Başbakanlık tarafından, 18 Ocak 2016 tarihli Kişisel Verilerin Korunması Kanunu Tasarısı (“Yasa Tasarısı”) Türkiye Büyük Millet Meclisi’ne sunulmuştur. Meclis’e sunulan bu yeni metin 2014’te gündeme gelen bir önceki tasarıya nazaran birçok değişiklik içermektedir. Yasa Tasarısı, “açık rıza” ve “özel nitelikli veri” tanımlarını genişletmekle kalmamakta, ayrıca Kişisel Verileri Koruma Kurumu’nun (“Kurum”) yapısını ve Kurum’a atanma usullerini de değiştirmektedir. Yasa Tasarısı’nda yer alan veri aktarımı ve veri sorumluların atanmaları ile ilgili hükümler genel olarak Avrupa Birliği Genel Kişisel Verilerin Korunması Mevzuatı ile benzerlik taşımaktadır.
64 Hükümet’in 10 Aralık 2015 tarihli 2016 Eylem Planı’nda kişisel verilerin korunması mevzuatının Mart 2016’ya kadar yürürlük kazanması hedeflenmektedir.
Yasa Tasarısı’nda düzenleme getirilen önemli konular arasında aşağıdakilere yer verilebilir:
- Özel nitelikli verilerin kapsamı ceza mahkûmiyet kayıtları, güvenlik tedbirleri, biyometrik bilgiler, kılık ve kıyafeti de (örneğin dini kıyafet) kapsayacak şekilde genişletilmiştir.
- İlgili Avrupa Birliği mevzuatına atıf yapılmamış olmakla birlikte “Devlet sırrı” terimi Yasa Tasarı’sında açık bir tanım yapılmaksızın yer almıştır.
- Veri sorumlusu”nun tanımı, kişisel verilerin işlenme yöntemleri ve amaçlarının belirlenmesi ile ilgili sorumluluklarını da kapsayacak şekilde açıklanmıştır.
- Kişisel verilerin yurtdışına aktarılmasındaki ilkeler belirlenmiştir. Bir önceki yasa tasarısı ile paralel olarak, kişisel verilerin yabancı ülkelere aktarılması ancak o ülkenin yeterli koruma seviyesini sağlaması halinde mümkün olmaktadır. Kişisel verinin aktarılacağı ülkede yeterli düzeyde koruma bulunmuyor dahi olsa, eğer o ülkede bulunan veri sorumluları tarafından yazılı olarak yeterli düzeyde koruma sağlanacağı taahhüt edilirse, Kurum o ülkeye veri aktarımına izin verebilir.
- Kişisel veri koruması istisnaları Yasa Tasarısı ile genişletilmiştir. Buna göre, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmiş kişisel veriler istisna kapsamında sayıldıklarından dolayı Yasa Tasarısı hükümleri bu hallerde uygulanmayacaktır.
Yasa Tasarısı, Kurum’un yapısı ile ilgili de değişiklikler içermektedir. Buna göre Kurum’un karar organı olan Kişisel Verileri Koruma Kurulu, 7 üyeden oluşur. Bunların dördü Bakanlar Kurulu, üçü ise doğrudan Cumhurbaşkanı tarafından seçilerek atanır.
Yasa Tasarısı’nın tam metnine bu linkten ulaşabilirsiniz.