DSGVO yasası

1. Bu Tüzük, kişisel verilerin işlenmesine ilişkin olarak gerçek kişilerin korunması ve bu tür verilerin serbest dolaşımına ilişkin hükümler içermektedir.
2. Bu Tüzük, gerçek kişilerin temel hak ve özgürlüklerini ve özellikle de kişisel verilerin korunması haklarını korumaktadır.
3. Kişisel verilerin Birlik içerisinde serbest dolaşımı, kişisel verilerin işlenmesiyle ilgili olarak gerçek kişilerin korunmasına ilişkin gerekçelerle kısıtlanamaz veya yasaklanamaz.

1. Bu Tüzük, kişisel verilerin tamamen veya kısmen otomatik yollarla işlenmesine ve bir dosyalama sisteminde saklanan veya saklanması amaçlanan kişisel verilerin otomatik olmayan yollarla işlenmesine uygulanır.
2. Bu Tüzük kişisel verilerin işlenmesi için geçerli olmayacaktır
   1. Birlik hukuku kapsamına girmeyen bir faaliyet bağlamında,
   2. TEU'nun V. Başlığının 2. Bölümü kapsamına giren faaliyetler bağlamında Üye Devletler tarafından,
   3. gerçek kişiler tarafından münhasıran kişisel veya ailevi faaliyetlerin gerçekleştirilmesi için,
   4. kamu güvenliğine yönelik tehditlerin önlenmesi ve bunlara karşı koruma sağlanması da dahil olmak üzere, suçların önlenmesi, soruşturulması, tespiti veya kovuşturulması ya da cezai yaptırımların infazı amacıyla yetkili makamlar tarafından.
3. 45/2001 (AT) sayılı Tüzük, kişisel verilerin Birlik kurumları, organları, ofisleri ve ajansları tarafından işlenmesine uygulanır. 45/2001 (AT) sayılı Tüzük ve kişisel verilerin bu şekilde işlenmesini düzenleyen diğer Birlik yasal düzenlemeleri, 98. madde uyarınca bu Tüzükte belirtilen ilke ve kurallara uyarlanır.
4. Bu Tüzük, 2000/31/AT sayılı Direktifin uygulanmasına ve özellikle aracıların sorumluluğuna ilişkin olarak söz konusu Direktifin 12 ila 15. Maddelerinde yer alan hükümlere halel getirmez.

1. Bu Tüzük, işleme faaliyetinin Birlik içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın, bir kontrolör veya işleyicinin Birlik içerisindeki bir işletmesinin faaliyetleri bağlamında gerçekleştirilen kişisel veri işleme faaliyetlerine uygulanır.
2. Bu Tüzük, veri işlemenin aşağıdakilerle ilgili olduğu hallerde, Birlik içerisinde yerleşik veri sahiplerinin kişisel verilerinin Birlik içerisinde yerleşik olmayan bir kontrolör veya işleyici tarafından işlenmesine uygulanır
   1. Birlik içerisindeki veri sahiplerine, söz konusu veri sahipleri tarafından bir ödeme yapılıp yapılmayacağına bakılmaksızın, mal veya hizmet sunması;
   2. veri sahiplerinin davranışlarını, davranışları Birlik içerisinde gerçekleştiği sürece gözlemleyebilir.
3. Bu Tüzük kişisel verilerin Birlik içerisinde yerleşik olmayan bir kontrolör tarafından uluslararası kamu hukuku temelinde bir üye devletin hukukuna tabi olan bir yerde işlenmesine uygulanır.

Bu Tüzüğün amaçları doğrultusunda, terim:

1. "kişisel veri" tanımlanmış veya tanımlanabilir bir gerçek kişiye (bundan böyle "veri sahibi" olarak anılacaktır) ilişkin her türlü bilgi anlamına gelir; tanımlanabilir gerçek kişi, doğrudan veya dolaylı olarak, özellikle bir isim, kimlik numarası, konum verileri, çevrimiçi bir tanımlayıcı gibi bir tanımlayıcıya veya söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özgü bir veya daha fazla faktöre atıfta bulunularak tanımlanabilen kişidir;
2. "İşleme", otomatik yollarla olsun veya olmasın, kişisel veriler veya kişisel veri kümeleri üzerinde gerçekleştirilen toplama, kaydetme, düzenleme, yapılandırma, depolama, uyarlama veya değiştirme, geri alma, danışma, kullanma, iletim yoluyla ifşa etme, yayma veya başka bir şekilde kullanıma sunma, hizalama veya birleştirme, kısıtlama, silme veya imha etme gibi herhangi bir işlem veya işlemler dizisi anlamına gelir;
3. "İşlemenin kısıtlanması", saklanan kişisel verilerin gelecekte işlenmesini kısıtlamak amacıyla işaretlenmesi anlamına gelir;
4. "Profil oluşturma", bir gerçek kişiyle ilgili belirli kişisel hususları değerlendirmek, özellikle de söz konusu gerçek kişinin işteki performansı, ekonomik durumu, sağlığı, kişisel tercihleri, ilgi alanları, güvenilirliği, davranışları, konumu veya hareketleriyle ilgili hususları analiz etmek veya tahmin etmek amacıyla kişisel verilerin kullanılmasını içeren kişisel verilerin her türlü otomatik işleme tabi tutulması anlamına gelmektedir;
5. "Takma ad verme", kişisel verilerin, söz konusu ek bilgilerin ayrı tutulması ve kişisel verilerin kimliği belirli veya belirlenebilir bir gerçek kişiye atfedilmemesini sağlamak için teknik ve organizasyonel önlemlere tabi olması koşuluyla, kişisel verilerin ek bilgiler kullanılmadan artık belirli bir veri sahibiyle ilişkilendirilemeyeceği şekilde işlenmesi anlamına gelir;
6. "dosya sistemi", bu koleksiyonun merkezi, merkezi olmayan veya işlevsel veya coğrafi yönlere göre yönetilip yönetilmediğine bakılmaksızın, belirli kriterlere göre erişilebilen herhangi bir yapılandırılmış kişisel veri koleksiyonu anlamına gelir;
7. "kontrolör" tek başına veya başkalarıyla birlikte kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen gerçek veya tüzel kişi, kamu makamı, ajans veya diğer organ anlamına gelir; söz konusu işleme amaçlarının ve araçlarının Birlik veya Üye Devlet hukuku tarafından belirlendiği hallerde, kontrolör veya atanmasına ilişkin belirli kriterler Birlik veya Üye Devlet hukuku tarafından öngörülebilir;
8. "İşleyici" kontrolör adına kişisel verileri işleyen gerçek veya tüzel kişi, kamu otoritesi, ajans veya diğer organ anlamına gelir;
9. "alıcı", üçüncü taraf olsun veya olmasın, kişisel verilerin ifşa edildiği gerçek veya tüzel kişi, kamu otoritesi, kurum veya başka bir organ anlamına gelir. ²Bununla birlikte, Birlik veya Üye Devlet hukuku uyarınca belirli bir soruşturma çerçevesinde kişisel verileri alabilecek olan kamu makamları alıcı olarak kabul edilmeyecektir; bu verilerin söz konusu kamu makamları tarafından işlenmesi, işleme amaçlarına göre geçerli veri koruma kurallarına uygun olacaktır;
10. "üçüncü taraf" veri sahibi, kontrolör, işleyici ve kontrolör veya işleyicinin doğrudan yetkisi altında kişisel verileri işleme yetkisine sahip kişiler dışında bir gerçek veya tüzel kişi, kamu otoritesi, kurum veya kuruluş anlamına gelir;
11. Veri sahibinin "rızası", veri sahibinin bir beyanla veya açık bir olumlu eylemle kendisiyle ilgili kişisel verilerin işlenmesini kabul ettiğini belirttiği, özgürce verilmiş, belirli, bilgilendirilmiş ve açık bir şekilde belirtilmiş istekleri anlamına gelir;
12. "kişisel veri ihlali", kazara veya yasa dışı olarak iletilen, saklanan veya başka bir şekilde işlenen kişisel verilerin imha edilmesine, kaybolmasına, değiştirilmesine, yetkisiz olarak ifşa edilmesine veya bunlara erişilmesine yol açan bir güvenlik ihlali anlamına gelir;
13. "genetik veriler", bir gerçek kişinin fizyolojisi veya sağlığı hakkında benzersiz bilgiler sağlayan ve özellikle ilgili gerçek kişiden alınan biyolojik bir örneğin analizinden elde edilen, gerçek kişinin kalıtsal veya edinilmiş genetik özelliklerine ilişkin kişisel veriler anlamına gelmektedir;
14. "biyometrik veriler" bir gerçek kişinin fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olan ve yüz görüntüleri veya daktiloskopik veriler gibi söz konusu gerçek kişinin benzersiz bir şekilde tanımlanmasını sağlayan veya doğrulayan belirli teknik prosedürler kullanılarak elde edilen kişisel veriler anlamına gelmektedir;
15. "sağlık verileri", sağlık hizmetlerinin sağlanması da dahil olmak üzere, bir gerçek kişinin fiziksel veya ruhsal sağlığına ilişkin olan ve sağlık durumuna ilişkin bilgilerin türetildiği kişisel veriler anlamına gelmektedir;
16. "Merkez Ofis"
    1. birden fazla üye devlette işletmesi bulunan bir kontrolör söz konusu olduğunda, kişisel verilerin işlenme amaçları ve araçlarına ilişkin kararların kontrolörün Birlik içerisindeki başka bir işletmesinde alınması ve söz konusu işletmenin bu kararların uygulanması konusunda yetkilendirilmesi haricinde, bu durumda söz konusu kararları alan işletme ana işletme olarak kabul edilir;
    2. Birden fazla Üye Devlette işletmesi bulunan bir işleyici söz konusu olduğunda, işleyicinin Birlik içerisindeki merkez ofisinin bulunduğu yer veya işleyicinin Birlik içerisinde bir merkez ofisinin bulunmadığı hallerde, işleyicinin bu Tüzük kapsamındaki belirli yükümlülüklere tabi olduğu ölçüde, işleyicinin bir işletmesinin faaliyetleri bağlamındaki işleme faaliyetlerinin esasen gerçekleştirildiği Birlik içerisindeki işletme yeri;
17. "temsilci" 27. madde uyarınca kontrolör veya işleyici tarafından yazılı olarak atanan ve bu Tüzük kapsamındaki yükümlülükleri ile ilgili olarak kontrolör veya işleyiciyi temsil eden Birlik içerisinde yerleşik gerçek veya tüzel kişi anlamına gelir;
18. "şirket", düzenli olarak ekonomik bir faaliyet yürüten ortaklıklar veya dernekler de dahil olmak üzere, yasal şekline bakılmaksızın ekonomik bir faaliyet yürüten gerçek veya tüzel kişi anlamına gelir;
19. "şirketler grubu", bir hakim şirket ve ona bağlı şirketlerden oluşan bir grup anlamına gelir;
20. "bağlayıcı kurumsal kurallar" bir üye devletin topraklarında yerleşik bir kontrolör veya işleyicinin bir veya daha fazla üçüncü ülkede ortak bir ekonomik faaliyette bulunan aynı teşebbüs grubu veya aynı teşebbüs grubu içerisindeki bir kontrolör veya işleyiciye kişisel verilerin aktarımı veya bir dizi aktarımına ilişkin olarak uymayı taahhüt ettiği kişisel verilerin korunmasına yönelik tedbirler anlamına gelir;
21. "denetim makamı" 51. madde uyarınca bir üye devlet tarafından kurulan bağımsız bir kamu makamı anlamına gelir;
22. "ilgili denetim makamı" kişisel verilerin işlenmesi ile ilgili olan bir denetim makamı anlamına gelir çünkü
    1. kontrolör veya işleyicinin söz konusu denetim makamının üye devletinin topraklarında yerleşik olması,
    2. bu işleme faaliyetinin söz konusu denetim makamının üye devletinde ikamet eden veri sahipleri üzerinde önemli bir etkisi vardır veya olabilir ya da
    3. bu denetim makamına bir şikayette bulunulmuştur;
23. "sınır ötesi işleme" ya
    1. kontrolör veya işleyicinin birden fazla üye devlette yerleşik olduğu hallerde, bir kontrolör veya işleyicinin Birlik içerisindeki kuruluşlarının birden fazla üye devletteki faaliyetleri bağlamında gerçekleştirilen kişisel verilerin işlenmesi veya
    2. Birlik içerisinde bir kontrolör veya işleyicinin tek bir işletmesinin faaliyetleri bağlamında gerçekleştirilen ancak birden fazla üye devlette bulunan veri sahipleri üzerinde önemli etkiler yaratan veya yaratması muhtemel olan kişisel verilerin işlenmesi;
24. "ilgili ve gerekçeli itiraz" bu Tüzük'ün ihlal edilip edilmediğine veya kontrolör ya da işleyiciye karşı öngörülen eylemin bu Tüzük ile uyumlu olup olmadığına ilişkin bir taslak karara yönelik olarak taslak kararın veri sahiplerinin temel hak ve özgürlükleri ve, uygulanabilir olduğu hallerde, Birlik içerisinde kişisel verilerin serbest akışı bakımından teşkil ettiği risklerin önemini açıkça ortaya koyan bir itiraz anlamına gelir;
25. "bilgi toplumu hizmeti" Avrupa Parlamentosu ve Konseyinin (AB) 2015/1535 sayılı Direktifinin 1. Maddesinin (1)(b) bendinde tanımlanan bir hizmet anlamına gelir¹ ;
26. "uluslararası örgüt" iki veya daha fazla ülke arasında akdedilen bir anlaşma ile veya bu anlaşmaya dayanarak kurulan uluslararası bir örgüt ve onun alt organları veya diğer herhangi bir organ anlamına gelir.

1. Kişisel veriler
   1. hukuka uygun, adil ve veri sahibi tarafından anlaşılabilir bir şekilde işlenir ("hukuka uygunluk, adalet ve şeffaflık");
   2. belirli, açık ve meşru amaçlar için toplanacak ve bu amaçlarla bağdaşmayacak şekilde daha fazla işlenmeyecektir; kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçları veya istatistiksel amaçlar için daha fazla işlemenin Madde 89(1) uyarınca başlangıçtaki amaçlarla bağdaşmadığı kabul edilmeyecektir ("amaç sınırlaması");
   3. yeterli, ilgili ve işleme amaçları için gerekli olanla sınırlı olmalıdır ("veri minimizasyonu");
   4. doğru olmalı ve gerektiğinde güncel tutulmalıdır; işlenme amaçları göz önünde bulundurulduğunda yanlış olan kişisel verilerin gecikmeksizin silinmesini veya düzeltilmesini sağlamak için makul her adım atılmalıdır ("doğruluk");
   5. kişisel verilerin işlenme amaçları için gerekli olandan daha uzun süre boyunca veri sahiplerinin tanımlanmasına izin veren bir biçimde saklanır; kişisel veriler, yalnızca kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçları veya Madde 89(1) uyarınca istatistiksel amaçlar için işlendiği sürece, veri sahibinin hak ve özgürlüklerini korumak için bu Tüzük tarafından gerekli kılınan uygun teknik ve organizasyonel önlemlerin uygulanmasına tabi olarak ('saklama sınırlaması') daha uzun süreler boyunca saklanabilir;
   6. uygun teknik ve organizasyonel önlemler ("bütünlük ve gizlilik") kullanılarak yetkisiz veya yasa dışı işlemeye karşı ve kazara kayıp, imha veya hasara karşı koruma dahil olmak üzere kişisel verilerin uygun güvenliğini sağlayacak şekilde işlenir;
2. Kontrolör 1. paragrafa uyumdan sorumludur ve uyumu gösterebilmelidir ("hesap verebilirlik").

1. İşleme yalnızca aşağıdaki koşullardan en az birinin karşılanması halinde yasaldır:
   1. Veri sahibi, kişisel verilerinin bir veya daha fazla özel amaç için işlenmesine rıza göstermiştir;
   2. Veri sahibinin taraf olduğu bir sözleşmenin ifası için veya bir sözleşmeye girmeden önce veri sahibinin talebi üzerine adımlar atmak için işlemenin gerekli olması;
   3. Kontrolörün tabi olduğu yasal bir yükümlülüğe uymak için işlemenin gerekli olması;
   4. Veri sahibinin veya başka bir gerçek kişinin hayati çıkarlarını korumak için işlemenin gerekli olması;
   5. kamu yararına yürütülen bir görevin yerine getirilmesi veya kontrolöre verilen resmi yetkinin kullanılması için işleme faaliyetinin gerekli olması;
   6. özellikle veri sahibinin çocuk olduğu durumlar olmak üzere, kişisel verilerin korunmasını gerektiren veri sahibinin menfaatleri veya temel hak ve özgürlükleri tarafından bu menfaatlerin geçersiz kılındığı durumlar haricinde, kontrolör veya üçüncü bir tarafça gözetilen meşru menfaatler için işleme faaliyetinin gerekli olması.

   Birinci alt paragrafın (f) bendi, kamu makamlarının görevlerini yerine getirirken gerçekleştirdikleri işleme faaliyetleri için geçerli değildir.

2. Üye Devletler, Bölüm IX'da atıfta bulunulan diğer spesifik işleme durumları da dahil olmak üzere, yasal ve adil işlemenin sağlanmasına yönelik işleme ve diğer tedbirlere ilişkin spesifik gereklilikleri daha fazla belirlemek suretiyle, 1. paragrafın (c) ve (e) bentlerinin yerine getirilmesine yönelik işleme ile ilgili olarak bu Tüzük kurallarının uygulanmasını uyarlamak için daha spesifik hükümler muhafaza edebilir veya getirebilir.
3. Paragraf 1(c) ve (e)'de atıfta bulunulan işleme faaliyetlerinin yasal dayanağı aşağıdakiler tarafından belirlenecektir
   1. Birlik yasası veya
   2. kontrolörün tabi olduğu Üye Devletlerin hukuku.

   İşleme faaliyetinin amacı söz konusu yasal dayanakta belirtilir veya 1. paragrafın (e) bendinde atıfta bulunulan işleme faaliyetine ilişkin olarak, kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi yetkinin kullanılması için gerekli olur. Söz konusu yasal dayanak, kontrolör tarafından işleme faaliyetinin hukuka uygunluğuna ilişkin genel koşullar, işlenen veri türleri, ilgili veri sahipleri, kişisel verilerin ifşa edilebileceği kuruluşlar ve ifşa edilebilecekleri amaçlar, amaç sınırlaması, saklama süresi ve Bölüm IX'da atıfta bulunulan diğer spesifik işleme durumlarına yönelik olanlar gibi hukuka uygun ve adil işleme faaliyetinin sağlanmasına yönelik tedbirler de dahil olmak üzere uygulanabilecek işleme faaliyetleri ve usullerine ilişkin hükümler de dahil olmak üzere bu Tüzük kurallarının uygulanmasını uyarlayan spesifik hükümler içerebilir. Birlik veya Üye Devlet hukuku kamu yararına yönelik bir hedef izlemeli ve izlenen meşru amaçla orantılı olmalıdır.

4. Kişisel verilerin toplanma amacından başka bir amaca yönelik olarak işleme faaliyetinin veri sahibinin rızasına veya 23(1) maddesinde atıfta bulunulan hedeflerin korunması için demokratik bir toplumda gerekli ve orantılı bir tedbir teşkil eden Birlik veya üye devlet hukukuna dayanmadığı hallerde, kontrolör başka bir amaca yönelik işleme faaliyetinin kişisel verilerin ilk toplanma amacı ile uyumlu olup olmadığını belirlemek amacıyla, diğerlerinin yanı sıra aşağıdaki hususları dikkate alır
   1. kişisel verilerin toplanma amaçları ile amaçlanan ileri işlemenin amaçları arasında herhangi bir bağlantı,
   2. özellikle veri sahipleri ile kontrolör arasındaki ilişkiye ilişkin olarak kişisel verilerin toplandığı bağlam,
   3. kişisel verilerin niteliği, özellikle 9. madde uyarınca özel kategorilerdeki kişisel verilerin işlenip işlenmediği veya 10. madde uyarınca cezai mahkumiyet ve suçlara ilişkin kişisel verilerin işlenip işlenmediği,
   4. amaçlanan ileri işlemenin veri sahipleri için olası sonuçları,
   5. şifreleme veya takma ad vermeyi de içerebilecek uygun garantilerin varlığı.

1. İşlemenin rızaya dayalı olması halinde, kontrolör veri sahibinin kişisel verilerinin işlenmesine rıza gösterdiğini kanıtlayabilmelidir.
2. Veri sahibinin rızasının başka hususları da ilgilendiren yazılı bir beyan aracılığıyla verildiği hallerde, rıza talebi anlaşılabilir ve kolay erişilebilir bir biçimde, açık ve sade bir dil kullanılarak ve diğer hususlardan açıkça ayırt edilebilecek şekilde yapılmalıdır. Beyanın bazı kısımları bu Tüzüğe aykırılık teşkil ediyorsa bağlayıcı olmayacaktır.
3. İlgili kişi rızasını istediği zaman geri çekme hakkına sahiptir. Rızanın geri çekilmesi, geri çekilmeden önce rızaya dayalı işlemenin yasallığını etkilemeyecektir. Veri sahibi, rıza verilmeden önce bu konuda bilgilendirilecektir. Rızanın geri çekilmesi, rızanın verilmesi kadar basit olmalıdır.
4. Rızanın gönüllü olarak verilip verilmediği değerlendirilirken, diğer hususların yanı sıra, bir hizmetin sağlanması da dahil olmak üzere bir sözleşmenin yerine getirilmesinin, sözleşmenin yerine getirilmesi için gerekli olmayan kişisel verilerin işlenmesine rıza gösterilmesine bağlı olup olmadığı mümkün olduğunca dikkate alınmalıdır.

1. 6(1) maddesinin (a) bendinin doğrudan bir çocuğa yapılan bilgi toplumu hizmetleri teklifine uygulandığı hallerde, çocuğun kişisel verilerinin işlenmesi çocuğun on altı yaşına ulaşmış olması halinde hukuka uygun olacaktır. Çocuğun henüz on altı yaşına ulaşmamış olduğu hallerde, söz konusu işleme faaliyeti ancak söz konusu rızanın çocuk üzerinde ebeveyn sorumluluğuna sahip olan kişi tarafından veya bu kişinin mutabakatı ile verilmesi halinde ve bu ölçüde hukuka uygun olacaktır; Üye Devletler, on üç yaşın altında olmamak kaydıyla, bu amaçlar doğrultusunda kanunla daha düşük bir yaş sınırı öngörebilirler.
2. Kontrolör mevcut teknolojiyi göz önünde bulundurarak bu gibi durumlarda rızanın çocuğun ebeveyn sorumluluğunu taşıyan kişi tarafından veya bu kişinin rızası ile verildiğini doğrulamak için makul çabayı gösterir.
3. 1. Paragraf, bir çocukla ilgili bir sözleşmenin geçerliliği, oluşumu veya hukuki sonuçlarına ilişkin kurallar gibi Üye Devletlerin genel sözleşme hukukuna halel getirmez.

1. Irk veya etnik köken, siyasi görüş, dini veya felsefi inanç veya sendika üyeliğini ortaya koyan kişisel verilerin işlenmesi ve genetik verilerin, bir gerçek kişiyi benzersiz bir şekilde tanımlamak amacıyla biyometrik verilerin, sağlıkla ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel yönelimi ile ilgili verilerin işlenmesi yasaktır.
2. Paragraf 1 aşağıdaki durumlarda geçerli değildir:
   1. Birlik veya Üye Devlet hukukunun 1. paragrafta atıfta bulunulan yasağın veri sahibinin rızası ile kaldırılmasına izin vermediği durumlar haricinde, veri sahibi bu kişisel verilerin bir veya daha fazla belirli amaç için işlenmesine açık rıza göstermiştir,
   2. veri sahibinin temel hakları ve menfaatleri için uygun güvenceler sağlayan Birlik veya Üye Devlet hukuku ya da Üye Devlet hukuku kapsamındaki bir toplu sözleşme tarafından izin verildiği ölçüde kontrolör veya veri sahibinin iş hukuku ve sosyal güvenlik ve sosyal koruma hukukundan kaynaklanan haklarını kullanması ve yükümlülüklerini yerine getirmesi için işleme faaliyetinin gerekli olması,
   3. veri sahibinin veya başka bir gerçek kişinin hayati çıkarlarını korumak için işlemenin gerekli olması ve veri sahibinin fiziksel veya yasal olarak rıza veremeyecek durumda olması,
   4. işlemenin yalnızca kuruluşun üyeleri veya eski üyeleri ya da kuruluşun amacı ile bağlantılı olarak kuruluşla düzenli teması olan kişilerle ilgili olması ve kişisel verilerin veri sahiplerinin rızası olmadan harici olarak ifşa edilmemesi koşuluyla, meşru faaliyetleri sırasında siyasi, felsefi, dini veya sendikal amacı olan bir vakıf, dernek veya kar amacı gütmeyen diğer bir kuruluş tarafından uygun güvenceler temelinde gerçekleştirilmesi,
   5. işleme, veri sahibinin açıkça alenileştirdiği kişisel verilerle ilgilidir,
   6. işlemenin yasal hak taleplerinin oluşturulması, uygulanması veya savunulması ya da adli işlemlerin yürütülmesi için gerekli olması,
   7. Birlik veya Üye Devlet hukuku temelinde, izlenen amaçla orantılı olacak, veri koruma hakkının özüne saygı gösterecek ve veri sahibinin temel haklarını ve menfaatlerini korumak için uygun ve özel önlemler sağlayacak önemli kamu yararı nedenleriyle işlemenin gerekli olması,
   8. işleme faaliyetinin koruyucu hekimlik veya mesleki hekimlik, bir çalışanın işe uygunluğunun değerlendirilmesi, tıbbi teşhis, sağlık veya sosyal bakım veya tedavi sağlanması ya da sağlık veya sosyal bakım sistemlerinin ve hizmetlerinin Birlik veya Üye Devlet hukuku veya bir sağlık profesyoneli ile yapılan bir sözleşme temelinde ve 3. paragrafta atıfta bulunulan koşullara ve güvencelere tabi olarak yönetilmesi amaçlarıyla gerekli olması,
   9. işleme faaliyetinin, özellikle mesleki gizlilik olmak üzere veri sahibinin hak ve özgürlüklerini korumak için uygun ve özel tedbirler öngören Birlik veya Üye Devlet hukuku temelinde, sağlığa yönelik ciddi sınır ötesi tehditlere karşı koruma veya sağlık hizmetleri ile tıbbi ürün ve tıbbi cihazlarda yüksek kalite ve güvenlik standartlarının sağlanması gibi kamu sağlığı alanındaki kamu yararı gerekçeleriyle gerekli olması veya
   10. Kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçları veya istatistiksel amaçlar doğrultusunda 89(1) maddesi uyarınca Birlik veya Üye Devlet hukuku temelinde, izlenen amaçla orantılı olacak, veri koruma hakkının özüne saygı gösterecek ve veri sahibinin temel haklarını ve menfaatlerini korumak için uygun ve özel tedbirler sağlayacak şekilde işleme faaliyetinin gerekli olması.
3. Paragraf 1'de atıfta bulunulan kişisel veriler, söz konusu verilerin uzman personel tarafından veya uzman personelin sorumluluğu altında işlenmesi ve söz konusu uzman personelin Birlik veya Üye Devlet hukuku ya da ulusal yetkili makamların kuralları uyarınca mesleki gizliliğe bağlı olması veya işleme faaliyetinin Birlik veya Üye Devlet hukuku ya da ulusal yetkili makamların kuralları uyarınca mesleki gizliliğe bağlı olan başka bir kişi tarafından gerçekleştirilmesi halinde, paragraf 2'nin (h) bendinde atıfta bulunulan amaçlar doğrultusunda işlenebilir.
4. Üye Devletler genetik, biyometrik veya sağlık verilerinin işlenmesi söz konusu olduğunda kısıtlamalar da dahil olmak üzere ilave koşullar getirebilir veya bunları muhafaza edebilir.

