Kişisel Verilerin Korunması Kanunu Kapsamında Veri Sorumlusu-Veri İşleyen Sözleşmelerinde Bulunması Gerekenler

Kişisel Verilerin Korunması Kanunu Kapsamında

Veri Sorumlusu-Veri İşleyen Sözleşmelerinde Bulunması Gerekenler

Yazarlar:

Neslihan Kasap – Avukat
Özcan Kemer – Avukat
Semih Yılmaz – Bilgi Güvenliği Danışmanı

Ülkemizde 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ilgili ikincil mevzuatın yayınlanıp yürürlüğe girmesi süreçleriyle birlikte, faaliyetleri kapsamında kişisel veri paylaşımı gerçekleştiren şirketler açısından, tarafların sorumluluklarının belirlenmesi adına sözleşmelerin düzenlemesi önem arz eden bir konu haline gelmiştir. Bilindiği üzere, Kanun veri sorumluları için birtakım yükümlülükler öngörmüş ve Kanun’da belirtilen tedbirlerin alınması hususunda veri sorumlusunun veri işleyen ile birlikte müştereken sorumlu olduğu belirtilmiştir. Bu itibarla, sorumlulukların belirlenmesi açısından Veri Sorumlusu-Veri İşleyen ilişkilerinde taraflar arasında yazılı olarak düzenlenmesi gereken hususlar bulunmaktadır.

Avrupa Birliği’nde de Mayıs 2018 tarihinden itibaren uygulama alanı bulacak olan General Data Protection Regulation (GDPR)’nın 28. Maddesinde de Veri Sorumlusu ve Veri İşleyen arasında imzalanan sözleşmelerde asgari olarak bulunması gereken hükümler belirtilmiştir.

Bu makalede kişisel veri aktarımı içeren eden sözleşmelerde ne gibi düzenlemeler yapılması gerektiği ve sözleşmelerde dikkat edilmesi gereken konular hakkında sizlere yol göstermek amacıyla hazırlanmıştır.

(1)            Teknik ve İdari Tedbirler:

Kanun kapsamında Veri Sorumlusunun (a) kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, (b) kişisel verilere hukuka aykırı olarak erişilmesini önlemek, (c) kişisel verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik olarak her türlü teknik ve idari tedbiri alması gerekmektedir.

Veri sorumlusu ayrıca kişisel verilerin kendi adına üçüncü kişiler tarafından işlenmesi halinde söz konusu üçüncü kişilerin (veri işleyenlerin) belirtilen tedbirleri alması noktasında bu kişilerle birlikte müştereken sorumlu olması nedeniyle sözleşmelerde bu tedbirlerin alındığına yönelik olarak gerekli teyit ve taahhütlerin alınması gerekmektedir. Bu tedbirler kişisel verilerin saklanma şekline göre fiziksel veya dijital ortamlarda alınacak tedbirler olarak çeşitlilik gösterecek olup tarafların veri saklama yöntemlerine göre alınması gereken tedbirler taraflar arasında belirlenmelidir.

Teknik ve idari tedbirler kişisel verinin yaşam döngüsünün (oluşturulması, edinilmesi, işlenmesi, saklanması, aktarılması, imhası) her safhasında alınacak teknolojik, yönetsel ve süreçsel tedbirlerdir. Söz konusu tedbirler kişisel verilerin güvenliği açısından değerlendirilmeli ve çoğunlukla gizlilik (yetkisiz olarak erişilmemesi) ve bütünlük (yetkisiz olarak değiştirilmemesi) ilkelerine göre oluşturulmalıdır. Veri sorumlusunun veri işleyende araması gereken teknik ve idari tedbirlere ilişkin örnekler aşağıdaki şekilde ifade edilmiştir.  Söz konusu örnekler veri sorumlusunun sözleşmenin imzalanmasından önce veri işleyenin güvenlik olgunluğunu değerlendirilmesi için kullanılabilmektedir.

