AB VE TÜRK VERİ KORUMA HUKUKU ÇERÇEVESİNDE VERİ SORUMLUSU VE VERİ İŞLEYEN HUKUKİ STATÜLERİNİN BELİRLENMESİ
Abdullah S. KÖŞGEROĞLU, Stj. Avukat |
ÖZET
Veri sorumlusu ve veri işleyen hukuki statülerinin belirlenmesi, yürürlükteki veri koruma düzenlemeleri çerçevesinde tarafların sorumluluklarının tespiti ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun etkin şekilde uygulanması bakımından kritik bir öneme sahiptir. Kişisel verilerin korunmasına ilişkin Türk mevzuat düzenlemelerinde veri sorumlusu ve veri işleyen konseptleri kısaca tanımlanmış olup uygulamada anılan hukuki statülerin tespitinde yaşanan belirsizliklerin açıklığa kavuşturulması adına yetkili otorite tarafından yayımlanan muhtelif rehberler ve kararlar vasıtasıyla bazı kriterler ortaya konmuştur. İşbu makale kapsamında, ilgili düzenlemelerde belirlenen kriterlere karşın uygulamada devam eden tereddütlerin giderilmesi adına veri sorumlusu ve veri işleyen hukuki statüleri ile anılan hukuki statülerin tespitinde kullanılacak kriterler, Avrupa Birliği[1] müktesebatı da göz önünde bulundurularak değerlendirilmiştir.
Anahtar Kelimeler: Veri Sorumlusu, Veri İşleyen, Kişisel Veri, Kişisel Verilerin Korunması Kanunu, Genel Veri Koruma Tüzüğü.
GİRİŞ
Kişisel veri işleme faaliyeti içeren hukuki ilişkilerin değerlendirilmesinde bahse konu veri işleme faaliyetini gerçekleştiren tarafların veri sorumlusu ve veri işleyen hukuki statülerinden hangisini haiz olduğunun tespit edilmesi veri koruma hukuku bakımından oldukça önemlidir. Modern ticari ilişkilerdeki değişimler, dış kaynak kullanımının giderek karmaşıklaşması ve firmaların bilişim sistemlerini merkezileştirme eğilimi gibi gelişmeler veri sorumlusu ve veri işleyenin somut olay özelinde belirlenmesini gittikçe zorlaşmaktadır. Bununla beraber kişisel veri işleme faaliyetine dahil olan tarafların hukuki statülerinin tespit edilmesi, ilgili veri koruma mevzuatınca veri sorumlusuna ve veri işleyene atfedilen hukuki yükümlülüklerin hangi aktörler tarafından üstlenileceğinin yazılı bir sözleşme ile açıklığa kavuşturulması, ilgili aktörlerin hukuki statülerine uygun olarak hareket etmesi ve ilgili kişilerin haklarını fiilen nasıl kullanacaklarının ortaya konması bakımından sahip olduğu önemi sürdürmektedir[2]. İşbu çalışmada, 6698 sayılı Kişisel Verilerin Korunması Kanunu[3] (“KVKK”) ve Avrupa Birliği (“AB”) Genel Veri Koruma Tüzüğü[4] (General Data Protection Regulation) (“GDPR”) hükümlerinin yanında ikincil mevzuat düzenlemeleri, rehberler ve Kişisel Verileri Koruma Kurulu (“Kurul”) kararları ışığında veri sorumlusu ve veri işleyen hukuki statülerinin belirlenmesine ilişkin ölçütler ele alınmıştır.