1. Madde 6(1) uyarınca cezai mahkumiyetler ve suçlar veya ilgili güvenlik tedbirlerine ilişkin kişisel verilerin işlenmesi yalnızca kamu makamlarının kontrolü altında veya veri sahiplerinin hak ve özgürlükleri için uygun güvenceler sağlayan Birlik veya Üye Devlet hukuku tarafından yetkilendirildiğinde gerçekleştirilir. Cezai mahkumiyetlere ilişkin kapsamlı bir kayıt sadece kamu makamlarının gözetimi altında tutulabilir.

1. Bir kontrolörün kişisel verileri işleme amaçlarının veri sahibinin kontrolör tarafından tanımlanmasını gerektirmediği veya artık gerektirmediği hallerde, kontrolör yalnızca bu Tüzük'e uymak amacıyla veri sahibinin tanımlanması için ilave bilgileri saklamak, elde etmek veya işlemekle yükümlü değildir.
2. Bu maddenin 1. paragrafında atıfta bulunulan hallerde, kontrolörün veri sahibini tanımlayabilecek konumda olmadığını göstermesi halinde, mümkün olduğu hallerde, veri sahibini uygun şekilde bilgilendirir. Bu tür durumlarda, veri sahibinin bu maddeler kapsamındaki haklarını kullanabilmesi için kimliğinin tespit edilmesine olanak tanıyan ek bilgiler sunması haricinde 15 ila 20. maddeler uygulanmaz.

1. Kontrolör 13 ve 14. maddelerde atıfta bulunulan her türlü bilginin ve işleme faaliyetine ilişkin olarak 15 ila 22. maddelerde ve 34. maddede atıfta bulunulan her türlü bildirimin veri sahibine özlü, şeffaf, anlaşılır ve kolay erişilebilir bir biçimde, özellikle çocuklara yönelik bilgiler için açık ve sade bir dil kullanılarak iletilmesi için uygun tedbirleri alır. ²Bilgiler yazılı olarak veya gerektiğinde elektronik olarak da dahil olmak üzere başka bir biçimde sağlanacaktır. ³Veri sahibi tarafından talep edilmesi halinde, veri sahibinin kimliğinin başka bir şekilde kanıtlanmış olması kaydıyla, bilgiler sözlü olarak verilebilir.
2. Kontrolör veri sahibinin 15 ila 22. maddeler kapsamındaki haklarını kullanmasını kolaylaştırır. 11(2) maddesinde atıfta bulunulan hallerde, kontrolör yalnızca kontrolörün veri sahibinin kimliğini tespit edebilecek konumda olmadığını inandırıcı bir şekilde ortaya koyması halinde veri sahibinin 15 ila 22. maddeler kapsamındaki haklarını kullanma talebi üzerine harekete geçmeyi reddedebilir.
3. Kontrolör 15 ila 22. maddeler uyarınca talep üzerine gerçekleştirilen işlem hakkında veri sahibine gecikmeksizin ve her halükarda talebin alınmasını müteakip bir ay içerisinde bilgi sağlar. ²Başvuruların karmaşıklığı ve sayısı göz önünde bulundurularak gerekli görülmesi halinde bu süre iki ay daha uzatılabilir. ³Kontrolör talebin alınmasını müteakip bir ay içerisinde, gecikmenin nedenleri ile birlikte, veri sahibini süre uzatımına ilişkin olarak bilgilendirir. ⁴İlgili kişinin başvurusunu elektronik ortamda yapması halinde, kendisi aksini belirtmediği sürece, mümkün olan her durumda elektronik ortamda bilgilendirilir.
4. Kontrolörün veri sahibinin talebi üzerine harekete geçmemesi halinde, kontrolör gecikmeksizin ancak en geç talebin alınmasından itibaren bir ay içerisinde veri sahibini bunun nedenleri ve bir denetim makamına şikayette bulunma veya yargı yoluna başvurma olasılığı hakkında bilgilendirir.
5. ¹13 ve 14. maddeler uyarınca bilgiler ve 15 ila 22. maddeler ile 34. madde uyarınca tüm iletişim ve tedbirler ücretsiz olarak sağlanır. Bir veri sahibinin açıkça temelsiz veya özellikle sık sık tekrarlanan aşırı talepleri durumunda, kontrolör aşağıdakilerden birini yapabilir
   1. 1. bilgi veya bildirim sağlamanın ya da talep edilen tedbiri uygulamanın idari maliyetlerini dikkate alan makul bir ücret talep edebilir veya
      2. başvuru üzerinde işlem yapmayı reddedebilir.

   Sorumlu kişi, talebin açıkça asılsız veya aşırı olduğuna dair kanıt sunmalıdır.

6. Kontrolörün 15 ila 21. maddelerde atıfta bulunulan talepte bulunan gerçek kişinin kimliğine ilişkin makul şüphelerinin bulunması halinde, 11. maddeye halel gelmeksizin, kontrolör veri sahibinin kimliğinin teyit edilmesi için gerekli ek bilgileri talep edebilir.
7. Madde 13 ve 14 uyarınca veri sahiplerine sağlanacak bilgiler, amaçlanan işleme faaliyetine ilişkin anlamlı bir genel bakışın kolaylıkla algılanabilir, anlaşılabilir ve net bir şekilde anlaşılabilir bir biçimde sağlanması amacıyla standartlaştırılmış simgelerle birlikte sağlanabilir. ²Simgeler elektronik biçimde görüntüleniyorsa, makinede okunabilir olmalıdır.
8. Komisyon, 92. Madde uyarınca, simgeler tarafından temsil edilecek bilgilerin belirlenmesi ve standartlaştırılmış simgelerin sağlanmasına ilişkin usuller hakkında yetki devrine dayalı tasarruflar kabul etme yetkisine sahiptir.

1. Veri sahibinden kişisel verilerin toplanması halinde, kontrolör verilerin toplandığı sırada veri sahibini aşağıdakiler hakkında bilgilendirecektir:
   1. sorumlu kişinin ve varsa temsilcisinin adı ve iletişim bilgileri;
   2. Varsa, veri koruma görevlisinin iletişim bilgileri;
   3. kişisel verilerin hangi amaçlarla işleneceği ve işlemenin yasal dayanağı;
   4. işleme faaliyetinin Madde 6(1)(f)'ye dayanması halinde, kontrolör veya üçüncü bir tarafça gözetilen meşru menfaatler;
   5. uygulanabilir olduğu hallerde, kişisel verilerin alıcıları veya alıcı kategorileri; ve
   6. uygulanabilir olduğu hallerde, kontrolörün kişisel verileri üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarma niyeti ve Komisyon tarafından alınmış bir yeterlilik kararının varlığı veya yokluğu ya da 46. madde veya 47. madde ya da 49(1) maddesinin ikinci alt paragrafı uyarınca aktarımlar söz konusu olduğunda, uygun veya elverişli güvencelere ve bunların bir nüshasının nasıl elde edilebileceğine veya bunların nerede mevcut olduğuna ilişkin bir atıf.
2. Kontrolör, 1. paragrafta atıfta bulunulan bilgilere ek olarak, verilerin toplanması sırasında adil ve şeffaf işleme faaliyetinin sağlanması için gerekli olan aşağıdaki diğer bilgileri de veri sahibine sağlar:
   1. kişisel verilerin saklanacağı süre veya bunun mümkün olmaması halinde bu sürenin belirlenmesine ilişkin kriterler;
   2. kontrolör tarafından ilgili kişisel verilere erişim ve düzeltme veya silme veya işlemenin kısıtlanması veya işlemeye itiraz etme hakkı ve veri taşınabilirliği hakkının varlığı;
   3. işleme faaliyetinin Madde 6(1)(a) veya Madde 9(2)(a)'ya dayanması halinde, rızanın geri çekilmesinden önce rızaya dayalı işleme faaliyetinin hukuka uygunluğunu etkilemeksizin rızayı herhangi bir zamanda geri çekme hakkının varlığı;
   4. bir denetim makamına itiraz hakkının varlığı;
   5. kişisel verilerin sağlanmasının yasal veya sözleşmesel bir gereklilik olup olmadığı veya bir sözleşmenin imzalanması için gerekli bir gereklilik olup olmadığı, veri sahibinin kişisel verileri sağlamakla yükümlü olup olmadığı ve bu verilerin sağlanmamasının olası sonuçları ve
   6. Madde 22(1) ve (4)'te atıfta bulunulan profil oluşturma da dahil olmak üzere otomatik karar alma süreçlerinin varlığı ve en azından bu durumlarda, ilgili mantık hakkında anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçları.
3. Kontrolörün kişisel verilerin toplanma amacından başka bir amaç doğrultusunda kişisel verileri daha fazla işlemeyi planlaması halinde, kontrolör söz konusu daha fazla işleme faaliyetinden önce 2. paragraf uyarınca veri sahibine söz konusu diğer amaca ilişkin bilgileri ve ilgili diğer bilgileri sağlar.
4. 1., 2. ve 3. paragraflar, veri sahibinin halihazırda bilgiye sahip olması halinde ve bu ölçüde geçerli olmayacaktır.

1. Veri sahibinden kişisel veri toplanmaması halinde, kontrolör veri sahibini aşağıdaki hususlar hakkında bilgilendirir:
   1. sorumlu kişinin ve varsa temsilcisinin adı ve iletişim bilgileri;
   2. Ek olarak veri koruma görevlisinin iletişim bilgileri;
   3. kişisel verilerin hangi amaçlarla işleneceği ve işlemenin yasal dayanağı;
   4. işlenen kişisel veri kategorileri;
   5. uygulanabilir olduğu hallerde, kişisel verilerin alıcıları veya alıcı kategorileri;
   6. uygulanabilir olduğu hallerde, kontrolörün kişisel verileri üçüncü bir ülkedeki veya uluslararası bir kuruluştaki alıcıya aktarma niyeti ve Komisyon tarafından alınmış bir yeterlilik kararının varlığı veya yokluğu ya da 46. madde veya 47. madde ya da 49(1) maddesinin ikinci alt paragrafı uyarınca aktarımlar söz konusu olduğunda, uygun veya elverişli güvencelere ve bunların bir nüshasını edinme imkanına veya bunların nerede mevcut olduğuna ilişkin bir atıf.
2. Kontrolör 1. paragrafta atıfta bulunulan bilgilere ek olarak, veri sahibi ile ilgili olarak adil ve şeffaf işleme faaliyetinin sağlanması için gerekli olan aşağıdaki bilgileri veri sahibine sağlar:
   1. kişisel verilerin saklanacağı süre veya bunun mümkün olmaması halinde bu sürenin belirlenmesine ilişkin kriterler;
   2. işleme faaliyetinin Madde 6(1)(f)'ye dayanması halinde, kontrolör veya üçüncü bir tarafça gözetilen meşru menfaatler;
   3. kontrolör tarafından ilgili kişisel verilere ve düzeltme veya silme veya işlemenin kısıtlanmasına erişim hakkının ve işlemeye itiraz etme hakkının ve veri taşınabilirliği hakkının varlığı;
   4. işleme faaliyetinin Madde 6(1)(a) veya Madde 9(2)(a)'ya dayanması halinde, rızanın geri çekilmesinden önce rızaya dayalı işleme faaliyetinin hukuka uygunluğunu etkilemeksizin rızayı herhangi bir zamanda geri çekme hakkının varlığı;
   5. bir denetim makamına itiraz hakkının varlığı;
   6. kişisel verilerin kaynağı ve varsa kamuya açık kaynaklardan elde edilip edilmediği;
   7. Madde 22(1) ve (4)'te atıfta bulunulan profil oluşturma da dahil olmak üzere otomatik karar alma süreçlerinin varlığı ve en azından bu durumlarda, ilgili mantık hakkında anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçları.
3. Kontrolör 1. ve 2. paragraflarda atıfta bulunulan bilgileri sağlar
   1. kişisel verilerin işlenmesine ilişkin özel koşulları dikkate alarak, kişisel verilerin elde edilmesinden sonra makul bir süre içinde, ancak en geç bir ay içinde,
   2. Kişisel verilerin ilgili kişi ile iletişim için kullanılacak olması halinde, en geç ilgili kişi ile ilk iletişim kurulduğu anda veya
   3. başka bir alıcıya ifşa edilmesi amaçlanıyorsa, en geç ilk ifşa sırasında.
4. Kontrolörün kişisel verileri kişisel verilerin elde edilme amacından başka bir amaç doğrultusunda daha fazla işlemeyi planlaması halinde, kontrolör söz konusu daha fazla işleme faaliyetinden önce 2. paragraf uyarınca veri sahibine söz konusu diğer amaca ilişkin bilgileri ve ilgili diğer bilgileri sağlar.
5. 1 ila 4. Paragraflar aşağıdaki hallerde ve ölçüde geçerli olmayacaktır
   1. ilgili kişi zaten bilgiye sahiptir,
   2. özellikle 89(1) maddesinde atıfta bulunulan koşullar ve güvencelere tabi olarak kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçları veya istatistiki amaçlar doğrultusunda işleme faaliyeti için söz konusu bilgilerin sağlanmasının imkansız olduğu veya orantısız bir çaba gerektireceği veya bu maddenin 1. paragrafında atıfta bulunulan yükümlülüğün söz konusu işleme faaliyetinin amaçlarına ulaşılmasını imkansız hale getirmesinin veya ciddi şekilde zedelemesinin muhtemel olduğu haller. Bu gibi durumlarda, kontrolör bilgilerin kamuya açık hale getirilmesi de dahil olmak üzere veri sahibinin hak ve özgürlükleri ile meşru menfaatlerinin korunmasına yönelik uygun tedbirleri uygular,
   3. elde edilmesi veya ifşa edilmesine kontrolörün tabi olduğu ve aynı zamanda veri sahibinin meşru menfaatlerinin korunmasına yönelik uygun tedbirleri belirleyen Birlik veya üye devlet hukuku tarafından açıkça izin verilmiş olması veya
   4. kişisel veriler, yasal gizlilik yükümlülüğü de dahil olmak üzere Birlik veya Üye Devlet hukuku kapsamında mesleki gizliliğe tabidir ve bu nedenle gizli olarak ele alınmalıdır.

1. Veri sahibi, kontrolörden kendisiyle ilgili kişisel verilerin işlenip işlenmediğine ilişkin teyit alma ve böyle bir durumda kişisel verilere ve aşağıdaki bilgilere erişim hakkına sahiptir:
   1. işleme amaçları;
   2. işlenen kişisel veri kategorileri;
   3. özellikle üçüncü ülkelerdeki veya uluslararası kuruluşlardaki alıcılar olmak üzere kişisel verilerin ifşa edildiği veya edileceği alıcılar veya alıcı kategorileri;
   4. mümkünse, kişisel verilerin saklanacağı öngörülen süre veya mümkün değilse, bu sürenin belirlenmesinde kullanılan kriterler;
   5. kontrolörden kişisel verilerin düzeltilmesini veya silinmesini veya veri sahibi ile ilgili kişisel verilerin işlenmesinin kısıtlanmasını talep etme veya bu tür işlemlere itiraz etme hakkının varlığı;
   6. bir denetim makamına itiraz hakkının varlığı;
   7. kişisel veriler veri sahibinden toplanmamışsa, verilerin kaynağı hakkında mevcut tüm bilgiler;
   8. Madde 22(1) ve (4)'te atıfta bulunulan profil oluşturma da dahil olmak üzere otomatik karar alma süreçlerinin varlığı ve en azından bu durumlarda, ilgili mantık hakkında anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçları.
2. Kişisel verilerin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılması halinde, veri sahibi aktarımla ilgili olarak 46. madde uyarınca uygun güvenceler hakkında bilgilendirilme hakkına sahip olacaktır.
3. Kontrolör, işlenmekte olan kişisel verilerin bir kopyasını sağlayacaktır. ²Veri sahibi tarafından talep edilen diğer kopyalar için kontrolör idari masraflara dayalı olarak makul bir ücret talep edebilir. Veri sahibinin talebi elektronik olarak yapması halinde, veri sahibi aksini belirtmediği sürece, bilgiler yaygın olarak kullanılan bir elektronik formatta sağlanacaktır.
4. Paragraf 3 uyarınca bir kopya alma hakkı, başkalarının hak ve özgürlüklerini olumsuz yönde etkilemeyecektir.

1. Veri sahibi, kendisiyle ilgili yanlış kişisel verilerin düzeltilmesini gecikmeksizin kontrolörden talep etme hakkına sahiptir. İşleme amaçları göz önünde bulundurulduğunda, veri sahibi, ek bir beyanda bulunmak da dahil olmak üzere, eksik kişisel verilerin tamamlanmasını sağlama hakkına sahip olacaktır.

1. Veri sahibi kontrolörden kendisiyle ilgili kişisel verilerin gecikmeksizin silinmesini talep etme hakkına sahiptir ve kontrolör aşağıdaki gerekçelerden birinin geçerli olduğu durumlarda kişisel verileri gecikmeksizin silmekle yükümlüdür:
   1. Kişisel veriler, toplandıkları veya başka bir şekilde işlendikleri amaçlar için artık gerekli değildir.
   2. Veri sahibinin 6(1) maddesinin (a) bendi veya 9(2) maddesinin (a) bendi uyarınca işlemenin dayandığı rızayı geri çekmesi ve işleme için başka bir yasal dayanağın bulunmaması.
   3. Veri sahibi Madde 21(1) uyarınca işlemeye itiraz eder ve işleme için ağır basan meşru gerekçeler yoktur veya veri sahibi Madde 21(2) uyarınca işlemeye itiraz eder.
      işleme itiraz edebilir.
   4. Kişisel veriler hukuka aykırı olarak işlenmiştir.
   5. Kişisel verilerin silinmesi, Birlik hukuku veya kontrolörün tabi olduğu Üye Devletlerin hukuku kapsamında yasal bir yükümlülüğün yerine getirilmesi için gereklidir.
   6. Kişisel veriler Madde 8(1)'de atıfta bulunulan bilgi toplumu hizmetlerinin sunulmasına ilişkin olarak toplanmıştır.
2. Kontrolörün kişisel verileri alenileştirdiği ve 1. paragraf uyarınca kişisel verileri silmekle yükümlü olduğu hallerde, kontrolör, mevcut teknolojiyi ve uygulama maliyetini dikkate alarak, kişisel verileri işleyen kontrolörleri veri sahibinin söz konusu kontrolörler tarafından bu kişisel verilere yönelik her türlü bağlantının veya bunların kopyasının ya da çoğaltılmasının silinmesini talep ettiği hususunda bilgilendirmek için teknik tedbirler de dahil olmak üzere makul adımları atar.
3. İşlemenin gerekli olması halinde 1. ve 2. paragraflar geçerli değildir
   1. ifade ve bilgi edinme özgürlüğü hakkını kullanmak;
   2. kontrolörün tabi olduğu Birlik veya Üye Devlet hukuku uyarınca işleme faaliyetinin gerçekleştirilmesini gerektiren bir yasal yükümlülüğe uyulması veya kamu yararına gerçekleştirilen bir görevin yerine getirilmesi ya da kontrolöre verilen resmi yetkinin kullanılması;
   3. Madde 9(2)(h) ve (i) ve Madde 9(3) uyarınca kamu sağlığı alanında kamu yararı gerekçesiyle;
   4. Madde 89 uyarınca kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçları veya istatistiksel amaçlar için
      1. paragrafta atıfta bulunulan hakkın söz konusu işleme faaliyetinin hedeflerine ulaşılmasını imkansız hale getirmesi veya ciddi şekilde bozması muhtemel olduğu ölçüde, veya
   5. yasal taleplerin ileri sürülmesi, uygulanması veya savunulması için.

1. Veri sahibi, aşağıdakilerden birinin geçerli olduğu durumlarda kontrolörden işleme faaliyetinin kısıtlanmasını talep etme hakkına sahiptir:
   1. kişisel verilerin doğruluğuna veri sahibi tarafından itiraz edilmesi durumunda, kontrolörün kişisel verilerin doğruluğunu teyit etmesine olanak tanıyan bir süre boyunca,
   2. işlemenin hukuka aykırı olması ve veri sahibinin kişisel verilerin silinmesine karşı çıkması ve bunun yerine kullanımlarının kısıtlanmasını talep etmesi;
   3. kontrolörün işleme amaçları için kişisel verilere artık ihtiyaç duymaması, ancak yasal taleplerin oluşturulması, uygulanması veya savunulması için veri sahibi tarafından gerekli olması veya
   4. veri sahibinin 21(1) maddesi uyarınca veri işleme faaliyetine itiraz etmiş olması halinde, kontrolörün meşru gerekçelerinin veri sahibinin meşru gerekçelerine üstün gelip gelmediğinin doğrulanması beklenir.
2. İşleme faaliyetinin 1. paragraf uyarınca sınırlandırıldığı hallerde, söz konusu kişisel veriler, depolama hariç olmak üzere, yalnızca veri sahibinin rızasıyla veya yasal hak taleplerinin oluşturulması, uygulanması veya savunulması ya da başka bir gerçek veya tüzel kişinin haklarının korunması veya Birlik ya da bir Üye Devletin önemli kamu yararı gerekçeleriyle işlenir.
3. Birinci paragraf uyarınca işleme faaliyetinin kısıtlanmasını elde etmiş olan bir veri sahibi işleme faaliyetinin kısıtlanması kaldırılmadan önce kontrolör tarafından bilgilendirilir.

1. Kontrolör 16. madde, 17(1) maddesi ve 18. madde uyarınca gerçekleştirilen herhangi bir kişisel veri düzeltme veya silme işlemini ya da işleme faaliyetinin kısıtlanmasını, bunun imkansız olduğu veya orantısız bir çaba gerektirdiği kanıtlanmadıkça, kişisel verilerin ifşa edildiği her bir alıcıya iletir. Veri sahibinin talep etmesi halinde, kontrolör veri sahibini bu alıcılar hakkında bilgilendirir.

1. Veri sahibi, bir kontrolöre sağlamış olduğu kendisiyle ilgili kişisel verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta alma hakkına ve aşağıdaki hallerde kişisel verilerin sağlandığı kontrolör tarafından engellenmeksizin bu verileri başka bir kontrolöre iletme hakkına sahip olacaktır
   1. işleme faaliyetinin Madde 6(1)(a) veya Madde 9(2)(a) uyarınca rızaya veya Madde 6(1)(b) uyarınca bir sözleşmeye dayanması ve
   2. işleme otomatik prosedürler kullanılarak gerçekleştirilir.
2. Veri sahibi, 1. paragraf uyarınca veri taşınabilirliği hakkını kullanırken, teknik olarak mümkün olması halinde, kişisel verilerinin doğrudan bir kontrolörden diğerine aktarılmasını sağlama hakkına sahip olacaktır.
3. Bu maddenin 1. paragrafında atıfta bulunulan hakkın kullanılması 17. maddeye halel getirmez. Bu hak, kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi yetkinin kullanılması için gerekli olan işleme faaliyetlerine uygulanmaz.
4. Paragraf 1'de atıfta bulunulan hak, diğer kişilerin hak ve özgürlüklerini olumsuz yönde etkilemez.

1. Veri sahibi, söz konusu hükümlere dayalı profil oluşturma da dahil olmak üzere 6(1) maddesinin (e) veya (f) bendine dayalı olarak kendisiyle ilgili kişisel verilerin işlenmesine kendi özel durumuna ilişkin gerekçelerle her zaman itiraz etme hakkına sahiptir. Kontrolör, veri sahibinin menfaatlerini, haklarını ve özgürlüklerini geçersiz kılan işleme için veya yasal taleplerin oluşturulması, uygulanması veya savunulması için zorlayıcı meşru gerekçeler göstermedikçe, kontrolör artık kişisel verileri işlemeyecektir.
2. Kişisel verilerin doğrudan pazarlama amacıyla işlendiği durumlarda, veri sahibi, söz konusu doğrudan pazarlama ile ilgili olduğu ölçüde profil oluşturmayı da içeren bu tür bir pazarlama için kendisiyle ilgili kişisel verilerin işlenmesine istediği zaman itiraz etme hakkına sahip olacaktır.
3. İlgili kişi doğrudan pazarlama amacıyla işlemeye itiraz ederse, kişisel veriler artık bu amaçlar için işlenmeyecektir.
4. Veri sahibi, 1. ve 2. paragraflarda atıfta bulunulan hak konusunda en geç kendisiyle ilk iletişim kurulduğu anda açıkça bilgilendirilmelidir; bu bilgi diğer bilgilerden ayrı olarak anlaşılabilir bir biçimde sağlanmalıdır.
5. Bilgi toplumu hizmetlerinin kullanımı bağlamında ve 2002/58/EC sayılı Direktife bakılmaksızın, veri sahibi teknik özellikler kullanılarak otomatik yollarla itiraz etme hakkını kullanabilir.
6. Veri sahibi, kamu yararı nedeniyle yürütülen bir görevin ifası için gerekli olmadığı sürece, 89(1) maddesi uyarınca bilimsel veya tarihi araştırma amaçları ya da istatistiksel amaçlar doğrultusunda kendisiyle ilgili kişisel verilerin işlenmesine kendi özel durumuna ilişkin gerekçelerle itiraz etme hakkına sahiptir.

1. Veri sahibi, kendisiyle ilgili yasal etkiler doğuran veya benzer şekilde kendisini önemli ölçüde etkileyen profil oluşturma da dahil olmak üzere yalnızca otomatik işlemeye dayalı bir karara tabi olmama hakkına sahiptir.
2. Kararın aşağıdaki durumlarda 1. paragraf uygulanmaz
   1. veri sahibi ile veri sorumlusu arasında bir sözleşmenin imzalanması veya yerine getirilmesi için gerekli olması,
   2. kontrolörün tabi olduğu ve aynı zamanda veri sahibinin hak ve özgürlükleri ile meşru menfaatlerinin korunmasına yönelik uygun tedbirleri belirleyen Birlik veya Üye Devlet hukuku tarafından yetkilendirilmiş olması; veya
   3. veri sahibinin açık rızası ile.
3. 2(a) ve (c) paragraflarında atıfta bulunulan durumlarda, veri kontrolörü veri sahibinin hak ve özgürlükleri ile meşru menfaatlerini, en azından kontrolörün insani müdahalesini elde etme, kendi bakış açısını ifade etme ve karara itiraz etme hakkını korumak için uygun tedbirleri uygular.
4. Paragraf 2'de atıfta bulunulan kararlar, Madde 9(2)'nin (a) veya (g) bendi geçerli olmadıkça ve veri sahibinin hak ve özgürlükleri ile meşru menfaatlerini korumaya yönelik uygun tedbirler mevcut olmadıkça, Madde 9(1)'de atıfta bulunulan özel kategorilerdeki kişisel verilere dayandırılamaz.

1. Kontrolör veya işleyicinin tabi olduğu Birlik veya üye devlet hukuku, söz konusu kısıtlamanın temel hak ve özgürlüklerin özüne saygı göstermesi ve demokratik bir toplumda aşağıdakileri sağlamak için gerekli ve orantılı bir tedbir teşkil etmesi koşuluyla, 12 ila 22. maddelerde ve 34. maddede ve 5. maddede atıfta bulunulan yükümlülük ve hakları, hükümlerinin 12 ila 22. maddelerde sağlanan hak ve yükümlülüklere karşılık geldiği ölçüde, yasama tedbirleri vasıtasıyla kısıtlayabilir
   1. ulusal güvenlik;
   2. ulusal savunma;
   3. Kamu güvenliği;
   4. kamu güvenliğine yönelik tehditlere karşı koruma ve bu tehditlerin önlenmesi de dahil olmak üzere, cezai suçların önlenmesi, soruşturulması, tespiti veya kovuşturulması ya da cezaların infazı;
   5. Birliğin veya bir Üye Devletin genel kamu yararına ilişkin diğer önemli hedeflerinin, özellikle de parasal, bütçesel, mali, kamu sağlığı ve sosyal güvenlik konuları gibi Birliğin veya bir Üye Devletin önemli bir ekonomik veya mali menfaatinin korunması;
   6. yargının bağımsızlığının ve mahkeme işlemlerinin korunması;
   7. Düzenlenmiş mesleklerin mesleki kurallarının ihlallerinin önlenmesi, tespiti, soruşturulması ve kovuşturulması;
   8. (a) ila (e) ve (g) bentlerinde belirtilen amaçlar doğrultusunda resmi yetkinin kullanılmasıyla sürekli veya geçici olarak bağlantılı olan kontrol, izleme ve düzenleme işlevleri;
   9. veri sahibinin veya başkalarının hak ve özgürlüklerinin korunması;
   10. medeni hukuk taleplerinin uygulanması.
2. Paragraf 1'de atıfta bulunulan herhangi bir yasama tedbiri, özellikle, uygun olduğu hallerde, en azından aşağıdaki hususlara ilişkin özel hükümler içerecektir
   1. işleme amaçları veya işleme kategorileri,
   2. kişisel veri kategorileri,
   3. uygulanan kısıtlamaların kapsamı,
   4. kötüye kullanım veya yasa dışı erişim veya iletime karşı önlemler;
   5. kontrolörün veya kontrolör kategorilerinin ayrıntıları,
   6. işlemenin veya işleme kategorilerinin niteliği, kapsamı ve amaçları dikkate alınarak ilgili saklama süreleri ve uygulanabilir koruma önlemleri,
   7. veri sahiplerinin hak ve özgürlüklerine yönelik riskler ve
   8. kısıtlamanın amacına zarar vermediği sürece, veri sahiplerinin kısıtlama hakkında bilgilendirilme hakkı.

1. Kontrolör işleme faaliyetinin niteliği, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hakları ve özgürlüklerine yönelik değişen olasılık ve ciddiyetteki riskleri dikkate alarak işleme faaliyetinin bu Tüzük uyarınca gerçekleştirilmesini sağlamak ve bunu gösterebilmek için uygun teknik ve organizasyonel tedbirleri uygular. Bu tedbirler gerektiğinde gözden geçirilir ve güncellenir.
2. İşleme faaliyetleriyle orantılı olması koşuluyla, 1. paragrafta atıfta bulunulan tedbirler kontrolör tarafından uygun veri koruma güvencelerinin uygulanmasını içerir.
3. Kontrolörün yükümlülüklerinin yerine getirildiğini göstermek için 40. maddede atıfta bulunulan onaylı davranış kurallarına veya 42. maddede atıfta bulunulan onaylı bir belgelendirme mekanizmasına uyum bir faktör olarak kullanılabilir.

1. Kontrolör, teknolojinin geldiği noktayı, uygulama maliyetlerini ve işleme faaliyetinin niteliği, kapsamı, bağlamı ve amaçlarının yanı sıra işleme faaliyetinin gerçek kişilerin hakları ve özgürlükleri açısından teşkil ettiği değişen olasılık ve ciddiyetteki riskleri dikkate alarak, hem işleme araçlarının belirlenmesi sırasında hem de işleme faaliyetinin kendisi sırasında, bu Tüzük'ün gerekliliklerinin karşılanması ve veri sahiplerinin haklarının korunması amacıyla veri minimizasyonu gibi veri koruma ilkelerinin etkili bir şekilde uygulanması ve işleme faaliyetine gerekli güvencelerin entegre edilmesi için tasarlanmış olan takma ad kullanımı gibi uygun teknik ve kurumsal tedbirleri uygular. Kontrolör hem işleme araçlarını belirlerken hem de işleme sırasında, veri minimizasyonu gibi veri koruma ilkelerini etkin bir şekilde uygulamak ve bu Tüzük'ün gerekliliklerini karşılamak ve veri sahiplerinin haklarını korumak amacıyla gerekli güvenceleri işleme sürecine dahil etmek üzere tasarlanmış olan takma ad kullanımı gibi uygun teknik ve organizasyonel tedbirleri uygular.
2. Kontrolör, varsayılan olarak yalnızca her bir spesifik işleme amacı için işlenmesi gerekli olan kişisel verilerin işlenmesini sağlamak üzere uygun teknik ve organizasyonel tedbirleri uygular. Bu yükümlülük toplanan kişisel verilerin miktarı, işlenmelerinin kapsamı, saklama süreleri ve erişilebilirlikleri için geçerlidir. Özellikle, bu tür tedbirler kişisel verilerin kişinin müdahalesi olmaksızın varsayılan olarak belirsiz sayıda gerçek kişi tarafından erişilebilir hale getirilmemesini sağlamalıdır.
3. Madde 42'de atıfta bulunulan onaylı bir belgelendirme prosedürü, bu Maddenin 1. ve 2. paragraflarında atıfta bulunulan gerekliliklere uygunluğu göstermek için bir faktör olarak kullanılabilir.

1. İki veya daha fazla kontrolörün işleme amaçlarını ve yöntemlerini müştereken belirlediği hallerde, bunlar müşterek kontrolörlerdir. Kontrolörlerin ilgili görevlerinin kontrolörlerin tabi olduğu Birlik veya üye devlet hukuku tarafından belirlendiği durumlar haricinde, kontrolörler, özellikle veri sahibinin haklarının kullanılmasına ilişkin olarak, bu Tüzük kapsamındaki hangi yükümlülüğü hangisinin yerine getirdiğini ve 13. ve 14. maddeler uyarınca hangi bilgi yükümlülüklerini hangisinin yerine getirdiğini bir anlaşmada şeffaf bir şekilde belirtirler. Anlaşma veri sahipleri için bir irtibat noktası belirleyebilir.
2. ¹Paragraf 1'de atıfta bulunulan anlaşma, ortak kontrolörlerin veri sahipleri karşısındaki fiili işlevlerini ve ilişkilerini gerektiği şekilde yansıtacaktır. Anlaşmanın özü veri sahibinin erişimine sunulacaktır.
3. Paragraf 1'de atıfta bulunulan anlaşmanın ayrıntılarına bakılmaksızın, veri sahibi bu Tüzük kapsamındaki haklarını kontrolörlerin her biri nezdinde ve her birine karşı ileri sürebilir.

1. Madde 3(2)'de atıfta bulunulan hallerde, kontrolör veya işleyici Birlik içerisinde yazılı olarak bir temsilci belirler.
2. Bu maddenin 1. paragrafında atıfta bulunulan yükümlülük aşağıdakilere uygulanmaz
   1. ara sıra yapılan ve Madde 9(1)'de atıfta bulunulan özel kategorilerdeki verilerin büyük ölçekli işlenmesini veya Madde 10'da atıfta bulunulan cezai hükümler ve suçlarla ilgili kişisel verilerin büyük ölçekli işlenmesini içermeyen ve işlemenin niteliği, bağlamı, kapsamı ve amaçları dikkate alındığında gerçek kişilerin hakları ve özgürlükleri üzerinde bir riske yol açması muhtemel olmayan işleme faaliyetleri; veya
   2. Yetkililer veya kamu kurumları.
3. Temsilci, kendilerine sunulan mal veya hizmetlerle bağlantılı olarak kişisel verileri işlenen veya davranışları izlenen veri sahiplerinin bulunduğu Üye Devletlerden birinde kurulmalıdır.
4. Temsilci kontrolör veya işleyici tarafından kontrolör veya işleyiciye ek olarak veya onun yerine, özellikle denetim makamları ve veri sahipleri için, bu Tüzük ile uyumluluğun sağlanması amacıyla işleme faaliyetine ilişkin tüm konularda bir irtibat noktası olarak hareket etmek üzere atanır.
5. Kontrolör veya işleyici tarafından bir temsilcinin atanması, kontrolör veya işleyicinin kendisine karşı herhangi bir yasal işlem yapılmasına halel getirmez.

1. İşleme faaliyetinin bir kontrolör adına gerçekleştirildiği hallerde, kontrolör yalnızca işleme faaliyetinin bu Tüzük'ün gerekliliklerine uygun olarak gerçekleştirilmesini ve veri sahibinin haklarının korunmasını sağlayacak şekilde uygun teknik ve organizasyonel tedbirlerin uygulandığına dair yeterli güvence sağlayan işleyicilerle çalışır.
2. İşleyici, Kontrolörün önceden ayrı veya genel yazılı izni olmaksızın başka bir İşleyici ile çalışmayacaktır. Genel bir yazılı yetkilendirme durumunda, İşleyici, diğer İşleyicilerin katılımı veya değiştirilmesi ile ilgili olarak planlanan herhangi bir değişiklik hakkında Kontrolöre her zaman bilgi verecek ve Kontrolöre bu tür değişikliklere itiraz etme fırsatı verecektir.
3. Bir işleyici tarafından işleme faaliyeti, Birlik veya üye devlet hukuku kapsamında işleyiciyi kontrolöre karşı bağlayan ve işleme faaliyetinin konusunu ve süresini, işleme faaliyetinin niteliğini ve amacını, kişisel verilerin türünü, veri sahibi kategorilerini ve kontrolörün yükümlülüklerini ve haklarını ortaya koyan bir sözleşmeye veya başka bir yasal araca dayanır. ²Bu sözleşme veya diğer yasal belge özellikle işleyicinin aşağıdakileri yapmasını öngörür
   1. kişisel verilerin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılması da dahil olmak üzere, işleyicinin tabi olduğu Birlik veya üye devlet hukuku tarafından gerekli kılınmadıkça, kişisel verileri yalnızca kontrolörün belgelendirilmiş talimatları doğrultusunda işler; böyle bir durumda, söz konusu hukuk önemli kamu yararı gerekçesiyle bu tür bir iletişimi yasaklamadıkça, işleyici işleme faaliyetinden önce bu yasal gereklilikleri kontrolöre iletir;
   2. kişisel verileri işleme yetkisine sahip kişilerin gizlilik taahhüdünde bulunmalarını veya uygun bir yasal gizlilik yükümlülüğüne tabi olmalarını sağlar;
   3. Madde 32 uyarınca gerekli tüm tedbirleri alır;
   4. başka bir işleyicinin hizmetlerinin kullanımı için 2. ve 4. paragraflarda belirtilen koşullara uyması;
   5. işleme faaliyetinin niteliği göz önünde bulundurularak, mümkün olduğu hallerde, Bölüm III'te atıfta bulunulan veri sahibinin haklarını kullanma taleplerine yanıt verme yükümlülüğüne uyması için uygun teknik ve organizasyonel tedbirlerle kontrolöre yardımcı olur;
   6. işleme faaliyetinin niteliğini ve kendisine sunulan bilgileri dikkate alarak, kontrolöre 32 ila 36. maddelerde atıfta bulunulan yükümlülüklere uyması hususunda yardımcı olur;
   7. işleme hizmetlerinin sağlanmasının tamamlanmasının ardından, Birlik hukuku veya Üye Devletlerin hukuku kapsamında kişisel verilerin saklanmasına ilişkin bir zorunluluk bulunmadığı sürece, kontrolörün takdirine bağlı olarak tüm kişisel verileri siler veya iade eder ve mevcut kopyaları siler;
   8. kontrolöre bu maddede ortaya konan yükümlülüklere uygunluğun gösterilmesi için gerekli tüm bilgileri sağlar ve kontrolör veya kontrolör tarafından yetkilendirilen başka bir denetçi tarafından gerçekleştirilen teftişler de dahil olmak üzere denetimleri kolaylaştırır ve bunlara katkıda bulunur.

   Birinci alt paragrafın (h) bendine ilişkin olarak, bir talimatın bu Tüzük veya diğer Birlik ya da üye devlet veri koruma hükümlerini ihlal ettiğini düşünmesi halinde, işleyici kontrolörü gecikmeksizin bilgilendirir.

4. İşleyicinin kontrolör adına belirli işleme faaliyetlerini gerçekleştirmek üzere başka bir işleyicinin hizmetlerini kullandığı hallerde, özellikle uygun teknik ve organizasyonel tedbirlerin işleme faaliyetinin bu Tüzük'ün gerekliliklerini karşılayacağı şekilde uygulanacağına dair yeterli teminatların sağlanması suretiyle, Birlik veya üye devlet hukuku kapsamında bir sözleşme veya başka bir hukuki araç vasıtasıyla kontrolör ile 3. paragrafta atıfta bulunulan işleyici arasındaki sözleşme veya başka bir hukuki araçta belirtilenlerle aynı veri koruma yükümlülükleri söz konusu diğer işleyiciye de uygulanır. ²Diğer işleyicinin veri koruma yükümlülüklerini yerine getirmemesi halinde, ilk işleyici kontrolöre karşı diğer işleyicinin yükümlülüklerine uymakla yükümlü olacaktır.
5. Bir işleyicinin 40. Madde uyarınca onaylanmış bir davranış kuralına veya 42. Madde uyarınca onaylanmış bir belgelendirme mekanizmasına uyması, bu Maddenin 1. ve 4. paragrafları anlamında yeterli garantileri göstermek için bir faktör olarak kullanılabilir.
6. Kontrolör ile işleyici arasındaki münferit sözleşmeye halel gelmeksizin, bu maddenin 3 ve 4. paragraflarında atıfta bulunulan sözleşme veya diğer hukuki araç, 42 ve 43. maddeler uyarınca kontrolör veya işleyiciye verilen bir sertifikanın bir parçasını oluşturdukları haller de dahil olmak üzere, tamamen veya kısmen bu maddenin 7 ve 8. paragraflarında atıfta bulunulan standart sözleşme hükümlerine dayandırılabilir.
7. Komisyon, 93(2) maddesinde atıfta bulunulan inceleme usulüne uygun olarak, bu maddenin 3. ve 4. paragraflarında atıfta bulunulan hususları ele almak üzere standart sözleşme hükümleri kabul edebilir.
8. Bir denetim makamı 63. maddede atıfta bulunulan tutarlılık mekanizması uyarınca, bu maddenin 3 ve 4. paragraflarında atıfta bulunulan hususları ele almak üzere standart sözleşme hükümleri kabul edebilir.
9. Sözleşme veya 3. ve 4. paragraflar kapsamındaki diğer yasal belgeler, elektronik formatta da olabilen yazılı olarak düzenlenmelidir.
10. 82, 83 ve 84. maddelere halel gelmeksizin, bu Tüzük'e aykırı olarak işleme amaçlarını ve yöntemlerini belirleyen bir işleyici söz konusu işleme faaliyeti bakımından kontrolör olarak kabul edilir.

1. İşleyici ve kontrolör veya işleyiciye bağlı olan ve kişisel verilere erişimi olan herhangi bir kişi, Birlik hukuku veya üye devletlerin hukuku uyarınca bunu yapmakla yükümlü olmadıkları sürece, bu verileri yalnızca kontrolörün talimatları doğrultusunda işleyebilir.

1. Her bir kontrolör ve uygun olduğu hallerde bunların temsilcileri sorumlu oldukları tüm işleme faaliyetlerinin kaydını tutmalıdır. ²Bu liste aşağıdaki bilgilerin tümünü içerir:
   1. kontrolörün ve uygun olduğu hallerde ortak kontrolörün, kontrolörün temsilcisinin ve herhangi bir veri koruma görevlisinin adı ve iletişim bilgileri;
   2. işlemenin amaçları;
   3. veri sahibi kategorilerinin ve kişisel veri kategorilerinin bir açıklaması;
   4. üçüncü ülkelerdeki veya uluslararası kuruluşlardaki alıcılar da dahil olmak üzere kişisel verilerin ifşa edildiği veya edileceği alıcı kategorileri;
   5. uygulanabilir olduğu hallerde, ilgili üçüncü ülkenin veya uluslararası kuruluşun tanımlanması ve 49(1) maddesinin ikinci alt paragrafında atıfta bulunulan aktarımlar için uygun güvencelerin belgelendirilmesi de dahil olmak üzere, kişisel verilerin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılması;
   6. mümkünse, çeşitli veri kategorilerinin silinmesi için öngörülen zaman sınırları;
   7. mümkün olduğu hallerde, Madde 32(1)'de atıfta bulunulan teknik ve organizasyonel tedbirlerin genel bir tanımı.
2. Her bir işleyici ve, uygun olduğu hallerde, temsilcisi bir kontrolör adına gerçekleştirilen tüm işleme faaliyet kategorilerine ilişkin olarak aşağıdakileri de içeren bir kayıt tutar:
   1. işleyici veya işleyicilerin ve işleyicinin adına hareket ettiği herhangi bir kontrolörün ve uygun olduğu hallerde kontrolör veya işleyicinin temsilcisinin ve herhangi bir veri koruma görevlisinin adı ve iletişim bilgileri;
   2. Her bir kontrolör adına gerçekleştirilen işleme kategorileri;
   3. uygulanabilir olduğu hallerde, ilgili üçüncü ülkenin veya uluslararası kuruluşun tanımlanması ve 49(1) maddesinin ikinci alt paragrafında atıfta bulunulan aktarımlar için uygun güvencelerin belgelendirilmesi de dahil olmak üzere, kişisel verilerin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılması;
   4. mümkün olduğu hallerde, Madde 32(1)'de atıfta bulunulan teknik ve organizasyonel tedbirlerin genel bir tanımı.
3. Paragraf 1 ve 2'de atıfta bulunulan liste yazılı olarak tutulmalıdır; bu liste elektronik formatta da olabilir.
4. Kontrolör veya işleyici ve, uygun olduğu hallerde, kontrolör veya işleyicinin temsilcisi talep üzerine listeyi denetim makamının kullanımına sunar.
5. Gerçekleştirdikleri işleme faaliyetinin veri sahiplerinin hak ve özgürlüklerine yönelik bir riske yol açma ihtimali bulunmadıkça, işleme faaliyeti ara sıra gerçekleşmedikçe veya 9(1) maddesinde atıfta bulunulan özel kategorilerdeki verilerin işlenmesini ya da 10. maddede atıfta bulunulan cezai mahkumiyet ve suçlara ilişkin kişisel verilerin işlenmesini içermedikçe, 1. ve 2. paragraflarda atıfta bulunulan yükümlülükler 250'den az çalışanı olan teşebbüsler veya kuruluşlar için geçerli değildir.

1. Kontrolör ve işleyici ve, varsa, bunların temsilcileri talep üzerine görevlerinin yerine getirilmesinde denetim makamı ile işbirliği yapar.

1. Bir kişisel veri ihlali durumunda, kontrolör, kişisel veri ihlalinin gerçek kişilerin hak ve özgürlüklerine yönelik bir riske yol açmasının muhtemel olmadığı haller haricinde, gereksiz bir gecikme olmaksızın ve mümkün olduğu hallerde, söz konusu ihlalin farkına varılmasının ardından en geç 72 saat içerisinde kişisel veri ihlalini 55. madde uyarınca yetkili olan denetim makamına bildirir. Denetim makamına bildirimin 72 saat içerisinde yapılmaması halinde, gecikmeye ilişkin gerekçeler de bildirime eklenir.
2. İşleyicinin bir kişisel veri ihlalinden haberdar olması halinde, bu durumu gecikmeksizin kontrolöre bildirmesi gerekir.
3. Paragraf 1'de atıfta bulunulan bildirim en azından aşağıdaki bilgileri içerecektir:
   1. Mümkün olan hallerde, ilgili veri sahiplerinin kategorileri ve yaklaşık sayısı, ilgili kategoriler ve ilgili kişisel veri kayıtlarının yaklaşık sayısı da dahil olmak üzere kişisel veri ihlalinin niteliğine ilişkin bir açıklama;
   2. veri koruma görevlisinin veya daha fazla bilgi için diğer irtibat noktasının adı ve iletişim bilgileri;
   3. kişisel veri ihlalinin olası sonuçlarının bir açıklaması;
   4. kontrolör tarafından kişisel veri ihlalini ele almak üzere alınan veya alınması önerilen tedbirlerin ve uygun olduğu hallerde, olası olumsuz etkilerini hafifletmeye yönelik tedbirlerin bir açıklaması.
4. Bilgilerin aynı anda sağlanamaması halinde ve sağlanamadığı ölçüde, kontrolör bu bilgileri gereksiz yere daha fazla gecikme olmaksızın aşamalı olarak sağlayabilir.
5. Kontrolör kişisel veri ihlallerini kişisel veri ihlaline ilişkin tüm olgular, etkileri ve alınan düzeltici tedbirler de dahil olmak üzere belgelendirir. Bu belgelendirme denetim makamının bu maddenin hükümlerine uygunluğu doğrulamasını sağlar.

1. Kişisel veri ihlalinin gerçek kişilerin kişisel hak ve özgürlüklerine yönelik yüksek bir riske yol açmasının muhtemel olması halinde, kontrolör veri sahibini kişisel veri ihlaline ilişkin olarak gecikmeksizin bilgilendirir.
2. Veri sahibine 1. paragrafta atıfta bulunulan bildirim kişisel veri ihlalinin niteliğini açık ve sade bir dille açıklar ve en azından 33(3) maddesinin (b), (c) ve (d) bentlerinde atıfta bulunulan bilgi ve tedbirleri içerir.
3. Aşağıdaki koşullardan birinin karşılanması halinde, veri sahibinin 1. paragraf uyarınca bilgilendirilmesi gerekli değildir:
   1. kontrolörün uygun teknik ve organizasyonel güvenlik tedbirlerini uygulamaya koymuş olması ve bu tedbirlerin kişisel veri ihlalinden etkilenen kişisel verilere, özellikle de şifreleme gibi kişisel verilere erişim yetkisi olmayan herhangi bir kişi tarafından anlaşılmaz hale getiren tedbirlere uygulanmış olması;
   2. kontrolörün 1. paragrafta atıfta bulunulan veri sahiplerinin hak ve özgürlüklerine yönelik yüksek riskin artık gerçekleşme ihtimalinin bulunmamasını sağlamak üzere müteakip tedbirleri almış olması;
   3. bildirim orantısız bir çaba gerektirecektir. Bu durumda, bunun yerine, ilgili kişilerin karşılaştırılabilir derecede etkili bir şekilde bilgilendirildiği bir kamu duyurusu veya benzer bir önlem alınmalıdır.
4. Kontrolörün kişisel veri ihlalini veri sahibine halihazırda bildirmemiş olması halinde, denetim makamı kişisel veri ihlalinin yüksek bir riske yol açma olasılığını dikkate alarak kontrolörden bunu yapmasını talep edebilir veya 3. paragrafta atıfta bulunulan koşulların belirli bir kısmının karşılandığını tespit eden bir karar yayınlayabilir.

1. Bir işleme şeklinin, özellikle de yeni teknolojiler kullanılırken, işleme faaliyetinin niteliği, kapsamı, bağlamı ve amaçları nedeniyle gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir riske yol açmasının muhtemel olduğu hallerde, kontrolör öngörülen işleme faaliyetlerinin kişisel verilerin korunması üzerindeki etkisine ilişkin bir değerlendirmeyi önceden gerçekleştirir. Benzer şekilde yüksek risklere sahip birkaç benzer işleme faaliyetinin analiz edilmesi için tek bir değerlendirme gerçekleştirilebilir.
2. Bir veri koruma etki değerlendirmesi gerçekleştirirken, kontrolör, atanmış olması halinde, veri koruma görevlisinin tavsiyesini alır.
3. Özellikle aşağıdaki durumlarda 1. paragraf uyarınca bir veri koruma etki değerlendirmesi gereklidir:
   1. profil oluşturma da dahil olmak üzere otomatik işlemeye dayanan ve gerçek kişilerle ilgili yasal etkiler doğuran veya benzer şekilde onları önemli ölçüde etkileyen kararlara temel teşkil eden, gerçek kişilerle ilgili kişisel hususların sistematik ve kapsamlı bir şekilde değerlendirilmesi;
   2. Madde 9(1)'de atıfta bulunulan özel kategorilerdeki kişisel verilerin veya Madde 10'da atıfta bulunulan cezai mahkumiyetler ve suçlarla ilgili kişisel verilerin kapsamlı bir şekilde işlenmesi; veya
   3. Kamuya açık alanların sistematik ve kapsamlı bir şekilde izlenmesi.
4. Denetim makamı 1. paragraf uyarınca bir veri koruma etki değerlendirmesinin gerçekleştirileceği işleme faaliyetlerinin bir listesini hazırlar ve kamuya açıklar. Denetim makamı bu listeleri 68. maddede atıfta bulunulan komiteye iletir.
5. Denetim makamı ayrıca veri koruma etki değerlendirmesinin gerekli olmadığı işleme faaliyeti türlerinin bir listesini hazırlayabilir ve yayınlayabilir. Denetim makamı bu listeleri Kurul'a iletir.
6. Yetkili denetim makamı, 4 ve 5. paragraflarda atıfta bulunulan listeleri oluşturmadan önce, söz konusu listelerin veri sahiplerine mal veya hizmetlerin sunulması veya söz konusu veri sahiplerinin birden fazla üye devletteki davranışlarının izlenmesi ile ilgili olan veya Birlik içerisinde kişisel verilerin serbest akışını önemli ölçüde etkileyebilecek işleme faaliyetlerini içermesi halinde, 63. maddede atıfta bulunulan tutarlılık mekanizmasını uygular.
7. Etki değerlendirmesi en azından aşağıdakileri içerir:
   1. uygulanabilir olduğu hallerde, kontrolör tarafından gözetilen meşru menfaatler de dahil olmak üzere, öngörülen işleme faaliyetlerinin ve işleme amaçlarının sistematik bir açıklaması;
   2. amaca ilişkin olarak işleme faaliyetlerinin gerekliliği ve orantılılığına dair bir değerlendirme;
   3. veri sahiplerinin 1. paragrafta atıfta bulunulan hak ve özgürlüklerine yönelik risklerin değerlendirilmesi; ve
   4. Veri sahiplerinin ve ilgili diğer kişilerin haklarını ve meşru menfaatlerini dikkate alarak, kişisel verilerin korunmasını sağlamak ve bu Tüzük ile uyumluluğu göstermek için tedbirler, güvenlik önlemleri ve prosedürler de dahil olmak üzere riskleri ele almak için öngörülen tedbirler.
8. İlgili kontrolörler veya işleyiciler tarafından 40. maddede atıfta bulunulan yetkili davranış kurallarına uyum, özellikle bir veri koruma etki değerlendirmesinin amaçları doğrultusunda, kendileri tarafından gerçekleştirilen işleme faaliyetlerinin etkisi değerlendirilirken usulüne uygun olarak dikkate alınır.
9. Kontrolör, uygun olduğu hallerde, ticari veya kamu menfaatlerinin korunmasına ya da işleme faaliyetlerinin güvenliğine halel getirmeksizin, veri sahiplerinin veya temsilcilerinin amaçlanan işleme faaliyetine ilişkin görüşlerini alır.
10. 6(1) maddesinin (c) veya (e) bendinde atıfta bulunulan işleme faaliyetinin Birlik hukuku veya kontrolörün tabi olduğu üye devlet hukukunda yasal bir dayanağının bulunduğu ve söz konusu hukukun spesifik işleme faaliyeti veya faaliyetlerini düzenlediği ve söz konusu yasal dayanağın kabul edilmesine ilişkin genel etki değerlendirmesi bağlamında bir veri koruma etki değerlendirmesinin halihazırda gerçekleştirilmiş olduğu hallerde, 1 ila 7. paragraflar yalnızca üye devletlerin ilgili işleme faaliyetlerinden önce böyle bir etki değerlendirmesinin gerçekleştirilmesini gerekli görmesi halinde uygulanır.
11. Gerekmesi halinde, kontrolör işleme faaliyetinin veri koruma etki değerlendirmesine uygun olarak gerçekleştirilip gerçekleştirilmediğini değerlendirmek üzere, en azından işleme faaliyetleriyle ilişkili riskte değişiklikler olması halinde, bir gözden geçirme gerçekleştirir.

1. Kontrolörün riski azaltmaya yönelik tedbirler almaması halinde, 35. madde uyarınca bir veri koruma etki değerlendirmesinin işleme faaliyetinin yüksek bir risk ile sonuçlanacağını göstermesi halinde, kontrolör işleme faaliyetinden önce denetim makamına danışır.
2. Denetim makamının özellikle kontrolörün riski yeterince tanımlamamış veya azaltmamış olması nedeniyle 1. paragrafta atıfta bulunulan amaçlanan işleme faaliyetinin bu Tüzük ile uyumlu olmayacağını düşünmesi halinde, istişare talebinin alınmasından itibaren sekiz haftaya kadar bir süre içerisinde kontrolöre ve uygun olduğu hallerde işleyiciye yazılı tavsiyelerde bulunur ve 58. maddede atıfta bulunulan yetkilerini kullanabilir. Bu süre amaçlanan işleme faaliyetinin karmaşıklığı dikkate alınarak altı hafta uzatılabilir. Denetim makamı istişare talebinin alınmasından itibaren bir ay içerisinde kontrolörü veya uygun olduğu hallerde işleyiciyi gecikmenin nedenleri ile birlikte söz konusu uzatmaya ilişkin bilgilendirir. Bu süre sınırları denetim makamı istişarenin amaçları doğrultusunda talep edilen bilgileri alana kadar askıya alınabilir.
3. Kontrolör 1. paragraf uyarınca bir istişare sırasında denetim makamına aşağıdaki bilgileri sağlar:
   1. uygulanabilir olduğu hallerde, özellikle bir şirketler grubu bünyesinde işleme söz konusu olduğunda, işleme faaliyetine dahil olan kontrolör, ortak kontrolörler ve işleyicilerin ilgili sorumlulukları hakkında bilgi;
   2. amaçlanan işlemenin amaçları ve araçları;
   3. Bu Tüzük kapsamında veri sahiplerinin hak ve özgürlüklerinin korunması için sağlanan tedbir ve güvenceler;
   4. Varsa, veri koruma görevlisinin iletişim bilgileri;
   5. Madde 35 uyarınca veri koruma etki değerlendirmesi ve
   6. denetim makamı tarafından talep edilen diğer tüm bilgiler.
4. Üye devletler, ulusal bir parlamento tarafından kabul edilecek yasama tedbirleri veya işleme faaliyetine ilişkin bu tür yasama tedbirlerine dayanan düzenleyici tedbirler için bir teklif hazırlarken denetim makamına danışır.
5. Paragraf 1'e bakılmaksızın, kontrolörlerin üye devlet hukuku uyarınca, sosyal güvenlik ve kamu sağlığı amaçlarına yönelik işleme faaliyetleri de dahil olmak üzere kamu yararına gerçekleştirilen bir görevin yerine getirilmesine yönelik işleme faaliyetlerinde denetim makamına danışması ve denetim makamından önceden izin alması gerekebilir.

1. Kontrolör ve işleyici aşağıdaki durumlarda her halükarda bir veri koruma görevlisi atar
   1. işleme faaliyetinin, adli sıfatıyla hareket eden mahkemeler hariç olmak üzere, bir kamu makamı veya organı tarafından gerçekleştirilmesi,
   2. kontrolör veya işleyicinin temel faaliyetinin niteliği, kapsamı ve/veya amaçları itibariyle veri sahiplerinin kapsamlı bir şekilde düzenli ve sistematik olarak izlenmesini gerektiren işleme faaliyetlerinin gerçekleştirilmesinden oluşması veya
   3. kontrolör veya işleyicinin temel faaliyetinin 9. maddede atıfta bulunulan özel kategorilerdeki verilerin veya 10. maddede atıfta bulunulan cezai hükümler ve suçlara ilişkin kişisel verilerin büyük ölçekte işlenmesi olması.
2. Bir şirketler grubu, veri koruma görevlisine her şubeden kolayca ulaşılabilmesi koşuluyla, ortak bir veri koruma görevlisi atayabilir.
3. Kontrolör veya işleyicinin bir yetkili makam veya kamu kurumu olması halinde, kurumsal yapıları ve büyüklükleri dikkate alınarak, bu tür birden fazla yetkili makam veya kurum için ortak bir veri koruma görevlisi atanabilir.
4. Birinci paragrafta atıfta bulunulanlar dışındaki durumlarda, kontrolör veya işleyici ya da kontrolör veya işleyici kategorilerini temsil eden birlikler ve diğer kuruluşlar bir veri koruma görevlisi atayabilir ve Birlik veya üye devlet hukuku uyarınca gerekli olması halinde, bir veri koruma görevlisi atar. Veri koruma görevlisi söz konusu birlikler ve kontrolörler veya işleyicileri temsil eden diğer kuruluşlar adına hareket edebilir.
5. Veri Koruma Görevlisi, mesleki nitelikleri ve özellikle veri koruma hukuku ve uygulaması alanındaki uzmanlığı ve 39. maddede atıfta bulunulan görevleri yerine getirme kabiliyeti temelinde atanır.
6. Veri koruma görevlisi kontrolörün veya işleyicinin bir çalışanı olabilir veya görevlerini bir hizmet sözleşmesi temelinde yerine getirebilir.
7. Kontrolör veya işleyici veri koruma görevlisinin iletişim bilgilerini yayınlar ve bu bilgileri denetim makamına iletir.

1. Kontrolör ve işleyici veri koruma görevlisinin kişisel verilerin korunmasına ilişkin tüm konulara erken bir aşamada uygun bir şekilde dahil olmasını sağlar.
2. Kontrolör ve işleyici, 39. maddede atıfta bulunulan görevlerin yerine getirilmesi için gerekli kaynakların ve kişisel verilere ve işleme faaliyetlerine erişimin sağlanması ve veri koruma görevlisinin uzmanlığının sürdürülmesi için gerekli kaynakların sağlanması suretiyle veri koruma görevlisine yardımcı olur.
3. Kontrolör ve işleyici veri koruma görevlisinin bu görevlerin yerine getirilmesine ilişkin herhangi bir talimat almamasını sağlar. Veri koruma görevlisi görevlerini yerine getirmesi nedeniyle kontrolör veya işleyici tarafından işten çıkarılamaz veya cezalandırılamaz. Veri koruma görevlisi doğrudan kontrolör veya işleyicinin en üst yönetim kademesine rapor verir.
4. Veri sahipleri, kişisel verilerinin işlenmesi ve bu Tüzük kapsamındaki haklarının kullanılması ile ilgili tüm konularda Veri Koruma Görevlisine danışabilirler.
5. Veri Koruma Görevlisi, görevlerini yerine getirirken gizlilik veya mahremiyete riayet etme konusunda Birlik veya Üye Devlet hukuku ile bağlı olacaktır.
6. Veri koruma görevlisi başka görev ve sorumlulukları da yerine getirebilir. Kontrolör veya işleyici söz konusu görev ve sorumlulukların bir çıkar çatışmasına yol açmamasını sağlar.

1. Veri koruma görevlisi en azından aşağıdaki görevlerden sorumludur:
   1. kontrolör veya işleyici ile işleme faaliyetlerini yürüten çalışanların bu Tüzük ve diğer Birlik veya üye devlet veri koruma mevzuatı kapsamındaki yükümlülükleri hakkında bilgilendirilmesi ve tavsiyelerde bulunulması;
   2. Sorumlulukların belirlenmesi, işleme faaliyetlerinde yer alan personelin bilinçlendirilmesi ve eğitimi ve ilgili denetimler de dahil olmak üzere, bu Tüzük, diğer Birlik veya üye devlet veri koruma mevzuatı ve kontrolör veya işleyicinin kişisel veri koruma politikalarına uyumun izlenmesi;
   3. Talep üzerine, 35. madde uyarınca veri koruma etki değerlendirmesi ve uygulamanın izlenmesi ile bağlantılı olarak danışmanlık;
   4. Denetim makamı ile işbirliği;
   5. 36'ncı madde uyarınca ön istişare de dahil olmak üzere işleme faaliyeti ile ilgili konularda denetim makamı için bir irtibat noktası olarak hareket edilmesi ve uygun olan diğer konularda tavsiyelerde bulunulması.
2. Veri Koruma Görevlisi, görevlerini yerine getirirken işleme faaliyetlerinin niteliği, kapsamı, bağlamı ve amaçlarını göz önünde bulundurarak işleme faaliyetleriyle ilişkili riskleri gerekli şekilde dikkate alacaktır.

1. Üye devletler, denetim makamları, Komite ve Komisyon, her işleme sektörünün özelliklerini ve mikro, küçük ve orta ölçekli işletmelerin özel ihtiyaçlarını dikkate alarak, bu Tüzük'ün düzgün bir şekilde uygulanmasına katkıda bulunacak davranış kurallarının geliştirilmesini teşvik eder.
2. Kontrolör veya işleyici kategorilerini temsil eden birlikler ve diğer kuruluşlar, örneğin aşağıdaki konularda, bu Tüzüğün uygulanmasına açıklık getiren davranış kuralları hazırlayabilir, bunları değiştirebilir veya genişletebilir:
   1. adil ve şeffaf işleme;
   2. belirli bağlamlarda kontrolörün meşru menfaatleri;
   3. Kişisel verilerin toplanması;
   4. Kişisel verilerin takma isimlendirilmesi;
   5. Kamuoyunun ve ilgili kişilerin bilgilendirilmesi;
   6. Veri sahiplerinin haklarının kullanılması;
   7. Çocukların bilgilendirilmesi ve korunması ve çocuğun ebeveyn sorumluluğunu taşıyan kişinin rızasının nasıl alınacağı;
   8. Madde 24 ve 25'te atıfta bulunulan tedbirler ve usuller ile Madde 32'de atıfta bulunulan işleme güvenliğine ilişkin tedbirler;
   9. kişisel veri ihlallerinin denetim makamlarına bildirilmesi ve bu tür kişisel veri ihlallerinin veri sahibine bildirilmesi;
   10. kişisel verilerin üçüncü ülkelere veya uluslararası kuruluşlara aktarılması veya
   11. veri sahiplerinin 77. ve 79. maddeler kapsamındaki haklarına halel gelmeksizin, veri işleme faaliyetine ilişkin olarak kontrolörler ve veri sahipleri arasındaki ihtilafların çözümüne yönelik mahkeme dışı usuller ve diğer ihtilaf çözüm usulleri.
3. Bu Tüzük kapsamındaki kontrolörler veya işleyiciler tarafından uyulmasına ek olarak, bu maddenin 5. paragrafı uyarınca onaylanan ve bu maddenin 9. paragrafı uyarınca genel uygulamaya sahip olan davranış kurallarına, 46(2) maddesinin (e) bendi uyarınca kişisel verilerin üçüncü ülkelere veya uluslararası kuruluşlara aktarılması bağlamında uygun güvencelerin sağlanması amacıyla 3. madde uyarınca bu Tüzük kapsamında olmayan kontrolörler veya işleyiciler tarafından da uyulabilir. Söz konusu kontrolörler veya işleyiciler, sözleşmeye dayalı veya diğer yasal olarak bağlayıcı araçlar vasıtasıyla, veri sahiplerinin hakları da dahil olmak üzere uygun güvenceleri uygulamak için bağlayıcı ve uygulanabilir bir yükümlülük altına girmelidir.
4. Bu maddenin 2. paragrafında atıfta bulunulan davranış kuralları, 55 veya 56. madde uyarınca yetkili denetim makamının görev ve yetkilerine halel gelmeksizin, 41(1) maddesinde atıfta bulunulan organın davranış kurallarını uygulamayı taahhüt eden kontrolörler veya işleyiciler tarafından bu kuralların hükümlerine uygunluğun zorunlu olarak izlenmesini gerçekleştirmesine olanak tanıyan usuller sağlar.
5. Davranış kuralları hazırlama veya mevcut davranış kurallarını tadil etme ya da genişletme niyetinde olan bu maddenin 2. paragrafında atıfta bulunulan dernekler ve diğer kuruluşlar, taslak davranış kurallarını veya taslak tadil veya genişletme çalışmalarını 55. madde uyarınca yetkili olan denetim makamına sunar. Denetim makamı taslak davranış kurallarının veya taslak değişiklik veya genişletmenin bu Tüzük ile uyumlu olup olmadığına ilişkin bir görüş bildirir ve yeterli ve uygun güvenceler sağladığına kanaat getirmesi halinde taslak davranış kurallarını veya taslak değişiklik veya genişletmeyi onaylar.
6. Beşinci paragrafta atıfta bulunulan görüşün taslak davranış kurallarını veya taslak değişiklik veya genişletmeyi onaylaması ve davranış kurallarının birden fazla üye devletteki işleme faaliyetlerini kapsamaması halinde, denetim makamı davranış kurallarını bir sicile dahil eder ve kamuya açıklar.
7. Taslak davranış kurallarının birden fazla üye devletteki işleme faaliyetlerini kapsadığı hallerde, 55. madde uyarınca yetkili olan denetim makamı, taslak davranış kurallarını veya taslak değişiklik veya genişletmeyi onaylamadan önce, taslak davranış kurallarının veya taslak değişiklik veya genişletmenin bu Tüzük'e uygun olup olmadığı veya bu maddenin 3. paragrafında atıfta bulunulan durumda uygun güvenceler sağlayıp sağlamadığı hususunda bir görüş bildirecek olan Kurul'a 63. maddede atıfta bulunulan usul uyarınca sunar.
8. Paragraf 7'de atıfta bulunulan görüşün, davranış kuralları taslağının ya da bu taslakta yapılacak değişiklik ya da genişletmenin bu Tüzük ile uyumlu olduğunu ya da paragraf 3'te atıfta bulunulan durumda uygun güvenceler sağladığını teyit etmesi halinde, Komite görüşünü Komisyon'a iletir.
9. Komisyon, uygulama tasarrufları vasıtasıyla, 8. paragraf uyarınca kendisine sunulan onaylanmış davranış kurallarının veya bunların onaylanmış değişiklik veya genişletmelerinin Birlik içinde genel uygulamaya sahip olmasına karar verebilir. Bu uygulama tasarrufları 93(2) maddesinde atıfta bulunulan inceleme usulüne uygun olarak kabul edilir.
10. Komisyon, 9. paragraf uyarınca genel geçerliliğe sahip olduğu kabul edilen onaylanmış davranış kurallarının uygun bir şekilde yayınlanmasını sağlar.
11. Komite, onaylanmış tüm davranış kurallarını veya bunların onaylanmış değişikliklerini veya uzantılarını bir sicile kaydedecek ve uygun bir şekilde yayınlayacaktır.

1. Yetkili denetim makamının 57 ve 58. maddeler kapsamındaki görev ve yetkilerine halel gelmeksizin, 40. maddede atıfta bulunulan davranış kurallarına uyumun izlenmesi, davranış kuralları konusunda uygun uzmanlığa sahip olan ve yetkili denetim makamı tarafından bu amaçla akredite edilmiş olan bir organ tarafından gerçekleştirilebilir.
2. Paragraf 1'de atıfta bulunulan bir kuruluş, aşağıdaki durumlarda davranış kurallarına uygunluğun izlenmesi amacıyla akredite edilebilir
   1. davranış kurallarının konusuna ilişkin olarak yetkili denetim makamını tatmin edecek şekilde bağımsızlığını ve uzmanlığını kanıtlamıştır;
   2. kontrolörlerin ve işleyicilerin davranış kurallarını uygulayıp uygulayamayacağını değerlendirmesini, kontrolörlerin ve işleyicilerin davranış kurallarına uyumunu izlemesini ve davranış kurallarının uygulanmasını düzenli olarak gözden geçirmesini sağlayan prosedürler oluşturmuştur;
   3. davranış kurallarının ihlalleri veya davranış kurallarının kontrolör veya işleyici tarafından uygulanma şekli veya uygulanmış olması ile ilgili şikayetleri soruşturmak üzere usuller ve yapılar oluşturmuş olması ve bu usulleri ve yapıları veri sahipleri ve kamuoyu için şeffaf hale getirmesi; ve
   4. görev ve yetkilerinin bir çıkar çatışmasına yol açmadığını yetkili denetim makamını tatmin edecek şekilde göstermiş olması.
3. Yetkili denetim makamı 1. paragrafta atıfta bulunulan bir organın akreditasyonuna ilişkin taslak gereklilikleri 63. maddede atıfta bulunulan tutarlılık mekanizması uyarınca Komite'ye sunar.
4. Yetkili denetim makamının görev ve yetkilerine ve Bölüm VIII hükümlerine halel gelmeksizin, 1. paragrafta atıfta bulunulan bir organ, uygun güvencelere tabi olmak kaydıyla, bir kontrolör veya işleyici tarafından davranış kurallarının ihlal edilmesi halinde, kontrolör veya işleyicinin davranış kurallarından geçici veya kalıcı olarak hariç tutulması da dahil olmak üzere uygun tedbirleri alır. Söz konusu tedbirler ve bunların gerekçeleri hakkında yetkili denetim makamını bilgilendirir.
5. Yetkili denetim makamı, akreditasyonuna ilişkin gerekliliklerin karşılanmaması veya artık karşılanmaması ya da kuruluşun bu Tüzük ile uyumlu olmayan tedbirler alması halinde, 1. paragraf uyarınca bir kuruluşun akreditasyonunu iptal eder.
6. Bu Madde kamu makamları veya organları tarafından gerçekleştirilen işleme faaliyetlerine uygulanmaz.

1. Üye devletler, denetim makamları, Kurul ve Komisyon, özellikle Birlik düzeyinde, kontrolörler veya işleyiciler tarafından bu Tüzük'e uygunluğun gösterilmesi için veri koruma belgelendirme mekanizmalarının ve veri koruma mühürleri ile işaretlerinin kullanılmasını teşvik eder. Mikro, küçük ve orta ölçekli işletmelerin özel ihtiyaçları dikkate alınır.
2. Bu Tüzük kapsamındaki kontrolörler veya işleyicilerin uyumluluğuna ek olarak, bu maddenin 5. paragrafı uyarınca onaylanan veri koruma sertifikasyon mekanizmaları, mühürleri veya işaretleri, 3. madde uyarınca bu Tüzük kapsamında olmayan kontrolörlerin veya işleyicilerin 46(2) maddesinin (f) bendi uyarınca kişisel verilerin üçüncü ülkelere veya uluslararası kuruluşlara aktarılması bağlamında uygun güvenceleri sağladığını göstermek için de sağlanabilir. Söz konusu kontrolörler veya işleyiciler, veri sahiplerinin hakları da dahil olmak üzere, bu uygun güvenceleri uygulamak için sözleşmeye dayalı veya diğer yasal olarak bağlayıcı araçlar vasıtasıyla bağlayıcı ve uygulanabilir bir taahhütte bulunmalıdır.
3. Belgelendirme gönüllü olmalı ve şeffaf bir prosedürle erişilebilir olmalıdır.
4. Bu madde uyarınca belgelendirme kontrolör veya işleyicinin bu Tüzük'e uyma sorumluluğunu azaltmaz ve 55 veya 56. madde uyarınca yetkili olan denetim makamlarının görev ve yetkilerini etkilemez.
5. Bu madde kapsamındaki belgelendirme 43. maddede atıfta bulunulan belgelendirme kuruluşları veya 58(3) maddesi uyarınca söz konusu yetkili denetim makamı tarafından veya 63. madde uyarınca Kurul tarafından onaylanan kriterler temelinde yetkili denetim makamı tarafından verilir. Kriterlerin Kurul tarafından onaylanması halinde, bu durum ortak bir sertifikasyon olan Avrupa Veri Koruma Mührü'ne yol açabilir.
6. Gerçekleştirdiği işleme faaliyetini belgelendirme mekanizmasına tabi tutan kontrolör veya işleyici 43. maddede atıfta bulunulan belgelendirme kuruluşuna veya, uygun olduğu hallerde, yetkili denetim makamına belgelendirme mekanizmasının yürütülmesi için gerekli tüm bilgileri sağlar ve bu bağlamda işleme faaliyetlerine gerekli erişimi verir.
7. Belgelendirme bir kontrolör veya işleyiciye en fazla üç yıllık bir süre için verilir ve ilgili kriterlerin karşılanmaya devam etmesi koşuluyla aynı koşullar altında yenilenebilir. Belgelendirme, uygun olduğu hallerde, 43. maddede atıfta bulunulan belgelendirme organları veya yetkili denetim makamı tarafından belgelendirme kriterlerinin karşılanmaması veya artık karşılanmaması halinde iptal edilir.
8. Komite, tüm belgelendirme prosedürlerini ve veri koruma mühür ve işaretlerini bir sicile kaydeder ve bunları uygun bir şekilde yayınlar.

