Makale
Kişisel verilerin işlenmesi sürecinde veri sorumlusu ve veri işleyen arasındaki hukuki ilişki, kanuni yükümlülükler ve sözleşmesel sınırlar ekseninde şekillenir. Bu makalede, tarafların müşterek sorumlulukları, kişisel veri işleme sözleşmesinin niteliği ve alt veri işleyen kavramı uzman bir hukuki perspektifle incelenmektedir.
Veri Sorumlusu ve Veri İşleyen Arasındaki Hukuki İlişki
Kişisel verilerin hukuka uygun bir biçimde yönetilmesi bağlamında veri sorumlusu ile veri işleyen arasındaki hukuki ilişkinin doğru tesis edilmesi büyük bir önem taşımaktadır. İş ve ticaret hayatında veri sorumluları, operasyonel süreçlerini hızlandırmak veya teknik altyapı eksikliklerini gidermek amacıyla veri işleme faaliyetlerini bizzat yürütmek yerine, bu alanda uzmanlaşmış üçüncü kişi konumundaki veri işleyenlere devredebilmektedir. Söz konusu devir işlemi, taraflar arasında sadece teknik bir veri aktarımı değil, aynı zamanda kanundan doğan katı yükümlülüklerin paylaşıldığı kapsamlı bir hukuki zemin yaratmaktadır. Bu hukuki ilişkinin sınırları, tarafların irade özerkliği çerçevesinde akdettikleri sözleşmelerle çizilirken, emredici nitelikteki yasal düzenlemeler sözleşme özgürlüğünün çerçevesini belirlemektedir. Dolayısıyla, bu ilişkinin taraflarına yüklediği teknik, idari ve hukuki sorumlulukların, yasal otoritelerin rehber ilke ve kararları ışığında titizlikle analiz edilmesi, olası veri ihlallerinde doğacak ağır idari yaptırımların önüne geçilmesi açısından elzemdir.
Veri Sorumlusu ve Veri İşleyen Kavramları ile Temel Sorumluluklar
Kanuni tanımı itibarıyla veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Diğer taraftan veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleme faaliyetini yürüten kişidir. Veri işleyen, veri sorumlusunun kendisine verdiği yetki ve talimatlar doğrultusunda hareket etmesine karşın, yasal mevzuat uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı erişimi engellemek ve verilerin muhafazasını sağlamak amacıyla alınacak teknik ve idari tedbirler hususunda veri sorumlusu ile müştereken sorumlu tutulmuştur. Bu durum, veri sorumlusunun işleme faaliyetini tamamen üçüncü bir tarafa devretmesi halinde dahi yasal sorumluluktan kurtulamayacağını, aksine denetim ve gözetim yükümlülüğünün devam edeceğini göstermektedir. Olası bir ihlal durumunda yasal idari para cezalarının muhatabı asli olarak veri sorumlusu olmakla birlikte, veri işleyenin de kusuru oranında iç ilişkide rücu mekanizmalarına konu olabileceği unutulmamalıdır.
Kişisel Veri İşleme Sözleşmesinin Hukuki Niteliği
Taraflar arasındaki yetki devrinin yasal bir zemine oturtulması için akdedilen kişisel veri işleme sözleşmesi, kanunlarda açıkça düzenlenmemiş, iş görme amacı güden ve sürekli borç ilişkisi kuran atipik bir sözleşmedir. Bu sözleşmenin temelinde, veri işleyenin, veri sorumlusu adına ve onun kurallarına uygun olarak bir sonuç elde etme borcu yatmaktadır. Bu sebeple sözleşmenin hukuki niteliği belirlenirken, niteliğine uygun düştüğü ölçüde vekâlet ve eser sözleşmelerine ilişkin yasal hükümlerin kıyasen uygulanması mümkündür. Ayrıca, hukuken katı bir şekil şartına tabi olmamasına rağmen, ispat kolaylığı ve rehber dokümanlar doğrultusunda bu sözleşmelerin yazılı şekilde yapılması şiddetle tavsiye edilmektedir. Nitekim yazılı bir sözleşme, ihlal durumunda hangi tarafın hangi idari ve teknik tedbirde kusurlu olduğunun tespitini kolaylaştırarak, taraflar arasındaki sorumluluk sınırlarını netleştirmektedir.
Sözleşme Kapsamında Tarafların Temel Yükümlülükleri
Veri sorumlusu ile veri işleyen arasında kurulan sözleşmesel ilişkide, veri işleyenin asli yükümlülüğü kişisel veri işleme faaliyetinin kendisinden ziyade, bu faaliyet sonucunda yasalara uygun bir sonuç elde etmektir. Veri işleyen ağırlıklı olarak teknik süreçlerin yönetiminden sorumluyken; hangi verilerin ne kadar süreyle ve hangi amaçla işleneceğine veri sorumlusu karar vermektedir. İlgili yasal otoritelerin yayımladığı veri güvenliği rehberleri uyarınca, akdedilecek kişisel veri işleme sözleşmelerinde asgari olarak bulunması gereken bazı emredici kurallar mevcuttur:
- Veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda hareket edeceğine ve yasal mevzuata uyacağına dair açık taahhüt,
- Sözleşme süresi bittikten sonra da devam edecek olan süresiz sır saklama yükümlülüğünün düzenlenmesi,
- Meydana gelebilecek herhangi bir veri güvenliği ihlalinin derhal veri sorumlusuna bildirilmesi,
- İşleme amacının veya sözleşmenin sona ermesini müteakip, elde edilen verilerin güvenli bir şekilde iade veya imha edilmesi.
Alt Veri İşleyen Kurumu ve Denetim Hakkı
Gelişen teknolojik iş modelleriyle birlikte veri işleyenler, üstlendikleri işi bizzat ifa etmek yerine yetkilerini kısmen veya tamamen başka kişi veya kurumlara devredebilmektedir. Alt veri işleyen olarak adlandırılan bu kuruma başvurulabilmesi, yasal olarak ancak veri sorumlusunun sözleşmede önceden buna izin vermiş olması ile mümkündür. Alt veri işleme mekanizmasında veri sorumlusu ile alt veri işleyen arasında doğrudan bir sözleşme ilişkisi bulunmasa da, hukuki kıyas yoluyla veri sorumlusu, asıl veri işleyene yöneltebileceği tüm hukuki ve denetimsel haklarını alt veri işleyene de yöneltebilmektedir. Veri sorumlusu, veri kayıt sistemlerinin kendi adına güvenli bir şekilde işletildiğinden emin olmak için dilediği zaman veri işleyenler nezdinde denetim yapma veya yaptırma hakkına sahiptir. Veri işleyenin bu denetime katlanma borcu, sözleşmenin şeffaf yürütülmesini sağlayan asli bir yan yükümlülüktür.