Av. Zülâl ARSLAN
ÖZET
Kişisel verilerin korunmasına ilişkin mevzuat kapsamında en önemli aktörlerden biri olan “veri işleyen” kavramı Türk Hukukunda konuya ilişkin en güncel mevzuat olan 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda ve Avrupa Birliği nezdinde konuya ilişkin en güncel mevzuat olan General Data Protection Regulation uyarınca birbirine yakın ifadeler ile tanımlanmaktadır. Ancak veri işleyenin rol ve sorumluluklarına ilişkin her iki mevzuatta önemli ölçüde farklılıklar bulunmaktadır. İşbu çalışmada Avrupa Birliği ve Türkiye nezdinde yer alan kişisel verilerin korunması mevzuatı uyarınca genel olarak veri işleyen kavramının tanımlanmasının ardından bahsi geçen her iki spesifik mevzuatın veri işleyene ilişkin hükümleri ayrı başlıklar altında incelenmiştir. Söz konusu incelemenin ardından Türk Hukuku uyarınca Avrupa Birliği düzenlemesinden farklı bir düzenleme yapılmış olmasının ve Avrupa Birliği’nin veri işleyen kavramına yeni rol ve sorumluluklar yüklemiş olmasının nedenleri değerlendirilmiştir.
Anahtar Kelimeler: kişisel veri, veri işleyen, kvkk, gdpr
ABSTRACT
The term of “data processor” one of the most important players of personal data protection legislation has been defined similarly pursuant to Law of Personal Data Protection Numbered 6698 thereunder Turkish Law and General Data Protection Regulation thereunder European Union, both the current legislations. However there are major differences about liabilities of data processor in both legislation. This memo herein, the general meaning of data processor and the liabilities of data processor pursuant to both legislation have been examined seperately. Finally, the reasons of differences have been evaluated.
Keywords: personal data, data processor, kvkk, gdpr
GİRİŞ
Kişisel veri, kişilik hakları uyarınca şahsa sıkı sıkıya bağlı bir hakka temel teşkil etmekle birlikte aynı zamanda çağın en önemli gelir kaynaklarından biri niteliğindedir. Dolayısıyla, kişisel veriye kimler tarafından temas edildiği oldukça önem arz etmektedir. Özellikle de bu kişilerin temel bir hak olan kişisel verilerin korunması hakkını ihlal etmemeleri, bir diğer deyişle edememeleri için, ciddi yasal düzenlemeler ile görev, rol ve sorumluluklarının belirlenmiş olması gerekmektedir. Basitçe “veri işleyen” olarak adlandırılabilecek bu kişilerin rol ve sorumlulukları, Türkiye’de 7 Nisan 2016 tarihinde yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu (bundan sonra “KVKK” olarak anılacaktır) Avrupa Birliği nezdinde 25 Mayıs 2018 tarihinde yürürlüğe giren General Data Protection Regulation (Genel Veri Koruma Tüzüğü, bundan sonra “GDPR” olarak anılacaktır) uyarınca birbirinden farklı olarak düzenlenmiştir. İşbu çalışma aracılığıyla, söz konusu farkları ortaya koymak ve ideal olan düzenlemeyi tespit etmek amaçlanmaktadır.
Belirli ya da kimliği belirlenebilir bir gerçek kişi ile ilgili her türlü bilgi[1] olarak tanımlanan kişisel verilere ilişkin hukuki düzenlemeler uyarınca; veri sorumlusu (data controller)[2], veri işleyen (data processor) ve ilgili kişi (data subject)[3] olarak anılan üç temel aktör ile karşılaşılmaktadır. Kişisel veri üzerinde gerek fiziki ortamlarda gerekse dijital ortamlarda yapılan her türlü işlem ise kişisel verilerin işlenmesi anlamına gelmektedir.[4] Nitekim KVKK’nın 3/1(e) maddesi uyarınca; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi olarak ifade edilmiştir. İşbu hüküm kapsamında “gibi” ifadesinin kullanılması sebebiyle kişisel veri işleme eylemlerinin sayılanlarla sınırlı olmadığı, kişisel veri üzerinde gerçekleştirilen başkaca temasların da işleme olarak sayılabileceği anlaşılmaktadır. Bir işleme tanımı yapılıyorsa eğer, şüphesiz ki bu işlemeyi gerçekleştiren kişinin mevcudiyeti söz konusudur. Kısaca, kişisel veri işleyen gerçek veya tüzel kişi olarak tanımlanabilecek olan veri işleyen ise kişisel veri işleme faaliyetini gerçekleştirirken birtakım genel ilkelere uymak zorundadır. [5]
Bahsi geçen ilkelere uymak şartıyla veri işleme faaliyetini gerçekleştiren veri işleyenin görev, rol ve sorumluluklarına ilişkin KVKK ve GDPR uyarınca farklı düzenlemelerin mevcut olması gerek yalnızca yurtiçindeki veri sorumluları gerekse uluslararası faaliyet gösteren veri sorumluları arasında uygulamada karışıklık yaşanmasına neden olmaktadır. Herhangi bir kişisel veri ihlali meydana geldiğinde hangi düzenlemenin esas alınacağı ve sorumluluğun veri sorumlusu ile veri işleyen arasında nasıl paylaştırılacağı veya rücu edileceği sorularına açıklık getirilmesi gerekmektedir. Dolayısıyla her iki düzenlemede veri işleyen kavramının nasıl açıklandığını, aradaki farkları ve benzerlikleri ve nasıl bir düzenlemenin hukuka uygun olacağını değerlendirmek ihtiyacı hasıl olmuştur.
- KİŞİSEL VERİLERE İLİŞKİN EN ÖNEMLİ AKTÖRLERDEN BİRİ: GENEL OLARAK VERİ İŞLEYEN KAVRAMI
Verinin işlenmesi hususu, ilk olarak Avrupa Konseyi’nin 28.01.1981 tarihinde Avrupa Konseyi’ne taraf olan veya olmayan tüm devletlere yönelik imzaya açtığı ve 01.10.1985 tarihinde yürürlüğe giren 108 Sayılı Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (bundan sonra “108 Sayılı Sözleşme” olarak anılacaktır) uyarınca “verinin işleme tâbi tutulması” olarak literatürde yer almıştır.[6] Bu kapsamda veri işleme faaliyeti otomatik işlem olarak ele alınmış ve otomatik işlem tamamen veya kısmen otomatik yöntemlerle gerçekleştirilen; verilerin kaydı, bu verilere mantıksal ve/veya aritmetik işlemlerin uygulanması, verilerin değiştirilmesi, silinmesi, geri elde edilmesi veya dağıtılması olarak tanımlanmıştır.[7] Esasen 108 Sayılı Sözleşme uyarınca veri işleyen kavramının açık bir tanımı yapılmamıştır. Bu nedenle kişisel veri üzerinde otomatik işlem gerçekleştiren herkes veri işleyen olarak düşünülebilecektir.
Ancak zamanın ilerlemesi ile birlikte birtakım yasal düzenlemeler yapmak suretiyle kavramları netleştirmek ve sorumluluk rejimini belirlemek gerekmiştir. Zira uygulamada bir kişisel veri ihlali gerçekleştiğinde kimin sorumlu olacağı 108 Sayılı Sözleşme uyarınca net bir biçimde düzenlenmemiştir. Veri işleyen kavramının açık bir biçimde tanımlandığı düzenleme ise 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Bu Verilerin Serbest Dolaşımı İle İlgili Bireylerin Korunması Direktifi (bundan sonra “95/46 Sayılı Direktif” olarak anılacaktır) uyarınca getirilmiştir. 95/46 Sayılı Direktif uyarınca veri işleyen, veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişileri ifade etmektedir. Bu kişiler herhangi bir kamu kurumu, kuruluşu veya bir başka kurum veya kuruluş olabilmektedir.[8] 95/46 Sayılı Direktif’in 16. maddesi uyarınca veri işleyen, kanunen gerekli olmadıkça, veri sorumlusunun talimatları dışında kişisel veri işlememelidir. Aynı zamanda 95/46 Direktif’in güvenliğin sağlanmasına ilişkin 17. maddesi uyarınca veri sorumlusu tarafından seçilecek veri işleyenin yeterli teknik güvenlik önlemlerini sağlayabilecek nitelikte olması gerekmektedir.
Esasen veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan veri sorumluları kendi bünyelerinde aynı zamanda veri işleme faaliyeti gösterebilmektedir. Ancak uygulamada veri sorumluları zaman ve maliyet tasarrufu yapmak amacıyla faaliyetlerinin gerçekleştirilmesi doğrultusunda kişisel veri işlenmesi için üçüncü bir taraftan hizmet almaktadır. Bu durumda söz konusu üçüncü kişi veri sorumlusunun talimatı, bir deyişle emri üzerine hareket etmektedir. Ancak üçüncü kişi veri işlemenin amacını kendisi belirlememektedir. Dolayısıyla 95/46 Direktif uyarınca hizmet alınan bu tür üçüncü kişiler veri işleyen olarak kabul edilmektedir. Örneğin bir hukuk bürosu, kendi çalışanları hakkındaki kişisel veriler bakımından veri sorumlusu sayılmakta iken, müvekkil şirketlerinin çalışanlarına ilişkin muhafaza ettiği kişisel veriler bakımından veri işleyen sayılmaktadır.[9]
Yine, BT hizmetleri veren şirketler, bulut hizmet sağlayıcıları, çağrı merkezi hizmeti alınan firmalar vb. üçüncü taraflar veri işleyen statüsüne örnek olabilecek kişilerdir. Önemle belirtmek gerekir ki bir firmanın kendi birimlerindeki çalışanlar firma açısından veri işleyen statüsünde olmayıp, veri sorumlusunun bir parçası niteliğindedirler.
Genel olarak veri sorumlusu kavramı ile veri işleyen kavramını ayırabilmek için birtakım kıstaslar belirlenmiştir. Bu kapsamda veri sorumlusu; hangi kişisel verilerin toplanacağına, kişisel verilerin hangi amaçlarla işleneceğine, kimlerin kişisel verisinin toplanacağına, kişisel verilerin kimlere, hangi amaçla aktarılacağına ve kişisel verilerin ne kadar süre ile saklanacağına karar veren kişidir. Veri işleyen söz konusu hususlarda karar alma yetkisine sahip değildir. Ancak veri sorumlusu, kişisel verilerin toplanmasında hangi bilişim sistemlerinin kullanılacağı, kişisel verilerin nasıl saklanacağı, veri güvenliğinin sağlanmasının detayları, kişisel verilerin bir şirketten diğerine aktarılmasında kullanılacak yöntem, veri saklama periyoduna uyulmasını sağlamak için kullanılacak yöntem ve kişisel verilerin silinmesinde kullanılacak yöntem konularında veri işleyene karar verme serbestisi tanıyabilecektir. Bir diğer deyişle veri işleyen, veri sorumlusu adına yürüttüğü faaliyetlerde teknik bilgisini ve tecrübesini kullanmakta özgür bırakılabilecektir.[10]
- KVKK UYARINCA VERİ İŞLEYEN KAVRAMI
Türk Hukuku uyarınca kişisel veri kavramı ilk olarak 26.09.2004 tarihinde kabul edilen 5234 Sayılı Türk Ceza Kanunu uyarınca mevzuatta yer bulmuştur. Daha sonra birtakım değişikliklere uğrayarak son halini 2016 yılında alan 5237 Sayılı Türk Ceza Kanunu (bundan sonra “TCK” olarak anılacaktır) uyarınca ise kişisel verilere ilişkin ceza gerektiren eylemler “kişisel verilerin hukuka aykırı olarak kaydedilmesi (135. madde)”, “kişisel verileri hukuka aykırı olarak verme, yayma veya ele geçirme (136. madde) ve “kişisel verileri yok etmeme (138. madde)” olarak belirlenmiştir. İlgili hükümler uyarınca nitelikli haller ve tüzel kişiliklere ilişkin uygulanacak tedbirler ise ayrıca düzenlenmiştir. Bu kapsamda her ne kadar TCK uyarınca oldukça uzun zamandır kişisel verilerin korunması söz konusu olarak görünse de konu ile ilgili kişisel verinin tanımını yapan ayrıca bir mevzuat bulunmadığından suçun tanımlanarak cezai yaptırımların uygulanmasının pek mümkün olmadığını söylemek mümkündür. Takip eden süreç içerisinde Avrupa Birliği uyum süreçleri ile ilintili olarak T.C. Anayasası’nın Özel Hayatın Gizliliği’ne ilişkin 20. maddesinde değişiklik yapılarak kişisel verilerin korunması temel bir hak olarak belirlenmiştir. İlgili madde kapsamında kişisel verilerin korunmasına ilişkin esasların ve usullerin kanunla düzenleneceği açıkça belirtilmiştir. Ancak 2016 yılına söz konusu kanun düzenlemesi yapılamamıştır. Nihayetinde 7 Nisan 2016 tarihinde KVKK’nın yürürlüğe girmesi ile birlikte kişisel verilerin korunmasına ilişkin sektör spesifik düzenlemelerin yanı sıra Türk Hukuku konu ile ilgili usul ve esasları belirleyen bir ana düzenleme ile tanışmıştır.
KVKK’dan önceki düzenlemelerde veri işleyen kavramının tanımına rastlanmamaktadır. KVKK’nın 3/1(ğ) maddesi uyarınca ise veri işleyen; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Dolayısıyla KVKK’nın 95/46 Sayılı Direktif hükümlerini esas alarak düzenlendiği anlaşılmaktadır.
KVKK uyarınca veri işleyenin uyması gereken hususlar belirtilmiştir. Veri işleyen, KVKK’nın 12/2 maddesi uyarınca veri güvenliğine ilişkin tedbirlerin alınması hususunda veri sorumlusu ile birlikte müştereken sorumlu tutulmuştur. Dolayısıyla kişisel verinin veri güvenliği tedbirlerine aykırı olarak işlenmesi neticesinde veri sorumlusu ve veri işleyen belirlenen idari veya cezai yaptırımlardan ortak olarak sorumlu olabilecektir. Veri güvenliğine ilişkin uygun idari ve teknik tedbirlerin alınması hususunda veri işleyenin de dikkatli ve hassas davranması gerekmektedir.
Aynı zamanda KVKK’nın 12/4 hükmü uyarınca veri işleyen kişiler, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamayacaklardır. Nitekim bu yükümlülükleri görevden ayrılmalarından sonra da devam edecektir.
Esasen KVKK uyarınca veri işleyene başkaca bir sorumluluk yüklenmemektedir. Veri işleyen tıpkı 95/46 Sayılı Direktif’te olduğu ve yukarıda detaylıca anlatıldığı gibi tanımlanmıştır. Nitekim Kişisel Verileri Koruma Kurumu tarafından yayınlanan rehber uyarınca veri işleyenin faaliyetlerinin veri işlemenin daha çok teknik kısımları ile sınırlı ve önemli olanın veri işleyenin kişisel veri işleme faaliyetlerini veri sorumlusundan aldığı talimatlar doğrultusunda gerçekleştirmesi olduğu belirtilmiştir.[11] Buna benzer olarak yine ilgili rehber uyarınca KVKK’da kişisel veri işleme faaliyetlerine ilişkin hukuki yükümlülüklerin yerine getirilmesinde veri sorumlusunun esas alındığı, veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi olduğundan veri işleyenin veri sorumlusunun talimatlarını yerine getirdiğinin açık olduğu ifade edilmiştir. Dolayısıyla KVKK uyarınca veri işleyenin sınırlı bir sorumluluk rejimine tâbi olduğunu söylemek mümkündür.
- GDPR UYARINCA VERİ İŞLEYEN KAVRAMI
Avrupa Birliği nezdinde veri işleyen kavramının ilk olarak 95/46 Sayılı Direktif uyarınca tanımlandığı 1. Başlıkta detaylı bir biçimde anlatılmıştır. İşbu başlık uyarınca veri işleyenin GDPR uyarınca nasıl düzenlendiği ve nasıl bir sorumluluk rejiminin belirlendiği açıklanmaktadır.
