Veri Sorumlularının Aydınlatma Yükümlülüğü -Avrupa Birliği ve Türk Hukukunda-

Günümüzde artan ve çeşitlenen kişisel veri işleme faaliyetleri ilgili kişilerin ve otoritelerin şeffaflık beklentilerini artırmaktadır. Kişisel verilerin korunması alanında bireylere tesis edilmiş haklar ve veri sorumlularına getirilmiş olan yükümlülükler kişisel verilerin korunması alanındaki temel enstrümanları oluşturmaktadır. Aydınlatma yükümlülüğü gerek ilgili kişilerin kişisel verilerinin üzerinde kontrolünün sağlanması gerekse veri işleme faaliyetinin hukuka uygunluğunun denetlenebilmesi için bir bel kemiği vazifesi görmektedir. Bununla birlikte iş modeli kişisel veri işlemeye dayanmayan gündelik olağan işleri kapsamında kişisel veri işleme faaliyeti yürüten küçük işletmeler bakımından ise ilgili kişinin bilgilendirilmesi ciddi bir yük oluşturmaktadır. Bu çalışmada aydınlatma yükümlülüğünün maddi ve şekli boyutu ile veri sorumlularının aydınlatma yükümlülüğünden muaf tutulduğu hâller Avrupa Birliği ve Türk hukuku bakımından ele alınmıştır.

Anahtar Kelimeler:

Aydınlatma yükümlülüğü, şeffaflık ilkesi, kişisel verilerin korunması, kişisel veri

Information Obligation of Data Controllers In European Law and Turkish Law

Nowadays increasing and diversifying of personal data processing activities increase the transparency expectations of individuals and authorities. Rights given to data subjects and obligations foreseen for data controllers are fundamental instruments of data protection area. Information obligation acts as a backbone in order to ensure control over the personal data of the data subject and to check the legality of the data processing activity. In addition to this information obligation is a heavy burden to small enterprises who have no data-driven business models and process personal data only in daily life. In this study, material and formal elements of information obligation and exceptions for data controllers’ information obligation are examined in accordance with European law and Turkish law.

Keywords:

