Professional Documents
Culture Documents
• Özel yaşam hakkı ve buna bağlı özgürlükler, İnsan Hakları Beyannamesi'nin 12. Maddesinde yer
almaktadır:
Hiç kimsenin özel yaşamına, ailesine, konutuna ya da haberleşmesine keyfi olarak müdahale edilemez,
şeref ve itibarına saldırılamaz. Herkes, bu tür müdahale veya saldırılara karşı yasanın koruması hakkına
sahiptir.
• İnsan Hakları Beyannamesi'nde yer alan bir diğer temel husus da 19. maddede belirtilen ifade
özgürlüğü hakkıdır:
Herkesin düşünce ve ifade özgürlüğü hakkı vardır; bu hak, müdahale olmaksızın kanaat sahibi olma ve
herhangi bir medya aracılığıyla ve sınırlara bakılmaksızın bilgi ve fikir arama, alma ve verme özgürlüğünü
içerir.
• Bireysel hakların mutlak olmadığını ve bir denge kurulması gereken durumlar olacağını belirten Madde
29(2)'de uzlaştırılmıştır:
Herkes, hak ve özgürlüklerini kullanırken, yalnızca başkalarının hak ve özgürlüklerinin gerektiği gibi
tanınmasını ve bunlara saygı gösterilmesini sağlamak ve demokratik bir toplumda ahlakın, kamu düzeninin
ve genel refahın adil gereklerini yerine getirmek amacıyla yasayla belirlenen sınırlamalara tabi olacaktır.
***AİHS ayrıca, Strazburg'da AİHS'nin ihlal edildiği iddialarını inceleyen ve devletlerin AİHS kapsamındaki
yükümlülüklerine uymalarını sağlayan Avrupa İnsan Hakları Mahkemesi şeklinde kurulmuş bir Yaptırım sistemi
olması nedeniyle de önemlidir.
***Avrupa İnsan Hakları Mahkemesi'nin kararları ilgili devletler için bağlayıcıdır ve ulusal hükümetler
tarafından mevzuatın değiştirilmesine veya uygulamada değişikliğe gidilmesine yol açabilir.
***Avrupa Konseyi Bakanlar Komitesi'nin talebi üzerine Avrupa İnsan Hakları Mahkemesi, AİHS ve
protokollerin yorumlanmasıyla ilgili tavsiye niteliğinde görüşler de verebilir.
Herkes özel ve aile hayatına, evine ve yazışmalarına saygı gösterilmesi hakkına sahiptir.
Bu hakkın kullanılmasına, yasalara uygun ve demokratik bir toplumda ulusal güvenlik, kamu güvenliği veya
ülkenin ekonomik refahı için, düzensizliğin veya suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya
başkalarının hak ve özgürlüklerinin korunması için gerekli olanlar
Madde 8 özel hayatın gizliliği hakkını ele alırken, Madde 10 ifade özgürlüğü ile bilgi ve fikirlerin ulusal sınırlar
ötesinde paylaşılması hakkını korumaktadır.
*****Üç Avrupa ülkesinde - İspanya, Portekiz ve Avusturya - veri koruma aynı zamanda anayasalarına temel bir
hak olarak dahil edilmiştir.
OECD KILAVUZ İLKELERİ (Yasal bağlayıcılığı yoktur)(Verilerin hem otomatik hem de otomatik olmayan
yöntemlerle işlenmesi için geçerlidir.)
OECD üyeligi Avrupa'nin ötesine uzanir ve bir dizi büyük yargi alanini içerir.23 Eylül 1980 tarihinde
yayımlanmıştır.
***Yasal olarak bağlayıcı olmamakla birlikte esnek olmaları ve bir temel teşkil etmeleri amaçlanmıştır.
Amacı: Kılavuz İlkelerin amacı, ticaretin önünde herhangi bir engel oluşturmadan ve kişisel verilerin ulusal
sınırlar arasında kesintisiz akışına izin vermeden bireylerin mahremiyeti ile hak ve özgürlüklerini korumak
arasında bir denge kurmaktır.
Kılavuz İlkeler kamu ve özel sektör arasında herhangi bir ayrım yapmamaktadır.