GDPR’ın 4/8 hükmü uyarınca veri işleyen (processor); veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi, kamu kurumu veya diğer kurum ve kuruluşlar olarak tanımlanmaktadır.[12] Her ne kadar işbu tanım uyarınca KVKK düzenlemesi ile benzerlik söz konusu olsa dahi GDPR farklı bir yaklaşım sergileyerek veri işleyenin sorumluluklarını daha geniş bir düzeyde ele almaktadır. Bu kapsamda veri işleyen de tıpkı veri sorumlusunda olduğu gibi sorumluluklarına ve yükümlülüklerine aykırı davranması halinde GDPR’ın 83. Maddesi uyarınca 10.000.000,00 Euro’ya ve dünya genelindeki yıllık cirosunun %2’si kadar para cezası ile karşı karşıya kalabilir.[13]
GDPR uyarınca veri işleyen, tıpkı veri sorumlusu ve ilgili kişi gibi veri işleme faaliyetinin bir öznesi niteliğindedir. Bir diğer deyişle GDPR, veri işleyeni üçüncü kişi olarak tanımlamamaktadır. Dolayısıyla veri işleyenin eski düzenlemelere nazaran GDPR kapsamında ayrıcalıklı bir konumu bulunmaktadır. Nitekim GDPR tarafından uyulması öngörülen veri koruma seviyesinin korunabilmesi için söz konusu ayrıcalıklı durum GDPR’ın 28. maddesi uyarınca veri işleyene yönelik belirlenen yükümlülükler ile dengelenmektedir.[14]
Öncelikli olarak veri işleyenin veri sorumlusu tarafından kabul edilebilir olması için GDPR uyarınca öngörülen teknik ve idari yetkinlikleri taşıdığını ve ilgili kişinin haklarının korunması için gerekli özeni göstereceğini ispatlayabilmesi gerekmektedir. Ayrıca veri işleyenin veri sorumlusunun verdiği talimatlar doğrultusunda veri işleyebilmesi için GDPR’ın 28/3 hükmü uyarınca veri sorumlusu ile veri işleyen arasında yazılı bir sözleşme akdedilmelidir. İşbu sözleşme uyarınca veri işleyen “yalnızca” veri sorumlusunun talimatları doğrultusunda veri işleyeceğini taahhüt etmelidir. Yine veri işleyen işlediği kişisel verilere ilişkin gizlilik taahhüdünde bulunmalıdır. Veri işleyen takma adla veri işleme, bütünlük ilkesi, veri işleme faaliyetlerinin yöntemlerinin erişilebilirliği ve şeffaflığı dahil olmak üzere veri işlemeye ilişkin her türlü uygun teknik ve idari tedbirlerini almalıdır. Veri işleyen ilgili kişinin veri sorumlusuna yönelik taleplerinin karşılanması için ve Veri Koruma Etki Değerlendirmesi için veri sorumlusuna yardımcı olmalı ve yol göstermelidir. Bununla birlikte veri işleyen, hizmetlerinin sona ermesinden itibaren aksine bir kanuni düzenleme bulunmadığı müddetçe işlediği verileri silmekle yükümlüdür. Veri işleyen gerektiği takdirde veri işleme faaliyetleri ile ilgili veri sorumlusuna veya veri sorumlusunu denetleyen kişi veya kurumlara bilgi vermek zorundadır. Eğer veri işleme faaliyeti Avrupa Birliği dışında bir ülkede gerçekleşecek ise, veri işleyenin bir temsilci ataması gerekmektedir. Her ne kadar GDPR uyarınca veri sorumlularının veya veri işleyenlerin kaydolması gereken bir sicil sistemi bulunmasa dahi, veri işleyen veri işleme faaliyetlerine ilişkin kayıtları mutlaka tutmalı ve veri otoriteleri tarafından talep edilmesi halinde bu kayıtları paylaşmalıdır. Zira veri işleyenin veri otoriteleri ile iş birliği içinde çalışması gerektiği GDPR’ın 31. maddesi uyarınca ayrıca belirtilmiştir. Ayrıca GDPR uyarınca veri sorumlusunun izin vermesi halinde, veri işleyenin görev ve sorumluluklarını alt veri işleyene devretmesi mümkündür. GDPR’ın 28. maddesi uyarınca alt veri işleyen de veri işleyen ve veri sorumlusu arasındaki temel sözleşmeye tâbi olmalıdır.[15]
Bunlar ve bunun gibi başkaca birtakım yükümlülüklerin veri işleyen tarafından ihlali halinde, ilgili kişi uğradığı zararın karşılanması için GDPR’ın 82. maddesi uyarınca doğrudan veri işleyene başvuruda bulunabilecektir. Dolayısıyla GDPR uyarınca veri işleyene yönelik geniş bir sorumluluk rejiminin benimsendiğini ifade etmek mümkündür.
SONUÇ
Özetle, kişisel verileri veri sorumlusunun verdiği yetkiye dayanarak onun adına işleyen kişiler olan veri işleyen kavramına güncel Türk mevzuatı ve güncel Avrupa Birliği mevzuatı uyarınca birtakım farklı rol ve sorumlulukların yüklendiği açıkça görülmektedir. KVKK, 95/46 Sayılı Direktif’in bir uyarlaması niteliğinde olduğu için veri işleyen kavramı veri sorumlusuna nazaran daha pasif bir aktör olarak düzenlenmiştir. Veri işleyen KVKK uyarınca yalnızca veri güvenliğine ilişkin yükümlülüklerin yerine getirilmesi hususunda veri sorumlusu ile birlikte müştereken sorumlu tutulmuştur. Avrupa Birliği nezdinde GDPR’ın yürürlüğe girdiği tarihe kadar, 95/46 Direktif’in uygulandığı süre boyunca veri işleyenin sorumluluğu hakkında pek çok tartışmalar yaşanmıştır. Çünkü teknolojik gelişmeler bulut hizmetleri veya büyük veri analistleri gibi yeni aktörlerin piyasada rol göstermesine sebep olmuştur. Dolayısıyla veri işleyen kavramında ve veri işleyenin niteliklerinde zamanla büyük değişiklikler gerçekleşmiştir. Bu kapsamda veri işleyenin de tıpkı veri sorumlusu gibi temel bazı hususlarda sorumlu tutulması ve yaptırımlara tâbi olması gereği hasıl olmuştur. Veri işleyenin de tıpkı veri sorumlusu gibi hesap verebilir nitelikte ve veri işleme süreçlerinin şeffaf olması planlanarak GDPR uyarınca gerekli düzenlemeler yapılmıştır.
İşbu açıklamalar doğrultusunda kişisel veriye esas temas eden aktörün veri işleyen olduğu göz önüne alınarak veri işleyenin sorumluluklarının, yükümlülüklerin bulunması ve ihlal halinde birtakım yaptırımlara tâbi tutulabilmesi isabetli bir seçim olarak değerlendirilmektedir. Ancak şüphesiz ki Avrupa Birliği kişisel verilerin korunması alanında ciddi süreçlerden geçmek suretiyle GDPR düzenlemelerinde karar kılmıştır. Oysaki Türkiye’de kişisel verilerin korunmasına ilişkin toplum ve bireyler nezdindeki farkındalık yeni gelişmektedir. Dolayısıyla nasıl ki teknolojinin sürekli olarak gelişmesi sebebiyle GDPR nihai düzenleme olarak sayılamayacaksa zamanla Türk Hukuku uyarınca da veri işleyenin sorumluluğuna ilişkin düzenlemelerin artış gösterebileceği öngörülmektedir. Zira ideal olan, kişisel veri ile birebir temas halinde olan tarafın veri işleme süreçlerinin şeffaf olması ve veri işleyenin de birtakım cezai veya idari yaptırımlara tâbi tutulabileceği bilinciyle faaliyetlerini gerçekleştirmesidir.
