Anasayfa/ Makale/ Kişisel Veri İşleme Sözleşmesinin Kurulması ve Hukuki Niteliği

Kişisel Veri İşleme Sözleşmesinin Kurulması ve Hukuki Niteliği

Bu makalede, kişisel veri işleme sözleşmesinin Türk hukuku bağlamında nasıl kurulduğu ve hukuki niteliği analiz edilmektedir. İsimsiz ve karma yapılı bu sözleşmenin vekalet ve eser sözleşmeleriyle yapısal bağlantıları, şekil şartları ve kıyasen uygulama prensibi bir KVKK avukatı perspektifiyle incelenmiştir.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK

Dijitalleşen dünya ve gelişen teknolojik iş modelleri, veri sorumluları ile veri işleyenler arasındaki hukuki ilişkilerin sağlam temellere oturtulmasını zorunlu kılmaktadır. Kişisel veri işleme sözleşmesi, taraflardan birinin diğerinin talimatlarına ve menfaatlerine uygun şekilde kişisel veri işlemeyi taahhüt ettiği, uygulamada genellikle bir ücret karşılığında kurulan kritik bir hukuki metindir. Türk hukukunda açıkça kanunda düzenlenmemiş olan bu sözleşmeler, uygulamadaki ihtiyaçlar doğrultusunda şekillenmiş ve giderek standartlaşmıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında doğrudan bir sözleşme tipi olarak tanımlanmasa da, kanunun veri işleyen tanımı ve ilgili ikincil düzenlemeler ile Kurul kararları, taraflar arasındaki bu ilişkinin bir sözleşme veya hukuki işlem ile kurulmasını işaret etmektedir. Bu yazımızda, uygulamada karşılaştığımız bu spesifik sözleşmelerin nasıl geçerli bir şekilde kurulduğunu ve borçlar hukuku ekseninde sahip olduğu hukuki niteliği, veri koruma mevzuatı ile entegre bir perspektifle ele alacağız.

Kişisel Veri İşleme Sözleşmesinin Kurulması ve Şekil Şartları

Türk borçlar hukuku prensipleri uyarınca, kişisel veri işleme sözleşmesi tarafların karşılıklı ve birbirine uygun irade beyanlarının uyuşması ile kurulur. Genel kural olarak sözleşmenin geçerliliği herhangi bir şekil şartına tabi kılınmamıştır. Taraflar, sözleşme özgürlüğü çerçevesinde bu sözleşmeyi tamamen ayrı ve bağımsız bir doküman olarak akdedebilecekleri gibi, aralarındaki mevcut bir hizmet sözleşmesinin veya ticari sözleşmenin ilgili hükümleri içerisine derç ederek de kurabilirler. Avrupa Birliği'nin Genel Veri Koruma Tüzüğü elektronik yöntemler de dahil olmak üzere bu sözleşmelerin kesinlikle yazılı şekilde yapılmasını emrederken, Türk hukukunda henüz böyle genel bir zorunluluk bulunmamaktadır. Ancak ispat kolaylığı, hukuki güvenliğin sağlanması ve hesap verebilirlik ilkesi gereğince uygulamada yazılı şekil temel bir standart haline gelmiştir.

Şekil serbestisi genel kural olmakla birlikte, kanun koyucu belirli hassas hukuki senaryolar için özel şekil şartları öngörebilmektedir. Yakın zamanda Kişisel Verilerin Korunması Kanunu'nda yapılan değişikliklerle birlikte, kişisel verilerin yurt dışına aktarılması sürecinde veri aktarımına ilişkin hususların standart sözleşmeler aracılığıyla gerçekleştirilmesi durumunda yazılı şekil şartı getirilmiştir. Bu gibi istisnai hallerde taraflar, Kişisel Verileri Koruma Kurulu tarafından belirlenen içeriği barındıran ve yazılı şekil şartına bağlanan zorunlu metinleri kullanmak durumundadır. Aksi halde sözleşmenin yasal geçerliliği ve mevzuata uyumu zedelenecektir. Bu nedenle sözleşme kurgulanırken, işleme ve aktarım faaliyetinin özel bir şekil şartını tetikleyip tetiklemediği titizlikle değerlendirilmelidir.

Sözleşmenin Borçlar Hukuku Kapsamındaki Hukuki Niteliği

Hüküm ve sonuçları herhangi bir kanunda özel olarak düzenlenmeyen kişisel veri işleme sözleşmesi, borçlar hukuku terminolojisinde tipikleşmiş bir isimsiz sözleşme niteliği taşır. Sözleşmenin içerdiği karakteristik asli edim, bir yapma edimi niteliğinde olan kişisel verilerin işlenmesi işinin hukuka uygun olarak yerine getirilmesidir. Uygulamada çoğunlukla veri işleyenin işleme borcuna karşılık veri sorumlusunun ücret ödeme borcu altına girdiği görülmektedir. Bu haliyle sözleşme, tam iki tarafa borç yükleyen ve iş görme borcu doğuran rızai bir yapıya bürünmektedir. İçerdiği karmaşık unsurlar ve kanunda düzenlenen birden fazla sözleşme tipine ait edimleri özgün bir şekilde bir araya getirmesi sebebiyle bu sözleşmeler, hukuki açıdan bileşik tipli karma sözleşme olarak sınıflandırılmaktadır.

Vekalet ve Eser Sözleşmeleri ile Olan İlişkisi

Karma yapısı gereği bu sözleşmeye uygulanacak hukuk kurallarının tespitinde kıyasen uygulama görüşü benimsenmektedir. Buna göre sözleşmenin ilgili edimlerine niteliklerine uygun düştüğü ölçüde farklı kanuni hükümler kıyasen uygulanır. Sözleşme metninde yer alan edimlerin hukuki karakteristiğine göre uygulanan rejimler şunlardır:

  • Vekalet Sözleşmesi Unsurları: Bağımsız iş gören statüsü, kuvvetli güven ilişkisi ve veri sorumlusunun hukuki talimatlarına sıkı sıkıya bağlılık.
  • Eser Sözleşmesi Unsurları: Verilerin yedeklenmesi veya anonimleştirilmesi gibi önceden taahhüdü mümkün teknik süreçlerde objektif bir neticenin garanti edilmesi (sonuç borcu).
  • KVKK Unsurları: Veri güvenliğinin sağlanması, veri işleme ilkelerine uyum gibi borçlar hukuku dışında kalan veri koruma hukuku kuralları.

Bu karmaşık yapı içinde, doğrudan kanuni norm bulunmayan durumlarda hakim hukukun genel ilkelerine ve veri koruma felsefesine başvurarak, ilgili kişilerin hakları ile tarafların ticari menfaatleri arasında adil bir hukuki denge kurmakla yükümlüdür.

İş Görme Ediminin İfasına Göre Nitelendirme

Veri işleyenin üstlendiği yapma ediminin hukuki durumu, işleme faaliyetinin zaman içindeki yayılımına göre de farklılık göstermektedir. Taraflarca kararlaştırılan veri işleme ediminin ifası; ani, dönemli veya sürekli edim niteliğinde olabilir. Edimin niteliği belirlenirken borçlunun kendi içindeki operasyonel faaliyetleri değil, alacaklının yani veri sorumlusunun edime dair menfaatinin zamana yayılıp yayılmadığı dikkate alınır. Örneğin, bir veri tabanının yalnızca bir defaya mahsus olmak üzere farklı bir platforma taşınması veya anonimleştirilmesi ani edimli bir borç doğururken; bir bulut sisteminde kişisel verilerin aylar boyunca sürekli olarak barındırılması ve izlenmesi sürekli edimli borç olarak nitelendirilir. Sözleşmenin tasarlanması esnasında edimin zamansal niteliğinin doğru tespiti, özellikle borca aykırılık hallerinde uygulanacak hukuki yaptırımların belirlenmesi açısından son derece hayatidir.

Veri işleyen firmayla sözleşmeyi illa yazılı mı yapmamız gerekiyor? expand_more
Türk Borçlar Hukuku uyarınca bu sözleşmelerin geçerliliği için genel bir kural olarak herhangi bir şekil şartı öngörülmemiştir. Taraflar sözleşme özgürlüğü kapsamında bunu ayrı bir metin veya var olan ticari bir sözleşmenin içine madde olarak ekleyerek kurabilirler. Ancak ispat kolaylığı, hukuki güvenliğin sağlanması ve hesap verebilirlik ilkesi gereğince uygulamada yazılı şekil temel bir standart haline gelmiştir. Avrupa Birliği standartları kesin yazılı şekil emretse de, ülkemizde şimdilik genel bir zorunluluk bulunmamaktadır.
Yabancı bir şirketle çalışıp verileri yurt dışına yollarsak ne yapmalıyız? expand_more
Kişisel Verilerin Korunması Kanunu'nda yapılan son değişikliklerle, yurt dışına veri aktarımı süreçlerinde bazı özel şekil şartları getirilmiştir. Bu aktarımın standart sözleşmeler aracılığıyla gerçekleştirilmesi durumunda yazılı şekil şartına uyulması yasal bir zorunluluktur. Tarafların, Kişisel Verileri Koruma Kurulu tarafından içeriği belirlenen zorunlu metinleri kullanması gerekmektedir. Aksi takdirde yaptığınız sözleşmenin yasal geçerliliği zedelenir ve mevzuata uyumsuzluk sebebiyle hukuki riskler doğar.
Bilişim firması verilerimi yedeklerken hata yaparsa yasal durum nedir? expand_more
Kişisel veri işleme sözleşmeleri kanunda doğrudan düzenlenmemiş olup, borçlar hukuku kapsamında isimsiz ve karma yapılı sözleşmeler olarak kabul edilir. Verilerin yedeklenmesi veya anonimleştirilmesi gibi önceden belli bir sonucun garanti edildiği durumlarda eser sözleşmesi unsurları devreye girer ve firma bu sonucu objektif olarak sağlamak zorundadır. Doğrudan kanuni bir normun bulunmadığı hallerde, ilgili kişilerin hakları ile ticari menfaatleriniz arasında adil bir denge kurulması hakimin gözetimindedir. Ayrıca sürecin veri koruma hukuku boyutu da bulunduğundan, firmanın hukuki talimatlarınıza sıkı sıkıya bağlı kalması ve veri güvenliğini sağlaması esastır.
Müşteri verilerimizi aylarca bulutta tutan firmayla sorun yaşarsak ne olur? expand_more
Hukuken, kişisel verilerin bir bulut sisteminde aylar boyunca sürekli barındırılması ve izlenmesi işlemi sürekli edimli bir borç niteliği taşır. Taraflar arasında yaşanacak bir uyuşmazlıkta, alacaklı olarak sizin edime dair menfaatinizin zamana yayılıp yayılmamasına bakılarak bir değerlendirme yapılır. Borca aykırılık hallerinde uygulanacak yasal yaptırımlar, edimin ani mi yoksa sürekli mi olduğuna göre tamamen farklılık göstermektedir. Bu nedenle sözleşmeniz baştan tasarlanırken hizmetin bu zamansal niteliğinin doğru tespit edilmesi, hakkınızı arayabilmeniz açısından son derece hayatidir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir