LAW 379 – KARŞILAŞTIRMALI AVRUPA

VE TÜRK VERİ KORUMA HUKUKU

Doç. Dr. Hüseyin Can Aksoy

2022-2023 Bahar Dönemi
 KAYNAKLAR

• Zorunlu: AB Hukukuyla Mukayeseli Olarak 6698 Sayılı Kanun Çerçevesinde

Kişisel Verilerin Korunması, Mesut Serdar Çekin, 2020, On İki Levha [lexpera
üzerinden erişilebilir]
• Zorunlu: 6698 sayılı KVKK ile Karşılaştırmalı Olarak AB GVKT Uyarınca Kişisel
Verilerin Korunması H., Hüseyin Murat Develioğlu, 2017, On İki Levha [lexpera
üzerinden erişilebilir]
• Önerilen: Kişisel Verilerin Korunması, Elif Küzeci, 2020, On İki Levha
• Önerilen: Kişisel Verilerin Korunması Hukuku, Murat Volkan Dülger, 2020,
Hukuk Akademisi

2
 DEĞERLENDİRME KRİTERLERİ

Yöntem Adet Toplam Puan

1 Quiz 5 40
2 Final 1 20
3 Ödev 1 20
4 Sunum 1 20

3
 İLK DERS İÇİN OKUMA VE İZLEME
LİSTESİ

Ödev:
1. Hayri Cem - Endüstri 4.0 nedir, ne değildir?
https://t24.com.tr/yazarlar/hayri-cem-haftalik/endustri-4-0-nedir-ne-degildir,26229
2. Hayri Cem - Endüstri 4.0'ın bileşenleri: Büyük veri
https://t24.com.tr/yazarlar/hayri-cem-haftalik/endustri-4-0-in-bilesenleri-buyuk-
veri,26305
3. Robert E. G. Beens – The Privacy Mindset of the EU vs. the US
https://www.forbes.com/sites/forbestechcouncil/2020/07/29/the-privacy-mindset-of-
the-eu-vs-the-us/
4. The Great Hack – Netflix
https://www.netflix.com/title/80117542

4
 BİLGİ TOPLUMUNDA KİŞİSEL VERİLER

«Data is the new oil!»

Clive Humby – İngiliz Matematikçi

SORU: Neden?

5
 BİLGİ TOPLUMUNDA KİŞİSEL VERİLER

Endüstri 4.0 ve verinin önemi

Öğrenebilen, düşünebilen, kendini yönetebilen ve karar alabilen zeka!

• Big Data (Büyük Veri) – Volume (Hacim) / Variety (Çeşitlilik) / Velocity (Sürat) /
Value (Yeni değer üretmek)

SORU: Kişisel verilerin «korunmamasının» bireyler bakımından

doğuracağı riskler nelerdir?

6
BİLGİ TOPLUMUNDA KİŞİSEL VERİLER

Riskler:

• Devletler ve özel teşebbüsler karşısında bireyin

zarar görmesi riski
• Temel hak ve özgürlüklerin ihlali
• Manipülasyon
• Karar veren algoritmalar & veri diktatörlüğü

7
 KİŞİSEL VERİ ÜZERİNDEKİ HAK NEDİR?

Mülkiyet hakkı: Verinin ekonomik değeri gereği ilgili kişilerin kişisel

verileri üzerinde mülkiyet hakkına sahip oldukları düşünülebilir mi?
(+) Kişisel veriler, bireyin kişiliğinin bir ürünüdür. Bu ürünü kullanan
kişiler, karşılığında adil bir bedel ödemelidirler.
(-) Hukuki anlamda eşya, üzerinde bireysel hakimiyet sağlanabilecek,
ekonomik bir değer taşıyan, kişi ve hayvan dışında «cismani bir varlıktır».
(-) İlgili kişi, devralanın veri üzerindeki tasarrufları (örn. üçüncü kişilere
devri) konusunda söz hakkını kaybedecektir.
(-) Veri işlemenin, yalnızca ilgili kişinin rızasıyla yapılabilmesi, bilginin
serbest dolaşımını baltalayabilir.
8
 KİŞİSEL VERİ ÜZERİNDEKİ HAK NEDİR?

Fikri mülkiyet hakkı: Kişisel veriler üzerindeki hak fikri mülkiyet

hakkı sayılabilir mi?
(+) Eser sahibinin manevi haklarına (eseri umuma arz yetkisi ve eserde
değişiklik yapılmasını yasaklama yetkisi) benzer bir niteliktedir.
(-) Kanunda «eser» türleri numerus clausus olarak sayılmıştır!
(-) Fikri mülkiyet hukukunun varlık amacı, bilinçli olark sarf edilen çaba
ile eser ve buluşların yaratılmasını teşvik etmektir.

