Sedanur Gümüş 4 Mar, 2025 universal
Türk Hukukunda Kişisel Veri İşleme Sözleşmesi
BİRİNCİ BÖLÜM
GİRİŞ
Kişisel veri işleme sözleşmesi, veri işleyenin veri sorumlusunun talimatlarına uygun olarak kişisel verileri işlemeyi taahhüt ettiği, veri sorumlusunun da bu iş görme edimi karşılığında ücret ödeme altına girdiği bir sözleşmedir[1]. Kişisel veri işleme sözleşmesi, sözleşme serbestisi ilkesine dayanır. Bu sözleşmesinin esaslı unsurları; kişisel verilerin işlenmesi, ücret ödenmesi ve sözleşmenin taraflarının anlaşmasıdır.
Kanun’da veri işleyen ve veri sorumlusu arasındaki ilişki isimsiz bırakılmış ise de Kurum’un yayımladığı uygulama rehberlerinde bu sözleşme ilişkisi için “kişisel veri işleme sözleşmesi” ifadesi kullanılmıştır.
Türk Hukukunda kişisel veri işleme sözleşmesinin tarafı olarak veri işleyen, KVKK’nin 3. maddesinin 1. fıkrasının ğ bendinde düzenlenmiştir. Bu hüküm ile veri sorumlusu veri işleme sözleşmesi ile veri işleyeni yetkilendirebilmektedir. Örneğin, veri sorumlusu sıfatına haiz olan bir şirketin, işçilerinden birisini kendisi adına temsile yetkili kılması durumunda işçi veri işleyen olarak kabul edilecektir. Böyle bir durumda veri sorumlusu şirket ile veri işleyen işçi arasında temsil ilişkisinin var olduğu kabul edilecektir.
Kişisel veri işleme sözleşmesi GDPR (Genel Veri Koruma Yönetmeliği)’de ayrıntılı olarak düzenlenmiştir. GDPR’nin 28. maddesinin 3. fıkrası, veri işleyenin işleme faaliyetini yürütebilmesi için veri sorumlusu ile veri işleyen arasında bir veri işleme sözleşmesi veya hukuki bir işlemin bulunması gerektiğine vurgu yapmış ve işlemin asgari koşullarını belirlemiştir.
Kişisel veri işleme sözleşmesi; veri sorumlusu ve veri işleyen arasında gerçekleşebileceği gibi verim sorumlusu ile başka bir veri sorumlusu veya veri sorumlusu ile alt veri işleyen arasında da gerçekleşebilir. Şöyle ki veri işleyen, veri sorumlusu nezdinde işlemeyi taahhüt ettiği kişisel verileri, alt veri işleyene işlettiğinde veri işleyici ile alt veri işleyici arasında kişisel veri işleme sözleşmesi akdedilir.
KİŞİSEL VERİ İŞLEME SÖZLEŞMESİNİN TANIMI VE TARAFLARI
1.1.Tanımı
Kişisel veri işleme sözleşmesi, bir veri sorumlusunun, belirli bir hizmeti veya işi yapmak için kişisel verileri veri işleyene işleme yetkisi verdiği bir sözleşmedir.
KVKK’nin 3. maddesinin 1. fıkrasının ğ bendine göre veri işleyen, veri sorumlusunun verdiği yetki doğrultusunda onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Esasen kişisel veri işleme sözleşmesi veri sorumlusunun bir veri işleyeni veri işlemek amaçlı yetkilendirmesi ihtiyacı sonucu ortaya çıkmıştır. Bu sebeple veri sorumlusu kişisel verilerin toplanması, kişisel veri türlerine, kişisel verileri işleme amaçlarına, kişisel verilerin ne kadar saklanacağına, kişisel verilerin aktarılıp aktarılmayacağına karar veren taraftır. Veri işleyen ise veri sorumlusunun bu kararları doğrultusunda talimatları ile veri işlemekle yükümlüdür.
Bu çerçevede, veri sorumlusu, kişisel verilerin toplanması, işlenme amacı, kişisel veri türleri, verilerin ne kadar süreyle saklanacağı ve verilerin aktarılıp aktarılmayacağına ilişkin kararları veren taraftır. Veri işleyen ise, veri sorumlusunun verdiği talimatlar doğrultusunda ve veri sorumlusunun belirlediği çerçevede kişisel verileri işlemekle yükümlüdür.
1.2.Tarafları
Kişisel veri işleme sözleşmesinde veri işleyen ve veri sorumlusu olmak üzere iki taraf bulunmaktadır. Veri işleyen taraf, veri sorumlusunun belirlediği talimatlara uygun olarak kişisel verileri işleme yükümlülüğü taşır. Veri sorumlusu ise bu iş görme karşılığında ücret ödemekle yükümlüdür.
KVKK’ye göre veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade ederken veri sorumlusu ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
1.KİŞİSEL VERİ İŞLEME SÖZLEŞMENİN HUKUKİ NİTELİĞİ
Kişisel veri işleme sözleşmesi, tarafların karşılıklı ve uyumlu irade beyanları ile oluşturulan bir sözleşmedir. Kanun’da kişisel veri işleme sözleşmesinin taraflarının
yükümlülüklerine ilişkin unsurlar düzenlemiştir. Ancak Türk hukukunda kişisel veri işleme sözleşmesinin kurulmasına ve sona ermesine ilişkin bir düzenleme bulunmamaktadır[1].
Kişisel veri işleme sözleşmesi, Kanun’da, Türk Borçlar Kanunu’nda (TBK) ya da herhangi bir kanunda özel olarak düzenlenmediği için atipik (isimsiz) bir sözleşmedir. Ancak kişisel veri işleme sözleşmesinin asli edim yükümlülüklerinden biri de, veri işleyenin veri sorumlusunun talimatları doğrultusunda kişisel verileri işleme görevini üstlenmesidir. Bu çerçevede, kişisel veri işleme sözleşmesi vekalet sözleşmesinin unsurlarını da barındırmaktadır. Bu sebeple doktrinde pek çok yazar, TBK 1149-1530. Maddelerinde düzenlenen vekalet sözleşmesinin unsurlarını kişisel veri işleme sözleşmesine de kıyasen uygulamaktadırÇünkü kişisel veri işleme sözleşmesi, vekalet sözleşmesiyle benzer şekilde bir güven ilişkisine dayanır. Bu sözleşmede, bir taraf (veri sorumlusu), diğer tarafa (veri işleyen) veri işleme konusunda güven duyar.
Kişisel veri işleme sözleşmesinde veri işleyenin kişisel veri işleme edimi, kural olarak süreklilik taşıyan niteliğe sahiptir[2]. Çünkü veri işleme yükümlülüğü bir kere yerine getirmekle ifa edilmiş sayılmaz. Bu yönüyle kişisel veri işleme sözleşmesi, kira sözleşmesinde tarafların sürekli borç ilişkisi kurması hususuna benzer nitelikler taşır.
2.KİŞİSEL VERİ İŞLEME SÖZLEŞMESİNİN ŞEKLİ
Kişisel verilerin işlenmesi sözleşmesinin şekli hususunda Türk Hukuku ve Avrupa Birliği Hukuku açısından bazı farklı düzenlemeler mevcuttur. Daha önce de ifade edildiği üzere Türk hukukunda kişisel veri sözleşmesinin şekline dair herhangi açık bir düzenleme bulunmamaktadır. Türk hukukunda hal böyle iken Avrupa Birliği hukukunda GDPR’nin 28. maddesinin 11. fıkrasına göre veri işleyen ile veri sorumlusu arasında yapılacak hukuki işlem ya da sözleşmenin yazılı şekilde yapılması zorunludur.
3.KİŞİSEL VERİ İŞLEME SÖZLEŞMESİNİN UNSURLARI
Kişisel veri işleme sözleşmesinin esaslı unsurları;
- Kişisel verilerin işlenmesi,
- Ücret ödenmesi,
- Sözleşmenin taraflarının anlaşması.
4.1. Kişisel Veri İşleme
Kurum’un yayımlamış olduğu tanıma göre “Kişisel verilerin belirtilen şekilde toplandıktan sonra silme, yok etme ya da anonim hale getirme işlemlerine kadar olan süreçte gerçekleştirilen her türlü faaliyet Kanun kapsamında kişisel verilerin işlenmesi olarak değerlendirilmektedir.
Kişisel veri işleme fiili, veri işleyen tarafından gerçekleştirilen bir yapma edimi niteliğindedir. Kişisel veri işleme fiilinin sonuç doğurması için veri işleyen, işleme sonucunu taahhüt eder. Dolayısıyla kişisel veri işleme fiili sonuç odaklı değil taahhüt odaklıdır. Ancak aynı zamanda kişisel verileri sözleşmeye ve hukuka aykırı olarak işlenmemesi konusunda bir yükümlülük getirdiği için yapmama edimini de kapsar.
4.2. Ücret Ödeme
Sözleşmenin asli edim yükümlülüğünden bir diğeri ise ücret ödeme borcudur. Veri sorumlusu verdiği talimatlar doğrultusunda veri işleme edimini yerine getiren veri işleyen bu edim karşılığı bir ücret ödemekle yükümlüdür.
Ücret alacağının doğması için geçerli bir kişisel veri işleme sözleşmesinin kurulmuş olması yeterlidir. Ücret alacağının muaccel hale gelmesi için ise veri işleyen tarafından kişisel veri işleme borcunun usulüne uygun olarak yerine getirilmesi gerekmektedir. Kişisel veri işleme borcuna başlanır ancak sonradan bu borcun ifası veri işleyenin dışındaki sebeplerden dolayı imkânsız hale gelirse, veri işleyen tam ücret almaya hak kazanamaz. Ancak sözleşmeyle belirlenen ücretin hakkaniyete uygun bir kısmı veri işleyene ödenmelidir[3].
