VERİ İŞLEME SÖZLEŞMESİ NEDİR, NE DEĞİLDİR?

Uygulamada firmaların sözleşme ekiplerinin sözleşmelere alelade KVKK hükümleri eklediğini görüyoruz, veya danışman olarak bizlerden bu tür hükümler hazırlamamız ve de özellikle bu hükümlerin ihlaline karşı tazminat koşullarını yazmamız talep ediliyor. Belirtmek isteriz ki bu tür bir tazminat, zarar giderim düzenlemesi eklememiz için sözleşme taraflarının müşterek veri sorumlusu veya taraflardan birinin veri işleyen olması gerekir. Eğer karşı taraf ile aranızda bu tür bir ilişki yok ise sözleşmede yapabileceğiniz yalnızca sözleşme konusunun veri işleme amacı taşımadığına dair bir kayıt yerleştirmek olabilir.

Veri işleme sözleşmelerinin/hükümlerinin akdedilme amacı, veri sorumlusunun ilgili kişiye karşı veri güvenliğini sağlama yükümlülüğünün yerine getirilmesidir. Bu sözleşmelerle taraf rolleri şekilleniyor. Türk hukuku bağlamında Kişisel Verileri Koruma Kurumu ‘nun bu sözleşmeleri aradığı iki durum var:

• Veri işleme sözleşmesi: Taraflardan biri veri sorumlusu diğeri de onun veri işleyeni ise, veri işleyenin rollerinin belirlenmesi için,

• Veri aktarım taahhütnamesi: Veri alıcısı yurtdışında ve veri aktarıcısı Türkiye’de ise aktarılan veriler üzerinde yurtdışında da Türkiye’deki asgari güvenlik standardının sağlanması için.  

Kurum açısından amaç veri güvenliğini sağlamaktan ibaret ve fakat tabi ki bu sözleşmeler/hükümler belirli durumlarda hukuki koruma sağlayabilir. Hukuki koruma sağlamadan önce karşılaşabileceğimiz hukuki etkileri bilmekte fayda var.

KVKK nedeniyle karşılaşılabilecek hukuki etkiler:

1. İlgili kişinin uğradığı zararlar,
2. İlgili kişinin zarara uğraması nedeniyle:
   • İhlali gerçekleştiren gerçek kişiye TCK hükümlerine göre cezai yaptırım
   • Veri sorumlusunun ve veri işleyen yetkilerini aşıp veri sorumlusu gibi hareket eden diğer kişiler* hakkında İdari yaptırımlar,
   • Hakları ihlal edilen ilgili kişinin özel hukuk hükümlerine dayalı olarak veri sorumlusundan talepte bulunması ve veri sorumlusunun bu talebi karşılaması,

Eğer karşı taraf sizin kayıt sisteminizi kullanmıyorsa, buraya erişim sağlamıyorsa veya buradan yüklü bir veri çekmiyorsa karşı tarafça tazmin edilebilir bir zarar söz konusu olmayacaktır. Benzer durum karşı taraf için de geçerli, yani karşı tarafın kayıt sistemi nedeniyle uygulanacak bir idari yaptırımda veya yargı kararında iç ilişkide size rücu etmesi söz konusu değil.

Veri işleyen ile veri sorumlusu arasındaki veri işleme sözleşmesinde yer alması gereken hususlara dair Kurum beklentilerini aşağıda bir kontrol listesi olarak değerli danışanlarımıza sunarız:

VERİ İŞLEME SÖZLEŞMESİ KONTROL LİSTESİ:

• Veri işleyen ile imzalanan sözleşmenin yazılı olmalıdır.
• Taraflar arasındaki sözleşmenin niteliği buna elverdiği ölçüde, veri sorumlusu tarafından veri işleyene aktarılan kişisel veri kategori ve türlerinin de ayrı bir maddede belirtilmesi gerekir.
• Veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin bir düzenlemenin sözleşmede yer alması gerekir ve sözleşmedeki saklama ve imha hükümleri veri sorumlusunun Kişisel Veri Saklama ve İmha Politikasına uygun olmalıdır.
• Veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne tabi olacağı sözleşmede yer almalıdır.
• Herhangi bir veri ihlali olması durumunda, veri işleyenin bu durumu derhal veri sorumlusuna bildirmekle yükümlü olduğu belirtilmelidir.

*veri işleyen yetkilerini aşıp veri sorumlusu gibi hareket eden diğer kişiler hakkında Kurul karar özetleri:

Örneğin: Çağrı merkezi hizmeti sunan firmanın, veri sorumlusu tarafından kendisine teslim edilen aranacaklar listesinden bağımsız olarak, firmanın şahsi ve ticari münasebetleri yoluyla temin ettiği listeleri de aradığı olayda Çağrı merkezi firma ayrıca veri sorumlusu kabul edildi ve veri sorumlusu yerine bu firmaya idari yaptırım uygulandı. https://kvkk.gov.tr/Icerik/6890/2020-172 

Örneğin: Bankanın vekili olan hukuk bürosuna borç takip sistemine erişim ve kullanma izni tanınmış olması, hukuk  bürosu çalışanı bir avukat tarafından şahsi münasebetler doğrultusunda temin edilmiş borçlu yakınına dair iletişim bilgisinin bu sisteme kaydedilmesi ve borçlu bilgilerinin avukat tarafından borçlu yakınına gönderilmesi olayında hukuk bürosu banka talimatlarını aştığı ve veri sorumlusu gibi davrandığı için ayrıca idari yaptırıma maruz kaldı. Banka kendi kayıt sistemlerindeki verileri doğrulamadığı için ayrıca idari yaptırım uygulandı. https://www.kvkk.gov.tr/Icerik/6917/2021-111