Veri sorumlusu ile veri işleyen arasındaki sözleşme ilişkileri, kişisel verilerin korunmasının sözleşmeler hukukunu ilgilendiren önemli alanlarından birini oluşturur. Anılan sözleşme ilişkileri, bir yandan veri sorumlularının 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVK Kanunu” ya da “Kanun”) uyum sürecinde yerine getirmesi gereken sözleşme yönetimi içinde bulunmakta; öte yandan yirminci yüzyılda doğan mahremiyet kavramıyla birlikte ortaya çıkması itibariyle kişisel veri işleme sözleşmesi (“KVİS”) adı altında bir modern sözleşme tipini oluşturmaktadır. Bu ilişkiler Türk hukukundaki mevcut durumun aksine Mayıs 2018’de yürürlüğe girecek Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (“GVKT” ya da “GDPR”) ayrıntılarıyla düzenlenmiştir.
[notification type=”alert-info” close=”false” ]Bu yazı ilk olarak Lexpera Blog’da yayınlanmıştır.[/notification]
Sözleşme ilişkilerinin isimlendirilmesi ve tanımı
Veri sorumlusu ile veri işleyen arasındaki sözleşme ilişkileri, Türk hukukunda da Avrupa Birliği hukukunda da isimlendirilmiş değildir. Sözleşme ilişkisi kapsamında veri işleyenin, hangi şartlar altında veri işleyeceğinin belirlendiği göz önüne alındığında, kanaatimizce anılan ilişkileri isimsiz bırakmak yerine, kişisel veri işleme sözleşmesi olarak anmanın doğru olacağı kanaatindeyiz. Nitekim Kişisel Verileri Koruma Kurumu’nun yayımladığı dokümanlarda da bu kullanımın benimsendiği görülmüştür:
(Veri işleyenler için) “Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir.” (Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi, Mart 2018, s. 56)
“… veri sorumlusu yapacağı kişisel veri işleme sözleşmesi ile, aşağıda örnek olarak belirtilen hususlarda karar verme yetkisini veri işleyene bırakabilir.” (Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi, Mart 2018, s. 57)
Sözleşme ilişkilerinin içerdiği hak ve yükümlülükler kapsamında kişisel veri işleme sözleşmesi; veri işleyenin, veri sorumlusunun talimatlarına, menfaatine ve iradesine uygun şekilde kişisel verileri işlemeyi taahhüt ettiği; veri sorumlusunun da bu iş görme borcu karşılığında bedel ödemeyi üstlendiği sözleşme olarak tanımlanabilir. Veri sorumlusu, kendisi adına veri işleme faaliyetinde bulunan veri işleyenlerle daha önce yaptığı sözleşmelerden bağımsız olarak “kişisel veri işleme sözleşmesi” başlığı altında yeni bir sözleşme yapabileceği gibi; daha önce mal veya hizmet alımı için akdedilmiş sözleşmelere de (ör. teknik servis sözleşmesi, kargo sözleşmesi, mal veya hizmet tedarik sözleşmeleri vb.) kişisel verilerin işleme şartlarına yönelik hükümler ekleyebilir.
İsimsiz bir sözleşme olup olmadığı ve sözleşmeye uygulanacak hukukun tespiti
Türk Hukukunda ne ismen zikredilmesi ne de taraflara ilişkin hak ve yükümlülüklerin belirlenmiş olması nedeniyle isimsiz bir sözleşme olan KVİS, bünyesinde eser ve vekalet sözleşmesine ilişkin edimleri ihtiva etmektedir. Bu niteliği itibariyle kişisel veri işleme sözleşmesi kanaatimizce karma bir sözleşmedir. Sözleşmeye ilişkin ihtilaflarda, karma sözleşmelere uygulanacak kurallar başlığında Türk hukuku açısından hâkim görüş olarak kabul edilen kıyas/yaratma teorisi uygulanmalıdır. Bu teori kapsamında eser borcu dışındaki edimler açısından vekâlet sözleşmesine ilişkin 6098 sayılı Türk Borçlar Kanunu (“TBK”) hükümlerinin uygulanması gerekir. Nitekim vekâlet sözleşmesini, bir torba işgörme sözleşmesi olarak nitelenmesine sebep olan TBK m. 502/II hükmü de bu görüşü destekler niteliktedir1.