Information obligation, transparency, personal data protection, personal data,

PDF

___

AAD. (6 Kasım 2003). C-101/01 sayılı Lindquist kararı. http://curia.europa.eu/juris/liste.jsf?num=C-101/01 adresinden 29.09.19 tarihinde alınmıştır.
AAD. (22 Aralık 2008). C‑553/07 sayılı Rijkeboer kararı. http://curia.europa.eu/juris/liste.jsf?language=en&num=C-553/07 adresinden 29.09.19 tarihinde alınmıştır.
AAD. (11 Aralık 2014). C-212/13 sayılı Rynes kararı. http://curia.europa.eu/juris/liste.jsf?num=C-212/13 adresinden 29.09.19 tarihinde alınmıştır.
Aşıkoğlu, İ.Ş. (2018). Avrupa Birliği ve Türk Hukukunda Kişisel Verilerin Korunması ve Büyük Veri. İstanbul Üniversitesi Hukuk Fakültesi Özel Hukuk Yüksek Lisans Tezleri Dizisi No:5. İstanbul: On İki Levha Yayıncılık.
Avrupa Komisyonu. (2019). GDPR in Numbers. https://ec.europa.eu/commission/sites/beta-political/files/infographic-gdpr_in_numbers_1.pdf adresinden 29.09.19 tarihinde alınmıştır.
Avrupa Konseyi. (2019). Preparation of the Council position on the evaluation and review of the General Data Protection Regulation (GDPR), 12756/1/19 Rev 1. https://data.consilium.europa.eu/doc/document/ST-12756-2019-REV-1/en/pdf adresinden 29.09.19 tarihinde alınmıştır.
Bacher, M. (2018). Datenschutz-Grundverordnung / BDSG. Kühling/Buchner, (Ed.). München: C.H. Beck. 2. Auflage.
Beyleveld, D. (2004). 'The duty to provide information to the data subject: Articles 10 and 11 of Directive 95/46/EC'. The Data Protection Directive and medical research across Europe. Aldershot: Ashgate, s. 69-88.
Bygrave, L. A. (2014). Data Privacy Law, an International Perspective, Oxford, Oxford University Press,
Cate, F. H., Mayer-Schönberger, V. (2013). Notice and Consent in a World of Big Data. International Data Privacy Law, 3(2) s. 67-73.
CNIL Restricted Committee. (2019). Deliberation of the Restricted Committee SAN-2019-001 of 21 January 2019 pronouncing a financial sanction against GOOGLE LLC. https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001.pdf adresinden 29.09.19 tarihinde alınmıştır.
Contissa, C., Docter, K., Lagioia, F., Lippi, M., Micklitz, H. W., Palka, P., Sartor, G., Torroni, P. (2018). CLAUDETTE meets GDPR Automating the Evaluation of Privacy Policies using Artificial Intelligence.
Çalışma Grubu. (2018) Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP251 rev.01.
Çalışma Grubu. (2018) Guidelines on Transparency under Regulation 2016/679, WP260 rev.01.
Çekin, M. S. (2016). 6698 Sayılı Kişisel Verilerin Korunması Hakkında Kanun’un Big Data (Büyük Veri) ve İrade Serbestisi Açısından Değerlendirilmesi. İÜHFM, LXXIV(2), s. 629-644.
Çekin, M. S. (2019). Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu. İstanbul: On İki Levha Yayıncılık.
Develioğlu, M. (2017). 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Karşılaştırmalı Olarak Avrupa Birliği Genel Veri Koruma Tüzüğü Uyarınca Kişisel Verilerin Korunması Hukuku. İstanbul: On İki Levha Yayıncılık.
Digital World Market Watch. (2018). Social Media and The Gdpr: Consumers Should Expect Better.
Dix, A. (2019). Datenschutzrecht. Simitis/Hornung/Spiecker, (Ed.). 1. Auflage.
EDPS. (2010). The EDPS Video-Surveillance Guidelines, https://edps.europa.eu/sites/edp /files/publication/10-03-17_video-surveillance_guidelines_en.pdf adresinden 29.09.19 tarihinde alınmıştır.
European Union Agency for Fundamental Rights and Council of Europe. (2018). Hanbook of European Data Protection Law. Luxembourg: Publications Office of the European Union.
Gunst, H. (2017). The Right to Explanation and the Right to Secrecy. Helsinki: University of Helsinki.
Gutwirt, S., Leenes, R. ve de Hert, P. (2015). Reforming European Data Protection Law. Spinger.
Hildebrandt, M. (2012). The Dawn of a Critical Transparency Right for the Profiling Era. Digital Enlightenment Yearbook.
ICO . Are there different ways we can provide privacy information?. https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/the-right-to-be-informed/what-methods-can-we-use-to-provide-privacy-information/ adresinden 29.09.19 tarihinde alınmıştır.
ICO. Exemptions. https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/exemptions/ adresinden 29.09.19 tarihinde alınmıştır.
ICO. What are the exceptions in the GDPR?. https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/the-right-to-be-informed/are-there-any-exceptions/ adresinden 29.09.19 tarihinde alınmıştır.
ICO. What do we need to think about if we use Artificial Intelligence (AI). https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/the-right-to-be-informed/what-common-issues-might-come-up-in-practice/ adresinden 29.09.19 tarihinde alınmıştır.
ICO. When can we rely on impossibility?. https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/the-right-to-be-informed/are-there-any-exceptions/ adresinden 29.09.19 tarihinde alınmıştır.
Ingold, A. (2018). Europäische Datenschutzgrundverordnung. Sydow, (Ed.). 2. Auflage.
Kaminski, M. E. ve Malgieri, G. (2019). Algorithmic Impact Assessments under the GDPR: Producing Multi-layered Explanations. U of Colorado Law Legal Studies Research Paper No. 19-28.
Kişisel Verileri Koruma Kurumu. (2018), Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi.
Kişisel Verileri Koruma Kurumu. (2019), Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi.
Knyrim, R. (2018). DS-GVO: Datenschutz-Grundverordnung. Ehmann/Selmayr (Ed.). München: C.H. Beck. 2. Auflage.
Korff, D. (2002). EC Study on Implementation of Data Protection Directive Comparative Summary of National laws. Cambridge.
Küzeci, E. (2014). İstatistikî Birimler ve Bilgilerin Geleceğini Belirleme Hakkı. İnsan Hakları Yıllığı, 32, s.53-75.
Küzeci, E. (2019). Kişisel Verilerin Korunması. Ankara: Turhan Kitapevi.
Lynskey, O. (2015). The Foundations of EU Data Protection Law. Oxford: Oxford University Press.
Malgieri, G. ve Comandé, G. (2017). Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation. International Data Privacy Law, 7(4), s. 243-265.
Mauro, A., Greco, M., Grimaldi, M. (2014). What is Big Data? A Consensual Definition and a Review of Key Research Topics. 4th International Conference on Integrated Information, AIP Proceedings.
Multistakeholder Expert Group to support the application of Regulation (EU) 2016/679. (2019). Report – Contribution From The Multistakeholder Expert Group to the Stocktaking Exercise of June 2019 on one Year of GDPR Application. https://ec.europa.eu/commission/sites/beta-political/files/report_from_multistakeholder_expert_group_on_gdpr_application.pdf adresinden 29.09.19 tarihinde alınmıştır.
Selbst, A. D., Powles, J. (2017). Meaningful information and the right to explanation. International Data Privacy Law, 7(4), s. 233-242.
Taştan, F. G. (2017). Türk Sözleşme Hukukunda Kişisel Verilerin Korunması. İstanbul: On İki Levha Yayıncılık.
Tene, O. (2013). Privacy Law’s Midlife Crisis’. Ohio State Law Journal, 74(6), s. 1217-1262.
Urzędu Ochrony Danych Osobowych. (2019). The first fine imposed by the President of the Personal Data Protection Office. https://uodo.gov.pl/en/553/1009 adresinden 29.09.19 tarihinde alınmıştır.
Wachter, S., Mittelstadt, B., Floridi, L. (2017). Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation. International Data Privacy Law.
Yücedağ, N. (2017). Medeni Hukuk Açısından Kişisel Verilerin Korunması Kanunu’nun Uygulama Alanı Ve Genel Hukuka Uygunluk Sebepleri. İÜHFM, LXXV (2), s. 765-790.
Yücedağ, N. (2019). Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler. Kişisel Verileri Koruma Dergisi, 1(1), s. 47-63. rileri Koruma Dergisi, Cilt: 1, Sayı: 1, s. 47-63.