Kişisel verilerin korunması hukuku bağlamında veri işleme faaliyetini yürüten temel aktör her ne kadar veri sorumlusu olsa da veri sorumlusunun yetkilendirmesi ile birden fazla aktör bu işleme faaliyetinde rol alabilmektedir. Bu yetkilendirme genel itibariyle veri sorumlusunun organizasyonel yapısından kaynaklanmaktadır. Ancak bazı durumlarda yetkilendirme, işleme faaliyetinin amaçlarından da kaynaklanabilmektedir. Bu durumlardan biri de 12 Mart 2024 tarihinde 32487 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren yurt dışı aktarımlarda standart sözleşme akdedilmesi halidir.
Bu bağlamda, Türkiye’de yerleşik bir veri sorumlusu işleme amaçlarından kaynaklı olarak işlediği kişisel verileri yurt dışına aktarırsa o halde işleme faaliyeti bakımından başka aktörlerle karşılaşılabilecektir. Bu aktörler, bir başka veri sorumlusu olabileceği gibi veri sorumlusu tarafından yetkilendirilecek bir veri işleyen ve veri işleyenin yetkilendirebileceği alt veri işleyen olabilecektir.
Standart sözleşmelere dayalı yurt dışı veri aktarımı özelinde kişisel verilerin korunması bağlamında aktörlerin belirlenmesi önem arz etmektedir. Zira veri işleme faaliyetinin hukuka uygun olabilmesi ve sorumluluk tayinin yapılabilmesi ancak aktörlerin belirlenebilmesi sayesinde sağlanabilecektir.
1. VERİ SORUMLUSU, VERİ İŞLEYEN VE ALT VERİ İŞLEYEN
Kişisel verileri işleme faaliyetini yürüten aktör temelde veri sorumlusudur. Veri sorumlusu, işleme faaliyeti bağlamında hangi verilerin hangi amaçlarla işlenebileceği; verilerin saklama süresinin ne olacağı ve veri ilgilisinin bilgilendirmesi gibi veri işleme faaliyetini baştan sonuna kadar yürüten kişidir[1]. Veri sorumlusu 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) 3.maddesinin ı bendinde tanımlanmıştır. Kanun’un tanımına göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir[2].
Veri işleyen ise veri sorumlusu tarafından verilen yetki ile ve veri sorumlusu adına işleme faaliyetini yürüten kişidir[3]. KVKK’nın 3.maddesinin ğ bendinde ise veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek ve tüzel kişiyi ifade etmektedir. Bu cihetle, veri işleyenin veri işleme faaliyeti süresince veri sorumlusunun talimat ve emirleri ile bağlı olduğu ortadadır[4]. Öte yandan, veri sorumlusu ile veri işleyen arasında akdedilecek bir sözleşme ile veri işleyenin işleme faaliyeti içerisindeki rolü de ortaya konabilecektir[5].
Ancak, veri sorumlusu ile veri işleyen arasında akdedilecek sözleşme sonrasında veri işleyenin veri işleme faaliyetini bir başka aktöre devredebilmesi veya bu aktörü yetkilendirebilmesi de mümkündür. Bu bağlamda, şayet veri işleyen veri sorumlusu tarafından yetkilendirdiği konularda bir başka gerçek veya tüzel kişiyi yetkilendirirse o halde alt veri işleyenden söz edilecektir. Alt veri işleyenin tanımı her ne kadar KVKK veya ilgili mevzuatta yer almasa da kanaatimizce alt veri işleyen, veri işleyenin yetkilendirdiği konularla sınırlı olmak kaydıyla veri işleyen tarafından veri sorumlusu adına işleme faaliyetini yürüten gerçek veya tüzel kişi olarak tanımlanabilecektir[6].
2. STANDART SÖZLEŞMELERE DAYALI AKTARIM
12 Mart 2024 tarihinde 32487 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren yurt dışı veri aktarımı yöntemlerden biri de standart sözleşmelere dayalı aktarımdır.
Standart sözleşmenin tarafları Türkiye’de veri aktarımını yapacak veri sorumlusu veya veri işleyen ile yurt dışında bulunan veri aktarılacak veri sorumlusu veya veri işleyendir. Sözleşme bağlamında veri aktaran[7] ve veri alıcısı[8] veri aktarımına dair çeşitli taahhütlerde bulunmaktadır. Bu taahhütler ve sözleşmedeki diğer tedbir hükümlerine istinaden uygun güvenceler sağlanarak veri aktarımı gerçekleştirilebilmektedir.
Standart sözleşmelerin ihtiva ettiği asgari unsurlar KVKK’nın 9.maddesinin 4.fıkrasının ç bendinde açıkça ifade edilmiştir. Madde hükmüne göre Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler ile özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları standart sözleşmelerin kapsaması gerekmektedir.
Standart sözleşmeye dayalı olarak yurt dışı aktarımı amaçlayan veri sorumluları veya veri işleyenlerin Kurul tarafından ilan edilen standart sözleşme metinlerini herhangi bir değişiklik yapmaksızın imzalaması gerekmektedir[9]. Bu bağlamda, aktarımı amaçlayan veri sorumlusu veya veri işleyenin sözleşme metinleri bakımından kural olarak herhangi bir serbestisi olmadığı söylenebilecektir. Ancak, Kurul tarafından yayımlanan standart sözleşme metinleri içerisinde bazı hükümler tarafların seçimine bırakılmıştır. Tarafların seçimine bırakılan hükümlerden biri de veri sorumlusundan veri işleyene veya veri işleyenden veri işleyene aktarım yapılması halinde alt veri işleyenlerin yetkilendirilmesine ilişkindir hükümlerdir.
3. STANDART SÖZLEŞMELER İLE ALT VERİ İŞLEYENLERİN YETKİLENDİRİLMESİ
Kurul tarafından yayımlanan, veri aktaranın veri sorumlusu veya veri işleyen, veri alıcısının ise veri işleyen olduğu sözleşme metinlerinde 8.maddede alt veri işleyen hükmü düzenlenmiştir. Bu hükme göre, veri alıcısı olan veri işleyen veri aktaran adına gerçekleştirdiği veri işleme faaliyetinin yürütülmesini bir başka veri işleyene devredebilecektir. Bu devre dair yetkilendirme ise sözleşme metinlerinde tarafların seçimine bırakılarak iki türde yapılabilecektir. Bu bakımdan alt veri işleyenlerin yetkilendirilmesinde özel yetkilendirme usulünü belirlenebileceği gibi genel yetkilendirme usulünü de seçilebilecektir.
Alt veri işleyenlere ilişkin özel yetkilendirme usulünün seçilmesi halinde veri alıcısı sözleşme bağlamında veri aktaran adına gerçekleştirdiği işleme faaliyetlerinden herhangi birisini veri aktarının veya veri sorumlusunun[10] önceden yazılı izni olmaksızın alt veri işleyene devredemeyecektir. Şayet veri alıcısı alt veri işleyenleri veri işleme faaliyetine dahil etmek isterse o halde sözleşmede tarafların kararlaştıracağı süreden önce veri aktarandan veya veri sorumlusundan izin almak zorundadır.
Alt veri işleyenlere ilişkin genel yetkilendirme usulünde ise, veri alıcısı veri aktaran adına gerçekleştirdiği işleme faaliyetini sözleşme ekinde yer alan alt veri işleyenlere devredebilecektir[11]. Genel yetkilendirme usulünde veri aktaranın sözleşme ekinde yer alan alt veri işleyenler için veri alıcısına onay verdiği kabul edilmektedir. Şayet veri alıcısı, sözleşme ekinde yer alan alt veri işleyenlerden birini değiştirmek veya yeni bir alt veri işleyen belirlemek isterse bu durumda sözleşmede belirlenen süre öncesinde veri aktarana ilgili hususu bildirmek zorundadır[12]. Veri alıcısı, veri aktaranın bu değişikliğe itiraz edebilme imkanı için veri aktarana yeterli süre vermesi[13] gerekmektedir.
Hem genel hem de özel yetkilendirme usulünde, şayet veri işleme faaliyeti bakımından alt veri işleyen olarak yeni bir aktörün ortaya çıkmışsa o halde bu durumunun Kurul’a bildirilmesi gerekmektedir.
Standart sözleşme metinlerine bakıldığında alt veri işleyen yasağının sözleşme metinlerine eklenemeyeceği veya taraflara böyle bir seçim hakkı tanınmadığı anlaşılmaktadır. Bu durumda, tarafların ve özellikle veri aktaranın veri işleme faaliyetine ve organizasyonel yapısına göre hareket ederek yetkilendirme usullerinden birini seçmesi gerekecektir. Şayet, veri aktaran alt veri işleyenlere veri işleme faaliyetinin devredilmesini tercih etmiyorsa bu durumda özel yetkilendirme usulünü seçerek hareket etmesi yolunun daha yerinde olacağı kanaatindeyiz. Zira görüleceği üzere, özel yetkilendirme usulünde veri alıcısı ancak veri aktaranın izni halinde alt veri işleyenlere veri işleme faaliyetini devredebilmektedir. İzin verilmemesi halinde yapılacak olan devir sözleşmeye aykırılık teşkil edecek ve veri alıcısının sorumluluğunu gündeme getirecektir.
4. ALT VERİ İŞLEYENLERİN FAALİYETLERİ BAKIMINDAN SORUMLULUK
Standart sözleşmeler bağlamında şayet veri alıcısı bir veri işleyense ve alt veri işleyene veri işleme faaliyetini devretmek isterse o halde alt veri işleyenle bir yazılı sözleşme yapması gerekmektedir. Bu sözleşmenin bazı unsurları taşıması gerektiği ise metinlerde belirtilmektedir. Buna göre, sözleşme ilgili kişiler için üçüncü taraf yararlanıcı hakları da dahil olmak üzere veri alıcısı ile veri aktaran arasında akdedilen standart sözleşme içerisindeki güvenceleri içermek zorundadır.
Veri alıcısı olan veri işleyenle alt veri işleyen arasındaki sözleşmenin akdedilmesi ile taraflar standart sözleşme içerisindeki sonraki aktarımlar hükmünün veri alıcısı tarafından yerine getirildiğini kabul etmektedir[14].
Alt veri işleyene veri işleme faaliyetinin devredilmesi halinde veri işleyen Sözleşme kapsamındaki yükümlülüklere alt veri işleyenin uyması için gerekli özeni ve dikkati göstermek zorundadır. Zira veri alıcısı, alt veri işleyenin yükümlülüklerini yerine getirmemesinden dolayı veri aktarana da sorumlu olacaktır. Şayet alt veri işleyen tarafından yükümlülüklere aykırılık söz konusu olursa bu durumda veri alıcısı veri aktarana durumu bildirmek zorundadır. Ancak bu bildirim, veri alıcısının veri aktarana karşı sorumluluğunu ortadan kaldırmayacaktır.