Avrupa Birliği Hukuku açısından bakıldığında ise KVİS, isimli bir sözleşmedir. Zirâ veri sorumlusu ile veri işleyen arasındaki sözleşme ilişkileri, tarafların asli edim yükümlülükleriyle ayrıntılı bir şekilde GVKT m. 28’de düzenlenmiştir. Yazımızda da Avrupa Birliği Hukukunda düzenlenmesi nedeniyle, sözleşmede hangi hususların yer alabileceği meselesi, Türkiye’deki uyum projelerinde yer verilen hükümlerden ve GVKT m. 28’deki düzenlemelerden hareketle değerlendirilecektir.
Kişisel veri işleme sözleşmesinin dayanağı ve şekli
Türk Hukuku ve Avrupa Birliği Hukuku açısından sözleşmenin temelinde, veri işleyenlerin de veri sorumluları gibi verilerin güvenliğinin sağlanmasından sorumlu olması yatmaktadır. Nitekim İngiliz veri koruma otoritesi ICO’nun yayımladığı taslak rehberde de sözleşme ilişkilerinin temelinde veri güvenliğinin sağlanması olduğu belirtilmiştir (Bkz. s. 4). Açıkça KVK Kanunu’nda belirtilmemiş olsa da veri güvenliğinin sağlanması bakımından kanunda öngörülen müşterek sorumluluk (m. 12) nedeniyle, veri sorumlusu ile veri işleyen arasındaki ilişkilerin sözleşmeyle düzenlenmesi elzemdir. Öte yandan veri sorumlusu, veri işleyeni Kişisel Veri İşleme Sözleşmesi aracılığıyla, Kanun’un 3. maddesinin (ğ) bendine dayanarak yetkilendirmektedir. Dolayısıyla Türk hukuku açısından anılan hüküm de kişisel veri işleme sözleşmesinin dayanaklarından bir diğerini oluşturmaktadır.
GVKT’de ise veri işleyenin bulunması durumunda onunla veri sorumlusu arasında verilerin işlenmesine ilişkin bir sözleşme ya da hukuki işlemin yapılması zorunluluğu, açıkça 28. maddede düzenlenmiş, işlemin içeriğinin asgari şartları da bu hükümde belirtilmiştir. Buna göre veri sorumlusu ile veri işleyen arasındaki hukuki işlemin; işleme faaliyetinin konusunu ve süresini, kişisel verilerin işlenme amacını, kişisel verilerin türünü ve ilgili kişilerin hangi kişi grupları içinde yer aldığı ile veri sorumlusunun hak ve yükümlülüklerini ihtiva etmesi gerekir.
Örneğin bir yayımcı şirketin, yayımlarının müşterilerine gönderilmesi amacıyla bir kargo şirketiyle anlaşması durumunda, veri sorumlusu yayımcı şirketin, müşterilerine ilişkin verilerin kargo şirketi tarafından işlenmesine yönelik olarak kişisel veri işleme sözleşmesi yapması gerekir. GVKT’ye göre veri işleyenin, veri sorumlusu adına işlediği verileri alt veri işleyene işletmesi halinde de bu sözleşmenin yapılması bir zorunluluk arz eder.
