aranmaksızın işlenebileceği"nin belirtilerek

sözleşmedeki hallerin keyfi biçimde genişletildiği, bu maddenin 6698 Sayılı



394

Kanun'un 6 maddesinin 3. fıkrasının aynen tekrarı olduğu, diğer dayanak 663

Sayılı KHK'nın 47 maddesinin 2. fıkrasında da yer aldığı,

Maddede sayılan hallerin hiçbirinin demokratik bir toplumda gerekli, elzem,

amaçla orantılı ve ölçülü bir tedbir olmadığı,

Neredeyse hiçbir istisna hali bırakılmaksızın niteliği ne olursa olsun tüm

sağlık verilerinin işlenmesi kamu kurumlan arasında paylaşılması ve

uluslararası güçlere aktarılmasının toplumsal kaygılarla kişileri sağlık hizmeti

almaktan alıkoyabileceği, kişilerin bilgilerini kamusal olarak

kaydedilmesinden endişe ederek' bazı temel hak ve hürriyetleri

kullanmaktan imtina edebilecekleri,

Bu sebeplerle Yönetmeliğin 8. maddesinin 1. fıkrası ile 7. maddesinin 1.

fıkrasının ve bu fıkranın dayanağı olan 6698 Sayılı Kanun'un 6. maddesinin 3.

fıkrasının ve 663 Sayılı KHK'nın 47. maddesinin, Anayasa'nın 2., 17., 20., 56.

maddelerine, 108 Sayılı Sözleşmenin 9 maddesinin 2. fıkrasına ve BİYOTIP

Sözleşmesinin özel hayat ve bilgi edinme hakkına yönelik 10. maddesine

aykırılığından hareketle Anayasa'nın 90. maddesine aykırı olduğu,

Nitekim, 6698 Sayılı Kanun'un bir çok hükmünün ana muhalefet partisi

tarafından Anayasa Mahkemesi'ne götürüldüğü, bu hükümler içerisinde 6.

maddesinin 3 fıkrasının 663 Sayılı KHK'nın 47. maddesinin de bulunduğu,

Yönetmeliğin sağlık verilerinin korunmasına dair yeterli ve objektif hükümler

içermediği,

6. maddenin, 2. fıkrasındaki "Sağlık hizmet sunucuları, kişisel sağlık verilerinin

mahremiyetini sağlamak amacıyla Bakanlıkça belirlenen tüm önlemleri alır."

7. fıkrasının son cümlesindeki "Yetkilendirme, kayıt altına alma ve verilerin

muhafazasına dair hususlar, Genel Müdürlükçe belirlenir."



395

8. fıkrasındaki "Kişisel sağlık verilerinin bulunduğu bilgi sistemlerine erişen

kullanıcıların erişim kaydı, sağlık hizmet sunucularının sistemlerinde

Bakanlıkça belirlenen standartlara uygun olarak tutulur."

7. maddenin 4. fıkrasındaki "Kişisel sağlık verilerinin işlenmesinde ayrıca

Kurul tarafından belirlenen yeterli önlemler de alınır."

8. maddenin 3. fıkrasındaki "Kanun ile belirlenmiş olan görev ve

sorumluluklarını yerine getirmek üzere veri talebinde bulunan kamu kurum

ve kuruluşları ile Bakanlık veya bağlı kurum ve kuruluşları arasında yapılacak

veri aktarımı; aktarımın usulünü ve diğer gerekli hususları belirleyen bir

protokol aracılığı ile yapılır." ibarelerinde sağlık verilerini korumanın

yöntemi, esasları, kapsam, tam belirlenmeden idareye ucu açık, çevresi

çizilmemiş, sınırsız bir yetki verildiği; yönetmelikle düzenlenmesi gereken

hususların idarenin keyfine bırakıldığı kişisel sağlık verilerinin idare tarafından

işlenerek içeriği belirsiz protokoller ile diğer kamu kurum ve kuruluşlarına

aktarılabileceği, veri sahiplerinin ise bu protokol içeriklerine müdahale

edemeyecekleri, aktarımda uygulanacak kuralların belirli biçimde

düzenlenmemesi ve protokole bırakılması sebebiyle aktarımda uyulacak

esasların da bilinemeyeceği,

Yönetmeliğin 4. maddesinin 1. fıkrasının (o) bendinde yer alan veri

sorumlusunun 6698 Sayılı Kanun'un 3. maddesinin (ı) bendinin aynen tekrar,

olduğu, 11. maddesinde de veri sorumlusunun görevi, yetkileri ve

sorumluluk sınırlarının düzenlendiği, ancak veri sorumlusunun kim

olacağının belirtilmediği, oysa sağlık verilerini işlemeye girişen bu sistemi

kuran sağlık hizmet sunucularını buna uymaya zorlayan idarenin bu

sorumluluğu da üstlenerek veri sorumlusu olarak kabulünün gerektiği, veri

sorumlusunun kim olacağının yoruma yer bırakmayacak şekilde açıkça

düzenlenmesinin gerektiği, yani mevcut hükümlerin noksan düzenleme

sebebiyle hukuka aykırı oldukları,



394

Kanun'un 6 maddesinin 3. fıkrasının aynen tekrarı olduğu, diğer dayanak 663

Sayılı KHK'nın 47 maddesinin 2. fıkrasında da yer aldığı,

Maddede sayılan hallerin hiçbirinin demokratik bir toplumda gerekli, elzem,

amaçla orantılı ve ölçülü bir tedbir olmadığı,

Neredeyse hiçbir istisna hali bırakılmaksızın niteliği ne olursa olsun tüm

sağlık verilerinin işlenmesi kamu kurumlan arasında paylaşılması ve

uluslararası güçlere aktarılmasının toplumsal kaygılarla kişileri sağlık hizmeti

almaktan alıkoyabileceği, kişilerin bilgilerini kamusal olarak

kaydedilmesinden endişe ederek' bazı temel hak ve hürriyetleri

kullanmaktan imtina edebilecekleri,

Bu sebeplerle Yönetmeliğin 8. maddesinin 1. fıkrası ile 7. maddesinin 1.

fıkrasının ve bu fıkranın dayanağı olan 6698 Sayılı Kanun'un 6. maddesinin 3.

fıkrasının ve 663 Sayılı KHK'nın 47. maddesinin, Anayasa'nın 2., 17., 20., 56.

maddelerine, 108 Sayılı Sözleşmenin 9 maddesinin 2. fıkrasına ve BİYOTIP

Sözleşmesinin özel hayat ve bilgi edinme hakkına yönelik 10. maddesine

aykırılığından hareketle Anayasa'nın 90. maddesine aykırı olduğu,

Nitekim, 6698 Sayılı Kanun'un bir çok hükmünün ana muhalefet partisi

tarafından Anayasa Mahkemesi'ne götürüldüğü, bu hükümler içerisinde 6.

maddesinin 3 fıkrasının 663 Sayılı KHK'nın 47. maddesinin de bulunduğu,

Yönetmeliğin sağlık verilerinin korunmasına dair yeterli ve objektif hükümler

içermediği,

6. maddenin, 2. fıkrasındaki "Sağlık hizmet sunucuları, kişisel sağlık verilerinin

mahremiyetini sağlamak amacıyla Bakanlıkça belirlenen tüm önlemleri alır."

7. fıkrasının son cümlesindeki "Yetkilendirme, kayıt altına alma ve verilerin

muhafazasına dair hususlar, Genel Müdürlükçe belirlenir."



395

8. fıkrasındaki "Kişisel sağlık verilerinin bulunduğu bilgi sistemlerine erişen

kullanıcıların erişim kaydı, sağlık hizmet sunucularının sistemlerinde

Bakanlıkça belirlenen standartlara uygun olarak tutulur."

7. maddenin 4. fıkrasındaki "Kişisel sağlık verilerinin işlenmesinde ayrıca

Kurul tarafından belirlenen yeterli önlemler de alınır."

8. maddenin 3. fıkrasındaki "Kanun ile belirlenmiş olan görev ve

sorumluluklarını yerine getirmek üzere veri talebinde bulunan kamu kurum

ve kuruluşları ile Bakanlık veya bağlı kurum ve kuruluşları arasında yapılacak

veri aktarımı; aktarımın usulünü ve diğer gerekli hususları belirleyen bir

protokol aracılığı ile yapılır." ibarelerinde sağlık verilerini korumanın

yöntemi, esasları, kapsam, tam belirlenmeden idareye ucu açık, çevresi

çizilmemiş, sınırsız bir yetki verildiği; yönetmelikle düzenlenmesi gereken

hususların idarenin keyfine bırakıldığı kişisel sağlık verilerinin idare tarafından

işlenerek içeriği belirsiz protokoller ile diğer kamu kurum ve kuruluşlarına

aktarılabileceği, veri sahiplerinin ise bu protokol içeriklerine müdahale

edemeyecekleri, aktarımda uygulanacak kuralların belirli biçimde

düzenlenmemesi ve protokole bırakılması sebebiyle aktarımda uyulacak

esasların da bilinemeyeceği,

Yönetmeliğin 4. maddesinin 1. fıkrasının (o) bendinde yer alan veri

sorumlusunun 6698 Sayılı Kanun'un 3. maddesinin (ı) bendinin aynen tekrar,

olduğu, 11. maddesinde de veri sorumlusunun görevi, yetkileri ve

sorumluluk sınırlarının düzenlendiği, ancak veri sorumlusunun kim

olacağının belirtilmediği, oysa sağlık verilerini işlemeye girişen bu sistemi

kuran sağlık hizmet sunucularını buna uymaya zorlayan idarenin bu

sorumluluğu da üstlenerek veri sorumlusu olarak kabulünün gerektiği, veri

sorumlusunun kim olacağının yoruma yer bırakmayacak şekilde açıkça

düzenlenmesinin gerektiği, yani mevcut hükümlerin noksan düzenleme

sebebiyle hukuka aykırı oldukları,



396

Sağlık verisi sahibinin Anayasa ve 108 numaralı Sözleşme ile güvence altına

alınan haklarının yönetmelikle ortadan kaldırıldığı,

Örneğin, veri sahibi kişilerin tutulan tutulan sağlık verilerinin başka kurumlara

ya da özel firmalara aktarılmasına rıza göstermeme gibi bir hakka sahip

olmadığı, bu durumun verilerin silinmesini talep hakkı için de geçerli

olduğunu, Yönetmeliğin 15. maddesinin 5. fıkrasında "ilgili kişi, kişisel

sağlık kaydı sistemi üzerinden kendisine dair sağlık verilerini yönetebilir bu

verileri silebilir, eksik bilgilerinin sisteme eklenmesini, yanlış bilgilerin

düzeltilmesini veya silinmesini talep edebilir, kullanıcı hesabını dondurabilir"

düzenlemesine yer verildiğini, ancak verilerin asıl tutulduğu ve Bakanlığın

elinde olan sistemin "Merkezi Sağlık Veri Sistemi" olduğu veri sahibinin bu

sisteme müdahale olanağının bulunmadığı, sadece kendi kendi hesabı

olan kişisel sağlık kaydı sistemi üzerinde değişiklik yapmasının bir anlamının

bulunmadığı,

Yönetmeliğin 5. maddesinin 2. fıkrasının (d) bendine göre sağlık verilerinin

işlendikleri amaç için gerekli olan süre kadar saklanabileceğinin belirtildiği,

ancak verilerin hangi süreden sonra silineceğinin düzenlenmediği, 9.

maddenin 3. fıkrasında işlenen sağlık verilerinin yerel veri tabanından 10 yıl

sonra silineceğinin belirtildiği, ancak sistemin ana bilgi deposu olan merkezi

sağlık veri sisteminden ne zaman silineceğinin düzenlenmediği,

9. maddenin 1. fıkrasındaki "Bu Yönetmelik, 6698 Sayılı Kanun ve ilgili diğer

kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini

gerektiren sebeplerin ortadan kalkması halinde kişisel sağlık verileri, ilgili

kişinin talebi üzerine veri sorumlusu tarafından anonim hale getirilir veya

silinir." ibaresi ile idareye takdir hakkı tanındığı oysa işlenme sebebi ortadan

kalkar kalkmaz verinin silinmesinin esas olması gerektiği,

9. maddenin 2. fıkrası ile sağlık verisi sahibinin silinme talep etmesine rağmen

idare tarafından "bir hakkın tesisi, kullanılması veya korunması ya da verilerin



397

ihtiyaç halinde adli mercilere verilebilmesi" gibi son derece muğlak ve her

durumu kapsayan hallerde verilerin silinmeyip arşivlendiği,

Bu nedenlerle, Yönetmeliğin 9. maddesinin 1., 2. ve 3. fıkralarının hukuka

aykırı olduğu,

Yönetmelikle "Kişisel Sağlık Verileri Komisyonu" adı altında dayanak

yasalarda öngörülmeyen bir komisyonun oluşturulduğu, Kişisel Verileri

Koruma Kurulunun yurtdışına veri aktarılmasına karar verme yetkisinin

Komisyona verildiği,

"Sağlık Verileri Komisyonu" başlıklı 12. maddenin 1. fıkrasında "Kişisel sağlık

verilerine dair hususlarda, Kanunun ve Kişisel Verileri Koruma Kurulunun

belirlediği ilkelere uygun olarak Bakanlık politikasının belirlenmesine

yardımcı olmak, görüş belirtmek anlaşmazlıkları çözümlemek veri

aktarımına dair başvurular, değerlendirmek şikayetleri incelemek ve gerekli

denetimleri yapmak üzere, Müsteşara bağlı olarak görev yapacak Kişisel

Sağlık Verileri Komisyonunun oluşturulduğu"

2 fıkrasında "Komisyonun, Müsteşarın veya görevlendirdiği Müsteşar

Yardımcısının başkanlığında Hukuk Müşavirliği, Sağlık Hizmetleri Genel

Müdürlüğü, Sağlık Bilgi Sistemleri Genel Müdürlüğü, Yönetim Hizmetleri

Genel Müdürlüğü, Acil Sağlık Hizmetleri Genel Müdürlüğü, Türkiye Kamu

Hastaneleri Kurumu, Türkiye Halk Sağlığı Kurumu, Türkiye İlaç ve Tıbbi Cihaz

Kurumu ve Türkiye Hudut ve Sahiller Sağlık Genel Müdürlüğünün bu işle ilgili

yetkilendirildikleri birer üyeden üyeden oluşacağının" düzenlendiği,

Alana dair önemli kararlar, alan sürekli kurulların Bakanlıkların görev ve

yetkisini düzenleyen kanunlarda açıkça düzenlenmiş ya da kurulmasına

olanak sağlanmış olmasının şart olduğu, bu haliyle Komisyonun kuruluş

meşruiyetini yasadan alan, tarafsız ve alana dair meslek örgütlerinin



396

Sağlık verisi sahibinin Anayasa ve 108 numaralı Sözleşme ile güvence altına

alınan haklarının yönetmelikle ortadan kaldırıldığı,

Örneğin, veri sahibi kişilerin tutulan tutulan sağlık verilerinin başka kurumlara

ya da özel firmalara aktarılmasına rıza göstermeme gibi bir hakka sahip

olmadığı, bu durumun verilerin silinmesini talep hakkı için de geçerli

olduğunu, Yönetmeliğin 15. maddesinin 5. fıkrasında "ilgili kişi, kişisel

sağlık kaydı sistemi üzerinden kendisine dair sağlık verilerini yönetebilir bu

verileri silebilir, eksik bilgilerinin sisteme eklenmesini, yanlış bilgilerin

düzeltilmesini veya silinmesini talep edebilir, kullanıcı hesabını dondurabilir"

düzenlemesine yer verildiğini, ancak verilerin asıl tutulduğu ve Bakanlığın

elinde olan sistemin "Merkezi Sağlık Veri Sistemi" olduğu veri sahibinin bu

sisteme müdahale olanağının bulunmadığı, sadece kendi kendi hesabı

olan kişisel sağlık kaydı sistemi üzerinde değişiklik yapmasının bir anlamının

bulunmadığı,

Yönetmeliğin 5. maddesinin 2. fıkrasının (d) bendine göre sağlık verilerinin

işlendikleri amaç için gerekli olan süre kadar saklanabileceğinin belirtildiği,

ancak verilerin hangi süreden sonra silineceğinin düzenlenmediği, 9.

maddenin 3. fıkrasında işlenen sağlık verilerinin yerel veri tabanından 10 yıl

sonra silineceğinin belirtildiği, ancak sistemin ana bilgi deposu olan merkezi

sağlık veri sisteminden ne zaman silineceğinin düzenlenmediği,

9. maddenin 1. fıkrasındaki "Bu Yönetmelik, 6698 Sayılı Kanun ve ilgili diğer

kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini

gerektiren sebeplerin ortadan kalkması halinde kişisel sağlık verileri, ilgili

kişinin talebi üzerine veri sorumlusu tarafından anonim hale getirilir veya

silinir." ibaresi ile idareye takdir hakkı tanındığı oysa işlenme sebebi ortadan

kalkar kalkmaz verinin silinmesinin esas olması gerektiği,

9. maddenin 2. fıkrası ile sağlık verisi sahibinin silinme talep etmesine rağmen

idare tarafından "bir hakkın tesisi, kullanılması veya korunması ya da verilerin



397

ihtiyaç halinde adli mercilere verilebilmesi" gibi son derece muğlak ve her

durumu kapsayan hallerde verilerin silinmeyip arşivlendiği,

Bu nedenlerle, Yönetmeliğin 9. maddesinin 1., 2. ve 3. fıkralarının hukuka

aykırı olduğu,

Yönetmelikle "Kişisel Sağlık Verileri Komisyonu" adı altında dayanak

yasalarda öngörülmeyen bir komisyonun oluşturulduğu, Kişisel Verileri

Koruma Kurulunun yurtdışına veri aktarılmasına karar verme yetkisinin

Komisyona verildiği,

"Sağlık Verileri Komisyonu" başlıklı 12. maddenin 1. fıkrasında "Kişisel sağlık

verilerine dair hususlarda, Kanunun ve Kişisel Verileri Koruma Kurulunun

belirlediği ilkelere uygun olarak Bakanlık politikasının belirlenmesine

yardımcı olmak, görüş belirtmek anlaşmazlıkları çözümlemek veri

aktarımına dair başvurular, değerlendirmek şikayetleri incelemek ve gerekli

denetimleri yapmak üzere, Müsteşara bağlı olarak görev yapacak Kişisel

Sağlık Verileri Komisyonunun oluşturulduğu"

2 fıkrasında "Komisyonun, Müsteşarın veya görevlendirdiği Müsteşar

Yardımcısının başkanlığında Hukuk Müşavirliği, Sağlık Hizmetleri Genel

Müdürlüğü, Sağlık Bilgi Sistemleri Genel Müdürlüğü, Yönetim Hizmetleri

Genel Müdürlüğü, Acil Sağlık Hizmetleri Genel Müdürlüğü, Türkiye Kamu

Hastaneleri Kurumu, Türkiye Halk Sağlığı Kurumu, Türkiye İlaç ve Tıbbi Cihaz

Kurumu ve Türkiye Hudut ve Sahiller Sağlık Genel Müdürlüğünün bu işle ilgili

yetkilendirildikleri birer üyeden üyeden oluşacağının" düzenlendiği,

Alana dair önemli kararlar, alan sürekli kurulların Bakanlıkların görev ve

yetkisini düzenleyen kanunlarda açıkça düzenlenmiş ya da kurulmasına

olanak sağlanmış olmasının şart olduğu, bu haliyle Komisyonun kuruluş

meşruiyetini yasadan alan, tarafsız ve alana dair meslek örgütlerinin



398

katılımıyla oluşan bir oluşum olmadığı, bu sebeple 12. maddenin tamamının

hukuka aykırı olduğu,

Yönetmeliğin 8. maddesinin 4. fıkrasındaki "Kişisel sağlık verilerinin

uluslararası aktarımına dair her türlü talep ile bu maddede sayılanlar dışındaki

veri aktarım talepleri Kanunda öngörülen hükümler çerçevesinde, genetik

verilerin hassasiyeti hususu da dikkate alınarak Komisyon tarafından

değerlendirilir" ibaresinin, 6698 Sayılı Kanun'un 9. maddesine açıkça aykırı

olduğu, Kanunda yurt dışına veri aktarılmasına yönelik talepler hakkında

karar verme yetkisinin Kişisel Verileri Koruma Kurulu'nda olduğunu ileri

sürerek, düzenlemenin yürütmesinin durdurulması ve iptalini

istemektedirler.

07.04.2016 tarihli ve 29677 Sayılı Resmi Gazete'de yayımlanarak yürürlüğe

giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Türkiye Büyük Millet

Meclisine sunulan genel gerekçesinden de anlaşılacağı üzere, kişisel verilerin

korunması konusunun pek çok sektörü ve kamu ya da özel pek çok kurumu

ilgilendirmesi sebebiyle bir "çerçeve kanun" olarak hazırlanmıştır.

Bu Kanuna neden ihtiyaç duyulduğunu açıklayan genel gerekçede Türk Ceza

Kanunu'nun 135 vd. maddelerinde kişisel verilerin hukuka aykırı olarak elde

edilmesi kaydedilmesi veya ifşa edilmesi fiillerinin suç olarak düzenlendiği ve

yaptırıma başlandığı, ancak kişisel verilerin işlenmesine yönelik özel bir

kanun bulunmaması sebebiyle bu fiillerin ne zaman hukuka aykırı ne zaman

hukuka uygun olduğunun belirlenmesinde tereddütler yaşandığı

vurgulanmaktadır. Ayrıca 2010 yılında Anayasa'nın 20. maddesinde yapılan

düzenlemeyle kişisel verilerin korunması temel bir insan hakkı olarak

güvence alınmış ve konuya dair usul ve esasların kanunla düzenleneceği

öngörülmüştür.

Genel gerekçede, kişisel verilerin korunmasına yönelik bir kanuni düzenleme

olmamasının uluslararası ilişkiler açısından da sorunlar yarattığı, EUROPOL



399

EUROJUST gibi Avrupa kurumları ile ilişkilerin sekteye uğradığı, sağlık

kuruluşlarınca tutulan kişisel verilerin güvenliğinin sağlanmasında yeterli

yasal önlem olmamasının Avrupa İnsan Hakları Mahkemesince özel hayatın

gizliliğine müdahale olarak kabul edildiği ve bu sebeple ihlal kararları

verildiği belirtilmektedir. Yine genel gerekçede, bu Kanunun Türkiye'nin

Avrupa Birliğine üyelik süreci açısından da önemine dikkat çekilmekte,

Türkiye'nin, Avrupa Konseyi tarafından tüm üye ülkelerde kişisel verilerin

aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi

amacıyla hazırlanan 108 Sayılı "Kişisel Verilerin Otomatik İşleme Tabi

Tutulması Karşısında Bireylerin Korunması Sözleşmesi" ne de 1981 yılından

itibaren taraf olduğu ifade edilmektedir.

Bütün bu hususlardan anlaşılacağı üzere 6698 Sayılı Kanun, kişisel verilerin

korunması konusunda önemli bir yasal boşluğu doldurmak amacıyla kabul

edilen çerçeve niteliğinde bir yasal düzenlemedir. Genel gerekçede yer

verilen şu tespit Kanun ile oluşturulan Kişisel Verileri Koruma Kurulu'nun

genel kontrol ve denetleme işlevlerine dikkat çekmesi bakımından

önemlidir. "Ülkemizde kişisel verilerin işlenmesi sürecini kontrol edecek ve

denetleyecek bir kurum bulunmamaktadır. Bunun bir sonucu olarak halen

kişisel veriler yeterli düzenleme ve denetime tabi olmaksızın, birçok kişi veya

kurum tarafından kullanabilmekte ve bu durum bazı hak ihlallerinin

yaşanmasına sebep olabilmektedir."

6698 Sayılı Kanun'un 21. maddesi hükümlerine göre oluşturulan Kişisel

Verileri Koruma Kurulunun görev ve yetkileri, aynı Kanun'un 22. maddesiyle

belirlenmiştir. 22. maddenin 1. fıkrasının (h) bendinde "Diğer kurum ve


taslakları hakkında görüş bildirmek" hükmüne yer verilmiştir

Anılan Kanun'un, "özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6.

maddesinin 1. fıkrasında davaya konu Yönetmelikle düzenlenen, sağlık



398

katılımıyla oluşan bir oluşum olmadığı, bu sebeple 12. maddenin tamamının

hukuka aykırı olduğu,

Yönetmeliğin 8. maddesinin 4. fıkrasındaki "Kişisel sağlık verilerinin

uluslararası aktarımına dair her türlü talep ile bu maddede sayılanlar dışındaki

veri aktarım talepleri Kanunda öngörülen hükümler çerçevesinde, genetik

verilerin hassasiyeti hususu da dikkate alınarak Komisyon tarafından

değerlendirilir" ibaresinin, 6698 Sayılı Kanun'un 9. maddesine açıkça aykırı

olduğu, Kanunda yurt dışına veri aktarılmasına yönelik talepler hakkında

karar verme yetkisinin Kişisel Verileri Koruma Kurulu'nda olduğunu ileri

sürerek, düzenlemenin yürütmesinin durdurulması ve iptalini

istemektedirler.

07.04.2016 tarihli ve 29677 Sayılı Resmi Gazete'de yayımlanarak yürürlüğe

giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Türkiye Büyük Millet

Meclisine sunulan genel gerekçesinden de anlaşılacağı üzere, kişisel verilerin

korunması konusunun pek çok sektörü ve kamu ya da özel pek çok kurumu

ilgilendirmesi sebebiyle bir "çerçeve kanun" olarak hazırlanmıştır.

Bu Kanuna neden ihtiyaç duyulduğunu açıklayan genel gerekçede Türk Ceza

Kanunu'nun 135 vd. maddelerinde kişisel verilerin hukuka aykırı olarak elde

edilmesi kaydedilmesi veya ifşa edilmesi fiillerinin suç olarak düzenlendiği ve

yaptırıma başlandığı, ancak kişisel verilerin işlenmesine yönelik özel bir

kanun bulunmaması sebebiyle bu fiillerin ne zaman hukuka aykırı ne zaman

hukuka uygun olduğunun belirlenmesinde tereddütler yaşandığı

vurgulanmaktadır. Ayrıca 2010 yılında Anayasa'nın 20. maddesinde yapılan

düzenlemeyle kişisel verilerin korunması temel bir insan hakkı olarak

güvence alınmış ve konuya dair usul ve esasların kanunla düzenleneceği

öngörülmüştür.

Genel gerekçede, kişisel verilerin korunmasına yönelik bir kanuni düzenleme

olmamasının uluslararası ilişkiler açısından da sorunlar yarattığı, EUROPOL



399

EUROJUST gibi Avrupa kurumları ile ilişkilerin sekteye uğradığı, sağlık

kuruluşlarınca tutulan kişisel verilerin güvenliğinin sağlanmasında yeterli

yasal önlem olmamasının Avrupa İnsan Hakları Mahkemesince özel hayatın

gizliliğine müdahale olarak kabul edildiği ve bu sebeple ihlal kararları

verildiği belirtilmektedir. Yine genel gerekçede, bu Kanunun Türkiye'nin

Avrupa Birliğine üyelik süreci açısından da önemine dikkat çekilmekte,

Türkiye'nin, Avrupa Konseyi tarafından tüm üye ülkelerde kişisel verilerin

aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi

amacıyla hazırlanan 108 Sayılı "Kişisel Verilerin Otomatik İşleme Tabi

Tutulması Karşısında Bireylerin Korunması Sözleşmesi" ne de 1981 yılından

itibaren taraf olduğu ifade edilmektedir.

Bütün bu hususlardan anlaşılacağı üzere 6698 Sayılı Kanun, kişisel verilerin

korunması konusunda önemli bir yasal boşluğu doldurmak amacıyla kabul

edilen çerçeve niteliğinde bir yasal düzenlemedir. Genel gerekçede yer

verilen şu tespit Kanun ile oluşturulan Kişisel Verileri Koruma Kurulu'nun

genel kontrol ve denetleme işlevlerine dikkat çekmesi bakımından

önemlidir. "Ülkemizde kişisel verilerin işlenmesi sürecini kontrol edecek ve

denetleyecek bir kurum bulunmamaktadır. Bunun bir sonucu olarak halen

kişisel veriler yeterli düzenleme ve denetime tabi olmaksızın, birçok kişi veya

kurum tarafından kullanabilmekte ve bu durum bazı hak ihlallerinin

yaşanmasına sebep olabilmektedir."

6698 Sayılı Kanun'un 21. maddesi hükümlerine göre oluşturulan Kişisel

Verileri Koruma Kurulunun görev ve yetkileri, aynı Kanun'un 22. maddesiyle

belirlenmiştir. 22. maddenin 1. fıkrasının (h) bendinde "Diğer kurum ve


taslakları hakkında görüş bildirmek" hükmüne yer verilmiştir

Anılan Kanun'un, "özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6.

maddesinin 1. fıkrasında davaya konu Yönetmelikle düzenlenen, sağlık



400

verilerinin de özel nitelikli kişisel veri olduğu belirtilmiş; maddenin 4.

fıkrasında, "özel nitelikli kişisel verilerin işlenmesinde ayrıca Kurul tarafından

belirlenen yeterli önlemlerin alınması şarttır." hükmü getirilmiştir.

6698 Sayılı Kanun'un Geçici 1. maddesi hükmü uyarınca, Kanunun 21.

maddesine göre oluşturulacak Kişisel Verileri Koruma Kurulu'nun Kanunun

Resmi Gazetede yayımlandığı 7/4/2016 tarihinden itibaren altı ay içinde

üyelerinin seçiminin tamamlanması gerekmekte iken, bu yasal gerekliliğin

ancak 30.01.2017 tarihinde yerine getirilebildiği anlaşılmaktadır.

Davalıların savunmaları ve dosya içeriğinden, davaya konu yönetmeliğin

Resmi Gazete'de yayımlandığı tarih olan 20.10.2016'da Kişisel Verileri

Koruma Kurulu'nun henüz oluşturulmadığı, dolayısıyla 6698 Sayılı

Kanun'un 6. maddesinin 4. fıkrasında belirtilen yeterli önlemlerin Kurul

tarafından belirlenmediği ve Kanun'un 22. maddesinin 1. fıkrasının (h)

bendine göre diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere dair

hüküm içeren mevzuat taslakları hakkında Kurul görüşü alınmadan davaya

konu düzenlemenin tesis edildiği görülmektedir.

Yukarıda yer verilen genel gerekçe ve Kanun hükümlerine göre, Kişisel

Verileri Koruma Kurulu'nun kişisel verilerin korunması konusunda genel

nitelikte bir kontrol ve denetim yetkisine sahip olduğu, diğer kurum ve

kuruluşlarca hazırlanan ve kişisel verilere dair hükümler içeren mevzuat

taslakları hakkında Kişisel Verileri Koruma Kurulun'dan görüş alınmasının şart

olduğu, Kişisel Verileri Koruma Kurulu'nun kontrol ve denetiminden

geçirilmeksizin hazırlanan ve 20.10.2016 tarihinde Resmi Gazete'de

yayımlanarak yürürlüğe giren davaya konu düzenlemede bu sebeple

mevzuata ve hukuka uygunluk bulunmadığı sonucuna ulaşılmıştır.

SONUÇ : Açıklanan nedenlerle, olayda 2577 Sayılı İdari Yargılama Usulü

Kanunu'nun 4001 Sayılı Kanun ile değişik 27. maddesinin 2. fıkrasında sayılan

koşullar gerçekleşmiş olduğundan yürütmenin durdurulması isteminin



401

kabulüne, 20.10.2016 tarihli ve 29863 Sayılı Resmi Gazetede yayımlanarak

yürürlüğü giren, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin

Sağlanması Hakkında Yönetmeliğin yürürlüğünün durdurulmasına, bu

kararın tebliğini izleyen günden itibaren 7 gün içinde İdari Dava Daireleri

Kurulu'na itiraz yolu açık olmak üzere, 06.07.2017 tarihinde oyçokluğu ile

karar verildi.



400

verilerinin de özel nitelikli kişisel veri olduğu belirtilmiş; maddenin 4.

fıkrasında, "özel nitelikli kişisel verilerin işlenmesinde ayrıca Kurul tarafından

belirlenen yeterli önlemlerin alınması şarttır." hükmü getirilmiştir.

6698 Sayılı Kanun'un Geçici 1. maddesi hükmü uyarınca, Kanunun 21.

maddesine göre oluşturulacak Kişisel Verileri Koruma Kurulu'nun Kanunun

Resmi Gazetede yayımlandığı 7/4/2016 tarihinden itibaren altı ay içinde

üyelerinin seçiminin tamamlanması gerekmekte iken, bu yasal gerekliliğin

ancak 30.01.2017 tarihinde yerine getirilebildiği anlaşılmaktadır.

Davalıların savunmaları ve dosya içeriğinden, davaya konu yönetmeliğin

Resmi Gazete'de yayımlandığı tarih olan 20.10.2016'da Kişisel Verileri

Koruma Kurulu'nun henüz oluşturulmadığı, dolayısıyla 6698 Sayılı

Kanun'un 6. maddesinin 4. fıkrasında belirtilen yeterli önlemlerin Kurul

tarafından belirlenmediği ve Kanun'un 22. maddesinin 1. fıkrasının (h)

bendine göre diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere dair

hüküm içeren mevzuat taslakları hakkında Kurul görüşü alınmadan davaya

konu düzenlemenin tesis edildiği görülmektedir.

Yukarıda yer verilen genel gerekçe ve Kanun hükümlerine göre, Kişisel

Verileri Koruma Kurulu'nun kişisel verilerin korunması konusunda genel

nitelikte bir kontrol ve denetim yetkisine sahip olduğu, diğer kurum ve

kuruluşlarca hazırlanan ve kişisel verilere dair hükümler içeren mevzuat

taslakları hakkında Kişisel Verileri Koruma Kurulun'dan görüş alınmasının şart

olduğu, Kişisel Verileri Koruma Kurulu'nun kontrol ve denetiminden

geçirilmeksizin hazırlanan ve 20.10.2016 tarihinde Resmi Gazete'de

yayımlanarak yürürlüğe giren davaya konu düzenlemede bu sebeple

mevzuata ve hukuka uygunluk bulunmadığı sonucuna ulaşılmıştır.

SONUÇ : Açıklanan nedenlerle, olayda 2577 Sayılı İdari Yargılama Usulü

Kanunu'nun 4001 Sayılı Kanun ile değişik 27. maddesinin 2. fıkrasında sayılan

koşullar gerçekleşmiş olduğundan yürütmenin durdurulması isteminin



401

kabulüne, 20.10.2016 tarihli ve 29863 Sayılı Resmi Gazetede yayımlanarak

yürürlüğü giren, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin

Sağlanması Hakkında Yönetmeliğin yürürlüğünün durdurulmasına, bu

kararın tebliğini izleyen günden itibaren 7 gün içinde İdari Dava Daireleri

Kurulu'na itiraz yolu açık olmak üzere, 06.07.2017 tarihinde oyçokluğu ile

karar verildi.

Documents

Kişisel Veri Koruma Hukuku: Mevzuat & İçtihat (v1.2 / 1 ... · Kişisel Veri Koruma Hukuku alanındaki mevzuat ve içtihatlara pratik şekilde erişmek amacıyla hazırlanmıştır