Avrupa Birliği Genel Veri Koruma Tüzüğü’nün İngilizce tam adı “ Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)” dır. Kısaca General Data Protection Regulation şeklinde ifade edilmektedir.
Bütün unsurlarıyla bağlayıcıdır ve Avrupa Birliği üyesi devletlerde doğrudan uygulanması şart olan Avrupa Birliği Genel Veri Koruma Tüzüğü, 27 Nisan 2016 tarihinde Brüksel’de kabul edilmiştir. Tüzüğün, Avrupa Birliği Resmi Gazetesi’nde yayımlandığı 4 Mayıs 2018’i takip eden yirminci gün yürürlüğe girmesi kararlaştırılmış, 25 Mayıs 2018 tarihinden itibaren uygulanması öngörülmüştür.
Türkiye’nin Avrupa Birliği Genel Veri Koruma Tüzüğü’nü Kabulü
Metnin Türkçe çevirisi Avrupa Birliği Bakanlığı tarafından yapılarak yayınlanmış, Türkiye Cumhuriyeti mevzuatı tüzüğe uygun hale getirilmiştir.
Türkiye’de, 6698 sayılı Kişisel Verilerin Korunması Kanunu, 24 Mart 2016 tarihinde Türkiye Büyük Millet Meclisinde kabul edilmiş, kanun 7 Nisan 2016 tarihinde 29677 sayılı Resmi Gazetede yayımlanmıştır. 6698 sayılı Kişisel Verilerin Korunması Kanununa göre Kişisel Verileri Koruma Kurulu üyeleri seçilmiş ve kurum göreve başlamıştır.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik 1 Ocak 2018 tarihinde yürürlüğe girmek üzere düzenlenmiştir.
6698 sayılı Kişisel Verilerin Korunması Kanununa göre Kişisel Verileri Koruma Kurulu üyeleri seçilmiş ve kurum göreve başlamıştır.
Loading...
Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)
BÖLÜM I
Genel Hükümler
Madde 1
Konu ve hedefler
- Bu Tüzük’te gerçek kişilerin kişisel verilerin işlenmesiyle ilgili olarak korunmasına ilişkin kurallar ve kişisel verilerin serbest dolaşımına ilişkin kurallar belirtilir.
- Bu Tüzük’te gerçek kişilerin temel hakları ve özgürlükleri ve özellikle, kişisel verilerin korunması hakkı korunur.
- Kişisel verilerin Birlik içerisinde serbest dolaşımı, gerçek kişilerin kişisel verilerin işlenmesiyle ilgili olarak korunması ile bağlantılı sebeplerle ne kısıtlanır ne de yasaklanır.
Madde 2
Maddi kapsam
- Bu Tüzük, kişisel verilerin tamamen ya da kısmen otomatik araçlarla işlenmesine ve kişisel verilerin otomatik araçlar haricinde bir dosyalama sisteminin parçasını oluşturan veya bir dosyalama sisteminin parçasını oluşturması amaçlanan araçlarla işlenmesine uygulanır.
- Bu Tüzük:
(a) Birlik hukuku kapsamına girmeyen bir faaliyet esnasında;
(b) üye devletler tarafından Avrupa Birliği Antlaşması’nın V. Başlığının 2. Bölümü kapsamına giren faaliyetler gerçekleştirilirken;
(c) tamamen kişisel veya ev faaliyeti esnasında bir gerçek kişi tarafından;
(d) kamu güvenliğine yönelik tehditlere karşı güvence sağlanması ve bu tehditlerin önlenmesi de dâhil olmak üzere suçların önlenmesi, soruşturulması, tespiti veya kovuşturulması ya da cezaların infaz edilmesiyle ilgili olarak yetkin makamlar tarafından kişisel verilerin işlenmesine uygulanmaz.
- irlik kurumları, organları, ofisleri ve ajansları tarafından kişisel verilerin işlenmesine yönelik olarak, (AT) 45/2001 sayılı Tüzük uygulanır. (AT) 45/2001 sayılı Tüzük ve kişisel verilerin bu şekilde işlenmesine uygulanan Birliğin diğer yasal belgeleri 98. madde uyarınca bu Tüzük’ün ilkeleri ve kurallarına uyarlanır.
- Bu Tüzük ile 2000/31/AT sayılı Direktif’in uygulanmasına ve özellikle de aynı Direktif’in ara hizmet sağlayıcıların yükümlülüklerine ilişkin 12 ila 15. maddelerinde yer alan kurallara halel gelmez.
Madde 3
Bölgesel kapsam
- Bu Tüzük, işleme faaliyeti Birlik içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın, Birlik içerisindeki bir kontrolör veya işleyicinin işletmesinin faaliyetleri bağlamında kişisel verilerin işlenmesine uygulanır.
- Bu Tüzük, işleme faaliyetlerinin aşağıdaki hususlarla alakalı olması durumunda, Birlik içerisinde bulunan veri sahiplerinin kişisel verilerinin Birlik içerisinde kurulu olmayan bir kontrolör veya işleyici tarafından işlenmesine uygulanır:
(a) Veri sahibine bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Birlik içerisindeki söz konusu veri sahiplerine mal ya da hizmetlerin sunulması veya
(b) Davranışları birlik içerisinde gerçekleştiği ölçüde, davranışlarının izlenmesi.
- Bu Tüzük, Birlik içerisinde değil, ancak bir üye devletin hukukunun uluslararası kamu hukuku vasıtasıyla uygulandığı bir yerde kurulu bulunan bir kontrolör tarafından kişisel verilerin işlenmesine uygulanır.
Madde 4
Tanımlar
Bu Tüzük’ün amaçları doğrultusunda, aşağıdaki tanımlar geçerlidir:
(1) ‘kişisel veri’ tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgidir (‘veri sahibi’); tanımlanmış bir gerçek kişi özellikle bir isim, kimlik numarası, konum verileri, çevrim içi tanımlayıcı ya da söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, ruhsal, ekonomik, kültürel veya toplumsal kimliğine özgü bir ya da daha fazla sayıda faktöre atıfta bulunularak doğrudan veya dolaylı olarak tanımlanabilen bir kişidir;
(2) ‘işleme faaliyeti’, otomatik yöntemlerle olsun veya olmasın, kişisel veri veya kişisel veri setleri üzerinde gerçekleştirilen toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama veya değiştirme, elde etme, danışma, kullanma, iletim yoluyla açıklama, yayma veya kullanıma sunma, uyumlaştırma ya da birleştirme, kısıtlama, silme veya imha gibi herhangi bir işlem veya işlem dizisidir;
(3) ‘işleme kısıtlaması’ saklanan kişisel verilerin gelecekte işlenmelerinin sınırlanması amacı ile işaretlenmesidir;
(4) ‘profil çıkarma’ bir gerçek kişinin işteki performansı, ekonomik durumu, sağlığı, kişisel tercihleri, ilgi alanları, güvenilirliği, davranışları, konumu veya hareketlerine ilişkin hususların analiz edilmesi veya tahmin edilmesi başta olmak üzere söz konusu gerçek kişiye ilişkin belirli kişisel özelliklerin değerlendirilmesi için kişisel verilerin kullanımını ihtiva eden her türlü otomatik kişisel veri işleme biçimidir;
(5) ‘takma ad kullanımı’ kişisel verilerin tanımlanmış veya tanımlanabilir bir gerçek kişiyle ilişkilendirilmemesinin sağlanması amacı ile ek bilgilerin ayrı tutulması ve teknik ve düzenlemeye ilişkin tedbirlere tabi tutulması koşuluyla, kişisel verilerin söz konusu ek bilgiler kullanılmaksızın spesifik bir veri sahibiyle artık ilişkilendirilemeyecek şekilde işlenmesidir;
(6) ‘dosyalama sistemi’ işlevsel veya coğrafi bir temelde merkezi, ademi-merkezi veya dağınık olarak spesifik kriterlere göre erişilebilen yapılandırılmış herhangi bir kişisel veri dizisidir;
(7) ‘kontrolör’ yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır; söz konusu işleme amaçları ve yöntemlerinin Birlik ya da üye devlet hukukuna göre belirlenmesi durumunda, kontrolör veya kontrolörün belirlenmesine özgü kriterler Birlik ya da üye devlet hukukuna göre belirlenebilir;
(8) ‘işleyici’ kontrolör adına kişisel verileri işleyen bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır;
(9) ‘alıcı’, üçüncü bir kişi olsun veya olmasın, kişisel verilerin açıklandığı bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır. Ancak, Birlik veya üye devlet hukuku uyarınca belirli bir sorgulama çerçevesinde kişisel verileri alabilen kamu kuruluşları alıcı olarak nitelendirilmez; bu verilerin söz konusu kamu kuruluşları tarafından işlenmesi işleme amaçlarına göre geçerli veri koruma kurallarına uygun olarak yapılır;
(10) ‘üçüncü kişi’ veri sahibi, kontrolör, işleyici ve, kontrolör ya da işleyicinin doğrudan yetkisi altında, kişisel verileri işleme yetkisi bulunan kişiler haricindeki bir gerçek veya tüzel kişi, kamu kurumu, kuruluşu veya organıdır;
(11) veri sahibinin ‘rızası’ veri sahibinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık göstergedir;
(12) ‘kişisel veri ihlali’ iletilen, saklanan veya işlenen kişisel verilerin kazara veya yasa dışı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlalidir;
(13) ‘genetik veri’ bir gerçek kişinin fizyoloji veya sağlığı ile ilgili eşsiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numunenin analizinden kaynaklanan ve söz konusu kişinin kalıtım yoluyla alınan veya kazanılan özelliklerine ilişkin kişisel verilerdir;
(14) ‘biyometrik veri’ yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir;
(15) ‘sağlıkla ilgili veri’ sağlık hizmetlerinin sağlanması da dahil olmak üzere bir gerçek kişinin sağlık durumuyla ilgili bilgilerin açıklandığı, söz konusu gerçek kişinin fiziksel veya ruhsal sağlığına ilişkin kişisel verilerdir;
(16) ‘asıl kuruluş’:
(a) birden fazla üye devlette işletmesi bulunan bir kontrolör ile ilgili olarak, kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemlere yönelik kararların kontrolörün Birlik içerisindeki başka bir işletmesinde alınmaması ve bu işletmenin söz konusu kararları uygulatma yetkisinin bulunmaması durumunda (ki bunların gerçekleşmesi halinde, söz konusu kararları alan işletme asıl kuruluş olarak kabul edilir), Birlik içerisindeki merkezi idare yeridir;
(b) birden fazla üye devlette işletmesi bulunan bir işleyici ile ilgili olarak, Birlik içerisindeki merkezi idare yeri veya, işleyicinin Birlik içerisinde merkezi bir işletmesinin bulunmaması halinde, işleyicinin bir işletmesinin faaliyetleri bağlamındaki temel işleme faaliyetlerinin işleyicinin bu Tüzük kapsamındaki spesifik yükümlülüklere tabi olduğu ölçüde gerçekleştiği Birlik içerisindeki işletmesidir;
(17) ‘temsilci’ Birlik içerisinde kurulu bulunan, 27. madde uyarınca kontrolör veya işleyici tarafından yazılı olarak belirlenen, bu Tüzük kapsamındaki yükümlülükleri ile ilgili olarak kontrolör veya işleyiciyi temsil eden bir gerçek veya tüzel kişidir;
(18) ‘işletme’ düzenli olarak bir ekonomik faaliyetle iştigal eden ortaklıklar veya birlikler de dahil olmak üzere hukuki biçimine bakılmaksızın bir ekonomik faaliyetle iştigal eden bir gerçek veya tüzel kişidir;
(19) ‘teşebbüsler grubu’ bir denetleyici teşebbüs ve denetlenmiş teşebbüslerdir;
(20) ‘bağlayıcı kurumsal kurallar’ ortak bir ekonomik faaliyetle iştigal eden bir teşebbüsler grubu veya bir işletmeler grubu içerisinde bir veya daha fazla sayıda üçüncü ülkedeki bir kontrolör veya işleyiciye kişisel veri aktarımları veya aktarım dizisiyle ilgili olarak Birliğin üye devletlerinden birinin topraklarında kurulmuş olan bir kontrolör veya işleyici tarafından uyulan kişisel veri koruma politikalarıdır;
(21) ‘denetim makamı’ 51. madde uyarınca bir üye devlet tarafından kurulan bağımsız bir kamu kuruluşudur;
(22) ‘ilgili denetim makamı’ aşağıdaki sebeplerden dolayı kişisel verilerin işlenmesiyle ilgili olan bir denetim makamıdır:
(a) kontrolör veya işleyicinin söz konusu denetim makamının üye devletinin topraklarında kurulu bulunması;
(b) söz konusu denetim makamının üye devletinde ikamet eden veri sahiplerinin işleme faaliyetinden kayda değer biçimde etkilenmesi veya kayda değer biçimde etkilenme ihtimalinin bulunması veya
(c) söz konusu denetim makamına bir şikayetin iletilmesi;
(23) ‘sınır ötesi işleme’:
(a) kontrolör veya işleyicinin birden fazla üye devlette kurulu olması halinde, söz konusu kontrolör veya işleyicinin birden fazla üye devletteki işletmelerinin faaliyetleri bağlamında gerçekleşen kişisel veri işleme faaliyetidir veya
(b) bir kontrolör veya işleyicinin Birlik içerisindeki tek bir işletmesinin faaliyetleri bağlamında gerçekleşen, ancak birden fazla üye devletteki veri sahiplerini kayda değer ölçüde etkileyen veya kayda değer ölçüde etkileme ihtimali bulunan kişisel veri işleme faaliyetidir.
(24) ‘yerinde ve gerekçeli itiraz’ bir taslak karar açısından bu Tüzükle ilgili bir ihlal olup olmadığı veya kontrolör veya işleyici ile ilgili olarak öngörülen eylemin bu Tüzüğe uygun olup olmadığına yönelik olarak yapılan ve taslak kararın veri sahiplerinin temel hakları ve özgürlükleri ve, uygun olduğu hallerde, kişisel verilerin Birlik içerisinde serbest dolaşımı açısından teşkil ettiği risklerin önemini açık bir şekilde gösteren bir itirazdır;
(25) ‘bilgi toplumu hizmeti’ (AB) 2015/1535 sayılı Avrupa Parlamentosu ve Konsey Direktifi’nin 1(1) maddesinin (b) bendinde tanımlanan bir hizmettir1;
(26) ‘uluslararası kuruluş’ uluslararası kamu hukuku ile düzenlenen bir kuruluş ve söz konusu kuruluşa bağlı organlar veya iki ya da daha fazla sayıda ülke arasındaki bir anlaşma ile veya bir anlaşmaya dayalı olarak kurulan diğer her türlü organdır.
BÖLÜM II
İlkeler
Madde 5
Kişisel verilerin işlenmesine ilişkin ilkeler
Kişisel veriler:
(a) veri sahibi ile ilgili olarak hukuka uygun, adil ve şeffaf bir biçimde işlenir (’hukuka uygunluk, adalet ve şeffaflık’);
(b) belirtilen, açık ve meşru amaçlara yönelik olarak toplanır ve bu amaçlara uygun olmayan bir şekilde işlenmez; kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçlarıyla veya istatistiki amaçlarla işleme faaliyeti, 89(1) maddesi uyarınca, baştaki amaçlara aykırı şekilde değerlendirilmez (‘amacın sınırlandırılması’);
(c) işlendikleri amaçlarla ilgili olarak yeterli, yerinde ve gerekli olanla sınırlıdır (‘verilerin en az seviyeye indirilmesi’);
(d) doğrudur ve, gereken şekilde, güncel tutulur; işlendikleri amaçlar göz önünde tutularak, doğru olmayan kişisel verilerin gecikmeye mahal verilmeksizin silinmesi veya düzeltilmesinin sağlanmasıyla ilgili makul tüm adımlar atılmalıdır (‘doğruluk’);
(e) veri sahiplerinin yalnızca kişisel verilerin işlenme amaçlarının gerektirdiği sürece teşhis edilmesini sağlayan bir şekilde tutulur; 89(1) maddesi uyarınca yalnızca kamu yararına arşivleme amaçlarıyla, bilimsel veya tarihi araştırma amaçlarıyla ya da istatistiki amaçlarla işlendikleri sürece ve veri sahibinin hakları ve özgürlüklerinin güvence altına alınmasına için bu Tüzük uyarınca gereken uygun teknik ve düzenlemeye ilişkin tedbirlerin uygulanmasına tabi olarak, kişisel veriler daha uzun süreler boyunca saklanabilir (’saklama süresinin sınırlandırılması’);
(f) yetkisiz veya yasa dışı işlemeye karşı ve kazara kayba, imhaya veya tahribe karşı koruma da dahil olmak üzere teknik veya düzenlemeye ilişkin uygun tedbirlerin kullanılması suretiyle kişisel verilerin güvenliğini sağlayan bir şekilde işlenir (‘bütünlük ve gizlilik’).
- Kontrolör 1. paragrafa uygun davranmaktan sorumludur ve buna uygun davrandığını gösterebilmelidir (’hesap verebilirlik’).
Madde 6
İşleme faaliyetinin hukuka uygunluğu
İşleme faaliyeti, ancak aşağıdaki hususlardan en az biri geçerli olduğunda ve olduğu ölçüde, hukuka uygundur:
(a) veri sahibinin bir ya da daha fazla sayıda spesifik amaca yönelik olarak kişisel verilerinin işlenmesine onay vermesi;
(b) veri sahibinin taraf olduğu bir sözleşmenin uygulanması veya bir sözleşme yapılmadan önce veri sahibinin talebiyle adımlar atılması için, işleme faaliyetinin gerekli olması;
(c) kontrolörün tabi olduğu bir yasal yükümlülüğe uygunluk sağlanması amacı ile işleme faaliyetinin gerekli olması;
(d) veri sahibinin veya başka bir gerçek kişinin hayati menfaatlerinin korunması amacı ile işleme faaliyetinin gerekli olması;
(e) kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin uygulanması hususunda işleme faaliyetinin gerekli olması;
f) özellikle veri sahibinin çocuk olması halinde veri sahibinin kişisel verilerin korunmasını gerektiren menfaatleri veya temel hakları ve özgürlüklerinin bir kontrolör veya üçüncü bir kişi tarafından gözetilen meşru menfaatlere ağır basması haricinde, söz konusu menfaatler doğrultusunda işleme faaliyetinin gerekli olması.
İlk alt paragrafın (f) bendi kamu kuruluşları tarafından görevlerinin yerine getirilmesi hususunda gerçekleştirilen işleme faaliyetine uygulanmaz.
- Üye devletler, Bölüm IX’te belirtilen diğer spesifik işleme durumları da dahil olmak üzere işleme faaliyetine ilişkin daha kati gereklilikler ve hukuka uygun ve adil işlemenin sağlanmasına yönelik diğer tedbirler belirlenmesi suretiyle, bu Tüzük’ün işleme faaliyetine ilişkin kurallarının uygulamasını 1. paragrafın (c) ve (e) bentlerine uygun olacak şekilde uyarlamak üzere daha spesifik hükümler uygulamaya devam edebilir veya uygulamaya koyabilir.
1. paragrafın (c) ve (e) bentlerinde belirtilen işleme dayanağı
(a) Birlik hukuku veya
(b) kontrolörün tabi olduğu üye devlet hukuku ile ortaya konur.
İşleme amacı söz konusu yasal dayanakta belirlenir veya, 1. paragrafın (e) bendinde atıfta bulunulan işleme faaliyeti ile ilgili olarak, kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin uygulanması hususunda gereklidir. Söz konusu yasal dayanak bu Tüzük kurallarının uygulamasının uyarlanmasına yönelik spesifik hükümler ihtiva edebilir: bunun yanı sıra, kontrolör tarafından gerçekleştirilen işleme faaliyetinin hukuka uygunluğunu düzenleyen genel koşullar; işleme faaliyetine tabi veri türleri; ilgili veri sahipleri; kişisel verilerin açıklanabileceği kuruluşlar ve açıklanma amaçları; amacın sınırlandırılması; saklama süreleri ve Bölüm IX’te belirtilen diğer spesifik işleme durumlarına yönelik tedbirler gibi hukuka uygun ve adil işlemenin sağlanmasına yönelik tedbirler de dahil olmak üzere işleme faaliyetleri ve işleme usulleri. Birlik veya üye devlet hukuku kamu yararı hedefini karşılar ve gözetilen meşru amaçla orantılıdır.
- Kişisel verilerin toplanma amacı dışında bir amaca yönelik olarak yapılan işleme faaliyetinin veri sahibinin rızasına veya 23(1) maddesinde atıfta bulunulan hedeflerin güvence altına alınmasına yönelik olarak demokratik bir toplumda gerekli ve ölçülü bir tedbir teşkil eden bir Birlik veya üye devlet kanununa dayanmaması durumunda, kontrolör, başka bir amaca yönelik işleme faaliyetinin kişisel verilerin asıl toplanma amacına uygun olup olmadığını değerlendirmek üzere, bunun yanı sıra aşağıdaki hususları dikkate alır:
(a) kişisel verilerin toplanma amaçları ile planlanan diğer işleme amaçları arasındaki herhangi bir bağlantı;
(b) veri sahipleri ve kontrolör arasındaki ilişki başta olmak üzere kişisel verilerin toplandığı bağlam;
(c) 9. madde uyarınca özel kategorilerdeki kişisel verilerin işlenip işlenmediği veya 10. madde uyarınca mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin işlenip işlenmediği başta olmak üzere kişisel verilerin mahiyeti;
(d) planlanan diğer işleme faaliyetlerinin veri sahiplerine olası yansımaları;
(e) şifreleme veya takma ad kullanımı da dahil olmak üzere uygun güvencelerin bulunması.
Madde 7
Rıza koşulları
- İşleme faaliyetinin rızaya dayandığı hallerde, kontrolör veri sahibinin kişisel verilerinin işlenmesine rıza göstermiş olduğunu gösterebilir.
- Veri sahibinin rızasının diğer hususlarla da ilgili olan yazılı bir beyan bağlamında verilmesi durumunda, rıza talebi diğer hususlardan açık bir şekilde ayırt edilebilecek bir şekilde, anlaşılır ve kolayca erişilebilir bir biçimde, açık ve sade bir dil kullanılarak sunulur. Söz konusu beyanın bu Tüzük açısından ihlal teşkil eden hiçbir kısmı bağlayıcı değildir.
- Veri sahibinin istediği zaman rızasını geri çekme hakkı vardır. Rızanın geri çekilmesi, geri çekim işleminden önce rızaya dayalı olarak yapılan işleme faaliyetinin hukuka uygunluğunu etkilemez. Veri sahibi, rıza vermeden önce, bu hususta bilgilendirilir. Rızanın geri çekilmesi rıza vermek kadar kolaydır.
- Rızanın özgür bir şekilde verilip verilmediği değerlendirilirken, her şeyden önce, bir hizmetin sağlanması da dahil olmak üzere bir sözleşmenin ifasının söz konusu sözleşmenin ifası için gerekmeyen kişisel verilerin işlenmesine yönelik bir rızaya bağlı olup olmadığına azami özen gösterilir.
Madde 8
Çocuğun bilgi toplumu hizmetlerine ilişkin rızası açısından geçerli koşullar
- 6(1) maddesinin (a) bendinin uygulandığı hallerde, doğrudan bir çocuğa bilgi toplumu hizmetleri sağlanması ile ilgili olarak, çocuğun en az 16 yaşında olması halinde, ilgili çocuğun kişisel verilerin işlenmesi hukuka uygundur. Çocuğun 16 yaşından küçük olması halinde, söz konusu işleme faaliyeti, ancak rızanın çocuk üzerinde velayet hakkı bulunan kişi tarafından verilmesi veya onaylanması halinde ve verildiği veya onaylandığı ölçüde hukuka uygundur.
Üye devletler, 13 yaştan küçük olmamak kaydıyla, bu amaçlara yönelik olarak kanunla daha küçük bir yaş belirleyebilir.
- Bu durumlarda, kontrolör mevcut teknolojiyi dikkate alarak rızanın çocuk üzerinde velayet hakkı bulunan kişi tarafından verildiğini veya onaylandığını doğrulamak adına makul çaba sarf eder.
- 1. paragraf bir çocuğa ilişkin bir sözleşmenin geçerliliği, oluşturulması veya etkisi ilgili kurallar gibi üye devletlerin genel sözleşme hukukunu etkilemez.
Madde 9
Özel kategorilerdeki kişisel verilerin işlenmesi
- Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar ya da sendika üyeliğinin ifşa edildiği kişisel verilerin işlenmesi ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik verilerin, sağlık ile ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin verilerin işlenmesi yasaktır.
- 1. paragraf aşağıdakilerden birinin geçerli olması halinde uygulanmaz:
(a) Birlik veya üye devlet hukuku çerçevesinde 1. paragrafta belirtilen yasağın veri sahibi tarafından kaldırılamayacağına ilişkin bir hüküm sağlanması haricinde, veri sahibinin belirtilen bir veya daha fazla sayıda amaca yönelik olarak söz konusu kişisel verilerin işlenmesine açık bir şekilde rıza göstermesi;
(b) Birlik veya üye devlet hukuku çerçevesinde ya da üye devlet hukuku uyarınca yapılan ve veri sahibinin temel hakları ve menfaatlerine yönelik uygun güvencelerin sağlandığı bir toplu sözleşme çerçevesinde izin verildiği sürece, kontrolörün veya veri sahibinin istihdam ve sosyal güvenlik ve sosyal hukuku koruma alanındaki yükümlülüklerinin gerçekleştirilmesi ve spesifik haklarının kullanılması amacıyla işleme faaliyetinin gerekmesi;
(c) veri sahibinin fiziksel veya hukuki olarak rıza veremeyecek durumda olması halinde, veri sahibi veya başka bir gerçek kişinin hayati menfaatlerinin korunması açısından işleme faaliyetinin gerekli olması;
(d) işleme faaliyetinin bir vakıf, birlik veya kar amacı gütmeyen başka bir organ tarafından siyasi, felsefi, dini veya sendika amacıyla uygun güvencelerle birlikte yürütülen meşru faaliyetleri esnasında işlemenin ve yalnızca organın üyeleri veya eski üyeleri ya da amaçlarıyla bağlantılı olarak kendisi ile düzenli olarak temas halinde bulunan kişilerle ilgili olması ve kişisel verilerin veri sahiplerinin rızası olmaksızın söz konusu organ dışında açıklanmaması koşuluyla gerçekleştirilmesi;
(e) işleme faaliyetinin veri sahibi tarafından açık bir biçimde kamuya açıklanan kişisel verilerle ilgili olması;
(f) yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması açısından veya mahkemeler kendi yargı yetkisi çerçevesinde hareket ettiğinde, işleme faaliyetinin gerekmesi;
(g) gözetilen amaçla orantılı olan, veri koruma hakkının özüne saygı gösteren ve veri sahibinin temel hakları ve menfaatlerinin güvence altına alınması adına uygun ve spesifik tedbirler sağlayan Birlik veya üye devlet hukukuna dayalı olarak kayda değer ölçüde kamu yararı adına nedenlerden ötürü işleme faaliyetinin gerekmesi;3e
(h) koruyucu hekimlik veya meslek hekimliği amaçları doğrultusunda, Birlik ya da üye devlet hukukuna dayalı olarak veya bir sağlık profesyoneli ile yapılan sözleşme uyarınca ve 3. paragrafta atıfta bulunulan koşullar ve güvencelere tabi olarak çalışanın çalışma kapasitesinin değerlendirilmesi, tıbbi tanı, sağlık veya sosyal bakım hizmetlerinin veya tedavinin sağlanması ya da sağlık veya sosyal bakım sistemleri ve hizmetlerinin yönetilmesi açısından işleme faaliyetinin gerekli olması;
(i) özellikle mesleki gizlilik olmak üzere veri sahibinin hakları ve özgürlüklerine ilişkin güvence sağlanmasına uygun ve spesifik tedbirler sağlayan Birlik veya üye devlet hukukuna dayalı olarak, sağlığa yönelik ciddi sınır ötesi tehditlere karşı koruma sağlanması veya sağlık hizmetleri ve tıbbi ürünler ya da tıbbi cihazlara ilişkin yüksek kalite ve emniyet standartları sağlanması gibi halk sağlığı alanında kamu yararına yönelik olarak işleme faaliyetinin gerekmesi;
(j) gözetilen amaçla orantılı olan, veri koruma hakkının özüne saygı gösteren ve veri sahibinin temel hakları ve menfaatlerinin güvence altına alınmasına uygun ve spesifik tedbirler sağlayan Birlik veya üye devlet hukukuna dayalı olarak, 89(1) maddesi uyarınca kamu yararına yönelik arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar doğrultusunda işleme faaliyetinin gerekmesi.
