HUKUK-POSTASI-2020-metin

387 KİŞİSEL VERİLERİN KORUNMASI rıntılı bir biçimde düzenler. GDPR madde 17 uyarınca veri sorumlusu; i) kişisel verilerin toplanma veya işlenme amaçlarıyla ilişkili olarak artık gerekli olmaması; ii) veri sahibinin madde 6(1) (a) bendi veya madde 9(2) (a) bendine göre işleme faaliyetinin dayandığı izni geri çek - mesi ve işleme faaliyetiyle ilgili başka bir yasal gerekçe bulunmaması; iii) veri sahibinin madde 21(1) uyarınca işleme faaliyetine itirazda bulunması ve işleme faaliyetine yönelik ağır basan meşru bir gerekçe bulunmaması ya da veri sahibinin madde 21(2) uyarınca işleme faali - yetine itirazda bulunması; iv) kişisel verilerin yasa dışı biçimde işlen - miş olması; v) kontrolörün tabi olduğu Avrupa Birliği (“Birlik” veya “AB”) veya üye devlet hukukundaki bir yasal yükümlülüğe uygunluk sağlanması amacı ile kişisel verilerin silinmesinin zorunlu olması ve vi) kişisel verilerin 8(1) maddesinde atıfta bulunulan bilgi toplumu hizmetlerinin sağlanması ile ilgili toplanmış olması hallerinde veri sahibinin verilerini gecikmeye mahal vermeksizin silmek zorundadır. Yer Bakımından Uygulama GDPR madde 3 uyarınca; 1. Bu Tüzük, işleme faaliyeti Birlik içerisinde gerçekleşip ger - çekleşmediğine bakılmaksızın, Birlik içerisindeki bir kont - rolör veya işleyicinin işletmesinin faaliyetleri bağlamında kişisel verilerin işlenmesine uygulanır. 2. Bu Tüzük, işleme faaliyetlerinin aşağıdaki hususlarla alakalı olması durumunda, Birlik içerisinde bulunan veri sahipleri - nin kişisel verilerinin Birlik içerisinde kurulu olmayan bir kontrolör veya işleyici tarafından işlenmesine uygulanır: (a) Veri sahibine bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Birlik içerisindeki söz konusu veri sahiplerine mal ya da hizmetlerin sunulması veya (b) Davranışları Birlik içerisinde gerçekleştiği ölçüde, davranışla- rının izlenmesi. 3. Bu Tüzük, Birlik içerisinde değil, ancak bir üye devletin hu - kukunun uluslararası kamu hukuku vasıtasıyla uygulandığı