Madde 4 - Tanımlar

Bu Tüzük’ün amaçları doğrultusunda, aşağıdaki tanımlar geçerlidir:

  1. ‘kişisel veri’ tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgidir ('veri sahibi'); tanımlanmış bir gerçek kişi özellikle bir isim, kimlik numarası, konum verileri, çevrim içi tanımlayıcı ya da söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, ruhsal, ekonomik, kültürel veya toplumsal kimliğine özgü bir ya da daha fazla sayıda faktöre atıfta bulunularak doğrudan veya dolaylı olarak tanımlanabilen bir kişidir;
  2. ‘işleme faaliyeti’, otomatik yöntemlerle olsun veya olmasın, kişisel veri veya kişisel veri setleri üzerinde gerçekleştirilen toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama veya değiştirme, elde etme, danışma, kullanma, iletim yoluyla açıklama, yayma veya kullanıma sunma, uyumlaştırma ya da birleştirme, kısıtlama, silme veya imha gibi herhangi bir işlem veya işlem dizisidir;
  3. ‘işleme kısıtlaması’ saklanan kişisel verilerin gelecekte işlenmelerinin sınırlanması amacı ile işaretlenmesidir;
  4. ‘profil çıkarma’ bir gerçek kişinin işteki performansı, ekonomik durumu, sağlığı, kişisel tercihleri, ilgi alanları, güvenilirliği, davranışları, konumu veya hareketlerine ilişkin hususların analiz edilmesi veya tahmin edilmesi başta olmak üzere söz konusu gerçek kişiye ilişkin belirli kişisel özelliklerin değerlendirilmesi için kişisel verilerin kullanımını ihtiva eden her türlü otomatik kişisel veri işleme biçimidir;
  5. ‘takma ad kullanımı’ kişisel verilerin tanımlanmış veya tanımlanabilir bir gerçek kişiyle ilişkilendirilmemesinin sağlanması amacı ile ek bilgilerin ayrı tutulması ve teknik ve düzenlemeye ilişkin tedbirlere tabi tutulması koşuluyla, kişisel verilerin söz konusu ek bilgiler kullanılmaksızın spesifik bir veri sahibiyle artık ilişkilendirilemeyecek şekilde işlenmesidir;
  6. ‘dosyalama sistemi’ işlevsel veya coğrafi bir temelde merkezi, ademi-merkezi veya dağınık olarak spesifik kriterlere göre erişilebilen yapılandırılmış herhangi bir kişisel veri dizisidir;
  7. ‘kontrolör’ yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır; söz konusu işleme amaçları ve yöntemlerinin Birlik ya da üye devlet hukukuna göre belirlenmesi durumunda, kontrolör veya kontrolörün belirlenmesine özgü kriterler Birlik ya da üye devlet hukukuna göre belirlenebilir;
  8. ‘işleyici’ kontrolör adına kişisel verileri işleyen bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır;
  9. ‘alıcı’, üçüncü bir kişi olsun veya olmasın, kişisel verilerin açıklandığı bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır. Ancak, Birlik veya üye devlet hukuku uyarınca belirli bir sorgulama çerçevesinde kişisel verileri alabilen kamu kuruluşları alıcı olarak nitelendirilmez; bu verilerin söz konusu kamu kuruluşları tarafından işlenmesi işleme amaçlarına göre geçerli veri koruma kurallarına uygun olarak yapılır;
  10. ‘üçüncü kişi’ veri sahibi, kontrolör, işleyici ve, kontrolör ya da işleyicinin doğrudan yetkisi altında, kişisel verileri işleme yetkisi bulunan kişiler haricindeki bir gerçek veya tüzel kişi, kamu kurumu, kuruluşu veya organıdır;
  11. veri sahibinin ‘rızası’ veri sahibinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık göstergedir;
  12. ‘kişisel veri ihlali’ iletilen, saklanan veya işlenen kişisel verilerin kazara veya yasa dışı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlalidir;
  13. ‘genetik veri’ bir gerçek kişinin fizyoloji veya sağlığı ile ilgili eşsiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numunenin analizinden kaynaklanan ve söz konusu kişinin kalıtım yoluyla alınan veya kazanılan özelliklerine ilişkin kişisel verilerdir;
  14. ‘biyometrik veri’ yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir;
  15. ‘sağlıkla ilgili veri’ sağlık hizmetlerinin sağlanması da dahil olmak üzere bir gerçek kişinin sağlık durumuyla ilgili bilgilerin açıklandığı, söz konusu gerçek kişinin fiziksel veya ruhsal sağlığına ilişkin kişisel verilerdir;
  16. ‘asıl kuruluş’:
