Aşağıda yer alan makale ile temel ilkeler ve uygulamadaki olası problemler ışığında KVK Kanunu mezkur madde 5’te sayılan yedi hukuki sebepten Veri Sorumlusunun meşru menfaati sebebi incelenecektir. Madde hükmüne göre İlgili Kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde İlgili Kişinin rızası alınmaksızın kişisel veriler işlenebilmektedir.
KVKK Madde 5-Kişisel Verilerin İşlenme Şartları
(1) Kişisel veriler İlgili Kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, İlgili Kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
………
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanan kişisel veriler gerek özel sektör gerekse kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıklıkla kullanılmaktadır. Bu bilgilerin kullanılması bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar ve avantajlar sağlamakta iken diğer taraftan başta özel hayatın gizliliği olmak üzere kişilerin Anayasal hak ve özgürlüklerinin ihlal edilebilmesi riskini bünyesinde barındırmaktadır. Bu kapsamda KVK Kanunu kişisel verilerin işlenmesinde kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektedir.
Kişisel verilerin işlenme şartlarını içeren KVK Kanunu Madde 5 hükmüne göre kişisel verilerin işlenmesi İlgili Kişinin açık rızası şartına bağlıdır. Bunun yanında açık rıza aranmaksızın yedi hukuki temele dayanılarak kişisel verilerin işlenmesi mümkün kılınmıştır. Söz konusu sebepler numerus clausus ilkesi gereği sınırlı sayıda olup dar yorumlamayı gerektirmektedir. Diğer taraftan bu maddelerin yorumlanmasında hangi hukuki sebebe bağlı olursa olsun dürüstlük, belirlilik, açık ve meşru amaç için işlenme, amaçla bağlantılı ve sınırlı olma, doğru ve güncel olma gibi temel ilkeleri doğrultusunda bir yaklaşım belirlenebilecektir.
Bu makale ile yukarıdaki ilkeler ve uygulamadaki olası problemler ışığında KVK Kanunu mezkur madde 5’te sayılan yedi hukuki sebepten Veri Sorumlusunun meşru menfaati sebebi incelenecektir. Madde hükmüne göre İlgili Kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde İlgili Kişinin rızası alınmaksızın kişisel veriler işlenebilmektedir.
Madde hükmünün içeriğinde birçok soru işareti ve tereddüt barındırdığı ifade edilmelidir. Paralel bir şekilde Kanunun düzenlenme süreci incelendiğinde, çok geniş bir istisnaya neden olması ve meşru menfaat kavramının sınırlarının ve kapsamının neler olduğunun uygulamada ciddi sorun ve endişelere neden olabilmesi ihtimali dikkate alınarak kavramın metinden çıkarıldığı görülecektir. Ancak sonrasında madde metninde yapılan değişiklik ile Veri Sorumlusunun meşru menfaati tekrar metne eklenmiş ve yürürlükteki hali kabul edilmiştir.1
Söz konusu madde hükmü bu makalede üç başlık altında ele alınmıştır. İlk kısımda meşru menfaat kavramının tanımı ve kapsamı, ikinci kısımda Veri Sahibinin temel hak ve hürriyetleri ve üçüncü kısımda madde metnindeki zorunluluk kavramı ve denge tespiti hususları ele alınmış, son bir değerlendirme ile makale tamamlanmıştır.
VERİ SORUMLUSUNUN MEŞRU MENFAATİ
Madde 5 hükmü kişisel verilerin işlenmesini en başta açık rızaya bağlı tutmuş, sonrasında ise açık rızanın aranmadığı çeşitli durumları sıralamış, en son ise Veri Sorumlusunun meşru menfaati kavramını saymıştır. Meşru menfaat kavramının geniş bir anlam ihtiva ettiği ve listede en son ifade edildiği gerekçe gösterilerek rızanın aranmadığı diğer durumlara göre daha düşük bir hukuki etkiye sahip olduğu düşünülebilecektir. Ancak Avrupa Birliği Çalışma Grubunun da ifade ettiği üzere bu durumların hiçbiri arasında birinin diğerine üstünlüğü veya önceliği bulunmamaktadır.2 Bundan dolayı meşru menfaat hükmü ikincil uygulama alanı bulan ve bir boşluk doldurma aracı olarak düşünülmemelidir. Söz konusu hükmün kendine özel geçerlilik şartlarının varlığı aranmalıdır. Hüküm incelendiğinde bir tarafta Veri Sorumlusunun meşru menfaati diğer tarafta İlgili Kişinin temel hak ve hürriyetlerinin yarıştığı fark edilecektir. Bunun için söz konusu kavramların kapsamı ve sınırları tespit edilmelidir.
