Soru & Cevap

Şirketiniz ile dışarıdan destek aldığınız bilişim firması arasında bir kişisel veri işleme sözleşmesi yapılması, veri güvenliğinin sağlanması ve hukuki yükümlülüklerin yerine getirilmesi açısından kritik bir gerekliliktir. Avrupa veri koruma mevzuatı olan GDPR kapsamında bu sözleşmenin yapılması açık bir yasal zorunluluk olarak düzenlenmiş olup, yapmamak idari para cezası yaptırımına tabidir. Türk hukukunda doğrudan kanun metninde bu isimle açık bir zorunluluk yer almasa da, Kişisel Verileri Koruma Kurumu'nun rehberleri ve kararları uyarınca veri sorumlusunun veri işleyen statüsündeki kişilerle sözleşme yapması uygun bir idari tedbir olarak değerlendirilmektedir. Bu sözleşme sayesinde, verileri sizin adınıza işleyecek olan firmanın yetki sınırları ve veri güvenliğine ilişkin taahhütleri belirlenerek olası ihlallerde sorumluluğun tespiti kolaylaşmaktadır. Dolayısıyla, ileride doğabilecek hukuki uyuşmazlıklarda ispat kolaylığı sağlaması ve idari para cezası gibi riskleri en aza indirmesi bakımından bu tür bir sözleşmenin akdedilmesi her zaman önerilen ihtiyatlı bir yaklaşımdır.