Daha da önemlisi, kullanılan teknolojiye ilişkin olarak tarafsızdırlar, çünkü elektronik olarak veya başka şekilde
toplanan kişisel bilgiler arasında herhangi bir ayrım yapmazlar.
Hükümlerden biri;
Üye devletler, mahremiyetin ve bireysel özgürlüklerin korunmasi adina, bu koruma için gerekli olanin ötesinde
kisisel verilerin sinir ötesi akisina engel olusturacak yasalar, politikalar ve uygulamalar gelistirmekten
kaçinmalidir.
108 SAYILI SÖZLEŞME(Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması
Sözleşmesi ('108 sayılı Sözleşme')
28 ocak 1981 tarihinde Avrupa Konseyi tarafından kabul edilmiş ve üye ülkelere imzaya açılmıştır. Avrupa
dışındaki ülkelerinde imzasına açılmıştır. Veri koruma alanında yasal olarak bağlayıcı ilk belgedir. İç mevzuatta
gerekli düzenlemeler yapılmalıdır. İrtibat için denetim makamı şartı getirilmiştir.
108 sayılı Sözleşme, 1973 ve 1974 kararlarının içeriğini pekiştirmekte ve yeniden teyit etmektedir ve veri
koruma alanında yasal olarak bağlayıcı ilk uluslararası belgedir. Sözleşme, imzalayan tarafların kişisel bilgilerin
işlenmesine ilişkin olarak ortaya koyduğu ilkeleri uygulamak için iç mevzuatlarında gerekli adımları atmalarını
gerektirmesi bakımından Kılavuz İlkelerden farklıdır.
108 sayılı sözleşme imzacı devletler yalnızca gizliliğin korunması adına başka bir tarafın topraklarına giden
kişisel verilerin sınır ötesi akışını yasaklamayacak veya özel izne tabi tutulmayacaktır. Bu da ticaret için kişisel
verilerin serbest dolaşımının sağlanması açısından çok önemlidir.
İmzacı devletler, 108 sayılı Sözleşme'yi uygularken, yalnızca AİHS'nin 6, 8, 10 ve 11. maddelerinde yer alan
orantılılık gerekliliklerini yansıtan 'demokratik bir toplumda gerekli bir tedbir' olduğunda (örneğin, devlet
güvenliği veya ceza soruşturması) hükümlere istisna getirebilirler.
108 sayılı Sözleşme'nin 12. Maddesi, 108 sayılı Sözleşme'yi imzalayan ülkeler arasında kişisel bilgi aktarımı
yapıldığında, bu ülkelerin aktarım amacıyla herhangi bir yasak koymayacağını veya herhangi bir özel izin talep
etmeyeceğini öngörmektedir.
Hükümlere istisna getirilmesine yalnızca ihracatçı ülkenin ulusal hukukunda belirli kişisel veri kategorileri veya otomatik
kişisel veri dosyaları için özel kurallar bulunması ve ithalatçı ülkenin eşdeğer koruma sağlamaması veya transferin 108 sayılı
Sözleşme'ye taraf olmayan bir ülkeye yapılması halinde izin verilmektedir.
Bu hükümler, 2001 yılında imzaya açılan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması
Sözleşmesi'nin denetim makamları ve sınır ötesi veri akışlarına ilişkin Ek Protokolü'nde ('Ek Protokol') daha da geliştirilmiştir.
108 sayılı Sözleşme'nin tarafları, veri koruma hukukuna uyumu denetlemek ve uygulamaya ilişkin istişare ve
karşılıklı yardım amacıyla diğer yargı alanlarındaki denetim makamlarıyla irtibat kurmak üzere bir denetim
makamı tayin etmelidir.
**Nitekim en son (ve 54.) katılım 25 Şubat 2019 tarihinde Arjantin tarafından gerçekleştirilmiştir.
108+ = Ocak 2011'de, orijinal belgenin imzaya açılmasından yaklaşık 30 yıl sonra, Sözleşme 108 Danışma
Komitesi, özellikle yeni bilgi ve iletişim teknolojilerinin kullanımından kaynaklanan zorlukları ele almak üzere bir
modernizasyon protokolünün temellerini atmıştır. 2018 de Avrupa Konseyi Bakanlar Komitesi tarafından
onaylanmıştır.
