UKA Aylık / Mart Bülteni: Kişisel Verilerin Korunmasında Uluslararası Standartlar: 108 Sayılı Sözleşme ve İç Hukuka Yansımaları

1.     Giriş

108 sayılı "Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme" (“108 Sayılı Sözleşme[1]” veya “Sözleşme”), Avrupa Konseyi tarafından 28 Ocak 1981 tarihinde Strazburg’da imzaya açılmış, veri koruma hukukuna ilişkin ilk bağlayıcı uluslararası metinlerden biri olarak kabul edilmektedir. Otomatik veri işleme faaliyetlerine karşı bireysel hakların korunmasını merkeze alan 108 Sayılı Sözleşme, ortaya konulduğu yıllar itibarıyla bu alanda erken dönem düzenleyici çerçeve sunan temel metinlerden biridir. Sözleşme, imzacı ülkeler nezdinde bir standart belirleyici rolü oynayarak, yerel veri koruma düzenlemelerinin hayata geçirilmesinde rehber bir çerçeve sunmuştur. Sözleşme’nin imzaya açıldığı 28 Ocak günü, 2006 yılında Avrupa Konseyi tarafından “Veri Koruma Günü” olarak ilan edilmiştir.

Sözleşmeye taraf ülke sayısının elli beşe ulaşması ve özellikle Avrupa dışı kıtalardan gelen katılım, kişisel verilerin korunmasının artık bölgesel bir mesele değil, uluslararası ticaret ve sınır ötesi veri akışları açısından giderek artan bir önem taşıdığını göstermektedir. Türkiye’nin söz konusu 55 taraf devlet arasında yer alması, Avrupa Birliği ve diğer imza sahibi ülkelerle yürütülen sınır ötesi veri trafiğinde, ulusal mevzuatımızın uluslararası standartlarla uyumunu belgeleyen en stratejik hukuki dayanak noktasını teşkil etmektedir.

Teknolojide meydana gelen hızlı gelişmeler ve yapay zekâ, büyük veri ile bulut bilişim gibi alanlardaki ilerlemeler, mevcut hukuk sistemlerinde güncelleme ihtiyacını ortaya çıkarmıştır. Bu doğrultuda 2018 yılında kabul edilen ve "108+"[2] olarak adlandırılan Değişiklik Protokolü, veri koruma standartlarını Avrupa Genel Veri Koruma Tüzüğü (GDPR) ile uyumlu hale getirmeyi amaçlamıştır. Modernize edilmiş bu metin, sadece klasik veri işleme faaliyetlerini değil, algoritmik karar alma süreçlerini ve veri madenciliği gibi karmaşık operasyonları da kapsayacak şekilde genişletilmiştir.

108+ ile gelen en radikal değişikliklerden biri, "hesap verilebilirlik" ilkesinin uluslararası bir standart haline gelmesidir. Artık veri sorumlularının sadece kanuna uyması yeterli görülmemekte, aynı zamanda bu uyumu somut belgelerle ispat etmeleri ve "tasarım yoluyla gizlilik" ilkesini benimsemeleri beklenmektedir. Ayrıca, veri ihlallerinin bildirilmesi zorunluluğu ve biyometrik veriler ile genetik verilerin "özel nitelikli veri" kategorisine açıkça dâhil edilmesi, kişisel verilerin korunmasına ilişkin güvenceleri genişleten önemli düzenlemeler niteliğindedir. Türkiye'nin de bu protokolü onaylaması, iç hukuktaki KVKK düzenlemelerinin de dünya standartlarında kalacağının taahhüdü niteliğindedir.

2.     Kapsam ve Temel İlkeler

Sözleşme’nin uygulama alanı, temelde "kişisel verilerin otomatik işleme tabi tutulması" kriteri üzerine inşa edilmiştir. Maddi kapsam bakımından sözleşme; hem kamu sektöründe hem de özel sektörde gerçekleştirilen tüm otomatik veri işleme faaliyetlerini bünyesine alır. Burada "otomatik işleme" ifadesiyle kastedilen; verilerin kaydedilmesi, üzerinde mantıksal veya aritmetik işlemlerin yapılması, değiştirilmesi, silinmesi veya yayılması gibi süreçlerin bilgisayar sistemleri aracılığıyla yürütülmesidir. Dolayısıyla otomatik olmayan yollarla veri işlenmesi halinde 108 sayılı Sözleşme uygulama alanı bulmayacaktır[3]. Sözleşme, teknoloji tarafsız bir yaklaşım sergileyerek, işlemenin hangi cihazla yapıldığından ziyade verinin dijital bir ekosistemde işlenip işlenmediğine odaklanır.

Kişisel kapsam açısından ise Sözleşme, "ilgili kişi" olarak tanımlanan gerçek kişileri koruma altına almaktadır. Sözleşme’nin temel hedefi, milliyetine veya ikametgâhına bakılmaksızın her bireyin, verilerinin işlenmesi sırasında temel hak ve özgürlüklerini güvence altına almaktır. Önemli bir hukuki ayrıntı olarak; Sözleşme kural olarak tüzel kişileri doğrudan koruma kapsamına almasa da, taraf devletlere kendi iç hukuklarında bu korumayı tüzel kişilere de teşmil etme yetkisi tanımıştır. Ancak ana odak, dijital çağda kişisel verileri işlenen gerçek kişilerin mahremiyetinin korunmasıdır.

Sözleşme’nin uygulama alanı geniş olmakla birlikte, devletlerin egemenlik hakları ve kamu güvenliği gözetilerek belirli istisnalar öngörülmüştür. Bu bağlamda; devlet güvenliği, savunma, kamu sağlığı veya suçla mücadele gibi hayati önem taşıyan alanlarda yapılan veri işleme faaliyetleri, Sözleşme’nin genel disiplininden kısmen muaf tutulabilmektedir. Ancak bu istisnaların uygulanabilmesi için "demokratik bir toplumda gerekli olması" ve "kanunla öngörülmesi" şartı aranmaktadır. Bu durum, idarenin veri işleme yetkisinin sınırsız olmadığını, istisnaların dahi bir hukuk devleti denetimine tabi olduğunu göstermektedir.

Son olarak, Sözleşme’nin kapsamı içerisinde "özel nitelikli veriler" için ayrı bir koruma rejimi ihdas edilmiştir. Bireyin etnik kökeni, siyasi düşüncesi, dini inancı, sağlığı veya ceza mahkumiyeti gibi veriler, işlenmeleri halinde kişi üzerinde ayrımcılık yaratma riski taşıdığı için "hassas" kabul edilmiştir. Sözleşme, bu tür verilerin ancak iç hukukta uygun güvenceler sağlandığı takdirde işlenebileceğini hüküm altına alarak, genel veri işleme faaliyetleri ile riskli veri işleme faaliyetleri arasında açık bir hukuki ayrım öngörmüştür.

3.     Türk Hukukunda Kişisel Verilerin Korunması Serüveni

108 sayılı Sözleşme, uluslararası bir çerçeve metin olarak temel ilkeleri belirlerken; 6698 sayılı KVKK, bu ilkeleri Türk hukuk sisteminin emredici kuralları haline getiren ulusal kanundur. Makalemizin devamında da detayları belirtilen 108+ ve 108 Sayılı Sözleşme’nin 4. Maddesi, taraf olan ülkelere bu Sözleşme düzenlemelerini iç hukuka yansıtma sorumluluğu yüklemiştir. Bu maddede belirtildiği üzere Sözleşme, taraflara hükümlerini iç hukuklarına aktarma ve etkin bir şekilde uygulanmalarını sağlama zorunluluğu getirmiştir; bunun nasıl yapılacağı uygulanan hukuka ve uluslararası anlaşmaların iç hukuka aktarılmasına ilişkin yaklaşıma bağlıdır[4]. Ancak taahhüt edilmiş olan özel kanun tam 35 yıl sonra 2016’da yürürlüğe girmiştir. 108 sayılı Sözleşme de, aynı sene, bu kanunun yayımlanmasından hemen önce 17 Mart 2016 tarihli ve 29656 sayılı Resmi Gazetede yayınlanarak iç hukuka dâhil etmiştir[5]. Bu noktada KVKK, sadece 108 sayılı Sözleşme’yi değil, aynı zamanda Avrupa Birliği’nin mülga 95/46/EC sayılı Direktifi’ni de model almıştır. Dolayısıyla KVKK, 108 sayılı Sözleşme’de yer alan asgari koruma standartlarını daha ayrıntılı ve bağlayıcı kurallarla düzenlemiştir. İki metin arasındaki en güçlü bağ, veri işlemenin "anayasal ilkeleri" konusunda görülmektedir. 108 sayılı Sözleşme’de yer alan; verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi, belirli ve meşru amaçlar için toplanması, verilerin güncelliği ve muhafaza sürelerine riayet edilmesi gibi temel sütunlar, KVKK’nın 4. maddesinde aynen muhafaza edilmiştir. Ancak KVKK, bu ilkelerin ihlali durumunda uygulanacak yaptırımları ve veri sorumlusunun "aydınlatma yükümlülüğü" gibi usulü detayları daha katı ve net bir biçimde düzenleyerek, Sözleşme’nin soyut prensiplerine uygulama kabiliyeti kazandırmıştır.

