ÖZET
Veri sorumlusu ve veri isleyen hukuki statülerinin belirlenmesi, yürürlükteki veri koruma düzenlemeleri çerçevesinde taraflarin sorumluluklarinin tespiti ve 6698 sayili Kisisel Verilerin Korunmasi Kanunu'nun etkin sekilde uygulanmasi bakimindan kritik bir öneme sahiptir. Kisisel verilerin korunmasina iliskin Türk mevzuat düzenlemelerinde veri sorumlusu ve veri isleyen konseptleri kisaca tanimlanmis olup uygulamada anilan hukuki statülerin tespitinde yasanan belirsizliklerin açikliga kavusturulmasi adina yetkili otorite tarafindan yayimlanan muhtelif rehberler ve kararlar vasitasiyla bazi kriterler ortaya konmustur. Isbu makale kapsaminda, ilgili düzenlemelerde belirlenen kriterlere karsin uygulamada devam eden tereddütlerin giderilmesi adina veri sorumlusu ve veri isleyen hukuki statüleri ile anilan hukuki statülerin tespitinde kullanilacak kriterler, Avrupa Birligi1 müktesebati da göz önünde bulundurular ak degerlendirilmistir.
1 Isbu makale kapsaminda Birlesik Krallik veri koruma düzenlemeleri, Avrupa Birligi müktesebati kapsaminda ele alinmistir.
Anahtar Kelimeler: Veri Sorumlusu, Veri Isleyen, Kisisel Veri, Kisisel Verilerin Korunmasi Kanunu, Genel Veri Koruma Tüzügü.
GIRIS
Kisisel veri isleme faaliyeti içeren hukuki iliskilerin degerlendirilmesinde bahse konu veri isleme faaliyetini gerçeklestiren taraflarin veri sorumlusu ve veri isleyen hukuki statülerinden hangisini haiz oldugunun tespit edilmesi veri koruma hukuku bakimindan oldukça önemlidir. Modern ticari iliskilerdeki degisimler, dis kaynak kullaniminin giderek karmasiklasmasi ve firmalarin bilisim sistemlerini merkezilestirme egilimi gibi gelismeler veri sorumlusu ve veri isleyenin somut olay özelinde belirlenmesini gittikçe zorlasmaktadir. Bununla beraber kisisel veri isleme faaliyetine dahil olan taraflarin hukuki statülerinin tespit edilmesi, ilgili veri koruma mevzuatinca veri sorumlusuna ve veri isleyene atfedilen hukuki yükümlülüklerin hangi aktörler tarafindan üstlenileceginin yazili bir sözlesme ile açikliga kavusturulmasi, ilgili aktörlerin hukuki statülerine uygun olarak hareket etmesi ve ilgili kisilerin haklarini fiilen nasil kullanacaklarinin ortaya konmasi bakimindan sahip oldugu önemi sürdürmektedir1. Isbu çalismada, 6698 sayili Kisisel Verilerin Korunmasi Kanunu2 ("KVKK") ve Avrupa Birligi ("AB") Genel Veri Koruma Tüzügü3 (General Data Protection Regulation) ("GDPR") hükümlerinin yaninda ikincil mevzuat düzenlemeleri, rehberler ve Kisisel Verileri Koruma Kurulu ("Kurul") kararlari isiginda veri sorumlusu ve veri isleyen hukuki statülerinin belirlenmesine iliskin ölçütler ele alinmistir.