9
KİŞİSEL VERİ ÜZERİNDEKİ HAK NEDİR?

Kişilik hakkı: Kişisel veriler, bireyin kişilik hakkının bir parçası

mıdır?

10
 BİR TEMEL HAK OLARAK KİŞİSEL
VERİLERİN KORUNMASI

AB Temel Haklar Bildirgesi (2000)

Bölüm II / Özgürlükler
Madde 7 - Özel ve aile yaşamına saygı
Herkes, özel ve aile yaşamına, konutuna ve haberleşmesine saygı gösterilmesini isteme hakkına sahiptir.
*** Üst araması ve konut dokunulmazlığını da kapsar!!!

Madde 8 - Kişisel bilgilerin korunması

1. Herkes, kendisine ilişkin kişisel bilgilerinin korunmasını isteme hakkına sahiptir.
2. Bu tür bilgiler, belirtilen amaçlar için ve ilgili kişinin muvafakatine veya yasada öngörülen başka meşru
temele dayalı olarak adil şekilde kullanılmalıdır. Herkes, kendisi hakkında toplanmış olan bilgilere erişme ve
bunlarda düzeltme yaptırma hakkına sahiptir.
3. Bu kurallara uyulması, bağımsız bir makam tarafından denetlenecektir.
11
 BİR TEMEL HAK OLARAK KİŞİSEL
VERİLERİN KORUNMASI

T.C. Anayasası
IV. Özel hayatın gizliliği ve korunması
A. Özel hayatın gizliliği (2010 değişikliği)
Madde 20 –
(3) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin
kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini
veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de
kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir.
Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir
+
6698 sayılı Kişisel Verilerin Korunması Kanunu (2016) ve diğer Kanunlar
12
 KORUNAN MENFAAT NEDİR

6698 s. K.
Amaç
MADDE 1- (1) Bu Kanunun amacı, kişisel verilerin işlenmesinde
başta özel hayatın gizliliği olmak üzere kişilerin temel hak
ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve
tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları
düzenlemektir.

Soru: Korunan nedir?

13
 MAHREMİYETİN KORUNMASI?

Kişilik Hakkı

Özel yaşam

Mesele mahremiyetin korunması mıdır?

Gizli olmayan kişisel veriler vardır.
Yanlış veriler mahremiyeti ihlal etmese de ilgili kişiye zarar verebilir.
14
 ÇATIŞAN MENFAATLER

Bilginin serbest dolaşımının sağlanması

X
İlgili kişilerin korunması

Devlete karşı koruma Kişilere karşı koruma

15
 BİR TEMEL HAK OLARAK KİŞİSEL
VERİLERİN KORUNMASI

Dikey etki X Yatay Etki

Dikey etki: Anayasa hükmü, Devletin, bireyin özgürlük alanına müdahalesini

sınırlandırır!
Yatay etki: Bireyin temel hak ve özgürlüklerinin diğer bireyler karşısında
korunmasıdır. Yatay ilişki kanunla somutlaşır!

Geçmişte, dikey ilişkide yoğunlaşan tartışmalar, bugün yatay

ilişkide yoğunlaşmaktadır!
16
 AB VE ABD YAKLAŞIMLARI

• İkinci Dünya Savaşı – Nazi Almanyası tecrübeleri

• Çevrimiçi takibin riskleri ve avantajlarına ilişkin farklı
toplumsal düşünceler
• Teknoloji şirketlerinin etkisi

17
 AB VE ABD YAKLAŞIMLARI

Alman Federal Mahkemesi’nin Nüfus Sayımı Kararı (15 Aralık 1983):

• Kişisel verilerin korunmasının dayanağı, Anayasa’da temel hak ve
özgürlük olarak korunan «insan onuru ve kişilik hakkı»dır.
• «Enformasyonel self-determinasyon hakkı» (bilgilerin geleceğini
belirleme hakkı) - Kişinin, kendisine ait kişisel verilerinin üzerinde
tasarruf yetkisi vardır.

18
 AB VE ABD YAKLAŞIMLARI

ABD’de veri koruması yok mu?

• Amerikan Anayasası’nda özel yaşamın gizliliğini koruyan özel bir hüküm yoktur.
• Veri koruma alanında sektörel düzenlemeler ve bazı eyalet kanunları (California Consumer Privacy Act
gibi) var.
• FTC’nin denetimleri, ağır para cezaları, sıkı denetim ve grup davası (class action) mekanizmaları var.
• Rızanın etkisi ve geçerliliği konusunda daha anlayışlı. AB’de rıza kavramının belirli unsurları var.
• «Opt-out» rıza geçerli kabul ediliyor.
• «Personally identifiable information» kavramı «personal data» kavramından daha dar.
• Veri transferine ilişkin serbesti kabul ediliyor.
• Verilerin saklanmasına ilişkin süre sınırı neredeyse yok.
• ABD’nin hassas veri kavramı daha geniş kapsamlı.
19
 TARİHÇE

Alman Federe Devleti’nde kabul edilen 1970 tarihli yasa ve takip eden ulusal düzenlemeler ile
devletler, vatandaşlarının verilerinin ülke dışına çıkarılmasını kontrol altına almaya çalıştı.
Uluslararası kuruluşlar, uluslararası ticarete zarar verilmesini önlemek amacıyla devletlerin
sağlaması gereken asgari koruma seviyesini belirlemeye çalıştılar:
1. OECD İlkeleri (1980) – tavsiye niteliğindedir.
2. 108 sayılı Avrupa Konseyi Sözleşmesi (1981) – bağlayıcıdır; TR 2016 yılında onaylamıştır.
3. 45/95 sayılı Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkeler (BM Rehber
İlkeleri) (1990)
4. 95/46/EC sayılı AB Yönergesi (1995) – iç hukuka aktarılmalıdır!
5. 97/55/EC – 2000/31/EC – 2002/58/EC sayılı Yönergeler
6. Genel Veri Koruma Tüzüğü (2016)
20
 TARİHÇE

Türkiye’de....

2004 – TCK ile kişisel verilerin korunmasına ilişkin düzenlemeler getirildi.

2010 – Kişisel verilerin korunması, bir temel hak olarak Anayasa’ya girdi.
2016 – Kişisel Verilerin Koruması Kanunu yürürlüğe girdi.
2016 –108 sayılı sözleşmeyi onaylandı.

21
 GVKT’NİN YER BAKIMINDAN
UYGULANMASI (BÖLGESEL KAPSAM)

Art. 3 GDPR - Territorial scope

(1) This Regulation applies to the processing of personal data in the context of the
activities of an establishment of a controller or a processor in the Union, regardless of
whether the processing takes place in the Union or not.
(2) This Regulation applies to the processing of personal data of data subjects who are
in the Union by a controller or processor not established in the Union, where the
processing activities are related to:
(a) the offering of goods or services, irrespective of whether a payment of the data
subject is required, to such data subjects in the Union; or
(b) the monitoring of their behaviour as far as their behaviour takes place within the
Union.
(3) This Regulation applies to the processing of personal data by a controller not
established in the Union, but in a place where Member State law applies by virtue of
public international law.
22
 GVKT’NİN YER BAKIMINDAN
UYGULANMASI (BÖLGESEL KAPSAM)

Mülkilik İlkesi: İşleme faaliyeti nerede gerçekleştiriliyor?

Pazar İlkesi: Nihai olarak hangi pazara müdahale ediliyor;
hangi pazardaki kişiler hedef alınıyor?

23
 GVKT’NİN YER BAKIMINDAN
UYGULANMASI (BÖLGESEL KAPSAM)

Mülkilik İlkesi
1. AB sınırları içerisinde olup olmadığına bakılmaksızın, AB’deki bir veri sorumlusu veya veri işleyene
ait bir «işletmenin» faaliyeti kapsamında işleme faaliyeti gerçekleştirilmesi halinde
İşletme: ABAD’ın Weltimmo (C-230/14, 1.10.2015) kararında işletme kavramı geniş
yorumlanmıştır: «Slovakya’da kurulmuş olan Weltimmo’nun Macaristan sınırları içinde bir
temsilcisi, iletişim adresi ve banka hesabı bulunması, Macaristan’da gerçek ve etkin bir faaliyet
gösterdiği anlamına gelir!»
Önemli olan, personel ve malvarlığı unsurlarının, süreklilik arz edecek şekilde, bir faaliyetin
gerçekleştirilmesi için bir araya getirilmiş olmasıdır.
AB sınırları içinde bulunan şubenin faaliyeti ile veri işleme faaliyeti ayrılmaz şekilde bağlantılıysa,
AB sınırları dışındaki işlemeye de Tüzük uygulanır.
Dikkat: Verisi işlenen gerçek kişinin AB vatandaşı olması zorunlu değildir.
24
 GVKT’NİN YER BAKIMINDAN
UYGULANMASI (BÖLGESEL KAPSAM)

