KİŞİSEL VERİLERİN İŞLENMESİNE UYGULANACAK HUKUK

Yıl 2025, Cilt: 11 Sayı: 2, 559 - 604, 02.10.2025

Hacer Ülkü Doğan Kaya

Öz

Bu çalışmada, kişisel verilerin korunmasını ilgilendiren yabancı unsurlu özel hukuk uyuşmazlıklarında uygulanacak hukukun tespitine ilişkin Türk hukuku yaklaşımı Avrupa Birliği hukuku ile karşılaştırılarak incelenmiştir. Avrupa Birliği hukukunda konu, kişisel verilerin korunması mevzuatının yer bakımından uygulanmasına ilişkin hükümler yoluyla çözülmüştür. Türk hukukunda ise KVKK’da kanunun yer bakımından uygulanmasına dair bir düzenleme yer almamakla birlikte; MÖHUK m. 35/3, kişisel verilerin korunmasına ilişkin düzenlemelerin -temel hakları ilgilendirmesine rağmen- kategorik bir şekilde doğrudan uygulanan kural olarak kabul edilmediğini ortaya koymaktadır.
Buna göre, kişisel verilerin işlenmesinin yabancı unsurlu bir uyuşmazlığın konusu olduğu durumlarda hâkim uygulanacak hukuku MÖHUK’taki bağlama kurallarına göre tayin edecektir. Kişisel veriler, sözleşmeyle bağlantılı bir şekilde işlenmişse MÖHUK m. 24-29 arasındaki hükümlere başvurulacak; aksi halde, bir menfaatin iadesi söz konusu olduğunda, vekâletsiz iş görmeye ilişkin uygulanacak hukuk hâkim tarafından -öncelikle MÖHUK m. 35’in kıyasen uygulanması suretiyle- bağlama kuralı yaratılarak belirlenecek, diğer talepler bakımından ise, başta MÖHUK m. 35/3 atfıyla aynı maddenin birinci fıkrasına, bu kuralın da uygulanamayacağı durumlarda MÖHUK m. 34’e gidilecektir.

Anahtar Kelimeler

Kişisel Veriler , Uygulanacak Hukuk , Kişisel Verilerin Korunması Kanunu (KVKK) , Genel Veri Koruma Tüzüğü (GVKT) , Milletlerarası Özel Hukuk ve Usul Hukuku Hakkında Kanun (MÖHUK)

The Law Applicable to Processing of Personal Data

Öz

In this study, Turkish law’s approach to determining the law to be applied in private law disputes with foreign element concerning personal data protection has been examined in comparison with the European Union law. In the European Union law, this matter is handled with rules regarding the territorial scope of personal data protection legislation. In Turkish law, however, Data Protection Law does not include any provisions regarding its territorial scope of application and the presence of Art. 35/3 of MÖHUK, regarding the law applicable to protection of personality rights, indicates that the provisions of personal data legislation -although they concern a fundamental right- are not categorically regarded as overriding mandatory rules.
Thus, in personal data protection related disputes involving a foreign element, the judge will determine the applicable law according to general conflict of laws rules in MÖHUK. If the personal data is processed in connection with a contract, Art. 24-29 of MÖHUK shall be applied; otherwise, for the restitution of benefits, the judge shall determine the applicable law to negotiorum gestio through a judge-made law, especially through an analogy with Article 35. In other cases, Art. 35/1 of MÖHUK shall be applied by reference of the third paragraph of the same Article. In cases where this rule is not applicable, general rule on the law governing torst, which is Art. 34 of MÖHUK, shall apply.

Anahtar Kelimeler

Personal Data , Applicable Law , Law on the Protection of Personal Data (KVKK) , General Data Protection Regulation (GDPR) , The Code on Private International Law and Procedural Law (MÖHUK)

Kaynakça

• Akgül, Alper, “Kişisel Verilerin İşlenmesi Suretiyle Gerçekleşen Kişilik Hakkı İhlallerine İlişkin Davalarda Uygulanacak Hukukun ve Yetkili Mahkemenin Tespiti”, Türkiye Adalet Akademisi Dergisi, Y. 2024, C. 15, S. 58, s. 211-246.
• Arslan, İlyas, “Kişisel Verilerin Yabancı Unsurlu Sözleşmelere Aykırı Olarak İşlenmesinden veya Korunmamasından Kaynaklanan Uyuşmazlıklara Uygulanacak Hukukun Tespiti”, İstanbul Hukuk Mecmuası, Y. 2021, C. 79, S. 1, s. 135-191.
• AVKK, GVKT’nün yer bakımından kapsamına (Madde 3) ilişkin 3/2018 sayılı Rehber (Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)),, https://edpb.europa.eu adresi üzerinden 13.12.2021 tarihinde erişilmiştir.
• Aydoğmuş Gisoldi, Ayşe Yasemin, Milletlerarası Özel Hukukta Kişisel Verilerin Korunması, Ankara 2023.
• Baş Süzel, Ece/Yasan, Candan, “Gerçek Olmayan Vekâletsiz İş Görmeye Uygulanacak Hukuk”, Marmara Üniversitesi Hukuk Fakültesi Hukuk Araştırmaları Dergisi, Y. 2016, C. 22, S. 2, s. 365-396.
• Başalp, Nilgün, Avrupa Birliği Veri Koruması Genel Regülasyonu’nun Temel Yenilikleri, Marmara Üniversitesi Hukuk Fakültesi Hukuk Araştırmaları Dergisi, Y. 2015, C.21 S.1, 77-106.
• Brkan, Maja, "Data Protection and Conflict-of-Laws: A Challenging Relationship", European Data Protection Law Review, Y. 2016, C. 2, S. 3, s. 324-341.
• Chakarova, Kristina Yuliyanova, “General Data Protection Regulation: Challenges Posed by the Opening Clauses and Conflict of Laws Issues”, European Union Law Working Papers, Stanford – Vienna Transatlantic Technology Law Forum, 2019, S. 41.
• Çalışma Grubu, 8/2010 sayılı Görüş, https://ec.europa.eu adresi üzerinden 12.12.2021 tarihinde erişilmiştir.
• Çekin, Mesut Serdar, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması Hukuku, İstanbul 2020.
• Çelik, F. Elif: Kişilik Hakkının Sınır Ötesi İhlalinden Kaynaklanan Uyuşmazlıklar, Ankara 2023.
• Çelikel, Aysel/Erdem, B. Bahadır: Milletlerarası Özel Hukuk, İstanbul 2017.
• Çörtoğlu Koca, Sema, Zayıf Tarafın Korunduğu Sözleşmelerde Mahkemelerin Milletlerarası Yetkisi (İş, Tüketici ve Sigorta Sözleşmeleri), Ankara 2016.
• Doğan, Vahit, Milletlerarası Özel Hukuk, Ankara 2017.
• Doğan Kaya, Hacer Ülkü, Bankaların Para Transferlerinde Yurt Dışına Veri Aktarımı ve Kişisel Verilerin Korunması, I. Uluslararası Kişisel Verileri Koruma Kongresi (14.11.2021).
• Elçin, Doğa, “İş Sözleşmelerinden Doğan Kanunlar İhtilâfı”, Ankara Üniversitesi Sosyal Bilimler Enstitüsü Doktora Tezi, Ankara 2011.
• Güngör, Gülin, “Tüketicinin Mutad Meskeni Hukuku ‘Düşünsel Temeller’”, Ankara Üniversitesi Hukuk Fakültesi Dergisi, Y. 2008, C. 57, S.2, s. 115-132 (Düşünsel Temeller).
• Güngör, Gülin, Türk Milletlerarası Özel Hukuku, Ankara 2021.
• Güngör, Gülin, “İnternet Yoluyla Girişilen Elektronik Tüketici Akitleri ve Milletlerarası Hukukta Tüketicinin Korunması”, Ankara Üniversitesi Hukuk Fakültesi Dergisi, Y. 1997, C. 46, S. 1- 4, s.101-120 (İnternet Tüketici Akitleri).
• Huang, Jie (Jeanne), “Applicable Law to Transnational Personal Data: Trends and Dynamics”, German Law Journal, 2020, C. 21, s. 1283–1308.
• Kurum, Kişisel Verilerin Korunması Kanunu Hakkında Sıkça Sorulan Sorular, Soru 2, kvkk.gov.tr üzerinden 12.12.2021 tarihinde erişilmiştir.
• Kurum, Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi, kvkk.gov.tr üzerinden 12.12.2021 tarihinde erişilmiştir.
• Kurum, Kişisel Verilerin Yurt Dışına Aktarılması Rehberi (2025), kvkk.gov.tr üzerinden 5.12.2025 tarihinde erişilmiştir.
• Kurum, Kişisel Verilerin İşlenme Şartları, kvkk.gov.tr üzerinden 12.12.2021 tarihinde erişilmiştir.
• Küzeci, Elif, Kişisel Verilerin Korunması, İstanbul 2020.
• Lundstedt, Lydia, “International Jurisdiction over Cross-border Private Enforcement Actions under the GDPR”, Stockholm Faculty of Law Research Paper Series, 2018, S. 75.
• Melcher, Martina, “Substantive EU Regulations as Overriding Mandatory Rules?”, ELTE Law Journal, Y. 2020, S. 1, s. 37-50.
