Kişisel verilerin korunması tasarısı neler getiriyor?

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek, üçüncü kişilere ve yurt dışına aktarılamayacak. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, dernek, vakıf ya da sendika üyeliği, sağlığı veya cinsel hayatıyla ilgili özel nitelikli kişisel verilerinin işlenmesi yasak olacak.

Kişisel verilerin işlenmesinin disiplin altına alınmasını, Anayasada öngörülen temel hak ve özgürlüklerin korunmasını, bu amaçla kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları usul ve esaslar düzenleyen "Kişisel Verilerin Korunması Kanun Tasarısı" TBMM Başkanlığı'na sunuldu.

Hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen, otomatik olan veya olmayan yollarla işleyen gerçek ve tüzel kişileri kapsayan tasarıya göre, kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilecek.

Kişisel verilerin işlenmesinde, hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulması zorunlu olacak.

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek.

Ancak kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmesi, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, şartlarından en az birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkün olacak.

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, dernek, vakıf ya da sendika üyeliği, sağlığı veya cinsel hayatıyla ilgili verileri, özel nitelikli kişisel veriler olacak ve bunların işlenmesi yasak hale getirilecek.

Ancak bu verilerin işlenmesi, yeterli önlemlerin alınması şartıyla, ilgili kişinin açık rızasının bulunması, kanunlarda açıkça öngörülmesi, siyasi parti, vakıf, dernek veya sendika gibi kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı kalmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik verilerin işlenmesi, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenmesi hallerinde yapılabilecek.

-Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Bu kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinecek, yok edilecek veya anonim hale getirilecek.

Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenecek. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanun hükümleri saklı kalacak.

-Kişisel verilerin üçüncü kişilere ve yurt dışına aktarımı

Kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü kişilere ve yurt dışına aktarılamayacak.

Bu veriler, kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenmesi durumlarından birinin bulunması halinde üçüncü kişilere, ilgili yabancı ülkede yeterli korumanın bulunması koşuluyla yurt dışına, ilgili kişinin açık rızası aranmaksızın aktarılabilecek.

-Yabancı ülkede yeterli koruma şartı aranacak

Kişisel verinin aktarılacağı yabancı ülkede yeterli koruma bulunmaması halinde kişisel veriler ancak ilgili kişinin açık rızasının bulunması, Türkiye'deki ve kişisel verinin aktarılacağı yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu'nun izninin bulunması hallerinde yurt dışına aktarılabilecek.

Siyasi parti, vakıf, dernek veya sendika gibi kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik veriler, ancak kanunlarda açıkça öngörülmesi, ilgili kişinin açık rızası ile Kurulun izninin birlikte bulunması hallerinde üçüncü kişilere ve yeterli koruma bulunması koşuluyla yurt dışına aktarılabilecek. Yabancı ülkede yeterli koruma bulunup bulunmadığı Kurulca belirlenerek ilan edilecek.

Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve izin verilip verilmeyeceğine, Türkiye'nin taraf olduğu uluslararası sözleşmeleri, kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, kişisel verinin aktarılacağı ülkede uygulanan konuyla ilgili mevzuatı, kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve gerektiğinde ilgili kamu kurum ve kuruluşlarının görüşünü de almak suretiyle karar verecek.

Kişisel verilerin üçüncü kişilere ve yurt dışına aktarımına ilişkin, ilgili kanunlarda yer alan hükümler saklı kalacak.

-Hangi amaçla işleneceği hakkında bilgi verilecek

Kişisel verilerin elde edilmesi sırasında veri sorumlusu, ilgili kişilere kendisinin ve varsa temsilcisinin kimliği, verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve kişinin hakları konusunda bilgi vermekle yükümlü olacak. Kişisel verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesi halinde de veri sorumlusu, ilgili kişiyi ayrıca bilgilendirecek.

Herkes, veri sorumlusuna başvurarak kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenmek, kişisel verileri işlenmişse buna ilişkin bilgi talep etmek, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek, yurt içinde veya yurt dışınfda kişisel verilerin aktarıldığı üçüncü kişileri bilmek, kişisel verilerin eksik veya yanlış olması halinde bunların düzeltilmesini istemek, kanunla yer alan şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini istemek, verilerdeki düzeltme ya da silinmenin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek, işlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek, haklarına sahip olacak.

-Yükümlülükleri görevden ayrıldıktan sonra da devam edecek

Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini sağlamaya yönelik gerekli tedbirleri almak zorunda olacak. Ayrıca veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, gerekli tedbirlerin alınması konusunda bu kişilerle birlikte sorumlu hale getirilecek.