108 sayılı Sözleşme ve Kılavuz İlkelerin amacı, ilkeler üzerinde uluslararası anlaşma temelinde veri korumasına
yönelik uyumlaştırılmış bir yaklaşım getirmek ve uygulamayı üye devletlerin takdirine bırakmaktı. Ancak bu
ilkelerin ulusal hukuka uygulanmasının farklı veri koruma rejimlerinin gelişmesine yol açtığı görülmüştür
Avrupa Komisyonu, 1976 gibi erken bir tarihte Avrupa Parlamentosu tarafından veri koruma yasalarını
uyumlaştıran bir yönerge teklifi hazırlamaya davet edilmişti.
Üye devletlerde veri koruma mevzuatına yönelik ulusal yaklaşımların çeşitliliğine ilişkin artan endişeler, Kişisel
Verilerin İşlenmesine İlişkin Olarak Bireylerin Korunması Hakkında Konsey Direktifi Teklifi'nin hazırlanmasına yol
açmıştır.
****Direktifler-yönetmelikler, üye devletler üzerinde bağlayıcı olan bir mevzuat türüdür, ancak uygulama için
'şekil ve yöntem seçimini ulusal makamlara bırakırlar'.
Avrupa Komisyonu çerçeve yönergeyi hazırlarken 108 sayılı Sözleşme'de yer alan ilkeleri bir ölçüt olarak
kullanmıştır çünkü bu ilkeler 108 sayılı Sözleşme'yi onaylamış olan ülkeler için ortak bir standartlar dizisi
oluşturmaktadır.
Çerçeve direktif, yüksek düzeyde eşdeğer koruma sağlamak için bu genel ilkeleri tamamlamıştır ve bunu
başarmak için, tekliflerin kapsamı geniş tutulmuş, korumalar hem otomatik hem de otomatik olmayan kişisel
verilere genişletilmiş ve hem kamu hem de özel sektörleri kapsamıştır.
Avrupa Komisyonu tarafından yürütülen çalışmaların doruk noktası, kişisel verilerin işlenmesine ilişkin olarak
bireylerin korunması ve bu tür verilerin serbest dolaşımına ilişkin 95/46/EC sayılı Direktif ('Veri Koruma Direktifi'
veya 'Direktif') olmuştur.
Bazı durumlarda, farklılıklar Direktifin yanlış uygulanmasından kaynaklanıyordu ve bunun sonucunda söz konusu
üye devletin hukukunun düzeltilmesi gerekiyordu. Eğer üye devlet bu durumu düzeltmezse, Avrupa Komisyonu
üye devlete karşı ihlal davası açma yetkisine sahipti. Diğer durumlarda, farklılıklar, üye devletin Direktifi
uygulamasından kaynaklanıyordu ve bu uygulama, izin verilen manevra alanı içerisinde olmasına rağmen, yine
de tutarsızlıklara yol açıyordu.
Ulusal hukuktaki farklılıklar nedeniyle ortaya çıkan tutarsızlıkların bir örneği, işletmelerin işleme detaylarını Veri
Koruma Otoritelerine (DPA’lar) bildirme gerekliliğiyle ilgilidir.
TEMEL HAKLAR ŞARTI (Charter of Fundamental Rights of the European Union (‘the Charter’)
***Lizbon antlaşması ile AB hukukunun uygulandığı durumlarda bağlayıcı hale getirilmiştir.Polonya ve Birleşik
Krallık kapsam dışı bırakmaya ilişkin bir protol imzalamıştır. (Sart, Avrupa vatandaslarinin ve AB'de ikamet
edenlerin tüm medeni, siyasi, ekonomik ve sosyal haklarini tek bir metinde toplayarak AB hukukundaki temel
haklari pekistirmeyi amaçlamaktadir.)
Avrupa Parlamentosu, Konsey ve Komisyon başkanları, kurumları adına 7 Aralık 2000 tarihinde Nice'de Temel
Haklar Şartı'nı imzalamış ve ilan etmişlerdir.
Şart, AİHS'de belirtilen genel ilkeleri içermekte ancak özellikle kişisel verilerin korunmasına atıfta
Bulunmaktadır.
***Lizbon Antlaşması'nın yürürlüğe girdiği Aralık 2009'da Şart'a bağlayıcı yasal etki tanınmıştır.
Şart'ın 7. ve 10. maddeleri, AİHS'nin sırasıyla 8. ve 10. maddelerinde yer alan hükümleri yansıtmaktadır ve 8.
madde özellikle veri koruma konusunu aşağıdaki şekilde ele almaktadır:
Dolayısıyla 8. Madde, kişisel verilerin korunmasına yönelik belirli temel değerleri ortaya koymaktadır:
Bu haklara getirilecek her türlü sınırlama, AİHS'de yer alan gereklilik ve orantılılık temelindeki sınırlamaları
yansıtan Şart'ın 52. maddesine uygun olmalıdır.
LİZBON ANTLAŞMASI (THE TREATY OF LİSBON)
13 Aralik 2007 tarihinde Lizbon Antlasmasi ('Lizbon Antlasmasi') AB üye devletleri tarafindan imzalanmis ve 1
Aralik 2009 tarihinde yürürlüğe girmiştir.
Lizbon Antlasmasi AB'nin iki temel antlasmasini degistirmektedir: Avrupa Antlasmasi Birligi ve Avrupa
Toplulugunu Kuran Antlasma ('Avrupa Birligi'nin Isleyisi Hakkinda Antlasma' veya 'TFEU' olarak yeniden
adlandirilmistir.( Treaty on the Functioning of the European Union’, or ‘TFEU’)
Lizbon Antlasmasi, kisisel verilerin korunmasina iliskin evrensel hakki kanunla güvence altina almakta ve ilgili
mevzuatin olagan (danisma veya riza yerine) yasama usulü çerçevesinde kabul edilmesini gerektirmektedir.
Bu hüküm, AB'nin tüm kurumlarinin kisisel verileri islerken bireyleri korumasi gerektigini temin etmektedir.
Görevi AB kurumları içerisinde veri koruma yasasına uyumu düzenlemek olan bir Avrupa veri koruma denetçisi
bulunmaktadır, ancak 'yetkililere' yapılan atıf, ulusal DPA'ların(Veri koruma otoritesi) da bu tür konularda yargı
yetkisine sahip olabileceğini ima etmektedir. (Avrupa Veri Koruma Kurulu EDPB Kılavuzları)
***Lizbon Antlasmasi adalet, özgürlük ve güvenligi yüksek öncelikler olarak tanimlamaktadir ve bu alandaki
önemli bir degisiklik, tüm AB faaliyetleri için AB'nin yönetebilecegi tek bir sistemden olusan ortak bir yasal
çerçeve getirilmesidir.
***Tüzükler bütünüyle baglayicidir ve yürürlüge girdikten sonra ulusal hukuka aktarilmasina gerek olmaksizin
tüm üye devletler için dogrudan uygulanir.
***Amacı: Lizbon Antlaşması'nın temel amaçlarından biri, bürokrasiyi azaltmak için AB kurumlarının yapısında
ve yasama sürecinde reform yapmaktı.
Birliğin kurumları şunlardır:
Avrupa Parlamentosu,
Avrupa Konseyi,
Konsey,
Avrupa Komisyonu ('Komisyon'), Avrupa Birliği
Adalet Divanı,
Avrupa Merkez Bankası ve
Sayıştay.
***Lizbon antlaşması ile Avrupa Konseyi ve Avrupa Merkez Bankası'na kurumsal statü verildi; bu da artık daha
çok tavsiye niteliğinde bir rol üstlenmek yerine bağlayıcı kararlar alabilecekleri anlamına geliyor.
Avrupa Parlamentosu, üyeleri dogrudan AB vatandaslari tarafindan seçilen tek Avrupa kurumudur ve
bu da onu diger kurumlar arasinda ikna edici bir güç haline getirmektedir.
1- Yasama sürecinde rol alır. Parlamento kendi basina yeni mevzuat öneremez, ancak inisiyatif alarak
Komisyon'u Avrupa Birligi Konseyi'ne bir mevzuat önerisi sunmaya çagirabilir. parlamentonun
etkisinin kapsamı hangi usulün geçerli olduğuna bağlıdır - olağan, danışma veya onay usulü
Parlamento yasama yetkisini Avrupa Birliği Konseyi ile paylaşır. Yasama sürecinde üç usul uygulanabilir:
Olağan prosedür: Hem Parlamento hem de Konsey mevzuatı onaylamalıdır. Herhangi bir kurum tarafından
karşı çıkılması halinde mevzuat kabul edilemez. Bu, Parlamentoyu AB içindeki konuların çoğunda Konsey
ile eşit konuma getirir.
