Annales de la Faculté de Droit d’Istanbul 0578-9745 2687-4113 İstanbul Üniversitesi 10.26650/annales.2018.67.0005 Law in Context Hukuk Kişisel Verilerin Korunması Kanunu Kapsamında Veri Işleyen ve Veri Sorumlusu Kavramı Üzerine Değerlendirme Overview of the Definitons of Data Controller and Data Processor within the Scope of The Turkish Code of Personal Data Protection (TCDP) https://orcid.org/0000-0001-7703-440X Pekmez Cuneyt ISTANBUL UNIVERSITY 11 26 2019 67 59 71 06 10 2019 08 17 2019 Copyright © 1951, Annales de la Faculté de Droit d’Istanbul 1951 Annales de la Faculté de Droit d’Istanbul

Kişisel Verilerin Korunması Kanunu (KVKK) m.3 (ı) de tanımlanan veri sorumlusu kavramı 4 ana unsurun mevcudiyetinin incelenmesini gerektirmektedir. 1) veri işleme 2) veri işleme araç ve amacının belirlenmesi 3) gerçek veya tüzel kişi 4) birlikte veya yalnız veri sorumlusu. İkinci unsur bakımından KVKK m. 3 (ı) görünürde iki unsurun varlığını gerektirmektedir. İlk unsur kişisel verinin işlenmesinin amaç ve aracının belirlenmesi, ikinci unsur ise veri kayıt sisteminin kurulması ve yönetilmesidir. Bu ikinci unsur, ilk unsurdan farklı, onunla birlikte aranması gereken bir unsur olarak değerlendirilmemelidir. Bu ikinci unsur ilk unsurun içerisinde değerlendirilmelidir. Çünkü veri kayıt sisteminin kurulması kişisel verilerin toplanması ve kaydedilmesi aracının belirlenmesini gerektirir. Veri kayıt sisteminin yönetilmesi ise kişisel verilerin işlenmesi çatısı altında belirtilen işlemlerden en az birinin varlığını gerektirir. Dolayısıyla bu ikinci unsura veri sorumlusu tanımı bakımından gerek yoktur. KVKK’ da yer alan veri sorumlusu ve veri işleyen tanımları göz önüne alındığında veri sorumlusu ve veri işleyen ayrı iki kişi olarak görülebilse dahi, bir gerçek veya tüzel kişi hem veri sorumlusu hem de veri işleyen sıfatına sahip olabilir. Veriişleyen veri sorumlusunun talimatlarından ayrıldığı ve kendi adına veri işleme araç ve amacını belirlediği andan itibaren artık fiili veri sorumlusu niteliğini haiz olacaktır. Bu kapsamda iki ayrı veri sorumlusu ortaya çıkacaktır. KVKK açıkça bu duruma işaret etmemiş olsa dahi, fiili veri sorumlusunun varlığını kabul etmek ve KVKK’da öngörülen veri sorumlusunun yükümlülüklerine tabi olduğunu belirtmek gerekir.

The definition of data controller based on TCDP Art. 3: (ı). The definition of controller within the TCDP requires four main elements; 1) the data processing, 2) determining the purposes and means of the processing of personal data, 3) the natural or legal person, 4) alone or jointly with others. For secondary elements, the provision TCDP Art. 3(ı) seemingly entails two elements within the determination of data controller. The first element is to determine the purpose and means of processing personal data, the second is to establish and manage the data registry system. The first and second elements should not exist cumulatively. In fact, the first element contains all the constitutents of the second element that were implied in TCDP Art. 3 (ı), since the establishment of a personal data registry system requires a determination of the means of collecting and recording personal data. The management of the data registry system requires the performance of one of the operation listed within the scope of the processing of personal data and can therefore be evaluated within the scope of processing personal data. Considering the definitions of data controller and processor in the TCDP, even though the data controller and the data processor are likely to be identified separately in the TCDP, a natural or legal person may have both the title of data controller and data processor. When a processor deviates from the instructions of a controller, the processor becomes the “de facto” controller. This embraces those cases where the processor doesn’t act on behalf of the controller, rather acts on his/her own behalf. In this context, there will be two separate data controllers. Although the TCDP does not explicitly refer to it, the “de facto” data controller should also be allocated the responsibilities and obligations of the “legal” data controller in the TCDP.