Veri sorumluları ile veri işleyen kişiler öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamayacak ve kendi şahsi çıkarları için kullanamayacak. Bu yükümlülük görevden ayrılmalarından sonra da devam edecek.

İşlenen kişisel verilerin kanuni olmayan yollardan başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirecek. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan edebilecek.

-Kararlara karşı idare mahkemelerinde dava açılabilecek

İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak ya da Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletecek. Veri sorumlusu, başvuruda dile getirilen talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde, ücretsiz olarak veya işlemin ayrıca bir maliyeti gerektirmesi halinde Kurulca uygun görülen bir ücret karşılığında yerine getirecek ya da gerekçesini açıklayarak reddedebilecek.

İlgili kişi, başvurusunun veri sorumlusu tarafından reddedilmesi veya cevap verilmemesi ya da cevabı yetersiz bulması hallerinde otuz gün içinde Kurula şikayette bulunabilecek. Veri sorumlusuna başvuru yolu tüketilmeden şikayet yoluna başvurulamayacak. Şikayet tarihinden itibaren dört ay içinde cevap verilmediği takdirde talep reddedilmiş sayılacak. Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklı olacak.

Kurul, şikayet üzerine veya resen bu Kanunun uygulanmasıyla ilgili konularda gerekli incelemeyi yapacak. Veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri onbeş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkan sağlamak zorunda olacak. Devlet sırrı niteliğindeki bilgi ve belgeler Kurula gönderil. Ancak bu bilgi ve belgeler, Kurul Başkanı veya görevlendireceği bir üye tarafından yerinde incelenebilecek.

Kurul, şikayet üzerine yapacağı incelemeleri iki ay içinde tamamlayacak. Ancak hukuki veya fiili sebeplerle bu süre içinde incelemenin sonuçlandırılamaması halinde süre, bir defaya mahsus olmak üzere iki ay daha uzatılmış sayılacak. Şikayet üzerine veya resen yapılan inceleme sonucunda, bu Kanun hükümlerinin ihlal edildiğinin anlaşılması halinde Kurul, tespit ettiği hukuka aykırılıkların ilgili veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ edecek. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilecek.

Şikayet üzerine veya resen yapılan inceleme sonucunda, kanuna aykırı uygulamanın yaygın olduğunun tespit edilmesi halinde Kurul, bu konuda ilke kararı alacak ve bu kararı yayımlayacak.

Kurul, telafisi güç veya imkansız zararların doğması ihtimali ve açıkça hukuka aykırılık halinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilecek.

İlgililer, Kurulca verilen kararlara karşı idare mahkemelerinde dava açabilecekler.

- Tasarıya göre, bu düzenlemeden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu hükümlere uygun hale getirilecek. Bu hükümlere aykırı olduğu tespit edilen kişisel veriler derhal silinecek, yok edilecek veya anonim hale getirilecek

- Kişisel verileri depolayan, muhafaza eden, değiştiren, açıklayan, elde edilebilir hale getiren ya da üçüncü kişilere aktaranlar bir yıldan üç yıla kadar hapis cezasına çarptırılacak. Kişisel verileri silmeyen veya anonim hale getirmeyenlere bir yıldan iki yıla kadar hapis cezası verilecek

- Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler, Kurulca verilen kararları yerine getirmeyenler ile sicile kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında, 10 bin TL'den 1 milyon TL'ye kadar idari para cezası uygulanacak

- Kişisel verilerin korunmasına ilişkin görevleri yerine getirmek üzere "Kişisel Verileri Koruma Kurulu" kurulacak. Kurul, görev ve yetkilerini kendi sorumluluğu altında bağımsız olarak yerine getirecek

- Kurul üyeleri göreve başlamadan önce "Görevimi tam bir tarafsızlık, dürüstlük, hakkaniyet ve adalet anlayışı içinde yerine getireceğime, namusum ve şerefim üzerine and içerim" şeklinde and içecek

Kişisel Verilerin Korunması Kanunu Tasarısı'ndan önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu hükümlere uygun hale getirilecek. Bu hükümlere aykırı olduğu tespit edilen kişisel veriler derhal silinecek, yok edilecek veya anonim hale getirilecek.