İstişare prosedürü: Konsey, Parlamentoya danışmak zorundadır; ancak Konsey, Parlamentonun görüşüyle
bağlı değildir, çünkü bu prosedür kapsamında Konsey tek başına yasama yetkisine sahiptir.
Onay prosedürü: Özellikle önemli kararlar için (örneğin AB genişlemesi) Parlamento'nun onayı
gerekmektedir.
2- Parlamento aynı zamanda diğer AB kurumları üzerinde de demokratik ve siyasi denetim uygular. Bu
durum özellikle Komisyon açısından geçerlidir, zira Parlamento, tüm Komisyon Üyelerini istifaya
zorlamak da dahil olmak üzere, Komisyon'u kınama yetkisine sahiptir.
Lizbon antlaşması, Avrupa konseyine kurumsal bir statü vermiştir. Avrupa Konseyi, Birligin gelismesi için
gerekli ivmeyi saglar ve Birligin genel siyasi yönelimlerini ve önceliklerini belirler. Yasama islevlerini yerine
getirmez.
***Bugün AB Konseyi, Komisyon Baskani ile birlikte 28 üye devletin her birinin baskanindan olusmakta ve
AB'nin önceliklerini belirlemek ve AB için siyasi yön tayin etmek üzere yilda dört kez toplanmaktadir. Esas
amacı siyasi yönelim ve öncelikleri belirlemektir.
Avrupa Konseyi kararlari genellikle oybirligi ile alinir; ancak antlasmalar oybirligi veya nitelikli çogunluk gibi
alternatif mekanizmalar öngörebilir.
• AVRUPA BİRLİĞİ KONSEYİ(COUNSİL OF THE EUROPEAN UNİON)( ‘Council of Ministers’, or ‘the council’)
******Konsey, AB'nin ana karar alma organidir ve hem siyasi hem de yasama kararlarinda merkezi bir role
sahiptir. Avrupa Parlamentosu ile ortak yasa koyucudur; Konsey ve Avrupa Parlamentosu birlikte AB için
mevzuat gelistirir.
Konsey, Avrupa Parlamentosu ile birlikte yasama ve bütçe islevlerini yerine getirir. Antlasmalar'da belirtildigi
sekilde politika olusturma ve koordinasyon islevlerini yerine getirir.
Konsey toplantılarına 28 üye devletin her birinden bir bakan katılır. Bakanlar, hükümetlerini Konsey kararlarına
bağlama yetkisine sahiptir. Dolayısıyla Konsey, üye devletlerin ulusal çıkarlarının önemli bir Sözcüsüdür.
Bakanlar ulusal parlamentolara karşı sorumludur.
Ancak tek bir Komisyon daha sonra, 1965 yilinda, Avrupa Kömür ve Çelik Toplulugu, Avrupa Ekonomik
Toplulugu ve Avrupa Atom Enerjisi Toplulugu'nun yürütme organlarinin birlestirilmesiyle Olusturulmustur.
***AB’nin yürütme organı olarak bilinir. Tüm faaliyetlerin ve anlaşmaların yürütülmesini de takip eder.
Yasalara uymayan üye devletlere para cezası uygulayabilir.
***Yasama teklifinde bulunur.
*** Bu son derece önemlidir çünkü Parlamento ve Konsey'in birlikte mevzuat teklifinde bulunabilecegi birkaç
durum disinda, 'Birlik yasama tasarruflari sadece Komisyon teklifi temelinde kabul edilebilir.
***Her ye devlet kendi komiserini atar. Bunların bağımsız olması beklenir. Ancak atanan komiserin Avrupa
parlamentosu tarafından onaylanması gereklidir.
*** - Yeterli Veri koruma düzeyine sahip ülke olarak kabul edilmesi komisyon tarafından yapılır. Komisyon
ayrica, AB üyesi olmayan ülkelerin AB standartlarina uygun olarak yeterli düzeyde veri korumasi sagladiginin
kabul edildigi 'yeterlilik bulgularini' kabul etme yetkisine de sahiptir.
Adalet Divani'nin yetkileri, 1992 yilinda Maastricht Antlasmasi ile AB'nin kurulmasi üzerine tekrar
genisletilmistir. Lizbon Antlasmasi, Adalet Divani'nin yetki alanini daha da genisletmis ve Divan'in
adini Avrupa Birligi Adalet Divani (ABAD) olarak degistirmistir.
**ABAD, AB hukuku konularinda kararlar alan ve Komisyon tarafindan bir üye devlete karsi alinan
kararlar ya da bir bireyin AB hukuku kapsamindaki haklarini uygulamak için açtigi davalar ile ilgili
olarak Avrupa kararlarini uygulayan AB'nin yargi organidir.
Bir dizi ATAD karari, AB veri koruma hukukunun sekillendirilmesinde özellikle etkili olmustur.
****Komisyon tarafından, diğer üye devletlerin Komisyon tarafından bir üye devlete karşı antlaşma
yükümlülüklerini yerine getirmediği için açılan davalarla bağlantılıdır. Komisyon'un İngiltere'ye karşı açtığı dava
buna bir örnektir. Komisyon, 30 Eylül 2010 tarihinde, elektronik haberleşmenin gizliliğine ilişkin AB kurallarını
tam olarak uygulamadığı gerekçesiyle İngiltere'yi ATAD'a sevk ettiğini açıklamıştır. ATAD'ın veri koruma ile ilgisi
son birkaç yıldır artmaktadır.
Tele2 Sverige ve Tom Watson'ın Aralık 2016 tarihli birleştirilmiş davalarında, ATAD, suçla mücadele amacıyla
ulusal mevzuat kapsamında dahi olsa verilerin genel ve gelişigüzel tutulmasının, Şart'ın özellikle 7, 8, 11 ve
52(1) maddeleri ışığında okunduğunda 2002/58/EC sayılı ePrivacy Direktifi ile uyumlu olmadığına karar
vermiştir.
Daha önce de belirtildigi üzere, AIHM AB'nin bir kurumu degildir. Bu yazinin yazildigi tarihte 47 üye
ülkeden olusan daha genis bir kilise olan (ve Avrupa Konseyi veya Avrupa Birligi Konseyi ile
karistirilmamasi gereken) A v r u p a Ko n s e y i aygitinin bir parçasi olarak Strazburg'da yer
almaktadir.
AIHM, taraf devletlerde yasayan insanlarin temel haklarini koruyan Avrupa Insan Haklari
Sözlesmesi'ni ('Sözlesme') denetlemek üzere 1959 yilinda kurulan uluslararasi bir mahkemedir.
Kararlar baglayicidir ve ilgili ülkeler bunlara uymakla yükümlüdür.
AIHM'nin yargi yetkisi, Sözlesme'nin yorumlanmasi veya uygulanmasiyla ilgili tüm davalari kapsar.
AIHM'nin ulusal kararlari bozma veya ulusal yasalari iptal etme yetkisi yoktur.
AIHM'nin yaptirim gücü bulunmadigindan, AIHM'nin karar vermesinin ardindan yürütmeyi denetleme ve
tazminatin ödenmesini saglama sorumlulugu Konsey'e geçer.
3-MEVZUAT ÇERÇEVESİ
Bölüm 1'de ele alindigi üzere, Avrupa Konseyi 1981 yilinda Kisisel Verilerin Otomatik Isleme Tabi
Tutulmasi Karsisinda Bireylerin Korunmasi Sözlesmesi'ni ('108 sayili Sözlesme') imzaya açmistir.
Bölüm 1'de ele alindigi üzere, Avrupa Konseyi 1981 yilinda Kisisel Verilerin Otomatik Isleme Tabi
Tutulmasi Karsisinda Bireylerin Korunmasi Sözlesmesi'ni ('108 sayili Sözlesme') imzaya açmistir.
Kişisel verilerin serbest dolaşımının yanı sıra gizliliğin korunmasını sağlamak amaçlanmaktadır.
