Kişisel verilerin işlenme şartları
MADDE 5- (1) KiÅŸisel veriler ilgili kiÅŸinin açık rızası olmaksızın iÅŸlenemez.
(2) AÅŸağıdaki ÅŸartlardan birinin varlığı hâlinde, ilgili kiÅŸinin açık rızası aranmaksızın kiÅŸisel verilerinin iÅŸlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kiÅŸinin kendisinin ya da bir baÅŸkasının hayatı veya beden bütünlüÄŸünün korunması için zorunlu olması.
c) Bir sözleÅŸmenin kurulması veya ifasıyla doÄŸrudan doÄŸruya ilgili olması kaydıyla, sözleÅŸmenin taraflarına ait kiÅŸisel verilerin iÅŸlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüÄŸünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri iÅŸlemenin zorunlu olması.
f) Ä°lgili kiÅŸinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meÅŸru menfaatleri için veri iÅŸlenmesinin zorunlu olması.
Özel nitelikli kiÅŸisel verilerin iÅŸlenme ÅŸartları
MADDE 6- (1) KiÅŸilerin ırkı, etnik kökeni, siyasi düÅŸüncesi, felsefi inancı, dini, mezhebi veya diÄŸer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliÄŸi, saÄŸlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kiÅŸisel veridir.
(2) Özel nitelikli kiÅŸisel verilerin, ilgilinin açık rızası olmaksızın iÅŸlenmesi yasaktır.
(3) Birinci fıkrada sayılan saÄŸlık ve cinsel hayat dışındaki kiÅŸisel veriler, kanunlarda öngörülen hâllerde ilgili kiÅŸinin açık rızası aranmaksızın iÅŸlenebilir. SaÄŸlık ve cinsel hayata iliÅŸkin kiÅŸisel veriler ise ancak kamu saÄŸlığının korunması, koruyucu hekimlik, tıbbî teÅŸhis, tedavi ve bakım hizmetlerinin yürütülmesi, saÄŸlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüÄŸü altında bulunan kiÅŸiler veya yetkili kurum ve kuruluÅŸlar tarafından ilgilinin açık rızası aranmaksızın iÅŸlenebilir.
(4) Özel nitelikli kiÅŸisel verilerin iÅŸlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması ÅŸarttır.
KiÅŸisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
MADDE 7- (1) Bu Kanun ve ilgili diÄŸer kanun hükümlerine uygun olarak iÅŸlenmiÅŸ olmasına raÄŸmen, iÅŸlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kiÅŸisel veriler resen veya ilgili kiÅŸinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
(2) KiÅŸisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine iliÅŸkin diÄŸer kanunlarda yer alan hükümler saklıdır.
(3) KiÅŸisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine iliÅŸkin usul ve esaslar yönetmelikle düzenlenir.
Kişisel verilerin aktarılması
MADDE 8- (1) KiÅŸisel veriler, ilgili kiÅŸinin açık rızası olmaksızın aktarılamaz.
(2) KiÅŸisel veriler;
a) 5 inci maddenin ikinci fıkrasında,
b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen ÅŸartlardan birinin bulunması hâlinde, ilgili kiÅŸinin açık rızası aranmaksızın aktarılabilir.
(3) KiÅŸisel verilerin aktarılmasına iliÅŸkin diÄŸer kanunlarda yer alan hükümler saklıdır.
Kişisel verilerin yurt dışına aktarılması
MADDE 9- (1) KiÅŸisel veriler, ilgili kiÅŸinin açık rızası olmaksızın yurt dışına aktarılamaz.
(2) KiÅŸisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen ÅŸartlardan birinin varlığı ve kiÅŸisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,kaydıyla ilgili kiÅŸinin açık rızası aranmaksızın yurt dışına aktarılabilir.
(3) Yeterli korumanın bulunduÄŸu ülkeler Kurulca belirlenerek ilan edilir.
(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceÄŸine;
a) Türkiye’nin taraf olduÄŸu uluslararası sözleÅŸmeleri,
b) KiÅŸisel veri talep eden ülke ile Türkiye arasında veri aktarımına iliÅŸkin karşılıklılık durumunu,
c) Her somut kiÅŸisel veri aktarımına iliÅŸkin olarak, kiÅŸisel verinin niteliÄŸi ile iÅŸlenme amaç ve süresini,
ç) KiÅŸisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
d) KiÅŸisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, deÄŸerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluÅŸların görüÅŸünü de almak suretiyle karar verir.
(5) KiÅŸisel veriler, uluslararası sözleÅŸme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kiÅŸinin menfaatinin ciddi bir ÅŸekilde zarar göreceÄŸi durumlarda, ancak ilgili kamu kurum veya kuruluÅŸunun görüÅŸü alınarak Kurulun izniyle yurt dışına aktarılabilir.
(6) KiÅŸisel verilerin yurt dışına aktarılmasına iliÅŸkin diÄŸer kanunlarda yer alan hükümler saklıdır.
