Giriş

Bu yazıda, veri sorumlusu ve veri işleyenin kim olduğu, KVKK, GDPR, Avrupa Birliği mevzuatı da dahil olmak üzere ilgili  ulusal/uluslararası mevzuat. kapsamında detaylı bir şekilde değerlendirilmiş, ardından veri sorumlusu ile veri işleyen arasında yapılan veri işleme sözleşmeleri sayılan mevzuatlar kapsamında incelenmiştir.  

     A.  Veri Sorumlusu

KVKK (Türkiye’de 7 Nisan 2016 tarihinde yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu (bundan böyle “KVKK” olarak anılacaktır) (3/1/I fıkra) uyarınca veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt .sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. 30/01/2020 tarihli ve 2020/71 sayılı Kişisel Verileri Koruma Kurulu(bundan böyle “Kurul” olarak anılacaktır) kararında veri sorumlusu “kişisel verilerin işlenmesine ilişkin kararları alma, işleme faaliyetinin amacı, .bu faaliyetin ne zaman başlayacağı kimler tarafından .gerçekleştirileceği ve benzeri hususlarda karar verme yetkisi veri sorumlusuna aittir. Kişisel verilerin .işleme amaçlarını ve vasıtalarını belirleyen veri sorumlusu,  veri işleme faaliyetinin temel araçlarını ve amaçlarını; veri işlemenin “neden” ve “nasıl” olacağını belirlemektedir. Diğer bir deyişle, teknik ve organizasyona ait araçların belirlenmesi, veriye kimin erişeceği, hangi verilerin işleneceği, bu verilerin ne kadar süre tutulacağı, ne .şekilde saklanacağı gibi veri işlemeye ilişkin temel unsurlar veri sorumlusu tarafından belirlenmektedir. .Bununla birlikte veri sorumlusu, kişisel verilerin korunmasına yönelik mevzuata uyumla ilgili .tedbirlerin alınmasından,. veri işleyeni denetimden ve ilgili kişilerin haklarını kullanabilmesini sağlamaktan sorumludur. .Veri sorumlusunun özerk ve bağımsız olması da önem arz etmektedir. Veri sorumlusu kimseden emir ve talimat .almayan, bilakis bir başka kişiye veri işletmesi halinde bu hususta emir .ve talimat veren, veri işleme süreçlerinin her anında serbestçe karar verme yetkisine sahip olan gerçek veya tüzel kişilerdir.” şeklinde tanımlanmıştır.

GDPR (Avrupa Birliği nezdinde 25 Mayıs 2018 tarihinde yürürlüğe giren General Data Protection Regulation (Genel Veri Koruma Tüzüğü, bundan böyle “GDPR” olarak anılacaktır) kapsamında veri sorumlusu(data controller) olarak anılmaktadır. GDPR’ın 4.maddesinin 7. fıkrasında veri sorumlusu “yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ” olarak düzenlenmiştir. KVKK’da ise .GDPR’daki .“diğer herhangi bir organ” tanımından farklı olarak, gerçek ve tüzel kişi ile sınırlı bir veri .sorumlusu tanımı .yapılmıştır.  Bu kapsamda Türk hukukunda örneğin, tüzel kişiliğe haiz olmayan bir organın GDPR’da .olduğu gibi “diğer herhangi bir organ” kategorisinde veri sorumlusu olarak sayılamayacaktır. Ancak Kurul kararlarında veri sorumlusu sıfatının geniş yorumlanması sebebiyle tüzel ve gerçek kişi olmayan sujelerin veri sorumlusu sıfatına haiz oldukları değerlendirilmektedir.  

Örneğin, KVKK’nın 22.07.2020 tarihli ve 2020/560 sayılı Kararı’nda “Kanun’un “veri sorumlusu”na ilişkin getirdiği tanımın, hayatın olağan akışına uygunluğunun sağlanması ve pratikte ortaya çıkan sorunların çözülebilmesi adına geniş yorumlanması gerektiği; bu .kapsamda her ne kadar tüzel kişiliği haiz olmasa da kural olarak apartman, site .ve benzeri yapılar bakımından veri sorumlusu olarak kat malikleri kurulunun kabul edilebileceği, kat malikleri kurulunun ise Kanun’un veri sorumlusuna yüklediği yükümlülüklerin yerine getirilmesi bakımından bir kişiyi görevlendirebileceği…” belirtilerek geniş yorumda bulunulmuş ve apartman yönetiminin de her ne kadar tüzel kişiliğe haiz olmasa da veri sorumlusu olacağı belirtilmiştir.

     B.  Veri İşleyen

KVKK (3/1(ğ) fıkra) uyarınca veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiler olarak tanımlanmaktadır. KVKK’nın yayınladığı Veri Sorumlusu ve Veri işleyen Rehberinde(bundan böyle “Rehber” olarak anılacaktır) veri işleyen “kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle .yetkilendirdiği .ayrı bir gerçek veya tüzel kişidir” olarak tanımlanmıştır. Kurul’un 30/01/2020 tarihli ve 2020/71 sayılı kararında  .“Veri işleyenin faaliyetleri, veri işlemenin daha çok teknik kısımları ile ilgilidir. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir. Veri işleyen, veri sorumlusu adına kişisel .verileri işlemekte olup, veri sorumlusunun belirlemiş olduğu temel amaç ve araçlar ve veri sorumlusunun verdiği yetki doğrultusunda veri işleme faaliyetini gerçekleştirmektedir. Diğer bir .deyişle veri işleyen, veri sorumlusunun çıkarlarını gözeten, kendisine verilen belirli görevleri aldığı talimatlar doğrultusunda .yerine .getirmekle yükümlü olan taraftır. Bu çerçevede, veri işleyenin verileri hukuka uygun olarak işlemesi veri sorumlusunun vermiş olduğu emir ve talimatlara uyduğu ölçüde gerçekleşecektir.” şeklinde veri işleyen tanımlanmıştır.

GDPR kapsamında (4/8 fıkra) ise veri işleyen (data processor) veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi, kamu kurumu veya diğer kurum ve kuruluşlar olarak tanımlanmaktadır. 

