Anasayfa/ Makale/ Veri Sorumlusu ve Veri İşleyen Arasındaki Hukuki İlişki

Veri Sorumlusu ve Veri İşleyen Arasındaki Hukuki İlişki

Kişisel verilerin işlenmesi sürecinde veri sorumlusu ve veri işleyen arasındaki hukuki ilişki, kanuni yükümlülükler ve sözleşmesel sınırlar ekseninde şekillenir. Bu makalede, tarafların müşterek sorumlulukları, kişisel veri işleme sözleşmesinin niteliği ve alt veri işleyen kavramı uzman bir hukuki perspektifle incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK

Kişisel verilerin hukuka uygun bir biçimde yönetilmesi bağlamında veri sorumlusu ile veri işleyen arasındaki hukuki ilişkinin doğru tesis edilmesi büyük bir önem taşımaktadır. İş ve ticaret hayatında veri sorumluları, operasyonel süreçlerini hızlandırmak veya teknik altyapı eksikliklerini gidermek amacıyla veri işleme faaliyetlerini bizzat yürütmek yerine, bu alanda uzmanlaşmış üçüncü kişi konumundaki veri işleyenlere devredebilmektedir. Söz konusu devir işlemi, taraflar arasında sadece teknik bir veri aktarımı değil, aynı zamanda kanundan doğan katı yükümlülüklerin paylaşıldığı kapsamlı bir hukuki zemin yaratmaktadır. Bu hukuki ilişkinin sınırları, tarafların irade özerkliği çerçevesinde akdettikleri sözleşmelerle çizilirken, emredici nitelikteki yasal düzenlemeler sözleşme özgürlüğünün çerçevesini belirlemektedir. Dolayısıyla, bu ilişkinin taraflarına yüklediği teknik, idari ve hukuki sorumlulukların, yasal otoritelerin rehber ilke ve kararları ışığında titizlikle analiz edilmesi, olası veri ihlallerinde doğacak ağır idari yaptırımların önüne geçilmesi açısından elzemdir.

Veri Sorumlusu ve Veri İşleyen Kavramları ile Temel Sorumluluklar

Kanuni tanımı itibarıyla veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Diğer taraftan veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleme faaliyetini yürüten kişidir. Veri işleyen, veri sorumlusunun kendisine verdiği yetki ve talimatlar doğrultusunda hareket etmesine karşın, yasal mevzuat uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı erişimi engellemek ve verilerin muhafazasını sağlamak amacıyla alınacak teknik ve idari tedbirler hususunda veri sorumlusu ile müştereken sorumlu tutulmuştur. Bu durum, veri sorumlusunun işleme faaliyetini tamamen üçüncü bir tarafa devretmesi halinde dahi yasal sorumluluktan kurtulamayacağını, aksine denetim ve gözetim yükümlülüğünün devam edeceğini göstermektedir. Olası bir ihlal durumunda yasal idari para cezalarının muhatabı asli olarak veri sorumlusu olmakla birlikte, veri işleyenin de kusuru oranında iç ilişkide rücu mekanizmalarına konu olabileceği unutulmamalıdır.

Kişisel Veri İşleme Sözleşmesinin Hukuki Niteliği

Taraflar arasındaki yetki devrinin yasal bir zemine oturtulması için akdedilen kişisel veri işleme sözleşmesi, kanunlarda açıkça düzenlenmemiş, iş görme amacı güden ve sürekli borç ilişkisi kuran atipik bir sözleşmedir. Bu sözleşmenin temelinde, veri işleyenin, veri sorumlusu adına ve onun kurallarına uygun olarak bir sonuç elde etme borcu yatmaktadır. Bu sebeple sözleşmenin hukuki niteliği belirlenirken, niteliğine uygun düştüğü ölçüde vekâlet ve eser sözleşmelerine ilişkin yasal hükümlerin kıyasen uygulanması mümkündür. Ayrıca, hukuken katı bir şekil şartına tabi olmamasına rağmen, ispat kolaylığı ve rehber dokümanlar doğrultusunda bu sözleşmelerin yazılı şekilde yapılması şiddetle tavsiye edilmektedir. Nitekim yazılı bir sözleşme, ihlal durumunda hangi tarafın hangi idari ve teknik tedbirde kusurlu olduğunun tespitini kolaylaştırarak, taraflar arasındaki sorumluluk sınırlarını netleştirmektedir.

Sözleşme Kapsamında Tarafların Temel Yükümlülükleri

Veri sorumlusu ile veri işleyen arasında kurulan sözleşmesel ilişkide, veri işleyenin asli yükümlülüğü kişisel veri işleme faaliyetinin kendisinden ziyade, bu faaliyet sonucunda yasalara uygun bir sonuç elde etmektir. Veri işleyen ağırlıklı olarak teknik süreçlerin yönetiminden sorumluyken; hangi verilerin ne kadar süreyle ve hangi amaçla işleneceğine veri sorumlusu karar vermektedir. İlgili yasal otoritelerin yayımladığı veri güvenliği rehberleri uyarınca, akdedilecek kişisel veri işleme sözleşmelerinde asgari olarak bulunması gereken bazı emredici kurallar mevcuttur:

  • Veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda hareket edeceğine ve yasal mevzuata uyacağına dair açık taahhüt,
  • Sözleşme süresi bittikten sonra da devam edecek olan süresiz sır saklama yükümlülüğünün düzenlenmesi,
  • Meydana gelebilecek herhangi bir veri güvenliği ihlalinin derhal veri sorumlusuna bildirilmesi,
  • İşleme amacının veya sözleşmenin sona ermesini müteakip, elde edilen verilerin güvenli bir şekilde iade veya imha edilmesi.

