GDPR VE TÜRK HUKUKUNA GETİRDİĞİ YENİLİKLER


ÖZET

Kişisel verilerin korunması hakkını konu alan hukuki düzenlemeler henüz hukuk tarihinde çok kısa bir geçmişe sahiptir. Bu hakka daha geniş perspektiften bakıldığında yüzyıllardır “özel hayatın gizliliği” konusunda yapılmış hukuki düzenlemelerin “kişisel veri” kavramı henüz hayatımıza girmemiş olmasına rağmen aslında kişisel verilerimizi minimum düzeyde de olsa koruduğunu söyleyebiliriz.

Kişisel verilerin bu denli öneme haiz olmaya başladığı dönem Sanayi Devrimi sonrası bilgi ve iletişim teknolojilerinin gelişmeye başladığı dönemdir. O günden bugüne teknolojide tarihte benzeri görülmemiş bir sıçrama yaşanmış ve bu da mahremiyetin korunması açısından büyük sorunların oluşmasına çok açık bir alan yaratmıştır.

Mahremiyetin korunması, şüphesiz ki kişilerin sahip olduğu en önemli haklardandır.  Bu konuda yapılan hukuki düzenlemeler gerekli güncelliğe ulaşamadığında çok ağır sonuçlar ortaya çıkabilir. Günümüzde ulusal ve uluslararası düzenlemeler bu güncelliği sağlamayı ve kişi mahremiyetini en üst düzeyde koruyabilmeyi amaçlamaktadır.

Çalışmada; Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Türk Hukuku’na getirdiği yenilikler ve bu yeniliklerin mevcut mevzuatı nasıl etkileyeceği incelenecektir.

Anahtar Kelimeler: Kişisel veri, mahremiyet, yaptırım, veri güvenliği, AB Genel Veri Koruma Tüzüğü

I.  GİRİŞ

Durmaksızın gelişen teknoloji, yeni hukuki problemler yaratmıştır. Bu da hukukun, dijitalleşmiş dünyamıza uyum sağlayabilmesini hem güç hem de zaruri hale getirmiştir. Şüphesiz; kişisel verilerin korunması, teknoloji ile hukukun kesişim noktasındaki en önemli problemlerden biridir. 1960’lı yıllardan bu yana hukuk dünyasını meşgul eden “kişisel veri” kavramı günümüzde daha da önem kazanmış ve son yıllarda korunmasına yönelik daha kapsamlı hukuki düzenlemeler yapılmıştır. Türkiye’de bu süreç 1981’de Avrupa Konseyi’nin bir düzenlemesi olan Kişisel Verilerin Otomatik İşleme Tabi Tutulma Sürecinde Bireylerin Korunmasına İlişkin 108 sayılı Sözleşme”yi üye devlet olarak imzalamasıyla başlamış, 2016’da 6698 Sayılı Kişisel Verileri Koruma Kanunu’nun yürürlüğe girmesiyle kişisel verilerin korunması güvence altına alınmış ve bağlayıcı bir düzenleme getirilmiştir. Bu süreçteki en önemli düzenlemelerden birisi; 1995 yılında yürürlüğe girmiş olan 95/46/AT sayılı AB Veri Koruma Direktifi olup 6698 sayılı KVKK bu direktifi referans alınarak hazırlanmıştır. Ancak teknolojinin gelişimi ile beraber direktifin günümüzde yetersiz kaldığı ve modernize edilmeye ihtiyacı olduğu yadsınamaz. Bu yüzden Avrupa Birliği 25 Mayıs 2018’de yürürlüğe girmiş olan ve mahremiyet hakkına köklü bir düzenleme getiren Genel Veri Koruma Tüzüğü’nü 2016’da kabul etmiştir. Tüzük’ün veri işleme hukuku kapsamında bir devrim niteliğinde olduğu söylenebilir. Gerek çok daha kapsamlı hükümler getirerek veri korumasını güçlendirmesi, gerek yaptırımlarının diğer ulusal ve uluslararası düzenlemelere göre çok daha ağır olması, gerekse AB içinde yasama yetkisinin kullanılması bakımından bir yenilik getirmiş olması Tüzük’ü bu sıfatla anmamızın sebebini açıklar niteliktedir.

II. AB GENEL VERİ KORUMA TÜZÜĞÜ’NÜN 6698 SAYILI KİŞİSEL VERİLERİ KORUMA KANUNU İLE MUKAYESESİ VE TÜRK HUKUKUNA GETİRDİĞİ YENİLİKLER

1.      AMAÇ VE KAPSAM

Gerek Türk hukukunda gerekse yabancı hukuklarda, kişilerin temel hak ve özgürlüklerinin korunması, bilişim hukukunun ortaya çıkmasından çok önceye dayanmaktadır. Temel hak ve özgürlüklerin yanında, özel hayatın gizliliği de ulusal ve uluslararası düzenlemeler ile korunmaya alınmıştır. Ancak giriş kısmında belirtildiği üzere, gelişen teknoloji hukukun reform ihtiyacını doğurmuş, bu da özel hayatın ve kişilik haklarının mevcut mevzuatla yeterince korunamadığı, güncel hukuki düzenlemelere ihtiyaç duyulduğu gerçeğini gün yüzüne çıkarmıştır. Bu yeni düzenlemelerde birincil amaç kişisel verilerin korunmasıdır. 173 paragraflık resital bölümü ve 99 maddeden oluşan temel tüzük metniyle yaklaşık 90 sayfadan oluşan Genel Veri Koruma Tüzüğü, kişisel verileri ve veri sahiplerinin daha etkin korunmasını sağlarken veri işleyen ve kontrolörün sorumluluklarını artırır. Aynı zamanda uygulanma alanı bakımından çok geniş etkiye sahip olup Tüzük’te belirtilen hükümlere uyulmaması halinde diğer düzenlemelerde görülmemiş boyutlarda yaptırımlar öngörmüştür.

KVKK m.1’e göre; “Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.” AB Genel Veri Koruma Tüzüğü’nde ise; gerçek kişilerin temel hak ve özgürlükleri ve kişisel verilerin korunması hakkının korunması temel amaç olarak belirtilmiştir. KVKK ile Tüzük arasında amaç bakımından bir farklılık olmadığı görülmektedir.

Kapsam bakımından incelendiğinde ise: KVKK.’nin 2. maddesinde kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulandığı belirtilirken; Tüzük’te maddi kapsam ve bölgesel kapsam şeklinde bir ayrım yapılmıştır. (Maddi kapsam, Tüzük’ün 2. maddesinde; bölgesel kapsam ise 3. maddesinde düzenlenmiştir.) Maddi kapsam; kişisel verilerin tamamen ya da kısmen otomatik araçlarla işlenmesine ve kişisel verilerin otomatik araçlar haricinde bir dosyalama sisteminin parçasını oluşturan veya bir dosyalama sisteminin parçasını oluşturması amaçlanan araçlarla işlenmesine uygulanmasıdır. Aynı zamanda Tüzük; Avrupa Birliği kapsamına girmeyen bir faaliyet için, AB Antlaşması’nın V. Başlığının 2. Bölümü kapsamına giren faaliyetler için, tamamen kişisel veya ev faaliyeti esnasında bir gerçek kişi tarafından, kamu güvenliğine yönelik tehditlere karşı güvence sağlanması ve tehditlerin önlenmesi de dahil suçların önlenmesi, tespiti, soruşturulması, kovuşturulması, cezaların infazı ile ilgili olarak yetkili makamların kişisel verileri işlemesi için uygulanmaz. Bölgesel kapsam ise; işleme faaliyeti Birlik içinde gerçekleşmese de Birlik içindeki bir kontrolör veya işleyicinin işletmesindeki faaliyetleri bağlamında kişisel verilerin işlenmesine Tüzük’ün uygulanmasıdır. Veri sahibine bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Avrupa Birliği içerisindeki söz konusu veri sahiplerine mal ya da hizmetlerin sunulması veya davranışları birlik içerisinde gerçekleştiği ölçüde davranışlarının izlenmesi şartları işleme faaliyeti ile alakalı olduğu sürece, Tüzük Birlik içerisinde bulunan veri sahiplerinin kişisel verilerinin Birlik içerisinde kurulu olmayan bir kontrolör veya işleyici tarafından işlenmesinde uygulanır. Bölgesel kapsamın ifade ettiği son uygulama alanı ise; Tüzük’ün, Birlik içerisinde olmayan ancak bir üye devletin hukukunun uluslararası kamu hukuku vasıtasıyla uygulandığı bir yerde kurulu bulunan bir kontrolör tarafından kişisel verilerin işlenmesinde uygulanmasıdır.

2. TEMEL KAVRAMLAR

 2.1. 6698 Sayılı KVKK Bakımından

    aa. Kişisel Veri

6698 sayılı KVKK’de kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgi” şeklinde tanımlanmıştır. Bu tanım doğrultusunda; kişilerin fotoğrafları, vatandaşlık numaraları, parmak izleri, retina izleri, telefon numaraları, e-posta adresleri kişisel veri için verilebilecek başlıca örneklerdendir.

    bb. Özel Nitelikli Kişisel Veri

Kişisel Verilerin Korunması Kanununun 6. maddesine göre; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Kişisel verilerin daha sıkı korunan bir alt grubu olan bu veriler, başkaları tarafından öğrenildiğinde ilgili kişinin toplum tarafından ayrımcılığa veya dışlamaya maruz kalmasına neden olabileceği için hassas veri kategorisindedir ve bunlar hakkında kanunda bazı özel hükümler düzenlenmiştir.

    cc. Veri İşleme

Kişisel verilerin işlenmesi, kanunda “Kişisel verilerin tamamen veya kısmen otomatik olan veya ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü eylem” şeklinde tanımlanmıştır.

Aynı kavram Tüzük’te: “Otomatik yöntemlerle olsun veya olmasın, kişisel veri veya kişisel veri setleri üzerinde gerçekleştirilen toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama veya değiştirme, elde etme, danışma, kullanma, iletim yoluyla açıklama, yayma veya kullanıma sunma, uyumlaştırma veya birleştirme, kısıtlama, silme veya imha gibi herhangi bir işlem veya işlem dizisi” şeklinde tanımlanmıştır.

Kanun ve Tüzük’te yer alan “veri işleme” tanımları birbirine uygun düşmektedir.

   dd. Veri Sorumlusu

            Kanunda, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, veri sorumlusu olarak ifade edilmiştir. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğmaktadır. Tüzükte ise, “veri kontrolörü” tanımına karşılık gelmektedir.

   ee. Veri İşleyen

            Veri işleyen, kişisel verileri kendisine verilen talimatlar çerçevesinde veri sorumlusu adına işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir.

   ff. Açık Rıza

Açık rıza, kanunda belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza şeklinde tanımlanmıştır. Ayrıca Anayasanın 20. maddesinin 3. fıkrasında, kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği hüküm altına alınmıştır. Açık rıza, Kanunda hem özel nitelikli kişisel veriler hem de özel nitelikli olmayan kişisel veriler bakımından hukuka uygunluk sebeplerinden bir tanesidir.

Rıza, veri işleme faaliyetleri için tüm düzenlemelerin önemsediği bir kavram olup Tüzük’te de “rıza veri sahibinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık gösterge” olarak tanımlanmıştır.

Tüzük, rıza bakımından bir yaş sınırlaması öngörmüştür. Buna göre çocuğun en az 16 yaşında olması halinde, çocuğun rızası geçerli olacak ve ilgili çocuğun kişisel verilerin işlenmesi hukuka uygun olacaktır. Çocuğun 16 yaşından küçük olması halinde ise söz konusu işleme faaliyeti, ancak rızanın çocuk üzerinde velayet hakkı bulunan kişi tarafından verilmesi veya onaylanması halinde ve verildiği veya onaylandığı ölçüde hukuka uygundur. Ayrıca üye devletler 13 yaşından küçük olmamak kaydıyla ve kanunla daha küçük bir yaş belirleyebilirler.

 gg. Anonim Hale Getirme

            Anonim hale getirme, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade etmektedir.

hh. Veri Kayıt Sistemi

            Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi olup Tüzük’te yer alan dosyalama sistemi ile örtüşmektedir.

2.2. Genel Veri Koruma Tüzüğü (GDPR) Bakımından

   aa. Kişisel Veri

Tüzükte kişisel veri “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmış olup bu tanım KVKK’nin kişisel veri tanımıyla aynıdır.

   bb. İşleme Faaliyeti

Otomatik yöntemlerle olsun veya olmasın, kişisel veri veya kişisel veri setleri üzerinde gerçekleştirilen toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama veya değiştirme, elde etme, danışma, kullanma, iletim yoluyla açıklama, yayma veya kullanıma sunma, uyumlaştırma veya birleştirme, kısıtlama, silme veya imha gibi herhangi bir işlem veya işlem dizisi Tüzük’te işleme faaliyeti olarak tanımlanmıştır. Tüzük, işleme faaliyetini tanımlarken iki önemli noktaya daha değinmiştir ki bu noktalar işleme faaliyetini gerçekleştiren işleyici veya kontrolörün işletmelerinin bulunduğu ülke veya ülkelere ilişkindir. Buna göre, işleyici veya kontrolör birden fazla üye devlette kurulu ise bunların birden fazla üye devletteki işletmelerinin faaliyetinde gerçekleşen işleme faaliyetleri bu tüzük kapsamındadır. Ayrıca kontrolör veya işleyicinin Birlik içerisindeki tek bir işletmesinin faaliyetleri bağlamında gerçekleşen, ancak birden fazla üye devletteki veri sahiplerini kayda değer ölçüde etkileyen veya kayda değer ölçüde etkileme ihtimali bulunan veri işleme faaliyetlerinin de bu Tüzük kapsamında olduğu, Tüzük’te anılan ikinci önemli noktadır.

   cc. Kişisel Veri Dosyalama Sistemi

Tüzük’ün 4. maddesinin 6. fıkrasına göre dosyalama sistemi, işlevsel veya coğrafi bir temelde merkezi, ademi-merkezi veya dağınık olarak spesifik kriterlere göre erişilebilen yapılandırılmış herhangi bir kişisel veri dizisidir.

   dd. Veri Kontrolörü

            Yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır; söz konusu işleme amaçları ve yöntemlerinin Birlik ya da üye devlet hukukuna göre belirlenmesi durumunda, kontrolör veya kontrolörün belirlenmesine özgü kriterler Birlik ya da üye devlet hukukuna göre belirlenebilir.

   ee. Veri İşleyicisi

Tüzük’ün 4. maddesinin 8. fıkrasına göre: “Kontrolör adına kişisel verileri işleyen bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır.”

   ff. Rıza

            Rıza, veri işleme faaliyetleri için tüm düzenlemelerin önemsediği bir kavramdır. Tüzük’te 4. maddenin 11. fıkrası uyarınca “rıza veri sahibinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık gösterge” olarak tanımlanmıştır. Veri sahibi rızasını istediği zaman geri çekebilir. Tüzük, rıza bakımından bir yaş sınırlaması öngörmüştür. Buna göre çocuğun en az 16 yaşında olması halinde, çocuğun rızası geçerli olacak ve ilgili çocuğun kişisel verilerin işlenmesi hukuka uygun olacaktır. Çocuğun 16 yaşından küçük olması halinde ise söz konusu işleme faaliyeti, ancak rızanın çocuk üzerinde velayet hakkı bulunan kişi tarafından verilmesi veya onaylanması halinde ve verildiği veya onaylandığı ölçüde hukuka uygundur. Ayrıca üye devletler 13 yaşından küçük olmamak kaydıyla ve kanunla daha küçük bir yaş belirleyebilirler.

3. TEMEL İLKELER

 3.1. 6698 Sayılı KVKK Bakımından

Kişisel Verilerin Korunması Kanunu’na göre kişisel verilerin işlenmesi sırasında uyulması gereken ilkeler iki maddede ele alınmıştır.  KVKK m.4’te adeta veri işlemenin anayasası sayılacak ve işleme faaliyetinin her aşamasında göz önünde bulundurulması gereken genel ilkeler düzenlenmiştir: “(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma b) Doğru ve gerektiğinde güncel olma c) Belirli, açık ve meşru amaçlar için işlenme ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” şeklinde hükme bağlanmıştır.

Kanaatimizce, Kanunda sayılan ilkelerden bir kısmının anlamını tespit etmek gerekir. Bunlardan ilki, “belirli, açık ve meşru amaçlar için işlenme” ilkesidir.  Bu ilke oldukça önemlidir, zira bu ilke dolayısıyla veri sorumlusunun aydınlatma yükümlülüğü de doğmaktadır. Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; kişisel verilerin hangi amaçla işleneceği konusunda bilgi vermekle yükümlüdür.

İkinci olarak “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ise “veri güvenliğine ilişkin yükümlülükler” başlıklı 12. maddenin 1. fıkrasında: “Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu kanun hükümlerine aykırı olarak … işleme amacı dışında kullanamazlar.” şeklinde düzenlenmiştir.

Son olarak ise “ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkesi ise 7. maddenin 1. fıkrasında açıklanmış olup: “Bu kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler re ’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.” şeklinde somutlaştırılmış ve veri sahibine Tüzük’te de varlığını devam ettiren silme hakkı tanınmıştır.

Bu genel ilkelerin yanı sıra KVKK’nin 5. maddesinde: “Kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez” denilmiş ancak hemen alt fıkrada ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesini mümkün kılacak öncelikli hukuki sebepler sıralanmıştır. Nitekim somut olayda, söz konusu fıkrada sayılan hallerden biri mevcutsa, bu haller işleme faaliyetinin temel hukuki dayanağı olarak kabul edilecek ve bu durumların mevcudiyeti halinde işleme faaliyeti için ilgili kişinin rızası aranmayacaktır, zira bunun aksi uygulamada çeşitli karışıklıklara yol açacaktır. Söz konusu fıkrada en çok tartışma konusu olan ise f bendinde düzenlenen “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” durumudur. Tartışma konusu olmasının sebebi ise kanunda, “veri sorumlusunun meşru menfaati”nden maksadın ne olduğunun açıklanmıyor oluşudur. Dolayısıyla veri sorumlusunun ne tür menfaatlerinin (ör. ticari menfaatinin) anılan meşru menfaat kapsamına gireceği tartışmalıdır. Böyle bir halde ilgili kişinin hakkı ile veri sorumlusunun meşru menfaati arasında bir denge testi yapılacaktır. Bu denge testi sonucunda “veri sorumlusunun menfaati” ilgili kişinin hakkından ağır basıyorsa, ilgili kişinin temel haklarına zarar gelmeyecek şekilde, bu menfaat, “meşru menfaat” kapsamına alınacak ve bu doğrultuda işleme faaliyeti m.5/f.2 kapsamında gerçekleştirilecektir.

KVKK’nin 6. maddesinde tanımlanmış olan özel nitelikli kişisel verilerin de ilgilinin açık rızası olmaksızın işlenmesi yasaklanmış olup, üçüncü fıkrasında yine rızayı bertaraf edecek hukuki dayanak teşkil eden durumlar düzenlenmiştir. Buna göre sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.

3.2. Genel Veri Koruma Tüzüğü (GDPR) Bakımından

   aa. Hukuka uygunluk, adalet ve şeffaflık

            Tüzük’e göre veri işleme faaliyeti; hukuka uygun, adil ve şeffaf olmalıdır. İşleme faaliyetinin hukuka uygun sayılabilmesi için; veri sahibinin rızası, işleme faaliyetinin gerekli olması ve veri sahibinin menfaatlerinin veya temel hak ve özgürlüklerinin kontrolör veya üçüncü bir kişinin meşru menfaatlerine ağır basması gereklidir.

   bb. Amaçla sınırlılık

            Tüzük’e göre kişisel veriler, açık ve meşru amaçlara yönelik olarak toplanır ve bu amaçlara uygun olmayan bir şekilde işlenemez. Ancak istisna niteliğinde olan ve Tüzük’ün 89. maddesinde açıklanan; kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar doğrultusunda işleme faaliyeti, yine Tüzük uyarınca veri sahibinin hakları ve özgürlükleri açısından uygun güvencelere tabi olduğundan, baştaki amaçlara aykırı şekilde değerlendirilemez.

   cc.  Amaçla ilgililik ve orantılılık

            Tüzük’ün 5. maddesinde “Kişisel veriler, işlendikleri amaçlarla ilgili olarak; yeterli gerekli ve yerinde olanla sınırlıdır.” denilmektedir. Bu ilkeye verilerin en alt düzeye indirilmesi veya ölçülülük ilkesi de denilebilir. Ölçülülük ilkesi ise en temel şekliyle, amaç ve araç arasında, yani işleme amacı ve elde edilen kişisel veri arasında, hakkaniyete uygun bir denge bulunması gereği olarak ifade edilebilir.