     C.   Ulusal ve Uluslararası düzenlemelerde Veri İşleyen- Veri Sorumlusu Farkı

     1.  Veri Sorumlusunun Tespiti

Kişisel Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunmasına ve Serbest Veri Akışının Sağlanmasına İlişkin Direktif’in (bundan böyle “Direktif” olarak anılacaktır) 29’uncu maddesi ile “Kişisel Verilerin İşlenmesine Dair Bireylerin Korunması Hakkında Çalışma Grubu” kurulmuştur. .Grubun danışma statüsüne sahip olduğu ve bağımsız şekilde görev yapacağı belirtilmiştir. “29. Madde Veri Çalışma Grubu” veya “Article 29 Working Party” olarak zikredilen bu grup, Direktifin ve Tüzüğün.(GDPR) nasıl uygulanacağına ilişkin .raporlar hazırlamaktadır. Grubun, veri sorumlusu ve veri işleyene yönelik yayınlamış olduğu 1/2010 sayılı tavsiye kararı uyarınca da veri sorumlusunun belirlenmesine yönelik çeşitli kriterler getirilmiştir. 

29’uncu Madde Çalışma Grubu’nun tavsiye kararlarına benzer şekilde Avrupa Veri Koruma Denetmeni tarafından 7 Kasım 2019 tarihli “2018/1725 Numaralı Tüzük Kapsamında Veri Sorumlusu, Veri İşleyen ve Müşterek Veri Sorumlusu Kılavuzu” .yayımlanmıştır. İlgili düzenlemelerde de Kanunla(KVKK) benzer veri sorumlusu tanımı yapılarak veri sorumlusu kavramı irdelenmiştir.

KVKK’nın yayınladığı Veri Sorumlusu ve Veri işleyen Rehber’inde ve KVKK’nın 30/01/2020 tarihli ve 2020/71 numaralı kararı kapsamında .da belirtildiği üzere yukarıda sayılan mevzuat hükümleri göz önüne alındığında, veri sorumlusunun .tespiti için aşağıdaki hususlara kimin karar verdiği belirleyici olduğu ve bu kapsamda söz konusu kriterlerin çoğunu gerçekleştirenlerin veri sorumlusu olarak değerlendirileceği belirlenmiştir.

 • Kişisel verilerin toplanması ve toplama yöntemi,
 • Toplanacak kişisel veri türleri,
 • Hangi bireylerin kişisel verilerinin toplanacağı,
 • Kişisel verinin işlenmesine ve kimin işleyeceğine karar verme,
 • İşleme faaliyetinin temel unsurlarına karar verme (hangi kişisel verilerin toplanacağı, toplanan verilerin hangi amaçlarla kullanılacağı ve ne şekilde işleneceği, verilerin ne kadar süreyle saklanacağı, veri saklama politikasının .ne şekilde olacağı, verilere kimlerin erişme yetkisi olacağı, alıcıların kim olacağı gibi hususlar işlemenin temel unsurlarına örnek olarak gösterilebilir)
 • Toplanan verilerin paylaşılıp paylaşılmayacağı, .paylaşılacaksa kiminle paylaşılacağı, 
 • Kişisel verilerin işlenmesinde üst düzeyde, herhangi bir emir ve talimat almadan karar verebilme,
 • İlgili kişilerle doğrudan muhatap olma,
 • Kendi adına veri işleme faaliyetini yürütecek bir veri işleyen atama,
 • İşleme faaliyetinden menfaat sağlama

Konuyla ilgili KVKK’nın Veri Sorumlusu-Veri İşleyen Rehberi’nde birçok örnek bulunmaktadır. Örneğin, Bir ilaç firması ile yaptığı sözleşme uyarınca, bir araştırma şirketi ilaç firması için “çalışan memnuniyet anketi” düzenlemeyi üstlenmiştir. Firma, anket yapılacak çalışan listesinin belirlenmesini, anket metodunun seçimini ve anket sonuçlarının sunumunu araştırma şirketine bırakmıştır. Bu durumda araştırma şirketi, her ne kadar firma adına ..anketi yapıyor ve kişisel verileri işliyor olsa da ilaç firması ile birlikte veri sorumlusu statüsündedir. .Zira hangi çalışanlarla anket yapılacağı, hangi verilerin toplanacağı vb. konularda karar verme yetkisine sahip olan araştırma şirketidir.

Bir başka örnekte ise; internet üzerinden satış gerçekleştiren bir kişinin bir ödeme hizmeti şirketi ile anlaşması suretiyle müşterilerinin verilerinin işlenmesi durumda; ödeme hizmeti şirketi, satıcının veri işleyeni değildir. Bu verilerin işlenmesi bakımından .veri sorumlusu statüsündedir. Zira ödeme hizmeti şirketi; (1).Ödemelerin doğru yapılabilmesi için .müşterilerden hangi verilerin toplanması gerektiğine karar vermektedir. (2).Toplanan verilerin hangi amaçla .kullanılacağı konusunda kontrol sahibidir. (3) Satıcıdan bağımsız olarak doğrudan kişisel verileri işlenen müşterilere uyguladığı kendi hüküm ve şartları bulunmaktadır. (4).Satıcıdan bağımsız olarak tabi olduğu hukuki yükümlülükler bulunmaktadır. Örneğin; kredi kartı bilgilerinin silinmesi.

Rehber’de ve Kurul kararlarında belirtildiği üzere; veri sorumlusunun yetki vermesi halinde, veri işleyen veri işleme faaliyetleri esnasında önemli ölçüde bir özerkliğe sahip olabilir ve bu doğrultuda işleme faaliyetinin temel olmayan .öğelerini de tanımlayabilir. Veri sorumlusu, .kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi veri işleyen tarafından işlenmesi halinde; alınan her türlü teknik ve idari tedbirler hususunda bu kişilerle birlikte müştereken sorumludur. Bununla birlikte veri sorumlusu, yapacağı kişisel veri işleme sözleşmesi ile;.

 • Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı, 
 • Kişisel verilerin hangi yöntemle saklanacağı, 
 • Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları, 
 • Kişisel verilerin aktarımının hangi yöntemle yapılacağı, 
 • Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot, 
 • Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri 

hususlarında karar verme yetkisini veri işleyene bırakabilir. .Yani, özellikle bazı teknik konularda veri sorumlusunun menfaatlerine bağlı kalmak ve talimatlarına uymak koşuluyla, veri işleyen de bazı konularda karar verme yetkisini haiz olabilir. 

