Yazarlar: Olcayto DOĞANÇELİK, MBA – Elif DEVECİ – Bolayır & Doğançelik Avukatlık Bürosu

 

ÖZ

Özel hayat ve kişisel veri kavramlarının insan hayatında yer edinmesi ile birlikte hukuki düzenlemeler aracılığıyla bu kavramların korunması bir zorunluluk haline gelmiştir. Bu alandaki hukuki düzenlemelerin ilk örneklerini Avrupa Birliği’nde görmekteyiz. Türk hukukunda ise öncelikle T.C. Anayasası’nda yer alan “özel hayatın gizliliği” konusundaki düzenleme, sonrasında Türk Ceza Kanunu’nda bu gizliliği korumaya yönelik yaptırımların yer alması ve son olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesi bu alanda atılan somut adımlardandır. 6698 sayılı Kanun kişisel veri işleme, depolama ve aktarma yöntemlerinin sınırlarını çizen “çerçeve kanun” olmakla birlikte Kanunda açıkça öngörülmese de güncel Kurul kararlarıyla veri işleyenler ve veri sorumluları arasında Kişisel Veri İşleme Sözleşmesi akdedilmesi önem kazanmaktadır. Bu çalışmada, 6698 sayılı Kanun kapsamında kişisel veri işleme, depolama, aktarma yöntemleri ile rızai ve isimsiz bir sözleşme türü olan kişisel veri işleme sözleşmesi ve bu sözleşmede yer alması gereken unsurlar ele alınmaktadır.

Anahtar Sözcükler: Kişisel Veriler, Kişisel Verilerin Korunması, Kişisel Veri İşleme Sözleşmesi

ABSTRACT

With the concepts of private life and personal data having to start taking place in human life, protection of the said concepts through legal arrangements has become a necessity. The first samples of legal arrangements in this area are seen in European Union. As per the Turkish Law, regulation on “privacy” under The Constitution of the Republic of Turkey, the sanctions enlisted under the Turkish Penal Code and inurement of Turkish Personal Data Protection Law (“No. 6698”) are the first concrete steps taken in this area, respectively. Although, Law no. 6698 is a “framework law” which draws a line for the methods of data processing; storage and transfer of data is not explicitly provided under the clauses of the Law. It is important to conclude a Personal Data Processing Agreement between the data processors and the data controller according to the current decisions of Turkish Personal Data Protection Board . In this study, methods of personal data processing, storage, transfer and personal data processing agreements which are a consensual and innominate contract type and the elements that should be included in this agreement will be discussed within the scope of Law No. 6698.

Key Words: Personal Data, Personal Data Protection, Personal Data Processing Agreement

 

Gizlilik, tarih boyunca süregelen ve insan hayatının vazgeçilmez bir parçası olduğu kabul edilen olgulardandır. Kişinin özel hayatının gizli kalması Anayasal bir hak olarak düzenlenmiş ve bu gizliliğin ihlali yaptırımlara bağlanmıştır. T.C. Anayasası’nın 20. maddesinde özel hayatın gizliliği konusu “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.” şeklinde düzenlenmiştir. Türk Ceza Kanunu’nun 134. maddesi ve devamında ise özel hayatın gizliliğini ihlal, kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ile verileri yok etmeme başlıkları altında gizlilik ihlali ve kişisel verilerin kaydedilmesi, ele geçirilmesi, kullanılması konuları suç olarak düzenlenerek yaptırımlara bağlanmıştır.

Bireysel ve toplumsal ihtiyaçların değişmesi ile teknolojik gelişmeler doğrultusunda kişisel verilerin 3. kişiler nezdinde saklanabilir ve hatta çeşitli mecralarda yayımlanabilir hale gelmesi sonucunda birçok verinin işlenmesi ve korunması bu konuda düzenlemeler yapılması gerekliliğini doğurmuştur. Bu konudaki ilk yasal düzenleme, Almanya’nın Hessen Eyalet Meclisi tarafından kabul edilen 7 Ekim 1970 tarihli Kişisel Verilerin Korunması Kanunu’dur. Almanya Federal Anayasa Mahkemesinin 15 Aralık 1983 tarihinde verdiği “Nüfus Sayımı” kararı ise başta kişisel verilerin korunması konusundaki AB Yönergesi olmak üzere Kişisel Verilerin Korunmasının yasalaşma sürecinde diğer ülkeleri de etkilemiştir. “Nüfus Sayımı” kararının verilmesine sebep olan olay, 1982 yılında Alman Federal Meclisi tarafından “Nüfus Sayım Kanunu” hazırlanarak nüfus sayımı ile birlikte hane sayısı, vatandaşların kimliği ve tercihleri konusunda bilgi toplanması ve bu bilgilerin saklanmasının amaçlanmasıdır.  15 Aralık 1983 tarihinde Almanya Federal Anayasa Mahkemesi, “kişilere ilişkin veriler üzerinde kişinin bizzat kendisinin tasarrufta bulunma hakkı” olduğuna hükmederek bu Kanunun yürürlüğünü durdurmuştur. İlgili kararla birlikte kişisel verilerin korunması konusunda ilk adımların atıldığı söylenebilir. Avrupa Birliği hukukundaki ilk düzenlemelerden biri ise Avrupa Konseyi bünyesinde düzenlenerek 1 Ekim 1985 tarihinde yürürlüğe giren “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” olmuştur. 28 Ocak 1981 yılında Türkiye de bu sözleşmeyi imzalamıştır fakat sözleşmenin uygun bulunduğuna dair kanun ancak 18 Şubat 2016’da yayımlanabilmiştir. Avrupa Birliği’nin kişisel verilerin korunmasına dair düzenlediği ilk yönerge ise 24 Kasım 1995 tarihli 95/46/EC Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Direktifi olmuştur. Sonrasında 97/66/EC no.lu Telekomünikasyon Alanında İşlem ve Koruma Yönergesi, 2000/31/EC ve no.lu E-Ticaret Yönergesi ve 2002/58/EC no.lu Elektronik Telekomünikasyon Alanında Kişisel Verilerin Korunması Yönergesi yürürlüğe girmiştir. (EU) 2016/679 no.lu düzenleme ile Genel Veri Koruma Tüzüğü (GDPR) yürürlüğe girmiş ve kişisel verilerin korunmasına yönelik kapsamlı bir düzenleme AB hukukunda yerini bulmuştur. Türk Hukukunda ise Anayasal bir hak olarak düzenlenen gizlilik konusu ile doğrudan ilişkili olan kişisel veri işleme ve bu verilen korunması konusu, 2010 yılında 5982 sayılı Kanun’un 2. maddesiyle T.C. Anayasası’nın 20. maddesine getirilen şu ek ile yer bulmuştur:

“(Ek fıkra: 7/5/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”

Mezkur maddeden anlaşıldığı üzere kişisel verilerin korunmasına ilişkin esas ve usulleri düzenleyen bir kanun ihdas etme gerekliliği ortaya çıkmıştır. Bunun ve GDPR düzenlemesi sonucu olarak 7 Nisan 2016 tarihli ve 6698 sayılı Kanun ile kişisel verilerin korunmasına ilişkin esas ve usuller düzenlemiştir.

Kanun’un ‘Kapsam’ başlıklı 2. maddesi “Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” şeklinde düzenlenmiştir.

