top of page
kişisel veri işleme sözleşmesi tetra bilişim

Kişisel Veri İşleme Sözleşmesi Nedir?

6698 sayılı Kişisel Verilerin Korunması Kanunu’na uyum süreci içinde veri sorumlularının yerine getirmesi gereken sözleşme yönetimi bulunmaktadır. Veri sorumlusu ile veri işleyen arasındaki sözleşme ilişkileri, kişisel verilerin korunmasının sözleşmeler hukukunu ilgilendiren önemli alanlarından birini oluşturur.

Sözleşme ilişkilerinin içerdiği hak ve yükümlülükler kapsamında kişisel veri işleme sözleşmesi; veri işleyenin, veri sorumlusunun talimatlarına, menfaatine ve iradesine uygun şekilde kişisel verileri işlemeyi taahhüt ettiği; veri sorumlusunun da bu iş görme borcu karşılığında bedel ödemeyi üstlendiği sözleşme olarak tanımlanabilir. 

Veri sorumlusu, kendisi adına veri işleme faaliyetinde bulunan veri işleyenlerle daha önce yaptığı sözleşmelerden bağımsız olarak “kişisel veri işleme sözleşmesi” başlığı altında yeni bir sözleşme yapabileceği gibi; daha önce mal veya hizmet alımı için akdedilmiş sözleşmelere de kişisel verilerin işleme şartlarına yönelik hükümler ekleyebilir. 

 

Kişisel Veri İşleme Sözleşmesi Dayanağı ve Şekli

 

Sözleşmenin temelinde, veri işleyenlerin de veri sorumluları gibi verilerin güvenliğinin sağlanmasından sorumlu olması yatmaktadır. Açıkça Kişisel Verilerin Korunması Kanunu’nda belirtilmemiş olsa da veri güvenliğinin sağlanması bakımından kanunda öngörülen müşterek sorumluluk 12. madde nedeniyle, veri sorumlusu ile veri işleyen arasındaki ilişkilerin sözleşmeyle düzenlenmesi vazgeçilmezdir. Veri sorumlusu, veri işleyeni sözleşme aracılığıyla, Kanun’un 3. maddesinin ğ bendine dayanarak yetkilendirmektedir.

Kişisel veri işleme sözleşmesi, veri sorumlusu ile veri işleyen arasında akdedilen bir sözleşmedir. Ancak kanuni bazı yükümlülükler nedeniyle kimi durumlarda veri sorumlusu ile veri sorumlusu arasında da verilerin kararlaştırmak amacıyla sözleşmelerin yapılması gerekir. 

Kişisel Verileri Koruma Kurulu tarafından yayımlanan uygulama rehberinde de belirtildiği üzere veri sorumlusu, yapılacak kişisel veri işleme sözleşmesiyle; (i) kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı, (ii) kişisel verilerin hangi yöntemle saklanacağı, (iii) kişisel verilerin aktarımının hangi yöntemle yapılacağı, (iv) taraflar arasındaki mal veya hizmet alımına ilişkin sözleşmedeki amaca ve süreye bağlı kalacak şekilde işleneceği hususları kararlaştırılabilir. Dolayısıyla kişisel veri işleme sözleşmesinde hangi hükümlerin bulunması gerektiği, alınan mal veya hizmetin niteliğine, veri sorumlusunun ve veri işleyenin içinde bulunduğu şartlara göre değişmektedir.

bottom of page