Menfaat Kavramı
Bu kapsamda öncelikle menfaat kavramından ne anlaşılması gerektiği belirlenmelidir. Kelimenin sözlükte karşılık geldiği anlam incelendiğinde çıkar, yarar, fayda kelimeleri ile tanımlandığı görülecektir. Bu anlamda Veri Sorumlusuna yarar, fayda veya çıkar sağlayan herhangi bir durum kavramın tanımını karşılayacaktır.
Ancak Veri Sorumlusunun meşru menfaati ile kişisel verilerin işlenme amacı birbirine karıştırılmamalıdır. Bu iki terim birbiriyle ilişkili olsa da farklı anlamlara gelmektedirler. Kişisel verileri işleme amacı, özel olarak verinin neden işlendiği ile alakalıdır.3 Örnek vermek gerekirse bir şirketin nükleer santralde çalışan işçilerinin sağlık ve güvenliklerini temin etmek adına kişisel verileri işlemesi şirket için “menfaat” kapsamında değerlendirilebilecekken şirket çalışanların işe girişlerinin sağlanması için çalışanların kimlik bilgilerin alınması kişisel verilerin işlenmesi amacı sayılmaktadır.
Ayrıca menfaatin gerçek, açık ve hazır bulunması gerekmektedir. Diğer bir deyişle menfaatin verinin işlendiği vakitte hazır bulunması veya yakın gelecekte ortaya çıkacak olması gerekmektedir. İleride ortaya çıkması muhtemel veya varlığı belirsiz bir menfaat hukuki dayanak teşkil edemeyecektir.
Menfaatin Meşruluğu
Kanun metninde ifade edildiği üzere menfaatin tek başına bulunması yetmemekte bununla birlikte menfaatin meşru olması gerekmektedir. Menfaatin meşruluğu onun hukuka, dürüstlük kurallarına ve Kanun kapsamında yer alan diğer ilkelere uygunluğu esas alınarak belirlenebilecektir.
Bu kapsamda Avrupa Birliği Çalışma Grubunca verilen görüş yazısında ifade özgürlüğü, iş ve işyeri güvenliğinin sağlanması, bilişim güvenliğinin sağlanması, pazarlamacılık işlemleri veya reklamcılık faaliyetleri, işçilerin terfileri, maaş zamları, yahut sosyal haklarının düzenlenmesi, icrai işlemlerinin yapılması, dolandırıcılığın önlenmesi, araştırma faaliyetleri kapsamında bilgi toplanılması örneklerinin meşru menfaat teşkil ettiği belirtilmiştir. Bu bağlamda meşru menfaatin “mutatis mutandis” ilkesi kapsamında, durumun gereklerine göre şirketin meşru ticari çıkarlarının dahi meşruluk şartını yerine getireceği Kurum tarafından ifade edilmiştir.4
Meşru Menfaatin Veri Sorumlusuna Ait Olması
Meşru menfaatin kime ait olduğuna ilişkin husus kanun ifadesinde açık olmakla birlikte bu şartın varlığı farklı şekillerde ortaya çıkabilecektir. Kişisel Verileri Koruma Kurumu tarafından yayınlanan soru cevap metninde Veri Sorumlusu dışında üçüncü bir kişinin menfaatinin söz konusu olması hali veri işleme şartının kapsamı dışında tutulmuştur.
Kanunumuzda meşru menfaat kapsamının sadece Veri Sorumlusu ile sınırlanması gerçekten tartışmaya açıktır. Direktif metni incelendiğinde de bu kapsamın sadece Veri Sorumlusu ile sınırlı tutulmamış ayrıca verilerin paylaşıldığı üçüncü kişilerin de kapsam içine dahil edilmiş olduğu görülecektir. Zira uygulamada özellikle Veri Sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişilerin yani Veri İşleyenlerin yasal korumadan mahrum kalması söz konusu olabilecektir. Diğer taraftan Kanunun 12. Maddesinde Veri Sorumlusu ile veri işleyenlerin sorumluluğu müştereken düzenlenmişken 5. madde hükmünde sadece Veri Sorumlusunun korunmuş olması adil görünmemektedir.
