Veri işleme faaliyetinin veri sorumlusu tarafından veri işleyen aracılığıyla gerçekleştirildiği hallerde, veri sorumlusu ile veri işleyen arasında imzalanan sözleşme, uygulamada “veri işleme sözleşmesi” olarak adlandırılmaktadır.
Kişisel Verilerin Korunması Kanunu’nda (“Kanun”), veri sorumlusu ve veri işleyen arasında bir sözleşme yapma zorunluluğu öngörülmemiştir. Bununla birlikte, veri sorumlusu ve veri işleyenin belirli hallerde müştereken sorumluluğu kabul edilmişse de, veri sorumlusu ile veri işleyen arasındaki ilişkinin ne şekilde düzenlenmesi gerektiğine ilişkin olarak da herhangi bir düzenlemeye yer verilmemiştir.
Veri İşleme Sözleşmesi Neden Gerekli?
Günümüzde veri işleme işinin genellikle “outsource” edildiği, elde edilen verilerin çok farklı şekillerde ve farklı amaçlarla işlendiği ve veri işleyenin işleme faaliyetini veri sorumlusunun talimatları çerçevesinde gerçekleştireceği de göz önünde bulundurulduğunda, taraflar arasında yazılı bir sözleşme bulunması veri işleme faaliyetinin esaslarının belirlenmesi bakımından fiili bir zorunluluk.
Kaldı ki her ne kadar Kanun’da bu yönde bir düzenleme bulunmasa da, Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (“GDPR”) veri sorumlusu ve veri işleyen arasında bir sözleşme yapılması zorunluluk olarak öngörülmüştür. Bunun yanı sıra GDPR’da veri işleme sözleşmesinde yer alması gereken zorunlu unsurlar da ayrıca belirtilmiştir.
Sonuç olarak Kanun’da doğrudan bir düzenleme söz konusu olmasa da, veri sorumlusunun adına kişisel verileri işleyecek veri işleyen ile arasında bir sözleşme akdedilmesi, özellikle veri güvenliğinin sağlanması bakımından Kanun’un 12. maddesinde öngörülen müşterek sorumluluk yönünden son derece önemlidir.
Veri İşleme Sözleşmesinde Yer Verilmesi Gereken Düzenlemeler
Öncelikle belirtmek gerekir ki, veri sorumlusu ile veri işleyen arasında akdedilecek olan sözleşme, işlenecek olan kişisel verinin mahiyetine, hangi işlemlerin ne amaçla gerçekleştirileceğine bağlı olarak farklılık arz edebilir. Bu nedenle farklı organizasyonlar içerisinde akdedilecek sözleşmenin içeriği farklılık gösterebilir.
Veri işleme sözleşmesinde asıl olarak dikkat edilmesi gereken husus, tarafların karşılıklı hak ve yükümlülüklerinin net bir şekilde belirlenmesidir. Bunun yanı sıra gerçekleştirilecek işleme faaliyetinin sınırlarının çizilmesi de oldukça önemlidir.
Akdedilecek olan sözleşmede veri işleyenin uzmanlığı da göz önünde bulundurularak güvenlik önlemlerinin belirtilmesi, özellikle yetkisiz veya hukuka aykırı işlemenin önüne geçilmesi, kazara veri kayıplarının engellenmesi için hangi tedbirlerin “uygun” olduğu belirtilmelidir.
Veri işleyenin çalışanlarına yönelik güvenlik tedbirlerinin de sözleşmede düzenlenmesi yerinde olacaktır. Veri işleyene çalışanlarının güvenilirliğine ve eğitimine ilişkin olarak yükümlülükler getirilmesi uygulamada gittikçe daha yaygın hale gelmektedir.
Veri işleme sözleşmesinde yer verilmesinde fayda olan bir diğer husus, veri işleyenin veri işleme faaliyetine ilişkin olarak sahip olduğu bilgi ve belgelerin depolanması ve gerektiğinde veri sorumlusuna iletilmesidir. Gerek veri sorumlusunun ilgili kişinin yöneltebileceği talepleri karşılayabilmesi gerekse Kişisel Verileri Koruma Kurulu tarafından yapılacak incelemeler yönünden bu husus büyük önem taşımaktadır.
Veri işleme sözleşmesi ile olası bir veri ihlali halinde tarafların ne şekilde hareket edeceğine ilişkin olarak eylem planı yapılması da, özellikle veri sorumlusunun veri ihlali halinde bildirim yükümlülüğünü yerine getirmesi bakımından kolaylık sağlayacak ve sürecin Kanun’a uygun yönetilmesi bakımından kolaylık sağlayacaktır.
Bununla birlikte veri işleme faaliyetinin son bulmasının ardından kişisel verilere ilişkin hangi işlemin yapılacağı da sözleşmede belirtilmelidir.
Daha önce de belirtildiği üzere veri işleme sözleşmesi, her bir veri sorumlusu ve veri işleyenin ayrı ayrı organizasyonel yapısı, uzmanlık alanları ve işleme faaliyetinin mahiyeti göz önünde bulundurularak detaylı şekilde düzenlenmelidir.
Bu konuyla ilgili daha fazla bilgi ve danışmanlık hizmeti almak için tarafımızla sitemizdeki iletişim sayfasından ve info@startupnedir.com adresinden iletişime geçebilirsiniz.
