Kişisel veri işleme sözleşmesi; veri işleyenin, veri sorumlusunun talimatlarına, menfaatine ve iradesine uygun şekilde kişisel verileri işlemeyi taahhüt ettiği; veri sorumlusunun da bu iş görme borcu karşılığında bedel ödemeyi üstlendiği sözleşme olarak tanımlanabilir.
Kişisel veri işleme sözleşmesi; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda ve 2016/679 sayılı AB Genel Veri Koruma Tüzük’ünde öngörülmüş, isimli bir sözleşme ilişkisi değildir. Bununla birlikte her iki düzenlemede de veri sorumlusu ile veri işleyen arası ilişkileri düzenleyen hükümlerinden böyle bir sözleşme ilişkisine ihtiyaç olduğu açıktır. Buradan hareketle kişisel verilerin işlenmesine konu edinen bir sözleşmenin ismi, kişisel veri işleme sözleşmesi olarak isimlendirilebilir.
KVKK’deki Yeri
6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan şu hükümlerin, kişisel veri işleme sözleşmesiyle bağlantısı kurulabilir:
m. 12/2: Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. (Birinci fıkrada, veri sorumlusunun uygun güvenlik düzeyini sağlamaya yönelik gerekli her türlü teknik ve idari tedbiri alma zorunluluğu hükme bağlanmıştır.)
m. 12/4: Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
m. 10: Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere, a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.
AB Genel Veri Koruma Tüzüğündeki Yeri
AB Genel Veri Koruma Tüzüğü’nün 28. maddesinde veri sorumluları ile veri işleyenler arasındaki ilişkilerde yer alması gereken hususlar bulunmaktadır. Buna göre veri işlemenin konusu, süresi ve amacı; işlenen kişisel veri kategori ve türleri ile veri sorumlusunun hak ve yükümlülükleri, bir hukuki işlem veya sözleşmeyle düzenlenir.
Ayrıca bu hukuki işlem veya sözleşmeyle özellikle aşağıdaki hususlar düzenlenmek zorundadır:
(a) Veri sorumlusunun talimatına uygun hareket etme: Üçüncü bir ülkeye veya uluslararası bir kuruluşa kişisel veri aktarımlarıyla ilgili olanlar da dahil olmak üzere, Birlik veya veri işleyenin tabi olduğu Üye Ülke hukukundan kaynaklanan bir gereklilik bulunmadıkça veri işleyen yalnızca veri sorumlusunun belgelendirilmiş talimatları doğrultusunda kişisel verileri işler.
Birlik veya Üye Ülke hukukundan kaynaklı bir gereklilik kapsamında kişisel verilerin işlenmesi durumunda, bilgilendirme, önemli kamu yararı gerekçesiyle yasaklanmadıkça veri işleyen, veri sorumlusunu söz konusu işleme faaliyeti hakkında bilgilendirir.
(b) Veri işleyen kişilerin sır saklama yükümlülüğü: Veri işleyen, kişisel verileri işleme yetkisi bulunan kişilerin gizlilik taahhüdünde bulunmasını veya uygun bir kanuni sır saklama yükümlülüğü altında bulunmasını sağlar.
(c) Veri güvenliğinin sağlanması: Veri işleyen, 32. madde uyarınca gerekli tüm tedbirlerin alır. (GVKT 32. madde, veri güvenliğine ilişkin tedbirleri düzenler.)
(d) Alt veri işleyenin görevlendirilmesi: Veri işleyen, başka bir (alt) veri işleyenle çalışmak istiyorsa bu maddenin 2. ve 4. fıkralarında yer alan şartlara riayet eder. (GVKT m. 28/2’de veri işleyenin, alt veri işleyen görevlendirmek için veri sorumlusundan yazılı rıza alması gerektiği düzenlenmektedir. GVKT m. 28/4’te ise veri işleyenin veri sorumlusuyla yaptığı sözleşme hükümlerinin alt veri işleyenler bakımından da uygulanacağı hükme bağlanmıştır.)
(e) İlgili kişilerin haklarının kullandırılması konusunda veri sorumlusuna yardım etme yükümlülüğü: Veri işleyen, işleme faaliyetinin mahiyetini de dikkate alarak veri sorumlusuna, ilgili kişinin haklarının kullandırılması konusunda uygun teknik ve idari tedbirler vasıtasıyla mümkün olduğu ölçüde destek olur.
(f) İhlal bildirim yükümlülüğüyle ilgili veri sorumlusuna yardım etme yükümlülüğü: Veri işleyen, işleme faaliyetinin mahiyetini ve kendisine sağlanan bilgileri dikkate alarak veri sorumlusunun 32 ila 36. maddeleri arasındaki yükümlülüklere uygun hareket etmesini sağlamak için ona destek olur.
(g) Kişisel verileri silme veya iade etme yükümlülüğü: Veri işleyen, veri sorumlusunun takdirinde olmak üzere veri işleme faaliyetiyle ilgili ilgili hizmet sunumunun sonlanmasının ardından tüm kişisel verileri siler veya veri sorumlusuna iade eder. Ayrıca veri işleyen, Birlik veya Üye Ülke hukuku kapsamında kişisel verilerin saklanması gerekli olmadığı sürece mevcut kopyaları siler.
(h) Bilgi sağlama ve denetime izin verme yükümlülüğü: Veri işleyen, bu maddedeki yükümlülüklerin yerine getirilmesi için gereken tüm bilgileri veri sorumlusuna sağlar. Ayrıca denetim dahil olmak üzere veri sorumlusu ya da onun görevlendireceği başka bir denetçinin incelemelerine izin verir ve katkıda bulunur. Bu bentle ilişkili olarak veri işleyen, kendi anlayışına göre kendisine ulaşan bir talimatın GVKT’yi veya diğer Birlik ya da Üye Ülke veri koruma hükümlerini ihlâl etmesi durumunda derhal veri sorumlusunu bilgilendirmekle yükümlüdür.
İlgili kaynaklar
- Furkan Güven Taştan (2017) Türk Sözleşme Hukukunda Kişisel Verilerin Korunması, 2. Baskı | §9. Kişisel Veri İşleme Sözleşmesi, s. 117 vd. | Açık erişim PDF
- Furkan Güven Taştan (2018) Bir Modern Sözleşme Tipi Olarak Kişisel Veri İşleme Sözleşmesi ve Kanun’a Uyum Sürecindeki Rolü, Lexpera Blog, 11 Nisan 2018 | Blog yazısı
- Gamze Turan Başara (2020) Kişisel Veri İşleme Sözleşmesi, Uyuşmazlık Mahkemesi Dergisi, Sayı: 16, s. 57-90 | PDF
- Miray Özer Deniz (2023) Kişisel Verilerin İşlenmesi Sözleşmesinin Türleri ve Hukuki Nitelikleri, NEÜHFD, Cilt: 6, Sayı: 1, s. 97 – 114 | PDF