7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları belirlemek amaçlanmıştır. İşbu çalışmanın konusunu Kişisel Verilerin Korunması Kanunu ve Genel Veri Koruma Tüzüğü (General Data Protection Regulation) bağlamında “açık rızanın geri alınması” kavramı oluşturacaktır. Bu meyanda önem arz eden açık rızanın nasıl alınması gerektiği, hangi hallerde geçersiz olacağı ve ne zaman geri alınabileceği konuları olup, bu çerçevede bir çalışma yapılacaktır.
Tanımlar
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. KVKK m. 3/1-ı
İlgili kişi: KVKK kapsamında, kişisel verisi işlenen gerçek kişi. KVKK m.3/1-ç
Açık Rıza: KVKK kapsamında, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür irade ile alınan rıza. KVKK m.3/1-a. İlgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır. (Kişisel Verileri Koruma Kurumu tanımı)
Kişisel Veri: KVKK kapsamında, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. KVKK m.3/1-d
Kişisel Veri (Personal Data): GDPR kapsamında, tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgi. GDPR m.4/1. KVKK’da “Kişisel Veri” kavramına karşılık gelmektedir.
Kontrolör (Contoller): GDPR kapsamında, yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır. GDPR m.4/7. KVKK’da “Veri Sorumlusu” kavramına karşılık gelmektedir.
Veri Sahibi (Data Subject): GDPR kapsamında, tanımlanmış bir gerçek kişi özellikle bir isim, kimlik numarası, konum verileri, çevrimiçi tanımlayıcı ya da söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, ruhsal, ekonomik, kültürel veya toplumsal kimliğine özgü bir ya da daha fazla faktöre atıfta bulunarak doğrudan veya dolaylı olarak tanımlanabilen bir kişidir. GDPR m.4/1. KVKK’da “İlgili Kişi” kavramına denk gelmektedir.
Veri Sahibinin Rızası (Consent of the Data Subject): GDPR kapsamında, veri sahibinin beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgü şekilde verilmiş spesifik, bilinçli ve açık göstergedir. GDPR m.4/11. KVKK’da “Açık Rıza” kavramına karşılık gelmektedir.
KVKK KAPSAMINDA VERİ İŞLEME ŞARTLARI
KVKK kapsamında veri sorumlusunun veri işleme faaliyeti gerçekleştirebilmesi için bazı şartları yerine getirmesi gerekmektedir. Veri işleme faaliyeti KVKK m.5/1 uyarınca açık rızaya dayanmalıdır. Bunun dışında da aşağıdaki şartların varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verileri işlenebilir:
- Kanunlarda açıkça öngörülmüş olması (KVKK m.5/2,a)
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması (KVKK m.5/2,b)
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması (KVKK m.5/2,c)
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması (KVKK m.5/2,ç)
- İlgili kişinin kendisi tarafından alenileştirilmiş olması (KVKK m.5/2 d)
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması (KVKK m.5/2,e)
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması (KVKK m.5/2,f)
Maddeler halinde sayılan bu şartlar dışında kalan kişisel veri işleme faaliyetinin açık rızaya dayanması gerekmektedir. Aksi takdirde açık rıza dışı işleme söz konusu olup bu durum kanunun ihlali anlamına gelecektir ve işleme faaliyeti ilgili cezai ve idari yaptırımlara tabi olacaktır.
KVKK KAPSAMINDA AÇIK RIZA
KVKK açık rıza ile ilgili çeşitli hükümleri havidir. Bunları madde sistematiğine göre sıralayacak olursak:
MADDE 5: “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.”
MADDE 6: “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.”
MADDE 7: “Kişisel veriler ilgili kişinin açık rızası olmaksızın aktarılamaz.”
MADDE 9: “Kişisel veriler ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.”
KVKK m.5/1 uyarınca kişisel veriler, yalnızca ilgili kişinin açık rızasının bulunması halinde işlenebilecektir. Bu hüküm aslında kişilerin kendilerine ilişkin bilgilerin nerede, ne şekilde ve hangi amaçlarla bulunabileceğine ilişkin olan “bilgilerin geleceğini belirleme hakkı”nın bir uzantısıdır.[1]
KVKK açık rızanın tanımını 3. maddede “Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle alınan rıza.” olarak ifade etmektedir. Kişisel Verileri Koruma Kurumu da bu doğrultuda açık rızayı “İlgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır.”[2] şeklinde tanımlamaktadır.
KVKK m.3’teki tanıma göre alınan rızanın kanuni hüküm gereği belirli unsurları taşıması gerekmektedir. Aksi halde alınan rıza hukuka uygun olmayacaktır. Bu unsurlar şunlardır:
- Açık rızanın belirli bir konuya ilişkin olması gerekmektedir. Beyanın kapsamı genel olmamalı, belirli bir konuya özgülenmiş olmalıdır. Veri sorumlusu rızanın hangi veri işleme faaliyetlerini kapsayacağı konusunda sınırı çizmelidir.
- Açık rıza bilgilendirmeye dayanmalıdır. Bu bilgilendirme kişinin anlayacağı bir şekilde verilerin hangi amaç doğrultusunda işleneceği hususunu barındırmalı ve açık olarak yapılmalıdır. Kişinin anlamayacağı teknik terimlere yer verilmemeli ve okumakta zorlanılacak ölçüde küçük puntolarla yazılmış olmamalıdır.
- Açık rızanın özgür iradeyle verilmiş olması da diğer kanuni unsurdur. Açık rıza beyanında bulunacak ilgili kişi, rıza vermediği takdirde farklı muameleye tabi tutulacağını veya söz konusunu hizmetten faydalanamayacağını düşünmemelidir. Veri sorumlusu bunu bir ön şart olarak öne süremez. Ayrıca açık rızayı veren ilgili kişinin istediği zaman bu rızayı geri alabilme hakkına sahip olduğunun da veri sorumlusu tarafından ilgili kişiye aktarılması gerekmektedir. Aksi hallerde verilen rıza hukuka uygun sayılmayacaktır.
KVKK KAPSAMINDA AÇIK RIZANIN GERİ ALINMASI
KVKK, açık rızanın ne zaman geri alınabileceğine dair herhangi bir hüküm ihtiva etmemektedir. Kişisel Verileri Koruma Kurumu ise bu konu hakkındaki yayınlarında açık rızanın ilgili kişi tarafından her zaman geri alınabileceğini söylemektedir.[3] Ayrıca yine Kurum’un değerlendirmesi kapsamında açık rıza vermek kişiye sıkı sıkıya bağlı haklardan olduğu için her zaman geri alınabilecektir. Ancak bu geri alma ileriye dönük sonuç doğuracaktır[4]. Yani rızanın geri alınmasına kadar rızaya dayalı olarak yapılan işleme faaliyetleri hukuka uygun olacaktır. Yine yukarıda da bahsedilen kişinin kendi bilgilerinin geleceğini belirleme hakkı doğrultusunda da açık rızanın her zaman geri alınabileceği sonucuna ulaşılabilir. Ayrıca bu durumun yani açık rızanın her zaman geri alınabileceğinin, aydınlatma yükümlülüğü ve rızanın özgür iradeyle verilmiş olması şartı kapsamında veri sorumlusu tarafından ilgili kişiye de aktarılması gerekir.. Aksi takdirde açık rızaya dayalı veri işleme faaliyeti de açık rızanın yokluğu sebebiyle hukuka aykırı bir hal alacak ve kanunun ihlali anlamına gelecektir.
KVKK m.6/2 uyarınca özel nitelikli kişisel verilerin kişilerin açık rızası olmaksızın işlenmesi yasaklanmıştır. Bu bağlamda özel nitelikli kişisel veri kapsamında olan, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek ya da sendika üyeliği, sağlığı cinsel hayatı, ceza mahkumiyeti veya güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, m.6/3’teki kanuni istisnalar hariç tutulmak üzere, açık rıza olmadan işlenemezler. Bu bilgiler ışığında örneğin; kişilerin kan grubu bilgilerinin işlendiği bir ortamın söz konusu olduğu varsayımına göre; veri sorumlusu tarafından ilgili kişi; kan grubu bilgilerinin işleneceği, kan ihtiyacı olması halinde kişinin telefonla aranacağı, bu verilerin güvenli ortamlarda saklanacağı hakkında aydınlatılmış olmalıdır. Bu olayda eğer kan grubu verisi işlenen ilgili kişiye, açık rızasını istediği zaman geri alabileceği konusunda veri sorumlusu tarafından yeterli açıklıkta bir bilgilendirme ve aydınlatma yapılmamışsa, burada KVKK anlamında ihlal gündeme gelebilecektir. Çünkü veri sorumlusu aydınlatma faaliyetini tam anlamıyla gerçekleştirmediği ve rızanın şartlarından olan ilgili kişinin özgür iradeyle rıza vermesi şartı gerçekleşmediği için, bu faaliyete dayalı olarak ilgili kişi tarafından verilen rıza da geçersiz olacaktır. Bu bağlamda veri sorumlusu gerekli ve yeterli aydınlatmayı yapmak zorundadır. Aydınlatmadaki hususların ihmal edilmesi alınan rızayı da sakatlayacaktır.
GENERAL DATA PROTECTION REGULATION (GENEL VERİ KORUMA TÜZÜĞÜ “GDPR”) KAPSAMINDA VERİ İŞLEME ŞARTLARI
Genel Veri Koruma Tüzüğü (GDPR) Avrupa Birliği üye ülkelerinde yürürlükte olan ve üye ülke vatandaşlarının kişisel verilerinin işlenmesini ve bunların korunması düzenleyen bir Tüzüktür. Bu Tüzük Nisan 2016 tarihinde kabul edilmiş ve 25 Mayıs 2018 tarihinde tam anlamıyla yürürlüğe girmiştir.
Tüzüğün maddi kapsamını her türlü kişisel veri oluşturmaktadır. Bu bağlamda Tüzüğün Avrupa Birliği Bakanlığınca yapılan Türkçe çevirisindeki[5] “Maddi Kapsam” başlıklı 2. maddesine göre, kişisel verilerin tamamen veya kısmen otomatik araçlarla veya fiziksel olarak dosyalama yöntemiyle işlenmesi ya da bu dosyalama sisteminin parçasını oluşturmak maksadıyla işlenmesi faaliyetleri GDPR’ın kapsamına girmektedir.
İşleme faaliyetinde GDPR hükümlerinin uygulanmayacağı durumlar da yine madde 2’nin devamında sayılmıştır. Bunlar kısaca; Avrupa Birliği hukuku kapsamına girmeyen faaliyetlerde işlenen veriler, tamamen kişisel veya ev faaliyeti esnasında işlenen veriler, kamu güvenliğine yönelik tehditleri önlemek, soruşturmak, kovuşturmak ve ortaya çıkarmak için işlenen veriler ve Avrupa Birliği Antlaşması’nın V. Başlığının 2. Bölümü kapsamına giren faaliyetlerde işlenen veriler olarak sayılabilir. Sayılan hususlar GDPR’ın maddi kapsamının dışında bırakılmıştır.
GDPR Avrupa Birliği üye devletlerini ilgilendiren bir Tüzük olduğu için bir de bölgesel kapsam getirmektedir. Bu kapsamın detaylarını da “Bölgesel Kapsam” başlıklı 3. Maddede vermektedir. Buna göre GDPR, veri işleme faaliyetinin dünyanın neresinde gerçekleştirildiğine bakılmaksızın, birlik içerisindeki bir Tüzükte “Controller”[6], KVKK’da “Veri Sorumlusu” olarak geçen gerçek veya tüzel kişinin veya işleyicinin işletmesinin faaliyetleri bağlamında işlediği gerçek kişilere ait kişisel verilere uygulanacaktır. Yine birlik vatandaşlarının verilerinin, Tüzükte “Data Subject”[7], KVKK’da “İlgili Kişi” olarak belirtilen gerçek kişiye bir ödeme yapılıp yapılmadığına bakılmaksızın birlik içerisindeki söz konusu veri sahiplerine mal ya da hizmetlerin sunulması ya da davranışları birlik içerisinde gerçekleştiği ölçüde davranışlarının izlenmesi hususlarıyla alakalı olarak işlenmesi halinde, birlikten olmayan bir devletteki işleyen veya kontrole için de bu Tüzük uygulama alanı bulacaktır.
Tüzük maddi ve bölgesel kapsamına giren veri işleme faaliyetlerinin hukuka uygunluğunun sağlanması için de belirli şartlar aramaktadır. İşleme faaliyetinin hukuka uygun olması için “İşleme Faaliyetinin Hukuka Uygunluğu” başlıklı 6. maddede sayılan şartlardan en az birinin söz konusu işleme faaliyeti açısından geçerli olması gerekmektedir. Bu şartlar:
- Veri sahibinin bir ya da daha fazla belirli ama yönelik kişisel veri işleme faaliyetine onay vermesi,
- Taraflar arasındaki sözleşmesel ilişkiden dolayı veri işleme faaliyetinin gerekli olması,
- Kontrolörün tabi olduğu yasal bir yükümlülük olması,
- Veri sahibinin veya başka bir gerçek kişinin hayati menfaatlerinin korunması amacı ile veri işleme faaliyetinin gerekli olması,
- Kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin uygulanması hususunda işleme faaliyetinin gerekli olması,
- Özellikle veri sahibinin çocuk olması halinde, veri sahibinin kişisel verilerinin korunmasını gerektiren menfaatleri veya temel hakları ve özgürlüklerinin bir kontrolör veya üçüncü kişi tarafından gözetilen meşru menfaatlere ağır basması haricinde, söz konusu menfaatler doğrultusunda veri işleme faaliyetinin gerekli olmasıdır.
Yukarıda sayılan şartları sağlamayan veri işleme faaliyeti, GDPR’a aykırılık teşkil edecektir. GDPR ile getirilen yükümlülüklere aykırı veri işleme faaliyetleri de para cezalarına tabi olacaktır.
GDPR KAPSAMINDA VERİ SAHİBİNİN RIZASI
GDPR madde 4’ün 11. bendi kapsamında veri sahibinin rızası, “Veri sahibinin bir beyan yoluyla ya da kendisine ait kişisel verilerin işlenmesini kabul ettiğini gösterecek şekilde açık bir onayla ve özgür bir şekilde verilmiş, belirli bir konu hakkında, bilinçli ve açık göstergedir.” şeklinde tanımlanmaktadır.[8] İşleme faaliyetinin rızaya dayandığı hallerde kontrolör, veri sahibinin rızasını, rıza tanımındaki unsurlar içinde barınacak bir şekilde alması gerekmektedir. Söz konusu unsurlar aşağıda sayılmaktadır:
- Rıza açık bir onaya dayanmalıdır. Açık onaydan kastedilen daha kapsamlı ve eğer varsa diğer hususlardan açıkça ayırt edilebilir bir şekilde yapılmış aydınlatma sonucu alınan onaydır. Rızanın şartlarının sayıldığı 7. maddede de rızanın diğer hususlarla da ilgili olan yazılı bir beyan bağlamında verilmesi durumunda, rıza talebinin diğer hususlardan açıkça ayırt edilebilir olması, sade, anlaşılabilir ve kolayca erişilebilir olması gerektiği,[9] aksi halde bağlayıcı olmayacağı Tüzük tarafından hüküm altına alınmıştır. Sağlıklı bir onaya dayanmak için sağlıklı bir bilgilendirme yapılması gerekmektedir. Kontrolör veri işleme faaliyetine ilişkin verdikleri bilgilerde olabildiğince anlaşılır olmalıdır. Kontrolör bu noktada önce kendisiyle alakalı bilgileri, hangi verileri işleyeceğini, ne gibi koruma önlemlerine sahip olduğunu ve işlemenin ne gibi etkiler doğurabileceğini açıkça ortaya koymalıdır. Burada şeffaflık prensibine de uygun hareket edilmeli, fazla teknik ve hukuki terimlerden kaçınılmalıdır.
- Rıza özgür bir şekilde verilmiş olmalıdır. Rıza verecek olan veri sahibi, rıza vermediği takdirde farklı muameleye tabi tutulacağını yahut bir hizmetten yararlanamayacağını düşünmemelidir. Kontrolör ön şart olarak rızanın verilmesini isteyemez. Bu şekilde alınan rıza özgür bir şekilde alınmış olmayacağı için geçersiz olacaktır. Ayrıca aşağıda daha ayrıntılı olarak değinileceği üzere, rızanın her zaman geri alınabileceğinin de veri sahibine bildirilmesi, rızanın özgür bir şekilde verilmesini sağlamak için gereklidir.
- Rıza, belirli bir konu hakkında olmalıdır. Özellikle “Her türlü bilgimin işlenmesine bilinçli, açık ve özgür bir şekilde onay veriyorum.” gibi kapsamı belirli olmayan ve doktrinde “battaniye rıza” olarak adlandırılan rızalar geçersiz olacaktır. Veri sahibi hangi verilerinin, ne amaçla işleneceğini öncelikle öğrenmeli, sonra sadece o verilere ilişkin işleme faaliyetine onay vermelidir. Söz gelimi kişi isim, yaş ve medeni hal bilgilerinin işlenmesine rıza gösterirken bunların GDPR’ın kapsamı dışındaki kontrolör veya veri işleyen kimselere aktarılmasına rıza göstermeyebilmelidir. Veri işleme faaliyetinin sınırı ve kapsamı kontrolör tarafından çizilmeli, daha sonra veri sahibi de bu konuda aydınlatılmalıdır.
GDPR KAPSAMINDA AÇIK RIZANIN GERİ ALINMASI
GDPR kapsamında açık rızanın (explicit consent) geri alınması açık bir hükümle düzenlenmiştir. Bu tüzüğün “Rıza Koşulları” başlıklı 7. maddesinin 3. bendinde “Veri sahibinin istediği zaman rızasını geri çekme hakkı vardır. Rızanın geri çekilmesi, geri çekim işleminden önce rızaya dayalı olarak yapılan işleme faaliyetinin hukuka uygunluğunu etkilemez. Veri sahibi, rıza vermeden önce, bu hususta bilgilendirilir. Rızanın geri çekilmesi, rıza vermek kadar kolaydır.” [10] hükmü öngörülmektedir.
Görüldüğü üzere GDPR açık rızanın geri alınmasına da en az açık rızanın verilmesi kadar önem vermektedir. Zira veri sahibini rızasını geri aldığı takdirde rızaya dayalı olarak işlenen verilerin çok kolay bir şekilde işlenmesinin durdurabileceğini bilmesi, daha ilk başta rıza alınırken veri sahibine büyük bir özgürlük alanı yaratmaktadır. Yine aynı şekilde hem yukarda metni yazılı madde de hem de aynı Tüzüğün “Veri Sahibinden Kişisel Verilerin Toplandığı Hallerde Sağlanacak Bilgiler” başlıklı 13. maddesinin 2.c bendi uyarınca Tüzükte kontrolörün “Rızanın geri çekilmesinden önce rızaya dayalı olarak gerçekleştirilen işleme faaliyetinin hukuka uygunluğu etkilenmeden, herhangi bir zamanda rızayı geri çekme hakkının varlığı”nı veri sahibine ulaştırması gerekmektedir. Kontrolörün bu bağlamda sorumluluğa aykırı davranması halinde yapılan aydınlatma faaliyeti eksik olacak, eksik aydınlatma da eksik rızayı getirecek ve dolayısıyla zincirleme olarak rızanın geçerliliği ortadan kalkabilecektir. Bu yüzden kontrolörlerin rızayı alırken son derece dikkatli olmaları, aydınlatmayı tam anlamıyla yerine getirerek kendi üzerlerine düşen görevi ifa etmeleri, daha sonradan gündeme gelebilecek cezalara tabi olmamaları için önem arz etmektedir.
