Makale
Bu makalede, kişisel veri işleme sözleşmesinin Türk hukuku bağlamında nasıl kurulduğu ve hukuki niteliği analiz edilmektedir. İsimsiz ve karma yapılı bu sözleşmenin vekalet ve eser sözleşmeleriyle yapısal bağlantıları, şekil şartları ve kıyasen uygulama prensibi bir KVKK avukatı perspektifiyle incelenmiştir.
Kişisel Veri İşleme Sözleşmesinin Kurulması ve Hukuki Niteliği
Dijitalleşen dünya ve gelişen teknolojik iş modelleri, veri sorumluları ile veri işleyenler arasındaki hukuki ilişkilerin sağlam temellere oturtulmasını zorunlu kılmaktadır. Kişisel veri işleme sözleşmesi, taraflardan birinin diğerinin talimatlarına ve menfaatlerine uygun şekilde kişisel veri işlemeyi taahhüt ettiği, uygulamada genellikle bir ücret karşılığında kurulan kritik bir hukuki metindir. Türk hukukunda açıkça kanunda düzenlenmemiş olan bu sözleşmeler, uygulamadaki ihtiyaçlar doğrultusunda şekillenmiş ve giderek standartlaşmıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında doğrudan bir sözleşme tipi olarak tanımlanmasa da, kanunun veri işleyen tanımı ve ilgili ikincil düzenlemeler ile Kurul kararları, taraflar arasındaki bu ilişkinin bir sözleşme veya hukuki işlem ile kurulmasını işaret etmektedir. Bu yazımızda, uygulamada karşılaştığımız bu spesifik sözleşmelerin nasıl geçerli bir şekilde kurulduğunu ve borçlar hukuku ekseninde sahip olduğu hukuki niteliği, veri koruma mevzuatı ile entegre bir perspektifle ele alacağız.
Kişisel Veri İşleme Sözleşmesinin Kurulması ve Şekil Şartları
Türk borçlar hukuku prensipleri uyarınca, kişisel veri işleme sözleşmesi tarafların karşılıklı ve birbirine uygun irade beyanlarının uyuşması ile kurulur. Genel kural olarak sözleşmenin geçerliliği herhangi bir şekil şartına tabi kılınmamıştır. Taraflar, sözleşme özgürlüğü çerçevesinde bu sözleşmeyi tamamen ayrı ve bağımsız bir doküman olarak akdedebilecekleri gibi, aralarındaki mevcut bir hizmet sözleşmesinin veya ticari sözleşmenin ilgili hükümleri içerisine derç ederek de kurabilirler. Avrupa Birliği'nin Genel Veri Koruma Tüzüğü elektronik yöntemler de dahil olmak üzere bu sözleşmelerin kesinlikle yazılı şekilde yapılmasını emrederken, Türk hukukunda henüz böyle genel bir zorunluluk bulunmamaktadır. Ancak ispat kolaylığı, hukuki güvenliğin sağlanması ve hesap verebilirlik ilkesi gereğince uygulamada yazılı şekil temel bir standart haline gelmiştir.
Şekil serbestisi genel kural olmakla birlikte, kanun koyucu belirli hassas hukuki senaryolar için özel şekil şartları öngörebilmektedir. Yakın zamanda Kişisel Verilerin Korunması Kanunu'nda yapılan değişikliklerle birlikte, kişisel verilerin yurt dışına aktarılması sürecinde veri aktarımına ilişkin hususların standart sözleşmeler aracılığıyla gerçekleştirilmesi durumunda yazılı şekil şartı getirilmiştir. Bu gibi istisnai hallerde taraflar, Kişisel Verileri Koruma Kurulu tarafından belirlenen içeriği barındıran ve yazılı şekil şartına bağlanan zorunlu metinleri kullanmak durumundadır. Aksi halde sözleşmenin yasal geçerliliği ve mevzuata uyumu zedelenecektir. Bu nedenle sözleşme kurgulanırken, işleme ve aktarım faaliyetinin özel bir şekil şartını tetikleyip tetiklemediği titizlikle değerlendirilmelidir.
