Anasayfa/ Makale/ Veri Sorumlusu ve İşleyenin Sözleşmesel Yükümlülükleri

Veri Sorumlusu ve İşleyenin Sözleşmesel Yükümlülükleri

Kişisel veri işleme sözleşmeleri kapsamında, veri sorumlusu ve veri işleyenin sözleşmesel borçları, veri koruma hukuku uygulamalarında büyük önem taşır. Bu makale, KVKK uyumluluğu çerçevesinde tarafların temel borçlarını, idari ve teknik güvenlik tedbirlerini hukuki bir perspektifle ve uzmanlık merceğinden detaylı bir biçimde incelemektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK

Günümüz teknoloji ve bilgi çağında, kişisel verilerin işlenmesi süreçlerinde veri koruma hukuku kurallarına tam uyum sağlanması yasal bir zorunluluktur. Bu süreçlerin ana aktörleri konumunda olan veri sorumlusu ile onun adına işlem yapan veri işleyen arasındaki hukuki ilişki, her iki tarafın da katı sözleşmesel borçlar üstlenmesini gerektirir. Uygulamada kişisel veri işleme sözleşmesi olarak adlandırılan bu ilişki ağı, veri öznelerinin, yani ilgili kişilerin Anayasa ile güvence altına alınmış haklarının korunmasında kritik bir kalkan görevi üstlenir. İdari ve teknik veri güvenlik açıklarından kaçınmak, doğabilecek ağır hukuki yaptırımları ve idari para cezalarını engellemek adına, tarafların kanundan ve aralarındaki sözleşmeden doğan yükümlülüklerini kusursuz bir şekilde ifa etmeleri şarttır. Her ne kadar Kişisel Verilerin Korunması Kanunu genel çerçeveyi çizse de, taraflar arasındaki sorumluluk sınırlarını çizen temel dayanak, edimlerin dürüstlük ve özen kuralları çerçevesinde yerine getirilmesine bağlıdır.

Veri Sorumlusunun Temel Borçları

Veri sorumlusu, veri işleme faaliyetinin amaç ve vasıtalarını belirleyen temel süje olarak, işlemenin mevzuata uygunluğunu sağlamakta en üst düzeyde sorumluluk taşır. Bu bağlamda, veri sorumlusunun en temel yükümlülüklerinden biri veri işleyeni bilgilendirme ve talimatta bulunma borcu olarak karşımıza çıkar. Veri sorumlusu, işlemenin kapsamı, amaçları, aktarım yapılacak taraflar ve alınması gereken veri güvenliği tedbirleri konusunda veri işleyene yazılı, açık ve somut talimatlar vermelidir. Verilen bu talimatların hukuka, ahlaka ve güncel KVKK düzenlemelerine uygun olması zorunludur. Talimatların net şekilde oluşturulması, süreç içindeki değişikliklerin zamanında bildirilmesi, hesap verebilirlik ilkesi açısından hukuki uyuşmazlıkları engelleyici bir unsurdur.

Bununla birlikte, taraflar arasındaki ticari ve hukuki ilişkiye bağlı olarak veri sorumlusu, genellikle hizmetin karşılığı olan ücret ödeme borcu altına girer. Şayet veri işleyenin faaliyeti ifa etmesi sürecinde yapması gereken zorunlu masraflar doğarsa, veri sorumlusunun gider ve avans ödeme borcu da gündeme gelir. Aynı zamanda, veri sorumlusu hatalı ya da hukuka aykırı talimatlar vererek veya gerekli güvenlik tedbirlerine dair altyapıyı sağlamayarak bir ihlale yol açarsa, veri işleyenin uğradığı zararları giderme borcu devreye girer. İşletmelerin siber güvenlik donanımları veya mevzuat uyum lisansları gibi masrafları, veri sorumlusunun üstlendiği borçtan kurtarma yükümlülüğü çerçevesinde değerlendirilerek tarafların ticari ilişkisindeki riskler minimize edilir.

Veri İşleyenin Yükümlülükleri ve Sorumlulukları

Veri işleyen, veri sorumlusunun kendisine verdiği yetkiye dayanarak süreci yürüten taraf olarak, ilk planda kişisel veri işleme borcu altındadır. Bu borcun gereği gibi ifa edilebilmesi için, işleyenin veri sorumlusunun talimatlarına uyma borcu esastır. İşleyen, kendisine iletilen talimatların dışına çıkamaz; ancak hukuka aykırı bir talimatla karşılaşırsa bunu derhal veri sorumlusuna bildirmelidir. İlgili talimatların yerine getirilmesi sırasında, bağımsız bir iş gören sıfatıyla hareket eden veri işleyenin, işin gerektirdiği dikkat ve özeni göstermesi, yani özenle ifa borcu altında bulunması zorunludur. İşini yetkin bir şekilde yapmayan veya gerekli teknik altyapı güncellemelerini takip etmeyen bir veri işleyen, ortaya çıkabilecek ihlallerden doğrudan sorumlu tutulacaktır.

Taraflar arasındaki ilişki son derece hassas bir güven temeline oturduğu için, veri işleyenin sadakat ve sır saklama borcu oldukça geniş yorumlanmalıdır. İşleyen, kişisel verileri yalnızca kendisine belirtilen amaçlar doğrultusunda kullanmak, üçüncü kişilerle paylaşmamak ve sözleşme sona erse dahi gizlilik yükümlülüklerine bağlı kalmak zorundadır. Ek olarak, kişisel verilerin korunması hukukunun en kritik yapı taşlarından biri olan kişisel verilerin güvenliğini sağlama borcu gereğince, veri işleyen idari ve teknik tüm tedbirleri almak zorundadır. Kötü niyetli siber saldırılara, yetkisiz erişimlere veya kazara veri kaybı durumlarına karşı sistem altyapısının korunması, periyodik sızma testlerinin yapılması ve güvenlik ağlarının sürekli güncel tutulması veri işleyenin mutlak sorumlulukları arasındadır.

Veri işleyenin hukuki sürece kusursuz bir uyum sağlaması için ifa etmesi gereken diğer stratejik yükümlülükleri ise uygulamada aşağıdaki gibi detaylandırılmaktadır:

  • Şahsen ifa borcu ve alt veri işleme: İşleyen, kural olarak süreci bizzat yürütmelidir. Alt veri işleyen tayin edilecekse mutlaka onay alınmalı ve ana sözleşmedeki aynı idari ve teknik güvenlik standartları garanti edilmelidir.
  • Hesap verme ve denetimlere izin verme borcu: İşleyen, yürüttüğü süreçlere dair kapsamlı kayıtlar tutmalı, hesap verebilirlik ilkesi gereği veri sorumlusunun ya da atadığı denetçilerin hukuki ve teknik denetimlerine açık olmalıdır.
  • İlgili kişilerin hakları hususunda işbirliği: Veri öznelerinden gelen erişim, silme veya düzeltme taleplerinin yasal sürelerde karşılanabilmesi için veri sorumlusuna derhal bilgi verilmeli ve operasyonel destek sunulmalıdır.
  • Veri ihlali durumunda acil bildirim: Herhangi bir siber ihlal ya da veri sızıntısı yaşandığında, yasal yetmiş iki saatlik bildirim kuralı gözetilerek veri sorumlusuna gecikmeksizin raporlama yapılmalıdır.
Müşteri bilgilerini işlemem istendi ama yasal gelmedi. Ne yapmalıyım? expand_more
Veri işleyen sıfatıyla, veri sorumlusunun size verdiği talimatlara uyma borcunuz bulunmaktadır. Ancak size iletilen bu talimatların hukuka aykırı olduğunu tespit ederseniz, bu durumu derhal veri sorumlusuna bildirmeniz yasal bir gerekliliktir. Bağımsız bir iş gören sıfatıyla hareket ederken işin gerektirdiği özeni gösterme borcunuz bulunduğundan, hukuka aykırı bir talimatı sorgulamadan yerine getirmeniz sizi doğrudan ortaya çıkabilecek ihlallerden sorumlu hale getirebilir.
Sistemimiz hacklendi ve veriler çalındı. İlk olarak ne yapmam lazım? expand_more
Herhangi bir siber ihlal veya veri sızıntısı yaşandığında, yasalarımızca öngörülen yetmiş iki saatlik bildirim kuralı derhal devreye girmektedir. Bu katı süre sınırını gözeterek durumu hiçbir gecikmeye mahal vermeden veri sorumlusuna raporlamanız zorunludur. Kişisel verilerin güvenliğini sağlama borcunuz kapsamında idari ve teknik tüm tedbirleri almakla mükellef olduğunuz için, süreci veri sorumlusuyla tam bir işbirliği içinde yönetmeniz şarttır.
Benim yerime bu veri işleme işini başka bir firmaya paslayabilir miyim? expand_more
Kişisel veri işleme sözleşmelerinde kural olarak "şahsen ifa borcu" geçerlidir, dolayısıyla operasyonel süreci bizzat sizin yürütmeniz esastır. Şayet bir alt veri işleyen tayin ederek işi başka bir tarafa devretmek niyetindeyseniz, muhakkak veri sorumlusundan önceden onay almanız gerekmektedir. Bu onayı alsanız bile, yeni atayacağınız firmanın sizin taraf olduğunuz ana sözleşmedeki idari ve teknik güvenlik standartlarının aynısını sağlayacağını garanti etme yükümlülüğünüz bulunmaktadır.
İş bittikten sonra elimdeki müşteri verilerini kendi işim için kullanabilir miyim? expand_more
Hayır, kişisel verileri tarafınıza belirtilen yetki ve amaçlar dışında kullanmanız hukuken mümkün değildir. Veri işleyen olarak aranızdaki hassas ticari ilişkiye dayanan çok katı bir sadakat ve sır saklama borcunuz bulunmaktadır. Bu yasal borç çerçevesinde verileri üçüncü kişilerle paylaşamazsınız ve aranızdaki sözleşme fiilen sona ermiş olsa dahi bu gizlilik yükümlülüklerine uymaya devam etmek zorundasınız.
Firma güvenlik bütçesi vermediği için veri sızdı. Zararı ben mi ödeyeceğim? expand_more
Veri sorumlusu, veri işlemenin hukuka uygunluğunu sağlamakta en üst düzeyde sorumlu taraf olup, gerekli siber güvenlik donanımları ve mevzuat uyum lisansları gibi masrafları karşılama yükümlülüğü altındadır. Şayet veri sorumlusu altyapıyı sağlamayarak, bütçe ayırmayarak veya hatalı talimatlar vererek bir veri ihlaline yol açarsa, sizin uğradığınız zararları giderme borcu doğrudan onun üzerine doğar. Bu tür maliyetler ve doğacak hukuki zararlar, veri sorumlusunun sizi üstlendiğiniz borçtan kurtarma yükümlülüğü kapsamında değerlendirilir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir