Son sürümde değişti Önceki sürümde değiştiMülga
Madde 29 — VERİLEBİLİRLİK
uygun olarak Genel Veri Koruma Tüzüğünün
(GVKT) 5 inci maddesinin ikinci fıkrasının
(a) bendinde hesap verilebilirlik ilkesine
açıkça yer verilmiştir. Söz konusu
hükümde veri sorumlusunun mezkûr
maddenin birinci fıkrasında sayılan kişisel
veri işlenmesine ilişkin ilkelere uygun
davranmaktan sorumlu olduğu ve buna
uygun davrandığını gösterebilir durumda
olmakla mükellef olduğu ifade edilmiştir.
Söz konusu hükmün Tüzükte yer alması
ile kişisel verilerin korunması alanında
öngörülen yükümlülüklere uyumun ispatı veri
sorumlusuna yüklenerek devlet tarafından
denetleme unsuru geri plana atılmış ve
sorumluluk veri sorumlusuna verilmiştir
(Çekin, 2018).
GVKT kapsamında hesap verilebilirlik, kişisel
verilerin korunmasına ilişkin kurallara uyma
ve gerektiğinde bunu ispatlayabilme şeklinde
iki yükümlülüğü bünyesinde barındırmaktadır.
Her ne kadar 95/46/EC sayılı Direktif “hesap
verilebilirlik” terimini kullanmamış olsa da veri
işleme faaliyeti ile sorumlu tarafın pek tabii
Direktife uygun hareket etme yükümlülüğü
mevcuttu. Ancak veri sorumlusu veya veri
işleyenin herhangi bir şekilde uyumluluğu
ispat etme zorunluluğu Direktiftin hiçbir
yerinde açıkça öngörülmemekteydi. Bu
nedenle Tüzüğün getirdiği asıl yenilik,
veri işleme faaliyeti ile sorumlu tarafın
uyumluluğu ispat yükümlülüğünün kuvvetli
biçimde vurgulanıyor oluşudur. Nitekim
İngilizcede “ispat etme” anlamını taşıyan
“demonstrate” kelimesine Tüzükte 33 defa
yer verilmektedir (Korff ve Georges, 2019).
Bununla birlikte GVKT yalnızca hesap
verilebilirlik yükümlülüğünü açıkça
düzenlemekle yetinmemiş, hesap verilebilirlik
ilkesinin temini adına kimisi uygulanması
zorunlu, kimisi gönüllülük esasına dayalı
birtakım hesap verilebilirlik araçlarını da
düzenleme altına almıştır.
GENEL VERİ KORUMA
TÜZÜĞÜNDE HESAP
VERİLEBİLİRLİK
ARAÇLARI
1. Tasarımda Mahremiyet ve Varsayılan
Mahremiyet
AB Mevzuatı, veri sorumlularının veri
koruma ilkelerini etkin bir şekilde
uygulaması için düzenlemelerin
şartlarını yerine getirmesini ve ilgili
kişilerin haklarını korumak için gerekli
tedbirleri almasını öngörmüştür. Bu
tedbirler hem veri işleme sırasında hem
de veri işleme yöntemi belirlenirken
uygulanmalıdır. Bu tedbirlerin
uygulanmasında veri sorumlusunun en
son teknolojiyi, uygulama maliyetlerini,
kişisel veri işlemenin mahiyetini,
kapsamını, amaçlarını ve ilgili kişinin
hak ve özgürlükleri üzerinde oluşacak
riskleri ve zararları dikkate alması
gerekir (Giakoumopoulos, Buttarelli
ve O’Flaherty, 2018). Bu kapsamda
GVKT’nin 25 inci maddesinde ‘tasarımda
mahremiyet’ ve ‘varsayılan mahremiyet’
yaklaşımları ortaya konmuştur.
Tasarımda mahremiyet; bir sistemin,
hizmetin, ürünün veya faaliyetin,
tasarlanma aşamasından itibaren
işleme süreci boyunca mahremiyet ve
veri koruma gereklilikleri göz önünde
bulundurularak ortaya konulmasıdır
(ICO, 2023c). Varsayılan mahremiyet ise
kullanıcı müdahalesine ihtiyaç duyulmaksızın
kişisel verinin yalnızca belirlenen amaç
doğrultusunda gerekli olduğu ölçüde
işlenmesi anlamına gelmekte olup (Avrupa Veri
Koruma Kurulu [EDPB], 2020) temelde veri
minimizasyonu ve amaçla sınırlılık ilkeleri ile
ilişkili bir yaklaşımdır (ICO, 2023c). Varsayılan
mahremiyet, kişisel verilerin herhangi bir iş
uygulaması ya da bilgi teknolojisi sisteminde
otomatik olarak mümkün olan en üst düzeyde
korunmasını sağlamayı amaçlamaktadır
(Cavoukian, 2011).
Tasarımda mahremiyet yaklaşımı kişisel
verilerin korunmasına ilişkin reaktif değil
proaktif önlemler alınması şeklinde
nitelendirilebilir. Bu yaklaşım ile mahremiyete
yönelik ihlallerin henüz gerçekleşmeden önce
öngörülerek engellenmesi mümkün hâle
gelmektedir (Cavoukian, 2011). Belirtmek
gerekir ki tasarımda mahremiyet, bir
donanımın, yazılımın, sistemin veya işlemin
kullanım süresi boyunca uygulanacak kişisel
verilerin korunmasına yönelik stratejilerin
oluşturulması amacıyla risk yönetimi ile
hesap verilebilirliği merkezine alacak şekilde
tasarlanmaktadır (Agencia Española de
Protección de Datos, 2019) Bu çerçevede
veri sorumluları ve veri işleyenlerin kişisel
veri işlemeye başlamadan önce planlanan
veri işleme faaliyetinin ilgili kişilerin hak
ve özgürlükleri üzerindeki olası etkilerini
değerlendirmeleri, ardından planlanan faaliyeti
ilgili kişilerin hak ve özgürlüklerine yönelik
müdahaleyi en aza indirgeyecek veya tamamen
ortadan kaldıracak şekilde tasarlamaları ve
faaliyetin her aşamasında kişisel verilerin
39 38
» KVKK Bülten Eylül 2023
-- 20 of 25 --
korunması temin edecek gerekli teknik
ve idari tedbirleri almaları gerekecektir
(Giakoumopoulos ve diğerleri, 2018).
2. Kişisel Veri İşleme Faaliyetlerine İlişkin
Kayıtlar
GVKT’nin 30 uncu maddesinin birinci
fıkrası uyarınca veri sorumluları ile
uygun olduğu hâllerde veri sorumlusu
temsilcileri, yükümlü bulundukları kişisel
veri işleme faaliyetlerinin kayıtlarını
tutmakla mükelleftirler. Söz konusu
kayıtlarda;
» Veri sorumlusunun, uygun hallerde
ortak veri sorumlusunun, veri sorumlusu
temsilcisinin ve veri koruma görevlisinin
isim ve iletişim bilgileri,
» Kişisel veri işleme faaliyetinin amaçları,
» İlgili kişi kategorileri ile kişisel veri
kategorilerine ilişkin bir açıklama,
» Uluslararası organizasyonlar ve üçüncü
ülkelerde yer alan alıcılar da dahil olmak
üzere kişisel verilerin aktarıldığı ya da
aktarılacağı alıcı grupları,
» Uygun olması hâlinde kişisel verilerin
üçüncü ülkelere veya uluslararası
organizasyonlara aktarımları, söz
konusu üçüncü ülke ve uluslararası
organizasyonların belirtilmesi, GVKT’nin
49 uncu maddesinin birinci fıkrasının
ikinci alt paragrafında ifade edilen kişisel
veri aktarımlarının söz konusu olduğu
hallerde uygun güvelik önlemlerinin
alındığına ilişkin belgeler,
» Mümkün olması durumunda farklı
kategorilerdeki verilerin ne kadar süre
sonra silineceğinin öngörüldüğü,
» Mümkün olması durumunda GVKT’nin
32 nci maddesinin birinci fıkrasında yer
alan teknik ve idari güvenlik tedbirlerine
ilişkin genel bir açıklama yer almak
zorundadır.
Bununla birlikte mezkûr maddenin
ikinci fıkrasında ise veri sorumlusu
adına gerçekleştirdikleri veri işleme
faaliyetleri kapsamında veri işleyenler
ile uygun olduğu hâllerde veri işleyen
temsilcilerinin tutmakla mükellef
oldukları kayıtların içeriğine yer
verilmiştir. Bu çerçevede;
» Veri işleyenin, uygun hallerde veri işleyen
temsilcisinin, adına hareket edilen veri
sorumlusunun/sorumlularının ve veri
koruma görevlisinin isim ve iletişim
bilgileri,
» Her veri sorumlusu adına gerçekleştirilen
işleme kategorileri,
» Uygun olması hâlinde kişisel verilerin
üçüncü ülkelere veya uluslararası
organizasyonlara aktarımları, söz
konusu üçüncü ülke ve uluslararası
organizasyonların belirtilmesi, GVKT’nin
49 uncu maddesinin birinci fıkrasının
ikinci alt paragrafında ifade edilen kişisel
veri aktarımlarının söz konusu olduğu
hallerde uygun güvelik önlemlerinin
alındığına ilişkin belgeler,
» Mümkün olması durumunda GVKT’nin
32 nci maddesinin birinci fıkrasında yer
alan teknik ve idari güvenlik tedbirlerine
ilişkin genel bir açıklama,
Tüzüğün 30 uncu maddesinin dördüncü
fıkrası uyarınca; düzenleyici kurum
tarafından talep edilmesi hâlinde
anılan kayıtların veri sorumlusu veya
veri işleyen ve uygun olması hâlinde
bunların temsilcileri tarafından hazır
bulundurulması gerekmektedir.
» MAKALE
Kişisel veri işleme faaliyetlerinin kaydına yönelik
yükümlülük doğrudan hesap verilebilirliğin
sağlanması için öngörülmüş bir düzenlemedir.
Nitekim gerçekleştirilen faaliyetlerin
belgelendirilmesi ve kaydedilmesi ile mevzuata
uygun hareket edildiği ispatlanabilmekte ve
düzenleyici otoritelerin veri işleme faaliyetlerinin
hukuka uygunluğunu denetlemesine imkân
sağlanmaktadır (Giakoumopoulos ve diğerleri,
2018).
3. Veri Koruma Etki Değerlendirmesi
Veri işleme faaliyetleri, nitelikleri gereği
kişi haklarına karşı risk oluşturmaktadırlar.
Kişisel verilerin kaybolmaları, yetkisiz
kişilere açıklanabilmeleri veya hukuka aykırı
işlenebilmeleri mümkündür. Haliyle veri
işlemenin doğası ve kapsamına bağlı olarak
bu riskler değişkenlik göstermektedir. Örneğin
hassas verilerin işlendiği geniş kapsamlı bir
veri işleme faaliyeti, küçük bir şirket tarafından
şirket çalışanlarına ait adres ve şahsi telefon
numarası verilerinin işlenmesine oranla daha
yüksek bir risk taşıyacaktır (Giakoumopoulos ve
diğerleri, 2018).
Yeni teknolojilerin ortaya çıkışı ve veri işlemenin
gittikçe karmaşık bir hal alıyor oluşu nedeniyle,
veri sorumlularının kişisel veri işleme faaliyetine
başlamadan önce gerçekleştirilmesi amaçlanan
kişisel veri işleme faaliyetinin olası etkilerini
irdeleyerek bu tür risklerin üzerine eğilmeleri
gerekmektedir. Bu sayede kuruluşlar söz
konusu riskleri önceden gereği gibi tespit etme,
irdeleme ve hafifletme imkânı bulabileceği gibi,
veri işleme faaliyetinin kişiler üzerinde olumsuz
bir etki yaratma olasılığı da belirgin ölçüde
sınırlandırılmış olacaktır (Giakoumopoulos ve
diğerleri, 2018). Buradan hareketle GVKT’nin 35
inci maddesinin birinci fıkrası uyarınca bilhassa
yeni teknolojilerin kullanıldığı bir veri işleme
faaliyetinin (işlemenin mahiyeti, kapsamı, içeriği
ve amacı göz önünde bulundurulmak suretiyle)
ilgili kişilerin temel hak ve özgürlükleri üzerinde
yüksek risk oluşturma ihtimalinin bulunması
hâlinde veri sorumlusu, hayata geçirilmeden
önce tasarlanan faaliyetin ilgili kişilerin kişisel
verileri üzerinde yaratabileceği etkilere yönelik
bir değerlendirme yapmakla yükümlü kılınmıştır.
Veri koruma etki değerlendirmesi, işleme
faaliyetinin sistematik ve kapsamlı bir şekilde
analiz edilmesine ve veri koruma risklerinin
belirlenerek en aza indirilmesine yardımcı
olmaktadır (ICO, 2023d).
Veri koruma etki değerlendirmesi, veri
sorumlularının GVKT gerekliliklerine uymalarına
yardımcı olmakla kalmayıp aynı zamanda Tüzük
ile uyumu sağlamak için uygun önlemlerin
alındığını ispatlamalarına da yardımcı
olduğundan, önemli bir hesap verilebilirlik
aracı olarak addedilmektedir (Madde 29
Çalışma Grubu, 2017). Belirtmek gerekir ki
veri koruma etki değerlendirmesinin doğru
şekilde uygulandığından bahsedebilmesi
için sürekli olarak gözden geçirilmesi ve
düzenli olarak yeniden değerlendirilmesi
gerekmektedir. Nitekim Madde 29 Çalışma
Grubunun da vurguladığı üzere mevcut
durumda bir veri koruma etki değerlendirmesi
yapılmasının gerekli görülmediği hâllerde
dahi, veri sorumlusunun gelecekte genel
hesap verilebilirlik yükümlülüğü kapsamında
veri koruma etki değerlendirmesi yapma
zorunluluğu ortaya çıkabilecektir (Madde 29
Çalışma Grubu, 2017).
Tüzüğün 35 inci maddesinin birinci ve
onuncu fıkraları ile 90 ve 93 numaralı
resitallerinde vurgulandığı üzere veri
koruma etki değerlendirmesinin işleme
faaliyeti gerçekleştirilmeden önce yapılması
gerekmekte olup bu durum tasarımda
mahremiyet ve varsayılan mahremiyet ilkeleri
ile tutarlılık göstermektedir. Veri koruma etki
değerlendirmesinin işleme faaliyetine yönelik
karar oluşturma sürecine yardımcı bir araç
olarak görülmesi gerekmektedir. Veri koruma
etki değerlendirmesini yapmakla yükümlü
tarafın kim olduğu hususunda ise Tüzüğün
35 inci maddesinin ikinci fıkrasında veri
sorumlusunun veri koruma etki analizinin
41 40
» KVKK Bülten Eylül 2023
-- 21 of 25 --
yapılması noktasında sorumlu olduğu
ifade edilmiş, ancak veri sorumlusu
bizzat söz konusu değerlendirmeyi
kendisi yapmakla yükümlü kılınmamıştır.
Nitekim veri sorumlusunun söz konusu
değerlendirmeyi organizasyon içinde
veya dışında bir başka tarafa yaptırma
imkânı mevcuttur. Öte yandan her
hâlde veri sorumlusu bu hususta hesap
verilebilir olmakla yükümlüdür (Madde
29 Çalışma Grubu, 2017).
Veri koruma etki değerlendirmesinin
gerektiği hallerde veri sorumluları,
işlemenin gerekliliği ve ölçülülüğü ile
bireylerin hakları üzerinde oluşabilecek
muhtemel riskleri belirlemelidir.
Bununla birlikte veri koruma etki
değerlendirmesinin tespit edilen risklerin
önüne geçmek için planlanan güvenlik
önlemlerini de içermesi gerekmektedir.
