Veri sorumlusu kişisel verileri işleme faaliyetini üçüncü bir kişiye yaptırmak isterse bu üçüncü kişiyi veri işleyen olarak görevlendirmesi gerekir. Veri sorumlusunun, kendi talimatları doğrultusunda kişisel verileri işlemesi için veri işleyeni yetkilendirdiği sözleşme kişisel veri işleme sözleşmesidir (“Veri İşleme Sözleşmesi“). Veri İşleme Sözleşmesi ile yetkilendirilen veri işleyen, gerçek veya tüzel kişi olabilir.
Veri İşleme Sözleşmesi öncelikle Kişisel Verilerin Korunması Kanunu (“KVKK“) ve ilgili mevzuat ile uyumlu olmalıdır. Bu bağlamda Veri İşleme Sözleşmesi’nde bulunması gerekenler aşağıdaki başlıklarda ele alınmıştır.
İdari ve Teknik Tedbirler
Veri işleyen, KVKK’da düzenlenen şekilde kişisel verilerin korunması için idari ve teknik tedbirleri almakla yükümlüdür. Kişisel Verilerin Korunması Kurumu’nun yayınladığı İdari ve Teknik Tedbirler Rehberi’ne göre Veri İşleme Sözleşmesi’nde düzenlenmesi önerilen hususlar aşağıda belirtilenlerdir:
- Veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda hareket edeceği: Talimatların yazılı verileceği ve veri işleyenin bu talimatlar dışına çıkmayacağı sözleşmede belirtilebilir.
- Veri işleyenin Veri İşleme Sözleşmesi’nde belirtilen veri işleme amaç ve kapsamına uygun davranacağı,
- Veri işleyenin kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceği,
- Veri işleyenin işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne tabi olacağı,
- Veri İşleme Sözleşmesi’nde herhangi bir veri ihlali olması durumunda, veri sorumlusunun bu ihlali Kişisel Verileri Koruma Kurulu’na ve ilgili kişiye bildirme yükümlülüğünü yerine getirebilmesi için, veri işleyenin bu durumu derhal veri sorumlusuna bildirmekle yükümlü olacağı.
Taraflar Veri İşleme Sözleşmesi’nde aşağıdaki hususlarda veri işleyenin karar verme yetkisinin olacağını düzenleyebilir: (i) kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin kullanılacağı, (ii) kişisel verilerin saklanma yöntemi, (iii) kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları, (iv) kişisel verilerin aktarımının hangi yöntemle yapılacağı ve (v) kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri.
Veri İşleme Sözleşmesi kapsamında veri sorumlusu tarafından veri işleyene aktarılan kişisel verilerin kategori ve türleri de sözleşmede belirtilmelidir.
Veri işleyenin çalışanları ve taşeronları
Veri işleyen, işlenen kişisel verilere erişimi olan çalışanlarının Veri İşleme Sözleşmesi’ne ve KVKK’ya uyumlu davranmasını sağlamakla yükümlüdür. Bu bağlamda veri işleyen sadece görevi gereği bilmesi gereken çalışanlarına kişisel verilere erişim sağlar. Ayrıca veri işleyenin çalışanlarından gizlilik taahhüdü alması veya iş sözleşmelerinde gizlilik yükümlülüklerinin olması tavsiye edilir.
Veri işleyen ancak veri sorumlusunun talebi veya izni ile veri işleme faaliyetlerinde taşeron firma veya şahıslar görevlendirmelidir.
İlgili kişilerin hakları
Kişisel verileri işlenen ilgili kişilerin KVKK tahtındaki haklarını kullanabilmeleri öncelikli olmalıdır. Bunun için veri işleyen veri sorumlusunun ilgili kişilere karşı sorumlu olduğu yükümülüklerini yerine getirebilmesi için mümkün olan ölçüde idari ve teknik tedbirleri almalı, gerekli düzenlemleri yapmalıdır.
Veri işleyen kişisel veri koruma mevzuatına uygun şekilde kişisel verisi işlenen ilgili kişiden bir talep alması halinde derhal veri sorumlusunu bilgilendirmelidir. Veri işleyen bu talebe veri sorumlusunun talimatına uygun olarak veya kanunen yükümlü olduğu şekilde karşılık verebilir.
Aynı şekilde, veri işleyen kişisel veri ihlali olduğunu öğrendiği anda hemen veri sorumlusuna haber vermeli ve veri sorumlusunun üstüne düşen kurulu ve ilgili kişiyi bilgilendirme gibi yükümlülüklerini yerine getirebilmesi için gerekli bilgileri de vermelidir.
Veri sorumlusunun denetim hakkı
Veri işleyen Veri İşleme Sözleşmesi’ne uygun davrandığını göstermek için veri sorumlusunun talep etmesi halinde gerekli bilgileri vermeli ve veri sorumlusu veya görevlendirdiği denetçi tarafından denetim yapılmasına izin vermelidir.
Kişisel verilerin silinmesi
Kişisel verilerin işlenmesi faaliyetinin amacı sona erdikten sonra veri işleyen kişisel verileri KVKK ile uyumlu olarak silmeli veya imha etmelidir.
Veri İşleme Sözleşmesi’nin Kişisel Veri Saklama ve İmha Politikasına uygun olması önerilmektedir.
Kişisel verilerin yurtdışına aktarımı
Veri işleyen veri sorumlusunun izni olmadan kişisel verileri yurtdışına aktaramaz.