Ancak belirtmek gerekir ki, vekalet sözleşmesindeki ücret ödeme borcuna ilişkin TBK 502. maddenin 3. fıkrasının kişisel veri işleme sözleşmesine kıyasen uygulanabileceği düşünülürse vekalet sözleşmesinde ücret, esaslı bir unsur değildir. Dolayısıyla kişisel veri işleme sözleşmesinin bedelsiz şekilde yapılması da mümkün olmalıdır.
Türk Borçlar Kanunu’nun 147. maddesi, vekalet sözleşmesinden kaynaklanan ücret alacaklarının beş yıllık zamanaşımı süresine tabi olduğunu düzenlenmiştir. Bu durumda kişisel veri işleme sözleşmesine vekalet hükümleri kıyasen uygulanır işbu sözleşmeler için de zamanaşımı süresinin 5 yıl olduğu kabul edilmelidir.
Veri sorumlusu ile veri işleyen aynı iş organizasyonu içerisinde faaliyet gösteriyorsa, veri sorumlusunun veri işleyene ücret ödeme yükümlülüğünün doğmaması gerekir. Kaldı ki veri sorumlusu ve veri işleyenin aynı iş organizasyonu içinde bulunması durumunda veri işleme faaliyeti zaten ilgili kişinin görev tanımının bir parçalarıdır. Örneğin, bir hukuk bürosunda çalışanından işe giriş için sağlık bilgilerini talep eden insan kaynakları biriminin, bu işlem için ayrıca bir ücret talep etmesi söz konusu olmamalıdır.
4.3. Tarafların Anlaşması
Kişisel veri işleme sözleşmesinin kurulabilmesi için, veri sorumlusu ile veri işleyenin karşılıklı ve birbirine uygun irade beyanları yeterlidir. Bu unsur, kişisel veri işleme sözleşmesinin rızaya dayalı bir sözleşme olduğunu göstermektedir.
Daha önce de ifade edildiği üzere, veri işleyenin asli edim yükümlülüğü veri sorumlusunun talimatlarına uygun olarak kişisel verileri işlemek iken, veri sorumlusunun asli edim yükümlülüğü ise bu iş görme edimi karşılığında ücret ödemektir. Taraflar sözleşmenin asli edimleri konusunda anlaşmaya vardıkları andan itibaren sözleşme kurulmuş sayılır.
4.KİŞİSEL VERİ İŞLEME SÖZLEŞMESİNDE TARAFLARIN YÜKÜMLÜLÜKLERİ
Kişisel veri işleme sözleşmesi, Kanun ve diğer ilgili mevzuatlarda düzenlenmemiştir. Ancak tarafların bu sözleşmeden kaynaklanan yükümlülüklerini KVKK ve TBK’de bulmak mümkündür. Kişisel veri işleme sözleşmesine, TBK'nin vekalet ve eser sözleşmelerine ilişkin hükümleri, uygun olduğu ölçüde uygulanmaktadır.
A.Veri İşleyenin Yükümlülükleri
Veri işleyen, kişisel veri işleme sözleşmesi kurulduğunda, veri işleme görevi onun asli edim yükümlülüğü haline gelir. Veri işleyen bu asli edim yükümlülüğünü yerine getirirken yani veri işlerken veri sorumlusunun talimatlarına uymak zorundadır. Bu husus vekalet sözleşmesinin, kişisel veri işleme sözleşmesi üzerinde bir yansımasıdır.
a.Kişisel Veri İşleme Yükümlülüğü
Veri işleyenin asli edim yükümlülüğü kişisel verilerin işlenmesi fiilinin sonucunu taahhüt etmektir. Veri işleyenin bu sorumluluğu kapsamında, kişisel verilerin işlenmesi, toplanması, saklanması ve imha edilmesi gibi işlemler dahil olmak üzere, veriler üzerinde yapılan tüm işlemleri yerine getirmesi beklenmektedir.
TBK’nin 506. maddesinde vekilin, vekalet borcunu şahsen yerine getirme yükümlülüğü olduğu ifade edilmiştir. Bu hükmün kişisel veri işleme sözleşmesine uygulanması durumunda, doktrinde kişisel veri işleme sözleşmesinde de şahsen ifa kuralının geçerli olacağı öne sürülmektedir.
Ancak TBK’de vekilin, vekalet borcunu şahsen yerine getirme yükümlülüğünün ilk istisnası veri işleyenin edimini şahsen ifa ederken üçüncü kişilerden yardım alabilmesidir. Bu durumda veri işleyen, veri işleme faaliyetini yalnızca kendisi yerine getirmemektedir. Bu işlem için başka bir kişiden daha yardım almaktadır. Bu durumda veri işleyen ve alt veri işleyen müteselsilen sorumlu olacaktır.
Kanun’da öngörülen bir diğer istisna ise kişisel verilerin sözleşmenin tarafı olmayan bir 3. kişi tarafından işlenmesinin zorunlu olması durumudur. Bir seçenek olarak, kişisel verilerin yetkilendirilmiş bir üçüncü kişi tarafından işlenmesi gerekiyorsa böyle bir durumda veri işleme faaliyetinin alt işleyen tarafından gerçekleştirileceğinden bahsedilebilir.
Kanun’da öngörülen son istisna ise kişisel verilerin başkaları tarafından işlenmesinde, bir teamül olması durumudur. Eğer böyle bir teamül varsa bu durumda veri sorumlusunun rızası aranmadan kişisel veri işleme yükümlülüğü başkaları tarafından yerine getirilebilecektir.
b.Özen Yükümlülüğü
TBK’nin 506. maddesinin 2. fıkrasının kıyasen uygulanmasıyla veri işleyenin üstlendiği kişisel veri işleme borcunun konusunu oluşturan iş ve hizmetleri, veri sorumlusunun haklı menfaatini gözeterek özenle yürütmesi gerektiği sonucuna ulaşılmaktadır.
TBK’nin 506. maddesinde 3. fıkrasına göre vekilin, vekaleti yerine getirirken göstermesi beklenen özen derecesi objektif kriterlere göre belirlenmektedir. Anılan hükmün kişisel veri işleme sözleşmesindeki özen yükümlülüğü hakkında kıyasen uygulanması halinde, veri işleyenin özen borcunun kapsamı belirlenirken, işlerin olağan akışına ve genel hayat tecrübelerine göre, aynı şartlar altına iş gören basiretli, özenli bir veri işleyenin veri işleme fiilini yerine getirirken göstermesi gereken davranışın esas alınması gerektiği sonucuna ulaşılmaktadır[4].
Veri işleyenin özen yükümlülüğü, kişisel verilerin güvenliğini sağlamak için gerekli tedbirleri almasını gerektirir. KVKK’nin 12. maddesinin 2. fıkrasına göre veri güvenliğinin sağlanmasına yönelik tedbir alınması hususunda veri sorumlusu ve veri işleyenle birlikte veri sorumlusu adına alt işleyen de üçüncü kişilere karşı müteselsilen sorumludur.
Kişisel veri işleme sözleşmesinde özen yükümlülüğü, yan yükümlülük olarak kabul edilir. Bu nedenle, özen borcunun ihlali durumunda veri sorumlusu zarar görürse, veri işleyen kişi bu zararı tazmin etmekle sorumlu olur. Ancak, bu durumda kusur karinesi söz konusudur. Şöyle ki veri işleyen bu zararın meydana gelmesinde kusuru olmadığını kabul ederse zararı tazmin etmekten kurtulabilir.
c.Veri Sorumlusunun Talimatlarına Uygun Davranma Yükümlülüğü
Vekilin, vekalet verenin talimatlarına uyma borcunu düzenleyen TBK’nin 505. maddesinin 1. fıkrasına kıyasen uygulanmasıyla veri işleyenin, veri sorumlusunun açık talimatlarına uymakla yükümlü olduğu söylenebilir. Talimat, veri sorumlusunun veri işleyene, veri işleme faaliyetinin kapsamını açıklayan işin nasıl yapılacağına dair direktif ve yönlendirmeler veren tek taraflı bir irade beyanıdır.
Veri sorumlusu; veri işleme faaliyetinin amacı, kapsamı ve şartlarını belirleyerek buna uygun bir işleme faaliyetinin yapılması yönünde veri işleyene talimat verebilir ve veri işleyenin de bu talimatlara uyumlu şekilde davranması gerekmektedir. Örneğin, veri sözleşmesi kapsamında web sitesi üzerinde işlenen verilerin SSL (Secure Socket Layer) standardıyla işlenmesi, bulut tabanlı uygulamalarla belirli aralıklarla yedeklenmesi gibi konularda talimat verebilir[5].
Veri işleyen, hukuka, ahlaka ve dürüstlük kurallarına aykırı talimatlara uymak zorunda değildir. Böyle bir talimatı alan veri işleyen, talimatın niteliği konusunda veri sorumlusunu uyarmalı ve aydınlatmalıdır. Veri sorumlusu, veri işleyenin tüm uyarılarına ve açıklamalarına rağmen talimatların uygulanmasında ısrar ederse, veri işleyen, TBK'nin 512. maddesine dayanarak sözleşmeyi feshetme hakkına sahip olabilmelidir. Kaldı ki hem veri işleyene talimatlara uyma yükümlülüğü yükleyip hem de veri sorumlusunun ısrarla verdiği talimatlara uymamasından ötürü veri işleyenin sorumlu tutulması yerinde olmayacaktır.