Alt Veri İşleyen Kurumu ve Denetim Hakkı

Gelişen teknolojik iş modelleriyle birlikte veri işleyenler, üstlendikleri işi bizzat ifa etmek yerine yetkilerini kısmen veya tamamen başka kişi veya kurumlara devredebilmektedir. Alt veri işleyen olarak adlandırılan bu kuruma başvurulabilmesi, yasal olarak ancak veri sorumlusunun sözleşmede önceden buna izin vermiş olması ile mümkündür. Alt veri işleme mekanizmasında veri sorumlusu ile alt veri işleyen arasında doğrudan bir sözleşme ilişkisi bulunmasa da, hukuki kıyas yoluyla veri sorumlusu, asıl veri işleyene yöneltebileceği tüm hukuki ve denetimsel haklarını alt veri işleyene de yöneltebilmektedir. Veri sorumlusu, veri kayıt sistemlerinin kendi adına güvenli bir şekilde işletildiğinden emin olmak için dilediği zaman veri işleyenler nezdinde denetim yapma veya yaptırma hakkına sahiptir. Veri işleyenin bu denetime katlanma borcu, sözleşmenin şeffaf yürütülmesini sağlayan asli bir yan yükümlülüktür.

Müşteri verilerini bir yazılım şirketinde tutuyoruz. Bilgiler sızarsa ceza bize mi kesilir? expand_more
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen taraf olduğunuz için veri sorumlusu sıfatı ve asli yasal yükümlülük size aittir. İşlemleri sizin adınıza yürüten dış firmalar (veri işleyen) güvenlik tedbirleri konusunda kusurlu olsa dahi, olası bir veri ihlalinde yasal idari para cezalarının doğrudan muhatabı şirketiniz olacaktır. Kanun, verilerin güvenliğini sağlama konusunda veri sorumlusunu ilgili firmayla müştereken sorumlu tutar ve gözetim yükümlülüğünüz hiçbir zaman ortadan kalkmaz. Ancak firmanın kusuru oranında iç ilişkinizde ödediğiniz cezayı rücu etme, yani onlardan geri isteme hakkınız saklıdır.
Verilerimizi işleyen firmayla sözleşme yapmasak sözlü anlaşsak başımız ağrır mı? expand_more
Kişisel veri işleme sözleşmeleri için kanunlarda emredici ve katı bir şekil şartı bulunmasa da, sadece sözlü bir anlaşma yapılması ileride büyük ispat sorunları doğuracaktır. Veri güvenliği rehberleri uyarınca, bu tür yetki devirlerinin yasal bir zemine oturtulması için muhakkak yazılı bir sözleşmeye bağlanması şiddetle tavsiye edilmektedir. Yazılı bir sözleşme, herhangi bir ihlal yaşandığında hangi tarafın tedbir almakta kusurlu olduğunun tespitini son derece kolaylaştırır ve sorumluluk sınırlarınızı netleştirir. Ayrıca, bu anlaşmalarda veri ihlalinin derhal bildirilmesi ve verilerin imhası gibi emredici kuralların açıkça yer alması teknik ve hukuki güvenliğiniz için şarttır.
Anlaştığımız şirket verilerimizi taşerona vermiş. Haberimiz yoktu, bu yasal mı? expand_more
Sizin adınıza veri işleyen firmanın üstlendiği işi kısmen veya tamamen başka bir alt firmaya (alt veri işleyen) devredebilmesi hukuken kesin şartlara tabi tutulmuştur. Bu durum ancak veri sorumlusu olarak sizin, aranızdaki sözleşmede buna önceden açıkça izin vermiş olmanızla yasal hale gelebilir. Eğer sözleşmenizde böyle bir yetki devrine müsaade edilmediyse, firmanın verilerinizi sizden habersiz bir alt taşerona aktarması hukuka aykırıdır. İhlal veya yasal süreç durumunda, hukuki kıyas yoluyla asıl firmaya karşı sahip olduğunuz tüm hakları ve denetim yetkisini bu alt firmaya da yöneltebilme imkanınız bulunmaktadır.
Verilerimizi verdiğimiz firmaya güvenmiyorum, gidip sistemlerini kontrol edebilir miyiz? expand_more
Kesinlikle böyle bir hakkınız bulunmaktadır. Veri sorumlusu sıfatıyla, veri kayıt sistemlerinin adınıza gerçekten güvenli bir biçimde işletilip işletilmediğinden emin olmak için dilediğiniz zaman bu firmalar nezdinde denetim yapma veya yaptırma hakkına sahipsiniz. Hizmet aldığınız firmanın yapılacak bu denetimlere katlanma borcu, sözleşmenin şeffaf yürütülmesini sağlayan asli bir yan yükümlülüktür. Üstelik gözetim yükümlülüğünüzü bu şekilde aktif olarak yerine getirmeniz, kurumunuzun ileride karşılaşabileceği ağır idari cezaların önüne geçilmesi açısından büyük bir yasal zorunluluktur.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir