Research Article


DOI :10.26650/annales.2018.67.0005   IUP :10.26650/annales.2018.67.0005    Full Text (PDF)

Overview of the Definitons of Data Controller and Data Processor within the Scope of The Turkish Code of Personal Data Protection (TCDP)

Cüneyt Pekmez

The definition of data controller based on TCDP Art. 3: (ı). The definition of controller within the TCDP requires four main elements; 1) the data processing, 2) determining the purposes and means of the processing of personal data, 3) the natural or legal person, 4) alone or jointly with others. For secondary elements, the provision TCDP Art. 3(ı) seemingly entails two elements within the determination of data controller. The first element is to determine the purpose and means of processing personal data, the second is to establish and manage the data registry system. The first and second elements should not exist cumulatively. In fact, the first element contains all the constitutents of the second element that were implied in TCDP Art. 3 (ı), since the establishment of a personal data registry system requires a determination of the means of collecting and recording personal data. The management of the data registry system requires the performance of one of the operation listed within the scope of the processing of personal data and can therefore be evaluated within the scope of processing personal data. Considering the definitions of data controller and processor in the TCDP, even though the data controller and the data processor are likely to be identified separately in the TCDP, a natural or legal person may have both the title of data controller and data processor. When a processor deviates from the instructions of a controller, the processor becomes the “de facto” controller. This embraces those cases where the processor doesn’t act on behalf of the controller, rather acts on his/her own behalf. In this context, there will be two separate data controllers. Although the TCDP does not explicitly refer to it, the “de facto” data controller should also be allocated the responsibilities and obligations of the “legal” data controller in the TCDP. 

DOI :10.26650/annales.2018.67.0005   IUP :10.26650/annales.2018.67.0005    Full Text (PDF)

Kişisel Verilerin Korunması Kanunu Kapsamında Veri Işleyen ve Veri Sorumlusu Kavramı Üzerine Değerlendirme

Cüneyt Pekmez

Kişisel Verilerin Korunması Kanunu (KVKK) m.3 (ı) de tanımlanan veri sorumlusu kavramı 4 ana unsurun mevcudiyetinin incelenmesini gerektirmektedir. 1) veri işleme 2) veri işleme araç ve amacının belirlenmesi 3) gerçek veya tüzel kişi 4) birlikte veya yalnız veri sorumlusu. İkinci unsur bakımından KVKK m. 3 (ı) görünürde iki unsurun varlığını gerektirmektedir. İlk unsur kişisel verinin işlenmesinin amaç ve aracının belirlenmesi, ikinci unsur ise veri kayıt sisteminin kurulması ve yönetilmesidir. Bu ikinci unsur, ilk unsurdan farklı, onunla birlikte aranması gereken bir unsur olarak değerlendirilmemelidir. Bu ikinci unsur ilk unsurun içerisinde değerlendirilmelidir. Çünkü veri kayıt sisteminin kurulması kişisel verilerin toplanması ve kaydedilmesi aracının belirlenmesini gerektirir. Veri kayıt sisteminin yönetilmesi ise kişisel verilerin işlenmesi çatısı altında belirtilen işlemlerden en az birinin varlığını gerektirir. Dolayısıyla bu ikinci unsura veri sorumlusu tanımı bakımından gerek yoktur. KVKK’ da yer alan veri sorumlusu ve veri işleyen tanımları göz önüne alındığında veri sorumlusu ve veri işleyen ayrı iki kişi olarak görülebilse dahi, bir gerçek veya tüzel kişi hem veri sorumlusu hem de veri işleyen sıfatına sahip olabilir. Veri işleyen veri sorumlusunun talimatlarından ayrıldığı ve kendi adına veri işleme araç ve amacını belirlediği andan itibaren artık fiili veri sorumlusu niteliğini haiz olacaktır. Bu kapsamda iki ayrı veri sorumlusu ortaya çıkacaktır. KVKK açıkça bu duruma işaret etmemiş olsa dahi, fiili veri sorumlusunun varlığını kabul etmek ve KVKK’da öngörülen veri sorumlusunun yükümlülüklerine tabi olduğunu belirtmek gerekir. 



PDF View

References

  • Article 29 Data Protection Working Party, “Opinion 1/2010 on the concepts of “controller” and “processor”, 2010. google scholar
  • (http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm00264/10/EN WP 169 Opinion 1/2010 on the concepts of “controller” and “processor”) Ayözger, A. Çiğdem: Kişisel Verilerin Korunması, Beta, İstanbul, 2016. google scholar
  • Korkmaz, İbrahim: “Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme”, TBB 2016/214, pp. 82-152. google scholar
  • Brick, Stefan / Wolff, Heinrich: Amadeus BeckOK Datenschutzrecht, 27. Ed. München, 2019. google scholar
  • Develioğlu, Hüseyin Murat: 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Karşılaştırmalı Olarak Avrupa Birliği Genel Veri Koruma Tüzüğü uyarınca Kişisel Verilerin Korunması Hukuku, On İki Levha, İstanbul, 2017. google scholar
  • Jürgen, Hartung/ Büttgen, Lisa: “Die Auftragsverarbeitung nach der DS-GVO”, DuD 2017/9, pp. 550-551. google scholar
  • Kühling Jürgen / Bunchner, Benedikt: Datenschutz-Grundverodnung/ BDSG, 2. Aufl, München, 2018. google scholar
  • Küzeci, Elif: Kişisel Verilerin Korunması, 3. Baskı, Turhan, Ankara, 2019. KVKK: Data Protection in Turkey, Ankara. google scholar
  • Memiş, Tekin: “Veri Sorumlusu ve Veri İşleyen Arasındaki İlişkiler ve Sorumluluk Düzeni”, BÜHFD, 2017/ 6, pp. 9-24. google scholar
  • Christopher, Modschein/ Cosimo, Monda: “EU’s General Data Protection Regulation (GDPR) in a Research Context”, Fundemantals of Clinical Data Science, Springer, 2019, pp. 55-74. google scholar
  • Gürpınar, Damla: “Kişisel Verilerin Korunamamasından Doğan Hukuki Sorumluluk”, DEÜHFD, 2017/ Special Issue, pp. 679-694. google scholar
  • Gürsel, İlke: “Protection of Personal Data in International Law and The General Aspects of Turkish Data Protection Law”, DEUHD, 2016/1, pp. 33-61. google scholar
  • IT Governance Privacy Team: Eu General Data Protection Regulation –An Implementation and Compliance Guide, 2. Ed., 2017. google scholar
  • Seiter, Stefan: “Auftragsverarbeitung nach der Datenschutz-Grundverordnung” DuD 2019/3, pp. 127-133. google scholar
  • Thorsten Heermann: EUGH: Gemeinsame Verantwortung für den Datenschutz bei FacebookFanpages” ZD-Aktuell 2018/11, 06176. google scholar
  • Voight, Paul/ Alich, Stefan: “Facebook-Like-Button und Co. – Datenschutzrechtliche Verantwortlichkeit der Webseitenbetreiber”, NJW 2011/ 49. google scholar
  • Vois, W. Gregory: “European Union Data Privacy Law Reform: General Data Protection Reguation, Privacy Shield, and the Right to Delisting”, The Business Lawyer, 2016-2017/ 72, pp. 221-233. google scholar
  • Yücedağ, Nafiye: “Medeni Hukuk Açısından Kişisel Verilerin Korunması Kanunu’nun Uygulama Alanı ve Genel Hukuka Uygunluk Sebepleri”, İÜHFM, 2017/2, pp. 765-790. google scholar
  • Yücedağ, Nafiye: “Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler”, Kişisel Verileri Koruma Dergisi 2019/1, pp. 47-63. google scholar

Citations

Copy and paste a formatted citation or use one of the options to export in your chosen format


EXPORT



APA

Pekmez, C. (0001). Overview of the Definitons of Data Controller and Data Processor within the Scope of The Turkish Code of Personal Data Protection (TCDP). Annales de la Faculté de Droit d’Istanbul, 0(67), 59-71. https://doi.org/10.26650/annales.2018.67.0005


AMA

Pekmez C. Overview of the Definitons of Data Controller and Data Processor within the Scope of The Turkish Code of Personal Data Protection (TCDP). Annales de la Faculté de Droit d’Istanbul. 0001;0(67):59-71. https://doi.org/10.26650/annales.2018.67.0005


ABNT

Pekmez, C. Overview of the Definitons of Data Controller and Data Processor within the Scope of The Turkish Code of Personal Data Protection (TCDP). Annales de la Faculté de Droit d’Istanbul, [Publisher Location], v. 0, n. 67, p. 59-71, 0001.


Chicago: Author-Date Style

Pekmez, Cüneyt,. 0001. “Overview of the Definitons of Data Controller and Data Processor within the Scope of The Turkish Code of Personal Data Protection (TCDP).” Annales de la Faculté de Droit d’Istanbul 0, no. 67: 59-71. https://doi.org/10.26650/annales.2018.67.0005


Chicago: Humanities Style

Pekmez, Cüneyt,. Overview of the Definitons of Data Controller and Data Processor within the Scope of The Turkish Code of Personal Data Protection (TCDP).” Annales de la Faculté de Droit d’Istanbul 0, no. 67 (Dec. 2024): 59-71. https://doi.org/10.26650/annales.2018.67.0005


Harvard: Australian Style

Pekmez, C 0001, 'Overview of the Definitons of Data Controller and Data Processor within the Scope of The Turkish Code of Personal Data Protection (TCDP)', Annales de la Faculté de Droit d’Istanbul, vol. 0, no. 67, pp. 59-71, viewed 23 Dec. 2024, https://doi.org/10.26650/annales.2018.67.0005


Harvard: Author-Date Style

Pekmez, C. (0001) ‘Overview of the Definitons of Data Controller and Data Processor within the Scope of The Turkish Code of Personal Data Protection (TCDP)’, Annales de la Faculté de Droit d’Istanbul, 0(67), pp. 59-71. https://doi.org/10.26650/annales.2018.67.0005 (23 Dec. 2024).


MLA

Pekmez, Cüneyt,. Overview of the Definitons of Data Controller and Data Processor within the Scope of The Turkish Code of Personal Data Protection (TCDP).” Annales de la Faculté de Droit d’Istanbul, vol. 0, no. 67, 0001, pp. 59-71. [Database Container], https://doi.org/10.26650/annales.2018.67.0005


Vancouver

Pekmez C. Overview of the Definitons of Data Controller and Data Processor within the Scope of The Turkish Code of Personal Data Protection (TCDP). Annales de la Faculté de Droit d’Istanbul [Internet]. 23 Dec. 2024 [cited 23 Dec. 2024];0(67):59-71. Available from: https://doi.org/10.26650/annales.2018.67.0005 doi: 10.26650/annales.2018.67.0005


ISNAD

Pekmez, Cüneyt. Overview of the Definitons of Data Controller and Data Processor within the Scope of The Turkish Code of Personal Data Protection (TCDP)”. Annales de la Faculté de Droit d’Istanbul 0/67 (Dec. 2024): 59-71. https://doi.org/10.26650/annales.2018.67.0005



TIMELINE


Submitted10.06.2019
Accepted17.08.2019

LICENCE


Attribution-NonCommercial (CC BY-NC)

This license lets others remix, tweak, and build upon your work non-commercially, and although their new works must also acknowledge you and be non-commercial, they don’t have to license their derivative works on the same terms.


SHARE




Istanbul University Press aims to contribute to the dissemination of ever growing scientific knowledge through publication of high quality scientific journals and books in accordance with the international publishing standards and ethics. Istanbul University Press follows an open access, non-commercial, scholarly publishing.