İNSAN HAKLARI HUKUKU

İNSAN HAKLARI EVRENSEL BEYANNAMESİ

İnsan Hakları Evrensel Beyannamesi ('İnsan Hakları Beyannamesi'), 10 Aralık 1948 tarihinde Birleşmiş Milletler
Genel Kurulu tarafından kabul edilmiştir.

• Özel yaşam hakkı ve buna bağlı özgürlükler, İnsan Hakları Beyannamesi'nin 12. Maddesinde yer
almaktadır:

Hiç kimsenin özel yaşamına, ailesine, konutuna ya da haberleşmesine keyfi olarak müdahale edilemez,
şeref ve itibarına saldırılamaz. Herkes, bu tür müdahale veya saldırılara karşı yasanın koruması hakkına
sahiptir.

• İnsan Hakları Beyannamesi'nde yer alan bir diğer temel husus da 19. maddede belirtilen ifade
özgürlüğü hakkıdır:
Herkesin düşünce ve ifade özgürlüğü hakkı vardır; bu hak, müdahale olmaksızın kanaat sahibi olma ve
herhangi bir medya aracılığıyla ve sınırlara bakılmaksızın bilgi ve fikir arama, alma ve verme özgürlüğünü
içerir.

• Bireysel hakların mutlak olmadığını ve bir denge kurulması gereken durumlar olacağını belirten Madde
29(2)'de uzlaştırılmıştır:

Herkes, hak ve özgürlüklerini kullanırken, yalnızca başkalarının hak ve özgürlüklerinin gerektiği gibi
tanınmasını ve bunlara saygı gösterilmesini sağlamak ve demokratik bir toplumda ahlakın, kamu düzeninin
ve genel refahın adil gereklerini yerine getirmek amacıyla yasayla belirlenen sınırlamalara tabi olacaktır.

AVRUPA İNSAN HAKLARI SÖZLEŞMESİ

1950 yılında Roma'da Avrupa Konseyi, devletleri insan hakları ve temel özgürlükleri korumaya yönelik
uluslararası bir antlaşma olan Avrupa İnsan Hakları Sözleşmesi'ni (AİHS) imzalamaya davet etmiştir. 3 Eylül
1953 tarihinde yürürlüğe girmiştir.

***AİHS ayrıca, Strazburg'da AİHS'nin ihlal edildiği iddialarını inceleyen ve devletlerin AİHS kapsamındaki
yükümlülüklerine uymalarını sağlayan Avrupa İnsan Hakları Mahkemesi şeklinde kurulmuş bir Yaptırım sistemi
olması nedeniyle de önemlidir.

***Avrupa İnsan Hakları Mahkemesi'nin kararları ilgili devletler için bağlayıcıdır ve ulusal hükümetler
tarafından mevzuatın değiştirilmesine veya uygulamada değişikliğe gidilmesine yol açabilir.

***Avrupa Konseyi Bakanlar Komitesi'nin talebi üzerine Avrupa İnsan Hakları Mahkemesi, AİHS ve
protokollerin yorumlanmasıyla ilgili tavsiye niteliğinde görüşler de verebilir.

• AİHS'nin 8. maddesi, İnsan Hakları Beyannamesi'nin 12. maddesini yansıtmakta ve şu hükmü

getirmektedir;

Herkes özel ve aile hayatına, evine ve yazışmalarına saygı gösterilmesi hakkına sahiptir.

Bu hakkın kullanılmasına, yasalara uygun ve demokratik bir toplumda ulusal güvenlik, kamu güvenliği veya
ülkenin ekonomik refahı için, düzensizliğin veya suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya
başkalarının hak ve özgürlüklerinin korunması için gerekli olanlar

Madde 8 özel hayatın gizliliği hakkını ele alırken, Madde 10 ifade özgürlüğü ile bilgi ve fikirlerin ulusal sınırlar
ötesinde paylaşılması hakkını korumaktadır.

• AİHS'nin 10(1) maddesi şöyledir:

 Herkes ifade özgürlüğü hakkına sahiptir. Bu hak, kamu otoritesinin müdahalesi olmaksızın ve ülke sınırları
gözetilmeksizin, kanaat sahibi olma ve haber ve fikir alma ve verme özgürlüğünü de içerir.
• Bu hak ayrıca, Madde 10(2)'de belirtildiği üzere, bireylerin mahremiyetini koruyacak şekilde
nitelendirilmiştir:

Bu özgürlüklerin kullanılması, beraberinde görev ve sorumluluklar da getirdiğinden, yasayla öngörülen ve

demokratik bir toplumda ulusal güvenliğin, toprak bütünlüğünün veya kamu emniyetinin korunması,
düzensizliğin veya suç işlenmesinin önlenmesi, sağlığın veya ahlakın, başkalarının şöhret veya haklarının
korunması, gizli olarak alınan bilgilerin açıklanmasının önlenmesi veya yargı gücünün otorite ve
tarafsızlığının sağlanması için gerekli olan formalitelere, koşullara, sınırlamalara veya cezalara tabi
tutulabilir.

1- İLK YASA VE YÖNETMELİKLER

KVK alanına öncülük eden ülkeler arasında Avusturya, Danimarka, Fransa, Federal Almanya Cumhuriyeti,
Lüksemburg, Norveç ve İsveç yer alırken, bu dönemde birçok ülkede de mevzuat planlanmıştır.

*****Üç Avrupa ülkesinde - İspanya, Portekiz ve Avusturya - veri koruma aynı zamanda anayasalarına temel bir
hak olarak dahil edilmiştir.

OECD KILAVUZ İLKELERİ (Yasal bağlayıcılığı yoktur)(Verilerin hem otomatik hem de otomatik olmayan
yöntemlerle işlenmesi için geçerlidir.)

OECD üyeligi Avrupa'nin ötesine uzanir ve bir dizi büyük yargi alanini içerir.23 Eylül 1980 tarihinde
yayımlanmıştır.

***Yasal olarak bağlayıcı olmamakla birlikte esnek olmaları ve bir temel teşkil etmeleri amaçlanmıştır.

Amacı: Kılavuz İlkelerin amacı, ticaretin önünde herhangi bir engel oluşturmadan ve kişisel verilerin ulusal
sınırlar arasında kesintisiz akışına izin vermeden bireylerin mahremiyeti ile hak ve özgürlüklerini korumak
arasında bir denge kurmaktır.

Kılavuz İlkeler kamu ve özel sektör arasında herhangi bir ayrım yapmamaktadır.

Daha da önemlisi, kullanılan teknolojiye ilişkin olarak tarafsızdırlar, çünkü elektronik olarak veya başka şekilde
toplanan kişisel bilgiler arasında herhangi bir ayrım yapmazlar.

Hükümlerden biri;
Üye devletler, mahremiyetin ve bireysel özgürlüklerin korunmasi adina, bu koruma için gerekli olanin ötesinde
kisisel verilerin sinir ötesi akisina engel olusturacak yasalar, politikalar ve uygulamalar gelistirmekten
kaçinmalidir.

108 SAYILI SÖZLEŞME(Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması
Sözleşmesi ('108 sayılı Sözleşme')

28 ocak 1981 tarihinde Avrupa Konseyi tarafından kabul edilmiş ve üye ülkelere imzaya açılmıştır. Avrupa
dışındaki ülkelerinde imzasına açılmıştır. Veri koruma alanında yasal olarak bağlayıcı ilk belgedir. İç mevzuatta
gerekli düzenlemeler yapılmalıdır. İrtibat için denetim makamı şartı getirilmiştir.

108 sayılı Sözleşme, 1973 ve 1974 kararlarının içeriğini pekiştirmekte ve yeniden teyit etmektedir ve veri
koruma alanında yasal olarak bağlayıcı ilk uluslararası belgedir. Sözleşme, imzalayan tarafların kişisel bilgilerin
işlenmesine ilişkin olarak ortaya koyduğu ilkeleri uygulamak için iç mevzuatlarında gerekli adımları atmalarını
gerektirmesi bakımından Kılavuz İlkelerden farklıdır.
108 sayılı sözleşme imzacı devletler yalnızca gizliliğin korunması adına başka bir tarafın topraklarına giden
kişisel verilerin sınır ötesi akışını yasaklamayacak veya özel izne tabi tutulmayacaktır. Bu da ticaret için kişisel
verilerin serbest dolaşımının sağlanması açısından çok önemlidir.

108 sayılı Sözleşme üç ana bölümden oluşmaktadır:

Temel ilkeler şeklindeki maddi hukuk hükümleri (Bölüm II)

Sınır ötesi veri akışlarına ilişkin özel kurallar (Bölüm III)
Karşılıklı yardım mekanizmaları (Bölüm IV) ve taraflar arasında istişare (Bölüm V )10

İmzacı devletler, 108 sayılı Sözleşme'yi uygularken, yalnızca AİHS'nin 6, 8, 10 ve 11. maddelerinde yer alan
orantılılık gerekliliklerini yansıtan 'demokratik bir toplumda gerekli bir tedbir' olduğunda (örneğin, devlet
güvenliği veya ceza soruşturması) hükümlere istisna getirebilirler.

108 sayılı Sözleşme'nin 12. Maddesi, 108 sayılı Sözleşme'yi imzalayan ülkeler arasında kişisel bilgi aktarımı
yapıldığında, bu ülkelerin aktarım amacıyla herhangi bir yasak koymayacağını veya herhangi bir özel izin talep
etmeyeceğini öngörmektedir.

Hükümlere istisna getirilmesine yalnızca ihracatçı ülkenin ulusal hukukunda belirli kişisel veri kategorileri veya otomatik
kişisel veri dosyaları için özel kurallar bulunması ve ithalatçı ülkenin eşdeğer koruma sağlamaması veya transferin 108 sayılı
Sözleşme'ye taraf olmayan bir ülkeye yapılması halinde izin verilmektedir.

Bu hükümler, 2001 yılında imzaya açılan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması
Sözleşmesi'nin denetim makamları ve sınır ötesi veri akışlarına ilişkin Ek Protokolü'nde ('Ek Protokol') daha da geliştirilmiştir.

108 sayılı Sözleşme'nin tarafları, veri koruma hukukuna uyumu denetlemek ve uygulamaya ilişkin istişare ve
karşılıklı yardım amacıyla diğer yargı alanlarındaki denetim makamlarıyla irtibat kurmak üzere bir denetim
makamı tayin etmelidir.

Denetim makamlarının ayrıca bireylerin haklarını kullanmalarına yardımcı olmaları gerekmektedir.

Bu gereklilikler Ek Protokol'deki hükümlerle daha da güçlendirilmiştir.
108 sayılı Sözleşme, veri koruma alanında Avrupa Konseyi üyesi olmayan ülkeler de dâhil olmak üzere tüm
ülkelere açık olan ve dünya çapında uygulama alanı bulunan tek bağlayıcı uluslararası hukuki belge olma
özelliğini korumaktadır.

**Nitekim en son (ve 54.) katılım 25 Şubat 2019 tarihinde Arjantin tarafından gerçekleştirilmiştir.

108+ = Ocak 2011'de, orijinal belgenin imzaya açılmasından yaklaşık 30 yıl sonra, Sözleşme 108 Danışma
Komitesi, özellikle yeni bilgi ve iletişim teknolojilerinin kullanımından kaynaklanan zorlukları ele almak üzere bir
modernizasyon protokolünün temellerini atmıştır. 2018 de Avrupa Konseyi Bakanlar Komitesi tarafından
onaylanmıştır.