1. Yetkili denetim makamının 57 ve 58. maddeler uyarınca görev ve yetkilerine halel gelmeksizin, uygun veri koruma uzmanlığına sahip olan belgelendirme organları denetim makamını bilgilendirdikten sonra belgelendirmeyi verir veya yeniler, böylece denetim makamı gerekirse 58(2)(h) maddesi uyarınca yetkilerini kullanabilir. Üye devletler bu belgelendirme organlarının aşağıdaki organlardan biri veya her ikisi tarafından akredite edilmesini sağlar:
   1. 55 veya 56. madde uyarınca yetkili denetim makamı;
   2. Avrupa Parlamentosu ve Konseyinin (EC) 765/2008 sayılı Tüzüğü uyarınca tanınan ulusal akreditasyon kurumu¹ EN-ISO/IEC 17065/2012 uyarınca ve 55 veya 56. madde uyarınca yetkili denetim makamı tarafından ortaya konan ek gereklilikler ile belirlenmiştir.
2. Paragraf 1'de atıfta bulunulan belgelendirme kuruluşları, bu paragrafa uygun olarak yalnızca aşağıdaki durumlarda akredite edilebilirler
   1. yetkili denetim makamını tatmin edecek şekilde belgelendirme konusunda bağımsızlıklarını ve uzmanlıklarını kanıtlamışlardır;
   2. 42(5) maddesinde atıfta bulunulan kriterlere uymayı taahhüt etmiş ve 55 veya 56. madde uyarınca yetkili denetim makamı veya 63. madde uyarınca Kurul tarafından onaylanmış olması;
   3. veri koruma sertifikası ile veri koruma mühür ve işaretlerinin verilmesi, periyodik olarak gözden geçirilmesi ve iptali için prosedürler oluşturmuştur;
   4. sertifikasyon ihlallerine veya sertifikasyonun kontrolör veya işleyici tarafından uygulanma şekline veya uygulanmış olmasına ilişkin şikayetlerin soruşturulmasına yönelik usuller ve yapılar oluşturmuş olması ve bu usuller ve yapıları veri sahipleri ve kamuoyu nezdinde şeffaf hale getirmesi; ve
   5. görev ve sorumluluklarının bir çıkar çatışmasına yol açmadığını yetkili denetim makamını tatmin edecek şekilde göstermiş olmalıdır.
3. Paragraf 1 ve 2'de atıfta bulunulan belgelendirme organlarının akreditasyonu 55 veya 56. madde uyarınca yetkili denetim makamı tarafından veya 63. madde uyarınca Komite tarafından onaylanan gerekliliklere dayanır. Bu maddenin 1. paragrafının (b) bendi uyarınca akreditasyon durumunda, bu gereklilikler 765/2008 (AT) sayılı Tüzük'te ve belgelendirme organlarının yöntem ve usullerini açıklayan teknik kurallarda öngörülenlere tamamlayıcı nitelikte olur.
4. ¹Birinci paragrafta atıfta bulunulan belgelendirme kuruluşları, kontrolör veya işleyicinin bu Tüzük ile uyumluluğa ilişkin sorumluluğuna halel gelmeksizin, belgelendirmeye veya bir belgelendirmenin geri çekilmesine dayanak teşkil eden uygun değerlendirmeden sorumludur. Akreditasyon en fazla beş yıllık bir süre için verilir ve belgelendirme kuruluşunun bu maddenin gerekliliklerini yerine getirmesi koşuluyla aynı koşullar altında yenilenebilir.
5. Paragraf 1'de atıfta bulunulan belgelendirme organları, talep edilen belgelendirmenin verilmesi veya iptal edilmesine ilişkin gerekçeler hakkında yetkili denetim makamlarını bilgilendirir.
6. Bu maddenin 3. paragrafında atıfta bulunulan gereklilikler ve 42(5) maddesinde atıfta bulunulan kriterler denetim makamı tarafından kolay erişilebilir bir biçimde yayımlanır. Denetim makamları ayrıca bu gereklilikleri ve kriterleri Kurul'a iletir.
7. Bölüm VIII'e halel gelmeksizin, yetkili denetim makamı veya ulusal akreditasyon kurumu, akreditasyon koşullarının yerine getirilmemesi veya artık yerine getirilmemesi ya da bir belgelendirme kurumunun bu Tüzük ile uyumlu olmayan tedbirler alması halinde 1. paragrafta atıfta bulunulan bir belgelendirme kurumunun akreditasyonunu geri çeker.
8. Komisyon, 42(1) maddesinde atıfta bulunulan veri koruma belgelendirme mekanizmaları için dikkate alınacak gereklilikleri belirlemek üzere 92. madde uyarınca yetki devrine dayalı tasarruflar kabul etme yetkisine sahiptir.
9. Komisyon, belgelendirme mekanizmaları ve veri koruma mühürleri ve işaretleri için teknik standartları ve bu belgelendirme mekanizmaları ile veri koruma mühürleri ve işaretlerinin tanıtımı ve tanınmasına yönelik mekanizmaları belirleyen uygulama tasarrufları kabul edebilir. Bu uygulama tasarrufları 93(2) maddesinde atıfta bulunulan inceleme usulüne uygun olarak kabul edilir.

1. Halihazırda işlenmekte olan veya üçüncü bir ülkeye ya da uluslararası bir kuruluşa aktarılmalarının ardından işlenmeleri amaçlanan kişisel verilerin aktarılmasına ancak kontrolör ve işleyicinin bu Bölüm'de ortaya konan koşullara ve kişisel verilerin ilgili üçüncü ülkeden veya uluslararası kuruluştan başka bir üçüncü ülkeye veya uluslararası kuruluşa aktarılması da dahil olmak üzere bu Tüzük'ün diğer hükümlerine uymaları halinde izin verilir. Bu Bölüm'ün tüm hükümleri, gerçek kişilerin bu Tüzük ile sağlanan koruma düzeyinin zayıflatılmamasını sağlamak amacıyla uygulanır.

1. Kişisel verilerin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılması, Komisyon'un üçüncü ülkenin, bir bölgenin veya söz konusu üçüncü ülke veya uluslararası kuruluş içindeki bir veya daha fazla belirli sektörün yeterli düzeyde koruma sağladığına karar vermesi halinde gerçekleşebilir. Bu tür bir veri aktarımı herhangi bir özel izin gerektirmez.
2. Komisyon, gerekli koruma düzeyinin uygunluğunu değerlendirirken özellikle aşağıdakileri dikkate alır:
   1. hukukun üstünlüğü, insan haklarına ve temel özgürlüklere saygı, kamu güvenliği, savunma, ulusal güvenlik ve ceza hukuku ve kamu makamlarının kişisel verilere erişimi de dahil olmak üzere hem genel hem de sektörel olarak ilgili ülkede veya uluslararası kuruluşta yürürlükte olan ilgili mevzuat ve bu mevzuatın uygulanması, kişisel verilerin başka bir üçüncü ülkeye veya uluslararası kuruluşa aktarılmasına ilişkin kurallar da dahil olmak üzere veri koruma kuralları, mesleki kurallar ve güvenlik kuralları, yargı yetkisi ve kişisel verileri aktarılan veri sahipleri için etkili uygulanabilir veri sahibi hakları ve etkili idari ve adli tazmin. başka bir uluslararası kuruluş, yargı yetkisi ve kişisel verileri aktarılan veri sahipleri için etkili ve uygulanabilir veri sahibi hakları ve etkili idari ve adli tazmin,
   2. ilgili üçüncü ülkede veya uluslararası bir kuruluşun tabi olduğu ve uygun yaptırım yetkileri de dahil olmak üzere veri koruma kurallarına uyulmasından ve bunların uygulanmasından, veri sahiplerine haklarını kullanmalarında yardımcı olmaktan ve tavsiyelerde bulunmaktan ve üye devletlerin denetim makamları ile işbirliği yapmaktan sorumlu olan bir veya daha fazla bağımsız denetim makamının varlığı ve etkin işleyişi; ve
   3. ilgili üçüncü ülke veya uluslararası kuruluş tarafından girilen uluslararası taahhütler veya yasal olarak bağlayıcı anlaşmalar veya belgelerden ve üçüncü ülke veya uluslararası kuruluşun özellikle kişisel verilerin korunmasına ilişkin olarak çok taraflı veya bölgesel sistemlere katılımından kaynaklanan diğer yükümlülükler.
3. Koruma düzeyinin yeterliliğinin değerlendirilmesini müteakip, Komisyon bir uygulama yasası vasıtasıyla bir üçüncü ülkenin, bir bölgenin veya bir üçüncü ülkedeki bir veya daha fazla spesifik sektörün veya bir uluslararası kuruluşun bu maddenin 2. paragrafı anlamında yeterli bir koruma düzeyi sunduğuna karar verebilir. Uygulama yasası, üçüncü ülkedeki veya uluslararası örgütteki ilgili gelişmeleri dikkate alarak, en az dört yılda bir düzenli bir gözden geçirme mekanizması öngörür. Uygulama yasası, bölgesel ve sektörel kapsamı ve, uygun olduğu hallerde, bu maddenin 2. paragrafının (b) bendinde atıfta bulunulan denetim makamı veya makamlarını belirtir. Uygulama yasası 93(2) maddesinde atıfta bulunulan inceleme usulüne uygun olarak kabul edilir.
4. Komisyon, bu maddenin 3. paragrafı uyarınca kabul edilen kararların ve 95/46/AT sayılı Direktifin 25(6) maddesi uyarınca yapılan tespitlerin işleyişini etkileyebilecek üçüncü ülkelerdeki ve uluslararası örgütlerdeki gelişmeleri sürekli olarak izler.
5. Komisyon, uygulama tasarrufları vasıtasıyla, özellikle bu maddenin 3. paragrafında atıfta bulunulan incelemenin ardından, bir üçüncü ülkenin, bir bölgenin veya bir üçüncü ülke içindeki bir veya daha fazla belirli sektörün veya bir uluslararası kuruluşun bu maddenin 2. paragrafı anlamında artık yeterli düzeyde koruma sağlamadığına dair bilgilere dayanarak, gerektiğinde ve geriye dönük etkisi olmaksızın, bu maddenin 3. paragrafında atıfta bulunulan kararları iptal eder, değiştirir veya askıya alır. Bu uygulama tasarrufları 93(2) maddesinde atıfta bulunulan inceleme usulüne uygun olarak kabul edilir ve usulüne uygun olarak gerekçelendirilmiş aciliyet gerekçeleri üzerine Komisyon 93(3) maddesinde atıfta bulunulan usule uygun olarak derhal uygulanabilir uygulama tasarrufları kabul eder.
6. Komisyon, 5. paragraf uyarınca alınan karara yol açan durumun düzeltilmesi amacıyla ilgili üçüncü ülke veya uluslararası kuruluşla istişarelerde bulunur.
7. Kişisel verilerin 46 ila 49. maddeler uyarınca üçüncü ülkeye, söz konusu üçüncü ülkenin topraklarına veya bir ya da daha fazla belirli sektörüne veya ilgili uluslararası kuruluşa aktarılması, bu maddenin 5. paragrafı uyarınca alınan bir karardan etkilenmez.
8. Komisyon aşağıdaki belgeleri yayınlar Avrupa Birliği Resmi Gazetesi ve web sitesinde tüm üçüncü ülkelerin veya bölgelerin ve üçüncü bir ülkedeki belirli sektörlerin ve kararla yeterli düzeyde koruma sağladıklarını veya artık sağlamadıklarını belirlediği tüm uluslararası kuruluşların bir listesini yayınlar.
9. Komisyon tarafından 95/46/AT sayılı Direktifin 25(6) maddesine dayanılarak kabul edilen bulgular, bu maddenin 3. veya 5. paragraflarında atıfta bulunulan inceleme usulüne uygun olarak kabul edilen bir Komisyon kararı ile değiştirilinceye, ikame edilinceye veya yürürlükten kaldırılıncaya kadar yürürlükte kalır.

1. Madde 45(3) uyarınca bir karar olmaması halinde, bir kontrolör veya işleyici kişisel verileri üçüncü bir ülkeye veya uluslararası bir kuruluşa ancak kontrolör veya işleyicinin uygun güvenceleri sağlaması ve veri sahiplerine uygulanabilir haklar ve etkili hukuki yolların sunulması halinde aktarabilir.
2. Paragraf 1'de atıfta bulunulan uygun güvenceler, bir denetim makamından özel izin alınmasına gerek olmaksızın, aşağıdakilerden oluşabilir
   1. yetkililer veya kamu kurumları arasında yasal olarak bağlayıcı ve uygulanabilir bir belge,
   2. Madde 47 uyarınca bağlayıcı iç veri koruma kuralları,
   3. Madde 93(2)'de atıfta bulunulan inceleme usulüne uygun olarak Komisyon tarafından kabul edilen standart veri koruma hükümleri,
   4. bir denetim makamı tarafından kabul edilen ve 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca Komisyon tarafından yetkilendirilen standart veri koruma hükümleri,
   5. üçüncü ülkedeki kontrolör veya işleyicinin veri sahiplerinin hakları da dahil olmak üzere uygun güvenceleri uygulamaya yönelik yasal olarak bağlayıcı ve uygulanabilir yükümlülükleri ile birlikte 40. maddede atıfta bulunulan onaylı davranış kuralları; veya
   6. üçüncü ülkedeki kontrolör veya işleyicinin veri sahiplerinin haklarına ilişkin olanlar da dahil olmak üzere uygun güvenceleri uygulamasına yönelik yasal olarak bağlayıcı ve uygulanabilir yükümlülüklerle birlikte 42. madde uyarınca onaylanmış bir belgelendirme mekanizması.
3. Yetkili denetim makamının iznine tabi olarak, 1. paragrafta atıfta bulunulan uygun güvenceler özellikle aşağıdakilerden de oluşabilir
   1. kontrolör veya işleyici ile üçüncü ülke veya uluslararası kuruluştaki kontrolör, işleyici veya kişisel veri alıcısı arasında mutabık kalınan sözleşme hükümleri veya
   2. Veri sahipleri için uygulanabilir ve etkili haklar da dahil olmak üzere, kamu makamları veya organları arasındaki idari düzenlemelere dahil edilecek hükümler.
4. Denetim makamı bu maddenin 3. paragrafında atıfta bulunulan durumda 63. maddede atıfta bulunulan tutarlılık mekanizmasını uygular.
5. 95/46/AT sayılı Direktif'in 26(2) maddesi temelinde bir üye devlet veya denetim makamı tarafından verilen yetkilendirmeler, gerekli olması halinde, söz konusu denetim makamı tarafından tadil edilene, değiştirilene veya iptal edilene kadar geçerli kalır. Komisyon tarafından 95/46/AT sayılı Direktif'in 26(4) maddesi temelinde kabul edilen bulgular, gerekirse bu maddenin 2. paragrafı uyarınca kabul edilen bir Komisyon kararı ile değiştirilene, ikame edilene veya iptal edilene kadar yürürlükte kalır.

1. Yetkili denetim makamı, 63. maddede atıfta bulunulan tutarlılık mekanizması uyarınca bağlayıcı kurumsal kurallara, aşağıdakileri sağlamaları koşuluyla izin verir
   1. yasal olarak bağlayıcıdır, şirketler grubunun veya ortak bir ekonomik faaliyette bulunan bir şirketler grubunun ilgili tüm üyeleri için geçerlidir ve bunlar tarafından uygulanır ve ayrıca çalışanları için de geçerlidir,
   2. veri sahiplerine kişisel verilerinin işlenmesiyle ilgili olarak açıkça uygulanabilir haklar tanıması; ve
   3. paragraf 2'de belirtilen gereklilikleri yerine getirmelidir.
2. Paragraf 1'de atıfta bulunulan bağlayıcı iç veri koruma kuralları en azından aşağıdaki bilgileri içerecektir:
   1. Ortak bir ekonomik faaliyette bulunan şirketler grubunun veya şirketler grubunun ve üyelerinin her birinin yapısı ve iletişim bilgileri;
   2. İlgili kişisel veri türleri, veri işlemenin niteliği ve amacı, veri sahiplerinin türü ve ilgili üçüncü ülke veya üçüncü ülkeler de dahil olmak üzere ilgili veri aktarımları veya veri aktarımları dizisi;
   3. ilgili dahili veri koruma düzenlemelerinin dahili ve harici yasal bağlayıcılığı;
   4. Genel veri koruma ilkelerinin uygulanması, özellikle amaç sınırlaması, veri minimizasyonu, sınırlı depolama süreleri, veri kalitesi, teknoloji tasarımı ve veri koruma dostu varsayılan ayarlar yoluyla veri koruma, işleme için yasal dayanak, özel kişisel veri kategorilerinin işlenmesi, veri güvenliğini sağlamaya yönelik önlemler ve bu dahili veri koruma düzenlemelerine bağlı olmayan kuruluşlara ileriye dönük aktarım gereksinimleri;
   5. veri sahiplerinin işleme faaliyetine ilişkin hakları ve 22. madde uyarınca profil çıkarma da dahil olmak üzere yalnızca otomatik işleme faaliyetine dayalı bir karara tabi olmama hakkı ve 79. maddede belirtildiği üzere yetkili denetim makamına şikayette bulunma veya üye devletlerin yetkili mahkemeleri nezdinde yargı yoluna başvurma ve verilerin korunmasına ilişkin bağlayıcı kurumsal kuralların ihlal edilmesi halinde telafi ve uygun hallerde tazminat elde etme hakkı da dahil olmak üzere bu hakları kullanmak için kullanabilecekleri araçlar;
   6. Birlik içerisinde yerleşik olmayan bir teşebbüsler grubunun bir üyesi tarafından bağlayıcı kurumsal kuralların ihlal edilmesine ilişkin olarak bir üye devlette yerleşik kontrolör veya işleyici tarafından üstlenilen yükümlülük; kontrolör veya işleyici ancak zarara yol açan olayın söz konusu üyeye atfedilemeyeceğini kanıtlaması halinde söz konusu yükümlülükten tamamen veya kısmen muaf tutulur;
   7. veri sahiplerinin, 13. ve 14. maddelerin hükümlerine ek olarak, veri korumaya ilişkin bağlayıcı kurumsal kurallar ve özellikle bu paragrafın (d), (e) ve (f) bentlerinde atıfta bulunulan hususlar hakkında bilgilendirilme şekli;
   8. Madde 37 uyarınca atanan herhangi bir veri koruma görevlisinin veya ortak bir ekonomik faaliyette bulunan teşebbüsler grubu veya şirketler grubu içerisinde veri korumaya ilişkin bağlayıcı kurumsal kurallara uyumun izlenmesinden ve eğitim ve şikayetlerin ele alınmasının izlenmesinden sorumlu diğer herhangi bir kişi veya organın görevleri;
   9. şikayet prosedürü;
   10. Bağlayıcı dahili veri koruma kurallarına uyulduğunu doğrulamak için şirketler grubu veya ortak bir ekonomik faaliyette bulunan şirketler grubu bünyesinde yürürlükte olan prosedürler. Bu prosedürler veri koruma denetimlerini ve veri sahibinin haklarının korunmasına yönelik düzeltici eylemleri sağlamaya yönelik prosedürleri içerecektir. Bu tür incelemelerin sonuçları (h) bendinde atıfta bulunulan kişi veya kuruluşa ve bir teşebbüsler grubunun veya ortak bir ekonomik faaliyette bulunan teşebbüsler grubunun kontrol eden teşebbüsünün yönetim kuruluna iletilmeli ve talep üzerine yetkili denetim makamının erişimine sunulmalıdır;
   11. tüzüklerde yapılan değişikliklerin raporlanması ve kaydedilmesi ve bunların denetim makamına bildirilmesine yönelik prosedürler;
   12. özellikle (j) bendinde atıfta bulunulan tedbirlere ilişkin gözden geçirmelerin sonuçlarının denetim makamına açıklanması suretiyle, ortak bir ekonomik faaliyet yürüten teşebbüsler grubunun veya şirketler grubunun tüm üyeleri tarafından uyumun sağlanması için denetim makamı ile işbirliğine yönelik usuller;
   13. bağlayıcı kurumsal kurallar tarafından sağlanan güvenceleri olumsuz etkileyebilecek olan ve üçüncü bir ülkede ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun veya şirketler grubunun bir üyesi için geçerli olan herhangi bir yasal hüküm hakkında yetkili denetim makamının bilgilendirilmesine yönelik bildirim usulleri; ve
   14. kişisel verilere sürekli veya düzenli erişimi olan personel için uygun veri koruma eğitimi.
3. Komisyon kontrolörler, işleyiciler ve denetim makamları arasında bu maddede atıfta bulunulan bağlayıcı kurumsal kurallara ilişkin bilgi alışverişine yönelik format ve usulleri belirleyebilir. Bu uygulama tasarrufları 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca kabul edilir.

1. Bir kontrolör veya işleyicinin kişisel verileri aktarması veya ifşa etmesini gerektiren bir üçüncü ülke mahkemesi veya mahkemesinin herhangi bir kararı ve bir üçüncü ülkenin idari makamının herhangi bir kararı, her halükarda, bu Bölüm kapsamındaki diğer aktarım gerekçelerine halel gelmeksizin, yalnızca talepte bulunan üçüncü ülke ile Birlik veya bir üye devlet arasındaki karşılıklı adli yardım anlaşması gibi yürürlükte olan bir uluslararası anlaşmaya dayanması halinde tanınır veya uygulanabilir.

1. Madde 45(3) uyarınca bir yeterlilik kararının veya bağlayıcı kurumsal kurallar da dahil olmak üzere Madde 46 uyarınca uygun güvencelerin bulunmaması halinde, kişisel verilerin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılmasına veya bir dizi aktarımına yalnızca aşağıdaki koşullardan biri altında izin verilir:
   1. veri sahibinin, bir yeterlilik kararı ve uygun güvencelerin yokluğunda bu tür veri aktarımlarının kendisi için potansiyel riskleri hakkında bilgilendirildikten sonra önerilen veri aktarımına açıkça rıza göstermiş olması,
   2. aktarımın veri sahibi ile kontrolör arasındaki bir sözleşmenin yerine getirilmesi veya veri sahibinin talebi üzerine sözleşme öncesi tedbirlerin uygulanması için gerekli olması,
   3. aktarımın veri sahibinin menfaatine olacak şekilde kontrolör tarafından başka bir gerçek veya tüzel kişi ile akdedilen bir sözleşmenin sonuçlandırılması veya yerine getirilmesi için gerekli olması,
   4. transferin kamu yararı açısından önemli nedenlerle gerekli olması,
   5. aktarımın yasal taleplerin oluşturulması, uygulanması veya savunulması için gerekli olması,
   6. veri sahibinin fiziksel veya yasal olarak rıza gösteremeyecek durumda olması halinde, veri sahibinin veya diğer kişilerin hayati çıkarlarını korumak için aktarımın gerekli olması,
   7. aktarım, Birlik veya Üye Devlet hukuku kapsamında kamuya bilgi sağlama amacı taşıyan ve genel olarak kamunun veya meşru bir menfaati olduğunu gösterebilen herhangi bir kişinin istişaresine açık olan bir sicilden yapılır, ancak yalnızca Birlik veya Üye Devlet hukuku tarafından istişare için belirlenen koşullar belirli bir durumda yerine getirildiği sürece.

   Transferin bağlayıcı kurumsal kurallar da dahil olmak üzere 45. veya 46. maddedeki bir hükme dayandırılamaması ve birinci alt paragrafta atıfta bulunulan özel bir duruma ilişkin istisnalardan hiçbirinin uygulanmaması halinde, üçüncü bir ülkeye veya uluslararası bir kuruluşa transfer ancak transferin mükerrer olmaması halinde gerçekleştirilebilir, yalnızca sınırlı sayıda veri sahibini ilgilendirmesi, söz konusu menfaatlerin veri sahibinin menfaatleri veya hakları ve özgürlükleri tarafından geçersiz kılındığı durumlar haricinde kontrolör tarafından gözetilen zorlayıcı meşru menfaatlerin amaçları doğrultusunda gerekli olması ve kontrolörün aktarıma ilişkin tüm koşulları değerlendirmiş ve bu değerlendirme temelinde kişisel verilerin korunmasına ilişkin uygun güvenceleri sağlamış olması. Kontrolör, aktarım hakkında denetim makamını bilgilendirir. Kontrolör, 13 ve 14. maddeler uyarınca veri sahibine sağlanan bilgilere ek olarak, veri sahibini aktarım ve ağır basan meşru menfaatleri hakkında bilgilendirir.

2. Paragraf 1'in birinci alt paragrafının (g) bendinde atıfta bulunulan aktarımlar, kayıtta yer alan kişisel veri kategorilerinin tamamını veya tamamını içermez. Sicilin meşru menfaati olan kişiler tarafından istişare edilmesinin amaçlandığı hallerde, aktarım yalnızca bu kişilerin talebi üzerine veya yalnızca bu kişilerin aktarımın alıcısı olması halinde gerçekleştirilebilir.
3. Paragraf 1'in birinci alt paragrafının (a), (b) ve (c) bentleri ile paragraf 1'in ikinci alt paragrafı, kamu makamlarının kamu yetkilerini kullanırken yürüttükleri faaliyetlere uygulanmaz.
4. Birinci paragrafın (d) bendinde atıfta bulunulan kamu menfaati Birlik hukukunda veya kontrolörün tabi olduğu üye devlet hukukunda tanınmalıdır.
5. Bir yeterlilik kararının bulunmaması halinde, Birlik veya Üye Devlet hukuku, kamu yararına ilişkin önemli nedenlerle, belirli kategorilerdeki kişisel verilerin üçüncü ülkelere veya uluslararası kuruluşlara aktarılmasına ilişkin kısıtlamaları açıkça öngörebilir. Üye Devletler bu tür hükümleri Komisyon'a bildirir.
6. Kontrolör veya işleyici yapmış olduğu değerlendirmeyi ve bu maddenin 1. paragrafının ikinci alt paragrafında atıfta bulunulan uygun koruma tedbirlerini 30. maddede atıfta bulunulan belgelere kaydeder.

1. Üçüncü ülkeler ve uluslararası kuruluşlar ile ilgili olarak, Komisyon ve denetim makamları aşağıdaki hususlarda uygun tedbirleri alır
   1. Kişisel verilerin korunmasına ilişkin mevzuatın etkili bir şekilde uygulanmasını kolaylaştırmak için uluslararası işbirliği mekanizmaları geliştirmek,
   2. kişisel verilerin ve diğer temel hak ve özgürlüklerin korunmasına yönelik uygun güvencelerin mevcut olması kaydıyla, bildirimler, şikayet yönlendirmeleri, soruşturmalarda idari yardım ve bilgi alışverişi de dahil olmak üzere, kişisel verilerin korunması mevzuatının uygulanmasında karşılıklı uluslararası idari yardım sağlar,
   3. Kişisel verilerin korunması mevzuatının uygulanmasında uluslararası işbirliğini artırmayı amaçlayan tartışma ve faaliyetlere ilgili paydaşların katılımını sağlamak,
   4. Üçüncü ülkelerle olan yetki çatışmaları da dahil olmak üzere, kişisel verilerin korunmasına ilişkin mevzuat ve uygulamaların değişiminin ve belgelendirilmesinin teşvik edilmesi.

1. Her üye devlet, gerçek kişilerin işleme faaliyetine ilişkin temel hak ve özgürlüklerinin korunması ve Birlik içerisinde kişisel verilerin serbest dolaşımının kolaylaştırılması amacıyla bu Tüzük'ün uygulanmasının izlenmesinden bir veya daha fazla bağımsız makamın sorumlu olmasını sağlar ('denetim makamı').
2. Her denetim makamı bu Tüzük'ün Birlik genelinde uyumlaştırılmış bir şekilde uygulanmasına katkıda bulunur. Bu amaçla, denetim makamları Bölüm VII uyarınca birbirleriyle ve Komisyon ile işbirliği yapar.
3. Bir üye devlette birden fazla denetim makamının bulunduğu hallerde, söz konusu üye devlet bu makamları Kurul'da temsil eden denetim makamını belirler ve diğer makamların 63. maddede atıfta bulunulan tutarlılık mekanizması kurallarına uymasını sağlamak üzere bir usul tesis eder.
4. Her Üye Devlet, bu Bölüm uyarınca kabul ettiği ulusal mevzuat hükümlerini en geç 25 Mayıs 2018 tarihine kadar Komisyon'a bildirir ve bunları etkileyen müteakip değişiklikleri gecikmeksizin Komisyon'a bildirir.

1. Her denetim makamı görevlerinin yerine getirilmesinde ve bu Tüzük kapsamındaki yetkilerinin kullanılmasında tam bir bağımsızlıkla hareket eder.
2. Her denetim makamının üyesi veya üyeleri, görevlerini yerine getirirken ve bu Tüzük kapsamındaki yetkilerini kullanırken, doğrudan veya dolaylı herhangi bir dış etkiye tabi olmaz ve talimat almaz veya alamaz.
3. Denetim makamının üyesi ya da üyeleri, görevleriyle bağdaşmayan her türlü eylemden kaçınır ve görev süreleri boyunca, görevleriyle bağdaşmayan başka herhangi bir ücretli ya da ücretsiz faaliyette bulunamaz.
4. Her üye devlet, her denetim makamına, karşılıklı yardım, işbirliği ve Kurul'a katılım bağlamı da dahil olmak üzere, görevlerini etkili bir şekilde yerine getirmesi ve yetkilerini kullanması için gerekli beşeri, teknik ve mali kaynakların, tesislerin ve altyapının sağlanmasını temin eder.
5. Her üye devlet, her denetim makamının, münhasıran ilgili denetim makamının üye veya üyelerinin yönlendirmesine tabi olacak olan kendi personelini seçmesini ve bu personele sahip olmasını sağlar.
6. Her üye devlet, her denetim makamının bağımsızlığını tehlikeye atmayacak bir mali kontrole tabi olmasını ve genel devlet bütçesinin veya ulusal bütçenin bir parçasını oluşturabilecek kendi yıllık kamu bütçesine sahip olmasını sağlar.

1. Üye devletler, denetim makamlarının her bir üyesinin şeffaf bir usul vasıtasıyla atanmasını sağlar, yani
   - Parlamento'dan,
   - hükümetten,
   - devlet başkanı tarafından veya
   - Üye Devletin yasalarına uygun olarak atama ile görevlendirilmiş bağımsız bir organ tarafından.
2. Her üye, görevlerini yerine getirmek ve özellikle kişisel verilerin korunması alanında yetkilerini kullanmak için gerekli niteliklere, deneyime ve uzmanlığa sahip olmalıdır.
3. Bir üyenin görev süresi, görev süresinin dolması, istifa etmesi veya ilgili Üye Devletin yasalarına uygun olarak zorunlu emeklilikle sona erer.
4. Bir üyenin görevden alınabilmesi için ciddi bir suiistimalde bulunması ya da görevlerini yerine getirmek için gerekli şartları artık taşımıyor olması gerekir.

1. Her Üye Devlet aşağıdakileri kanunla sağlar:
   1. herhangi bir denetim makamının kurulması;
   2. her bir denetim makamının üyesi olarak atanmak için gerekli nitelikler ve diğer gereklilikler;
   3. her bir denetim makamının üye veya üyelerinin atanmasına ilişkin kurallar ve usuller;
   4. her bir denetim makamının üye veya üyelerinin görev süresinin en az dört yıl olması; bu 24 Mayıs 2016 tarihinden sonraki ilk görev süresi için geçerli değildir; denetim makamının bağımsızlığının korunması için kademeli bir atamanın gerekli olması halinde, bu süre bazı üyeler için daha kısa olabilir;
   5. her bir denetim makamının üye veya üyelerinin yeniden atanıp atanamayacağı ve - eğer atanabileceklerse - ne sıklıkla atanabilecekleri sorusu;
   6. her denetim makamının üye veya üyeleri ile personelinin görevlerine ilişkin koşullar, görev süresi boyunca ve sonrasında bu görevlerle bağdaşmayan eylemlere, mesleki faaliyetlere ve ücretlere ilişkin yasaklar ve istihdamın sona erdirilmesine ilişkin kurallar.
2. Her denetim makamının üyesi veya üyeleri ve personeli, görev süreleri boyunca ve sonrasında, Birlik veya üye devlet hukuku uyarınca, görevlerinin ifası veya yetkilerinin kullanılması sırasında bilgilerine ulaşan her türlü gizli bilgiye ilişkin olarak mesleki gizliliğe riayet etmekle yükümlüdür. Görev veya hizmet süreleri boyunca, bu gizlilik yükümlülüğü özellikle gerçek kişiler tarafından bildirilen bu Tüzük ihlalleri için geçerlidir.

1. Her denetim makamı, kendi üye devletinin toprakları dahilinde bu Tüzük ile kendisine verilen görevleri yerine getirme ve yetkileri kullanma konusunda yetkilidir.
2. İşleme faaliyetinin 6(1)(c) veya (e) maddesi temelinde kamu makamları veya özel organlar tarafından gerçekleştirilmesi halinde, ilgili üye devletin denetim makamı yetkili olur. Bu durumda, 56. madde uygulanmaz.
3. Denetim makamları, yargı faaliyetleri sırasında mahkemeler tarafından gerçekleştirilen işleme faaliyetlerinin denetiminden sorumlu değildir.

1. Kontrolör veya işleyicinin ana işletmesinin veya tek işletmesinin denetim makamı 55. maddeye halel gelmeksizin, 60. maddede atıfta bulunulan usul uyarınca söz konusu kontrolör veya işleyici tarafından gerçekleştirilen sınır ötesi işleme faaliyeti için yetkili baş denetim makamıdır.
2. Her denetim makamı, 1. paragraftan istisna olarak, konunun yalnızca kendi üye devletindeki bir işletme ile ilgili olduğu veya yalnızca kendi üye devletindeki veri sahiplerini önemli ölçüde etkilediği hallerde, kendisine iletilen bir şikayet veya bu Tüzük'ün olası bir ihlali ile ilgilenmeye yetkilidir.
3. Bu maddenin 2. paragrafında atıfta bulunulan hallerde, denetim makamı baş denetim makamını gereksiz bir gecikme olmaksızın konu hakkında bilgilendirir. Bildirimi müteakip üç hafta içerisinde, baş denetim makamı kontrolör veya işleyicinin denetim makamının kendisini bilgilendirdiği üye devlette bir işletmesi olup olmadığını dikkate alarak, 60. maddede atıfta bulunulan usul uyarınca vakayı ele alıp almayacağına karar verir.
4. Baş denetim makamının dava ile ilgilenmeye karar vermesi halinde, 60. maddede belirtilen usul uygulanır. Baş denetim makamını bilgilendiren denetim makamı baş denetim makamına bir karar taslağı sunabilir. Baş denetim makamı 60(3) maddesinde atıfta bulunulan taslak kararı hazırlarken bu taslağı azami ölçüde dikkate alır.
5. Baş denetim makamının vakayı kendisinin ele almamaya karar verdiği hallerde, baş denetim makamını bilgilendiren denetim makamı 61 ve 62. maddeler uyarınca vakayı ele alır.
6. Baş denetim makamı, söz konusu kontrolör veya işleyici tarafından gerçekleştirilen sınır ötesi işleme faaliyetine ilişkin konularda kontrolör veya işleyici için tek temas noktasıdır.

1. Bu Tüzük'te belirtilen diğer görevlere halel gelmeksizin, kendi bölgesindeki her denetim makamı
   1. Bu yönetmeliğin uygulanmasını izlemek ve uygulamak;
   2. kamuoyunu işleme ile ilgili riskler, kurallar, koruma önlemleri ve haklar konusunda duyarlı hale getirmek ve bilgilendirmek. Çocuklar için özel önlemlere özel dikkat gösterilir;
   3. Üye Devletin yasalarına uygun olarak, ulusal parlamentoya, hükümete ve diğer kurum ve kuruluşlara, işleme faaliyeti ile ilgili olarak bireylerin hak ve özgürlüklerinin korunmasına ilişkin yasal ve idari tedbirler konusunda tavsiyelerde bulunur;
   4. kontrolör ve işleyicileri bu Tüzük kapsamındaki yükümlülükleri konusunda duyarlı hale getirmek;
   5. talep üzerine, herhangi bir veri sahibine bu Tüzük kapsamındaki haklarının kullanılmasına ilişkin bilgi sağlar ve uygun olduğu hallerde, bu amaç doğrultusunda diğer üye devletlerdeki denetim makamları ile işbirliği yapar;
   6. bir veri sahibi veya bir organ, kuruluş veya birlik tarafından 80. madde uyarınca yapılan şikayetleri ele alır, şikayetin konusunu uygun bir kapsamda soruşturur ve özellikle başka bir denetim makamı ile ilave soruşturma veya koordinasyonun gerekli olduğu hallerde, makul bir süre içerisinde soruşturmanın ilerleyişi ve sonucu hakkında şikayet sahibini bilgilendirir;
   7. bilgi alışverişi de dahil olmak üzere diğer denetim makamları ile işbirliği yapar ve bu Tüzük'ün yeknesak bir şekilde uygulanmasını ve yürütülmesini sağlamak için onlara idari yardım sağlar;
   8. başka bir denetim makamı veya başka bir makam tarafından sağlanan bilgiler temelinde de olmak üzere, bu Tüzük'ün uygulanmasına ilişkin soruşturmalar yürütür;
   9. Özellikle bilgi ve iletişim teknolojilerinin ve iş uygulamalarının gelişimi olmak üzere, kişisel verilerin korunması üzerinde etkisi olduğu ölçüde ilgili gelişmeleri izler;
   10. Madde 28(8) ve Madde 46(2)(d) anlamında standart sözleşme hükümleri;
   11. Madde 35(4) uyarınca bir veri koruma etki değerlendirmesinin gerçekleştirileceği işleme türlerinin bir listesini oluşturur ve muhafaza eder;
   12. Madde 36(2)'de atıfta bulunulan işleme faaliyetlerine ilişkin olarak tavsiyelerde bulunmak;
   13. Madde 40(1)'de atıfta bulunulan davranış kurallarının hazırlanmasını teşvik eder ve Madde 40(5) anlamında yeterli güvenceler sağlayacak olan bu tür davranış kuralları hakkında görüş bildirir ve bunları onaylar;
   14. Madde 42(1) uyarınca veri koruma belgelendirme mekanizmalarının ve veri koruma mühür ve işaretlerinin oluşturulmasını teşvik eder ve Madde 42(5) uyarınca belgelendirme kriterlerini onaylar;
   15. Madde 42(7) uyarınca verilen sertifikaları uygun olduğu şekilde periyodik olarak gözden geçirir;
   16. Madde 41'de atıfta bulunulan bir uygunluk izleme kuruluşunun ve Madde 43'te atıfta bulunulan bir belgelendirme kuruluşunun akreditasyonuna ilişkin gereklilikleri hazırlar ve yayımlar;
   17. Madde 41 uyarınca bir uygunluk izleme kuruluşunu ve Madde 43 uyarınca bir belgelendirme kuruluşunu akredite eder;
   18. Madde 46(3) kapsamında sözleşme hükümlerine ve şartlarına izin verir;
   19. Madde 47 uyarınca bağlayıcı iç kuralları yetkilendirebilir;
   20. Komite'nin faaliyetlerine katkıda bulunmak;
   21. bu Tüzüğün ihlallerine ve Madde 58(2) uyarınca alınan tedbirlere ilişkin dahili kayıtlar; ve
   22. kişisel verilerin korunması ile ilgili diğer görevleri yerine getirmek.
2. Her denetim makamı 1(f) paragrafında atıfta bulunulan şikayetlerin sunulmasını, diğer iletişim araçlarını hariç tutmaksızın, elektronik olarak da doldurulabilen bir şikayet formunun sağlanması gibi tedbirler vasıtasıyla kolaylaştırır.
3. Her bir denetim makamının görevlerinin yerine getirilmesi veri sahibi ve varsa veri koruma görevlisi için ücretsizdir.
4. Açıkça temelsiz veya - özellikle sık tekrarlanan - aşırı talepler söz konusu olduğunda, denetim makamı idari masraflara dayalı olarak makul bir ücret talep edebilir veya talep üzerinde işlem yapmayı reddedebilir. Bu durumda, denetim makamı talebin açıkça temelsiz veya aşırı olduğuna ilişkin ispat yükünü taşır.

1. Her denetim makamı, kullanmaya yetkili olduğu aşağıdaki soruşturma yetkilerinin tamamına sahip olacaktır,
   1. kontrolöre, işleyiciye ve uygun olduğu hallerde kontrolörün veya işleyicinin temsilcisine görevlerini yerine getirmeleri için gerekli tüm bilgileri sağlamaları talimatını verir,
   2. veri koruma kontrolleri şeklinde soruşturmalar yürütmek,
   3. Madde 42(7) uyarınca verilen sertifikaların gözden geçirilmesini gerçekleştirir,
   4. kontrolör veya işleyiciyi bu Tüzüğün ihlal edildiği iddiası konusunda bilgilendirir,
   5. kontrolör ve işleyiciden görevlerini yerine getirmeleri için gerekli tüm kişisel veri ve bilgilere erişim elde etmek,
   6. Birlik veya üye devlet usul hukuku uyarınca kontrolör ve işleyicinin tüm veri işleme tesisleri ve ekipmanları da dahil olmak üzere tesislerine erişim elde etmek.
2. Her denetim makamı, kullanmaya yetkili olduğu aşağıdaki düzeltici yetkilerin tamamına sahip olacaktır,
   1. bir kontrolör veya işleyiciyi amaçlanan işleme faaliyetlerinin bu Tüzüğü ihlal edebileceği konusunda uyarmak,
   2. işleme faaliyetleriyle bu yönetmeliği ihlal etmeleri halinde bir kontrolör veya işleyiciye uyarıda bulunma yetkisine sahiptir,
   3. kontrolör veya işleyiciye veri sahibinin bu Tüzük kapsamındaki haklarını kullanma taleplerine uyması talimatını verir,
   4. kontrolör veya işleyiciye işleme faaliyetlerini, uygun olduğu hallerde, belirli bir şekilde ve belirli bir süre içerisinde bu Tüzük ile uyumlu hale getirmesi talimatını vermesi,
   5. Veri sorumlusuna kişisel veri ihlalini ilgili kişiye uygun şekilde bildirmesi talimatını verir,
   6. yasaklama da dahil olmak üzere işlemeye geçici veya kesin bir kısıtlama getirebilir,
   7. 16, 17 ve 18. maddeler uyarınca kişisel verilerin düzeltilmesi veya silinmesi ya da işlemenin kısıtlanması ve 17(2) maddesi ve 19. madde uyarınca kişisel verilerin ifşa edildiği alıcılara bu tür tedbirlerin bildirilmesi,
   8. bir sertifikayı iptal edebilir veya sertifikasyon kuruluşuna 42. ve 43. maddeler uyarınca verilen bir sertifikayı iptal etme talimatı verebilir veya sertifikasyon kuruluşuna, sertifikasyon koşullarının karşılanmaması veya artık karşılanmaması durumunda sertifika vermeme talimatı verebilir,
   9. münferit olayın koşullarına bağlı olarak, bu paragrafta atıfta bulunulan tedbirlere ek olarak veya bunların yerine 83. madde uyarınca para cezası uygulayabilir,
   10. verilerin üçüncü bir ülkedeki bir alıcıya veya uluslararası bir kuruluşa aktarımının askıya alınmasını emredebilir.
3. Her denetim makamı aşağıdaki tüm yetkilendirme yetkilerine ve bunu yapmasına olanak tanıyan danışma yetkilerine sahip olacaktır,
   1. Madde 36'da atıfta bulunulan ön istişare usulüne uygun olarak,
   2. kişisel verilerin korunmasıyla ilgili herhangi bir konuda kendi inisiyatifiyle veya talep üzerine ulusal parlamentoya, Üye Devletin hükümetine veya Üye Devletin yasalarına uygun olarak diğer kurum ve kuruluşlara ve kamuya görüş bildirmek,
   3. Üye Devletin yasaları uyarınca önceden izin verilmesi gerekiyorsa, Madde 36(5) uyarınca işleme faaliyetine izin vermek,
   4. Madde 40(5) uyarınca görüş bildirir ve taslak davranış kurallarını onaylar,
   5. Madde 43 uyarınca belgelendirme kuruluşlarını akredite eder,
   6. Madde 42(5) uyarınca sertifikalar düzenler ve sertifikasyon kriterlerini onaylar,
   7. Madde 28(8) ve Madde 46(2)(d) uyarınca standart veri koruma hükümleri oluşturmak
   8. Madde 46(3)(a) uyarınca sözleşme hükümlerine izin verme yetkisine sahiptir,
   9. Madde 46(3)(b) uyarınca idari düzenlemelere izin vermek
   10. Madde 47 uyarınca bağlayıcı iç kuralları onaylamak.
4. Bu madde uyarınca denetim makamına verilen yetkilerin kullanılması, Birlik ve üye devlet hukuku uyarınca ve Şart'a uygun olarak, etkili yargı yolları ve adil süreç de dahil olmak üzere uygun güvencelere tabidir.
5. Her üye devlet, denetim makamının bu Tüzük'ün ihlallerini adli makamların dikkatine sunmaya ve uygun olduğu hallerde, bu Tüzük'ün hükümlerinin uygulanmasına yönelik adli işlemleri başlatmaya veya bu işlemlere katılmaya yetkili olduğunu kanunla belirtir.
6. Her üye devlet, kendi denetim makamının 1, 2 ve 3. paragraflarda listelenenlere ek olarak yetkilere sahip olmasını kanunla sağlayabilir. Bu yetkilerin kullanılması Bölüm VII'nin etkili bir şekilde uygulanmasını tehlikeye atmaz.

1. Her denetim makamı, 58(2) maddesi uyarınca bildirilen ihlal türlerinin ve alınan tedbir türlerinin bir listesini de içerebilecek şekilde, faaliyetleri hakkında yıllık bir rapor hazırlar. Bu raporlar ulusal parlamentoya, hükümete ve üye devletlerin hukuku uyarınca belirlenen diğer makamlara iletilir. Bu raporlar kamuoyunun, Komisyon'un ve Komite'nin erişimine sunulur.

1. Baş denetim makamı bu madde uyarınca ilgili diğer denetim makamları ile işbirliği yapar ve bir uzlaşıya varmak için çaba gösterir. Baş denetim makamı ve ilgili denetim makamları birbirleriyle ilgili tüm bilgileri paylaşır.
2. Baş denetim makamı herhangi bir zamanda 61. madde uyarınca ilgili diğer denetim makamlarından karşılıklı yardım talep edebilir ve özellikle başka bir üye devlette yerleşik bir kontrolör veya işleyici ile ilgili olarak bir tedbirin uygulanmasını izlemek veya soruşturmalar yürütmek amacıyla 62. madde uyarınca ortak operasyonlar gerçekleştirebilir.
3. Baş denetim makamı ilgili diğer denetim makamlarına konuya ilişkin bilgileri derhal sağlar. İlgili diğer denetim makamlarına yorumlarını almak üzere derhal bir karar taslağı sunar ve onların görüşlerini gerekli şekilde dikkate alır.
4. İlgili diğer denetim makamlarından birinin bu maddenin 3. paragrafı uyarınca istişarede bulunulduktan sonraki dört hafta içerisinde söz konusu taslak karara yönelik ilgili ve gerekçeli bir itirazda bulunması ve baş denetim makamının ilgili ve gerekçeli itiraza katılmaması veya itirazın ilgili ya da gerekçeli olmadığını düşünmesi halinde, baş denetim makamı konuya ilişkin olarak 63. maddede atıfta bulunulan tutarlılık mekanizmasını başlatır.
5. Baş denetim makamının ilgili ve gerekçeli itirazı onaylama niyetinde olması halinde, gözden geçirilmiş bir taslak kararı yorum için ilgili diğer denetim makamlarına sunar. Revize edilmiş taslak karar iki hafta içerisinde 4. paragrafta belirtilen prosedüre tabi olur.
6. İlgili diğer denetim makamlarından hiçbirinin 4. ve 5. paragraflarda belirtilen süre içerisinde baş denetim makamı tarafından sunulan taslak karara itiraz etmemesi halinde, baş denetim makamı ve ilgili denetim makamları taslak karar üzerinde mutabakata varmış sayılır ve bu karar ile bağlı olur.
7. Baş denetim makamı kararı kabul eder ve kararı kontrolörün veya uygun olduğu hallerde işleyicinin ana işletmesine veya tek işletmesine iletir ve ilgili diğer denetim makamlarını ve Kurul'u ilgili olguların ve gerekçelerin bir özeti de dahil olmak üzere karardan haberdar eder. Kendisine şikayette bulunulan denetim makamı şikayet sahibini karara ilişkin olarak bilgilendirir.
8. Bir şikayetin reddedilmesi veya reddedilmiş olması halinde, şikayetin sunulduğu denetim makamı, 7. paragraftan istisna olarak, kararı düzenler, şikayet sahibine bildirir ve kontrolörü bilgilendirir.
9. Baş denetim makamı ve ilgili denetim makamlarının şikayetin bazı kısımlarının reddedilmesi veya reddedilmesi ve söz konusu şikayetin diğer kısımlarına ilişkin olarak harekete geçilmesi hususunda mutabık kalması halinde, bu kısımların her biri için ayrı bir karar kabul edilir. Baş denetim makamı kontrolöre yönelik eylem ile ilgili kısma ilişkin kararı kabul eder, kendi üye devletinin topraklarındaki kontrolör veya işleyicinin ana işletmesine veya tek işletmesine iletir ve şikayet sahibini bu konuda bilgilendirir; şikayet sahibinden sorumlu denetim makamı ise söz konusu şikayetin reddedilmesi veya reddedilmesine ilişkin kısma ilişkin kararı kabul eder, söz konusu şikayet sahibine iletir ve kontrolör veya işleyiciyi bu konuda bilgilendirir.
10. Kontrolör veya işleyici 7 ve 9. paragraflar uyarınca baş denetim makamının kararından haberdar edilmesinin ardından, Birlik içerisindeki tüm kuruluşlarının işleme faaliyetlerini söz konusu karara uygun hale getirmek için gerekli tedbirleri alır. Kontrolör veya işleyici karara uyum sağlamak için alınan tedbirler hakkında baş denetim makamını bilgilendirir ve bu makam da ilgili diğer denetim makamlarını bilgilendirir.
11. İstisnai durumlarda, ilgili denetim makamının veri sahiplerinin menfaatlerinin korunması için acil bir eylem ihtiyacı olduğuna inanmak için gerekçeleri olması halinde, 66. madde kapsamındaki aciliyet usulü uygulanır.
12. Baş denetim makamı ve ilgili diğer denetim makamları bu madde uyarınca gereken bilgileri standartlaştırılmış bir format kullanarak elektronik yollarla birbirlerine sağlar.

1. Denetim makamları bu Tüzük'ün uyumlaştırılmış bir şekilde uygulanması ve yürütülmesi amacıyla birbirlerine ilgili bilgileri ve karşılıklı yardımı sağlar ve etkili işbirliği için düzenlemeler yapar. Karşılıklı yardım özellikle bilgi talepleri ve ön izin talepleri ve ön istişare, teftişler ve soruşturmalar gibi denetim tedbirleri ile ilgilidir.
2. Her denetim makamı başka bir denetim makamından gelen bir talebe gereksiz gecikme olmaksızın ve en geç talebin alınmasını müteakip bir ay içerisinde uymak için tüm uygun tedbirleri alır. Bu, özellikle, bir soruşturmanın yürütülmesine ilişkin ilgili bilgilerin iletilmesini içerebilir.
3. Yardım talepleri, talebin amacı ve gerekçesi de dahil olmak üzere gerekli tüm bilgileri içerir. Sağlanan bilgiler yalnızca talep edildiği amaç için kullanılacaktır.
4. Talepte bulunulan denetim makamı yalnızca aşağıdaki durumlarda talebi reddedecektir
   1. talebin konusu veya yerine getirmesi gereken tedbirler konusunda yetkili olmaması veya
   2. talebe yanıt vermenin bu Tüzük'e veya talebi alan denetim makamının tabi olduğu Birlik ya da üye devlet hukukuna aykırı olması.
5. Talepte bulunulan denetim makamı talepte bulunan denetim makamını talebin yerine getirilmesi için alınan tedbirlerin sonuçları veya, uygun olduğu hallerde, ilerleme durumu hakkında bilgilendirir. Talepte bulunulan denetim makamı 4. paragraf uyarınca talebin reddedilme gerekçelerini açıklar.
6. Talepte bulunulan denetim makamları başka bir denetim makamı tarafından talep edilen bilgileri genellikle standart bir format kullanarak elektronik yollarla iletir.
7. Talep edilen denetim makamları, bir yardım talebi temelinde alınan tedbirler için herhangi bir ücret talep etmez. Denetim makamları, idari yardımın bir sonucu olarak ortaya çıkan belirli masraflar için istisnai durumlarda birbirlerine geri ödeme yapılmasına ilişkin kurallar üzerinde kendi aralarında anlaşabilirler.
8. Talepte bulunulan bir denetim makamının 5. paragrafta atıfta bulunulan bilgileri başka bir denetim makamından talebin alınmasından itibaren bir ay içerisinde sağlamaması halinde, talepte bulunan denetim makamı 55(1) maddesi uyarınca kendi üye devletinin topraklarında geçici bir tedbir alabilir. Bu durumda, 66(1) maddesinde atıfta bulunulan acil eylem ihtiyacı varsayılır ve 66(2) maddesi uyarınca aciliyet usulü çerçevesinde kabul edilen bağlayıcı bir Kurul kararı gerektirir.
9. Komisyon, uygulama tasarrufları vasıtasıyla, bu madde kapsamındaki karşılıklı yardımın şeklini ve usulünü ve denetim makamları arasında ve denetim makamları ile Kurul arasında elektronik bilgi alışverişinin organizasyonunu, özellikle de bu maddenin 6. paragrafında atıfta bulunulan standartlaştırılmış formatı belirleyebilir. Bu uygulama tasarrufları 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca kabul edilir.