     2. Veri İşleyenin Tespiti

Rehber’de ve Kurul kararlarında veri işleyenin tespiti için de birtakım hususların göz önünde bulundurulması tavsiye edilmiştir. Buna göre veri işleyenin tespiti için genel itibariyle; 

 • Kişisel veri işlemek için başkasından talimat alınması,
 • Kişisel verilerin kişilerden toplanması sürecinde karar verme yetkisine sahip olmamak,
 • Kişisel verilerin kullanım amaçlarının belirlenmemesi,
 • Verilerin ne şekilde ifşa olabileceğine, kimlerin bu verilere erişebileceğine karar verme yetkisine sahip olmamak,
 • Veri saklama sürecine karar verme yetkisine sahip olmamak,
 • Veri işlemenin sonuçlarından sorumlu olmaması, 
 • Veri sorumlusu ile yapılacak .sözleşme gibi yasal bağlayıcılığı olan anlaşmalar çerçevesinde veri sorumlusunun verdiği yetkiler çerçevesinde kişisel verilerin işlenmesine yönelik birtakım karar verme mekanizmalarının söz konusu olup olmadığı,

hususları değerlendirilmek suretiyle Kurul kararı uyarınca yukarıda sayılanların çoğunun bulunması halinde veri işleme faaliyetini gerçekleştiren veri işleyen olarak kabul edilecektir.

     D.  Veri İşleme Sözleşmeleri

     1.  Türk Hukukunda Kişisel Veri İşleme Sözleşmesi

Türk hukukunda veri işleme sözleşmesi; veri işleyenin, veri sorumlusu tarafından veri işleme faaliyetini gerçekleştirmek üzere .bizzat yetkilendirdiği sözleşmedir.(kaynak)

Kişisel Verilerin Korunması Kanunu  ile Kurul tarafından yayınlanan rehberlere göre veri işleyen ve veri sorumlusunun yazılı bir kişisel veri aktarımı sözleşmesi yapması gerekmektedir. Rehber’de yapılacak kişisel veri işleme sözleşmesi ile veri sorumlusunun hangi hususları belirlediği, hangi konularda karar verme yetkisini veri işleyen bıraktığı .gibi hususlar belirtilmesi suretiyle kişisel veri işleme sözleşmesinin hangi unsurlar içermesi gerektiği örtülü bir biçimde belirtilmiştir. Buna göre kişisel veri işleme sözleşmesi aşağıda sayılan hükümleri içermelidir:

 • Kişisel verilerin toplanması ve toplama yöntemi,
 • Toplanacak kişisel veri türleri,
 • Toplanan verilerin hangi amaçlarla kullanılacağı,
 • Hangi bireylerin kişisel verilerinin toplanacağı,
 • Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,
 • Verilerin ne kadar süreyle saklanacağı,
 • Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı,
 • Kişisel verilerin hangi yöntemle saklanacağı,
 • Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları,
 • Kişisel verilerin aktarımının hangi yöntemle yapılacağı,
 • Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot,
 • Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri. (kaynak)

     2. GDPR Kapsamında Veri İşleme Sözleşmesi

     a.   İrlanda Veri Koruma Komisyonu( Data Protection Commission “DPC”) Rehber ve Görüşleri

İrlanda Veri Koruma Komisyonunun, Veri İşleyen ve Veri Sorumlusu için yayınladığı Rehber’de Veri Sorumlusu ve Veri İşleyen ilişkisi tespit edilmiş, veri işleyen sözleşmelerinin içermesi gereken zorunlu ve ihtiyari hükümler belirtilmiştir.

GDPR uyarınca, veri sorumlusunun veri işleyeni kişisel verileri işlemesi için yetkilendirdiği durumlarda yasal anlamda bir sözleşme yapılması gerektiği düzenlenmiştir. Bu kapsamda GDPR’nin 28/3. maddesinde “veri işleme .faaliyetinin gerçekleştirilmesi için, veri sorumlusuyla veri işleyen arasında bir sözleşme veya başkaca bir hukuki işlemin yapılması gerektiği” belirtilmiştir. 

GDPR öncesinde ise 1988 ve 2003 DPA (Data Protection Act/Veri Koruma Yasası) hem veri sorumlusu hem de veri işleyen .için belirli yükümlülükler öngörmekteydi. GDPR’nın yürürlüğe girmesi ile bu yükümlülükler genişletilmiş ve güçlendirilmiştir. GDPR’da bu kapsamda veri sorumlusunun veri işleyeni kendi adına kişisel veriyi işlemesi için yetkilendirdiği durumlarda bir veri işleme sözleşmesi(“Data Processing Contract”) yapma zorunluluğu .düzenlenmiştir..GDPR, veri sorumlularına GDPR’a uygun ve ilgili kişinin haklarını koruyan teknik ve idari tedbirleri elverişli bir biçimde sağlaması açısından veri işleyeni görevlendirmeyi şart koşmuştur. Benzer .şekilde DPA uyarınca da kişisel verinin işlenmesi söz konusu olduğunda veri sorumlusu ve veri işleyenin yazılı bir sözleşme yapılması .öngörülmekteydi ancak DPA’nın aksine GDPR’da veri işleme sözleşmeleri için daha fazla hüküm öngörülmüştür.

Kimlerin Veri İşleme Sözleşmesi Yapması Gerekmektedir? 

Kendileri adına kişisel veriyi işlemesi için bir veri işleyen görevlendiren tüm veri sorumluları veri işleme sözleşmesi yapmakla yükümlüdür. Bu yükümlülük kamu ve özel sektör olmak üzere tüm veri sorumluları ve veri işleyenleri kapsamaktadır.

Veri İşleme Sözleşmesinin Zorunlu Hükümlerine Genel Bakış

GDPR’nin 28. maddesi veri sorumlusu ile veri işleyen arasındaki veri işleme sözleşmesinin içermesi gereken hükümleri ifade etmektedir. Bir veri sorumlusu ile bir veri işleyen aşağıda asgari biçimde sayılan hükümleri içeren bir veri işleme sözleşmesi yapmalıdır: 

 • Veri işlemenin konusu, süresi, niteliği ve amacı;
 • İşlenen kişisel verilerin türü;
 • Kişisel verileri işlenen ilgili kişilerin kategorileri; ve
 • Veri sorumlusunun yükümlülükleri ve hakları.