Hassas (özel nitelikli) veriler konusunda her iki düzenleme de korumacı bir tavır sergilemektedir. 108 sayılı Sözleşme, bu verilerin işlenmesini "iç hukukta uygun güvenceler sağlanması" şartına bağlamış, ancak bu güvencelerin ne olacağını devletlerin takdirine bırakmıştır. KVKK ise 6. maddesinde bu verileri sınırlı sayıda sayarak; biyometrik ve genetik verileri de kapsama dâhil etmiş ve bu verilerin işlenme şartlarını açık rıza veya kanuni zorunluluk gibi genel verilerden çok daha ağır koşullara bağlamıştır. Bu durum, KVKK’nın Sözleşme’deki "uygun güvence" kriterini somut bir yasal mekanizmaya dönüştürdüğünü kanıtlamaktadır.

Sözleşme ile Kanun arasındaki en belirgin fark, denetim yetkisinde ortaya çıkmaktadır. 108 sayılı Sözleşme, taraf devletlere bağımsız bir denetim makamı kurma ödevi yüklerken; KVKK bu ödevi "Kişisel Verileri Koruma Kurumu"nu (Kurum) ihdas ederek yerine getirmiştir. Sözleşme ihlaller karşısında genel bir sorumluluk rejiminden bahsederken, KVKK; idari para cezaları, disiplin suçları ve Türk Ceza Kanunu’na atıf yapan hapis cezalarıyla çok daha caydırıcı bir yaptırım sistemi öngörmüştür. Sonuç olarak KVKK, 108 sayılı Sözleşme’de yer alan temel ilkeleri Türk hukukunda somut ve uygulanabilir normlara dönüştürerek, bu ilkelerin yaptırım gücüne kavuşmasını sağlamıştır.

4.     Türkiye’de Veri Koruma Hukukunda Modernizasyon Hamlesi: 108 Sayılı Sözleşme Öncesi ve Sonrası

Türkiye’de kişisel verilerin korunması serüveni, 108 sayılı Sözleşme’nin iç hukuka tam anlamıyla uyarlanması ve bu süreci taçlandıran 6698 sayılı Kanun’un (KVKK) yürürlüğe girmesiyle önemli bir yapısal dönüşüm geçirmiştir. Bu dönüşümden önceki dönem, hukuk literatüründe "dolaylı ve parçalı koruma" dönemi olarak adlandırılabilir. Özel bir veri koruma mevzuatının bulunmadığı bu yıllarda, kişisel verilere ilişkin uyuşmazlıklar; Türk Medeni Kanunu’ndaki "kişilik hakları", Türk Ceza Kanunu’ndaki "özel hayatın gizliliği" veya Borçlar Kanunu’nun genel sorumluluk ilkeleri gibi ikincil araçlarla çözülmeye çalışılıyordu. Bu durum, veri korumasının bütüncül bir hukuki çerçeveye kavuşmasını sınırlamaktaydı.

Sözleşme öncesi dönemde bireyler veri işleme süreçlerinde sınırlı haklara sahipti. Bireylerin; verilerinin kimler tarafından tutulduğunu bilme, hatalı bilgilerin düzeltilmesini isteme veya verilerinin silinmesini talep etme gibi bugün temel sayılan hakları yasal bir zemine oturmamıştı. Şirketler ve kurumlar, topladıkları verileri üçüncü kişilerle veya yurt dışıyla paylaşırken herhangi bir idari denetime, "açık rıza" zorunluluğuna veya "aydınlatma yükümlülüğü"ne tabi değildi. En önemlisi, veri ihlallerini proaktif olarak takip eden, standartlar belirleyen ve idari yaptırımlar uygulayan bağımsız bir denetim makamının yokluğu, veri güvenliğini büyük ölçüde veri sorumlularının inisiyatifine bırakıyordu.

108 sayılı Sözleşme’nin iç hukuka entegre edilmesiyle birlikte Türkiye, "sistematik ve aktif koruma" dönemine geçiş yapmıştır. Bu yeni dönemle birlikte hukuk sistemimize dahil olan "veri sorumlusu" kavramı, veri işleme faaliyetlerine ağır bir sorumluluk rejimi getirmiştir. Artık veri toplamanın ön şartı, veri sahibine işlemenin amacı, süresi ve kapsamı hakkında şeffaf bilgi sunulmasını içeren "aydınlatma yükümlülüğü" olmuştur. Sözleşme’nin temel taşları olan "amaca bağlılık" ve "veri minimizasyonu" ilkeleri, Türk hukukunun merkezine yerleşerek, verilerin sadece belirli bir amaç doğrultusunda ve yalnızca gerektiği kadar işlenmesini zorunlu kılmıştır.

Bugün gelinen noktada veri koruması, sadece hukuki bir ilke değil, aynı zamanda teknik ve idari bir standart haline gelmiştir. Veri sorumluları için öngörülen siber saldırılara karşı teknik tedbir alma zorunluluğu, kişisel verilerin korunmasını yasal bir ödevden öte, kurumsal bir itibar ve güvenlik unsuru kılmıştır. Türkiye’nin 108 sayılı Sözleşme ve onun modernize edilmiş hali olan 108+ protokolüne taraf olması, Türkiye’nin uluslararası veri transferi bakımından güvenilir bir ülke olarak değerlendirilmesine katkı sağlamıştır. Bu gelişim süreci, bireyin kişisel verilerinin korunmasını anayasal güvencelerle güçlendirirken, Türkiye’nin uluslararası veri akışları ve dijital ticaret süreçlerine uyumunu da artırmıştır.

Karşılaştırma Tablosu

Tablo incelendiğinde, sözleşme öncesi dönemde veri koruma yaklaşımının büyük ölçüde “reaktif” nitelik taşıdığı, yani ihlal gerçekleştikten sonra devreye giren bir koruma mekanizmasına dayandığı görülmektedir. Buna karşılık 108 sayılı Sözleşme ve 6698 sayılı Kanun sonrasında benimsenen modelin “proaktif ve risk temelli” bir yapıya evrildiği, veri işleme faaliyetlerinin henüz gerçekleşmeden önce hukuki ve teknik güvencelerle sınırlandırıldığı anlaşılmaktadır. Bu dönüşüm, veri koruma hukukunun klasik kişilik hakkı korumasından ayrılarak bağımsız ve önleyici bir hukuk dalı haline geldiğini göstermektedir.

5.     Güncel Gelişmeler: 108+ Protokolü ve KVKK’daki Reform Süreci

108 sayılı Sözleşme’nin modernizasyonu (108+) ve Avrupa Genel Veri Koruma Tüzüğü (GDPR) ile uyum sağlama çabaları, Türk veri koruma hukukunda köklü bir revizyon ihtiyacını doğurmuştur. Bu ihtiyacın somut bir yansıması olarak, kamuoyunda "9. Yargı Paketi" ve ilgili yasal düzenlemelerle 6698 sayılı Kanun’un özellikle yurt dışına veri aktarımını düzenleyen 9. maddesinde kritik değişikliklere gidilmiştir. Sözleşme’nin en dinamik uygulama alanı olan sınır ötesi veri akışları, eski düzenlemede yer alan ve uygulamada tıkanıklıklara yol açan "açık rıza" odaklı yapıdan çıkarılarak, 108+ standartlarına uygun "güvence temelli" bir modele dönüştürülmüştür.

Bu yeni dönemde, yurt dışına veri aktarımı için "yeterlilik kararı", "uygun güvenceler" ve "istisnai haller" şeklinde kademeli bir mekanizma benimsenmiştir. Özellikle "standart sözleşme maddeleri" ve "bağlayıcı şirket kuralları" gibi mekanizmaların yasal zemine oturtulması, Türkiye’nin 108+ Protokolü’ndeki taahhütlerini yerine getirdiğinin en somut göstergesidir. Bu reformlar sayesinde Türkiye, uluslararası veri trafiğinde sadece rızaya dayanan zayıf bir koruma yerine, taraflar arasında akdedilen ve denetlenebilir taahhütleri içeren, küresel ticaretle uyumlu bir yapıya kavuşmuştur.

6.     Bağımsız Denetim Makamı: Kişisel Verileri Koruma Kurumu’nun Rolü ve Özerkliği

108 Sayılı Sözleşme, yeni bilgi iletişim teknolojilerinin getirdiği mahremiyet sorunlarını ele almak ve sözleşmenin etkili bir biçimde uygulanabilmesi amacıyla 18 Mayıs 2018 tarihinde Avrupa Konseyi Bakanlar Komitesinin 128. oturumunda kabul edilen Kişisel Verilerin Otomatik İşlenmesi Karşısında Bireylerin Korunmasına Dair Sözleşmeyi Değiştiren 223 Sayılı Protokol (108 +) ile güncellenmiştir[6]. 108 sayılı Sözleşme ve onun güncel versiyonu olan 108+, taraf devletler için sadece kurallar koymakla yetinmemekte, bu kuralların uygulanmasını denetleyecek "bağımsız bir denetim makamı" tesis edilmesini de zorunlu kılmaktadır. Türk hukukunda bu görevi üstlenen Kişisel Verileri Koruma Kurumu, Sözleşme’nin öngördüğü bağımsızlık kriterlerini karşılamak üzere idari ve mali özerkliğe sahip bir otorite olarak kurgulanmıştır. Kurum’un yürütme organından bağımsız bir karar alma mekanizmasına sahip olması, sadece iç hukukta değil, aynı zamanda uluslararası alanda Türkiye’nin "güvenli ülke" statüsü kazanması için de bir ön şart niteliğindedir.

Modernize edilmiş 108+ Protokolü, denetim makamlarına sadece ceza kesme yetkisi değil, aynı zamanda sınır ötesi iş birliği yapma ve ortak denetim mekanizmalarına katılma yetkisi de tanımaktadır. Kurum’un son dönemdeki uygulamaları ve yayınladığı rehberler, Kurum’un bir "ceza merci" olmanın ötesine geçerek, 108+ standartlarında bir "rehber ve denetleyici otorite" profilini benimsediğini göstermektedir. Bu bağımsızlık ve yetkinlik düzeyi, Türkiye'nin uluslararası veri aktarımında karşı taraf ülkeler nezdinde duyulan güvenin sarsılmaz temelini oluşturmaktadır.

7.     Uygulamadan Bir Örnek: Karar Yorumu

108 sayılı Sözleşme’nin iç hukuka etkisi ve hiyerarşik konumu, Kişisel Verileri Koruma Kurulu’nun 2020/559 sayılı kararında somut bir biçimde analiz edilmiştir[7]. Söz konusu kararda veri sorumlusu, yurt dışına veri aktarımı yaparken 108 sayılı Sözleşme’nin verilerin serbest dolaşımına izin veren hükümlerini doğrudan hukuki dayanak olarak ileri sürmüştür. Ancak Kurul, bu savunmayı reddederek sözleşmenin doğrudan uygulanabilirliği konusunda emsal niteliğinde bir saptama yapmıştır. Karara göre, 108 sayılı Sözleşme taraf devletlere genel bir çerçeve ve ödev sunan bir metindir; ancak bu metnin varlığı, ulusal mevzuatta (KVKK m. 9) yer alan yurt dışına aktarım usullerini ve denetim mekanizmalarını devre dışı bırakmamaktadır.

Kurul’un bu yaklaşımı, bir ülkenin 108 sayılı Sözleşme’ye taraf olmasının o ülkeyi otomatik olarak "güvenli ülke" statüsüne taşımayacağını netleştirmiştir. Kararda vurgulandığı üzere, uluslararası sözleşme hükümlerinin iç hukukta hayat bulabilmesi için Kanun’un öngördüğü açık rıza, taahhütname veya Kurul izni gibi aktarım güvencelerinin eksiksiz yerine getirilmesi gerekmektedir.

Sonuç olarak Kurul tarafından 108 sayılı Sözleşme’ye taraf olmanın başlı başına kişisel verilerin yurt dışına aktarılmasına imkân vermediği kanaatine varılmıştır. Kurul, Sözleşme’ye taraf olmayı AB uygulamasında olduğu gibi Kanun kapsamında güvenli ülke statüsü tayini bakımından “olumlu bir unsur” şeklinde ele aldığını belirtmiştir[8].

Bu yönüyle karar, 108 sayılı Sözleşme’nin iç hukukta bir "üst norm" olarak değil, koruma standartlarını asgari düzeyde belirleyen ve yerel mevzuatın yorumlanmasında dikkate alınan bir "rehber metin" olarak konumlandığını kanıtlamıştır. Neticede, sadece sözleşme hükümlerine güvenerek kanuni prosedürleri işletmeyen veri sorumlusu aleyhine tesis edilen idari yaptırım, Türk veri koruma hukukunun uluslararası metinlerle kurduğu bağımsızlık ve uyum ilişkisini açıkça ortaya koymuştur.

8.     Sonuç ve Değerlendirme

108 sayılı Sözleşme, 1981 yılından bu yana kişisel verilerin korunması alanında küresel bir "anayasa" işlevi görerek, dijital dünyada bireyin mahremiyetini koruyan en temel uluslararası güvence olmuştur. Türkiye’nin bu sözleşmeye taraf olması ve ardından 6698 sayılı KVKK’yı hayata geçirmesi, iç hukukta sadece yasal bir değişiklik değil, aynı zamanda köklü bir yapısal dönüşüm yaratmıştır. "Dolaylı ve parçalı" koruma döneminden, bireyi verisi üzerinde hak sahibi kılan "sistematik ve aktif" bir koruma modeline geçilmesi, Türkiye'nin küresel veri ekonomisindeki güvenilirliğini pekiştirmiştir.

Günümüzde 108+ Protokolü ile somutlaşan modernizasyon süreci ve 9. Yargı Paketi gibi yerel reformlar, Türk hukukunun uluslararası standartlarla olan bağını daha da güçlendirmektedir. Özellikle yurt dışına veri aktarımında "açık rıza" odaklı dar kalıplardan çıkılarak, "standart sözleşmeler" ve "yeterlilik kararı" gibi güvence temelli mekanizmaların benimsenmesi, Türkiye’nin Avrupa Birliği ve diğer taraf ülkelerle olan veri trafiğinde stratejik bir avantaj sağlamaktadır. KVKK’nın bağımsız bir denetim makamı olarak sergilediği kararlı duruş ve emsal uygulamalar, uluslararası metinlerin iç hukuktaki hiyerarşik yerini ve uygulama disiplinini netleştirmiştir.

Gelecek perspektifinde ise veri koruma hukuku, artık sadece kişisel mahremiyetin sınırlarını değil, aynı zamanda yapay zekâ, büyük veri ve algoritmik karar alma süreçlerinin etik sınırlarını da belirlemektedir. Türkiye'nin 108+ standartlarına uyum sağlama iradesi, ülkemizin teknolojik gelişmeleri hukuki bir güvenlik şemsiyesi altında sürdürebilmesi için hayati önem taşımaktadır. Sonuç olarak, 108 sayılı Sözleşme’de yer alan ilkeler ile KVKK’nın normatif yapısının uyumu bireylerin temel hak ve özgürlüklerini dijital çağın risklerine karşı etkili bir hukuki koruma mekanizması oluşturmaktadır.

[1] The Council of Europe, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, European Treaty Series No. 108, Strasbourg, 28.01.1981.

[2] The Council of Europe, Modernised Convention for the Protection of Individuals with Regard to the Processing of Personal Data (Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (CETS No. 223) or Treaty 223)

[3] 108 Sayılı Sözleşme ve Veri Koruma Günü, Kişisel Verileri Koruma Kurumu, Bülten, Aralık 2024-Şubat 2025, Sayı:7, s. 6.

[4] Modernize Edilmiş Sözleşme 108+ Açıklayıcı Rapor, s. 20.

[5] Uluslararası Hukuk ve AB Hukuku Boyutuyla Kişisel Verilerin Yurt Dışına Aktarılması, Berna Akçalı Gür, s. 867.

[6] 128th Session of the Committee of Ministers, Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETSNo.108), 18.05.2018, https://search. coe.int/cm#{%22CoEIdentifier%22:[%22090000168089ff4e%22],%22sort%22:[%22CoEValidationDate%20 Descending%22]}.

[7] https://www.kvkk.gov.tr/Icerik/6790/2020-559 

[8] Kişisel Verileri Koruma Kurulu’nun 108 Sayılı Sözleşme Hakkındaki Kararı ve Yurt Dışına Veri Aktarımı Sorunu, Dülger, Murat Volkan, s.14.