Madde 28 - İşleyici

  1. Bir kontrolör adına bir işleme faaliyetinin gerçekleştirilmesinin gerektiği hallerde, kontrolör ancak işleme faaliyetinin bu Tüzük’ün gerekliliklerinin yerine getirilmesini ve veri sahibinin haklarının korunmasını sağlayacak biçimde uygun teknik ve düzenlemeye ilişkin tedbirler uygulama hususunda yeterli güvenceler sağlayan işleyiciler kullanır.
  2. İşleyici kontrolörün önceden verdiği spesifik veya genel yazılı onay olmaksızın başka bir işleyiciyle çalışamaz. Genel yazılı onay halinde, işleyici diğer işleyicilerin eklenmesi veya değiştirilmesi ile ilgili planlanan değişiklikler hususunda kontrolörü bilgilendirerek kontrolöre söz konusu değişikliklere itiraz etme olanağı tanır.
  3. Bir işleyici tarafından işleme faaliyeti gerçekleştirilmesi Birlik veya üye devlet hukuku çerçevesinde düzenlenen, kontrolör ile ilgili olarak işleyici açısından bağlayıcı olan ve işleme faaliyetinin konusu ve süresi, işleme faaliyetinin mahiyeti ve amacı, kişisel verilerin türü ve veri sahiplerinin kategorileri ile kontrolörün yükümlülükleri ve haklarının ortaya konduğu bir sözleşme veya diğer hukuki tasarruflar ile düzenlenir. Söz konusu sözleşme veya diğer hukuki tasarruflarda özellikle işleyicinin şunları yapacağı belirtilir:
    1. işleyicinin tabi olduğu Birlik veya üye devlet hukuku çerçevesinde bu yönde bir gereklilik bulunmaması halinde, üçüncü bir ülkeye veya uluslararası bir kuruluşa kişisel veri aktarımları ile ilgili olanlar da dahil olmak üzere yalnızca kontrolörün verdiği belgelendirilmiş talimatlar doğrultusunda kişisel verilerin işlenmesi; bu durumda, kanunlar çerçevesinde söz konusu bilgilendirmenin önemli kamu yararı gerekçeleriyle yasaklanmaması halinde, işleyici kontrolörü işleme faaliyetinden önce bu yasal gereksinimden haberdar eder;
    2. kişisel verileri işleme yetkisi bulunan kişilerin gizlilik taahhüdünde bulunmasının veya uygun bir yasal gizlilik yükümlülüğü altında bulunmasının sağlanması;
    3. 32. madde uyarınca gerekli tüm tedbirlerin alınması;
    4. başka bir işleyiciyle çalışılması amacıyla 2 ve 4. paragraflarda atıfta bulunulan koşullara riayet edilmesi;
    5. işleme faaliyetinin mahiyetinin dikkate alınması suretiyle, kontrolörün veri sahibinin Bölüm III’te belirtilen haklarının kullanımına ilişkin taleplere yanıt verme yükümlülüğünün yerine getirilmesine yönelik olarak, uygun teknik ve düzenlemeye ilişkin tedbirler vasıtasıyla, kontrolöre mümkün olduğunca yardımcı olunması;
    6. işleme faaliyetinin mahiyeti ve işleyiciye sağlanan bilgilerin dikkate alınması suretiyle, 32 ila 36. maddeler uyarınca yükümlülüklere uygun hareket edilmesinin sağlanmasında kontrolöre yardımcı olunması;
    7. kontrolörün tercihi üzerine, işleme faaliyeti ile ilgili hizmetlerin sağlanmasından sonra tüm kişisel verilerin silinmesi veya kontrolöre iade edilmesi ve, Birlik ya da üye devlet hukuku çerçevesinde kişisel verilerin saklanmasının gerekli olmaması durumunda, mevcut nüshaların silinmesi;
    8. bu maddede ortaya konan yükümlülüklere uygunluğun gösterilmesi için gereken tüm bilgilerin kontrolöre sağlanması ve teftişler de dahil olmak üzere kontrolör tarafından ya da kontrolörce yetkilendirilen başka bir denetçi tarafından gerçekleştirilen denetimlere izin verilmesi ve katkıda bulunulması.
    İlk alt paragrafın (h) bendi ile ilgili olarak, kendi görüşüne göre bir talimatın bu Tüzük veya Birlik ya da üye devletin diğer veri koruma hükümlerini ihlal etmesi durumunda, kontrolörü ivedilikle bilgilendirir.
  4. Bir işleyicinin kontrolör adına spesifik işleme faaliyetlerinin gerçekleştirilmesine yönelik olarak başka bir işleyici ile çalıştığı durumlarda, 3. paragrafta atıfta bulunulduğu üzere kontrolör ve işleyici arasındaki sözleşme veya başka bir hukuki tasarrufta ortaya konan veri koruma yükümlülükleri özellikle işleme faaliyetinin bu Tüzük’ün gerekliliklerinin yerine getirilmesini sağlayacak şekilde uygun teknik ve düzenlemeye ilişkin tedbirlerin uygulanması amacı ile yeterli teminatlar sağlayan bir sözleşme ya da Birlik veya üye devlet hukuku kapsamındaki başka bir hukuki tasarruf yoluyla diğer işleyici açısından da uygulanır. Diğer işleyicinin veri koruma yükümlülüklerini yerine getiremediği hallerde, ilk işleyici diğer işleyicinin yükümlülüklerinin ifası konusunda kontrolöre karşı tam yükümlülük sahibi olmaya devam eder.
  5. Bir işleyicinin 40. maddede atıfta bulunulan onaylı davranış kuralları veya 42. maddede atıfta bulunulan onaylı belgelendirme mekanizmalarına uygun hareket etmesi bu maddenin 1 ve 4. paragraflarında atıfta bulunulan yeterli teminatların gösterilmesine ilişkin bir unsur olarak kullanılabilir.
  6. Kontrolör ve işleyici arasındaki bireysel bir sözleşmeye halel gelmeksizin, bu maddenin 3 ve 4. paragraflarında atıfta bulunulan sözleşme ya da başka bir hukuki tasarruf, 42 ve 43. maddeler uyarınca kontrolör veya işleyiciye sağlanan bir belgelendirmenin parçası olmaları durumu da dahil olmak üzere, tamamen veya kısmen, bu maddenin 7 ve 8. paragraflarında atıfta bulunulan standart sözleşme maddelerine dayanabilir.
  7. Komisyon bu maddenin 3 ve 4. paragraflarında atıfta bulunulan hususlara yönelik olarak ve 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca standart sözleşme maddeleri oluşturabilir.
  8. Bir denetim makamı bu maddenin 3 ve 4. paragraflarında atıfta bulunulan hususlara yönelik olarak ve 63. maddede atıfta bulunulan tutarlık mekanizması uyarınca standart sözleşme maddeleri kabul edebilir.
  9. 3 ve 4. paragraflarda atıfta bulunulan sözleşme veya diğer hukuki tasarruflar elektronik format da dahil olmak üzere yazılı olarak hazırlanır.
  10. 82, 83 ve 84. maddelere halel gelmeksizin, bir işleyicinin işleme amaçları ve yöntemlerini belirleyerek bu Tüzük’ü ihlal etmesi durumunda, işleyici bu işleme faaliyeti açısından bir kontrolör olarak değerlendirilir.