108 sayılı Sözleşme ve Kılavuz İlkelerin amacı, ilkeler üzerinde uluslararası anlaşma temelinde veri korumasına
yönelik uyumlaştırılmış bir yaklaşım getirmek ve uygulamayı üye devletlerin takdirine bırakmaktı. Ancak bu
ilkelerin ulusal hukuka uygulanmasının farklı veri koruma rejimlerinin gelişmesine yol açtığı görülmüştür

VERİ KORUMA DİREKTİFİ

Avrupa Komisyonu, 1976 gibi erken bir tarihte Avrupa Parlamentosu tarafından veri koruma yasalarını
uyumlaştıran bir yönerge teklifi hazırlamaya davet edilmişti.

Üye devletlerde veri koruma mevzuatına yönelik ulusal yaklaşımların çeşitliliğine ilişkin artan endişeler, Kişisel
Verilerin İşlenmesine İlişkin Olarak Bireylerin Korunması Hakkında Konsey Direktifi Teklifi'nin hazırlanmasına yol
açmıştır.
****Direktifler-yönetmelikler, üye devletler üzerinde bağlayıcı olan bir mevzuat türüdür, ancak uygulama için
'şekil ve yöntem seçimini ulusal makamlara bırakırlar'.
Avrupa Komisyonu çerçeve yönergeyi hazırlarken 108 sayılı Sözleşme'de yer alan ilkeleri bir ölçüt olarak
kullanmıştır çünkü bu ilkeler 108 sayılı Sözleşme'yi onaylamış olan ülkeler için ortak bir standartlar dizisi
oluşturmaktadır.

Çerçeve direktif, yüksek düzeyde eşdeğer koruma sağlamak için bu genel ilkeleri tamamlamıştır ve bunu
başarmak için, tekliflerin kapsamı geniş tutulmuş, korumalar hem otomatik hem de otomatik olmayan kişisel
verilere genişletilmiş ve hem kamu hem de özel sektörleri kapsamıştır.

Avrupa Komisyonu tarafından yürütülen çalışmaların doruk noktası, kişisel verilerin işlenmesine ilişkin olarak
bireylerin korunması ve bu tür verilerin serbest dolaşımına ilişkin 95/46/EC sayılı Direktif ('Veri Koruma Direktifi'
veya 'Direktif') olmuştur.

Bazı durumlarda, farklılıklar Direktifin yanlış uygulanmasından kaynaklanıyordu ve bunun sonucunda söz konusu
üye devletin hukukunun düzeltilmesi gerekiyordu. Eğer üye devlet bu durumu düzeltmezse, Avrupa Komisyonu
üye devlete karşı ihlal davası açma yetkisine sahipti. Diğer durumlarda, farklılıklar, üye devletin Direktifi
uygulamasından kaynaklanıyordu ve bu uygulama, izin verilen manevra alanı içerisinde olmasına rağmen, yine
de tutarsızlıklara yol açıyordu.

Ulusal hukuktaki farklılıklar nedeniyle ortaya çıkan tutarsızlıkların bir örneği, işletmelerin işleme detaylarını Veri
Koruma Otoritelerine (DPA’lar) bildirme gerekliliğiyle ilgilidir.

TEMEL HAKLAR ŞARTI (Charter of Fundamental Rights of the European Union (‘the Charter’)

***Lizbon antlaşması ile AB hukukunun uygulandığı durumlarda bağlayıcı hale getirilmiştir.Polonya ve Birleşik
Krallık kapsam dışı bırakmaya ilişkin bir protol imzalamıştır. (Sart, Avrupa vatandaslarinin ve AB'de ikamet
edenlerin tüm medeni, siyasi, ekonomik ve sosyal haklarini tek bir metinde toplayarak AB hukukundaki temel
haklari pekistirmeyi amaçlamaktadir.)

Avrupa Parlamentosu, Konsey ve Komisyon başkanları, kurumları adına 7 Aralık 2000 tarihinde Nice'de Temel
Haklar Şartı'nı imzalamış ve ilan etmişlerdir.

Şart, AİHS'de belirtilen genel ilkeleri içermekte ancak özellikle kişisel verilerin korunmasına atıfta
Bulunmaktadır.
***Lizbon Antlaşması'nın yürürlüğe girdiği Aralık 2009'da Şart'a bağlayıcı yasal etki tanınmıştır.

Şart'ın 7. ve 10. maddeleri, AİHS'nin sırasıyla 8. ve 10. maddelerinde yer alan hükümleri yansıtmaktadır ve 8.
madde özellikle veri koruma konusunu aşağıdaki şekilde ele almaktadır:

1. Herkes, kendisiyle ilgili kişisel verilerin korunması hakkına sahiptir;

2. Bu tür veriler, belirtilen amaçlar doğrultusunda ve ilgili kişinin rızasına veya kanunla belirlenen başka bir
meşru temele dayalı olarak adil bir şekilde işlenmelidir. Herkes, kendisiyle ilgili olarak toplanan verilere
erişme ve bu verilerin düzeltilmesini isteme hakkına sahiptir.
3. Bu kurallara uygunluk bağımsız bir makam tarafından denetime tabi olacaktır.