Kanun’un 3. maddesine göre Kişisel Veri “Kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi”yi ifade etmektedir. Bu durumda kanun kapsamında korunan veriler yalnızca gerçek kişilere ait kişisel veriler olup, tüzel kişilere ait verilere yönelik bu kanunla getirilmiş bir korumadan bahsedilmemektedir. Ancak kanun koyucu veri sorumlusunu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlayarak kanun kapsamında veri sorumlusu sıfatına sahip olabilecek gerçek ve tüzel kişilerin her ikisine de sorumluluk yüklemektedir. Aynı maddeye göre kişisel verilerin işlenmesi, “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi” ifade etmektedir ancak veri işleme çeşitleri bahsi geçen maddede sayılanlarla sınırlı değildir.  Kanun’un 2. maddesinde, kişisel verilerin kısmen veya tamamen otomatik olarak yani bilgisayar vb. ortamlarda işlenebileceği gibi otomatik olmayan şekilde de işlenebileceğine fakat otomatik olmayan yollarla işlenmesi durumunda kanun kapsamında değerlendirilebilmesi için bir veri kayıt sisteminin parçası olunması şartına yer verilmiştir.

Veri kayıt sistemi, Kanun’un 3/h bendinde kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi olarak tanımlanmıştır. Bu durumda, örneğin bir işyerindeki çalışanların kimlik bilgileri, eğitim durumları, ikamet bilgileri gibi belirli kriterlere göre yapılandırılmış verilerden oluşan bir sistem, veri kayıt sistemi olarak adlandırılabilirken, bir gerçek kişinin diğer bir gerçek kişinin adresini bir kağıda geçici olarak yazması halinde böyle bir sistemin varlığından söz edilemez.

Kişisel veriler işlenirken uyulması gereken ilkeler de yine 6698 sayılı Kanun’un 4. maddesinde sayılmıştır. Buna göre kişisel veriler, hukuka ve dürüstlük kurallarına uygun olarak doğru ve gerektiğinde güncel olacak şekilde belirli, açık ve meşru amaçlar için işlenmeli ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı, bunun yanında ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

Kişisel veriler, kural olarak kişisel verisi işlenecek gerçek kişinin açık rızası olmadan işlenememektedir. Fakat bu kuralın istisnaları kanunda sayılmıştır. Buna göre aşağıdaki hallerden birinin bulunması durumunda ilgili kişinin rızası aranmaksızın kişisel verilerin işlenmesi mümkündür:

  1. Kanunlarda açıkça öngörülmesi,
  2. Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel verilerin ilgilisinin rızası aranmaksızın işlenme şartları, yani hukuka uygunluk halleri, Kanunda tahdidi olarak belirlenmiş olup, bu şartlar genişletilemez.

Kişisel verilerin bir türü olan özel nitelikli kişisel veriler ise, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Ancak sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Kanun’un 6/1 maddesinde sayılan ve kanunlara uygun olarak işlenmiş özel nitelikli kişisel verilerin, işlenmesini gerektiren sebep ortadan kalktığında, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir. Kural olarak kişinin rızası olmaksızın işlenemeyen kişisel veriler, yine kişinin rızası olmaksızın aktarılamamaktadır. Kişisel verilerin ilgili kişinin rızası aranmaksızın aktarılabilmesi için Kanun’un 5/2 maddesinde yer alan kişisel verilerin ilgili kişinin rızası aranmaksızın işlenebileceği sınırlı sayıdaki hallerden birinin gerçekleşmesi gerekmektedir. Özel nitelikli veriler söz konusu olduğunda ise “yeterli önlemler alınmak kaydıyla” 6/3 maddesindeki hallerde veriler, rıza alınmaksızın aktarılabilmektedir. Verilerin yurtdışına aktarımında ise yine kişinin açık rızası gerekmektedir. Açık rıza olmaksızın aktarım, yurtiçindeki aktarımla aynı şartları taşınmasına ek olarak aktarılacak ülkede yeterli korumanın bulunmasını gerektirir. Verilerin aktarılacağı ülkenin yeterli korumaya sahip olduğunun belirlenmesinde esas alınacak kriterler ise Kişisel Verileri Koruma Kurulu 2 Mayıs 2019 tarihli 2019/125 sayılı Kurul Kararı ile yayımlanmıştır. Bu karara göre veri aktarılacak ülkedeki korumanın yeterliliği incelenirken değerlendirilecek başlıca konular,