Veri işleyen hukuka, ahlaka ve dürüstlük kurallarına aykırı talimatlara uymazsa ortaya çıkacak zarardan sorumlu olur. Veri sorumlusunun verdiği talimatlara uymayarak güvenlik açığına yol açan veri işleyen, KVKK'ye göre veri sorumlusuna para cezası kesilmesine sebep olabilir. Kurum’un birçok kararında veri sorumlularının güvenlik zafiyetlerinden kaynaklanan ve yüksek miktarlarda idari para cezasına maruz kaldığı görülmektedir. Ancak kanaatimizce bu durumda veri işleyen, işi doğru yapmış olsa bile sözleşmeye aykırı davranmış olur ve veri sorumlusunun ödediği para cezasını tazmin etmesi gerekir.
d.Sadakat Yükümlülüğü
Kişisel veri işleme sözleşmesi, taraflar arasında güven oluşturarak veri işleyenden işini dürüst ve sadık bir şekilde yapmasını ve veri sorumlusunun çıkarlarını gözetmesini bekler. Veri işleyen tarafından gerçekleştirilmesi gereken sadakat yükümlülüğü, veri işleyenin üstlendiği işi, veri sorumlusunun çıkarlarını en iyi şekilde koruyarak yürütmesini ifade eder.
Sadakat yükümlülüğü, özen yükümlülüğünü tamamlayan bir borçtur. Bu yükümlülük, veri işleyen tarafından hem yapma hem de yapmama yükümlülüğünü barındırmaktadır. Veri işleyenin veri sorumlusunun aleyhine olabilecek davranışlardan kaçınması yapmama yükümlülüğü iken onun yararına olacak eylemleri yerine getirmesi yapma yükümlülüğüdür. Sadakat yükümlülüğünün kapsamına, özellikle bilgi verme ve gizlilik borçları girer. Veri işleyenin, sözleşme kapsamında yerine getireceği işler ile ilgili olarak veri sorumlusunu düzenli olarak bilgilendirmesi, gerekli uyarıları yapması ve aynı zamanda verilerek ilişkin bilgileri de saklaması gerekmektedir. Sonuçta kişisel veri işleme sözleşmesi, taraflar arasında bir kişisel ilişki kurarak, veri işleyenin hem veri sorumlusuna hem de işlenen verilere sahip kişilere dair bazı sırları öğrenmesine olanak sağlar. KVKK'nin 12. maddesi 5. Fıkrası uyarınca, veri işleyen, veri işleme faaliyetini yerine getirirken elde ettiği bilgileri başkalarına açıklamaktan ve bu verileri işleme amacının dışında kullanmaktan kaçınmalıdır. Veri işleyenin sır saklama yükümlülüğü olarak adlandırılan bu sorumluluk, veri işleme sözleşmesinin sona ermesinden sonra da geçerliliğini korur.
e.İlgili Kişileri Aydınlatma Yükümlülüğü
TBK'nin 10. maddesi uyarınca taraflar arasında bir anlaşma sağlanması durumunda, veri işleyen, veri sorumlusunun ve varsa temsilcisinin kimliğini, kişisel verilerin hangi amaçlarla işleneceğini, işlenen verilerin kimlere ve hangi amaçlarla aktarılabileceğini, kişisel veri toplama yöntemini, hukuki sebebini ve kanunda belirtilen diğer hakları ilgili kişilere bildirmekle yükümlüdür.[6]
f.Hesap Verme ve Kişisel Verileri İade Yükümlülüğü
Veri sorumlusunun, veri işleyenden yapılan iş hakkında hesap talep etme hakkı vardır. Hesap verme, sözleşme kapsamında edimin yerine getirilip getirilmediği ve bu edimin ifasında kullanılan yöntemler hakkında bilgi verilmesini içerir. Veri sorumlusunun sözleşme süresince veya sona erdikten sonra bilgi talep etme hakkı bulunur[7].
Hesap verme yükümlülüğünün tam ve doğru bir şekilde yerine getirilebilmesi, veri işleyenin işleme faaliyetine ilişkin olarak kayıt tutmasıyla (logging) mümkün olur[8]. Bu hususta KVKK’de herhangi bir düzenlemeye rastlanmamakla birlikte, GDPR’ın 30. maddesinde veri işleyene yönelik kayıt tutma yükümlülüğü düzenlenmiştir[9].
Hesap verme yükümlülüğü, veri işleyenin yükümlülüklerini yerine getirip getirmediğini gözden geçirmek açısından büyük bir öneme sahiptir. Hesap verme borcu her ne kadar yan edim yükümlülüğü olsa da veri işleyenin talimatlara uyduğunu belirlemek açısından büyük öneme sahiptir.
B.Veri Sorumlusunun Yükümlülükleri
TBK’nin 502. maddesinin 3. fıkrasına göre sözleşmede kararlaştırılmışsa ya da bu yönde bir teamül var ise vekil ücrete hak kazanır. Ayrıca TBK’nin 510. maddesinin 1. fıkrasına göre vekalet veren, vekaletin gereği gibi ifası için vekilin yaptığı giderleri ve verdiği avansları faiziyle birlikte ödemek ve yüklendiği borçlardan onu kurtarmakla yükümlüdür.
a.Ücret Ödeme Yükümlülüğü
Kişisel veri işleme sözleşmesinde veri sorumlusu, sözleşmede ücret kararlaştırılmış olması halinde veya teamül var ise ücret ödeme borcu altına girmektedir. Ancak kişisel veri işleme sözleşmesinin ücret kararlaştırılmadan yapılması da mümkündür. Kaldı ki ücret vekalet sözleşmesinin esaslı bir unsuru da değildir.
b.Gider ve Avans Ödeme Yükümlülüğü
TBK’nin 510. maddesinin 1. fıkrasına göre vekalet veren, vekalet vekilin yaptığı giderleri ve verdiği avansları, faiziyle birlikte ödemek zorundadır. Bu hüküm kişisel veri işleme sözleşmesine kıyasen uygulandığında, veri sorumlusunun da veri işleyenin iş görme dolayısıyla yaptığı giderleri ve verdiği avansları faiziyle birlikte ödemekle yükümlü olduğu tespiti yapılmaktadır.
Kişisel veri işleme sözleşmesinde ücret kararlaştırılmış olmasa da veri işleyen yaptığı giderleri ve ödediği avansları talep edebilir.
Gider ve avansları ödeme borcunun doğumu için, veri işleyen tarafından yerine getirilecek olan veri işleme faaliyetinin uygun olarak yerine getirilmiş olması gerekir. Ancak veri işleyen edim yükümlülüklerini tam yerine getirmekle veri sorumlusundan gider ve avansları talep edebilecektir.
c.Veri İşleyeni Veri Sorumlusu Adına Üstlendiği Borçlardan Kurtarma Yükümlülüğü
TBK’nin 510. maddesinin 1. fıkrasının kıyasen uygulanması halinde, veri sorumlusunun işlemenin yapılması nedeniyle, veri işleyenin üstlendiği borcu ödemekle yükümlü olduğu tespiti yapılmaktadır[10].
Veri işleyenin borçtan kurtulma yükümlülüğü, veri işleyenin hem kendi adına hem de veri sorumlusunun çıkarları doğrultusunda hareket ederek bir borç yükümlülüğü altına girmesiyle doğar. Bu yükümlülüğün geçerli olabilmesi için, veri işleyenin kişisel veri işleme amacıyla bir borç yükümlülüğüne girmiş olması şarttır.
d.Veri İşleyenin Uğradığı Zararları Giderme Yükümlülüğü
TBK’nin 510. maddesinin 2. fıkrasına göre vekil, vekalet verenden zararının tazminini talep edebilir. Ancak vekalet veren, kusurunun olmadığını ispat ederse sorumluluktan kurtulur. Bu durum, kişisel veri işleme sözleşmeleri için de geçerlidir. TBK 510/2 hükmünün kıyasen uygulanmasıyla veri sorumlusunun, veri işleyenin uğradığı zararları karşılamakla yükümlü olduğu sonucuna varılmaktadır.
Veri işleyenin zararı, veri sorumlusunun yükümlülüklerini ihlal etmesi sonucunda meydana gelmelidir. Zararla veri işleme arasında bir illiyet bağı olmalı ve veri sorumlusunun kusurunu ispat edememiş olması gerekir. Bu şartlar sağlandığında, veri sorumlusunun veri işleyenin uğradığı zararı karşılama yükümlülüğü doğar. Ayrıca, veri sorumlusunun sorumluluğu, ücretsiz veri işleme durumlarında da geçerlidir. Bu durumda kusursuz sorumluluk söz konusudur.
İKİNCİ BÖLÜM
1. KİŞİSEL VERİ İŞLEME SÖZLEŞMESİNİN SONA ERMESİ
Borcun ifası, sözleşme süresinin dolması ifanın imkansızlaşması ya da taraflar arasında ikale (bozma) sözleşmesinin yapılması gibi genel sona erme sebepleri kişisel veri işleme sözleşmesi bakımından da geçerlidir. Vekalet sözleşmesinin sona ermesine ilişkin hükümlerin kıyasen uygulanması suretiyle özel sona erme sebepleri de değerlendirilmelidir.
TBK'nin 512. maddesi, vekalet sözleşmesinde tarafların tek taraflı olarak sözleşmeyi sona erdirebileceğini belirtir. Kişisel veri işleme sözleşmesi, borçların yerine getirilmesi ve sözleşme amacının gerçekleşmesiyle sona erer.
TBK'nin 512. maddesi, vekalet sözleşmesinde tarafların tek taraflı olarak sözleşmeyi sona erdirebileceğini belirtir. Bu düzenleme, kişisel veri işleme sözleşmesi için de geçerlidir. Taraflardan birinin sözleşmeyi sonlandırma hakkı bulunmakla birlikte, uygun olmayan bir zamanda fesih durumunda zararların tazmini gerekebilir.
Tek taraflı sona erme halinde, veri işleyenin yükümlülükleri ve veri sorumlusunun ödeme yükümlülüğü sona erer, ancak önceki işlemler için uygun bir ücret talep edilebilir. Ayrıca, TBK'nin 513. maddenin 1. fıkrasında, vekalet sözleşmesinin taraflardan birinin ölümü, ehliyet kaybı veya iflası gibi durumlarda sona ereceğini düzenler. Bu hüküm, kişisel veri işleme sözleşmesine de uygulanabilir ve bu durumlarda sözleşme sona erer.
KİŞİSEL VERİ İŞLEME SÖZLEŞMESİNE AYKIRILIKTAN DOĞAN SORUMLULUK
Bir sözleşme tarafı, yükümlülüklerini yerine getirmediğinde sözleşmeye aykırı davranmış sayılır. Bu durumda sözleşmeye aykırı davranan taraf kusursuzluğunu kanıtlayana kadar ortaya çıkan zararı tazmin etmekle yükümlüdür.
Kişisel veri işleme sözleşmesinde sorumluluğun doğabilmesi için, veri işleyenin edimini hiç ya da gereği gibi yerine getirmemesi sonucu bir zarar oluşmalı ve bu zarar ile sözleşmeye aykırılık arasında bir illiyet bağı bulunmalıdır.
Veri sorumlusu ile veri işleyen arasında yapılan kişisel veri işleme sözleşmesinde kişisel verilerin işlenmesi edimi, bir asli edim yükümlülüğü niteliğindedir. Sözleşmenin konusunu oluşturan asli edimin gereği gibi ifa edilmemesi sebebiyle bir zararın ortaya çıkması
halinde borçlu bundan sorumlu olur. Bu durumda borcun ifa edilmemesinin sonucunu düzenleyen TBK’nin 112. maddesine başvurulur. Borcu hiç veya gereği ifa etmeyen borçlu, kendisine hiçbir kusurun yüklenemeyeceğini ispat etmedikçe, alacaklının bundan doğan zararını gidermekle yükümlü olur. Başara’nın verdiği bir örneğe göre “Veri işleyen ve veri sorumlusu arasında yapılan kişisel veri işleme sözleşmesiyle veri işleyen, bir şirketin çalışanlarının elektronik postalarını yedeklemeyi taahhüt etmiştir. Sözleşme dönemi içerisinde bir çalışanın elektronik postaları silinmiş, ancak veri işleyenin kusurundan kaynaklanan bir sebeple yedekleme düzenli yapılamadığından elektronik postaların geri dönüşü sağlanamamış ve bu nedenle şirket zarar görmüş ise bu zararının giderilmesinin veri işleyenden talep edilebileceğini kabul etmek gerekir[11].”
Ayrıca bu konuda KVKK’nin 11. maddesinde kişisel verisi işlenen ilgili kişi için öngörülen veri sorumlusuna başvurarak zararın giderilmesini talep etme hakkı saklıdır. Zarar gören kişi, zararının ortaya çıkması durumunda KVKK’nin 11. maddesine dayanarak veri sorumlusundan zararının tazmin edilmesini talep edebilir.
İlliyet bağını kesen sebepler kişisel veri işlemesine aykırılıktan doğan sorumluluk bakımından da geçerlidir. Buna göre mücbir sebep, zarar görenin ağır kusuru, üçüncü kişinin ağır kusuru illiyet bağını kesen sebepler olarak değerlendirilmelidir. Başara’ya göre “Kişisel veri sözleşmesi kapsamında kişisel verileri yedeklemeyi üstlenen bulut bilişim şirketinin sunucularının engellenmesi mümkün olmayan bir hacker saldırısı nedeniyle çökmesi halinde bir üçüncü kişinin ağır kusuru nedeniyle ortaya çıkan zarardan veri işleyen sorumlu olmaz[12].”
Sözleşmenin ihlali sonucu sorumluluk için veri işleyenin kusurlu olması gerekir. Kusur, veri işleyenin, kendisinden beklenen özeni yerine getirmemesi sonucunda ihmal şeklinde ortaya çıkabileceği gibi daha ağır olarak kast derecesinde de ortaya çıkabilir.
SONUÇ
Kişisel veri işleme sözleşmesi, veri işleyenin, veri sorumlusunun talimatlarına uygun olarak ve menfaatlerini gözeterek kişisel verileri işlemeyi, bu iş görme edimi karşılığında veri sorumlusunun ise ücret ödemeyi taahhüt ettiği bir sözleşme olarak tanımlanabilir. Kişisel veri işleme sözleşmesinin tarafları, veri sorumlusu ve veri işleyendir.
Kişisel veri işleme sözleşmesinin unsurları; kişisel verilerin işlenmesi, ücret ödenmesi ve sözleşmenin taraflarının anlaşmasıdır. İşbu anlaşma herhangi bir geçerlilik şartına tabi tutulmamıştır.
Kişisel veri işleme sözleşmesi kanunda düzenlenmeyen bir sözleşme türüdür. Dolayısıyla isimsiz (atipik) bir sözleşmedir. Bu sözleşmeye ağırlıklı olarak vekalet sözleşmesi hükümleri uygulanır. Vekalet sözleşmesinde olduğu gibi kişisel veri işleme sözleşmesinde veri işleyen, veri sorumlusunun talimat ve menfaatlerine uygun olarak iş görme borcu altına girmektedir. Veri işleyen ise kişisel verilerin işlenme sonucunu taahhüt etmektedir.
Veri işleyenin bu sözleşmeden doğan yükümlülükleri, kişisel veri işleme edimini veri sorumlusunun talimatlarına uygun olarak özenle ifa etme, bilgi verme ve sır saklama, ilgilileri aydınlatma, hesap verme ve kişisel verileri iade etmedir. Veri sorumlusu, sözleşmede kararlaştırılmış olması ya da bu yönde teamülün olması halinde ücret ödeme yükümlülüğü altına girmektedir.
Kişisel veri işleme sözleşmesinin sona ermesinde borcun ifası, sözleşme süresinin dolması, ifanın imkansızlaşması ya da taraflar arasında ikale (bozma) sözleşmesinin yapılması gibi genel sona erme sebepleri geçerlidir. Ayrıca kişisel veri işleme sözleşmesi, kural olarak veri işleyenin ya da veri sorumlusunun ölümü, ehliyetsizliği ya da iflası halinde sona erer.
Veri sorumlusu ile veri işleyen arasındaki kişisel veri işleme sözleşmesinde, kişisel verilerin işlenmesi, sözleşmenin esaslı bir yükümlülüğü olarak kabul edilir. Eğer sözleşmenin konusunu oluşturan bu esas yükümlülüğün yerine getirilmemesi nedeniyle bir zarar meydana gelirse, veri işleyen, kendisine herhangi bir kusur atfedilemeyeceğini kanıtlamadıkça, meydana gelen zararı tazmin etmekle sorumlu olur.
[1] TURAN BAŞARA, Gamze, Kişisel Veri İşleme Sözleşmesi, Uyuşmazlık Mahkemesi Dergisi, S.16, 2020, s.1
[2] OĞUZMAN ve ÖZ s. 12
[3] ZEVKLİLER, Aydın/GÖKYAYLA, Emre, Özel Borç İlişkileri, 22. Baskı, İstanbul, Vedat Kitapçılık, 2024, s. 12. (Naklen Alıntı: Taştan, s.130)
[4] EREN, s.742.
[5]TAŞTAN, s. 139.
[6] TAŞTAN, s. 143
[7] EREN, s.746 vd.
[8] BAŞARA TURAN, s.
[9] BAŞARA TURAN, s.
[10] EREN, s.752.
[11] BAŞARA TURAN, s. 29.
[12] BAŞARA TURAN, s. 29.
KAYNAKÇA
ARAL, Fahrettin / AYRANCI, Hasan, “Özel Borç İlişkileri”, 1. Baskı, İstanbul, Yetkin Yayıncılık, 2024.
AYÖZGER ÖNGÜN, Çiğdem A., “Kişisel Verilerin Korunması Hukuku”, 2. Baskı, İstanbul, Beta Yayıncılık, 2019.
Kişisel Verileri Koruma Kurumu, “Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi”, https://tls.tc/MeFDS, (Erişim Tarihi: 24.10.2024.)
OĞUZMAN Kemal ve ÖZ Turgut, “Borçlar Hukuku Genel Hükümler”, 17. Baskı, İstanbul, Vedat Kitapçılık, 2020.
TAŞTAN, Furkan Güven, “Türk Sözleşme Hukukunda Kişisel Verilerin Korunması”, 2. Baskı, İstanbul, Oniki Levha Yayıncılık, 2017.
TURAN BAŞARA, Gamze, “Kişisel Veri İşleme Sözleşmesi”, Uyuşmazlık Mahkemesi Dergisi, S.16, 2020, s. 57-90.
UYARER Göçmen, “Kişisel Verilerin Korunması”, 2. Baskı, Ankara, Seçkin Yayıncılık, 2020.
ZEVKLİLER, Aydın/GÖKYAYLA, Emre, “Özel Borç İlişkileri”, 22. Baskı, İstanbul, Vedat Kitapçılık, 2024.
