Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) Tam metni

Yasama

BÖLÜM I


Genel Hükümler



Madde

1



Konu ve hedefler



1. Bu Tüzük’te gerçek kişilerin kişisel verilerin işlenmesiyle ilgili olarak korunmasına ilişkin kurallar ve kişisel verilerin serbest dolaşımına ilişkin kurallar belirtilir.



2. Bu Tüzük’te gerçek kişilerin temel hakları ve özgürlükleri ve özellikle, kişisel verilerin korunması hakkı korunur.



3. Kişisel verilerin Birlik içerisinde serbest dolaşımı, gerçek kişilerin kişisel verilerin işlenmesiyle ilgili olarak korunması ile bağlantılı sebeplerle ne kısıtlanır ne de yasaklanır.





Madde

2



Maddi kapsam



1. Bu Tüzük, kişisel verilerin tamamen ya da kısmen otomatik araçlarla işlenmesine ve kişisel verilerin otomatik araçlar haricinde bir dosyalama sisteminin parçasını oluşturan veya bir dosyalama sisteminin parçasını oluşturması amaçlanan araçlarla işlenmesine uygulanır.


2. Bu Tüzük:


(a)  Birlik hukuku kapsamına girmeyen bir faaliyet esnasında;


(b) üye devletler tarafından Avrupa Birliği Antlaşması’nın V. Başlığının 2. Bölümü kapsamına

giren faaliyetler gerçekleştirilirken; (c) tamamen kişisel veya ev faaliyeti esnasında bir gerçek kişi

tarafından;


(d) kamu güvenliğine yönelik tehditlere karşı güvence sağlanması ve bu tehditlerin önlenmesi de dâhil olmak üzere suçların önlenmesi, soruşturulması, tespiti veya kovuşturulması ya da cezaların infaz edilmesiyle ilgili olarak yetkin makamlar tarafından kişisel verilerin işlenmesine uygulanmaz.


3. Birlik kurumları, organları, ofisleri ve ajansları tarafından kişisel verilerin işlenmesine yönelik olarak,

(AT) 45/2001 sayılı Tüzük uygulanır. (AT) 45/2001 sayılı Tüzük ve kişisel verilerin bu şekilde işlenmesine uygulanan Birliğin diğer yasal belgeleri 98. madde uyarınca bu Tüzük’ün ilkeleri ve kurallarına uyarlanır.



4. Bu Tüzük ile 2000/31/AT sayılı Direktif’in uygulanmasına ve özellikle de aynı Direktif’in ara hizmet

sağlayıcıların yükümlülüklerine ilişkin 12 ila 15. maddelerinde yer alan kurallara halel gelmez.



Madde

3



Bölgesel kapsam



1.  Bu  Tüzük,  işleme  faaliyeti  Birlik  içerisinde  gerçekleşip  gerçekleşmediğine  bakılmaksızın,  Birlik içerisindeki bir kontrolör veya işleyicinin işletmesinin faaliyetleri bağlamında kişisel verilerin işlenmesine uygulanır.



2. Bu Tüzük, işleme faaliyetlerinin aşağıdaki hususlarla alakalı olması durumunda, Birlik içerisinde bulunan

veri sahiplerinin kişisel verilerinin Birlik içerisinde kurulu olmayan bir kontrolör veya işleyici tarafından işlenmesine uygulanır:



(a) Veri sahibine bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Birlik içerisindeki söz

konusu veri sahiplerine mal ya da hizmetlerin sunulması veya


(b) Davranışları birlik içerisinde gerçekleştiği ölçüde, davranışlarının izlenmesi.



3. Bu Tüzük, Birlik içerisinde değil, ancak bir üye devletin hukukunun uluslararası kamu hukuku vasıtasıyla uygulandığı bir yerde kurulu bulunan bir kontrolör tarafından kişisel verilerin işlenmesine uygulanır.


Madde

4


Tanımlar



Bu Tüzük’ün amaçları doğrultusunda, aşağıdaki tanımlar geçerlidir:



(1) ‘kişisel veri’ tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgidir ('veri sahibi'); tanımlanmış bir gerçek kişi özellikle bir isim, kimlik numarası, konum verileri, çevrim içi tanımlayıcı ya da söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, ruhsal, ekonomik, kültürel veya toplumsal kimliğine özgü bir ya da daha fazla sayıda faktöre atıfta bulunularak doğrudan veya dolaylı olarak tanımlanabilen bir kişidir;



(2) ‘işleme faaliyeti’,  otomatik  yöntemlerle  olsun  veya  olmasın, kişisel  veri  veya  kişisel  veri  setleri üzerinde gerçekleştirilen toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama veya değiştirme, elde etme, danışma, kullanma, iletim yoluyla açıklama, yayma veya kullanıma sunma, uyumlaştırma ya da birleştirme, kısıtlama, silme veya  imha gibi herhangi bir işlem  veya işlem dizisidir;


(3)  ‘işleme  kısıtlaması’  saklanan  kişisel  verilerin  gelecekte  işlenmelerinin  sınırlanması  amacı  ile

işaretlenmesidir;



(4) ‘profil çıkarma’ bir gerçek kişinin işteki performansı, ekonomik durumu, sağlığı, kişisel tercihleri, ilgi alanları, güvenilirliği, davranışları, konumu veya hareketlerine ilişkin hususların analiz edilmesi veya tahmin  edilmesi  başta  olmak  üzere  söz  konusu  gerçek  kişiye  ilişkin  belirli  kişisel  özelliklerin değerlendirilmesi için kişisel verilerin kullanımını ihtiva eden her türlü otomatik kişisel veri işleme biçimidir;



(5)   ‘takma   ad   kullanımı’   kişisel   verilerin   tanımlanmış   veya   tanımlanabilir   bir   gerçek   kişiyle ilişkilendirilmemesinin sağlanması amacı ile ek bilgilerin ayrı tutulması ve teknik ve düzenlemeye ilişkin tedbirlere tabi tutulması koşuluyla, kişisel verilerin söz konusu ek bilgiler kullanılmaksızın spesifik bir veri sahibiyle artık ilişkilendirilemeyecek şekilde işlenmesidir;



(6) ‘dosyalama sistemi’ işlevsel veya coğrafi bir temelde merkezi, ademi-merkezi veya dağınık olarak

spesifik kriterlere göre erişilebilen yapılandırılmış herhangi bir kişisel veri dizisidir;



(7) ‘kontrolör’ yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri  belirleyen  gerçek  veya  tüzel  kişi,  kamu  kuruluşu,  kurumu  veya  diğer  herhangi  bir organdır; söz konusu işleme amaçları ve yöntemlerinin Birlik  ya da üye devlet hukukuna göre belirlenmesi durumunda, kontrolör veya kontrolörün belirlenmesine özgü kriterler Birlik ya da üye devlet hukukuna göre belirlenebilir;



(8) ‘işleyici’ kontrolör adına kişisel verileri işleyen bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu

veya diğer herhangi bir organdır;



(9) ‘alıcı’, üçüncü bir kişi olsun veya olmasın, kişisel verilerin açıklandığı bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır. Ancak, Birlik veya üye devlet hukuku uyarınca belirli bir sorgulama çerçevesinde kişisel verileri alabilen kamu kuruluşları alıcı olarak nitelendirilmez; bu verilerin söz konusu kamu kuruluşları tarafından işlenmesi işleme amaçlarına göre geçerli veri koruma kurallarına uygun olarak yapılır;



(10) ‘üçüncü kişi’ veri sahibi, kontrolör, işleyici ve, kontrolör ya da işleyicinin doğrudan yetkisi altında, kişisel verileri işleme yetkisi bulunan kişiler haricindeki bir gerçek veya tüzel kişi, kamu kurumu, kuruluşu veya organıdır;



(11) veri sahibinin ‘rızası’ veri sahibinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık göstergedir;



(12) ‘kişisel veri ihlali’ iletilen, saklanan veya işlenen kişisel verilerin kazara veya yasa dışı yollarla imha edilmesi,  kaybı,  değiştirilmesi,  yetkisiz  şekilde  açıklanması  veya  bunlara  erişime  yol  açan  bir güvenlik ihlalidir;



(13) ‘genetik veri’ bir gerçek kişinin fizyoloji veya sağlığı ile ilgili eşsiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numunenin analizinden kaynaklanan ve söz konusu kişinin kalıtım yoluyla alınan veya kazanılan özelliklerine ilişkin kişisel verilerdir;



(14) ‘biyometrik veri’ yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir;



(15) ‘sağlıkla ilgili veri’ sağlık hizmetlerinin sağlanması da dahil olmak üzere bir gerçek kişinin sağlık durumuyla ilgili bilgilerin açıklandığı, söz konusu gerçek kişinin fiziksel veya ruhsal sağlığına ilişkin kişisel verilerdir;


(16) ‘asıl kuruluş’:


(a)  birden  fazla  üye  devlette  işletmesi  bulunan  bir  kontrolör  ile  ilgili  olarak,  kişisel  verilerin işlenmesine ilişkin amaçlar ve yöntemlere yönelik kararların kontrolörün Birlik içerisindeki başka bir  işletmesinde  alınmaması  ve  bu  işletmenin  söz  konusu  kararları  uygulatma  yetkisinin bulunmaması durumunda (ki bunların gerçekleşmesi halinde, söz konusu kararları alan işletme asıl kuruluş olarak kabul edilir), Birlik içerisindeki merkezi idare yeridir;



(b) birden fazla üye devlette işletmesi bulunan bir işleyici ile ilgili olarak, Birlik içerisindeki merkezi idare  yeri  veya,  işleyicinin  Birlik  içerisinde  merkezi  bir  işletmesinin  bulunmaması  halinde, işleyicinin  bir  işletmesinin  faaliyetleri  bağlamındaki  temel  işleme  faaliyetlerinin  işleyicinin  bu Tüzük kapsamındaki spesifik yükümlülüklere tabi olduğu ölçüde gerçekleştiği Birlik içerisindeki işletmesidir;



(17) ‘temsilci’ Birlik içerisinde kurulu bulunan, 27. madde uyarınca kontrolör veya işleyici tarafından yazılı olarak belirlenen, bu Tüzük kapsamındaki yükümlülükleri ile ilgili olarak kontrolör veya işleyiciyi temsil eden bir gerçek veya tüzel kişidir;


(18) ‘işletme’ düzenli olarak bir ekonomik faaliyetle iştigal eden ortaklıklar veya birlikler de dahil olmak

üzere hukuki biçimine bakılmaksızın bir ekonomik faaliyetle iştigal eden bir gerçek veya tüzel kişidir;


(19) ‘teşebbüsler grubu’ bir denetleyici teşebbüs ve denetlenmiş teşebbüslerdir;



(20) ‘bağlayıcı kurumsal kurallar’ ortak bir ekonomik faaliyetle iştigal eden bir teşebbüsler grubu veya bir işletmeler grubu içerisinde bir veya daha fazla sayıda üçüncü ülkedeki bir kontrolör veya işleyiciye kişisel veri  aktarımları  veya  aktarım  dizisiyle  ilgili  olarak  Birliğin  üye  devletlerinden  birinin  topraklarında kurulmuş olan bir kontrolör veya işleyici tarafından uyulan kişisel veri koruma politikalarıdır;


(21) ‘denetim makamı’ 51. madde uyarınca bir üye devlet tarafından kurulan bağımsız bir kamu

kuruluşudur;


(22)  ‘ilgili  denetim  makamı’ aşağıdaki sebeplerden  dolayı kişisel  verilerin işlenmesiyle ilgili olan bir

denetim makamıdır:


(a)  kontrolör veya işleyicinin söz konusu denetim makamının üye devletinin topraklarında kurulu

bulunması;


(b) söz konusu denetim makamının üye devletinde ikamet eden veri sahiplerinin işleme faaliyetinden kayda değer biçimde etkilenmesi veya kayda değer biçimde etkilenme ihtimalinin bulunması veya


(c) söz konusu denetim makamına bir şikayetin iletilmesi;


(23) ‘sınır ötesi işleme’:


(a) kontrolör veya işleyicinin birden fazla üye devlette kurulu olması halinde, söz konusu kontrolör veya işleyicinin birden fazla üye devletteki işletmelerinin faaliyetleri bağlamında  gerçekleşen kişisel veri işleme faaliyetidir veya


(b)  bir  kontrolör  veya  işleyicinin  Birlik  içerisindeki  tek  bir  işletmesinin  faaliyetleri  bağlamında gerçekleşen, ancak birden fazla üye devletteki veri sahiplerini kayda değer ölçüde etkileyen veya kayda değer ölçüde etkileme ihtimali bulunan kişisel veri işleme faaliyetidir.


(24) ‘yerinde ve gerekçeli itiraz’ bir taslak karar açısından bu Tüzükle ilgili bir ihlal olup olmadığı veya kontrolör veya işleyici ile ilgili olarak öngörülen eylemin bu Tüzüğe uygun olup olmadığına yönelik olarak yapılan ve taslak kararın veri sahiplerinin temel hakları ve özgürlükleri ve, uygun olduğu hallerde, kişisel verilerin Birlik içerisinde serbest dolaşımı açısından teşkil ettiği risklerin önemini açık bir şekilde gösteren bir itirazdır;


(25) ‘bilgi toplumu hizmeti’ (AB) 2015/1535 sayılı Avrupa Parlamentosu ve Konsey Direktifi’nin 1(1)

maddesinin (b) bendinde tanımlanan bir hizmettir1;


(26) ‘uluslararası kuruluş’ uluslararası kamu hukuku ile düzenlenen bir kuruluş ve söz konusu kuruluşa bağlı organlar veya iki ya da daha fazla sayıda ülke arasındaki bir anlaşma ile veya bir anlaşmaya dayalı olarak kurulan diğer her türlü organdır.



BÖLÜM II


İlkeler



Madde

5


Kişisel verilerin işlenmesine ilişkin ilkeler



1. Kişisel veriler:


(a) veri sahibi ile ilgili olarak hukuka uygun, adil ve şeffaf bir biçimde işlenir (’hukuka uygunluk, adalet ve

şeffaflık’);


(b) belirtilen, açık ve meşru amaçlara yönelik olarak toplanır ve bu amaçlara uygun olmayan bir şekilde işlenmez; kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçlarıyla veya istatistiki amaçlarla işleme faaliyeti, 89(1) maddesi uyarınca, baştaki amaçlara aykırı şekilde değerlendirilmez (‘amacın sınırlandırılması’);


(c) işlendikleri amaçlarla ilgili olarak yeterli, yerinde ve gerekli olanla sınırlıdır (‘verilerin en az seviyeye

indirilmesi’);


(d) doğrudur  ve,  gereken  şekilde,  güncel  tutulur;  işlendikleri  amaçlar  göz  önünde  tutularak,  doğru olmayan kişisel verilerin gecikmeye mahal verilmeksizin silinmesi veya düzeltilmesinin sağlanmasıyla ilgili makul tüm adımlar atılmalıdır (‘doğruluk’);


(e) veri sahiplerinin yalnızca kişisel verilerin işlenme amaçlarının gerektirdiği sürece teşhis edilmesini sağlayan bir şekilde tutulur; 89(1) maddesi uyarınca yalnızca kamu yararına arşivleme amaçlarıyla, bilimsel  veya  tarihi  araştırma  amaçlarıyla  ya  da  istatistiki  amaçlarla  işlendikleri  sürece  ve  veri sahibinin hakları ve özgürlüklerinin güvence altına alınmasına için bu Tüzük uyarınca gereken uygun teknik ve düzenlemeye ilişkin tedbirlerin uygulanmasına tabi olarak, kişisel veriler daha uzun süreler boyunca saklanabilir (’saklama süresinin sınırlandırılması’);


(f) yetkisiz veya yasa dışı işlemeye karşı ve kazara kayba, imhaya veya tahribe karşı koruma da dahil olmak üzere teknik veya düzenlemeye ilişkin uygun tedbirlerin kullanılması suretiyle kişisel verilerin güvenliğini sağlayan bir şekilde işlenir (‘bütünlük ve gizlilik’).


2.   Kontrolör   1.   paragrafa   uygun   davranmaktan   sorumludur   ve   buna   uygun   davrandığını gösterebilmelidir (’hesap verebilirlik’).



Madde

6



İşleme faaliyetinin hukuka uygunluğu



1. İşleme faaliyeti, ancak aşağıdaki hususlardan en az biri geçerli olduğunda ve

olduğu ölçüde, hukuka uygundur:

(a) veri sahibinin bir ya da daha fazla sayıda spesifik amaca yönelik olarak kişisel verilerinin

işlenmesine onay vermesi;


(b) veri sahibinin taraf olduğu bir sözleşmenin uygulanması veya bir sözleşme yapılmadan önce veri

sahibinin talebiyle adımlar atılması için, işleme faaliyetinin gerekli olması;


(c) kontrolörün tabi olduğu bir yasal yükümlülüğe uygunluk sağlanması amacı ile

işleme faaliyetinin gerekli olması;


(d) veri sahibinin veya başka bir gerçek kişinin hayati menfaatlerinin korunması amacı ile işleme faaliyetinin gerekli olması;


(e)  kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin

uygulanması hususunda işleme faaliyetinin gerekli olması;



(f) özellikle veri sahibinin çocuk olması halinde veri sahibinin kişisel verilerin korunmasını gerektiren menfaatleri  veya  temel  hakları  ve  özgürlüklerinin  bir  kontrolör  veya  üçüncü  bir  kişi  tarafından gözetilen meşru menfaatlere ağır basması haricinde, söz konusu menfaatler doğrultusunda işleme faaliyetinin gerekli olması.


İlk  alt  paragrafın  (f)  bendi  kamu  kuruluşları  tarafından  görevlerinin  yerine  getirilmesi  hususunda gerçekleştirilen işleme faaliyetine uygulanmaz.


2. Üye devletler, Bölüm IX’te belirtilen diğer spesifik işleme durumları da dahil olmak üzere işleme faaliyetine ilişkin daha kati gereklilikler ve hukuka uygun ve adil işlemenin sağlanmasına yönelik diğer tedbirler  belirlenmesi  suretiyle,  bu  Tüzük’ün  işleme  faaliyetine  ilişkin  kurallarının  uygulamasını  1. paragrafın  (c)  ve  (e)  bentlerine  uygun  olacak  şekilde  uyarlamak  üzere  daha  spesifik  hükümler uygulamaya devam edebilir veya uygulamaya koyabilir.


3. 1. paragrafın (c) ve (e) bentlerinde belirtilen işleme dayanağı (a) Birlik hukuku veya


(b) kontrolörün tabi olduğu üye devlet hukuku ile ortaya konur.


İşleme amacı söz konusu yasal dayanakta belirlenir veya, 1. paragrafın (e) bendinde atıfta bulunulan işleme  faaliyeti  ile  ilgili  olarak,  kamu  yararına  gerçekleştirilen  bir  görevin  yerine  getirilmesi  veya kontrolöre verilen resmi bir yetkinin uygulanması hususunda gereklidir. Söz konusu yasal dayanak bu Tüzük kurallarının uygulamasının uyarlanmasına yönelik spesifik hükümler ihtiva edebilir: bunun yanı sıra,  kontrolör  tarafından  gerçekleştirilen  işleme  faaliyetinin  hukuka  uygunluğunu  düzenleyen  genel koşullar; işleme faaliyetine tabi veri türleri; ilgili veri sahipleri; kişisel verilerin açıklanabileceği kuruluşlar ve açıklanma amaçları; amacın sınırlandırılması; saklama süreleri ve Bölüm IX’te belirtilen diğer spesifik işleme durumlarına yönelik tedbirler gibi hukuka uygun ve adil işlemenin sağlanmasına yönelik tedbirler de dahil olmak üzere işleme faaliyetleri ve işleme usulleri. Birlik veya üye devlet hukuku kamu yararı hedefini karşılar ve gözetilen meşru amaçla orantılıdır.



4. Kişisel verilerin toplanma amacı dışında bir amaca yönelik olarak yapılan işleme faaliyetinin veri sahibinin rızasına veya 23(1) maddesinde atıfta bulunulan hedeflerin güvence altına alınmasına yönelik olarak demokratik bir toplumda gerekli ve ölçülü bir tedbir teşkil eden bir Birlik veya üye devlet kanununa dayanmaması durumunda, kontrolör, başka bir amaca yönelik işleme faaliyetinin kişisel verilerin asıl toplanma amacına uygun olup olmadığını değerlendirmek üzere, bunun yanı sıra aşağıdaki hususları dikkate alır:


(a) kişisel verilerin toplanma amaçları ile planlanan diğer işleme amaçları arasındaki herhangi bir

bağlantı;


(b) veri sahipleri ve kontrolör arasındaki ilişki başta olmak üzere kişisel verilerin toplandığı bağlam;


(c) 9. madde uyarınca özel kategorilerdeki kişisel verilerin işlenip işlenmediği veya 10. madde uyarınca mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin işlenip işlenmediği başta olmak üzere kişisel verilerin mahiyeti;


(d) planlanan diğer işleme faaliyetlerinin veri sahiplerine olası yansımaları;


(e) şifreleme veya takma ad kullanımı da dahil olmak üzere uygun güvencelerin bulunması.


Madde

7


Rıza koşulları



1. İşleme faaliyetinin rızaya dayandığı hallerde, kontrolör veri sahibinin kişisel verilerinin işlenmesine

rıza göstermiş olduğunu gösterebilir.


2.  Veri  sahibinin  rızasının  diğer  hususlarla  da  ilgili  olan  yazılı  bir  beyan  bağlamında  verilmesi durumunda, rıza talebi diğer hususlardan açık bir şekilde ayırt edilebilecek bir şekilde, anlaşılır ve kolayca erişilebilir bir biçimde, açık ve sade bir dil kullanılarak sunulur. Söz konusu beyanın bu Tüzük açısından ihlal teşkil eden hiçbir kısmı bağlayıcı değildir.



3. Veri sahibinin istediği zaman rızasını geri çekme hakkı vardır. Rızanın geri çekilmesi, geri çekim işleminden önce rızaya dayalı olarak yapılan işleme faaliyetinin hukuka uygunluğunu etkilemez. Veri sahibi, rıza vermeden önce, bu hususta bilgilendirilir. Rızanın geri çekilmesi rıza vermek kadar kolaydır.



4.  Rızanın  özgür  bir  şekilde  verilip  verilmediği  değerlendirilirken,  her  şeyden  önce,  bir  hizmetin sağlanması da dahil olmak üzere bir sözleşmenin ifasının söz konusu sözleşmenin ifası için gerekmeyen kişisel verilerin işlenmesine yönelik bir rızaya bağlı olup olmadığına azami özen gösterilir.



Madde

8



Çocuğun bilgi toplumu hizmetlerine ilişkin rızası açısından geçerli koşullar



1.   6(1) maddesinin (a) bendinin uygulandığı hallerde, doğrudan bir çocuğa bilgi toplumu hizmetleri sağlanması ile ilgili olarak, çocuğun en az 16 yaşında olması halinde, ilgili çocuğun kişisel verilerin işlenmesi hukuka uygundur. Çocuğun 16 yaşından küçük olması halinde, söz konusu işleme faaliyeti, ancak rızanın çocuk üzerinde velayet hakkı bulunan kişi tarafından verilmesi veya onaylanması halinde ve verildiği veya onaylandığı ölçüde hukuka uygundur.



Üye devletler, 13 yaştan küçük olmamak kaydıyla, bu amaçlara yönelik olarak kanunla daha küçük bir yaş belirleyebilir.


2. Bu durumlarda, kontrolör mevcut teknolojiyi  dikkate alarak  rızanın çocuk üzerinde velayet hakkı bulunan kişi tarafından verildiğini veya onaylandığını doğrulamak adına makul çaba sarf eder.



3. 1. paragraf bir çocuğa ilişkin bir sözleşmenin geçerliliği, oluşturulması veya etkisi ilgili kurallar gibi üye devletlerin genel sözleşme hukukunu etkilemez.



Madde

9


Özel kategorilerdeki kişisel verilerin işlenmesi


1.  Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar ya da sendika üyeliğinin ifşa edildiği kişisel verilerin işlenmesi ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik verilerin, sağlık ile ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin verilerin işlenmesi yasaktır.



2.   1. paragraf aşağıdakilerden birinin geçerli olması halinde uygulanmaz:


(a) Birlik veya üye devlet hukuku çerçevesinde 1. paragrafta belirtilen yasağın veri sahibi tarafından kaldırılamayacağına ilişkin bir hüküm sağlanması haricinde, veri sahibinin belirtilen bir veya daha fazla sayıda amaca yönelik  olarak  söz konusu kişisel verilerin işlenmesine açık  bir şekilde rıza göstermesi;



(b) Birlik  veya  üye  devlet  hukuku çerçevesinde  ya  da  üye  devlet  hukuku  uyarınca  yapılan  ve  veri sahibinin temel hakları ve menfaatlerine yönelik uygun güvencelerin sağlandığı bir toplu sözleşme çerçevesinde izin verildiği sürece, kontrolörün veya veri sahibinin istihdam ve sosyal güvenlik ve sosyal   hukuku   koruma   alanındaki   yükümlülüklerinin   gerçekleştirilmesi   ve   spesifik   haklarının kullanılması amacıyla işleme faaliyetinin gerekmesi;



(c) veri sahibinin fiziksel veya hukuki olarak rıza veremeyecek durumda olması halinde, veri sahibi veya

başka bir gerçek kişinin hayati menfaatlerinin korunması açısından işleme faaliyetinin gerekli olması;


(d) işleme faaliyetinin bir vakıf, birlik veya kar amacı gütmeyen başka bir organ tarafından siyasi, felsefi, dini  veya  sendika  amacıyla  uygun  güvencelerle  birlikte  yürütülen  meşru  faaliyetleri  esnasında işlemenin ve yalnızca organın üyeleri veya eski üyeleri ya da amaçlarıyla bağlantılı olarak kendisi ile düzenli olarak temas halinde bulunan kişilerle ilgili olması ve kişisel verilerin veri sahiplerinin rızası olmaksızın söz konusu organ dışında açıklanmaması koşuluyla gerçekleştirilmesi;


(e) işleme faaliyetinin veri sahibi tarafından açık bir biçimde kamuya açıklanan kişisel verilerle ilgili

olması;



(f) yasal   iddialarda   bulunulması,   bu   iddiaların   uygulanması   veya   savunulması   açısından   veya

mahkemeler kendi yargı yetkisi çerçevesinde hareket ettiğinde, işleme faaliyetinin gerekmesi;



(g) gözetilen amaçla orantılı olan, veri koruma hakkının özüne saygı gösteren ve veri sahibinin temel hakları ve menfaatlerinin güvence altına alınması adına uygun ve spesifik tedbirler sağlayan Birlik veya üye devlet hukukuna dayalı olarak kayda değer ölçüde kamu yararı adına nedenlerden ötürü işleme faaliyetinin gerekmesi;3e


(h) koruyucu hekimlik veya meslek hekimliği amaçları doğrultusunda, Birlik ya da üye devlet hukukuna dayalı  olarak  veya  bir  sağlık  profesyoneli  ile  yapılan  sözleşme  uyarınca  ve  3.  paragrafta  atıfta bulunulan koşullar ve güvencelere tabi olarak çalışanın çalışma kapasitesinin değerlendirilmesi, tıbbi tanı, sağlık veya sosyal bakım hizmetlerinin veya tedavinin sağlanması ya da sağlık veya sosyal bakım sistemleri ve hizmetlerinin yönetilmesi açısından işleme faaliyetinin gerekli olması;



(i)  özellikle  mesleki  gizlilik  olmak  üzere  veri  sahibinin  hakları  ve  özgürlüklerine  ilişkin  güvence sağlanmasına uygun ve spesifik tedbirler sağlayan Birlik veya üye devlet hukukuna dayalı olarak, sağlığa yönelik ciddi sınır ötesi tehditlere karşı koruma sağlanması veya sağlık hizmetleri ve tıbbi ürünler ya da tıbbi cihazlara ilişkin yüksek kalite ve emniyet standartları sağlanması gibi halk sağlığı alanında kamu yararına yönelik olarak işleme faaliyetinin gerekmesi;


(j) gözetilen amaçla orantılı olan, veri koruma hakkının özüne saygı gösteren ve veri sahibinin temel hakları ve menfaatlerinin güvence altına alınmasına uygun ve spesifik tedbirler sağlayan Birlik veya üye  devlet  hukukuna  dayalı  olarak,  89(1)  maddesi  uyarınca  kamu  yararına  yönelik  arşivleme amaçları,  bilimsel  veya  tarihi  araştırma  amaçları  ya  da  istatistiki  amaçlar  doğrultusunda  işleme faaliyetinin gerekmesi.


3. 1. paragrafta atıfta bulunulan kişisel veriler Birlik ya da üye devlet hukuku kapsamındaki mesleki

gizlilik yükümlülüğü veya ulusal yetkin organlar tarafından konan kurallara tabi olarak bir profesyonel tarafından veya söz konusu profesyonelin sorumluluğu altında ya da Birlik ya da üye devlet hukuku kapsamındaki mesleki gizlilik yükümlülüğü veya ulusal yetkin organlar tarafından konan kurallara tabi olarak  başka  bir  kişi  tarafından  işlendiğinde,  söz  konusu  veriler  2.  paragrafın  (h)  bendinde  atıfta bulunulan amaçlara yönelik olarak işlenebilir.



4. Üye Devletler genetik veriler, biyometrik veriler veya sağlık ile ilgili veriler ile alakalı olarak sınırlamalar da dahil olmak üzere ek koşullar uygulamaya devam edebilir ya da ek koşullar getirebilir.




Madde

10



Mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin işlenmesi



Mahkumiyet kararları ve ceza gerektiren suçlara ilişkin ya da ilgili güvenlik tedbirlerine ilişkin kişisel verilerin  6(1)  maddesine  dayalı  olarak  işlenmesi,  ancak  resmi  mercinin  denetimi  altında  veya  veri sahiplerinin  hakları  ve  özgürlüklerine  uygun  güvenceler  sağlayan  Birlik  veya  üye  devlet  hukuku çerçevesinde işleme faaliyetine onay verildiğinde gerçekleştirilir. Mahkumiyet kararlarına ilişkin kapsamlı herhangi bir sicil yalnızca resmi mercinin denetimi altında tutulur.


Madde

11



Teşhis gerektirmeyen işleme faaliyeti



1. Bir kontrolörün kişisel veri işleme amaçlarının kontrolör tarafından bir veri sahibinin teşhis edilmesini gerektirmemesi  veya  artık  buna  gerek  kalmaması  halinde,  kontrolör  yalnızca  bu  Tüzük’e  uygunluk sağlamak amacıyla veri sahibini teşhis etmek üzere ek bilgi tutmak, elde etmek veya işlemek zorunda değildir.



2. Bu maddenin 1. paragrafında atıfta bulunulan hallerde, kontrolörün veri sahibini teşhis edecek bir konumda bulunmadığını gösterebilmesi durumunda, kontrolör, mümkün olması halinde, veri sahibini bu durumdan haberdar eder. Bu durumlarda, 15 ila 20. maddeler, veri sahibinin bu maddeler kapsamındaki haklarını  kullanmak  amacıyla  teşhis  edilmesine  olanak  tanıyan  ek  bilgiler  sağlaması  haricinde, uygulanmaz.



BÖLÜM III


Veri sahibinin hakları


Kesim 1


Şeffaflık ve yöntemler



Madde

12



Veri sahibinin haklarının kullanımına ilişkin şeffaf bilgilendirme, bildirim ve yöntemler



1. Kontrolör spesifik olarak bir çocuğa yönelik her türlü bilgi başta olmak üzere işleme faaliyeti ile

alakalı olarak  13 ve 14. maddelerde atıfta bulunulan her türlü bilgi ile 15 ila 22. ve 34. maddeler kapsamındaki her türlü bildirimi öz, şeffaf, anlaşılır ve kolayca erişilebilir bir biçimde, açık ve sade bir dil kullanarak veri sahibine sağlamak için gerekli tedbirleri alır. Bilgileri yazılı olarak veya, uygun olduğu hallerde, elektronik yollar da dahil olmak üzere diğer yollarla sağlar. Veri sahibi tarafından talep edilmesi durumunda,  veri  sahibinin  kimliğinin  diğer  yollarla  doğrulanması  koşuluyla,  bilgiler  sözlü  olarak sağlanabilir.



2. Kontrolör veri sahibinin 15 ila 22. maddeler kapsamındaki haklarının kullanılmasına kolaylık sağlar.



11(2) maddesinde atıfta bulunulan hallerde, kontrolörün veri sahibini teşhis edemeyecek bir konumda bulunduğunu göstermemesi halinde, kontrolör veri sahibinin 15 ila 22. maddeler kapsamındaki haklarının kullanılması yönündeki talebini işleme koymayı reddedemez.



3. Kontrolör 15 ila 22. maddeler kapsamındaki bir taleple ilgili olarak gerçekleştirilen işleme ilişkin bilgileri herhangi  bir  gecikmeye  mahal  vermeksizin  ve  her  halükarda  talebin  alınmasından  itibaren  bir  ay içerisinde veri sahibine sağlar. Bu süre, gerekmesi halinde, taleplerin karmaşıklığı ve sayısı dikkate alınarak iki ay daha uzatılabilir. Kontrolör talebin alınmasından itibaren bir ay içerisinde söz konusu süre uzatımıyla  birlikte  gecikme  sebeplerini  veri  sahibine  bildirir.  Veri  sahibinin  talebi  elektronik  yollarla yapması  halinde,  veri  sahibi  tarafından  aksi  talep  edilmedikçe,  bilgiler,  mümkün  olması  halinde, elektronik yollarla sağlanır.



4. Kontrolörün veri sahibinin talebi ile ilgili işlem  yapmaması durumunda, kontrolör işlem  yapmama sebepleri ve bir denetim makamına şikayette bulunma ve kanun yoluna başvurma olanağı ile ilgili olarak herhangi bir gecikmeye mahal vermeden ve talebin alınmasından itibaren en geç bir ay içerisinde veri sahibine bilgi verir.



5. 13 ve 14. maddelerde sağlanan bilgiler ve 15 ila 22. ve 34. maddeler çerçevesinde yapılan her türlü bildirim ve gerçekleştirilen her türlü işlem ücretsiz olarak sağlanır. Bir veri sahibinin taleplerinin asılsız veya  ölçüsüz  olduğunun,  özellikle  taleplerin  tekrarlanması  nedeniyle,  açıkça  anlaşıldığı  hallerde, kontrolör aşağıdakilerden birini gerçekleştirebilir:



(a) bilgiler veya bildirimin sağlanması veya talep edilen işlemin gerçekleştirilmesine ilişkin idari masrafları

dikkate alarak makul bir ücret talep edebilir veya

(b) taleple ilgili işlem yapmayı reddedebilir.


Kontrolör talebin açık bir şekilde asılsız veya ölçüsüz olduğunu gösterme yükümlülüğünü taşır.


6. 11. maddeye halel gelmeksizin, kontrolörün 15 ila 21. maddelerde atıfta bulunulan talepte bulunan

gerçek kişinin kimliği ile ilgili makul şüphelerinin bulunduğu hallerde, kontrolör veri sahibinin kimliğinin teyit edilmesi için gereken ek bilgilerin sağlanmasını talep edebilir.



7. 13  ve  14.  maddeler  uyarınca  veri  sahiplerine  sağlanacak  bilgiler,  planlanan  işleme  faaliyetine

yönelik anlamlı bir genel bakışın kolayca görülebilir, anlaşılabilir ve okunaklı bir biçimde sağlanması amacı ile standart simgelerle ile bir arada sağlanabilir. Simgelerin elektronik olarak sunulduğu hallerde, simgeler makine tarafından okunabilecek şekilde sağlanır.



8. Komisyon simgeler ile sunulacak  bilgilerin ve standart simgeler sağlanmasına  yönelik  usullerin

belirlenmesi amacıyla 92. madde uyarınca yetki devrine dayanan tasarruflar kabul etmeye yetkindir.


Kesim 2


Bilgiler ve kişisel verilere erişim



Madde

13



Veri sahibinden kişisel verilerin toplandığı hallerde sağlanacak bilgiler


1. Bir veri sahibine ilişkin kişisel verilerin veri sahibinden toplanması durumunda, kontrolör kişisel

verilerin elde edildiği anda aşağıdaki bilgilerin tamamını veri sahibine sağlar:


(a) kontrolörün ve, uygun olduğu hallerde, kontrolörün temsilcisinin kimlik ve irtibat bilgileri;

(b) uygun olduğu hallerde, veri koruma görevlisinin irtibat bilgileri;

(c) kişisel verilerin planlanan işlenme amaçlarının yanı sıra işleme faaliyetinin yasal dayanağı;




(d) işleme faaliyetinin 6(1) maddesinin (f) bendine dayanması durumunda, kontrolör veya üçüncü bir kişi

tarafından gözetilen meşru menfaatler;


(e) varsa, kişisel verilerin alıcıları veya alıcı kategorileri;


(f)  uygun  olduğu  hallerde,  kontrolörün  kişisel  verileri  üçüncü  bir  ülke  veya  uluslararası  kuruluşa aktarmayı amaçladığı ve Komisyon tarafından bir yeterlilik kararı verilip verilmediği ya da, 46 veya 47. maddelerde veya 49(1) maddesinin ikinci alt paragrafında atıfta bulunulan aktarımlar olması halinde, uygun veya münasip güvencelere ilişkin atıf ve bunların bir nüshasının elde edilme  yolları veya bunların nerede sağlandığı.


2. 1. paragrafta atıfta bulunulan bilgilere ek olarak, kontrolör kişisel verilerin elde edildiği anda adil ve şeffaf bir işleme sağlanması için gereken aşağıdaki ek bilgileri veri sahibine sağlar:


(a) kişisel verilerin saklanacağı süre veya, bunun mümkün olmaması halinde, bu sürenin belirlenmesi

amacı ile kullanılan kriterler;


(b) kontrolörden kişisel verilere erişim ve kişisel verilerin düzeltilmesi ya da silinmesini veya veri sahibi ile ilgili işleme faaliyetinin kısıtlanmasını talep etme ya da işleme faaliyetine itiraz etme hakkının yanı sıra verilerin taşınabilirliği hakkının varlığı;


(c) işleme faaliyetinin 6(1) maddesinin (a) bendine veya 9(2) maddesinin (a) bendine dayandığı hallerde, rızanın  geri  çekilmesinden  önce  rızaya  dayalı  olarak  gerçekleştirilen  işleme  faaliyetinin  hukuka uygunluğu etkilenmeden, herhangi bir zamanda rızayı geri çekme hakkının varlığı;


(d) bir denetim makamına şikayette bulunma hakkı;


(e) kişisel verilerin sağlanmasının yasal ya da sözleşmeye bağlı bir gereklilik mi yoksa bir sözleşme yapılması için gereken bir gereklilik mi olduğu ve ayrıca, veri sahibinin kişisel verileri sağlamak zorunda olup olmadığı ve söz konusu verilerin sağlanmamasının muhtemel sonuçları;


(f)  profil  çıkarma  da  dahil  olmak  üzere  22(1)  ve  (4)  maddelerinde  atıfta  bulunulan  otomatik  karar vermenin varlığı ve, en azından bu hallerde, yürütülen mantığa ilişkin anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçları.


3.   Kontrolörün kişisel verileri bu verilerin toplanma amacı dışında bir amaçla işleme faaliyetine niyet ettiği  hallerde,  kontrolör  söz  konusu  işleme  faaliyetinden  önce  diğer  amaca  ilişkin  bilgileri  ve  2. paragrafta atıfta bulunulan diğer ilgili bilgileri veri sahibine sağlar.


4. Veri  sahibinin  halihazırda  bu  bilgilere  sahip  olduğu  hallerde  ve  ölçüde,  1,  2  ve  3.  paragraflar

uygulanmaz.




Madde

14


Kişisel verilerin veri sahibinden alınmadığı hallerde sağlanacak bilgiler




1. Kişisel verilerin veri sahibinden alınmaması durumunda, kontrolör veri sahibine aşağıdaki bilgileri sağlar:


(a) kontrolörün ve, uygun olduğu hallerde, kontrolörün temsilcisinin kimlik ve irtibat bilgileri; (b) uygun olduğu hallerde, veri koruma görevlisinin irtibat bilgileri;

(c) kişisel verilerin planlanan işlenme amaçlarının yanı sıra işleme faaliyetinin yasal dayanağı; (d) ilgili kişisel veri kategorileri;

(e) varsa, kişisel verilerin alıcıları veya alıcı kategorileri;


(f)  uygun  olduğu  hallerde,  kontrolörün  kişisel  verileri  üçüncü  bir  ülke  veya  uluslararası  kuruluşa aktarmayı amaçladığı ve Komisyon tarafından bir yeterlilik kararı verilip verilmediği ya da, 46 veya 47. maddelerde veya 49(1) maddesinin ikinci alt paragrafında atıfta bulunulan aktarımlar olması halinde, uygun veya münasip güvencelere ilişkin atıf ve bunların bir nüshasının elde edilme yolları veya bunların nerede sağlandığı.



2. 1. paragrafta atıfta bulunulan bilgilere ek olarak, kontrolör veri sahibi açısından adil ve şeffaf bir işleme faaliyetinin sağlanması için gereken aşağıdaki bilgileri veri sahibine sağlar:



(a) kişisel verilerin saklanacağı süre veya, bunun mümkün olmaması halinde, bu sürenin belirlenmesi

amacı ile kullanılan kriterler;



(b) işleme faaliyetinin 6(1) maddesinin (f) bendine dayanması durumunda, kontrolör veya üçüncü bir kişi

tarafından gözetilen meşru menfaatler;



(c) kontrolörden kişisel verilere erişim ve kişisel verilerin düzeltilmesi ya da silinmesini veya veri sahibi ile ilgili işleme faaliyetinin kısıtlanmasını talep etme ve işleme faaliyetine itiraz etme hakkının yanı sıra verilerin taşınabilirliği hakkının varlığı;


(d) işleme faaliyetinin 6(1) maddesinin (a) bendine veya 9(2) maddesinin (a) bendine dayandığı hallerde, rızanın  geri  çekilmesinden  önce  rızaya  dayalı  olarak  gerçekleştirilen  işleme  faaliyetinin  hukuka uygunluğu etkilenmeden, herhangi bir zamanda rızayı geri çekme hakkının varlığı;


(e) bir denetim makamına şikayette bulunma hakkı;


(f) kişisel verilerin hangi  kaynaktan alındığı,  ve uygun olduğu hallerde, kişisel verilerin kamunun erişebileceği kaynaklardan gelip gelmediği;


(g) profil çıkarma da dahil olmak  üzere  22(1)  ve  (4) maddelerinde  atıfta  bulunulan  otomatik  karar vermenin varlığı ve, en azından bu hallerde, yürütülen mantığa ilişkin anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçları.


3. Kontrolör 1 ve 2. paragraflarda atıfta bulunulan bilgileri şu şekilde sağlar:


(a) kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, ancak kişisel verilerin işlendiği

spesifik koşullar göz önünde tutularak, en geç bir ay içerisinde;



(b) kişisel verilerin veri sahibi ile iletişim açısından kullanılacak olması durumunda, en geç söz konusu

veri sahibi ile ilk kez iletişime geçildiği zaman veya


(c)  başka  bir  alıcıya  açıklamanın  öngörülmesi  halinde,  en  geç  kişisel  veriler  ilk  kez açıklandığı zaman.



4. Kontrolörün kişisel verileri bu verilerin elde edilme amacı dışında bir amaçla işleme faaliyetine niyet ettiği  hallerde,  kontrolör  söz  konusu  işleme  faaliyetinden  önce  diğer  amaca  ilişkin  bilgileri  ve  2. paragrafta atıfta bulunulan diğer ilgili bilgileri veri sahibine sağlar.


5. 1 ila 4. paragraflar aşağıdaki hallerde ve ölçüde uygulanmaz: (a)

veri sahibinin halihazırda bilgisinin olması;


(b) 89(1) maddesinde atıfta bulunulan koşullar ve güvencelere tabi olarak kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar başta olmak üzere söz konusu bilgilerin sağlanmasının imkansız olması veya ölçüsüz bir çaba gerektirmesi halinde veya bu maddenin  1.  paragrafında  atıfta  bulunulan  yükümlülüğün  bu  işleme  hedeflerinin  yakalanmasını imkansız hale getirmesi veya yakalanmasına ciddi şekilde zarar vermesinin muhtemel olduğu ölçüde. Bu durumlarda, kontrolör bilginin kamuya açıklanması da dahil olmak üzere veri sahibinin hakları ile özgürlükleri ve meşru menfaatlerinin korunması amacıyla uygun tedbirler alır;



(c) elde etme veya açıklamanın kontrolörün tabi olduğu ve veri sahibinin meşru menfaatlerinin korunması amacıyla uygun tedbirler sağlanan Birlik veya üye devlet hukukunda açık bir şekilde ortaya konması veya



(d) kişisel verilerin yasal bir gizlilik yükümlülüğü de dahil olmak üzere Birlik ya da üye devlet hukuku ile

düzenlenen bir mesleki gizlilik yükümlülüğüne tabi olarak gizli kalmasının gerekmesi.




Madde

15


Veri sahibinin erişim hakkı


1. Veri sahibinin kendisi ile ilgili kişisel verilerin işlenip işlenmediğini kontrolörden teyit etme ve, işleme faaliyeti olması halinde, kişisel verilere erişim ile aşağıdaki bilgileri talep etme hakkı bulunur:


(a) işleme amaçları;


(b) ilgili kişisel veri kategorileri;


(c) üçüncü ülkeler veya uluslararası kuruluşlardaki alıcılar başta olmak üzere, kişisel verilerin açıklandığı

veya açıklanacağı alıcılar veya alıcı kategorileri;


(d) mümkün olması halinde, kişisel verilerin saklanması açısından öngörülen süre veya, bunun mümkün

olmaması halinde, bu sürenin belirlenmesi amacı ile kullanılan kriterler;


(e)  kontrolörden  veri  sahibine  ilişkin  kişisel  verilerin  düzeltilmesi  veya  silinmesini  veya  söz  konusu verilerin  işlenmesinin  kısıtlanmasını  talep  etme  veya  söz  konusu  işleme  faaliyetine  itiraz  etme hakkının varlığı;


(f) bir denetim makamına şikayette bulunma hakkı;


(g) kişisel verilerin veri sahibinden elde edilmemesi halinde, bu verilerin kaynaklarına ilişkin mevcut bilgiler;


(h) profil çıkarma da dahil olmak  üzere  22(1)  ve  (4) maddelerinde  atıfta  bulunulan  otomatik  karar vermenin varlığı ve, en azından bu hallerde, yürütülen mantığa ilişkin anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçları.


2. Kişisel verilerin üçüncü bir ülke ya da uluslararası bir kuruluşa aktarılması durumunda, veri sahibinin aktarımla ilgili olarak 46. madde uyarınca uygun güvenceler hususunda bilgilendirilme hakkı bulunur.



3. Kontrolör işleme faaliyetinden geçen kişisel verilerin bir nüshasını sağlar. Veri sahibi tarafından talep edilen diğer nüshalar açısında, kontrolör idari masraflara dayalı olarak makul bir ücret talep edebilir. Veri sahibinin talebi elektronik yollarla yapması halinde ve veri sahibi tarafından aksi talep edilmedikçe, bilgiler yaygın kullanılan bir elektronik yolla sağlanır.


4. 3. paragrafta atıfta bulunulan bir nüsha elde etme hakkı başkalarının hakları ve özgürlüklerini olumsuz yönde etkilemez.


Kesim 3


Düzeltme ve silme



Madde

16



Düzeltme hakkı



Veri sahibinin kendileri ile ilgili doğru olmayan kişisel verilerin gereksiz gecikmeye mahal verilmeksizin düzeltilmesini kontrolörden talep etme hakkı bulunur. İşleme amaçları dikkate alınarak, veri sahibinin, bir ek beyan yoluyla da dahil olmak üzere, eksik kişisel verileri tamamlatma hakkı bulunur.


Madde

17


Silme hakkı (’unutulma hakkı’)



1. Veri sahibinin kendisi ile ilgili kişisel verilerin herhangi bir gecikmeye mahal verilmeksizin silinmesini kontrolörden  talep  etme  hakkı  bulunur  ve,  aşağıdaki  hallerden  birinin  geçerli  olması  durumunda, kontrolörün kişisel verileri herhangi bir gecikmeye mahal vermeksizin silme yükümlülüğü bulunur:


(a) kişisel verilerin toplanma veya işlenme amaçlarıyla ilişkili olarak artık gerekli olmaması;


(b) veri sahibinin 6(1) maddesinin (a) bendi veya 9(2) maddesinin (a) bendine göre işleme faaliyetinin

dayandığı izni geri çekmesi ve işleme faaliyetiyle ilgili başka bir yasal gerekçe bulunmaması;


(c) veri sahibinin 21(1) maddesi uyarınca işleme faaliyetine itirazda bulunması ve işleme faaliyetine yönelik ağır basan meşru bir gerekçe bulunmaması ya da veri sahibinin 21(2) maddesi uyarınca işleme faaliyetine itirazda bulunması;


(d) kişisel verilerin yasa dışı biçimde işlenmiş olması;


(e)  kontrolörün  tabi  olduğu  Birlik  veya  üye  devlet  hukukundaki  bir  yasal  yükümlülüğe  uygunluk

sağlanması amacı ile kişisel verilerin silinmesinin zorunlu olması;


(f) kişisel  verilerin  8(1)  maddesinde  atıfta  bulunulan  bilgi  toplumu  hizmetlerinin  sağlanması  ile  ilgili toplanmış olması.


2. Kontrolörün kişisel verileri kamuya açıklamış olduğu ve 1. paragraf uyarınca kişisel verileri silmek zorunda olduğu hallerde, kontrolör, mevcut teknoloji ve uygulama maliyetini göz önünde bulundurarak, veri sahibinin talep etmiş olduğu kişisel verileri işleyen kontrolörleri söz konusu kişisel verilere yönelik her türlü bağlantı veya bu verilerin her türlü nüshası ya da çoğaltmasının söz konusu kontrolörlerce silinmesi hususunda bilgilendirmek üzere teknik tedbirler de dahil olmak üzere makul adımları atar.


3. 1 ve 2. paragraflar işleme faaliyeti aşağıdaki amaçlar doğrultusunda gerekli olduğu ölçüde uygulanmaz:

(a) ifade ve bilgi edinme hakkının kullanılması;


(b) kontrolörün tabi olduğu Birlik veya üye devlet hukuku çerçevesinde işleme faaliyeti gerektiren bir yasal  yükümlülüğe  uygunluk  açısından  veya  kamu  yararına  gerçekleştirilen  bir  görevin  yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin uygulanması açısından;


(c) 9(2) maddesinin (h) ve (i) bentlerinin yanı sıra 9(3) maddesi uyarınca halk sağlığı alanındaki kamu

yararı sebeplerinden dolayı;


(d) 1. paragrafta atıfta bulunulan hakkın ilgili işleme hedeflerinin yakalanmasını imkansız hale getirmesi veya yakalanmasına ciddi şekilde zarar vermesinin muhtemel olduğu ölçüde, 89(1) maddesi uyarınca kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar doğrultusunda veya


(e) yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması açısından.



Madde

18



İşleme faaliyetini kısıtlama hakkı



1. Aşağıdaki durumlardan birinin geçerli olması halinde, veri sahibinin kontrolörden işleme faaliyetinin kısıtlanmasını talep etme hakkı bulunur:


(a) kişisel verilerin doğruluğuna veri sahibi tarafından itiraz edilmesi halinde, kontrolörün kişisel verilerin

doğruluğunu teyit etmesini sağlayan bir süre boyunca;


(b) işleme faaliyetinin yasa dışı olması ve veri sahibinin kişisel verilerin silinmesine itiraz etmesi ve bunun

yerine verilerin kullanımının kısıtlanmasını talep etmesi;


(c) kontrolörün işleme amaçlarına yönelik olarak artık kişisel verilere ihtiyaç duymaması, ancak veri sahibinin yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması amacıyla söz konusu verilere ihtiyaç duyması;


(d)  kontrolörün  meşru  gerekçelerinin  veri  sahibinin  meşru  gerekçelerine  ağır  basıp  basmadığı

doğrulanana kadar, veri sahibinin 21(1) maddesi uyarınca işleme faaliyetine itiraz etmesi.


2. İşleme faaliyetinin 1. paragraf kapsamında kısıtlanmış olduğu hallerde, söz konusu kişisel veriler,

saklama haricinde, yalnızca veri sahibinin rızasıyla veya yasal iddialarda bulunulması, bu iddiaların uygulanması ya da savunulmasına yönelik olarak ya da başka bir gerçek veya tüzel kişinin haklarının korunmasına  yönelik  olarak  ya  da  Birlik  veya  bir  üye  devletin  önemli  kamu  yararı  adına  önemli sebeplerinden dolayı işlenir.



3. 1. paragraf uyarınca işleme faaliyetinin kısıtlanmasını sağlayan bir veri sahibi, işleme faaliyetine

ilişkin kısıtlama kaldırılmadan önce, kontrolör tarafından bilgilendirilir.



Madde

19



Kişisel verilerin düzeltilmesine ya da silinmesine veya işleme faaliyetinin

kısıtlanmasına ilişkin bildirim yükümlülüğü



Kontrolör,  imkansız  olmaması  veya  ölçüsüz  bir  çabayı  gerektirmemesi  halinde,  16.  madde,  17(1) maddesi ve 18. madde uyarınca gerçekleştirilen her türlü kişisel veri düzeltme veya silme işlemi ya da işleme faaliyetini kısıtlama işlemini kişisel verilerin açıklandığı her alıcıya bildirir. Veri sahibinin bu yönde bir talebinin bulunması halinde, kontrolör veri sahibini bu alıcılar hakkında bilgilendirir.



Madde

20



Veri taşınabilirliği hakkı



1. Aşağıdaki hallerde, veri sahibinin kendisi ile ilgili olarak bir kontrolöre sağlamış olduğu kişisel verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilecek bir formatta alma hakkı bulunur ve kişisel verilerin sağlandığı kontrolörün herhangi bir engellemesi olmaksızın bu verileri başka bir kontrolöre iletme hakkı bulunur:


(a) işleme faaliyetinin 6(1) maddesinin (a) bendi veya 9(2) maddesinin (a) bendi uyarınca bir rızaya veya

6(1) maddesinin (b) bendi uyarınca bir sözleşmeye dayanması ve


(b) işleme faaliyetinin otomatik yollarla

gerçekleştirilmesi.


2. 1. paragraf uyarınca veri taşınabilirliği hakkını kullanırken, veri sahibinin, teknik açıdan uygulanabilir olması halinde, kişisel verilerin doğrudan bir kontrolörden diğerine ilettirme hakkı bulunur.



3. Bu maddenin 1. paragrafında atıfta bulunulan hakkın kullanımı ile 17. maddeye halel gelmez. Söz

konusu hak kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin uygulanması için gereken işleme faaliyetlerine uygulanmaz.


4. 1. paragrafta atıfta bulunulan hak başkalarının hakları ve özgürlüklerini olumsuz yönde etkilemez.


Kesim 4


İtiraz hakkı ve otomatik münferit karar verme


Madde

21


İtiraz hakkı



1. Veri sahibinin, kendi özel durumu ile ilgili gerekçelere dayalı olarak, (6)1 maddesinin (e) veya (f) bentlerindeki hükümlere dayalı olarak profil çıkarma da dahil olmak üzere bu bentlere dayalı olarak kendisi ile ilgili kişisel verilerin işlenmesine herhangi bir zamanda itiraz etme hakkı bulunur. Kontrolör veri sahibinin menfaatleri, hakları ve özgürlüklerinden ağır basan işleme faaliyetlerine yönelik olarak veya yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması açısından zorlayıcı meşru gerekçeler göstermediği sürece, kontrolör artık kişisel verileri işleyemez.



2. Kişisel verilerin doğrudan pazarlama amaçları doğrultusunda işlenmesi durumunda, veri sahibinin

doğrudan pazarlama ile alakalı olduğu ölçüde profil çıkarma da dahil olmak üzere kendisi ile ilgili kişisel verilerin söz konusu doğrudan pazarlama amacı ile işlenmesine herhangi bir zamanda itiraz etme hakkı bulunur.


3. Veri sahibinin doğrudan pazarlama amaçlarına yönelik olarak işleme faaliyetine itiraz etmesi halinde, kişisel veriler artık bu amaçlarla işlenemez



4. En geç veri sahibi ile ilk kez iletişime geçildiği zaman, 1 ve 2. paragraflarda atıfta bulunulan hak açık bir şekilde veri sahibinin dikkatine sunulur ve diğer bilgilerden açık ve ayrı bir şekilde sunulur.



5. Bilgi toplumu hizmetlerinin kullanımı bağlamında ve 2002/58/AT sayılı Direktif’e bakılmaksızın, veri

sahibi teknik açıklamaları kullanmak suretiyle otomatik yollarla itiraz hakkını kullanabilir.



6. Kişisel verilerin 89(1) maddesi uyarınca bilimsel veya tarihi araştırma amaçları ya da istatistiki

amaçlar  doğrultusunda  işlenmesi  durumunda,  işleme  faaliyeti  kamu  yararı  sebeplerinden  dolayı gerçekleştirilen bir görevin yürütülmesi için gerekli olmadığı sürece, veri sahibinin, kendi özel durumu ile ilgili gerekçelere dayalı olarak, kendisi ile ilgili kişisel verilerin işlenmesine itiraz hakkı bulunur.



Madde

22



Profil çıkarma da dahil olmak üzere otomatik münferit karar verme



1. Veri sahibinin kendisi ile ilgili hukuki sonuçlar doğuran veya benzer biçimde kendisini kayda değer şekilde etkileyen profil çıkarma da dahil olmak üzere yalnızca otomatik işleme faaliyetine dayalı bir karara tabi olmama hakkı bulunur.


2. Kararın aşağıdaki özellikleri taşıması halinde, 1. paragraf uygulanmaz:


(a) veri sahibi ve bir veri kontrolörü arasında bir sözleşme yapılması veya uygulanması için gerekli olması;


(b) kontrolörün tabi olduğu ve veri sahibinin hakları ile özgürlükleri ve meşru menfaatlerinin güvence altına alınması amacıyla uygun tedbirlerin de belirtildiği Birlik veya üye devlet hukukun çerçevesinde izin verilmesi veya


(c) veri sahibinin açık rızasına dayanması.


3. 2. paragrafın (a) ve (c) bentlerinde atıfta bulunulan hallerde, veri kontrolörü en azından kontrolör açısından insan müdahalesinin sağlanması hakkı başta olmak üzere veri sahibinin kendi görüşünü ifade etme ve karara karşı çıkma yönündeki hakları ile özgürlükleri ve meşru menfaatlerinin güvence altına alınması amacı ile uygun tedbirler uygular.