  1. Karşılıklılık durumunun varlığı,
  2. İlgili ülkenin kişisel verilerin işlenmesine ilişkin mevzuatı ve uygulamasının bulunup bulunmadığı, Bağımsız veri koruma otoritesinin var olup olmadığı,
  3. Kişisel verilerin korunması ile ilgili uluslararası antlaşmalara taraf olma ile uluslararası kuruluşlara üyeliğinin bulunup bulunmadığı,
  4. Ülkemizin üye olduğu küresel ve bölgesel örgütlere üyeliğinin varlığı,
  5. İlgili ülke ile yürütülen ticaret hacminin var olup olmadığıdır.

Bahsi geçen konu başlıklarının yer aldığı ve Kurul tarafından yayımlanan formun doldurulması üzerine ilgili ülkede yeterli korumanın bulunup bulunmadığı Kurul tarafından değerlendirilecektir. Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun izninin bulunması kaydıyla kişisel veriler, ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Kanun’un haklar ve yükümlülükler başlıklı üçüncü bölümünde veri sorumlusunun ilgili kişileri aydınlatma yükümlülüğü kapsamında hangi konularda bilgi vereceği ve ilgili kişilerin veri sorumlusuna başvurarak hangi bilgi ve işlemleri talep edebileceği düzenlenmiştir. Ayrıca veri sorumlularının veri güvenliğine yönelik yerine getirmesi gereken yükümlülüklere de yer verilmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu ile getirilen bu düzenlemeler ışığında, kişisel veri işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi sıfatını haiz veri sorumluları, bu kişisel verileri kendi adına (veri sorumlusu adına) işlemeleri için gerçek veya tüzel kişileri yetkili kılar. Bu kişiler veri işleyen sıfatıyla anılır. Bunun bir sonucu olarak veri sorumlusu ile veri işleyen arasında “Kişisel Veri İşleme Sözleşmesi” adlı bir sözleşmenin oluşturulması 6698 sayılı Kanun’a uyum sürecinin gerekliliği olarak karşımıza çıkmaktadır. GDPR 28. maddesinde ve Kurum’un yayınladığı kılavuzlarda veri işleme sözleşmesi düzenlenmiştir. GDPR 28/3 maddesinde “Bir işleyici tarafından işleme faaliyeti gerçekleştirilmesi Birlik veya üye devlet hukuku çerçevesinde düzenlenen, kontrolör ile ilgili olarak işleyici açısından bağlayıcı olan ve işleme faaliyetinin konusu ve süresi, işleme faaliyetinin mahiyeti ve amacı, kişisel verilerin türü ve veri sahiplerinin kategorileri ile kontrolörün yükümlülükleri ve haklarının ortaya konduğu bir sözleşme veya diğer hukuki tasarruflar ile düzenlenir” hükmüne yer vermek  suretiyle bir veri işleme sözleşmesinin varlığının gerekliliğini ortaya koymuştur. Maddenin devam fıkralarında ise veri işleyenin yükümlülükleri, alt işleme yetkisi, sözleşmenin yazılı şekil şartını haiz olması konuları düzenlenmiştir.

Bunun yanı sıra Kişisel Verileri Koruma Kurulu’nun yayımladığı uygulama rehberlerinde veri işleyen; “kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun Kişisel Veri İşleme Sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişi” olarak tanımlanmıştır ve bu tanımdan anlaşılacağı üzere taraflar arasında bir sözleşmenin gerekliliği benimsenmiştir.

O halde Kişisel Veri İşleme Sözleşmesi veri işleyenin, veri sorumlusunun verdiği yetkiye uygun olarak iş görme borcu altına girdiği ve veri sorumlusunun da görülen bu iş görme borcu karşılığında bedel ödeme veyahut başkaca bir edimi ifa etmeyi taahhüt ettiği sözleşme olarak tanımlanabilir.

Anılan sözleşme, Türk hukukunda vekalet ve eser sözleşmesine ilişkin edimleri içeren atipik bir sözleşme türüdür. Bir başka deyişle, ilgili sözleşme, hukuki niteliği itibarıyla rızai, isimsiz, iş görme borcu ve sonuç borcu doğuran, sürekli edim içeren iki taraflı bir sözleşmedir. Sözleşmenin rızai olmasının bir sonucu sözleşme taraflarının birden çok kişi ile bu türden bir sözleşme kurabileceğidir. Veri işleyen, birden çok veri sorumlusu ile bu sözleşmeyi kurabileceği gibi veri sorumlusu da birden çok veri işleyenle çalışabilecektir. Kişisel Veri İşleme Sözleşmesi, eser sözleşmesinin ana edimi olan sonuç borcunu içermektedir, bu nedenle veri işleyenin taahhüdü veri işleme fiili değil, veri işleme sonucu olarak ortaya çıkmaktadır. Vekalet sözleşmesinde olduğu gibi taraflardan birinin diğeri menfaatine iş görmesi ve taraflar arasında güven ilişkisinin bulunması söz konusudur. Bahsedildiği üzere birden fazla sözleşme türüne ait özellikleri içermesi itibarıyla Kişisel Veri İşleme Sözleşmesi isimsiz sözleşme özelliği göstermektedir.

Veri işleyen ile veri sorumlusu bu şekilde bağımsız bir sözleşme kurabilecekleri gibi aralarındaki bir ilişkiden dolayı var olan başka bir sözleşmeye hüküm eklemek suretiyle de kişisel veri işleme şartlarını belirleyebilir. Kişisel Veri İşleme Sözleşmesi çoğunlukla veri sorumlusu tarafından veri işleyeni veri işleme faaliyeti amacıyla görevlendirme ve sorumlulukların belirlenmesi şeklinde ortaya çıksa da sadece veri işleyen ve veri sorumlusu arasında kurulan bir sözleşme olarak kalmamakta aynı zamanda veri sorumlusundan veri sorumlusuna veri aktarımı ve veri işleyenin alt veri işleyeni görevlendirdiği durumlarda da ortaya çıkmaktadır. Veri işleyenin alt veri işleyeni görevlendirdiği sözleşme türünde, veri işleme yetkisinin alt veri işleyene bırakılabilmesi için veri sorumlusu ile veri işleyen arasında bir anlaşmanın varlığı yanında alt veri işleyenin, veri işleme faaliyetinde bulunurken veri işleyenin menfaat ve talimatlarına uygun şekilde davranması gerekliliği söz konusudur. Veri sorumlusundan veri sorumlusuna veri aktarımını kapsayan Kişisel Veri İşleme Sözleşmesi ise kişisel verilerin yurtdışına aktarımı sebebiyle ortaya çıkmış bir sözleşme türüdür. Kişisel verilerin aktarılacağı ülkede yeterli önlemlerin bulunmaması sonucu kişisel verilerin korunmasının sağlanması için bir sözleşme kurulması gerekliliği doğmuştur.

Avrupa Birliği Genel Veri Koruma Tüzüğü’nde Kişisel Veri İşleme Sözleşmesine yazılı şekil şartı getirmekteyken Türk hukukunda Kişisel Veri İşleme Sözleşmesinin şekline dair herhangi bir şart bulunmamaktadır. Ancak şüphesiz ki bu denli önemli hak ve yükümlülüklerin hüküm altına alındığı bir sözleşmenin ispat açısından yazılı olarak yapılması her iki taraf için de önemlidir.

Kişisel Veri İşleme Sözleşmesinin en önemli başlıkları, yetkinin sınırları ve süresi, ne tür verilerin ne amaçla işleneceği, tarafların yükümlülükleri, fesih, tazminat, veri güvenliği ve denetleme konularından oluşacaktır. Kişisel Veri İşleme Sözleşmesi kapsamında yer alması gereken önemli konular aşağıdaki şekilde sıralanabilir:

  • Veri sorumlusu, bir kişisel veri işleme ve saklama politikası oluşturup veri işleyenle yapacağı sözleşmede bu politikaya atıf yapabilecek veya sözleşme içerisinde kişisel verileri ne şekilde ve hangi yöntemlerle toplayacağını, nasıl saklayacağını ve aktarırken hangi yöntemi izleyeceğini, hangi amaç ve süreyle işleyeceğini ayrıca belirtebilecektir.
  • Veri güvenliği açısından veri sorumlusu ve veri işleyen kişisel veri sahibine karşı müteselsilen sorumlu olmasına karşın, bahsi geçen sözleşme kapsamında veri işleyenin veri güvenliğini sağlama yükümlülüğü belirlenirken bu yönde tarafların alacağı tedbirler ile birlikte veri sorumlusu ile veri işleyenin kişisel verilere ilişkin olarak kendi aralarındaki sorumlulukları ise özel olarak saptanabilir. Bir veri işleme ve şifre politikası hazırlanarak veri işleyenin bu standartlara göre veri işlemesini sağlamak mümkündür.
  • Veri işleyen, kişisel veri işleme edimini şahsen yerine getirebileceği gibi bir alt işleyen de kullanabilecektir, fakat sözleşme ile alt işleme yetkisi kısıtlanabilir veya bildirim yükümlülüğüne tabi tutulabilir. Alt işleyenin fiillerinden asıl veri işleyen de sorumludur, yetkinin alt işleyene bırakılması veri işleyenin sorumluluğunu ortadan kaldırmamaktadır.
  • Sözleşmeye gizlilik maddesi de eklenmelidir ve kişisel verilerin bu gizliliğe uygun şekilde işleneceği kararlaştırılmalıdır.
  • 6698 sayılı Kanun’un 10. maddesine göre kişisel verisi işlenen ilgili kişileri aydınlatma yükümlülüğü veri sorumlusunun yükümlülüğüdür fakat veri sorumlusu aydınlatma yükümlülüğünü yerine getirmesi için başka bir kişiyi de yetkilendirebilecektir bu nedenle yetkilendirilen kişinin veri işleyen olması söz konusu olabilecektir. Bu durumda veri işleyene bırakılan bu yükümlülüğünün sınırlarının sözleşme ile belirlenmesi önem arz eder.
  • İlgili kişiler, veri sorumlusuna başvurarak 6698 sayılı Kanun’un 11. maddesinde yer alan haklarını kullanabilecektir ve veri sorumlusu ilgili kişinin bu haklarından etkin şekilde yararlanmasını sağlamakla yükümlüdür. Aksi halde ilgili kişinin Kişisel Verilerin Korunması Kurumu’na şikayeti ile birlikte veri sorumlusu yaptırımlara maruz kalabilmektedir. Veri sorumlusunun ilgili kişiyi haklarından yararlandırması gereken durumlarda veri işleyen ile iş birliği içerisinde olması gerekebilmektedir. Örneğin, veri işleyen tarafından işlenen ve depolanıp muhafaza edilen bilgilere ilgili kişinin haklarının kullandırılması sebebiyle veri sorumlusu tarafından erişiminin aciliyet kazandığı durumlarda veri işleyen ile veri sorumlusunun iş birliği içerisinde olup gerekli bilgileri temin etmesi önem arz etmektedir. Bu nedenle, veri işleyen ve veri sorumlusu arasında kurulacak sözleşmede ilgili kişinin haklarının etkin şekilde kullandırılması konusunda tarafların yükümlülüklerinin belirlenmesi ile birbirlerine olan yardım etme yükümlülüğüne özellikle yer verilmesi önemlidir.
  • Veri sorumlusunun veri işleyene bazı temel bilgileri verme sorumluluğu varken veri işleyenin de hesap verme sorumluluğu vardır ve bunun sınırlarının çizilmesi tarafların lehine olacaktır.
  • Veri sorumlusunun veri işleyenin işleme faaliyetlerini denetleme yetkisi ve veri işleyenin de denetlenmeye izin verme ve denetlenme için gerekli faaliyetlerde bulunma yükümlülüğü olduğundan bu konu da sözleşmenin olmazsa olmazlarındandır.
  • Sözleşmenin sona ermesi durumunda kişisel verilerin imhası, anonimleştirilmesi, silinmesi konularının hangi yöntem ve sürelerle uygulanacağı kararlaştırılmalıdır.
  • Haklı sebeple fesih halleri, mücbir sebep durumunda işleyişin nasıl olacağı, tazminat yükümlülüğü, rücu ilişkisi konularının da sözleşmede yer alması gerekir.

Kanun’un 12/1 ve 12/2 maddesi uyarınca, veri sorumlusu ile birlikte veri işleyenin de sorumlu tutulması veri işleyeni kanuna uyma konusunda yükümlü hale getirecek, veri işleyeni kanuna aykırı davranışlardan caydırıcı nitelikte bir hükümdür. Bununla birlikte, veri sorumlusu veri işleyeni kanundaki yükümlülüklere uyma konusunda teşvik etmek amacıyla aralarında akdedilecek sözleşmede kanunda öngörülen yükümlülüklere uyma taahhüdüne yer vererek kişisel verilerin hukuka uygun şekilde işlenmesine ve ihlallerin en aza indirilmesine katkı sağlayabilecektir. Kişisel Veri İşleme Sözleşmesinin veri sorumlusundan veri sorumlusuna aktarımı veya veri işleyenin alt işleme yetkisini devri amacıyla kurulması hallerinde de yine bir işleme faaliyeti söz konusu olduğundan sözleşme taraflarının müşterek sorumluluğu devam edecektir. Yukarıda bahsedilen içerikleri ihtiva edecek bir Kişisel Veri İşleme Sözleşmesinin hazırlanması, gerek verisi işlenen ilgili kişinin Anayasal bir hak olan gizlilik hakkını korumak ve işlenen kişisel verilerine dair haklarından yararlandırmak gerekse veri sorumluları ve veri işleyenlerin sorumluluğunu belirlemek ve ihlallerde bulunmasını önlemek veya taraflardan birinin ihlalde bulunması durumunda sorumluluk ve borçlarını  eksiksiz olarak ifa etmiş olan tarafın menfaatlerini korumak amacıyla son derece gereklidir ve hukukumuzda son zamanlarda yer edinmeye başlamış Kişisel Verilerin Korunması konusuna gereken özenin gösterilmesini sağlayacaktır.

 

KAYNAKLAR

  1. Kişisel Verilerin Korunması Kanunu
  2. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)
  3. Kişisel Verileri Koruma Kurumu, https://www.kvkk.gov.tr/Icerik/2030/Rehberler adresinden alınmıştır.
  4. Mesut Serdar Çekin, 2018. Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu. İstanbul: On İki Levha Yayıncılık
  5. Furkan Güven Taştan, 2018. Bir Modern Sözleşme Tipi Olarak Kişisel Veri İşleme Sözleşmesi ve Kanun’a Uyum Sürecindeki Rolü, https://blog.lexpera.com.tr/kisisel-veri-isleme-sozlesmesi/ adresinden alınmıştır.
  6. Furkan Güven Taştan, 2017. Türk Sözleşme Hukukunda Kişisel Verilerin Korunması. İstanbul: On İki Levha Yayıncılık.
  7. Hüseyin Murat Develioğlu, 2017. 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Karşılaştırmalı Olarak Avrupa Birliği Genel Veri Koruma Tüzüğü Uyarınca Kişisel Verilerin Korunması Hukuku. İstanbul: On İki Levha Yayıncılık.