Makale

Kişisel verilerin korunması hukuku kapsamında, veri sorumlusu ile veri işleyen arasındaki profesyonel bağın sona ermesi, en az bu hukuki ilişkinin başlatılması süreci kadar titizlikle ve yasal sınırlar çerçevesinde yönetilmesi gereken bir aşamadır. Kişisel veri işleme sözleşmesinin sona ermesi, salt ticari bir hizmet veya vekâlet anlaşmasının bitişini değil, aynı zamanda kişisel verilerin güvenliğinin sağlanması, sözleşme sonrası hukuki yükümlülüklerin yerine getirilmesi ve olası idari para cezası risklerinin bertaraf edilmesi sürecini ifade eder. Sözleşmenin feshi sürecinde yasal olarak kesin bir şekil şartı bulunmamakla birlikte, ispat kolaylığı ve hukuki belirlilik açısından işlemlerin yazılı yapılması büyük önem taşır. Özellikle tarafların tacir olduğu ticari nitelikteki sözleşmelerde, Türk Ticaret Kanunu hükümleri gereğince temerrüt veya fesih ihbarlarının noter aracılığıyla, taahhütlü mektupla veya güvenli elektronik imza içeren kayıtlı elektronik posta (KEP) sistemi üzerinden gerçekleştirilmesi emredici bir yasal zorunluluktur. Bu sözleşmelerin sona ermesi, tarafların karşılıklı veya tek taraflı iradi kararlarına dayanabileceği gibi, objektif hukuki fiillerin veya yasal durumların bir sonucu olarak da kendiliğinden gerçekleşebilir.

İradi Sona Erme Sebepleri

Tek Taraflı Fesih Hakkı ve Haklı Sebep Kavramı

Tarafların aralarındaki kuvvetli güven ilişkisi zedelendiğinde veya ticari işleyişteki gereklilikler değiştiğinde, sözleşmeyi tek taraflı bir irade beyanı ile sona erdirme hakları hukuken mevcuttur. Türk Borçlar Kanunu’nun vekâlet sözleşmelerine özgü kuralları veri işleme sözleşmelerine kıyasen uygulandığında, tarafların diledikleri zaman tek taraflı fesih hakkını kullanabileceği kabul edilmektedir. Ancak bu fesih hakkının karşı taraf açısından uygun olmayan bir zamanda kullanılması halinde, sözleşmeyi fesheden taraf diğer tarafın uğradığı olağan dışı tüm zararları tazmin etmekle yükümlü tutulur. Zarar tazmini zorunluluğunun doğmaması için fesih işleminin mutlaka haklı sebeplere dayanması şarttır. Örneğin, veri işleyenin idari ve teknik güvenlik önlemlerini yerine getirmekte ihmalkâr davranması veya veri sızıntılarına yol açabilecek sözleşmeye aykırı hareketlerde bulunması, veri sorumlusu açısından derhal ve tazminatsız şekilde haklı nedenle fesih sebebi oluşturur. Sözleşmeler kaleme alınırken, hangi eylemlerin haklı fesih nedeni sayılacağının, ihbar sürelerinin ve eksiklikleri giderme imkânlarının açıkça düzenlenmesi muhtemel uyuşmazlıkları engelleyecektir.

İkale (Karşılıklı Anlaşma) İle Sona Erme

İradi sona erme hallerinden bir diğeri olan ikale sözleşmesi, veri sorumlusu ve veri işleyen arasındaki veri işleme ilişkisini ortak ve karşılıklı bir kararla, yeni bir sözleşme ihdas ederek sona erdirmeleridir. Hukuken kendine has herhangi bir şekil şartına tabi olmayan ikale süreci, kişisel verilerin güvenliği ve kurumların operasyonel faaliyetlerinin sekteye uğramaması adına son derece hassas bir takvimle planlanmalıdır. İkale anlaşması tasarlanırken, doğrudan veri sorumlusunun hukuki menfaatleri ve ilgili kişilerin veri ihlali riskine karşı eksiksiz bir şekilde korunması temel alınmalıdır. Bu yasal çerçevede, sözleşmenin hangi gün ve saat itibarıyla sonlanacağı, veri işleyenin sunucularında veya arşivlerinde bulunan kişisel verilerin ne kadar süre içinde iade edileceği, aktarılacağı veya geri döndürülemeyecek biçimde imha edileceği gibi hayati detaylar ikale metninde kesin hüküm altına alınmalıdır. Tarafların, veri işleyenin geçiş sürecindeki yasal uyum yükümlülüklerini netleştirerek karşılıklı mutabakata varması, hukuki güvenliği maksimize eden en pratik çözüm yollarından biridir.

Kendiliğinden Sona Erme Sebepleri

Sürenin Dolması, İfa ve İfa İmkânsızlığı

Kişisel veri işleme sözleşmesi tarafların iradesi doğrultusunda belirli bir süre için akdedilmişse, sözleşmede öngörülen süresinin tamamlanması ile birlikte taraflar arasındaki hukuki bağ kendiliğinden sona erer. Süre bitimine yaklaşırken taraflardan herhangi birinin fesih bildiriminde bulunmaması halinde sözleşme ilişkisinin aynı koşullarla yenileneceğine dair hükümler de uygulamada sıklıkla tercih edilmektedir. Kendiliğinden sona erme nedenlerinden bir diğeri ise ifa ile sona erme senaryosudur; veri işleyenin yükümlendiği dönemsel edimi ve beklenen işleme sonucunu tam, doğru ve hukuka uygun şekilde yerine getirerek sözleşmesel borcunu bitirmesidir. Bunların dışında, veri işleyenin alınması gereken tüm tedbirleri almasına rağmen kendi kusuru olmaksızın işleme faaliyetini gerçekleştiremez hale gelmesi durumunda ifa imkânsızlığı ortaya çıkar. Örneğin sistemleri çökerten beklenmeyen bir siber saldırı sonucu veri tabanının yok olması veya işlenen biyometrik verilere yönelik yeni ulusal yasal kısıtlamaların yürürlüğe girmesi hallerinde, sözleşme ilişkisi hukuki ve teknik engeller sebebiyle kendiliğinden düşmektedir.

Tüzel Kişiliğin Sona Ermesi, İflas ve Ölüm Halleri

Veri sorumlusu veya veri işleyen statüsündeki tüzel kişiliğin iflası, hukuken dağılması veya mahkeme kararıyla feshedilerek sicilden terkin edilmesi hallerinde, mevcut veri işleme sözleşmesi kural olarak kendiliğinden sona ermiş kabul edilir. Borçlar Kanunu ekseninde bu durum, taraflar arasındaki şahsi güven unsurunun ve kurumsal işleyişin tamamen ortadan kalkması temeline dayanmaktadır. Bununla birlikte, taraflar sözleşmede özel bir maddeyle aksini kararlaştırabilir veya üstlenilen işin doğası, veri işleme faaliyetinin kesintisiz bir biçimde devamını zorunlu kılabilir. Özellikle birleşme, bölünme veya devralma (M&A) gibi şirket yapılandırma işlemleriyle tüzel kişiliğin el değiştirmesi durumlarında sözleşme, yasal olarak devralan yeni şirket tarafından aynen üstlenilebilir. Bu tip geçiş süreçlerinde, veri işleme faaliyetlerinde telafisi güç yasal ihlaller oluşmasını engellemek adına durumun diğer tarafa vakitlice bildirilmesi, yasal durum tespit (due diligence) süreçlerinde olası veri sızıntılarının önlenmesi ve gerekli hallerde kişisel veri işleme sözleşmesinin güncellenmesi son derece kritik adımlardır.

Sona Ermenin Doğurduğu Hukuki Sonuçlar ve Yükümlülükler

Kişisel veri işleme ilişkisinin hangi hukuki sebeple olursa olsun sona ermesi, tarafların bilhassa da veri işleyenin üzerindeki hukuki yükümlülükleri bütünüyle ortadan kaldırmaz. Aksine, fesih veya sözleşmenin kendiliğinden sona ermesi olayının ardından kişisel verilerin akıbetine dair oldukça sıkı ve emredici yasal süreçler işlemeye başlar. Veri sorumlusunun kendi süreçleri üzerindeki yasal kontrolünü ve söz konusu verilerin genel güvenliğini her koşulda sağlamaya devam edebilmesi amacıyla sözleşmenin bitiminde belirli prosedürlerin devreye alınması şarttır. Bu geçiş evresinde veri işleyen tarafın üzerinde kalan hukuki borçlar, ilgili kişilerin haklarının zedelenmemesi adına büyük önem taşımaktadır. Aşağıda, sözleşme ilişkisinin sonlanmasının ardından titizlikle ve harfiyen uygulanması gereken hukuki prosedürler ve öne çıkan temel yükümlülükler sıralanmaktadır:

• Veri işleyen, sözleşme kapsamında elde ettiği tüm materyalleri ve işlediği verileri veri sorumlusunun takdirine ve tercihine göre güvenli yöntemlerle iade etmeli veya geri döndürülemeyecek şekilde silerek ve yok ederek işlemlerin log kayıtlarını veri sorumlusuna yazılı olarak raporlamalıdır.
• Veri işleyenin işleme faaliyeti sırasında vakıf olduğu ticari sırlara ve kişisel verilere ilişkin gizlilik ve sadakat yükümlülüğü, aralarındaki asli sözleşme ilişkisi tamamen bitmiş olsa dahi süresiz olarak varlığını korumaya devam eder.
• Veri sorumlusu, ilişkinin sonlanmasından sonra dahi veri işleyenin silme ve imha yükümlülüklerini mevzuata uygun şekilde yerine getirip getirmediğini bizzat veya mutabık kalınan bağımsız üçüncü bir taraf aracılığıyla denetleme hakkına ve yetkisine sahiptir.
• Gerekli görülen ve hizmetin sürekliliğinin esas olduğu kurumsal durumlarda, operasyonların kesintiye uğramaması adına verilerin doğrudan yeni bir hizmet sağlayıcıya güvenli aktarılması ve taşınması süreci de hukuka uygun bir şeffaflıkla tasarlanıp yürütülmelidir.