Bu Direktif uyarinca, Üye Devletler, gerçek kisilerin temel hak ve özgürlüklerini ve özellikle de kisisel
verilerin islenmesine iliskin olarak mahremiyet haklarini koruyacaktir.
Üye Devletler, 1. Paragraf kapsaminda saglanan korumayla baglantili nedenlerden ötürü Üye Devletler
arasinda kisisel verilerin serbest dolasimini ne kisitlar ne de yasaklar.
72 resitalden oluşan direktifin ulusal hukuka nasıl aktarılması gerektiği üye devletlere bırakılmıştır.
***Direktif belirli istisnalar haricinde yeterli düzeyde koruma sunmayan yargı alanlarına uluslararası veri
transferlerini yasaklamıştır.
*** Direktif her üye ülkede Veri koruma otoritesinin kurulmasını ve Bağımsız bir organ olan WP29 çalışma
grubu kurulmasını zorunlu kılmıştır. WP29=Direktifin işleyişini inceler ve komisyona görüş ve tavsiyelerde
bulunur.
**Ocak 2012'de Komisyon, Direktif'te kapsamli bir reform yapilmasina yönelik tekliflerini yayinladi ve bu
teklifler iki yasa teklifini içeriyordu: verilerin korunmasina yönelik genel bir AB çerçevesi belirleyen bir tüzük ve
cezai suçlarin ve ilgili adli faaliyetlerin önlenmesi, tespiti, sorusturulmasi veya kovusturulmasi amaciyla islenen
kisisel verilerin korunmasina iliskin bir Direktif ('Kolluk Kuvvetleri Veri Koruma Direktifi' veya LEDP Direktifi).
*** Gdpr hazırlık süreci: Tüzük ve LEDP Direktifi'nin resmi metinleri tüm resmi dillerde AB Resmi Gazetesi'nde
yayimlanmistir. Tüzük ve LEDP Direktifi'nin resmi metinleri tüm resmi dillerde AB Resmi Gazetesi'nde
yayimlanmistir
Cezai konularda polis ve adli işbirliğinde kişisel verilerin korunmasına yönelik özel kurallar getirilmiş.
Kolluk kuvvetleri arasında daha iyi işbiriliği yapmak ve vatandaşların verilerinin daha iyi korunması için ve
uluslararası veri akışları için getirilmiş bir düzenlemedir.
2002 yılında getirilmiş ve 2009 yılında tekrar güncellenmiştir. Üye ülkelerin iç hukukta düzenlemeleri yapması
gerekmektedir. Konu kamuya açık iletişim ağlarında kamuya açık iletişim hizmetlerinin sağlnamasıyla bağlantılı
olarak kişisel verilerin işlenmesi için geçerlidir.
Eger elektronik iletisim hizmeti kamuya açik degilse, Direktif geçerli degildir. Şirket interneti gibi özel bir
üzerinden ise de kişisel veri işleniyorsa kapsamdadır.
E posta sms mms faks dahil opt-in yani pazarlama öncesi izin gereklidir. Mevcut müsterileri için bazı
durumlarda opt-out olabilir.
Komisyon, 10 Ocak 2017 tarihinde, mevcut ePrivacy Direktifi'nin yerini alacak yeni bir
ePrivacy Tüzügü ('ePrivacy Tüzügü') için bir yasa teklifi yayimlamistir. Taslak ePrivacy
Tüzügü'nün üst düzey amaci, AB içinde elektronik iletisimle ilgili özel gizlilik
çerçevesini uyumlastirmak ve Genel Veri Koruma Tüzügü ile tutarliligi saglamaktir.
Ağ ve bilgi sistemlerinin güvenliğine ilişkin Direktif ("NIS Direktifi") Avrupa Parlamentosu tarafından 6 Temmuz
2016 tarihinde kabul edilmiş ve aşağıdaki Ağustos 2016 tarihinde yürürlüğe girmiştir. NIS Direktifi, ağ ve bilgi
sistemlerine yönelik tehditleri ele almayı ve dolayısıyla dijital ekonominin işleyişini iyileştirmeyi amaçlayan AB
çapında siber güvenlik mevzuatının ilk parçasıdır.
