Kişisel Verilerin Korunması Kanunu’nda (KVKK) sözleşmeler, en önemli adımlardan biridir. Bu sözleşmeler arasında en önemlisi veri sorumlusu ile veri işleyen arasındaki sözleşme ve ilişkileridir. Bir yandan da veri sorumlularının KVKK’ya uyum sürecinde yerine getirmesi gereken sözleşme yönetimi içinde bulunmaktadır. Yirminci yüzyılla birlikte doğan mahremiyet kavramı modern sözleşme tipini doğurdu. Bu yeni nesil sözleşme tipinde kişisel veri işleme sözleşmesi yani KVİS hayatımıza girdi. Bu ilişkiler Türk hukukundaki mevcut durumun aksine Mayıs 2018’de yürürlüğe girecek Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (“GVKT” ya da “GDPR”) ayrıntılarıyla düzenlenmiştir.
Sözleşme ilişkilerinin isimlendirilmesi ve tanımı
Veri sorumlusu ile veri işleyen arasındaki sözleşme ilişkileri, Türk hukukunda da Avrupa Birliği hukukunda da isimlendirilmemiştir. Sözleşme ilişkisi kapsamında veri işleyenin, KVİS olarak isimlendirmenin uygun olduğu düşünülmektedir. Bunun nedeni veri sorumlusunun veri işlerken ki şartlardır. Kişisel Verileri Koruma Kurumu’nun yayımladığı dokümanlarda da bu kullanımın benimsendiği görülmüştür. Bu dokümanlar;
(Veri işleyenler için) “Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir.”
Kişisel Verileri Koruma Kanununa İlişkin Uygulama Rehberi, Mart 2018, s. 56-57
“… veri sorumlusu yapacağı kişisel veri işleme sözleşmesi ile, aşağıda örnek olarak belirtilen hususlarda karar verme yetkisini veri işleyene bırakabilir.”
Sözleşme ilişkilerinin içerdiği hak ve yükümlülükler kapsamında kişisel veri işleme sözleşmesi; veri işleyenin, veri sorumlusunun talimatlarına, menfaatine ve iradesine uygun şekilde kişisel verileri işlemeyi taahhüt ettiğidir. Ek olarak veri sorumlusu bu iş görme borcu karşılığında bedel ödemeyi üstlendiği sözleşme olarak tanımlanabilir. Veri sorumlusu, kendisi adına veri işleme faaliyetinde bulunan veri işleyenlerle daha önce yaptığı sözleşmelerden bağımsız olarak “kişisel veri işleme sözleşmesi” başlığı altında yeni bir sözleşme yapabilir. Aynı zamanda daha önce mal veya hizmet alımı için akdedilmiş sözleşmelere de (ör. teknik servis sözleşmesi, kargo sözleşmesi, mal veya hizmet tedarik sözleşmeleri vb.) kişisel verilerin işleme şartlarına yönelik hükümler ekleyebilir.
Kişisel Veri Sözleşmesinin Dayanağı ve Şekli
Türk ve Avrupa Birliği Hukuku açısından sözleşmenin temelinde veri güvenliği vardır. Bunun için veri işleyenlerin de veri sorumluları gibi verilerin güvenliğinin sağlanmasından sorumlu olması gerekir. İngiliz veri koruma otoritesi ICO’nun yayımladığı taslak rehberde de veri güvenliğinden söz edilmiştir. Bu taslakta sözleşme ilişkilerinin temelinde veri güvenliğinin sağlanması olduğu belirtilmiştir. Açıkça KVKK’da belirtilmemiş olsa da veri güvenliği sözleşmelerle düzenlenmesi önemlidir. Özellikle veri sorumlusu ile veri işleyen arasındaki ilişkilerin sözleşmeleri kanuna uygun olarak düzenlenmelidir. Öte yandan veri sorumlusu, veri işleyeni KVİS aracılığıyla, Kanun’un 3. maddesinin (ğ) bendine dayanarak yetkilendirmektedir. Dolayısıyla Türk hukuku açısından anılan hüküm de kişisel veri işleme sözleşmesinin dayanaklarından bir diğerini oluşturmaktadır.
GVKT’de ise veri işleyenin bulunması durumunda onunla veri sorumlusu arasında verilerin işlenmesine ilişkin bir sözleşme ya da hukuki işlemin yapılması zorunluluğu, açıkça 28. maddede düzenlenmiştir. İşlemin içeriğinin asgari şartları da bu hükümde belirtilmiştir. Buna göre veri sorumlusu ile veri işleyen arasındaki hukuki işlemin; işleme faaliyetinin konusunu ve süresini, kişisel verilerin işlenme amacını, kişisel verilerin türünü ve ilgili kişilerin hangi kişi grupları içinde yer aldığı ile veri sorumlusunun hak ve yükümlülüklerini kapsaması gerekir.
Kişisel Veri İşleme Sözleşmesi ilişkilerinin içerdiği hak ve yükümlülükler kapsamında kişisel veri işleme sözleşmesi; veri işleyenin, veri sorumlusunun talimatlarına, menfaatine ve iradesine uygun şekilde kişisel verileri işlemeyi taahhüt ettiği; veri sorumlusunun da bu iş görme borcu karşılığında bedel ödemeyi üstlendiği sözleşme olarak tanımlanabilir.
KVKK Uyum Danışmanlığı teklifi veya Denetim teklifi için buraya tıklayınız
Kişisel Verileri Koruma Kurumu
İçerik Üretici
Zeynep BAKIRTEMİZLER
Nesil Bilişim Teknolojileri Tic. A.Ş.