KVKK İlgili Maddeler

KİŞİSEL VERİLERİNKORUNMASI KANUNU

Kanun Numarası: 6698

Kabul Tarihi: 24/3/2016

Yayımlandığı R.Gazete: Tarih: 7/4/2016

Sayı: 29677

Yayımlandığı Düstur: Tertip : 5 Cilt : 57

BİRİNCİ BÖLÜM

Amaç, Kapsam ve Tanımlar

Amaç

MADDE1-(1)BuKanununamacı,kişiselverilerinişlenmesindebaştaözel

hayatıngizliliğiolmaküzerekişilerintemelhakveözgürlüklerinikorumakve

kişisel verileriişleyengerçekvetüzel kişilerinyükümlülükleriile uyacakları usul

ve esasları düzenlemektir.

Kapsam

MADDE2-(1)BuKanunhükümleri,KİŞİSELVERİLERİİŞLENENGERÇEK

KİŞİLERilebuverileritamamenveyakısmenotomatikolanyadaherhangibirveri

kayıtsistemininparçasıolmakkaydıylaotomatikolmayanyollarlaişleyengerçekve

tüzel kişiler hakkında uygulanır.

Tanımlar

MADDE 3-(1) Bu Kanunun uygulanmasında;

a)AÇIK RIZA:Belirlibir konuya ilişkin,bilgilendirilmeyedayanan veözgür

iradeyleaçıklanan rızayı,

b)Anonimhâlegetirme:Kişiselverilerin,başkaverilerleeşleştirilerekdahihiçbir

surettekimliğibelirliveyabelirlenebilirbirgerçekkişiyleilişkilendirilemeyecekhâle

getirilmesini,

c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,

ç)İLGİLİ KİŞİ: Kişisel verisi işlenen gerçek kişiyi,

d)KİŞİSELVERİ:Kimliğibelirliveyabelirlenebilirgerçekkişiyeilişkinher

türlü bilgiyi,

e)KİŞİSELVERİLERİNİŞLENMESİ:Kişiselverilerintamamenveyakısmen

otomatikolanyadaherhangibirverikayıtsistemininparçasıolmakkaydıyla

otomatikolmayanyollarlaeldeedilmesi,kaydedilmesi,depolanması,

muhafazaedilmesi,değiştirilmesi,yenidendüzenlenmesi,açıklanması,

aktarılması,devralınması,eldeedilebilirhâlegetirilmesi,sınıflandırılması

yadakullanılmasınınengellenmesigibiverilerüzerindegerçekleştirilenher

türlü işlemi,

f) Kurul: Kişisel Verileri Koruma Kurulunu,

g) Kurum: Kişisel Verileri Koruma Kurumunu,

ğ)Veri işleyen:Verisorumlusununverdiği yetkiye dayanarakonunadına kişisel

verileri işleyen gerçek veya tüzel kişiyi,

h)Verikayıtsistemi:Kişiselverilerinbelirlikriterleregöreyapılandırılarak

işlendiği kayıt sistemini,

ı)VERİSORUMLUSU:Kişiselverilerinişlemeamaçlarınıvevasıtalarını

belirleyen,verikayıtsistemininkurulmasındanveyönetilmesindensorumluolan

gerçek veya tüzel kişiyi,

ifade eder.

İKİNCİ BÖLÜM

Kişisel Verilerin İşlenmesi

Genel ilkeler

MADDE4-(1)Kişiselveriler,ancakbuKanundavediğerkanunlardaöngörülen

usul ve esaslara uygun olarak işlenebilir.

(2)Kişiselverilerinişlenmesindeaşağıdakiilkelereuyulması

zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olma.

b) Doğru ve gerektiğinde güncel olma.

c)Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d)İlgili mevzuattaöngörülen veyaişlendikleriamaç içingerekli olan

süre kadar muhafaza edilme.

Kişisel verilerin işlenme şartları

MADDE5-(1)Kişiselverilerilgilikişininaçıkrızasıolmaksızın

işlenemez.

(2)Aşağıdakişartlardanbirininvarlığıhâlinde,ilgilikişininaçıkrızası

aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b)Fiiliimkânsızlıknedeniylerızasınıaçıklayamayacakdurumdabulunanveya

rızasınahukukigeçerliliktanınmayankişininkendisininyadabirbaşkasınınhayatı

veya beden bütünlüğünün korunması için zorunlu olması.

c)Birsözleşmeninkurulmasıveyaifasıyladoğrudandoğruyailgili

olmasıkaydıyla,sözleşmenintaraflarınaaitkişiselverilerinişlenmesinin

gerekli olması.

ç)Verisorumlusununhukukiyükümlülüğünüyerinegetirebilmesi

için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e)Birhakkıntesisi,kullanılmasıveyakorunmasıiçinveriişlemeninzorunlu

olması.

f)İlgilikişinintemelhakveözgürlüklerinezararvermemekkaydıyla,

verisorumlusununmeşrumenfaatleriiçinveriişlenmesininzorunlu

olması.

Özel nitelikli kişisel verilerin işlenme şartları

MADDE6-(1)Kişilerinırkı,etnikkökeni,siyasidüşüncesi,felsefi

inancı,dini,mezhebiveyadiğerinançları,kılıkvekıyafeti,dernek,vakıf

yadasendikaüyeliği,sağlığı,cinselhayatı,cezamahkûmiyetivegüvenlik

tedbirleriyleilgiliverileriilebiyometrikvegenetikverileriözelnitelikli

kişisel veridir.

(2)Özelniteliklikişiselverilerin,ilgilininaçıkrızasıolmaksızınişlenmesi

yasaktır.

(3)Birincifıkradasayılansağlıkvecinselhayatdışındakikişiselveriler,

kanunlardaöngörülenhâllerde ilgilikişininaçıkrızasıaranmaksızınişlenebilir.Sağlık

ve cinsel hayatailişkinkişisel verileriseancak kamu sağlığının korunması, koruyucu

hekimlik, tıbbî teşhis, tedavive bakımhizmetlerinin yürütülmesi, sağlık hizmetleri ile

finansmanınınplanlanmasıveyönetimiamacıyla,sırsaklamayükümlülüğüaltında

bulunankişilerveyayetkilikurumvekuruluşlartarafındanilgilininaçıkrızası

aranmaksızın işlenebilir.

(4)Özelniteliklikişiselverilerinişlenmesinde,ayrıcaKurultarafındanbelirlenen

yeterli önlemlerin alınması şarttır.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi

MADDE7-(1)BuKanunveilgilidiğerkanunhükümlerineuygunolarak

işlenmişolmasınarağmen,işlenmesinigerektirensebeplerinortadankalkmasıhâlinde

kişisel veriler resenveyailgili kişinintalebi üzerine verisorumlusutarafından silinir,

yok edilir veya anonim hâle getirilir.

(2)Kişiselverilerinsilinmesi,yokedilmesiveyaanonimhâlegetirilmesineilişkin

diğer kanunlarda yer alan hükümler saklıdır.

(3)Kişiselverilerinsilinmesine,yokedilmesineveyaanonimhâlegetirilmesine

ilişkin usul ve esaslar yönetmelikle düzenlenir.

Kişisel verilerin aktarılması

MADDE8-(1)Kişiselveriler,ilgilikişininaçıkrızasıolmaksızın

aktarılamaz.

(2) Kişisel veriler;

a) 5 inci maddenin ikinci fıkrasında,

b)Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında,

belirtilenşartlardanbirininbulunmasıhâlinde,ilgilikişininaçıkrızası

aranmaksızın aktarılabilir.

(3)Kişiselverilerinaktarılmasınailişkindiğerkanunlardayeralanhükümler

saklıdır.

Kişisel verilerin yurt dışına aktarılması

MADDE9-(1)Kişiselveriler,ilgilikişininaçıkrızasıolmaksızınyurtdışına

aktarılamaz.

(2)Kişiselveriler,5incimaddeninikincifıkrasıile6ncımaddeninüçüncü

fıkrasındabelirtilenşartlardanbirininvarlığıvekişiselverininaktarılacağıyabancı

ülkede;

a) Yeterli korumanın bulunması,

b)YeterlikorumanınbulunmamasıdurumundaTürkiye’dekiveilgiliyabancı

ülkedekiverisorumlularınınyeterlibirkorumayıyazılıolaraktaahhütetmelerive

Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

(4)Kurulyabancıülkedeyeterlikorumabulunupbulunmadığınaveikinci

fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;

a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

b)KişiselveritalepedenülkeileTürkiyearasındaveriaktarımınailişkin

karşılıklılık durumunu,

c)Hersomutkişiselveriaktarımınailişkinolarak,kişiselverininniteliğiile

işlenme amaç ve süresini,

ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

d)Kişiselverininaktarılacağıülkede bulunanveri sorumlusutarafındantaahhüt

edilen önlemleri,

değerlendirmekveihtiyaçduymasıhâlinde,ilgilikurumvekuruluşların

görüşünü de almak suretiyle karar verir.

(5)Kişiselveriler,uluslararasısözleşmehükümlerisaklıkalmaküzere,

Türkiye’ninveyailgilikişininmenfaatininciddibirşekildezarargöreceği

durumlarda,ancakilgilikamukurumveyakuruluşunungörüşüalınarakKurulun

izniyle yurt dışına aktarılabilir.

(6)Kişiselverilerinyurtdışınaaktarılmasınailişkindiğerkanunlardayeralan

hükümler saklıdır.

ÜÇÜNCÜ BÖLÜM

Haklar ve Yükümlülükler

Veri sorumlusununaydınlatma yükümlülüğü

MADDE10-(1)Kişiselverilerineldeedilmesisırasındaverisorumlusuveya

yetkilendirdiği kişi, ilgili kişilere;

a) Veri sorumlusunun ve varsatemsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) 11 inci maddede sayılan diğer hakları,

konusunda bilgi vermekle yükümlüdür.

İlgili kişinin hakları

MADDE 11-(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c)Kişiselverilerinişlenmeamacınıvebunlarınamacınauygunkullanılıp

kullanılmadığını öğrenme,

ç)Yurt içindeveya yurtdışında kişiselverilerinaktarıldığı üçüncü kişileribilme,

d)Kişiselverilerineksikveyayanlışişlenmişolmasıhâlindebunların

düzeltilmesini isteme,

e)7ncimaddedeöngörülenşartlarçerçevesindekişiselverilerinsilinmesiniveya

yok edilmesini isteme,

f)(d)ve(e)bentleriuyarıncayapılanişlemlerin,kişiselverilerinaktarıldığı

üçüncü kişilere bildirilmesini isteme,

g)İşlenenverilerinmünhasıranotomatiksistemlervasıtasıylaanalizedilmesi

suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ)Kişiselverilerinkanunaaykırıolarakişlenmesisebebiylezararauğraması

hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

Veri güvenliğine ilişkin yükümlülükler

MADDE 12-(1) Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıylauygungüvenlikdüzeyiniteminetmeyeyönelikgereklihertürlü

teknik ve idari tedbirleri almak zorundadır.

(2) Verisorumlusu, kişiselverilerinkendiadınabaşkabir gerçekveyatüzelkişi

tarafından işlenmesi hâlinde, birinci fıkrada belirtilentedbirlerin alınması hususunda

bu kişilerle birlikte müştereken sorumludur.

(3)Verisorumlusu,kendikurumveyakuruluşunda,buKanunhükümlerinin

uygulanmasınısağlamakamacıylagereklidenetimleriyapmakveya

yaptırmak zorundadır.

(4)Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun

hükümlerineaykırıolarakbaşkasınaaçıklayamazveişlemeamacıdışında

kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(5)İşlenenkişiselverilerinkanuniolmayanyollarlabaşkalarıtarafındanelde

edilmesihâlinde,verisorumlusubudurumuenkısasüredeilgilisineveKurula

bildirir.Kurul,gerekmesihâlindebudurumu,kendiinternetsitesindeyadauygun

göreceği başka bir yöntemle ilan edebilir.

DÖRDÜNCÜ BÖLÜM

Başvuru, Şikâyet ve Veri Sorumluları Sicili

Veri sorumlusuna başvuru

MADDE13-(1)İlgilikişi,buKanununuygulanmasıylailgilitalepleriniyazılı

olarak veya Kurulun belirleyeceği diğer yöntemlerle verisorumlusuna iletir.

(2) Verisorumlusu başvuruda yeralan talepleri,talebin niteliğinegöreen kısa

süredeveengeçotuzgüniçindeücretsizolarak

sonuçlandırır.Ancak,işleminayrıcabirmaliyetigerektirmesihâlinde,Kurulca

belirlenen tarifedeki ücret alınabilir.

(3)Verisorumlusutalebikabulederveyagerekçesiniaçıklayarakreddederve

cevabınıilgili kişiyeyazılı olarakveyaelektronikortamdabildirir.Başvurudayer alan

talebinkabuledilmesihâlindeverisorumlusuncagereğiyerinegetirilir.Başvurunun

veri sorumlusununhatasındankaynaklanması hâlindealınan ücretilgiliyeiade edilir.

Kurula şikâyet

MADDE14-(1)Başvurununreddedilmesi,verilencevabınyetersiz

bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde;ilgili

kişi, veri sorumlusunun cevabını öğrendiği tarihtenitibarenotuzveher

hâldebaşvurutarihindenitibarenaltmışgüniçindeKurulaşikâyette

bulunabilir.

(2)13üncümaddeuyarıncabaşvuruyolutüketilmedenşikâyetyoluna

başvurulamaz.

(3)Kişilikhaklarıihlaledilenlerin,genelhükümleregöre

tazminathakkı saklıdır.

Şikâyet üzerine veya resen incelemenin usul ve esasları

MADDE15-(1)Kurul,şikâyetüzerineveyaihlaliddiasınıöğrenmesi

durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.

(2)1/11/1984tarihlive3071sayılıDilekçeHakkınınKullanılmasınaDair

Kanunun6ncımaddesindebelirtilenşartlarıtaşımayanihbarveyaşikâyetler

incelemeye alınmaz.

(3)Devletsırrıniteliğindekibilgivebelgelerhariç;verisorumlusu,Kurulun,

incelemekonusuylailgiliistemişolduğubilgivebelgelerionbeşgüniçinde

göndermekvegerektiğindeyerindeincelemeyapılmasınaimkânsağlamak

zorundadır.

(4)ŞikâyetüzerineKurul,talebiinceleyerekilgililerebircevapverir.Şikâyet

tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmişsayılır.

(5)Şikâyetüzerineveyaresenyapılanincelemesonucunda,ihlalinvarlığının

anlaşılmasıhâlindeKurul,tespitettiğihukukaaykırılıklarınverisorumlusu

tarafındangiderilmesinekararvererekilgilileretebliğeder.Bukarar,tebliğden

itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.

(6)Şikâyetüzerineveyaresenyapılanincelemesonucunda,ihlalinyaygın

olduğununtespitedilmesihâlindeKurul,bukonudailkekararıalırvebukararı

yayımlar.Kurul,ilkekararıalmadanönceihtiyaçduymasıhâlinde,ilgilikurumve

kuruluşların görüşlerini dealabilir.

(7)Kurul,telafisigüçveyaimkânsızzararlarındoğmasıveaçıkçahukuka

aykırılıkolmasıhâlinde,veriişlenmesininveyaverininyurtdışınaaktarılmasının

durdurulmasına karar verebilir.

Veri Sorumluları Sicili

MADDE 16-(1)Kurulun gözetiminde, Başkanlık tarafından kamuyaaçık olarak

Veri Sorumluları Sicili tutulur.

(2)Kişiselverileriişleyengerçekvetüzelkişiler,veriişlemeye

başlamadanönceVeriSorumlularıSicilinekaydolmak

zorundadır.Ancak,işlenenkişiselverininniteliği,sayısı,veriişlemeninkanundan

kaynaklanmasıveyaüçüncükişilereaktarılmadurumugibiKurulcabelirlenecek

objektifkriterlergözönünealınmaksuretiyle,Kurultarafından,VeriSorumluları

Siciline kayıt zorunluluğunaistisnagetirilebilir.

(3)VeriSorumlularıSicilinekayıtbaşvurusuaşağıdakihususlarıiçerenbir

bildirimle yapılır:

a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.

b) Kişisel verilerin hangi amaçla işleneceği.

c)Verikonusukişigrubuvegruplarıilebukişilereaitverikategorileri

hakkındaki açıklamalar.

ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.

d) Yabancı ülkelere aktarımı öngörülen kişisel veriler.

e) Kişisel veri güvenliğine ilişkin alınan tedbirler.

f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

(4)Üçüncüfıkrauyarıncaverilenbilgilerdemeydanagelendeğişikliklerderhâl

Başkanlığa bildirilir.

(5)VeriSorumlularıSicilineilişkindiğerusulveesaslaryönetmelikledüzenlenir.

BEŞİNCİ BÖLÜM

Suçlar ve Kabahatler

Suçlar

MADDE17-(1)Kişiselverilereilişkinsuçlarbakımından26/9/2004tarihlive

5237sayılıTürkCezaKanununun135ila140ıncımaddehükümleri

uygulanır.

(2)BuKanunun7ncimaddesihükmüneaykırıolarak;kişiselverilerisilmeyen

veyaanonimhâlegetirmeyenler5237sayılıKanunun138incimaddesinegöre

cezalandırılır.

Kabahatler

MADDE 18-(1) Bu Kanunun;

a)10uncumaddesindeöngörülenaydınlatmayükümlülüğünü

yerinegetirmeyenlerhakkında5.000Türklirasından100.000Türklirasına

kadar,

b)12ncimaddesindeöngörülenverigüvenliğineilişkin

yükümlülükleriyerinegetirmeyenlerhakkında15.000Türklirasından

1.000.000 Türk lirasına kadar,

c)15incimaddesiuyarıncaKurultarafındanverilenkararları

yerinegetirmeyenlerhakkında25.000Türklirasından1.000.000Türklirasına

kadar,

ç)16ncımaddesindeöngörülenVeriSorumlularıSicilinekayıtve

bildirimyükümlülüğüneaykırıhareket edenlerhakkında 20.000Türk

lirasından 1.000.000 Türk lirasına kadar,

idari para cezası verilir.

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler

ile özel hukuk tüzel kişileri hakkında uygulanır.

(3)Birincifıkradasayılaneylemlerinkamukurumvekuruluşlarıilekamu

kurumuniteliğindekimeslekkuruluşlarıbünyesindeişlenmesihâlinde,Kurulun

yapacağı bildirim üzerine, ilgilikamu kurum ve kuruluşunda görev yapan memurlar

vediğerkamugörevlileriilekamukurumu niteliğindekimeslekkuruluşlarındagörev

yapanlarhakkındadisiplinhükümlerinegöreişlemyapılırvesonucuKurulabildirilir.