KVKK Kapsamında Veri İşleme ve Veri İşleyen

İçindekiler

A. Giriş

B. Veri İşleyen Kimdir  Ve Kişisel Verileri Koruma Kanundaki  Yeri Nedir

C. Veri İşleme Sözleşmeleri Ve Kanundaki Görünümü

D. GDPR VE 95/46/EC Sayılı Direktif ve   Veri İşleyenin Sorumlulukları

E. Sonuç

A. GİRİŞ

Kişisel verilerin korunması, elde edilen kişisel verilerin amacına uygun kullanılması ve bunların kişisel veri işleme sözleşmeleri ile garanti altına alınmaya çalışılması olukça önem arz etmektedir. Ülkemizdeki  ve tüm dünyada ki veri koruma otoriteleri  kişisel verilerin önem ve mahiyetini göz önünde bulundurarak bu alandaki düzenlemeleri sıkı tedbirlere bağlamaıştır. Buna göre  kişisel  verilerin işlenmesi ve bu işlemelerin gerekli koruma ile muhafaza altına alınması  hem GDPR ve 95/46/EC sayılı direktifte hem de mevcut kanunumuzda özel olarak ve ayrıntılı bir şekilde düzenlenmiştir. Bu yazıda veri işleyenin mahiyeti  ve veri işleme sözleşmelerin niteliği anlatılmaya çalışılacaktır.  Burada konun içeriğine geçmeden önce kişisel verinin  ve veri işleme faaliyetinden bahsetmek uygun olacaktır.

Kişisel veri kimliği belirli yahut belirlenebilir gerçek kişiye ait tüm veriler kişisel veri olarak karşımıza çıkacaktır. Bu anlamda kimliği belirli olmak yahut belirlenebilir olmak bizim için yeterli olacaktır. Yani kişiden veriye ulaşılabileceği gibi veriden kişiye de ulaşılabilir.

Yargıtay’ın kişisel veri tanımına göre ise:“kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı, kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü veridir.1” Y. 12. CD., 05.09.2018 T., 2571 E., 7821 K.; 13.04.2016 T., 9759 E., 10938 K

Veri işleme faaliyeti ise gerçek veya tüzel kişi tarafından veri sorumlusunun talimatına uygun olarak yapılan bir sözleşme neticesinde verilerin işlenmesini ifade etmektedir. Burada asıl sorumluluk veri sorumlusunda olacağından  bir uyuşmazlık halinde veri sorumlusunun sorumlu olacağından dolayı veri işleme sözleşmesinin sıkı şartlara bağlı olması yerinde olacaktır.

B.Veri işleyen Kimdir Ve Kişisel Verileri Koruma Kanundaki Yeri Nedir

Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder. Dolayısı ile veri işleyen  gerçek kişi olabileceği gibi tüzel kişi de olabilir. Önemli olan veri sorumlusunun talimatı ile veri işlenmiş olmasıdır. Eğer herhangi bir veri sorumlusu talimatı yoksa  veri işleyen değil veri sorumlusu gündeme gelecektir.

 Veri işleyenin tüzel kişi olmasında ise tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizzat kendileri “veri sorumlusu” olup, ilgili düzenlemelerde söz konusu  hukuki sorumluluk tüzel kişinin bizzat kendsinde meydana gelecektir.  Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri arasında herhangi  bir farklılık yoktur.

Yeri gelmişken   veri sorumlusundan da   kısaca  bahsedilecek olursa veri sorumlusu kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.

Veri sorumlusu, faaliyette bulunduğu alan ile ilgili bir veri işleme söz konusu olduğunda bunu veri işleyen aracılığı ile gerçekleştirir. Örneğin  fiili  olarak faaliyet  gösteren bir market online alışverişe geçip kargoyu müşterilerine ulaştırmak  için bir kargo şirketi ile anlaştığında müşterilerin adres ve telefon gibi kişisel  verilerini kendisi adına kargo şirketine işleme yetkisi verir. Bu durumda kargo şirketi online marketin veri işleyeni konumuna gelmiştir. Burada veri sorumlusu adına bir tüzel kişi, veri işleyen olarak karşımıza çıkmakta iken bir gerçek kişi de veri işleyen olarak veri sorumlusu tarafından görevlendirilebilir.

C. Veri İşleme Sözleşmeleri Ve Kanundaki Görünümü

Veri işleme sözleşmeleri veri işleyenin,  veri sorumlusunun talimatları ve  menfaatleri  doğrultusunda veri işlemeyi taahhüt ettiği veri sorumlusunun ise bu taahhüde karşılık bir ücret ödemeyi vaat  ettiği  bir tür sözleşmedir. Veri işleme sözleşmesi veri işleyen ile veri sorumlusu arasında ayrı bir sözleşme olarak meydana getirilebileceği gibi mevcut sözleşmeye veri işleme maddeleri ekleyerekte yapılabilir. Veri işleme sözleşmeleri ile veri işleyen hem sözleşmesel bir borç  altına girmekte hem de KVKK anlamında bir yükümlülük altına girmektedir.

Veri işleme sözleşmesinin temeli, veri güvenliğinin sağlanmasında veri sorumlusunun sorumlu olması dayanmaktadır. Bu durum hem Türk Hukukunda hem Avrupa Hukukunda temel alınmıştır. Kişisel Verileri Koruma Kanunu’nda, veri güvenliğine ilişkin 12. Maddede  veri sorumlusunun verilerin hukuka aykırı olarak işlenmesinin önlemek, hukuku aykırı  erişimi önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun  her türlü teknik ve idari tedbirleri alınmasını sağlamak gibi yükümlülükleri belirtilmiştir.

Ayrıca yine aynı maddede veri sorumlusu verilerin kendisi adına bir gerçek veya tüzel kişi tarafından işlenmesi halinde de müşterek sorumluluk belirlemiştir. Dolayısı ile veri işleyen veri sorumlusu adına işlediği ve  ne şekilde muhafaza ettiği verilerin güvenliğinden veri sorumlusu ile birlikte müşterek sorumlu olarak kabul edilmektedir.

D. GDPR Ve Veri İşleyenin Sorumlulukları

GDPR’ ye göre  veri sorumlusu adına veri işleme faaliyetinin gerçekleştirilmesi gerektiğinde veri sorumlusu, GDPR  gerekliliklerinin yerine getirilmesi ve veri sahibinin haklarının korunması sağlayacak biçimde uygun teknik  ve düzenlemeye ilişkin yeterli güvenceyi sağlayan veri işleyen ile çalışmak zorundadır.

Veri işleme sözleşmesi, veri sorumlusu ve veri işleyen arasında veri işleyen açısından bağlayıcı olan ve işleme faaliyetinin konusu ve süresi işleme faaliyetinin mahiyeti ve amacı kişisel verilerin  türü ve sahiplerinin kategorileri  veri sorumlusunun hakları ve yükümlülüklerinin ortaya konduğu bir sözleşme veya başka bir hukuki tasarruf ile ortaya konulur diyerek veri sorumlusu ve veri işleyen arasındaki veri işleme sözleşmesinin önemini ortaya koymaktadır.2

GDPR, veri işleyen ve veri sorumlusu arasındaki ver işleme sözleşmesini yeterli teminatın sağlanması işlene kişisel verilerin birlik üyesi devletler açısında yeterli koruma sağlaması GDPR gerekliliklerinin yerine getirilmesi ayrıca veri işleyenin başka bir veri sorumlusu ile çalışması halinde bu konuda veri sorumlusundan muvafakat almasının gerekliliğine deyinmiştir.

GDPR’ de veri işleyen doğrudan yükümlülük altına girmiştir. Buna göre:

-Veri işleyen veri sorumlusunun önceden izni ve yazılı onayı  olmaksızın başka bir veri işleyenle çalışamaz

-Veri işleyen kişisel verileri işleme yetkisi bulunan kişilerin gizlilik taahhüdünde bulunmasının veya uygun bir yasal gizlilik yükümlülüğü altında bulunmasının sağlanmasında sorumludur.

-Veri işleyen veri işleme faaliyetinin mahiyetini dikkate alarak veri sahibinin haklarının kullanımına ilişkin taleplere yanıt verme yükümlülüğünün yerine getirilmesine yönelik olarak uygun teknik ve düzenlemeye ilişkin tedbirler vasıtasıyla veri sorumlusuna yardımcı olur.

– Veri işleyen, veri sorumlusunun tercihi üzerine işleme faaliyeti ile ilgili hizmetlerin sağlanmasından sonra tüm kişisel verilerin silinmesi veya veri sorumlusuna iade edilmesi ve Birlik ya da üye devlet hukuku çerçevesinde kişisel verilerin saklanmasının gerekli olmaması durumunda mevcut nüshaların silinmesini sağlanmasında rol oynar.3

E.SONUÇ

Veri işleyen,  yukarıda da belirtildiği gibi  veri sorumlusu ile yaptığı sözleşme gereğince  veri işleme  konusunda, veri sorumlusunun talimatına uygun olarak veri işlemekte, işlenen  verilerin güvenliği açısından veri sorumlusu ile birlikte sorumlu olmakta ancak  diğer konularda veri sahibine karşı sorumlu olmamaktadır.  Bu açıdan ise yine GDPR ile Kişisel Verileri Koruma Kanunda farklılık görülmektedir. KVKK, veri işleyeni sadece veri güvenliğine ilişkin konularda veri sorumlusu ile birlikte müşterek sorumlu kabul etmekte iken GDPR veri işleyenin tam sorumluluğu olduğunu kabul etmektedir.

Veri işleyen ile veri sorumlusu arasındaki sözleşme GDPR’ de açıkça öngörülmüş ve sıkı şartlara bağlanmışken, kanunumuzda buna yönelik net  bir düzenleme bulunmamaktadır Veri işleme sözleşmesi, GDPR’ de  işleme faaliyetinin konusu, süresi, mahiyeti, kişisel verinin türü gibi ölçütler dikkate alınarak düzenlenmiştir. Ancak KVKK’da ise doğrudan bir veri işleme sözleşmesinden bahsedilmektedir.

Av. Fatma OKUR’un tüm Blog yazılarını bağlantıdan görebilirsiniz.

Hukuk ve Bilişim Dergisi’nin geçmiş sayılarını okumak için bağlantıya tıklayınız.

Yazar: Av. Fatma OKUR / Hukuk ve Bilişim Dergisi Editörü

Kaynakça

1. Doç. Dr. Gamze TURAN BAŞARA, Kişisel Veri İşleme Sözleşmesi, Uyuşmazlık Mahkemesi Dergisi, s.57 vd.

2. General Data Protection Regulation