TBMM Madde Gerekçesi Kanun Tasarısı Gerekçesi
Maddeyle Kurulun görev ve yetkileri düzenlenmektedir. Buna göre, kişisel verilerin temel hak ve özgürlükleri koruyacak şekilde işlenmesi, kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerinin karara bağlanması, Veri Sorumluları Sicilinin tutulmasının sağlanması, kişisel verilerin işlenmesi konusunda gerekli düzenleyici işlemlerin yapılması, kişisel verilerin Kanuna uygun olarak işlenip işlenmediğinin incelenmesi, idari yaptırımların uygulanması, stratejik planın ve bütçenin kabul edilmesi gibi görevler Kurulun görevleri arasında sayılmaktadır. Kurul, özel nitelikli kişisel verilerin yeterli önlem alınmaksızın işlenemeyeceğine ilişkin Kanunun 6 ncı maddesinde düzenlenen hüküm uyarınca yeterli önlemin ne olduğunu verinin niteliği ve sektörün özelliğine göre belirleyecektir.
Ayrıca, Başkanlık tarafından hazırlanan Kurumun performansı, mali durumu, yıllık faaliyetleri ve diğer özel rapor taslakları Kurul tarafından onaylanacak, Kurumun ihtiyaç duyduğu taşınmazların alım ve satımı ile kiralanması konularındaki önerileri karara bağlayacaktır.
Kurulun Düzenleyici Yetkileri
Kurul, görev alanı ile Kurumun işleyişine ilişkin konularda düzenleyici işlem yapma yetkisine sahiptir. Bu yetki kapsamında çıkarılan yönetmelikler, tebliğler ve ilke kararları, kişisel verilerin korunması hukukunun ikincil mevzuatını oluşturmaktadır.
Düzenleyici işlemlerin başlıca işlevi, Kanunun genel nitelikli hükümlerini somutlaştırarak uygulamada yeknesaklık sağlamaktır. Özel nitelikli kişisel verilerin işlenmesinde alınması gereken yeterli önlemlerin belirlenmesi bu yetki kapsamında değerlendirilmektedir.
Kurulun düzenleyici işlemleri, idare hukuku bakımından düzenleyici idari işlem niteliği taşımakta olup yargısal denetime tabidir. Bu işlemlerin genel ve soyut niteliği, muhatabın belirsiz bir kitle olmasını gerektirmektedir.
Denetim ve Soruşturma Yetkileri
Kurul, şikayet üzerine veya resen, kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini inceleme yetkisine sahiptir. Bu inceleme yetkisi, gerektiğinde geçici önlemler alınmasını da kapsamaktadır.
Soruşturma sürecinde Kurul, veri sorumlusundan bilgi ve belge talep edebilmekte, yerinde inceleme gerçekleştirebilmektedir. Veri ihlal bildirimleri üzerine başlatılan soruşturmalar, özellikle veri güvenliği yükümlülüklerinin yerine getirilip getirilmediğinin tespit edilmesine yöneliktir.
Geçici önlemler, soruşturma sonuçlanana kadar olası zararların önlenmesi amacıyla alınabilmektedir. Bu önlemler arasında veri işlemenin geçici olarak durdurulması veya belirli işlemlerin askıya alınması sayılabilir.
İdari Yaptırım Yetkisi
Kurul, ihlal tespiti halinde Kanunun 18. maddesi kapsamında idari para cezalarına hükmetme yetkisine sahiptir. Bu yaptırımlar, aydınlatma yükümlülüğünün yerine getirilmemesi, veri güvenliği tedbirlerinin alınmaması veya Kurul kararlarına uyulmaması gibi ihlallere karşı uygulanmaktadır.
İdari para cezaları caydırıcı nitelikte olmakla birlikte orantılılık ilkesi gözetilerek belirlenmektedir. Ceza miktarının tespitinde ihlalin ağırlığı, süresi, etkilenen kişi sayısı ve veri sorumlusunun tutumu gibi kriterler dikkate alınmaktadır.
Kurul ayrıca ihlalin durdurulmasını, verilerin silinmesini veya düzeltilmesini emredebilmektedir. Bu düzeltici tedbirler, ihlal sonuçlarının giderilmesi ve hukuka uygun durumun tesisi amacına hizmet etmektedir.
GDPR ile Karşılaştırma
GDPR md. 57-58 hükümleri, denetim otoritelerinin görev ve yetkilerini detaylı biçimde düzenlemektedir. Avrupa düzenlemesi, soruşturma yetkileri, düzeltici yetkiler ve danışma yetkileri şeklinde üçlü bir sınıflandırma öngörmektedir.
GDPR kapsamında idari para cezaları, yıllık küresel cironun yüzde dördüne veya 20 milyon Avroya kadar ulaşabilmektedir. Bu ceza miktarları, KVKK kapsamında öngörülen üst sınırların oldukça üzerindedir. Yaptırım gücündeki bu fark, caydırıcılık açısından önemli bir ayrımı temsil etmektedir.
GDPR ayrıca tek durak mekanizması ile sınır ötesi veri işleme faaliyetlerinde yetki karmaşasını önlemektedir. KVKK bu tür bir mekanizma içermemekte olup yurt dışı aktarım kararları münhasıran Türk Kurulunun yetkisindedir.