1. VERI SORUMLUSU KAVRAMI VE VERI SORUMLUSU HUKUKI STATÜSÜNÜN BELIRLENMESI
Veri sorumlusu kavrami KVKK kapsaminda, "(i) kisisel verilerin isleme amaçlarini ve vasitalarini belirleyen, (ii) veri kayit sisteminin kurulmasindan ve yönetilmesinden sorumlu olan, (iii) gerçek veya tüzel kisi" olarak tanimlanmistir. Bu dogrultuda örnegin, bir sirket bünyesinde yer alan is birimlerinin veri sorumlusu olarak degerlendirilmesi mümkün olmamakla birlikte bir sirketler toplulugunu olusturan her bir sirketin farkli tüzel kisilige sahip olmasi durumunda söz konusu sirketlerin her birinin ayri ayri veri sorumlusu olarak nitelendirilmesi mümkündür4. GDPR'de ise veri sorumlusu, "(i) yalniz basina veya baskalariyla birlikte, (ii) kisisel verilerin islenmesine iliskin amaçlari ve vasitalari belirleyen, (iii) gerçek veya tüzel kisi, kamu kurulusu, kurumu veya diger herhangi bir organ" seklinde tanimlamis olup KVKK'dan farkli olarak veri sorumlusu kavramina hukuki kisilik bakimindan herhangi bir sinirlama getirilmemistir5. Böylece tüzel kisiligi bulunmayan bir kisi grubu, kurulus, adi sirket ve apartman yönetimi dahi GDPR'ye göre veri sorumlusu sayilabilecektir.
Öte yandan, KVKK'da yer alan söz konusu sinirlama, Kurul'un 23/07/2019 tarihli ve 2019/225 sayili kararinda6 GDPR'ye atif yapilarak yurt disinda yerlesik tüzel kisilerin Türkiye'deki subelerinin ayri bir tüzel kisilikleri bulunmamasina ragmen kisisel verilerin isleme amaçlarini ve vasitalarini belirlemeleri ve veri kayit sisteminin kurulmasi ile yönetilmesinden sorumlu olmalari hâlinde yurt disinda yerlesik tüzel kisiden ayri olarak Türkiye'de yerlesik veri sorumlusu olacaklarina yönelik yapilan degerlendirme ile genisletilmistir. Paralel sekilde Kurul, 22/07/2020 tarihli ve 2020/560 sayili karari ile KVKK'nin veri sorumlusuna iliskin getirdigi tanimin, hayatin olagan akisina uygunlugunun saglanmasi ve pratikte ortaya çikan sorunlarin çözülebilmesi adina genis yorumlanmasi gerektigine ve bu kapsamda her ne kadar tüzel kisiligi haiz olmasa da kural olarak apartman, site ve benzeri yapilar bakimindan kat malikleri kurulunun veri sorumlusu hukuki statüsünde kabul edilebilecegine7 karar vermistir. Dolayisiyla her ne kadar veri sorumlusu kavrami KVKK'da GDPR'ye kiyasla daha sinirli bir sekilde tanimlanmis olsa da Kurul kararlari ile ilgili kavramin uygulamada GDPR ile uyumlu hale getirildigi degerlendirilmektedir.
Bununla birlikte KVKK ve GDPR kapsaminda düzenlenen veri sorumlusu konseptleri arasindaki diger bir fark, GDPR'nin 26'nci maddesinde düzenlenen ve KVKK'da yer almayan "ortak veri sorumlulugu" (joint controllership)8 kavramidir. GDPR kapsaminda iki veya daha fazla veri sorumlusunun kisisel veri islemenin amaçlarina ve vasitalarina birlikte karar vermeleri hâlinde ortak veri sorumlulugunun meydana gelecegi düzenlenmistir. KVKK'da açikça düzenlenmemekle birlikte Kurul, 23/12/2021 tarihli ve 2021/1303 sayili kararinda9 ortak bir amacin varligi ve kisisel verilerin islenmesindeki temel araçlarin birlikte belirlenmesi hâlinde ortak veri sorumlulugunun ortaya çikabilecegine deginmistir10. Ek olarak 6098 sayili Türk Borçlar Kanunu'nda yer alan müteselsil sorumluluga iliskin esasin ortak veri sorumlulugu bakimindan da kiyasen uygulanabilecegini belirten görüsler de mevcuttur11.
Kurul, pratikte ortaya çikan belirsizliklerin giderilebilmesi adina 30/01/2020 tarihli ve 2020/71 sayili karari12 ile veri sorumlusunun tespitinde kullanilmak üzere birtakim ilave kriterler belirlemistir. Buna göre, "(i) kisisel verilerin toplanmasi ve toplama yöntemi, (ii) toplanacak kisisel veri türleri, (iii) hangi bireylerin kisisel verilerinin toplanacagi, (iv) kisisel verinin islenmesine ve kimin isleyecegine karar verme, (v) isleme faaliyetinin temel unsurlarina karar verme13, (vi) toplanan verilerin paylasilip paylasilmayacagi, paylasilacaksa kiminle paylasilacagi, (vii) kisisel verilerin islenmesinde üst düzeyde, herhangi bir emir ve talimat almadan karar verebilme, (viii) ilgili kisilerle dogrudan muhatap olma, (iv) kendi adina veri isleme faaliyetini yürütecek bir veri isleyen atama ve (v) isleme faaliyetinden menfaat saglama" kriterlerinden çogunu saglayan taraf veri sorumlusu olarak degerlendirilebilecektir.
Birlesik Krallik Veri Koruma Otoritesi ("ICO") ise anilan kriterlere ek olarak, "(i) isleme faaliyetinden ticari bir kazanç veya baska bir fayda elde etme, (ii) islemenin ilgili kisilerle imzalanan bir sözlesmenin sonucu olarak gerçeklestirilmesi, (iii) ilgili kisilerin isvereni olma, (iv) isleme sonucunda ilgili kisiler hakkinda kararlar verme, (v) ilgili kisilerle dogrudan bir iliski içinde olma ve (vi) kendi adina verileri islemesi için bir veri isleyen atama" kriterlerinden ne kadari saglaniyorsa veri sorumlusu hukuki statüsünü haiz olma ihtimâlinin bu oranda artacagini bir rehberinde belirtmistir14. Öte yandan eger fiilen herhangi bir taraf veri islemenin amaçlarini ve vasitalarini belirliyor ise, taraflarca akdedilen sözlesmede aksi kararlastirilmis olsa dahi veri koruma hukuku bakimindan söz konusu taraf veri sorumlusu olarak degerlendirilecektir. Benzer sekilde, ticari bir sözlesmede yalnizca "alt yüklenici" ifadesine atif yapilmasi, ilgili tarafin dogrudan veri isleyen hukuki statüsünü haiz oldugu seklinde yorumlanmamalidir15.
Yukaridaki açiklamalardan anlasilacagi üzere gerek AB gerek Türk mevzuat düzenlemeleri kapsaminda veri sorumlusu hukuki statüsünün belirlenmesinde temel ölçüt, kisisel verilerin islenme amaçlarinin ve vasitalarinin kim tarafindan belirlendigidir. Bu dogrultuda veri sorumlusu, esasen veri islemenin 'neden' gerçeklestirilecegini ve söz konusu veri isleme amacina 'nasil' ulasilacagini belirleyen kisidir16. Genel itibariyla veri sorumlusunun karar verme gücü ya ilgili mevzuattan ya da somut olay üzerindeki etkisinden kaynaklanmaktadir17. Bu noktada esasen veri islemenin nasil ve ne sekilde gerçeklestirilecegi ve veriler üzerindeki hakimiyeti bakimindan taraflarin bagimsizlik derecesinin tespiti mühimdir18. Dolayisiyla her bir somut veri isleme faaliyeti bakimindan taraflarin hukuki statülerinin tespiti ayri bir analiz yapilmasini gerektirmektedir19. Zira bir kurulus es zamanli olarak bazi veri isleme faaliyetleri bakimindan veri sorumlusu, diger bazi veri isleme faaliyetleri bakimindan ise veri isleyen hukuki statüsünü haiz olabilecektir.
2. VERI ISLEYEN KAVRAMI VE VERI IS- LEYEN HUKUKI STATÜSÜNÜN BELIRLENMESI
Kisisel veri isleme faaliyetleri bakimindan bir diger önemli aktör olan veri isleyen ise KVKK'da "(i) veri sorumlusunun verdigi yetkiye dayanarak, (ii) onun adina kisisel verileri isleyen, (iii) gerçek veya tüzel kisi" olarak tanimlanmistir. Veri isleyen kavrami GDPR'de de benzer sekilde "(i) veri sorumlusu adina, (ii) kisisel verileri isleyen, (iii) bir gerçek ya da tüzel kisi, kamu kurulusu, kurumu veya diger herhangi bir organ" olarak tanimlamistir. KVKK ve GDPR kapsamindaki söz konusu tanimlar incelendiginde, genel itibariyla söz konusu tanimlarin örtüstügü ve fakat KVKK'nin aksine GDPR tahtinda veri isleyenin gerçek veya tüzel kisi hukuki kisi türleriyle sinirli olmadigi görülmektedir. Veri isleyen sifatinin kazanilabilmesi için veri isleyenin, veri sorumlusunun idari yapisindan ayri bir hukuki varliginin olmasi, diger bir ifadeyle veri sorumlusunun birimleri içerisinde bulunmamasi ve veri sorumlusunun organizasyonu disindaki üçüncü bir kisi olmasi gerekmektedir20. Bu bakimdan örnegin, ayni sirketler topluluguna mensup sirketlerden biri digerinin veri isleyeni olabilecek ve fakat ayni tüzel kisi bünyesindeki bir is birimi, diger is biriminin veri isleyeni olamayacaktir21.
Veri isleyen, veri sorumlusunun belirledigi amaç ve vasitalar dogrultusunda veri islemenin daha ziyade teknik konulari ile sinirli olarak faaliyetlerde bulunmaktadir22. Kurul, veri isleyenin tespitinde "(i) kisisel veri islemek için baskasindan talimat alma, (ii) kisisel verilerin kisilerden toplanmasi sürecinde karar verme yetkisine sahip olmama, (iii) kisisel verilerin kullanim amaçlarini belirlememe, (iii) verilerin ne sekilde ifsa olabilecegi ile kimlerin bu verilere erisebilecegine karar verme yetkisine sahip olmama, (iv) veri saklama sürecine karar verme yetkisine sahip olmama, (v) veri islemenin sonuçlarindan sorumlu olmama ve (vi) veri sorumlusu ile yapilacak sözlesme gibi yasal baglayiciligi olan anlasmalar çerçevesinde veri sorumlusunun verdigi yetkiler çerçevesinde kisisel verilerin islenmesine yönelik birtakim karar verme mekanizmalarina sahip olma" kriterlerinin degerlendirilmesini ve anilan kriterlerden çogunun saglanmasi hâlinde kisisel veri isleme faaliyetinin veri isleyen sifatiyla yürütüldügünü kabul etmektedir23. ICO ise bu kriterlere ek olarak, "(i) veri islemenin hukuki gerekçesine karar vermeme ve (ii) veri islemenin sonuçlari ile ilgilenmeme" hususlarinin da veri isleyenin belirlenmesinde göz önünde bulundurulmasi gerektigini degerlendirmektedir24.
Veri sorumlusu en uygun teknik ve organizasyonel yöntemlerin belirlenmesine iliskin olarak kendisine yetki vermesi hâlinde veri isleyen, veri isleme faaliyetlerinin gerçeklestirilmesi bakimindan önemli ölçüde bir özerklige sahip olabilir ve veri sorumlusunun çikarlarini en iyi sekilde saglamak amaciyla veri isleme faaliyetlerinin temel olmayan ögelerine karar verebilir25. Ancak bu konudaki karar verme yetkisi tek basina veri isleyenin hukuki statüsünü etkilemeyecektir. Bu dogrultuda veri sorumlusu, veri isleyen ile akdedecegi bir kisisel veri is leme sözlesmesiyle "(i) kisisel verilerin toplanmasi için hangi bilgi teknolojileri sistemlerinin veya diger metotlarin kullanilacagi, (ii) kisisel verilerin hangi yöntemle saklanacagi, (iii) kisisel verilerin korunmasi için alinacak güvenlik önlemlerinin detaylari, (iv) kisisel verilerin aktariminin hangi yöntemle yapilacagi, (v) kisisel verilerin saklanmasina iliskin sürelerin dogru uygulanabilmesi için kullanilacak metot ve (vi) kisisel verilerin silinmesi, yok edilmesi ve anonim hâle getirilmesi yöntemleri" de dahil olmak üzere çesitli hususlarda karar verme yetkisini veri isleyene birakabilmektedir.26 Ek olarak ICO, belirli kisilere ait kisisel verileri çekmek (retrieval) için kullanilan yöntemlerin takdirinin de veri isleyen tarafindan yapilmasinin kararlastirilabilecegini degerlendirmektedir27.
GDPR hükümleri uyarinca, veri isleyenin kendisinin takdirine birakilan alanin disina çikarak kendi belirledigi amaç ve vasitalarla kisisel veri islemesi hâlinde söz konusu isleme faaliyeti bakimindan veri sorumlusu statüsüne sahip oldugu kabul edilmektedir. Nitekim Kurul, taraflar arasindaki sözlesmede veri isleyen olarak belirlenen tarafin, veri sorumlusunun talimati veya bilgisi dahilinde olmaksizin yürüttügü islemler nedeniyle veri sorumlusunun denetimi ve kontrolü altinda kisisel veri isleme faaliyeti yürüttügünden bahsedilemeyecegini ve bu sebeple veri sorumlusu sifatini haiz oldugunu ifade ederek gerekli teknik ve idari tedbirleri almamis olmasi nedeniyle kendisine idari para cezasi uygulanmasina karar vermistir28.
SONUÇ
Bir kisisel veri isleme faaliyetinde özellikle mevzuatin belirledigi yükümlülüklerin hangi aktörler nezdinde dogacaginin belirlenmesi veri sorumlusu ve veri isleyen hukuki statülerinin belirlenmesine baglidir. Bununla birlikte gelisen teknolojiyle birlikte geçmise kiyasla çok daha karmasik bir yapiya bürünen kisisel veri isleme faaliyetleri, veri sorumlularinin ve veri isleyenlerin tespitini zorlastirmaktadir.
AB ve Türk veri koruma mevzuatlari incelendiginde veri sorumlusu ve veri isleyen tanimlarina iliskin düzenlemelerin genel hatlariyla paralel oldugu görülmektedir. Her iki mevzuat kapsaminda da veri sorumlusu hukuki statüsünün tespiti bakimindan islemenin amaç ve vasitalari üzerinde kontrol gücüne sahip tarafin belirlenmesi gerekmektedir. Bu kontrol gücü mevzuatin veri sorumlusuna yükledigi bir görevden veya veri sorumlusunun somut olay üzerindeki etkisinden kaynaklanabilmektedir. Veri sorumlusu islemenin amaç ve vasitalarini belirlerken onun organizasyonunun bir parçasi olmayan veri isleyen de isleme faaliyetini veri sorumlusunun talimatlarina uygun sekilde teknik yönden idare etmektedir. Bunun yaninda veri sorumlusu ile veri isleyen arasinda akdedilecek bir sözlesme ile veri isleyene tali öneme sahip çesitli hususlarda karar verme yetkisi verilebilmektedir.
Öte yandan GDPR'nin aksine KVKK'da veri sorumlusu ve veri isleyenin sadece gerçek veya tüzel kisi olabilecegi düzenlenmistir. Ancak Kurul kararlari ile bu hususta getirilen istisnalar sonucunda tüzel kisiligi haiz olmayanlarin da her bir somut olay üzerinde yapilacak degerlendirmeye istinaden veri sorumlusu olarak kabul edilebilmesi mümkün kilinmistir. Benzer sekilde Türk veri koruma mevzuatinda ortak veri sorumlulugu kavramina yer verilmemis ancak yine Kurul kararlari ile bu kavramin da Türk veri koruma mevzuatina tabi olarak yürütülen kisisel veri isleme faaliyetleri için uygulanabilir olduguna yönelik bir görüs benimsenmistir. Her ne kadar KVKK ve GDPR çerçevesinde veri sorumlusu ve veri isleyen hukuki statülerinin tespitindeki farkliliklar mevcut durumda ikincil mevzuat düzenlemeleri ile azaltilmissa da KVKK'nin GDPR ile uyumlastirilmasina yönelik çalismalar kapsaminda söz konusu farkliliklarin yasal düzlemde de giderilmesi beklenmektedir.
Footnotes
1 Ustaran, Eduardo ve Hogan Lovells, European Data Protection Law and Practise, International Association of Privacy Professionals, Portsmouth 2019, s. 113
2 7 Nisan 2016 tarih ve 29677 sayili Resmi Gazete'de yayimlanan 6698 sayili Kisisel Verilerin Korunmasi Kanunu, Son Erisim Tarihi: 13 Ocak 2023, https://www.mevzuat.gov.tr/mevzuatmetin/1.5.6698.pdf
3 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the free movement of such data, and repealing directive 95/46/EC (General Data Protection Regulation), OJ 2016 L 119/1, Son Erisim Tarihi: 13 Ocak 2023, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=-CELEX:32016R0679
4 Kurul, "Kisisel Verilerin Korunmasi Kanununa Iliskin Uygulama Rehberi", s.56, Son Erisim Tarihi: 23 Ocak 2023, https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/41784a70-2bac-4e4a-830f-35c628468646.PDF
5 European Data Protection Board, "Guidelines 07/2020 on the concepts of controller and processor in the GDPR", Version 2.1, 7 Ocak 2021, s.10, Son Erisim Tarihi: 6 Ocak 2023, https://edpb.europa.eu/system/files/2021-07/eppb_guidelines_202007_controllerprocessor_final_en.pdf
6 Kurul, "Yurtdisinda Yerlesik Tüzel kisilerin Türkiye'deki Subeleri ile Irtibat Bürolarinin Sicile Kayit Yükümlülügü Hakkindaki Görüs Talebi ile Ilgili Kisisel Verileri Koruma Kurulu'nun 23/07/2019 Tarih ve 2019/225 Sayili Karar Özeti", Son Erisim Tarihi: 6 Ocak 2023, https://kvkk.gov.tr/Icerik/5545/2019-225
7 Kurul, "Site Yönetimlerine Iliskin 6698 sayili Kisisel Verilerin Korunmasi Kanunu ile 634 sayili Kat Mülkiyeti Kanunu çerçevesinde Kisisel Verileri Koruma Kurulu'nun 22.07.2020 Tarihli ve 2020/560 Sayili Karari'nda Yer Alan Degerlendirmeler", Son Erisim Tarihi 17 Ocak 2023, https://www.kvkk.gov.tr/Icerik/6798/2020-560
8 GDPR kapsaminda ortak veri sorumlulari için özel düzenlemelere yer verilmis ve taraflar arasindaki iliskinin çerçevesi çizilmistir.
9 Kurul, "Araç kiralama programlari yazilimcisi ve saticisi firmalar tarafindan, ilgili kisilerin verilerinin islenmesi ve bu verilerin araç kiralama firmalari arasinda paylasilmasini saglayan bir kara liste programi olusturulmasi" hakkinda Kisisel Verileri Koruma Kurulu'nun 23/12/2021 tarihli ve 2021/1303 sayili Karar Özeti", Son Erisim Tarihi: 13 Ocak 2023, https://www.kvkk.gov.tr/Icerik/7288/2021-1303
10 Yukaridaki kararda ayrica, " (.) Bu tarz bir ortaklikta veri islemenin esaslarinin belirlenebilmesi adina iki veri sorumlusu arasinda söz konusu sürece iliskin bir sözlesme yapilmasinin sorumluluklarin belirlenmesi (müsterek sorumluluk) açisindan önem tasidigi, aksi takdirde herkesin kusuru oraninda ortaya çikacak ihlâllerden sorumlu olacagi" da ifade edilmistir.
11 Bekir GÜRSES, "AB ve Türk Hukukunda Kisisel Verilerin Korunmasi - Mevzuat Uyumuna Yönelik Bir Degerlendirme", Marmara Üniversitesi Avrupa Arastirmalari Enstitüsü Avrupa Birligi Hukuku Anabilim Dali (Yüksek Lisans Tezi), Istanbul 2019, s. 30
12 Kurul, "Veri sorumlusu ve veri isleyenin tespitinde göz önünde bulundurulmasi gereken hususlar ile aydinlatma yükümlülügünün kim tarafindan yerine getirilecegine iliskin Kisisel Verileri Koruma Kurulu'nun 30/01/2020 tarihli ve 2020/71 sayili Karar Özeti", Son Erisim Tarihi: 11 Ocak 2023, https://www.kvkk.gov.tr/Icerik/6874/2020-71
13 Kurul, kararinda islemenin temel unsurlarini "(i) hangi kisisel verilerin toplanacagi, (ii) toplanan verilerin hangi amaçlarla kullanilacagi ve ne sekilde islenecegi, (iii) verilerin ne kadar süreyle saklanacagi, (iv) veri saklama politikasinin ne sekilde olacagi, (v) verilere kimlerin erisme yetkisi olacagi ve (vi) alicilarin kim olacagi" olarak belirlemistir.
14 ICO, "Guide to the GDPR", s. 11-12, Son Erisim Tarihi: 11 Ocak 2023, guide-to-the-general-data-protection-regulation-gdpr-1-1.pdf (ico.org.uk)
15 European Data Protection Board, a.g.e., s.13
16 European Data Protection Board, a.g.e., s. 14
17 European Data Protection Board, a.g.e., s.11
18 ICO, "Controllers and Processsors", s.10, Son Erisim Tarihi: 25 Ocak 2023, https://ico.org.uk/media/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/controllers-and-processors-1-0.pdf
19 European Data Protection Board, a.g.e., s.12
20 Kisisel Verileri Koruma Kurumu, "Veri Sorumlusu ve Veri Isleyen", s.1, Son Erisim Tarihi: 11 Ocak 2023, https://www.kvkk.gov. tr/Icerik/4195/Veri-Sorumlusu-ve-Veri-Isleyen; Kurul, "'Ilgili kisinin cep telefonu numarasinin kampanya adi altinda bir dijital platform bayisi tarafindan edinilmesi, islenmesi ve rizasi olmaksizin arama yapilmasi' hakkinda Kisisel Verileri Koruma Kurulu'nun 04/06/2021 tarih ve 2021/548 sayili Karar Özeti", Son Erisim Tarihi: 13 Ocak 2023, https://www.kvkk.gov.tr/Icerik/7123/2021-548
21 European Data Protection Board, a.g.e., s.26
22 Kisisel Verileri Koruma Kurumu, "Veri Sorumlusu ve Veri Isleyen", s. 2
23 Kurul, "Veri sorumlusu ve veri isleyenin tespitinde göz önünde bulundurulmasi gereken hususlar ile aydinlatma yükümlülügünün kim tarafindan yerine getirilecegine iliskin Kisisel Verileri Koruma Kurulu'nun 30/01/2020 tarihli ve 2020/71 sayili Karar Özeti", Son Erisim Tarihi: 11 Ocak 2023, https://www.kvkk.gov.tr/Icerik/6874/2020-71
24 ICO, "Controllers and processors", s.2-3
25 Kurul, "Veri sorumlusu ve veri isleyenin tespitinde göz önünde bulundurulmasi gereken hususlar ile aydinlatma yükümlülügünün kim tarafindan yerine getirilecegine iliskin Kisisel Verileri Koruma Kurulu'nun 30/01/2020 tarihli ve 2020/71 sayili Karar Özeti", Son Erisim Tarihi: 11 Ocak 2023, https://www.kvkk.gov.tr/Icerik/6874/2020-71; European Data Protection Board, a.g.e., s.26 26 Kisisel Verileri Koruma Kurumu, "Veri Sorumlusu ve Veri Isleyen", s. 3
27 ICO, "Data controllers and data processors: what the difference is and what the governance implications are", s.7 (paragraph 18), Son Erisim Tarihi: 13 Ocak 2023, https://ico.org.uk/media/for-organisations/documents/1546/data-controllers-and-data-processors-dp-guidance.pdf
28 Kurul, "Kisisel Verileri Koruma Kurulu'nun 04/06/2021 tarih ve 2021/548 sayili Karari", Son Erisim Tarihi: 11 Ocak 2023, https://www.kvkk.gov.tr/Icerik/6874/2020-71
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