1. Denetim makamları, uygun olduğu hallerde, diğer üye devletlerin denetim makamlarının üyelerinin veya personelinin katıldığı ortak soruşturmalar ve ortak uygulama eylemleri de dahil olmak üzere ortak operasyonlar yürütür.
2. Kontrolör veya işleyicinin birden fazla üye devlette kuruluşunun bulunduğu veya işleme faaliyetlerinin birden fazla üye devlette önemli sayıda veri sahibi üzerinde önemli bir etkisinin olmasının muhtemel olduğu hallerde, bu üye devletlerin her birinin denetim makamı ortak faaliyetlere katılmaya yetkilendirilir. 56(1) veya (4) maddesi uyarınca yetkili olan denetim makamı, bu üye devletlerin her birinin denetim makamını ortak operasyonlara katılmaya davet eder ve bir denetim makamının katılma talebine gecikmeksizin yanıt verir.
3. Bir denetim makamı, üye devletin hukuku uyarınca ve sponsor denetim makamının izni ile, ortak operasyonlara katılan sponsor denetim makamının üyelerine veya personeline soruşturma yetkileri de dahil olmak üzere yetkiler devredebilir veya ev sahibi denetim makamının üye devletinin hukuku tarafından izin verildiği ölçüde, sponsor denetim makamının üyelerinin veya personelinin sponsor denetim makamının üye devletinin hukuku uyarınca soruşturma yetkilerini kullanmalarına izin verebilir. Bu soruşturma yetkileri yalnızca davet eden denetim makamının üyeleri veya personelinin yönlendirmesi altında ve onların huzurunda kullanılabilir. Yardım eden denetim makamının üyeleri veya personeli ev sahibi denetim makamının üye devletinin hukukuna tabidir.
4. Bir yardımcı denetim makamının personelinin 1. paragraf uyarınca başka bir üye devlette görevlendirildiği hallerde, davet eden denetim makamının üye devleti, görevlendirmenin topraklarında gerçekleştiği üye devletin hukuku uyarınca, görevlendirilmeleri sırasında neden oldukları her türlü zarara ilişkin sorumluluk da dahil olmak üzere, bu personelin eylemlerine ilişkin sorumluluğu üstlenir.
5. Zararın topraklarında meydana geldiği üye devlet, kendi personeli tarafından meydana getirilmiş olması halinde tazmin etmesi gerekecek olan zararı tazmin eder. Görevlileri başka bir üye devletin topraklarında bir kişiye zarar vermiş olan yardımcı denetim makamının üye devleti, diğer üye devlete, hak sahibi kişilere ödediği toplam tazminat miktarını geri öder.
6. Üçüncü taraflara karşı haklarının kullanılmasına halel getirmeksizin ve 5. paragraf hariç olmak üzere, 1. paragrafta atıfta bulunulan durumda, her Üye Devlet 4. paragrafta atıfta bulunulan zararın miktarını diğer Üye Devletlerden talep etmekten kaçınır.
7. Ortak bir eylemin öngörüldüğü ve bir denetim makamının bu maddenin 2. paragrafının ikinci cümlesinde belirtilen yükümlülüğü bir ay içerisinde yerine getirmediği hallerde, diğer denetim makamları 55. madde uyarınca kendi üye devletlerinin topraklarında geçici bir tedbir alabilir. Bu durumda, 66(1) maddesinde atıfta bulunulan acil eylem ihtiyacı varsayılır ve aciliyet usulü uyarınca kabul edilen bir görüşü veya 66(2) maddesi uyarınca aciliyet usulü uyarınca kabul edilen bağlayıcı bir Kurul kararını gerektirir.

1. Bu Tüzük'ün Birlik genelinde uyumlaştırılmış bir şekilde uygulanmasına katkıda bulunmak amacıyla, denetim makamları bu bölümde açıklanan tutarlılık mekanizması çerçevesinde birbirleriyle ve uygun olduğu hallerde Komisyon ile işbirliği yapar.

1. Yetkili denetim makamının aşağıdaki tedbirlerden birini kabul etme niyetinde olması halinde, Kurul bir görüş bildirir. Bu amaçla, yetkili denetim makamı aşağıdaki hallerde karar taslağını Kurula gönderir
   1. Madde 35(4) uyarınca veri koruma etki değerlendirmesi gerekliliğine tabi işleme faaliyetlerine ilişkin bir listenin kabul edilmesi,
   2. Madde 40(7)'de atıfta bulunulan bir husus ve dolayısıyla bir davranış kuralları taslağının veya bir davranış kurallarında yapılan bir değişikliğin veya ilavenin bu Tüzüğe uygun olup olmadığı,
   3. Madde 41(3)'te atıfta bulunulan bir kuruluşun, Madde 43(3)'te atıfta bulunulan bir belgelendirme kuruluşunun akreditasyonu için gerekliliklerin veya Madde 42(5)'te atıfta bulunulan belgelendirme kriterlerinin onaylanması,
   4. Madde 46(2)(d) ve Madde 28(8) uyarınca standart veri koruma hükümlerinin oluşturulması,
   5. Madde 46(3)(a) uyarınca sözleşme hükümlerini yetkilendirmeye hizmet eder veya
   6. Madde 47 anlamında bağlayıcı iç kuralların kabul edilmesi.
2. Herhangi bir denetim makamı, Kurul Başkanı veya Komisyon, özellikle yetkili bir denetim makamının 61. madde kapsamındaki karşılıklı yardım yükümlülüklerini veya 62. madde kapsamındaki ortak operasyonları yerine getirmediği hallerde, genel uygulamaya ilişkin veya birden fazla üye devlette etkisi olan bir hususun görüş almak amacıyla Kurul tarafından incelenmesini talep edebilir.
3. Paragraf 1 ve 2'de atıfta bulunulan durumlarda, Komite, aynı konuda daha önce bir görüş bildirmemişse, kendisine havale edilen konu hakkında bir görüş bildirir. Bu görüş, Komite üyelerinin salt çoğunluğuyla sekiz hafta içinde kabul edilir. Bu süre, konunun karmaşıklığı dikkate alınarak altı hafta daha uzatılabilir. Paragraf 5 uyarınca Komite üyelerine iletilecek olan paragraf 1'de atıfta bulunulan karar taslağına ilişkin olarak, Başkan tarafından belirlenen makul bir süre içinde itiraz etmeyen bir üye karar taslağını onaylamış sayılır.
4. Denetim makamları ve Komisyon, gecikmeksizin, standart bir format kullanarak, duruma göre, olguların kısa bir sunumu, karar taslağı, söz konusu eylemin gerçekleştirilmesini gerektiren nedenler ve ilgili diğer denetim makamlarının görüşleri de dahil olmak üzere, ilgili tüm bilgileri elektronik yollarla Kurul'a sağlar.
5. Komite Başkanı, aşağıdaki hususları derhal elektronik yollarla bildirecektir
   1. Komite üyelerini ve Komisyonu, aldığı ilgili bilgiler hakkında standart bir format kullanarak bilgilendirir. Gerektiğinde, Komite sekretaryası ilgili bilgilerin tercümelerini sağlayacaktır; ve
   2. görüşünü 1 ve 2. paragraflarda atıfta bulunulan denetim makamına ve duruma göre Komisyon'a bildirir ve bunu yayımlar.
6. 1. paragrafta atıfta bulunulan yetkili denetim makamı, 3. paragrafta atıfta bulunulan sürenin sona ermesinden önce 1. paragrafta atıfta bulunulan taslak kararı kabul etmez.
7. Birinci paragrafta atıfta bulunulan yetkili denetim makamı Kurul'un görüşünü azami ölçüde dikkate alır ve görüşün alınmasından itibaren iki hafta içerisinde, taslak kararı muhafaza edip etmeyeceğini veya değiştirip değiştirmeyeceğini ve uygun olduğu hallerde değiştirilmiş taslak kararı iletip iletmeyeceğini standart bir format kullanarak elektronik yollarla Başkanına bildirir.
8. Bu maddenin 7. paragrafında belirtilen süre içerisinde 1. paragrafta atıfta bulunulan yetkili denetim makamının Kurul Başkanı'na ilgili gerekçeleri belirterek Kurul'un görüşüne tamamen veya kısmen uymama niyetinde olduğunu bildirmesi halinde, 65(1) maddesi uygulanır.

1. Bu Tüzüğün münferit vakalarda düzgün ve yeknesak bir şekilde uygulanmasını sağlamak amacıyla, Komite aşağıdaki durumlarda bağlayıcı bir karar alır:
   1. 60(4) maddesinde atıfta bulunulan bir durumda, ilgili bir denetim makamının baş denetim makamının taslak kararına yönelik ilgili ve gerekçeli bir itirazda bulunması ve baş denetim makamının itirazı onaylamaması veya itirazı ilgili veya gerekçeli olmadığı gerekçesiyle reddetmesi. Bağlayıcı karar, özellikle bu Tüzük'ün ihlal edilip edilmediği sorusu olmak üzere, ilgili ve gerekçeli itirazın konusu olan tüm hususları kapsar,
   2. ilgili denetim makamlarından hangisinin merkez ofisten sorumlu olduğu konusunda çelişkili görüşler olması halinde,
   3. yetkili bir denetim makamının 64(1) maddesinde atıfta bulunulan hallerde Kurul'un görüşünü talep etmemesi veya 64. madde uyarınca Kurul'un görüşüne uymaması. Bu durumda, ilgili herhangi bir denetim makamı veya Komisyon konuyu Kurul'a havale edebilir.
2. Paragraf 1'de atıfta bulunulan karar, konunun Komite'ye havale edilmesinden itibaren bir ay içinde Komite üyelerinin üçte iki çoğunluğuyla alınır. Bu süre, konunun karmaşıklığı nedeniyle bir ay daha uzatılabilir. Birinci paragrafta atıfta bulunulan karar gerekçelendirilir ve baş denetim makamı ile ilgili tüm denetim makamlarına iletilir ve bunlar üzerinde bağlayıcı olur.
3. Komite, 2. paragrafta belirtilen süreler içinde bir karar alamamışsa, kararını 2. paragrafta belirtilen ikinci ayın sonundan itibaren iki hafta içinde Komite üyelerinin salt çoğunluğuyla alır. Komite üyeleri arasında eşitlik olması halinde, Başkanın oyu geçerli olacaktır.
4. İlgili denetim makamları, 2. ve 3. paragraflarda atıfta bulunulan süre sınırlarının sona ermesinden önce Komite'ye havale edilen konu hakkında bir karar kabul etmez.
5. Kurul Başkanı, ilgili denetim makamlarını 1. paragrafta atıfta bulunulan karardan derhal haberdar eder. Komisyon'u bu konuda bilgilendirir. Karar, denetim makamının 6. paragrafta atıfta bulunulan nihai kararı bildirmesinin ardından gecikmeksizin Kurul'un internet sitesinde yayımlanır.
6. Baş denetim makamı veya, uygun olduğu hallerde, şikayetin iletildiği denetim makamı bu maddenin 1. paragrafında atıfta bulunulan karar temelinde nihai kararı gereksiz bir gecikme olmaksızın ve Avrupa Veri Koruma Kurulu'nun kararını iletmesinin ardından en geç bir ay içerisinde alır. Baş denetim makamı veya, uygun olduğu hallerde, şikayetin iletildiği denetim makamı nihai kararının kontrolör veya işleyiciye ya da veri sahibine iletildiği tarihi Kurul'a bildirir. İlgili denetim makamlarının nihai kararı 60(7), (8) ve (9) maddeleri uyarınca kabul edilir. Nihai karar 1. paragrafta atıfta bulunulan karara atıfta bulunur ve bu maddenin 1. paragrafında atıfta bulunulan kararın 5. paragraf uyarınca Kurul'un internet sitesinde yayımlanacağını belirtir. Nihai karara bu maddenin 1. paragrafında atıfta bulunulan karar da eklenir.

1. İstisnai durumlarda, ilgili bir denetim makamı 63, 64 ve 65. maddelerde atıfta bulunulan tutarlılık mekanizmasına veya 60. maddede atıfta bulunulan prosedüre istisna getirmek suretiyle, veri sahiplerinin hak ve özgürlüklerinin korunması için acil olarak harekete geçilmesi gerektiğini düşündüğü hallerde, kendi topraklarında hukuki etkiler doğurması amaçlanan ve süresi üç ayı aşmayan geçici tedbirleri derhal kabul edebilir. Denetim makamı ilgili diğer denetim makamlarını, Kurul'u ve Komisyon'u bu tedbirler ve bunların kabul edilme gerekçeleri hakkında gecikmeksizin bilgilendirir.
2. Bir denetim makamının 1. paragraf uyarınca bir tedbir aldığı ve kesin tedbirlerin ivedilikle alınması gerektiğini düşündüğü hallerde, söz konusu makam, gerekçelerini belirterek, ivedilik usulü kapsamında Kurul'dan bir görüş veya bağlayıcı bir karar talep edebilir.
3. Herhangi bir denetim makamı, yetkili bir denetim makamının acil eylem ihtiyacına rağmen veri sahiplerinin hak ve özgürlüklerinin korunmasına yönelik uygun tedbirleri almaması halinde, acil eylem ihtiyacı da dahil olmak üzere gerekçelerini belirterek, aciliyet usulü kapsamında bir görüş veya uygun olduğu hallerde Kurul'un bağlayıcı bir kararını talep edebilir.
4. İçtüzüğün 64(3) ve 65(2) maddelerine istisna olarak, 2. ve 3. paragraflarda atıfta bulunulan aciliyet prosedürü kapsamında bir görüş veya bağlayıcı bir karar Komite üyelerinin salt çoğunluğuyla iki hafta içinde alınır.

1. Komisyon, özellikle 64. maddede atıfta bulunulan standartlaştırılmış format olmak üzere, denetim makamları arasında ve denetim makamları ile Kurul arasında elektronik bilgi alışverişinin organizasyonunu belirlemek üzere genel kapsamlı uygulama tasarrufları kabul edebilir.

   Bu uygulama tasarrufları 93(2) maddesinde atıfta bulunulan inceleme usulüne uygun olarak kabul edilir.

1. 1. Avrupa Veri Koruma Kurulu (bundan böyle "Kurul" olarak anılacaktır) tüzel kişiliğe sahip bir Birlik organı olarak kurulacaktır.
   2. Komite, başkanı tarafından temsil edilmektedir.
   3. Komite, her üye devletin denetim makamının başkanı ve Avrupa Veri Koruma Denetmeni veya bunların ilgili temsilcilerinden oluşur.
   4. Bir üye devlette birden fazla denetim makamının bu Tüzük uyarınca kabul edilen hükümlerin uygulanmasını denetlemekten sorumlu olduğu hallerde, söz konusu üye devletin hukuku uyarınca ortak bir temsilci atanır.
   5. Komisyon, oy hakkı olmaksızın Komite'nin faaliyetlerine ve toplantılarına katılma yetkisine sahiptir. Komisyon bir temsilci atayacaktır. Komite Başkanı, Komite'nin faaliyetleri hakkında Komisyon'u bilgilendirir.
   6. Avrupa Veri Koruma Denetmeni, 65. maddede atıfta bulunulan durumlarda, yalnızca Birlik kurumları, organları, ofisleri ve ajansları için geçerli olan ve özü itibariyle bu Tüzük'te belirtilen ilke ve kurallara karşılık gelen ilke ve kurallara ilişkin kararlar üzerinde oy kullanma hakkına sahiptir.

1. 1. Komite, 70 ve 71. Maddeler uyarınca görevlerini yerine getirirken veya yetkilerini kullanırken bağımsız hareket eder.
   2. Madde 70(1) ve (2) uyarınca Komisyon tarafından yapılan talepler saklı kalmak kaydıyla, Komite, görevlerini yerine getirirken veya yetkilerini kullanırken hiç kimseden talimat istemez veya almaz.

1. 1. Komite, bu Tüzüğün yeknesak bir şekilde uygulanmasını sağlar. Bu amaçla Komite, kendi inisiyatifiyle veya uygun olduğu hallerde Komisyon'un talebi üzerine, özellikle aşağıdaki faaliyetleri yürütür:
      1. ulusal denetim makamlarının görevlerine halel gelmeksizin, 64 ve 65. maddelerde atıfta bulunulan hallerde bu Tüzük'ün doğru bir şekilde uygulanmasının izlenmesi ve sağlanması;
      2. Bu Tüzüğün değiştirilmesine yönelik teklifler de dahil olmak üzere, Birlik içinde kişisel verilerin korunmasına ilişkin tüm konularda Komisyona tavsiyelerde bulunmak;
      3. Veri korumaya ilişkin bağlayıcı kurumsal kurallarla ilgili olarak kontrolörler, işleyiciler ve denetim makamları arasında bilgi alışverişine yönelik format ve usuller konusunda Komisyon'a tavsiyede bulunulması;
      4. Madde 17(2) uyarınca, kamuya açık iletişim hizmetlerinden kişisel verilere verilen bağlantıların veya bu verilerin kopyalarının veya çoğaltmalarının silinmesine yönelik prosedürler hakkında kılavuz ilkeler, tavsiyeler ve en iyi uygulamalar sağlar;
      5. Kendi inisiyatifiyle, üyelerinden birinin talebi üzerine veya Komisyon'un talebi üzerine, bu Tüzüğün uygulanmasına ilişkin konuları incelemek ve bu Tüzüğün yeknesak bir şekilde uygulanmasını sağlamak için kılavuzlar, tavsiyeler ve en iyi uygulamaları sağlamak;
      6. Madde 22(2)'de atıfta bulunulan profillemeye dayalı kararlara ilişkin kriter ve koşulları daha fazla tanımlamak üzere bu paragrafın (e) bendi uyarınca kılavuz ilkeler, tavsiyeler ve en iyi uygulamalar sağlar;
      7. kişisel veri ihlallerinin tespiti ve 33(1) ve (2) maddelerinde atıfta bulunulan ivediliğin belirlenmesi ve kontrolör veya işleyicinin kişisel veri ihlalini bildirmesi gereken özel koşullara ilişkin olarak bu paragrafın (e) bendi uyarınca kılavuz ilkeler, tavsiyeler ve en iyi uygulamaları sağlar;
      8. bir kişisel veri ihlalinin 34(1) maddesinde atıfta bulunulduğu üzere gerçek kişilerin hak ve özgürlüklerine yönelik yüksek bir riskle sonuçlanmasının muhtemel olduğu durumlara ilişkin olarak bu paragrafın (e) bendi uyarınca kılavuz ilkeler, tavsiyeler ve en iyi uygulamaları sağlar;
      9. 47'nci maddede atıfta bulunulan kontrolörlerin veya işleyicilerin bağlayıcı kurumsal kurallarına dayalı kişisel veri aktarımlarına ilişkin kriterleri ve gereklilikleri ve burada atıfta bulunulan veri sahiplerinin kişisel verilerinin korunmasına ilişkin diğer gerekli gereklilikleri daha fazla belirlemek üzere bu paragrafın (e) bendi uyarınca kılavuzlar, tavsiyeler ve en iyi uygulamalar sağlar;
      10. 49(1) maddesinde atıfta bulunulan kişisel verilerin aktarımına ilişkin kriterleri ve koşulları daha fazla belirlemek üzere bu paragrafın (e) bendine uygun olarak kılavuz ilkeler, tavsiyeler ve en iyi uygulamalar sağlar;
      11. 58(1), (2) ve (3) maddelerinde atıfta bulunulan tedbirlerin uygulanmasına ve 83. madde uyarınca para cezalarının belirlenmesine ilişkin olarak denetim makamlarına yönelik kılavuz ilkelerin geliştirilmesi;
      12. Kılavuzların, tavsiyelerin ve en iyi uygulamaların pratik uygulamalarının gözden geçirilmesi;
      13. Madde 54(2) uyarınca gerçek kişiler tarafından bu Tüzüğün ihlallerinin bildirilmesine yönelik ortak usullerin oluşturulması için bu paragrafın (e) bendine uygun olarak kılavuzlar, tavsiyeler ve en iyi uygulamalar sağlar;
      14. Madde 40 ve 42 uyarınca, davranış kurallarının geliştirilmesini ve veri koruma sertifikasyon programlarının ve veri koruma mühürlerinin ve işaretlerinin oluşturulmasını teşvik eder;
      15. Madde 42(5)'te atıfta bulunulan belgelendirme kriterlerini onaylar ve Madde 42(8)'de atıfta bulunulan belgelendirme mekanizmaları ve veri koruma mühürleri ve işaretleri ile Madde 42(7)'de atıfta bulunulan üçüncü ülkelerde yerleşik sertifikalı kontrolörler veya işleyicilerin kamuya açık bir kaydını tutar;
      16. Madde 43 uyarınca belgelendirme kuruluşlarının akreditasyonu amacıyla Madde 43(3)'te atıfta bulunulan gerekliliklerin onaylanması;
      17. Madde 43(8)'de atıfta bulunulan belgelendirme gereklilikleri hakkında Komisyon'a görüş bildirilmesi;
      18. Madde 12(7)'de atıfta bulunulan mecazi semboller hakkında Komisyon'a görüş bildirmek;
      19. üçüncü bir ülkede veya uluslararası kuruluşta sağlanan koruma düzeyinin yeterliliği hakkında, üçüncü ülkenin, bölgenin, üçüncü ülkedeki bir veya daha fazla spesifik sektörün veya uluslararası kuruluşun artık yeterli düzeyde koruma sağlayıp sağlamadığı da dahil olmak üzere, Komisyon'a görüş bildirir. Bu amaçla Komisyon, üçüncü ülke, bölge veya belirli bir sektör ya da uluslararası kuruluşun hükümetiyle yapılan yazışmalar da dahil olmak üzere gerekli tüm belgeleri Komite'ye sağlar;
      20. denetim makamlarının taslak kararları hakkında 64(1) maddesinde atıfta bulunulan tutarlılık mekanizması uyarınca, 64(2) maddesi uyarınca sunulan meseleler hakkında ve 66. maddede atıfta bulunulan durumlar da dahil olmak üzere 65. madde uyarınca bağlayıcı kararların kabul edilmesi için görüş bildirmek;
      21. Denetim makamları arasında işbirliğinin ve etkili iki taraflı ve çok taraflı bilgi ve en iyi uygulama alışverişinin teşvik edilmesi;
      22. Eğitim programlarının teşvik edilmesi ve denetim makamları arasında ve uygun olduğu hallerde, üçüncü ülkelerin denetim makamları veya uluslararası örgütler ile personel değişiminin kolaylaştırılması;
      23. Dünyanın dört bir yanındaki veri koruma denetim makamları ile veri koruma düzenlemeleri ve uygulamaları konusunda uzmanlık ve belge alışverişinin teşvik edilmesi;
      24. Madde 40(9) uyarınca Birlik düzeyinde hazırlanan davranış kuralları hakkında görüş bildirmek; ve
      25. Tutarlılık mekanizması kapsamında ele alınan konulara ilişkin olarak denetim makamları ve mahkemeler tarafından verilen kararların kamuya açık bir elektronik kaydının tutulması.
   2. Komisyon, Komite'den tavsiye isterken, konunun aciliyetini göz önünde bulundurarak bir süre sınırı belirleyebilir.
   3. Komite, görüşlerini, kılavuz ilkelerini, tavsiyelerini ve en iyi uygulamalarını Komisyon'a ve 93. maddede atıfta bulunulan Komite'ye iletir ve bunları kamuoyuna açıklar.
   4. Komite, uygun olduğu hallerde, ilgili taraflara danışır ve onlara makul bir süre içinde yorum yapma fırsatı verir. Komite, 76. maddeye halel getirmeksizin, istişare sonuçlarını kamuya açık hale getirir.

1. Kurul, Birlik'te ve uygun olduğu hallerde üçüncü ülkelerde ve uluslararası kuruluşlarda işleme faaliyetine ilişkin olarak gerçek kişilerin korunması hakkında yıllık bir rapor hazırlar. Rapor yayımlanır ve Avrupa Parlamentosu'na, Konsey'e ve Komisyon'a iletilir.
2. Yıllık rapor, Madde 70(1)(l)'de atıfta bulunulan kılavuz ilkelerin, tavsiyelerin ve en iyi uygulamaların ve Madde 65'te atıfta bulunulan bağlayıcı kararların pratikte uygulanmasına ilişkin bir incelemeyi de içerir.

1. Bu Yönetmelikte aksi öngörülmedikçe, Komite kararlarını üyelerinin salt çoğunluğuyla alır.
2. Komite, üyelerinin üçte iki çoğunluğuyla usul kurallarını kabul eder ve çalışma yöntemlerini belirler.

1. Komite, üyeleri arasından salt çoğunlukla bir başkan ve iki başkan yardımcısı seçer.
2. Başkan ve iki yardımcısının görev süresi beş yıldır; bir kez yeniden seçilebilirler.

1. Başkan aşağıdaki görevleri yerine getirir:
   1. Komite toplantılarını düzenlemek ve gündemleri hazırlamak,
   2. Komite'nin 65. maddede atıfta bulunulan kararlarının baş denetim makamına ve ilgili denetim makamlarına iletilmesi,
   3. Komite'nin görevlerinin, özellikle de 63. Madde kapsamındaki tutarlılık mekanizmasıyla ilgili olanların zamanında yerine getirilmesinin sağlanması.
2. Komite, usul kurallarında Başkan ve yardımcıları arasındaki görev dağılımını belirler.

1. Kurul, Avrupa Veri Koruma Denetmeni tarafından sağlanan bir sekretarya tarafından desteklenmektedir.
2. Sekreterya, görevlerini yalnızca Komite Başkanının talimatları doğrultusunda yerine getirir.
3. Bu Tüzük kapsamında Kurul'a verilen görevlerin yerine getirilmesinde yer alan Avrupa Veri Koruma Denetmeni personeli, Avrupa Veri Koruma Denetmeni'ne verilen görevlerin yerine getirilmesinde yer alan personelden farklı raporlama yükümlülüklerine tabi olacaktır.
4. Uygun olduğu hallerde, Kurul ve Avrupa Veri Koruma Denetmeni, bu Tüzük uyarınca Kurula tevdi edilen görevlerin yerine getirilmesinde yer alan Avrupa Veri Koruma Denetmeni personeli için geçerli olmak üzere, aralarındaki işbirliğinin şartlarını belirleyen, bu maddenin uygulanmasına ilişkin bir anlaşma hazırlar ve kamuya açıklar.
5. Sekretarya, Komite'ye analitik, idari ve lojistik destek sağlar.
6. Sekretarya özellikle aşağıdakilerden sorumludur
   1. Komitenin günlük işlerinden sorumludur,
   2. Komite üyeleri, başkanı ve Komisyon arasındaki iletişim,
   3. diğer kurumlar ve kamuoyu ile iletişim,
   4. İç ve dış iletişim için elektronik araçların kullanılması,
   5. ilgili bilgilerin tercüme edilmesi,
   6. Komite toplantılarının hazırlanması ve takibi,
   7. görüşlerin, denetim makamları arasındaki ihtilafların çözümüne ilişkin kararların ve Komite tarafından kabul edilen diğer belgelerin hazırlanması, taslak haline getirilmesi ve yayımlanması.

1. Komite'nin gerekli görmesi halinde, usul kuralları uyarınca Komite'nin müzakereleri gizlidir.
2. Komite üyelerine, uzmanlara ve üçüncü tarafların temsilcilerine sunulan belgelere erişim, 1049/2001 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü (EC) ile düzenlenmektedir.

1. Diğer idari veya adli çözüm yollarına halel gelmeksizin, her veri sahibinin, kendisiyle ilgili kişisel verilerin işlenmesinin bu Tüzük'ü ihlal ettiğini düşünmesi halinde, özellikle mutat meskeninin, iş yerinin veya iddia edilen ihlalin gerçekleştiği yerin bulunduğu üye devletteki bir denetim makamına şikayette bulunma hakkı vardır.
2. Şikayetin yapıldığı denetim makamı, 78. madde uyarınca bir yargı yolu olasılığı da dahil olmak üzere, şikayetin ilerleyişi ve sonucu hakkında şikayet sahibini bilgilendirir.

1. Diğer idari veya yargı dışı hukuk yollarına halel gelmeksizin, herhangi bir gerçek veya tüzel kişi bir denetim makamının kendileriyle ilgili yasal olarak bağlayıcı bir kararına karşı etkili bir yargı yoluna başvurma hakkına sahiptir.
2. Diğer idari veya adli olmayan hukuk yollarına halel gelmeksizin, 55 ve 56. maddeler uyarınca yetkili denetim makamının bir şikayeti ele almaması veya 77. madde uyarınca yapılan şikayetin ilerleyişi veya sonucu hakkında veri sahibini üç ay içerisinde bilgilendirmemesi halinde, her veri sahibi etkili bir adli hukuk yoluna başvurma hakkına sahiptir.
3. Denetim makamının kayıtlı ofisinin bulunduğu üye devletin mahkemeleri bir denetim makamına karşı açılan davalarda yargı yetkisine sahiptir.
4. Tutarlılık mekanizması kapsamında Kurul'un bir görüşü veya kararı ile öncelenmiş olan bir denetim makamı kararına karşı dava açılması halinde, denetim makamı söz konusu görüşü veya kararı Genel Mahkeme'ye iletir.

1. Her veri sahibinin, 77. madde uyarınca bir denetim makamına şikayette bulunma hakkı da dahil olmak üzere, mevcut herhangi bir idari veya adli olmayan hukuk yoluna halel gelmeksizin, kişisel verilerinin bu Tüzük ile uyumlu olmayan bir şekilde işlenmesi sonucunda bu Tüzük kapsamındaki haklarının ihlal edildiğini düşündüğü hallerde, etkili bir adli hukuk yoluna başvurma hakkı vardır.
2. Bir kontrolör veya işleyiciye karşı açılan davalar kontrolör veya işleyicinin bir kuruluşunun bulunduğu üye devlet mahkemelerinde görülür. Alternatif olarak, kontrolör veya işleyicinin kamu yetkilerini kullanmak üzere hareket eden bir üye devletin kamu makamı olmaması halinde, bu tür davalar veri sahibinin mutat meskeninin bulunduğu üye devletin mahkemeleri önünde de açılabilir.

1. Veri sahibi, bir Üye Devletin hukukuna uygun olarak usulüne uygun şekilde oluşturulmuş, kamu yararına yasal amaçları olan ve veri sahiplerinin kişisel verilerinin korunmasına ilişkin hak ve özgürlüklerinin korunması alanında faaliyet gösteren kar amacı gütmeyen bir organ, kuruluş veya derneği, kendi adına şikayette bulunmak, 77, 78 ve 79. maddelerde atıfta bulunulan hakları kendi adına kullanmak ve Üye Devletlerin hukuku tarafından öngörüldüğü hallerde 82. madde uyarınca tazminat alma hakkını kullanmak üzere yetkilendirme hakkına sahiptir.
2. Üye devletler, bu maddenin 1. paragrafında atıfta bulunulan organlar, kuruluşlar veya birliklerden herhangi birinin, bir veri sahibinin bu Tüzük kapsamındaki haklarının işleme faaliyeti sonucunda ihlal edildiğini düşünmesi halinde, 77. maddede atıfta bulunulan yetkili denetim makamına şikayette bulunma ve 78 ve 79. maddelerde atıfta bulunulan hakları, söz konusu üye devlette veri sahibi tarafından verilen herhangi bir yetkiden bağımsız olarak kullanma hakkına sahip olmasını sağlayabilir.

1. Bir üye devletteki yetkili bir mahkemenin aynı kontrolör veya işleyici tarafından gerçekleştirilen işleme faaliyetine ilişkin aynı konu hakkında başka bir üye devletteki bir mahkeme nezdinde derdest olan davalardan haberdar olması halinde, söz konusu davaların varlığını tespit etmek amacıyla bu mahkeme ile temasa geçer.
2. Aynı kontrolör veya işleyici tarafından gerçekleştirilen işleme faaliyetine ilişkin aynı konu hakkındaki yargılamaların başka bir üye devletteki bir mahkeme nezdinde derdest olması halinde, daha sonra el konulan yargı yetkisine sahip herhangi bir mahkeme kendi nezdinde derdest olan yargılamaları durdurabilir.
3. Bu davalar ilk derece mahkemesinde görülüyorsa, daha sonra görev alan herhangi bir mahkeme, taraflardan birinin talebi üzerine, ilk görev alan mahkemenin söz konusu davalar üzerinde yargı yetkisine sahip olması ve davaların birleştirilmesine kendi kanunları uyarınca izin verilmesi halinde, yargı yetkisini reddedebilir.

1. Bu Tüzüğün ihlal edilmesi sonucunda maddi veya manevi zarara uğrayan herhangi bir kişi kontrolör veya işleyiciden tazminat talep etme hakkına sahiptir.
2. Bir işleme faaliyetine dahil olan her kontrolör bu Tüzük ile uyumlu olmayan bir işleme faaliyetinin neden olduğu zarardan sorumludur. Bir işleyici yalnızca bu Tüzük kapsamında işleyicilere özel olarak yüklenen yükümlülüklerini yerine getirmemesi veya kontrolörün yasal talimatlarını göz ardı etmesi veya bunlara aykırı hareket etmesi halinde işleme faaliyetinden kaynaklanan zarardan sorumludur.
3. Kontrolör veya işleyici, zarara yol açan olaydan hiçbir şekilde sorumlu olmadığını kanıtlaması halinde 2. paragraf uyarınca sorumluluktan muaf tutulur.
4. Birden fazla kontrolörün veya birden fazla işleyicinin ya da hem bir kontrolörün hem de bir işleyicinin aynı işleme faaliyetine dahil olduğu ve 2. ve 3. paragraflar uyarınca işleme faaliyetinden kaynaklanan zarardan sorumlu oldukları hallerde, her bir kontrolör veya işleyici veri sahibinin etkili bir şekilde tazmin edilmesini sağlamak amacıyla zararın tamamından sorumlu olur.
5. Bir kontrolör veya işleyicinin 4. paragraf uyarınca uğranılan zarar için tam tazminat ödemesi halinde, söz konusu kontrolör veya işleyici aynı işleme faaliyetine dahil olan diğer kontrolör veya işleyicilerden 2. paragrafta belirtilen koşullar altında tazminatın zarara ilişkin sorumluluk paylarına karşılık gelen kısmını geri alma hakkına sahip olur.
6. Tazminat hakkının kullanılmasına ilişkin davalar 79(2) maddesinde atıfta bulunulan Üye Devletin hukuku uyarınca yargı yetkisine sahip mahkemelerde görülür.

1. Her denetim makamı 4, 5 ve 6. paragraflar uyarınca bu Tüzük'ün ihlalleri için bu madde uyarınca para cezalarının uygulanmasının her bir münferit vakada etkili, orantılı ve caydırıcı olmasını sağlar.
2. Para cezaları, münferit vakanın koşullarına bağlı olarak Madde 58(2)(a) ila (h) ve (j)'de atıfta bulunulan tedbirlere ek olarak veya bu tedbirlerin yerine uygulanabilir. Para cezası uygulanıp uygulanmayacağına ve para cezasının miktarına karar verilirken, her bir münferit vaka için aşağıdaki hususlar dikkate alınır:
   1. İlgili işleme faaliyetinin niteliği, kapsamı veya amacı, işleme faaliyetinden etkilenen veri sahiplerinin sayısı ve bu kişilerin uğradığı zararın boyutu dikkate alınarak ihlalin niteliği, ağırlığı ve süresi;
   2. Suçun kasıtlı veya taksirli olması;
   3. veri sahiplerine verilen zararı en aza indirmek için kontrolör veya işleyici tarafından alınan her türlü önlem;
   4. kontrolör veya işleyicinin sorumluluk derecesi, 25 ve 32. maddeler uyarınca kendileri tarafından uygulanan teknik ve organizasyonel tedbirler dikkate alınarak;
   5. kontrolör veya işleyici tarafından daha önce gerçekleştirilen ilgili tüm ihlaller;
   6. İhlalin giderilmesi ve olası olumsuz etkilerinin hafifletilmesi için denetim makamı ile yapılan işbirliğinin kapsamı;
   7. İhlalden etkilenen kişisel veri kategorileri;
   8. İhlalin denetim makamı tarafından nasıl öğrenildiği, özellikle kontrolör veya işleyicinin ihlali bildirip bildirmediği ve bildirdiyse ne ölçüde bildirdiği;
   9. 58(2) maddesi uyarınca aynı konu ile ilgili olarak ilgili kontrolör veya işleyiciye karşı daha önce emredilen tedbirlere, söz konusu tedbirlerin emredildiği hallerde, uyulması;
   10. Madde 40'ta atıfta bulunulan onaylı davranış kurallarına veya Madde 42'de atıfta bulunulan onaylı belgelendirme prosedürlerine uygunluk; ve
   11. Suçun bir sonucu olarak doğrudan veya dolaylı olarak elde edilen mali menfaatler veya kaçınılan kayıplar gibi belirli bir vakadaki diğer ağırlaştırıcı veya hafifletici koşullar.
3. Bir kontrolör veya işleyicinin aynı veya bağlantılı işleme faaliyetlerine ilişkin olarak bu Tüzük'ün birden fazla hükmünü kasıtlı veya ihmalkar bir şekilde ihlal etmesi halinde, para cezasının toplam tutarı en ciddi ihlalin tutarını aşamaz.
4. Aşağıdaki hükümlerin ihlali, 2. paragraf uyarınca, 10.000.000 Euro'ya kadar veya bir teşebbüs söz konusu olduğunda, hangisi daha yüksekse, bir önceki iş yılında dünya çapındaki toplam yıllık cirosunun 2.%'sine kadar para cezasına tabi olacaktır:
   1. kontrolörler ve işleyicilerin 8, 11, 25 ila 39, 42 ve 43. maddeler kapsamındaki yükümlülükleri;
   2. belgelendirme kuruluşunun Madde 42 ve 43 kapsamındaki yükümlülükleri;
   3. Madde 41(4)'te atıfta bulunulan izleme organının yükümlülükleri.
5. Aşağıdaki hükümlerin ihlali halinde, 2. paragraf uyarınca 20.000.000 Euro'ya kadar veya bir teşebbüs söz konusu olduğunda, bir önceki mali yılda dünya çapındaki toplam yıllık cirosunun 4.%'sine kadar (hangisi daha yüksekse) para cezası verilir:
   1. 5, 6, 7 ve 9. Maddeler uyarınca rıza koşulları da dahil olmak üzere işleme ilkeleri;
   2. Madde 12 ila 22 uyarınca veri sahibinin hakları;
   3. kişisel verilerin 44 ila 49. maddeler uyarınca üçüncü bir ülkedeki bir alıcıya veya uluslararası bir kuruluşa aktarılması;
   4. Bölüm IX kapsamında kabul edilen Üye Devletlerin mevzuatı kapsamındaki tüm yükümlülükler;
   5. 58(2) maddesi uyarınca denetim makamı tarafından verilerin aktarılmasına yönelik bir talimata veya geçici ya da kesin bir kısıtlamaya ya da askıya almaya uyulmaması veya 58(1) maddesi ihlal edilerek erişim sağlanmaması.
6. 58(2) maddesi uyarınca denetim makamının bir emrine uyulmaması halinde, bu maddenin 2. paragrafı uyarınca, 20.000.000 EUR'ya kadar veya bir teşebbüs söz konusu olduğunda, bir önceki iş yılındaki dünya çapındaki toplam yıllık cirosunun 4 %'sine kadar (hangisi daha yüksekse) para cezasına tabi olunur.
7. Denetim makamlarının 58(2) maddesi kapsamındaki telafi edici yetkilerine halel gelmeksizin, her üye devlet söz konusu üye devlette yerleşik kamu makamları ve organlarına idari para cezalarının uygulanıp uygulanamayacağı ve ne ölçüde uygulanabileceğine ilişkin kurallar koyabilir.
8. Bir denetim makamının bu madde kapsamındaki yetkilerini kullanması, Birlik hukuku ve ulusal hukuk uyarınca, etkili yargı yolları ve yasal süreç de dahil olmak üzere uygun usul güvencelerine tabidir.
9. Bir üye devletin hukuk sisteminin para cezaları öngörmediği hallerde, bu madde para cezasının yetkili denetim makamı tarafından başlatılması ve yetkili ulusal mahkemeler tarafından uygulanması ve bu hukuk yollarının etkili olması ve denetim makamları tarafından uygulanan para cezaları ile aynı etkiye sahip olması sağlanacak şekilde uygulanabilir. Her halükarda, uygulanan para cezaları etkili, orantılı ve caydırıcı olur. İlgili üye devletler, bu paragraf uyarınca kabul ettikleri ulusal hukuk hükümlerini 25 Mayıs 2018 tarihine kadar Komisyon'a bildirir ve bunları etkileyen müteakip değişiklikleri gecikmeksizin Komisyon'a bildirir.

1. Üye Devletler, özellikle 83. madde uyarınca para cezasına tabi olmayan ihlaller olmak üzere, bu Tüzük'ün ihlallerine uygulanacak diğer cezalara ilişkin kuralları belirler ve bunların uygulanmasını sağlamak için gerekli tüm tedbirleri alır. Bu cezalar etkili, orantılı ve caydırıcı olmalıdır.
2. 25 Mayıs 2018 tarihine kadar her Üye Devlet, 1. paragraf uyarınca kabul ettiği kanun hükümlerini ve bunları etkileyen müteakip değişiklikleri gecikmeksizin Komisyon'a bildirir.

1. Üye Devletler, bu Tüzük kapsamındaki kişisel verilerin korunması hakkını, gazetecilik amaçları ve bilimsel, sanatsal veya edebi amaçlar için işlenmesi de dahil olmak üzere, ifade ve bilgi edinme özgürlüğü hakkıyla kanunen bağdaştırır.
2. Gazetecilik, bilimsel, sanatsal veya edebi amaçlarla gerçekleştirilen işleme faaliyetleri için, Üye Devletler Bölüm II (İlkeler), Bölüm III (Veri sahibinin hakları), Bölüm IV (Kontrolör ve işleyici), Bölüm V (Kişisel verilerin üçüncü ülkelere veya uluslararası kuruluşlara aktarılması) ile ilgili istisnalar veya muafiyetler sağlar, Bölüm VI (Bağımsız denetim makamları), Bölüm VII (İşbirliği ve tutarlılık) ve Bölüm IX (Belirli işleme durumlarına ilişkin kurallar), kişisel verilerin korunması hakkı ile ifade ve bilgi edinme özgürlüğünü uzlaştırmak için gerekli olduğu hallerde.
3. Her Üye Devlet, 2. paragraf uyarınca kabul ettiği ulusal mevzuat hükümlerini ve bu hükümlerde daha sonra yapılan değişiklikleri veya tadilleri gecikmeksizin Komisyon'a bildirir.

1. Bir kamu makamı veya organı ya da kamu yararına yürütülen bir görevin ifası için özel bir organ tarafından tutulan resmi belgelerde yer alan kişisel veriler, resmi belgelere kamunun erişimini bu Tüzük kapsamındaki kişisel verilerin korunması hakkıyla bağdaştırmak amacıyla Birlik hukuku veya kamu makamı veya organının tabi olduğu Üye Devletin hukuku uyarınca kamu makamı veya organı tarafından ifşa edilebilir.

1. Üye Devletler ayrıca, ulusal kimlik numarasının veya genel öneme sahip diğer tanımlayıcıların işleme konusu olabileceği özel koşulları belirleyebilir. Bu durumda, ulusal kimlik numarası veya genel öneme sahip diğer tanımlayıcılar yalnızca bu Tüzük uyarınca veri sahibinin hakları ve özgürlükleri için uygun güvencelere tabi olarak kullanılabilir.

1. Üye Devletler, kanunla veya toplu sözleşmeyle, çalışanların kişisel verilerinin istihdam bağlamında, özellikle işe alım, iş sözleşmesinin ifası ve kanunla veya toplu sözleşmeyle belirlenen yükümlülüklerin yerine getirilmesi amacıyla işlenmesine ilişkin hak ve özgürlüklerin korunmasını sağlamak için daha spesifik kurallar belirleyebilir, işin yönetimi, planlanması ve organizasyonu, işyerinde eşitlik ve çeşitlilik, işyerinde sağlık ve güvenlik, işverenlerin veya müşterilerin mülklerinin korunması ve ayrıca istihdamla ilgili bireysel veya toplu hak ve menfaatlerin kullanılması ve iş ilişkisinin sona erdirilmesi amaçları için.
2. Bu kurallar, özellikle işlemenin şeffaflığı, kişisel verilerin bir teşebbüs grubu veya ortak bir ekonomik faaliyette bulunan bir teşebbüs grubu içinde aktarılması ve işyerindeki izleme sistemleri ile ilgili olarak, insan onurunu, meşru menfaatleri ve veri sahibinin temel haklarını korumaya yönelik uygun ve özel tedbirleri içerir.
3. 25 Mayıs 2018 tarihine kadar her Üye Devlet, 1. paragraf uyarınca kabul ettiği kanun hükümlerini ve bunları etkileyen müteakip değişiklikleri gecikmeksizin Komisyon'a bildirir.

1. Üye devletler 58(1) maddesinin (e) ve (f) bentlerinde atıfta bulunulan denetim makamlarının yetkilerini, kişisel verilerin korunması hakkı ile gizlilik yükümlülüğünün uzlaştırılması için gerekli ve orantılı olduğu ölçüde, Birlik veya üye devlet hukuku veya yetkili ulusal makamlar tarafından getirilen bir yükümlülük kapsamında mesleki gizlilik yükümlülüğüne veya eşdeğer bir gizlilik yükümlülüğüne tabi kontrolörler veya işleyicilere ilişkin olarak düzenleyebilir. Bu hükümler yalnızca kontrolör veya işleyici tarafından bu tür bir gizlilik yükümlülüğüne tabi bir faaliyet sırasında elde edilen veya toplanan kişisel verilere uygulanır.
2. 25 Mayıs 2018 tarihine kadar, her Üye Devlet 1. paragraf uyarınca kabul ettiği hükümleri Komisyon'a bildirir ve bunları etkileyen müteakip değişiklikleri gecikmeksizin Komisyon'a bildirir.

1. Bu Tüzüğün yürürlüğe girdiği tarihte bir Üye Devletteki bir kilisenin veya dini bir kuruluşun ya da topluluğun işleme faaliyetine ilişkin olarak gerçek kişilerin korunmasına yönelik kapsamlı kurallar uyguladığı hallerde, söz konusu kurallar bu Tüzük ile uyumlu hale getirilmeleri koşuluyla uygulanmaya devam edebilir.
2. Kiliseler ve 1. paragraf uyarınca kapsamlı veri koruma kuralları uygulayan dini dernekler veya topluluklar, Bölüm VI'da belirtilen koşulları yerine getirmeleri kaydıyla, özel nitelikte olabilen bağımsız bir denetim makamının denetimine tabi olurlar.

1. Yetki devrine dayalı tasarrufları kabul etme yetkisi, bu maddede belirtilen koşullara tabi olarak Komisyon'a verilir.
2. Madde 12(8) ve Madde 43(8)'de atıfta bulunulan yetki devrine dayalı tasarrufları kabul etme yetkisi 24 Mayıs 2016 tarihinden itibaren belirsiz bir süre için Komisyon'a verilir.
3. Madde 12(8) ve Madde 43(8)'de atıfta bulunulan yetki devri, Avrupa Parlamentosu veya Konsey tarafından her zaman iptal edilebilir. Bir iptal kararı, bu kararda belirtilen yetkinin devrine son verir. Bu karar, Avrupa Parlamentosu'nda yayımlanmasını takip eden gün yürürlüğe girer. Avrupa Birliği Resmi Gazetesi veya iptal kararında belirtilen daha sonraki bir tarihte. Halihazırda yürürlükte olan yetkilendirilmiş tasarrufların geçerliliği iptal kararından etkilenmez.
4. Komisyon bir yetki devrini kabul eder etmez, bunu eş zamanlı olarak Avrupa Parlamentosu ve Konsey'e iletir.
5. Madde 12(8) ve Madde 43(8) uyarınca kabul edilen bir yetki devrine dayalı tasarruf, ancak söz konusu tasarrufun Avrupa Parlamentosu ve Konsey'e bildirilmesinden itibaren üç aylık bir süre içerisinde Avrupa Parlamentosu veya Konsey tarafından herhangi bir itirazda bulunulmaması ya da bu sürenin bitiminden önce Avrupa Parlamentosu ve Konsey'in her ikisinin de Komisyon'a itirazda bulunmayacaklarını bildirmeleri halinde yürürlüğe girer. Bu süre, Avrupa Parlamentosu veya Konsey'in inisiyatifiyle üç ay uzatılabilir.

1. Komisyon'a bir komite yardımcı olacaktır. Bu komite 182/2011 sayılı Tüzük (AB) anlamında bir komite olacaktır.
2. Bu paragrafa atıfta bulunulduğu durumlarda 182/2011 sayılı Tüzüğün (AB) 5. Maddesi uygulanır.
3. Bu paragrafa atıfta bulunulduğu durumlarda, 182/2011 sayılı Tüzüğün (AB) 5. Maddesi ile bağlantılı olarak 8. Maddesi uygulanır.

1. 95/46/EC sayılı Direktif, 25 Mayıs 2018 tarihinden itibaren geçerli olmak üzere yürürlükten kaldırılacaktır.
2. Yürürlükten kaldırılan Direktife yapılan atıflar, bu Tüzüğe yapılan atıflar olarak yorumlanacaktır. 95/46/AT sayılı Direktifin 29. Maddesi ile kurulan Kişisel Verilerin İşlenmesine ilişkin olarak Bireylerin Korunması Çalışma Grubuna yapılan atıflar, bu Tüzük ile kurulan Avrupa Veri Koruma Kuruluna yapılan atıflar olarak yorumlanacaktır.

1. Bu Tüzük, 2002/58/EC sayılı Direktifte belirtilen ve aynı amacı güden belirli yükümlülüklere tabi oldukları sürece, Birlik içerisindeki kamuya açık iletişim ağlarında kamuya açık elektronik iletişim hizmetlerinin sağlanmasıyla bağlantılı olarak işleme faaliyetine ilişkin olarak gerçek veya tüzel kişilere herhangi bir ek yükümlülük getirmemektedir.

1. Üye Devletler tarafından 24 Mayıs 2016 tarihinden önce akdedilen ve bu tarihten önce yürürlükte olan Birlik hukukuna uygun olan kişisel verilerin üçüncü ülkelere veya uluslararası kuruluşlara aktarılmasını içeren uluslararası anlaşmalar değiştirilene, yenilenene veya feshedilene kadar yürürlükte kalacaktır.

1. 25 Mayıs 2020 tarihine kadar ve bu tarihten sonra her dört yılda bir Komisyon, Avrupa Parlamentosu ve Konsey'e bu Tüzüğün değerlendirilmesi ve gözden geçirilmesine ilişkin bir rapor sunar. Raporlar kamuoyuna açıklanır.
2. Komisyon, 1. paragrafta atıfta bulunulan değerlendirmelerin ve doğrulamaların bir parçası olarak, özellikle aşağıdakilerin uygulanmasını ve işleyişini inceler
   1. özellikle bu Tüzüğün 45(3) maddesi uyarınca alınan kararlar ve 95/46/AT sayılı Direktifin 25(6) maddesi uyarınca alınan bulgularla ilgili olarak, kişisel verilerin üçüncü ülkelere veya uluslararası kuruluşlara aktarılmasına ilişkin Bölüm V,
   2. işbirliği ve tutarlılığa ilişkin VII.
3. Komisyon, 1. paragrafta atıfta bulunulan amaç doğrultusunda, üye devletlerden ve denetim makamlarından bilgi talep edebilir.
4. Komisyon, 1. ve 2. paragraflarda atıfta bulunulan değerlendirme ve gözden geçirmelerde, Avrupa Parlamentosu, Konsey ve diğer ilgili organ veya kaynakların görüş ve bulgularını dikkate alır.
5. Komisyon, gerektiği takdirde, bilgi teknolojisindeki gelişmeleri ve bilgi toplumundaki ilerlemeleri özellikle dikkate alarak, bu Tüzüğün değiştirilmesi için uygun teklifler sunacaktır.

1. Komisyon, uygun olduğu hallerde, gerçek kişilerin işleme faaliyetine ilişkin olarak uyumlaştırılmış ve tutarlı bir şekilde korunmasını sağlamak amacıyla, kişisel verilerin korunmasına ilişkin diğer Birlik tasarruflarının değiştirilmesine yönelik mevzuat teklifleri sunar. ²Bu özellikle, söz konusu verilerin Birlik kurumları, organları, ofisleri ve ajansları tarafından işlenmesine ilişkin olarak gerçek kişilerin korunmasına ve bu verilerin serbest dolaşımına ilişkin kurallarla ilgilidir.

1. Bu Yönetmelik, Resmi Gazete'de yayımlanmasını takip eden yirminci gün yürürlüğe girecektir. Avrupa Birliği Resmi Gazetesi yürürlükte.
2. Bu uygulama 25 Mayıs 2018 tarihinden itibaren geçerli olacaktır.