KVKK

Madde 22

Kurulun Görev ve Yetkileri

Son Güncelleme: Aralık 2024

Kanun Metni

(1) Kurulun görev ve yetkileri şunlardır:

a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak.

b) Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak.

c) Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak.

ç) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek.

d) Veri Sorumluları Sicilinin tutulmasını sağlamak.

e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak.

f) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak.

g) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak.

ğ) Bu Kanunda öngörülen idari yaptırımlara karar vermek.

h) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek.

ı) Kurumun; stratejik planını karara bağlamak, amaç ve hedeflerini, hizmet kalite standartlarını ve performans kriterlerini belirlemek.

i) Kurumun stratejik planı ile amaç ve hedeflerine uygun olarak hazırlanan bütçe teklifini görüşmek ve karara bağlamak.

j) Kurumun performansı, mali durumu, yıllık faaliyetleri ve ihtiyaç duyulan konular hakkında hazırlanan rapor taslaklarını onaylamak ve yayımlamak.

k) Taşınmaz alımı, satımı ve kiralanması konularındaki önerileri görüşüp karara bağlamak.

l) Kanunlarla verilen diğer görevleri yerine getirmek.

TBMM Madde Gerekçesi Kanun Tasarısı Gerekçesi

Maddeyle Kurulun görev ve yetkileri düzenlenmektedir. Buna göre, kişisel verilerin temel hak ve özgürlükleri koruyacak şekilde işlenmesi, kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerinin karara bağlanması, Veri Sorumluları Sicilinin tutulmasının sağlanması, kişisel verilerin işlenmesi konusunda gerekli düzenleyici işlemlerin yapılması, kişisel verilerin Kanuna uygun olarak işlenip işlenmediğinin incelenmesi, idari yaptırımların uygulanması, stratejik planın ve bütçenin kabul edilmesi gibi görevler Kurulun görevleri arasında sayılmaktadır. Kurul, özel nitelikli kişisel verilerin yeterli önlem alınmaksızın işlenemeyeceğine ilişkin Kanunun 6 ncı maddesinde düzenlenen hüküm uyarınca yeterli önlemin ne olduğunu verinin niteliği ve sektörün özelliğine göre belirleyecektir.

Ayrıca, Başkanlık tarafından hazırlanan Kurumun performansı, mali durumu, yıllık faaliyetleri ve diğer özel rapor taslakları Kurul tarafından onaylanacak, Kurumun ihtiyaç duyduğu taşınmazların alım ve satımı ile kiralanması konularındaki önerileri karara bağlayacaktır.

Kurulun Düzenleyici Yetkileri

Kurul, görev alanı ile Kurumun işleyişine ilişkin konularda düzenleyici işlem yapma yetkisine sahiptir. Bu yetki kapsamında çıkarılan yönetmelikler, tebliğler ve ilke kararları, kişisel verilerin korunması hukukunun ikincil mevzuatını oluşturmaktadır.

Düzenleyici işlemlerin başlıca işlevi, Kanunun genel nitelikli hükümlerini somutlaştırarak uygulamada yeknesaklık sağlamaktır. Özel nitelikli kişisel verilerin işlenmesinde alınması gereken yeterli önlemlerin belirlenmesi bu yetki kapsamında değerlendirilmektedir.

Kurulun düzenleyici işlemleri, idare hukuku bakımından düzenleyici idari işlem niteliği taşımakta olup yargısal denetime tabidir. Bu işlemlerin genel ve soyut niteliği, muhatabın belirsiz bir kitle olmasını gerektirmektedir.

Denetim ve Soruşturma Yetkileri

Kurul, şikayet üzerine veya resen, kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini inceleme yetkisine sahiptir. Bu inceleme yetkisi, gerektiğinde geçici önlemler alınmasını da kapsamaktadır.

Soruşturma sürecinde Kurul, veri sorumlusundan bilgi ve belge talep edebilmekte, yerinde inceleme gerçekleştirebilmektedir. Veri ihlal bildirimleri üzerine başlatılan soruşturmalar, özellikle veri güvenliği yükümlülüklerinin yerine getirilip getirilmediğinin tespit edilmesine yöneliktir.

Geçici önlemler, soruşturma sonuçlanana kadar olası zararların önlenmesi amacıyla alınabilmektedir. Bu önlemler arasında veri işlemenin geçici olarak durdurulması veya belirli işlemlerin askıya alınması sayılabilir.

İdari Yaptırım Yetkisi

Kurul, ihlal tespiti halinde Kanunun 18. maddesi kapsamında idari para cezalarına hükmetme yetkisine sahiptir. Bu yaptırımlar, aydınlatma yükümlülüğünün yerine getirilmemesi, veri güvenliği tedbirlerinin alınmaması veya Kurul kararlarına uyulmaması gibi ihlallere karşı uygulanmaktadır.

İdari para cezaları caydırıcı nitelikte olmakla birlikte orantılılık ilkesi gözetilerek belirlenmektedir. Ceza miktarının tespitinde ihlalin ağırlığı, süresi, etkilenen kişi sayısı ve veri sorumlusunun tutumu gibi kriterler dikkate alınmaktadır.

Kurul ayrıca ihlalin durdurulmasını, verilerin silinmesini veya düzeltilmesini emredebilmektedir. Bu düzeltici tedbirler, ihlal sonuçlarının giderilmesi ve hukuka uygun durumun tesisi amacına hizmet etmektedir.

GDPR ile Karşılaştırma

GDPR md. 57-58 hükümleri, denetim otoritelerinin görev ve yetkilerini detaylı biçimde düzenlemektedir. Avrupa düzenlemesi, soruşturma yetkileri, düzeltici yetkiler ve danışma yetkileri şeklinde üçlü bir sınıflandırma öngörmektedir.

GDPR kapsamında idari para cezaları, yıllık küresel cironun yüzde dördüne veya 20 milyon Avroya kadar ulaşabilmektedir. Bu ceza miktarları, KVKK kapsamında öngörülen üst sınırların oldukça üzerindedir. Yaptırım gücündeki bu fark, caydırıcılık açısından önemli bir ayrımı temsil etmektedir.

GDPR ayrıca tek durak mekanizması ile sınır ötesi veri işleme faaliyetlerinde yetki karmaşasını önlemektedir. KVKK bu tür bir mekanizma içermemekte olup yurt dışı aktarım kararları münhasıran Türk Kurulunun yetkisindedir.

§ Kanun Metni