Veri İşleme Sözleşmelerinin Hukuki Niteliği

Günümüz dijital ekonomisinde işletmelerin kişisel veri işleme faaliyetlerini dış kaynaklardan temin etmesi, veri sorumlusu ile veri işleyen arasında akdedilen kişisel veri işleme sözleşmelerinin önemini artırmıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu, veri sorumlusu ve veri işleyen kavramlarını tanımlasa da, bu iki aktör arasındaki sözleşmenin içeriğini ve hukuki yapısını açıkça düzenlememiştir. Bu durum, veri işleme sözleşmelerinin Türk Borçlar Kanunu sistematiği içindeki yerinin tespit edilmesini zorunlu kılmaktadır. Bir hukuk bürosu pratiğinde, müvekkillerin veri güvenliği yükümlülüklerini sözleşmesel düzleme doğru aktarabilmesi için, bu sözleşmelerin hukuki niteliğinin doğru kavranması şarttır. Zira sözleşmenin geçerliliği, tarafların yüklendiği edimlerin kapsamı ve uygulanacak kanun hükümleri doğrudan bu hukuki nitelendirmeye bağlıdır. İrade özerkliği ilkesi gereği taraflarca serbestçe kurulan bu sözleşmeler, taşıdıkları unsurlar itibarıyla borçlar hukukunun çeşitli kurumlarıyla kesişmektedir. Aşağıda, uygulamada sıkça karşılaşılan bu sözleşmelerin hukuki niteliği ve temel özellikleri ele alınmaktadır.

Borçlandırıcı ve Rızai Sözleşme Olması

Kişisel veri işleme sözleşmesi, niteliği itibarıyla taraflar arasında karşılıklı alacak ve borç hakları yaratan bir borç sözleşmesidir. Bu sözleşme ile veri işleyen, veri sorumlusunun talimatları doğrultusunda ve onun menfaatine uygun olarak kişisel veri işleme edimini yerine getirmeyi taahhüt eder. Buna karşılık veri sorumlusu da kural olarak kararlaştırılan bir hizmet bedelini ödeme borcu altına girer. Kurulması açısından ise bu sözleşmeler rızai sözleşme niteliği taşır. Türk Borçlar Kanunu'nun 1. maddesi uyarınca, tarafların sözleşmenin esaslı noktaları üzerinde karşılıklı ve birbirlerine uygun irade beyanlarının uyuşması sözleşmenin kurulması için yeterlidir. Geçerlilikleri kural olarak özel bir şekle tabi olmamakla birlikte, ispat kolaylığı ve kişisel verilerin güvenliği pratikleri doğrultusunda yazılı şekilde yapılması her zaman hukuki güvenliği artıracaktır. Dolayısıyla, hazırlar veya hazır olmayanlar arasında akdedilebilen bu rızai yapı, her iki tarafa da ifa yükümlülükleri getiren tam iki tarafa borç yükleyen sözleşmeler kategorisine girmesini sağlar.

İsimsiz (Atipik) ve Karma Sözleşme Niteliği

Kişisel veri işleme sözleşmeleri, ne Türk Borçlar Kanunu'nda ne de ilgili özel veri koruma mevzuatında tipik bir sözleşme olarak ismen düzenlenmemiştir. Bu sebeple isimsiz sözleşme veya atipik sözleşme olarak sınıflandırılırlar. İrade özerkliği ve sözleşme özgürlüğü ilkeleri çerçevesinde kurulan bu sözleşmelerin, kanunda düzenlenen farklı sözleşme tiplerinin asli edimlerini bir araya getirmesi nedeniyle karma sözleşme yapısında olduğu kabul edilir. Sözleşmenin içerisinde ağırlıklı olarak vekâlet sözleşmesi unsurları bulunur; zira veri işleyen, veri sorumlusunun talimatlarına uyarak bir iş görme faaliyetini yerine getirir. Ancak sözleşmede, veri güvenliğini sağlama ve hukuka aykırı erişimi engelleme gibi garanti edilen bir sonucun varlığı da söz konusudur. Edim sonucunun taahhüt edilmesi, bu sözleşmeyi aynı zamanda eser sözleşmesi hükümlerine yaklaştırır. Sonuç itibarıyla, kişisel veri işleme sözleşmeleri, vekâletin iş görme borcu ile eser sözleşmesinin sonuç garanti etme unsurlarını içinde barındıran birleşik tipli karma sözleşme niteliği taşır.

Sürekli Edimli Bir İş Görme ve Sonuç Borcu Doğurması

Bu sözleşmeler, anlık bir ifa ile sona ermeyen, zamana yayılan sürekli edimli borç ilişkileri doğurur. Örneğin, bir bulut bilişim firmasının yıllar boyunca yedekleme veya sunucu hizmeti sağlaması, iş görme ediminin devamlılığını gösterir. Veri işleyenin yüklendiği temel görev, sadece emek ve çaba harcayarak faaliyette bulunmak ile sınırlı değildir; aynı zamanda veri güvenliğine dair edim sonucunu da taahhüt etmektir. Aşağıda bu sözleşmelerin benzer iş görme sözleşmeleri ile olan ilişkisi özetlenmiştir:

• Vekâlet Sözleşmesi ile İlişkisi: Veri işleyenin talimatlara uyma, şahsen ifa, sadakat ve sır saklama yükümlülükleri vekâlet sözleşmesi ile örtüşür. Ancak vekilden farklı olarak veri işleyen, bir sonucun gerçekleşmesini taahhüt eder.
• Eser Sözleşmesi ile İlişkisi: Veri işleyenin uygun güvenlik düzeyini temin ederek sonuç borcundan sorumlu olması, onu eser sözleşmesindeki yükleniciye yaklaştırır. Fakat eser sözleşmesi ani edimli iken, veri işleme sürekli bir edimdir.
• Hizmet Sözleşmesi ile İlişkisi: Her ikisi de iş görme borcu içerse de, veri işleyenin veri sorumlusuna hiyerarşik anlamda bir bağımlılığı yoktur, bağımsız çalışır.

Üçüncü Kişiyi Koruyucu Etkili Sözleşme Olması

Kişisel veri işleme sözleşmesinin en ayırt edici hukuki özelliklerinden biri de üçüncü kişiyi koruyucu etkili sözleşme olmasıdır. Borç ilişkilerinin nisbiliği kuralı gereği sözleşmeler normalde sadece taraflar (veri sorumlusu ve veri işleyen) arasında hak ve yükümlülük doğurur. Ancak bu sözleşmenin asıl konusu olan kişisel veriler, sözleşmenin doğrudan tarafı olmayan üçüncü kişilere, yani ilgili kişilere aittir. İşlenen verilerin hukuka aykırı şekilde ele geçirilmesi veya ifşa edilmesi durumunda en büyük zararı bizzat bu veri sahipleri görecektir. Dürüstlük kuralı ekseninde şekillenen koruma yükümlülükleri gereğince, veri işleyen, edimini yerine getirirken sadece sözleşme tarafı olan veri sorumlusunun değil, sözleşmenin sosyal etki alanında bulunan ilgili kişilerin şahıs varlığı değerlerini de korumak zorundadır. Bu durum, sözleşmenin sadece akidi olan veri sorumlusunu değil, hakları doğrudan etkilenen ilgili kişileri de koruma çemberine almasını sağlayarak üçüncü kişiyi koruyucu etkili sözleşme niteliğini açıkça pekiştirmektedir.