            Asgari olarak veri işlenmesini hedefleyen bu ilkenin Tüzük’ün en temel yapıtaşlarından biri olduğunu söylemek kanaatimizce mümkün görünmekte. Sadece ihtiyaç duyulan verinin, sadece ihtiyaç duyulan süre ve amaçlar doğrultusunda kullanılmasını öngören bu ilke ile olası veri ihlali ve ihlal dolayısıyla meydana gelecek sorumluluğu da en aza indirmeyi sağlanmış olacaktır.

   dd. Doğruluk ve Güncellik

            Tüzük’e göre, veriler doğru ve güncel olarak tutulur. İşlendikleri amaçlar göz önünde tutularak, doğru olmayan kişisel veriler gecikmeksizin silinmeli veya bu verilerin düzeltilmesi sağlanmalıdır.

   ee. Saklama süresi bakımından sınırlılık

            Kişisel verilerin, işlenme amacı bakımından yeterli süre ile sınırlı olacak şekilde saklanması gerekmektedir. Ancak burada yine Tüzük’ün 89. maddesinde anılan;        “kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar doğrultusunda işleme faaliyeti” istisna teşkil etmiştir. Bu amaçla işlendikleri sürece, veri sahibinin hak ve özgürlüklerinin güvence altına alınmasına ilişkin tedbirlerin uygulanmasına da bağlı olarak; kişisel verilerin daha uzun süreler boyunca saklanabilmesine olanak tanınmıştır.

   ff. Bütünlük ve gizlilik

            Kişisel verilerin güvenliğini sağlayacak şekilde, bütünlük ve gizlilik ilkeleri çerçevesinde işlenmesini ifade etmektedir. Güvenlik unsurunun içine yetkisiz veya yasadışı işlemeye karşı, kayba, imhaya veya tahribe karşı koruma da dahil olmaktadır.

  gg. Hesap verebilirlik

            Son olarak, Tüzük’ün 5. maddesinin 2. fıkrasına göre “Kontrolör, 1. paragrafa uygun davranmaktan sorumludur ve buna uygun davrandığını gösterebilmelidir.” demektedir. Dolayısıyla kontrolör, yukarıda açıkladığımız ilkelere uygun davrandığı hususunda hesap vermekle yükümlüdür.

4.VERİ SAHİBİNİN HAKLARI

            Veri sahibinin haklarını, 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve AB Genel Veri Koruma Tüzüğü şeklinde ikili bir ayrıma tabi tutarak incelemeden önce “veri sahibi” kavramını ele almakta fayda görmekteyiz. Zira bu kavram 6698 Sayılı Kanun’da “ilgili kişi” olarak anılmaktadır ve ilgili kişi, kişisel verisi işlenen gerçek kişi şeklinde tanımlanmıştır.

            Kanun ve Tüzük’ü ayrı ayrı ele almadan önce belirtmek gerekir ki, Tüzük’ün yürürlüğe girmesiyle veri sahibinin hakları, veri sorumlusunun (Tüzük’te anılan adıyla kontrolörün) yükümlülüklerine paralel olarak artmıştır.

 4.1. 6698 Sayılı KVKK Bakımından

            6699 Sayılı KVKK’nin 11. maddesinde ilgili kişinin hakları sayılmıştır. Buna göre: “(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.”

            11. maddenin (e) bendinde 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakkı düzenlenmiştir. Zira KVKK m.7’de: “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.” hükmü düzenlenmiştir.

4.2. Genel Veri Koruma Tüzüğü (GDPR) Bakımından

            Veri sahibinin hakları Tüzük’te 12 ila 22. maddeler arasında düzenlenmiştir. Maddelerde anılan haklara sırayla değinecek olursak:

   aa. Haklarının kullanımına ilişkin bilgilendirilme

            Kontrolör, işleme faaliyetine ilişkin her türlü bilgiyi veri sahibine sağlamak için gerekli tedbirleri almalıdır.  Veri sahibine yapılan bu bildirim; öz, şeffaf, anlaşılır ve kolayca erişilebilir bir biçimde, açık ve sade bir dil kullanarak yapılmalıdır.

Bilgilendirilme hakkı kapsamında yapılan her türlü bildirim ve işlem ücretsiz olarak sağlanır. Ancak veri sahibinin talebinin asılsız veya ölçüsüz olduğu durumlarda kontrolör, talebin asılsız veya ölçüsüz olduğunu ispat edebildiği takdirde; “bildirimin sağlanması veya talep edilen işlemin gerçekleştirilmesine ilişkin idari masrafları dikkate alarak makul bir ücret talep etme” veya “taleple ilgili işlem yapmayı reddetme” haklarına sahiptir.

   bb. Erişim hakkı

            Veri sahibinin kişisel verilerinin işlenip işlenmediğini kontrolörden teyit etme ve işleme faaliyetinin gerçekleştirilmiş olması halinde kişisel verilere erişim ile; işleme amaçları, ilgili kişisel veri kategorileri, verilerin üçüncü ülkeler veya uluslararası kuruluşlara aktarılması halinde aktarılan kişi veya kişileri, kişisel verilerin saklanması için öngörülen süre veya bu sürenin belirlenmesi amacıyla kullanılan kriterleri, kişisel verilerin veri sahibinden elde edilmemesi halinde bu verilerin kaynaklarına ilişkin mevcut bilgileri ve işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçları gibi bilgileri talep etme hakkı bulunur.