  • Veri Sınıflandırma yöntemi uygulayarak korumaya alacağı kişisel verileri içeren tesisleri, ortamları, sistemleri tespit edilmelidir.
  • Tespit edilen kişisel veri barındıran mecralarda Erişim Yönetimi süreci işletilmeli, bilgi varlıklarına erişimler bilmesi gereken prensibine göre yetkilendirmeler yapılmalıdır. Etkili bir erişim tanımlama, gözden geçirme ve erişim hakkını geri alma süreci tanımlanmalı ve işletilmelidir.
  • Organizasyon dışından gelen saldırılar için zararlı yazılımdan koruma, saldırı tespit ve önleme sistemleri kullanılmalıdır.
  • Organizasyon içinden gerçekleşebilecek bilgi ifşasını önlemek amacıyla veri sızıntısı önleme tedbirleri uygulanmalıdır ve bulgular raporlanmalıdır. Veri sızıntısı önleme araçları kişisel verilerin kontrolsüz olarak çoğaltılması, paylaşılması için önlemleri içermektedir. Söz konusu önlemler bulut platformları vb. platformlara yüklenmesinin önüne de geçebilmektedir.
  • Bilgilerin saklanması ve iletimi esnasında kriptografik kontroller uygulanmalıdır.
  • Organizasyonun kabul görmüş endüstri standartlarına göre parola politikasını belirlemesi ve uygulaması gerekmektedir.
  • Kurum dışında çalışma kuralları iyi uygulama pratiklerine göre uygun olarak tasarlanmalı ve işletilmelidir. Organizasyonun dışından yapılan bağlantılar çok faktörlü doğrulama kontrollerini içermelidir.
  • Veri işleyen, veri sorumlusu için yazılım geliştirme yapması durumunda ortamların ayrılığı sağlanmalı ve canlı ortamlardaki verilerin güvenliği sağlanmalıdır. Aynı zamanda sistemlerde test verisi olarak canlı ortamlarda bulunan veriler kullanılmamalıdır.
  • Bilinen zafiyetlerinin istismar edilememesi için etkili bir Yama Yönetimi süreci işletilmelidir. Bu sürecin etkin olduğunu ise periyodik olarak Sızma Testleriyle izlenmelidir.
  • Organizasyondaki bilgi güvenliği kültürünü canlı tutmak için farkındalık çalışmaları yürütülmelidir. Bu çalışmalar konuyla ilgili periyodik farkındalık eğitimlerin verilmesi, posterler asılması, broşürlerin dağıtılması, e-posta aracılığıyla bilgilendirilmelerin yapılması şeklinde özetlenebilir.
  • Organizasyonun kaynaklarının etkin ve etkili kullandığının güvencesi olarak bağımsız otoriteler tarafından denetlenmesi sağlanmalıdır.
  • Yaşanabilecek bilgi ifşasında doğru şekilde bilgilendirip gerekli aksiyonların alınabilmesi amacıyla İhlal Olayı Yönetimi süreci tasarlanmış ve işletiliyor olmalıdır.
  • Hem hesap verilebilirlik ilkesinin sağlanabilmesi hem de ihlal incelemelerinde kullanılabilmesi amacıyla olay kaydetme (log yönetimi) kontrolünün işletilmesi gerekmektedir.

(2)            Sorumluluk Sınırlandırılması:

Veri Sorumlusu, Kanunu’na aykırılık neticesinde karşılaşabileceği maddi yaptırımlara yönelik olarak ilişkinin niteliğine göre ilgili veri sorumlusu veya veri işleyene karşı sorumluluğunu sözleşmeye sorumluluğu sınırlayıcı maddeler ekleyerek düzenleyebilir. Ek olarak, veri sorumlusu-veri sorumlusu ilişkilerinde taraflar yalnızca kendi işledikleri verilere ilişkin olarak sorumluluk sahibi olmak istemeleri halinde, bu doğrultuda, yalnızca kendi işledikleri verilere ilişkin olarak sorumlu olacaklarına yönelik düzenlemelere sözleşmelerde yer vererek sorumluluk alanlarını sınırlayabilirler.

(3)            Rücu:

Kişisel veri paylaşımında bulunan taraflardan biri, sözleşmesel ilişkiyle bağlantılı olarak karşı tarafın Kanun ve ikincil mevzuat hükümlerine aykırı davranışlardan dolayı maddi zararlarla karşılaşması halinde, zararlara katlanan taraf karşı tarafa rücu edebilmesi için, maddi zararlara ilişkin olarak aykırı davranışları gerçekleştiren tarafa rücu etmeye yönelik gerekli düzenlemelere sözleşmede yer verilmesi gerekmektedir. Yukarıda anlatıldığı şekilde veri sorumlusunun veri işleyenin eylemlerinden sorumluluğu bulunması sebebiyle rücu düzenlemelerinin sözleşmelerde düzenlenmesi ayrıca önem arz etmektedir.

(4)            Taraflar Arasında İş Birliği:

Kanun ve ikincil mevzuat çerçevesinde taraflar arasındaki veri aktarımı ilişkisinin gerekli uyumluluk süreçlerini tamamlayabilmek ve oluşturulan bu uyumluluk sürecini koruyabilmek amacıyla sözleşme süresince taraflar arasındaki iş birliğinin üst seviyede olması büyük önem taşımaktadır. Taraflar karşılıklı olarak makul görecekleri ölçülerde aralarındaki sözleşme hükümlerine uyumluluğu izlemeyi sağlayacak düzenlemeler ekleyerek, gerekli görülmesi halinde sözleşme kapsamında veri işlemenin gerçekleştirildiği tüm tesis, ekipman ve ortamlara ilişkin bilgi ve erişim sağlanmasına yönelik hükümlerde iş birliğini düzenlemelidir. Bu iş birliği başta Kişisel Verileri Koruma Kurumu olmak üzere, tarafların düzenleyici otoritelere karşı sorumluluklarını yerine getirmek için de gerekli koşulları içermelidir. Ayrıca, herhangi bir veri ihlali gerçekleşmesi durumunda, sözleşmede veri işleyenin veri sorumlusuna Kanun’dan kaynaklanan sorumluluklarını yerine getirebilmesi için belirlenecek süreler içerisinde bildirimde bulunma yükümlülüğü olmalıdır.

(5)            İlgili Kişi Talepleri Hakkında İş Birliği:

Kişisel Verilerin Korunması Kanunu ile ilgili kişilere tanınan veri sorumlusuna başvuru hakkının ilgili kişiler tarafından kullanılması halinde, veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmakla yükümlüdür. Bu yükümlülüğe uygun olarak hareket edilmesini sağlayabilmek amacıyla, tarafların, kişisel veri sahibi ilgili kişilerin veri erişimi, verinin düzeltilmesi, silinmesi ve anonim hale getirilmesi gibi haklarını kullanabilmeleri için ihtiyaç olduğu şekilde iş birliği yapmaları gerekmektedir. Taraflar arasındaki sözleşme ile bu iş birliğinin şekli ve niteliği detaylı bir şekilde düzenlenerek verimli bir iş birliği prosedürü belirlenmelidir.

(6)            Alt Veri İşleyen:

Kimi hallerde verilerin işlenmesi veya saklanması amaçlarıyla veri sorumluları veya veri işleyenler tarafından alt veri işleyen kullanılabilmektedir. Alt veri işleyen kullanılmasına yönelik olarak taraflar arasında akdedilen sözleşmede alt veri işleyenin haiz olması gereken nitelikler ve alt veri işleyen ile akdedilecek sözleşmede bulunması gereken unsurlar belirlenmelidir. Bununla birlikte, alt veri işleyen atamanın veri sorumlusunun onayı ile yapılabileceği de kararlaştırılabilir.

(7)            Yurtdışına Aktarım:

Öncelikle belirtmek gerekir ki, yurt dışına veri aktarımı sadece yurt dışında bulunan taraflara yapılacak olan aktarımlar olarak değil veri işleyen veya veri sorumlusunun bulut sistemleri kullanıyor olması durumunda da yurt dışına aktarım söz konusu olabilecektir.

Kanun’da yurt dışına aktarım belirli kurallara tabi tutulmakla birlikte, Kurul tarafından belirlenecek yeterli korumanın bulunmadığı ülkelere yapılacak veri aktarımları açısından veri işleyen ile veri sorumlusu arasındaki sözleşme büyük önem arz etmektedir. Kanun’da kişisel verinin aktarılacağı ülkede yeterli koruma bulunmazsa Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması koşulu aranmıştır. Avrupa Birliği uygulamalarında da yurt dışına veri aktarımları için European Commission’ın yayınladığı Standard Contractual Clauses kullanılmaktadır. Mevzuatımızda henüz yeterli korumanın bulunduğu ülkeler belirlenmediği ve yukarıda belirtilen yazılı taahhüt örnekleri Kurul tarafından yayımlanmadığından, yurt dışına aktarımın söz konusu olduğu durumlarda, aktarım yapılan ülkede bulunan veri işleyenin sözleşmede belirtilen güvenlik önlemlerini aldığını taahhüt etmesi gerekmektedir. Söz konusu koruma önlemleri işlenen veri tipine göre değişiklik gösterebilir.

(8)            Amaca Uygun Kullanım:

Veri işleyen-veri sorumlusu sözleşmeleri kapsamında, veri işleyen kişisel verilerin işlenme amaçlarını belirleyen veri sorumlusunun talimatlarıyla hareket edecektir. Bu itibarla, veri işleyenin veri sorumlusunun talimatlarını yerine getiremeyecek durumda olması halinde veri sorumlusuna bildirimde bulunma yükümlülüğü sözleşmede kararlaştırılmalıdır. Yine gerekçe ile, sözleşmede veri işleyenin kişisel verileri hangi amaçlarda işleyebileceği kararlaştırılmalı ve veri işleyen belirlenen amaçlar dışında kişisel verileri işlemeyeceğini taahhüt etmelidir. Aksi halde, veri işleyen kişisel verilerin işlenme amaçlarını belirleyen taraf olarak veri sorumlusu sıfatını haiz olacaktır.

(9)            İade ve İmha:

Sözleşmede veri işleyenin veri sorumlusunun talebi üzerine kişisel verileri sileceği veya yok edeceğinin kararlaştırılması gerekmektedir. Özellikle, sözleşmesel ilişkinin sona ermesini müteakip veri işleyenin veri işlemesini gerektiren sebepler sona erdiğinden veri sorumlusunun talebiyle veri işleyen tarafından ilgili verilerin iletilmesi ve silinmesi/yok edilmesi gerekmektedir. Ayrıca, Kanun uyarınca ilgili kişi veri sorumlusundan kişisel verilerin silinmesini talep etme hakkını haiz olup ilgili kişi ayrıca söz konusu silme işleminin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme hakkını da haizdir. Bu itibarla, veri sorumlusu tarafından silinen bir verinin veri işleyen tarafından da silinmesi gerekebileceğinden sözleşmede veri sorumlusunun kişisel verilerin silinmesini talep etmesine yönelik hükümlere yer verilmelidir.

(10)        Denetim Hakkı:

Veri sorumlusu yukarıda açıklandığı şekilde, veri işleyenin hareketlerinin de üçüncü kişilere karşı sorumlu olduğundan, veri işleyenin sözleşmeye aykırı eylemlerinin tespiti için veri sorumlusunun denetim hakkı olması gerekmektedir. Söz konusu denetim veri sorumlusunun kendisi tarafından ya da onun belirleyeceği üçüncü kişiler tarafından yapılabilir. Sözleşmede denetimin ne şekilde ve hangi aralıklarla yapılacağına ilişkin detaylara yer verilebilir. Denetim bulguları neticesinde, veri sorumlusu   veri işleyen ile olan ilişkisinde ne şekilde hareket edeceğine karar verecektir.