VERİ İŞLEME SÖZLEŞMESİ
Günümüzde şirketler, veri güvenliği ve KVKK uyumu konularında giderek daha fazla sorumluluk üstleniyor. Bu bağlamda, “veri işleme sözleşmesi” (VİS) kavramı her işletme için kritik bir hale gelmiş durumda. Ancak uygulamada, firmaların sözleşme ekiplerinin bu sözleşmelere alelade KVKK hükümleri eklediğini veya danışman olarak bizlerden bu tür hükümleri hazırlamamızın talep edildiğini sıkça görüyoruz. Peki, veri işleme sözleşmeleri neden bu kadar önemli ve doğru şekilde nasıl hazırlanmalı? Gelin adım adım inceleyelim.
Veri İşleyenlerle Yapılması Gereken Sözleşmeler
Veri işleme sözleşmeleri, esas olarak veri sorumlusu ile veri işleyen arasındaki ilişkiyi netleştirmek için hazırlanır. Bu sözleşmelerin amacı, veri sorumlusunun ilgili kişiye karşı veri güvenliğini sağlama yükümlülüğünü yerine getirmesini temin etmektir.
Uygulamada sık rastladığımız bir durum, firmaların tazminat hükümleri ekleme isteğidir. Ancak şunu belirtmek gerekir ki, bu tür bir tazminat düzenlemesi yalnızca tarafların müşterek veri sorumlusu ya da taraflardan birinin veri işleyen olduğu durumlarda anlam kazanır. Eğer taraflar arasında böyle bir ilişki yoksa, sözleşmede yer alabilecek en doğru madde, “sözleşme konusu veri işleme amacı taşımamaktadır” şeklinde bir kayıt olacaktır.
Veri işleme sözleşmelerinin temel işlevi taraf rollerini netleştirmek ve olası veri ihlallerine karşı hukuki güvence sağlamaktır. Bu nedenle, sözleşmelerin sadece formalite açısından değil, gerçek bir güvenlik ve uyum aracı olarak hazırlanması önemlidir.
VERİ SORUMLUSU-VERİ İŞLEYEN SÖZLEŞMESİ
Türk hukuku bağlamında, Kişisel Verileri Koruma Kurumu (KVKK), bu tür sözleşmeleri özellikle iki durumda aramaktadır:
- Veri İşleme Sözleşmesi: Taraflardan biri veri sorumlusu, diğeri ise veri işleyeni ise, veri işleyenin görev ve sorumluluklarını belirlemek için.
- Veri Aktarım Taahhütnamesi: Veri alıcısı yurtdışında ve veri aktarımı Türkiye’den yapılıyorsa, aktarılan verilerin hem yurtdışında hem de Türkiye’deki asgari güvenlik standartlarına uygun şekilde işlenmesini sağlamak için.
Buradaki temel amaç, veri güvenliğinin sağlanmasıdır. Ancak elbette ki bu sözleşmeler, belirli durumlarda hukuki koruma da sağlayabilir. Sözleşmelerin hukuki etkilerini bilmek, olası riskleri minimize etmek açısından oldukça faydalıdır.
KVKK ihlalleri sonucunda karşılaşılabilecek hukuki etkiler şunlardır:
- İlgili kişinin uğradığı zararlar.
- İhlali gerçekleştiren gerçek kişiye TCK hükümlerine göre cezai yaptırımlar.
- Veri sorumlusunun veya yetkilerini aşarak veri sorumlusu gibi hareket eden kişilerin idari yaptırımları.
- Hakları ihlal edilen ilgili kişinin veri sorumlusundan özel hukuk hükümlerine dayalı olarak talepte bulunması.
Önemli bir nokta: Eğer karşı taraf sizin kayıt sisteminize erişim sağlamıyorsa veya veriyi aktif olarak kullanmıyorsa, tazmin edilebilir bir zarar söz konusu olmayacaktır. Aynı durum karşı taraf için de geçerlidir; yani iç ilişkide rücu hakkı sınırlıdır.
Veri İşleme Sözleşmesinde Yer Alması Gereken Hususlar
KVKK’nın beklentilerine göre veri işleme sözleşmesinde mutlaka şu hususlar yer almalıdır:
| Kontrol Listesi | Açıklama |
|---|---|
| Yazılı Sözleşme | Veri işleyen ile sözleşmenin mutlaka yazılı olması gerekir. |
| Veri Kategorileri | Veri sorumlusunun veri işleyene aktardığı kişisel veri türleri açıkça belirtilmelidir. |
| İşleme Amaç ve Talimat | Veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda hareket edeceği belirtilmelidir. |
| Saklama ve İmha | Sözleşmedeki saklama ve imha hükümleri veri sorumlusunun politikalarıyla uyumlu olmalıdır. |
| Sır Saklama Yükümlülüğü | Veri işleyen, işlediği verilere dair süresiz sır saklama yükümlülüğüne tabi olmalıdır. |
| Veri İhlali Bildirimi | Herhangi bir veri ihlali durumunda veri işleyen, durumu derhal veri sorumlusuna bildirmekle yükümlüdür. |
Bu kontrol listesi, sözleşmenin hem hukuki geçerliliğini hem de veri güvenliği açısından etkili olmasını sağlar.
SSS (Sıkça Sorulan Sorular)
Soru 1: Veri işleme sözleşmesi olmadan veri işlemek mümkün mü?
Cevap: Teknik olarak mümkündür; ancak KVKK bağlamında veri sorumlusu ve veri işleyen arasındaki görev ve sorumlulukları netleştirmek için sözleşme zorunludur.
Soru 2: Tazminat maddesi her sözleşmeye eklenebilir mi?
Cevap: Hayır. Tazminat maddesi, taraflar arasında veri işleyen-veri sorumlusu ilişkisi varsa anlamlıdır. Aksi halde yalnızca “veri işleme amacı taşımamaktadır” kaydı eklenebilir.
Soru 3: Yurtdışına veri aktarımında ne yapılmalıdır?
Cevap: Veri aktarımı yurtdışına yapılıyorsa, “veri aktarım taahhütnamesi” ile hem Türkiye’de hem yurtdışında asgari veri güvenlik standardının sağlanması sağlanmalıdır.
Soru 4: Veri ihlali durumunda hangi adımlar izlenmelidir?
Cevap: Öncelikle veri işleyen ihlali derhal veri sorumlusuna bildirmelidir. Veri sorumlusu ise ilgili kişi ve yetkili kurumlara gerekli bildirimleri yapmakla yükümlüdür.
Veri işleme sözleşmeleri, KVKK uyumu ve veri güvenliği için kritik öneme sahiptir. Bu sözleşmelerin doğru hazırlanması, sadece hukuki riskleri azaltmakla kalmaz, aynı zamanda taraflar arasında net bir rol ve sorumluluk dağılımı sağlar. Uygulamada sıkça görülen tazminat ve alelade KVKK hükümleri ekleme taleplerine karşı, sözleşme taraflarının rollerini ve veri işleme ilişkisinin varlığını doğru değerlendirmek gerekir.
Unutulmamalıdır ki, bu sözleşmelerin amacı her zaman veri güvenliğini sağlamak ve olası ihlallerde tarafları korumaktır. Sözleşmeleri hazırlarken yazılı, açık ve KVKK ile uyumlu hükümlerle hareket etmek, hem kurumlar hem de müşteriler açısından güvenilir bir iş ilişkisi oluşturmanın anahtarıdır.
Sosyal Medya Hesabımızı Takip Edebilirsiniz: Linkedin