Değerlendirmeyi takiben veri işlemenin
bireylerin hakları üzerinde yüksek risk
oluşturacağının ve riski azaltmak için
herhangi bir tedbir alınmadığının ortaya
çıkması hâlinde, veri sorumlusunun veri
işleme faaliyetine başlamadan önce
ilgili düzenleyici otoriteye başvurması
gerekecektir (Giakoumopoulos ve
diğerleri, 2018).
Bununla birlikte Madde 29
Çalışma Grubu, veri koruma etki
değerlendirmesinin veri koruma
mevzuatına uyumluluk yönünden
yararlı bir araç niteliğini haiz olması
sebebiyle, değerlendirmenin gerekli olup
olmadığının netleştirilemediği hallerde
dahi yapılmasını önermektedir (Madde
29 Çalışma Grubu, 2017).
4. Veri Koruma Görevlisi
Veri koruma görevlisi, bir şirket veya
kuruluşta görev alan ve görev aldığı
şirket veya kuruluşun yürürlükteki
mevzuata uygun biçimde kişisel verileri
korumasını sağlamakla vazifelendirilmiş
kişidir (EDPB, TY) GVKT’nin 37 nci
maddesinin birinci fıkrası uyarınca;
» Yargı yetkisi dahilinde hareket eden
mahkemeler hariç olmak üzere kamu
kurum ve kuruluşlarında gerçekleştirilen
veri işleme faaliyetleri,
» Veri sorumlusu veya veri işleyenin
temel faaliyetlerinin, mahiyeti ve/veya
amaçları gereği ilgili kişilerin düzenli
ve sistematik bir şekilde geniş ölçüde
izlendiği faaliyetlerden oluşması,
» Veri sorumlusu veya veri işleyenin temel
faaliyetlerinin geniş ölçüde GVKT’nin
9 uncu maddesinde düzenlenen özel
nitelikli kişisel verileri veya Tüzüğün 10
uncu maddesinde düzenlenen cezai
hüküm veya suçları içeren veri işleme
faaliyetlerinden oluşması, hâllerinden
birinin varlığı hâlinde veri sorumlusu
veya veri işleyen, veri koruma görevlisi
atamakla yükümlüdür.
Veri koruma görevlisi atama
yükümlülüğünün getirilmesi ile
organizasyonların faaliyetlerini Tüzüğe
uygun biçimde gerçekleştirmeleri, bu
faaliyetler kapsamında kişisel verilerin
korunmasına ilişkin görüş ve önerilerin
oluşturulması, hesap verilebilirliğin
sağlanması ve Tüzükte öngörülen
veri koruma ilkelerine işlevsellik
kazandırılması amaçlanmıştır (Turan,
2021).
Veri koruma görevlileri bağımsız bir
konumda görev almaktadırlar. Nitekim
GVKT’nin 38 inci maddesinin üçüncü
fıkrası uyarınca veri koruma görevlilerine
gerçekleştirdikleri faaliyete ilişkin
talimat verilemez veya faaliyetlerine
ilişkin olarak kendisine işten çıkarma da
dahil olmak üzere yaptırım uygulanamaz.
Madde 29 — başlanmıştır (Dülger ve Kahraman, 2021).
veri aktarımında kullanılan bağlayıcı şirket
kurallarının denetim, eğitim programları,
gelen şikayetlerin ele alınmasına
yönelik sistemlerin kurulması gibi
yollarla veri koruma ilkelerinin etkin hâle
getirilmesi amacıyla tasarlanmış, çok
uluslu organizasyonlarca düzenlenerek
uygulamaya konulan kurallar olduğunu ve
hesap verilebilirlik ilkesinin bir yansıması
olduğunu ifade etmektedir (Madde 29
Çalışma Grubu, 2010).
Öte yandan bağlayıcı şirket kuralları
yalnızca uluslararası veri transferlerinde
kullanılan bir araçtan ibaret olmayıp
aynı zamanda organizasyon çapında
bir mahremiyet yönetim programının
omurgası olarak da görülebilmektedirler.