Veri işleme sözleşmesi ayrıca aşağıda sayılan zorunlu hükümleri içermelidir:

 • Veri işleyenin, yurtdışı veri aktarımı da dahil olmak üzere yalnızca veri sorumlusunun talimatları üzerine (kişisel verilerin bu tür talimatlar olmadan işlenmesi kanunen gerekli olmadıkça) kendisine iletilen kişisel verileri işleyeceği, 
 • Veri işleyenin, kişisel verisi işlenen tüm ilgili kişilerin verilerini gizlilik yükümüne uygun bir biçimde işlemeyi sağlayacağı,
 • Veri işleyenin, veri sorumlusundan alınan kişisel verileri korumak için alması gereken teknik ve organizasyonel önlemler dahil ancak bununla sınırlı olmamak üzere GDPR’ın “Security of Processing”.(İşleme Güvenliği) başlıklı 32. maddesi uyarınca gereken bütün önlemleri alacağı, 
 • Veri işleyenin, veri sorumlusundan alınan kişisel verileri işlemek için görevlendireceği tüm alt-veri işleyenler için önceden özel bir izin veya genel yazılı izin alması ve ayrıca alt-veri işleyen çalıştıran veri işleyene genel bir yazılı yetki verildiğinde, veri sorumlusunun veri işleyen tarafından atanacak her bir alt-veri işleyene önceden itiraz .etme fırsatına sahip olmasını sağlayacağı,
 • Veri işleyen tarafından yetkilendirilmiş her bir alt-veri işleyenin, veri işleyen ile aynı veri koruma yükümlülüklerine tabi olacağı ve veri işleyenin, alt-veri işleyenlerin veri koruma yükümlülüklerine ilişkin davranışlarından veri işleyenin sorumlu olmaya devam edeceği, 
 • Veri işleyenin, GDPR kapsamında veri konusu kişilerin taleplerine yanıt verebilmek için uygun teknik ve organizasyonel önlemler hakkında veri sorumlusunu yönlendireceği, 
 • Veri işleyenin, GDPR 32(Veri işleme güvenliği), GDPR 3334(Veri ihlallerinin bildirilmesi), GDPR 3536(Veri koruma etki değerlendirmeleri) ile ilgili olarak veri sorumlusunu GDPR kapsamındaki yükümlülüklere uyması konusunda yönlendireceği,
 • Veri sorumlusunun talimatlarına uygun olarak veri işlemenin sona erdiği hallerde veri işleyenin kendisine veri sorumlusu tarafından iletilen tüm kişisel verileri veri sorumlusuna iade edeceği veya sileceği, 
 • Veri işleyenin GDPR’ın 28. maddesine uygun olarak veri sorumlusuna bütün bilgileri sağlayacağı ve veri sorumlusu adına 3. kişiler veya veri sorumlusu tarafından yürütülen denetimlere müsade edeceği ve iştirak edeceği.
Veri İşleme Sözleşmelerinde Yer Alabilecek Diğer Hükümler

GDPR kapsamında zorunlu tutulmayan ancak veri işleyen ve veri sorumlusunun, veri işleme sözleşmesine eklemek isteyebilecekleri başkaca hükümler de bulunmaktadır. 

Sayılanlarla sınırlı olmamak üzere aşağıdaki hükümler veri işleme sözleşmesine eklenebilir; 

 • Sorumluluk hükümleri (tazminatlar dahil),
 • Ayrıntılı (teknik) güvenlik hükümleri; ve/veya
 • Veri sorumlusu ve veri işleyen arasındaki ek işbirliği hükümleri.

Bu tür ek hükümler, duruma göre Veri Sorumlusu ve Veri İşleyen arasında kararlaştırılabilir.

   b.  Avrupa Veri Koruma Kurulu (European Data Protection Board “EDPB”) Rehber ve Görüşleri

7 Temmuz 2021 yılında kabul edilen, Veri İşleyen ve Veri Sorumlusu kavramı üzerine yayınlanan Rehber’de “Veri İşleyen tarafından kişisel verilere ilişkin her türlü işleme faaliyeti Avrupa Birliği veya Üye Devlet hukuku kapsamında .bir sözleşme veya başka bir hukuki işlemle GDPR 28/3’e göre yapılmalıdır.” şeklinde belirtilerek, sözleşmenin veya hukuki işlemin .içeriğinin ne olması gerektiği ifade edilmiştir. Buna göre veri işleme sözleşmesi yukarıda.(2/a) belirtildiği üzere GDPR’ın 28. maddesinde sayılan asgari hükümleri(veri işlemenin konusu, süresi, niteliği ve amacı, işlenen kişisel verilerin türü, kişisel verileri işlenen ilgili kişilerin kategorileri, veri sorumlusunun yükümlülükleri ve hakları)içermelidir. 

   c.  İngiltere Veri Koruma Otoritesinin (Information Comissioner’s Office “ICO”) Rehber ve Görüşleri

Brexit ile .birlikte İngiltere, GDPR’ı iç hukukunda DPA 2018′in değiştirilmiş bir versiyonunu olan “UK GDPR” olarak uygulamaya devam etmiştir. Mevcut Avrupa Birliği GDPR düzenlemesi ile hemen hemen bir farklılığı olmadığı söylenebilir. (kaynak) (kaynak 2) Dolayısıyla UK GDPR’da veri işleme sözleşmelerinin içermesi gereken hususlar.(veri işlemenin konusu, süresi, niteliği ve amacı, işlenen kişisel verilerin türü, kişisel verileri işlenen ilgili kişilerin kategorileri, veri sorumlusunun yükümlülükleri ve hakları)aynı kalmıştır. (kaynak)

    Sonuç

Veri sorumlusu ve veri işleyen sıfatları ulusal ve uluslararası kaynaklarda ayrıntılı bir biçimde açıklanmış veri işleyenin veri sorumlusu tarafından kişisel veri işlemeye yetkilendirildiği durumlarda bir kişisel veri işleme/veri işleme .sözleşmesi yapılmasının gerekli olduğu ulusal/uluslararası mevzuatta ve rehberlerde belirtilmiştir. Bu kapsamda ulusal veya uluslararası .mevzuat uyarınca veri sorumluları ve veri işleyenlerin sayılan unsurları da içinde barındıracak şekilde veri işleme sözleşmesi ile kişisel veri aktarımı yapması gerekmektedir.

Daha fazla okuma için:

https://www.eralp.av.tr/irlanda-veri-koruma-otoritesi-vaka-ozetleri-2/ 

     Giriş

Bu yazıda, veri sorumlusu ve veri işleyenin kim olduğu, KVKK, GDPR, Avrupa Birliği mevzuatı da dahil olmak üzere ilgili  ulusal/uluslararası mevzuat. kapsamında detaylı bir şekilde değerlendirilmiş, ardından veri sorumlusu ile veri işleyen arasında yapılan veri işleme sözleşmeleri sayılan mevzuatlar kapsamında incelenmiştir.  

     A.  Veri Sorumlusu

KVKK (Türkiye’de 7 Nisan 2016 tarihinde yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu (bundan böyle “KVKK” olarak anılacaktır) (3/1/I fıkra) uyarınca veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt .sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. 30/01/2020 tarihli ve 2020/71 sayılı Kişisel Verileri Koruma Kurulu(bundan böyle “Kurul” olarak anılacaktır) kararında veri sorumlusu “kişisel verilerin işlenmesine ilişkin kararları alma, işleme faaliyetinin amacı, .bu faaliyetin ne zaman başlayacağı kimler tarafından .gerçekleştirileceği ve benzeri hususlarda karar verme yetkisi veri sorumlusuna aittir. Kişisel verilerin .işleme amaçlarını ve vasıtalarını belirleyen veri sorumlusu,  veri işleme faaliyetinin temel araçlarını ve amaçlarını; veri işlemenin “neden” ve “nasıl” olacağını belirlemektedir. Diğer bir deyişle, teknik ve organizasyona ait araçların belirlenmesi, veriye kimin erişeceği, hangi verilerin işleneceği, bu verilerin ne kadar süre tutulacağı, ne .şekilde saklanacağı gibi veri işlemeye ilişkin temel unsurlar veri sorumlusu tarafından belirlenmektedir. .Bununla birlikte veri sorumlusu, kişisel verilerin korunmasına yönelik mevzuata uyumla ilgili .tedbirlerin alınmasından,. veri işleyeni denetimden ve ilgili kişilerin haklarını kullanabilmesini sağlamaktan sorumludur. .Veri sorumlusunun özerk ve bağımsız olması da önem arz etmektedir. Veri sorumlusu kimseden emir ve talimat .almayan, bilakis bir başka kişiye veri işletmesi halinde bu hususta emir .ve talimat veren, veri işleme süreçlerinin her anında serbestçe karar verme yetkisine sahip olan gerçek veya tüzel kişilerdir.” şeklinde tanımlanmıştır.

GDPR (Avrupa Birliği nezdinde 25 Mayıs 2018 tarihinde yürürlüğe giren General Data Protection Regulation (Genel Veri Koruma Tüzüğü, bundan böyle “GDPR” olarak anılacaktır) kapsamında veri sorumlusu(data controller) olarak anılmaktadır. GDPR’ın 4.maddesinin 7. fıkrasında veri sorumlusu “yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ” olarak düzenlenmiştir. KVKK’da ise .GDPR’daki .“diğer herhangi bir organ” tanımından farklı olarak, gerçek ve tüzel kişi ile sınırlı bir veri .sorumlusu tanımı .yapılmıştır.  Bu kapsamda Türk hukukunda örneğin, tüzel kişiliğe haiz olmayan bir organın GDPR’da .olduğu gibi “diğer herhangi bir organ” kategorisinde veri sorumlusu olarak sayılamayacaktır. Ancak Kurul kararlarında veri sorumlusu sıfatının geniş yorumlanması sebebiyle tüzel ve gerçek kişi olmayan sujelerin veri sorumlusu sıfatına haiz oldukları değerlendirilmektedir.  

Örneğin, KVKK’nın 22.07.2020 tarihli ve 2020/560 sayılı Kararı’nda “Kanun’un “veri sorumlusu”na ilişkin getirdiği tanımın, hayatın olağan akışına uygunluğunun sağlanması ve pratikte ortaya çıkan sorunların çözülebilmesi adına geniş yorumlanması gerektiği; bu .kapsamda her ne kadar tüzel kişiliği haiz olmasa da kural olarak apartman, site .ve benzeri yapılar bakımından veri sorumlusu olarak kat malikleri kurulunun kabul edilebileceği, kat malikleri kurulunun ise Kanun’un veri sorumlusuna yüklediği yükümlülüklerin yerine getirilmesi bakımından bir kişiyi görevlendirebileceği…” belirtilerek geniş yorumda bulunulmuş ve apartman yönetiminin de her ne kadar tüzel kişiliğe haiz olmasa da veri sorumlusu olacağı belirtilmiştir.

     B.  Veri İşleyen

KVKK (3/1(ğ) fıkra) uyarınca veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiler olarak tanımlanmaktadır. KVKK’nın yayınladığı Veri Sorumlusu ve Veri işleyen Rehberinde(bundan böyle “Rehber” olarak anılacaktır) veri işleyen “kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle .yetkilendirdiği .ayrı bir gerçek veya tüzel kişidir” olarak tanımlanmıştır. Kurul’un 30/01/2020 tarihli ve 2020/71 sayılı kararında  .“Veri işleyenin faaliyetleri, veri işlemenin daha çok teknik kısımları ile ilgilidir. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir. Veri işleyen, veri sorumlusu adına kişisel .verileri işlemekte olup, veri sorumlusunun belirlemiş olduğu temel amaç ve araçlar ve veri sorumlusunun verdiği yetki doğrultusunda veri işleme faaliyetini gerçekleştirmektedir. Diğer bir .deyişle veri işleyen, veri sorumlusunun çıkarlarını gözeten, kendisine verilen belirli görevleri aldığı talimatlar doğrultusunda .yerine .getirmekle yükümlü olan taraftır. Bu çerçevede, veri işleyenin verileri hukuka uygun olarak işlemesi veri sorumlusunun vermiş olduğu emir ve talimatlara uyduğu ölçüde gerçekleşecektir.” şeklinde veri işleyen tanımlanmıştır.

GDPR kapsamında (4/8 fıkra) ise veri işleyen (data processor) veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi, kamu kurumu veya diğer kurum ve kuruluşlar olarak tanımlanmaktadır. 

     C.   Ulusal ve Uluslararası düzenlemelerde Veri İşleyen- Veri Sorumlusu Farkı

     1.  Veri Sorumlusunun Tespiti

Kişisel Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunmasına ve Serbest Veri Akışının Sağlanmasına İlişkin Direktif’in (bundan böyle “Direktif” olarak anılacaktır) 29’uncu maddesi ile “Kişisel Verilerin İşlenmesine Dair Bireylerin Korunması Hakkında Çalışma Grubu” kurulmuştur. .Grubun danışma statüsüne sahip olduğu ve bağımsız şekilde görev yapacağı belirtilmiştir. “29. Madde Veri Çalışma Grubu” veya “Article 29 Working Party” olarak zikredilen bu grup, Direktifin ve Tüzüğün.(GDPR) nasıl uygulanacağına ilişkin .raporlar hazırlamaktadır. Grubun, veri sorumlusu ve veri işleyene yönelik yayınlamış olduğu 1/2010 sayılı tavsiye kararı uyarınca da veri sorumlusunun belirlenmesine yönelik çeşitli kriterler getirilmiştir. 

29’uncu Madde Çalışma Grubu’nun tavsiye kararlarına benzer şekilde Avrupa Veri Koruma Denetmeni tarafından 7 Kasım 2019 tarihli “2018/1725 Numaralı Tüzük Kapsamında Veri Sorumlusu, Veri İşleyen ve Müşterek Veri Sorumlusu Kılavuzu” .yayımlanmıştır. İlgili düzenlemelerde de Kanunla(KVKK) benzer veri sorumlusu tanımı yapılarak veri sorumlusu kavramı irdelenmiştir.

KVKK’nın yayınladığı Veri Sorumlusu ve Veri işleyen Rehber’inde ve KVKK’nın 30/01/2020 tarihli ve 2020/71 numaralı kararı kapsamında .da belirtildiği üzere yukarıda sayılan mevzuat hükümleri göz önüne alındığında, veri sorumlusunun .tespiti için aşağıdaki hususlara kimin karar verdiği belirleyici olduğu ve bu kapsamda söz konusu kriterlerin çoğunu gerçekleştirenlerin veri sorumlusu olarak değerlendirileceği belirlenmiştir.

 • Kişisel verilerin toplanması ve toplama yöntemi,
 • Toplanacak kişisel veri türleri,
 • Hangi bireylerin kişisel verilerinin toplanacağı,
 • Kişisel verinin işlenmesine ve kimin işleyeceğine karar verme,
 • İşleme faaliyetinin temel unsurlarına karar verme (hangi kişisel verilerin toplanacağı, toplanan verilerin hangi amaçlarla kullanılacağı ve ne şekilde işleneceği, verilerin ne kadar süreyle saklanacağı, veri saklama politikasının .ne şekilde olacağı, verilere kimlerin erişme yetkisi olacağı, alıcıların kim olacağı gibi hususlar işlemenin temel unsurlarına örnek olarak gösterilebilir)
 • Toplanan verilerin paylaşılıp paylaşılmayacağı, .paylaşılacaksa kiminle paylaşılacağı, 
 • Kişisel verilerin işlenmesinde üst düzeyde, herhangi bir emir ve talimat almadan karar verebilme,
 • İlgili kişilerle doğrudan muhatap olma,
 • Kendi adına veri işleme faaliyetini yürütecek bir veri işleyen atama,
 • İşleme faaliyetinden menfaat sağlama

Konuyla ilgili KVKK’nın Veri Sorumlusu-Veri İşleyen Rehberi’nde birçok örnek bulunmaktadır. Örneğin, Bir ilaç firması ile yaptığı sözleşme uyarınca, bir araştırma şirketi ilaç firması için “çalışan memnuniyet anketi” düzenlemeyi üstlenmiştir. Firma, anket yapılacak çalışan listesinin belirlenmesini, anket metodunun seçimini ve anket sonuçlarının sunumunu araştırma şirketine bırakmıştır. Bu durumda araştırma şirketi, her ne kadar firma adına ..anketi yapıyor ve kişisel verileri işliyor olsa da ilaç firması ile birlikte veri sorumlusu statüsündedir. .Zira hangi çalışanlarla anket yapılacağı, hangi verilerin toplanacağı vb. konularda karar verme yetkisine sahip olan araştırma şirketidir.

Bir başka örnekte ise; internet üzerinden satış gerçekleştiren bir kişinin bir ödeme hizmeti şirketi ile anlaşması suretiyle müşterilerinin verilerinin işlenmesi durumda; ödeme hizmeti şirketi, satıcının veri işleyeni değildir. Bu verilerin işlenmesi bakımından .veri sorumlusu statüsündedir. Zira ödeme hizmeti şirketi; (1).Ödemelerin doğru yapılabilmesi için .müşterilerden hangi verilerin toplanması gerektiğine karar vermektedir. (2).Toplanan verilerin hangi amaçla .kullanılacağı konusunda kontrol sahibidir. (3) Satıcıdan bağımsız olarak doğrudan kişisel verileri işlenen müşterilere uyguladığı kendi hüküm ve şartları bulunmaktadır. (4).Satıcıdan bağımsız olarak tabi olduğu hukuki yükümlülükler bulunmaktadır. Örneğin; kredi kartı bilgilerinin silinmesi.

Rehber’de ve Kurul kararlarında belirtildiği üzere; veri sorumlusunun yetki vermesi halinde, veri işleyen veri işleme faaliyetleri esnasında önemli ölçüde bir özerkliğe sahip olabilir ve bu doğrultuda işleme faaliyetinin temel olmayan .öğelerini de tanımlayabilir. Veri sorumlusu, .kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi veri işleyen tarafından işlenmesi halinde; alınan her türlü teknik ve idari tedbirler hususunda bu kişilerle birlikte müştereken sorumludur. Bununla birlikte veri sorumlusu, yapacağı kişisel veri işleme sözleşmesi ile;.

 • Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı, 
 • Kişisel verilerin hangi yöntemle saklanacağı, 
 • Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları, 
 • Kişisel verilerin aktarımının hangi yöntemle yapılacağı, 
 • Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot, 
 • Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri 

hususlarında karar verme yetkisini veri işleyene bırakabilir. .Yani, özellikle bazı teknik konularda veri sorumlusunun menfaatlerine bağlı kalmak ve talimatlarına uymak koşuluyla, veri işleyen de bazı konularda karar verme yetkisini haiz olabilir. 

     2. Veri İşleyenin Tespiti

Rehber’de ve Kurul kararlarında veri işleyenin tespiti için de birtakım hususların göz önünde bulundurulması tavsiye edilmiştir. Buna göre veri işleyenin tespiti için genel itibariyle; 

 • Kişisel veri işlemek için başkasından talimat alınması,
 • Kişisel verilerin kişilerden toplanması sürecinde karar verme yetkisine sahip olmamak,
 • Kişisel verilerin kullanım amaçlarının belirlenmemesi,
 • Verilerin ne şekilde ifşa olabileceğine, kimlerin bu verilere erişebileceğine karar verme yetkisine sahip olmamak,
 • Veri saklama sürecine karar verme yetkisine sahip olmamak,
 • Veri işlemenin sonuçlarından sorumlu olmaması, 
 • Veri sorumlusu ile yapılacak .sözleşme gibi yasal bağlayıcılığı olan anlaşmalar çerçevesinde veri sorumlusunun verdiği yetkiler çerçevesinde kişisel verilerin işlenmesine yönelik birtakım karar verme mekanizmalarının söz konusu olup olmadığı,

hususları değerlendirilmek suretiyle Kurul kararı uyarınca yukarıda sayılanların çoğunun bulunması halinde veri işleme faaliyetini gerçekleştiren veri işleyen olarak kabul edilecektir.

     D.  Veri İşleme Sözleşmeleri

     1.  Türk Hukukunda Kişisel Veri İşleme Sözleşmesi

Türk hukukunda veri işleme sözleşmesi; veri işleyenin, veri sorumlusu tarafından veri işleme faaliyetini gerçekleştirmek üzere .bizzat yetkilendirdiği sözleşmedir.(kaynak)

Kişisel Verilerin Korunması Kanunu  ile Kurul tarafından yayınlanan rehberlere göre veri işleyen ve veri sorumlusunun yazılı bir kişisel veri aktarımı sözleşmesi yapması gerekmektedir. Rehber’de yapılacak kişisel veri işleme sözleşmesi ile veri sorumlusunun hangi hususları belirlediği, hangi konularda karar verme yetkisini veri işleyen bıraktığı .gibi hususlar belirtilmesi suretiyle kişisel veri işleme sözleşmesinin hangi unsurlar içermesi gerektiği örtülü bir biçimde belirtilmiştir. Buna göre kişisel veri işleme sözleşmesi aşağıda sayılan hükümleri içermelidir:

 • Kişisel verilerin toplanması ve toplama yöntemi,
 • Toplanacak kişisel veri türleri,
 • Toplanan verilerin hangi amaçlarla kullanılacağı,
 • Hangi bireylerin kişisel verilerinin toplanacağı,
 • Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,
 • Verilerin ne kadar süreyle saklanacağı,
 • Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı,
 • Kişisel verilerin hangi yöntemle saklanacağı,
 • Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları,
 • Kişisel verilerin aktarımının hangi yöntemle yapılacağı,
 • Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot,
 • Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri. (kaynak)

     2. GDPR Kapsamında Veri İşleme Sözleşmesi

     a.   İrlanda Veri Koruma Komisyonu( Data Protection Commission “DPC”) Rehber ve Görüşleri

İrlanda Veri Koruma Komisyonunun, Veri İşleyen ve Veri Sorumlusu için yayınladığı Rehber’de Veri Sorumlusu ve Veri İşleyen ilişkisi tespit edilmiş, veri işleyen sözleşmelerinin içermesi gereken zorunlu ve ihtiyari hükümler belirtilmiştir.

GDPR uyarınca, veri sorumlusunun veri işleyeni kişisel verileri işlemesi için yetkilendirdiği durumlarda yasal anlamda bir sözleşme yapılması gerektiği düzenlenmiştir. Bu kapsamda GDPR’nin 28/3. maddesinde “veri işleme .faaliyetinin gerçekleştirilmesi için, veri sorumlusuyla veri işleyen arasında bir sözleşme veya başkaca bir hukuki işlemin yapılması gerektiği” belirtilmiştir. 

GDPR öncesinde ise 1988 ve 2003 DPA (Data Protection Act/Veri Koruma Yasası) hem veri sorumlusu hem de veri işleyen .için belirli yükümlülükler öngörmekteydi. GDPR’nın yürürlüğe girmesi ile bu yükümlülükler genişletilmiş ve güçlendirilmiştir. GDPR’da bu kapsamda veri sorumlusunun veri işleyeni kendi adına kişisel veriyi işlemesi için yetkilendirdiği durumlarda bir veri işleme sözleşmesi(“Data Processing Contract”) yapma zorunluluğu .düzenlenmiştir..GDPR, veri sorumlularına GDPR’a uygun ve ilgili kişinin haklarını koruyan teknik ve idari tedbirleri elverişli bir biçimde sağlaması açısından veri işleyeni görevlendirmeyi şart koşmuştur. Benzer .şekilde DPA uyarınca da kişisel verinin işlenmesi söz konusu olduğunda veri sorumlusu ve veri işleyenin yazılı bir sözleşme yapılması .öngörülmekteydi ancak DPA’nın aksine GDPR’da veri işleme sözleşmeleri için daha fazla hüküm öngörülmüştür.

Kimlerin Veri İşleme Sözleşmesi Yapması Gerekmektedir? 

Kendileri adına kişisel veriyi işlemesi için bir veri işleyen görevlendiren tüm veri sorumluları veri işleme sözleşmesi yapmakla yükümlüdür. Bu yükümlülük kamu ve özel sektör olmak üzere tüm veri sorumluları ve veri işleyenleri kapsamaktadır.

Veri İşleme Sözleşmesinin Zorunlu Hükümlerine Genel Bakış

GDPR’nin 28. maddesi veri sorumlusu ile veri işleyen arasındaki veri işleme sözleşmesinin içermesi gereken hükümleri ifade etmektedir. Bir veri sorumlusu ile bir veri işleyen aşağıda asgari biçimde sayılan hükümleri içeren bir veri işleme sözleşmesi yapmalıdır: 

 • Veri işlemenin konusu, süresi, niteliği ve amacı;
 • İşlenen kişisel verilerin türü;
 • Kişisel verileri işlenen ilgili kişilerin kategorileri; ve
 • Veri sorumlusunun yükümlülükleri ve hakları.