BİRİNCİ BÖLÜM
GİRİŞ
Kişisel veri işleme sözleşmesi, veri işleyenin veri sorumlusunun talimatlarına uygun olarak kişisel verileri işlemeyi taahhüt ettiği, veri sorumlusunun da bu iş görme edimi karşılığında ücret ödeme altına girdiği bir sözleşmedir[1]. Kişisel veri işleme sözleşmesi, sözleşme serbestisi ilkesine dayanır. Bu sözleşmesinin esaslı unsurları; kişisel verilerin işlenmesi, ücret ödenmesi ve sözleşmenin taraflarının anlaşmasıdır.
Kanun’da veri işleyen ve veri sorumlusu arasındaki ilişki isimsiz bırakılmış ise de Kurum’un yayımladığı uygulama rehberlerinde bu sözleşme ilişkisi için “kişisel veri işleme sözleşmesi” ifadesi kullanılmıştır.
Türk Hukukunda kişisel veri işleme sözleşmesinin tarafı olarak veri işleyen, KVKK’nin 3. maddesinin 1. fıkrasının ğ bendinde düzenlenmiştir. Bu hüküm ile veri sorumlusu veri işleme sözleşmesi ile veri işleyeni yetkilendirebilmektedir. Örneğin, veri sorumlusu sıfatına haiz olan bir şirketin, işçilerinden birisini kendisi adına temsile yetkili kılması durumunda işçi veri işleyen olarak kabul edilecektir. Böyle bir durumda veri sorumlusu şirket ile veri işleyen işçi arasında temsil ilişkisinin var olduğu kabul edilecektir.
Kişisel veri işleme sözleşmesi GDPR (Genel Veri Koruma Yönetmeliği)’de ayrıntılı olarak düzenlenmiştir. GDPR’nin 28. maddesinin 3. fıkrası, veri işleyenin işleme faaliyetini yürütebilmesi için veri sorumlusu ile veri işleyen arasında bir veri işleme sözleşmesi veya hukuki bir işlemin bulunması gerektiğine vurgu yapmış ve işlemin asgari koşullarını belirlemiştir.
Kişisel veri işleme sözleşmesi; veri sorumlusu ve veri işleyen arasında gerçekleşebileceği gibi verim sorumlusu ile başka bir veri sorumlusu veya veri sorumlusu ile alt veri işleyen arasında da gerçekleşebilir. Şöyle ki veri işleyen, veri sorumlusu nezdinde işlemeyi taahhüt ettiği kişisel verileri, alt veri işleyene işlettiğinde veri işleyici ile alt veri işleyici arasında kişisel veri işleme sözleşmesi akdedilir.
KİŞİSEL VERİ İŞLEME SÖZLEŞMESİNİN TANIMI VE TARAFLARI
1.1.Tanımı
Kişisel veri işleme sözleşmesi, bir veri sorumlusunun, belirli bir hizmeti veya işi yapmak için kişisel verileri veri işleyene işleme yetkisi verdiği bir sözleşmedir.
KVKK’nin 3. maddesinin 1. fıkrasının ğ bendine göre veri işleyen, veri sorumlusunun verdiği yetki doğrultusunda onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Esasen kişisel veri işleme sözleşmesi veri sorumlusunun bir veri işleyeni veri işlemek amaçlı yetkilendirmesi ihtiyacı sonucu ortaya çıkmıştır. Bu sebeple veri sorumlusu kişisel verilerin toplanması, kişisel veri türlerine, kişisel verileri işleme amaçlarına, kişisel verilerin ne kadar saklanacağına, kişisel verilerin aktarılıp aktarılmayacağına karar veren taraftır. Veri işleyen ise veri sorumlusunun bu kararları doğrultusunda talimatları ile veri işlemekle yükümlüdür.
Bu çerçevede, veri sorumlusu, kişisel verilerin toplanması, işlenme amacı, kişisel veri türleri, verilerin ne kadar süreyle saklanacağı ve verilerin aktarılıp aktarılmayacağına ilişkin kararları veren taraftır. Veri işleyen ise, veri sorumlusunun verdiği talimatlar doğrultusunda ve veri sorumlusunun belirlediği çerçevede kişisel verileri işlemekle yükümlüdür.
1.2.Tarafları
Kişisel veri işleme sözleşmesinde veri işleyen ve veri sorumlusu olmak üzere iki taraf bulunmaktadır. Veri işleyen taraf, veri sorumlusunun belirlediği talimatlara uygun olarak kişisel verileri işleme yükümlülüğü taşır. Veri sorumlusu ise bu iş görme karşılığında ücret ödemekle yükümlüdür.
KVKK’ye göre veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade ederken veri sorumlusu ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
1.KİŞİSEL VERİ İŞLEME SÖZLEŞMENİN HUKUKİ NİTELİĞİ
Kişisel veri işleme sözleşmesi, tarafların karşılıklı ve uyumlu irade beyanları ile oluşturulan bir sözleşmedir. Kanun’da kişisel veri işleme sözleşmesinin taraflarının
yükümlülüklerine ilişkin unsurlar düzenlemiştir. Ancak Türk hukukunda kişisel veri işleme sözleşmesinin kurulmasına ve sona ermesine ilişkin bir düzenleme bulunmamaktadır[1].
Kişisel veri işleme sözleşmesi, Kanun’da, Türk Borçlar Kanunu’nda (TBK) ya da herhangi bir kanunda özel olarak düzenlenmediği için atipik (isimsiz) bir sözleşmedir. Ancak kişisel veri işleme sözleşmesinin asli edim yükümlülüklerinden biri de, veri işleyenin veri sorumlusunun talimatları doğrultusunda kişisel verileri işleme görevini üstlenmesidir. Bu çerçevede, kişisel veri işleme sözleşmesi vekalet sözleşmesinin unsurlarını da barındırmaktadır. Bu sebeple doktrinde pek çok yazar, TBK 1149-1530. Maddelerinde düzenlenen vekalet sözleşmesinin unsurlarını kişisel veri işleme sözleşmesine de kıyasen uygulamaktadırÇünkü kişisel veri işleme sözleşmesi, vekalet sözleşmesiyle benzer şekilde bir güven ilişkisine dayanır. Bu sözleşmede, bir taraf (veri sorumlusu), diğer tarafa (veri işleyen) veri işleme konusunda güven duyar.
Kişisel veri işleme sözleşmesinde veri işleyenin kişisel veri işleme edimi, kural olarak süreklilik taşıyan niteliğe sahiptir[2]. Çünkü veri işleme yükümlülüğü bir kere yerine getirmekle ifa edilmiş sayılmaz. Bu yönüyle kişisel veri işleme sözleşmesi, kira sözleşmesinde tarafların sürekli borç ilişkisi kurması hususuna benzer nitelikler taşır.
2.KİŞİSEL VERİ İŞLEME SÖZLEŞMESİNİN ŞEKLİ
Kişisel verilerin işlenmesi sözleşmesinin şekli hususunda Türk Hukuku ve Avrupa Birliği Hukuku açısından bazı farklı düzenlemeler mevcuttur. Daha önce de ifade edildiği üzere Türk hukukunda kişisel veri sözleşmesinin şekline dair herhangi açık bir düzenleme bulunmamaktadır. Türk hukukunda hal böyle iken Avrupa Birliği hukukunda GDPR’nin 28. maddesinin 11. fıkrasına göre veri işleyen ile veri sorumlusu arasında yapılacak hukuki işlem ya da sözleşmenin yazılı şekilde yapılması zorunludur.
3.KİŞİSEL VERİ İŞLEME SÖZLEŞMESİNİN UNSURLARI
Kişisel veri işleme sözleşmesinin esaslı unsurları;
- Kişisel verilerin işlenmesi,
- Ücret ödenmesi,
- Sözleşmenin taraflarının anlaşması.
4.1. Kişisel Veri İşleme
Kurum’un yayımlamış olduğu tanıma göre “Kişisel verilerin belirtilen şekilde toplandıktan sonra silme, yok etme ya da anonim hale getirme işlemlerine kadar olan süreçte gerçekleştirilen her türlü faaliyet Kanun kapsamında kişisel verilerin işlenmesi olarak değerlendirilmektedir.
Kişisel veri işleme fiili, veri işleyen tarafından gerçekleştirilen bir yapma edimi niteliğindedir. Kişisel veri işleme fiilinin sonuç doğurması için veri işleyen, işleme sonucunu taahhüt eder. Dolayısıyla kişisel veri işleme fiili sonuç odaklı değil taahhüt odaklıdır. Ancak aynı zamanda kişisel verileri sözleşmeye ve hukuka aykırı olarak işlenmemesi konusunda bir yükümlülük getirdiği için yapmama edimini de kapsar.
4.2. Ücret Ödeme
Sözleşmenin asli edim yükümlülüğünden bir diğeri ise ücret ödeme borcudur. Veri sorumlusu verdiği talimatlar doğrultusunda veri işleme edimini yerine getiren veri işleyen bu edim karşılığı bir ücret ödemekle yükümlüdür.
Ücret alacağının doğması için geçerli bir kişisel veri işleme sözleşmesinin kurulmuş olması yeterlidir. Ücret alacağının muaccel hale gelmesi için ise veri işleyen tarafından kişisel veri işleme borcunun usulüne uygun olarak yerine getirilmesi gerekmektedir. Kişisel veri işleme borcuna başlanır ancak sonradan bu borcun ifası veri işleyenin dışındaki sebeplerden dolayı imkânsız hale gelirse, veri işleyen tam ücret almaya hak kazanamaz. Ancak sözleşmeyle belirlenen ücretin hakkaniyete uygun bir kısmı veri işleyene ödenmelidir[3].
Ancak belirtmek gerekir ki, vekalet sözleşmesindeki ücret ödeme borcuna ilişkin TBK 502. maddenin 3. fıkrasının kişisel veri işleme sözleşmesine kıyasen uygulanabileceği düşünülürse vekalet sözleşmesinde ücret, esaslı bir unsur değildir. Dolayısıyla kişisel veri işleme sözleşmesinin bedelsiz şekilde yapılması da mümkün olmalıdır.
Türk Borçlar Kanunu’nun 147. maddesi, vekalet sözleşmesinden kaynaklanan ücret alacaklarının beş yıllık zamanaşımı süresine tabi olduğunu düzenlenmiştir. Bu durumda kişisel veri işleme sözleşmesine vekalet hükümleri kıyasen uygulanır işbu sözleşmeler için de zamanaşımı süresinin 5 yıl olduğu kabul edilmelidir.
Veri sorumlusu ile veri işleyen aynı iş organizasyonu içerisinde faaliyet gösteriyorsa, veri sorumlusunun veri işleyene ücret ödeme yükümlülüğünün doğmaması gerekir. Kaldı ki veri sorumlusu ve veri işleyenin aynı iş organizasyonu içinde bulunması durumunda veri işleme faaliyeti zaten ilgili kişinin görev tanımının bir parçalarıdır. Örneğin, bir hukuk bürosunda çalışanından işe giriş için sağlık bilgilerini talep eden insan kaynakları biriminin, bu işlem için ayrıca bir ücret talep etmesi söz konusu olmamalıdır.
4.3. Tarafların Anlaşması
Kişisel veri işleme sözleşmesinin kurulabilmesi için, veri sorumlusu ile veri işleyenin karşılıklı ve birbirine uygun irade beyanları yeterlidir. Bu unsur, kişisel veri işleme sözleşmesinin rızaya dayalı bir sözleşme olduğunu göstermektedir.
Daha önce de ifade edildiği üzere, veri işleyenin asli edim yükümlülüğü veri sorumlusunun talimatlarına uygun olarak kişisel verileri işlemek iken, veri sorumlusunun asli edim yükümlülüğü ise bu iş görme edimi karşılığında ücret ödemektir. Taraflar sözleşmenin asli edimleri konusunda anlaşmaya vardıkları andan itibaren sözleşme kurulmuş sayılır.
4.KİŞİSEL VERİ İŞLEME SÖZLEŞMESİNDE TARAFLARIN YÜKÜMLÜLÜKLERİ
Kişisel veri işleme sözleşmesi, Kanun ve diğer ilgili mevzuatlarda düzenlenmemiştir. Ancak tarafların bu sözleşmeden kaynaklanan yükümlülüklerini KVKK ve TBK’de bulmak mümkündür. Kişisel veri işleme sözleşmesine, TBK'nin vekalet ve eser sözleşmelerine ilişkin hükümleri, uygun olduğu ölçüde uygulanmaktadır.
A.Veri İşleyenin Yükümlülükleri
Veri işleyen, kişisel veri işleme sözleşmesi kurulduğunda, veri işleme görevi onun asli edim yükümlülüğü haline gelir. Veri işleyen bu asli edim yükümlülüğünü yerine getirirken yani veri işlerken veri sorumlusunun talimatlarına uymak zorundadır. Bu husus vekalet sözleşmesinin, kişisel veri işleme sözleşmesi üzerinde bir yansımasıdır.
a.Kişisel Veri İşleme Yükümlülüğü
Veri işleyenin asli edim yükümlülüğü kişisel verilerin işlenmesi fiilinin sonucunu taahhüt etmektir. Veri işleyenin bu sorumluluğu kapsamında, kişisel verilerin işlenmesi, toplanması, saklanması ve imha edilmesi gibi işlemler dahil olmak üzere, veriler üzerinde yapılan tüm işlemleri yerine getirmesi beklenmektedir.
TBK’nin 506. maddesinde vekilin, vekalet borcunu şahsen yerine getirme yükümlülüğü olduğu ifade edilmiştir. Bu hükmün kişisel veri işleme sözleşmesine uygulanması durumunda, doktrinde kişisel veri işleme sözleşmesinde de şahsen ifa kuralının geçerli olacağı öne sürülmektedir.
Ancak TBK’de vekilin, vekalet borcunu şahsen yerine getirme yükümlülüğünün ilk istisnası veri işleyenin edimini şahsen ifa ederken üçüncü kişilerden yardım alabilmesidir. Bu durumda veri işleyen, veri işleme faaliyetini yalnızca kendisi yerine getirmemektedir. Bu işlem için başka bir kişiden daha yardım almaktadır. Bu durumda veri işleyen ve alt veri işleyen müteselsilen sorumlu olacaktır.
Kanun’da öngörülen bir diğer istisna ise kişisel verilerin sözleşmenin tarafı olmayan bir 3. kişi tarafından işlenmesinin zorunlu olması durumudur. Bir seçenek olarak, kişisel verilerin yetkilendirilmiş bir üçüncü kişi tarafından işlenmesi gerekiyorsa böyle bir durumda veri işleme faaliyetinin alt işleyen tarafından gerçekleştirileceğinden bahsedilebilir.
Kanun’da öngörülen son istisna ise kişisel verilerin başkaları tarafından işlenmesinde, bir teamül olması durumudur. Eğer böyle bir teamül varsa bu durumda veri sorumlusunun rızası aranmadan kişisel veri işleme yükümlülüğü başkaları tarafından yerine getirilebilecektir.
b.Özen Yükümlülüğü
TBK’nin 506. maddesinin 2. fıkrasının kıyasen uygulanmasıyla veri işleyenin üstlendiği kişisel veri işleme borcunun konusunu oluşturan iş ve hizmetleri, veri sorumlusunun haklı menfaatini gözeterek özenle yürütmesi gerektiği sonucuna ulaşılmaktadır.
TBK’nin 506. maddesinde 3. fıkrasına göre vekilin, vekaleti yerine getirirken göstermesi beklenen özen derecesi objektif kriterlere göre belirlenmektedir. Anılan hükmün kişisel veri işleme sözleşmesindeki özen yükümlülüğü hakkında kıyasen uygulanması halinde, veri işleyenin özen borcunun kapsamı belirlenirken, işlerin olağan akışına ve genel hayat tecrübelerine göre, aynı şartlar altına iş gören basiretli, özenli bir veri işleyenin veri işleme fiilini yerine getirirken göstermesi gereken davranışın esas alınması gerektiği sonucuna ulaşılmaktadır[4].
Veri işleyenin özen yükümlülüğü, kişisel verilerin güvenliğini sağlamak için gerekli tedbirleri almasını gerektirir. KVKK’nin 12. maddesinin 2. fıkrasına göre veri güvenliğinin sağlanmasına yönelik tedbir alınması hususunda veri sorumlusu ve veri işleyenle birlikte veri sorumlusu adına alt işleyen de üçüncü kişilere karşı müteselsilen sorumludur.
Kişisel veri işleme sözleşmesinde özen yükümlülüğü, yan yükümlülük olarak kabul edilir. Bu nedenle, özen borcunun ihlali durumunda veri sorumlusu zarar görürse, veri işleyen kişi bu zararı tazmin etmekle sorumlu olur. Ancak, bu durumda kusur karinesi söz konusudur. Şöyle ki veri işleyen bu zararın meydana gelmesinde kusuru olmadığını kabul ederse zararı tazmin etmekten kurtulabilir.
c.Veri Sorumlusunun Talimatlarına Uygun Davranma Yükümlülüğü
Vekilin, vekalet verenin talimatlarına uyma borcunu düzenleyen TBK’nin 505. maddesinin 1. fıkrasına kıyasen uygulanmasıyla veri işleyenin, veri sorumlusunun açık talimatlarına uymakla yükümlü olduğu söylenebilir. Talimat, veri sorumlusunun veri işleyene, veri işleme faaliyetinin kapsamını açıklayan işin nasıl yapılacağına dair direktif ve yönlendirmeler veren tek taraflı bir irade beyanıdır.
Veri sorumlusu; veri işleme faaliyetinin amacı, kapsamı ve şartlarını belirleyerek buna uygun bir işleme faaliyetinin yapılması yönünde veri işleyene talimat verebilir ve veri işleyenin de bu talimatlara uyumlu şekilde davranması gerekmektedir. Örneğin, veri sözleşmesi kapsamında web sitesi üzerinde işlenen verilerin SSL (Secure Socket Layer) standardıyla işlenmesi, bulut tabanlı uygulamalarla belirli aralıklarla yedeklenmesi gibi konularda talimat verebilir[5].
Veri işleyen, hukuka, ahlaka ve dürüstlük kurallarına aykırı talimatlara uymak zorunda değildir. Böyle bir talimatı alan veri işleyen, talimatın niteliği konusunda veri sorumlusunu uyarmalı ve aydınlatmalıdır. Veri sorumlusu, veri işleyenin tüm uyarılarına ve açıklamalarına rağmen talimatların uygulanmasında ısrar ederse, veri işleyen, TBK'nin 512. maddesine dayanarak sözleşmeyi feshetme hakkına sahip olabilmelidir. Kaldı ki hem veri işleyene talimatlara uyma yükümlülüğü yükleyip hem de veri sorumlusunun ısrarla verdiği talimatlara uymamasından ötürü veri işleyenin sorumlu tutulması yerinde olmayacaktır.