1. VERİ SORUMLUSU KAVRAMI VE VERİ SORUMLUSU HUKUKİ STATÜSÜNÜN BELİRLENMESİ
Veri sorumlusu kavramı KVKK kapsamında, “(i) kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, (ii) veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan, (iii) gerçek veya tüzel kişi” olarak tanımlanmıştır. Bu doğrultuda örneğin, bir şirket bünyesinde yer alan iş birimlerinin veri sorumlusu olarak değerlendirilmesi mümkün olmamakla birlikte bir şirketler topluluğunu oluşturan her bir şirketin farklı tüzel kişiliğe sahip olması durumunda söz konusu şirketlerin her birinin ayrı ayrı veri sorumlusu olarak nitelendirilmesi mümkündür[5]. GDPR’de ise veri sorumlusu, “(i) yalnız başına veya başkalarıyla birlikte, (ii) kişisel verilerin işlenmesine ilişkin amaçları ve vasıtaları belirleyen, (iii) gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ” şeklinde tanımlamış olup KVKK’dan farklı olarak veri sorumlusu kavramına hukuki kişilik bakımından herhangi bir sınırlama getirilmemiştir[6]. Böylece tüzel kişiliği bulunmayan bir kişi grubu, kuruluş, adi şirket ve apartman yönetimi dahi GDPR’ye göre veri sorumlusu sayılabilecektir.
Öte yandan, KVKK’da yer alan söz konusu sınırlama, Kurul’un 23/07/2019 tarihli ve 2019/225 sayılı kararında[7] GDPR’ye atıf yapılarak yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin ayrı bir tüzel kişilikleri bulunmamasına rağmen kişisel verilerin işleme amaçlarını ve vasıtalarını belirlemeleri ve veri kayıt sisteminin kurulması ile yönetilmesinden sorumlu olmaları hâlinde yurt dışında yerleşik tüzel kişiden ayrı olarak Türkiye’de yerleşik veri sorumlusu olacaklarına yönelik yapılan değerlendirme ile genişletilmiştir. Paralel şekilde Kurul, 22/07/2020 tarihli ve 2020/560 sayılı kararı ile KVKK’nın veri sorumlusuna ilişkin getirdiği tanımın, hayatın olağan akışına uygunluğunun sağlanması ve pratikte ortaya çıkan sorunların çözülebilmesi adına geniş yorumlanması gerektiğine ve bu kapsamda her ne kadar tüzel kişiliği haiz olmasa da kural olarak apartman, site ve benzeri yapılar bakımından kat malikleri kurulunun veri sorumlusu hukuki statüsünde kabul edilebileceğine[8] karar vermiştir. Dolayısıyla her ne kadar veri sorumlusu kavramı KVKK’da GDPR’ye kıyasla daha sınırlı bir şekilde tanımlanmış olsa da Kurul kararları ile ilgili kavramın uygulamada GDPR ile uyumlu hale getirildiği değerlendirilmektedir.
Bununla birlikte KVKK ve GDPR kapsamında düzenlenen veri sorumlusu konseptleri arasındaki diğer bir fark, GDPR’nin 26’ncı maddesinde düzenlenen ve KVKK’da yer almayan “ortak veri sorumluluğu” (joint controllership)[9] kavramıdır. GDPR kapsamında iki veya daha fazla veri sorumlusunun kişisel veri işlemenin amaçlarına ve vasıtalarına birlikte karar vermeleri hâlinde ortak veri sorumluluğunun meydana geleceği düzenlenmiştir. KVKK’da açıkça düzenlenmemekle birlikte Kurul, 23/12/2021 tarihli ve 2021/1303 sayılı kararında[10] ortak bir amacın varlığı ve kişisel verilerin işlenmesindeki temel araçların birlikte belirlenmesi hâlinde ortak veri sorumluluğunun ortaya çıkabileceğine değinmiştir[11]. Ek olarak 6098 sayılı Türk Borçlar Kanunu’nda yer alan müteselsil sorumluluğa ilişkin esasın ortak veri sorumluluğu bakımından da kıyasen uygulanabileceğini belirten görüşler de mevcuttur[12].
Kurul, pratikte ortaya çıkan belirsizliklerin giderilebilmesi adına 30/01/2020 tarihli ve 2020/71 sayılı kararı[13] ile veri sorumlusunun tespitinde kullanılmak üzere birtakım ilave kriterler belirlemiştir. Buna göre, “(i) kişisel verilerin toplanması ve toplama yöntemi, (ii) toplanacak kişisel veri türleri, (iii) hangi bireylerin kişisel verilerinin toplanacağı, (iv) kişisel verinin işlenmesine ve kimin işleyeceğine karar verme, (v) işleme faaliyetinin temel unsurlarına karar verme[14], (vi) toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı, (vii) kişisel verilerin işlenmesinde üst düzeyde, herhangi bir emir ve talimat almadan karar verebilme, (viii) ilgili kişilerle doğrudan muhatap olma, (iv) kendi adına veri işleme faaliyetini yürütecek bir veri işleyen atama ve (v) işleme faaliyetinden menfaat sağlama” kriterlerinden çoğunu sağlayan taraf veri sorumlusu olarak değerlendirilebilecektir.
Birleşik Krallık Veri Koruma Otoritesi (“ICO”) ise anılan kriterlere ek olarak, “(i) işleme faaliyetinden ticari bir kazanç veya başka bir fayda elde etme, (ii) işlemenin ilgili kişilerle imzalanan bir sözleşmenin sonucu olarak gerçekleştirilmesi, (iii) ilgili kişilerin işvereni olma, (iv) işleme sonucunda ilgili kişiler hakkında kararlar verme, (v) ilgili kişilerle doğrudan bir ilişki içinde olma ve (vi) kendi adına verileri işlemesi için bir veri işleyen atama” kriterlerinden ne kadarı sağlanıyorsa veri sorumlusu hukuki statüsünü haiz olma ihtimâlinin bu oranda artacağını bir rehberinde belirtmiştir[15]. Öte yandan eğer fiilen herhangi bir taraf veri işlemenin amaçlarını ve vasıtalarını belirliyor ise, taraflarca akdedilen sözleşmede aksi kararlaştırılmış olsa dahi veri koruma hukuku bakımından söz konusu taraf veri sorumlusu olarak değerlendirilecektir. Benzer şekilde, ticari bir sözleşmede yalnızca “alt yüklenici” ifadesine atıf yapılması, ilgili tarafın doğrudan veri işleyen hukuki statüsünü haiz olduğu şeklinde yorumlanmamalıdır [16].
Yukarıdaki açıklamalardan anlaşılacağı üzere gerek AB gerek Türk mevzuat düzenlemeleri kapsamında veri sorumlusu hukuki statüsünün belirlenmesinde temel ölçüt, kişisel verilerin işlenme amaçlarının ve vasıtalarının kim tarafından belirlendiğidir. Bu doğrultuda veri sorumlusu, esasen veri işlemenin ‘neden’ gerçekleştirileceğini ve söz konusu veri işleme amacına ‘nasıl’ ulaşılacağını belirleyen kişidir[17]. Genel itibarıyla veri sorumlusunun karar verme gücü ya ilgili mevzuattan ya da somut olay üzerindeki etkisinden kaynaklanmaktadır[18]. Bu noktada esasen veri işlemenin nasıl ve ne şekilde gerçekleştirileceği ve veriler üzerindeki hakimiyeti bakımından tarafların bağımsızlık derecesinin tespiti mühimdir[19]. Dolayısıyla her bir somut veri işleme faaliyeti bakımından tarafların hukuki statülerinin tespiti ayrı bir analiz yapılmasını gerektirmektedir[20]. Zira bir kuruluş eş zamanlı olarak bazı veri işleme faaliyetleri bakımından veri sorumlusu, diğer bazı veri işleme faaliyetleri bakımından ise veri işleyen hukuki statüsünü haiz olabilecektir.
2. VERİ İŞLEYEN KAVRAMI VE VERİ İŞLEYEN HUKUKİ STATÜSÜNÜN BELİRLENMESİ
Kişisel veri işleme faaliyetleri bakımından bir diğer önemli aktör olan veri işleyen ise KVKK’da “(i) veri sorumlusunun verdiği yetkiye dayanarak, (ii) onun adına kişisel verileri işleyen, (iii) gerçek veya tüzel kişi” olarak tanımlanmıştır. Veri işleyen kavramı GDPR’de de benzer şekilde “(i) veri sorumlusu adına, (ii) kişisel verileri işleyen, (iii) bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ” olarak tanımlamıştır. KVKK ve GDPR kapsamındaki söz konusu tanımlar incelendiğinde, genel itibarıyla söz konusu tanımların örtüştüğü ve fakat KVKK’nın aksine GDPR tahtında veri işleyenin gerçek veya tüzel kişi hukuki kişi türleriyle sınırlı olmadığı görülmektedir. Veri işleyen sıfatının kazanılabilmesi için veri işleyenin, veri sorumlusunun idari yapısından ayrı bir hukuki varlığının olması, diğer bir ifadeyle veri sorumlusunun birimleri içerisinde bulunmaması ve veri sorumlusunun organizasyonu dışındaki üçüncü bir kişi olması gerekmektedir[21]. Bu bakımdan örneğin, aynı şirketler topluluğuna mensup şirketlerden biri diğerinin veri işleyeni olabilecek ve fakat aynı tüzel kişi bünyesindeki bir iş birimi, diğer iş biriminin veri işleyeni olamayacaktır[22].
Veri işleyen, veri sorumlusunun belirlediği amaç ve vasıtalar doğrultusunda veri işlemenin daha ziyade teknik konuları ile sınırlı olarak faaliyetlerde bulunmaktadır[23]. Kurul, veri işleyenin tespitinde “(i) kişisel veri işlemek için başkasından talimat alma, (ii) kişisel verilerin kişilerden toplanması sürecinde karar verme yetkisine sahip olmama, (iii) kişisel verilerin kullanım amaçlarını belirlememe, (iii) verilerin ne şekilde ifşa olabileceği ile kimlerin bu verilere erişebileceğine karar verme yetkisine sahip olmama, (iv) veri saklama sürecine karar verme yetkisine sahip olmama, (v) veri işlemenin sonuçlarından sorumlu olmama ve (vi) veri sorumlusu ile yapılacak sözleşme gibi yasal bağlayıcılığı olan anlaşmalar çerçevesinde veri sorumlusunun verdiği yetkiler çerçevesinde kişisel verilerin işlenmesine yönelik birtakım karar verme mekanizmalarına sahip olma” kriterlerinin değerlendirilmesini ve anılan kriterlerden çoğunun sağlanması hâlinde kişisel veri işleme faaliyetinin veri işleyen sıfatıyla yürütüldüğünü kabul etmektedir[24]. ICO ise bu kriterlere ek olarak, “(i) veri işlemenin hukuki gerekçesine karar vermeme ve (ii) veri işlemenin sonuçları ile ilgilenmeme” hususlarının da veri işleyenin belirlenmesinde göz önünde bulundurulması gerektiğini değerlendirmektedir[25].
Veri sorumlusu en uygun teknik ve organizasyonel yöntemlerin belirlenmesine ilişkin olarak kendisine yetki vermesi hâlinde veri işleyen, veri işleme faaliyetlerinin gerçekleştirilmesi bakımından önemli ölçüde bir özerkliğe sahip olabilir ve veri sorumlusunun çıkarlarını en iyi şekilde sağlamak amacıyla veri işleme faaliyetlerinin temel olmayan öğelerine karar verebilir[26]. Ancak bu konudaki karar verme yetkisi tek başına veri işleyenin hukuki statüsünü etkilemeyecektir. Bu doğrultuda veri sorumlusu, veri işleyen ile akdedeceği bir kişisel veri işleme sözleşmesiyle “(i) kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı, (ii) kişisel verilerin hangi yöntemle saklanacağı, (iii) kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları, (iv) kişisel verilerin aktarımının hangi yöntemle yapılacağı, (v) kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot ve (vi) kişisel verilerin silinmesi, yok edilmesi ve anonim hâle getirilmesi yöntemleri” de dahil olmak üzere çeşitli hususlarda karar verme yetkisini veri işleyene bırakabilmektedir.[27] Ek olarak ICO, belirli kişilere ait kişisel verileri çekmek (retrieval) için kullanılan yöntemlerin takdirinin de veri işleyen tarafından yapılmasının kararlaştırılabileceğini değerlendirmektedir[28].
GDPR hükümleri uyarınca, veri işleyenin kendisinin takdirine bırakılan alanın dışına çıkarak kendi belirlediği amaç ve vasıtalarla kişisel veri işlemesi hâlinde söz konusu işleme faaliyeti bakımından veri sorumlusu statüsüne sahip olduğu kabul edilmektedir. Nitekim Kurul, taraflar arasındaki sözleşmede veri işleyen olarak belirlenen tarafın, veri sorumlusunun talimatı veya bilgisi dahilinde olmaksızın yürüttüğü işlemler nedeniyle veri sorumlusunun denetimi ve kontrolü altında kişisel veri işleme faaliyeti yürüttüğünden bahsedilemeyeceğini ve bu sebeple veri sorumlusu sıfatını haiz olduğunu ifade ederek gerekli teknik ve idari tedbirleri almamış olması nedeniyle kendisine idari para cezası uygulanmasına karar vermiştir[29].
SONUÇ
Bir kişisel veri işleme faaliyetinde özellikle mevzuatın belirlediği yükümlülüklerin hangi aktörler nezdinde doğacağının belirlenmesi veri sorumlusu ve veri işleyen hukuki statülerinin belirlenmesine bağlıdır. Bununla birlikte gelişen teknolojiyle birlikte geçmişe kıyasla çok daha karmaşık bir yapıya bürünen kişisel veri işleme faaliyetleri, veri sorumlularının ve veri işleyenlerin tespitini zorlaştırmaktadır.
AB ve Türk veri koruma mevzuatları incelendiğinde veri sorumlusu ve veri işleyen tanımlarına ilişkin düzenlemelerin genel hatlarıyla paralel olduğu görülmektedir. Her iki mevzuat kapsamında da veri sorumlusu hukuki statüsünün tespiti bakımından işlemenin amaç ve vasıtaları üzerinde kontrol gücüne sahip tarafın belirlenmesi gerekmektedir. Bu kontrol gücü mevzuatın veri sorumlusuna yüklediği bir görevden veya veri sorumlusunun somut olay üzerindeki etkisinden kaynaklanabilmektedir. Veri sorumlusu işlemenin amaç ve vasıtalarını belirlerken onun organizasyonunun bir parçası olmayan veri işleyen de işleme faaliyetini veri sorumlusunun talimatlarına uygun şekilde teknik yönden idare etmektedir. Bunun yanında veri sorumlusu ile veri işleyen arasında akdedilecek bir sözleşme ile veri işleyene tali öneme sahip çeşitli hususlarda karar verme yetkisi verilebilmektedir.
Öte yandan GDPR’nin aksine KVKK’da veri sorumlusu ve veri işleyenin sadece gerçek veya tüzel kişi olabileceği düzenlenmiştir. Ancak Kurul kararları ile bu hususta getirilen istisnalar sonucunda tüzel kişiliği haiz olmayanların da her bir somut olay üzerinde yapılacak değerlendirmeye istinaden veri sorumlusu olarak kabul edilebilmesi mümkün kılınmıştır. Benzer şekilde Türk veri koruma mevzuatında ortak veri sorumluluğu kavramına yer verilmemiş ancak yine Kurul kararları ile bu kavramın da Türk veri koruma mevzuatına tabi olarak yürütülen kişisel veri işleme faaliyetleri için uygulanabilir olduğuna yönelik bir görüş benimsenmiştir. Her ne kadar KVKK ve GDPR çerçevesinde veri sorumlusu ve veri işleyen hukuki statülerinin tespitindeki farklılıklar mevcut durumda ikincil mevzuat düzenlemeleri ile azaltılmışsa da KVKK’nın GDPR ile uyumlaştırılmasına yönelik çalışmalar kapsamında söz konusu farklılıkların yasal düzlemde de giderilmesi beklenmektedir.
[1] İşbu makale kapsamında Birleşik Krallık veri koruma düzenlemeleri, Avrupa Birliği müktesebatı kapsamında ele alınmıştır.
[2] Ustaran, Eduardo ve Hogan Lovells, European Data Protection Law and Practise, International Association of Privacy Professionals, Portsmouth 2019, s. 113
[3] 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu, Son Erişim Tarihi: 13 Ocak 2023, https://www.mevzuat.gov.tr/mevzuatmetin/1.5.6698.pdf
[4] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the free movement of such data, and repealing directive 95/46/EC (General Data Protection Regulation), OJ 2016 L 119/1, Son Erişim Tarihi: 13 Ocak 2023, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679
[5] Kurul, “Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi”, s.56, Son Erişim Tarihi: 23 Ocak 2023, https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/41784a70-2bac-4e4a-830f-35c628468646.PDF
[6] European Data Protection Board, “Guidelines 07/2020 on the concepts of controller and processor in the GDPR”, Version 2.1, 7 Ocak 2021, s.10, Son Erişim Tarihi: 6 Ocak 2023, https://edpb.europa.eu/system/files/2021-07/eppb_guidelines_202007_controllerprocessor_final_en.pdf
[7] Kurul, “Yurtdışında Yerleşik Tüzel kişilerin Türkiye’deki Şubeleri ile İrtibat Bürolarının Sicile Kayıt Yükümlülüğü Hakkındaki Görüş Talebi ile İlgili Kişisel Verileri Koruma Kurulu’nun 23/07/2019 Tarih ve 2019/225 Sayılı Karar Özeti”, Son Erişim Tarihi: 6 Ocak 2023, https://kvkk.gov.tr/Icerik/5545/2019-225
[8] Kurul, “Site Yönetimlerine İlişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu ile 634 sayılı Kat Mülkiyeti Kanunu çerçevesinde Kişisel Verileri Koruma Kurulu’nun 22.07.2020 Tarihli ve 2020/560 Sayılı Kararı’nda Yer Alan Değerlendirmeler”, Son Erişim Tarihi 17 Ocak 2023, https://www.kvkk.gov.tr/Icerik/6798/2020-560
[9] GDPR kapsamında ortak veri sorumluları için özel düzenlemelere yer verilmiş ve taraflar arasındaki ilişkinin çerçevesi çizilmiştir.
[10] Kurul, “Araç kiralama programları yazılımcısı ve satıcısı firmalar tarafından, ilgili kişilerin verilerinin işlenmesi ve bu verilerin araç kiralama firmaları arasında paylaşılmasını sağlayan bir kara liste programı oluşturulması” hakkında Kişisel Verileri Koruma Kurulu’nun 23/12/2021 tarihli ve 2021/1303 sayılı Karar Özeti”, Son Erişim Tarihi: 13 Ocak 2023, https://www.kvkk.gov.tr/Icerik/7288/2021-1303
[11] Yukarıdaki kararda ayrıca, “ (…) Bu tarz bir ortaklıkta veri işlemenin esaslarının belirlenebilmesi adına iki veri sorumlusu arasında söz konusu sürece ilişkin bir sözleşme yapılmasının sorumlulukların belirlenmesi (müşterek sorumluluk) açısından önem taşıdığı, aksi takdirde herkesin kusuru oranında ortaya çıkacak ihlâllerden sorumlu olacağı” da ifade edilmiştir.
[12] Bekir GÜRSES, “AB ve Türk Hukukunda Kişisel Verilerin Korunması – Mevzuat Uyumuna Yönelik Bir Değerlendirme”, Marmara Üniversitesi Avrupa Araştırmaları Enstitüsü Avrupa Birliği Hukuku Anabilim Dalı (Yüksek Lisans Tezi), İstanbul 2019, s. 30
[13] Kurul, “Veri sorumlusu ve veri işleyenin tespitinde göz önünde bulundurulması gereken hususlar ile aydınlatma yükümlülüğünün kim tarafından yerine getirileceğine ilişkin Kişisel Verileri Koruma Kurulu’nun 30/01/2020 tarihli ve 2020/71 sayılı Karar Özeti”, Son Erişim Tarihi: 11 Ocak 2023, https://www.kvkk.gov.tr/Icerik/6874/2020-71
[14] Kurul, kararında işlemenin temel unsurlarını “(i) hangi kişisel verilerin toplanacağı, (ii) toplanan verilerin hangi amaçlarla kullanılacağı ve ne şekilde işleneceği, (iii) verilerin ne kadar süreyle saklanacağı, (iv) veri saklama politikasının ne şekilde olacağı, (v) verilere kimlerin erişme yetkisi olacağı ve (vi) alıcıların kim olacağı” olarak belirlemiştir.
[15] ICO, “Guide to the GDPR”, s. 11-12, Son Erişim Tarihi: 11 Ocak 2023, guide-to-the-general-data-protection-regulation-gdpr-1-1.pdf (ico.org.uk)
[16] European Data Protection Board, a.g.e., s.13
[17] European Data Protection Board, a.g.e., s. 14
[18] European Data Protection Board, a.g.e., s.11
[19] ICO, “Controllers and Processsors”, s.10, Son Erişim Tarihi: 25 Ocak 2023, https://ico.org.uk/media/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/controllers-and-processors-1-0.pdf
[20] European Data Protection Board, a.g.e., s.12
[21] Kişisel Verileri Koruma Kurumu, “Veri Sorumlusu ve Veri İşleyen”, s.1, Son Erişim Tarihi: 11 Ocak 2023, https://www.kvkk.gov.tr/Icerik/4195/Veri-Sorumlusu-ve-Veri-Isleyen; Kurul, “‘İlgili kişinin cep telefonu numarasının kampanya adı altında bir dijital platform bayisi tarafından edinilmesi, işlenmesi ve rızası olmaksızın arama yapılması’ hakkında Kişisel Verileri Koruma Kurulu’nun 04/06/2021 tarih ve 2021/548 sayılı Karar Özeti”, Son Erişim Tarihi: 13 Ocak 2023, https://www.kvkk.gov.tr/Icerik/7123/2021-548
[22] European Data Protection Board, a.g.e., s.26
[23] Kişisel Verileri Koruma Kurumu, “Veri Sorumlusu ve Veri İşleyen”, s. 2
[24] Kurul, “Veri sorumlusu ve veri işleyenin tespitinde göz önünde bulundurulması gereken hususlar ile aydınlatma yükümlülüğünün kim tarafından yerine getirileceğine ilişkin Kişisel Verileri Koruma Kurulu’nun 30/01/2020 tarihli ve 2020/71 sayılı Karar Özeti”, Son Erişim Tarihi: 11 Ocak 2023, https://www.kvkk.gov.tr/Icerik/6874/2020-71
[25] ICO, “Controllers and processors”, s.2-3
[26] Kurul, “Veri sorumlusu ve veri işleyenin tespitinde göz önünde bulundurulması gereken hususlar ile aydınlatma yükümlülüğünün kim tarafından yerine getirileceğine ilişkin Kişisel Verileri Koruma Kurulu’nun 30/01/2020 tarihli ve 2020/71 sayılı Karar Özeti”, Son Erişim Tarihi: 11 Ocak 2023, https://www.kvkk.gov.tr/Icerik/6874/2020-71; European Data Protection Board, a.g.e., s.26
[27] Kişisel Verileri Koruma Kurumu, “Veri Sorumlusu ve Veri İşleyen”, s. 3
[28] ICO, “Data controllers and data processors: what the difference is and what the governance implications are”, s.7 (paragraf 18), Son Erişim Tarihi: 13 Ocak 2023, https://ico.org.uk/media/for-organisations/documents/1546/data-controllers-and-data-processors-dp-guidance.pdf[29] Kurul, “Kişisel Verileri Koruma Kurulu’nun 04/06/2021 tarih ve 2021/548 sayılı Kararı”, Son Erişim Tarihi: 11 Ocak 2023, https://www.kvkk.gov.tr/Icerik/6874/2020-71