Birleşik Krallık Genel Veri Koruma Yönetmeliği (United Kingdom General Data Protection Regulation[1]), kişisel verileri korumak için Birleşik Krallık’taki tüm kuruluşlara (ve genellikle Birleşik Krallık dışındaki kuruluşlara) önemli miktarda düzenleme getirmektedir. Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin temel ve sıklıkla göz ardı edilen koşullarından biri, veri denetleyicileri ile veri işlemcileri (ve alt işlemciler) arasında bir veri işleme sözleşmesi (data processing agreement) yürürlüğe koymaktır.
Diğer blog yazılarımızda[2], kuruluşlar içinde veya kuruluşlar arasında uygulanması gereken diğer dokümantasyon ve politikaların bazıları incelenmiştir. Bu blogda ise, veri işleme sözleşmesinin anlamını açıklayacağız, daha geniş hukuki bağlamını ortaya koyacağız ve veri işleme sözleşmesinin taslağı hazırlanırken veya müzakere edilirken en çok odaklanılan alanları tartışacağız.
- Veri işleme sözleşmesi: yasal arka plan
Kişisel verileri işleyen iki kategori kuruluş vardır. Bir kuruluşun içinde bulunduğu kategori, Birleşik Krallık Genel Veri Koruma Yönetmeliği yükümlülüklerinin onlar için hangilerinin geçerli olduğunu düzenleyecektir.
Birinci kategori “denetleyici” kategorisidir. Birleşik Krallık Genel Veri Koruma Yönetmeliği, denetleyiciyi “kişisel verilerin işlenmesinin amaçlarını ve araçlarını tek başına veya başkalarıyla birlikte belirleyen gerçek veya tüzel kişi, kamu otoritesi, kurum veya diğer kuruluş” (the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data) olarak tanımlar.
Tanımda da belirtildiği gibi, bir denetleyici bağımsız olabilir veya diğer denetleyicilerle (ki, ortak denetleyiciler olarak adlandırılır) sorumlulukları eşit olarak paylaşabilir.
İşlemci, denetleyici adına kişisel verileri işleyen bir kuruluştur. Veri işlemcileri genellikle bulut hizmeti sağlayıcıları ve Bilgi Teknolojisi destek hizmetleri gibi büyük kuruluşlardır, ancak daha küçük kuruluşların işlemci rolüne girmesi nadir değildir. Örneğin, dijital pazarlama ajansları hizmetlerini sunmak için genellikle müşterilerinin personelinin kişisel verilerini kullanır (örneğin, üzerinde ekip üyelerinin bulunduğu bir web sitesi tasarlamak). Bu senaryoda, söz konusu dijital pazarlama ajansı bir işlemci olurdu.
- Veri işleme sözleşmesi: nedir ve neden ihtiyacım var?
Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin 28. maddesi, veri işleyenlerin sözleşmeye bağlı olmasını ve talimatlarını takip etme ve kişisel verileri koruma konusunda kontrolöre karşı sorumlu olmasını sağlamak için kontrolörlerin kendileriyle işleyicileri arasında belirli maddeler içeren bir sözleşmeye sahip olmaları gerektiğini belirtmektedir.
Veri işleme sözleşmesi, bu sözleşmenin yaygın bir biçimidir. Birleşik Krallık Genel Veri Koruma Yönetmeliği ile gerekli görülen maddeleri içerecektir. Bu koşullar şunlardır:
- İşlemcinin kişisel verileri yalnızca denetleyiciden alınan belgelendirilmiş talimatlar doğrultusunda işlemesi;
- Uluslararası transferlere ilişkin ayrıntılar;
- Kişisel verileri işleyen personelin, kişisel verileri gizli tutmakla yükümlü olması;
- İşleyicinin kişisel verileri korumak için gerekli teknik ve idari tedbirleri alması;
- İşlemcinin, kişisel verilerin diğer işlemciler (“alt işlemciler”) tarafından işlenmesine yalnızca belirli durumlarda izin vermesi;
- İşlemcinin, denetleyicinin Birleşik Krallık Genel Veri Koruma Yönetmeliği yükümlülüklerine uymasına yardımcı olması;
- Veri sorumlusunun talebi halinde, işleyicinin, sözleşmenin sona ermesinin ardından kişisel verileri silmesi,
- İşlemcinin, bir işlemci olarak Birleşik Krallık Genel Veri Koruma Yönetmeliği yükümlülüklerine uygunluğunun denetleyici tarafından denetlenmesine izin vermesi.
Yukarıda belirtildiği gibi, ticari taraflar, bir denetleyicinin bir işlemciye kendi adına kişisel verileri işlemesi talimatını vermesi durumunda, bu koşulları bir veri işleme sözleşmesinde özetlemeyi sıklıkla tercih ederler.