Veri işleyen hukuka, ahlaka ve dürüstlük kurallarına aykırı talimatlara uymazsa ortaya çıkacak zarardan sorumlu olur. Veri sorumlusunun verdiği talimatlara uymayarak güvenlik açığına yol açan veri işleyen, KVKK'ye göre veri sorumlusuna para cezası kesilmesine sebep olabilir. Kurum’un birçok kararında veri sorumlularının güvenlik zafiyetlerinden kaynaklanan ve yüksek miktarlarda idari para cezasına maruz kaldığı görülmektedir. Ancak kanaatimizce bu durumda veri işleyen, işi doğru yapmış olsa bile sözleşmeye aykırı davranmış olur ve veri sorumlusunun ödediği para cezasını tazmin etmesi gerekir.
d.Sadakat Yükümlülüğü
Kişisel veri işleme sözleşmesi, taraflar arasında güven oluşturarak veri işleyenden işini dürüst ve sadık bir şekilde yapmasını ve veri sorumlusunun çıkarlarını gözetmesini bekler. Veri işleyen tarafından gerçekleştirilmesi gereken sadakat yükümlülüğü, veri işleyenin üstlendiği işi, veri sorumlusunun çıkarlarını en iyi şekilde koruyarak yürütmesini ifade eder.
Sadakat yükümlülüğü, özen yükümlülüğünü tamamlayan bir borçtur. Bu yükümlülük, veri işleyen tarafından hem yapma hem de yapmama yükümlülüğünü barındırmaktadır. Veri işleyenin veri sorumlusunun aleyhine olabilecek davranışlardan kaçınması yapmama yükümlülüğü iken onun yararına olacak eylemleri yerine getirmesi yapma yükümlülüğüdür. Sadakat yükümlülüğünün kapsamına, özellikle bilgi verme ve gizlilik borçları girer. Veri işleyenin, sözleşme kapsamında yerine getireceği işler ile ilgili olarak veri sorumlusunu düzenli olarak bilgilendirmesi, gerekli uyarıları yapması ve aynı zamanda verilerek ilişkin bilgileri de saklaması gerekmektedir. Sonuçta kişisel veri işleme sözleşmesi, taraflar arasında bir kişisel ilişki kurarak, veri işleyenin hem veri sorumlusuna hem de işlenen verilere sahip kişilere dair bazı sırları öğrenmesine olanak sağlar. KVKK'nin 12. maddesi 5. Fıkrası uyarınca, veri işleyen, veri işleme faaliyetini yerine getirirken elde ettiği bilgileri başkalarına açıklamaktan ve bu verileri işleme amacının dışında kullanmaktan kaçınmalıdır. Veri işleyenin sır saklama yükümlülüğü olarak adlandırılan bu sorumluluk, veri işleme sözleşmesinin sona ermesinden sonra da geçerliliğini korur.
e.İlgili Kişileri Aydınlatma Yükümlülüğü
TBK'nin 10. maddesi uyarınca taraflar arasında bir anlaşma sağlanması durumunda, veri işleyen, veri sorumlusunun ve varsa temsilcisinin kimliğini, kişisel verilerin hangi amaçlarla işleneceğini, işlenen verilerin kimlere ve hangi amaçlarla aktarılabileceğini, kişisel veri toplama yöntemini, hukuki sebebini ve kanunda belirtilen diğer hakları ilgili kişilere bildirmekle yükümlüdür.[6]
f.Hesap Verme ve Kişisel Verileri İade Yükümlülüğü
Veri sorumlusunun, veri işleyenden yapılan iş hakkında hesap talep etme hakkı vardır. Hesap verme, sözleşme kapsamında edimin yerine getirilip getirilmediği ve bu edimin ifasında kullanılan yöntemler hakkında bilgi verilmesini içerir. Veri sorumlusunun sözleşme süresince veya sona erdikten sonra bilgi talep etme hakkı bulunur[7].
Hesap verme yükümlülüğünün tam ve doğru bir şekilde yerine getirilebilmesi, veri işleyenin işleme faaliyetine ilişkin olarak kayıt tutmasıyla (logging) mümkün olur[8]. Bu hususta KVKK’de herhangi bir düzenlemeye rastlanmamakla birlikte, GDPR’ın 30. maddesinde veri işleyene yönelik kayıt tutma yükümlülüğü düzenlenmiştir[9].
Hesap verme yükümlülüğü, veri işleyenin yükümlülüklerini yerine getirip getirmediğini gözden geçirmek açısından büyük bir öneme sahiptir. Hesap verme borcu her ne kadar yan edim yükümlülüğü olsa da veri işleyenin talimatlara uyduğunu belirlemek açısından büyük öneme sahiptir.
B.Veri Sorumlusunun Yükümlülükleri
TBK’nin 502. maddesinin 3. fıkrasına göre sözleşmede kararlaştırılmışsa ya da bu yönde bir teamül var ise vekil ücrete hak kazanır. Ayrıca TBK’nin 510. maddesinin 1. fıkrasına göre vekalet veren, vekaletin gereği gibi ifası için vekilin yaptığı giderleri ve verdiği avansları faiziyle birlikte ödemek ve yüklendiği borçlardan onu kurtarmakla yükümlüdür.
a.Ücret Ödeme Yükümlülüğü
Kişisel veri işleme sözleşmesinde veri sorumlusu, sözleşmede ücret kararlaştırılmış olması halinde veya teamül var ise ücret ödeme borcu altına girmektedir. Ancak kişisel veri işleme sözleşmesinin ücret kararlaştırılmadan yapılması da mümkündür. Kaldı ki ücret vekalet sözleşmesinin esaslı bir unsuru da değildir.
b.Gider ve Avans Ödeme Yükümlülüğü
TBK’nin 510. maddesinin 1. fıkrasına göre vekalet veren, vekalet vekilin yaptığı giderleri ve verdiği avansları, faiziyle birlikte ödemek zorundadır. Bu hüküm kişisel veri işleme sözleşmesine kıyasen uygulandığında, veri sorumlusunun da veri işleyenin iş görme dolayısıyla yaptığı giderleri ve verdiği avansları faiziyle birlikte ödemekle yükümlü olduğu tespiti yapılmaktadır.
Kişisel veri işleme sözleşmesinde ücret kararlaştırılmış olmasa da veri işleyen yaptığı giderleri ve ödediği avansları talep edebilir.
Gider ve avansları ödeme borcunun doğumu için, veri işleyen tarafından yerine getirilecek olan veri işleme faaliyetinin uygun olarak yerine getirilmiş olması gerekir. Ancak veri işleyen edim yükümlülüklerini tam yerine getirmekle veri sorumlusundan gider ve avansları talep edebilecektir.
c.Veri İşleyeni Veri Sorumlusu Adına Üstlendiği Borçlardan Kurtarma Yükümlülüğü
TBK’nin 510. maddesinin 1. fıkrasının kıyasen uygulanması halinde, veri sorumlusunun işlemenin yapılması nedeniyle, veri işleyenin üstlendiği borcu ödemekle yükümlü olduğu tespiti yapılmaktadır[10].
Veri işleyenin borçtan kurtulma yükümlülüğü, veri işleyenin hem kendi adına hem de veri sorumlusunun çıkarları doğrultusunda hareket ederek bir borç yükümlülüğü altına girmesiyle doğar. Bu yükümlülüğün geçerli olabilmesi için, veri işleyenin kişisel veri işleme amacıyla bir borç yükümlülüğüne girmiş olması şarttır.
d.Veri İşleyenin Uğradığı Zararları Giderme Yükümlülüğü
TBK’nin 510. maddesinin 2. fıkrasına göre vekil, vekalet verenden zararının tazminini talep edebilir. Ancak vekalet veren, kusurunun olmadığını ispat ederse sorumluluktan kurtulur. Bu durum, kişisel veri işleme sözleşmeleri için de geçerlidir. TBK 510/2 hükmünün kıyasen uygulanmasıyla veri sorumlusunun, veri işleyenin uğradığı zararları karşılamakla yükümlü olduğu sonucuna varılmaktadır.
Veri işleyenin zararı, veri sorumlusunun yükümlülüklerini ihlal etmesi sonucunda meydana gelmelidir. Zararla veri işleme arasında bir illiyet bağı olmalı ve veri sorumlusunun kusurunu ispat edememiş olması gerekir. Bu şartlar sağlandığında, veri sorumlusunun veri işleyenin uğradığı zararı karşılama yükümlülüğü doğar. Ayrıca, veri sorumlusunun sorumluluğu, ücretsiz veri işleme durumlarında da geçerlidir. Bu durumda kusursuz sorumluluk söz konusudur.
İKİNCİ BÖLÜM
1. KİŞİSEL VERİ İŞLEME SÖZLEŞMESİNİN SONA ERMESİ
Borcun ifası, sözleşme süresinin dolması ifanın imkansızlaşması ya da taraflar arasında ikale (bozma) sözleşmesinin yapılması gibi genel sona erme sebepleri kişisel veri işleme sözleşmesi bakımından da geçerlidir. Vekalet sözleşmesinin sona ermesine ilişkin hükümlerin kıyasen uygulanması suretiyle özel sona erme sebepleri de değerlendirilmelidir.
TBK'nin 512. maddesi, vekalet sözleşmesinde tarafların tek taraflı olarak sözleşmeyi sona erdirebileceğini belirtir. Kişisel veri işleme sözleşmesi, borçların yerine getirilmesi ve sözleşme amacının gerçekleşmesiyle sona erer.