TBMM Başkanlığı'na sunulan tasarıya göre, Kişisel Verileri Koruma Kurulu Genel Sekreterliği tarafından kamuya açık olarak bir Veri Sorumluları Sicili tutulacak. Kişisel verileri işleyen kişiler, veri işlemeye başlamadan önce sicile kaydolmak zorunda olacak. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kişisel Verileri Koruma Kurulu'nca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından sicile kayıt zorunluluğuna istisna getirilebilecek.

Bu düzenlemedeki hükümlerine aykırı olarak; kişisel verileri ele geçiren, kaydeden, bir başkasına veren veya yayanlar ya da yok etmeyenler, TCK'nın ilgili hükümlerine göre cezalandırılacak.

Bu düzenlemedeki hükümlere aykırı olarak kişisel verileri depolayan, muhafaza eden, değiştiren, yeniden düzenleyen, açıklayan, elde edilebilir hale getiren, sınıflandıran ya da kullanılmasını engelleyen veya üçüncü kişilere aktaranlar, bir yıldan üç yıla kadar hapis cezasına çarptırılacak. Kişisel verileri silmeyen veya anonim hale getirmeyenlere bir yıldan iki yıla kadar hapis cezası verilecek.

Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında bin TL'den 100 bin TL'ye, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında, Kurulca verilen kararları yerine getirmeyenler hakkında, sicile kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 10 bin TL'den 1 milyon TL'ye kadar idari para cezası uygulanacak.

- Kişisel Verileri Koruma Kurulu'nun ilişkili olduğu bakanlık Adalet Bakanlığı

Kişisel verilere ilişkin verilen görevleri yerine getirmek üzere, Kişisel Verileri Koruma Kurulu kurulacak. Kurul, görev ve yetkilerini kendi sorumluluğu altında bağımsız olarak yerine getirecek ve kullanacak. Kurulun ilişkili olduğu bakanlık, Adalet Bakanlığı olacak.

Kurul; kişisel verilerin bu düzenlemedeki hükümlere uygun olarak işlenip işlenmediğine ilişkin ihbar veya şikayet üzerine ya da resen inceleme ve denetleme yapacak ve yaptıracak.

Kurul, altı aylık dönemler itibarıyla hazırlanıp onaylanmış faaliyet raporunu Adalet Bakanı'na, yıllık faaliyet raporunu ise Bakanlar Kuruluna ve TBMM İnsan Haklarını İnceleme Komisyonu'na sunacak.

Kişisel Verileri Koruma Kurulu, 7 üyeden oluşacak. Kurul üyelerinin; 2'si mesleğinde en az 10 yıl çalışmış olan avukatlar veya hakimler, 1'i yükseköğretim kurumlarınca en az 10 yıl çalışmış olan öğretim üyeleri, 4'ü ise kamuda veya özel sektörde en az 10 yıl çalışmış olanlar arasından Bakanlar Kurulu'nca seçilecek. Kurul, kendi üyeleri arasından bir başkan seçecek.

Üyeler; Türk Vatandaşı olacak, kamu haklarından mahrum bulunmayacak, devletin güvenliğine karşı suçlar, Anayasal düzene ve bu düzenin işleyişine karşı suçlar, zimmet, irtikap, rüşvet, hırsızlık, dolandırıcılık, sahtecilik, ihaleye fesat karıştırma, kaçakçılık suçlarından mahkum olmamış olacak, askerlik sorunu ve akıl hastalığı bulunmayacak. Üyelerin en az lisans düzeyinde yükseköğrenim görmüş olması şartı aranacak.

Kurul üyeleri göreve başlamadan önce, Yargıtay Birinci Başkanlık Kurulu huzurunda, "Görevimi tam bir tarafsızlık, dürüstlük, hakkaniyet ve adalet anlayışı içinde yerine getireceğime, namusum ve şerefim üzerine and içerim" şeklinde and içecek.

Kurul üyelerinin görev süresi 2 yıl olacak. Görev süresi biten üyeler bir defalığına tekrar seçilebilecek.

- Eski görevleriyle ilişikleri kesilecek

Kurul üyeliklerine seçilenlerin Kurul'da görev yaptıkları sürece, önceki görevleriyle olan ilişikleri kesilecek. Kamu görevlisi olan üyelerden talepte bulunanlar, Kurul üyeliğinde bulundukları sürece kurumlarından aylıklı izinli sayılacak, mali ve sosyal haklarını kurumlarından almaya devam edecek.

Kamu görevlisi Kurul üyelerinden görev süresi sona erenler, 1 ay içinde müracaat etmeleri halinde, en geç 1 ay içinde kendi kurumlarındaki kadro ve görev unvanlarına uygun bir kadroya atanacak. Kamu görevlisi Kurul üyelerine atamaları yapılıncaya kadar, özel sektörden gelen Kurul üyelerine, 3 ayı geçmemek üzere bir işe başlayıncaya kadar aylık ödenecek.

- Bakanlık müsteşar yardımcısı kadar maaş alacak

Kurul üyelerine, bakanlık müsteşar yardımcısı için belirlenen mali haklar tutarında aylık ödeme yapılacak. Kurul üyeleri sigortalı olacak ve sigorta primine esas kazanç tutarları, bakanlık müsteşar yardımcısı esas alınarak belirlenecek.

Kurul üyeleri, resmi veya özel başka bir görev alamayacak, kazanç getirici faaliyetlerde bulunamayacak. Kişisel Verileri Koruma Kurulu, en az 5 üye ile toplanacak ve üye tam sayısının salt çoğunluğuyla karar alacak.

Üyeler; kendilerini, üçüncü dereceye kadar kan ve ikinci dereceye kadar kayın hısımlarını, evlatlıklarını ve boşanmış bile olsa eşlerini ilgilendiren konularla ilgili toplantı ve oylamaya katılamayacak. Kurul üyeleri, öğrendikleri sırları bu konuda kanunen yetkili mercilerden başkasına açıklayamayacak ve kendi yararına kullanamayacak.

Kişisel Verileri Koruma Kurulu Genel Sekreteri, en az dört yıllık yükseköğretim kurumu mezunu, hukuk, kamu yönetimi, iktisat, işletme alanlarında 12 yıl süreyle kamu hizmetinde bulunanlar arasından; genel sekreter yardımcıları ise aynı nitelikleri taşıyıp, 10 yıl süreyle kamu hizmetinde bulunanlar arasından, Adalet Bakanı tarafından atanacak.

Kurul personeli, Genel Sekreterin teklifi üzerine Kurul Başkanı tarafından atanacak.

Kamu kurum ve kuruluşlarında istihdam edilen personelden uzmanlığına ihtiyaç duyulanlar, en çok iki yıl süreyle Kurul'da görevlendirilebilecek.

Kişisel verilerin, gerçek kişiler tarafından tamamen kişisel veya aynı konutta beraber yaşayanlarla ilgili faaliyetlerine ilişkin olarak işlenmesi; veri güvenliğine ilişkin tedbirlere ve mesleki davranış kurallarına uygun olarak basın özgürlüğü çerçevesinde işlenmesi; Polis Vazife ve Salahiyet Kanunu, Jandarma Teşkilat, Görev ve Yetkileri Kanunu, Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanunu'nun istihbari faaliyetlere ilişkin hükümleri çerçevesinde kişisel verilerin işlenmesi, Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ile Terörizmin Finansmanının Önlenmesi Hakkında Kanun çerçevesinde mali araştırma yapmak, veri toplamak, şüpheli işlem bildirimleri ve diğer bildirimleri almak, analiz etmek, değerlendirmek, inceleme yapmak ve ilgili kurumlarla paylaşmak suretiyle kişisel verilerin işlenmesi hallerinde, bu düzenlemede yer alan hükümler uygulanmayacak.

Soruşturma, kovuşturma, yargılama ve infaz mercileri tarafından kişisel verilerin işlenmesinde ve korunmasında ilgili kanun hükümleri uygulanacak.

-100 kadro ihdas edilecek

Kişisel Verileri Koruma Kurulu'na 100 kadro ihdas edilecek.

Bu düzenlemenin kanunlaşmasından sonra altı ay içinde Kurul üyeleri seçilecek ve Genel Sekreterlik teşkilatı oluşturulacak. Budüzenlemeden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu hükümlere uygun hale getirilecek. Bu hükümlere aykırı olduğu tespit edilen kişisel veriler derhal silinecek, yok edilecek veya anonim hale (kişisel verilerin, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi) getirilecek.

Bu düzenlemenin yayımı tarihinden itibaren bir yıl içinde, kamu kurum ve kuruluşlarında bu düzenlemenin uygulanmasıyla ilgili koordinasyonu sağlamak üzere, üst düzey bir yönetici belirlenerek Genel Sekreterliğe bildirilecek.

Kurula bütçe tahsis edilene kadar, kurulun giderleri ile bina, araç, gereç, mefruşat ve donanım gibi gerekli tüm destek hizmetleri Adalet Bakanlığı'ndan karşılanacak.