Dolayısıyla 8. Madde, kişisel verilerin korunmasına yönelik belirli temel değerleri ortaya koymaktadır:

İşlem adil olmalıdır

İşleme belirli amaçlar doğrultusunda gerçekleştirilmelidir
İşleme için meşru bir temel olmalıdır
Bireyler kişisel verilere erişme ve bunları düzeltme hakkına sahip olmalıdır
Uyumluluğu denetleyecek bir denetim makamı olmalıdır

Bu haklara getirilecek her türlü sınırlama, AİHS'de yer alan gereklilik ve orantılılık temelindeki sınırlamaları
yansıtan Şart'ın 52. maddesine uygun olmalıdır.
LİZBON ANTLAŞMASI (THE TREATY OF LİSBON)

13 Aralik 2007 tarihinde Lizbon Antlasmasi ('Lizbon Antlasmasi') AB üye devletleri tarafindan imzalanmis ve 1
Aralik 2009 tarihinde yürürlüğe girmiştir.

Lizbon Antlasmasi AB'nin iki temel antlasmasini degistirmektedir: Avrupa Antlasmasi Birligi ve Avrupa
Toplulugunu Kuran Antlasma ('Avrupa Birligi'nin Isleyisi Hakkinda Antlasma' veya 'TFEU' olarak yeniden
adlandirilmistir.( Treaty on the Functioning of the European Union’, or ‘TFEU’)

Lizbon Antlasmasi, kisisel verilerin korunmasina iliskin evrensel hakki kanunla güvence altina almakta ve ilgili
mevzuatin olagan (danisma veya riza yerine) yasama usulü çerçevesinde kabul edilmesini gerektirmektedir.

Bu hüküm, AB'nin tüm kurumlarinin kisisel verileri islerken bireyleri korumasi gerektigini temin etmektedir.
Görevi AB kurumları içerisinde veri koruma yasasına uyumu düzenlemek olan bir Avrupa veri koruma denetçisi
bulunmaktadır, ancak 'yetkililere' yapılan atıf, ulusal DPA'ların(Veri koruma otoritesi) da bu tür konularda yargı
yetkisine sahip olabileceğini ima etmektedir. (Avrupa Veri Koruma Kurulu EDPB Kılavuzları)

***Lizbon Antlasmasi adalet, özgürlük ve güvenligi yüksek öncelikler olarak tanimlamaktadir ve bu alandaki
önemli bir degisiklik, tüm AB faaliyetleri için AB'nin yönetebilecegi tek bir sistemden olusan ortak bir yasal
çerçeve getirilmesidir.

GENEL VERİ KORUMA TÜZÜĞÜ(GDPR)

***Tüzükler bütünüyle baglayicidir ve yürürlüge girdikten sonra ulusal hukuka aktarilmasina gerek olmaksizin
tüm üye devletler için dogrudan uygulanir.

2-AVRUPA BİRLİĞİ KURUMLARI

Lizbon Antlaşması ('Lizbon Antlaşması') AB'nin genişlemesine ve bunun sonucunda karar alma süreçlerinin
etkinliğini ve hızını artırma ihtiyacına yanıt olarak Avrupa Birliği Antlaşması'nın ('AB Antlaşması') ve Avrupa
Topluluğu'nu Kuran Antlaşma'nın (Avrupa Birliği'nin İşleyişi Hakkında Antlaşma veya TFEU olarak yeniden
adlandırılmıştır) birçok hükmünü değiştirmiştir.

***Amacı: Lizbon Antlaşması'nın temel amaçlarından biri, bürokrasiyi azaltmak için AB kurumlarının yapısında
ve yasama sürecinde reform yapmaktı.
Birliğin kurumları şunlardır:

Avrupa Parlamentosu,
Avrupa Konseyi,
Konsey,
Avrupa Komisyonu ('Komisyon'), Avrupa Birliği
Adalet Divanı,
Avrupa Merkez Bankası ve
Sayıştay.

***Lizbon antlaşması ile Avrupa Konseyi ve Avrupa Merkez Bankası'na kurumsal statü verildi; bu da artık daha
çok tavsiye niteliğinde bir rol üstlenmek yerine bağlayıcı kararlar alabilecekleri anlamına geliyor.

• AVRUPA PARLAMENTOSU(European Parliament)

Avrupa Parlamentosu, üyeleri dogrudan AB vatandaslari tarafindan seçilen tek Avrupa kurumudur ve
bu da onu diger kurumlar arasinda ikna edici bir güç haline getirmektedir.

Lizbon Antlasmasi Avrupa Parlamentosu'nu asagidaki sekilde tanimlamaktadir:

Avrupa Parlamentosu, Konsey ile birlikte yasama ve bütçe islevlerini yerine getirir. Antlasmalar'da belirtildigi
sekilde siyasi denetim ve danisma islevlerini yerine getirir. Komisyon Baskani'ni seçer.

1- Yasama sürecinde rol alır. Parlamento kendi basina yeni mevzuat öneremez, ancak inisiyatif alarak
Komisyon'u Avrupa Birligi Konseyi'ne bir mevzuat önerisi sunmaya çagirabilir. parlamentonun
etkisinin kapsamı hangi usulün geçerli olduğuna bağlıdır - olağan, danışma veya onay usulü

Parlamento yasama yetkisini Avrupa Birliği Konseyi ile paylaşır. Yasama sürecinde üç usul uygulanabilir:
Olağan prosedür: Hem Parlamento hem de Konsey mevzuatı onaylamalıdır. Herhangi bir kurum tarafından
karşı çıkılması halinde mevzuat kabul edilemez. Bu, Parlamentoyu AB içindeki konuların çoğunda Konsey
ile eşit konuma getirir.
İstişare prosedürü: Konsey, Parlamentoya danışmak zorundadır; ancak Konsey, Parlamentonun görüşüyle
bağlı değildir, çünkü bu prosedür kapsamında Konsey tek başına yasama yetkisine sahiptir.
Onay prosedürü: Özellikle önemli kararlar için (örneğin AB genişlemesi) Parlamento'nun onayı
gerekmektedir.