4. 9(2) maddesinin (a) veya (g) bendinin geçerli olmaması ve veri sahibinin hakları ile özgürlükleri ve

meşru menfaatlerinin güvence altına alınması amacı ile uygun tedbirlerin alınmamış olması durumunda,

2.  paragrafta  atıfta  bulunulan  kararlar  9(1)  maddesinde  atıfta  bulunulan  özel  kategorilerdeki  kişisel verilere dayanamaz.


Kesim 5 Kısıtlamalar


Madde

23


Kısıtlamalar


1. Veri  kontrolörü  veya  işleyicisinin  tabi  olduğu  Birlik  veya  üye  devlet  hukuku bir  yasama  tedbiri

vasıtasıyla;  temel  haklar  ve  özgürlüklerin  özüne  saygı  gösterdiğinde  ve  demokratik  bir  toplumda aşağıdaki hususların güvence altına alınması açısından gerekli ve orantılı bir tedbir teşkil ettiğinde 12 ila

22.  maddeler  ve  34.  maddede  öngörülen  haklar  ve  yükümlülüklerin  kapsamını,  ayrıca  5.  madde hükümleri 12 ila 22. maddelerde hükme bağlanan haklar ve yükümlülüklere uygun olduğu sürece 5. maddenin kapsamını, kısıtlayabilir:


(a) milli güvenlik; (b) savunma;

(c) kamu güvenliği;


(d) kamu güvenliğine yönelik tehditlere karşı güvence sağlanması ve bu tehditlerin önlenmesi de dâhil olmak üzere suçların önlenmesi, soruşturulması, tespiti veya kovuşturulması ya da cezaların infaz edilmesi;


(e) başta Birliğin veya bir üye devletin önemli bir ekonomik veya mali çıkarına olmak üzere parasal hususlar ile bütçe ve vergilendirmeye ilişkin hususlar, halk sağlığı ve sosyal güvenlik de dahil, Birlik ya da bir üye devletin genel kamu yararına yönelik diğer önemli hedefler;


(f) yargı bağımsızlığının ve adli süreçlerin korunması;


(g) düzenlenmiş mesleklere ilişkin etik kurallarının ihlalinin önlenmesi, soruşturulması, tespiti ve


kovuşturulması;


(h) nadiren olsa dahi, (a) ila (e) ve (g) bentlerinde belirtilen durumlarda resmi yetkinin kullanımı ile

bağlantılı bir izleme, denetleme veya düzenleme işlevi;


(i) veri sahibinin veya başkalarının haklarının ve özgürlüklerinin korunması. (j) medeni hukuktan kaynaklanan taleplere ilişkin kararların icrası.


2. Özellikle, 1. paragrafta belirtilen herhangi bir yasama tedbiri, ilgili olduğunda, aşağıdaki hususlara ilişkin hükümler içerir:


(a) işlemenin veya işleme kategorilerinin amaçları; (b) kişisel veri kategorileri;

(c) getirilen kısıtlamaların kapsamı;


(d) kötüye kullanım veya yasa dışı yollarla erişim veya aktarımın engellenmesine yönelik güvenceler; (e) kontrolör veya kontrolör kategorilerinin belirlenmesi;


(f) işleme veya işleme kategorilerinin mahiyeti, kapsamı ve amaçları dikkate alınarak saklama süreleri ve

uygulanabilir güvenceler;


(g) veri sahiplerinin hakları ve özgürlüklerine yönelik riskler ve


(h) kısıtlama amacına halel getirmemesi durumunda, veri sahiplerinin kısıtlamayla ilgili bilgi sahibi olma

hakkı.


BÖLÜM IV


Kontrolör ve işleyici


Kesim 1


Genel yükümlülükler




Madde

24


Kontrolörün sorumluluğu


1. Kontrolör,  işleme  faaliyetinin  mahiyeti,  kapsamı,  bağlamı  ve  amaçlarının  yanı  sıra  gerçek

kişilerin hakları ve özgürlükleri açısından çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, işleme faaliyetinin bu  Tüzük  uyarınca gerçekleştirilmesini sağlamak  ve bu şekilde gerçekleştirildiğini gösterebilmek için uygun teknik ve düzenlemeye ilişkin tedbirler uygular. Bu tedbirler gözden geçirilir ve, gerektiğinde, güncellenir.



2. İşleme faaliyetleri ile ilgili olarak ölçülü olması halinde, 1. paragrafta atıfta bulunulan tedbirler kontrolör tarafından uygun veri koruma politikalarının uygulanmasını kapsar.



3. 40. maddede atıfta bulunulan onaylı davranış kuralları veya 42. maddede atıfta bulunulan onaylı belgelendirme  mekanizmalarına  uygun  hareket  edilmesi  kontrolörün  yükümlülüklerine  uygunluğun gösterilmesine ilişkin bir unsur olarak kullanılabilir.


Madde

25



Özel ve olağan veri koruması



1. Kontrolör, son teknoloji, uygulama maliyeti ve işleme faaliyetinin mahiyeti,  kapsamı, bağlamı ve amaçlarının yanı sıra işleme faaliyetinin gerçek kişilerin hakları ve özgürlükleri açısından teşkil ettiği çeşitli  olasılıklar  ve  ciddiyetlere  sahip  riskleri  dikkate  alarak,  hem  işleme  yönteminin  belirlenmesi esnasında  hem  de  işleme  faaliyeti  esnasında,  verilerin  en  alt  düzeye  indirilmesi  gibi  veri  koruma ilkelerinin etkili bir şekilde uygulanması ve bu Tüzük’ün gerekliliklerinin yerine getirilmesine yönelik olarak gerekli güvencelerin entegre edilmesi amacı ile tasarlanan takma ad kullanımı gibi uygun teknik ve düzenlemeye ilişkin tedbirler uygular ve veri sahiplerinin haklarını korur.



2. Kontrolör, olağan durumda, yalnızca her spesifik işleme amacı için gereken kişisel verilerin işlenmesini sağlamaya  yönelik  uygun  teknik  ve  düzenlemeye  ilişkin  tedbirler  uygular.  Söz  konusu  yükümlülük toplanan  kişisel  veri  miktarı,  bunların  işlenme  derecesi,  saklama  süresi  ve  bunlara  erişilebilirliğe uygulanır.  Özellikle,  söz  konusu  tedbirler,  olağan  durumda,  bireyin  müdahalesi  olmaksızın  kişisel verilerin belirsiz sayıda gerçek kişinin erişimine açılmamasını sağlar.



3. 42. madde uyarınca onaylı bir belgelendirme mekanizması bu maddenin 1 ve 2. paragraflarında

ortaya konan gerekliliklere uygunluğun gösterilmesine ilişkin bir unsur olarak kullanılabilir.



Madde

26



Ortak

kontrolörler



1. İki ya da daha fazla sayıda kontrolörün işleme amaçları ve yöntemlerini ortak bir şekilde belirlediği hallerde, bu kontrolörler ortak kontrolörlerdir. Ortak kontrolörler, kontrolörlerin ilgili sorumlulukları kontrolörün  tabi  olduğu  Birlik  veya  üye  devlet  hukuku  çerçevesinde  belirlenmedikçe  ve  belirlendiği sürece,  özellikle  veri  sahibinin  haklarının  kullanımı  ve  13  ve  14.  maddelerde  atıfta  bulunulan  bilgi sağlama   görevleri   ile   ilgili   olarak   bu   Tüzük   kapsamındaki   yükümlülüklere   uygunluğa   ilişkin sorumluluklarını   aralarındaki   bir   düzenleme   vasıtasıyla   şeffaf   bir   şekilde   belirler.   Düzenleme çerçevesinde veri sahiplerine yönelik bir temas noktası belirlenebilir.



2.  1.  paragrafta  atıfta  bulunulan  düzenleme  ortak  kontrolörlerin  veri  sahipleriyle  karşılıklı  rolleri  ve ilişkilerini uygun şekilde yansıtır. Düzenlemenin mahiyeti veri sahibine sağlanır.



3. 1.  paragrafta  atıfta  bulunulan  düzenlemenin  koşullarına  bakılmaksızın,  veri  sahibi  bu  Tüzük

kapsamındaki haklarını her kontrolör açısından ve her kontrolöre karşı kullanabilir.



Madde

27


Birlik içerisinde kurulu olmayan kontrolörler veya işleyicilerin

temsilcileri


1. 3(2) maddesinin uygulandığı hallerde, kontrolör veya işleyici yazılı olarak Birlik içerisinde bir temsilci belirtir.


2. Bu maddenin 1. paragrafında belirtilen yükümlülük aşağıdaki durumlara uygulanmaz:


(a) nadiren gerçekleşen, 9(1) maddesinde atıfta bulunulan özel veri kategorilerinin işlenmesini büyük çaplı olarak içeren işleme faaliyeti veya 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlar ile ilgili olan ve, işleme faaliyetinin mahiyeti, bağlamı, kapsamı ve amaçları dikkate alındığında,  gerçek  kişilerin  hakları  ve  özgürlükleri  açısından  bir  riske  sebep  olması  muhtemel olmayan bir işleme faaliyeti veya


(b) bir kamu kuruluşu veya organı.


3.   Temsilcilik kişisel verileri kendilerine mal veya hizmetlerin sağlanması ile ilgili olarak işlenen veya davranışı izlenen veri sahiplerinin bulunduğu üye devletlerin birinde kurulur.


4. Temsilci, işleme faaliyeti ile ilgili tüm hususlarda, bu Tüzük’e uygunluk sağlanması amacıyla, özellikle denetim makamları ve veri sahipleri tarafından kontrolör veya işleyiciye ek olarak veya bunlar yerine muhatap kabul edilmek üzere kontrolör veya işleyici tarafından yetkilendirilir.

5. Kontrolör  veya  işleyici  tarafından  bir  temsilci  belirlenmesiyle  kontrolör  veya  işleyiciye  karşı

açılabilecek davalara halel gelmez.


Madde

28



İşleyici



1. Bir kontrolör adına bir  işleme faaliyetinin  gerçekleştirilmesinin gerektiği hallerde, kontrolör ancak işleme  faaliyetinin  bu  Tüzük’ün  gerekliliklerinin  yerine  getirilmesini  ve  veri  sahibinin  haklarının korunmasını sağlayacak biçimde uygun teknik ve düzenlemeye ilişkin tedbirler uygulama hususunda yeterli güvenceler sağlayan işleyiciler kullanır.



2. İşleyici kontrolörün önceden verdiği spesifik veya genel yazılı onay olmaksızın başka bir işleyiciyle çalışamaz. Genel yazılı onay halinde, işleyici diğer işleyicilerin eklenmesi veya değiştirilmesi ile ilgili planlanan değişiklikler hususunda kontrolörü bilgilendirerek kontrolöre söz konusu değişikliklere itiraz etme olanağı tanır.


3. Bir işleyici tarafından işleme faaliyeti gerçekleştirilmesi Birlik veya üye devlet hukuku çerçevesinde düzenlenen, kontrolör ile ilgili olarak işleyici açısından bağlayıcı olan ve işleme faaliyetinin konusu ve süresi, işleme faaliyetinin mahiyeti ve amacı, kişisel verilerin türü ve veri sahiplerinin kategorileri ile kontrolörün yükümlülükleri ve haklarının ortaya konduğu bir sözleşme veya diğer hukuki tasarruflar ile düzenlenir. Söz konusu sözleşme veya diğer hukuki tasarruflarda özellikle işleyicinin şunları yapacağı belirtilir:


(a)  işleyicinin  tabi  olduğu  Birlik  veya  üye  devlet  hukuku  çerçevesinde  bu  yönde  bir  gereklilik bulunmaması halinde, üçüncü bir ülkeye veya uluslararası bir kuruluşa kişisel veri aktarımları ile ilgili olanlar da dahil olmak üzere yalnızca kontrolörün verdiği belgelendirilmiş talimatlar doğrultusunda kişisel verilerin işlenmesi; bu durumda, kanunlar çerçevesinde söz konusu bilgilendirmenin önemli kamu yararı gerekçeleriyle yasaklanmaması halinde, işleyici kontrolörü işleme faaliyetinden önce bu yasal gereksinimden haberdar eder;


(b) kişisel verileri işleme yetkisi bulunan kişilerin gizlilik taahhüdünde bulunmasının veya uygun bir yasal

gizlilik yükümlülüğü altında bulunmasının sağlanması;


(c) 32. madde uyarınca gerekli tüm tedbirlerin alınması;



(d) başka bir işleyiciyle çalışılması amacıyla 2 ve 4. paragraflarda atıfta bulunulan koşullara riayet

edilmesi;


(e)  işleme  faaliyetinin  mahiyetinin  dikkate  alınması  suretiyle,  kontrolörün  veri  sahibinin  Bölüm  III’te belirtilen haklarının kullanımına ilişkin taleplere  yanıt verme yükümlülüğünün yerine getirilmesine yönelik  olarak,  uygun  teknik  ve  düzenlemeye  ilişkin  tedbirler  vasıtasıyla,  kontrolöre  mümkün olduğunca yardımcı olunması;


(f) işleme faaliyetinin mahiyeti ve işleyiciye sağlanan bilgilerin dikkate alınması suretiyle, 32 ila 36. maddeler uyarınca yükümlülüklere uygun hareket edilmesinin sağlanmasında kontrolöre yardımcı olunması;


(g) kontrolörün tercihi üzerine, işleme faaliyeti ile ilgili hizmetlerin sağlanmasından sonra tüm kişisel verilerin silinmesi veya kontrolöre iade edilmesi ve, Birlik ya da üye devlet hukuku çerçevesinde kişisel verilerin saklanmasının gerekli olmaması durumunda, mevcut nüshaların silinmesi;


(h)  bu  maddede  ortaya  konan  yükümlülüklere  uygunluğun  gösterilmesi  için  gereken  tüm  bilgilerin kontrolöre  sağlanması  ve  teftişler  de  dahil  olmak  üzere  kontrolör  tarafından  ya  da  kontrolörce yetkilendirilen  başka  bir  denetçi  tarafından  gerçekleştirilen  denetimlere  izin  verilmesi  ve  katkıda bulunulması.


İlk alt paragrafın (h) bendi ile ilgili olarak, kendi görüşüne göre bir talimatın bu Tüzük veya Birlik ya da üye devletin diğer veri koruma hükümlerini ihlal etmesi durumunda, kontrolörü ivedilikle bilgilendirir.



4. Bir işleyicinin kontrolör adına spesifik işleme faaliyetlerinin gerçekleştirilmesine yönelik olarak başka bir işleyici ile çalıştığı durumlarda, 3. paragrafta atıfta bulunulduğu üzere kontrolör ve işleyici arasındaki sözleşme veya başka bir hukuki tasarrufta ortaya konan veri koruma yükümlülükleri özellikle işleme faaliyetinin  bu  Tüzük’ün  gerekliliklerinin  yerine  getirilmesini  sağlayacak  şekilde  uygun  teknik  ve düzenlemeye ilişkin tedbirlerin uygulanması amacı ile yeterli teminatlar sağlayan bir sözleşme ya da Birlik veya üye devlet hukuku kapsamındaki başka bir hukuki tasarruf yoluyla diğer işleyici açısından da uygulanır. Diğer işleyicinin veri koruma yükümlülüklerini yerine getiremediği hallerde, ilk işleyici diğer işleyicinin yükümlülüklerinin ifası konusunda kontrolöre karşı tam yükümlülük sahibi olmaya devam eder.



5.  Bir  işleyicinin  40.  maddede  atıfta  bulunulan  onaylı  davranış  kuralları  veya  42.  maddede  atıfta bulunulan  onaylı  belgelendirme  mekanizmalarına  uygun  hareket  etmesi  bu  maddenin  1  ve  4. paragraflarında atıfta bulunulan yeterli teminatların gösterilmesine ilişkin bir unsur olarak kullanılabilir.



6. Kontrolör ve işleyici arasındaki bireysel bir sözleşmeye halel gelmeksizin, bu maddenin 3 ve 4. paragraflarında atıfta bulunulan sözleşme ya da başka bir hukuki tasarruf, 42 ve 43. maddeler uyarınca kontrolör veya işleyiciye sağlanan bir belgelendirmenin parçası olmaları durumu da dahil olmak üzere, tamamen  veya  kısmen,  bu  maddenin  7  ve  8.  paragraflarında  atıfta  bulunulan  standart  sözleşme maddelerine dayanabilir.



7. Komisyon bu maddenin 3 ve 4. paragraflarında atıfta bulunulan hususlara yönelik olarak ve 93(2)

maddesinde atıfta bulunulan inceleme usulü uyarınca standart sözleşme maddeleri oluşturabilir.



8. Bir denetim makamı bu maddenin 3 ve 4. paragraflarında atıfta bulunulan hususlara yönelik olarak ve

63. maddede atıfta bulunulan tutarlık mekanizması uyarınca standart sözleşme maddeleri kabul edebilir.



9. 3 ve 4. paragraflarda atıfta bulunulan sözleşme veya diğer hukuki tasarruflar elektronik format da

dahil olmak üzere yazılı olarak hazırlanır.



10. 82, 83 ve 84. maddelere halel gelmeksizin, bir işleyicinin işleme amaçları ve yöntemlerini belirleyerek bu  Tüzük’ü  ihlal  etmesi  durumunda,  işleyici  bu  işleme  faaliyeti  açısından  bir  kontrolör  olarak değerlendirilir.


Madde

29


Kontrolör veya işleyicinin yetkisi kapsamındaki

işleme faaliyeti



İşleyici ve kontrolör ya da işleyicinin yetkisi ile hareket eden ve kişisel verilere erişimi bulunan herhangi bir  kişi,  Birlik  ya  da  üye  devlet  hukuku  çerçevesinde  bu  yönde  hareket  etmesinin  gerekmemesi durumunda, kontrolörden aldığı talimatlar haricinde bu verileri işleyemez.


Madde

30


İşleme faaliyetlerinin

kayıtları



1. Her kontrolör ve, uygun olduğu hallerde, kontrolörün temsilcisi kendi sorumluluğu altındaki işleme faaliyetlerine ilişkin bir kayıt tutar. Bu kayıt aşağıdaki bilgilerin tamamını ihtiva eder:


(a) kontrolör ve, uygun olduğu hallerde, ortak kontrolör, kontrolörün temsilcisi ve veri koruma görevlisinin isim ve irtibat bilgileri;


(b) işleme amaçları;


(c) veri sahibi kategorileri ve kişisel veri kategorileriyle ilgili bir açıklama;


(d)  üçüncü  ülkeler  veya  uluslararası  kuruluşlardaki  alıcılar  da  dahil  olmak  üzere,  kişisel  verilerin

açıklandığı veya açıklanacağı alıcı kategorileri;


(e) uygun olduğu hallerde, üçüncü bir ülke veya uluslararası bir kuruluşun tanımlanması ve, 49(1) maddesinin ikinci alt paragrafında atıfta bulunulan aktarımlar olması halinde, uygun güvencelere ilişkin belgelendirme de dahil olmak  üzere, söz konusu üçüncü ülke veya  uluslararası kuruluşa yönelik kişisel veri aktarımları;


(f) mümkün olması halinde, farklı kategorilerdeki verilerin silinmesiyle ilgili öngörülen süre sınırları;


(g) mümkün olması halinde, 32(1) maddesinde atıfta bulunulan teknik ve düzenlemeye ilişkin güvenlik tedbirlerine yönelik genel bir açıklama.



2. Her işleyici ve, uygun olduğu hallerde, işleyicinin temsilcisi bir kontrolör adına gerçekleştirilen tüm kategorilerdeki işleme faaliyetlerine ilişkin olarak aşağıdakileri ihtiva eden bir kayıt tutar:


(a) işleyici veya işleyiciler ile işleyicinin adına hareket ettiği her kontrolörün ve, uygun olduğu hallerde,

kontrolör ya da işleyicinin temsilcisi ve veri koruma görevlisinin isim ve irtibat bilgileri;


(b) her işleyici adına gerçekleştirilen işleme kategorileri;


(c) uygun olduğu hallerde, üçüncü bir ülke veya  uluslararası bir kuruluşun tanımlanması ve, 49(1) maddesinin ikinci alt paragrafında atıfta bulunulan aktarımlar olması halinde, uygun güvencelere ilişkin belgelendirme de dahil olmak  üzere, söz konusu üçüncü ülke veya  uluslararası kuruluşa yönelik kişisel veri aktarımları;


(d) mümkün olması halinde, 32(1) maddesinde atıfta bulunulan teknik ve düzenlemeye ilişkin güvenlik tedbirlerine yönelik genel bir açıklama.


3. 1 ve 2. paragraflarda atıfta bulunulan kayıtlar elektronik format da dahil olmak üzere yazılı olarak tutulur.


4. Kontrolör ve işleyici ile, uygun olduğu hallerde, kontrolörün veya işleyicinin temsilcisi, talep üzerine, kayıtları denetim makamına sağlar.


5. Gerçekleştirdiği işleme faaliyetinin veri sahiplerinin hakları ve özgürlükleri açısından bir riske sebebiyet vermesinin muhtemel olmaması, işleme faaliyetinin nadiren gerçekleştirilmemesi veya işleme faaliyetinin 9(1)  maddesinde  atıfta  bulunulan  özel  kategorilerdeki  verileri  yad  a  10.  maddede  atıfta  bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verileri kapsamaması durumunda, 1 ve 2. paragraflarda atıfta bulunulan yükümlülükler 250’den az kişi istihdam eden bir işletme veya kuruluşa uygulanmaz.


Madde

31



Denetim makamıyla işbirliği



Kontrolör  ve  işleyici  ile,  uygun  olduğu  hallerde,  bunların  temsilcileri,  talep  üzerine,  görevlerinin yürütülmesi ile ilgili olarak denetim makamı ile işbirliği yapar.



Kesim 2


Kişisel verilerin güvenliği



Madde

32


İşleme güvenliği


1. Kontrolör ve işleyici, son teknoloji, uygulama maliyetleri ve işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hakları ve özgürlükleri açısından çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, risk açısından uygun bir güvenlik seviyesi sağlamak üzere, uygun olduğu hallerde, aşağıdakiler de dahil olmak üzere uygun teknik ve düzenlemeye ilişkin tedbirler uygular:


(a) kişisel verilerde takma ad kullanımı ve şifreleme;


(b) işleme sistemleri ve hizmetlerinin gizliliği, bütünlüğü, elverişliliği ve esnekliğinin sürekli olarak

sağlanabilmesi;


(c) fiziksel veya teknik bir olay halinde, kişisel verilerin elverişliliği ve kişisel verilere erişimin vakitlice eski

haline getirilebilmesi;


(d) işleme faaliyetinin güvenliliğinin sağlanmasına yönelik olarak teknik ve düzenlemeye ilişkin tedbirlerin

etkililiğinin düzenli olarak sınanması, ölçülmesi ve değerlendirilmesine ilişkin süreç.


2. Uygun güvenlik seviyesi değerlendirilirken, iletilen, saklanan veya işlenen kişisel verilerin kazara

veya yasa dışı olarak imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişim başta olmak üzere özellikle işleme faaliyetinin yol açtığı riskler göz önünde bulundurulur.



3. 40. maddede atıfta bulunulan onaylı davranış kuralları veya 42. maddede atıfta bulunulan onaylı

belgelendirme  mekanizmasına  uygun  hareket  edilmesi  bu  maddenin  1.  paragrafında  ortaya  konan gerekliliklere uygunluğun gösterilmesine ilişkin bir unsur olarak kullanılabilir.



4. Kontrolör ve işleyici kontrolör ya da işleyicinin yetkisi ile hareket eden ve kişisel verilere erişimi bulunan herhangi bir gerçek kişinin, Birlik ya da üye devlet hukuku çerçevesinde bu yönde hareket etmesinin gerekmemesi durumunda, kontrolörden aldığı talimatlar haricinde bu verileri işlememesini sağlamak üzere adımlar atar.



Madde

33



Bir kişisel veri ihlalinin denetim makamına bildirilmesi


1. Bir kişisel veri ihlali olması durumunda, kişisel veri ihlalinin gerçek kişilerin hakları ve özgürlükleri açısından bir riske sebebiyet vermesinin muhtemel olmaması haricinde, kontrolör, gereksiz gecikmeye mahal  vermeden  ve,  uygun  olması  halinde,  ihlalden  haberdar  olduktan  itibaren  en  geç  72  saat içerisinde, kişisel veri ihlalini 55. madde uyarınca yetkin denetim makamına bildirir.



Denetim  makamına  yönelik  bildirimin  72  saat  içerisinde  yapılmadığı  hallerde,  bu  bildirimle  birlikte gecikme sebeplerine de yer verilir.


2.  İşleyici,  bir  kişisel  veri  ihlalinden  haberdar  olduktan  sonra,  herhangi  bir  gecikmeye  mahal vermeden, kontrolöre bildirimde bulunur.


3. 1. paragrafta atıfta bulunulan bildirimde en azından:


(a) uygun olduğu hallerde, ilgili veri sahibi kategorileri ve yaklaşık sayısı ile ilgili kişisel veri kaydı

kategorileri ve yaklaşık sayısı da dahil olmak üzere kişisel veri ihlalinin mahiyeti açıklanır;


(b) veri koruma görevlisi veya daha fazla bilginin elde edilebileceği başka bir temas noktasının isim ve

irtibat bilgileri iletilir;


(c) kişisel veri ihlalinin olası sonuçları açıklanır;


(d) uygun olduğu hallerde, kişisel veri ihlalinin olası olumsuz etkilerinin azaltılmasına yönelik tedbirler de dahil olmak üzere kişisel veri ihlalinin ele alınması için kontrolör tarafından alınan veya alınması önerilen tedbirler açıklanır.


4.  Bilgilerin  aynı  zamanda  sağlanmasının  mümkün  olmadığı  hallerde  ve  ölçüde,  bilgiler  gereksiz herhangi bir ek gecikmeye mahal verilmeksizin aşamalı olarak sağlanabilir.



5. Kontrolör kişisel veri ihlallerini kişisel veri ihlaline ilişkin bilgiler, etkileri ve gerçekleştirilen düzeltici işlemi  de  kapsayacak  şekilde  belgelendirir.  Bu  belgelendirme  denetim  makamının  bu  maddeye uyumluluğu doğrulamasını sağlar.



Madde

34



Bir kişisel veri ihlalinin veri sahibine iletilmesi



1. Kişisel veri ihlalinin gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir riske sebebiyet

vermesinin  muhtemel  olduğu  hallerde,  kontrolör  kişisel  veri  ihlalini  gereksiz  bir  gecikmeye  mahal vermeden veri sahibine iletir.


2. Bu maddenin  1. paragrafında atıfta bulunulan  veri sahibine ilişkin bildirimde kişisel veri ihlalinin mahiyeti açık ve sade bir dille açıklanır ve en azından 33(3) maddesinin (b), (c) ve (d) bentlerinde atıfta bulunulan bilgiler ve tedbirlere yer verilir.



3. Aşağıdaki koşulların herhangi birinin yerine getirilmesi durumunda, 1. paragrafta atıfta bulunulan

veri sahibine ilişkin bildirim gerekmez:


(a) kontrolörün uygun teknik ve düzenlemeye ilişkin koruma tedbirleri uygulaması ve kişisel verileri bu verilere erişim  yetkisi bulunmayan herkese okunamaz hale getiren şifreleme gibi tedbirler başta olmak üzere bu tedbirlerin kişisel veri ihlalinden etkilenen kişisel verilere uygulanmış olması;


(b) kontrolörün 1. paragrafta atıfta bulunulan veri sahiplerinin hakları ve özgürlüklerine ilişkin yüksek

riskin ortaya çıkmasının artık mümkün olmamasını sağlayan ek tedbirler alması;


(c) bildirimin ölçüsüz bir çaba gerektirecek olması. Bu durumda, bunun yerine, veri sahiplerinin aynı

etkililikle bilgilendirildiği kamuya yönelik bir bildirim veya benzeri bir tedbir uygulanır.


4. Kontrolörün halihazırda kişisel veri ihlalini veri sahibine iletmemiş olması durumunda, denetim makamı,  kişisel  veri  ihlalinin  yüksek  bir  riske  sebebiyet  verme  olasılığını  değerlendirdikten  sonra, kontrolörün bu bildirimi yapmasını şart koşabilir veya 3. paragrafta atıfta bulunulan koşullardan herhangi birinin yerine getirilmesine karar verebilir.



Kesim 3


Veri koruma etki değerlendirmesi ve ön istişare


Madde

35


Veri koruma etki değerlendirmesi



1. Özellikle yeni teknolojiler kullanıldığında ve işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçları dikkate alındığında bir işleme türünün gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir riske sebebiyet vermesinin muhtemel olduğu hallerde, kontrolör, işleme faaliyetinden önce, öngörülen işleme faaliyetlerinin  kişisel  verilerin  korunmasına  olan  etkisine  ilişkin  bir  değerlendirme  yapar.  Tek  bir değerlendirmede benzeri yüksek riskler taşıyan bir dizi benzer işleme faaliyeti ele alınabilir.



2. Kontrolör,  bir  veri koruma etki değerlendirmesi gerçekleştirirken, belirlenmiş  olması halinde,  veri koruma görevlisinin tavsiyesine başvurur.