    1. birden fazla üye devlette işletmesi bulunan bir kontrolör ile ilgili olarak, kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemlere yönelik kararların kontrolörün Birlik içerisindeki başka bir işletmesinde alınmaması ve bu işletmenin söz konusu kararları uygulatma yetkisinin bulunmaması durumunda (ki bunların gerçekleşmesi halinde, söz konusu kararları alan işletme asıl kuruluş olarak kabul edilir), Birlik içerisindeki merkezi idare yeridir;
    2. birden fazla üye devlette işletmesi bulunan bir işleyici ile ilgili olarak, Birlik içerisindeki merkezi idare yeri veya, işleyicinin Birlik içerisinde merkezi bir işletmesinin bulunmaması halinde, işleyicinin bir işletmesinin faaliyetleri bağlamındaki temel işleme faaliyetlerinin işleyicinin bu Tüzük kapsamındaki spesifik yükümlülüklere tabi olduğu ölçüde gerçekleştiği Birlik içerisindeki işletmesidir;
  17. ‘temsilci’ Birlik içerisinde kurulu bulunan, 27. madde uyarınca kontrolör veya işleyici tarafından yazılı olarak belirlenen, bu Tüzük kapsamındaki yükümlülükleri ile ilgili olarak kontrolör veya işleyiciyi temsil eden bir gerçek veya tüzel kişidir;
  18. ‘işletme’ düzenli olarak bir ekonomik faaliyetle iştigal eden ortaklıklar veya birlikler de dahil olmak üzere hukuki biçimine bakılmaksızın bir ekonomik faaliyetle iştigal eden bir gerçek veya tüzel kişidir;
  19. ‘teşebbüsler grubu’ bir denetleyici teşebbüs ve denetlenmiş teşebbüslerdir;
  20. ‘bağlayıcı kurumsal kurallar’ ortak bir ekonomik faaliyetle iştigal eden bir teşebbüsler grubu veya bir işletmeler grubu içerisinde bir veya daha fazla sayıda üçüncü ülkedeki bir kontrolör veya işleyiciye kişisel veri aktarımları veya aktarım dizisiyle ilgili olarak Birliğin üye devletlerinden birinin topraklarında kurulmuş olan bir kontrolör veya işleyici tarafından uyulan kişisel veri koruma politikalarıdır;
  21. ‘denetim makamı’ 51. madde uyarınca bir üye devlet tarafından kurulan bağımsız bir kamu kuruluşudur;
  22. ‘ilgili denetim makamı’ aşağıdaki sebeplerden dolayı kişisel verilerin işlenmesiyle ilgili olan bir denetim makamıdır:
    1. kontrolör veya işleyicinin söz konusu denetim makamının üye devletinin topraklarında kurulu bulunması;
    2. söz konusu denetim makamının üye devletinde ikamet eden veri sahiplerinin işleme faaliyetinden kayda değer biçimde etkilenmesi veya kayda değer biçimde etkilenme ihtimalinin bulunması veya
    3. söz konusu denetim makamına bir şikayetin iletilmesi;
  23. ‘sınır ötesi işleme’:
    1. kontrolör veya işleyicinin birden fazla üye devlette kurulu olması halinde, söz konusu kontrolör veya işleyicinin birden fazla üye devletteki işletmelerinin faaliyetleri bağlamında gerçekleşen kişisel veri işleme faaliyetidir veya
    2. bir kontrolör veya işleyicinin Birlik içerisindeki tek bir işletmesinin faaliyetleri bağlamında gerçekleşen, ancak birden fazla üye devletteki veri sahiplerini kayda değer ölçüde etkileyen veya kayda değer ölçüde etkileme ihtimali bulunan kişisel veri işleme faaliyetidir.
  24. ‘yerinde ve gerekçeli itiraz’ bir taslak karar açısından bu Tüzükle ilgili bir ihlal olup olmadığı veya kontrolör veya işleyici ile ilgili olarak öngörülen eylemin bu Tüzüğe uygun olup olmadığına yönelik olarak yapılan ve taslak kararın veri sahiplerinin temel hakları ve özgürlükleri ve, uygun olduğu hallerde, kişisel verilerin Birlik içerisinde serbest dolaşımı açısından teşkil ettiği risklerin önemini açık bir şekilde gösteren bir itirazdır;
  25. ‘bilgi toplumu hizmeti’ (AB) 2015/1535 sayılı Avrupa Parlamentosu ve Konsey Direktifi’nin 1(1) maddesinin (b) bendinde tanımlanan bir hizmettir1;
  26. ‘uluslararası kuruluş’ uluslararası kamu hukuku ile düzenlenen bir kuruluş ve söz konusu kuruluşa bağlı organlar veya iki ya da daha fazla sayıda ülke arasındaki bir anlaşma ile veya bir anlaşmaya dayalı olarak kurulan diğer her türlü organdır.

1 Bilgi Toplumu hizmetlerine ilişkin teknik düzenlemeler ve kurallar alanında bilgi sağlanmasına yönelik bir usul belirleyen 9 Eylül 2015 tarihli ve (AB) 2015/1535 sayılı Avrupa Parlamentosu ve Konsey Direktifi (ABRG L 241, 17.9.2015, s. 1).