2- Parlamento aynı zamanda diğer AB kurumları üzerinde de demokratik ve siyasi denetim uygular. Bu
durum özellikle Komisyon açısından geçerlidir, zira Parlamento, tüm Komisyon Üyelerini istifaya
zorlamak da dahil olmak üzere, Komisyon'u kınama yetkisine sahiptir.

3- Parlamento, AB bütçesini belirleme yetkisini Konsey ile paylaşır ve bu nedenle AB harcamalarını

etkileyebilir, ancak her iki kurum da çok yıllı mali perspektifte belirtilen yıllık harcama sınırlarına
uymak zorundadır.

• AVRUPA KONSEYİ (COUNCİL OF EUROPE)

Lizbon antlaşması, Avrupa konseyine kurumsal bir statü vermiştir. Avrupa Konseyi, Birligin gelismesi için
gerekli ivmeyi saglar ve Birligin genel siyasi yönelimlerini ve önceliklerini belirler. Yasama islevlerini yerine
getirmez.

***Bugün AB Konseyi, Komisyon Baskani ile birlikte 28 üye devletin her birinin baskanindan olusmakta ve
AB'nin önceliklerini belirlemek ve AB için siyasi yön tayin etmek üzere yilda dört kez toplanmaktadir. Esas
amacı siyasi yönelim ve öncelikleri belirlemektir.

Avrupa Konseyi kararlari genellikle oybirligi ile alinir; ancak antlasmalar oybirligi veya nitelikli çogunluk gibi
alternatif mekanizmalar öngörebilir.

• AVRUPA BİRLİĞİ KONSEYİ(COUNSİL OF THE EUROPEAN UNİON)( ‘Council of Ministers’, or ‘the council’)

******Konsey, AB'nin ana karar alma organidir ve hem siyasi hem de yasama kararlarinda merkezi bir role
sahiptir. Avrupa Parlamentosu ile ortak yasa koyucudur; Konsey ve Avrupa Parlamentosu birlikte AB için
mevzuat gelistirir.

***Konsey, yasama yetkisini Avrupa Parlamentosu ile paylaşır.

Konsey, Avrupa Parlamentosu ile birlikte yasama ve bütçe islevlerini yerine getirir. Antlasmalar'da belirtildigi
sekilde politika olusturma ve koordinasyon islevlerini yerine getirir.
Konsey toplantılarına 28 üye devletin her birinden bir bakan katılır. Bakanlar, hükümetlerini Konsey kararlarına
bağlama yetkisine sahiptir. Dolayısıyla Konsey, üye devletlerin ulusal çıkarlarının önemli bir Sözcüsüdür.
Bakanlar ulusal parlamentolara karşı sorumludur.

• AVRUPA KOMİSYONU(EUROPEAN COMMİSSİON)

Ancak tek bir Komisyon daha sonra, 1965 yilinda, Avrupa Kömür ve Çelik Toplulugu, Avrupa Ekonomik
Toplulugu ve Avrupa Atom Enerjisi Toplulugu'nun yürütme organlarinin birlestirilmesiyle Olusturulmustur.
***AB’nin yürütme organı olarak bilinir. Tüm faaliyetlerin ve anlaşmaların yürütülmesini de takip eder.
Yasalara uymayan üye devletlere para cezası uygulayabilir.
***Yasama teklifinde bulunur.
*** Bu son derece önemlidir çünkü Parlamento ve Konsey'in birlikte mevzuat teklifinde bulunabilecegi birkaç
durum disinda, 'Birlik yasama tasarruflari sadece Komisyon teklifi temelinde kabul edilebilir.
***Her ye devlet kendi komiserini atar. Bunların bağımsız olması beklenir. Ancak atanan komiserin Avrupa
parlamentosu tarafından onaylanması gereklidir.

*** - Yeterli Veri koruma düzeyine sahip ülke olarak kabul edilmesi komisyon tarafından yapılır. Komisyon
ayrica, AB üyesi olmayan ülkelerin AB standartlarina uygun olarak yeterli düzeyde veri korumasi sagladiginin
kabul edildigi 'yeterlilik bulgularini' kabul etme yetkisine de sahiptir.

• AVRUPA BİRLİĞİ ADALET DİVANI (COURT OF JUSTİCE OF THE EUROPEAN UNİON)

Adalet Divani'nin yetkileri, 1992 yilinda Maastricht Antlasmasi ile AB'nin kurulmasi üzerine tekrar
genisletilmistir. Lizbon Antlasmasi, Adalet Divani'nin yetki alanini daha da genisletmis ve Divan'in
adini Avrupa Birligi Adalet Divani (ABAD) olarak degistirmistir.

**ABAD, AB hukuku konularinda kararlar alan ve Komisyon tarafindan bir üye devlete karsi alinan
kararlar ya da bir bireyin AB hukuku kapsamindaki haklarini uygulamak için açtigi davalar ile ilgili
olarak Avrupa kararlarini uygulayan AB'nin yargi organidir.

ABAD iki bölüme ayrilmistir:

Adalet Divani (ATAD)
Genel Mahkeme (yeniden adlandirilan 'Ilk Derece Mahkemesi' veya CFI)

****Ulusal mahkemelerde başlatılan ve AB hukukunun yorumlanmasıyla ilgili olan davalarda, AB hukukunun

yorumlanmasına ilişkin konularda ön karar alınması için ABAD’ a havale edilen davalr vardır. ATAD'in veri
koruma ile ilgisi son birkaç yildir artmaktadir.

Bir dizi ATAD karari, AB veri koruma hukukunun sekillendirilmesinde özellikle etkili olmustur.

