TBMM Madde Gerekçesi Kanun Tasarısı Gerekçesi
Maddeyle, Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumunun kuruluşu düzenlenmektedir. Avrupa Konseyinin 108 sayılı Sözleşmesi ve Avrupa Birliğinin 95/46/EC sayılı Direktifi, kişisel verilerin işlenmesine ilişkin ilkelerin uygulanmasını izlemek ve yönlendirmek üzere fonksiyonel olarak bağımsız bir şekilde görev yapacak otoritelerin oluşturulmasını öngörmektedir. Avrupa Birliği üyesi tüm ülkelerde veri koruma kurulları görevlerinde bağımsız otoriteler şeklinde yapılandırılmıştır. Sayılan uluslararası belgeler ve mukayeseli hukuk uygulamaları gözönüne alınmak suretiyle, Kişisel Verileri Koruma Kurumu kurulmuştur. Kurumun Başbakanlıkla ilişkili olduğu hüküm altına alınmaktadır.
Bağımsız İdari Otorite Niteliği
Kişisel Verileri Koruma Kurumu, idari ve mali özerkliğe sahip, kamu tüzel kişiliğini haiz bir bağımsız idari otorite olarak teşkilatlandırılmıştır. Bu yapılanma, kişisel verilerin korunması alanında düzenleyici ve denetleyici işlevlerin etkin biçimde yerine getirilebilmesi için vazgeçilmez kabul edilmektedir.
Kurumun Cumhurbaşkanlığı ile ilişkilendirilmesi, hiyerarşik bir bağlılık tesis etmeksizin koordinasyon sağlamayı hedeflemektedir. Bağımsız idari otoritelerin temel özelliği olan karar alma süreçlerindeki özerklik, Kurumun görevlerini siyasi müdahaleden uzak biçimde icra etmesine imkân tanımaktadır.
Mali özerklik, Kurumun bütçe kullanımında ve personel istihdamında bağımsız hareket edebilmesini sağlarken, idari özerklik ise düzenleyici işlemlerin herhangi bir makamın onayına bağlı tutulmaksızın yürürlüğe konabilmesine zemin hazırlamaktadır.
Kurumun Yapısı ve Bağımsız İdari Otorite Niteliği
Kişisel Verileri Koruma Kurumu, bağımsız idari otorite statüsünde teşkil edilmiştir. Düzenleyici ve denetleyici kurumlar olarak da anılan bağımsız idari otoriteler, kamu tüzel kişiliğini ve idari özerkliği haiz olmakla birlikte, düzenledikleri alanda ikincil düzenlemeler tesis etme ve kural ihlallerini müeyyidelendirme yetkilerine sahip bulunmaktadır. Bu otoriteler, faaliyet konularında icrai mahiyette idari kararlar ittihaz edebilen bağımsız kurumlardır ve aldıkları kararlar yargısal denetime tabidir.
6698 sayılı KVKK'nin 19. maddesine göre Kurum, idari ve mali özerkliği haizdir. Kurum iki organdan müteşekkildir: Başkanlık ve Kişisel Verileri Koruma Kurulu. Kurul, Kurumun karar organı olup KVKK'nin 21. maddesi uyarınca dokuz üyeden oluşmaktadır. Bu üyelerden beşi Türkiye Büyük Millet Meclisi, dördü ise Cumhurbaşkanı tarafından seçilmektedir. KVKK'nin 23/2. maddesi gereğince Kurul, başkan da dahil olmak üzere en az altı üye ile toplanmakta ve üye tam sayısının salt çoğunluğuyla karar almaktadır.
GDPR ile Karşılaştırma
GDPR md. 51-54 hükümleri, denetim otoritelerinin kuruluşunu ve bağımsızlığını düzenlemektedir. Avrupa Birliği düzenlemesi, her üye devletin en az bir bağımsız denetim otoritesi tesis etmesini zorunlu kılmaktadır. Bu otoritelerin tam bağımsızlık içinde görevlerini yerine getirmesi ve yetkilerini kullanması esastır.
KVKK düzenlemesi ile GDPR arasındaki temel benzerlik, her iki sistemde de veri koruma otoritesinin bağımsız idari otorite niteliğinde yapılandırılmasıdır. Ancak GDPR, otoritelerin bağımsızlığına ilişkin daha detaylı güvenceler öngörmekte olup üyelerin görev süresi, görevden alınma koşulları ve çıkar çatışmasının önlenmesi gibi konularda ayrıntılı hükümler içermektedir.
GDPR ayrıca md. 68 ile Avrupa Veri Koruma Kurulu oluşturarak ulusal otoriteler arasında koordinasyonu sağlamaktadır. Türk hukukunda bu tür bir ulusüstü mekanizma bulunmamakla birlikte, Kurul uluslararası işbirliğine yönelik yetkilerle donatılmıştır.