Avrupa Birliği Adalet Divanı’na Yeni Sorular: Ulusal Halk sağlığı Merkezi / Dosya No: C-683/21 12 Kasım 2021

Soru 1: GVKT’nin 4(7). maddesinde yer alan “veri sorumlusu” kavramı, bir veri toplama aracını (mobil uygulama) kamu ihalesi yoluyla almayı planlayan kişinin,  [bu] kamu ihale sözleşmesi henüz akdedilmemişse ve kamu ihale usulü ile edinilmesi öngörülen oluşturulacak söz konusu ürün (mobil uygulama) henüz teslim edilmişse de veri sorumlusu olarak kabul edileceği şeklinde yorumlanabilir mi?

Soru 2: GVKT’nin 4(7). maddesinde yer alan “veri sorumlusu” kavramı, sözleşme akdeden kurum henüz bu yaratım konusu BT ürününün mülkiyet hakkını elde etmese ve bu ürünün zilyetliğine sahip olmasa; [bu üründe] ancak söz konusu kamu kurumuna ve/veya söz konusu kamu kurumu tarafından resmi olarak onaylanmamış veya tanınmayan, kamu kurumunun kendisinin de veri sorumlusu olarak kabul edilmesi gerektiğini belirten gizlilik politikasına bağlantı [link] veya arayüz sağlanırsa, bu durumda söz konusu kamu kurumunun da veri sorumlusu olarak kabul edileceği şeklinde yorumlanabilir mi?

Soru 3: GVKT’nin 4(7). maddesinde yer alan “veri sorumlusu” kavramı,  4(2). maddede tanımlanan veri işleme faaliyetlerinden herhangi birini fiili olarak gerçekleştirmemiş ve/veya bu tür faaliyetlerin gerçekleştirilmesi için açık izin/rıza vermemiş olan bir kişinin de veri sorumlusu olarak kabul edileceği şeklinde yorumlanabilir mi?

Soru 4: Şayet fiili olarak veri işleme faaliyetlerinin belirlenmesi, “veri sorumlusu” kavramının yorumu ile ilgiliyse, GVKT md 4(2)’de düzenlenen kişisel verilerin “işlenmesi” tanımı, bir mobil uygulama edinme sürecinde BT sistemlerinin test edilmesi için kullanılan kişisel verilerin kopyalarının kullanıldığı durumları da kapsayacak şekilde mi yorumlanır?

Soru 5: GVKT md 4(7) ve Madde 26(1) uyarınca verilerin ortak kontrolü, münhasıran, veri işlemenin amaç ve araçlarının belirlenmesine ilişkin olarak bilinçli şekilde koordine edilmiş eylemleri kapsadığı şeklinde yorumlanabilir mi, yoksa bu kavram aynı zamanda ortak kontrolün, veri işlemenin amaç ve araçlarına ilişkin net bir ‘düzenleme’nin olmadığı ve/veya kurumlar arasında eşgüdüm sağlanmadığı durumları da kapsadığı şeklinde yorumlanır mı? Hukuken, kişisel verileri işleyen kişisel veri işleme araçlarının (BT uygulaması) oluşturulma evresine ilişkin durum ve uygulamanın oluşturulma amacı, verilerin ortak kontrolü kavramının yorumlanması için önemli midir? Ortak veri sorumluları arasındaki bir “düzenleme”, münhasıran verilerin ortak kontrolünü  düzenleyen koşulların açık ve tanımlanmış bir şekilde belirlenmesi olarak anlaşılabilir mi?

Soru 6: GVKT 83(1). maddesinde yer alan veri sorumlusunun sorumluluğuna sorumluluk yüklenen durumlarda idari para cezalarının … etkili, ölçülü ve caydırıcı olacağına ilişkin hüküm, BT ürününün yaratılması aşamasında, geliştiricinin kişisel veri işleme eylemleri de gerçekleştirdiği ve veri işleyen tarafından düzgün olmayan kişisel veri işleme eylemleri gerçekleştirdiği durumlarda da veri sorumlusu tarafında, her zaman otomatik olarak sorumluluk doğuracağı şeklinde yorumlanabilir mi? Bu hüküm, veri sorumlusu tarafın herhangi bir kusurunun olmasını gerektirmeyen sorumluluk hallerini de kapsayacak şekilde yorumlanabilir mi?

Kaynak: https://curia.europa.eu/juris/liste.jsf?num=C-683/21&language=en