İLGİLİ KİŞİNİN TEMEL HAK VE HÜRRİYETLERİ
Maddenin (e) bendinin tanıdığı “meşru menfaat” kavramının karşısında İlgili Kişinin temel hak ve hürriyetine zarar verilmemesi ifade edilmiştir. Meşru menfaat gibi soyut ve subjektif bir kavramın, istisnalar arasında yer alması kişisel verilerin kayıt alınmasının esas, korunmasının ise istisna haline geldiği maddelerden biridir. Açıkçası bu durum sadece temel hak ve hürriyetlerin değil ayrıca kişisel verilerin işlenmesinde Veri Sorumlularının özgürlük alanının da Kanun tarafından koruma alanına alındığını göstermektedir.5 Temel hak ve hürriyetlerin hepsinin aynı derecede olmadığı, işkence ve insanlık dışı müdahalelere maruz kalmama gibi birtakım mutlak hakların diğer haklara karşısında göreceli olarak üstün olduğu yapılan değerlendirmelerde ele alınabilecektir. Bu kapsamda temel hak ve özgürlüklerinin neler olduğu tespit edilmeli ve belirtilen hak ve menfaatler değerlendirilerek hangisinin üstün geldiğine karar verilmelidir.
Burada belirtmek gerekir ki terazinin karşı tarafında yer alan menfaatin aksine temel hak ve hürriyetler bakımından meşruluk şartı aranmamaktadır. Bu kapsamda meşru olmayan eylemlerde bulunan bir kişinin de temel hak ve hürriyetler kapsamında bu korumadan yararlanabileceği söylenebilecektir. Örneğin soygun yapmak için girdiği dükkanda yakalanan bir kişinin fotoğraflarının yayınlanması dükkan sahibi için meşru menfaat sayılabilecek olsa da failin temel hak ve hürriyetleri ve somut olayın ayrıntıları dikkate alınarak bunların yayınlanması engellenebilecektir. Benzer şekilde Anayasa Mahkemesi’nin 15 Eylül 2016 tarihli kararıyla 1998-1999 yıllarında uyuşturucu kullanmaktan ceza alan bir kişinin internette yer alan verilerinin silinmesi talebinin mahkeme tarafından reddedilmesi anayasaya aykırı bulunmuştur.6 Söz konusu örnekler meşru menfaat karşısında bireyin unutulma hakkının ortaya çıktığını göstermektedir.
Diğer temel hak ve hürriyetlerin yanında yakın zamanda ortaya çıkan bir hak olan ve özellikle Anayasa Mahkemesinin yakın tarihli kararında değindiği unutulma hakkına değinmekte fayda bulunmaktadır. Unutulma Hakkı (Right to be Forgotten) bireyin, dijital hafızada yer alan fotoğrafı, kimlik bilgisi, adresi ve diğer kişisel içeriklerinin kendi talebi üzerine bir daha geri getirilemeyecek biçimde ortadan kaldırılması şeklinde tanımlanmaktadır.7 Kişisel verilerinin korunması konusunda Avrupa’da çığır açan kavramlardan biri olan “enformasyonel self-determinasyon hakkı”, Alman Anayasa Mahkemesi’nin 1983 yılında verdiği “Census-Nüfus Sayımı” kararında oluşturduğu, insan onuru ile kişiliğinin serbestçe geliştirilmesi hakkına dayanmaktadır.8 Bu kapsamda, Veri Sorumlularının bu kapsama giren verileri işlemek bir tarafa, bu verilerin çoğaltılmaması ve yayılmaması için teknik önlemler dâhil gerekli her türlü önlemi alması gerektiği söylenebilecektir. Ancak, verilerin bir kere kamuya yayılmasından sonra dijital ortamda yayılmasının önüne geçmek hem teknolojik hem de mali açıdan imkânsız olduğundan, Veri Sorumlusunun engelleme yükümlülüğünün varlığından bahsedilmemiştir.