Türk Hukuku bakımından isimsiz sözleşme niteliğindeki KVİS’in şekline ilişkin olarak herhangi bir şart öngörülmemiştir. Ancak uygulamada, “ekonominin yeni yakıtı” olarak görülen verinin paylaşımı ve işlenmesi hususundaki bir sözleşmenin yazılı şekil şartı olmaksızın yapılmasına rastlanmayacağı düşüncesindeyiz. Avrupa Birliği Hukuku’nda ise KVİS’in GVKT m. 28/IX’a göre maddede belirtilen asgari unsurları içerecek şekilde yazılı olarak yapılması zorunludur. Henüz GVKT döneminde hazırlanmış bir taslak olmasa dâhi, tıpkı 95/46 sayılı Direktif döneminde olduğu gibi Avrupa Birliği’nde kişisel veri işleme sözleşmesine yönelik olarak standart sözleşme şartlarının (standart contractual clause), GVKT m. 28/VI ve VIII hükümleri uyarınca hazırlanacağı kanaatindeyiz. Benzer yöntemin Kişisel Verileri Koruma Kurumu tarafından da KVK Kanunu’nun m. 9/II-b hükmünde yer alan yükümlülüğün yerine getirilmesi amacıyla izleneceğini tahmin etmek güç olmayacaktır.
Kişisel Veri İşleme Sözleşmesinin Türleri
İfade edildiği üzere kişisel veri işleme sözleşmesi, veri sorumlusu ile veri işleyen arasında akdedilen bir sözleşmedir. Ancak kanuni bazı yükümlülükler nedeniyle kimi durumlarda veri sorumlusu ile veri sorumlusu arasında da verilerin kaderini tayin etmek amacıyla sözleşmelerin yapılması gerekir. Kanun’un 9/II-b. maddesine göre; kişisel verilerin, Türkiye’den yeterli korumanın bulunmadığı ülkelere aktarımı, ancak bu konuda Türkiye’deki ve yabancı ülkelerdeki veri sorumlularının yeterli korumanın sağlanacağına ilişkin sözleşme yapması ve Kurul’un aktarıma izninin bulunmasıyla mümkündür. AB Hukukunda ise GVKT m. 46/II’ye göre kişisel verilerin veri sorumlusu ya da veri işleyen tarafından AB üye ülkeleri dışındaki ülkelere denetim makamından onay almaya gerek olmaksızın aktarılabilmesi için, alternatif yollar belirlenmiştir. Bunlardan birisi de aktaran veri sorumlusu veya veri işleyen ile alıcı veri sorumlusu ya da veri işleyenin aralarında, Komisyon tarafından onaylanmış standart veri koruma şartlarını içeren anlaşma yapmasıdır2. Kanaatimizce bu sözleşmeler de niteliği itibariyle birer kişisel veri işleme sözleşmesidir. Zira anılan ilişkilerde de kişisel verilerin güvenliğine ve işlenmesine ilişkin çeşitli şartların belirlenmesi gerekir.
Kişisel veri işleme sözleşmesinin bir diğer çeşidi de, GVKT m. 26’dan kaynaklanmaktadır. Buna göre işleme amacı ve yönteminin iki veya daha çok veri sorumlusu tarafından belirlendiği kişisel veri işleme faaliyetlerinde, özellikle ilgili kişilere karşı aydınlatma yükümlülüğünün yerine getirilmesi ve ilgili kişilerin haklarının etkin bir şekilde kullandırılması konularında, veri sorumlularının Tüzük kapsamındaki yükümlülüklerini yerine getirmek amacıyla, aralarında bir düzenleme yaparak sorumluluklarını şeffaf hâle getirmesi gerekir. Düzenlemenin niteliğinin ne olacağına ilişkin Tüzük’te herhangi bir hükme yer verilmemiş olmakla birlikte, kanaatimizce burada da genellikle sözleşme yapma yoluna gidilecektir. Veri sorumlusu ile veri sorumlusu arasında akdedilecek bu sözleşmenin de niteliği itibariyle kişisel veri işleme sözleşmesi olduğunu ifade etmek mümkündür.
