KİŞİSEL VERİLERİN KORUNMASI KANUNU
Kanun Numarası : 6698
Kabul Tarihi : 24/3/2016
Yayımlandığı R.Gazete : Tarih: 7/4/2016 Sayı : 29677
Yayımlandığı Düstur : Tertip : 5 Cilt : 57
BÄ°RÄ°NCÄ° BÖLÜM
Amaç, Kapsam ve Tanımlar
Amaç
MADDE 1- (1) Bu Kanunun amacı, kiÅŸisel verilerin iÅŸlenmesinde baÅŸta özel hayatın
gizliliÄŸi olmak üzere kiÅŸilerin temel hak ve özgürlüklerini korumak ve kiÅŸisel verileri iÅŸleyen
gerçek ve tüzel kiÅŸilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kapsam
MADDE 2- (1) Bu Kanun hükümleri, kiÅŸisel verileri iÅŸlenen gerçek kiÅŸiler ile bu verileri
tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla iÅŸleyen gerçek ve tüzel kiÅŸiler hakkında uygulanır.
Tanımlar
MADDE 3- (1) Bu Kanunun uygulanmasında;
a) Açık rıza: Belirli bir konuya iliÅŸkin, bilgilendirilmeye dayanan ve özgür iradeyle
açıklanan rızayı,
b) Anonim hâle getirme: KiÅŸisel verilerin, baÅŸka verilerle eÅŸleÅŸtirilerek dahi hiçbir surette
kimliÄŸi belirli veya belirlenebilir bir gerçek kiÅŸiyle iliÅŸkilendirilemeyecek hâle getirilmesini,
c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,
ç) Ä°lgili kiÅŸi: KiÅŸisel verisi iÅŸlenen gerçek kiÅŸiyi,
d) KiÅŸisel veri: KimliÄŸi belirli veya belirlenebilir gerçek kiÅŸiye iliÅŸkin her türlü bilgiyi,
e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde
edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, deÄŸiÅŸtirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veriler üzerinde gerçekleÅŸtirilen her türlü iÅŸlemi,
f) Kurul: KiÅŸisel Verileri Koruma Kurulunu,
g) Kurum: KiÅŸisel Verileri Koruma Kurumunu,
ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri
iÅŸleyen gerçek veya tüzel kiÅŸiyi,
12302
h) Veri kayıt sistemi: KiÅŸisel verilerin belirli kriterlere göre yapılandırılarak iÅŸlendiÄŸi
kayıt sistemini,
ı) Veri sorumlusu: KiÅŸisel verilerin iÅŸleme amaçlarını ve vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kiÅŸiyi,
ifade eder.
Ä°KÄ°NCÄ° BÖLÜM
KiÅŸisel Verilerin Ä°ÅŸlenmesi
Genel ilkeler
MADDE 4- (1) KiÅŸisel veriler, ancak bu Kanunda ve diÄŸer kanunlarda öngörülen usul ve
esaslara uygun olarak iÅŸlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) DoÄŸru ve gerektiÄŸinde güncel olma.
c) Belirli, açık ve meÅŸru amaçlar için iÅŸlenme.
ç) Ä°ÅŸlendikleri amaçla baÄŸlantılı, sınırlı ve ölçülü olma.
d) Ä°lgili mevzuatta öngörülen veya iÅŸlendikleri amaç için gerekli olan süre kadar muhafaza
edilme.
Kişisel verilerin işlenme şartları
MADDE 5- (1) KiÅŸisel veriler ilgili kiÅŸinin açık rızası olmaksızın iÅŸlenemez.
(2) AÅŸağıdaki ÅŸartlardan birinin varlığı hâlinde, ilgili kiÅŸinin açık rızası aranmaksızın
kiÅŸisel verilerinin iÅŸlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kiÅŸinin kendisinin ya da bir baÅŸkasının hayatı veya beden
bütünlüÄŸünün korunması için zorunlu olması.
c) Bir sözleÅŸmenin kurulması veya ifasıyla doÄŸrudan doÄŸruya ilgili olması kaydıyla,
sözleÅŸmenin taraflarına ait kiÅŸisel verilerin iÅŸlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüÄŸünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri iÅŸlemenin zorunlu olması.
f) Ä°lgili kiÅŸinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meÅŸru menfaatleri için veri iÅŸlenmesinin zorunlu olması.
Özel nitelikli kiÅŸisel verilerin iÅŸlenme ÅŸartları
MADDE 6- (1) KiÅŸilerin ırkı, etnik kökeni, siyasi düÅŸüncesi, felsefi inancı, dini, mezhebi
veya diÄŸer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliÄŸi, saÄŸlığı, cinsel hayatı,
ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel
nitelikli kiÅŸisel veridir.
(2) Özel nitelikli kiÅŸisel verilerin, ilgilinin açık rızası olmaksızın iÅŸlenmesi yasaktır.
12303
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda
öngörülen hâllerde ilgili kiÅŸinin açık rızası aranmaksızın iÅŸlenebilir. SaÄŸlık ve cinsel hayata iliÅŸkin
kiÅŸisel veriler ise ancak kamu saÄŸlığının korunması, koruyucu hekimlik, tıbbî teÅŸhis, tedavi ve
bakım hizmetlerinin yürütülmesi, saÄŸlık hizmetleri ile finansmanının planlanması ve yönetimi
amacıyla, sır saklama yükümlülüÄŸü altında bulunan kiÅŸiler veya yetkili kurum ve kuruluÅŸlar
tarafından ilgilinin açık rızası aranmaksızın iÅŸlenebilir.
(4) Özel nitelikli kiÅŸisel verilerin iÅŸlenmesinde, ayrıca Kurul tarafından belirlenen yeterli
önlemlerin alınması ÅŸarttır.
KiÅŸisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
MADDE 7- (1) Bu Kanun ve ilgili diÄŸer kanun hükümlerine uygun olarak iÅŸlenmiÅŸ
olmasına raÄŸmen, iÅŸlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kiÅŸisel veriler resen
veya ilgili kiÅŸinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle
getirilir.
(2) KiÅŸisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine iliÅŸkin diÄŸer
kanunlarda yer alan hükümler saklıdır.
(3) KiÅŸisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine iliÅŸkin
usul ve esaslar yönetmelikle düzenlenir.
Kişisel verilerin aktarılması
MADDE 8- (1) KiÅŸisel veriler, ilgili kiÅŸinin açık rızası olmaksızın aktarılamaz.
(2) KiÅŸisel veriler;
a) 5 inci maddenin ikinci fıkrasında,
b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında,
belirtilen ÅŸartlardan birinin bulunması hâlinde, ilgili kiÅŸinin açık rızası aranmaksızın
aktarılabilir.
(3) KiÅŸisel verilerin aktarılmasına iliÅŸkin diÄŸer kanunlarda yer alan hükümler saklıdır.
Kişisel verilerin yurt dışına aktarılması
MADDE 9- (1) KiÅŸisel veriler, ilgili kiÅŸinin açık rızası olmaksızın yurt dışına aktarılamaz.
(2) KiÅŸisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında
belirtilen ÅŸartlardan birinin varlığı ve kiÅŸisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki
veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin
bulunması,
kaydıyla ilgili kiÅŸinin açık rızası aranmaksızın yurt dışına aktarılabilir.
(3) Yeterli korumanın bulunduÄŸu ülkeler Kurulca belirlenerek ilan edilir.
12304
(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b)
bendi uyarınca izin verilip verilmeyeceğine;
a) Türkiye’nin taraf olduÄŸu uluslararası sözleÅŸmeleri,
b) KiÅŸisel veri talep eden ülke ile Türkiye arasında veri aktarımına iliÅŸkin karşılıklılık
durumunu,
c) Her somut kiÅŸisel veri aktarımına iliÅŸkin olarak, kiÅŸisel verinin niteliÄŸi ile iÅŸlenme amaç
ve süresini,
ç) KiÅŸisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
d) KiÅŸisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen
önlemleri,
deÄŸerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluÅŸların görüÅŸünü de
almak suretiyle karar verir.
(5) KiÅŸisel veriler, uluslararası sözleÅŸme hükümleri saklı kalmak üzere, Türkiye’nin veya
ilgili kiÅŸinin menfaatinin ciddi bir ÅŸekilde zarar göreceÄŸi durumlarda, ancak ilgili kamu kurum
veya kuruluÅŸunun görüÅŸü alınarak Kurulun izniyle yurt dışına aktarılabilir.
(6) KiÅŸisel verilerin yurt dışına aktarılmasına iliÅŸkin diÄŸer kanunlarda yer alan hükümler
saklıdır.