Konu itibariyle unutulma hakkının meşru menfaat ile nasıl bir yarışma içerisinde bulunacağına ilişkin doğrudan bir öngörüde bulunmak güç görünmektedir. Her halükarda temel hak ile meşru menfaat unsurları kapsamlı bir şekilde değerlendirilmeli ve ona göre bir sonuca varılmalıdır.
ZORUNLULUK VE DENGE TESPİTİ
Veri Sorumlusunun menfaatinin meşru olmasının yanında söz konusu meşru menfaatin korunması için verilerin işlenmesinin zorunlu olması gerektiği ifade edilmiştir. Bu kapsamda veri işlenmesi ile meşru menfaat arasında doğrudan veya dolaylı bir zorunluluk bağının mevcudiyeti aranacaktır. Kanunun henüz yeni yeni uygulama alanı bulduğu ülkemizde zorunluluk kavramının kapsamı tam olarak karşılık edinmemiştir. Bununla birlikte Avrupa’da Heinz Huber v Bundesrepublik Deutschland davasında Avrupa Adalet Divanı’nın verdiği kararda zorunluluk kavramının ülkeden ülkeye değişen bir anlam ihtiva etmemesi gerektiği belirtilmiş, Avrupa İnsan Hakları Mahkemesi ise Silver & Others v United Kingdom davasında zorunluluk kavramının ne “vazgeçilemez” kavramı kadar katı ne de “kabul edilebilir, olağan, faydalı” kavramları kadar geniş kavramlar olduğunu ifade etmiştir.9, 10
Her ne kadar mezkur mahkeme kararları ile zorunluluk kavramı için bir belirlilik getirilmek istenmiş olsa da kavramın anlamı tek başına yetersiz kalmakta, kavram ancak madde hükmü ile birlikte göreceli olarak anlaşılabilmektedir. Bu kapsamda zorunluluk kavramı Veri Sorumlusunun meşru menfaati ile İlgili Kişinin temel hak ve özgürlükleri arasındaki denge gözetilerek tespit edilebilecektir. Denge testi olarak adlandırılan bu tespit bir terazi olarak hayal edilebilir. Terazinin bir kefesinde Veri Sorumlusunun meşru menfaati diğer kefesinde ise Veri Sahibinin başta özel hayatın gizliliği olmak üzere temel hak ve hürriyetleri yer almaktadır. Bu kapsamda yapılacak olan ilk değerlendirmede Veri Sorumlusunun meşru menfaati olduğunun tespit edilmesi gerekmektedir. İkinci değerlendirmede kişisel verisi işlenecek olan İlgili Kişinin temel hak ve özgürlüklerinin neler olduğu tespit edilecek ve hangisinin üstün geldiğine karar verilecektir.
Metodik olarak bu yaklaşım tatbik edilirken yukarıda da belirtildiği üzere Veri Sorumlusunun meşru menfaatinin belirgin olmayışı bu tespitin yapılmasını oldukça güçlendirmektedir. Söz konusu belirsizliği gidermek adına Avrupa Birliği Çalışma Grubu bu metodun takip edildiği üç örnek üzerinden denge tespitini açıklamaya çalışmıştır:
- Çalışma grubu tarafından verilen ilk örnekte bir kişi opt-out sistemi kullanan pizza şirketi web sitesinden online olarak yemek siparişi vermekte, kişinin kart ve adres bilgileri şirketin veritabanında saklanmaktadır. Sipariş verildikten bir süre sonra şirket bu bilgileri kullanarak kişinin kapısı önüne indirim kuponları bırakmıştır.
Olayda pizza şirketi için verileri kullanma işleminin bir zorunluluk olmadığı sadece bir fayda sağladığına dikkat edilmelidir. Yine de yukarıda açıklandığı üzere bu durum meşru menfaat olarak kabul edilebilecektir. Bununla birlikte kişinin temel hak ve hürriyetlerinin ihlalinin derecesi de dikkate alınmalıdır. Değerlendirme yapıldığında işlenen verilerin çok ciddi veriler olmadığı, sınırlı bir veri kaydının söz konusu olduğu, ihlalin sadece evin önüne kupon bırakmak sonucunu doğurduğu ve web sitesinde opt-out sistemi uygulandığı için isteğe bağlı olarak veritabanından çıkılması imkanı sunulduğu dikkate alınarak KVK kapsamında bir ihlalin bulunmadığı sonucuna varılmıştır.11
- İkinci örnekte yine ilk örnekteki verilerin yanında bu kez aynı kişinin geçmiş sipariş bilgileri ve pizza şirketi ile aynı şirketler zinciri içerisinde bulunan başka mağazada aynı kişiye ait alışveriş bilgileri kaydedilmiştir. Bu kez pizza şirketi tarafından kişinin geçmiş alışveriş bilgileri de dikkate alınarak kendisine belirli zamanlarda elektronik ve fiziksel yollarla fırsat ve indirimler hakkında bilgilendirme yapılmış, yine kendisinin arama geçmişi bilgileri kullanılarak girdiği bazı sitelerde sayfa kenarlarında pop-out reklamlar gösterilmiş, telefonuna indirdiği mağaza uygulaması aracılığıyla kendisine engellenemeyecek nitelikte sürekli bildirimler yapılmıştır. Dahası İlgili Kişi bir süre sonra başka bir adrese taşındığında kendisine uygulanan kampanyaların değiştiğini, yaptığı araştırmalar sonucu şirketin müşterilerin konum verilerini kaydedip bulunduğu muhitin niteliklerini göz önünde bulundurarak farklı kampanyalar sunduğunu öğrenmiştir.
Tek başına değerlendirildiğinde kullanılan verilerin niteliğinin düşük olduğu söylenebilecektir. Niteliği düşük de olsa alınan verilerin miktarının yüksek olması, verilerin kullanılma yönteminin kişiye verdiği rahatsızlık ve verilere bağlı olarak yapılan kampanya ayrımcılığının kişinin doğrudan maddi durumuna etkide bulunması dikkate alındığında artık meşru menfaat ile temel hak ve özgürlük dengesinin aşıldığı dolayısıyla KVK kapsamında bir ihlalin var olduğu söylenebilecektir.12
- Üçüncü örnekte ise bir sigorta şirketi tarafından pizza şirketi ile anlaşılarak kişinin verdiği siparişlerin zamanı ve içeriğine ilişkin bilgilerinin alınarak sigorta primlerinde kullanılması söz konusudur. Sigorta şirketinin kişilerin beslenme alışkanlıklarını takip ederek risk değerlendirmesi yapıp ona göre bir sağlık sigortası primi belirlemesi sigorta şirketinin meşru menfaati kapsamında değerlendirilebilecektir. Bununla birlikte kullanılan verilerin niteliği ve miktarı beraber değerlendirildiğinde Veri Sahibinin verilerin sigorta işlemlerinde kullanılmasını tahmin etmesi beklenemeyecektir. Diğer taraftan söz konusu verilerin kişinin sağlık durumuna ilişkin çıkarımlara yol açması sebebiyle özel nitelikli kişisel veriler kapsamına girdiği ve bu veriler kullanılarak belirlenen sigorta primlerinin kişinin mal varlığına doğrudan etkide bulunduğu hususları kişinin temel hak ve hürriyetleri kapsamında ağır sayılabilecek sonuçlar doğurmaktadır. Sayılan sebeplerle söz konusu işlemler KVK kapsamında ihlalin var olduğu sonucunu doğurabilecektir.13
Yukarıdaki örneklerde de açıklandığı üzere olay bazlı bir değerlendirme yapılarak meşru menfaatin, ihlal edilen temel hak ve hürriyetlerin ve bunlar arasındaki dengenin birlikte ele alınması gerekmektedir. Burada bir denge tespiti yapılırken unutulmamalıdır ki Veri Sorumlusunun meşru menfaati ticari çıkarları olabileceği gibi kendisinin temel bir hakkı da olabilecektir. Bu kapsamda Veri Sorumlusunun düşünceyi açıklama ve yayma hürriyeti14, bilim ve sanat hürriyeti15, basın hürriyeti16, mülkiyet hakkı17, çalışma ve sözleşme hürriyeti18 gibi anayasal hakları zorunluluk şartının varlığını tespit ederken değerlendirmeye alınabilecektir.