TBK'nin 512. maddesi, vekalet sözleşmesinde tarafların tek taraflı olarak sözleşmeyi sona erdirebileceğini belirtir. Bu düzenleme, kişisel veri işleme sözleşmesi için de geçerlidir. Taraflardan birinin sözleşmeyi sonlandırma hakkı bulunmakla birlikte, uygun olmayan bir zamanda fesih durumunda zararların tazmini gerekebilir.
Tek taraflı sona erme halinde, veri işleyenin yükümlülükleri ve veri sorumlusunun ödeme yükümlülüğü sona erer, ancak önceki işlemler için uygun bir ücret talep edilebilir. Ayrıca, TBK'nin 513. maddenin 1. fıkrasında, vekalet sözleşmesinin taraflardan birinin ölümü, ehliyet kaybı veya iflası gibi durumlarda sona ereceğini düzenler. Bu hüküm, kişisel veri işleme sözleşmesine de uygulanabilir ve bu durumlarda sözleşme sona erer.
KİŞİSEL VERİ İŞLEME SÖZLEŞMESİNE AYKIRILIKTAN DOĞAN SORUMLULUK
Bir sözleşme tarafı, yükümlülüklerini yerine getirmediğinde sözleşmeye aykırı davranmış sayılır. Bu durumda sözleşmeye aykırı davranan taraf kusursuzluğunu kanıtlayana kadar ortaya çıkan zararı tazmin etmekle yükümlüdür.
Kişisel veri işleme sözleşmesinde sorumluluğun doğabilmesi için, veri işleyenin edimini hiç ya da gereği gibi yerine getirmemesi sonucu bir zarar oluşmalı ve bu zarar ile sözleşmeye aykırılık arasında bir illiyet bağı bulunmalıdır.
Veri sorumlusu ile veri işleyen arasında yapılan kişisel veri işleme sözleşmesinde kişisel verilerin işlenmesi edimi, bir asli edim yükümlülüğü niteliğindedir. Sözleşmenin konusunu oluşturan asli edimin gereği gibi ifa edilmemesi sebebiyle bir zararın ortaya çıkması
halinde borçlu bundan sorumlu olur. Bu durumda borcun ifa edilmemesinin sonucunu düzenleyen TBK’nin 112. maddesine başvurulur. Borcu hiç veya gereği ifa etmeyen borçlu, kendisine hiçbir kusurun yüklenemeyeceğini ispat etmedikçe, alacaklının bundan doğan zararını gidermekle yükümlü olur. Başara’nın verdiği bir örneğe göre “Veri işleyen ve veri sorumlusu arasında yapılan kişisel veri işleme sözleşmesiyle veri işleyen, bir şirketin çalışanlarının elektronik postalarını yedeklemeyi taahhüt etmiştir. Sözleşme dönemi içerisinde bir çalışanın elektronik postaları silinmiş, ancak veri işleyenin kusurundan kaynaklanan bir sebeple yedekleme düzenli yapılamadığından elektronik postaların geri dönüşü sağlanamamış ve bu nedenle şirket zarar görmüş ise bu zararının giderilmesinin veri işleyenden talep edilebileceğini kabul etmek gerekir[11].”
Ayrıca bu konuda KVKK’nin 11. maddesinde kişisel verisi işlenen ilgili kişi için öngörülen veri sorumlusuna başvurarak zararın giderilmesini talep etme hakkı saklıdır. Zarar gören kişi, zararının ortaya çıkması durumunda KVKK’nin 11. maddesine dayanarak veri sorumlusundan zararının tazmin edilmesini talep edebilir.
İlliyet bağını kesen sebepler kişisel veri işlemesine aykırılıktan doğan sorumluluk bakımından da geçerlidir. Buna göre mücbir sebep, zarar görenin ağır kusuru, üçüncü kişinin ağır kusuru illiyet bağını kesen sebepler olarak değerlendirilmelidir. Başara’ya göre “Kişisel veri sözleşmesi kapsamında kişisel verileri yedeklemeyi üstlenen bulut bilişim şirketinin sunucularının engellenmesi mümkün olmayan bir hacker saldırısı nedeniyle çökmesi halinde bir üçüncü kişinin ağır kusuru nedeniyle ortaya çıkan zarardan veri işleyen sorumlu olmaz[12].”
Sözleşmenin ihlali sonucu sorumluluk için veri işleyenin kusurlu olması gerekir. Kusur, veri işleyenin, kendisinden beklenen özeni yerine getirmemesi sonucunda ihmal şeklinde ortaya çıkabileceği gibi daha ağır olarak kast derecesinde de ortaya çıkabilir.
SONUÇ
Kişisel veri işleme sözleşmesi, veri işleyenin, veri sorumlusunun talimatlarına uygun olarak ve menfaatlerini gözeterek kişisel verileri işlemeyi, bu iş görme edimi karşılığında veri sorumlusunun ise ücret ödemeyi taahhüt ettiği bir sözleşme olarak tanımlanabilir. Kişisel veri işleme sözleşmesinin tarafları, veri sorumlusu ve veri işleyendir.
Kişisel veri işleme sözleşmesinin unsurları; kişisel verilerin işlenmesi, ücret ödenmesi ve sözleşmenin taraflarının anlaşmasıdır. İşbu anlaşma herhangi bir geçerlilik şartına tabi tutulmamıştır.
Kişisel veri işleme sözleşmesi kanunda düzenlenmeyen bir sözleşme türüdür. Dolayısıyla isimsiz (atipik) bir sözleşmedir. Bu sözleşmeye ağırlıklı olarak vekalet sözleşmesi hükümleri uygulanır. Vekalet sözleşmesinde olduğu gibi kişisel veri işleme sözleşmesinde veri işleyen, veri sorumlusunun talimat ve menfaatlerine uygun olarak iş görme borcu altına girmektedir. Veri işleyen ise kişisel verilerin işlenme sonucunu taahhüt etmektedir.
Veri işleyenin bu sözleşmeden doğan yükümlülükleri, kişisel veri işleme edimini veri sorumlusunun talimatlarına uygun olarak özenle ifa etme, bilgi verme ve sır saklama, ilgilileri aydınlatma, hesap verme ve kişisel verileri iade etmedir. Veri sorumlusu, sözleşmede kararlaştırılmış olması ya da bu yönde teamülün olması halinde ücret ödeme yükümlülüğü altına girmektedir.
Kişisel veri işleme sözleşmesinin sona ermesinde borcun ifası, sözleşme süresinin dolması, ifanın imkansızlaşması ya da taraflar arasında ikale (bozma) sözleşmesinin yapılması gibi genel sona erme sebepleri geçerlidir. Ayrıca kişisel veri işleme sözleşmesi, kural olarak veri işleyenin ya da veri sorumlusunun ölümü, ehliyetsizliği ya da iflası halinde sona erer.
Veri sorumlusu ile veri işleyen arasındaki kişisel veri işleme sözleşmesinde, kişisel verilerin işlenmesi, sözleşmenin esaslı bir yükümlülüğü olarak kabul edilir. Eğer sözleşmenin konusunu oluşturan bu esas yükümlülüğün yerine getirilmemesi nedeniyle bir zarar meydana gelirse, veri işleyen, kendisine herhangi bir kusur atfedilemeyeceğini kanıtlamadıkça, meydana gelen zararı tazmin etmekle sorumlu olur.
[1] TURAN BAŞARA, Gamze, Kişisel Veri İşleme Sözleşmesi, Uyuşmazlık Mahkemesi Dergisi, S.16, 2020, s.1
[2] OĞUZMAN ve ÖZ s. 12
[3] ZEVKLİLER, Aydın/GÖKYAYLA, Emre, Özel Borç İlişkileri, 22. Baskı, İstanbul, Vedat Kitapçılık, 2024, s. 12. (Naklen Alıntı: Taştan, s.130)
[4] EREN, s.742.
[5]TAŞTAN, s. 139.
[6] TAŞTAN, s. 143
[7] EREN, s.746 vd.
[8] BAŞARA TURAN, s.
[9] BAŞARA TURAN, s.
[10] EREN, s.752.
[11] BAŞARA TURAN, s. 29.
[12] BAŞARA TURAN, s. 29.
KAYNAKÇA
ARAL, Fahrettin / AYRANCI, Hasan, “Özel Borç İlişkileri”, 1. Baskı, İstanbul, Yetkin Yayıncılık, 2024.
AYÖZGER ÖNGÜN, Çiğdem A., “Kişisel Verilerin Korunması Hukuku”, 2. Baskı, İstanbul, Beta Yayıncılık, 2019.
Kişisel Verileri Koruma Kurumu, “Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi”, https://tls.tc/MeFDS, (Erişim Tarihi: 24.10.2024.)
OĞUZMAN Kemal ve ÖZ Turgut, “Borçlar Hukuku Genel Hükümler”, 17. Baskı, İstanbul, Vedat Kitapçılık, 2020.
TAŞTAN, Furkan Güven, “Türk Sözleşme Hukukunda Kişisel Verilerin Korunması”, 2. Baskı, İstanbul, Oniki Levha Yayıncılık, 2017.
TURAN BAŞARA, Gamze, “Kişisel Veri İşleme Sözleşmesi”, Uyuşmazlık Mahkemesi Dergisi, S.16, 2020, s. 57-90.
UYARER Göçmen, “Kişisel Verilerin Korunması”, 2. Baskı, Ankara, Seçkin Yayıncılık, 2020.
ZEVKLİLER, Aydın/GÖKYAYLA, Emre, “Özel Borç İlişkileri”, 22. Baskı, İstanbul, Vedat Kitapçılık, 2024.