- 1. paragrafta atıfta bulunulan kişisel veriler Birlik ya da üye devlet hukuku kapsamındaki mesleki gizlilik yükümlülüğü veya ulusal yetkin organlar tarafından konan kurallara tabi olarak bir profesyonel tarafından veya söz konusu profesyonelin sorumluluğu altında ya da Birlik ya da üye devlet hukuku kapsamındaki mesleki gizlilik yükümlülüğü veya ulusal yetkin organlar tarafından konan kurallara tabi olarak başka bir kişi tarafından işlendiğinde, söz konusu veriler 2. paragrafın (h) bendinde atıfta bulunulan amaçlara yönelik olarak işlenebilir.
- Üye Devletler genetik veriler, biyometrik veriler veya sağlık ile ilgili veriler ile alakalı olarak sınırlamalar da dahil olmak üzere ek koşullar uygulamaya devam edebilir ya da ek koşullar getirebilir.
Madde 10
Mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin işlenmesi
Mahkumiyet kararları ve ceza gerektiren suçlara ilişkin ya da ilgili güvenlik tedbirlerine ilişkin kişisel verilerin 6(1) maddesine dayalı olarak işlenmesi, ancak resmi mercinin denetimi altında veya veri sahiplerinin hakları ve özgürlüklerine uygun güvenceler sağlayan Birlik veya üye devlet hukuku çerçevesinde işleme faaliyetine onay verildiğinde gerçekleştirilir. Mahkumiyet kararlarına ilişkin kapsamlı herhangi bir sicil yalnızca resmi mercinin denetimi altında tutulur.
Madde 11
Teşhis gerektirmeyen işleme faaliyeti
- Bir kontrolörün kişisel veri işleme amaçlarının kontrolör tarafından bir veri sahibinin teşhis edilmesini gerektirmemesi veya artık buna gerek kalmaması halinde, kontrolör yalnızca bu Tüzük’e uygunluk sağlamak amacıyla veri sahibini teşhis etmek üzere ek bilgi tutmak, elde etmek veya işlemek zorunda değildir.
- Bu maddenin 1. paragrafında atıfta bulunulan hallerde, kontrolörün veri sahibini teşhis edecek bir konumda bulunmadığını gösterebilmesi durumunda, kontrolör, mümkün olması halinde, veri sahibini bu durumdan haberdar eder. Bu durumlarda, 15 ila 20. maddeler, veri sahibinin bu maddeler kapsamındaki haklarını kullanmak amacıyla teşhis edilmesine olanak tanıyan ek bilgiler sağlaması haricinde, uygulanmaz.
BÖLÜM III
Veri sahibinin hakları
Kesim 1
Şeffaflık ve yöntemler
Madde 12
Veri sahibinin haklarının kullanımına ilişkin şeffaf bilgilendirme, bildirim ve yöntemler
- Kontrolör spesifik olarak bir çocuğa yönelik her türlü bilgi başta olmak üzere işleme faaliyeti ile alakalı olarak 13 ve 14. maddelerde atıfta bulunulan her türlü bilgi ile 15 ila 22. ve 34. maddeler kapsamındaki her türlü bildirimi öz, şeffaf, anlaşılır ve kolayca erişilebilir bir biçimde, açık ve sade bir dil kullanarak veri sahibine sağlamak için gerekli tedbirleri alır. Bilgileri yazılı olarak veya, uygun olduğu hallerde, elektronik yollar da dahil olmak üzere diğer yollarla sağlar. Veri sahibi tarafından talep edilmesi durumunda, veri sahibinin kimliğinin diğer yollarla doğrulanması koşuluyla, bilgiler sözlü olarak sağlanabilir.
- Kontrolör veri sahibinin 15 ila 22. maddeler kapsamındaki haklarının kullanılmasına kolaylık sağlar.
11(2) maddesinde atıfta bulunulan hallerde, kontrolörün veri sahibini teşhis edemeyecek bir konumda bulunduğunu göstermemesi halinde, kontrolör veri sahibinin 15 ila 22. maddeler kapsamındaki haklarının kullanılması yönündeki talebini işleme koymayı reddedemez.
- Kontrolör 15 ila 22. maddeler kapsamındaki bir taleple ilgili olarak gerçekleştirilen işleme ilişkin bilgileri herhangi bir gecikmeye mahal vermeksizin ve her halükarda talebin alınmasından itibaren bir ay içerisinde veri sahibine sağlar. Bu süre, gerekmesi halinde, taleplerin karmaşıklığı ve sayısı dikkate alınarak iki ay daha uzatılabilir. Kontrolör talebin alınmasından itibaren bir ay içerisinde söz konusu süre uzatımıyla birlikte gecikme sebeplerini veri sahibine bildirir. Veri sahibinin talebi elektronik yollarla yapması halinde, veri sahibi tarafından aksi talep edilmedikçe, bilgiler, mümkün olması halinde, elektronik yollarla sağlanır.
- Kontrolörün veri sahibinin talebi ile ilgili işlem yapmaması durumunda, kontrolör işlem yapmama sebepleri ve bir denetim makamına şikayette bulunma ve kanun yoluna başvurma olanağı ile ilgili olarak herhangi bir gecikmeye mahal vermeden ve talebin alınmasından itibaren en geç bir ay içerisinde veri sahibine bilgi verir.
- 13 ve 14. maddelerde sağlanan bilgiler ve 15 ila 22. ve 34. maddeler çerçevesinde yapılan her türlü bildirim ve gerçekleştirilen her türlü işlem ücretsiz olarak sağlanır. Bir veri sahibinin taleplerinin asılsız veya ölçüsüz olduğunun, özellikle taleplerin tekrarlanması nedeniyle, açıkça anlaşıldığı hallerde, kontrolör aşağıdakilerden birini gerçekleştirebilir:
(a) bilgiler veya bildirimin sağlanması veya talep edilen işlemin gerçekleştirilmesine ilişkin idari masrafları dikkate alarak makul bir ücret talep edebilir veya
(b) taleple ilgili işlem yapmayı reddedebilir.
Kontrolör talebin açık bir şekilde asılsız veya ölçüsüz olduğunu gösterme yükümlülüğünü taşır.
- 11. maddeye halel gelmeksizin, kontrolörün 15 ila 21. maddelerde atıfta bulunulan talepte bulunan gerçek kişinin kimliği ile ilgili makul şüphelerinin bulunduğu hallerde, kontrolör veri sahibinin kimliğinin teyit edilmesi için gereken ek bilgilerin sağlanmasını talep edebilir.
- 13 ve 14. maddeler uyarınca veri sahiplerine sağlanacak bilgiler, planlanan işleme faaliyetine yönelik anlamlı bir genel bakışın kolayca görülebilir, anlaşılabilir ve okunaklı bir biçimde sağlanması amacı ile standart simgelerle ile bir arada sağlanabilir. Simgelerin elektronik olarak sunulduğu hallerde, simgeler makine tarafından okunabilecek şekilde sağlanır.
- Komisyon simgeler ile sunulacak bilgilerin ve standart simgeler sağlanmasına yönelik usullerin belirlenmesi amacıyla 92. madde uyarınca yetki devrine dayanan tasarruflar kabul etmeye yetkindir.
Kesim 2
Bilgiler ve kişisel verilere erişim
Madde 13
Veri sahibinden kişisel verilerin toplandığı hallerde sağlanacak bilgiler
- Bir veri sahibine ilişkin kişisel verilerin veri sahibinden toplanması durumunda, kontrolör kişisel verilerin elde edildiği anda aşağıdaki bilgilerin tamamını veri sahibine sağlar:
(a) kontrolörün ve, uygun olduğu hallerde, kontrolörün temsilcisinin kimlik ve irtibat bilgileri;
(b) uygun olduğu hallerde, veri koruma görevlisinin irtibat bilgileri;
(c) kişisel verilerin planlanan işlenme amaçlarının yanı sıra işleme faaliyetinin yasal dayanağı;
(d) işleme faaliyetinin 6(1) maddesinin (f) bendine dayanması durumunda, kontrolör veya üçüncü bir kişi tarafından gözetilen meşru menfaatler;
(e) varsa, kişisel verilerin alıcıları veya alıcı kategorileri;
(f) uygun olduğu hallerde, kontrolörün kişisel verileri üçüncü bir ülke veya uluslararası kuruluşa aktarmayı amaçladığı ve Komisyon tarafından bir yeterlilik kararı verilip verilmediği ya da, 46 veya 47. maddelerde veya 49(1) maddesinin ikinci alt paragrafında atıfta bulunulan aktarımlar olması halinde, uygun veya münasip güvencelere ilişkin atıf ve bunların bir nüshasının elde edilme yolları veya bunların nerede sağlandığı.
- 1. paragrafta atıfta bulunulan bilgilere ek olarak, kontrolör kişisel verilerin elde edildiği anda adil ve şeffaf bir işleme sağlanması için gereken aşağıdaki ek bilgileri veri sahibine sağlar:
(a) kişisel verilerin saklanacağı süre veya, bunun mümkün olmaması halinde, bu sürenin belirlenmesi amacı ile kullanılan kriterler;
(b) kontrolörden kişisel verilere erişim ve kişisel verilerin düzeltilmesi ya da silinmesini veya veri sahibi ile ilgili işleme faaliyetinin kısıtlanmasını talep etme ya da işleme faaliyetine itiraz etme hakkının yanı sıra verilerin taşınabilirliği hakkının varlığı;
(c) işleme faaliyetinin 6(1) maddesinin (a) bendine veya 9(2) maddesinin (a) bendine dayandığı hallerde, rızanın geri çekilmesinden önce rızaya dayalı olarak gerçekleştirilen işleme faaliyetinin hukuka uygunluğu etkilenmeden, herhangi bir zamanda rızayı geri çekme hakkının varlığı;
(d) bir denetim makamına şikayette bulunma hakkı;
(e) kişisel verilerin sağlanmasının yasal ya da sözleşmeye bağlı bir gereklilik mi yoksa bir sözleşme yapılması için gereken bir gereklilik mi olduğu ve ayrıca, veri sahibinin kişisel verileri sağlamak zorunda olup olmadığı ve söz konusu verilerin sağlanmamasının muhtemel sonuçları;
(f) profil çıkarma da dahil olmak üzere 22(1) ve (4) maddelerinde atıfta bulunulan otomatik karar vermenin varlığı ve, en azından bu hallerde, yürütülen mantığa ilişkin anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçları.
- Kontrolörün kişisel verileri bu verilerin toplanma amacı dışında bir amaçla işleme faaliyetine niyet ettiği hallerde, kontrolör söz konusu işleme faaliyetinden önce diğer amaca ilişkin bilgileri ve 2. paragrafta atıfta bulunulan diğer ilgili bilgileri veri sahibine sağlar.
- Veri sahibinin halihazırda bu bilgilere sahip olduğu hallerde ve ölçüde, 1, 2 ve 3. paragraflar uygulanmaz.
Madde 14
Kişisel verilerin veri sahibinden alınmadığı hallerde sağlanacak bilgiler
- Kişisel verilerin veri sahibinden alınmaması durumunda, kontrolör veri sahibine aşağıdaki bilgileri sağlar:
(a) kontrolörün ve, uygun olduğu hallerde, kontrolörün temsilcisinin kimlik ve irtibat bilgileri; (b) uygun olduğu hallerde, veri koruma görevlisinin irtibat bilgileri;
(c) kişisel verilerin planlanan işlenme amaçlarının yanı sıra işleme faaliyetinin yasal dayanağı; (d) ilgili kişisel veri kategorileri;
(e) varsa, kişisel verilerin alıcıları veya alıcı kategorileri;
(f) uygun olduğu hallerde, kontrolörün kişisel verileri üçüncü bir ülke veya uluslararası kuruluşa aktarmayı amaçladığı ve Komisyon tarafından bir yeterlilik kararı verilip verilmediği ya da, 46 veya 47. maddelerde veya 49(1) maddesinin ikinci alt paragrafında atıfta bulunulan aktarımlar olması halinde, uygun veya münasip güvencelere ilişkin atıf ve bunların bir nüshasının elde edilme yolları veya bunların nerede sağlandığı.
- 1. paragrafta atıfta bulunulan bilgilere ek olarak, kontrolör veri sahibi açısından adil ve şeffaf bir işleme faaliyetinin sağlanması için gereken aşağıdaki bilgileri veri sahibine sağlar:
(a) kişisel verilerin saklanacağı süre veya, bunun mümkün olmaması halinde, bu sürenin belirlenmesi amacı ile kullanılan kriterler;
(b) işleme faaliyetinin 6(1) maddesinin (f) bendine dayanması durumunda, kontrolör veya üçüncü bir kişi tarafından gözetilen meşru menfaatler;
(c) kontrolörden kişisel verilere erişim ve kişisel verilerin düzeltilmesi ya da silinmesini veya veri sahibi ile ilgili işleme faaliyetinin kısıtlanmasını talep etme ve işleme faaliyetine itiraz etme hakkının yanı sıra verilerin taşınabilirliği hakkının varlığı;
(d) işleme faaliyetinin 6(1) maddesinin (a) bendine veya 9(2) maddesinin (a) bendine dayandığı hallerde, rızanın geri çekilmesinden önce rızaya dayalı olarak gerçekleştirilen işleme faaliyetinin hukuka uygunluğu etkilenmeden, herhangi bir zamanda rızayı geri çekme hakkının varlığı;
(e) bir denetim makamına şikayette bulunma hakkı;
(f) kişisel verilerin hangi kaynaktan alındığı, ve uygun olduğu hallerde, kişisel verilerin kamunun erişebileceği kaynaklardan gelip gelmediği;
(g) profil çıkarma da dahil olmak üzere 22(1) ve (4) maddelerinde atıfta bulunulan otomatik karar vermenin varlığı ve, en azından bu hallerde, yürütülen mantığa ilişkin anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçları.
- Kontrolör 1 ve 2. paragraflarda atıfta bulunulan bilgileri şu şekilde sağlar:
(a) kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, ancak kişisel verilerin işlendiği spesifik koşullar göz önünde tutularak, en geç bir ay içerisinde;
(b) kişisel verilerin veri sahibi ile iletişim açısından kullanılacak olması durumunda, en geç söz konusu veri sahibi ile ilk kez iletişime geçildiği zaman veya
(c) başka bir alıcıya açıklamanın öngörülmesi halinde, en geç kişisel veriler ilk kez açıklandığı zaman.
- Kontrolörün kişisel verileri bu verilerin elde edilme amacı dışında bir amaçla işleme faaliyetine niyet ettiği hallerde, kontrolör söz konusu işleme faaliyetinden önce diğer amaca ilişkin bilgileri ve 2. paragrafta atıfta bulunulan diğer ilgili bilgileri veri sahibine sağlar.
- 1 ila 4. paragraflar aşağıdaki hallerde ve ölçüde uygulanmaz: (a) veri sahibinin halihazırda bilgisinin olması;
(b) 89(1) maddesinde atıfta bulunulan koşullar ve güvencelere tabi olarak kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar başta olmak üzere söz konusu bilgilerin sağlanmasının imkansız olması veya ölçüsüz bir çaba gerektirmesi halinde veya bu maddenin 1. paragrafında atıfta bulunulan yükümlülüğün bu işleme hedeflerinin yakalanmasını imkansız hale getirmesi veya yakalanmasına ciddi şekilde zarar vermesinin muhtemel olduğu ölçüde. Bu durumlarda, kontrolör bilginin kamuya açıklanması da dahil olmak üzere veri sahibinin hakları ile özgürlükleri ve meşru menfaatlerinin korunması amacıyla uygun tedbirler alır;
(c) elde etme veya açıklamanın kontrolörün tabi olduğu ve veri sahibinin meşru menfaatlerinin korunması amacıyla uygun tedbirler sağlanan Birlik veya üye devlet hukukunda açık bir şekilde ortaya konması veya
(d) kişisel verilerin yasal bir gizlilik yükümlülüğü de dahil olmak üzere Birlik ya da üye devlet hukuku ile düzenlenen bir mesleki gizlilik yükümlülüğüne tabi olarak gizli kalmasının gerekmesi.
Madde 15
Veri sahibinin erişim hakkı
- Veri sahibinin kendisi ile ilgili kişisel verilerin işlenip işlenmediğini kontrolörden teyit etme ve, işleme faaliyeti olması halinde, kişisel verilere erişim ile aşağıdaki bilgileri talep etme hakkı bulunur:
(a) işleme amaçları;
(b) ilgili kişisel veri kategorileri;
(c) üçüncü ülkeler veya uluslararası kuruluşlardaki alıcılar başta olmak üzere, kişisel verilerin açıklandığı veya açıklanacağı alıcılar veya alıcı kategorileri;
(d) mümkün olması halinde, kişisel verilerin saklanması açısından öngörülen süre veya, bunun mümkün olmaması halinde, bu sürenin belirlenmesi amacı ile kullanılan kriterler;
(e) kontrolörden veri sahibine ilişkin kişisel verilerin düzeltilmesi veya silinmesini veya söz konusu verilerin işlenmesinin kısıtlanmasını talep etme veya söz konusu işleme faaliyetine itiraz etme hakkının varlığı;
(f) bir denetim makamına şikayette bulunma hakkı;
(g) kişisel verilerin veri sahibinden elde edilmemesi halinde, bu verilerin kaynaklarına ilişkin mevcut bilgiler;
(h) profil çıkarma da dahil olmak üzere 22(1) ve (4) maddelerinde atıfta bulunulan otomatik karar vermenin varlığı ve, en azından bu hallerde, yürütülen mantığa ilişkin anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçları.
- Kişisel verilerin üçüncü bir ülke ya da uluslararası bir kuruluşa aktarılması durumunda, veri sahibinin aktarımla ilgili olarak 46. madde uyarınca uygun güvenceler hususunda bilgilendirilme hakkı bulunur.
- Kontrolör işleme faaliyetinden geçen kişisel verilerin bir nüshasını sağlar. Veri sahibi tarafından talep edilen diğer nüshalar açısında, kontrolör idari masraflara dayalı olarak makul bir ücret talep edebilir. Veri sahibinin talebi elektronik yollarla yapması halinde ve veri sahibi tarafından aksi talep edilmedikçe, bilgiler yaygın kullanılan bir elektronik yolla sağlanır.
- 3. paragrafta atıfta bulunulan bir nüsha elde etme hakkı başkalarının hakları ve özgürlüklerini olumsuz yönde etkilemez.
Kesim 3
Düzeltme ve silme
Madde 16
Düzeltme hakkı
Veri sahibinin kendileri ile ilgili doğru olmayan kişisel verilerin gereksiz gecikmeye mahal verilmeksizin düzeltilmesini kontrolörden talep etme hakkı bulunur. İşleme amaçları dikkate alınarak, veri sahibinin, bir ek beyan yoluyla da dahil olmak üzere, eksik kişisel verileri tamamlatma hakkı bulunur.
Madde 17
Silme hakkı (’unutulma hakkı’)
- Veri sahibinin kendisi ile ilgili kişisel verilerin herhangi bir gecikmeye mahal verilmeksizin silinmesini kontrolörden talep etme hakkı bulunur ve, aşağıdaki hallerden birinin geçerli olması durumunda, kontrolörün kişisel verileri herhangi bir gecikmeye mahal vermeksizin silme yükümlülüğü bulunur:
(a) kişisel verilerin toplanma veya işlenme amaçlarıyla ilişkili olarak artık gerekli olmaması;
(b) veri sahibinin 6(1) maddesinin (a) bendi veya 9(2) maddesinin (a) bendine göre işleme faaliyetinin dayandığı izni geri çekmesi ve işleme faaliyetiyle ilgili başka bir yasal gerekçe bulunmaması;
(c) veri sahibinin 21(1) maddesi uyarınca işleme faaliyetine itirazda bulunması ve işleme faaliyetine yönelik ağır basan meşru bir gerekçe bulunmaması ya da veri sahibinin 21(2) maddesi uyarınca işleme faaliyetine itirazda bulunması;
(d) kişisel verilerin yasa dışı biçimde işlenmiş olması;
(e) kontrolörün tabi olduğu Birlik veya üye devlet hukukundaki bir yasal yükümlülüğe uygunluk sağlanması amacı ile kişisel verilerin silinmesinin zorunlu olması;
(f) kişisel verilerin 8(1) maddesinde atıfta bulunulan bilgi toplumu hizmetlerinin sağlanması ile ilgili toplanmış olması.
- Kontrolörün kişisel verileri kamuya açıklamış olduğu ve 1. paragraf uyarınca kişisel verileri silmek zorunda olduğu hallerde, kontrolör, mevcut teknoloji ve uygulama maliyetini göz önünde bulundurarak, veri sahibinin talep etmiş olduğu kişisel verileri işleyen kontrolörleri söz konusu kişisel verilere yönelik her türlü bağlantı veya bu verilerin her türlü nüshası ya da çoğaltmasının söz konusu kontrolörlerce silinmesi hususunda bilgilendirmek üzere teknik tedbirler de dahil olmak üzere makul adımları atar.
- 1 ve 2. paragraflar işleme faaliyeti aşağıdaki amaçlar doğrultusunda gerekli olduğu ölçüde uygulanmaz:
(a) ifade ve bilgi edinme hakkının kullanılması;
(b) kontrolörün tabi olduğu Birlik veya üye devlet hukuku çerçevesinde işleme faaliyeti gerektiren bir yasal yükümlülüğe uygunluk açısından veya kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin uygulanması açısından;
(c) 9(2) maddesinin (h) ve (i) bentlerinin yanı sıra 9(3) maddesi uyarınca halk sağlığı alanındaki kamu yararı sebeplerinden dolayı;
(d) 1. paragrafta atıfta bulunulan hakkın ilgili işleme hedeflerinin yakalanmasını imkansız hale getirmesi veya yakalanmasına ciddi şekilde zarar vermesinin muhtemel olduğu ölçüde, 89(1) maddesi uyarınca kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar doğrultusunda veya
(e) yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması açısından.
Madde 18
İşleme faaliyetini kısıtlama hakkı
- Aşağıdaki durumlardan birinin geçerli olması halinde, veri sahibinin kontrolörden işleme faaliyetinin kısıtlanmasını talep etme hakkı bulunur:
(a) kişisel verilerin doğruluğuna veri sahibi tarafından itiraz edilmesi halinde, kontrolörün kişisel verilerin doğruluğunu teyit etmesini sağlayan bir süre boyunca;
(b) işleme faaliyetinin yasa dışı olması ve veri sahibinin kişisel verilerin silinmesine itiraz etmesi ve bunun yerine verilerin kullanımının kısıtlanmasını talep etmesi;
(c) kontrolörün işleme amaçlarına yönelik olarak artık kişisel verilere ihtiyaç duymaması, ancak veri sahibinin yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması amacıyla söz konusu verilere ihtiyaç duyması;
(d) kontrolörün meşru gerekçelerinin veri sahibinin meşru gerekçelerine ağır basıp basmadığı doğrulanana kadar, veri sahibinin 21(1) maddesi uyarınca işleme faaliyetine itiraz etmesi.
- İşleme faaliyetinin 1. paragraf kapsamında kısıtlanmış olduğu hallerde, söz konusu kişisel veriler, saklama haricinde, yalnızca veri sahibinin rızasıyla veya yasal iddialarda bulunulması, bu iddiaların uygulanması ya da savunulmasına yönelik olarak ya da başka bir gerçek veya tüzel kişinin haklarının korunmasına yönelik olarak ya da Birlik veya bir üye devletin önemli kamu yararı adına önemli sebeplerinden dolayı işlenir.
- 1. paragraf uyarınca işleme faaliyetinin kısıtlanmasını sağlayan bir veri sahibi, işleme faaliyetine ilişkin kısıtlama kaldırılmadan önce, kontrolör tarafından bilgilendirilir.
Madde 19
Kişisel verilerin düzeltilmesine ya da silinmesine veya işleme faaliyetinin kısıtlanmasına ilişkin bildirim yükümlülüğü
Kontrolör, imkansız olmaması veya ölçüsüz bir çabayı gerektirmemesi halinde, 16. madde, 17(1) maddesi ve 18. madde uyarınca gerçekleştirilen her türlü kişisel veri düzeltme veya silme işlemi ya da işleme faaliyetini kısıtlama işlemini kişisel verilerin açıklandığı her alıcıya bildirir. Veri sahibinin bu yönde bir talebinin bulunması halinde, kontrolör veri sahibini bu alıcılar hakkında bilgilendirir.
Madde 20
Veri taşınabilirliği hakkı
- Aşağıdaki hallerde, veri sahibinin kendisi ile ilgili olarak bir kontrolöre sağlamış olduğu kişisel verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilecek bir formatta alma hakkı bulunur ve kişisel verilerin sağlandığı kontrolörün herhangi bir engellemesi olmaksızın bu verileri başka bir kontrolöre iletme hakkı bulunur:
(a) işleme faaliyetinin 6(1) maddesinin (a) bendi veya 9(2) maddesinin (a) bendi uyarınca bir rızaya veya 6(1) maddesinin (b) bendi uyarınca bir sözleşmeye dayanması ve
(b) işleme faaliyetinin otomatik yollarla gerçekleştirilmesi.
- 1. paragraf uyarınca veri taşınabilirliği hakkını kullanırken, veri sahibinin, teknik açıdan uygulanabilir olması halinde, kişisel verilerin doğrudan bir kontrolörden diğerine ilettirme hakkı bulunur.
- Bu maddenin 1. paragrafında atıfta bulunulan hakkın kullanımı ile 17. maddeye halel gelmez. Söz konusu hak kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin uygulanması için gereken işleme faaliyetlerine uygulanmaz.
- 1. paragrafta atıfta bulunulan hak başkalarının hakları ve özgürlüklerini olumsuz yönde etkilemez.
Kesim 4
İtiraz hakkı ve otomatik münferit karar verme
Madde 21
İtiraz hakkı
- Veri sahibinin, kendi özel durumu ile ilgili gerekçelere dayalı olarak, (6)1 maddesinin (e) veya (f) bentlerindeki hükümlere dayalı olarak profil çıkarma da dahil olmak üzere bu bentlere dayalı olarak kendisi ile ilgili kişisel verilerin işlenmesine herhangi bir zamanda itiraz etme hakkı bulunur. Kontrolör veri sahibinin menfaatleri, hakları ve özgürlüklerinden ağır basan işleme faaliyetlerine yönelik olarak veya yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması açısından zorlayıcı meşru gerekçeler göstermediği sürece, kontrolör artık kişisel verileri işleyemez.
- Kişisel verilerin doğrudan pazarlama amaçları doğrultusunda işlenmesi durumunda, veri sahibinin doğrudan pazarlama ile alakalı olduğu ölçüde profil çıkarma da dahil olmak üzere kendisi ile ilgili kişisel verilerin söz konusu doğrudan pazarlama amacı ile işlenmesine herhangi bir zamanda itiraz etme hakkı bulunur.
- Veri sahibinin doğrudan pazarlama amaçlarına yönelik olarak işleme faaliyetine itiraz etmesi halinde, kişisel veriler artık bu amaçlarla işlenemez
- En geç veri sahibi ile ilk kez iletişime geçildiği zaman, 1 ve 2. paragraflarda atıfta bulunulan hak açık bir şekilde veri sahibinin dikkatine sunulur ve diğer bilgilerden açık ve ayrı bir şekilde sunulur.
- Bilgi toplumu hizmetlerinin kullanımı bağlamında ve 2002/58/AT sayılı Direktif’e bakılmaksızın, veri sahibi teknik açıklamaları kullanmak suretiyle otomatik yollarla itiraz hakkını kullanabilir.
- Kişisel verilerin 89(1) maddesi uyarınca bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar doğrultusunda işlenmesi durumunda, işleme faaliyeti kamu yararı sebeplerinden dolayı gerçekleştirilen bir görevin yürütülmesi için gerekli olmadığı sürece, veri sahibinin, kendi özel durumu ile ilgili gerekçelere dayalı olarak, kendisi ile ilgili kişisel verilerin işlenmesine itiraz hakkı bulunur.