KVKK’da bununla alakalı da açık bir hüküm bulunmamakla beraber yukarıda KVKK başlığı altında sayılan hususlar kapsamında yine bu sonuca ulaşılabilmektedir.
SONUÇ
Açık rıza kavramı diğer rıza kavramlarından ayırt edilebilmesi için bu şekilde isimlendirilmiş olup, kanunun amacının kişileri işlenecek verileri hakkında kesin surette ve açık şekilde bilgi sahibi yapmak olduğu metinden anlaşılmaktadır. Bu bağlamda, ilgili kişilerin açık rızasına dayanılarak yapılacak veri işleme faaliyetinde bu şartların gerçeklemesi gerekmektedir. Ayrıca kişinin açık rızasını her zaman geri alabileceğinin de kişiye bildirilmesinin gerekliliği de yukarıda vurgulanmıştır. KVKK’nın açık rızanın geri alınmasına ilişkin açık hükümleri içermemesi kanuni anlamda bir eksiklik olmakla beraber Kurum’un yayınlarında belirttiği hususlar bu noktada önem arz etmektedir. Ancak henüz uygulamada pek örneği olmadığı için Yargı makamlarının bu konudaki tutumları hakkında kesin bir şey söylemek pek mümkün değilse de gerek Kurum’un yayınlarından gerekse GDPR’daki hükümler gereği Yargı makamlarının da tutumunun bu yönde olacağı söylenebilir. Yine de Kanun’daki açık rızanın geri alınması konusundaki eksikliğin giderilmesi; kafalardaki soru işaretlerinin ve uygulamadaki farklılıkların ortadan kaldırılması ve de olası hak kayıplarının engellenmesi açısından önem arz etmektedir.
Stj. Av. Muhammed Esat GÜL
Kaynakça
[1] Küzeci, Elif, Kişisel Verilerin Korunması, s. 344, Turhan Kitabevi Yayınları, Şubat 2018, Ankara
[2]https://www.kvkk.gov.tr/yayinlar/6698%20SAYILI%20K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%20KORUNMASI%20KANUNUNUN%20UYGULANMASINA%20Y%C3%96NEL%C4%B0K%20SORU%20VE%20CEVAPLAR.pdf , Sf. 20.
[3]https://www.kvkk.gov.tr/yayinlar/6698%20SAYILI%20K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%20KORUNMASI%20KANUNUNUN%20UYGULANMASINA%20Y%C3%96NEL%C4%B0K%20SORU%20VE%20CEVAPLAR.pdf , Sf. 24.
[4] https://www.kvkk.gov.tr/Icerik/2037/Acik-Riza-Alirken-Dikkat-Edilecek-Hususlar
[5] https://www.kisiselverilerinkorunmasi.org/wp-content/uploads/2017/09/GDPR-T%C3%BCrk%C3%A7e-%C3%87eviri-AB-Bakanl%C4%B1%C4%9F%C4%B1.pdf , Madde başlıkları ve bazı madde içerikleri bakımından bu çeviri esas alınmıştır.
[6] GDPR incelemesi bakımından bundan sonra “Kontrolör” diye anılacaktır.
[7] GDPR incelemesi bakımından bundan sonra “Veri Sahibi” diye anılacaktır.
[8] https://gdpr-info.eu/art-4-gdpr/
[9] https://gdpr-info.eu/art-7-gdpr/
[10] Tüzüğün İngilizce Orijinal Metni: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN
Bir cevap yazın