            Kişisel verilerin yurtdışına veya uluslararası bir kuruluşa aktarılması durumunda aktarımla ilgili olarak uygun güvenceler hususunda, veri sahibinin bilgilendirme hakkı bulunur.

   cc. Düzeltilmesini talep etme hakkı

            Veri sahibi, doğru olmayan kişisel verilerinin düzeltilmesini kontrolörden talep etme hakkına sahiptir. Aynı şekilde işleme amaçları dikkate alınarak veri sahibinin eksik kişisel verilerini tamamlatma hakkı bulunur. Bu, doğruluk ve güncellik ilkesinin bir sonucudur.

   dd. Silinmesini talep etme/Unutulma hakkı

Unutulma hakkının Tüzük’te ve KVKK’de tanımlanmamış olmasına karşın, dijital hafızada yer alan bireylere ait rahatsız edici her türlü kişisel içeriğin ve meşru amacını kaybeden kişisel verilere ilişkin içeriğin veri öznesinin talebi üzerine kaldırılması anlamına geldiği kabul edilebilir.

Veri sahibinin; kişisel verilerinin silinmesini talep etme ve unutulma hakkı Tüzük’ün 17. maddesinde hükme bağlanmış olup üç fıkrada incelenmiştir.

            Birinci fıkraya göre; veri sahibinin kişisel verilerinin silinmesini kontrolörden talep etme hakkı bulunur. Fıkrada sayılan hallerden birinin varlığı durumunda kontrolörün de herhangi bir gecikmeye mahal vermeksizin kişisel verileri silme yükümlülüğü vardır. Bu hallere örnek verecek olursak: Kişisel verilerin işleme amaçlarıyla ilişkili olarak depolanmasının artık gerekli olmaması, veri sahibinin işleme faaliyeti için verdiği rızasını geri çekmesi ve işleme faaliyeti ile ilgili başka bir yasal gerekçe bulunmaması, kişisel verilerin yasadışı bir biçimde işlenmiş olması gibi durumlardır.

Unutulma hakkının düzenlendiği ikinci fıkraya göre; kontrolörün kamuya açıkladığı kişisel verileri birinci fıkra uyarınca silmek zorunda olduğu hallerde kontrolör, veri işleyenleri söz konusu kişisel verilere yönelik her türlü bağlantının ve bu verilerin her türlü nüshasının söz konusu veri işleyenlerce silinmesi için teknik tedbirler de dahil olmak üzere gerekli bilgilendirmeyi yapmalıdır.

Üçüncü fıkrada silme ve unutulma hakkının istisnaları düzenlenmiştir. Örnek verilecek olursa: İfade ve bilgi edinme hakkının kullanılması, halk sağlığı alanındaki kamu yararı sebeplerinin varlığı, m.89’da düzenlenen kamu yararına arşivleme, bilimsel veya tarihi araştırma amaçları, istatistiki amaçlar doğrultusunda ve verilerin yasal iddiaların konusunu oluşturduğu haller, bu iddiaların uygulanması veya savunulması.

   ee. İşleme faaliyetini kısıtlama hakkı

            İşleme faaliyetini kısıtlama hakkı, KVKK’da yer almayıp Tüzük ile veri sahibine verilmiş bir haktır.

Tüzük’ün 18. maddesinde düzenlenen işleme faaliyetini kısıtlama hakkının kullanılabileceği haller dört bent halinde düzenlenmiştir. Buna göre veri sahibi, kişisel verilerinin doğruluğuna itiraz ettiği takdirde, kontrolörün kişisel verilerin doğruluğunu teyit etmesini sağlayan bir süre boyunca, işleme faaliyetinin kısıtlanmasını talep etme hakkına sahiptir. Veri sahibinin, kişisel verilerinin silinmesi yerine verilerin kullanımının kısıtlanmasını talep etmesi de mümkündür. Aynı şekilde işleme faaliyetinin amacına yönelik olarak kontrolörün artık kişisel verilere ihtiyaç duymaması ancak veri sahibinin yasal iddialarda bulunması, bu iddiaların uygulanması veya savunulması amaçlarıyla söz konusu verilere ihtiyaç duyması halinde de veri sahibi, işleme faaliyetinin kısıtlanmasını talep etme hakkına sahiptir. Son olarak da kontrolörün meşru gerekçelerinin veri sahibinin meşru gerekçelerine ağır basıp basmadığı doğrulanana kadar da veri sahibi işleme faaliyetinin kısıtlanmasını talep edebilir.

   ff. Veri taşınabilirliği hakkı

            Tüzük’ün 18. maddesinde düzenlenen işleme faaliyetinin kısıtlanması hakkı gibi 20. maddesinde düzenlenen veri taşınabilirliği hakkı da yine KVKK’da veri sahibine verilmiş bir hak değildir. Tüzük ile tanınmış olan bu hak, işleme faaliyetinin rızaya veya bir sözleşmeye dayanması hallerinde uygulama alanı bulacaktır. Nitekim 20. maddenin 3. fıkrasına bakıldığında; söz konusu hakkın, kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin uygulanması için gereken işleme faaliyetlerine uygulanmayacağı görülecektir.

            Veri taşınabilirliği hakkı kapsamında veri sahibinin, kişisel verilerin, teknik açıdan uygulanabilir olması halinde, doğrudan bir kontrolörden diğerine ilettirme hakkı bulunmaktadır.

  gg. İtiraz hakkı

            Tüzük’e göre veri sahibinin, kendisi ile ilgili kişisel verilerin işlenmesine herhangi bir zamanda itiraz etme hakkı bulunmaktadır.

5. VERİ SORUMLUSUNUN/KONTROLÖRÜN YÜKÜMLÜLÜKLERİ

 5.1. 6698 Sayılı KVKK Bakımından

            Veri sorumlusu, veri işleme faaliyeti kapsamında, işleme amaçlarını ve vasıtalarını belirleyen kişi olarak elbette birtakım yükümlülükler altındadır. İşleme sürecinde üstlendiği sorumluluğun tabii bir sonucu olarak veri sorumlusu her şeyden önce veri güvenliğine yönelik tedbirleri almakla yükümlüdür. Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, bu verilere yine hukuka aykırı şekilde erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amaçlarıyla veri güvenliğini temin etmeye yönelik her türlü teknik ve idari tedbirleri almak zorundadır. Bununla birlikte veri sorumlusu aydınlatma yükümlülüğü altında bulunmaktadır. Bu yükümlülük kapsamında veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde edilmesi sırasında ilgili kişilere; veri toplamanın yöntemi ve hukuki sebebiyle, veri aktarımıyla, işleme amacıyla ve ilgili kişinin sahip olduğu birtakım haklarla ilgili bilgi vermekle yükümlüdür. Aydınlatma yükümlülüğü, işleme aşamasında gerçekleştirilmelidir. Zira kişisel veriler elde edildikten sonra, veri sorumlusu tarafından ilgili kişiye gönderilen e-mail veya mesaj yolu ile aydınlatma yükümlülüğü yerine getirilmiş olmaz.

 5.2. Genel Veri Koruma Tüzüğü (GDPR) Bakımından

            Tüzük’te veri sorumlusunun yükümlülükleri belirlenirken, risk odaklı bir politika izlenmiştir. Bu nedenle de, veri güvenliğini sağlama hususunda mevcut olan riskler azaldığı takdirde veri sorumlusu da birtakım yükümlülüklerden muaf olabilecektir.

            Tüzük kapsamında da veri sorumlusu yine veri güvenliğine ilişkin tedbirler almakla, denetim makamı ile iş birliği yapmakla, riskli veri işleme faaliyetleri açısından veri koruması etki değerlendirmesi yapmakla yükümlü kılınmıştır. Tüzük’ün getirdiği bir yenilik olarak veri sorumlusuna kayıt tutma zorunluluğu yaratılmıştır. Bu yükümlülük kapsamındaki veri sorumluları, işleme faaliyetlerine ilişkin kayıt tutarlar. Bir diğer yenilik olarak veri sorumluları Tüzük ile beraber bildirim yükümlülüğü altına girmişlerdir. Veri güvenliği hususunda herhangi bir veri ihlali tehdidiyle karşılaşıldığı durumlarda, veri sorumluları ihlalden haberdar oldukları andan itibaren yetmiş iki saat içinde bunu denetim makamına bildirmekle yükümlüdür. Son olarak ise veri sorumlularına Tüzük ile birlikte hassas verilerin işlenmesi bakımından veri koruma görevlisi atama yükümlülüğü getirilmiştir.

6. VERİ GÜVENLİĞİ

KVKK’de de Tüzük’te de gerek veri sorumlusunun yükümlülüklerinde gerek diğer başlıklarda açıkça ifade edilen veri güvenliği; verilerin izinsiz kullanımını, izinsiz ifşa edilmesini, izinsiz yok edilmesini, izinsiz değiştirilmesini, verilere hasar verilmesini koruma veya verilere yapılacak olan izinsiz erişimleri engelleme işlemlerini kapsar. Burada özellikle verilerin yurtdışına aktarımı önemli bir hususu oluşturmaktadır.

Küreselleşen dünyada veriler de küreselleşmektedir. Bunun anlamı, veri sahibi ile veri işleyenin her zaman aynı ülkede kurulu bulunmaması veya bulunsa bile veri işleyenin istisnalar saklı kalmak kaydıyla elde ettiği verileri kurulu bulunduğu ülkede veya veri sahibinin kurulu bulunduğu ülkede depolamak zorunda olmamasıdır. Devletlerin veri güvenliği ve yurtdışına veri aktarımı konusundaki politikaları farklı olsa da dünya çapında birkaç örnek olayı ve KVKK’nin ve Tüzük’ün bu konudaki maddelerini inceleyerek genel bir yoruma ulaşabiliriz. İlk olarak KVKK’ye göre, ilgili kişinin açık rızası varsa veya Kanunun 5/2 ve 6/3 maddelerindeki şartlar sağlanıyorsa ve aynı zamanda veri aktarımının yapılacağı ülkede yeterli koruma bulunuyorsa bu ülkeler Kurul tarafından “güvenli ülkeler listesi”ne alınabilir ve bu ülkeler ile sınırlı olmak kaydıyla kişisel veriler yurtdışına aktarılabilir. Ancak yeterli korunmanın bulunmadığı ülkelere de veri aktarımı mümkündür. Şöyle ki: Türkiye’deki ve veri aktarılacak ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul izni alınması şartıyla veri aktarılabilir. Ayrıca 9. maddenin 5. fıkrasına göre: “Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.”

