Veri Koruma Hukuku

Veri İşleme Sözleşmesi Nedir?

Yazar 13 Ocak 2023Ekim 3rd, 2023No Comments10 dakikalık okuma
Veri İşleme Sözleşmesi Nedir?

Kişisel veri işleme faaliyeti sebebiyle veri sorumlusu ve veri işleyen arasında akdedilecek veri işleme sözleşmesine 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Tanımlar başlıklı 3. maddesinde değinilmiştir.

Veri İşleme Sözleşmesi Nedir?

Veri işleme sözleşmesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Tanımlar başlıklı 3. maddesinin (1) numaralı fıkrasının (ğ) bendinde veri işleyen tanımından hareketle açıklanmaktadır. İlgili tanım uyarınca veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak kişisel veri işleyen gerçek veya tüzel kişidir. Bu tanımdan hareketle görülmektedir ki kişisel veri işleme faaliyetlerinin veri işleyen tarafından gerçekleştirilmesi sırasında veri sorumlusunun yetkilendirmesi yoluyla kişisel veri işlenecektir.

Veri sorumlusu kişisel veri işleme faaliyetini gerçekleştirirken veri işleyen olarak sahibi olduğu organizasyon içinden birini temsil yoluyla yetkilendirebilecek veyahut ilgili organizasyon dışından üçüncü bir gerçek veya tüzel kişiden kişisel verilerin işlenmesi hizmetini alabilecektir.

Türkiye’de uygulama alanı bulan 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndan farklı olarak Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GDPR) 28. maddesinde kişisel veri işleme faaliyetinin gerçekleştirilmesi sırasında veri sorumlusuyla veri işleyen arasında bir sözleşme ilişkisi kurulması ya da bir hukuki işlem yapılması gerektiğine açıkça değinilmiştir. Tüzük içerisinde yer alan ilgili hüküm uyarınca kurulacak hukuki ilişki ile veri işleyen, veri sorumlusunun emir ve talimatlarına uyarak kişisel veri işleme faaliyetini gerçekleştirecektir.

Veri İşleme Sözleşmesi Tarafları

Veri işleme sözleşmesi tarafları veri sorumlusu ve veri işleyendir.

Veri sorumlusu, veri işleyen gibi 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Tanımlar başlıklı 3. maddesinde tanımlanmıştır. İlgili tanım uyarınca kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi veri sorumlusu sayılacaktır.

Veri sorumlusu, veri işleyen ile kuracağı veri işleme sözleşmesinde, kişisel verileri işleme amacını ve yöntemini belirleyen kişi olacak; kişisel veri işleme faaliyetinin neden, nasıl işleneceği ve sürecin nasıl yürütüleceği konusunda karar verecektir.

Veri işleme sözleşmesinin diğer bir tarafı olan veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Veri işleyen veri işleme sözleşmesi ve kişisel verilerin korunması mevzuatı uyarınca yalnızca veri sorumlusu adına ve onun talimatları çerçevesinde hareket edecektir. Bu kişi yukarıda belirtildiği üzere veri sorumlusu organizasyonu altında istihdam edilen bir çalışan olabileceği gibi dışarıdan bir hizmet sözleşmesiyle yetkilendirilen gerçek veya tüzel kişi de olabilecektir. Örneğin; veri sorumlusunun kendi tüzel kişiliği altında istihdam edilen çalışanlara yönelik insan kaynakları birimi için dışarıdan hizmet alması halinde dışarıdan hizmet alacağı gerçek veya tüzel kişi, çalışanların kişisel verilerini işlemesi açısından veri işleyen sayılacaktır.

Veri İşleme Sözleşmesinin Şekli ve Unsurları

Veri sorumlusu ve veri işleyen tarafından kurulacak veri işleme sözleşmesi için herhangi bir şekil şartı öngörülmemiş olup şekil serbestisi dikkate alınarak bu sözleşme yazılı bir biçimde akdedilebilecektir. Yazılı şekil şartı her iki tarafa ispat kolaylığı sağlaması açısından tercih edilebilecektir.

Veri işleme sözleşmesinin şeklinin yanı sıra bu sözleşmede yer alması gereken ilk unsur kişisel verilerin işlenmesidir. Kişisel veri işleme faaliyeti, veri işleme sözleşmesinin asli edimi olacaktır. İlgili unsur kapsamında veri işleyen, kişisel veri işleme edimini veri sorumlusunun menfaati ve talimatlarına uygun olarak gerçekleştirecektir.

Veri işleme sözleşmesinde yer alması gereken diğer bir unsur ise ücret ve ödeme şeklidir. Veri işleme sözleşmesi ile veri işleyen, veri sorumlusuna hukuka uygun bir biçimde kişisel veri işleme faaliyeti gerçekleştirerek hizmet sunmaktadır. Bu hizmeti sonucunda veri işleyen ücrete hak kazanacaktır.

Yukarıda belirtilen unsurlara ek olarak tarafların veri işleme sözleşmesinden kaynaklı yükümlülüklerini de yerine getirmesi gerekmektedir.

Veri işleyen, veri işleme sözleşmesi kapsamında kişisel veri işleme yükümlülüğünü yerine getirecektir. Kişisel veri işleme yükümlülüğü kapsamına kişisel verilerin işlenmesi, bu verilerin elde edilmesi, saklanması ve imhasının gerçekleştirilmesi gibi tüm faaliyetler girmektedir. Ayrıca kişisel veri işleme faaliyetinin kapsamının ne olacağı veri işleme sözleşmesinde ayrıntılı bir biçimde açıklanmalıdır. Veri işleyen bu yükümlülüğü yerine getirirken veri sorumlusunun talimatlarına ve sır saklama yükümlülüğüne de uygun davranmalıdır. Veri işleyen, kişisel veri işleme faaliyeti nezdinde gerçekleştireceği yükümlülüklerini veri sorumlusunun açık veya örtülü rızası olması kaydıyla alt veri işleyene devredebilecektir. Ancak burada bir alt veri işleme sözleşmesinin akdedilmesi gerekmektedir. Bu sözleşme de bir kişisel veri işleme sözleşmesi sayılacaktır.

Veri işleyen diğer bir yükümlülük olarak veri işleme sözleşmesi kapsamında özen yükümlülüğüne uygun davranmalıdır. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Veri Güvenliğine İlişkin Tedbirler başlıklı 12. maddesi uyarınca veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bu kapsamda veri sorumlusu veri güvenliğinin sağlanmasına yönelik yükümlülüklerini veri işleme sözleşmesiyle veri işleyene devredebilecektir. Yine 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesinin (2) numaralı fıkrası uyarınca veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, teknik ve idari tedbirlere ilişkin yükümlülüklerin sağlanması hakkında veri işleyen ve diğer kişilerle müştereken sorumlu olacaktır. 

Veri işleyen yukarıda sayılan yükümlülüklere ek olarak veri sorumlusunun talimatlarına uygun davranmalı ve veri işleme sözleşmesi kapsamında doğacak olan sadakat yükümlülüğünü eksiksiz yerine getirmelidir.

Veri sorumlusu veri işleyenle anlaşması halinde, veri işleyenden kendisi adına aydınlatma yükümlülüğünün yerine getirilmesini de talep edebilecektir. Taraflar veri işleme sözleşmesine aydınlatma yükümlülüğünün devrine ilişkin madde eklenebilecektir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 10. maddesi uyarınca veri sorumlusu veya varsa temsilcisi; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplama yöntemi, hukuki sebebi ve kanunda sayılan diğer hakları konusunda ilgili kişilere bilgi vermekle yükümlü sayılacaktır. 

Veri işleyen son olarak veri sorumlusuna hesap verme ve gerektiğinde kişisel verileri iade etme yükümlülüğü altındadır. Veri işleyen, hesap verme kapsamında sözleşme konusu edimin yerine getirilip getirilmediği, kişisel veri işleme faaliyetinin gerçekleştirilmesi sırasında hangi yöntemlerin kullanıldığı konusunda bilgi vermelidir. Veri işleyen ayrıca veri işleme sözleşmesinin sona ermesiyle işlediği kişisel verileri ve bu kapsamda gönderilen diğer bilgi ve belgeleri veri sorumlusuna devretmeli ya da veri sorumlusunun talebi üzerine imha etmelidir.

Veri işleyenin veri işleme sözleşmesinden doğacak yükümlülüklerinin yanı sıra veri sorumlusunun da bu sözleşmeden doğacak yükümlülükleri bulunmaktadır. Bu yükümlülükler sırasıyla yukarıda da belirtildiği üzere veri işleyene gerçekleştirdiği kişisel veri işleme faaliyeti sebebiyle ücretin ve bu kişisel veri işleme faaliyetleri dolayısıyla yapılan giderlerin ödenmesidir. Veri sorumlusu ayrıca veri işleyenin gerçekleştirdiği kişisel veri işleme faaliyeti sebebiyle uğradığı zararları giderme yükümlülüğüdür.

Veri sorumlusu, veri işleme sözleşmesi ve bu sözleşme kapsamında gerçekleştirilecek veri işleme faaliyeti sebebiyle bir zarara uğraması halinde veri işleyen de kusuru oranında bu zararın giderilmesinden sorumlu olacaktır. Veri sorumlusu veri işleyene bu zararlar sebebiyle rücu edebilecektir.

Yukarıda hukuki açıdan önem ihtiva eden Veri İşleme Sözleşmesi konusu genel bir çerçeveyle açıklanmıştır. Veri İşleme Sözleşmesi konusu oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk büromuzla iletişime geçebilirsiniz.

AEY Legal

AEY Legal

AEY Legal, faaliyet göstermekte olduğu Fikri Mülkiyet Hukuku, E-Ticaret ve Bilişim Hukuku, Veri Koruma ve Siber Güvenlik Hukuku, Ticaret ve Şirketler Hukuku, Sözleşmeler Hukuku, Freelancer Hukuku, Tüketici Hukuku, Start-up Hukuku, Reklam ve Medya Hukuku başta olmak üzere birçok hukuk dalında ulusal ve uluslararası düzeydeki uyuşmazlık ve ihtilaflarla ilgili olarak Hukuki Danışmanlık, Uyum Yönetimi & Regülasyon, Dava Takibi & Uyuşmazlık Çözümü hizmetlerini müvekkillerine sunmaktadır.

İlgili Yazılar

Deepfake'in Hukuki Değerlendirmesi Bilişim HukukuHukuki YazılarVeri Koruma Hukuku Deepfake’in Hukuki Değerlendirmesi
23 Ekim 2023

Deepfake’in Hukuki Değerlendirmesi

AEY Legal
Çocukların Dijital Mahremiyeti Bilişim HukukuKişiler HukukuVeri Koruma Hukuku Çocukların Dijital Mahremiyeti
28 Eylül 2023

Çocukların Dijital Mahremiyeti

AEY Legal
Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma Bilişim HukukuCeza HukukuVeri Koruma Hukuku Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma
12 Haziran 2023

Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma

AEY Legal
Scan the code