3. 1. paragrafta atıfta bulunulan bir veri koruma etki değerlendirmesine aşağıdaki durumlarda özellikle ihtiyaç duyulur:


(a)  gerçek  kişilerle  ilgili  kişisel  özellikler  hususunda  profil  çıkarma  da  dahil  olmak  üzere  otomatik işlemeye dayalı olan ve gerçek kişi ile ilgili hukuki sonuçlar doğuran veya gerçek kişiyi kayda değer şekilde etkileyen kararların dayandığı sistematik ve kapsamlı bir değerlendirme;


(b) 9(1) maddesinde atıfta bulunulan özel kategorilerdeki verilerin veya 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesi veya


(c) kamunun erişebileceği bir alanın büyük çaplı olarak sistematik bir şekilde izlenmesi.


4. Denetim makamı 1. paragraf uyarınca bir veri koruma etki değerlendirmesi gerekliliğine tabi olan

işleme faaliyeti türlerine ilişkin bir liste oluşturur ve bu listeyi kamuya açıklar. Denetim makamı bu listeleri

68. maddede atıfta bulunulan Kurula iletir.



5. Denetim makamı herhangi bir veri koruma etki değerlendirmesinin gerekli olmadığı işleme faaliyeti türlerine ilişkin bir liste oluşturur ve bu listeyi kamuya açıklar. Denetim makamı bu listeleri Kurula iletir.



6. 4 ve 5. paragraflarda atıfta bulunulan listelerin kabulünden önce, söz konusu listelerin veri sahiplerine mallar veya hizmetlerin sağlanması ya da onların çeşitli üye devletlerdeki davranışlarının izlenmesi ile ilgili olan veya kişisel verilerin Birlik içerisinde serbest dolaşımını kayda değer ölçüde etkileyebilecek işleme faaliyetlerine yer verildiği hallerde, yetkin denetim makamı 63. maddede atıfta bulunulan tutarlılık mekanizmasını uygular.


7. Değerlendirme en azından şunları içerir:


(a)  uygun olduğu hallerde, kontrolör tarafından gözetilen meşru menfaat de dahil olmak üzere öngörülen işleme faaliyetleri ve işleme amaçlarına ilişkin sistematik bir açıklama;


(b) işleme faaliyetlerinin amaçlarla ilişkili olarak gerekliliği ve orantılılığına yönelik bir değerlendirme; (c) 1. paragrafta atıfta bulunulduğu üzere veri sahiplerinin hakları ve özgürlüklerine yönelik risklere ilişkin bir değerlendirme ve


(d) veri sahipleri ve ilgili diğer kişilerin hakları ve meşru menfaatleri dikkate alınarak, kişisel verilerin korunmasının sağlanması ve bu Tüzük’e uygun hareket edildiğinin gösterilmesiyle ilgili güvenceler, güvenlik tedbirleri ve mekanizmalar da dahil olmak üzere risklerin ele alınması hususunda öngörülen tedbirler.


8. 40. maddede atıfta bulunulan onaylı davranış kurallarına ilgili kontrolörler veya işleyiciler tarafından uyum, söz konusu kontrolörler veya işleyiciler tarafından özellikle bir veri koruma etki değerlendirmesi amaçlarına yönelik olarak gerçekleştirilen işleme faaliyetlerinin etkisinin değerlendirilmesi hususunda dikkate alınır.



9. Uygun olduğu hallerde, kontrolör, ticari menfaatler veya kamu menfaatlerinin korunmasına ya da işleme faaliyetlerinin güvenliğine halel gelmeksizin, veri sahipleri veya temsilcilerinin amaçlanan işleme faaliyetine ilişkin görüşlerini alır.



10. 6(1) maddesinin (c) veya (e) bendi uyarınca gerçekleştirilen bir işleme faaliyetinin Birlik hukukunda veya kontrolörün tabi olduğu üye devletin kanununda bir yasal dayanağının bulunduğu, söz konusu kanunun  spesifik  bir  işleme  faaliyeti  veya  bir  dizi  faaliyeti  düzenlediği  ve  bir  veri  koruma  etki değerlendirmesinin söz konusu yasal dayanağın kabulü bağlamında genel bir etki değerlendirmesinin parçası olarak halihazırda gerçekleştirilmiş olduğu hallerde, üye devletlerin işleme faaliyetlerinden önce böylesi bir değerlendirme yapılmasını gerekli görmemesi durumunda, 1 ila 7. paragraflar uygulanmaz.



11. Gerekmesi halinde, en azından işleme faaliyetlerinin teşkil ettiği risk açısından bir değişiklik meydana geldiğinde,  kontrolör  işleme  faaliyetinin  veri  koruma  etki  değerlendirmesi  uyarınca  gerçekleştirilip gerçekleştirilmediğini değerlendirmek üzere bir gözden geçirme gerçekleştirir.


Madde

36


Ön istişare


1. 35. madde kapsamındaki bir veri koruma etki değerlendirmesi sonucunda kontrolör tarafından riskin azaltılması  hususunda  alınan  tedbirlerin  olmaması  durumunda  işleme  faaliyetinin  yüksek  bir  riske sebebiyet  vereceğinin  görüldüğü  hallerde,  kontrolör  işleme  faaliyetinden  önce  denetim  makamına danışır.


2. Kontrolörün riski yeterli şekilde tanımlamadığı veya azaltmadığı haller başta olmak üzere denetim makamının  1.  paragrafta  atıfta  bulunulan  amaçlanan  işleme  faaliyetinin  bu  Tüzük’ü  ihlal  edeceğini düşündüğü hallerde, denetim makamı, istişare talebinin alınmasından itibaren sekiz haftalık bir süre içerisinde, kontrolöre ve uygun olduğu hallerde işleyiciye, yazılı tavsiyede bulunur ve, 58. maddede atıfta bulunulan yetkilerinden herhangi birini kullanabilir. Bu süre, amaçlanan işleme faaliyetinin karmaşıklığı dikkate alınarak, altı hafta daha uzatılabilir. Denetim makamı, gecikme sebepleri ile birlikte istişare talebinin alınmasından itibaren bir ay içerisinde herhangi bir süre uzatımı ile ilgili olarak kontrolörü ve, uygun olduğu hallerde, işleyiciyi bilgilendirir. Bu süreler, denetim makamı istişare amacıyla talep etmiş olduğu bilgileri elde edene kadar askıya alınabilir.



3. 1. paragraf uyarınca denetim makamına danışılırken, kontrolör denetim makamına şunları sağlar:


(a) uygun olduğu hallerde, kontrolör, ortak kontrolörler ve işleme faaliyetine müdahil işleyicilerin özellikle

bir teşebbüsler grubu dahilindeki işleme faaliyetine yönelik sorumlulukları;


(b) planlanan işleme amaçları ve yöntemleri;


(c) veri sahiplerinin hakları ve özgürlüklerinin korunması amacı ile bu Tüzük uyarınca sağlanan tedbirler ve güvenceler;


(d) uygun olduğu hallerde, veri koruma görevlisinin irtibat bilgileri;


(e) 35. maddede belirtilen veri koruma etki değerlendirmesi ve (f) denetim makamının talep ettiği diğer bilgiler.


4. Üye devletler bir ulusal parlamento tarafından kabul edilecek bir yasama tedbiri teklifinin veya böylesi bir  yasama  tedbirine  yönelik  olarak  işleme  faaliyetine  ilişkin  bir  düzenleme  tedbirinin  hazırlanması esnasında denetim makamına danışır.



5. 1. paragrafa bakılmaksızın, üye devlet hukuku çerçevesinde sosyal koruma ve halk sağlığına ilişkin bir işleme faaliyeti de dahil olmak üzere kontrolör tarafından kamu yararına gerçekleştirilen bir görevin yürütülmesine yönelik olarak bir kontrol tarafından gerçekleştirilecek işleme faaliyeti ile alakalı olarak kontrolörlerin denetim makamına danışması ve ön onay alması gerekebilir.


Kesim 4


Veri koruma görevlisi


Madde

37


Veri koruma görevlisinin

belirlenmesi


1. Kontrolör ve işleyici aşağıdaki durumlarda her halükarda bir veri koruma görevlisi belirler:


(a) işleme faaliyetinin kendi yargı yetkisi çerçevesinde hareket eden mahkemeler haricindeki bir kamu kuruluşu veya organı tarafından gerçekleştirilmesi;


(b)  kontrolör  veya  işleyicinin  temel  faaliyetlerinin  yapıları,  kapsamları  ve/veya  amaçları  gereği  veri sahiplerinin  düzenli  ve  sistematik  bir  şekilde  büyük  çaplı  olarak  izlenmesini  gerektiren  işleme faaliyetlerinden meydana gelmesi veya


(c) kontrolör veya işleyicinin temel faaliyetlerinin 9 maddesi uyarınca özel kategorilerdeki verilerin ve 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesinden meydana gelmesi.


2. Bir veri koruma görevlisine her işletmeden kolay bir şekilde erişilebilmesi koşuluyla, bir teşebbüsler

grubu tek bir veri koruma görevlisi belirleyebilir.



3. Kontrolör veya işleyicinin bir kamu kuruluşu ya da organı olduğu hallerde, çeşitli kamu kuruluşları veya organların  teşkilat  yapısı  dikkate  alınarak,  bunlara  yönelik  olarak  tek  bir  veri  koruma  görevlisi belirlenebilir.



4. 1. paragrafta atıfta bulunulanlar haricindeki durumlarda, kontrolör veya işleyici  ya da birlikler ve kontrolör ya da işleyici kategorilerini temsil eden diğer organlar bir veri koruma görevlisi belirleyebilir veya, Birlik veya üye devlet hukuku çerçevesinde gerektiği hallerde, bir veri koruma görevlisi belirler. Veri koruma görevlisi söz konusu birlikler ve kontrolörler ya da işleyicileri temsil eden diğer organlar adına hareket edebilir.



5. Veri koruma görevlisi mesleki nitelikler ve, özellikle, veri koruma hukuku ve uygulamalarına ilişkin

uzmanlık  bilgisi ve 39. maddede atıfta bulunulan görevleri  yerine getirme kabiliyetine dayalı olarak belirlenir.


6. Veri  koruma  görevlisi  kontrolör  veya  işleyicinin  bir  çalışanı  olabilir  veya  görevlerini  bir  hizmet

sözleşmesine dayalı olarak yerine getirebilir.



7. Kontrolör veya işleyici veri koruma görevlisinin irtibat bilgilerini yayımlar ve denetim makamına iletir.



Madde

38


Veri koruma görevlisinin konumu



1. Kontrolör ve işleyici veri koruma görevlisinin kişisel verilerin korunmasına ilişkin tüm konulara uygun

bir şekilde ve zamanında müdahil olmasını sağlar.


2. Kontrolör ve işleyici 39. maddede atıfta bulunulan görevlerin gerçekleştirilmesi, kişisel veriler ile işleme faaliyetlerine erişilmesi ve uzmanlık bilgisinin aynı seviyede tutulması için gereken kaynakları sağlayarak bu görevlerin yerine getirilmesi hususunda veri koruma görevlisine destek verir.



3. Kontrolör ve işleyici veri koruma görevlisinin bu görevlerin yerine getirilmesi ile ilgili olarak hiçbir talimat almamasını sağlar. Veri koruma görevlisi görevlerinin yerine getirilmesi nedeniyle kontrolör ya da işleyici tarafından işten çıkarılamaz veya cezalandırılamaz. Veri koruma görevlisi doğrudan kontrolör veya işleyicinin en üst yönetimine rapor verir.



4. Veri sahipleri kişisel verilerinin işlenmesi ve bu Tüzük kapsamındaki haklarının kullanımı ile ilgili tüm hususlarla alakalı olarak veri koruma görevlisiyle irtibata geçebilir.



5. Veri koruma görevlisi, Birlik veya üye devlet hukuku uyarınca, görevlerinin yerine getirilmesi ile ilgili

olarak sır saklama veya gizlilik ilkelerine bağlıdır.



6. Veri koruma görevlisi başka görevleri ve vazifeleri de yerine getirebilir. Kontrolör veya işleyici söz konusu görev ve vazifelerin bir çıkar çatışmasına neden olmamasını sağlar.



Madde

39



Veri koruma görevlisinin

görevleri


1. Veri koruma görevlisinin en azından aşağıdaki görevleri bulunur:


(a) kontrolör veya işleyici ile işleme faaliyetleri gerçekleştiren çalışanların bu Tüzük ile Birlik veya üye devletlerin diğer veri koruma hükümleri uyarınca yükümlülükleri hususunda bilgilendirilmesi ve onlara tavsiyede bulunulması;


(b)  bu Tüzük’e, Birlik veya üye devletlerin diğer veri koruma hükümlerine uyumluluğu ve sorumlulukların verilmesi, işleme faaliyetlerine müdahil personelin bilinçlendirilmesi ve eğitimi ve ilgili denetimler de dahil  olmak  üzere  kontrolör  veya  işleyicinin  kişisel  verilerin  korunmasına  ilişkin  politikalarına uyumluluğun izlenmesi;


(c) talep üzerine veri koruma etki değerlendirmesine ilişkin tavsiyede bulunulması ve 35. madde uyarınca

bu değerlendirmenin performansının izlenmesi;


(d) denetim makamıyla işbirliği yapılması;


(e) 36. maddede atıfta bulunulan ön istişare de dahil olmak üzere işleme faaliyetine ilişkin konularda denetim makamına yönelik bir temas noktası olarak hareket edilmesi ve, uygun olduğu hallerde, diğer her türlü konu ile ilgili olarak danışılması.


2. Veri koruma görevlisi, görevlerini yerine getirirken, işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarını dikkate alarak, işleme faaliyetleri ile ilişkili riski göz önünde bulundurur.



Kesim 5


Davranış kuralları ve belgelendirme


Madde

40


Davranış

kuralları


1. Üye devletler, denetim makamları, Kurul ve Komisyon, çeşitli işleme sektörlerinin spesifik özellikleri ve mikro, küçük ve orta büyüklükteki işletmelerin spesifik ihtiyaçlarını dikkate alarak, bu Tüzük’ün düzgün bir şekilde uygulanmasına katkıda bulunması amaçlanan davranış kurallarının hazırlanmasını teşvik eder.


2. Birlikler ve kontrolör veya işleyici kategorilerini temsil eden diğer organlar bu Tüzük’ün aşağıdaki

hususlarla alakalı olarak uygulanmasını belirlemek amacıyla davranış kuralları hazırlayabilir veya bu kuralları değiştirebilir ya da bunların kapsamını genişletebilir:


(a) adil ve şeffaf veri işleme;


(b) kontrolörler tarafından spesifik bağlamlarda gözetilen meşru menfaatler; (c) kişisel verilerin toplanması;

(d) kişisel verilerde takma ad kullanımı;


(e) kamuoyuna ve veri sahiplerine sağlanan bilgiler; (f) veri sahiplerinin haklarının kullanımı;


(g) çocuklara sağlanan bilgiler ve çocukların korunması ve çocuklar üzerinde velayet hakkına sahip

olanların rızasının alınma şekli;


(h) 24 ve 25. maddelerde atıfta bulunulan tedbirler ve usuller ile 32. maddede atıfta bulunulduğu üzere

işleme faaliyetinin güvenliğinin sağlanmasına yönelik tedbirler.


(i) kişisel veri ihlallerinin denetim makamlarına bildirimi ve söz konusu kişisel veri ihlallerinin veri

sahiplerine iletilmesi;


(j) üçüncü ülkelere veya uluslararası kuruluşlara kişisel veri aktarılması veya


(k) veri sahiplerinin 77. ve 79. maddeler uyarınca haklarına halel gelmeksizin, kontrolörler ve veri

sahipleri arasında ihtilafların çözümüyle ilgili mahkeme dışı işlemler ve diğer ihtilaf çözüm usulleri.


3. Bu Tüzük’e tabi kontrolörler veya işleyicilerin uygun hareket etmesine ek olarak, bu maddenin 5. paragrafı uyarınca onaylanan davranış kuralları ve bu maddenin 9. paragrafı uyarınca genel geçerliliğe sahip  olunması  hususuna  3.  madde  uyarınca  bu  Tüzük’e  tabi  olmayan  kontroller  veya  işleyiciler tarafından da 46(2) maddesinin (e) bendinde atıfta bulunulan koşullar uyarınca üçüncü ülkelere veya uluslararası kuruluşlara kişisel veri aktarımları çerçevesinde uygun güvenceler sağlanması amacı ile uyulabilir. Söz konusu kontrolörler veya işleyiciler, veri sahiplerinin hakları ile ilgili olanlar da dahil olmak üzere uygun güvenceleri uygulamak üzere sözleşmeye bağlı veya diğer bağlayıcı belgeler vasıtasıyla bağlayıcı ve uygulanabilir taahhütlerde bulunur.



4. Bu maddenin 2. paragrafında atıfta bulunulan davranış kurallarında 41(1) maddesinde atıfta bulunulan organın,  55  veya  56.  madde  uyarınca  yetkin  denetim  makamlarının  görevleri  ve  yetkilerine  halel gelmeksizin, davranış kurallarını uygulamayı taahhüt eden kontrolörler veya işleyicilerin söz konusu hükümlere uyumluluğunu zorunlu olarak izlemesini sağlayan mekanizmalara yer verilir.



5. Bu  maddenin  2.  paragrafında  atıfta  bulunulan  ve  davranış  kuralları  hazırlamayı  veya  mevcut

kuralları  değiştirmeyi  veya  mevcut  kuralların  kapsamını  genişletmeyi  amaçlayan  birlikler  ve  diğer organlar kurallar, değişiklik veya kapsam genişletmeye ilişkin taslağı 55. madde uyarınca yetkin denetim makamına ibraz eder. Denetim makamı kurallar, değişiklik veya kapsam genişletmeye ilişkin taslağın bu Tüzük’le uyumlu olup olmadığı konusunda bir görüş sunar ve, yeteri kadar uygun güvenceleri sağladığını tespit  etmesi  durumunda,  kurallar,  değişiklik  veya  kapsam  genişletmeye  ilişkin  söz  konusu  taslağı onaylar.


6. Kurallar veya değişiklik ya da kapsam genişletmeye ilişkin taslağın 5. paragraf uyarınca onaylandığı hallerde ve ilgili davranış kurallarının çeşitli üye devletlerdeki işleme faaliyetleri ile ilgili olmadığı hallerde, denetim makamı kuralları tescil eder ve yayımlar.


7. Davranış kurallarına ilişkin bir taslağın çeşitli üye devletlerdeki işleme faaliyetleri ile ilgili olduğu hallerde,  55.  madde  uyarınca  yetkin  olan  denetim  makamı,  kurallar,  değişiklik  ya  da  kapsam genişletmeye ilişkin taslağı onaylamadan önce, kurallar, değişiklik veya kapsam genişletmeye ilişkin taslağın  bu  Tüzük’le  uyumlu  olup  olmadığına  veya,  bu  maddenin  3.  paragrafında  atıfta  bulunulan durumda,  uygun  güvenceler  sağlayıp  sağlamadığına  ilişkin  bir  görüş  bildirecek  söz  konusu  taslağı Kurul’a 63. maddede atıfta bulunulan usul çerçevesinde ibraz eder.



8. 7. paragrafta atıfta bulunulan görüşün değişiklik veya kapsam genişletmeye ilişkin taslağın bu Tüzük’le uyumlu olduğu veya, 3. paragrafta atıfta bulunulan durumda, uygun güvenceler sağladığını teyit ettiği hallerde, Kurul görüşünü Komisyon’a sunar.



9. Komisyon, uygulama tasarrufları vasıtasıyla, bu maddenin 8. paragrafı uyarınca kendisine ibraz edilen onaylı davranış kuralları, değişiklik veya kapsam genişletmenin Birlik içerisinde genel geçerliliğe sahip olduğuna karar verebilir. Bu uygulama tasarrufları 93(2) maddesinde belirtilen inceleme usulü uyarınca kabul edilir.


10. Komisyon 9. paragraf uyarınca genel geçerliliğe sahip olduğuna karar verilen onaylı kuralların uygun şekilde ilan edilmesini sağlar.



11. Kurul onaylı tüm davranış kuralları, değişiklikler ve kapsam genişletmelerini bir sicilde toplar ve

uygun yollarla kamuoyuna açıklar.


Madde

41

Onaylı davranış kurallarının

izlenmesi



1.  Yetkin  denetim  makamının  57  ve  58.  maddeler  kapsamındaki  görevleri  ve  yetkilerine  halel gelmeksizin, 40. madde uyarınca davranış kurallarına uyumluluk kuralların konusu ile ilgili uygun bir uzmanlık seviyesine sahip olan ve bu amaca yönelik olarak yetkin denetim makamı tarafından akredite edilen bir organ tarafından izlenebilir.



2. 1. paragrafta atıfta bulunulan bir organ, aşağıdaki özellikleri taşıması halinde, davranış kurallarına

uyumluluğun izlenmesi amacı ile akredite edilebilir:


(a) kuralların  konusuna  ilişkin  bağımsızlığı  ve  uzmanlığını  yetkin  denetim  makamını  tatmin  edecek

şekilde göstermiş olması;


(b) ilgili kontrolörler ve işleyicilerin kuralları uygulamaya, bunların kuralların hükümlerine uyumluluğunu izlemeye ve uygulamasını düzenli olarak gözden geçirmeye uygunluğunu değerlendirmesini sağlayan usuller oluşturmuş olması;


(c) kurallara veya kuralların bir kontrolör ya da işleyici tarafından uygulanmış olma veya uygulanma şekline ilişkin ihlallere yönelik şikayetlerin ele alınması hususunda usuller ve yapıları oluşturmuş olması ve bu usuller ile yapıları veri sahipleri ile kamuoyuna şeffaf hale getirmiş olması ve


(d) görev ve vazifelerinin bir çıkar çatışmasına neden olmadığını yetkin denetim makamını tatmin edecek

şekilde göstermiş olması.


3. Yetkin denetim makamı bu maddenin 1. paragrafında atıfta bulunulan bir organın akreditasyonuna

ilişkin taslak kriterleri 63. maddede atıfta bulunulan tutarlık mekanizması uyarınca Kurul’a ibraz eder.



4. Yetkin denetim makamının görevleri ve yetkilerine ve Bölüm VIII’in hükümlerine halel gelmeksizin, bu maddenin 1. paragrafında atıfta bulunulan bir organ, kuralların bir kontrolör veya işleyici tarafından ihlali halinde, uygun güvencelere tabi olarak, ilgili kontrolör veya işleyicinin kurallardan askıya alınması veya çıkarılması da dahil olmak üzere uygun işlemleri gerçekleştirir. Söz konusu organ böylesi işlemler ve bu işlemlerin gerçekleştirilme sebepleri hususunda yetkin denetim makamını bilgilendirir.



5. Akreditasyon koşullarının yerine getirilmemesi veya artık yerine getirilmemesi halinde veya organ tarafından  gerçekleştirilen  eylemlerin  bu  Tüzük’ü  ihlal  ettiği  hallerde,  yetkin  denetim  makamı  1. paragrafta atıfta bulunulan bir organın akreditasyonunu kaldırır.


6. Bu madde kamu kuruluşları ve organları tarafından gerçekleştirilen işleme faaliyetlerine uygulanmaz.


Madde

42


Belgelendirme


1. Üye  devletler,  denetim  makamları,  Kurul  ve  Komisyon,  kontrolörler  ve  işleyiciler  tarafından

gerçekleştirilen işleme faaliyetlerinin bu Tüzük’le uyumluluğunun gösterilmesi amacıyla, özellikle Birlik düzeyinde,  veri  koruma  belgelendirme  mekanizmaları  ve  veri  koruma  mühürleri  ve  işaretlerinin oluşturulmasını teşvik eder. Mikro, küçük ve orta ölçekli işletmelerin spesifik ihtiyaçları dikkate alınır.


2.

Bu Tüzük’e tabi kontrolörler veya işleyicilerin uygun hareket etmesine ek olarak, bu maddenin 5. paragrafı uyarınca onaylanan veri koruma belgelendirme mekanizmaları, mühürler ya da işaretler 46(2) maddesinin (f) bendinde atıfta bulunulan koşullar uyarınca üçüncü ülkelere veya uluslararası kuruluşlara kişisel  veri  aktarımları  çerçevesinde  3.  madde  uyarınca  bu  Tüzük’e  tabi  olmayan  kontroller  veya işleyiciler tarafından sağlanan uygun güvencelerin var olduğunun gösterilmesi amacıyla oluşturulabilir. Söz konusu kontrolörler veya işleyiciler, veri sahiplerinin hakları ile ilgili olanlar da dahil olmak üzere uygun güvenceleri uygulamak üzere sözleşmeye bağlı veya diğer bağlayıcı belgeler vasıtasıyla bağlayıcı ve uygulanabilir taahhütlerde bulunur.


3. Belgelendirme gönüllülük esasına dayanır ve şeffaf bir süreç vasıtasıyla sağlanır.


4. Bu  madde  uyarınca  sağlanan  bir  belgelendirme  kontrolör  ya  da  işleyicinin  bu  Tüzük’e  uyma

sorumluluğunu azaltmaz ve bu belgelendirme ile 55 veya 56. madde uyarınca yetkin olan denetim makamlarının görevleri ve yetkilerine halel gelmez.


5. Bu madde uyarınca sağlanan bir belgelendirme 43. maddede atıfta bulunulan belgelendirme organları veya yetkin denetim makamı tarafından 58(3) madde uyarınca söz konusu yetkin denetim makamı veya

63.  madde  uyarınca  Kurul  tarafından  onaylanan  kriterlere  dayalı  olarak  sağlanır.  Kriterlerin  Kurul tarafından onaylandığı hallerde, ortak bir belgelendirme olan Avrupa Veri Koruma Mührü verilebilir.


6.  İşleme  faaliyetlerini  belgelendirme  mekanizmasına  sunan  kontrolör  veya  işleyici  belgelendirme usulünün gerçekleştirilmesi için gereken tüm bilgiler ve işleme faaliyetlerine erişimi 43. maddede atıfta bulunulan belgelendirme organına veya, uygun olduğu hallerde, yetkin denetim makamına sağlar.


7. Belgelendirme bir kontrolör veya işleyiciye azami üç yıllık bir süre için sağlanır ve, ilgili gerekliliklerin yerine  getirilmesine  devam  edilmesi  koşuluyla,  aynı  koşullar  altında,  yenilenebilir.  Belgelendirme gerekliliklerinin yerine getirilmediği veya artık yerine getirilmediği hallerde, belgelendirme, uygun olduğu hallerde, 43. maddede atıfta bulunulan belgelendirme organları veya yetkin denetim makamı tarafından geri çekilebilir.


8. Kurul tüm belgelendirme mekanizmaları ve veri koruma mühürleri ile işaretlerini bir sicilde toplar ve uygun yollarla kamuoyuna açıklar.


Madde

43


Belgelendirme

organları


1.  Yetkin  denetim  makamının  57  ve  58.  maddeler  kapsamındaki  görevleri  ve  yetkilerine  halel gelmeksizin, veri koruma ile ilgili uygun bir uzmanlık seviyesine sahip olan belgelendirme organları, gerekmesi  halinde  58(2)  maddesinin  (h)  bendi  uyarınca  yetkilerinin  kullanılmasını  sağlamak  üzere denetim makamını bilgilendirdikten sonra, belgelendirme sağlar ve belgelendirmeyi yeniler. Üye devletler bu belgelendirme organlarının aşağıdakilerin biri veya her ikisi tarafından akredite edilmesini sağlar:



(a) 55 veya 56. maddeler uyarınca yetkin olan denetim makamı;


(b) EN-ISO/IEC 17065/2012’ye uygun olarak (AT) 765/2008 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü2 uyarınca ve 55 ya da 56. madde uyarınca yetkin olan denetim makamı tarafından belirlenen ek gereklilikler uyarınca tayin edilen ulusal akreditasyon organı.


2. 1. paragrafta atıfta bulunulan belgelendirme organları, ancak aşağıdaki özellikleri taşımaları



2 Ürünlerin pazarlanması ile ilgili akreditasyon ve pazar gözetimi gerekliliklerini belirleyen ve (AET) 339/93 sayılı Tüzük’ü

yürürlükten kaldıran 9 Temmuz 2008 tarihli ve (AT) 765/2008 sayılı Avrupa Parlamentosu ve Konseyi Tüzüğü (ABRG L 218,

13.8.2008, s. 30).halinde, bu paragraf uyarınca akredite edilir:


(a) belgelendirme konusuna ilişkin bağımsızlıkları ve uzmanlıklarını yetkin denetim makamını tatmin

edecek şekilde göstermiş olmaları;


(b) 42(5) maddesinde atıfta bulunulan ve 55 veya 56. madde uyarınca yetkin olan denetim makamı tarafından veya 63. madde uyarınca Kurul tarafından onaylanan kriterlere riayet etmeyi taahhüt etmiş olmaları;


(c)  veri  koruma  belgelendirmesi,  mühürleri  ve  işaretlerinin  verilmesi,  düzenli  aralıklarla  gözden

geçirilmesi ve geri çekilmesine ilişkin usuller oluşturmuş olmaları;


(d) belgelendirme veya belgelendirmenin bir kontrolör ya da işleyici tarafından uygulanmış olma veya uygulanma şekline ilişkin ihlallere yönelik şikayetlerin ele alınması hususunda usuller ve yapıları oluşturmuş olmaları ve bu usuller ile yapıları veri sahipleri ile kamuoyuna şeffaf hale getirmiş olmaları ve


(e) görev ve vazifelerinin bir çıkar çatışmasına neden olmadığını yetkin denetim makamını tatmin edecek

şekilde göstermiş olmaları.