Veri işleme sözleşmesi ayrıca aşağıda sayılan zorunlu hükümleri içermelidir:

 • Veri işleyenin, yurtdışı veri aktarımı da dahil olmak üzere yalnızca veri sorumlusunun talimatları üzerine (kişisel verilerin bu tür talimatlar olmadan işlenmesi kanunen gerekli olmadıkça) kendisine iletilen kişisel verileri işleyeceği, 
 • Veri işleyenin, kişisel verisi işlenen tüm ilgili kişilerin verilerini gizlilik yükümüne uygun bir biçimde işlemeyi sağlayacağı,
 • Veri işleyenin, veri sorumlusundan alınan kişisel verileri korumak için alması gereken teknik ve organizasyonel önlemler dahil ancak bununla sınırlı olmamak üzere GDPR’ın “Security of Processing”.(İşleme Güvenliği) başlıklı 32. maddesi uyarınca gereken bütün önlemleri alacağı, 
 • Veri işleyenin, veri sorumlusundan alınan kişisel verileri işlemek için görevlendireceği tüm alt-veri işleyenler için önceden özel bir izin veya genel yazılı izin alması ve ayrıca alt-veri işleyen çalıştıran veri işleyene genel bir yazılı yetki verildiğinde, veri sorumlusunun veri işleyen tarafından atanacak her bir alt-veri işleyene önceden itiraz .etme fırsatına sahip olmasını sağlayacağı,
 • Veri işleyen tarafından yetkilendirilmiş her bir alt-veri işleyenin, veri işleyen ile aynı veri koruma yükümlülüklerine tabi olacağı ve veri işleyenin, alt-veri işleyenlerin veri koruma yükümlülüklerine ilişkin davranışlarından veri işleyenin sorumlu olmaya devam edeceği, 
 • Veri işleyenin, GDPR kapsamında veri konusu kişilerin taleplerine yanıt verebilmek için uygun teknik ve organizasyonel önlemler hakkında veri sorumlusunu yönlendireceği, 
 • Veri işleyenin, GDPR 32(Veri işleme güvenliği), GDPR 3334(Veri ihlallerinin bildirilmesi), GDPR 3536(Veri koruma etki değerlendirmeleri) ile ilgili olarak veri sorumlusunu GDPR kapsamındaki yükümlülüklere uyması konusunda yönlendireceği,
 • Veri sorumlusunun talimatlarına uygun olarak veri işlemenin sona erdiği hallerde veri işleyenin kendisine veri sorumlusu tarafından iletilen tüm kişisel verileri veri sorumlusuna iade edeceği veya sileceği, 
 • Veri işleyenin GDPR’ın 28. maddesine uygun olarak veri sorumlusuna bütün bilgileri sağlayacağı ve veri sorumlusu adına 3. kişiler veya veri sorumlusu tarafından yürütülen denetimlere müsade edeceği ve iştirak edeceği.
Veri İşleme Sözleşmelerinde Yer Alabilecek Diğer Hükümler

GDPR kapsamında zorunlu tutulmayan ancak veri işleyen ve veri sorumlusunun, veri işleme sözleşmesine eklemek isteyebilecekleri başkaca hükümler de bulunmaktadır. 

Sayılanlarla sınırlı olmamak üzere aşağıdaki hükümler veri işleme sözleşmesine eklenebilir; 

 • Sorumluluk hükümleri (tazminatlar dahil),
 • Ayrıntılı (teknik) güvenlik hükümleri; ve/veya
 • Veri sorumlusu ve veri işleyen arasındaki ek işbirliği hükümleri.

Bu tür ek hükümler, duruma göre Veri Sorumlusu ve Veri İşleyen arasında kararlaştırılabilir.

   b.  Avrupa Veri Koruma Kurulu (European Data Protection Board “EDPB”) Rehber ve Görüşleri

7 Temmuz 2021 yılında kabul edilen, Veri İşleyen ve Veri Sorumlusu kavramı üzerine yayınlanan Rehber’de “Veri İşleyen tarafından kişisel verilere ilişkin her türlü işleme faaliyeti Avrupa Birliği veya Üye Devlet hukuku kapsamında .bir sözleşme veya başka bir hukuki işlemle GDPR 28/3’e göre yapılmalıdır.” şeklinde belirtilerek, sözleşmenin veya hukuki işlemin .içeriğinin ne olması gerektiği ifade edilmiştir. Buna göre veri işleme sözleşmesi yukarıda.(2/a) belirtildiği üzere GDPR’ın 28. maddesinde sayılan asgari hükümleri(veri işlemenin konusu, süresi, niteliği ve amacı, işlenen kişisel verilerin türü, kişisel verileri işlenen ilgili kişilerin kategorileri, veri sorumlusunun yükümlülükleri ve hakları)içermelidir. 

   c.  İngiltere Veri Koruma Otoritesinin (Information Comissioner’s Office “ICO”) Rehber ve Görüşleri

Brexit ile .birlikte İngiltere, GDPR’ı iç hukukunda DPA 2018′in değiştirilmiş bir versiyonunu olan “UK GDPR” olarak uygulamaya devam etmiştir. Mevcut Avrupa Birliği GDPR düzenlemesi ile hemen hemen bir farklılığı olmadığı söylenebilir. (kaynak) (kaynak 2) Dolayısıyla UK GDPR’da veri işleme sözleşmelerinin içermesi gereken hususlar.(veri işlemenin konusu, süresi, niteliği ve amacı, işlenen kişisel verilerin türü, kişisel verileri işlenen ilgili kişilerin kategorileri, veri sorumlusunun yükümlülükleri ve hakları)aynı kalmıştır. (kaynak)

    Sonuç

Veri sorumlusu ve veri işleyen sıfatları ulusal ve uluslararası kaynaklarda ayrıntılı bir biçimde açıklanmış veri işleyenin veri sorumlusu tarafından kişisel veri işlemeye yetkilendirildiği durumlarda bir kişisel veri işleme/veri işleme .sözleşmesi yapılmasının gerekli olduğu ulusal/uluslararası mevzuatta ve rehberlerde belirtilmiştir. Bu kapsamda ulusal veya uluslararası .mevzuat uyarınca veri sorumluları ve veri işleyenlerin sayılan unsurları da içinde barındıracak şekilde veri işleme sözleşmesi ile kişisel veri aktarımı yapması gerekmektedir.

Daha fazla okuma için:

https://www.eralp.av.tr/irlanda-veri-koruma-otoritesi-vaka-ozetleri-2/