Veri işleme sözleşmesi, bağımsız bir sözleşme olarak kararlaştırılabilecek ayrı bir belge olabilir. Alternatif olarak ve daha yaygın olarak, veri işleme sözleşmesi daha geniş bir ticari sözleşmeye [örneğin bir yazılım hizmeti sözleşmesi (Software as a Service contract) veya hizmet tedarik sözleşmesi (contract for the supply of services)] bağlanır veya atıfta bulunulur. Ticari sözleşme imzalandığında, veri işleme sözleşmesi de imzalanmış olur.
Bu, tarafların gerekli maddeleri doğrudan ticari anlaşmalara koyamayacakları ve bir veri işleme sözleşmesi ile uğraşmayacakları anlamına gelmez. Bu daha az idealdir çünkü denetleyiciler ve işlemciler arasındaki Birleşik Krallık Genel Veri Koruma Yönetmeliği gerekli maddeleri açısından tam olarak düşünülmüş bir anlaşma oldukça uzun olabilir. Bir veri işleme sözleşmesi, ticari anlaşmaların konusu benzer olduğu sürece, aynı işletme içindeki çeşitli ticari anlaşmalarda da kullanılabilir.
Bir veri işleme sözleşmesine girme yükümlülüğü, ilgili kişisel verilerin denetleyicisine aittir. Bunun nedeni, denetleyicinin Birleşik Krallık Genel Veri Koruma Yönetmeliği’ne uyma ve kişisel verileri koruma konusunda nihai sorumluluğa sahip olmasıdır. Bununla birlikte, sıklıkla veri işleyicisi olan kuruluşların denetleyicileriyle (genellikle internet üzerinden teslim edilen bir yazılım ürününün müşterileri) yaptıkları sözleşmesel anlaşmalarda kullandıkları kendi veri işleme sözleşmelerine sahip olmaları yaygındır. Birleşik Krallık Genel Veri Koruma Yönetmeliği gereken asgari standardı belirlerken, denetleyiciler kişisel verileri korumak için Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin sağladığından daha ileri gitmekle ilgilenirken, işlemciler, sorumluluk açısından, yükümlülüklerini yasal ve/veya uygulanabilir asgari düzeye indirmek için bir teşvike sahiptir.
Bir veri işleme sözleşmesi, denetleyiciler (ister bağımsız ister ortak denetleyici olsunlar) arasındaki bir ‘veri paylaşım anlaşması’ (data sharing agreement) veya benzer bir sözleşme türünden farklıdır. Bu tür anlaşmaların yönlerini başka bir yerde ele almıştık[3].
- Veri işleme sözleşmesi: temel maddeler
Veri işleme sözleşmesinin tüm yönleri önemli olmakla birlikte, müzakerelerde her zaman ortaya çıkan birkaç madde vardır.
3.1. Güvenlik önlemleri (security measures)
Yukarıda da belirtildiği üzere, bir veri işleme sözleşmesi, işlemcinin veri işleme sözleşmesi ile bağlantılı olarak işlenen kişisel verileri korumak için gerekli teknik ve organizasyonel önlemleri uygulayacağını garanti eden hükümleri içermelidir.
Bununla birlikte, bir veri işleme sözleşmesinin bu önlemlerin gerçekte ne olduğu konusunda bazı ayrıntılara girmesi önemlidir. Avrupa Veri Koruma Kurulu (European Data Protection Board) bu konuda şunları belirtir[4]: “Ancak, işleme sözleşmesi, Genel Veri Koruma Yönetmeliği hükümlerini yalnızca yeniden ifade etmekle kalmamalı; bunun yerine, koşulların nasıl karşılanacağına ve işleme sözleşmesinin konusu olan kişisel veri işleme için hangi düzeyde güvenliğin gerekli olduğuna ilişkin daha spesifik, somut bilgiler içermelidir.” (The processing agreement should not, however, merely restate the provisions of the GDPR; rather, it should include more specific, concrete information as to how the requirements will be met and which level of security is required for the personal data processing that is the object of the processing agreement)
Veri sorumlusunun sözleşmesel olarak uygulamaya koymayı kabul ettiği kişisel verileri korumak için teknik ve organizasyonel önlemlerin ‘asgari standardını’ veri işleme sözleşmesinin içermesi yaygındır.
Asgari standart ne olabilir? Bu, işlenen kişisel verilerin türüne bağlıdır. Tüm kuruluşlar için geçerli olan Birleşik Krallık Genel Veri Koruma Yönetmeliği kapsamındaki test, teknik ve organizasyonel önlemlerin, kişisel verilerin bütünlüğü açısından olumsuz bir durum meydana gelmesi durumunda (örneğin kişisel veri ihlali) veri sahipleriyle ilişkili risklere ‘uygun’ (appropriate) olmasıdır.