7.YAPTIRIMLAR

AB Genel Veri Tüzüğü’nün getirdiği en önemli yeniliklerden biri de veri ihlalleri karşısında öngördüğü yaptırımlardır. Söz konusu tazmin yaptırımları 95/46 sayılı Direktif’e ve 6698 sayılı KVKK’ye göre çok daha ağırdır. KVKK’de öngörülen idari para cezaları en düşük 5 bin Türk lirasından en yüksek 1 milyon Türk lirasına kadar iken; Tüzük’te öngörülen para cezaları 20 milyon Euro veya hizmet sağlayıcının küresel gelirinin yüzde dördüdür. Cezalar bakımından Tüzük’ü ele alacak olursak bu, veri gizliliğine ilişkin uygulanabilecek en yüksek cezadır ve en ciddi ihlaller için uygulanır. Tüzük, para cezaları bakımından kademeli bir yaklaşımı öngörmüştür. Daha hafif sayılabilecek ihlaller, 10 milyon Euro’ya kadar veya bir teşebbüs olması halinde bir önceki mali yılın yıllık küresel cirosunun yüzde dördüne kadar idari para cezasına tabidir. Her iki durumda da yüksek olan meblağ geçerlidir. Bu kurallar hem veri işleyicileri hem de veri kontrolörleri için uygulanır; yani “bulut sistemleri” bu yaptırımlardan muaf değildir.

 

III. SONUÇ

Bilgi teknolojilerindeki gelişimin artmasıyla paralel olarak kişisel verilerimizin korunma ihtiyacı ve korunmadığı takdirde doğabilecek riskler de artmaktadır. Genel Veri Koruma Tüzüğü (GDPR) öncesi ulusal ve uluslararası düzenlemeler bu artışa yeterli düzeyde çözüm sağlayamamaktaydılar. Ayrıca verilerin sınırlar ötesi trafiğine rağmen AB’ye üye devletler arasındaki mevzuat uyumsuzluğu da veri mahremiyetinin yeterince sağlanamamasına yol açmaktaydı. İşte bu çözümün sağlanması amacıyla Tüzük Avrupa Parlamentosu tarafından 14 Nisan 2016’da onaylanmıştır.

Makalenin içeriğinden de anlaşıldığı üzere Tüzük kişisel verilerin korunmasına tedbirleri artırıcı yeni uygulamalar getirmiş; örneğin veri sorumlusunun yükümlülüklerini ve veri sahibinin haklarını artırmış, idari para cezalarını artırarak caydırıcılığı güçlendirmiştir. Getirdiği tüm yenilikler ile Genel Veri Koruma Tüzüğü’nün AB sınırlarının ötesinde bir reform yarattığını ve veri korumasını en üst düzeye çıkardığını söyleyebiliriz.

 

 

IV. KAYNAKÇA

AB Genel Veri Koruma Tüzüğü, T.C. AB Bakanlığı https://www.kisiselverilerinkorunmasi.org/wp-content/uploads/2017/09/GDPR-T%C3%BCrk%C3%A7e-%C3%87eviri-AB-Bakanl%C4%B1%C4%9F%C4%B1.pdf

Açık Rıza, Kişisel Verileri Koruma Kurumu https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/66b2e9c4-223a-4230-b745-568f096fd7de.pdf

Akıncı, Ayşe Nur, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler ve Türk Hukuku Bakımından Değerlendirilmesi, T.C. Kalkınma Bakanlığı, Haziran 2017http://www.bilgitoplumu.gov.tr/wp-content/uploads/2017/07/AB_Veri_Koruma_Tuzugu.pdf

Avrupa Birliği Antlaşması ve Avrupa Birliği’nin İşleyişi Hakkında Antlaşma, Birliğin Ortak Dış ve Güvenlik Politikasına İlişkin Özel Hükümler “https://www.ab.gov.tr/files/pub/antlasmalar.pdf

Başalp, Nilgün, “Avrupa Birliği Veri Koruması Genel Regülasyonu’nun Temel Yenilikleri”, Marmara Üniversitesi Hukuk Fakültesi Hukuk Araştırmaları Dergisi, C:21, S:1http://dergipark.gov.tr/download/article-file/271091

Çekin, Mesut Serdar, “6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’un Big Data (Büyük Veri) ve İrade Serbestisi Açısından Değerlendirilmesi”, İstanbul Üniversitesi Hukuk Fakültesi Mecmuası Y. 2016, C. LXXIV, S. 2  “http://asosindex.com/cache/articles/6698-sayili-kisisel-verilerin-korunmasi-hakkinda-kanun-un-big-data-buyuk-veri-ve-irade-serbestisi-acisindan-degerlendirilmesi-f413322.pdf”

Gülener, Serdar, "Dijital Hafızadan Silinmeyi İstemek: Temel Bir İnsan Hakkı Olarak Unutulma Hakkı", Türkiye Barolar Birliği Dergisi, Y. 2012, S:102http://tbbdergisi.barobirlik.org.tr/m2012-102-1218

http://www.allenovery.com/SiteCollectionDocuments/Radical%20changes%20to%20European%20data%20protection%20legislation.pdf

https://www.eugdpr.org/key-changes.html

Kişisel Verileri Koruma Kurulu, 21/12/2017 Tarihli ve 2017/62 Sayılı İlke Kararı “https://kvkk.gov.tr/Icerik/4114/2017-62”

Ocak, Ayşenur, “Hakları Dengelemek: Unutulma Hakkı İfade Özgürlüğüne Karşı”, Türkiye Adalet Akademisi Dergisi, Y. 2018, S:33

Veri Sorumlusu ve Veri İşleyen, Kişisel Verileri Koruma Kurumu, “https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/f63e88cd-e060-4424-b4b5-f6413c602060.pdf

 

Ezgi Tuna

Anadolu Üniversitesi Hukuk Fakültesi

Buse Altoprak

Anadolu Üniversitesi Hukuk Fakültesi