Sözleşmenin Borçlar Hukuku Kapsamındaki Hukuki Niteliği
Hüküm ve sonuçları herhangi bir kanunda özel olarak düzenlenmeyen kişisel veri işleme sözleşmesi, borçlar hukuku terminolojisinde tipikleşmiş bir isimsiz sözleşme niteliği taşır. Sözleşmenin içerdiği karakteristik asli edim, bir yapma edimi niteliğinde olan kişisel verilerin işlenmesi işinin hukuka uygun olarak yerine getirilmesidir. Uygulamada çoğunlukla veri işleyenin işleme borcuna karşılık veri sorumlusunun ücret ödeme borcu altına girdiği görülmektedir. Bu haliyle sözleşme, tam iki tarafa borç yükleyen ve iş görme borcu doğuran rızai bir yapıya bürünmektedir. İçerdiği karmaşık unsurlar ve kanunda düzenlenen birden fazla sözleşme tipine ait edimleri özgün bir şekilde bir araya getirmesi sebebiyle bu sözleşmeler, hukuki açıdan bileşik tipli karma sözleşme olarak sınıflandırılmaktadır.
Vekalet ve Eser Sözleşmeleri ile Olan İlişkisi
Karma yapısı gereği bu sözleşmeye uygulanacak hukuk kurallarının tespitinde kıyasen uygulama görüşü benimsenmektedir. Buna göre sözleşmenin ilgili edimlerine niteliklerine uygun düştüğü ölçüde farklı kanuni hükümler kıyasen uygulanır. Sözleşme metninde yer alan edimlerin hukuki karakteristiğine göre uygulanan rejimler şunlardır:
- Vekalet Sözleşmesi Unsurları: Bağımsız iş gören statüsü, kuvvetli güven ilişkisi ve veri sorumlusunun hukuki talimatlarına sıkı sıkıya bağlılık.
- Eser Sözleşmesi Unsurları: Verilerin yedeklenmesi veya anonimleştirilmesi gibi önceden taahhüdü mümkün teknik süreçlerde objektif bir neticenin garanti edilmesi (sonuç borcu).
- KVKK Unsurları: Veri güvenliğinin sağlanması, veri işleme ilkelerine uyum gibi borçlar hukuku dışında kalan veri koruma hukuku kuralları.
Bu karmaşık yapı içinde, doğrudan kanuni norm bulunmayan durumlarda hakim hukukun genel ilkelerine ve veri koruma felsefesine başvurarak, ilgili kişilerin hakları ile tarafların ticari menfaatleri arasında adil bir hukuki denge kurmakla yükümlüdür.
İş Görme Ediminin İfasına Göre Nitelendirme
Veri işleyenin üstlendiği yapma ediminin hukuki durumu, işleme faaliyetinin zaman içindeki yayılımına göre de farklılık göstermektedir. Taraflarca kararlaştırılan veri işleme ediminin ifası; ani, dönemli veya sürekli edim niteliğinde olabilir. Edimin niteliği belirlenirken borçlunun kendi içindeki operasyonel faaliyetleri değil, alacaklının yani veri sorumlusunun edime dair menfaatinin zamana yayılıp yayılmadığı dikkate alınır. Örneğin, bir veri tabanının yalnızca bir defaya mahsus olmak üzere farklı bir platforma taşınması veya anonimleştirilmesi ani edimli bir borç doğururken; bir bulut sisteminde kişisel verilerin aylar boyunca sürekli olarak barındırılması ve izlenmesi sürekli edimli borç olarak nitelendirilir. Sözleşmenin tasarlanması esnasında edimin zamansal niteliğinin doğru tespiti, özellikle borca aykırılık hallerinde uygulanacak hukuki yaptırımların belirlenmesi açısından son derece hayatidir.