3.2. Alt işlemciler (Sub-processors)
Birleşik Krallık Genel Veri Koruma Yönetmeliği, denetleyicilerin ve/veya işlemcilerin kişisel verilerin alt işlemcilerinin atanması konusunda sahip olduğu iki seçeneği ortaya koymaktadır:
- Önceden özel izin alma (prior specific authorisation) veya
- Genel yazılı yetki verme (general written authorisation).
İlk seçenek olan önceden özel yetkilendirmenin öngördüğü gibi, veri sorumlusuna, veri işleyici tarafından herhangi bir yeni alt işleyicinin atanması konusunda seçim yapma hakkı bir veri işleme sözleşmesinde verilebilir.
İkinci seçenek -genel yazılı yetkilendirme- ise, bir veri işleme sözleşmesinde karşılanırsa, işlemciye, denetleyiciye yeni veya değiştirilen alt işlemcilere ‘itiraz etme fırsatı’ (opportunity to object) vermesi koşuluyla, uygun gördüğü alt işlemcileri atama özgürlüğü tanıyacaktır. Fırsatın ne kadarı yoruma açıktır, ancak Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin (ve ilgili yasal rehberliğin) ifadesinden, böyle bir fırsatın gerçekçi olması gerektiği açıktır. İtirazın yapılabileceği sürenin çok kısa olması uygun olmayacaktır.
Bir veri işleme sözleşmesi ayrıca, veri işleme sözleşmesi tarihi itibarıyla hangi alt işlemcilerin onaylandığını da belirtmelidir.
3.3. Denetim (audit)
Veri Koruma Yetkilisi, veri işleyicinin veri işleme sözleşmesi yükümlülüklerine uyumuna ilişkin denetleyicinin denetimine olanak sağlamalıdır.
Birleşik Krallık Genel Veri Koruma Yönetmeliği kapsamındaki koşul açıkça “denetleyiciye uyumu göstermek için gerekli tüm bilgileri sunmak (…) ve denetleyici veya denetleyici tarafından yetkilendirilen başka bir denetçi tarafından yürütülen denetimlere (teftişler dâhil) izin vermek ve katkıda bulunmaktır.”
Bunun ne anlama geldiği normalde yoğun bir şekilde müzakere edilir, çünkü Birleşik Krallık Genel Veri Koruma Yönetmeliği veya ilgili rehberde tam olarak koşulun ne olduğu açık değildir. Örneğin, işlemcilerin denetimlere harcadıkları zaman için ücret talep etmeleri izin verilebilir, ancak Birleşik Krallık Genel Veri Koruma Yönetmeliği kapsamında bu maliyetlerin denetleyiciyi gerçekten bir denetim yapmaktan caydıracak düzeyde olması izin verilmez.
Benzer şekilde, denetim hakkının kapsamına ilişkin herhangi bir ‘makul olma’ (reasonableness) koşulu veya diğer sınırlamalar, Birleşik Krallık Genel Veri Koruma Yönetmeliği kapsamında sorunlu olabilir.
- Veri işleme sözleşmeleri ile standart sözleşme maddeleri
Yukarıda belirtildiği üzere, veri işleme sözleşmesi, işlemcinin veri işleme sözleşmesi ile bağlantılı olarak işlenen kişisel verileri Birleşik Krallık dışına aktarma haklarını belirlemelidir.
Kişisel verilerin Birleşik Krallık dışına aktarılması (bir kuruluşun denetleyici veya işlemci olması fark etmeksizin) belirli güvenlik önlemleri alınmadığı sürece kısıtlanmıştır. Ana güvenlik önlemi, kişisel verilerin Birleşik Krallık Hükümeti tarafından yeterli görülen üçüncü bir ülkeye [örneğin Avrupa Ekonomik Alanı (European Economic Area) üye devletleri] aktarılmasıdır.
Diğer bir güvence ise ihracatçı ile ithalatçı arasında, veri sahiplerine kişisel verilerini ithalatçıya karşı korumak için ek haklar tanıyan ‘standart sözleşme maddelerinin’ (standard contractual clauses) yürürlüğe konulmasıdır.
Bu nedenle, bir veri işleme sözleşmesinin Birleşik Krallık merkezli bir denetleyici ile yeterli olmayan bir ülkede bulunan bir işlemci arasında olması durumunda, veri işleme sözleşmesinin veri işleme sözleşmesinin bir parçası olabilecek standart sözleşme maddelerine başvurması yaygındır.
[1] <https://www.legislation.gov.uk/eur/2016/679/contents>
[2] <https://emlaw.co.uk/gdpr-guide-em-law/>
[3] <https://emlaw.co.uk/data-sharing-controller-to-controller-transfers-of-data/>
[4]<https://www.edpb.europa.eu/system/files/2023-10/EDPB_guidelines_202007_controllerprocessor_final_en.pdf>
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.