• Nomer, Ergin, Devletler Hususi Hukuku, İstanbul 2015.
• Oğuzman, Kemal/Öz, Turgut, Borçlar Hukuku Genel Hükümler Cilt -1, İstanbul (2012).
• Önal, Ali, “Türk Hukuku ve AB Düzenlemeleri Çerçevesinde Vekâletsiz İş Görmeye Uygulanacak Hukuk”, Marmara Üniversitesi Hukuk Fakültesi Hukuk Araştırmaları Dergisi, Y. 2016, C.22, S.3, s. 2151 – 2180.
• Özel, Sibel, “İnternet Yoluyla Kişilik Hakkı İhlallerinde Uygulanacak Hukuk Meselesi”, Milletlerarası Hukuk ve Milletlerarası Özel Hukuk Bülteni, Y. 2011, C.24, S.1-2, s. 609-618.
• Öztürk, Bahri/Altınok Çalışkan, Elif/Seyhan, Serkan: Kişisel Verilerin Korunması Hukuku Teorik ve Pratik Çalışma Kitabı, Ankara 2021.
• Stone, Peter, EU Private International Law, Cheltenham 2016.
• Symeonides, Symeon C., Codifying Choice of Law Around the World, Oxford 2014.
• Sarıöz Büyükalp, A. İpek, “Mutad İşyeri Kavramı ve MÖHUK m. 27/f. 3’ün Uygulanması Sorunu”, Hacettepe Hukuk Fakültesi Dergisi, Y. 2018, C. 8, S. 2, s.195-248.
• Saygı, Samet, “6698 Sayılı Kanun’un Sistematiğinde Yargısal Başvuru Yolları”, Kişisel Verileri Koruma Dergisi, Y. 2020, C. 2, S. 2, s. 30-61.
• Svantenson, Dan Jerker B., “The Extraterritoriality of EU Data Privacy Law Its Theoretical Justification and Its Practical Effect on U.S. Businesses”, Stanford Journal of International Law, Y. 2014, C. 50, S. 1, s. 53-102.
• Şanlı, Cemal/Esen, Emre/Ataman-Figanmeşe, İnci, Milletlerarası Özel Hukuk, İstanbul 2016.
• Tekinalp, Gülören, Milletlerarası Özel Hukuk Bağlama ve Usul Hukuku Kuralları, İstanbul 2020.
• Tarman, Zeynep Derya, “Milletlerarası Özel Hukukta Tüketicinin Korunması”, Public and Private International Law Bulletin, Y. 2019, C. 39, S. 1, s. 325-356.
• Tekin, Esra, Milletlerarası Özel Hukukta Kişilik Haklarının İnternet Yoluyla İhlalinde Sorumluluk, Ankara 2021. Vrabec, Helena U./Nurullaev, Ruslan/Olmedo Cuevas, Míchel/Szulewski, Paweł, “Data Localisation Measures and Their Impacts on Data Science”, Research Handbook in Data Science and Law, Ed., Vanessa Mak, Eric Tjong Tjin Tai, Anna Berlee, Cheltenham 2018, 322-355.
• Yüksel, Burcu, Uluslararası Elektronik Fon Transferine Uygulanacak Hukuk, İstanbul 2018.
• Convention 108 and Protocols, https://www.coe.int/en/web/data-protection/convention108-and-protocol adresinden 12.12.2021 tarihinde erişilmiştir.
• Google Ads Help, Target ads to geographic locations, https://support.google.com/google-ads/answer/1722043?hl=en adresinden 13.12.2021 tarihinde erişilmiştir
• Kurum, Veri İhlal Bildirimleri, https://www.kvkk.gov.tr/veri-ihlâli-bildirimi/ adresi üzerinden 12.12.2021 tarihinde erişilmiştir.
• Kurum, Yurt Dışına Aktarım, https://kvkk.gov.tr/Icerik/2053/Yurtdisina-Aktarim üzerinden 12.12.2021 tarihinde erişilmiştir.
• Merriam-Webster, https://www.merriam-webster.com/dictionary/cookie
• OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data (Mahremiyetin Korunması ve Kişisel Verilerin Sınır Ötesi Aktarımı Rehber İlkeleri), 23.9.1980, www.oecd.org üzerinden 12.12.2021 tarihinde erişilmiştir.
• ABAD 30.11.1976 tarih, C-21/76 sayılı karar.
• ABAD 7.3.1995 tarih, C-68/93 sayılı karar.
• ABAD 7.12.2010 tarih, C‑144/09 sayılı karar. ABAD 25.10.2011 tarih, C 509/09 ve C 161/10 sayılı (birleştirilmiş) karar.
• ABAD, 13.5.2014 tarih, C‑131/12 sayılı karar.
• ABAD 1.10.2015 tarih, C-230/14 sayılı karar.
• ABAD 28.7.2016 tarih, C-191/15 sayılı karar.
• ABAD 17.11.2017 tarih, C-194/16 sayılı karar.
• ABAD 15.6.2021 tarih, C-645/19 sayılı karar.
• ABAD 21.12.2021 tarih, C‑251/20 sayılı karar.
• Anayasa Mahkemesi, 05.11.2024 tarihli ve E.2023/158, K.2024/187 sayılı kararı.
• Kurul, 16.1.2020 tarihli ve 2020/41 sayılı karar, https://kvkk.gov.tr/Icerik/6714/2020-41 adresinden 12.12.2021 tarihinde erişilmiştir
• Kurul, 3. 9.2020 tarih, 2020/667 sayılı karar, https://www.kvkk.gov.tr/Icerik/6878/2020-667 üzerinden 12.12.2021 tarihinde erişilmiştir.
• Tribunal cantonal du Jura (Cour civile), 12.2.2011, CC 117/2010 sayılı karar.