KAYNAKÇA
HENKOĞLU, Türkay, Bilgi Güvenliği ve Kişisel Verilerin Korunması, Yetkin Yayınları, 2015
TAŞTAN, Furkan Güven, Türk Sözleşme Hukukunda Kişisel Verilerin Korunması, On İki Levha Yayıncılık, 2017
BOZKURT YÜKSEL, Armağan Ebru, Bulut Bilişimde Kişisel Verilerin Korunması, Yetkin Yayınları, 2016
BUSSCHE, Axel von dem_ VOİGT, Paul – The EU General Data Protection Regulation (GDPR) _ A Practical Guide (2017, Springer International Publishing)
108 Sayılı Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunması Sözleşmesi
95/46/EC Sayılı Avrupa Birliği Veri Koruma Direktifi
6698 Sayılı Kişisel Verilerin Korunması Kanunu
General Data Protection Regulation
https://humanrightscenter.bilgi.edu.tr/tr/
http://www2.tbmm.gov.tr/d26/1/1-0320.pdf
http://www.bilgitoplumu.gov.tr/
[1] HENKOĞLU, Türkay, Bilgi Güvenliği ve Kişisel Verilerin Korunması, Yetkin Yayınları, 2015, sf. 28
[2] Veri kontrolörü olarak da anılabilecek veri sorumlusu, 95/46/EC Sayılı Direktif’in 2(d) maddesi uyarınca kişisel verilerin işlenme amaçlarını ve araçlarını tek başına ya da diğerleriyle ortaklaşa belirleyen gerçek veya tüzel kişi, kamu kurumu, devlet dairesi veya başka bir kuruluş olarak tanımlanmıştır. (BOZKURT YÜKSEL, Armağan Ebru, Bulut Bilişimde Kişisel Verilerin Korunması, Yetkin Yayınları, 2016, sf. 137) Benzer tanımlar için bkz. GDPR Art. 4/7, KVKK md. 3/1(ı).
[3] İlgili kişi, KVKK’nın 3/1(ç) maddesi uyarınca kişisel verisi işlenen gerçek kişi olarak tanımlanmıştır. Veri öznesinin tanımı için bkz. GDPR Art. 4/1.
[4] TAŞTAN, Furkan Güven, Türk Sözleşme Hukukunda Kişisel Verilerin Korunması, On İki Levha Yayıncılık, 2017, sf. 46
[5] KVKK uyarınca veri işlenirken uyulması gereken genel ilkeler için bkz. md. 4/2, GDPR uyarınca veri işlenirken uyulması gereken genel ilkeler için bkz. Art. 5/1.
[6] 108 Sayılı Sözleşme, Türkiye tarafından 28.01.1981 tarihinde imzalanmış olmasına rağmen, onaylanarak iç hukuk düzeninin bir parçası haline gelmesi oldukça uzun zaman almış ve 01.09.2016 tarihinde yürürlüğe girmiştir. Bkz. https://humanrightscenter.bilgi.edu.tr/tr/content/157-kisisel-verilerin-otomatik-isleme-tabi-tutulmas-karssnda-bireylerin-korunmas-sozlesmesi/
[7] Bkz. http://www2.tbmm.gov.tr/d26/1/1-0320.pdf
[8] https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A31995L0046 (Erişim Tarihi: 17.10.2018)
[9] http://www.bilgitoplumu.gov.tr/wp-content/uploads/2017/07/AB_Veri_Koruma_Tuzugu.pdf (Erişim Tarihi: 17.10.2018)
[10] http://verikorumahukuku.org/veri-sorumlusu-veri-isleyen-ayrimi/ (Erişim Tarihi: 17.10.2018)
[11] https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7d5b0a2f-e0ea-41e0-bf0b-bc9e43dfb57a.pdf (Erişim Tarihi: 18.10.2018)
[12] https://gdpr-info.eu/art-4-gdpr/
[13] Bussche, Axel von dem_ Voigt, Paul – The EU general data protection regulation (GDPR) _ a practical guide (2017, Springer International Publishing), sf. 80
[14] A.g.e. sf. 80
[15] A.g.e. sf. 84.