KVİS’in bir diğer önemli türü de veri işleyenle alt veri işleyen arasında yapılan sözleşmedir. Alt kişisel veri işleme sözleşmesi olarak adlandırılabilecek bu sözleşmenin taraflarından biri olan veri işleyen, veri sorumlusuyla yaptığı anlaşmaya bağlı kalarak bazı kişisel verilerin işlenmesini alt veri işleyene bırakmaktadır. Bu kapsamda alt veri işleyen, veri işleyenin talimatlarına, menfaatlerine ve iradesine uygun olarak kişisel veri işlemeyi taahhüt eder.
Kişisel Veri İşleme Sözleşmesinin KVK Kanunu’na Uyum Projesindeki Rolü
Bilindiği üzere Kanun’a uyum sürecindeki en önemli aşamalardan birisi de veri sorumlusunun taraf olarak yer aldığı sözleşmelerin gözden geçirilmesidir. GVKT bakımından da benzer bir durum söz konusu olup, sözleşme yönetimi meselesi IAPP tarafından hazırlanan “GDPR’a Uyum Sürecindeki En İyi 10 Operasyonel Hamle” yazı dizisinde dokuzuncu sırada yer almıştır. Uyum sürecinin sözleşme fazında, veri sorumlusunun öncelikle tüm veri işleyenleri tespit ederek onlarla yapılan mal veya hizmet alım sözleşmelerini masaya yatırması gerekir. Mal veya hizmet alımı sözleşmesi kapsamında yoğun kişisel veri işleme faaliyetinin bulunduğu durumlarda, veri sorumlusunun mevcut mal-hizmet alım sözleşmesini bir kenara bırakarak salt kişisel verilerin işlenmesine ilişkin olarak yeni bir sözleşme akdetmesi daha sağlıklı olacaktır. Ancak mal-hizmet alım sözleşmesi kapsamında yapılan ifalarda, yoğun bir veri işleme söz konusu değilse bu durumda mevcut mal-hizmet alım sözleşmesine gizlilik ya da kişisel verilerin korunması başlıklı bir madde eklenerek kişisel verilerin veri işleyen tarafından nasıl işleneceğine ilişkin hükümler öngörülebilir. Hangi yol tercih edilirse edilsin, kararlaştırılacak yeni sözleşme hükümleriyle birlikte, veri sorumlusu ile veri işleyen arasındaki mevcut ilişki haricinde verilerin hangi şartlar altında işleneceğine yönelik olarak çerçeve bir düzenleme yapılmalıdır. Böylelikle veri sorumlusu, kendi uhdesindeki kişisel verilerin güvenliğinin ve hukuka uygun şekilde işlenmesinin sağlanmasını amaçlar.
Kişisel veri işleme sözleşmesi içerisinde hangi hükümlerin bulunması gerektiği, alınan mal ya da hizmetin niteliğine, veri sorumlusunun ve veri işleyenin içinde bulunduğu şartlara göre değişmekle birlikte, temel olarak hangi konuların düzenlenebileceğine, aşağıda kısaca yer verilmeye çalışılmıştır3.
Veri işleyenin kişisel verileri işleme şartları ve veri sorumlusunun talimatlarına uygun hareket etme yükümlülüğü (GVKT m. 28/III-a)
Kişisel Verileri Koruma Kurulu tarafından yayımlanan uygulama rehberinde de belirtildiği üzere veri sorumlusu, yapılacak kişisel veri işleme sözleşmesiyle; (i) kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı, (ii) kişisel verilerin hangi yöntemle saklanacağı, (iii) kişisel verilerin aktarımının hangi yöntemle yapılacağı, (iv) taraflar arasındaki mal veya hizmet alımına ilişkin sözleşmedeki amaca ve süreye bağlı kalacak şekilde işleneceği hususları kararlaştırılabilir.
Bireysel olarak anılan hususları kararlaştırmak yerine işleme şartlarına ilişkin genel çerçevenin KVİS içerisinde, veri sorumlusunun benimsediği kişisel veri işleme ve saklama politikasına atıf yapmak suretiyle belirlenmesi de mümkündür. Böylelikle veri sorumlusu, kendisinin belirlediği ve kurumunda uyguladığı şartların aynen veri işleyen tarafından yerine getirilmesini talep edebilecektir. Nitekim GVKT m. 28/III-a’ya göre yazılı dokümanlara dayanması kaydıyla veri işleyenin, veri sorumlusunun talimatlarına uygun bir veri işleme yapmasının zorunlu olduğu hükme bağlanmıştır. GVKT’ye göre talimata uygun hareket etme yükümlülüğünün tek istisnası, aksinin kanundan kaynaklanmasıdır.
Veri işleyenin veri güvenliğini sağlama konusunda alacağı tedbirlerin tespiti (Kanun m. 12/II, GVKT m. 28/III-c)
Veri güvenliğinin sağlanmasından müştereken sorumlu olmaları itibariyle, sözleşmede veri işleyenin hangi teknik ve idari tedbirlerin alacağı özel olarak belirtilebilir. Örneğin veri işleyenin, veri sorumlusu adına işlediği verileri yalnızca belirli veritabanı platformlarında ya da yazılımlar aracılığıyla işleyeceği, işlemenin belirli şifreleme standartlarına tâbi olacağı, belli sistem kurtarma senaryolarının oluşturulacağı kararlaştırılabilir.
Şahsen ifa yükümlülüğünün ve dolayısıyla alt işleme yetkisinin bulunup bulunmadığı (GVKT m. 28/III-d)
Veri işleyenin şahsen ifayla yükümlü olup olmadığı da KVİS bakımında kararlaştırılması gereken hususlardan birisidir. GVKT’de, alt veri işleme yapılmadan önce veri sorumlusunun yazılı rızasının alınması gerektiği hükme bağlanmıştır. Türk hukuku açısından ise alt işleme yaptırılması konusunda, böyle bir engel bulunmamaktadır. Ancak, önemle belirtilmelidir ki alt veri işleyenin bulunması, asıl veri işleyenin sorumluluğunu ortadan kaldırmaz.
Tarafların sır saklama yükümlülüğü (Kanun m. 12/IV, GVKT m. 28/III-b)
Tarafların mevzuattan kaynaklanan sır saklama yükümlülüklerini yerine getirmek amacıyla KVİS’te gizlilik hükmüne de yer vermek önem arz etmektedir. Eklenen gizlilik hükmüyle veri sorumlusu, veri işleyenden onun geçici ya da kalıcı tüm çalışanlarının kişisel verilerini gizliliğe uygun şekilde işleyeceğinin taahhüdünü almaktadır.
İlgili kişileri aydınlatma yükümlülüğünün veri işleyene devri hâlinde veri işleyenin yükümlülüklerinin tespiti (Kanun, m. 10/I)
Kanun’un 10. maddesinin birinci fıkrasına göre ilgili kişileri aydınlatma yükümlülüğünün veri sorumlularının yetkilendirdiği kişilerce de yerine getirilmesi mümkündür. Yetkilendirilen kişinin veri işleyen olması durumunda, veri sorumlusu adına yapılacak aydınlatma yükümlülüğünün veri işleyen tarafından nasıl yerine getirileceği hususu sözleşmeyle belirlenebilir. Örneğin, bir giyim firmasının sosyal medya hesaplarının yönetimini, bir tanıtım ajansına devretmesi durumunda, sosyal medyadan veri sorumlusu giyim firması adına toplanacak verilerle ilgili olarak aydınlatma yükümlülüğünün yerine getirilmesi de bir yükümlülük olarak tanıtım ajansına bırakılabilir. Bu durumda tanıtım ajansının yükümlülüğü nasıl yerine getireceği de KVİS’le tespit edilmelidir.