3. Belgelendirme organlarının bu maddenin 1 ve 2. bentlerinde atıfta bulunulan şekilde akreditasyonu 55 veya 56. madde uyarınca  yetkin olan denetim  makamı tarafından veya 63.  madde uyarınca  Kurul tarafından onaylanan kriterlere dayalı olarak gerçekleşir. Bu maddenin 1. paragrafının (b) bendi uyarınca akreditasyon yapılması halinde, bu gereklilikler (AT) 765/2008 sayılı Tüzük’te öngörülen gereklilikleri ve belgelendirme organlarının yöntemleri ve usullerinin açıklandığı teknik kuralları tamamlar.



4. 1. paragrafta atıfta bulunulan belgelendirme organları, kontrolör veya işleyicinin bu Tüzük’e uyum sorumluluğuna halel gelmeksizin, belgelendirmeyle sonuçlanan uygun bir değerlendirmeden veya söz konusu belgelendirmenin geri çekilmesinden sorumludur. Akreditasyon azami beş yıllık bir süre için verilir ve, belgelendirme organının bu maddede ortaya konan gereklilikleri yerine getirmesi koşuluyla, aynı koşullar altında, yenilenebilir.



5. 1. paragrafta atıfta bulunulan belgelendirme organları talep edilen belgelendirmenin verilmesi veya geri çekilmesine ilişkin sebepleri yetkin denetim makamına sağlar.



6. Bu maddenin 3. paragrafında atıfta bulunulan  gereklilikler ve 42(5) maddesinde atıfta bulunulan kriterler  denetim  makamı  tarafından  kolayca  erişilebilecek  bir  formatta  kamuya  açıklanır.  Denetim makamları da bu gereklilikleri ve kriterleri Kurula iletir. Kurul tüm belgelendirme mekanizmaları ve veri koruma mühürlerini bir sicilde toplar ve uygun yollarla kamuoyuna açıklar.



7.  Bölüm  VIII’e  halel  gelmeksizin,  akreditasyon  koşullarının  yerine  getirilmemesi  veya  artık  yerine getirilmemesi halinde veya bir belgelendirme organı tarafından gerçekleştirilen eylemlerin bu Tüzük’ü ihlal ettiği hallerde, yetkin denetim makamı veya ulusal akreditasyon organı bu maddenin 1. paragrafı uyarınca bir belgelendirme organının akreditasyonunu kaldırır.



8. Komisyon 42(1) maddesinde atıfta bulunulan veri koruma belgelendirme mekanizmalarına yönelik

olarak gerekliliklerin belirtilmesi amacıyla 92. madde uyarınca yetki devrine dayanan tasarrufları kabul etmeye yetkindir.


9. Komisyon belgelendirme mekanizmaları ve veri koruma mühürleri ile işaretleri ve belgelendirme

mekanizmaları, mühürleri ve işaretlerinin tanıtılması ve tanınmasıyla ilgili mekanizmalara ilişkin teknik standartların belirlendiği uygulama tasarrufları kabul edebilir. Bu uygulama tasarrufları 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca kabul edilir.


BÖLÜM V


Üçüncü ülkeler veya uluslararası kuruluşlara veri aktarımları


Madde

44


Genel aktarım ilkesi


Üçüncü  bir  ülkeye  veya  uluslararası  bir  kuruluşa  aktarılmasının  ardından  işlenen  veya  işlenmesi amaçlanan kişisel verilerin aktarılması, üçüncü ülkeden veya uluslararası bir kuruluştan başka bir üçüncü ülke veya başka bir uluslararası kuruluşa yönelik transit aktarımlar da dahil olmak üzere, ancak, bu Tüzük’ün diğer hükümlerine tabi olarak, bu Bölüm’de belirtilen koşullara kontrolör ve işleyici tarafından uyulması halinde gerçekleşir. Bu Tüzük ile temin edilen gerçek kişilere yönelik koruma düzeyine zarar verilmemesinin sağlanması amacı ile bu bölümdeki tüm hükümler uygulanır.


Madde

45



Bir yeterlilik kararına dayalı olarak

yapılan aktarımlar



1. Komisyonun bir üçüncü ülke veya söz konusu üçüncü ülke dahilindeki bir bölge veya bir ya da daha fazla sayıda sektörün ya da uluslararası bir kuruluşun yeterli düzeyde bir koruma sağladığına karar verdiği  hallerde,  bu  ülke  veya  uluslararası  kuruluşa  yönelik  bir  kişisel  veri  aktarımı  gerçekleşebilir. Böylesi bir aktarım için spesifik bir onay gerekmez.


2. Komisyon, koruma düzeyinin yeterliliğini değerlendirirken, özellikle aşağıdaki hususları dikkate alır:


(a)  hukukun  üstünlüğü,  insan  hakları  ve  temel  özgürlüklere  saygı,  kamu  güvenliği,  savunma,  milli güvenlik ve ceza hukuku ile kamu kuruluşlarının kişisel verilere erişimi de dahil olmak üzere hem genel  hem  de  sektörel  mevzuatın  yanı  sıra  söz  konusu  mevzuatın  uygulanması,  bir  ülke  veya uluslararası kuruluşta toplanan kişisel verilerin başka bir üçüncü ülke veya uluslararası kuruluşa transit aktarımına yönelik kurallar da dahil olmak üzere veri koruma kuralları, mesleki kurallar ve güvenlik  tedbirleri,  içtihadın  yanı  sıra  etkili  ve  uygulanabilir  veri  sahibi  hakları  ile  kişisel  verileri aktarılmakta olan veri sahiplerine yönelik etkili idari ve adli tazmin;


(b) üçüncü ülkede bulunan veya bir uluslararası kuruluşun tabi olduğu ve yeterli uygulatma yetkileri dahil olmak  üzere  veri koruma kurallarına uyumluluk  sağlanması ve sağlatılması, haklarının kullanımı hususunda veri sahiplerine destek olunması ve tavsiyede bulunulması ve üye devletlerin denetim makamları ile işbirliği yapılmasından sorumlu olan bir veya daha fazla sayıda bağımsız denetim makamının varlığı ve etkili bir şekilde işlev göstermesi ve


(c)  ilgili  üçüncü  ülke  veya  uluslararası  kuruluşun  altına  girdiği  uluslararası  taahhütler  veya  yasal bağlayıcılığı olan sözleşmeler veya belgelerin yanı sıra kişisel verilerin korunması ile ilgili olanlar başta olmak üzere çok taraflı veya bölgesel sistemlere katılımından kaynaklanan diğer yükümlülükler.


3. Komisyon, koruma düzeyinin yeterliliğini değerlendirdikten sonra, uygulama tasarrufu vasıtasıyla, bir üçüncü ülke, söz konusu ülke içerisindeki bir bölge veya bir ya da daha fazla sayıda sektörün veya uluslararası bir kuruluşun bu maddenin 2. paragrafı bağlamında yeterli bir koruma düzeyi sağladığına karar  verebilir.  Uygulama  tasarrufunda  en  az  dört  yılda  bir  gerçekleştirilen  ve  üçüncü  ülke  veya uluslararası kuruluştaki ilgili tüm gelişmelerin dikkate alındığı düzenli bir gözden geçirme mekanizması sağlanır. Uygulama tasarrufunda bu mekanizmanın bölgesel ve sektörel uygulaması belirtilir ve, uygun olduğu  hallerde,  bu  maddenin  2.  paragrafının  (b)  bendinde  atıfta  bulunulan  denetim  makamı veya makamları  tanımlanır.  Bu  uygulama  tasarrufu  93(2)  maddesinde  atıfta  bulunulan  inceleme  usulü uyarınca kabul edilir.


4. Komisyon, üçüncü ülkeler ve uluslararası kuruluşlarda meydana gelen ve bu maddenin 3. fıkrası

uyarınca kabul edilen kararların ve 95/46/AT sayılı Direktif’in 25(6) maddesine dayalı olarak kabul edilen kararların işleyişini etkileyebilecek olan gelişmeleri sürekli olarak izler.


5. Özellikle bu maddenin 3. paragrafında atıfta bulunulan gözden geçirmenin ardından, mevcut bilgilerin üçüncü bir ülke, bu ülke içerisindeki bir bölge veya bir ya da daha fazla sayıda sektörün veya bir uluslararası   kuruluşun   bu   maddenin   2.   paragrafı   bağlamında   artık   yeterli   bir   koruma   düzeyi sağlamadığını göstermesi durumunda, Komisyon geriye dönük etkisi olmayan uygulama tasarrufları vasıtasıyla bu maddenin 3. paragrafında atıfta bulunulan kararı gereken ölçüde yürürlükten kaldırır, değiştirir veya askıya alır. Bu uygulama tasarrufları 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca kabul edilir.


Usulüne uygun şekilde gerekçelendirilmiş zorunlu acil nedenlerle, Komisyon 93(3) maddesinde atıfta bulunulan usul uyarınca uygulanabilir uygulama tasarruflarını gecikmeksizin kabul eder.


6. Komisyon, 5. paragraf uyarınca verilen karara sebebiyet veren durumun düzeltilmesi amacı ile üçüncü ülke veya uluslararası kuruluşla istişarelere başlar.


7. Bu maddenin 5. paragrafı uyarınca verilen bir karar ile üçüncü ülke veya söz konusu üçüncü ülke

dahilindeki bir bölge veya bir ya da daha fazla sayıda sektör ya da söz konusu uluslararası kuruluşa ilişkin kişisel verilerin 46 ila 49. maddeler uyarınca aktarılmasına halel gelmez.


8. Komisyon yeterli düzeyde bir korumanın sağlandığı veya artık sağlanmadığına karar verdiği üçüncü

ülkeler, bir üçüncü ülke içerisindeki bölgeler ve sektörler ile uluslararası kuruluşları Avrupa Birliği Resmi Gazetesi ve web sitesinde yayımlar.


9. 95/46/AT sayılı Direktif’in 25(6) maddesine dayalı olarak Komisyon tarafından kabul edilen kararlar, bu maddenin 3 veya 5. paragrafı uyarınca kabul edilen bir Komisyon Kararı ile değiştirilene, yenilenene veya yürürlükten kaldırılana kadar yürürlükte kalır.


Madde

46



Uygun güvencelere tabi olarak

yapılan aktarımlar



1. 45(3) maddesi uyarınca alınan bir karar olmaması halinde, ancak bir kontrolör veya işleyicinin uygun güvenceler sağlamış olması halinde ve uygulanabilir veri sahibi hakları ve veri sahiplerine yönelik etkili kanun yollarının mevcut olması koşuluyla, söz konusu kontrolör veya işleyici bir üçüncü ülke veya uluslararası bir kuruluşa kişisel veri aktarabilir.


2. 1. paragrafta atıfta bulunulan uygun güvenceler, bir denetim makamından spesifik bir onay alınmasına gerek olmaksızın, aşağıdakilerle sağlanabilir:


(a) kamu kuruluşları veya organları arasında yasal bağlayıcılığı bulunan ve uygulanabilir bir belge; (b) 47. madde uyarınca bağlayıcı kurumsal kurallar;


(c)  93(2)  maddesinde  atıfta  bulunulan  inceleme  usulü  uyarınca  Komisyon  tarafından  kabul  edilen

standart veri koruma şartları;


(d) 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca bir denetim makamı tarafından kabul

edilen ve Komisyon tarafından onaylanan standart veri koruma şartları;


(e) 40. madde uyarınca onaylı davranış kuralları ile birlikte üçüncü ülkedeki kontrolör veya işleyicinin veri sahibinin  hakları  ile  ilgili  de  olmak  üzere  uygun  güvenceler  uygulamaya  ilişkin  bağlayıcı  ve uygulanabilir taahhütleri veya


(f) 42. madde uyarınca onaylı bir belgelendirme mekanizması ile birlikte üçüncü ülkedeki kontrolör veya işleyicinin veri sahibinin hakları ile ilgili de olmak üzere uygun güvenceler uygulamaya ilişkin bağlayıcı ve uygulanabilir taahhütleri.


3. yetkin  denetim  makamından  alınan  yetkiye  tabi  olarak,  1.  paragrafta  atıfta  bulunulan  uygun

güvenceler, öncelikle, aşağıdakilerle de sağlanabilir:


(a) kontrolör veya işleyici ile üçüncü ülke ya da uluslararası kuruluştaki kişisel veri kontrolörü, işleyicisi ya

da alıcısı arasındaki sözleşme maddeleri veya


(b) kamu kuruluşları ya da organları arasındaki idari düzenlemelere eklenecek olan uygulanabilir ve etkili

veri sahibi haklarını kapsayan hükümler.


4. Denetim  makamı,  bu  maddenin  3.  paragrafında  atıfta  bulunulan  hallerde  63.  maddede  atıfta

bulunulan tutarlılık mekanizmasını uygular.



5.  95/46/AT  sayılı  Direktif’in  26(2)  maddesine  dayalı  olarak  bir  üye  devlet  veya  denetim  makamı tarafından verilen yetkiler, gerektiğinde söz konusu denetim makamı tarafından değiştirilene, yenilenene veya yürürlükten kaldırılana kadar geçerliliğini korur. 95/46/AT sayılı Direktif’in 26(4) maddesine dayalı olarak Komisyon tarafından kabul edilen kararlar, gerektiğinde bu maddenin 2. paragrafı uyarınca kabul edilen bir Komisyon Kararı ile değiştirilene, yenilenene veya yürürlükten kaldırılana kadar yürürlükte kalır.


Madde

47



Bağlayıcı kurumsal

kurallar



1. yetkin denetim makamı, aşağıdaki koşulları sağlamaları durumunda, bağlayıcı kurumsal kuralları 63. maddede ortaya konan tutarlılık mekanizması uyarınca onaylar:


(a) çalışanları da dahil olmak üzere ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun veya bir  işletmeler  grubunun  ilgili  her  üyesi  açısından  yasal  bağlayıcılığının  olması,  bu  üyelere uygulanması ve bu üyeler tarafından yürütülmesi;


(b) veri sahiplerine kişisel verilerinin işlenmesi ile ilgili olarak uygulanabilir hakları açık bir şekilde vermesi ve


(c) 2. paragrafta belirtilen gereklilikleri yerine getirmesi.


2. 1. paragrafta atıfta bulunulan bağlayıcı kurumsal kurallarda en azından aşağıdakiler belirtilir:



(a)  ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun ve her üyesinin yapısı ve irtibat bilgileri;


(b) kişisel veri kategorileri, işleme türü ve amaçları, etkilenen veri sahiplerinin türü ve söz konusu üçüncü

ülke veya ülkelere ilişkin açıklama da dahil olmak üzere veri aktarımları veya aktarım dizisi;


(c) bunların hem içsel hem de dışsal olarak hukuki bağlayıcılık yapısı;



(d) amaç sınırlaması, verilerin en alt düzeye indirilmesi, sınırlı saklama süreleri, veri kalitesi, özel ve olağan veri koruması, işleme faaliyetine yönelik yasal dayanak, özel kategorilerdeki kişisel verilerin işlenmesi  başta  olmak  üzere  genel  veri  koruma  ilkeleri,  veri  güvenliğinin  sağlanmasına  ilişkin tedbirler  ve  bağlayıcı  kurumsal  kurallara  bağlı  bulunmayan  organlara  transit  aktarımlara  ilişkin gerekliliklerin uygulanması;



(e) 22. madde uyarınca profil çıkarma da dahil olmak üzere yalnızca otomatik işleme faaliyetine dayalı kararlara tabi olmama hakkı, 79. madde uyarınca üye devletlerin yetkin denetim makamına ve yetkin mahkemelerine şikayette bulunma ve tazminat alma hakkı ve, uygun olduğu hallerde, bağlayıcı kurumsal kurallara ilişkin bir ihlalde dolayı tazminat hakkı da dahil olmak üzere veri sahiplerinin işleme faaliyetine ilişkin hakları ve bu hakları kullanma yöntemleri;



(f) bir üye devletin topraklarında kurulu kontrolör veya işleyicinin Birlik içerisinde kurulu olmayan herhangi bir üye tarafından bağlayıcı kurumsal kuralların ihlal edilmesi hususunda yükümlülüğü üstüne alması; kontrolör veya işleyici, ancak üyenin zarara neden olan olaydan sorumlu



olmadığını kanıtlaması durumunda, bu yükümlülükten tamamen veya kısmen muaf tutulur;


(g) bu paragrafın (d), (e) ve (f) bentlerinde atıfta bulunulan hükümler başta olmak üzere bağlayıcı kurumsal kurallara ilişkin bilgilerin 13 ve 14. maddelere ek olarak veri sahiplerine nasıl sağlandığı;


(h)  37. madde  uyarınca  belirlenen  herhangi  bir  veri  koruma görevlisinin  ya  da  ortak  bir  ekonomik faaliyette bulunan bir teşebbüsler grubu veya bir işletmeler grubu içerisinde bağlayıcı kurumsal kurallara uyumluluğun izlenmesinin yanı sıra eğitimin izlenmesi ve şikayetlerin ele alınmasından sorumlu olan diğer kişiler veya kuruluşların görevleri;


(i) şikayet usulleri;


(j) ortak  bir ekonomik  faaliyette bulunan bir teşebbüsler grubu  veya  bir işletmeler grubu  içerisinde bağlayıcı kurumsal kurallara uyumluluğun doğrulanmasının sağlanmasına yönelik mekanizmalar. Söz  konusu  mekanizmalar  veri  sahibinin  haklarının  korunmasına  yönelik  düzeltici  eylemlerin sağlanmasına ilişkin veri koruma denetimleri ve yöntemlerini kapsar. Söz konusu doğrulamanın sonuçları (h) bendinde atıfta bulunulan kişi veya kuruluşa ve ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun ya da bir işletmeler grubunun denetleyici teşebbüsünün yönetim kuruluna iletilir ve talep üzerine yetkin denetim makamına sağlanmalıdır;



(k) kurallara ilişkin değişikliklerin raporlanması ve kaydedilmesi ile bu değişikliklerin denetim makamına

raporlanmasına ilişkin mekanizmalar;



(l) özellikle (j) bendinde atıfta bulunulan tedbirlere ilişkin doğrulamaların sonuçlarının denetim makamına sağlanması  suretiyle,  ortak  bir  faaliyette  bulunan  bir  teşebbüsler  grubunun  veya  bir  işletmeler grubunun herhangi bir üyesinin uyumluluğunu sağlamak üzere denetim makamı ile kurulan işbirliği mekanizması;


(m) ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun bir üyesinin  üçüncü  bir  ülkede  tabi  olduğu  ve  bağlayıcı  kurumsal  kuralların  sağladığı  teminatlar açısından kayda değer bir olumsuz etkisinin bulunmasının muhtemel olduğu yasal gerekliliklerin yetkin denetim makamına raporlanmasına ilişkin mekanizmalar ve


(n) kişisel verilere daimi veya geçici olarak erişimi bulunan personele uygun veri koruma eğitimi.


3. Komisyon kontrolörler, işleyiciler ve denetim makamları arasında bu madde kapsamındaki bağlayıcı kurumsal kurallara yönelik bilgi alışverişine ilişkin format ve usulleri belirtebilir. Bu uygulama tasarrufları 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca kabul edilir.


Madde

48


Birlik hukuku çerçevesinde yetkilendirilmeyen

aktarımlar veya açıklamalar



Bir  kontrolör  veya  işleyicinin  kişisel  verileri  aktarmasının  veya  açıklamasının  istendiği  herhangi  bir mahkeme veya kurul kararı ve üçüncü bir ülkenin idari bir makamının herhangi bir kararı, bu Bölüm uyarınca diğer aktarım gerekçelerine halel gelmeksizin, ancak talepte bulunan üçüncü ülke ve Birlik ya da bir üye devlet arasında yürürlükte bulunan bir karşılıklı hukuki yardım antlaşması gibi bir uluslararası anlaşmaya dayanması halinde, herhangi bir şekilde tanınabilir veya uygulanabilir.


Madde

49


Spesifik durumlara yönelik

derogasyonlar



1. 45(3) maddesi uyarınca bir yeterlilik kararı veya bağlayıcı kurumsal kurallar da dahil olmak üzere 46. madde uyarınca uygun güvenceler olmaması durumunda, kişisel verilerin veya bir kişisel veri dizisinin üçüncü  bir  ülkeye  veya  uluslararası  bir  kuruluşa  aktarılması  ancak  aşağıdaki  durumların  birinde gerçekleşir:



(a)  veri  sahibinin,  bir  yeterlilik  kararı  ve  uygun  güvencelerin  bulunmaması  nedeniyle  söz  konusu aktarımların kendisine yönelik risklerin haberdar edilmesinin ardından, önerilen aktarıma açık bir şekilde rıza göstermesi;


(b) aktarımın veri sahibi ile kontrolör arasındaki bir sözleşmenin yürütülmesi veya veri sahibinin talebiyle

alınan sözleşme öncesi tedbirlerin uygulanması açısından gerekli olması;


(c) aktarımın kontrolör ile başka bir gerçek veya tüzel kişi arasında veri sahibi yararına yapılan bir

sözleşmenin imzalanması veya yürütülmesi açısından gerekli olması;


(d) aktarımın kamu yararına ilişkin önemli sebeplerden dolayı gerekli olması;


(e)  aktarımın  yasal  iddialarda  bulunulması,  bu  iddiaların  uygulanması  veya  savunulması  açısından gerekli olması;


(f) veri sahibinin fiziksel veya hukuki olarak rıza veremeyecek durumda olması halinde, aktarımın veri

sahibi veya diğer kişilerin hayati menfaatlerinin korunması açısından gerekli olması;


(g) aktarımın Birlik veya üye devlet hukukuna göre kamuoyuna bilgi sağlanmasının amaçlandığı ve genel

olarak kamuoyu veya meşru bir menfaati gösterebilen herhangi bir kişi tarafından, ancak Birlik veya üye devlet hukuku çerçevesinde istişareye yönelik olarak ortaya konan koşullar ilgili durumda yerine getirildiği ölçüde, istişareye açık olan bir sicilden yapılması.


Bir aktarımın bağlayıcı kurumsal kurallara ilişkin hükümler de dahil olmak üzere 45 veya 46. maddedeki bir hükme dayanmadığı ve bu paragrafın ilk alt paragrafında atıfta bulunulan spesifik bir duruma ilişkin derogasyonların herhangi birine uygulanabilir olmadığı hallerde, ancak aktarımın yinelemeli olmaması, yalnızca  sınırlı  sayıda  veri  sahibini  ilgilendirmesi,  kontrolör  tarafından  gözetilen  ve  veri  sahibinin menfaatleri veya hakları ile özgürlüklerinin ağır basmadığı zorlayıcı meşru menfaatler doğrultusunda gerekli  olması  ve  kontrolörün  veri  aktarımı  ile  ilgili  tüm  durumları  değerlendirmiş  olması  ve  bu değerlendirmeye dayalı olarak kişisel verilerin korunması ile ilgili uygun güvenceler sağlamış olması durumunda, üçüncü bir ülke veya uluslararası bir kuruluşa yönelik bir aktarım gerçekleşebilir. Kontrolör denetim makamını aktarım hususunda bilgilendirir. Kontrolör, 13 ve 14. maddelerde atıfta bulunulan bilgilerin  sağlanmasına  ek  olarak,  veri  sahibini  aktarım  ve  gözetilen  zorlayıcı  meşru  menfaatler hususunda bilgilendirir.


2. 1. paragrafın ilk alt paragrafının (g) bendi uyarınca yapılacak bir aktarımda sicilde bulunan tüm kişisel verilere veya tüm kişisel veri kategorilerine yer verilmez. Sicilin meşru bir menfaati bulunan kişilerin istişaresine yönelik hallerde, yalnızca bu kişilerin talebi üzerine veya bu kişilerin alıcı olması halinde, aktarım yapılır.


3. 1. paragrafın ilk alt paragrafının (a), (b) ve (c) bentleri ve ikinci alt paragrafı kamu yetkilerinin kullanımı hususunda kamu kuruluşları tarafından gerçekleştirilen faaliyetlere uygulanmaz.



4. 1. paragrafın ilk alt paragrafının (d) bendinde atıfta bulunulan kamu yararı Birlik hukukunda veya kontrolörün tabi olduğu üye devlet hukukunda tanınır.



5. Bir yeterlilik kararı olmaması durumunda, Birlik veya üye  devlet hukukunda, önemli kamu yararı sebeplerinden dolayı, spesifik kategorilerdeki kişisel verilerin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılmasına ilişkin sınırlar açık bir şekilde konabilir.  Üye devletler söz konusu hükümleri Komisyon’a bildirir.



6. Kontrolör  veya  işleyici  değerlendirmenin  yanı  sıra  bu  maddenin  1.  paragrafının  ikinci  alt

paragrafında atıfta bulunulan uygun güvenceleri 30. maddede atıfta bulunulan kayıtlarda belgelendirir.


Madde

50


Kişisel verilerin korunmasına yönelik uluslararası

işbirliği



Üçüncü ülkeler ve uluslararası kuruluşlar ile ilgili olarak, Komisyon ve denetim makamları şunlara yönelik uygun adımları atar:



(a) kişisel verilerin korunmasına yönelik mevzuatın etkili bir şekilde uygulanmasının kolaylaştırılması için

uluslararası işbirliği mekanizmalarının geliştirilmesi;


(b) kişisel veriler ve diğer temel haklar ile özgürlüklerin korunmasına yönelik uygun güvencelere tabi olarak, bildirim, şikayet yönlendirme, soruşturma desteği ve bilgi alışverişi de dahil olmak üzere kişisel verilerin korunmasına yönelik mevzuatın uygulanması hususunda karşılıklı uluslararası yardım sağlanması;


(b)  ilgili paydaşların kişisel verilerin korunmasına yönelik mevzuatın uygulanmasına ilişkin uluslararası işbirliğinin ilerletilmesiyle ilgili görüşmeler ve faaliyetlere dahil edilmesi;


(d) üçüncü ülkelerle yargı yetkisine ilişkin olarak yaşanan anlaşmazlıklar da dahil olmak üzere kişisel veri koruma mevzuatı ve uygulamasının paylaşımı ve belgelendirmesinin teşvik edilmesi.



BÖLÜM VI


Bağımsız denetim makamları


Kesim 1


Bağımsız statü



Madde

51



Denetim makamı



1. Her üye devlet, gerçek kişilerin işleme faaliyeti ile ilgili temel hakları ve özgürlüklerini korumak ve

Birlik  içerisinde  kişisel  verilerin  serbest  akışını  kolaylaştırmak  üzere,  bir  ya  da  daha  fazla  sayıda bağımsız  kamu  kuruluşunun  bu  Tüzük’ün  uygulamasının  izlenmesinden  sorumlu  olmasını  sağlar (’denetim makamı’).



2. Her denetim makamı bu Tüzük’ün Birlik içerisinde tutarlı bir şekilde uygulanmasına katkıda bulunur. Bu amaç doğrultusunda, denetim makamları Bölüm VII uyarınca birbirleriyle ve Komisyon ile işbirliği yapar.



3. Bir üye devlette birden fazla denetim makamının kurulduğu hallerde, söz konusu üye devlet bu

makamları Kurul’da temsil edecek denetim makamını tayin eder ve diğer makamların 63. maddede atıfta bulunulan tutarlılık mekanizmasına ilişkin kurallara uyumluluğunu sağlayacak mekanizmayı ortaya koyar.


4. Her üye devlet bu Bölüm uyarınca kabul ettiği kanun hükümlerini 25 Mayıs 2018 tarihine kadar ve bunları etkileyen sonraki değişiklikleri, herhangi bir gecikmeye mahal vermeksizin, Komisyon’a bildirir.


Madde

52



Bağımsızlık



1.  Her  denetim  makamı  bu  Tüzük  uyarınca  görevlerini  yerine  getirirken  ve  yetkilerini  kullanırken tamamen bağımsız olarak hareket eder.



2.  Her  denetim  makamının  üyesi  veya  üyeleri,  bu  Tüzük  uyarınca  görevlerini  yerine  getirirken  ve yetkilerini kullanırken, doğrudan veya dolaylı dış etkilerden bağımsız hareket eder ve hiç kimseden talimat talebinde bulunmaz veya talimat almaz.



3. Her denetim makamının üyesi veya üyeleri görevlerine uygun olmayan eylemlerden kaçınır ve, görev süreleri boyunca, maddi getirisi olsun ya da olmasın, bu göreve uygun olmayan hiçbir işle iştigal etmez.


4. Her üye devlet karşılıklı yardım, işbirliği ve Kurul’a katılım bağlamında gerçekleştirilecek olanlar da dahil  olmak  üzere  görevlerini  etkili  bir  şekilde  yerine  getirebilmeleri  ve  yetkilerini  etkili  bir  şekilde kullanabilmeleri için gereken insan kaynağı, teknik ve mali kaynaklar, binalar ve altyapının her denetim makamına sağlanmasını temin eder.



5. Her üye devlet her denetim makamının üyesi veya üyelerinin münhasır yönlendirmesine tabi olacak

personelini ilgili denetim makamının kendi seçmesini ve bu makamın kendi personelinin olmasını sağlar.



6. Her üye devlet her denetim makamının bağımsızlığını etkilemeyen bir mali kontrole tabi olmasını ve

genel devlet bütçesi veya ulusal bütçenin parçası olabilecek ayrı yıllık kamu bütçelerinin bulunmasını sağlar.


Madde

53



Denetim makamının üyeleriyle ilgili genel koşullar



1. Üye devletler denetim makamlarının her üyesinin aşağıdaki taraflarca şeffaf bir usul vasıtasıyla tayin edilmesini sağlar:


— parlamentoları; — hükümetleri;

— Devlet başkanları veya


— üye devlet hukuku çerçevesinde atama yetkisi verilen bağımsız bir organ.