Pazar İlkesi
I1. AB sınırları içerisinde bulunmayan veri sorumlusu veya veri işleyenin işleme faaliyetinin – ilgili
kişinin ödeme yapmasına gerek olup olmadığına bakılmaksızın – AB’de bulunan ilgili kişilere mal veya
hizmet sunulmasına ilişkin olması halinde
İcaba davet dahil olmak üzere, sözleşmenin kurulmasına yönelik her türlü veri işleme
faaliyeti bu kapsamdadır!
Örnek: Rezervasyon veya bilgi amacıyla, bir otelle paylaşılan kimlik bilgileri.
Dikkat: Salt veri sorumlusu veya veri işleyene ait bir internet sitesine, e-posta adresine veya
diğer iletişim bilgilerine AB’den ulaşılması veya veri işleyenin ülkesinde kullanılan dilin kullanılması
bu kapsamda değildir. Bu ifadeler, AB’de bulunan ilgili kişilere mal veya hizmet sunulma
iradesini ortaya koymaz!!!
Bir üye devletin dili ve para birimi kullanılıyorsa aksi söylenebilir! (Giriş m. 23)!
25
 GVKT’NİN YER BAKIMINDAN
UYGULANMASI (BÖLGESEL KAPSAM)

Pazar İlkesi
II1. AB’de bulunan ilgili kişilerin davranışlarının izlenmesine
ilişkin işleme faaliyetleri halinde
İnternet üzerinden yapılan takip + kendisiyle ilgili kararlar
almak veya tercihleri ile davranışlarını analiz ve tahmin
etmek amacıyla profilleme! (Giriş m. 24)

26
 GVKT’NİN YER BAKIMINDAN
UYGULANMASI (BÖLGESEL KAPSAM)

IV. Uluslararası Kamu Hukuku Kuralları uyarınca bir üye devletin

hukukunun uygulanması halinde
«The Dutch consulate in Kingston, Jamaica, opens an online application process for the
recruitment of local staff in order to support its administration.
While the Dutch consulate in Kingston, Jamaica, is not established in the Union, the fact
that it is a consular post of an EU country where Member State law applies by virtue of
public international law renders the GDPR applicable to its processing of personal data,
as per Article 3(3).»

EDPB, Guidelines 3/2018 on the territorial scope of the GDPR (Article 3), 12 November 2019

27
 GVKT’NİN YER BAKIMINDAN
UYGULANMASI (BÖLGESEL KAPSAM)

SONUÇ:
• TR’deki bir veri sorumlusu veya veri işleyene karşı Tüzük’ten doğan haklarını kullanmak
isteyen kişiler AB’deki yetkili denetim makamlarına da başvurabilirler.
KVKK ilgili mevzuat (özellikle KVKK,TMK ve TCK) kapsamındaki koruma
ayrıca saklıdır!

• Para cezaları AB dışında nasıl icra edilir?

GVKT uyarınca yaptırım uygulanan veri sorumlusunun AB veya Avrupa Ekonomik Alanında
(EEA) bulununan malvarlığına el konulabilir; veri sorumlusunun AB veya AEA’da tesmilcisi
var ise yaptırım bu temsilci kanalıyla uygulanabilir; uluslararası kamu hukuku kuralları
gereği veri sorumlusunun bulunduğu ülkenin icra kurumları yaptırım uygulayabilir.
28
 KVKK’NIN UYGULAMA ALANI

Kişi Bakımından
KVKK m. 3 (1) (d): “d) Kişisel veri: Kimliği belirli veya
belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,”

Dikkat:Veri işleyen, gerçek ya da tüzel kişi olabilir ve her

durumda sorumluluğu söz konusudur!

29
 KVKK’NIN UYGULAMA ALANI

Konu Bakımından
Kapsam
Madde 2- (1) Bu Kanun hükümleri, kişisel verileri işlenen
gerçek kişiler ile bu verileri tamamen veya kısmen otomatik
olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel
kişiler hakkında uygulanır.

30
 KVKK’NIN UYGULAMA ALANI

Yer Bakımından
Mülkilik ilkesi – Türkiye Cumhuriyeti sınırları içerisinde gerçekleştirilen veri
işleme faaliyetleri
+
Kişisel verilerin hukuka aykırı olarak işlenmesi haksız fiil teşkil ettiğinden
milletlerarası özel hukuk kuralları gereği

Dikkat: Pazar ilkesi KVKK’da yer almamaktadır!

31