Veri işleyenin ilgili kişilere haklarının kullandırılmasına ilişkin olarak uygun tedbirlerin alınması konusunda veri sorumlusuna yardım etme yükümlülüğü (GVKT m. 28/III-e)
İlgili kişilerin, haklarını veri işleyen vasıtasıyla kullanmasının mümkün olduğu durumlarda, KVİS’te buna ilişkin bir hükmün öngörülmesi elzemdir. Örneğin ilgili kişinin veri sorumlusuna başvurmak amacıyla, veri işleyene başvuruda bulunması durumunda, söz konusu başvurunun ivedilikle veri sorumlusuna iletilmesi gerekecektir. Veri işleyene, veri sorumlusuna başvurmak amacıyla kendisine yapılan yazılı talepleri veri sorumlusuna iletme yükümlülüğünün öngörülmemesi, veri sorumlusunun ilgili kişilere haklarını efektif şekilde kullandıramama sonucunu doğurabilir.
Veri işleyenin veri güvenliğinin sağlanması, ihlallerin ilgili kişiye ve Kurul’a bildirilmesi konularında veri sorumlusuna yardım etme yükümlülüğü (GVKT m. 28/III-f)
Sözleşmeyle bu hususun veri işleyen açısından bir yükümlülük olarak öngörülmesi, veri sorumlusu açısından faydalı olacaktır. Böylelikle veri işleyen nezdinde meydana gelecek bir ihlâl, öncelikle veri işleyen tarafından veri sorumlusuna iletilecek; ardından veri sorumlusu tarafından ivedilikle ilgili kişilere ve Kurul’a bildirilmesi sağlanmış olacaktır. AB Hukukunda bu husus GVKT m. 28/III-f’de veri işleyene yüklenen genel bir yükümlülük olarak öngörülmüştür.
Tarafların birbirlerini bilgilendirme ve işbirliğinde bulunma yükümlülüğü (GVKT m. 28/III-h)
Veri işleyenin, veri sorumlusu adına Kanun’un genel ilkelerine uygun bir veri işleme faaliyetinde bulunabilmesi için, bazı temel konularda veri sorumlusunun veri işleyene bilgi vermesi gerekecektir. Sözleşme kapsamında işlenen verilerin işleme amacı ve vasıtaları bunlara örnek olarak gösterilebilir. Benzer şekilde taraflar arasındaki güvene dayalı kişisel veri işleme sözleşmesinin bulunması, bu sözleşme kapsamında öngörülmemiş olsa dâhi, veri işleyen veri sorumlusuna karşı hesap verme borcu altındadır. Hesap verme borcu kapsamında veri işleyen, örneğin sözleşme konusu işleme faaliyetinin yerine getirilip getirilmediği ya da işlemede hangi yöntemlerin izlendiğiyle ilgili olarak veri sorumlusuna bilgi ve hesap vermekle yükümlüdür. Hesap verme borcunun tam ve doğru bir şekilde ifa edilebilmesi, kanaatimizce veri işleyenin işleme faaliyetlerine ilişkin olarak kayıt tutmasıyla (logging) mümkündür. Bu konuda Türk hukukunda bir düzenleme olmamakla birlikte; GVKT m. 30/II’de veri işleyenlere yönelik olarak kayıt tutma yükümlülüğü öngörülmüştür.
Gerekli denetimlerin yapılmasına müsaade etme yükümlülüğü (GVKT m. 28/III-h)
Taraflar arasında yapılacak sözleşmede, işleme faaliyetlerinin denetlenmesine ilişkin hükümler öngörülebilir. Bu hükümler kapsamında veri işleyene, gerekli tüm bilgileri veri sorumlusuna ve denetçilere açma yükümlülüğü getirilebilir. Esasında bu durum Kanun’un 12. maddesinin üçüncü fıkrasında veri sorumlusuna yönelik öngörülmüş yükümlülüğün, veri işleyene bir yansımasını oluşturmaktadır.
Veri işleyenin sözleşmenin sonlanmasıyla kişisel verileri silme veya iade etme yükümlülüğü (GVKT m. 28/III-g)
6698 sayılı Kanunda kişisel verilerin iadesine ilişkin herhangi bir hüküm bulunmamaktadır. GVKT’de ise veri sorumlusuyla veri işleyen arasındaki sözleşme ilişkisinin sonlanması durumunda veri işleyene, seçim hakkı veri sorumlusuna ait olmak üzere, birlik veya üye ülke hukuku aksini gerektirmedikçe kişisel verilerin tamamını silmek ya da verileri veri sorumlusuna aktarma yükümlülüğü getirilmiştir (GVKT m. 28/III-g). Anılan yükümlülük, Türkiye’deki veri sorumluları ve veri işleyenler arasındaki ilişkiler bakımından da KVİS aracılığıyla kararlaştırılabilir.
Taraflar arasındaki sorumluluğun tespiti, sınırlandırılması ve rücu ilişkisinin düzenlenmesi
Kişisel veri işleme sözleşmesine özgü olmayan, ancak düzenlenmesi gereken hususlardan birisi de taraflar arasındaki sorumluluğun tespiti ve rücu ilişkisinin belirlenmesidir. Veri işleyenden kaynaklanan sebeplerle verilerin hukuka aykırı şekilde erişilmesi ya da işlenmesi veya muhafaza edilmemesi hallerinde muhatap olunan idari para cezaları ya da tazminat davaları kapsamında veri sorumlusunun veri işleyene karşı rücu hakkının KVİS’le öngörülmesi mümkündür.
Dipnotlar
- Sözleşmenin isimsiz niteliğine, KVİS bünyesindeki eser sözleşmesine ve vekalet sözleşmesine ilişkin edimlerin neler olduğuna ve sözleşmeye uygulanacak hukuka ilişkin ayrıntılar için bkz. Taştan, Furkan Güven; Türk Sözleşme Hukukunda Kişisel Verilerin Korunması, 2. Baskı, On İki Levha Yayınevi, İstanbul 2017, s. 120 vd. ↩
- GVKT m. 46/V’te; 95/46 sayılı Direktif’in 26/II. maddesine dayanılarak hazırlanan sözleşmelerin yeniden bir Komisyon kararı ile değiştirilene, yenilenene veya yürürlükten kaldırılana kadar yürürlükte kalacağı belirtilmiştir. ↩
- Anılacak konu başlıklarından müteşekkil örnek bir kişisel veri işleme sözleşmesi için bkz. bkz. Taştan, Furkan Güven; s. 211 vd. ↩
Ek okuma önerileri
- ICO; “GDPR guidance: Contracts and liabilities between controllers and processors“, Draft guidance, 13.09.2017, https://ico.org.uk/media/about-the-ico/consultations/2014789/draft-gdpr-contracts-guidance-v1-for-consultation-september-2017.pdf (SET: 11.04.2018).
- ICO; “Guide to the GDPR: Contracts”, https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/contracts/ (SET: 11.04.2018).
- Heimes, Rita; “Top 10 Operational Responses to the GDPR – Part 9: Vetting and contracting with processors“, 14.03.2018, https://iapp.org/news/a/top-10-operational-responses-to-the-gdpr-part-9-vetting-and-contracting-with-processors/ (SET: 11.04.2018).
- Napley, Kingsley; “An introduction to contracts between data controllers and data processors under the General Data Protection Regulation“, 15.12.2017, https://www.lexology.com/library/detail.aspx?g=17e81e8b-f70d-41ab-8c20-b67b99ca0b7c (SET: 11.04.2018).
- Taştan, Furkan Güven; Türk Sözleşme Hukukunda Kişisel Verilerin Korunması, 2. Baskı, İstanbul 2017; “§9. Kişisel Veri İşleme Sözleşmesi“, s. 117 vd.
Yazıya yapmış olduğu katkılar nedeniyle Av. Deniz Hacıosmanoğlu‘na teşekkür ediyorum.