Veri işleme sözleşmelerinin amacı, veri sorumlusunun ilgili kişiye karşı veri güvenliğini sağlama yükümlülüğünün yerine getirilmesidir.

Kişisel Verileri Koruma Kurumu, veri işleme sözleşmesi ve veri aktarım taahhütnamesinden beklentisi şöyledir:

  • Veri işleme sözleşmesi, veri işleyen tarafın görev ve sorumluluklarının belirlenmesi, veri işleyen rolünü üstlendiğinin kağıda dökülmesi, örnek için tıklayınız.
  • Veri aktarım taahhütnamesi de yurtdışına aktarılan veriler üzerinde yurtdışında da Türkiye’deki asgari güvenlik standardının sağlanması için imzalanan metindir.

Kurum açısından amaç veri güvenliğini sağlamaktan ibarettir. Bu metinler çeşitli hukuki etkilere karşı belirli durumlarda hukuki koruma sağlayacaktır.

KVKK nedeniyle ortaya çıkan hukuki etkiler şöyledir:

  1. İlgili kişinin uğradığı zararlar,
  2. İlgili kişinin zarara uğraması nedeniyle:
    • İhlali gerçekleştiren gerçek kişiye TCK hükümlerine göre cezai yaptırım durumudur.
    • Veri sorumlusunun ve veri işleyen yetkilerini aşıp veri sorumlusu gibi hareket eden diğer kişiler hakkında İdari yaptırım ihtimalidir.
    • Hakları ihlal edilen ilgili kişinin özel hukuk hükümlerine dayalı olarak veri sorumlusundan talepte bulunması ve veri sorumlusunun bu talebi karşılaması halidir.

Eğer karşı taraf sizin kayıt sisteminizi kullanmıyorsa karşı tarafın sizden talep edebileceği bir zarar söz konusu olmayacaktır.

Veri işleyen ile veri sorumlusu arasındaki veri işleme sözleşmesinde yer alması gereken hususlara dair Kurum beklentileri şöyledir:

VERİ İŞLEME SÖZLEŞMESİ KONTROL LİSTESİ:

  • Veri işleyen ile imzalanan sözleşme yazılı olmalıdır.
  • Veri sorumlusu tarafından veri işleyene aktarılan kişisel veri kategori ve türlerinin belirtilmesi gerekir.
  • Veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin taahhüt yer almalıdır.
  • Sözleşmedeki saklama ve imha hükümleri, veri sorumlusu tarafından hazırlanan Kişisel Veri Saklama ve İmha Politikasına uygun olmalıdır.
  • Veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne tabi olacağı sözleşmede yer almalıdır.
  • Herhangi bir veri ihlali olması durumunda, veri işleyenin bu durumu derhal veri sorumlusuna bildirmekle yükümlü olduğu belirtilmelidir.

Veri işleyenin, veri sorumlusu gibi hareket ettiği olaylara ait Kurul karar özetleri:

  • Çağrı merkezi hizmeti sunan firmaya veri sorumlusu tarafından aranacaklar listesi teslim edilmiştir. Çağrı merkezi veri sorumlusundan habersiz temin ettiği başka listelerideki ilgili kişileri de aramıştır. Olayda çağrı merkezi firma ayrıca veri sorumlusu kabul edildi. Veri sorumlusu yerine bu firmaya idari yaptırım uygulandı. https://kvkk.gov.tr/Icerik/6890/2020-172
  • Bankanın vekili olan hukuk bürosuna borç takip sistemine erişim ve kullanma izni tanınmıştır. Hukuk  bürosu çalışanı bir avukat tarafından temin edilmiş borçlu yakını bilgisi bu sisteme kaydedilmiştir. Borç bilgileri avukat tarafından borçlu yakınına gönderilmiştir. Olayda hukuk bürosu banka talimatlarını aştığı ve veri sorumlusu gibi davrandığı için idari yaptırıma maruz kaldı. Banka kendi kayıt sistemlerindeki verileri doğrulamadığı için ayrıca idari yaptırım uygulandı. https://www.kvkk.gov.tr/Icerik/6917/2021-111