Madde 22
Profil çıkarma da dahil olmak üzere otomatik münferit karar verme
- Veri sahibinin kendisi ile ilgili hukuki sonuçlar doğuran veya benzer biçimde kendisini kayda değer şekilde etkileyen profil çıkarma da dahil olmak üzere yalnızca otomatik işleme faaliyetine dayalı bir karara tabi olmama hakkı bulunur.
- Kararın aşağıdaki özellikleri taşıması halinde, 1. paragraf uygulanmaz:
(a) veri sahibi ve bir veri kontrolörü arasında bir sözleşme yapılması veya uygulanması için gerekli olması;
(b) kontrolörün tabi olduğu ve veri sahibinin hakları ile özgürlükleri ve meşru menfaatlerinin güvence
altına alınması amacıyla uygun tedbirlerin de belirtildiği Birlik veya üye devlet hukukun çerçevesinde izin verilmesi veya
(c) veri sahibinin açık rızasına dayanması.
- 2. paragrafın (a) ve (c) bentlerinde atıfta bulunulan hallerde, veri kontrolörü en azından kontrolör açısından insan müdahalesinin sağlanması hakkı başta olmak üzere veri sahibinin kendi görüşünü ifade etme ve karara karşı çıkma yönündeki hakları ile özgürlükleri ve meşru menfaatlerinin güvence altına alınması amacı ile uygun tedbirler uygular.
- 9(2) maddesinin (a) veya (g) bendinin geçerli olmaması ve veri sahibinin hakları ile özgürlükleri ve meşru menfaatlerinin güvence altına alınması amacı ile uygun tedbirlerin alınmamış olması durumunda,
- paragrafta atıfta bulunulan kararlar 9(1) maddesinde atıfta bulunulan özel kategorilerdeki kişisel verilere dayanamaz.
Kesim 5
Kısıtlamalar
Madde 23
Kısıtlamalar
- Veri kontrolörü veya işleyicisinin tabi olduğu Birlik veya üye devlet hukuku bir yasama tedbiri vasıtasıyla; temel haklar ve özgürlüklerin özüne saygı gösterdiğinde ve demokratik bir toplumda aşağıdaki hususların güvence altına alınması açısından gerekli ve orantılı bir tedbir teşkil ettiğinde 12 ila
- maddeler ve 34. maddede öngörülen haklar ve yükümlülüklerin kapsamını, ayrıca 5. madde hükümleri 12 ila 22. maddelerde hükme bağlanan haklar ve yükümlülüklere uygun olduğu sürece 5. maddenin kapsamını, kısıtlayabilir:
(a) milli güvenlik;
(b) savunma;
(c) kamu güvenliği;
(d) kamu güvenliğine yönelik tehditlere karşı güvence sağlanması ve bu tehditlerin önlenmesi de dâhil olmak üzere suçların önlenmesi, soruşturulması, tespiti veya kovuşturulması ya da cezaların infaz edilmesi;
(e) başta Birliğin veya bir üye devletin önemli bir ekonomik veya mali çıkarına olmak üzere parasal hususlar ile bütçe ve vergilendirmeye ilişkin hususlar, halk sağlığı ve sosyal güvenlik de dahil, Birlik ya da bir üye devletin genel kamu yararına yönelik diğer önemli hedefler;
(f) yargı bağımsızlığının ve adli süreçlerin korunması;
(g) düzenlenmiş mesleklere ilişkin etik kurallarının ihlalinin önlenmesi, soruşturulması, tespiti ve kovuşturulması;
(h) nadiren olsa dahi, (a) ila (e) ve (g) bentlerinde belirtilen durumlarda resmi yetkinin kullanımı ile bağlantılı bir izleme, denetleme veya düzenleme işlevi;
(i) veri sahibinin veya başkalarının haklarının ve özgürlüklerinin korunması. (j) medeni hukuktan kaynaklanan taleplere ilişkin kararların icrası.
- Özellikle, 1. paragrafta belirtilen herhangi bir yasama tedbiri, ilgili olduğunda, aşağıdaki hususlara ilişkin hükümler içerir:
(a) işlemenin veya işleme kategorilerinin amaçları; (b) kişisel veri kategorileri;
(c) getirilen kısıtlamaların kapsamı;
(d) kötüye kullanım veya yasa dışı yollarla erişim veya aktarımın engellenmesine yönelik güvenceler; (e) kontrolör veya kontrolör kategorilerinin belirlenmesi;
(f) işleme veya işleme kategorilerinin mahiyeti, kapsamı ve amaçları dikkate alınarak saklama süreleri ve uygulanabilir güvenceler;
(g) veri sahiplerinin hakları ve özgürlüklerine yönelik riskler ve
(h) kısıtlama amacına halel getirmemesi durumunda, veri sahiplerinin kısıtlamayla ilgili bilgi sahibi olma hakkı.
BÖLÜM IV
Kontrolör ve işleyici
Kesim 1
Genel yükümlülükler
Madde 24
Kontrolörün sorumluluğu
- Kontrolör, işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hakları ve özgürlükleri açısından çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, işleme faaliyetinin bu Tüzük uyarınca gerçekleştirilmesini sağlamak ve bu şekilde gerçekleştirildiğini gösterebilmek için uygun teknik ve düzenlemeye ilişkin tedbirler uygular. Bu tedbirler gözden geçirilir ve, gerektiğinde, güncellenir.
- İşleme faaliyetleri ile ilgili olarak ölçülü olması halinde, 1. paragrafta atıfta bulunulan tedbirler kontrolör tarafından uygun veri koruma politikalarının uygulanmasını kapsar.
- 40. maddede atıfta bulunulan onaylı davranış kuralları veya 42. maddede atıfta bulunulan onaylı belgelendirme mekanizmalarına uygun hareket edilmesi kontrolörün yükümlülüklerine uygunluğun gösterilmesine ilişkin bir unsur olarak kullanılabilir.
Madde 25
Özel ve olağan veri koruması
- Kontrolör, son teknoloji, uygulama maliyeti ve işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra işleme faaliyetinin gerçek kişilerin hakları ve özgürlükleri açısından teşkil ettiği çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, hem işleme yönteminin belirlenmesi esnasında hem de işleme faaliyeti esnasında, verilerin en alt düzeye indirilmesi gibi veri koruma ilkelerinin etkili bir şekilde uygulanması ve bu Tüzük’ün gerekliliklerinin yerine getirilmesine yönelik olarak gerekli güvencelerin entegre edilmesi amacı ile tasarlanan takma ad kullanımı gibi uygun teknik ve düzenlemeye ilişkin tedbirler uygular ve veri sahiplerinin haklarını korur.
- Kontrolör, olağan durumda, yalnızca her spesifik işleme amacı için gereken kişisel verilerin işlenmesini sağlamaya yönelik uygun teknik ve düzenlemeye ilişkin tedbirler uygular. Söz konusu yükümlülük toplanan kişisel veri miktarı, bunların işlenme derecesi, saklama süresi ve bunlara erişilebilirliğe uygulanır. Özellikle, söz konusu tedbirler, olağan durumda, bireyin müdahalesi olmaksızın kişisel verilerin belirsiz sayıda gerçek kişinin erişimine açılmamasını sağlar.
- 42. madde uyarınca onaylı bir belgelendirme mekanizması bu maddenin 1 ve 2. paragraflarında ortaya konan gerekliliklere uygunluğun gösterilmesine ilişkin bir unsur olarak kullanılabilir.
Madde 26
Ortak kontrolörler
- İki ya da daha fazla sayıda kontrolörün işleme amaçları ve yöntemlerini ortak bir şekilde belirlediği hallerde, bu kontrolörler ortak kontrolörlerdir. Ortak kontrolörler, kontrolörlerin ilgili sorumlulukları
kontrolörün tabi olduğu Birlik veya üye devlet hukuku çerçevesinde belirlenmedikçe ve belirlendiği sürece, özellikle veri sahibinin haklarının kullanımı ve 13 ve 14. maddelerde atıfta bulunulan bilgi sağlama görevleri ile ilgili olarak bu Tüzük kapsamındaki yükümlülüklere uygunluğa ilişkin sorumluluklarını aralarındaki bir düzenleme vasıtasıyla şeffaf bir şekilde belirler. Düzenleme çerçevesinde veri sahiplerine yönelik bir temas noktası belirlenebilir.
- 1. paragrafta atıfta bulunulan düzenleme ortak kontrolörlerin veri sahipleriyle karşılıklı rolleri ve ilişkilerini uygun şekilde yansıtır. Düzenlemenin mahiyeti veri sahibine sağlanır.
- 1. paragrafta atıfta bulunulan düzenlemenin koşullarına bakılmaksızın, veri sahibi bu Tüzük kapsamındaki haklarını her kontrolör açısından ve her kontrolöre karşı kullanabilir.
Madde 27
Birlik içerisinde kurulu olmayan kontrolörler veya işleyicilerin temsilcileri
- 3(2) maddesinin uygulandığı hallerde, kontrolör veya işleyici yazılı olarak Birlik içerisinde bir temsilci belirtir.
- Bu maddenin 1. paragrafında belirtilen yükümlülük aşağıdaki durumlara uygulanmaz:
(a) nadiren gerçekleşen, 9(1) maddesinde atıfta bulunulan özel veri kategorilerinin işlenmesini büyük çaplı olarak içeren işleme faaliyeti veya 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlar ile ilgili olan ve, işleme faaliyetinin mahiyeti, bağlamı, kapsamı ve amaçları dikkate alındığında, gerçek kişilerin hakları ve özgürlükleri açısından bir riske sebep olması muhtemel olmayan bir işleme faaliyeti veya
(b) bir kamu kuruluşu veya organı.
- Temsilcilik kişisel verileri kendilerine mal veya hizmetlerin sağlanması ile ilgili olarak işlenen veya davranışı izlenen veri sahiplerinin bulunduğu üye devletlerin birinde kurulur.
- Temsilci, işleme faaliyeti ile ilgili tüm hususlarda, bu Tüzük’e uygunluk sağlanması amacıyla, özellikle denetim makamları ve veri sahipleri tarafından kontrolör veya işleyiciye ek olarak veya bunlar yerine muhatap kabul edilmek üzere kontrolör veya işleyici tarafından yetkilendirilir.
- Kontrolör veya işleyici tarafından bir temsilci belirlenmesiyle kontrolör veya işleyiciye karşı açılabilecek davalara halel gelmez.
Madde 28
İşleyici
- Bir kontrolör adına bir işleme faaliyetinin gerçekleştirilmesinin gerektiği hallerde, kontrolör ancak işleme faaliyetinin bu Tüzük’ün gerekliliklerinin yerine getirilmesini ve veri sahibinin haklarının korunmasını sağlayacak biçimde uygun teknik ve düzenlemeye ilişkin tedbirler uygulama hususunda yeterli güvenceler sağlayan işleyiciler kullanır.
- İşleyici kontrolörün önceden verdiği spesifik veya genel yazılı onay olmaksızın başka bir işleyiciyle
çalışamaz. Genel yazılı onay halinde, işleyici diğer işleyicilerin eklenmesi veya değiştirilmesi ile ilgili planlanan değişiklikler hususunda kontrolörü bilgilendirerek kontrolöre söz konusu değişikliklere itiraz etme olanağı tanır.
- Bir işleyici tarafından işleme faaliyeti gerçekleştirilmesi Birlik veya üye devlet hukuku çerçevesinde düzenlenen, kontrolör ile ilgili olarak işleyici açısından bağlayıcı olan ve işleme faaliyetinin konusu ve süresi, işleme faaliyetinin mahiyeti ve amacı, kişisel verilerin türü ve veri sahiplerinin kategorileri ile kontrolörün yükümlülükleri ve haklarının ortaya konduğu bir sözleşme veya diğer hukuki tasarruflar ile düzenlenir. Söz konusu sözleşme veya diğer hukuki tasarruflarda özellikle işleyicinin şunları yapacağı belirtilir:
(a) işleyicinin tabi olduğu Birlik veya üye devlet hukuku çerçevesinde bu yönde bir gereklilik bulunmaması halinde, üçüncü bir ülkeye veya uluslararası bir kuruluşa kişisel veri aktarımları ile ilgili olanlar da dahil olmak üzere yalnızca kontrolörün verdiği belgelendirilmiş talimatlar doğrultusunda kişisel verilerin işlenmesi; bu durumda, kanunlar çerçevesinde söz konusu bilgilendirmenin önemli kamu yararı gerekçeleriyle yasaklanmaması halinde, işleyici kontrolörü işleme faaliyetinden önce bu yasal gereksinimden haberdar eder;
(b) kişisel verileri işleme yetkisi bulunan kişilerin gizlilik taahhüdünde bulunmasının veya uygun bir yasal gizlilik yükümlülüğü altında bulunmasının sağlanması;
(c) 32. madde uyarınca gerekli tüm tedbirlerin alınması;
(d) başka bir işleyiciyle çalışılması amacıyla 2 ve 4. paragraflarda atıfta bulunulan koşullara riayet edilmesi;
(e) işleme faaliyetinin mahiyetinin dikkate alınması suretiyle, kontrolörün veri sahibinin Bölüm III’te belirtilen haklarının kullanımına ilişkin taleplere yanıt verme yükümlülüğünün yerine getirilmesine yönelik olarak, uygun teknik ve düzenlemeye ilişkin tedbirler vasıtasıyla, kontrolöre mümkün olduğunca yardımcı olunması;
(f) işleme faaliyetinin mahiyeti ve işleyiciye sağlanan bilgilerin dikkate alınması suretiyle, 32 ila 36. maddeler uyarınca yükümlülüklere uygun hareket edilmesinin sağlanmasında kontrolöre yardımcı olunması;
(g) kontrolörün tercihi üzerine, işleme faaliyeti ile ilgili hizmetlerin sağlanmasından sonra tüm kişisel verilerin silinmesi veya kontrolöre iade edilmesi ve, Birlik ya da üye devlet hukuku çerçevesinde kişisel verilerin saklanmasının gerekli olmaması durumunda, mevcut nüshaların silinmesi;
(h) bu maddede ortaya konan yükümlülüklere uygunluğun gösterilmesi için gereken tüm bilgilerin kontrolöre sağlanması ve teftişler de dahil olmak üzere kontrolör tarafından ya da kontrolörce yetkilendirilen başka bir denetçi tarafından gerçekleştirilen denetimlere izin verilmesi ve katkıda bulunulması.
İlk alt paragrafın (h) bendi ile ilgili olarak, kendi görüşüne göre bir talimatın bu Tüzük veya Birlik ya da üye devletin diğer veri koruma hükümlerini ihlal etmesi durumunda, kontrolörü ivedilikle bilgilendirir.
- Bir işleyicinin kontrolör adına spesifik işleme faaliyetlerinin gerçekleştirilmesine yönelik olarak başka bir işleyici ile çalıştığı durumlarda, 3. paragrafta atıfta bulunulduğu üzere kontrolör ve işleyici arasındaki sözleşme veya başka bir hukuki tasarrufta ortaya konan veri koruma yükümlülükleri özellikle işleme faaliyetinin bu Tüzük’ün gerekliliklerinin yerine getirilmesini sağlayacak şekilde uygun teknik ve düzenlemeye ilişkin tedbirlerin uygulanması amacı ile yeterli teminatlar sağlayan bir sözleşme ya da Birlik veya üye devlet hukuku kapsamındaki başka bir hukuki tasarruf yoluyla diğer işleyici açısından da uygulanır. Diğer işleyicinin veri koruma yükümlülüklerini yerine getiremediği hallerde, ilk işleyici diğer işleyicinin yükümlülüklerinin ifası konusunda kontrolöre karşı tam yükümlülük sahibi olmaya devam eder.
- Bir işleyicinin 40. maddede atıfta bulunulan onaylı davranış kuralları veya 42. maddede atıfta bulunulan onaylı belgelendirme mekanizmalarına uygun hareket etmesi bu maddenin 1 ve 4. paragraflarında atıfta bulunulan yeterli teminatların gösterilmesine ilişkin bir unsur olarak kullanılabilir.
- Kontrolör ve işleyici arasındaki bireysel bir sözleşmeye halel gelmeksizin, bu maddenin 3 ve 4. paragraflarında atıfta bulunulan sözleşme ya da başka bir hukuki tasarruf, 42 ve 43. maddeler uyarınca kontrolör veya işleyiciye sağlanan bir belgelendirmenin parçası olmaları durumu da dahil olmak üzere, tamamen veya kısmen, bu maddenin 7 ve 8. paragraflarında atıfta bulunulan standart sözleşme maddelerine dayanabilir.
- Komisyon bu maddenin 3 ve 4. paragraflarında atıfta bulunulan hususlara yönelik olarak ve 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca standart sözleşme maddeleri oluşturabilir.
- Bir denetim makamı bu maddenin 3 ve 4. paragraflarında atıfta bulunulan hususlara yönelik olarak ve
- maddede atıfta bulunulan tutarlık mekanizması uyarınca standart sözleşme maddeleri kabul edebilir.
- 3 ve 4. paragraflarda atıfta bulunulan sözleşme veya diğer hukuki tasarruflar elektronik format da dahil olmak üzere yazılı olarak hazırlanır.
- 82, 83 ve 84. maddelere halel gelmeksizin, bir işleyicinin işleme amaçları ve yöntemlerini belirleyerek bu Tüzük’ü ihlal etmesi durumunda, işleyici bu işleme faaliyeti açısından bir kontrolör olarak değerlendirilir.
Madde 29
Kontrolör veya işleyicinin yetkisi kapsamındaki işleme faaliyeti
İşleyici ve kontrolör ya da işleyicinin yetkisi ile hareket eden ve kişisel verilere erişimi bulunan herhangi bir kişi, Birlik ya da üye devlet hukuku çerçevesinde bu yönde hareket etmesinin gerekmemesi durumunda, kontrolörden aldığı talimatlar haricinde bu verileri işleyemez.
Madde 30
İşleme faaliyetlerinin kayıtları
- Her kontrolör ve, uygun olduğu hallerde, kontrolörün temsilcisi kendi sorumluluğu altındaki işleme faaliyetlerine ilişkin bir kayıt tutar. Bu kayıt aşağıdaki bilgilerin tamamını ihtiva eder:
(a) kontrolör ve, uygun olduğu hallerde, ortak kontrolör, kontrolörün temsilcisi ve veri koruma görevlisinin isim ve irtibat bilgileri;
(b) işleme amaçları;
(c) veri sahibi kategorileri ve kişisel veri kategorileriyle ilgili bir açıklama;
(d) üçüncü ülkeler veya uluslararası kuruluşlardaki alıcılar da dahil olmak üzere, kişisel verilerin açıklandığı veya açıklanacağı alıcı kategorileri;
(e) uygun olduğu hallerde, üçüncü bir ülke veya uluslararası bir kuruluşun tanımlanması ve, 49(1) maddesinin ikinci alt paragrafında atıfta bulunulan aktarımlar olması halinde, uygun güvencelere ilişkin belgelendirme de dahil olmak üzere, söz konusu üçüncü ülke veya uluslararası kuruluşa yönelik kişisel veri aktarımları;
(f) mümkün olması halinde, farklı kategorilerdeki verilerin silinmesiyle ilgili öngörülen süre sınırları;
(g) mümkün olması halinde, 32(1) maddesinde atıfta bulunulan teknik ve düzenlemeye ilişkin güvenlik tedbirlerine yönelik genel bir açıklama.
- Her işleyici ve, uygun olduğu hallerde, işleyicinin temsilcisi bir kontrolör adına gerçekleştirilen tüm kategorilerdeki işleme faaliyetlerine ilişkin olarak aşağıdakileri ihtiva eden bir kayıt tutar:
(a) işleyici veya işleyiciler ile işleyicinin adına hareket ettiği her kontrolörün ve, uygun olduğu hallerde, kontrolör ya da işleyicinin temsilcisi ve veri koruma görevlisinin isim ve irtibat bilgileri;
(b) her işleyici adına gerçekleştirilen işleme kategorileri;
(c) uygun olduğu hallerde, üçüncü bir ülke veya uluslararası bir kuruluşun tanımlanması ve, 49(1) maddesinin ikinci alt paragrafında atıfta bulunulan aktarımlar olması halinde, uygun güvencelere ilişkin belgelendirme de dahil olmak üzere, söz konusu üçüncü ülke veya uluslararası kuruluşa yönelik kişisel veri aktarımları;
(d) mümkün olması halinde, 32(1) maddesinde atıfta bulunulan teknik ve düzenlemeye ilişkin güvenlik tedbirlerine yönelik genel bir açıklama.
- 1 ve 2. paragraflarda atıfta bulunulan kayıtlar elektronik format da dahil olmak üzere yazılı olarak tutulur.
- Kontrolör ve işleyici ile, uygun olduğu hallerde, kontrolörün veya işleyicinin temsilcisi, talep üzerine, kayıtları denetim makamına sağlar.
- Gerçekleştirdiği işleme faaliyetinin veri sahiplerinin hakları ve özgürlükleri açısından bir riske sebebiyet vermesinin muhtemel olmaması, işleme faaliyetinin nadiren gerçekleştirilmemesi veya işleme faaliyetinin 9(1) maddesinde atıfta bulunulan özel kategorilerdeki verileri yad a 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verileri kapsamaması durumunda, 1 ve 2. paragraflarda atıfta bulunulan yükümlülükler 250’den az kişi istihdam eden bir işletme veya kuruluşa uygulanmaz.
Madde 31
Denetim makamıyla işbirliği
Kontrolör ve işleyici ile, uygun olduğu hallerde, bunların temsilcileri, talep üzerine, görevlerinin yürütülmesi ile ilgili olarak denetim makamı ile işbirliği yapar.
Kesim 2
Kişisel verilerin güvenliği
Madde 32
İşleme güvenliği
- Kontrolör ve işleyici, son teknoloji, uygulama maliyetleri ve işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hakları ve özgürlükleri açısından çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, risk açısından uygun bir güvenlik seviyesi sağlamak üzere, uygun olduğu hallerde, aşağıdakiler de dahil olmak üzere uygun teknik ve düzenlemeye ilişkin tedbirler uygular:
(a) kişisel verilerde takma ad kullanımı ve şifreleme;
(b) işleme sistemleri ve hizmetlerinin gizliliği, bütünlüğü, elverişliliği ve esnekliğinin sürekli olarak sağlanabilmesi;
(c) fiziksel veya teknik bir olay halinde, kişisel verilerin elverişliliği ve kişisel verilere erişimin vakitlice eski haline getirilebilmesi;
(d) işleme faaliyetinin güvenliliğinin sağlanmasına yönelik olarak teknik ve düzenlemeye ilişkin tedbirlerin etkililiğinin düzenli olarak sınanması, ölçülmesi ve değerlendirilmesine ilişkin süreç.
- Uygun güvenlik seviyesi değerlendirilirken, iletilen, saklanan veya işlenen kişisel verilerin kazara veya yasa dışı olarak imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişim başta olmak üzere özellikle işleme faaliyetinin yol açtığı riskler göz önünde bulundurulur.
- 40. maddede atıfta bulunulan onaylı davranış kuralları veya 42. maddede atıfta bulunulan onaylı belgelendirme mekanizmasına uygun hareket edilmesi bu maddenin 1. paragrafında ortaya konan gerekliliklere uygunluğun gösterilmesine ilişkin bir unsur olarak kullanılabilir.
- Kontrolör ve işleyici kontrolör ya da işleyicinin yetkisi ile hareket eden ve kişisel verilere erişimi bulunan herhangi bir gerçek kişinin, Birlik ya da üye devlet hukuku çerçevesinde bu yönde hareket etmesinin gerekmemesi durumunda, kontrolörden aldığı talimatlar haricinde bu verileri işlememesini sağlamak üzere adımlar atar.
Madde 33
Bir kişisel veri ihlalinin denetim makamına bildirilmesi
- Bir kişisel veri ihlali olması durumunda, kişisel veri ihlalinin gerçek kişilerin hakları ve özgürlükleri açısından bir riske sebebiyet vermesinin muhtemel olmaması haricinde, kontrolör, gereksiz gecikmeye mahal vermeden ve, uygun olması halinde, ihlalden haberdar olduktan itibaren en geç 72 saat içerisinde, kişisel veri ihlalini 55. madde uyarınca yetkin denetim makamına bildirir.
Denetim makamına yönelik bildirimin 72 saat içerisinde yapılmadığı hallerde, bu bildirimle birlikte gecikme sebeplerine de yer verilir.
- İşleyici, bir kişisel veri ihlalinden haberdar olduktan sonra, herhangi bir gecikmeye mahal vermeden, kontrolöre bildirimde bulunur.
- 1. paragrafta atıfta bulunulan bildirimde en azından:
(a) uygun olduğu hallerde, ilgili veri sahibi kategorileri ve yaklaşık sayısı ile ilgili kişisel veri kaydı kategorileri ve yaklaşık sayısı da dahil olmak üzere kişisel veri ihlalinin mahiyeti açıklanır;
(b) veri koruma görevlisi veya daha fazla bilginin elde edilebileceği başka bir temas noktasının isim ve irtibat bilgileri iletilir;
(c) kişisel veri ihlalinin olası sonuçları açıklanır;
(d) uygun olduğu hallerde, kişisel veri ihlalinin olası olumsuz etkilerinin azaltılmasına yönelik tedbirler de dahil olmak üzere kişisel veri ihlalinin ele alınması için kontrolör tarafından alınan veya alınması önerilen tedbirler açıklanır.
- Bilgilerin aynı zamanda sağlanmasının mümkün olmadığı hallerde ve ölçüde, bilgiler gereksiz herhangi bir ek gecikmeye mahal verilmeksizin aşamalı olarak sağlanabilir.
- Kontrolör kişisel veri ihlallerini kişisel veri ihlaline ilişkin bilgiler, etkileri ve gerçekleştirilen düzeltici işlemi de kapsayacak şekilde belgelendirir. Bu belgelendirme denetim makamının bu maddeye uyumluluğu doğrulamasını sağlar.
Madde 34
Bir kişisel veri ihlalinin veri sahibine iletilmesi
- Kişisel veri ihlalinin gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir riske sebebiyet vermesinin muhtemel olduğu hallerde, kontrolör kişisel veri ihlalini gereksiz bir gecikmeye mahal vermeden veri sahibine iletir.
- Bu maddenin 1. paragrafında atıfta bulunulan veri sahibine ilişkin bildirimde kişisel veri ihlalinin mahiyeti açık ve sade bir dille açıklanır ve en azından 33(3) maddesinin (b), (c) ve (d) bentlerinde atıfta bulunulan bilgiler ve tedbirlere yer verilir.
- Aşağıdaki koşulların herhangi birinin yerine getirilmesi durumunda, 1. paragrafta atıfta bulunulan veri sahibine ilişkin bildirim gerekmez:
(a) kontrolörün uygun teknik ve düzenlemeye ilişkin koruma tedbirleri uygulaması ve kişisel verileri bu verilere erişim yetkisi bulunmayan herkese okunamaz hale getiren şifreleme gibi tedbirler başta olmak üzere bu tedbirlerin kişisel veri ihlalinden etkilenen kişisel verilere uygulanmış olması;
(b) kontrolörün 1. paragrafta atıfta bulunulan veri sahiplerinin hakları ve özgürlüklerine ilişkin yüksek riskin ortaya çıkmasının artık mümkün olmamasını sağlayan ek tedbirler alması;
(c) bildirimin ölçüsüz bir çaba gerektirecek olması. Bu durumda, bunun yerine, veri sahiplerinin aynı etkililikle bilgilendirildiği kamuya yönelik bir bildirim veya benzeri bir tedbir uygulanır.
- Kontrolörün halihazırda kişisel veri ihlalini veri sahibine iletmemiş olması durumunda, denetim
makamı, kişisel veri ihlalinin yüksek bir riske sebebiyet verme olasılığını değerlendirdikten sonra, kontrolörün bu bildirimi yapmasını şart koşabilir veya 3. paragrafta atıfta bulunulan koşullardan herhangi birinin yerine getirilmesine karar verebilir.
Kesim 3
Veri koruma etki değerlendirmesi ve ön istişare
Madde 35
Veri koruma etki değerlendirmesi
- Özellikle yeni teknolojiler kullanıldığında ve işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçları dikkate alındığında bir işleme türünün gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir riske sebebiyet vermesinin muhtemel olduğu hallerde, kontrolör, işleme faaliyetinden önce, öngörülen işleme faaliyetlerinin kişisel verilerin korunmasına olan etkisine ilişkin bir değerlendirme yapar. Tek bir değerlendirmede benzeri yüksek riskler taşıyan bir dizi benzer işleme faaliyeti ele alınabilir.
- Kontrolör, bir veri koruma etki değerlendirmesi gerçekleştirirken, belirlenmiş olması halinde, veri koruma görevlisinin tavsiyesine başvurur.
- 1. paragrafta atıfta bulunulan bir veri koruma etki değerlendirmesine aşağıdaki durumlarda özellikle ihtiyaç duyulur:
(a) gerçek kişilerle ilgili kişisel özellikler hususunda profil çıkarma da dahil olmak üzere otomatik işlemeye dayalı olan ve gerçek kişi ile ilgili hukuki sonuçlar doğuran veya gerçek kişiyi kayda değer şekilde etkileyen kararların dayandığı sistematik ve kapsamlı bir değerlendirme;
(b) 9(1) maddesinde atıfta bulunulan özel kategorilerdeki verilerin veya 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesi veya
(c) kamunun erişebileceği bir alanın büyük çaplı olarak sistematik bir şekilde izlenmesi.
- Denetim makamı 1. paragraf uyarınca bir veri koruma etki değerlendirmesi gerekliliğine tabi olan işleme faaliyeti türlerine ilişkin bir liste oluşturur ve bu listeyi kamuya açıklar. Denetim makamı bu listeleri
- maddede atıfta bulunulan Kurula iletir.
- Denetim makamı herhangi bir veri koruma etki değerlendirmesinin gerekli olmadığı işleme faaliyeti türlerine ilişkin bir liste oluşturur ve bu listeyi kamuya açıklar. Denetim makamı bu listeleri Kurula iletir.
- 4 ve 5. paragraflarda atıfta bulunulan listelerin kabulünden önce, söz konusu listelerin veri sahiplerine mallar veya hizmetlerin sağlanması ya da onların çeşitli üye devletlerdeki davranışlarının izlenmesi ile ilgili olan veya kişisel verilerin Birlik içerisinde serbest dolaşımını kayda değer ölçüde etkileyebilecek işleme faaliyetlerine yer verildiği hallerde, yetkin denetim makamı 63. maddede atıfta bulunulan tutarlılık mekanizmasını uygular.
- Değerlendirme en azından şunları içerir:
(a) uygun olduğu hallerde, kontrolör tarafından gözetilen meşru menfaat de dahil olmak üzere öngörülen
işleme faaliyetleri ve işleme amaçlarına ilişkin sistematik bir açıklama;
(b) işleme faaliyetlerinin amaçlarla ilişkili olarak gerekliliği ve orantılılığına yönelik bir değerlendirme;
(c) 1. paragrafta atıfta bulunulduğu üzere veri sahiplerinin hakları ve özgürlüklerine yönelik risklere ilişkin bir değerlendirme ve
(d) veri sahipleri ve ilgili diğer kişilerin hakları ve meşru menfaatleri dikkate alınarak, kişisel verilerin korunmasının sağlanması ve bu Tüzük’e uygun hareket edildiğinin gösterilmesiyle ilgili güvenceler, güvenlik tedbirleri ve mekanizmalar da dahil olmak üzere risklerin ele alınması hususunda öngörülen tedbirler.
- 40. maddede atıfta bulunulan onaylı davranış kurallarına ilgili kontrolörler veya işleyiciler tarafından uyum, söz konusu kontrolörler veya işleyiciler tarafından özellikle bir veri koruma etki değerlendirmesi amaçlarına yönelik olarak gerçekleştirilen işleme faaliyetlerinin etkisinin değerlendirilmesi hususunda dikkate alınır.
- Uygun olduğu hallerde, kontrolör, ticari menfaatler veya kamu menfaatlerinin korunmasına ya da işleme faaliyetlerinin güvenliğine halel gelmeksizin, veri sahipleri veya temsilcilerinin amaçlanan işleme faaliyetine ilişkin görüşlerini alır.
- 6(1) maddesinin (c) veya (e) bendi uyarınca gerçekleştirilen bir işleme faaliyetinin Birlik hukukunda veya kontrolörün tabi olduğu üye devletin kanununda bir yasal dayanağının bulunduğu, söz konusu kanunun spesifik bir işleme faaliyeti veya bir dizi faaliyeti düzenlediği ve bir veri koruma etki değerlendirmesinin söz konusu yasal dayanağın kabulü bağlamında genel bir etki değerlendirmesinin parçası olarak halihazırda gerçekleştirilmiş olduğu hallerde, üye devletlerin işleme faaliyetlerinden önce böylesi bir değerlendirme yapılmasını gerekli görmemesi durumunda, 1 ila 7. paragraflar uygulanmaz.
- Gerekmesi halinde, en azından işleme faaliyetlerinin teşkil ettiği risk açısından bir değişiklik meydana geldiğinde, kontrolör işleme faaliyetinin veri koruma etki değerlendirmesi uyarınca gerçekleştirilip gerçekleştirilmediğini değerlendirmek üzere bir gözden geçirme gerçekleştirir.
Madde 36
Ön istişare
- 35. madde kapsamındaki bir veri koruma etki değerlendirmesi sonucunda kontrolör tarafından riskin azaltılması hususunda alınan tedbirlerin olmaması durumunda işleme faaliyetinin yüksek bir riske sebebiyet vereceğinin görüldüğü hallerde, kontrolör işleme faaliyetinden önce denetim makamına danışır.
- Kontrolörün riski yeterli şekilde tanımlamadığı veya azaltmadığı haller başta olmak üzere denetim makamının 1. paragrafta atıfta bulunulan amaçlanan işleme faaliyetinin bu Tüzük’ü ihlal edeceğini düşündüğü hallerde, denetim makamı, istişare talebinin alınmasından itibaren sekiz haftalık bir süre içerisinde, kontrolöre ve uygun olduğu hallerde işleyiciye, yazılı tavsiyede bulunur ve, 58. maddede atıfta bulunulan yetkilerinden herhangi birini kullanabilir. Bu süre, amaçlanan işleme faaliyetinin karmaşıklığı dikkate alınarak, altı hafta daha uzatılabilir. Denetim makamı, gecikme sebepleri ile birlikte istişare talebinin alınmasından itibaren bir ay içerisinde herhangi bir süre uzatımı ile ilgili olarak kontrolörü ve, uygun olduğu hallerde, işleyiciyi bilgilendirir. Bu süreler, denetim makamı istişare amacıyla talep etmiş olduğu bilgileri elde edene kadar askıya alınabilir.
- 1. paragraf uyarınca denetim makamına danışılırken, kontrolör denetim makamına şunları sağlar:
(a) uygun olduğu hallerde, kontrolör, ortak kontrolörler ve işleme faaliyetine müdahil işleyicilerin özellikle bir teşebbüsler grubu dahilindeki işleme faaliyetine yönelik sorumlulukları;
(b) planlanan işleme amaçları ve yöntemleri;
(c) veri sahiplerinin hakları ve özgürlüklerinin korunması amacı ile bu Tüzük uyarınca sağlanan tedbirler ve güvenceler;
(d) uygun olduğu hallerde, veri koruma görevlisinin irtibat bilgileri;
(e) 35. maddede belirtilen veri koruma etki değerlendirmesi ve
(f) denetim makamının talep ettiği diğer bilgiler.
- Üye devletler bir ulusal parlamento tarafından kabul edilecek bir yasama tedbiri teklifinin veya böylesi bir yasama tedbirine yönelik olarak işleme faaliyetine ilişkin bir düzenleme tedbirinin hazırlanması esnasında denetim makamına danışır.
- 1. paragrafa bakılmaksızın, üye devlet hukuku çerçevesinde sosyal koruma ve halk sağlığına ilişkin bir işleme faaliyeti de dahil olmak üzere kontrolör tarafından kamu yararına gerçekleştirilen bir görevin yürütülmesine yönelik olarak bir kontrol tarafından gerçekleştirilecek işleme faaliyeti ile alakalı olarak kontrolörlerin denetim makamına danışması ve ön onay alması gerekebilir.
Kesim 4
Veri koruma görevlisi
Madde 37
Veri koruma görevlisinin belirlenmesi
- Kontrolör ve işleyici aşağıdaki durumlarda her halükarda bir veri koruma görevlisi belirler:
(a) işleme faaliyetinin kendi yargı yetkisi çerçevesinde hareket eden mahkemeler haricindeki bir kamu kuruluşu veya organı tarafından gerçekleştirilmesi;
(b) kontrolör veya işleyicinin temel faaliyetlerinin yapıları, kapsamları ve/veya amaçları gereği veri sahiplerinin düzenli ve sistematik bir şekilde büyük çaplı olarak izlenmesini gerektiren işleme faaliyetlerinden meydana gelmesi veya
(c) kontrolör veya işleyicinin temel faaliyetlerinin 9 maddesi uyarınca özel kategorilerdeki verilerin ve 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesinden meydana gelmesi.
- Bir veri koruma görevlisine her işletmeden kolay bir şekilde erişilebilmesi koşuluyla, bir teşebbüsler grubu tek bir veri koruma görevlisi belirleyebilir.
- Kontrolör veya işleyicinin bir kamu kuruluşu ya da organı olduğu hallerde, çeşitli kamu kuruluşları veya organların teşkilat yapısı dikkate alınarak, bunlara yönelik olarak tek bir veri koruma görevlisi belirlenebilir.
- 1. paragrafta atıfta bulunulanlar haricindeki durumlarda, kontrolör veya işleyici ya da birlikler ve kontrolör ya da işleyici kategorilerini temsil eden diğer organlar bir veri koruma görevlisi belirleyebilir veya, Birlik veya üye devlet hukuku çerçevesinde gerektiği hallerde, bir veri koruma görevlisi belirler. Veri koruma görevlisi söz konusu birlikler ve kontrolörler ya da işleyicileri temsil eden diğer organlar adına hareket edebilir.
- Veri koruma görevlisi mesleki nitelikler ve, özellikle, veri koruma hukuku ve uygulamalarına ilişkin uzmanlık bilgisi ve 39. maddede atıfta bulunulan görevleri yerine getirme kabiliyetine dayalı olarak belirlenir.
- Veri koruma görevlisi kontrolör veya işleyicinin bir çalışanı olabilir veya görevlerini bir hizmet sözleşmesine dayalı olarak yerine getirebilir.
- Kontrolör veya işleyici veri koruma görevlisinin irtibat bilgilerini yayımlar ve denetim makamına iletir.
Madde 38
Veri koruma görevlisinin konumu
- Kontrolör ve işleyici veri koruma görevlisinin kişisel verilerin korunmasına ilişkin tüm konulara uygun bir şekilde ve zamanında müdahil olmasını sağlar.
- Kontrolör ve işleyici 39. maddede atıfta bulunulan görevlerin gerçekleştirilmesi, kişisel veriler ile işleme faaliyetlerine erişilmesi ve uzmanlık bilgisinin aynı seviyede tutulması için gereken kaynakları sağlayarak bu görevlerin yerine getirilmesi hususunda veri koruma görevlisine destek verir.
- Kontrolör ve işleyici veri koruma görevlisinin bu görevlerin yerine getirilmesi ile ilgili olarak hiçbir talimat almamasını sağlar. Veri koruma görevlisi görevlerinin yerine getirilmesi nedeniyle kontrolör ya da işleyici tarafından işten çıkarılamaz veya cezalandırılamaz. Veri koruma görevlisi doğrudan kontrolör veya işleyicinin en üst yönetimine rapor verir.
- Veri sahipleri kişisel verilerinin işlenmesi ve bu Tüzük kapsamındaki haklarının kullanımı ile ilgili tüm hususlarla alakalı olarak veri koruma görevlisiyle irtibata geçebilir.
- Veri koruma görevlisi, Birlik veya üye devlet hukuku uyarınca, görevlerinin yerine getirilmesi ile ilgili olarak sır saklama veya gizlilik ilkelerine bağlıdır.
- Veri koruma görevlisi başka görevleri ve vazifeleri de yerine getirebilir. Kontrolör veya işleyici söz konusu görev ve vazifelerin bir çıkar çatışmasına neden olmamasını sağlar.
Madde 39
Veri koruma görevlisinin görevleri
- Veri koruma görevlisinin en azından aşağıdaki görevleri bulunur:
(a) kontrolör veya işleyici ile işleme faaliyetleri gerçekleştiren çalışanların bu Tüzük ile Birlik veya üye devletlerin diğer veri koruma hükümleri uyarınca yükümlülükleri hususunda bilgilendirilmesi ve onlara tavsiyede bulunulması;
(b) bu Tüzük’e, Birlik veya üye devletlerin diğer veri koruma hükümlerine uyumluluğu ve sorumlulukların verilmesi, işleme faaliyetlerine müdahil personelin bilinçlendirilmesi ve eğitimi ve ilgili denetimler de dahil olmak üzere kontrolör veya işleyicinin kişisel verilerin korunmasına ilişkin politikalarına uyumluluğun izlenmesi;
(c) talep üzerine veri koruma etki değerlendirmesine ilişkin tavsiyede bulunulması ve 35. madde uyarınca bu değerlendirmenin performansının izlenmesi;
(d) denetim makamıyla işbirliği yapılması;
(e) 36. maddede atıfta bulunulan ön istişare de dahil olmak üzere işleme faaliyetine ilişkin konularda denetim makamına yönelik bir temas noktası olarak hareket edilmesi ve, uygun olduğu hallerde, diğer her türlü konu ile ilgili olarak danışılması.
- Veri koruma görevlisi, görevlerini yerine getirirken, işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarını dikkate alarak, işleme faaliyetleri ile ilişkili riski göz önünde bulundurur.
Kesim 5
Davranış kuralları ve belgelendirme
Madde 40
Davranış kuralları
- Üye devletler, denetim makamları, Kurul ve Komisyon, çeşitli işleme sektörlerinin spesifik özellikleri ve mikro, küçük ve orta büyüklükteki işletmelerin spesifik ihtiyaçlarını dikkate alarak, bu Tüzük’ün düzgün bir şekilde uygulanmasına katkıda bulunması amaçlanan davranış kurallarının hazırlanmasını teşvik eder.
- Birlikler ve kontrolör veya işleyici kategorilerini temsil eden diğer organlar bu Tüzük’ün aşağıdaki hususlarla alakalı olarak uygulanmasını belirlemek amacıyla davranış kuralları hazırlayabilir veya bu kuralları değiştirebilir ya da bunların kapsamını genişletebilir:
(a) adil ve şeffaf veri işleme;
(b) kontrolörler tarafından spesifik bağlamlarda gözetilen meşru menfaatler;
(c) kişisel verilerin toplanması;
(d) kişisel verilerde takma ad kullanımı;
(e) kamuoyuna ve veri sahiplerine sağlanan bilgiler; (f) veri sahiplerinin haklarının kullanımı;
(g) çocuklara sağlanan bilgiler ve çocukların korunması ve çocuklar üzerinde velayet hakkına sahip olanların rızasının alınma şekli;
(h) 24 ve 25. maddelerde atıfta bulunulan tedbirler ve usuller ile 32. maddede atıfta bulunulduğu üzere işleme faaliyetinin güvenliğinin sağlanmasına yönelik tedbirler.
(i) kişisel veri ihlallerinin denetim makamlarına bildirimi ve söz konusu kişisel veri ihlallerinin veri sahiplerine iletilmesi;
(j) üçüncü ülkelere veya uluslararası kuruluşlara kişisel veri aktarılması veya
(k) veri sahiplerinin 77. ve 79. maddeler uyarınca haklarına halel gelmeksizin, kontrolörler ve veri sahipleri arasında ihtilafların çözümüyle ilgili mahkeme dışı işlemler ve diğer ihtilaf çözüm usulleri.
- Bu Tüzük’e tabi kontrolörler veya işleyicilerin uygun hareket etmesine ek olarak, bu maddenin 5. paragrafı uyarınca onaylanan davranış kuralları ve bu maddenin 9. paragrafı uyarınca genel geçerliliğe sahip olunması hususuna 3. madde uyarınca bu Tüzük’e tabi olmayan kontroller veya işleyiciler tarafından da 46(2) maddesinin (e) bendinde atıfta bulunulan koşullar uyarınca üçüncü ülkelere veya uluslararası kuruluşlara kişisel veri aktarımları çerçevesinde uygun güvenceler sağlanması amacı ile uyulabilir. Söz konusu kontrolörler veya işleyiciler, veri sahiplerinin hakları ile ilgili olanlar da dahil olmak üzere uygun güvenceleri uygulamak üzere sözleşmeye bağlı veya diğer bağlayıcı belgeler vasıtasıyla bağlayıcı ve uygulanabilir taahhütlerde bulunur.
- Bu maddenin 2. paragrafında atıfta bulunulan davranış kurallarında 41(1) maddesinde atıfta bulunulan organın, 55 veya 56. madde uyarınca yetkin denetim makamlarının görevleri ve yetkilerine halel gelmeksizin, davranış kurallarını uygulamayı taahhüt eden kontrolörler veya işleyicilerin söz konusu hükümlere uyumluluğunu zorunlu olarak izlemesini sağlayan mekanizmalara yer verilir.
- Bu maddenin 2. paragrafında atıfta bulunulan ve davranış kuralları hazırlamayı veya mevcut kuralları değiştirmeyi veya mevcut kuralların kapsamını genişletmeyi amaçlayan birlikler ve diğer organlar kurallar, değişiklik veya kapsam genişletmeye ilişkin taslağı 55. madde uyarınca yetkin denetim makamına ibraz eder. Denetim makamı kurallar, değişiklik veya kapsam genişletmeye ilişkin taslağın bu Tüzük’le uyumlu olup olmadığı konusunda bir görüş sunar ve, yeteri kadar uygun güvenceleri sağladığını tespit etmesi durumunda, kurallar, değişiklik veya kapsam genişletmeye ilişkin söz konusu taslağı onaylar.
- Kurallar veya değişiklik ya da kapsam genişletmeye ilişkin taslağın 5. paragraf uyarınca onaylandığı hallerde ve ilgili davranış kurallarının çeşitli üye devletlerdeki işleme faaliyetleri ile ilgili olmadığı hallerde, denetim makamı kuralları tescil eder ve yayımlar.
- Davranış kurallarına ilişkin bir taslağın çeşitli üye devletlerdeki işleme faaliyetleri ile ilgili olduğu hallerde, 55. madde uyarınca yetkin olan denetim makamı, kurallar, değişiklik ya da kapsam genişletmeye ilişkin taslağı onaylamadan önce, kurallar, değişiklik veya kapsam genişletmeye ilişkin taslağın bu Tüzük’le uyumlu olup olmadığına veya, bu maddenin 3. paragrafında atıfta bulunulan durumda, uygun güvenceler sağlayıp sağlamadığına ilişkin bir görüş bildirecek söz konusu taslağı Kurul’a 63. maddede atıfta bulunulan usul çerçevesinde ibraz eder.
- 7. paragrafta atıfta bulunulan görüşün değişiklik veya kapsam genişletmeye ilişkin taslağın bu Tüzük’le uyumlu olduğu veya, 3. paragrafta atıfta bulunulan durumda, uygun güvenceler sağladığını teyit ettiği hallerde, Kurul görüşünü Komisyon’a sunar.
- Komisyon, uygulama tasarrufları vasıtasıyla, bu maddenin 8. paragrafı uyarınca kendisine ibraz edilen onaylı davranış kuralları, değişiklik veya kapsam genişletmenin Birlik içerisinde genel geçerliliğe sahip olduğuna karar verebilir. Bu uygulama tasarrufları 93(2) maddesinde belirtilen inceleme usulü uyarınca kabul edilir.
- Komisyon 9. paragraf uyarınca genel geçerliliğe sahip olduğuna karar verilen onaylı kuralların uygun şekilde ilan edilmesini sağlar.
- Kurul onaylı tüm davranış kuralları, değişiklikler ve kapsam genişletmelerini bir sicilde toplar ve uygun yollarla kamuoyuna açıklar.
Madde 41
Onaylı davranış kurallarının izlenmesi
- Yetkin denetim makamının 57 ve 58. maddeler kapsamındaki görevleri ve yetkilerine halel gelmeksizin, 40. madde uyarınca davranış kurallarına uyumluluk kuralların konusu ile ilgili uygun bir uzmanlık seviyesine sahip olan ve bu amaca yönelik olarak yetkin denetim makamı tarafından akredite edilen bir organ tarafından izlenebilir.
- 1. paragrafta atıfta bulunulan bir organ, aşağıdaki özellikleri taşıması halinde, davranış kurallarına uyumluluğun izlenmesi amacı ile akredite edilebilir:
(a) kuralların konusuna ilişkin bağımsızlığı ve uzmanlığını yetkin denetim makamını tatmin edecek şekilde göstermiş olması;
(b) ilgili kontrolörler ve işleyicilerin kuralları uygulamaya, bunların kuralların hükümlerine uyumluluğunu izlemeye ve uygulamasını düzenli olarak gözden geçirmeye uygunluğunu değerlendirmesini sağlayan usuller oluşturmuş olması;
(c) kurallara veya kuralların bir kontrolör ya da işleyici tarafından uygulanmış olma veya uygulanma şekline ilişkin ihlallere yönelik şikayetlerin ele alınması hususunda usuller ve yapıları oluşturmuş olması ve bu usuller ile yapıları veri sahipleri ile kamuoyuna şeffaf hale getirmiş olması ve
(d) görev ve vazifelerinin bir çıkar çatışmasına neden olmadığını yetkin denetim makamını tatmin edecek şekilde göstermiş olması.
- Yetkin denetim makamı bu maddenin 1. paragrafında atıfta bulunulan bir organın akreditasyonuna ilişkin taslak kriterleri 63. maddede atıfta bulunulan tutarlık mekanizması uyarınca Kurul’a ibraz eder.
- Yetkin denetim makamının görevleri ve yetkilerine ve Bölüm VIII’in hükümlerine halel gelmeksizin, bu maddenin 1. paragrafında atıfta bulunulan bir organ, kuralların bir kontrolör veya işleyici tarafından ihlali halinde, uygun güvencelere tabi olarak, ilgili kontrolör veya işleyicinin kurallardan askıya alınması veya çıkarılması da dahil olmak üzere uygun işlemleri gerçekleştirir. Söz konusu organ böylesi işlemler ve bu işlemlerin gerçekleştirilme sebepleri hususunda yetkin denetim makamını bilgilendirir.
- Akreditasyon koşullarının yerine getirilmemesi veya artık yerine getirilmemesi halinde veya organ tarafından gerçekleştirilen eylemlerin bu Tüzük’ü ihlal ettiği hallerde, yetkin denetim makamı 1. paragrafta atıfta bulunulan bir organın akreditasyonunu kaldırır.
- Bu madde kamu kuruluşları ve organları tarafından gerçekleştirilen işleme faaliyetlerine uygulanmaz.
Madde 42
Belgelendirme
- Üye devletler, denetim makamları, Kurul ve Komisyon, kontrolörler ve işleyiciler tarafından gerçekleştirilen işleme faaliyetlerinin bu Tüzük’le uyumluluğunun gösterilmesi amacıyla, özellikle Birlik düzeyinde, veri koruma belgelendirme mekanizmaları ve veri koruma mühürleri ve işaretlerinin oluşturulmasını teşvik eder. Mikro, küçük ve orta ölçekli işletmelerin spesifik ihtiyaçları dikkate alınır.
- Bu Tüzük’e tabi kontrolörler veya işleyicilerin uygun hareket etmesine ek olarak, bu maddenin 5. paragrafı uyarınca onaylanan veri koruma belgelendirme mekanizmaları, mühürler ya da işaretler 46(2)
maddesinin (f) bendinde atıfta bulunulan koşullar uyarınca üçüncü ülkelere veya uluslararası kuruluşlara kişisel veri aktarımları çerçevesinde 3. madde uyarınca bu Tüzük’e tabi olmayan kontroller veya işleyiciler tarafından sağlanan uygun güvencelerin var olduğunun gösterilmesi amacıyla oluşturulabilir. Söz konusu kontrolörler veya işleyiciler, veri sahiplerinin hakları ile ilgili olanlar da dahil olmak üzere uygun güvenceleri uygulamak üzere sözleşmeye bağlı veya diğer bağlayıcı belgeler vasıtasıyla bağlayıcı ve uygulanabilir taahhütlerde bulunur.
- Belgelendirme gönüllülük esasına dayanır ve şeffaf bir süreç vasıtasıyla sağlanır.
- Bu madde uyarınca sağlanan bir belgelendirme kontrolör ya da işleyicinin bu Tüzük’e uyma sorumluluğunu azaltmaz ve bu belgelendirme ile 55 veya 56. madde uyarınca yetkin olan denetim makamlarının görevleri ve yetkilerine halel gelmez.
- Bu madde uyarınca sağlanan bir belgelendirme 43. maddede atıfta bulunulan belgelendirme organları veya yetkin denetim makamı tarafından 58(3) madde uyarınca söz konusu yetkin denetim makamı veya
- madde uyarınca Kurul tarafından onaylanan kriterlere dayalı olarak sağlanır. Kriterlerin Kurul tarafından onaylandığı hallerde, ortak bir belgelendirme olan Avrupa Veri Koruma Mührü verilebilir.
- İşleme faaliyetlerini belgelendirme mekanizmasına sunan kontrolör veya işleyici belgelendirme usulünün gerçekleştirilmesi için gereken tüm bilgiler ve işleme faaliyetlerine erişimi 43. maddede atıfta bulunulan belgelendirme organına veya, uygun olduğu hallerde, yetkin denetim makamına sağlar.
- Belgelendirme bir kontrolör veya işleyiciye azami üç yıllık bir süre için sağlanır ve, ilgili gerekliliklerin yerine getirilmesine devam edilmesi koşuluyla, aynı koşullar altında, yenilenebilir. Belgelendirme gerekliliklerinin yerine getirilmediği veya artık yerine getirilmediği hallerde, belgelendirme, uygun olduğu hallerde, 43. maddede atıfta bulunulan belgelendirme organları veya yetkin denetim makamı tarafından geri çekilebilir.
- Kurul tüm belgelendirme mekanizmaları ve veri koruma mühürleri ile işaretlerini bir sicilde toplar ve uygun yollarla kamuoyuna açıklar.
Madde 43
Belgelendirme organları
- Yetkin denetim makamının 57 ve 58. maddeler kapsamındaki görevleri ve yetkilerine halel gelmeksizin, veri koruma ile ilgili uygun bir uzmanlık seviyesine sahip olan belgelendirme organları, gerekmesi halinde 58(2) maddesinin (h) bendi uyarınca yetkilerinin kullanılmasını sağlamak üzere denetim makamını bilgilendirdikten sonra, belgelendirme sağlar ve belgelendirmeyi yeniler. Üye devletler bu belgelendirme organlarının aşağıdakilerin biri veya her ikisi tarafından akredite edilmesini sağlar:
(a) 55 veya 56. maddeler uyarınca yetkin olan denetim makamı;
(b) EN-ISO/IEC 17065/2012’ye uygun olarak (AT) 765/2008 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü2 uyarınca ve 55 ya da 56. madde uyarınca yetkin olan denetim makamı tarafından belirlenen ek gereklilikler uyarınca tayin edilen ulusal akreditasyon organı.
- 1. paragrafta atıfta bulunulan belgelendirme organları, ancak aşağıdaki özellikleri taşımaları
2 Ürünlerin pazarlanması ile ilgili akreditasyon ve pazar gözetimi gerekliliklerini belirleyen ve (AET) 339/93 sayılı Tüzük’ü yürürlükten kaldıran 9 Temmuz 2008 tarihli ve (AT) 765/2008 sayılı Avrupa Parlamentosu ve Konseyi Tüzüğü (ABRG L 218, 13.8.2008, s. 30).
halinde, bu paragraf uyarınca akredite edilir:
(a) belgelendirme konusuna ilişkin bağımsızlıkları ve uzmanlıklarını yetkin denetim makamını tatmin edecek şekilde göstermiş olmaları;
(b) 42(5) maddesinde atıfta bulunulan ve 55 veya 56. madde uyarınca yetkin olan denetim makamı tarafından veya 63. madde uyarınca Kurul tarafından onaylanan kriterlere riayet etmeyi taahhüt etmiş olmaları;
(c) veri koruma belgelendirmesi, mühürleri ve işaretlerinin verilmesi, düzenli aralıklarla gözden geçirilmesi ve geri çekilmesine ilişkin usuller oluşturmuş olmaları;
(d) belgelendirme veya belgelendirmenin bir kontrolör ya da işleyici tarafından uygulanmış olma veya uygulanma şekline ilişkin ihlallere yönelik şikayetlerin ele alınması hususunda usuller ve yapıları oluşturmuş olmaları ve bu usuller ile yapıları veri sahipleri ile kamuoyuna şeffaf hale getirmiş olmaları ve
(e) görev ve vazifelerinin bir çıkar çatışmasına neden olmadığını yetkin denetim makamını tatmin edecek şekilde göstermiş olmaları.
- Belgelendirme organlarının bu maddenin 1 ve 2. bentlerinde atıfta bulunulan şekilde akreditasyonu 55 veya 56. madde uyarınca yetkin olan denetim makamı tarafından veya 63. madde uyarınca Kurul tarafından onaylanan kriterlere dayalı olarak gerçekleşir. Bu maddenin 1. paragrafının (b) bendi uyarınca akreditasyon yapılması halinde, bu gereklilikler (AT) 765/2008 sayılı Tüzük’te öngörülen gereklilikleri ve belgelendirme organlarının yöntemleri ve usullerinin açıklandığı teknik kuralları tamamlar.
- 1. paragrafta atıfta bulunulan belgelendirme organları, kontrolör veya işleyicinin bu Tüzük’e uyum sorumluluğuna halel gelmeksizin, belgelendirmeyle sonuçlanan uygun bir değerlendirmeden veya söz konusu belgelendirmenin geri çekilmesinden sorumludur. Akreditasyon azami beş yıllık bir süre için verilir ve, belgelendirme organının bu maddede ortaya konan gereklilikleri yerine getirmesi koşuluyla, aynı koşullar altında, yenilenebilir.
- 1. paragrafta atıfta bulunulan belgelendirme organları talep edilen belgelendirmenin verilmesi veya geri çekilmesine ilişkin sebepleri yetkin denetim makamına sağlar.
- Bu maddenin 3. paragrafında atıfta bulunulan gereklilikler ve 42(5) maddesinde atıfta bulunulan kriterler denetim makamı tarafından kolayca erişilebilecek bir formatta kamuya açıklanır. Denetim makamları da bu gereklilikleri ve kriterleri Kurula iletir. Kurul tüm belgelendirme mekanizmaları ve veri koruma mühürlerini bir sicilde toplar ve uygun yollarla kamuoyuna açıklar.
- Bölüm VIII’e halel gelmeksizin, akreditasyon koşullarının yerine getirilmemesi veya artık yerine getirilmemesi halinde veya bir belgelendirme organı tarafından gerçekleştirilen eylemlerin bu Tüzük’ü ihlal ettiği hallerde, yetkin denetim makamı veya ulusal akreditasyon organı bu maddenin 1. paragrafı uyarınca bir belgelendirme organının akreditasyonunu kaldırır.
- Komisyon 42(1) maddesinde atıfta bulunulan veri koruma belgelendirme mekanizmalarına yönelik olarak gerekliliklerin belirtilmesi amacıyla 92. madde uyarınca yetki devrine dayanan tasarrufları kabul etmeye yetkindir.
- Komisyon belgelendirme mekanizmaları ve veri koruma mühürleri ile işaretleri ve belgelendirme mekanizmaları, mühürleri ve işaretlerinin tanıtılması ve tanınmasıyla ilgili mekanizmalara ilişkin teknik standartların belirlendiği uygulama tasarrufları kabul edebilir. Bu uygulama tasarrufları 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca kabul edilir.
BÖLÜM V
Üçüncü ülkeler veya uluslararası kuruluşlara veri aktarımları
Madde 44
Genel aktarım ilkesi
Üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılmasının ardından işlenen veya işlenmesi amaçlanan kişisel verilerin aktarılması, üçüncü ülkeden veya uluslararası bir kuruluştan başka bir üçüncü ülke veya başka bir uluslararası kuruluşa yönelik transit aktarımlar da dahil olmak üzere, ancak, bu Tüzük’ün diğer hükümlerine tabi olarak, bu Bölüm’de belirtilen koşullara kontrolör ve işleyici tarafından uyulması halinde gerçekleşir. Bu Tüzük ile temin edilen gerçek kişilere yönelik koruma düzeyine zarar verilmemesinin sağlanması amacı ile bu bölümdeki tüm hükümler uygulanır.
Madde 45
Bir yeterlilik kararına dayalı olarak yapılan aktarımlar
- Komisyonun bir üçüncü ülke veya söz konusu üçüncü ülke dahilindeki bir bölge veya bir ya da daha fazla sayıda sektörün ya da uluslararası bir kuruluşun yeterli düzeyde bir koruma sağladığına karar verdiği hallerde, bu ülke veya uluslararası kuruluşa yönelik bir kişisel veri aktarımı gerçekleşebilir. Böylesi bir aktarım için spesifik bir onay gerekmez.
- Komisyon, koruma düzeyinin yeterliliğini değerlendirirken, özellikle aşağıdaki hususları dikkate alır:
(a) hukukun üstünlüğü, insan hakları ve temel özgürlüklere saygı, kamu güvenliği, savunma, milli güvenlik ve ceza hukuku ile kamu kuruluşlarının kişisel verilere erişimi de dahil olmak üzere hem genel hem de sektörel mevzuatın yanı sıra söz konusu mevzuatın uygulanması, bir ülke veya uluslararası kuruluşta toplanan kişisel verilerin başka bir üçüncü ülke veya uluslararası kuruluşa transit aktarımına yönelik kurallar da dahil olmak üzere veri koruma kuralları, mesleki kurallar ve güvenlik tedbirleri, içtihadın yanı sıra etkili ve uygulanabilir veri sahibi hakları ile kişisel verileri aktarılmakta olan veri sahiplerine yönelik etkili idari ve adli tazmin;
(b) üçüncü ülkede bulunan veya bir uluslararası kuruluşun tabi olduğu ve yeterli uygulatma yetkileri dahil olmak üzere veri koruma kurallarına uyumluluk sağlanması ve sağlatılması, haklarının kullanımı hususunda veri sahiplerine destek olunması ve tavsiyede bulunulması ve üye devletlerin denetim makamları ile işbirliği yapılmasından sorumlu olan bir veya daha fazla sayıda bağımsız denetim makamının varlığı ve etkili bir şekilde işlev göstermesi ve
(c) ilgili üçüncü ülke veya uluslararası kuruluşun altına girdiği uluslararası taahhütler veya yasal bağlayıcılığı olan sözleşmeler veya belgelerin yanı sıra kişisel verilerin korunması ile ilgili olanlar başta olmak üzere çok taraflı veya bölgesel sistemlere katılımından kaynaklanan diğer yükümlülükler.
- Komisyon, koruma düzeyinin yeterliliğini değerlendirdikten sonra, uygulama tasarrufu vasıtasıyla, bir üçüncü ülke, söz konusu ülke içerisindeki bir bölge veya bir ya da daha fazla sayıda sektörün veya uluslararası bir kuruluşun bu maddenin 2. paragrafı bağlamında yeterli bir koruma düzeyi sağladığına
karar verebilir. Uygulama tasarrufunda en az dört yılda bir gerçekleştirilen ve üçüncü ülke veya uluslararası kuruluştaki ilgili tüm gelişmelerin dikkate alındığı düzenli bir gözden geçirme mekanizması sağlanır. Uygulama tasarrufunda bu mekanizmanın bölgesel ve sektörel uygulaması belirtilir ve, uygun olduğu hallerde, bu maddenin 2. paragrafının (b) bendinde atıfta bulunulan denetim makamı veya makamları tanımlanır. Bu uygulama tasarrufu 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca kabul edilir.
- Komisyon, üçüncü ülkeler ve uluslararası kuruluşlarda meydana gelen ve bu maddenin 3. fıkrası uyarınca kabul edilen kararların ve 95/46/AT sayılı Direktif’in 25(6) maddesine dayalı olarak kabul edilen kararların işleyişini etkileyebilecek olan gelişmeleri sürekli olarak izler.
- Özellikle bu maddenin 3. paragrafında atıfta bulunulan gözden geçirmenin ardından, mevcut bilgilerin üçüncü bir ülke, bu ülke içerisindeki bir bölge veya bir ya da daha fazla sayıda sektörün veya bir uluslararası kuruluşun bu maddenin 2. paragrafı bağlamında artık yeterli bir koruma düzeyi sağlamadığını göstermesi durumunda, Komisyon geriye dönük etkisi olmayan uygulama tasarrufları vasıtasıyla bu maddenin 3. paragrafında atıfta bulunulan kararı gereken ölçüde yürürlükten kaldırır, değiştirir veya askıya alır. Bu uygulama tasarrufları 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca kabul edilir.
Usulüne uygun şekilde gerekçelendirilmiş zorunlu acil nedenlerle, Komisyon 93(3) maddesinde atıfta bulunulan usul uyarınca uygulanabilir uygulama tasarruflarını gecikmeksizin kabul eder.
- Komisyon, 5. paragraf uyarınca verilen karara sebebiyet veren durumun düzeltilmesi amacı ile üçüncü ülke veya uluslararası kuruluşla istişarelere başlar.
- Bu maddenin 5. paragrafı uyarınca verilen bir karar ile üçüncü ülke veya söz konusu üçüncü ülke dahilindeki bir bölge veya bir ya da daha fazla sayıda sektör ya da söz konusu uluslararası kuruluşa ilişkin kişisel verilerin 46 ila 49. maddeler uyarınca aktarılmasına halel gelmez.
- Komisyon yeterli düzeyde bir korumanın sağlandığı veya artık sağlanmadığına karar verdiği üçüncü ülkeler, bir üçüncü ülke içerisindeki bölgeler ve sektörler ile uluslararası kuruluşları Avrupa Birliği Resmi Gazetesi ve web sitesinde yayımlar.
- 95/46/AT sayılı Direktif’in 25(6) maddesine dayalı olarak Komisyon tarafından kabul edilen kararlar, bu maddenin 3 veya 5. paragrafı uyarınca kabul edilen bir Komisyon Kararı ile değiştirilene, yenilenene veya yürürlükten kaldırılana kadar yürürlükte kalır.
Madde 46
Uygun güvencelere tabi olarak yapılan aktarımlar
- 45(3) maddesi uyarınca alınan bir karar olmaması halinde, ancak bir kontrolör veya işleyicinin uygun güvenceler sağlamış olması halinde ve uygulanabilir veri sahibi hakları ve veri sahiplerine yönelik etkili kanun yollarının mevcut olması koşuluyla, söz konusu kontrolör veya işleyici bir üçüncü ülke veya uluslararası bir kuruluşa kişisel veri aktarabilir.
- 1. paragrafta atıfta bulunulan uygun güvenceler, bir denetim makamından spesifik bir onay alınmasına gerek olmaksızın, aşağıdakilerle sağlanabilir:
(a) kamu kuruluşları veya organları arasında yasal bağlayıcılığı bulunan ve uygulanabilir bir belge;
(b) 47. madde uyarınca bağlayıcı kurumsal kurallar;
(c) 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca Komisyon tarafından kabul edilen standart veri koruma şartları;
(d) 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca bir denetim makamı tarafından kabul edilen ve Komisyon tarafından onaylanan standart veri koruma şartları;
(e) 40. madde uyarınca onaylı davranış kuralları ile birlikte üçüncü ülkedeki kontrolör veya işleyicinin veri sahibinin hakları ile ilgili de olmak üzere uygun güvenceler uygulamaya ilişkin bağlayıcı ve uygulanabilir taahhütleri veya
(f) 42. madde uyarınca onaylı bir belgelendirme mekanizması ile birlikte üçüncü ülkedeki kontrolör veya işleyicinin veri sahibinin hakları ile ilgili de olmak üzere uygun güvenceler uygulamaya ilişkin bağlayıcı ve uygulanabilir taahhütleri.
- yetkin denetim makamından alınan yetkiye tabi olarak, 1. paragrafta atıfta bulunulan uygun güvenceler, öncelikle, aşağıdakilerle de sağlanabilir:
(a) kontrolör veya işleyici ile üçüncü ülke ya da uluslararası kuruluştaki kişisel veri kontrolörü, işleyicisi ya da alıcısı arasındaki sözleşme maddeleri veya
(b) kamu kuruluşları ya da organları arasındaki idari düzenlemelere eklenecek olan uygulanabilir ve etkili veri sahibi haklarını kapsayan hükümler.
- Denetim makamı, bu maddenin 3. paragrafında atıfta bulunulan hallerde 63. maddede atıfta bulunulan tutarlılık mekanizmasını uygular.
- 95/46/AT sayılı Direktif’in 26(2) maddesine dayalı olarak bir üye devlet veya denetim makamı tarafından verilen yetkiler, gerektiğinde söz konusu denetim makamı tarafından değiştirilene, yenilenene veya yürürlükten kaldırılana kadar geçerliliğini korur. 95/46/AT sayılı Direktif’in 26(4) maddesine dayalı olarak Komisyon tarafından kabul edilen kararlar, gerektiğinde bu maddenin 2. paragrafı uyarınca kabul edilen bir Komisyon Kararı ile değiştirilene, yenilenene veya yürürlükten kaldırılana kadar yürürlükte kalır.
Madde 47
Bağlayıcı kurumsal kurallar
- yetkin denetim makamı, aşağıdaki koşulları sağlamaları durumunda, bağlayıcı kurumsal kuralları 63. maddede ortaya konan tutarlılık mekanizması uyarınca onaylar:
(a) çalışanları da dahil olmak üzere ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun ilgili her üyesi açısından yasal bağlayıcılığının olması, bu üyelere uygulanması ve bu üyeler tarafından yürütülmesi;
(b) veri sahiplerine kişisel verilerinin işlenmesi ile ilgili olarak uygulanabilir hakları açık bir şekilde vermesi ve
(c) 2. paragrafta belirtilen gereklilikleri yerine getirmesi.
- 1. paragrafta atıfta bulunulan bağlayıcı kurumsal kurallarda en azından aşağıdakiler belirtilir:
(a) ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun ve her
üyesinin yapısı ve irtibat bilgileri;
(b) kişisel veri kategorileri, işleme türü ve amaçları, etkilenen veri sahiplerinin türü ve söz konusu üçüncü ülke veya ülkelere ilişkin açıklama da dahil olmak üzere veri aktarımları veya aktarım dizisi;
(c) bunların hem içsel hem de dışsal olarak hukuki bağlayıcılık yapısı;
(d) amaç sınırlaması, verilerin en alt düzeye indirilmesi, sınırlı saklama süreleri, veri kalitesi, özel ve olağan veri koruması, işleme faaliyetine yönelik yasal dayanak, özel kategorilerdeki kişisel verilerin işlenmesi başta olmak üzere genel veri koruma ilkeleri, veri güvenliğinin sağlanmasına ilişkin tedbirler ve bağlayıcı kurumsal kurallara bağlı bulunmayan organlara transit aktarımlara ilişkin gerekliliklerin uygulanması;
(e) 22. madde uyarınca profil çıkarma da dahil olmak üzere yalnızca otomatik işleme faaliyetine dayalı kararlara tabi olmama hakkı, 79. madde uyarınca üye devletlerin yetkin denetim makamına ve yetkin mahkemelerine şikayette bulunma ve tazminat alma hakkı ve, uygun olduğu hallerde, bağlayıcı kurumsal kurallara ilişkin bir ihlalde dolayı tazminat hakkı da dahil olmak üzere veri sahiplerinin işleme faaliyetine ilişkin hakları ve bu hakları kullanma yöntemleri;
(f) bir üye devletin topraklarında kurulu kontrolör veya işleyicinin Birlik içerisinde kurulu olmayan herhangi bir üye tarafından bağlayıcı kurumsal kuralların ihlal edilmesi hususunda yükümlülüğü üstüne alması; kontrolör veya işleyici, ancak üyenin zarara neden olan olaydan sorumlu
olmadığını kanıtlaması durumunda, bu yükümlülükten tamamen veya kısmen muaf tutulur;
(g) bu paragrafın (d), (e) ve (f) bentlerinde atıfta bulunulan hükümler başta olmak üzere bağlayıcı kurumsal kurallara ilişkin bilgilerin 13 ve 14. maddelere ek olarak veri sahiplerine nasıl sağlandığı;
(h) 37. madde uyarınca belirlenen herhangi bir veri koruma görevlisinin ya da ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubu veya bir işletmeler grubu içerisinde bağlayıcı kurumsal kurallara uyumluluğun izlenmesinin yanı sıra eğitimin izlenmesi ve şikayetlerin ele alınmasından sorumlu olan diğer kişiler veya kuruluşların görevleri;
(i) şikayet usulleri;
(j) ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubu veya bir işletmeler grubu içerisinde bağlayıcı kurumsal kurallara uyumluluğun doğrulanmasının sağlanmasına yönelik mekanizmalar. Söz konusu mekanizmalar veri sahibinin haklarının korunmasına yönelik düzeltici eylemlerin sağlanmasına ilişkin veri koruma denetimleri ve yöntemlerini kapsar. Söz konusu doğrulamanın sonuçları (h) bendinde atıfta bulunulan kişi veya kuruluşa ve ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun ya da bir işletmeler grubunun denetleyici teşebbüsünün yönetim kuruluna iletilir ve talep üzerine yetkin denetim makamına sağlanmalıdır;
(k) kurallara ilişkin değişikliklerin raporlanması ve kaydedilmesi ile bu değişikliklerin denetim makamına raporlanmasına ilişkin mekanizmalar;
(l) özellikle (j) bendinde atıfta bulunulan tedbirlere ilişkin doğrulamaların sonuçlarının denetim makamına sağlanması suretiyle, ortak bir faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun herhangi bir üyesinin uyumluluğunu sağlamak üzere denetim makamı ile kurulan işbirliği mekanizması;
(m) ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun bir üyesinin üçüncü bir ülkede tabi olduğu ve bağlayıcı kurumsal kuralların sağladığı teminatlar açısından kayda değer bir olumsuz etkisinin bulunmasının muhtemel olduğu yasal gerekliliklerin yetkin denetim makamına raporlanmasına ilişkin mekanizmalar ve
(n) kişisel verilere daimi veya geçici olarak erişimi bulunan personele uygun veri koruma eğitimi.
- Komisyon kontrolörler, işleyiciler ve denetim makamları arasında bu madde kapsamındaki bağlayıcı kurumsal kurallara yönelik bilgi alışverişine ilişkin format ve usulleri belirtebilir. Bu uygulama tasarrufları 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca kabul edilir.
Madde 48
Birlik hukuku çerçevesinde yetkilendirilmeyen aktarımlar veya açıklamalar
Bir kontrolör veya işleyicinin kişisel verileri aktarmasının veya açıklamasının istendiği herhangi bir mahkeme veya kurul kararı ve üçüncü bir ülkenin idari bir makamının herhangi bir kararı, bu Bölüm uyarınca diğer aktarım gerekçelerine halel gelmeksizin, ancak talepte bulunan üçüncü ülke ve Birlik ya da bir üye devlet arasında yürürlükte bulunan bir karşılıklı hukuki yardım antlaşması gibi bir uluslararası anlaşmaya dayanması halinde, herhangi bir şekilde tanınabilir veya uygulanabilir.
Madde 49
Spesifik durumlara yönelik derogasyonlar
- 45(3) maddesi uyarınca bir yeterlilik kararı veya bağlayıcı kurumsal kurallar da dahil olmak üzere 46. madde uyarınca uygun güvenceler olmaması durumunda, kişisel verilerin veya bir kişisel veri dizisinin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılması ancak aşağıdaki durumların birinde gerçekleşir:
(a) veri sahibinin, bir yeterlilik kararı ve uygun güvencelerin bulunmaması nedeniyle söz konusu aktarımların kendisine yönelik risklerin haberdar edilmesinin ardından, önerilen aktarıma açık bir şekilde rıza göstermesi;
(b) aktarımın veri sahibi ile kontrolör arasındaki bir sözleşmenin yürütülmesi veya veri sahibinin talebiyle alınan sözleşme öncesi tedbirlerin uygulanması açısından gerekli olması;
(c) aktarımın kontrolör ile başka bir gerçek veya tüzel kişi arasında veri sahibi yararına yapılan bir sözleşmenin imzalanması veya yürütülmesi açısından gerekli olması;
(d) aktarımın kamu yararına ilişkin önemli sebeplerden dolayı gerekli olması;
(e) aktarımın yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması açısından gerekli olması;
(f) veri sahibinin fiziksel veya hukuki olarak rıza veremeyecek durumda olması halinde, aktarımın veri sahibi veya diğer kişilerin hayati menfaatlerinin korunması açısından gerekli olması;
(g) aktarımın Birlik veya üye devlet hukukuna göre kamuoyuna bilgi sağlanmasının amaçlandığı ve genel olarak kamuoyu veya meşru bir menfaati gösterebilen herhangi bir kişi tarafından, ancak Birlik veya
üye devlet hukuku çerçevesinde istişareye yönelik olarak ortaya konan koşullar ilgili durumda yerine getirildiği ölçüde, istişareye açık olan bir sicilden yapılması.
Bir aktarımın bağlayıcı kurumsal kurallara ilişkin hükümler de dahil olmak üzere 45 veya 46. maddedeki bir hükme dayanmadığı ve bu paragrafın ilk alt paragrafında atıfta bulunulan spesifik bir duruma ilişkin derogasyonların herhangi birine uygulanabilir olmadığı hallerde, ancak aktarımın yinelemeli olmaması, yalnızca sınırlı sayıda veri sahibini ilgilendirmesi, kontrolör tarafından gözetilen ve veri sahibinin menfaatleri veya hakları ile özgürlüklerinin ağır basmadığı zorlayıcı meşru menfaatler doğrultusunda gerekli olması ve kontrolörün veri aktarımı ile ilgili tüm durumları değerlendirmiş olması ve bu değerlendirmeye dayalı olarak kişisel verilerin korunması ile ilgili uygun güvenceler sağlamış olması durumunda, üçüncü bir ülke veya uluslararası bir kuruluşa yönelik bir aktarım gerçekleşebilir. Kontrolör denetim makamını aktarım hususunda bilgilendirir. Kontrolör, 13 ve 14. maddelerde atıfta bulunulan bilgilerin sağlanmasına ek olarak, veri sahibini aktarım ve gözetilen zorlayıcı meşru menfaatler hususunda bilgilendirir.
- 1. paragrafın ilk alt paragrafının (g) bendi uyarınca yapılacak bir aktarımda sicilde bulunan tüm kişisel verilere veya tüm kişisel veri kategorilerine yer verilmez. Sicilin meşru bir menfaati bulunan kişilerin istişaresine yönelik hallerde, yalnızca bu kişilerin talebi üzerine veya bu kişilerin alıcı olması halinde, aktarım yapılır.
- 1. paragrafın ilk alt paragrafının (a), (b) ve (c) bentleri ve ikinci alt paragrafı kamu yetkilerinin kullanımı hususunda kamu kuruluşları tarafından gerçekleştirilen faaliyetlere uygulanmaz.
- 1. paragrafın ilk alt paragrafının (d) bendinde atıfta bulunulan kamu yararı Birlik hukukunda veya kontrolörün tabi olduğu üye devlet hukukunda tanınır.
- Bir yeterlilik kararı olmaması durumunda, Birlik veya üye devlet hukukunda, önemli kamu yararı sebeplerinden dolayı, spesifik kategorilerdeki kişisel verilerin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılmasına ilişkin sınırlar açık bir şekilde konabilir. Üye devletler söz konusu hükümleri Komisyon’a bildirir.
- Kontrolör veya işleyici değerlendirmenin yanı sıra bu maddenin 1. paragrafının ikinci alt paragrafında atıfta bulunulan uygun güvenceleri 30. maddede atıfta bulunulan kayıtlarda belgelendirir.
Madde 50
Kişisel verilerin korunmasına yönelik uluslararası işbirliği
Üçüncü ülkeler ve uluslararası kuruluşlar ile ilgili olarak, Komisyon ve denetim makamları şunlara yönelik uygun adımları atar:
(a) kişisel verilerin korunmasına yönelik mevzuatın etkili bir şekilde uygulanmasının kolaylaştırılması için uluslararası işbirliği mekanizmalarının geliştirilmesi;
(b) kişisel veriler ve diğer temel haklar ile özgürlüklerin korunmasına yönelik uygun güvencelere tabi olarak, bildirim, şikayet yönlendirme, soruşturma desteği ve bilgi alışverişi de dahil olmak üzere kişisel verilerin korunmasına yönelik mevzuatın uygulanması hususunda karşılıklı uluslararası yardım sağlanması;
(b) ilgili paydaşların kişisel verilerin korunmasına yönelik mevzuatın uygulanmasına ilişkin uluslararası
işbirliğinin ilerletilmesiyle ilgili görüşmeler ve faaliyetlere dahil edilmesi;
(d) üçüncü ülkelerle yargı yetkisine ilişkin olarak yaşanan anlaşmazlıklar da dahil olmak üzere kişisel veri koruma mevzuatı ve uygulamasının paylaşımı ve belgelendirmesinin teşvik edilmesi.
BÖLÜM VI
Bağımsız denetim makamları
Kesim 1
Bağımsız statü
Madde 51
Denetim makamı
- Her üye devlet, gerçek kişilerin işleme faaliyeti ile ilgili temel hakları ve özgürlüklerini korumak ve Birlik içerisinde kişisel verilerin serbest akışını kolaylaştırmak üzere, bir ya da daha fazla sayıda bağımsız kamu kuruluşunun bu Tüzük’ün uygulamasının izlenmesinden sorumlu olmasını sağlar (’denetim makamı’).
- Her denetim makamı bu Tüzük’ün Birlik içerisinde tutarlı bir şekilde uygulanmasına katkıda bulunur. Bu amaç doğrultusunda, denetim makamları Bölüm VII uyarınca birbirleriyle ve Komisyon ile işbirliği yapar.
- Bir üye devlette birden fazla denetim makamının kurulduğu hallerde, söz konusu üye devlet bu makamları Kurul’da temsil edecek denetim makamını tayin eder ve diğer makamların 63. maddede atıfta bulunulan tutarlılık mekanizmasına ilişkin kurallara uyumluluğunu sağlayacak mekanizmayı ortaya koyar.
- Her üye devlet bu Bölüm uyarınca kabul ettiği kanun hükümlerini 25 Mayıs 2018 tarihine kadar ve bunları etkileyen sonraki değişiklikleri, herhangi bir gecikmeye mahal vermeksizin, Komisyon’a bildirir.
Madde 52
Bağımsızlık
- Her denetim makamı bu Tüzük uyarınca görevlerini yerine getirirken ve yetkilerini kullanırken tamamen bağımsız olarak hareket eder.
- Her denetim makamının üyesi veya üyeleri, bu Tüzük uyarınca görevlerini yerine getirirken ve yetkilerini kullanırken, doğrudan veya dolaylı dış etkilerden bağımsız hareket eder ve hiç kimseden talimat talebinde bulunmaz veya talimat almaz.
- Her denetim makamının üyesi veya üyeleri görevlerine uygun olmayan eylemlerden kaçınır ve, görev
süreleri boyunca, maddi getirisi olsun ya da olmasın, bu göreve uygun olmayan hiçbir işle iştigal etmez.
- Her üye devlet karşılıklı yardım, işbirliği ve Kurul’a katılım bağlamında gerçekleştirilecek olanlar da dahil olmak üzere görevlerini etkili bir şekilde yerine getirebilmeleri ve yetkilerini etkili bir şekilde kullanabilmeleri için gereken insan kaynağı, teknik ve mali kaynaklar, binalar ve altyapının her denetim makamına sağlanmasını temin eder.
- Her üye devlet her denetim makamının üyesi veya üyelerinin münhasır yönlendirmesine tabi olacak personelini ilgili denetim makamının kendi seçmesini ve bu makamın kendi personelinin olmasını sağlar.
- Her üye devlet her denetim makamının bağımsızlığını etkilemeyen bir mali kontrole tabi olmasını ve genel devlet bütçesi veya ulusal bütçenin parçası olabilecek ayrı yıllık kamu bütçelerinin bulunmasını sağlar.
Madde 53
Denetim makamının üyeleriyle ilgili genel koşullar
- Üye devletler denetim makamlarının her üyesinin aşağıdaki taraflarca şeffaf bir usul vasıtasıyla tayin edilmesini sağlar:
— parlamentoları;
— hükümetleri;
— Devlet başkanları veya
— üye devlet hukuku çerçevesinde atama yetkisi verilen bağımsız bir organ.
- Her üye, özellikle kişisel verilerin korunması alanında, görevlerinin yerine getirilmesi ve yetkilerinin kullanılması için gereken nitelikler, deneyim ve becerilere sahiptir.
- Bir üyenin görevleri, ilgili üye devlet hukuku uyarınca görev süresinin sona ermesi, istifa etmesi veya emekli edilmesi halinde sona erer.
- Bir üye ancak ağır suiistimal hallerinde veya görevlerinin yerine getirilmesi için gereken koşulları artık yerine getirmemesi durumunda görevden alınır.
Madde 54
Denetim makamının kurulmasına ilişkin kurallar
- Her üye devlet, aşağıdakilerin tamamını kanunla sağlar:
(a) her denetim makamının kurulması;
(b) her denetim makamının üyesi olarak tayin edilmek için gereken nitelikler ve uygunluk koşulları;
(c) her denetim makamının üyesi veya üyelerinin tayin edilmesine ilişkin kurallar ve usuller;
(c) aşamalı bir atama usulü vasıtasıyla denetim makamının bağımsızlığının korunması için gerekmesi durumunda, 24 Mayıs 2016 tarihinden sonra yapılacak ve bir kısmı daha kısa bir süre boyunca
geçerli olabilecek ilk atama haricinde, her denetim makamının üyesi veya üyeleriyle ilgili olarak en az dört yıl olacak görev süresi;
(e) her denetim makamının üyesi veya üyelerinin yeniden tayin edilip edilemeyeceğı ve, tayin edilmeleri halinde, kaç dönem tayin edilebileceği;
(f) her denetim makamının üyesi veya üyeleri ile personelinin yükümlülükleri, görev süresi esnasında ve sonrasında üyelikle bağdaşmayan eylemler, meslekler ve menfaatlere ilişkin yasakları düzenleyen koşullar ve göreve son verilmesini düzenleyen kurallar.
- Her denetim makamının üyesi veya üyeleri ile personeli, Birlik veya üye devlet hukuku uyarınca, hem görev süreleri esnasında hem de sonrasında, görevlerinin yerine getirilmesi veya yetkilerinin kullanımı esnasında öğrendikleri gizli bilgiler ile ilgili olarak bir mesleki gizlilik yükümlülüğüne tabidir. Görev süreleri boyunca, söz konusu mesleki gizlilik yükümlülüğü özellikle gerçek kişilerin bu Tüzük’e ilişkin ihlaller ile ilgili bildirimlerine uygulanır.
Kesim 2
Yetkinlik, görevler ve yetkiler
Madde 55
Yetkinlik
- Her denetim makamı, bu Tüzük uyarınca kendisine verilen görevlerin yerine getirilmesi ve yetkilerin kullanımı hususunda kendi üye devletinin topraklarında yetkindir.
- İşleme faaliyetinin kamu kuruluşları veya 6(1) maddesinin (c) veya (e) bendine dayalı olarak hareket eden özel organlar tarafından gerçekleştirildiği hallerde, ilgili üye devletin denetim makamı yetkindir. Bu hallerde, 56. madde uygulanmaz.
- Denetim makamları kendi yargı yetkileri çerçevesinde hareket eden mahkemelerin işleme faaliyetlerini denetlemeye yetkin değildir.
Madde 56
Baş denetim makamının yetkinliği
- 55. maddeye halel gelmeksizin, kontrolör veya işleyicinin ana işletmesinin veya tek işletmesinin denetim makamı söz konusu kontrolör veya işleyici tarafından 60. maddede sağlanan usul uyarınca gerçekleştirilen sınır ötesi işleme faaliyetlerine yönelik olarak baş denetim makamı şeklinde hareket etmeye yetkindir.
- 1. paragrafa istisna olarak, her denetim makamı, konunun yalnızca kendi üye devletindeki bir işletmeyle ilgili olması veya yalnızca kendi üye devletindeki veri sahiplerini kayda değer ölçüde etkilemesi halinde, kendisine yapılan bir şikayetin veya bu Tüzük’e ilişkin olası bir ihlalin ele alınması hususunda yetkindir.
- Bu maddenin 2. paragrafında atıfta bulunulan hallerde, denetim makamı baş denetim makamını bu konuyla ilgili olarak herhangi bir gecikmeye mahal vermeksizin bilgilendirir. Baş denetim makamı, bilgilendirildikten itibaren üç haftalık bir süre içerisinde, üye devlette denetim makamının kendisi hakkında bilgilendirdiği bir kontrolör veya işleyici işletmesi bulunup bulunmadığını dikkate alarak, 60. maddede sağlanan usul uyarınca hususu ele alıp almayacağına karar verir.
- Baş denetim makamının hususu ele almaya karar verdiği hallerde, 60. maddede sağlanan usul uygulanır. Baş denetim makamını bilgilendiren denetim makamı bir karar taslağını baş denetim makamına sunabilir. Baş denetim makamı, 60(3) maddesinde atıfta bulunulan karar taslağını hazırlarken, bu taslağı önemle göz önünde bulundur.
- Baş denetim makamının hususu ele almamaya karar verdiği hallerde, baş denetim makamını bilgilendiren denetim makamı bu hususu 61 ve 62. maddelere göre ele alır.
- Baş denetim makamı kontrolör veya işleyici tarafından gerçekleştirilen sınır ötesi işleme faaliyetlerine yönelik olarak söz konusu kontrolör veya işleyicinin tek muhatabıdır.
Madde 57
Görevler
- Bu Tüzük çerçevesinde ortaya konan diğer görevlere halel gelmeksizin, her denetim makamı kendi topraklarında:
(a) bu Tüzük’ün uygulanmasını izler ve yürütür;
(b) halkın işleme faaliyeti ile ilgili riskler, kurallar, güvenceler ve haklara yönelik bilinci ve anlayışını geliştirir.
Özellikle çocuklara yönelik faaliyetlere özel alaka gösterilir;
(c) üye devlet hukuku uyarınca, işleme faaliyeti ile ilgili olarak gerçek kişilerin hakları ve özgürlüklerinin korunmasına ilişkin yasal ve idari tedbirler hususunda ulusal parlamento, hükümet ve diğer kuruluşlar ile organlara tavsiyede bulunur;
(d) bu Tüzük kapsamındaki yükümlülükleri hususunda kontrolörler ve işleyicileri bilinçlendirir;
(e) talep üzerine, herhangi bir veri sahibine bu Tüzük kapsamındaki haklarının kullanımı hususunda bilgi sağlar ve, uygun olduğu hallerde, bu amaçla diğer üye devletlerdeki denetim makamları ile işbirliği yapar.
(f) 80. madde uyarınca bir veri sahibi veya bir organ, kuruluş ya da bir birlik tarafından yapılan şikayetleri ele alır ve şikayetin konusunu, uygun olduğu ölçüde, soruşturur ve özellikle daha ayrıntılı soruşturma ya da başka bir denetim makamı ile koordinasyonun gerekmesi durumunda, şikayet sahibini soruşturmanın ilerlemesi ve sonucu konusunda makul bir süre içerisinde bilgilendirir;
(g) bu Tüzük’ün uygulanması ve yürütülmesine ilişkin tutarlılık sağlanması amacıyla, diğer denetim makamlarıyla bilgi paylaşımı da dahil olmak üzere işbirliği yapar ve diğer denetim makamlarına karşılıklı destek sağlar;
(h) başka bir denetim makamı veya başka bir kamu kuruluşundan alınan bilgilere dayalı da olmak üzere, bu Tüzük’ün uygulanmasına ilişkin soruşturmalar yürütür;
(i) kişisel verilerin korunmasına bir etkileri bulunduğu sürece, bilgi ve iletişim teknolojileri ve ticari uygulamaların gelişimi başta olmak üzere ilgili gelişmeleri izler;
(j) 28(8) maddesinde ve 46(2) maddesinin (d) bendinde atıfta bulunulan standart sözleşmeye bağlı maddeleri kabul eder;
(k) 35(4) maddesi uyarınca veri koruma etki değerlendirmesi gerekliliği ile ilgili olarak bir liste oluşturur ve bu listeyi devam ettirir;
(l) 36(2) maddesinde atıfta bulunulan işleme faaliyetlerine ilişkin tavsiyede bulunur;
(m) 40(1) maddesi uyarınca davranış kurallarının hazırlanmasını teşvik eder ve 40(5) maddesi uyarınca bir görüş sağlar ve yeterli güvencelerin sağlandığı davranış kurallarını onaylar;
(n) 42(1) maddesi uyarınca veri koruma belgelendirme mekanizmalarının ve veri koruma mühürleri ile işaretlerinin oluşturulmasını teşvik eder ve 42(5) maddesi uyarınca belgelendirme kriterlerini onaylar;
(o) uygun olan hallerde, 42(7) maddesi uyarınca sağlanan belgelendirmeleri düzenli aralıklarla gözden geçirir;
(p) 41. madde uyarınca davranış kurallarının izlenmesine yönelik bir organın ve 43. madde uyarınca bir belgelendirme organının akreditasyonuna yönelik kriterleri taslak olarak hazırlar ve yayımlar;
(q) 41. madde uyarınca davranış kurallarının izlenmesine yönelik bir organın ve 43. madde uyarınca bir belgelendirme organının akreditasyonunu gerçekleştirir;
(r) 46(3) maddesinde atıfta bulunulan sözleşmeye bağlı maddeler ve hükümleri onaylar;
(s) 47. madde uyarınca bağlayıcı kurumsal kuralları onaylar;
(t) Kurul’un faaliyetlerine katkıda bulunur;
(u) bu Tüzük’e ilişkin ihlallerin ve 58(2) maddesi uyarınca alınan tedbirlerin iç kayıtlarını tutar; ve
(v) Kişisel verilerin korunmasıyla ilgili diğer görevleri yerine getirir.
- Her denetim makamı, diğer iletişim araçları hariç tutulmaksızın elektronik olarak da doldurulabilecek bir şikayet sunum formu gibi tedbirlerle 1. paragrafın (f) bendinde atıfta bulunulan şikayetlerin sunulmasını kolaylaştırır.
- Her denetim makamının görevlerinin yerine getirilmesi veri sahibi ve, uygun olan hallerde , veri koruma görevlisi için ücretsizdir.
- Taleplerin özellikle tekrar eden niteliği nedeniyle asılsız veya ölçüsüz olduğunun açıkça görüldüğü hallerde, denetim makamı idari masraflara dayalı olarak makul bir ücret talep edebilir veya taleple ilgili işlem yapmayı reddedebilir. Denetim makamı talebin açık bir şekilde asılsız veya ölçüsüz olduğunu gösterme yükümlülüğünü taşır.
Madde 58
Yetkiler
- Her denetim makamı aşağıdaki tüm soruşturma yetkilerine sahiptir:
(a) görevlerinin yerine getirilmesi için ihtiyaç duyduğu bilgilerin sağlanması hususunda kontrolör ve işleyici ve, uygun olduğu hallerde, kontrolörün veya işleyicinin temsilcisine talimat verilmesi;
(b) veri koruma denetimleri biçiminde soruşturmalar yürütülmesi;
(c) 42(7) maddesi uyarınca sağlanan belgelendirmelere ilişkin bir gözden geçirme yapılması;
(d) bu Tüzük’le ilgili bir ihlal iddiasının kontrolör veya işleyiciye bildirilmesi;
(e) görevlerinin yerine getirilmesi için gereken tüm kişisel veriler ve tüm bilgilere erişimin kontrolörden ve işleyiciden sağlanması;
(f) Birlik veya üye devlet usul hukuku uyarınca her türlü veri işleme ekipmanı ve aracı da dahil olmak üzere kontrolör ve işleyicinin her türlü tesisine erişim sağlanması.
- Her denetim makamı aşağıdaki tüm düzeltme yetkilerine sahiptir:
(a) bir kontrolör veya işleyiciye amaçlanan işleme faaliyetlerinin bu Tüzük’ün hükümlerini ihlal etmesinin muhtemel olduğu hususunda ihtarlarda bulunulması;
(b) işleme faaliyetlerinin bu Tüzük’ün hükümlerini ihlal etmiş olduğu hallerde, bir kontrolör veya işleyiciye kınama cezaları verilmesi;
(c) veri sahibinin bu Tüzük uyarınca sahip olduğu haklarının kullanımına ilişkin taleplerine uyulması hususunda kontrolör veya işleyiciye talimat verilmesi;
(d) işleme faaliyetlerinin, uygun olduğu hallerde, belirtilen bir şekilde ve belirtilen bir süre içerisinde bu Tüzük’ün hükümlerine uyumlu hale getirilmesi hususunda kontrolör veya işleyiciye talimat verilmesi;
(e) bir kişisel veri ihlalinin veri sahibine iletilmesi hususunda kontrolöre talimat verilmesi; (f) bir işleme yasağı da dahil olmak üzere geçici veya kati bir sınırlama getirilmesi;
(g) 16, 17 ve 18. maddeler uyarınca kişisel verilerin düzeltilmesi ya da silinmesi veya işleme faaliyetinin kısıtlanması ve 17(2) maddesi ile 19. madde uyarınca söz konusu işlemlerin kişisel verilerin açıklandığı alıcılara bildirilmesi yönünde talimat verilmesi;
(h) 42 ve 43. maddeler uyarınca sağlanan bir belgelendirmenin geri çekilmesi veya belgelendirme organına söz konusu belgelendirmenin geri çekilmesi yönünde talimat verilmesi, veya belgelendirme gerekliliklerinin yerine getirilmediği veya artık yerine getirilmediği hallerde, belgelendirme organına belgelendirme sağlamaması yönünde talimat verilmesi;
(i) her münferit durumun koşullarına dayalı olarak, bu paragrafta atıfta bulunulan tedbirlere ek olarak veya bu tedbirler yerine 83. madde uyarınca bir idari para cezası kesilmesi;
(j) üçüncü bir ülkedeki bir alıcıya veya uluslararası bir kuruluşa yönelik veri akışlarının askıya alınması yönünde talimat verilmesi.
- Her denetim makamı aşağıdaki tüm yetkilendirme ve danışma yetkilerine sahiptir:
(a) 36. maddede atıfta bulunulan ön istişare usulü uyarınca kontrolöre tavsiyede bulunulması;
(b) kendi inisiyatifiyle veya talep üzerine, ulusal parlamento, üye devlet hükümeti veya, üye devlet hukuku uyarınca, diğer kuruluşlar ve organların yanı sıra kamuoyuna kişisel verilerin korunmasıyla ilgili herhangi bir konuda görüş bildirilmesi;
(c) üye devlet hukukunun bir ön onay gerektirmesi halinde, 36(5) maddesinde atıfta bulunulan işleme faaliyetinin onaylanması; (d) 40(5) maddesi uyarınca davranış kuralları taslağına ilişkin bir görüş bildirilmesi ve taslağın onaylanması;
(e) 43. madde uyarınca belgelendirme organlarının akredite edilmesi;
(f) 42(5) maddesi uyarınca belgelendirme sağlanması ve belgelendirme kriterlerinin onaylanması;
(g) 28(8) maddesinde ve 46(2) maddesinin (d) bendinde atıfta bulunulan standart veri koruma şartlarının kabul edilmesi; (h) 46(3) maddesinin (a) bendinde atıfta bulunulan sözleşmeye bağlı maddelerin onaylanması;
(i) 46(3) maddesinin (b) bendinde atıfta bulunulan idari düzenlemelerin onaylanması;
(j) 47. madde uyarınca bağlayıcı kurumsal kuralların onaylanması.
- Bu madde uyarınca denetim makamına verilen yetkilerin kullanımı etkili kanun yolu ve yargı süreci de dahil olmak üzere Bildirge uyarınca Birlik ve üye devlet hukukunda ortaya konan uygun güvencelere tabidir.
- Her üye devlet, denetim makamının bu Tüzük’e ilişkin ihlalleri adli makamların dikkatine sunmasını ve, uygun olduğu hallerde, bu Tüzük’ün hükümlerinin uygulanması için yasal muameleler başlatmasını veya bu muamelelere başka bir şekilde müdahil olmasını kanunla sağlar.
- Her üye devlet, denetim makamının 1, 2 ve 3. paragraflarda atıfta bulunulanlara ek yetkilere sahip olmasını kanunla sağlayabilir. Bu yetkilerin kullanımı Bölüm VII’nin etkili şekilde uygulanmasına zarar vermez.
Madde 59
Faaliyet raporları
Her denetim makamı faaliyetleriyle ilgili olarak 58(2) maddesi uyarınca bildirilen ihlal türleri ve alınan tedbir türlerine yönelik bir listeye yer verilebilecek bir yıllık rapor hazırlar. Bu raporlar ulusal parlamentoya, hükümete ve üye devlet hukuku çerçevesinde belirlenen diğer kuruluşlara iletilir. Raporlar kamuoyuna, Komisyon’a ve Kurul’a sağlanır.
BÖLÜM VII
İşbirliği ve tutarlılık
Kesim 1
İşbirliği
Madde 60
Baş denetim makamı ve diğer ilgili denetim makamları arasında işbirliği
- Baş denetim makamı uzlaşıya varmak adına bu madde uyarınca diğer ilgili denetim makamları ile işbirliği yapar. Baş denetim makamı ve ilgili denetim makamları ilgili tüm bilgileri birbirleriyle paylaşır.
- Baş denetim makamı, özellikle soruşturmaların yürütülmesi açısından veya başka bir üye devlette kurulu bulunan bir kontrolör veya işleyiciye ilişkin bir tedbirin uygulanmasının izlenmesi açısından ilgili diğer denetim makamlarının 61. madde uyarınca karşılıklı yardım sağlamasını herhangi bir zamanda talep edebilir ve 62. madde uyarınca ortak çalışmalar gerçekleştirebilir.
- Baş denetim makamı konuyla ilgili bilgileri herhangi bir gecikmeye mahal vermeksizin diğer ilgili denetim makamlarına iletir. Baş denetim makamı bir taslak kararı herhangi bir gecikmeye mahal vermeksizin diğer ilgili denetim makamlarının görüşüne sunar ve onların görüşlerini dikkate alır.
- İlgili denetim makamlarından herhangi birinin bu maddenin 3. paragrafı uyarınca danışıldıktan sonra dört haftalık bir süre içerisinde taslak karara yönelik yerinde ve gerekçeli bir itirazda bulunduğu hallerde, baş denetim makamı, yerinde ve gerekçeli itiraza uygun hareket etmemesi veya itirazın yerinde veya gerekçeli olmadığını düşünmesi durumunda, konuyu 63. maddede atıfta bulunulan tutarlılık mekanizmasına tabi tutar.
- Baş denetim makamının yapılan yerinde ve gerekçeli itiraza uygun hareket etmeyi amaçladığı hallerde, baş denetim makamı revize edilmiş bir taslak kararı diğer ilgili denetim makamlarının görüşüne sunar. Revize edilmiş bu taslak karar iki haftalık bir süre içerisinde 4. paragrafta atıfta bulunulan usule tabi olur.
- Diğer ilgili denetim makamlarının hiçbirinin baş denetim makamı tarafından sunulan taslak kararın 4 ve 5. paragraflarda atıfta bulunulan süre içerisinde itiraz etmediği hallerde, baş denetim makamı ve ilgili denetim makamlarının bu taslak karar ile ilgili mutabakata vardığı değerlendirilir ve bu makamlar söz konusu karara riayet eder.
- Baş denetim makamı kararı kabul eder ve, uygun olduğu hallerde, kontrolörün veya işleyicinin ana işletmesine veya tek işletmesine bildirir ve diğer ilgili denetim makamları ve Kurul’u ilgili olgular ile gerekçelere yönelik bir özet de dahil olmak üzere söz konusu karar konusunda bilgilendirir. Bir şikayetin yapıldığı denetim makamı şikayet sahibini karardan haberdar eder.
- 7. paragraftan istisna edilerek, bir şikayetin geri çevrildiği veya reddedildiği hallerde, şikayetin yapıldığı denetim makamı kararı kabul edip şikayet sahibine bildirir ve kontrolörü karar konusunda bilgilendirir.
- Baş denetim makamı ve diğer ilgili denetim makamlarının bir şikayetin belirli kısımlarını kısmen geri çevirme veya reddetme ve söz konusu şikayetin diğer kısımları ile ilgili işlem yapma konusunda mutabık kaldığı hallerde, konunun bu bölümlerinin her birine yönelik ayrı bir karar kabul edilir. Baş denetim makamı kontrolör ile ilgili eylemlere yönelik kısma ilişkin kararı kabul eder, kontrolör veya işleyicinin üye devletinin topraklarındaki ana işletmesi veya tek işletmesine bildirir ve şikayet sahibini bu karardan haberdar ederken, şikayet sahibinin denetim makamı bu şikayetin geri çevrilmesi veya reddedilmesine ilişkin kısma yönelik kararı kabul eder ve kararı söz konusu şikayet sahibine bildirir ve kontrolör veya işleyiciyi bu karardan haberdar eder.
- Kontrolör veya işleyici, 7 ve 9. paragraflar uyarınca baş denetim makamının kararı hususunda bildirim yapılmasının ardından, Birlik içerisindeki tüm işletmeleri bağlamındaki işleme faaliyetleri ile ilgili olarak karara uyumluluk sağlanması için gereken tedbirleri alır. Kontrolör veya işleyici karara uyumluluk sağlanması amacıyla alınan tedbirleri, diğer ilgili denetim makamlarını bilgilendirecek baş denetim makamına bildirir.
- İstisnai durumlarda ilgili bir denetim makamının veri sahiplerinin menfaatlerinin korunması amacı ile acil bir şekilde harekete geçilmesi yönünde bir ihtiyacın bulunduğunu düşünmeye sevk edecek sebeplerinin bulunduğu hallerde, 66. maddede atıfta bulunulan aciliyet usulü uygulanır.
- Baş denetim makamı ve diğer ilgili denetim makamları bu madde kapsamında gereken bilgileri standart bir format kullanarak elektronik yollarla birbirlerine sağlar.
Madde 61
Karşılıklı yardım
- Denetim makamları bu Tüzük’ün tutarlı bir şekilde yürütülmesi ve uygulanması amacıyla birbirlerine ilgili bilgileri ve karşılıklı desteği sağlar ve birbirleriyle etkili işbirliğine yönelik tedbirleri uygulamaya koyar. Karşılıklı yardım, özellikle, ön onaylar ve istişarelerin, denetimlerin ve soruşturmaların yürütülmesine ilişkin talepler gibi bilgi talepleri ve denetim tedbirlerini kapsar.
- Her denetim makamı başka bir denetim makamının talebine herhangi bir gecikmeye mahal verilmeksizin ve talebi aldıktan sonra en geç bir ay içerisinde yanıt verilmesi için gereken tüm uygun tedbirleri alır. Böylesi tedbirler arasında, özellikle, bir soruşturmanın yürütülmesi ile ilgili bilgilerin iletilmesi bulunabilir.
- Yardım taleplerinde talebin amacı ve sebepleri de dahil olmak üzere gerekli tüm bilgilere yer verilir. Paylaşılan bilgiler yalnızca talep edilen amaç doğrultusunda kullanılır.
- Talebin iletildiği denetim makamı, aşağıdaki haller dışında, talebi yerine getirmeyi reddedemez:
(a) talebin konusu açısından veya uygulamasının talep edildiği tedbirler açısından yetkin olmaması veya
(b) talebe uygun hareket etmenin bu Tüzük’ü veya talebi alan denetim makamının tabi olduğu Birlik ya da üye devlet hukukunu ihlal edecek olması.
- Talebin iletildiği denetim makamı talepte bulunan denetim makamını talebe yanıt verilmesi amacı ile alınan tedbirlerin sonuçları veya, uygun olduğu hallerde, seyri konusunda bilgilendirir. Talebin iletildiği denetim makamı, 4. paragraf uyarınca bir talebi yerine getirmeyi reddetmesine ilişkin sebepleri sağlar.
- Talebin iletildiği denetim makamları, kural olarak, diğer denetim makamları tarafından talep edilen bilgileri standart bir format kullanarak elektronik yollarla sağlar.
- Talebin iletildiği denetim makamları bir karşılıklı yardım talebi uyarınca kendileri tarafından gerçekleştirilen herhangi bir işleme yönelik olarak hiçbir ücret talep edemez. Denetim makamları, istisnai durumlarda karşılıklı yardım sağlanmasından kaynaklanan spesifik harcamalar ile ilgili olarak birbirlerinin tazmin edilmesine ilişkin kurallar üzerinde mutabakata varabilir.
- Bir denetim makamının bu maddenin 5. paragrafında atıfta bulunulan bilgileri başka bir denetim makamının talebini aldıktan itibaren bir ay içerisinde sağlamadığı hallerde, talepte bulunan denetim makamı 55(1) maddesi uyarınca üye devletinin topraklarında geçici bir tedbir kabul edebilir. Bu durumda, 66(1) maddesi kapsamındaki acil bir şekilde harekete geçme ihtiyacının yerine getirildiği varsayılır ve 66(2) maddesi uyarınca Kurul’dan acil bir bağlayıcı kararın çıkarılması gerekir.
- Komisyon, 6. paragrafta atıfta bulunulan standart format başta olmak üzere, bu maddede atıfta bulunulan karşılıklı yardıma ilişkin format ile usulleri ve denetim makamları arasında ve denetim makamları ile Kurul arasında elektronik yollarla bilgi alışverişine ilişkin düzenlemeleri, uygulama tasarrufları vasıtasıyla, belirtebilir. Bu uygulama tasarrufları 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca kabul edilir.
Madde 62
Denetim makamlarının ortak işlemleri
- Denetim makamları, uygun olduğu hallerde, ortak soruşturmalar ve ortak yaptırım tedbirleri de dahil olmak üzere diğer üye devletlerin denetim makamlarının üyeleri veya personelinin müdahil olduğu ortak çalışmalar gerçekleştirir.
- Kontrolör veya işleyicinin çeşitli üye devletlerde işletmelerinin bulunduğu veya birden fazla üye devlette önemli sayıda veri sahibinin işleme faaliyetlerinden kayda değer ölçüde etkilenmesinin muhtemel olduğu hallerde, her üye devletin bir denetim makamının ortak çalışmalara katılma hakkı bulunur. 56(1) veya (4) maddesi uyarınca yetkin olan denetim makamı her üye devletin denetim makamını ortak çalışmalara katılmaya davet eder ve bir denetim makamının katılma talebini herhangi bir gecikmeye mahal vermeksizin yanıtlar.
- Bir denetim makamı, üye devlet hukuku ve destekleyen denetim makamının onayı uyarınca, soruşturma yetkileri de dahil olmak üzere yetkileri, destekleyen denetim makamının ortak çalışmalara müdahil üyeleri ya da personeline devredebilir veya ev sahibi denetim makamının hukuku olanak tanıdığı ölçüde, destekleyen denetim makamının üyeleri veya personelinin soruşturma yetkilerini destekleyen denetim makamının üye devletinin hukuku uyarınca kullanmasına izin verebilir. Söz konusu soruşturma yetkileri yalnızca ev sahibi denetim makamının üyeleri veya personelinin kılavuzluğu altında ve bu üyeler veya personelin huzurunda kullanılabilir. Destekleyen denetim makamının üyeleri ya da personeli ev sahibi denetim makamının üye devletinin hukukuna tabidir.
- 1. paragraf uyarınca destekleyen bir denetim makamının personelinin başka bir üye devlette faaliyet gösterdiği hallerde, ev sahibi denetim makamının üye devleti, söz konusu personelin faaliyet gösterdiği üye devletin hukuku uyarınca mali sorumluluk da dahil olmak üzere onların eylemlerine ve faaliyetleri esnasında sebep olduklara her türlü zarara ilişkin sorumluluğu üstlenir.
- Topraklarında zarara sebep olunan üye devlet söz konusu zararı kendi personelinin sebep olduğu zarar açısından geçerli koşullar altında telafi eder. Personeli başka bir üye devletin topraklarındaki herhangi bir kişiye zarar veren destekleyen denetim makamının üye devleti söz konusu personel adına ilgili kişilere yaptığı ödemeler ile ilgili olarak diğer üye devleti eksiksiz olarak tazmin eder.
- Haklarının üçüncü taraflarla karşılıklı olarak kullanımına halel gelmeksizin ve 5. paragraf haricinde, her üye devlet, 1. paragrafta sağlanan durumda, 4. paragrafta atıfta bulunulan zararla ilgili olarak başka bir üye devletten tazminat talep etmekten kaçınır.
- Bir ortak çalışmanın amaçlandığı ve bir denetim makamının bu maddenin 2. paragrafının ikinci cümlesinde ortaya konan yükümlülüğü bir ay içerisinde yerine getirmediği hallerde, diğer denetim makamları 55. madde uyarınca üye devletinin topraklarında geçici bir tedbir kabul edebilir. Bu durumda, 66(1) maddesi kapsamındaki acil bir şekilde harekete geçme ihtiyacının yerine getirildiği varsayılır ve 66(2) maddesi uyarınca Kurul’dan bir görüş alınması veya acil bir bağlayıcı karar çıkarılması gerekir.
Kesim 2
Tutarlılık
Madde 63
Tutarlılık mekanizması
Bu Tüzük’ün Birlik içerisinde tutarlı bir şekilde uygulanmasına katkıda bulunulması amacıyla, denetim makamları, bu kesimde belirtilen tutarlılık mekanizması vasıtasıyla, birbirleriyle ve, uygun olduğu hallerde, Komisyon ile işbirliği yapar.
Madde 64
Kurulun görüşü
- Kurul, yetkin bir denetim makamının aşağıdaki tedbirlerden herhangi birini kabul etmeyi amaçlaması halinde, bir görüş bildirir. Bu amaçla, yetkin denetim makamı, karar taslağı şu özellikleri taşıdığında, taslak kararı Kurul’a iletir:
(a) karar ile 35(4) maddesi uyarınca bir veri koruma etki değerlendirmesi gerekliliğine tabi işleme faaliyetlerine ilişkin bir listenin kabul edilmesi amaçlandığında;
(b) 40(7) maddesi uyarınca bir davranış kuralları önerisi veya bir davranış kuralları değişikliği veya kapsam genişletme taslağının bu Tüzük’le uyumlu olup olmadığının ilişkin bir husus ile alakalı olması;
(c) karar ile 41(3) maddesi uyarınca bir organın veya 43(3) maddesi uyarınca bir belgelendirme organının akreditasyonuna yönelik kriterlerin onaylanmasının amaçlanması;
(d) karar ile 46(2) maddesinin (d) bendinde ve 28(8) maddesinde atıfta bulunulan standart veri koruma şartlarının belirlenmesinin amaçlanması; (e) karar ile 46(3) maddesinin (a) bendinde atıfta bulunulan sözleşmeye bağlı şartların onaylanmasının amaçlanması veya
(f) karar ile 47. madde kapsamındaki bağlayıcı kurumsal kuralların onaylanmasının amaçlanması.
- Özellikle yetkin bir denetim makamının 61. madde uyarınca karşılıklı yardım yükümlülüklerine veya
- madde uyarınca ortak çalışmalara ilişkin yükümlülüklerine uymadığı hallerde, herhangi bir denetim makamı, Kurul Başkanı veya Komisyon genel uygulamaya ilişkin herhangi bir hususun veya birden fazla üye devlette etkilere neden olan herhangi bir hususun bir görüş alınması amacı ile Kurul tarafından incelenmesini talep edebilir.
- 1 ve 2. paragraflarda atıfta bulunulan hallerde, Kurul, aynı husus ile ilgili halihazırda bir görüş bildirmemiş olması koşuluyla, kendisine sunulan hususla ilgili bir görüş bildirir. Bu görüş Kurul üyelerinin salt çoğunluğuyla sekiz hafta içerisinde kabul edilir. Bu süre, konunun karmaşıklığı dikkate alınarak, altı hafta daha uzatılabilir. 1. paragrafta atıfta bulunulan ve 5. paragraf uyarınca Kurul üyelerine dağıtılan taslak karar ile ilgili olarak, Başkan tarafından belirtilen makul bir süre içerisinde itiraz etmeyen bir üyenin taslak karara mutabık kaldığı değerlendirilir.
- Denetim makamları ve Komisyon, durumuna göre, olgulara ilişkin bir özet, taslak karar, söz konusu tedbirin alınmasını gerekli kılan gerekçeler ve diğer ilgili denetim makamlarının görüşleri de dahil olmak üzere ilgili bilgileri gereksiz bir gecikmeye mahal vermeksizin, standart bir format kullanarak ve elektronik yollarla Kurul’a iletir.
- Kurul Başkanı aşağıdaki tarafları, gereksiz bir gecikmeye mahal vermeksizin, elektronik yollarla aşağıdaki hususlarda bilgilendirir:
(a) Kurul üyeleri ve Komisyon’u kendisine iletilen ilgili bilgiler hususunda standart bir format kullanarak
bilgilendirir. Kurul sekretaryası, gerekmesi halinde, ilgili bilgilerin tercümelerini sağlar ve
(b) durumuna göre, 1 ve 2. paragraflarda atıfta bulunulan denetim makamı ve Komisyon’u görüş hususunda bilgilendirir ve görüşü kamuya açıklar.
- Yetkin denetim makamı, 1. paragrafta atıfta bulunulan taslak kararını 3. paragrafta atıfta bulunulan süre içerisinde kabul eder.
- 1. paragrafta atıfta bulunulan denetim makamı Kurul’un görüşünü göz önünde bulundurur ve karar taslağını aynı şekilde tutacağını veya değiştireceğini ve, varsa, değiştirilmiş taslak kararını, görüşün alınmasından itibaren iki hafta içerisinde, standart bir format kullanarak ve elektronik yollarla Kurul Başkanı’na iletir.
- İlgili denetim makamının yerinde gerekçeler sağlamak suretiyle Kurul’un görüşüne tam olarak veya kısmen uygun hareket etmeye niyeti olmadığını bu maddenin 7. paragrafında atıfta bulunulan süre içerisinde Kurul Başkanı’na bildirmediği hallerde, 65(1) maddesi uygulanır.
Madde 65
İhtilafların Kurul tarafından çözülmesi
- Bu Tüzük’ün münferit durumlarda doğru ve tutarlı bir şekilde uygulanmasının sağlanması amacıyla, Kurul aşağıdaki hallerde bağlayıcı bir karar alır:
(a) 60(4) maddesinde atıfta bulunulan bir durumda, ilgili bir denetim makamının baş makamın bir taslak kararına yerinde ve gerekçeli bir itirazda bulunduğu veya baş makamın böylesi bir itirazı yerinde veya gerekçeli görmeyerek reddettiği hallerde. Bağlayıcı karar, yerinde ve gerekçeli bir itiraza konu olan tüm hususlar ile özellikle bu Tüzük’e ilişkin bir ihlal olup olmadığıyla ilgilidir;
(b) ilgili denetim makamlarından hangisinin ana işletme açısından yetkin olduğuna ilişkin çelişkili görüşler bulunduğu hallerde;
(c) yetkin bir denetim makamının 64(1) maddesinde atıfta bulunulan durumlarda Kurul’un görüşünü talep etmediği veya 64. madde çerçevesinde sunulan Kurul görüşüne uygun hareket etmediği hallerde. Bu durumda, ilgili herhangi bir denetim makamı veya Komisyon bu hususu Kurul’a iletebilir.
- 1. paragrafta atıfta bulunulan karar konunun sevkinden itibaren bir ay içerisinde Kurul üyelerinin üçte iki çoğunluğu ile alınır. Bu süre, konunun karmaşıklığı dikkate alınarak, bir ay daha uzatılabilir. 1. paragrafta atıfta bulunulan karar gerekçeli olur ve baş denetim makamı ilgili tüm denetim makamlarına iletilir ve onlar açısından bağlayıcıdır.
- Kurul’un 2. paragrafta atıfta bulunulan süreler içerisinde bir karar alamadığı hallerde, Kurul 2. paragrafta atıfta bulunulan ikinci ayın dolmasının ardından iki hafta içerisinde kararını Kurul üyelerinin salt çoğunluğu ile alır. Kurul üyelerinin oylarının eşit olması halinde, karar Kurul Başkanının oyu ile alınır.
- İlgili denetim makamları, 2 ve 3. paragraflarda atıfta bulunulan süreler esnasında, 1. paragraf kapsamında Kurul’a sunulan konu ile ilgili bir karar alamaz.
- Kurul Başkanı, 1. paragrafta atıfta bulunulan kararı gereksiz bir gecikmeye mahal vermeksizin ilgili denetim makamlarına bildirir. Başkan karar hususunda Komisyon’u da bilgilendirir. Denetim makamının
- paragrafta atıfta bulunulan nihai kararı bildirmesinin ardından, karar gecikmeye mahal verilmeksizin Kurul’un web sitesinde yayımlanır.
- Baş denetim makamı veya, duruma göre, şikayetin yapıldığı denetim makamı, gereksiz bir gecikmeye mahal vermeksizin ve en geç Kurul’un kararını bildirmesinden sonra bir ay içerisinde, bu maddenin 1. paragrafında atıfta bulunulan karara dayalı olarak nihai kararını verir. Baş denetim makamı veya, duruma göre, şikayetin yapıldığı denetim makamı, nihai kararının sırasıyla kontrolör veya işleyiciye ve veri sahibine bildirildiği tarih hususunda Kurul’u bilgilendirir. İlgili denetim makamlarının nihai kararı 60(7), (8) ve (9) maddelerinin koşulları çerçevesinde alınır. Nihai karar ile bu maddenin 1. paragrafında atıfta bulunulan karar kastedilir ve bu kararda söz konusu paragrafta atıfta bulunulan kararın bu maddenin 5. paragrafı uyarınca Kurul’un web sitesinde yayımlanacağı belirtilir. Bu maddenin 1. paragrafında atıfta bulunulan karar nihai karara eklenir.
Madde 66
Aciliyet usulü
- İstisnai durumlarda, ilgili bir denetim makamının veri sahiplerinin hakları ve özgürlüklerinin korunmasına yönelik olarak acil bir şekilde harekete geçilmesine ihtiyaç olduğunu değerlendirdiği hallerde, söz konusu denetim makamı, 63, 64 ve 65. maddelerde atıfta bulunulan tutarlılık mekanizmasından veya 60. maddede atıfta bulunulan usulden istisnaya gidilerek, kendi topraklarında üç ayı geçemeyecek belirli bir geçerlilik süresi boyunca hukuki sonuçlar doğurması amaçlanan geçici tedbirleri ivedilikle alabilir. Denetim makamı, bu tedbirleri ve tedbirlerin alınma sebeplerini, herhangi bir gecikmeye mahal vermeksizin diğer ilgili denetim makamlarına, Kurul’a ve Komisyon’a iletir.
- Bir denetim makamının 1. paragraf uyarınca bir tedbir aldığı ve nihai tedbirlerin ivedilikle alınmasının gerektiğini değerlendirdiği hallerde, söz konusu denetim makamı, acil bir görüş veya acil bir bağlayıcı kararın talep edilmesine ilişkin sebepleri sunarak, Kurul’dan söz konusu görüşü veya kararı talep edebilir.
- Yetkin bir denetim makamının veri sahiplerinin hak ve özgürlüklerinin korunmasına yönelik acil bir şekilde harekete geçilmesinin gerektiği bir durumda uygun bir tedbir almadığı hallerde, herhangi bir denetim makamı, acil harekete geçme ihtiyacı da dahil olmak üzere, duruma göre, acil bir görüş veya acil bir bağlayıcı kararın talep edilmesine ilişkin sebepleri sunarak, söz konusu görüşü veya kararı Kurul’dan talep edebilir.
- 64(3) ve 65(2) maddesinden istisna edilerek, bu maddenin 2 ve 3. paragraflarında atıfta bulunulan acil bir görüş veya acil bir bağlayıcı karar Kurul üyelerinin salt çoğunluğuyla iki hafta içerisinde alınır.
Madde 67
Bilgi alışverişi
Komisyon, 64. maddede atıfta bulunulan standart format başta olmak üzere, denetim makamları arasında ve denetim makamları ile Kurul arasında elektronik yollarla bilgi alışverişine ilişkin
düzenlemeleri belirtmek üzere genel kapsamlı uygulama tasarrufları kabul edebilir.
Bu uygulama tasarrufları 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca kabul edilir.
Kesim 3
Avrupa veri koruma kurulu
Madde 68
Avrupa Veri Koruma Kurulu
- Avrupa Veri Koruma Kurulu (’Kurul’) bu Tüzük’le bir Birlik organı olarak kurulur ve tüzel kişiliğe sahiptir.
- Kurul, Başkanı tarafından temsil edilir.
- Kurul her üye devletin bir denetim makamı başkanı ile Avrupa Veri Koruma Denetmeni veya bunların ilgili temsilcilerinden meydana gelir.
- Bir üye devlette birden fazla denetim makamının bu Tüzük uyarınca hükümlerin uygulanmasının izlenmesinden sorumlu olduğu hallerde, söz konusu üye devletin hukuku uyarınca bir ortak temsilci tayin edilir.
- Komisyonun Kurul’un faaliyetleri ve toplantılarına oy hakkı olmaksızın katılma hakkı bulunur. Komisyon bir temsilci tayin eder. Kurul Başkanı Kurul’un faaliyetlerini Komisyon’a iletir.
- 65. maddede atıfta bulunulan hallerde, Avrupa Veri Koruma Denetmeni’nin yalnızca Birlik kurumları, organları, ofisleri ve ajanslarına uygulanan ilkeler ve kurallar ile ilgili olan ve esasen bu Tüzük’ün ilkeleri ve kurallarına tekabül eden kararlarda oy hakkı bulunur.
Madde 69
Bağımsızlık
- Kurul, 70. ve 71. maddeler uyarınca görevlerini yerine getirirken veya yetkilerini kullanırken bağımsız bir şekilde hareket eder.
- Komisyon tarafından yapılan ve 70(1) maddesinin (b) bendinde ve 70(2) maddesinde atıfta bulunulan taleplere halel gelmeksizin, Kurul, görevlerini yerine getirirken veya yetkilerini kullanırken, hiç kimseden talimat talebinde bulunmaz ve talimat almaz.
Madde 70
Kurul’un görevleri
- Kurul bu Tüzük’ün tutarlı bir şekilde uygulanmasını sağlar. Bu amaçla, Kurul, kendi inisiyatifiyle veya, yerinde olduğu hallerde, Komisyon’un talebi üzerine, özellikle:
(a) ulusal denetim makamlarının görevlerine halel gelmeksizin, 64 ve 65. maddelerde öngörülen hallerde bu Tüzük’ün doğru bir şekilde uygulanmasını izler ve sağlar;
(b) bu Tüzük’te değişiklik yapılmasına ilişkin herhangi bir öneri de dahil olmak üzere Birlik içerisinde kişisel verilerin korunmasıyla ilgili her türlü hususta Komisyona tavsiyede bulunur;
(c) kontrolörler, işleyiciler ve denetim makamları arasında bağlayıcı kurumsal kurallara yönelik bilgi alışverişine ilişkin format ve usuller hususunda Komisyon’a tavsiyede bulunur;
(d) kişisel verilerin linkleri, nüshaları veya kopyalarının 17(2) maddesinde atıfta bulunulan halka açık iletişim hizmetlerinden silinmesiyle ilgili usullere yönelik kılavuzlar, tavsiyeler ve en iyi uygulamaları yayınlar;
(e) kendi inisiyatifiyle veya üyelerinden birinin talebi üzerine ya da Komisyonun talebi üzerine, bu Tüzük’ün uygulanmasına ilişkin her türlü konuyu inceler ve bu Tüzük’ün tutarlı bir şekilde uygulanmasını teşvik etmek üzere kılavuzlar, tavsiyeler ve en iyi uygulamaları yayınlar;
(f) 22(2) madde uyarınca profil çıkarmaya dayalı kararlara yönelik kriterler ve koşulların daha ayrıntılı olarak belirtilmesi için bu paragrafın (e) bendi uyarınca kılavuzlar, tavsiyeler ve en iyi uygulamaları yayınlar;
(g) kişisel veri ihlallerinin tespit edilmesi ve 33(1) ve (2) maddelerinde atıfta bulunulan gereksiz gecikmenin belirlenmesine yönelik olarak ve bir kontrolör ve bir işleyicinin kişisel veri ihlali hususunda bildirimde bulunmasının gerekli olduğu özel durumlar açısından, bu paragrafın (e) bendi uyarınca kılavuzlar, tavsiyeler ve en iyi uygulamaları yayınlar;
(h) bir kişisel veri ihlalinin 34(1) maddesinde atıfta bulunulan gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir risk teşkil etmesinin muhtemel olduğu haller ile ilgili olarak, bu paragrafın (e) bendi uyarınca kılavuzlar, tavsiyeler ve en iyi uygulamaları yayınlar;
(i) kontrolörler tarafından uyulan bağlayıcı kurumsal kurallar ve işleyiciler tarafından uyulan bağlayıcı kurumsal kurallara ve 47. maddede atıfta bulunulan ilgili veri sahiplerinin kişisel verilerinin korunmasının sağlanmasına ilişkin ek gerekliliklere dayalı olarak gerçekleştirilen kişisel veri aktarımlarına yönelik kriterler ve gereksinimlerin daha ayrıntılı olarak belirtilmesi amacıyla, bu paragrafın (e) bendi uyarınca kılavuzlar, tavsiyeler ve en iyi uygulamaları yayınlar;
(j) 49(1) maddesine dayalı olarak gerçekleştirilen kişisel veri aktarımlarına yönelik kriterler ve gerekliliklerin daha ayrıntılı olarak belirtilmesi amacıyla, bu paragrafın (e) bendi uyarınca kılavuzlar, tavsiyeler ve en iyi uygulamaları yayınlar;
(k) 58(1), (2) ve (3) maddelerinde atıfta bulunulan tedbirlerin uygulanması ve 83. madde uyarınca idari para cezalarının belirlenmesi ile ilgili olarak denetim makamlarına yönelik kılavuzlar hazırlar;
(l) (e) ve (f) bentlerinde atıfta bulunulan kılavuzlar, tavsiyeler ve en iyi uygulamaların pratikte uygulanmasını gözden geçirir;
(m) 54(2) madde uyarınca bu Tüzük’e ilişkin ihlallerin gerçek kişiler tarafından bildirilmesine yönelik ortak usullerin oluşturulması hususunda, bu paragrafın (e) bendi uyarınca kılavuzlar, tavsiyeler ve en iyi uygulamaları yayınlar;
(n) 40 ve 42. maddeler uyarınca davranış kurallarının hazırlanmasını ve veri koruma belgelendirme mekanizmaları ve veri koruma mühürleri ile işaretlerinin oluşturulmasını teşvik eder;
(o) 43. madde uyarınca belgelendirme organlarının akreditasyonunu ve düzenli aralıklarla gözden geçirilmesini gerçekleştirir ve 43(6) maddesi uyarınca akredite organların ve 42(7) maddesi uyarınca üçüncü ülkelerde kurulu bulunan akredite kontrolörler veya işleyicilerin halka açık bir sicilini tutar;
(p) 42. madde kapsamında belgelendirme organlarının akreditasyonuna yönelik olarak 43(3) maddesinde atıfta bulunulan gereklilikleri belirtir.
(q) 43(8) maddesinde atıfta bulunulan belgelendirme gerekliliklerine ilişkin bir görüşü Komisyon’a sağlar;
(r) 12(7) maddesinde atıfta bulunulan simgelere ilişkin bir görüşü Komisyon’a sağlar;
(s) bir üçüncü ülke, söz konusu üçüncü ülke içerisindeki bir bölge ya da belirtilen bir veya daha fazla sayıda sektörün veya uluslararası bir kuruluşun artık yeterli bir koruma düzeyi sağlayıp sağlamadığına ilişkin değerlendirme de dahil olmak üzere bir üçüncü ülke veya uluslararası kuruluştaki koruma düzeyinin yeterliliğinin değerlendirilmesine ilişkin bir görüşü Komisyon’a sağlar. Bu amaçla, Komisyon üçüncü ülkenin hükümeti ile yapılan yazışmalar da dahil olmak üzere söz konusu üçüncü ülke, bölge veya sektör ya da uluslararası kuruluşla ilgili gerekli tüm belgeleri Kurul’a sağlar.
(t) denetim makamlarının 64(1) maddesinde atıfta bulunulan tutarlılık mekanizması uyarınca 64(2) maddesi uyarınca sunulan konulara ilişkin olarak çıkardığı taslak kararlara ilişkin görüşler bildirir ve
- maddede atıfta bulunulan haller de dahil olmak üzere 65. madde uyarınca bağlayıcı kararlar alır;
(u) denetim makamları arasında işbirliğini ve etkili iki taraflı ve çok taraflı bilgi ve en iyi uygulamaların paylaşımını teşvik eder;
(v) denetim makamları arasında ve, uygun olduğu hallerde, üçüncü ülkelerin denetim makamları veya uluslararası kuruluşlarla birlikte ortak eğitim programlarını teşvik eder ve personel değişimlerini kolaylaştırır;
(w) dünyadaki veri koruma denetim makamlarıyla veri koruma mevzuatı ve uygulamalarına ilişkin bilgi ve belge paylaşımını teşvik eder.
(x) 40(9) maddesi uyarınca Birlik düzeyinde hazırlanan davranış kurallarına ilişkin görüşler bildirir ve
(y) tutarlılık mekanizmasında ele alınan konular ile ilgili olarak denetim makamları ve mahkemeler tarafından alınan kararlara ilişkin halkın erişebileceği bir elektronik sicil tutar.
- Komisyon’un Kurul’dan tavsiye talebinde bulunduğu hallerde, Komisyon konunun aciliyetini dikkate alarak bir süre sınırı belirtebilir.
- Kurul görüşlerini, kılavuzlarını, tavsiyelerini ve en iyi uygulamalarını Komisyon’a ve 93. maddede atıfta bulunulan komiteye iletir ve bunları kamuoyuna açıklar.
- Kurul, uygun olduğu hallerde, ilgili taraflara danışır ve onlara makul bir süre içerisinde görüşlerini bildirme olanağı tanır. Kurul, 76. maddeye halel gelmeksizin, istişare usulünün sonuçlarını kamuoyuna açıklar.
Madde 71
Raporlar
- Kurul Birlik içerisinde ve, yerinde olduğu hallerde, üçüncü ülkelerde ve uluslararası kuruluşlarda işleme faaliyetine ilişkin olarak gerçek kişilerin korunması ile ilgili bir yıllık rapor hazırlar. Rapor kamuoyuna açıklanır ve Avrupa Parlamentosu’na, Konsey’e ve Komisyon’a iletilir.
- Yıllık raporda 70(1) maddesinin (l) bendinde atıfta bulunulan kılavuzlar, tavsiyeler ve en iyi uygulamaların ve 65. maddede atıfta bulunulan bağlayıcı kararların pratikte uygulamasına ilişkin bir gözden geçirmeye yer verilir.
Madde 72
Usul
- Bu Tüzük’te aksi belirtilmedikçe, Kurul kararlarını üyelerinin salt çoğunluğu ile alır.
- Kurul kendi usul kurallarını üyelerinin üçte iki çoğunluğuyla kabul eder ve kendi işlemsel düzenlemelerini yapar.
Madde 73
Başkan
- Kurul kendi üyeleri arasından bir başkan ve iki başkan yardımcısını salt çoğunluk ile seçer.
- Başkan ve başkan yardımcılarının görev süresi beş yıldır ve bir kez yenilenebilir.
Madde 74
Başkanın görevleri
- Başkanın aşağıdaki görevleri bulunur:
(a) Kurul’un toplantılarının düzenlenmesi ve toplantı gündeminin hazırlanması;
(b) Kurul tarafından 65. madde uyarınca alınan kararların baş denetim makamına ve ilgili denetim makamlarına bildirilmesi;
(c) 63. maddede atıfta bulunulan tutarlılık mekanizması başta olmak üzere Kurul’un görevlerinin zamanında yerine getirilmesinin sağlanması.
- Kurul, Başkan ile başkan yardımcıları arasındaki görev dağılımını usul kurallarında ortaya koyar.
Madde 75
Sekretarya
- Kurul’un Avrupa Veri Koruma Denetmeni tarafından sağlanan bir sekretaryası bulunur.
- Sekretarya görevlerini tamamen Kurul Başkanı’nın talimatları üzerine gerçekleştirir.
- Avrupa Veri Koruma Denetmeni’nin bu Tüzük’le Kurul’a verilen görevlerin yerine getirilmesine müdahil olan personeli, Avrupa Veri Koruma Denetmeni’ne verilen görevlerin yerine getirilmesine müdahil olan personelden ayrı raporlama hatlarına tabidir.
- Uygun olduğu hallerde, Kurul ve Avrupa Veri Koruma Denetmeni bu maddenin uygulanması ve aralarındaki işbirliği koşullarının belirlenmesine yönelik olarak hazırlanan ve Avrupa Veri Koruma Denetmeni’nin bu Tüzük’le Kurul’a verilen görevlerinin yerine getirilmesine müdahil olan personeline uygulanan bir Mutabakat Zaptı hazırlar ve yayımlar.
- Sekretarya, Kurul’a analitik, idari ve lojistik destek sağlar.
- Sekretarya özellikle aşağıdaki hususlardan sorumludur. (a)Kurul’un günlük çalışmaları;
(b) Kurul’un üyeleri, Başkanı ve Komisyon arasındaki iletişim;
(c) diğer kuruluşlar ve kamuoyu ile iletişim;
(d) iç ve dış iletişim için elektronik yöntemlerin kullanımı;
(e) ilgili bilgilerin çevirisi;
(f) Kurul’un toplantılarının hazırlanması ve takip edilmesi;
(g) denetim makamları arasındaki ihtilafların çözümüne ilişkin görüşler ve kararların ve Kurul tarafından kabul edilen diğer metinlerin hazırlanması, taslak haline getirilmesi ve yayımlanması.
Madde 76
Gizlilik
- Usul kurallarında belirtildiği üzere, Kurul’un gerekli gördüğü hallerde, Kurul görüşmeleri gizlidir.
- Kurul üyelerine, üçüncü kişilerin uzmanlarına ve temsilcilerine sunulan belgelere erişim (AT) 1049/2001 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü ile düzenlenir3.
BÖLÜM VIII
Çözüm yolları, sorumluluk ve yaptırımlar
Madde 77
Bir denetim makamına şikayette bulunma hakkı
3 Halkın Avrupa Parlamentosu, Konsey ve Komisyon belgelerine erişimi hakkında 30 Mayıs 2001 tarihli ve (AT) 1049/2001 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü (ATRG L 145, 31.5.2001, s. 43).
- Her veri sahibi, kendisi ile alakalı kişisel verilerin işlenmesinin bu Tüzük’ü ihlal ettiğini değerlendirmesi durumunda, başka bir idari veya adli çözüm yoluna halel gelmeksizin, mutat meskeninin, iş yerinin veya iddia edilen ihlalin olduğu yerdeki üye devletteki başta olmak üzere bir denetim makamına şikayette bulunma hakkına sahiptir.
- Şikayetin yapıldığı denetim makamı 78. madde uyarınca bir adli çözüm yolu olanağı da dahil olmak üzere şikayetin seyri ve sonucu ile ilgili olarak şikayet sahibini bilgilendirir.
Madde 78
Bir denetim makamına karşı etkili bir kanun yoluna başvurma hakkı
- Başka bir idari veya adli olmayan çözüm yoluna halel gelmeksizin, her gerçek veya tüzel kişinin bir denetim makamının kendileriyle ilgili yasal bağlayıcılığı olan bir kararına karşı etkili bir kanun yoluna başvurma hakkı vardır.
- 55 ve 56. maddeler uyarınca yetkin olan denetim makamının üç ay içerisinde bir şikayeti ele almadığı veya 77. madde uyarınca yapılan şikayetin seyri veya sonucu hakkında veri sahibini bilgilendirmediği hallerde, her veri sahibinin, başka bir idari veya adli olmayan çözüm yoluna halel gelmeksizin, etkili bir kanun yoluna başvurma hakkı bulunur.
- Bir denetim makamına karşı açılacak davalar denetim makamının kurulu bulunduğu üye devlet mahkemelerinde açılır.
- Kurul’un tutarlılık mekanizmasındaki bir görüşü veya kararından sonra bir denetim makamının bir kararına karşı davaların açıldığı hallerde, denetim makamı söz konusu görüş veya kararı mahkemeye sevk eder.
Madde 79
Bir kontrolör veya işleyiciye karşı etkili bir kanun yoluna başvurma hakkı
- Kişisel verilerinin bu Tüzük’e aykırı bir şekilde işlenmesi sonucu bu Tüzük kapsamındaki haklarının ihlal edildiğini değerlendirdiği hallerde, 77. madde uyarınca bir denetim makamına şikayette bulunma hakkı da dahil olmak üzere mevcut idari veya adli olmayan çözüm yollarına halel gelmeksizin, her veri sahibi etkili bir kanun yoluna başvurma hakkına sahiptir.
- Bir kontrolör veya bir işleyiciye karşı açılacak davalar kontrolör veya işleyicinin bir işletmesinin bulunduğu üye devletin mahkemelerinde açılır. Alternatif olarak, kontrolörün veya işleyicinin bir üye devletin kamu yetkilerinin kullanımı ile ilgili olarak hareket eden bir kamu kuruluşu olması haricinde,
böylesi davalar veri sahibinin mutat meskeninin bulunduğu üye devletin mahkemelerinde açılabilir.
Madde 80
Veri sahibinin temsili
- Veri sahibinin bir üye devlet hukuku uyarınca düzgün şekilde kurulmuş bulunan, kamu yararına yasal hedefleri bulunan ve veri sahiplerinin kişisel verilerinin korunmasına ilişkin hakları ve özgürlüklerinin korunması alanında aktif olan kar amacı gütmeyen bir organ, kuruluş veya birliğe şikayeti kendi adına yapma, 77, 78 ve 79. maddelerde atıfta bulunulan hakları kendi adına kullanma ve, üye devlet hukukunda sağlanması koşuluyla, 82. maddede atıfta bulunulan tazminat alma hakkını kullanma yetkisi verme hakkı bulunur.
- Üye devletler bu maddenin 1. paragrafında atıfta bulunulan herhangi bir organ, kuruluş veya birliğin, bir veri sahibinin verdiği yetkiden bağımsız olarak, söz konusu üye devlette, 77. madde uyarınca yetkin olan denetim makamına şikayette bulunma ve, bir veri sahibinin bu Tüzük kapsamındaki haklarının işleme faaliyeti sonucu ihlal edilmiş olduğunu değerlendirmesi halinde, 78 ve 79. maddelerde atıfta bulunulan hakları kullanma hakkının bulunmasını sağlayabilir.
Madde 81
Davanın ertelenmesi
- Bir üye devletin yetkin mahkemelerinden birinin aynı kontrolör veya işleyici tarafından gerçekleştirilen bir işleme faaliyeti ile ilgili olarak aynı konu hakkında başka bir üye devletteki bir mahkemede devam eden bir davanın bulunduğu yönünde bilgisinin olduğu hallerde, söz konusu yetkin mahkeme böylesi bir davanın varlığını teyit etmek üzere diğer üye devletteki mahkemeyle irtibat kurar.
- Aynı kontrolör veya işleyicinin bir işleme faaliyeti ile ilgili olarak aynı konu hakkındaki bir davanın başka bir üye devletteki bir mahkemede devam ettiği hallerde, davayı ilk ele alan mahkeme haricindeki yetkin bir mahkeme davasını erteleyebilir.
- Bu davanın ilk derece mahkemesinde devam ettiği hallerde, davayı ilk ele alan mahkemenin söz konusu davalara ilişkin yargı yetkisinin bulunması ve hukukunun davaların birleştirilmesine olanak tanıması halinde, davayı ilk ele alan mahkeme haricindeki herhangi bir mahkeme, taraflardan birinin başvurusu üzerine, yetkisizlik kararı verebilir.
Madde 82
Tazminat hakkı ve sorumluluk
- Bu Tüzük’e ilişkin bir ihlal sonucu maddi veya manevi zarar gören herhangi bir kişi, yaşanan zarara ilişkin olarak kontrolör veya işleyiciden tazminat alma hakkına sahiptir.
- İşleme faaliyetine müdahil herhangi bir kontrolör bu Tüzük’ü ihlal eden işleme faaliyetinin sebep olduğu zarardan sorumludur. Bir işleyici, ancak bu Tüzük’ün özellikle işleyicilere yönelik yükümlülüklerine uyum göstermediği veya kontrolörün hukuka uygun talimatları dışında veya bu talimatlara aykırı hareket ettiği hallerde, işleme faaliyetinin sebep olduğu zarardan sorumludur.
- Zarara sebep olan olaydan hiçbir şekilde sorumlu olmadığını kanıtlaması halinde, bir kontrolör veya işleyici bu sorumluluktan muaftır.
- Birden fazla kontrolör veya işleyicinin ya da hem bir kontrol hem de bir işleyicinin aynı işleme faaliyetinde bulunduğu ve, 2 ve 3. paragraflar çerçevesinde, işleme faaliyetinin sebep olduğu herhangi bir zarardan sorumlu olduğu hallerde, veri sahibinin etkili bir şekilde tazminin sağlanması amacıyla, her kontrolör veya işleyici tüm zarardan sorumlu tutulur.
- Bir kontrolör veya işleyicinin, 4. paragraf uyarınca, yaşanan zararı eksiksiz bir şekilde tazmin ettiği hallerde, söz konusu kontrolör veya işleyicinin aynı işleme faaliyetine müdahil diğer kontrolörler veya işleyicilerden zarardan sorumlu oldukları kısma tekabül eden tazminat kısmını, 2. paragrafta ortaya konan koşullar uyarınca, isteme hakkı bulunur.
- Tazminat alma hakkının kullanımına ilişkin davalar 79(2) maddesinde atıfta bulunulan üye devletin hukuku çerçevesinde yetkin olan mahkemelerde açılır.
Madde 83
İdari para cezaları kesilmesine ilişkin genel koşullar
- Her denetim makamı bu Tüzük’e ilişkin olarak 4, 5 ve 6. paragraflarda atıfta bulunulan ihlaller ile ilgili olarak bu madde uyarınca idari para cezaları kesilmesinin her münferit durumda etkili, ölçülü ve caydırıcı olmasını sağlar.
- İdari para cezaları, her münferit durumun özelliklerine dayalı olarak, 58(2) maddesinin (a) ila (h) ve (j) bentlerinde atıfta bulunulan tedbirlere ek olarak veya bu tedbirler yerine kesilir. Her münferit durumda bir idari para cezası kesilip kesilmeyeceğine karar verilirken ve idari para cezası meblağına karar verilirken, aşağıdaki hususlar dikkate alınır:
(a) ilgili işleme faaliyetinin mahiyeti, kapsamı veya amacı dikkate alındığında ihlalin mahiyeti, ciddiyeti ve süresinin yanı sıra etkilenen veri sahibi sayısı ve veri sahiplerinin yaşadığı zarar düzeyi;
(b) ihlalin kasıtlı olması veya ihmalkarlıktan kaynaklanması;
(c) veri sahiplerinin yaşadığı zararın azaltılması için kontrolör veya işleyici tarafından gerçekleştirilen herhangi bir işlem;
(d) 25 ve 32. maddeler uyarınca kendileri tarafından uygulanan teknik ve düzenlemeye ilişkin tedbirler dikkate alındığında, kontrolörün veya işleyicinin sorumluluk derecesi;
(e) kontrolör veya işleyicinin geçmişte konuyla ilgili ihlalleri;
(f) ihlalin düzeltilmesi ve ihlalin olası olumsuz etkilerinin azaltılması amacı ile denetim makamı ile gerçekleştirilen işbirliği derecesi;
(g) ihlalden etkilenen kişisel veri kategorileri;
(h) kontrolör veya işleyicinin ihlali bildirip bildirmediği ve bildirdiyse ne ölçüde bildirdiği başta olmak üzere, denetim makamının ihlalden haberdar edilme şekli;
(i) 58(2) maddesinde atıfta bulunulan tedbirlerin ilgili kontrolör veya işleyiciye karşı aynı konu ile ilgili olarak daha önceden alınmış olduğu hallerde, bu tedbirlere uyum;
(j) 40. madde uyarınca onaylı davranış kurallarına veya 42. madde uyarınca onaylı belgelendirme mekanizmalarına uygun hareket edilmesi;
(k) ihlal nedeniyle doğrudan veya dolaylı olarak elde edilen maddi menfaatler veya kaçınılan zararlar gibi durumun özellikleri açısından geçerli diğer ağırlaştırıcı veya hafifletici faktörler.
- Bir kontrolör veya işleyicinin aynı veya bağlantılı işleme faaliyetlerine yönelik olarak bu Tüzük’ün çeşitli hükümlerini kasıtlı olarak veya ihmalkarlıktan dolayı ihlal etmesi durumunda, toplam idari para cezası meblağı en ağır ihlal için belirtilen meblağı aşamaz.
- Aşağıdaki hükümlere ilişkin ihlaller, 2. paragraf uyarınca, 10.000.000 Euro’ya kadar veya, bir teşebbüs olması halinde, bir önceki mali yılın yıllık dünya çapındaki cirosunun %2’sine kadar idari para cezalarına (hangi meblağ yüksek ise, o geçerlidir) tabidir:
(a) kontrolör veya işleyicinin 8, 11, 25 ila 39 ile 42 ve 43. maddeler uyarınca yükümlülükleri;
(b) belgelendirme organının 42 ve 43. maddeler uyarınca yükümlülükleri;
(c) izleme organının 41(4) maddesi uyarınca yükümlülükleri.
- Aşağıdaki hükümlere ilişkin ihlaller, 2. paragraf uyarınca, 20.000.000 Euro’ya kadar veya, bir teşebbüs olması halinde, bir önceki mali yılın yıllık dünya çapındaki cirosunun %4’üne kadar idari para cezalarına (hangi meblağ yüksek ise, o geçerlidir) tabidir:
(a) 5, 6, 7 ve 9. maddeler uyarınca rıza koşulları da dahil olmak üzere işleme faaliyetine ilişkin temel ilkeler;
(b) veri sahiplerinin 12 ila 22. maddeler uyarınca hakları;
(c) 44 ila 49. maddeler uyarınca bir üçüncü ülkedeki bir alıcıya veya bir uluslararası kuruluşa yönelik kişisel veri aktarımları;
(d) üye devlet hukuku uyarınca Bölüm IX çerçevesinde kabul edilen her türlü yükümlülük;
(e) 58(2) maddesi uyarınca denetim makamının bir emri veya geçici ya da kesin işleme sınırlaması veya veri akışlarını askıya almasına uyumlu hareket edilmemesi veya 58(1) maddesinin ihlal edilmesi suretiyle erişim sağlanmaması.
- 58(2) maddesinde atıfta bulunulduğu üzere bir emirle uyumlu hareket edilmemesi, 2. paragraf uyarınca, 20.000.000 Euro’ya kadar veya, bir teşebbüs olması halinde, bir önceki mali yılın yıllık dünya çapındaki cirosunun %4’üne kadar idari para cezalarına (hangi meblağ yüksek ise, o geçerlidir) tabidir.
- Denetleme makamlarının 58(2) maddesi uyarınca düzeltme yetkilerine halel gelmeksizin, her üye devlet söz konusu üye devlette kurulu bulunan kamu kuruluşları ve organlara idari para cezalarının
kesilip kesilemeyeceğine ve ne ölçüde kesileceğine ilişkin kurallar belirleyebilir.
- Denetim makamının bu madde kapsamındaki yetkilerini kullanımı etkili kanun yolu ve yargı süreci de dahil olmak üzere Birlik ve üye devlet hukuku uyarınca uygun usuli güvencelere tabidir.
- Üye devletin hukuk sisteminde idari para cezalarının hükme bağlanmadığı hallerde, bu madde para cezasının yetkin denetim makamı tarafından uygulamaya konacak ve yetkin ulusal mahkemeler tarafından kesilecek şekilde uygulanabilirken, bu kanun yollarının etkili olması ve denetim makamları tarafından kesilen idari para cezaları ile eşdeğer bir etkiye sahip olması sağlanabilir. Her halükarda, kesilen para cezaları etkili, orantılı ve caydırıcı olur. Bu üye devletler bu paragraf uyarınca kabul ettikleri kanun hükümlerini 25 Mayıs 2018 tarihine kadar ve bunları etkileyen sonraki değişiklik kanunu veya değişiklikleri, herhangi bir gecikmeye mahal vermeksizin, Komisyon’a bildirir.
Madde 84
Cezalar
- Üye devletler 83. madde uyarınca idari para cezalarına tabi olmayan ihlaller başta olmak üzere bu Tüzük’e ilişkin ihlaller açısından geçerli olan diğer cezalara ilişkin kuralları belirler ve bunların uygulanmasının sağlanması amacı ile gereken tüm tedbirleri alır. Böylesi cezalar etkili, orantılı ve caydırıcı olur.
- Her üye devlet 1. paragraf uyarınca kabul ettiği kanun hükümlerini 25 Mayıs 2018 tarihine kadar ve bunları etkileyen sonraki değişiklikleri, herhangi bir gecikmeye mahal vermeksizin, Komisyon’a bildirir.
BÖLÜM IX
Özel işleme durumlarına ilişkin hükümler
Madde 85
İşleme ve ifade ve bilgi edinme özgürlüğü
- Gazetecilik amaçları ve akademik, sanatsal veya edebi anlatım amaçları doğrultusunda işleme de dahil olmak üzere, üye devletler bu Tüzük uyarınca kişisel verilerin korunması hakkı ile ifade ve bilgi edinme özgürlüğü hakkını kanunla bağdaştırır.
- Gazetecilik amaçları veya akademik, sanatsal veya edebi anlatım amacıyla gerçekleştirilen işleme faaliyeti açısından, üye devletler, kişisel verilerin korunması hakkı ile ifade ve bilgi edinme özgürlüğünü bağdaştırma amacıyla gerekli olmaları durumunda, Bölüm II (ilkeler), Bölüm III (veri sahibinin hakları), Bölüm IV (kontrolör ve işleyici), Bölüm V (kişisel verilerin üçüncü ülkeler veya uluslararası kuruluşlara aktarılması), Bölüm VI (bağımsız denetim makamları), Bölüm VII (işbirliği ve tutarlılık) ve Bölüm IX (spesifik veri işleme durumları) ile ilgili olarak muafiyetler veya derogasyonlar sağlar.
- Her üye devlet 2. paragraf uyarınca kabul ettiği kanun hükümlerini ve bunları etkileyen sonraki değişiklik kanunu veya değişiklikleri, herhangi bir gecikmeye mahal vermeksizin, Komisyon’a bildirir.
Madde 86
İşleme ve halkın resmi belgelere erişimi
Bir kamu kuruluşu veya bir kamu organı ya da bir özel organ tarafından kamu yararına gerçekleştirilen bir görevin yerine getirilmesi amacı ile tutulan resmi belgelerdeki kişisel veriler, halkın resmi belgelere erişiminin bu Tüzük uyarınca kişisel verilerin korunması hakkıyla bağdaştırılması amacıyla, kamu kuruluşu ya da organının tabi olduğu Birlik veya üye devlet hukuku uyarınca kuruluş veya organ tarafından açıklanabilir.
Madde 87
Ulusal kimlik numarasının işlenmesi
Üye devletler bir ulusal kimlik numarası veya genel uygulamaya ilişkin başka bir tanımlayıcının işlenmesine özgü koşulları da belirleyebilir. Bu durumda, ulusal kimlik numarası veya genel uygulamaya ilişkin başka bir tanımlayıcı ancak veri sahibinin bu Tüzük uyarınca hakları ve özgürlüklerine ilişkin uygun güvenceler çerçevesinde kullanılır.
Madde 88
İş bağlamındaki işleme
- Üye devletler özellikle işe alım, kanunla ya da toplu sözleşmeler yoluyla belirtilen yükümlülüklerin yerine getirilmesi de dahil olmak üzere iş sözleşmesinin yürütülmesi, çalışma, iş yerinde eşitlik ve çeşitlilik, iş sağlığı ve güvenliğinin yönetimi, planlanması ve düzenlenmesi, işverenin
veya müşterinin mallarının korunması ile ilgili amaçlar ve istihdam ile ilgili haklar ve menfaatlerin münferit ya da toplu olarak kullanımı ve bunlardan yararlanılmasına ilişkin amaçlar ve iş ilişkisinin sona erdirilmesine ilişkin amaçlar doğrultusunda çalışanların kişisel verilerinin iş bağlamında işlenmesine yönelik hakların ve özgürlüklerin korunmasının sağlanması amacıyla kanun veya toplu sözleşmeler çerçevesinde daha spesifik kurallar belirleyebilir.
- Bu kurallar özellikle işleme faaliyetinin şeffaflığı, ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubu veya bir işletmeler grubu içerisinde kişisel verilerin aktarılması ve iş yerindeki sistemlerin izlenmesi ile ilgili olarak veri sahibinin insanlık onuru, meşru menfaatleri ve temel haklarının güvence altına alınmasına ilişkin uygun ve spesifik tedbirleri içerir.
- Her üye devlet 1. paragraf uyarınca kabul ettiği kanun hükümlerini 25 Mayıs 2018 tarihine kadar ve bunları etkileyen sonraki değişiklikleri, herhangi bir gecikmeye mahal vermeksizin, Komisyon’a bildirir.
Madde 89
Kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar doğrultusunda işleme faaliyetine ilişkin güvenceler ve derogasyonlar
- Kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar doğrultusunda işleme faaliyeti bu Tüzük uyarınca veri sahibinin hakları ve özgürlükleri açısından uygun güvencelere tabidir. Bu güvenceler ile özellikle verilerin en alt düzeye indirilmesi ilkesine uygun hareket edilmesinin sağlanması amacı ile teknik ve düzenlemeye ilişkin tedbirlerin uygulamaya konması sağlanır. Bu amaçların bu şekilde yerine getirilebilmesi koşuluyla, bu tedbirler takma ad kullanımını içerebilir. Bu amaçların veri sahiplerinin teşhis edilmesine olanak tanımayan veya artık olanak tanımayan ek işleme faaliyetleri ile yakalandığı hallerde, söz konusu amaçlar bu şekilde yakalanır.
- Kişisel verilerin bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar doğrultusunda işlendiği hallerde, Birlik veya üye devlet hukuku çerçevesinde, 15, 16, 18 ve 21. maddelerde atıfta bulunulan hakların spesifik amaçlara ulaşılmasını imkansız hale getirmesinin veya ulaşılmasına ciddi şekilde zarar vermesinin muhtemel olduğu ve derogasyonların bu amaçlara ulaşılması için gerekli olduğu ölçüde, bu maddenin 1. paragrafında atıfta bulunulan koşullar ve güvencelere tabi olarak böylesi haklardan derogasyonlar sağlanabilir.
- Kişisel verilerin kamu yararına arşivleme amaçları doğrultusunda işlendiği hallerde, Birlik veya üye devlet hukuku çerçevesinde, 15, 16, 18, 19, 20 ve 21. maddelerde atıfta bulunulan hakların spesifik amaçların yakalanmasını imkansız hale getirmesinin veya yakalanmasına ciddi şekilde zarar vermesinin muhtemel olduğu ve derogasyonların bu amaçların yakalanması için gerekli olduğu ölçüde, bu maddenin
- paragrafında atıfta bulunulan koşullar ve güvencelere tabi olarak böylesi haklardan derogasyonlar sağlanabilir.
- 2 ve 3. paragrafta atıfta bulunulan işleme faaliyetinin aynı zamanda başka bir amaca hizmet ettiği hallerde, derogasyonlar yalnızca bu paragraflarda atıfta bulunulan amaçlara yönelik işleme faaliyetine uygulanır.
Madde 90
Gizlilik yükümlülükleri
- Üye devletler, kişisel verilerin korunması hakkı ile gizlilik yükümlülüğünün bağdaştırılması amacı ile gerekli ve orantılı olduğu hallerde, Birlik veya üye devlet hukuku ya da ulusal yetkin makamlar tarafından koyulan kurallar çerçevesinde bir mesleki gizlilik yükümlülüğüne ya da diğer eşdeğer gizlilik yükümlülüklerine tabi kontrolörler veya işleyiciler ile ilgili olarak denetim makamlarının 58(1) maddesinin
(e) ve (f) bentlerinde belirtilen yetkilerini ortaya koymak üzere spesifik kurallar kabul edebilir. Bu kurallar yalnızca kontrolör veya işleyicinin bu gizlilik yükümlülüğü kapsamına giren bir faaliyet sonucu aldığı veya bu faaliyet esnasında elde ettiği kişisel veriler açısından uygulanır.
- Her üye devlet 1. paragraf uyarınca kabul edilen kuralları 25 Mayıs 2018 tarihine kadar ve bunları etkileyen sonraki değişiklikleri, herhangi bir gecikmeye mahal vermeksizin, Komisyon’a bildirir.
Madde 91
Kiliseler ve dini cemiyetlerin mevcut veri koruma kuralları
- Bir üye devlet içerisinde kiliseler ve dini cemiyetler ya da toplulukların, bu Tüzük’ün yürürlüğe giriş
tarihinde, gerçek kişilerin işleme faaliyeti ile ilgili olarak korunmasına ilişkin kapsamlı kurallar uyguladığı hallerde, söz konusu kuralların bu Tüzük’e uygun hale getirilmesi koşuluyla, ilgili kurallar uygulanmaya devam edebilir.
- Bu maddenin 1. paragrafı uyarınca kapsamlı kurallar uygulayan kiliseler ve dini cemiyetler, bu Tüzük’ün Bölüm VI’sında ortaya konan şartları yerine getirmesi koşuluyla, spesifik olabilecek bağımsız bir denetim makamının denetimine tabidir.
BÖLÜM X
Yetki devrine dayanan tasarruflar ve uygulama tasarrufları
Madde 92
Yetki devrinin uygulaması
- Yetki devrine dayanan tasarrufları kabul etme yetkisi bu maddede belirtilen koşullara tabi olarak Komisyon’a verilir.
- 12(8) maddesi ve 43(8) maddesinde atıfta bulunulan yetki devri 24 Mayıs 2016 tarihinden itibaren belirsiz bir süre boyunca Komisyon’a verilir.
- 12(8) maddesi ve 43(8) maddesinde atıfta bulunulan yetki devri Avrupa Parlamentosu veya Konsey tarafından herhangi bir zamanda kaldırılabilir. Bir kaldırma kararı söz konusu kararda belirtilen yetki devrini sona erdirir. Bu karar Avrupa Birliği Resmi Gazetesi’nde yayımlanmasından sonraki gün veya kararda belirtilen sonraki bir tarihte yürürlüğe girer. Karar halihazırda yürürlükte bulunan yetki devrine dayanan tasarrufların geçerliliğini etkilemez.
- Komisyon, yetki devrine dayanan bir tasarrufu kabul eder etmez, bunu eş zamanlı olarak Avrupa Parlamentosu ve Konsey’e iletir.
- 12(8) maddesi ve 43(8) maddesi uyarınca kabul edilen yetki devrine dayanan bir tasarruf, ancak söz konusu tasarrufun Avrupa Parlamentosu ve Konsey’e iletilmesinden itibaren üç aylık bir süre içerisinde Avrupa Parlamentosu ya da Konsey tarafından herhangi bir itirazda bulunulmaması durumunda ya da, söz konusu sürenin dolmasından önce, hem Avrupa Parlamentosu hem de Konsey’in itirazda bulunmayacağını Komisyon’a bildirmesi halinde, yürürlüğe girer. Bu süre Avrupa Parlamentosu veya Konsey’in inisiyatifiyle üç ay uzatılır.
Madde 93
Komite usulü
- Komisyona bir komite tarafından destek olunur. Söz konusu komite, AB 182/2011 sayılı Tüzük
L kapsamındaEbNir komitedir.
Avrupa Birliği Resmi Gazetesi 4.5.201
- Bu paragrafa atıfta bulunulan hallerde, AB 182/2011 sayılı Tüzük’ün 5. maddesi uygulanır.
- Bu paragrafa atıfta bulunulan hallerde, AB 182/2011 sayılı Tüzük’ün 8. maddesi, ilgili Tüzük’ün 5. maddesi ile bağlantılı olarak, uygulanır.
BÖLÜM XI
Nihai hükümler
Madde 94
95/46/AT sayılı Direktif’in yürürlükten kaldırılması
- 95/46/AT sayılı Direktif 25 Mayıs 2018 tarihinden itibaren geçerli olmak üzere yürürlükten kaldırılmıştır.
- Yürürlükten kaldırılan Direktif’e yapılan atıflar bu Tüzük’e yapılmış sayılır. 95/46/AT sayılı Direktif’in 29. maddesi ile kurulan Kişisel Verilerin İşlenmesiyle ilgili olarak Bireylerin Korunması hakkında Çalışma Grubuna yapılan atıflar bu Tüzük’le kurulan Avrupa Veri Koruma Kurulu’na yapılmış sayılır.
Madde 95
2002/58/AT sayılı Direktif’le ilişki
Bu Tüzük, Birlik içerisinde kamu iletişim ağlarında halka açık elektronik iletişim hizmetlerinin sağlanması ile bağlantılı işleme faaliyeti hususunda, gerçek veya tüzel kişilere, 2002/58/AT sayılı Direktif’te belirtilen aynı hedefe özgü yükümlülüklere tabi bulundukları konular ile ilgili olarak, ek yükümlülükler getiremez.
Madde 96
Önceden imzalanan anlaşmalarla ilişki
Kişisel verilerin üçüncü ülkelere veya uluslararası kuruluşlara aktarılması hususunda üye devletler tarafından 24 Mayıs 2016 tarihinden önce imzalanan ve bu tarihten önce geçerli Birlik hukukuna uyumlu olan uluslararası anlaşmalar değiştirilene, yenilenene veya yürürlükten kaldırılana kadar yürürlükte kalır.
Madde 97
Komisyon raporları
- Komisyon bu Tüzük’ün değerlendirilmesi ve gözden geçirilmesine ilişkin bir raporu, 25 Mayıs 2020 tarihine kadar ve bu tarihten sonra dört yılda bir, Avrupa Parlamentosu ve Konsey’e sunar. Raporlar kamuoyuna açıklanır.
- 1. paragrafta atıfta bulunulan değerlendirmeler ve gözden geçirmeler bağlamında, Komisyon özellikle aşağıdaki hususların uygulanması ve işleyişini inceler:
(a) bu Tüzük’ün 45(3) maddesi uyarınca alınan kararlar ve 95/46/AT sayılı Direktif’in 25(6) maddesine dayalı olarak alınan kararlar başta olmak üzere, kişisel verilerin üçüncü ülkelere veya uluslararası kuruluşlara aktarılmasına ilişkin Bölüm V;
(b) işbirliği ve tutarlılığa ilişkin Bölüm VII.
- 1. paragraftaki amaç doğrultusunda, Komisyon üye devletlerden ve denetim makamlarından bilgi talep edebilir.
- Komisyon, 1 ve 2. paragraflarda atıfta bulunulan değerlendirmeler ve gözden geçirmeleri gerçekleştirirken, Avrupa Parlamentosu, Konsey ve diğer ilgili organlar veya kaynakların görüşleri ve bulgularını dikkate alır.
- Komisyon, gerekmesi halinde, özellikle bilgi teknolojisindeki gelişmeleri dikkate alarak ve bilgi toplumundaki ilerleme durumu ışığında, bu Tüzük’te değişiklik yapılmasına ilişkin uygun önerilerde bulunur.
Madde 98
Birliğin veri korumaya ilişkin diğer hukuki tasarruflarının gözden geçirilmesi
Komisyon, uygun olduğu hallerde, gerçek kişilerin işleme faaliyetleri ile alakalı olarak standart ve tutarlı bir şekilde korunmasının sağlanması amacıyla, Birliğin kişisel verilerin korunmasına ilişkin diğer hukuki tasarruflarında değişiklik yapılmasına yönelik yasal önerilerde bulunur. Bu husus, özellikle gerçek kişilerin Birlik kurumları, organları, ofisleri ve ajansları tarafından gerçekleştirilen işleme faaliyetleri ile alakalı olarak korunması ve söz konusu verilerin serbest dolaşımına ilişkin kurallarla ilgilidir.
Madde 99
Yürürlük ve uygulama
- Bu Tüzük, Avrupa Birliği Resmi Gazetesi’nde yayımlandığı günden sonraki yirminci gün yürürlüğe girer.
- Bu Tüzük 25 Mayıs 2018 tarihinden itibaren uygulanır.
Bu Tüzük bütün unsurlarıyla bağlayıcıdır ve tüm üye devletlerde doğrudan uygulanır.
Avrupa Birliği Resmi Gazetesi 4.5.2018
Avrupa Parlamentosu adına
Başkan
SCHULZ
Konsey adına
Başkan
EVET HENİS – PLASSCHAERT