Makale
Kişisel veri işleme sözleşmeleri kapsamında, veri sorumlusu ve veri işleyenin sözleşmesel borçları, veri koruma hukuku uygulamalarında büyük önem taşır. Bu makale, KVKK uyumluluğu çerçevesinde tarafların temel borçlarını, idari ve teknik güvenlik tedbirlerini hukuki bir perspektifle ve uzmanlık merceğinden detaylı bir biçimde incelemektedir.
Veri Sorumlusu ve İşleyenin Sözleşmesel Yükümlülükleri
Günümüz teknoloji ve bilgi çağında, kişisel verilerin işlenmesi süreçlerinde veri koruma hukuku kurallarına tam uyum sağlanması yasal bir zorunluluktur. Bu süreçlerin ana aktörleri konumunda olan veri sorumlusu ile onun adına işlem yapan veri işleyen arasındaki hukuki ilişki, her iki tarafın da katı sözleşmesel borçlar üstlenmesini gerektirir. Uygulamada kişisel veri işleme sözleşmesi olarak adlandırılan bu ilişki ağı, veri öznelerinin, yani ilgili kişilerin Anayasa ile güvence altına alınmış haklarının korunmasında kritik bir kalkan görevi üstlenir. İdari ve teknik veri güvenlik açıklarından kaçınmak, doğabilecek ağır hukuki yaptırımları ve idari para cezalarını engellemek adına, tarafların kanundan ve aralarındaki sözleşmeden doğan yükümlülüklerini kusursuz bir şekilde ifa etmeleri şarttır. Her ne kadar Kişisel Verilerin Korunması Kanunu genel çerçeveyi çizse de, taraflar arasındaki sorumluluk sınırlarını çizen temel dayanak, edimlerin dürüstlük ve özen kuralları çerçevesinde yerine getirilmesine bağlıdır.
Veri Sorumlusunun Temel Borçları
Veri sorumlusu, veri işleme faaliyetinin amaç ve vasıtalarını belirleyen temel süje olarak, işlemenin mevzuata uygunluğunu sağlamakta en üst düzeyde sorumluluk taşır. Bu bağlamda, veri sorumlusunun en temel yükümlülüklerinden biri veri işleyeni bilgilendirme ve talimatta bulunma borcu olarak karşımıza çıkar. Veri sorumlusu, işlemenin kapsamı, amaçları, aktarım yapılacak taraflar ve alınması gereken veri güvenliği tedbirleri konusunda veri işleyene yazılı, açık ve somut talimatlar vermelidir. Verilen bu talimatların hukuka, ahlaka ve güncel KVKK düzenlemelerine uygun olması zorunludur. Talimatların net şekilde oluşturulması, süreç içindeki değişikliklerin zamanında bildirilmesi, hesap verebilirlik ilkesi açısından hukuki uyuşmazlıkları engelleyici bir unsurdur.
Bununla birlikte, taraflar arasındaki ticari ve hukuki ilişkiye bağlı olarak veri sorumlusu, genellikle hizmetin karşılığı olan ücret ödeme borcu altına girer. Şayet veri işleyenin faaliyeti ifa etmesi sürecinde yapması gereken zorunlu masraflar doğarsa, veri sorumlusunun gider ve avans ödeme borcu da gündeme gelir. Aynı zamanda, veri sorumlusu hatalı ya da hukuka aykırı talimatlar vererek veya gerekli güvenlik tedbirlerine dair altyapıyı sağlamayarak bir ihlale yol açarsa, veri işleyenin uğradığı zararları giderme borcu devreye girer. İşletmelerin siber güvenlik donanımları veya mevzuat uyum lisansları gibi masrafları, veri sorumlusunun üstlendiği borçtan kurtarma yükümlülüğü çerçevesinde değerlendirilerek tarafların ticari ilişkisindeki riskler minimize edilir.
Veri İşleyenin Yükümlülükleri ve Sorumlulukları
Veri işleyen, veri sorumlusunun kendisine verdiği yetkiye dayanarak süreci yürüten taraf olarak, ilk planda kişisel veri işleme borcu altındadır. Bu borcun gereği gibi ifa edilebilmesi için, işleyenin veri sorumlusunun talimatlarına uyma borcu esastır. İşleyen, kendisine iletilen talimatların dışına çıkamaz; ancak hukuka aykırı bir talimatla karşılaşırsa bunu derhal veri sorumlusuna bildirmelidir. İlgili talimatların yerine getirilmesi sırasında, bağımsız bir iş gören sıfatıyla hareket eden veri işleyenin, işin gerektirdiği dikkat ve özeni göstermesi, yani özenle ifa borcu altında bulunması zorunludur. İşini yetkin bir şekilde yapmayan veya gerekli teknik altyapı güncellemelerini takip etmeyen bir veri işleyen, ortaya çıkabilecek ihlallerden doğrudan sorumlu tutulacaktır.
Taraflar arasındaki ilişki son derece hassas bir güven temeline oturduğu için, veri işleyenin sadakat ve sır saklama borcu oldukça geniş yorumlanmalıdır. İşleyen, kişisel verileri yalnızca kendisine belirtilen amaçlar doğrultusunda kullanmak, üçüncü kişilerle paylaşmamak ve sözleşme sona erse dahi gizlilik yükümlülüklerine bağlı kalmak zorundadır. Ek olarak, kişisel verilerin korunması hukukunun en kritik yapı taşlarından biri olan kişisel verilerin güvenliğini sağlama borcu gereğince, veri işleyen idari ve teknik tüm tedbirleri almak zorundadır. Kötü niyetli siber saldırılara, yetkisiz erişimlere veya kazara veri kaybı durumlarına karşı sistem altyapısının korunması, periyodik sızma testlerinin yapılması ve güvenlik ağlarının sürekli güncel tutulması veri işleyenin mutlak sorumlulukları arasındadır.
Veri işleyenin hukuki sürece kusursuz bir uyum sağlaması için ifa etmesi gereken diğer stratejik yükümlülükleri ise uygulamada aşağıdaki gibi detaylandırılmaktadır:
- Şahsen ifa borcu ve alt veri işleme: İşleyen, kural olarak süreci bizzat yürütmelidir. Alt veri işleyen tayin edilecekse mutlaka onay alınmalı ve ana sözleşmedeki aynı idari ve teknik güvenlik standartları garanti edilmelidir.
- Hesap verme ve denetimlere izin verme borcu: İşleyen, yürüttüğü süreçlere dair kapsamlı kayıtlar tutmalı, hesap verebilirlik ilkesi gereği veri sorumlusunun ya da atadığı denetçilerin hukuki ve teknik denetimlerine açık olmalıdır.
- İlgili kişilerin hakları hususunda işbirliği: Veri öznelerinden gelen erişim, silme veya düzeltme taleplerinin yasal sürelerde karşılanabilmesi için veri sorumlusuna derhal bilgi verilmeli ve operasyonel destek sunulmalıdır.
- Veri ihlali durumunda acil bildirim: Herhangi bir siber ihlal ya da veri sızıntısı yaşandığında, yasal yetmiş iki saatlik bildirim kuralı gözetilerek veri sorumlusuna gecikmeksizin raporlama yapılmalıdır.