Bu nedenle Genel Veri Koruma
Tüzüğünde bu araca açıkça yer verilmiş
olması, hesap verilebilirlik ilkesine
katkıda bulunulması, hukuki kesinliğin
sağlanması ve işletmelerin gereksiz
yükten kurtarılmasına yardımcı olunması
noktasında memnuniyetle karşılanan bir
gelişme olarak görülmüştür (Bowman ve
Gufflet, 2017).
Uluslararası grup şirketlerince Tüzüğe
uygun şekilde hazırlanan ve onaylatılan
bağlayıcı şirket kuralları, şirket
bünyesinde yer alan kuruluşların tamamı
için bağlayıcı niteliği haiz olup söz konusu
kuruluşlar arasında Tüzüğe uygun serbest
veri akışını sağlamaktadır. Bu sayede grup
şirketleri bünyesindeki tüm kuruluşların
yeknesak bir veri koruma politikası
oluşmakta ve Tüzüğe uyum süreci daha
kolay hâle gelmektedir. Buna ek olarak
bağlayıcı şirket kurallarının, temelde grup
şirketlerinin veri yönetim politikalarını
resmileştirerek yayınlaması anlamına
gelmesi ve Tüzüğe uyum noktasında
bir ispat aracı olarak da kullanılabilmesi
yönleri ile hesap verilebilirlik ilkesine
uygunluğun sağlanmasına hizmet ettiğini
söylemek mümkün olacaktır (Toparlak,
2021).
» MAKALE
7. Sertifikasyon
GVKT kapsamında sertifikasyon, düzenleyici
otorite veya düzenleyici otoritenin akredite
ettiği bir başka tarafa gönüllü olarak başvuruda
bulunan bir organizasyonun değerlendirilerek
kişisel verilerin korunması alanında gerekli
tedbirleri aldığının belgelendirmesidir. Diğer bir
deyişle sertifikasyon, organizasyonların başka
organizasyonlara, bireylere ve düzenleyici
otoritelere kişisel verilerin korunmasına yönelik
gerekli tedbirleri aldıklarını ispatlamalarına
imkân tanıyan bir hesap verilebilirlik aracıdır (An
Coimisiún um Chosaint Sonraí, 2020).
Sertifikasyonun kapsamı oldukça genel ve
çeşitli ürün, süreç ve servislere ilişkin olabileceği
gibi bir dijital kasada bulunan kişisel verilerin
güvenli şekilde saklanması ve korunması gibi
oldukça spesifik bir hususa ilişkin de olabilecektir.
Sertifikasyon, veri sorumlusu veya veri işleyenin
bir ürün, işlem veya servis kapsamında
gerçekleştirdiği belirli bir veri işleme faaliyetine
ilişkindir. Söz konusu faaliyet yetkili sertifikasyon
organı tarafından sertifikasyon kriterlerine
göre değerlendirilmektedir. Belirtmek gerekir ki
sertifikasyon yalnızca veri sorumluları ile veri
işleyenlere yönelik bir uygulama olup bu kapsama
girmeyen tarafların, örneğin veri koruma
görevlilerinin, sertifikalandırılması mümkün
değildir (An Coimisiún um Chosaint Sonraí, 2020).
ICO, sertifikasyonun aynı zamanda GVKT’de
öngörülen tasarımda mahremiyet ve varsayılan
mahremiyet hükümlerine uygun hareket
edildiğini ve veri güvenliğinin sağlanması
noktasında gerekli teknik ve idari tedbirlerin
alındığını ispatlayan ve kişisel verilerin üçüncü
ülkelere veya uluslararası organizasyonlara
aktarımına destek sağlayan bir araç olduğunu
ifade etmektedir (ICO, 2023a). Nitekim GVKT’nin
42 nci maddesinin ikinci fıkrası, Tüzüğe tâbi
olmayan veri sorumluları ile veri işleyenlerin,
uluslararası kişisel veri aktarımlarında uygun
güvenlik önlemlerine sahip olduklarını ispatlama
amacıyla sertifikasyondan faydalanabilmelerine
imkân tanımaktadır. Buna ek olarak Tüzüğün 100
numaralı resitalinde; şeffaflığı ve Tüzüğe uyumu
artırmak için ilgili kişilerin ürün ve hizmetlerin veri
koruma düzeylerini rahatça değerlendirmelerine
imkân tanıyan sertifikasyon mekanizmaları ile
veri koruma mühür ve işaretlerinin kullanımının
teşvik edilmesi gerektiği ifade edilerek
sertifikasyon mekanizmalarının aynı zamanda
şeffaflığın sağlanması amacıyla kullanılabilecek
bir araç olduğu da açıkça vurgulanmıştır.
SONUÇ
95/46/EC sayılı Direktifin yürürlükte olduğu
dönemde mevcut bulunan somut önlem ve
uygulamalar ekseninde Avrupa Birliği veri koruma
hukukuna hâkim ilke ve yükümlülüklerin çoğu
zaman yetersiz derecede yansıtıldığı düşüncesiyle
veri koruma alanında teoriden pratiğe doğru
bir yönelime ve hukuki gerekliliklerin gerçek veri
koruma önlemlerine dönüştürülmesine ihtiyaç
duyulduğu anlaşılmıştır. Bunun sağlanabilmesi
için Avrupa Birliği’nin veri koruma alanındaki
yasal çerçevesinin ek mekanizmalara gereksinim
duyduğu sonucuna varılmış, hem Avrupa Birliği
nezdinde hem de küresel ölçekte veri korumaya
ilişkin yasal çerçevenin geleceğine yönelik
tartışmalarda merkezine hesap verilebilirliği alan
mekanizmaların veri sorumlularını etkin kişisel
veri koruma araçlarını uygulamaya koymaya
teşvik edeceği fikri ortaya atılmıştır (Madde
29 Çalışma Grubu, 2010). Böylece Direktifin
yerini alan GVKT’de veri sorumlularının hesap
verilebilirliğini sağlamaya yönelik muhtelif hesap
verilebilirlik araçları ortaya konmuştur.
GVKT’de öngörülen tasarımda mahremiyet
ve varsayılan mahremiyet yaklaşımları, veri
sorumlusunun kişisel veri işleme faaliyetlerine
ilişkin kayıt tutma yükümlülüğü, veri koruma etki
değerlendirmesi, veri koruma görevlisi atama
yükümlülüğü, davranış kuralları, bağlayıcı şirket
kuralları, sertifikasyon düzenlemeleri ile birlikte,
sürekli büyüyen kişisel verilerin korunması
alanında veri sorumlularına mevzuata uyum
noktasında pratik araçlar sunulmuş ve veri
koruma otoritelerinin denetim noktasında yükleri
azalmış olup (Kaya, 2020) uyumun ispatının veri
sorumlusuna yüklenmesiyle devlet tarafından
denetleme unsuru geri plana atılarak sorumluluk
veri sorumlusuna verilmiştir (Çekin 2018).
45 44
» KVKK Bülten Eylül 2023
-- 23 of 25 --
» KAYNAKLAR
KAYNAKLAR
Agencia Española de Protección de Datos. (2019). A Guide To Privacy By Design,
https://www.aepd.es/sites/default/files/2019-12/guia-privacidad-desde-diseno_
en.pdf adresinden alınmıştır.
An Coimisiún um Chosaint Sonraí. (2020). GDPR Certification, https://www.
dataprotection.ie/en/organisations/gdpr-certification adresinden alınmıştır.
Article 29 Working Party. (2017). Guidelines On Data Protection Impact Assessment
(DPIA) And Determining Whether Processing Is “Likely To Result In A High Risk” For
The Purposes Of Regulation 2016/679, https://ec.europa.eu/newsroom/article29/
items/611236 adresinden alınmıştır.
Article 29 Working Party. (2010). Opinion 3/2010 On The Principle Of
Accountability, https://ec.europa.eu/justice/article-29/documentation/opinion-
recommendation/files/2010/wp173_en.pdf adresinden alınmıştır.
Bowman, J., Gufflet, M. (2017). Meeting the Challenge of a Global GDPR and BCR
Programme, European Data Protection Law Review, 3(2), 257-261.
Cavoukian, A. (2011). Privacy By Design The 7 Foundational Principles
Implementation And Mapping Of Fair Information Practices, https://oarc.duke.
edu/sites/default/files/documents/Privacy%20by%20Design%20-%207%20
Foundational%20Principles.pdf adresinden alınmıştır.
Çekin, M. S. (2018). Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel
Verilerin Korunması Kanunu. İstanbul: On İki Levha Yayıncılık.
Dülger, M. V., Kahraman, C. C. (2021) KVKK’dan Kişisel Verilerin Yurt Dışına
Aktarımında Önemli Bir Adım: Bağlayıcı Şirket Kuralları, https://www.researchgate.
net/publication/349553129_KVKK’dan_Kisisel_Verilerin_Yurt_DiDisi_AktariminAk_
Onemli_Bir_Adim_Baglayici_Sirket_Kurallari adresinden alınmıştır.
EDPB. (2020). Guidelines 4/2019 on Article 25 Data Protection by Design
and by Default, https://edpb.europa.eu/sites/default/files/files/file1/edpb_
guidelines_201904_dataprotection_bb_design_and_by_default_v2.0_en.pdf
adresinden alınmıştır.
EDPB. (2019). Guidelines 1/2019 On Codes Of Conduct And Monitoring Bodies
Under Regulation 2016/679, https://edpb.europa.eu/our-work-tools/our-
documents/guidelines/guidelines-12019-codes-conduct-and-monitoring-
bodies-0_en adresinden alınmıştır.
EDPB. (TY). “Data Protection Officer (DPO)”, https://edps.europa.eu/data-protection/
data-protection/reference-library/data-protection-officer-dpo_en adresinden alınmıştır.
Giakoumopoulos, C., Buttarelli, G., O’Fiaherty, M. (2018). Handbook On European
Data Protection Law 2018 Edition, https://iapp.org/media/pdf/knowledge_center/
Handbook_european_data_protection_02ENG.ppd adresinden alınmıştır.
Kaya, M. B. (2020). Kişisel Verilerin Korunmasında Yeni Paradigma: Hesap
Verebilirlik İlkesi, İstanbul Hukuk Mecmuası, 78(4), 1859-1897.
Korff, D., Georges, M. (2019). The DPO Handbook Guidance For Data Protection
Officers In The Public And Quasi‐Public Sectors On How To Ensure Compliance
With The European Union General Data Protection Regulation, https://papers.ssrn.
com/sol3/papers.cfm?abstract_id=3428957 adresinden alınmıştır.
ICO. (2023a). Certification, https://ico.org.uk/for-organisations/guide-to-
data-protection/guide-to-the-general-data-protection-regulation-gdpr/
accountability-and-governance/certification/ adresinden alınmıştır.
ICO. (2023b). Codes Of Conduct, https://ico.org.uk/for-organisations/guide-
to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/
accountability-and-governance/codes-of-conduct/ adresinden alınmıştır.
ICO. (2023c). Data Protection By Design And Default, https://ico.org.uk/for-
organisations/guide-to-data-protection/guide-to-the-general-data-protection-
regulation-gdpr/accountability-and-governance/data-protection-by-design-
and-default/ adresinden alınmıştır.
ICO. (2023d). Data Protection Impact Assessments”, https://ico.org.uk/for-
organisations/guide-to-data-protection/guide-to-the-general-data-protection-
regulation-gdpr/accountability-and-governance/data-protection-impact-
assessments/ adresinden alınmıştır.
Toparlak, R. T. (2021) Genel Veri Koruma Tüzüğünde Bağlayıcı Şirket Kuralları:
Avrupa Birliği Hukukunda Uygulama, Yüksek Lisans Tezi, Türk-Alman Üniversitesi
Sosyal Bilimler Enstitüsü, İstanbul.
Turan, M. (2021). Karşılaştırmalı Hukukta Kişisel Verilerin Korunması, Ankara:
Seçkin Yayıncılık.
47 46
» KVKK Bülten Eylül 2023
-- 24 of 25 --
-- 25 of 25 --
