SORUMLU MU İŞLEYEN Mİ? DAVA ŞARTI OLARAK ARABULUCULUK FAALİYETİNİN KİŞİSEL VERİLERİN KORUNMASI KANUNU BAKIMINDAN DEĞERLENDİRİLMESİ

Yıl 2025, Cilt: 3 Sayı: 2, 319 - 341, 24.07.2025

Çiğdem Yatağan Özkan

Öz

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (KVKKn) gerçek kişilere ait verileri işleyen kişiler, veri işleyen ve veri sorumlusu olmak üzere iki ana kategoride değerlendirilmekte; kişisel verinin hukuka uygun şekilde işlenmesine ilişkin hak ve yükümlülükler de veri işleyenin sahip olduğu sıfata göre belirlenmektedir. Kişisel Verileri Koruma Kurulu’nun 05/07/2018 Tarihli ve 2018/75 Sayılı Kararı ve 13.01.2025 tarihli Arabuluculuk Faaliyetleri Kapsamında Aydınlatma Yükümlülüğünün Yerine Getirilmesine İlişkin Kamuoyu Duyurusu’nda ihtiyari veya zorunlu olarak arabuluculuk faaliyeti yürütüp yürütmediğine bakılmaksızın arabulucular, KVKKn uygulanması bakımından veri sorumlusu olarak kabul edilmiş ve Veri Sorumluları Sicili’ne kayıt dışında veri sorumluları için öngörülen tüm yükümlülüklere tabi olduğu ifade edilmiştir. Ancak dava şartı olarak yürütülen arabuluculuk sürecinde başvurucunun başvuru formuyla sunduğu kişisel veriler, arabuluculuk bürosu tarafından UYAP vasıtasıyla arabulucuya aktarılmaktadır. Arabulucu, elde ettiği verileri Adalet Bakanlığı Arabuluculuk Daire Başkanlığı tarafından örneği verilen şablona uygun şekilde işlemekte ve daha sonra yeniden UYAP’a yükleyerek süreci sonlandırmaktadır. Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu ve bağlı mevzuat çerçevesinde edindiği kişisel veriler üzerinde bağımsız karar almayan ve tasarrufta bulunmayan arabulucunun veri sorumlusu sıfatı taşıyıp taşımadığı tartışmaya değerdir. Dava şartı olarak yürütülen arabuluculuk sürecinde verilerin toplanması, işlenme amacının belirlenmesi, otomatik sistemin kurulması ve yönetilmesinden sorumlu baş aktör Adalet Bakanlığı’dır. Bu çalışma, dava şartı arabuluculuk sürecinde kişisel verilerin işlenmesi bakımından arabulucunun veri sorumlusu mu yoksa veri işleyen mi olduğunun tespitine odaklanmaktadır.

Anahtar Kelimeler

Kişisel veri , veri işleme , veri sorumlusu , veri işleyen , dava şartı olarak arabuluculuk

Controller or Processor? An Assessment of Mandatory Mediation Activities Under the Law on the Protection of Personal Data

Öz

Under Law No. 6698 on the Protection of Personal Data (KVKKn), individuals who process personal data belonging to natural persons are categorized into two main groups: data controllers and data processors. The rights and obligations concerning the lawful processing of personal data are determined based on the role held by the processor. In the Personal Data Protection Board’s Decision dated 05/07/2018 and numbered 2018/75, as well as in the Public Announcement dated 13.01.2025 on the Fulfillment of the Obligation to Inform Within the Scope of Mediation Activities, mediators have been classified as data controllers under the scope of the KVKKn—regardless of whether they perform mediation on a voluntary or mandatory basis—and it has been stated that they are subject to all obligations imposed on data controllers, with the exception of registration with the Data Controllers’ Registry.However, in mediation processes conducted as a mandatory, the personal data submitted by the applicant via the application form is transferred to the mediator through UYAP (National Judiciary Informatics System) by the mediation office. The mediator processes the obtained data in accordance with the templates provided by the Department of Mediation under the Ministry of Justice and subsequently uploads the documents back to UYAP to conclude the procedure.Given that the mediator does not have independent authority to determine or dispose of the personal data obtained under the Law on Mediation in Civil Disputes and its associated regulations, whether the mediator should be regarded as a data controller remains debatable. In the mandatory mediation process, the primary actor responsible for the collection of data, determination of processing purposes, and operation of the automated system is the Ministry of Justice. This study focuses on determining whether the mediator acts as a data controller or merely as a data processor in the context of mandatory mediation and personal data processing.

Anahtar Kelimeler

Personal data , data processing , data controller , data processor , mandatory mediation

Kaynakça

• Aksoy H C, Medeni Hukuk ve Özellikle Kişilik Hakkı Yönünden Kişisel Verilerin Korunması (Çakmak Yayınevi 2010)
• Alkan M, Menteş T ve İnceefe M A, Kişisel Verileri Koruma El Kitabı (Nobel Yayınları 2020)
• Aşçı M S, ‘Zorunlu Arabuluculuk Uygulamasının Olumlu ve Olumsuz Yönleri’ (2019) 1(2) Uluslararası Hukuk ve Sosyal Bilim Araştırmaları Dergisi 80-91
• Ayözger Öngün Ç, Kişisel Verilerin Korunması (2. Bası, Beta Yayınları 2019)
• Başar C, ‘Kişisel Verilerin Korunması Bakımından Kişisel Verileri Koruma Kurulu’na Yapılan Şikâyet Başvurusu’ (2020) 12(125) Fasikül Hukuk Dergisi 16-33
• Bilir F, ‘Kişisel Verilerin Korunması Yönündeki Uygulama ve Hukuki Düzenlemelerin Ortaya Çıkışı’ (2023) 71 Adalet Dergisi 631-651
• Dülger M V, ‘Avrupa Birliği Genel Veri Koruma Tüzüğü Bağlamında Kişisel Verilerin Korunması’ (2019) 1(2) Yaşar Hukuk Dergisi 71-174
• Ekmekçi Ö, Özekes M, Atalı M ve Seven V, Hukuk Uyuşmazlıklarında Arabuluculuk (2. Bası, On İki Levha Yayıncılık 2019)
• Ekmekçi Ö, Yücedağ N, Akkanat Öztürk E B ve Aşıkoğlu Ş İ, Kişisel Verilerin Korunması Hukuku (2. Bası, On İki Levha Yayıncılık 2025)
• Eminoğlu C ve Erdoğan E, Ticari Uyuşmazlıklarda İhtiyari ve Dava Şartı (Zorunlu) Arabuluculuk (Adalet Yayınevi 2020)
• Erdoğmuş E, Kişisel Verilerin Korunması Kanunu Kapsamında Açık Rıza (Seçkin Yayıncılık 2022)
• Işık O, ‘Kişisel Verilerin Korunması Kanunu Kapsamında Veri Sorumlusu Olarak Sosyal Güvenlik Kurumu’ (2022) 17(2) ERÜHFD 263-362
• Kaan Yüksek F, ‘AİHM İçtihatlarında Kişisel Verilerin Korunması’ (2023) 25(1) Dokuz Eylül Üniversitesi Hukuk Fakültesi Dergisi 371-420
• Kılıçoğlu A, Arabuluculuk Sözleşmeleri (1. Bası, Turhan Kitabevi 2020)
• Kişisel Verileri Koruma Kurumu, Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi (KVKK Yayınları 2018) 14 Mart 2025
• Kişisel Berileri Koruma Kurumu Veri Sorumlusu ve Veri İşleyen için bkz. https://www.kvkk.gov.tr/Icerik/4195/Veri-Sorumlusu-ve-Veri-Isleyen Erişim Tarihi 4 Mayıs 2025
• Küzeci E, Kişisel Verilerin Korunması (2. Bası, Turhan Kitabevi 2018)
• Özdemir H, Elektronik Haberleşme Alanında Kişisel Verilerin Özel Hukuk Hükümlerine Göre Korunması (Seçkin Yayıncılık 2009)
• Özer Deniz M, ‘Kişisel Verilerin Korunması Kanunu ile Arabuluculuğa Hâkim Gizlilik İlkesinin Birlikte Değerlendirilmesi’ (Kişisel Verilerin Korunması) (2020) 2(1) Kişisel Verileri Koruma Dergisi 63-71
• ——, ‘Kişisel Verilerin İşlenmesi Sözleşmesinin Türleri ve Hukuki Nitelikleri’ (2023) 6(1) NEÜHFD 97-114
• Pekmez C, ‘Overview of the Definitons of Data Controller and Data Processor within the Scope of The Turkish Code of Personal Data Protection (TCDP)’ (2019) (67) Annales de la Faculte de Droit d’Istanbul 59-71
• Şahin Şengül E, ‘Kişisel Verilerin Hukuka Aykırı Olarak İşlenmesinden Kaynaklanan Sözleşme Dışı Tazminat Sorumluluğu’ in Kemal Şenocak (ed), Muhtelif Yönleriyle Kişisel Verilerin Korunması Hukuku (Yetkin 2022) 557-592
• Tanrıver S, Hukuk Uyuşmazlıkları Bağlamında Arabuluculuk (2. Bası, Yekin Yayınları 2022)
• Tekin U, ‘Kişisel Veri Kavramının Ticaret Şirketleri Bakımından Düşündürdükleri’ (2020) 5 (1-3) 3127-3140
• Turan Başara G, ‘Kişisel Veri İşleme Sözleşmesi’ (2020) 8(16) Uyuşmazlık Mahkemesi Dergisi 57-90
• Yazıcı Tıktık Ç, Arabuluculukta Gizliliğin Korunması (Yetkin Yayınları 2013)
• Yılmaz S ve Çavuşoğlu G F, Kişisel Verileri Koruma Hukuku (Yetkin Yayınları 2020)