Veri işleme süreci bağlamında ilgili kişi, standart sözleşme kapsamındaki üçüncü taraf yararlanıcı haklarının veri alıcısı veya alt veri işleyen tarafından ihlal edilmesi halinde tazminat talep etme hakkına sahip olacaktır. Bu talep veri alıcısı veya alt veri işleyene yönetilebileceği gibi veri aktarana da yönetilebilecektir. Ancak veri aktaran, veri işleyen veya alt veri işleyenin yükümlülükleri ihlal etmesi halinde uğradığı zararın giderilmesi için veri alıcısına başvurabilecektir. Eğer, yükümlülük ihlali veri alıcısından değil alt veri işleyenden kaynaklanmaktaysa bu durumda veri aktaranın alt veri işleyene başvurma imkanı yoktur. Veri aktaran bu halde de zararının rücu edilmesini veri alıcısından talep etmelidir. Zira, veri alıcısı alt veri işleyenin kusurlu ve kendisinin kusursuz olduğu ileri sürerek sorumluluktan kurtulamayacaktır. Fakat bu durumda, veri alıcısının uğradığı zararı alt veri işleyenden talep etmesi mümkündür. Bu sebeple, alt veri işleyen ile veri alıcısı arasında akdedilecek olan sözleşmede tarafların sorumluluklarının net bir şekilde ortaya konması ve alt veri işleyenden rücu talebinde bulunulabileceğinin düzenlenmesinde fayda olacaktır.
[1] Işıl Çelik, Kişisel Verilerin Yurt Dışına Aktarılması, On İki Levha Yayıncılık, İstanbul 2022, s.10.
[2] Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 30.01.2020 tarihli ve 2020/71 sayılı kararında veri sorumlusunun kimseden emir ve talimat almadan veri işleme süreçlerine dair serbestçe karar verme yetkisine sahip olduğu vurgulanmıştır: “Diğer bir deyişle, teknik ve organizasyona ait araçların belirlenmesi, veriye kimin erişeceği, hangi verilerin işleneceği, bu verilerin ne kadar süre tutulacağı, ne şekilde saklanacağı gibi veri işlemeye ilişkin temel unsurlar veri sorumlusu tarafından belirlenmektedir. Bununla birlikte veri sorumlusu, kişisel verilerin korunmasına yönelik mevzuata uyumla ilgili tedbirlerin alınmasından, veri işleyeni denetimden ve ilgili kişilerin haklarını kullanabilmesini sağlamaktan sorumludur. Veri sorumlusunun özerk ve bağımsız olması da önem arz etmektedir. Veri sorumlusu kimseden emir ve talimat almayan, bilakis bir başka kişiye veri işletmesi halinde bu hususta emir ve talimat veren, veri işleme süreçlerinin her anında serbestçe karar verme yetkisine sahip olan gerçek veya tüzel kişilerdir.”
[3] Elif Küzeci, Kişisel Verilerin Korunması, Turhan Kitabevi, 3.bs., Ankara 2019, s.319.
[4] Ömer Ekmekçi, Nafiye Yücedağ, Elif Beyza Akkanat-Öztürk, Şehriban İpek Aşıkoğlu, Kişisel Verilerin Korunması Hukuku, On İki Levha Yayıncılık, 1.bs., İstanbul 2024, s.82.
[5] Kişisel Verileri Korumu Kurumu (“Kurum”) tarafından veri sorumlusu ile veri işleyen arasındaki sözleşme “kişisel veri işleme sözleşmesi” olarak tanımlanmaktadır; Kişisel Verileri Koruma Kurumu, Uygulama Rehberi, s.56; Kurum tarafından yayımlanan Veri Sorumlusu ve Veri İşleyen Rehberi’nde veri sorumlusu ile veri işleyen arasında akdedilecek veri işleme sözleşmesinde veri işleyene bazı yetkilerin bırakılabileceği örneklendirilmiştir; Kişisel Verileri Koruma Kurumu, Veri Sorumlusu ve Veri İşleyen Rehberi, s.3, (https://www.kvkk.gov.tr/Icerik/4195/Veri-Sorumlusu-ve-Veri-Isleyen, E.T.: 15.09.2024)
[6] Veri işleyen ile alt veri işleyen arasındaki ilişkinin bir sözleşmesel ilişki olduğu açıktır. Bu nedenle veri işleme faaliyeti çerçevesinde alt veri işleyenin mevcut olduğu durumlarda sözleşmeler hukuku kapsamında üç köşeli bir ilişkinin var olduğu kanaatinde olduğumuzu belirtmek isteriz.
[7] Yönetmelik m.4/1,ğ: ğ) Veri aktaran: Kişisel verileri yurt dışına aktaran veri sorumlusu veya veri işleyeni
[8] Yönetmelik m.4/1,h: h) Veri alıcısı: Veri aktarandan kişisel verileri alan yurt dışındaki veri sorumlusu veya veri işleyeni,
[9] Bu bir zorunluluk olup Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in (“Yönetmelik”) 14.maddesinin 3.fıkrasının ilk cümlesi’nde yer alan “Standart sözleşme metninin, üzerinde herhangi bir değişiklik yapılmaksızın kullanılması zorunludur.” ifadesi ile hüküm ihtiva etmektedir.
[10] Veri işleyenden veri işleyene aktarıma ilişkin sözleşme metninde, veri alıcısının veri sorumlusundan yazılı izin alması kararlaştırılmıştır. Ancak bu yazılı iznin veri sorumlusuna veri işleyen aracılığıyla mı sunulacağı yoksa veri alıcısı tarafından bizzat veri sorumlusuna mı iletileceği sözleşme metinleri içerisinde belirtilmemiştir. Kanaatimizce veri alıcısının sözleşmenin tarafı olmayan veri sorumlusuna bizatihi başvurması önünde herhangi bir engel bulunmamaktadır. Zira, veri alıcısı veri sorumlusunun yetkili olduğu ve emir ve talimat almaksızın veri işleme faaliyeti süreci içerisinde yetkilendirilen bir aktördür.
[11] Veri işleyenden veri işleyene aktarıma ilişkin sözleşme metinde alt veri işleyenler için genel yetkilendirme usulünün seçilmesi durumunda veri sorumlusu bakımından bu hususun ayrıca değerlendirilmesi gerektiği kanaatindeyiz. Zira, veri işleyenden veri işleyene aktarıma ilişkin sözleşmenin tarafı veri sorumlusu değildir. Bu durumda veri işleyenin veri sorumlusunun onay vermeyeceği alt veri işleyenleri sözleşme kapsamında onaylaması, veri işleyenin işleme faaliyetine aykırı davranışını gündeme getirecektir.
[12] Genel yetkilendirme usulünde, veri alıcısının veri aktarana değişikliği bildirmesi ile alt veri işleyen işleme faaliyetine başlayamayacaktır. Zira, sözleşme metni içerisinde açıkça “..yeni alt veri işleyen(ler)iin katılımından önce…” ifadesi yer almaktadır. Bu bakımdan, kanaatimizce yeni alt veri işleyenlerin işleme faaliyetine katılımı veri aktaranın ilgili hususa itiraz etmemesi ile başlamak zorundadır. Aksi halde hukuka aykırı işleme faaliyeti yürütüldüğünden söz edilebilecektir.
[13] Sözleşme metni içerisinde veri alıcısının veri aktarana itiraz imkanı için “yeterli süre” tanınmasından bahsedilse de bu sürenin ne olacağı muğlak bırakılmıştır. Kanaatimizce, Kurul tarafından gelecekte yapılacak revizyonlarda bu sürenin de tarafların seçimine bırakılacak şekilde düzenlenmesi gerekmektedir. Ancak, günümüzde geçerli metinlerdeki bu yeterli süre ibaresinin veri alıcısının veri aktarana yapacağı bildirim süresi olarak anlaşılmasında fayda olacaktır. Bu bağlamda, veri alıcısı örneğin 30 gün öncesinden veri aktarana değişikliği bildirmesi gerekmekteyse aynı süre içerisinde itirazlarını sunmasını da talep etmesi yerinde olacaktır.
[14] Alt veri işleyenin yetkilendirilmesi halinde sonraki aktarımlara ilişkin standart sözleşmenin akdedilmesi gerekip gerekmediği çalışmamız konusu dışında olması sebebiyle yalnızca bu hususun tartışmalı ve irdelenmeye değer bir alan olduğunu belirtmek isteriz.