Diğer taraftan verilerin kullanılmasının Veri Sahibi üzerindeki pozitif ve negatif etkileri dikkatlice ele alınmalıdır. Verilerin işlenilmesinin Veri Sahibi üzerinde stres, endişe, ayrımcılık, aşağılama gibi duygular yaratması veya yaratabileceğinin öngörülmesi halinde verilerin kullanılmasından kaçınılması gerekmektedir. Bu anlamda Avrupa Birliği Çalışma Grubunun zarar veya hasar kavramından ziyade Veri Sahibi üzerindeki “etki” kavramına odaklandığı unutulmamalıdır. Yapılan terminolojik ayrımın Veri Sahipleri üzerinde doğmuş ve doğabilecek olan maddi zararların yanında manevi etkilerin de korunma kapsamına alınmasını amaçladığı ifade edilmiştir.19
Her ne kadar iki ucu olan denge tespiti uygulanabilir bir metod olarak tavsiye edilse de karşılaşılan olayların Kanunda sayılan ilkeler kapsamında toplum yapısı, işin niteliği, sektörel teamüller, verinin doğası, verinin kullanılma şekli, İlgili Kişinin paylaşılan verilerin kullanımına ilişkin beklentileri gibi değişkenler de dikkate alınarak çok boyutlu bir şekilde ele alınması Kanunun ruhuna uyulması bağlamında daha sağlıklı olacaktır.
SONUÇ
Kişisel Verilerin İlgili Kişinin açık rızası olmaksızın işlenebilmesi için Kanunda sayılan yedi hukuki sebepten en az birinin bulunması şarttır. Karşılaşılan durumun bu şartlardan Veri Sorumlusunun meşru menfaati şartı kapsamına girmesi halinde muhtemel değerlendirmeler birtakım terminolojik ve metodolojik yaklaşımlar kapsamında yapılmalıdır.
Kanun hükmü bir yandan Veri Sahiplerinin temel hak ve hürriyetlerini düzenlerken bir yandan da kişi ve kurumların veri işleme hürriyetini koruma altına almaktadır. Kanun hükümlerinin olay bazlı ve farklı boyutlarıyla ele alınmaması halinde Kanunun uygulanabilirliği ortadan kalkabilecek, hukuk devleti ve hukuki güven ilkelerinin yerini güvensizlik ortamı alabilecektir.
Kaynakça:
- Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu, s. 24
- Opinion 06/2014 on The Notion of Legitimate Interests of The Data Controller Under Article 7 Of Directive 95/46/EC, Adopted on 9 April 2014, s. 10
- Kişisel Verileri Koruma Kurumu 6698 Sayılı KVKK’nın Uygulanmasına Yönelik Soru Cevaplar, s. 40
- Kişisel Verileri Koruma Kurumu 6698 Sayılı KVKK’nın Uygulanmasına Yönelik Soru Cevaplar, s. 40
- Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu, Sayfa 84
- 3/3/2016 Tarih 2013/5653 Başvuru Nolu Anayasa Mahkemesi Genel Kurul Kararı
- Gülener, s.226
- Julie Ringelheim, Processing Data on Racial or Ethnic Origin For Antidiscrimination Policies: How to Reconcile the Promotion of Equality with the Right to Privacy, NYU School of Law, New York 2006, s.25
- Avrupa Adalet Divanı 16 Aralık 2008 tarihli C-524/06 Heinz Huber v Bundesrepublik Deutschland Kararı, p. 52
- Avrupa İnsan Hakları Mahkemesi 25 Mart 1983 Tarihli Silver & Others v United Kararı, p. 97
- Opinion 06/2014 on The Notion of Legitimate İnterests of The Data Controller Under Article 7 of Directive 95/46/EC, Adopted on 9 April 2014, s. 31
- Opinion 06/2014 on The Notion Of Legitimate İnterests of The Data Controller Under Article 7 of Directive 95/46/EC, Adopted on 9 April 2014, s. 32
- Opinion 06/2014 on The Notion of Legitimate İnterests of The Data Controller Under Article 7 of Directive 95/46/EC, Adopted on 9 April 2014, s. 33
- Anayasa Madde 26
- Anayasa Madde 27
- Anayasa Madde28
- Anayasa Madde 35
- Anayasa Madde 48
- Opinion 06/2014 on The Notion of Legitimate İnterests of The Data Controller Under Article 7 of Directive 95/46/EC, Adopted on 9 April 2014, s. 37