üye devletlerin nıs direktifini 9 mayis 2018 tarihine kadar ulusal mevzuatlarina aktarmalari ve 9 kasim 2018
tarihine kadar temel hizmet operatörlerini belirlemeleri gerekiyordu.
EDPB, AB üyesi ülkelerin veri koruma otoriteleri ile işbirliği yapar ve veri
koruma konusundaki tutumların ve politikaların AB genelinde tutarlı bir
şekilde uygulanmasını sağlamaya çalışır. Ayrıca, AB içinde ve uluslararası
düzeyde veri koruma ile ilgili konularda rehberlik sağlar, kararlar alır ve
görüş bildirir. EDPB'nin ana amacı, bireylerin verilerinin korunması ve
işlenmesi sırasında ortaya çıkabilecek sorunların ele alınmasını sağlamak ve
uyumun sağlanmasına yardımcı olmaktır.
PRIVACY SHIELD
Adequeate Level:
EU member states
Austria, Belgium, Bulgaria, Croatia, Republic of Cyprus, Czech
Republic, Denmark, Estonia, Finland, France, Germany, Greece,
Hungary, Ireland, Italy, Latvia, Lithuania, Luxembourg, Malta,
Netherlands, Poland, Portugal, Romania, Slovakia, Slovenia, Spain
and Sweden.
Legal basis for processing employee personal data
Employers will usually rely on the following grounds to process employees’ personal data:
The employee has given consent (although relying on consent has considerable
disadvantages, as discussed below)
Processing is necessary to fulfil the employment contract between the employer and
employee
Processing is necessary for compliance with a legal obligation to which the employer is subject
Processing is necessary for the employer’s legitimate interests
Typically, the employment contract between employer and employee includes a provision
stating that the employee agrees the employer can use their personal data.
But this should not be presented as a consent to processing since, bundled within a contract,
it will not be valid under data protection law.
Frequently, the employment contract does not spell out what this means but instead directs
the employee to the employee handbook or a data privacy notification that explains in more
detail how personal data collected about employees will be used by the employe
Necessity: An employer must be able to demonstrate that the monitoring is really necessary
Legitimacy: An employer must have lawful grounds for collecting and using the personal data
and, if appropriate, sensitive personal data, and the processing must be fair
Proportionality: Any monitoring that takes place must be proportionate to the issue the
employer is dealing with
Transparency: An employer must clearly inform employees of the monitoring that will be
carried out
In a layered notice, the most important information is provided in a short initial notice, and
further, more detailed information is available should a data subject wish to know more.
The WP29 states that the first layer should include the purpose of processing, the controller’s
identity, and the rights granted by the Regulation, together with processing which could
surprise or have an impact on the data subject. 78
BRING YOUR OWN DEVİCE (BYOD)
Establish a BYOD policy that explains to employees how they can use BYOD and what their
responsibilities are. Be clear about where the data processed via the device is stored and what
measures must be taken to keep the data secure.
Ensure the transfer of data from the personal device to the company’s servers is secure to
avoid any interceptions as far as possible. Consider how to manage personal data held on the
device once the employee leaves the company or the device is stolen or lost. Mobile device
management software can be used to locate devices and remove data on demand.
CCTV
The DPIA will need to describe: The processing to be carried out The purposes of processing
The legitimate interests pursued by the data controller An assessment of why it is necessary
and proportionate in relation to the purposes An assessment of the risks to the rights and
freedoms of the data subjects impacted by the surveillance
The measures required to address the risks, protect the personal data and demonstrate
compliance with the Regulation, taking into account the rights and legitimate interests of data
subjects and other persons concerned
For overt video surveillance, the controller must comply with the transparency requirements
of the Regulation to the extent that is possible in cases where the controller may not have a
direct relationship with the affected data subjects, such as where the cameras cover a large
public space. Individuals will need to be provided with information to make them aware that
CCTV is in operation and of the areas being monitored. The information will need to be visible
and placed within reasonable distance of the monitored area, and it may be provided in
summary fashion, provided that it is effective – a prominent camera symbol with further
information is a recognised approach.
The information should also include the purpose of the surveillance and identify the
controller with contact details. As the information that may be made available via a sign with
a camera symbol is unlikely to contain all the details prescribed by Articles 13 and 14, the
controller should be prepared to provide the full information necessary when a data subject
makes contact.