2. Her üye, özellikle kişisel verilerin korunması alanında, görevlerinin yerine getirilmesi ve yetkilerinin kullanılması için gereken nitelikler, deneyim ve becerilere sahiptir.



3. Bir üyenin görevleri, ilgili üye devlet hukuku uyarınca görev süresinin sona ermesi, istifa etmesi veya

emekli edilmesi halinde sona erer.



4. Bir üye ancak ağır suiistimal hallerinde veya görevlerinin yerine getirilmesi için gereken koşulları

artık yerine getirmemesi durumunda görevden alınır.



Madde

54



Denetim makamının kurulmasına ilişkin kurallar


1. Her üye devlet, aşağıdakilerin tamamını kanunla sağlar: (a) her denetim makamının kurulması;

(b) her denetim makamının üyesi olarak tayin edilmek için gereken nitelikler ve uygunluk koşulları; (c) her denetim makamının üyesi veya üyelerinin tayin edilmesine ilişkin kurallar ve usuller;


(c)  aşamalı bir atama usulü vasıtasıyla denetim makamının bağımsızlığının korunması için gerekmesi

durumunda, 24 Mayıs 2016 tarihinden sonra yapılacak ve bir kısmı daha kısa bir süre boyunca geçerli olabilecek ilk atama haricinde, her denetim makamının üyesi veya üyeleriyle ilgili olarak en az dört yıl olacak görev süresi;


(e) her denetim makamının üyesi veya üyelerinin yeniden tayin edilip edilemeyeceğı ve, tayin edilmeleri

halinde, kaç dönem tayin edilebileceği;


(f) her denetim makamının üyesi veya üyeleri ile personelinin yükümlülükleri, görev süresi esnasında ve sonrasında üyelikle bağdaşmayan eylemler, meslekler ve menfaatlere ilişkin yasakları düzenleyen koşullar ve göreve son verilmesini düzenleyen kurallar.


2. Her denetim makamının üyesi veya üyeleri ile personeli, Birlik veya üye devlet hukuku uyarınca, hem görev süreleri esnasında hem de sonrasında, görevlerinin yerine getirilmesi veya yetkilerinin kullanımı esnasında öğrendikleri gizli bilgiler ile ilgili olarak bir mesleki gizlilik yükümlülüğüne tabidir. Görev süreleri boyunca, söz konusu mesleki gizlilik yükümlülüğü özellikle gerçek kişilerin bu Tüzük’e ilişkin ihlaller ile ilgili bildirimlerine uygulanır.



Kesim 2


Yetkinlik, görevler ve yetkiler


Madde

55


Yetkinlik



1. Her denetim makamı, bu Tüzük uyarınca kendisine verilen görevlerin yerine getirilmesi ve yetkilerin

kullanımı hususunda kendi üye devletinin topraklarında yetkindir.



2. İşleme faaliyetinin kamu kuruluşları veya 6(1) maddesinin (c) veya (e) bendine dayalı olarak hareket

eden özel organlar tarafından gerçekleştirildiği hallerde, ilgili üye devletin denetim makamı yetkindir. Bu hallerde, 56. madde uygulanmaz.



3. Denetim  makamları  kendi  yargı  yetkileri  çerçevesinde  hareket  eden  mahkemelerin  işleme

faaliyetlerini denetlemeye yetkin değildir.



Madde

56



Baş denetim makamının yetkinliği



1. 55. maddeye halel gelmeksizin, kontrolör veya  işleyicinin ana işletmesinin  veya tek  işletmesinin denetim makamı söz konusu kontrolör veya işleyici tarafından 60. maddede sağlanan usul uyarınca gerçekleştirilen sınır ötesi işleme faaliyetlerine yönelik olarak baş denetim makamı şeklinde hareket etmeye yetkindir.


2.  1.  paragrafa  istisna  olarak,  her  denetim  makamı,  konunun  yalnızca  kendi  üye  devletindeki  bir işletmeyle  ilgili  olması  veya  yalnızca  kendi  üye  devletindeki  veri  sahiplerini  kayda  değer  ölçüde etkilemesi halinde, kendisine yapılan bir şikayetin veya bu Tüzük’e ilişkin olası bir ihlalin ele alınması hususunda yetkindir.


3. Bu maddenin 2. paragrafında atıfta bulunulan hallerde, denetim makamı baş denetim makamını bu konuyla  ilgili  olarak  herhangi  bir  gecikmeye  mahal  vermeksizin  bilgilendirir.  Baş  denetim  makamı, bilgilendirildikten  itibaren  üç  haftalık  bir  süre  içerisinde,  üye  devlette  denetim  makamının  kendisi hakkında bilgilendirdiği bir kontrolör veya işleyici işletmesi bulunup bulunmadığını dikkate alarak, 60. maddede sağlanan usul uyarınca hususu ele alıp almayacağına karar verir.


4. Baş denetim makamının hususu ele almaya karar verdiği hallerde, 60. maddede sağlanan usul uygulanır.  Baş  denetim  makamını  bilgilendiren  denetim  makamı  bir  karar  taslağını  baş  denetim makamına  sunabilir.  Baş  denetim  makamı,  60(3)  maddesinde  atıfta  bulunulan  karar  taslağını hazırlarken, bu taslağı önemle göz önünde bulundur.



5. Baş denetim makamının hususu ele almamaya karar verdiği hallerde, baş denetim makamını

bilgilendiren denetim makamı bu hususu 61 ve 62. maddelere göre ele alır.



6. Baş denetim makamı kontrolör veya işleyici tarafından gerçekleştirilen sınır ötesi işleme faaliyetlerine yönelik olarak söz konusu kontrolör veya işleyicinin tek muhatabıdır.



Madde

57



Görevler


1. Bu Tüzük çerçevesinde ortaya konan diğer görevlere halel gelmeksizin, her denetim makamı kendi topraklarında:

(a) bu Tüzük’ün uygulanmasını izler ve yürütür;

(b) halkın işleme faaliyeti ile ilgili riskler, kurallar, güvenceler ve haklara yönelik bilinci ve anlayışını geliştirir.

Özellikle çocuklara yönelik faaliyetlere özel alaka gösterilir;


(c) üye devlet hukuku uyarınca, işleme faaliyeti ile ilgili olarak gerçek kişilerin hakları ve özgürlüklerinin korunmasına  ilişkin  yasal  ve  idari  tedbirler  hususunda  ulusal  parlamento,  hükümet  ve  diğer kuruluşlar ile organlara tavsiyede bulunur;


(d)  bu  Tüzük  kapsamındaki  yükümlülükleri  hususunda  kontrolörler  ve  işleyicileri bilinçlendirir;


(e) talep üzerine, herhangi bir veri sahibine bu Tüzük kapsamındaki haklarının kullanımı hususunda bilgi sağlar ve, uygun olduğu hallerde, bu amaçla diğer üye devletlerdeki denetim makamları ile işbirliği yapar.


(f) 80. madde uyarınca bir veri sahibi veya bir organ, kuruluş ya da bir birlik tarafından yapılan şikayetleri ele alır ve şikayetin konusunu, uygun olduğu ölçüde, soruşturur ve özellikle daha ayrıntılı soruşturma ya  da  başka  bir  denetim  makamı  ile  koordinasyonun  gerekmesi  durumunda,  şikayet  sahibini soruşturmanın ilerlemesi ve sonucu konusunda makul bir süre içerisinde bilgilendirir;


(g) bu Tüzük’ün uygulanması ve yürütülmesine ilişkin tutarlılık  sağlanması amacıyla, diğer denetim makamlarıyla bilgi paylaşımı da dahil olmak üzere işbirliği yapar ve diğer denetim makamlarına karşılıklı destek sağlar;


(h) başka bir denetim makamı veya başka bir kamu kuruluşundan alınan bilgilere dayalı da olmak üzere,

bu Tüzük’ün uygulanmasına ilişkin soruşturmalar yürütür;

(i)  kişisel  verilerin  korunmasına  bir  etkileri  bulunduğu  sürece,  bilgi  ve  iletişim  teknolojileri  ve  ticari

uygulamaların gelişimi başta olmak üzere ilgili gelişmeleri izler;


(j) 28(8) maddesinde ve 46(2) maddesinin (d) bendinde atıfta bulunulan standart sözleşmeye bağlı maddeleri kabul eder;


(k) 35(4) maddesi uyarınca veri koruma etki değerlendirmesi gerekliliği ile ilgili olarak bir liste oluşturur ve bu listeyi devam ettirir;


(l) 36(2) maddesinde atıfta bulunulan işleme faaliyetlerine ilişkin tavsiyede bulunur;


(m) 40(1) maddesi uyarınca davranış kurallarının hazırlanmasını teşvik eder ve 40(5) maddesi uyarınca

bir görüş sağlar ve yeterli güvencelerin sağlandığı davranış kurallarını onaylar;


(n) 42(1) maddesi uyarınca veri koruma belgelendirme mekanizmalarının ve veri koruma mühürleri ile

işaretlerinin oluşturulmasını teşvik eder ve 42(5) maddesi uyarınca belgelendirme kriterlerini onaylar;


(o) uygun olan hallerde, 42(7) maddesi uyarınca sağlanan belgelendirmeleri düzenli aralıklarla gözden geçirir;


(p) 41. madde uyarınca davranış kurallarının izlenmesine yönelik bir organın ve 43. madde uyarınca bir

belgelendirme organının akreditasyonuna yönelik kriterleri taslak olarak hazırlar ve yayımlar;


(q) 41. madde uyarınca davranış kurallarının izlenmesine yönelik bir organın ve 43. madde uyarınca bir

belgelendirme organının akreditasyonunu gerçekleştirir;


(r) 46(3) maddesinde atıfta bulunulan sözleşmeye bağlı maddeler ve hükümleri onaylar; (s) 47. madde uyarınca bağlayıcı kurumsal kuralları onaylar;

(t) Kurul’un faaliyetlerine katkıda bulunur;


(u) bu Tüzük’e ilişkin ihlallerin ve 58(2) maddesi uyarınca alınan tedbirlerin iç kayıtlarını tutar;

ve


(v) Kişisel verilerin korunmasıyla ilgili diğer görevleri yerine getirir.


2. Her denetim makamı, diğer iletişim araçları hariç tutulmaksızın elektronik olarak da doldurulabilecek

bir  şikayet  sunum  formu  gibi  tedbirlerle  1.  paragrafın  (f)  bendinde  atıfta  bulunulan  şikayetlerin sunulmasını kolaylaştırır.



3. Her denetim makamının görevlerinin yerine getirilmesi veri sahibi ve, uygun olan hallerde , veri koruma görevlisi için ücretsizdir.



4. Taleplerin özellikle tekrar eden niteliği nedeniyle asılsız veya ölçüsüz olduğunun açıkça görüldüğü hallerde, denetim makamı idari masraflara dayalı olarak makul bir ücret talep edebilir veya taleple ilgili işlem yapmayı reddedebilir. Denetim makamı talebin açık bir şekilde asılsız veya ölçüsüz olduğunu gösterme yükümlülüğünü taşır.


Madde

58


Yetkiler


1. Her denetim makamı aşağıdaki tüm soruşturma yetkilerine sahiptir:


(a) görevlerinin yerine getirilmesi için ihtiyaç duyduğu bilgilerin sağlanması hususunda kontrolör ve

işleyici ve, uygun olduğu hallerde, kontrolörün veya işleyicinin temsilcisine talimat verilmesi;


(b) veri koruma denetimleri biçiminde soruşturmalar yürütülmesi;



(c) 42(7) maddesi uyarınca sağlanan belgelendirmelere ilişkin bir gözden geçirme yapılması;

(d) bu Tüzük’le ilgili bir ihlal iddiasının kontrolör veya işleyiciye bildirilmesi;


(e) görevlerinin yerine getirilmesi için gereken tüm kişisel veriler ve tüm bilgilere erişimin kontrolörden ve

işleyiciden sağlanması;


(f) Birlik veya üye devlet usul hukuku uyarınca her türlü veri işleme ekipmanı ve aracı da dahil olmak üzere

kontrolör ve işleyicinin her türlü tesisine erişim sağlanması.


2. Her denetim makamı aşağıdaki tüm düzeltme yetkilerine sahiptir:


(a) bir kontrolör veya işleyiciye amaçlanan işleme faaliyetlerinin bu Tüzük’ün hükümlerini ihlal etmesinin

muhtemel olduğu hususunda ihtarlarda bulunulması;


(b) işleme faaliyetlerinin bu Tüzük’ün hükümlerini ihlal etmiş olduğu hallerde, bir kontrolör veya işleyiciye kınama cezaları verilmesi;



(c) veri sahibinin bu Tüzük uyarınca sahip olduğu haklarının kullanımına ilişkin taleplerine uyulması

hususunda kontrolör veya işleyiciye talimat verilmesi;


(d) işleme faaliyetlerinin, uygun olduğu hallerde, belirtilen bir şekilde ve belirtilen bir süre içerisinde bu Tüzük’ün hükümlerine uyumlu hale getirilmesi hususunda kontrolör veya işleyiciye talimat verilmesi;


(e) bir kişisel veri ihlalinin veri sahibine iletilmesi hususunda kontrolöre talimat verilmesi; (f) bir işleme yasağı da dahil olmak üzere geçici veya kati bir sınırlama getirilmesi;


(g) 16, 17 ve 18. maddeler uyarınca kişisel verilerin düzeltilmesi ya da silinmesi veya işleme faaliyetinin kısıtlanması  ve  17(2)  maddesi  ile  19.  madde  uyarınca  söz  konusu  işlemlerin  kişisel  verilerin açıklandığı alıcılara bildirilmesi yönünde talimat verilmesi;


(h) 42  ve  43.  maddeler  uyarınca sağlanan  bir  belgelendirmenin geri çekilmesi veya belgelendirme organına söz konusu belgelendirmenin geri çekilmesi yönünde talimat verilmesi, veya belgelendirme gerekliliklerinin yerine getirilmediği veya artık yerine getirilmediği hallerde, belgelendirme organına belgelendirme sağlamaması yönünde talimat verilmesi;


(i) her münferit durumun koşullarına dayalı olarak, bu paragrafta atıfta bulunulan tedbirlere ek olarak

veya bu tedbirler yerine 83. madde uyarınca bir idari para cezası kesilmesi;


(j) üçüncü bir ülkedeki bir alıcıya veya uluslararası bir kuruluşa yönelik veri akışlarının askıya alınması yönünde talimat verilmesi.

3. Her denetim makamı aşağıdaki tüm yetkilendirme ve danışma yetkilerine sahiptir:


(a)  36.  maddede  atıfta  bulunulan  ön  istişare  usulü  uyarınca  kontrolöre  tavsiyede bulunulması;


(b) kendi inisiyatifiyle veya talep üzerine, ulusal parlamento, üye devlet hükümeti veya, üye devlet hukuku uyarınca, diğer kuruluşlar ve organların yanı sıra kamuoyuna kişisel verilerin korunmasıyla ilgili herhangi bir konuda görüş bildirilmesi;


(c) üye devlet hukukunun bir ön onay gerektirmesi halinde, 36(5) maddesinde atıfta bulunulan işleme faaliyetinin  onaylanması;  (d)  40(5)  maddesi  uyarınca  davranış  kuralları  taslağına  ilişkin  bir  görüş bildirilmesi ve taslağın onaylanması;


(e) 43. madde uyarınca belgelendirme organlarının akredite edilmesi;


(f) 42(5) maddesi uyarınca belgelendirme sağlanması ve belgelendirme kriterlerinin onaylanması;


(g) 28(8) maddesinde ve 46(2) maddesinin (d) bendinde atıfta bulunulan standart veri koruma şartlarının kabul edilmesi; (h) 46(3) maddesinin (a) bendinde atıfta bulunulan sözleşmeye bağlı maddelerin onaylanması;

(i) 46(3) maddesinin (b) bendinde atıfta bulunulan idari düzenlemelerin onaylanması; (j) 47. madde uyarınca bağlayıcı kurumsal kuralların onaylanması.


4. Bu madde uyarınca denetim makamına verilen yetkilerin kullanımı etkili kanun yolu ve yargı süreci de dahil olmak üzere Bildirge uyarınca Birlik ve üye devlet hukukunda ortaya konan uygun güvencelere tabidir.



5. Her üye devlet, denetim makamının bu Tüzük’e ilişkin ihlalleri adli makamların dikkatine sunmasını

ve, uygun olduğu hallerde, bu Tüzük’ün hükümlerinin uygulanması için yasal muameleler başlatmasını veya bu muamelelere başka bir şekilde müdahil olmasını kanunla sağlar.



6. Her üye devlet, denetim makamının 1, 2 ve 3. paragraflarda atıfta bulunulanlara ek yetkilere sahip olmasını kanunla sağlayabilir. Bu yetkilerin kullanımı Bölüm VII’nin etkili şekilde uygulanmasına zarar vermez.



Madde

59



Faaliyet

raporları



Her denetim makamı faaliyetleriyle ilgili olarak 58(2) maddesi uyarınca bildirilen ihlal türleri ve alınan tedbir  türlerine  yönelik  bir  listeye  yer  verilebilecek  bir  yıllık  rapor  hazırlar.  Bu  raporlar  ulusal parlamentoya, hükümete ve üye devlet hukuku çerçevesinde belirlenen diğer kuruluşlara iletilir. Raporlar kamuoyuna, Komisyon’a ve Kurul’a sağlanır.


BÖLÜM VII


İşbirliği ve tutarlılık Kesim 1 İşbirliği


Madde

60



Baş denetim makamı ve diğer ilgili denetim makamları arasında işbirliği



1. Baş denetim makamı uzlaşıya varmak adına bu madde uyarınca diğer ilgili denetim makamları ile işbirliği yapar. Baş denetim makamı ve ilgili denetim makamları ilgili tüm bilgileri birbirleriyle paylaşır.


2. Baş denetim makamı, özellikle soruşturmaların yürütülmesi açısından veya başka bir üye devlette

kurulu bulunan bir kontrolör veya işleyiciye ilişkin bir tedbirin uygulanmasının izlenmesi açısından ilgili diğer denetim makamlarının 61. madde uyarınca karşılıklı yardım sağlamasını herhangi bir zamanda talep edebilir ve 62. madde uyarınca ortak çalışmalar gerçekleştirebilir.


3. Baş denetim makamı konuyla ilgili bilgileri herhangi bir gecikmeye mahal vermeksizin diğer ilgili denetim  makamlarına  iletir.  Baş  denetim  makamı  bir  taslak  kararı  herhangi  bir  gecikmeye  mahal vermeksizin diğer ilgili denetim makamlarının görüşüne sunar ve onların görüşlerini dikkate alır.


4. İlgili denetim makamlarından herhangi birinin bu maddenin 3. paragrafı uyarınca danışıldıktan sonra dört haftalık bir süre içerisinde taslak karara yönelik yerinde ve gerekçeli bir itirazda bulunduğu hallerde, baş denetim makamı, yerinde ve gerekçeli itiraza uygun hareket etmemesi veya itirazın yerinde veya gerekçeli   olmadığını   düşünmesi   durumunda,   konuyu   63.   maddede   atıfta   bulunulan   tutarlılık mekanizmasına tabi tutar.


5.  Baş  denetim  makamının  yapılan  yerinde  ve  gerekçeli  itiraza  uygun  hareket  etmeyi  amaçladığı hallerde, baş denetim makamı revize edilmiş bir taslak kararı diğer ilgili denetim makamlarının görüşüne sunar. Revize edilmiş bu taslak karar iki haftalık bir süre içerisinde 4. paragrafta atıfta bulunulan usule tabi olur.



6. Diğer ilgili denetim makamlarının hiçbirinin baş denetim makamı tarafından sunulan taslak kararın 4 ve 5. paragraflarda atıfta bulunulan süre içerisinde itiraz etmediği hallerde, baş denetim makamı ve ilgili denetim makamlarının bu taslak karar ile ilgili mutabakata vardığı değerlendirilir ve bu makamlar söz konusu karara riayet eder.



7. Baş denetim makamı kararı kabul eder ve, uygun olduğu hallerde, kontrolörün veya işleyicinin ana işletmesine veya tek işletmesine bildirir ve diğer ilgili denetim makamları ve Kurul’u ilgili olgular ile gerekçelere yönelik bir özet de dahil olmak üzere söz konusu karar konusunda bilgilendirir. Bir şikayetin yapıldığı denetim makamı şikayet sahibini karardan haberdar eder.



8. 7.  paragraftan  istisna  edilerek,  bir  şikayetin  geri  çevrildiği  veya  reddedildiği  hallerde,  şikayetin

yapıldığı denetim makamı kararı kabul edip şikayet sahibine bildirir ve kontrolörü karar konusunda bilgilendirir.



9. Baş denetim makamı ve diğer ilgili denetim makamlarının bir şikayetin belirli kısımlarını kısmen geri çevirme veya reddetme ve söz konusu şikayetin diğer kısımları ile ilgili işlem yapma konusunda mutabık kaldığı hallerde, konunun bu bölümlerinin her birine yönelik ayrı bir karar kabul edilir.  Baş denetim makamı kontrolör ile ilgili eylemlere yönelik kısma ilişkin kararı kabul eder, kontrolör veya işleyicinin üye devletinin topraklarındaki ana işletmesi veya tek işletmesine bildirir ve şikayet sahibini bu karardan haberdar ederken, şikayet sahibinin denetim makamı bu şikayetin geri çevrilmesi veya reddedilmesine ilişkin kısma yönelik kararı kabul eder ve kararı söz konusu şikayet sahibine bildirir ve kontrolör veya işleyiciyi bu karardan haberdar eder.



10. Kontrolör veya işleyici, 7 ve 9. paragraflar uyarınca baş denetim makamının kararı hususunda bildirim yapılmasının ardından, Birlik içerisindeki tüm işletmeleri bağlamındaki işleme faaliyetleri ile ilgili olarak karara uyumluluk sağlanması için gereken tedbirleri alır. Kontrolör veya işleyici karara uyumluluk sağlanması  amacıyla  alınan  tedbirleri,  diğer  ilgili  denetim  makamlarını  bilgilendirecek  baş  denetim makamına bildirir.


11. İstisnai durumlarda ilgili bir denetim makamının veri sahiplerinin menfaatlerinin korunması amacı ile acil  bir  şekilde  harekete  geçilmesi  yönünde  bir  ihtiyacın  bulunduğunu  düşünmeye  sevk  edecek sebeplerinin bulunduğu hallerde, 66. maddede atıfta bulunulan aciliyet usulü uygulanır.


12. Baş denetim makamı ve diğer ilgili denetim makamları bu madde kapsamında gereken bilgileri standart bir format kullanarak elektronik yollarla birbirlerine sağlar.


Madde

61


Karşılıklı

yardım



1. Denetim makamları bu Tüzük’ün tutarlı bir şekilde yürütülmesi ve uygulanması amacıyla birbirlerine ilgili bilgileri ve karşılıklı desteği sağlar ve birbirleriyle etkili işbirliğine yönelik tedbirleri uygulamaya koyar. Karşılıklı yardım, özellikle, ön onaylar ve istişarelerin, denetimlerin ve soruşturmaların yürütülmesine ilişkin talepler gibi bilgi talepleri ve denetim tedbirlerini kapsar.


2.  Her  denetim  makamı  başka  bir  denetim  makamının  talebine  herhangi  bir  gecikmeye  mahal verilmeksizin ve talebi aldıktan sonra en geç bir ay içerisinde yanıt verilmesi için gereken tüm uygun tedbirleri  alır.  Böylesi  tedbirler  arasında,  özellikle,  bir  soruşturmanın  yürütülmesi  ile  ilgili  bilgilerin iletilmesi bulunabilir.


3. Yardım taleplerinde talebin amacı ve sebepleri de dahil olmak üzere gerekli tüm bilgilere yer verilir. Paylaşılan bilgiler yalnızca talep edilen amaç doğrultusunda kullanılır.


4. Talebin iletildiği denetim makamı, aşağıdaki haller dışında, talebi yerine getirmeyi reddedemez:

(a) talebin konusu açısından veya uygulamasının talep edildiği tedbirler açısından yetkin olmaması veya


(b) talebe uygun hareket etmenin bu Tüzük’ü veya talebi alan denetim makamının tabi olduğu Birlik ya da

üye devlet hukukunu ihlal edecek olması.


5. Talebin iletildiği denetim makamı talepte bulunan denetim makamını talebe yanıt verilmesi amacı ile alınan tedbirlerin sonuçları veya, uygun olduğu hallerde, seyri konusunda bilgilendirir. Talebin iletildiği denetim makamı, 4. paragraf uyarınca bir talebi yerine getirmeyi reddetmesine ilişkin sebepleri sağlar.


6. Talebin iletildiği denetim makamları, kural olarak, diğer denetim makamları tarafından talep edilen bilgileri standart bir format kullanarak elektronik yollarla sağlar.


7.  Talebin  iletildiği  denetim  makamları  bir  karşılıklı  yardım  talebi  uyarınca  kendileri  tarafından gerçekleştirilen herhangi bir işleme yönelik olarak hiçbir ücret talep edemez. Denetim makamları, istisnai durumlarda karşılıklı yardım sağlanmasından kaynaklanan spesifik harcamalar ile ilgili olarak birbirlerinin tazmin edilmesine ilişkin kurallar üzerinde mutabakata varabilir.


8. Bir denetim makamının bu maddenin 5. paragrafında atıfta bulunulan bilgileri başka bir denetim makamının talebini aldıktan itibaren bir ay içerisinde sağlamadığı hallerde, talepte bulunan denetim makamı 55(1) maddesi uyarınca üye devletinin topraklarında geçici bir tedbir kabul edebilir. Bu durumda, 66(1) maddesi kapsamındaki acil bir şekilde harekete geçme ihtiyacının yerine getirildiği varsayılır ve 66(2) maddesi uyarınca Kurul’dan acil bir bağlayıcı kararın çıkarılması gerekir.


9. Komisyon, 6. paragrafta atıfta bulunulan standart format başta olmak  üzere, bu maddede atıfta bulunulan  karşılıklı  yardıma  ilişkin  format  ile  usulleri  ve  denetim  makamları  arasında  ve  denetim makamları  ile  Kurul  arasında  elektronik  yollarla  bilgi  alışverişine  ilişkin  düzenlemeleri,  uygulama tasarrufları vasıtasıyla, belirtebilir. Bu uygulama tasarrufları 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca kabul edilir.



Madde

62


Denetim makamlarının ortak işlemleri



1. Denetim makamları, uygun olduğu hallerde, ortak soruşturmalar ve ortak yaptırım tedbirleri de dahil olmak üzere diğer üye devletlerin denetim makamlarının üyeleri veya personelinin müdahil olduğu ortak çalışmalar gerçekleştirir.


2.  Kontrolör  veya  işleyicinin  çeşitli  üye  devletlerde  işletmelerinin  bulunduğu  veya  birden  fazla  üye devlette  önemli  sayıda  veri  sahibinin  işleme  faaliyetlerinden  kayda  değer  ölçüde  etkilenmesinin muhtemel olduğu hallerde, her üye devletin bir denetim makamının ortak çalışmalara katılma hakkı bulunur.  56(1)  veya  (4)  maddesi  uyarınca  yetkin  olan  denetim  makamı  her  üye  devletin  denetim makamını ortak çalışmalara katılmaya davet eder ve bir denetim makamının katılma talebini herhangi bir gecikmeye mahal vermeksizin yanıtlar.



3.  Bir  denetim  makamı,  üye  devlet  hukuku  ve  destekleyen  denetim  makamının  onayı  uyarınca, soruşturma yetkileri de dahil olmak üzere yetkileri, destekleyen denetim makamının ortak çalışmalara müdahil üyeleri ya da personeline devredebilir veya ev sahibi denetim makamının hukuku olanak tanıdığı ölçüde, destekleyen denetim makamının üyeleri veya personelinin soruşturma yetkilerini destekleyen denetim makamının üye devletinin hukuku uyarınca kullanmasına izin verebilir. Söz konusu soruşturma yetkileri yalnızca ev sahibi denetim makamının üyeleri veya personelinin kılavuzluğu altında ve bu üyeler veya personelin huzurunda kullanılabilir. Destekleyen denetim makamının üyeleri ya da personeli ev sahibi denetim makamının üye devletinin hukukuna tabidir.



4. 1. paragraf uyarınca destekleyen bir denetim makamının personelinin başka bir üye devlette faaliyet gösterdiği hallerde, ev sahibi denetim makamının üye devleti, söz konusu personelin faaliyet gösterdiği üye devletin hukuku uyarınca mali sorumluluk da dahil olmak üzere onların eylemlerine ve faaliyetleri esnasında sebep olduklara her türlü zarara ilişkin sorumluluğu üstlenir.



5. Topraklarında zarara sebep olunan üye devlet söz konusu zararı kendi personelinin sebep olduğu

zarar açısından geçerli koşullar altında telafi eder. Personeli başka bir üye devletin topraklarındaki herhangi bir kişiye zarar veren destekleyen denetim makamının üye devleti söz konusu personel adına ilgili kişilere yaptığı ödemeler ile ilgili olarak diğer üye devleti eksiksiz olarak tazmin eder.



6. Haklarının üçüncü taraflarla karşılıklı olarak kullanımına halel gelmeksizin ve 5. paragraf haricinde, her üye devlet, 1. paragrafta sağlanan durumda, 4. paragrafta atıfta bulunulan zararla ilgili olarak başka bir üye devletten tazminat talep etmekten kaçınır.



7. Bir ortak  çalışmanın amaçlandığı  ve  bir  denetim  makamının bu maddenin  2. paragrafının  ikinci cümlesinde  ortaya  konan  yükümlülüğü  bir  ay  içerisinde  yerine  getirmediği  hallerde,  diğer  denetim makamları 55. madde uyarınca üye devletinin topraklarında geçici bir tedbir kabul edebilir. Bu durumda, 66(1) maddesi kapsamındaki acil bir şekilde harekete geçme ihtiyacının yerine getirildiği varsayılır ve 66(2) maddesi uyarınca Kurul’dan bir görüş alınması veya acil bir bağlayıcı karar çıkarılması gerekir.


Kesim 2 Tutarlılık


Madde

63



Tutarlılık

mekanizması



Bu Tüzük’ün Birlik içerisinde tutarlı bir şekilde uygulanmasına katkıda bulunulması amacıyla, denetim makamları,  bu  kesimde  belirtilen  tutarlılık  mekanizması  vasıtasıyla,  birbirleriyle  ve,  uygun  olduğu hallerde, Komisyon ile işbirliği yapar.



Madde

64



Kurulun görüşü



1. Kurul, yetkin bir denetim makamının aşağıdaki tedbirlerden herhangi birini kabul etmeyi amaçlaması halinde, bir görüş bildirir. Bu amaçla, yetkin denetim makamı, karar taslağı şu özellikleri taşıdığında, taslak kararı Kurul’a iletir:


(a)  karar  ile  35(4)  maddesi  uyarınca  bir  veri  koruma  etki  değerlendirmesi  gerekliliğine  tabi  işleme

faaliyetlerine ilişkin bir listenin kabul edilmesi amaçlandığında;


(b) 40(7) maddesi uyarınca bir davranış kuralları önerisi veya bir davranış kuralları değişikliği veya

kapsam genişletme taslağının bu Tüzük’le uyumlu olup olmadığının ilişkin bir husus ile alakalı olması; (c)  karar  ile  41(3)  maddesi  uyarınca  bir  organın  veya  43(3)  maddesi  uyarınca  bir  belgelendirme organının akreditasyonuna yönelik kriterlerin onaylanmasının amaçlanması;


(d)  karar  ile  46(2)  maddesinin  (d)  bendinde  ve  28(8)  maddesinde  atıfta  bulunulan  standart  veri  koruma şartlarının  belirlenmesinin  amaçlanması;  (e)  karar  ile  46(3)  maddesinin  (a)  bendinde  atıfta  bulunulan sözleşmeye bağlı şartların onaylanmasının amaçlanması veya

(f) karar ile 47. madde kapsamındaki bağlayıcı kurumsal kuralların onaylanmasının amaçlanması.


2. Özellikle yetkin bir denetim makamının 61. madde uyarınca karşılıklı yardım yükümlülüklerine veya

62. madde uyarınca ortak çalışmalara ilişkin yükümlülüklerine uymadığı hallerde, herhangi bir denetim makamı, Kurul Başkanı veya Komisyon genel uygulamaya ilişkin herhangi bir hususun veya birden fazla üye devlette etkilere neden olan herhangi bir hususun bir görüş alınması amacı ile Kurul tarafından incelenmesini talep edebilir.



3.  1  ve  2.  paragraflarda  atıfta  bulunulan  hallerde,  Kurul,  aynı  husus  ile  ilgili  halihazırda  bir  görüş bildirmemiş olması koşuluyla, kendisine sunulan hususla ilgili bir görüş bildirir. Bu görüş Kurul üyelerinin salt çoğunluğuyla sekiz hafta içerisinde kabul edilir. Bu süre, konunun karmaşıklığı dikkate alınarak, altı hafta daha uzatılabilir. 1. paragrafta atıfta bulunulan ve 5. paragraf uyarınca Kurul üyelerine dağıtılan taslak karar ile ilgili olarak, Başkan tarafından belirtilen makul bir süre içerisinde itiraz etmeyen bir üyenin taslak karara mutabık kaldığı değerlendirilir.



4. Denetim makamları ve Komisyon, durumuna göre, olgulara ilişkin bir özet, taslak karar, söz konusu tedbirin alınmasını gerekli kılan gerekçeler ve diğer ilgili denetim makamlarının görüşleri de dahil olmak üzere ilgili bilgileri gereksiz bir gecikmeye mahal vermeksizin, standart bir format kullanarak ve elektronik yollarla Kurul’a iletir.


5.  Kurul  Başkanı  aşağıdaki  tarafları,  gereksiz  bir  gecikmeye  mahal  vermeksizin,  elektronik  yollarla aşağıdaki hususlarda bilgilendirir:


(a)  Kurul üyeleri ve Komisyon’u kendisine iletilen ilgili bilgiler hususunda standart bir format kullanarak bilgilendirir. Kurul sekretaryası, gerekmesi halinde, ilgili bilgilerin tercümelerini sağlar ve


(b)  durumuna  göre,  1  ve  2.  paragraflarda  atıfta  bulunulan  denetim  makamı  ve  Komisyon’u  görüş

hususunda bilgilendirir ve görüşü kamuya açıklar.


6. Yetkin denetim makamı, 1. paragrafta atıfta bulunulan taslak kararını 3. paragrafta atıfta bulunulan

süre içerisinde kabul eder.



7. 1. paragrafta atıfta bulunulan denetim makamı Kurul’un görüşünü göz önünde bulundurur ve karar taslağını aynı şekilde tutacağını veya değiştireceğini ve, varsa, değiştirilmiş taslak kararını, görüşün alınmasından itibaren iki hafta içerisinde, standart bir format kullanarak  ve elektronik  yollarla Kurul Başkanı’na iletir.



8. İlgili denetim makamının yerinde gerekçeler sağlamak suretiyle Kurul’un görüşüne tam olarak veya

kısmen uygun hareket etmeye niyeti olmadığını bu maddenin 7. paragrafında atıfta bulunulan süre içerisinde Kurul Başkanı’na bildirmediği hallerde, 65(1) maddesi uygulanır.



Madde

65



İhtilafların Kurul tarafından

çözülmesi



1. Bu Tüzük’ün münferit durumlarda doğru ve tutarlı bir şekilde uygulanmasının sağlanması amacıyla, Kurul aşağıdaki hallerde bağlayıcı bir karar alır:


(a) 60(4) maddesinde atıfta bulunulan bir durumda, ilgili bir denetim makamının baş makamın bir taslak kararına yerinde ve gerekçeli bir itirazda bulunduğu veya baş makamın böylesi bir itirazı yerinde veya gerekçeli görmeyerek reddettiği hallerde. Bağlayıcı karar, yerinde ve gerekçeli bir itiraza konu olan tüm hususlar ile özellikle bu Tüzük’e ilişkin bir ihlal olup olmadığıyla ilgilidir;


(b) ilgili denetim makamlarından hangisinin ana işletme açısından yetkin olduğuna ilişkin çelişkili görüşler

bulunduğu hallerde;


(c) yetkin bir denetim makamının 64(1) maddesinde atıfta bulunulan durumlarda Kurul'un görüşünü talep etmediği veya 64. madde çerçevesinde sunulan Kurul görüşüne uygun hareket etmediği hallerde. Bu durumda, ilgili herhangi bir denetim makamı veya Komisyon bu hususu Kurul'a iletebilir.


2. 1. paragrafta atıfta bulunulan karar konunun sevkinden itibaren bir ay içerisinde Kurul üyelerinin üçte iki çoğunluğu ile alınır.  Bu süre, konunun karmaşıklığı dikkate alınarak, bir ay daha uzatılabilir. 1. paragrafta atıfta bulunulan karar gerekçeli olur ve baş denetim makamı ilgili tüm denetim makamlarına iletilir ve onlar açısından bağlayıcıdır.


3.  Kurul’un  2.  paragrafta  atıfta  bulunulan  süreler  içerisinde  bir  karar  alamadığı  hallerde,  Kurul  2. paragrafta atıfta bulunulan ikinci ayın dolmasının ardından iki hafta içerisinde kararını Kurul üyelerinin salt çoğunluğu ile alır. Kurul üyelerinin oylarının eşit olması halinde, karar Kurul Başkanının oyu ile alınır.



4.  İlgili  denetim  makamları,  2  ve  3.  paragraflarda  atıfta  bulunulan  süreler  esnasında,  1.  paragraf kapsamında Kurul’a sunulan konu ile ilgili bir karar alamaz.


5. Kurul Başkanı, 1. paragrafta atıfta bulunulan kararı gereksiz bir gecikmeye mahal vermeksizin ilgili

denetim makamlarına bildirir. Başkan karar hususunda Komisyon’u da bilgilendirir. Denetim makamının

6. paragrafta atıfta bulunulan nihai kararı bildirmesinin ardından, karar gecikmeye mahal verilmeksizin Kurul’un web sitesinde yayımlanır.



6. Baş denetim makamı veya, duruma göre, şikayetin yapıldığı denetim makamı, gereksiz bir gecikmeye mahal vermeksizin ve en geç Kurul’un kararını bildirmesinden sonra bir ay içerisinde, bu maddenin 1. paragrafında atıfta bulunulan karara dayalı olarak  nihai kararını verir. Baş denetim makamı veya,

duruma göre, şikayetin yapıldığı denetim makamı, nihai kararının sırasıyla kontrolör veya işleyiciye ve veri sahibine bildirildiği tarih hususunda Kurul’u bilgilendirir. İlgili denetim makamlarının nihai kararı 60(7), (8) ve (9) maddelerinin koşulları çerçevesinde alınır. Nihai karar ile bu maddenin 1. paragrafında atıfta  bulunulan  karar  kastedilir  ve  bu  kararda  söz  konusu  paragrafta  atıfta  bulunulan  kararın  bu maddenin  5.  paragrafı  uyarınca  Kurul’un  web  sitesinde  yayımlanacağı  belirtilir.  Bu  maddenin  1. paragrafında atıfta bulunulan karar nihai karara eklenir.



Madde

66



Aciliyet usulü



1.  İstisnai  durumlarda,  ilgili  bir  denetim  makamının  veri  sahiplerinin  hakları  ve  özgürlüklerinin korunmasına  yönelik  olarak  acil  bir  şekilde  harekete  geçilmesine  ihtiyaç  olduğunu  değerlendirdiği hallerde,   söz  konusu   denetim   makamı,   63,   64   ve   65.   maddelerde   atıfta   bulunulan   tutarlılık mekanizmasından veya 60. maddede atıfta bulunulan usulden istisnaya gidilerek, kendi topraklarında üç ayı  geçemeyecek  belirli  bir  geçerlilik  süresi  boyunca  hukuki  sonuçlar  doğurması  amaçlanan  geçici tedbirleri ivedilikle alabilir. Denetim makamı, bu tedbirleri ve tedbirlerin alınma sebeplerini, herhangi bir gecikmeye mahal vermeksizin diğer ilgili denetim makamlarına, Kurul’a ve Komisyon’a iletir.



2. Bir denetim makamının 1. paragraf uyarınca bir tedbir aldığı ve nihai tedbirlerin ivedilikle alınmasının gerektiğini değerlendirdiği hallerde, söz konusu denetim makamı, acil bir görüş veya acil bir bağlayıcı kararın  talep  edilmesine  ilişkin  sebepleri  sunarak,  Kurul’dan  söz  konusu  görüşü  veya  kararı  talep edebilir.



3. Yetkin bir denetim makamının veri sahiplerinin hak ve özgürlüklerinin korunmasına yönelik acil bir şekilde harekete geçilmesinin gerektiği bir durumda uygun bir tedbir almadığı hallerde, herhangi bir denetim makamı, acil harekete geçme ihtiyacı da dahil olmak üzere, duruma göre, acil bir görüş veya acil bir bağlayıcı kararın talep edilmesine ilişkin sebepleri sunarak, söz konusu görüşü veya kararı Kurul’dan talep edebilir.



4. 64(3) ve 65(2) maddesinden istisna edilerek, bu maddenin 2 ve 3. paragraflarında atıfta bulunulan

acil bir görüş veya acil bir bağlayıcı karar Kurul üyelerinin salt çoğunluğuyla iki hafta içerisinde alınır.



Madde

67


Bilgi alışverişi


Komisyon,  64.  maddede  atıfta  bulunulan  standart  format  başta  olmak  üzere,  denetim  makamları arasında ve denetim makamları ile Kurul arasında elektronik yollarla bilgi alışverişine ilişkin düzenlemeleri belirtmek üzere genel kapsamlı uygulama tasarrufları kabul edebilir.


Bu uygulama tasarrufları 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca kabul edilir.


Kesim 3


Avrupa veri koruma kurulu


Madde

68


Avrupa Veri Koruma Kurulu


1. Avrupa Veri Koruma Kurulu (’Kurul’) bu Tüzük’le bir Birlik organı olarak kurulur ve tüzel kişiliğe sahiptir.


2. Kurul, Başkanı tarafından temsil edilir.


3. Kurul her üye devletin bir denetim makamı başkanı ile Avrupa Veri Koruma Denetmeni veya bunların ilgili temsilcilerinden meydana gelir.



4. Bir üye devlette birden fazla denetim makamının bu Tüzük uyarınca hükümlerin uygulanmasının izlenmesinden sorumlu olduğu hallerde, söz konusu üye devletin hukuku uyarınca bir ortak temsilci tayin edilir.


5.  Komisyonun  Kurul’un  faaliyetleri  ve  toplantılarına  oy  hakkı  olmaksızın  katılma  hakkı  bulunur. Komisyon bir temsilci tayin eder. Kurul Başkanı Kurul’un faaliyetlerini Komisyon’a iletir.


6. 65. maddede atıfta bulunulan hallerde, Avrupa Veri Koruma Denetmeni’nin yalnızca Birlik kurumları,

organları, ofisleri ve ajanslarına uygulanan ilkeler ve kurallar ile ilgili olan ve esasen bu Tüzük’ün ilkeleri ve kurallarına tekabül eden kararlarda oy hakkı bulunur.


Madde

69


Bağımsızlık


1. Kurul, 70. ve 71. maddeler uyarınca görevlerini yerine getirirken veya yetkilerini kullanırken bağımsız bir şekilde hareket eder.


2. Komisyon tarafından yapılan ve 70(1) maddesinin (b) bendinde ve 70(2) maddesinde atıfta bulunulan taleplere halel gelmeksizin, Kurul, görevlerini yerine getirirken veya yetkilerini kullanırken, hiç kimseden talimat talebinde bulunmaz ve talimat almaz.



Madde

70


Kurul’un

görevleri


1. Kurul bu Tüzük’ün tutarlı bir şekilde uygulanmasını sağlar. Bu amaçla, Kurul, kendi inisiyatifiyle veya, yerinde olduğu hallerde, Komisyon’un talebi üzerine, özellikle:


(a) ulusal denetim makamlarının görevlerine halel gelmeksizin, 64 ve 65. maddelerde öngörülen hallerde

bu Tüzük’ün doğru bir şekilde uygulanmasını izler ve sağlar;


(b) bu Tüzük’te değişiklik yapılmasına ilişkin herhangi bir öneri de dahil olmak üzere Birlik içerisinde

kişisel verilerin korunmasıyla ilgili her türlü hususta Komisyona tavsiyede bulunur;



(c) kontrolörler, işleyiciler ve denetim makamları arasında bağlayıcı kurumsal kurallara yönelik  bilgi

alışverişine ilişkin format ve usuller hususunda Komisyon’a tavsiyede bulunur;



(d) kişisel verilerin linkleri, nüshaları veya kopyalarının 17(2) maddesinde atıfta bulunulan halka açık iletişim hizmetlerinden silinmesiyle ilgili usullere yönelik kılavuzlar, tavsiyeler ve en iyi uygulamaları yayınlar;


(e)  kendi  inisiyatifiyle  veya  üyelerinden  birinin  talebi  üzerine  ya  da  Komisyonun  talebi  üzerine,  bu Tüzük’ün  uygulanmasına  ilişkin  her  türlü  konuyu  inceler  ve  bu  Tüzük’ün  tutarlı  bir  şekilde uygulanmasını teşvik etmek üzere kılavuzlar, tavsiyeler ve en iyi uygulamaları yayınlar;


(f) 22(2) madde uyarınca profil çıkarmaya dayalı kararlara yönelik kriterler ve koşulların daha ayrıntılı olarak belirtilmesi için bu paragrafın (e) bendi uyarınca kılavuzlar, tavsiyeler ve en iyi uygulamaları yayınlar;


(g)  kişisel  veri  ihlallerinin  tespit  edilmesi  ve  33(1)  ve  (2)  maddelerinde  atıfta  bulunulan  gereksiz gecikmenin  belirlenmesine  yönelik  olarak  ve  bir  kontrolör  ve  bir  işleyicinin  kişisel  veri  ihlali hususunda bildirimde bulunmasının gerekli olduğu özel durumlar açısından, bu paragrafın (e) bendi uyarınca kılavuzlar, tavsiyeler ve en iyi uygulamaları yayınlar;



(h) bir kişisel veri ihlalinin 34(1) maddesinde atıfta bulunulan gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir risk teşkil etmesinin muhtemel olduğu haller ile ilgili olarak, bu paragrafın (e) bendi uyarınca kılavuzlar, tavsiyeler ve en iyi uygulamaları yayınlar;



(i) kontrolörler tarafından uyulan bağlayıcı kurumsal kurallar ve işleyiciler tarafından uyulan bağlayıcı kurumsal  kurallara  ve  47.  maddede  atıfta  bulunulan  ilgili  veri  sahiplerinin  kişisel  verilerinin korunmasının  sağlanmasına  ilişkin  ek  gerekliliklere  dayalı  olarak  gerçekleştirilen  kişisel  veri aktarımlarına  yönelik  kriterler  ve  gereksinimlerin  daha  ayrıntılı  olarak  belirtilmesi  amacıyla,  bu paragrafın (e) bendi uyarınca kılavuzlar, tavsiyeler ve en iyi uygulamaları yayınlar;



(j)  49(1)  maddesine  dayalı  olarak  gerçekleştirilen  kişisel  veri  aktarımlarına  yönelik  kriterler  ve gerekliliklerin daha ayrıntılı olarak belirtilmesi amacıyla, bu paragrafın (e) bendi uyarınca kılavuzlar, tavsiyeler ve en iyi uygulamaları yayınlar;



(k) 58(1), (2) ve (3) maddelerinde atıfta bulunulan tedbirlerin uygulanması ve 83. madde uyarınca idari

para cezalarının belirlenmesi ile ilgili olarak denetim makamlarına yönelik kılavuzlar hazırlar;


(l) (e) ve (f) bentlerinde atıfta bulunulan kılavuzlar, tavsiyeler ve en iyi uygulamaların pratikte uygulanmasını gözden geçirir;



(m) 54(2) madde uyarınca bu Tüzük’e ilişkin ihlallerin gerçek kişiler tarafından bildirilmesine yönelik ortak usullerin oluşturulması hususunda, bu paragrafın (e) bendi uyarınca kılavuzlar, tavsiyeler ve en iyi uygulamaları yayınlar;



(n) 40 ve 42. maddeler uyarınca davranış kurallarının hazırlanmasını ve veri koruma belgelendirme

mekanizmaları ve veri koruma mühürleri ile işaretlerinin oluşturulmasını teşvik eder;


(o)  43.  madde  uyarınca  belgelendirme  organlarının  akreditasyonunu  ve  düzenli  aralıklarla  gözden geçirilmesini gerçekleştirir ve 43(6) maddesi uyarınca akredite organların ve 42(7) maddesi uyarınca üçüncü ülkelerde kurulu bulunan akredite kontrolörler veya işleyicilerin halka açık bir sicilini tutar;


(p) 42. madde kapsamında belgelendirme organlarının akreditasyonuna yönelik olarak 43(3) maddesinde atıfta bulunulan gereklilikleri belirtir.



(q) 43(8) maddesinde atıfta bulunulan belgelendirme gerekliliklerine ilişkin bir görüşü Komisyon’a sağlar; (r) 12(7) maddesinde atıfta bulunulan simgelere ilişkin bir görüşü Komisyon’a sağlar;


(s) bir üçüncü ülke, söz konusu üçüncü ülke içerisindeki bir bölge ya da belirtilen bir veya daha fazla sayıda sektörün veya uluslararası bir kuruluşun artık yeterli bir koruma düzeyi sağlayıp sağlamadığına ilişkin değerlendirme  de  dahil  olmak  üzere  bir  üçüncü  ülke  veya  uluslararası  kuruluştaki  koruma  düzeyinin yeterliliğinin değerlendirilmesine ilişkin bir görüşü Komisyon’a sağlar. Bu amaçla, Komisyon üçüncü ülkenin hükümeti ile yapılan yazışmalar da dahil olmak üzere söz konusu üçüncü ülke, bölge veya sektör ya da uluslararası kuruluşla ilgili gerekli tüm belgeleri Kurul’a sağlar.


(t)  denetim  makamlarının  64(1)  maddesinde  atıfta  bulunulan  tutarlılık  mekanizması  uyarınca  64(2)

maddesi uyarınca sunulan konulara ilişkin olarak çıkardığı taslak kararlara ilişkin görüşler bildirir ve

66. maddede atıfta bulunulan haller de dahil olmak üzere 65. madde uyarınca bağlayıcı kararlar alır;


(u) denetim makamları arasında işbirliğini ve etkili iki taraflı ve çok taraflı bilgi ve en iyi uygulamaların

paylaşımını teşvik eder;


(v)  denetim makamları arasında ve, uygun olduğu hallerde, üçüncü ülkelerin denetim makamları veya uluslararası  kuruluşlarla  birlikte  ortak  eğitim  programlarını  teşvik  eder  ve  personel  değişimlerini kolaylaştırır;


(w) dünyadaki veri koruma denetim makamlarıyla veri koruma mevzuatı ve uygulamalarına ilişkin bilgi ve

belge paylaşımını teşvik eder.


(x) 40(9) maddesi uyarınca Birlik düzeyinde hazırlanan davranış kurallarına ilişkin görüşler bildirir ve


(y)  tutarlılık  mekanizmasında ele  alınan konular  ile  ilgili  olarak  denetim  makamları ve mahkemeler

tarafından alınan kararlara ilişkin halkın erişebileceği bir elektronik sicil tutar.


2. Komisyon’un Kurul’dan tavsiye talebinde bulunduğu hallerde, Komisyon konunun aciliyetini dikkate alarak bir süre sınırı belirtebilir.



3. Kurul görüşlerini, kılavuzlarını, tavsiyelerini ve en iyi uygulamalarını Komisyon’a ve 93. maddede atıfta bulunulan komiteye iletir ve bunları kamuoyuna açıklar.



4. Kurul, uygun olduğu hallerde, ilgili taraflara danışır ve onlara makul bir süre içerisinde görüşlerini bildirme olanağı tanır. Kurul, 76. maddeye halel gelmeksizin, istişare usulünün sonuçlarını kamuoyuna açıklar.


Madde

71



Raporlar


1. Kurul Birlik içerisinde ve, yerinde olduğu hallerde, üçüncü ülkelerde ve uluslararası kuruluşlarda

işleme  faaliyetine  ilişkin  olarak  gerçek  kişilerin  korunması  ile  ilgili  bir  yıllık  rapor  hazırlar.  Rapor kamuoyuna açıklanır ve Avrupa Parlamentosu’na, Konsey’e ve Komisyon’a iletilir.



2. Yıllık  raporda  70(1)  maddesinin  (l)  bendinde  atıfta  bulunulan  kılavuzlar,  tavsiyeler  ve  en  iyi

uygulamaların ve 65. maddede atıfta bulunulan bağlayıcı kararların pratikte uygulamasına ilişkin bir gözden geçirmeye yer verilir.



Madde

72



Usul


1. Bu Tüzük’te aksi belirtilmedikçe, Kurul kararlarını üyelerinin salt çoğunluğu ile alır.



2. Kurul  kendi  usul  kurallarını  üyelerinin  üçte  iki  çoğunluğuyla  kabul  eder  ve  kendi  işlemsel

düzenlemelerini yapar.


Madde

73



Başkan


1. Kurul kendi üyeleri arasından bir başkan ve iki başkan yardımcısını salt çoğunluk ile seçer.


2. Başkan ve başkan yardımcılarının görev süresi beş yıldır ve bir kez yenilenebilir.


Madde

74



Başkanın

görevleri


1. Başkanın aşağıdaki görevleri bulunur:


(a) Kurul’un toplantılarının düzenlenmesi ve toplantı gündeminin hazırlanması;


(b) Kurul tarafından 65. madde uyarınca alınan kararların baş denetim makamına ve ilgili denetim

makamlarına bildirilmesi;


(c) 63. maddede atıfta bulunulan tutarlılık mekanizması başta olmak üzere Kurul’un görevlerinin

zamanında yerine getirilmesinin sağlanması.


2. Kurul, Başkan ile başkan yardımcıları arasındaki görev dağılımını usul kurallarında ortaya koyar.


Madde

75



Sekretarya


1. Kurul’un Avrupa Veri Koruma Denetmeni tarafından sağlanan bir sekretaryası bulunur.


2. Sekretarya görevlerini tamamen Kurul Başkanı’nın talimatları üzerine gerçekleştirir.


3. Avrupa  Veri  Koruma  Denetmeni’nin  bu  Tüzük’le  Kurul’a  verilen  görevlerin  yerine  getirilmesine

müdahil  olan  personeli,  Avrupa  Veri  Koruma  Denetmeni’ne  verilen  görevlerin  yerine  getirilmesine müdahil olan personelden ayrı raporlama hatlarına tabidir.



4. Uygun olduğu hallerde, Kurul ve Avrupa Veri Koruma Denetmeni bu maddenin uygulanması ve aralarındaki  işbirliği  koşullarının  belirlenmesine  yönelik  olarak  hazırlanan  ve  Avrupa  Veri  Koruma Denetmeni’nin bu Tüzük’le Kurul’a verilen görevlerinin yerine getirilmesine müdahil olan personeline uygulanan bir Mutabakat Zaptı hazırlar ve yayımlar.


5. Sekretarya, Kurul’a analitik, idari ve lojistik destek sağlar.


6. Sekretarya özellikle aşağıdaki hususlardan sorumludur. (a)Kurul’un günlük çalışmaları;

(b)Kurul’un üyeleri, Başkanı ve Komisyon arasındaki iletişim; (c) diğer kuruluşlar ve kamuoyu ile iletişim;

(d) iç ve dış iletişim için elektronik yöntemlerin kullanımı; (e) ilgili bilgilerin çevirisi;

(f) Kurul’un toplantılarının hazırlanması ve takip edilmesi;


(g) denetim makamları arasındaki ihtilafların çözümüne ilişkin görüşler ve kararların ve Kurul tarafından

kabul edilen diğer metinlerin hazırlanması, taslak haline getirilmesi ve yayımlanması.



Madde

76



Gizlilik



1. Usul kurallarında belirtildiği üzere, Kurul’un gerekli gördüğü hallerde, Kurul görüşmeleri gizlidir.


2.  Kurul  üyelerine,  üçüncü  kişilerin  uzmanlarına  ve  temsilcilerine  sunulan  belgelere  erişim  (AT) 1049/2001 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü ile düzenlenir3.



BÖLÜM

VIII


Çözüm yolları, sorumluluk ve yaptırımlar



Madde

77



Bir denetim makamına şikayette bulunma hakkı






3 Halkın Avrupa Parlamentosu, Konsey ve Komisyon belgelerine erişimi hakkında 30 Mayıs 2001 tarihli ve (AT) 1049/2001

sayılı Avrupa Parlamentosu ve Konsey Tüzüğü (ATRG L 145, 31.5.2001, s. 43).


1. Her veri sahibi, kendisi ile alakalı kişisel verilerin işlenmesinin bu Tüzük’ü ihlal ettiğini değerlendirmesi durumunda, başka bir idari veya adli çözüm yoluna halel gelmeksizin, mutat meskeninin, iş yerinin veya iddia edilen ihlalin olduğu yerdeki üye devletteki başta olmak üzere bir denetim makamına şikayette bulunma hakkına sahiptir.



2. Şikayetin yapıldığı denetim makamı 78. madde uyarınca bir adli çözüm yolu olanağı da dahil olmak

üzere şikayetin seyri ve sonucu ile ilgili olarak şikayet sahibini bilgilendirir.



Madde

78



Bir denetim makamına karşı etkili bir kanun yoluna

başvurma hakkı



1. Başka bir idari veya adli olmayan çözüm yoluna halel gelmeksizin, her gerçek veya tüzel kişinin bir denetim makamının kendileriyle ilgili yasal bağlayıcılığı olan bir kararına karşı etkili bir kanun yoluna başvurma hakkı vardır.



2. 55 ve 56. maddeler uyarınca  yetkin olan denetim  makamının üç ay içerisinde bir şikayeti ele

almadığı  veya  77.  madde  uyarınca  yapılan  şikayetin  seyri  veya  sonucu  hakkında  veri  sahibini bilgilendirmediği hallerde, her veri sahibinin, başka bir idari veya adli olmayan çözüm  yoluna halel gelmeksizin, etkili bir kanun yoluna başvurma hakkı bulunur.



3. Bir denetim makamına karşı açılacak davalar denetim makamının kurulu bulunduğu üye devlet

mahkemelerinde açılır.



4. Kurul’un tutarlılık mekanizmasındaki bir görüşü veya kararından sonra bir denetim makamının bir

kararına karşı davaların açıldığı hallerde, denetim makamı söz konusu görüş veya kararı mahkemeye sevk eder.

Madde

79



Bir kontrolör veya işleyiciye karşı etkili bir kanun yoluna

başvurma hakkı


1. Kişisel verilerinin bu Tüzük’e aykırı bir şekilde işlenmesi sonucu bu Tüzük kapsamındaki haklarının ihlal edildiğini değerlendirdiği hallerde, 77. madde uyarınca bir denetim makamına şikayette bulunma hakkı da dahil olmak üzere mevcut idari veya adli olmayan çözüm yollarına halel gelmeksizin, her veri sahibi etkili bir kanun yoluna başvurma hakkına sahiptir.



2.  Bir  kontrolör  veya  bir  işleyiciye  karşı  açılacak  davalar  kontrolör  veya  işleyicinin  bir  işletmesinin bulunduğu üye devletin mahkemelerinde açılır. Alternatif olarak, kontrolörün veya işleyicinin bir üye devletin kamu yetkilerinin kullanımı ile ilgili olarak hareket eden bir kamu kuruluşu olması haricinde, böylesi davalar veri sahibinin mutat meskeninin bulunduğu üye devletin mahkemelerinde açılabilir.


Madde

80



Veri sahibinin temsili



1. Veri sahibinin bir üye devlet hukuku uyarınca düzgün şekilde kurulmuş bulunan, kamu yararına yasal hedefleri bulunan ve veri sahiplerinin kişisel verilerinin korunmasına ilişkin hakları ve özgürlüklerinin korunması alanında aktif olan kar amacı gütmeyen bir organ, kuruluş veya birliğe şikayeti kendi adına yapma,  77,  78  ve  79.  maddelerde  atıfta  bulunulan  hakları  kendi  adına  kullanma  ve,  üye  devlet hukukunda sağlanması koşuluyla, 82. maddede atıfta bulunulan tazminat alma hakkını kullanma yetkisi verme hakkı bulunur.


2. Üye devletler bu maddenin 1. paragrafında atıfta bulunulan herhangi bir organ, kuruluş veya birliğin,

bir veri sahibinin verdiği yetkiden bağımsız olarak, söz konusu üye devlette, 77. madde uyarınca yetkin olan denetim makamına şikayette bulunma ve, bir veri sahibinin bu Tüzük kapsamındaki haklarının işleme faaliyeti sonucu ihlal edilmiş olduğunu değerlendirmesi halinde, 78 ve 79. maddelerde atıfta bulunulan hakları kullanma hakkının bulunmasını sağlayabilir.



Madde

81



Davanın ertelenmesi



1. Bir üye devletin yetkin mahkemelerinden birinin aynı kontrolör veya işleyici tarafından gerçekleştirilen bir işleme faaliyeti ile ilgili olarak aynı konu hakkında başka bir üye devletteki bir mahkemede devam eden bir davanın bulunduğu yönünde bilgisinin olduğu hallerde, söz konusu yetkin mahkeme böylesi bir davanın varlığını teyit etmek üzere diğer üye devletteki mahkemeyle irtibat kurar.



2. Aynı kontrolör veya işleyicinin bir işleme faaliyeti ile ilgili olarak aynı konu hakkındaki bir davanın

başka bir üye devletteki bir mahkemede devam ettiği hallerde, davayı ilk ele alan mahkeme haricindeki yetkin bir mahkeme davasını erteleyebilir.



3. Bu davanın ilk derece mahkemesinde devam ettiği hallerde, davayı ilk ele alan mahkemenin söz konusu  davalara  ilişkin  yargı  yetkisinin  bulunması  ve  hukukunun  davaların  birleştirilmesine  olanak tanıması halinde, davayı ilk ele alan mahkeme haricindeki herhangi bir mahkeme, taraflardan birinin başvurusu üzerine, yetkisizlik kararı verebilir.



Madde

82



Tazminat hakkı ve sorumluluk



1. Bu Tüzük’e ilişkin bir ihlal sonucu maddi veya manevi zarar gören herhangi bir kişi, yaşanan zarara


ilişkin olarak kontrolör veya işleyiciden tazminat alma hakkına sahiptir.


2. İşleme faaliyetine müdahil herhangi bir kontrolör bu Tüzük’ü ihlal eden işleme faaliyetinin sebep olduğu zarardan sorumludur. Bir işleyici, ancak bu Tüzük’ün özellikle işleyicilere yönelik yükümlülüklerine uyum göstermediği veya kontrolörün hukuka uygun talimatları dışında veya bu talimatlara aykırı hareket ettiği hallerde, işleme faaliyetinin sebep olduğu zarardan sorumludur.


3. Zarara sebep olan olaydan hiçbir şekilde sorumlu olmadığını kanıtlaması halinde, bir kontrolör veya

işleyici bu sorumluluktan muaftır.


4. Birden  fazla kontrolör  veya  işleyicinin  ya  da hem  bir kontrol hem  de bir  işleyicinin aynı  işleme faaliyetinde bulunduğu ve, 2 ve 3. paragraflar çerçevesinde, işleme faaliyetinin sebep olduğu herhangi bir zarardan sorumlu olduğu hallerde, veri sahibinin etkili bir şekilde tazminin sağlanması amacıyla, her kontrolör veya işleyici tüm zarardan sorumlu tutulur.


5. Bir kontrolör veya işleyicinin, 4. paragraf uyarınca, yaşanan zararı eksiksiz bir şekilde tazmin ettiği hallerde, söz konusu kontrolör veya işleyicinin aynı işleme faaliyetine müdahil diğer kontrolörler veya işleyicilerden zarardan sorumlu oldukları kısma tekabül eden tazminat kısmını, 2. paragrafta ortaya konan koşullar uyarınca, isteme hakkı bulunur.



6. Tazminat alma hakkının kullanımına ilişkin davalar 79(2) maddesinde atıfta bulunulan üye devletin hukuku çerçevesinde yetkin olan mahkemelerde açılır.



Madde

83



İdari para cezaları kesilmesine ilişkin genel

koşullar



1. Her denetim makamı bu Tüzük’e ilişkin olarak 4, 5 ve 6. paragraflarda atıfta bulunulan ihlaller ile ilgili

olarak bu madde uyarınca idari para cezaları kesilmesinin her münferit durumda etkili, ölçülü ve caydırıcı olmasını sağlar.



2. İdari para cezaları, her münferit durumun özelliklerine dayalı olarak, 58(2) maddesinin (a) ila (h) ve (j) bentlerinde atıfta bulunulan tedbirlere ek olarak veya bu tedbirler yerine kesilir. Her münferit durumda bir idari para cezası kesilip kesilmeyeceğine karar verilirken ve idari para cezası meblağına karar verilirken, aşağıdaki hususlar dikkate alınır:


(a) ilgili işleme faaliyetinin mahiyeti, kapsamı veya amacı dikkate alındığında ihlalin mahiyeti, ciddiyeti ve

süresinin yanı sıra etkilenen veri sahibi sayısı ve veri sahiplerinin yaşadığı zarar düzeyi;


(b) ihlalin kasıtlı olması veya ihmalkarlıktan kaynaklanması;


(c) veri sahiplerinin yaşadığı zararın azaltılması için kontrolör veya işleyici tarafından gerçekleştirilen herhangi bir işlem;


(d) 25 ve 32. maddeler uyarınca kendileri tarafından uygulanan teknik ve düzenlemeye ilişkin tedbirler

dikkate alındığında, kontrolörün veya işleyicinin sorumluluk derecesi;


(e) kontrolör veya işleyicinin geçmişte konuyla ilgili ihlalleri;



(f) ihlalin düzeltilmesi ve ihlalin olası olumsuz etkilerinin azaltılması amacı ile denetim makamı ile

gerçekleştirilen işbirliği derecesi;


(g) ihlalden etkilenen kişisel veri kategorileri;


(h) kontrolör veya işleyicinin ihlali bildirip bildirmediği ve bildirdiyse ne ölçüde bildirdiği başta olmak

üzere, denetim makamının ihlalden haberdar edilme şekli;


(i) 58(2) maddesinde atıfta bulunulan tedbirlerin ilgili kontrolör veya işleyiciye karşı aynı konu ile ilgili

olarak daha önceden alınmış olduğu hallerde, bu tedbirlere uyum;


(j)  40. madde  uyarınca  onaylı  davranış  kurallarına  veya  42.  madde  uyarınca  onaylı  belgelendirme mekanizmalarına uygun hareket edilmesi;



(k) ihlal nedeniyle doğrudan veya dolaylı olarak elde edilen maddi menfaatler veya kaçınılan zararlar gibi

durumun özellikleri açısından geçerli diğer ağırlaştırıcı veya hafifletici faktörler.



3. Bir kontrolör veya işleyicinin aynı veya bağlantılı işleme faaliyetlerine yönelik olarak bu Tüzük’ün çeşitli hükümlerini kasıtlı olarak veya ihmalkarlıktan dolayı ihlal etmesi durumunda, toplam idari para cezası meblağı en ağır ihlal için belirtilen meblağı aşamaz.



4. Aşağıdaki hükümlere ilişkin ihlaller, 2. paragraf uyarınca, 10.000.000 Euro’ya kadar veya, bir teşebbüs olması halinde, bir önceki mali yılın yıllık dünya çapındaki cirosunun %2’sine kadar idari para cezalarına (hangi meblağ yüksek ise, o geçerlidir) tabidir:


(a) kontrolör veya işleyicinin 8, 11, 25 ila 39 ile 42 ve 43. maddeler uyarınca yükümlülükleri; (b) belgelendirme organının 42 ve 43. maddeler uyarınca yükümlülükleri;

(c) izleme organının 41(4) maddesi uyarınca yükümlülükleri.




5. Aşağıdaki hükümlere ilişkin ihlaller, 2. paragraf uyarınca, 20.000.000 Euro’ya kadar veya, bir teşebbüs olması halinde, bir önceki mali yılın yıllık dünya çapındaki cirosunun %4’üne kadar idari para cezalarına (hangi meblağ yüksek ise, o geçerlidir) tabidir:


(a) 5, 6, 7 ve 9. maddeler uyarınca rıza koşulları da dahil olmak üzere işleme faaliyetine ilişkin temel

ilkeler;

(b) veri sahiplerinin 12 ila 22. maddeler uyarınca hakları;

(c) 44 ila 49. maddeler uyarınca bir üçüncü ülkedeki bir alıcıya veya bir uluslararası kuruluşa yönelik kişisel veri aktarımları;


(d) üye devlet hukuku uyarınca Bölüm IX çerçevesinde kabul edilen her türlü yükümlülük;


(e) 58(2) maddesi uyarınca denetim makamının bir emri veya geçici ya da kesin işleme sınırlaması veya veri akışlarını askıya almasına uyumlu hareket edilmemesi veya 58(1) maddesinin ihlal edilmesi suretiyle erişim sağlanmaması.


6. 58(2)  maddesinde atıfta bulunulduğu üzere  bir emirle uyumlu hareket edilmemesi, 2. paragraf

uyarınca, 20.000.000 Euro’ya kadar veya, bir teşebbüs olması halinde, bir önceki mali yılın yıllık dünya çapındaki cirosunun %4’üne kadar idari para cezalarına (hangi meblağ yüksek ise, o geçerlidir) tabidir.



7. Denetleme makamlarının 58(2) maddesi uyarınca düzeltme yetkilerine halel gelmeksizin, her üye devlet söz konusu üye devlette kurulu bulunan kamu kuruluşları ve organlara idari para cezalarının kesilip kesilemeyeceğine ve ne ölçüde kesileceğine ilişkin kurallar belirleyebilir.



8. Denetim makamının bu madde kapsamındaki yetkilerini kullanımı etkili kanun yolu ve yargı süreci

de dahil olmak üzere Birlik ve üye devlet hukuku uyarınca uygun usuli güvencelere tabidir.



9. Üye devletin hukuk sisteminde idari para cezalarının hükme bağlanmadığı hallerde, bu madde para cezasının  yetkin  denetim  makamı  tarafından  uygulamaya  konacak  ve  yetkin  ulusal  mahkemeler tarafından kesilecek şekilde uygulanabilirken, bu kanun yollarının etkili olması ve denetim makamları tarafından kesilen idari para cezaları ile eşdeğer bir etkiye sahip olması sağlanabilir. Her halükarda, kesilen para cezaları etkili, orantılı ve caydırıcı olur. Bu üye devletler bu paragraf uyarınca kabul ettikleri kanun hükümlerini 25 Mayıs 2018 tarihine kadar ve bunları etkileyen sonraki değişiklik kanunu veya değişiklikleri, herhangi bir gecikmeye mahal vermeksizin, Komisyon’a bildirir.



Madde

84


Cezalar


1. Üye devletler 83. madde uyarınca idari para cezalarına tabi olmayan ihlaller başta olmak üzere bu

Tüzük’e  ilişkin  ihlaller  açısından  geçerli  olan  diğer  cezalara  ilişkin  kuralları  belirler  ve  bunların uygulanmasının  sağlanması  amacı  ile  gereken  tüm  tedbirleri  alır.  Böylesi  cezalar  etkili,  orantılı  ve caydırıcı olur.



2. Her üye devlet 1. paragraf uyarınca kabul ettiği kanun hükümlerini 25 Mayıs 2018 tarihine kadar ve bunları etkileyen sonraki değişiklikleri, herhangi bir gecikmeye mahal vermeksizin, Komisyon’a bildirir.



BÖLÜM IX


Özel işleme durumlarına ilişkin hükümler



Madde

85



İşleme ve ifade ve bilgi edinme özgürlüğü



1. Gazetecilik amaçları ve akademik, sanatsal veya edebi anlatım amaçları doğrultusunda işleme de

dahil olmak üzere, üye devletler bu Tüzük uyarınca kişisel verilerin korunması hakkı ile ifade ve bilgi edinme özgürlüğü hakkını kanunla bağdaştırır.



2. Gazetecilik amaçları veya akademik, sanatsal veya edebi anlatım amacıyla gerçekleştirilen işleme faaliyeti açısından, üye devletler, kişisel verilerin korunması hakkı ile ifade ve bilgi edinme özgürlüğünü bağdaştırma amacıyla gerekli olmaları durumunda, Bölüm II (ilkeler), Bölüm III (veri sahibinin hakları), Bölüm IV (kontrolör ve işleyici), Bölüm V (kişisel verilerin üçüncü ülkeler veya uluslararası kuruluşlara aktarılması), Bölüm VI (bağımsız denetim makamları), Bölüm VII (işbirliği ve tutarlılık) ve Bölüm IX (spesifik veri işleme durumları) ile ilgili olarak muafiyetler veya derogasyonlar sağlar.



2. Her üye devlet 2. paragraf uyarınca kabul ettiği kanun hükümlerini ve bunları etkileyen sonraki değişiklik kanunu veya değişiklikleri, herhangi bir gecikmeye mahal vermeksizin, Komisyon’a bildirir.



Madde

86


İşleme ve halkın resmi belgelere erişimi



Bir kamu kuruluşu veya bir kamu organı ya da bir özel organ tarafından kamu yararına gerçekleştirilen bir görevin yerine getirilmesi amacı ile tutulan resmi belgelerdeki kişisel veriler, halkın resmi belgelere erişiminin  bu  Tüzük  uyarınca  kişisel  verilerin  korunması  hakkıyla  bağdaştırılması  amacıyla,  kamu kuruluşu  ya  da  organının  tabi  olduğu  Birlik  veya  üye  devlet  hukuku  uyarınca  kuruluş  veya  organ tarafından açıklanabilir.


Madde

87


Ulusal kimlik numarasının işlenmesi



Üye  devletler  bir  ulusal  kimlik  numarası  veya  genel  uygulamaya  ilişkin  başka  bir  tanımlayıcının işlenmesine özgü koşulları da belirleyebilir. Bu durumda, ulusal kimlik numarası veya genel uygulamaya ilişkin başka bir tanımlayıcı ancak veri sahibinin bu Tüzük uyarınca hakları ve özgürlüklerine ilişkin uygun güvenceler çerçevesinde kullanılır.


Madde

88


İş bağlamındaki işleme


1. Üye devletler özellikle işe alım, kanunla ya da toplu sözleşmeler yoluyla belirtilen yükümlülüklerin yerine getirilmesi de dahil  olmak  üzere iş  sözleşmesinin  yürütülmesi, çalışma, iş  yerinde eşitlik  ve çeşitlilik, iş sağlığı ve güvenliğinin yönetimi, planlanması ve düzenlenmesi, işverenin

veya müşterinin mallarının korunması ile ilgili amaçlar ve istihdam ile ilgili haklar ve menfaatlerin münferit ya  da  toplu  olarak  kullanımı  ve  bunlardan  yararlanılmasına  ilişkin  amaçlar  ve  iş  ilişkisinin  sona erdirilmesine  ilişkin  amaçlar  doğrultusunda  çalışanların  kişisel  verilerinin  iş  bağlamında  işlenmesine yönelik  hakların ve özgürlüklerin korunmasının sağlanması amacıyla kanun veya toplu sözleşmeler çerçevesinde daha spesifik kurallar belirleyebilir.



2. Bu kurallar özellikle işleme faaliyetinin şeffaflığı, ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubu veya bir işletmeler grubu içerisinde kişisel verilerin aktarılması ve iş yerindeki sistemlerin izlenmesi ile  ilgili  olarak  veri  sahibinin  insanlık  onuru,  meşru  menfaatleri  ve  temel  haklarının  güvence  altına alınmasına ilişkin uygun ve spesifik tedbirleri içerir.



3. Her üye devlet 1. paragraf uyarınca kabul ettiği kanun hükümlerini 25 Mayıs 2018 tarihine kadar ve bunları etkileyen sonraki değişiklikleri, herhangi bir gecikmeye mahal vermeksizin, Komisyon’a bildirir.



Madde

89



Kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da

istatistiki amaçlar doğrultusunda işleme faaliyetine ilişkin güvenceler ve


derogasyonlar


1. Kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar

doğrultusunda işleme faaliyeti bu Tüzük uyarınca veri sahibinin hakları ve özgürlükleri açısından uygun güvencelere tabidir. Bu güvenceler ile özellikle verilerin en alt düzeye indirilmesi ilkesine uygun hareket edilmesinin sağlanması amacı ile teknik ve düzenlemeye ilişkin tedbirlerin uygulamaya konması sağlanır. Bu amaçların bu şekilde yerine getirilebilmesi koşuluyla, bu tedbirler takma ad kullanımını içerebilir. Bu amaçların veri sahiplerinin teşhis edilmesine olanak tanımayan veya artık olanak tanımayan ek işleme faaliyetleri ile yakalandığı hallerde, söz konusu amaçlar bu şekilde yakalanır.



2. Kişisel verilerin bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar doğrultusunda işlendiği hallerde, Birlik veya üye devlet hukuku çerçevesinde, 15, 16, 18 ve 21. maddelerde atıfta bulunulan hakların spesifik amaçlara ulaşılmasını imkansız hale getirmesinin veya ulaşılmasına ciddi şekilde zarar vermesinin muhtemel olduğu ve derogasyonların bu amaçlara ulaşılması için gerekli olduğu ölçüde, bu maddenin  1.  paragrafında  atıfta  bulunulan  koşullar  ve  güvencelere  tabi  olarak  böylesi  haklardan derogasyonlar sağlanabilir.



3. Kişisel verilerin kamu yararına arşivleme amaçları doğrultusunda işlendiği hallerde, Birlik veya üye devlet hukuku çerçevesinde, 15, 16, 18, 19, 20 ve 21. maddelerde atıfta bulunulan hakların spesifik amaçların yakalanmasını imkansız hale getirmesinin veya yakalanmasına ciddi şekilde zarar vermesinin muhtemel olduğu ve derogasyonların bu amaçların yakalanması için gerekli olduğu ölçüde, bu maddenin

1. paragrafında atıfta bulunulan koşullar ve güvencelere tabi olarak böylesi haklardan derogasyonlar sağlanabilir.



4. 2 ve 3. paragrafta atıfta bulunulan işleme faaliyetinin aynı zamanda başka bir amaca hizmet ettiği hallerde, derogasyonlar yalnızca bu paragraflarda atıfta bulunulan amaçlara yönelik işleme faaliyetine uygulanır.



Madde

90



Gizlilik

yükümlülükleri



1. Üye devletler, kişisel verilerin korunması hakkı ile gizlilik yükümlülüğünün bağdaştırılması amacı ile

gerekli ve orantılı olduğu hallerde, Birlik veya üye devlet hukuku ya da ulusal yetkin makamlar tarafından koyulan   kurallar   çerçevesinde   bir   mesleki   gizlilik   yükümlülüğüne   ya   da   diğer   eşdeğer   gizlilik yükümlülüklerine tabi kontrolörler veya işleyiciler ile ilgili olarak denetim makamlarının 58(1) maddesinin (e) ve (f) bentlerinde belirtilen yetkilerini ortaya koymak üzere spesifik kurallar kabul edebilir. Bu kurallar yalnızca kontrolör veya işleyicinin bu gizlilik yükümlülüğü kapsamına giren bir faaliyet sonucu aldığı veya bu faaliyet esnasında elde ettiği kişisel veriler açısından uygulanır.


2. Her üye devlet 1. paragraf uyarınca kabul edilen kuralları 25 Mayıs 2018 tarihine kadar ve bunları

etkileyen sonraki değişiklikleri, herhangi bir gecikmeye mahal vermeksizin, Komisyon’a bildirir.


Madde

91



Kiliseler ve dini cemiyetlerin mevcut veri koruma kuralları



1.   Bir üye devlet içerisinde kiliseler ve dini cemiyetler ya da toplulukların, bu Tüzük’ün yürürlüğe giriş tarihinde, gerçek kişilerin işleme faaliyeti ile ilgili olarak korunmasına ilişkin kapsamlı kurallar uyguladığı hallerde, söz konusu kuralların bu Tüzük’e uygun hale getirilmesi koşuluyla, ilgili kurallar uygulanmaya devam edebilir.



2.  Bu  maddenin  1.  paragrafı  uyarınca  kapsamlı  kurallar  uygulayan  kiliseler  ve  dini  cemiyetler,  bu Tüzük’ün Bölüm VI’sında ortaya konan şartları yerine getirmesi koşuluyla, spesifik olabilecek bağımsız bir denetim makamının denetimine tabidir.


BÖLÜM X


Yetki devrine dayanan

tasarruflar ve uygulama

tasarrufları



Madde

92



Yetki devrinin

uygulaması


1. Yetki devrine dayanan tasarrufları kabul etme yetkisi bu maddede belirtilen koşullara tabi olarak Komisyon’a verilir.


2. 12(8) maddesi ve 43(8) maddesinde atıfta bulunulan yetki devri 24 Mayıs 2016 tarihinden itibaren

belirsiz bir süre boyunca Komisyon’a verilir.



3. 12(8) maddesi ve 43(8) maddesinde atıfta bulunulan yetki devri Avrupa Parlamentosu veya Konsey tarafından herhangi bir zamanda kaldırılabilir. Bir kaldırma kararı söz konusu kararda belirtilen yetki devrini sona erdirir. Bu karar Avrupa Birliği Resmi Gazetesi’nde yayımlanmasından sonraki gün veya kararda belirtilen sonraki bir tarihte yürürlüğe girer. Karar halihazırda yürürlükte bulunan yetki devrine dayanan tasarrufların geçerliliğini etkilemez.



4. Komisyon, yetki devrine dayanan bir tasarrufu kabul eder etmez, bunu eş zamanlı olarak Avrupa Parlamentosu ve Konsey’e iletir.



5. 12(8) maddesi ve 43(8) maddesi uyarınca kabul edilen yetki devrine dayanan bir tasarruf, ancak söz

konusu tasarrufun Avrupa Parlamentosu ve Konsey’e iletilmesinden itibaren üç aylık bir süre içerisinde Avrupa Parlamentosu ya da Konsey tarafından herhangi bir itirazda bulunulmaması durumunda ya da, söz  konusu  sürenin  dolmasından  önce,  hem  Avrupa  Parlamentosu  hem  de  Konsey’in  itirazda bulunmayacağını Komisyon’a bildirmesi halinde, yürürlüğe girer. Bu süre Avrupa Parlamentosu veya Konsey’in inisiyatifiyle üç ay uzatılır.





Madde

93



Komite usulü


1.  Komisyona  bir  komite  tarafından  destek  olunur.  Söz  konusu  komite,  AB  182/2011  sayılı  Tüzük





L

EN

kapsamında bir komitedir.

Avrupa Birliği Resmi Gazetesi

4.5.201


2. Bu paragrafa atıfta bulunulan hallerde, AB 182/2011 sayılı Tüzük’ün 5. maddesi uygulanır.


3. Bu paragrafa atıfta bulunulan hallerde, AB 182/2011 sayılı Tüzük’ün 8. maddesi, ilgili Tüzük’ün 5. maddesi ile bağlantılı olarak, uygulanır.





BÖLÜM XI


Nihai

hükümler



Madde

94



95/46/AT sayılı Direktif’in yürürlükten kaldırılması


1. 95/46/AT sayılı Direktif 25 Mayıs 2018 tarihinden itibaren geçerli olmak üzere yürürlükten kaldırılmıştır.



2. Yürürlükten kaldırılan Direktif’e yapılan atıflar bu Tüzük’e yapılmış sayılır. 95/46/AT sayılı Direktif’in 29. maddesi ile kurulan Kişisel Verilerin İşlenmesiyle ilgili olarak Bireylerin Korunması hakkında Çalışma Grubuna yapılan atıflar bu Tüzük’le kurulan Avrupa Veri Koruma Kurulu’na yapılmış sayılır.



Madde

95



2002/58/AT sayılı Direktif’le ilişki



Bu Tüzük, Birlik içerisinde kamu iletişim ağlarında halka açık elektronik iletişim hizmetlerinin sağlanması ile bağlantılı işleme faaliyeti hususunda, gerçek veya tüzel kişilere, 2002/58/AT sayılı Direktif’te belirtilen aynı hedefe özgü yükümlülüklere tabi bulundukları konular ile ilgili olarak, ek yükümlülükler getiremez.


Madde

96



Önceden imzalanan anlaşmalarla ilişki



Kişisel  verilerin  üçüncü  ülkelere  veya  uluslararası  kuruluşlara  aktarılması  hususunda  üye  devletler tarafından 24 Mayıs 2016 tarihinden önce imzalanan ve bu tarihten önce geçerli Birlik hukukuna uyumlu olan uluslararası anlaşmalar değiştirilene, yenilenene veya yürürlükten kaldırılana kadar yürürlükte kalır.


Madde

97



Komisyon

raporları


1. Komisyon bu Tüzük’ün değerlendirilmesi ve gözden geçirilmesine ilişkin bir raporu, 25 Mayıs 2020

tarihine kadar ve bu tarihten sonra dört yılda bir, Avrupa Parlamentosu ve Konsey’e sunar. Raporlar kamuoyuna açıklanır.



2. 1.  paragrafta  atıfta  bulunulan  değerlendirmeler  ve  gözden  geçirmeler  bağlamında,  Komisyon

özellikle aşağıdaki hususların uygulanması ve işleyişini inceler:


(a) bu Tüzük’ün 45(3) maddesi uyarınca alınan kararlar ve 95/46/AT sayılı Direktif’in 25(6) maddesine dayalı olarak alınan kararlar başta olmak üzere, kişisel verilerin üçüncü ülkelere veya uluslararası kuruluşlara aktarılmasına ilişkin Bölüm V;


(b) işbirliği ve tutarlılığa ilişkin Bölüm VII.



3. 1. paragraftaki amaç doğrultusunda, Komisyon üye devletlerden ve denetim makamlarından bilgi talep edebilir.


4.   Komisyon,   1   ve   2.   paragraflarda   atıfta   bulunulan   değerlendirmeler   ve   gözden   geçirmeleri gerçekleştirirken, Avrupa Parlamentosu, Konsey ve diğer ilgili organlar veya kaynakların görüşleri ve bulgularını dikkate alır.



5.  Komisyon,  gerekmesi  halinde,  özellikle  bilgi  teknolojisindeki  gelişmeleri  dikkate  alarak  ve  bilgi toplumundaki  ilerleme  durumu  ışığında,  bu  Tüzük’te  değişiklik  yapılmasına  ilişkin  uygun  önerilerde bulunur.


Madde

98



Birliğin veri korumaya ilişkin diğer hukuki tasarruflarının gözden geçirilmesi


Komisyon, uygun olduğu hallerde, gerçek kişilerin işleme faaliyetleri ile alakalı olarak standart ve tutarlı bir şekilde korunmasının sağlanması amacıyla, Birliğin kişisel verilerin korunmasına ilişkin diğer hukuki tasarruflarında  değişiklik  yapılmasına  yönelik  yasal  önerilerde  bulunur.  Bu  husus,  özellikle  gerçek kişilerin Birlik kurumları, organları, ofisleri ve ajansları tarafından gerçekleştirilen işleme faaliyetleri ile alakalı olarak korunması ve söz konusu verilerin serbest dolaşımına ilişkin kurallarla ilgilidir.




Madde

99



Yürürlük ve uygulama



1. Bu Tüzük, Avrupa Birliği Resmi Gazetesi’nde yayımlandığı günden sonraki yirminci gün yürürlüğe girer.


2.   Bu   Tüzük   25   Mayıs   2018 tarihinden itibaren uygulanır.



Bu Tüzük bütün unsurlarıyla bağlayıcıdır ve tüm üye devletlerde doğrudan uygulanır.





Avrupa Birliği Resmi Gazetesi


Brüksel’de 27 Nisan 2016 tarihinde düzenlenmiştir.



Önceki Haber

İstinaf mahkemesi ne kadar sürer ?

Sonraki Haber

Zoom ve Kişisel Verilerin Korunması

Yorumlar

Henüz yorum yapılmadı.

Yorum Yap