 Personal data The data controller The data processor Data processing The data registry system Veri Veri sorumlusu Veri işleyen Veri işleme Veri kayıt sistemi The author received no grant support for this work. Article 29 Data Protection Working Party, “Opinion 1/2010 on the concepts of “controller” and “processor”, 2010. (http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm00264/10/EN WP 169 Opinion 1/2010 on the concepts of “controller” and “processor”) Ayözger, A. Çiğdem: Kişisel Verilerin Korunması, Beta, İstanbul, 2016. Korkmaz, İbrahim: “Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme”, TBB 2016/214, pp. 82-152. Brick, Stefan / Wolff, Heinrich: Amadeus BeckOK Datenschutzrecht, 27. Ed. München, 2019. Develioğlu, Hüseyin Murat: 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Karşılaştırmalı Olarak Avrupa Birliği Genel Veri Koruma Tüzüğü uyarınca Kişisel Verilerin Korunması Hukuku, On İki Levha, İstanbul, 2017. Jürgen, Hartung/ Büttgen, Lisa: “Die Auftragsverarbeitung nach der DS-GVO”, DuD 2017/9, pp. 550-551. Kühling Jürgen / Bunchner, Benedikt: Datenschutz-Grundverodnung/ BDSG, 2. Aufl, München, 2018. Küzeci, Elif: Kişisel Verilerin Korunması, 3. Baskı, Turhan, Ankara, 2019. KVKK: Data Protection in Turkey, Ankara. Memiş, Tekin: “Veri Sorumlusu ve Veri İşleyen Arasındaki İlişkiler ve Sorumluluk Düzeni”, BÜHFD, 2017/ 6, pp. 9-24. Christopher, Modschein/ Cosimo, Monda: “EU’s General Data Protection Regulation (GDPR) in a Research Context”, Fundemantals of Clinical Data Science, Springer, 2019, pp. 55-74. Gürpınar, Damla: “Kişisel Verilerin Korunamamasından Doğan Hukuki Sorumluluk”, DEÜHFD, 2017/ Special Issue, pp. 679-694. Gürsel, İlke: “Protection of Personal Data in International Law and The General Aspects of Turkish Data Protection Law”, DEUHD, 2016/1, pp. 33-61. IT Governance Privacy Team: Eu General Data Protection Regulation –An Implementation and Compliance Guide, 2. Ed., 2017. Seiter, Stefan: “Auftragsverarbeitung nach der Datenschutz-Grundverordnung” DuD 2019/3, pp. 127-133. Thorsten Heermann: EUGH: Gemeinsame Verantwortung für den Datenschutz bei FacebookFanpages” ZD-Aktuell 2018/11, 06176. Voight, Paul/ Alich, Stefan: “Facebook-Like-Button und Co. – Datenschutzrechtliche Verantwortlichkeit der Webseitenbetreiber”, NJW 2011/ 49. Vois, W. Gregory: “European Union Data Privacy Law Reform: General Data Protection Reguation, Privacy Shield, and the Right to Delisting”, The Business Lawyer, 2016-2017/ 72, pp. 221-233. Yücedağ, Nafiye: “Medeni Hukuk Açısından Kişisel Verilerin Korunması Kanunu’nun Uygulama Alanı ve Genel Hukuka Uygunluk Sebepleri”, İÜHFM, 2017/2, pp. 765-790. Yücedağ, Nafiye: “Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler”, Kişisel Verileri Koruma Dergisi 2019/1, pp. 47-63.