****Komisyon tarafından, diğer üye devletlerin Komisyon tarafından bir üye devlete karşı antlaşma
yükümlülüklerini yerine getirmediği için açılan davalarla bağlantılıdır. Komisyon'un İngiltere'ye karşı açtığı dava
buna bir örnektir. Komisyon, 30 Eylül 2010 tarihinde, elektronik haberleşmenin gizliliğine ilişkin AB kurallarını
tam olarak uygulamadığı gerekçesiyle İngiltere'yi ATAD'a sevk ettiğini açıklamıştır. ATAD'ın veri koruma ile ilgisi
son birkaç yıldır artmaktadır.

Tele2 Sverige ve Tom Watson'ın Aralık 2016 tarihli birleştirilmiş davalarında, ATAD, suçla mücadele amacıyla
ulusal mevzuat kapsamında dahi olsa verilerin genel ve gelişigüzel tutulmasının, Şart'ın özellikle 7, 8, 11 ve
52(1) maddeleri ışığında okunduğunda 2002/58/EC sayılı ePrivacy Direktifi ile uyumlu olmadığına karar
vermiştir.

• AVRUPA İNSAN HAKLARI MAHKEMESİ

Daha önce de belirtildigi üzere, AIHM AB'nin bir kurumu degildir. Bu yazinin yazildigi tarihte 47 üye
ülkeden olusan daha genis bir kilise olan (ve Avrupa Konseyi veya Avrupa Birligi Konseyi ile
karistirilmamasi gereken) A v r u p a Ko n s e y i aygitinin bir parçasi olarak Strazburg'da yer
almaktadir.

AIHM, taraf devletlerde yasayan insanlarin temel haklarini koruyan Avrupa Insan Haklari
Sözlesmesi'ni ('Sözlesme') denetlemek üzere 1959 yilinda kurulan uluslararasi bir mahkemedir.
Kararlar baglayicidir ve ilgili ülkeler bunlara uymakla yükümlüdür.
AIHM'nin yargi yetkisi, Sözlesme'nin yorumlanmasi veya uygulanmasiyla ilgili tüm davalari kapsar.
AIHM'nin ulusal kararlari bozma veya ulusal yasalari iptal etme yetkisi yoktur.
AIHM'nin yaptirim gücü bulunmadigindan, AIHM'nin karar vermesinin ardindan yürütmeyi denetleme ve
tazminatin ödenmesini saglama sorumlulugu Konsey'e geçer.

Yukarida belirtildigi gibi, AIHM'nin rolü Sözlesme'yi uygulamak ve Sözlesme ve

protokollerinde belirtilen hak ve güvencelere saygi gösterilmesini saglamaktir.
Sözlesme ve protokolleri asagidaki haklari korumaktadir: (1) yasam hakki, (2) hukuki ve cezai konularda adil
yargilanma hakki, (3) özel ve aile hayatina saygi hakki, (4) ifade özgürlügü, (5) düsünce, vicdan ve din özgürlügü,
(6) etkili basvuru hakki, (7) mal ve mülklerden barisçil bir sekilde yararlanma hakki ve (8) seçme ve seçilme
hakki

3-MEVZUAT ÇERÇEVESİ

• AVRUPA KONSEYİ SÖZLEŞMESİ

Bölüm 1'de ele alindigi üzere, Avrupa Konseyi 1981 yilinda Kisisel Verilerin Otomatik Isleme Tabi
Tutulmasi Karsisinda Bireylerin Korunmasi Sözlesmesi'ni ('108 sayili Sözlesme') imzaya açmistir.

Bölüm 1'de ele alindigi üzere, Avrupa Konseyi 1981 yilinda Kisisel Verilerin Otomatik Isleme Tabi
Tutulmasi Karsisinda Bireylerin Korunmasi Sözlesmesi'ni ('108 sayili Sözlesme') imzaya açmistir.

• VERİ KORUMA DİREKTİFİ

(108 sayılı sözleşmeden ayrılan en önemli özelliği manuel verilere de uygulanabilir
olmasıdır.)(Bir dosyalama sisteminin parçası olarak tutulan manuel verilerin işlenmesini,Kişisel
verilerin otomatik yollarla işlenmesiyle aynı yükümlülüklere tabi kılmıştır.)

1980’lerin sonunda 108 sayılı sözleşmenin tüm devletler tarafından onaylanmaması ve iç

mevzuattaki gerekli düzenlemelerin yapılmaması nedeniyle Avrupa Komisyonu 1990 yılında Veri
Koruma Direktifi(direktif) oluşturulmasını önermiştir.

Kişisel verilerin serbest dolaşımının yanı sıra gizliliğin korunmasını sağlamak amaçlanmaktadır.

Bu Direktif uyarinca, Üye Devletler, gerçek kisilerin temel hak ve özgürlüklerini ve özellikle de kisisel
verilerin islenmesine iliskin olarak mahremiyet haklarini koruyacaktir.
Üye Devletler, 1. Paragraf kapsaminda saglanan korumayla baglantili nedenlerden ötürü Üye Devletler
arasinda kisisel verilerin serbest dolasimini ne kisitlar ne de yasaklar.

72 resitalden oluşan direktifin ulusal hukuka nasıl aktarılması gerektiği üye devletlere bırakılmıştır.

***Direktif belirli istisnalar haricinde yeterli düzeyde koruma sunmayan yargı alanlarına uluslararası veri
transferlerini yasaklamıştır.

*** Direktif her üye ülkede Veri koruma otoritesinin kurulmasını ve Bağımsız bir organ olan WP29 çalışma
grubu kurulmasını zorunlu kılmıştır. WP29=Direktifin işleyişini inceler ve komisyona görüş ve tavsiyelerde
bulunur.

**Ocak 2012'de Komisyon, Direktif'te kapsamli bir reform yapilmasina yönelik tekliflerini yayinladi ve bu
teklifler iki yasa teklifini içeriyordu: verilerin korunmasina yönelik genel bir AB çerçevesi belirleyen bir tüzük ve
cezai suçlarin ve ilgili adli faaliyetlerin önlenmesi, tespiti, sorusturulmasi veya kovusturulmasi amaciyla islenen
kisisel verilerin korunmasina iliskin bir Direktif ('Kolluk Kuvvetleri Veri Koruma Direktifi' veya LEDP Direktifi).
*** Gdpr hazırlık süreci: Tüzük ve LEDP Direktifi'nin resmi metinleri tüm resmi dillerde AB Resmi Gazetesi'nde
yayimlanmistir. Tüzük ve LEDP Direktifi'nin resmi metinleri tüm resmi dillerde AB Resmi Gazetesi'nde
yayimlanmistir

• KOLLUK KUVVETLERİ VERİ KORUMA DİREKTİFİ (LEDP)

Cezai konularda polis ve adli işbirliğinde kişisel verilerin korunmasına yönelik özel kurallar getirilmiş.
Kolluk kuvvetleri arasında daha iyi işbiriliği yapmak ve vatandaşların verilerinin daha iyi korunması için ve
uluslararası veri akışları için getirilmiş bir düzenlemedir.

• GİZLİLİK VE ELEKTRONİK İLETİŞİM DİREKTİFİ(GİZLİLİK VE ELEKTRONİK İLETİŞİM DİREKTİFİ

ePrivacy Direktifi)

2002 yılında getirilmiş ve 2009 yılında tekrar güncellenmiştir. Üye ülkelerin iç hukukta düzenlemeleri yapması
gerekmektedir. Konu kamuya açık iletişim ağlarında kamuya açık iletişim hizmetlerinin sağlnamasıyla bağlantılı
olarak kişisel verilerin işlenmesi için geçerlidir.

Eger elektronik iletisim hizmeti kamuya açik degilse, Direktif geçerli degildir. Şirket interneti gibi özel bir
üzerinden ise de kişisel veri işleniyorsa kapsamdadır.

E posta sms mms faks dahil opt-in yani pazarlama öncesi izin gereklidir. Mevcut müsterileri için bazı
durumlarda opt-out olabilir.

Çerezlere ilişkin rıza alınması gerekliliği burada getirilmiştir.

• EPRİVACY DİREKTİF REFORMU -REFORM OF THE EPRİVACY DİRECTİVE

Komisyon, 10 Ocak 2017 tarihinde, mevcut ePrivacy Direktifi'nin yerini alacak yeni bir
ePrivacy Tüzügü ('ePrivacy Tüzügü') için bir yasa teklifi yayimlamistir. Taslak ePrivacy
Tüzügü'nün üst düzey amaci, AB içinde elektronik iletisimle ilgili özel gizlilik
çerçevesini uyumlastirmak ve Genel Veri Koruma Tüzügü ile tutarliligi saglamaktir.

Tüzük olarak yayınlanması nedeniyle AB ülkeleri açısından doğrudan uygulama alanı

bulacaktır.

Tüm elektronik iletişim hizmet sağlayıcılarına uygulanmasını önermektedir. – Henüz

çalışmalar devam ediyor sanırım!)

• THE DİRECTIVE ON SECURITY OF NETWORK AND INFORMATION SYSTEMS

Ağ ve bilgi sistemlerinin güvenliğine ilişkin Direktif ("NIS Direktifi") Avrupa Parlamentosu tarafından 6 Temmuz
2016 tarihinde kabul edilmiş ve aşağıdaki Ağustos 2016 tarihinde yürürlüğe girmiştir. NIS Direktifi, ağ ve bilgi
sistemlerine yönelik tehditleri ele almayı ve dolayısıyla dijital ekonominin işleyişini iyileştirmeyi amaçlayan AB
çapında siber güvenlik mevzuatının ilk parçasıdır.

üye devletlerin nıs direktifini 9 mayis 2018 tarihine kadar ulusal mevzuatlarina aktarmalari ve 9 kasim 2018
tarihine kadar temel hizmet operatörlerini belirlemeleri gerekiyordu.

• VERİ SAKLAMA DİREKTİFİ - THE DATA RETENTION DIRECTIVE

Ardindan 2014 yilinda Avrupa Birligi Adalet Divani (ABAD), Direktifin kapsaminin orantisiz
oldugu ve AB Temel Haklar Sarti kapsamindaki mahremiyet ve veri koruma haklariyla
uyumlu olmadigi gerekçesiyle geçersiz olduguna karar verdi. Veri Saklama Direktifi
artik AB hukukunun bir parçasi degildir, ancak üye devletler, bu yasalarin AB hukukunun ve
ABAD kararinin bir parçasini olusturan temel haklar ilkelerine uygun olmasi kosuluyla, e-
Gizlilik Direktifi'nin (2002/58/EC) 15(1) maddesi uyarinca kendi ulusal veri saklama yasalarini
kabul etme yetkisine sahiptir.

AVRUPA VERİ KORUMA KURULU

Avrupa Veri Koruma Kurulu (İngilizce: European Data Protection Board,

kısaca EDPB), Avrupa Birliği'nde (AB) veri koruma ve gizlilik konularında
koordinasyon ve danışmanlık görevi üstlenen bir kuruldur. EDPB, 25 Mayıs
2018 tarihinde yürürlüğe giren Genel Veri Koruma Tüzüğü (GDPR) uyarınca
kurulmuştur.

EDPB, AB üyesi ülkelerin veri koruma otoriteleri ile işbirliği yapar ve veri
koruma konusundaki tutumların ve politikaların AB genelinde tutarlı bir
şekilde uygulanmasını sağlamaya çalışır. Ayrıca, AB içinde ve uluslararası
düzeyde veri koruma ile ilgili konularda rehberlik sağlar, kararlar alır ve
görüş bildirir. EDPB'nin ana amacı, bireylerin verilerinin korunması ve
işlenmesi sırasında ortaya çıkabilecek sorunların ele alınmasını sağlamak ve
uyumun sağlanmasına yardımcı olmaktır.

EDPB, Avrupa Veri Koruma Kurulu Üyeleri'nden oluşur ve AB Komisyonu

tarafından atanan bir Başkan tarafından yönetilir. Bu kurul, AB içinde veri
koruma alanındaki önemli gelişmeleri takip eder, yönergeler ve görüşler
yayımlar ve AB'nin veri koruma çerçevesinin etkin bir şekilde uygulanmasını
sağlamak için çalışır.

PRIVACY SHIELD

The seven principles are:

1. Notice
2. Choice
3. Accountability for onward transfer
4. Security
5. Data integrity and purpose limitation
6. Access
7. Recourse, enforcement and liability

Adequeate Level:

The European Commission has so far

recognised Andorra, Argentina, Canada (commercial
organisations), Faroe Islands, Guernsey, Israel, Isle of
Man, Japan, Jersey, New Zealand, Republic of
Korea, Switzerland , the United Kingdom under the GDPR and
the LED, the United States (commercial organisations
participating in the EU-US Data Privacy
Framework) and Uruguay as and US,

Andorra, Argentina, Canada (only commercial organizations), Faroe

Islands, Guernsey, Israel, Isle of Man, Jersey, New Zealand,
Switzerland, Uruguay , Japan, the United Kingdom and South
Korea. US

EU member states
Austria, Belgium, Bulgaria, Croatia, Republic of Cyprus, Czech
Republic, Denmark, Estonia, Finland, France, Germany, Greece,
Hungary, Ireland, Italy, Latvia, Lithuania, Luxembourg, Malta,
Netherlands, Poland, Portugal, Romania, Slovakia, Slovenia, Spain
and Sweden.
Legal basis for processing employee personal data

Employers will usually rely on the following grounds to process employees’ personal data:
The employee has given consent (although relying on consent has considerable
disadvantages, as discussed below)
Processing is necessary to fulfil the employment contract between the employer and
employee
Processing is necessary for compliance with a legal obligation to which the employer is subject
Processing is necessary for the employer’s legitimate interests

Typically, the employment contract between employer and employee includes a provision
stating that the employee agrees the employer can use their personal data.
But this should not be presented as a consent to processing since, bundled within a contract,
it will not be valid under data protection law.
Frequently, the employment contract does not spell out what this means but instead directs
the employee to the employee handbook or a data privacy notification that explains in more
detail how personal data collected about employees will be used by the employe

If an employer wishes to carry out workplace monitoring, it should ensure compliance in

particular with the following data protection principles:

Necessity: An employer must be able to demonstrate that the monitoring is really necessary

Legitimacy: An employer must have lawful grounds for collecting and using the personal data
and, if appropriate, sensitive personal data, and the processing must be fair

Proportionality: Any monitoring that takes place must be proportionate to the issue the
employer is dealing with

Transparency: An employer must clearly inform employees of the monitoring that will be
carried out

8.4.2.1 Layered fair processing notices

In a layered notice, the most important information is provided in a short initial notice, and
further, more detailed information is available should a data subject wish to know more.
The WP29 states that the first layer should include the purpose of processing, the controller’s
identity, and the rights granted by the Regulation, together with processing which could
surprise or have an impact on the data subject. 78
BRING YOUR OWN DEVİCE (BYOD)

Companies introducing BYOD into the workplace should:

Establish a BYOD policy that explains to employees how they can use BYOD and what their
responsibilities are. Be clear about where the data processed via the device is stored and what
measures must be taken to keep the data secure.

Ensure the transfer of data from the personal device to the company’s servers is secure to
avoid any interceptions as far as possible. Consider how to manage personal data held on the
device once the employee leaves the company or the device is stolen or lost. Mobile device
management software can be used to locate devices and remove data on demand.

CCTV

15.5.2 Data protection impact assessments

A data protection impact assessment (DPIA) will have to be completed if:

The video surveillance is considered to be high risk

It involves the systematic monitoring of a publicly accessible area on a large scale

If video surveillance has been included by the relevant supervisory authority on a list of data
processing operations that require a DPIA (Article 35)

The DPIA will need to describe: The processing to be carried out The purposes of processing

The legitimate interests pursued by the data controller An assessment of why it is necessary
and proportionate in relation to the purposes An assessment of the risks to the rights and
freedoms of the data subjects impacted by the surveillance

The measures required to address the risks, protect the personal data and demonstrate
compliance with the Regulation, taking into account the rights and legitimate interests of data
subjects and other persons concerned

15.5.3 Data subject rights and CCTV

For overt video surveillance, the controller must comply with the transparency requirements
of the Regulation to the extent that is possible in cases where the controller may not have a
direct relationship with the affected data subjects, such as where the cameras cover a large
public space. Individuals will need to be provided with information to make them aware that
CCTV is in operation and of the areas being monitored. The information will need to be visible
and placed within reasonable distance of the monitored area, and it may be provided in
summary fashion, provided that it is effective – a prominent camera symbol with further
information is a recognised approach.

The information should also include the purpose of the surveillance and identify the
controller with contact details. As the information that may be made available via a sign with
a camera symbol is unlikely to contain all the details prescribed by Articles 13 and 14, the
controller should be prepared to provide the full information necessary when a data subject
makes contact.