1.     GİRİŞ

Bir sözleşme akdedilmeden önce sözleşmenin içeriği, konusu vb. hususlarda yapılan müzakereler sırasında taraflar, dürüstlük kuralına uygun şekilde hareket etmelidir. [1] Zira müzakerelerin başlamasıyla birlikte taraflar arasında sözleşme benzeri bir güven ilişkisi kurulmaktadır.[2] Sözleşme kurulmuş olsun ya da olmasın müzakereler sırasında taraflar arasında sözleşmenin kurulacağına ilişkin haklı bir beklenti bulunmakta iken taraflardan birinin dürüstlük kuralına aykırı şekilde ve kusurlu olarak diğer tarafa zarar vermesi hâlinde dürüstlük kuralına aykırı şekilde hareket eden tarafın, diğer tarafın bu nedenle uğradığı zarardan sorumlu olacağı (culpa in contrahendo) kabul edilmektedir.[3] Bu kapsamda sözleşme görüşmeleri boyunca tarafların sözleşmenin içeriği ve şartları hakkında birbirlerini aydınlatması, dürüstlük kuralına uygun davranması, birbirlerinin kişilik ve mal varlığı değerlerine zarar vermemek için gerekli özeni göstermesi ve koruma yükümlülüklerine uyması gerekmektedir. Sözleşme görüşmelerinden doğan sorumluluğunun (culpa in contrahendo sorumluluğu) hukuki dayanağı tartışmalı olmakla beraber[4] doktrinde yaygın bir görüş, sözleşme görüşmeleri sırasında dürüstlük kuralına aykırı şekilde hareket eden tarafın haksız fiil hükümlerine (TBK m. 49 vd.) göre sorumlu tutulabileceği yönündedir. Doktrinde hâkim bir diğer görüş ise sözleşme görüşmelerinden doğan sorumluluğun borca aykırılık hükümlerine (TBK m. 112 vd.) tabi tutulması gerektiğini savunmaktadır.  Ayrıca başka bir görüş ise culpa in contrahendo sorumluluğunun sui generis nitelikte olduğunu, somut olayın özellikleri göz önünde bulundurularak bazen haksız fiil bazen ise borca aykırılık hükümlerinin uygulanması gerektiğini ileri sürmektedir.

               Sözleşme görüşmeleri sırasında taraflar arasında karşılıklı bir veri aktarımı gerçekleşmesi muhakkaktır. Aktarılan verilerin kişisel veri niteliğini haiz olması hâlinde ise kişisel veri işleme faaliyeti söz konusu olacağı için tarafların, kişisel verilerin korunması mevzuatından kaynaklanan yükümlülüklerine uymaya özen göstermeleri gerekecektir. Kişisel verilerin korunması bağlamında “Culpa in Contrahendo“, sözleşme görüşmeleri sırasında diğer taraf ile paylaşılan kişisel verilerin özenli, şeffaf ve en önemlisi zararı önleme taahhüdüyle ele alınmasıdır. İşbu kesişimin netliğini görebilmek bakımından tarafların sözleşme öncesi ilişkilerinde karşılamaları gereken yasal beklentilerin altını çizmekte fayda bulunmaktadır.

2.     TEMEL İLKELERE GENEL BAKIŞ

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”)[5]  “Genel İlkeler” başlıklı 4. maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verilmiştir.  Buna göre kişisel verilerin; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun şekilde işlenmesi gerekmektedir.

Yukarıda sayılan temel ilkeler, sözleşme müzakerelerinde kişisel verilerin korunması adına meydana gelebilecek ihtilaf ve anlaşılmazlık ortamında kılavuz görevi görür. Bu ilkeler tek başına bir hukuka uygunluk sebebi teşkil etmemekle birlikte, bu ilkelerden herhangi birine aykırılık durumunda kişisel verilerin hukuka aykırı olarak işlenmesi gündeme gelecektir. Dolayısıyla her türlü kişisel veri işleme faaliyeti sırasında temel ilkelere uygun şekilde hareket edilmesine özen gösterilmelidir. [6]

a-) Hukuka ve Dürüstlük Kurallarına Uygun Olma

Kişisel verilerin korunması bağlamında hukuka uygun olma, kişisel veri işleme faaliyeti sırasında başta Anayasa olmak üzere tüm hukuki düzenlemelere uygun hareket edilmesini ifade eder. Dürüstlük kurallarına uygunluk ise veri sorumluları ve veri işleyenlerin, kişisel verileri işlerken ilgili kişinin çıkarlarını ve makul beklentilerini dikkate alarak bu kişilere karşı adil davranmaları, yanıltmamaları, aldatmamaları ve Kanun’un kendilerine tanıdığı hakları kötüye kullanmamaları şeklinde özetlenebilir.

Bu ilke aynı zamanda veri işleme faaliyetinin açık ve şeffaf bir şekilde yürütülmesini gerektirmektedir. Taraflar yalnızca sahip olacakları ve işleyecekleri bilgileri açıklamakla yükümlü olmayıp aynı zamanda bunu açık, dürüst ve eksiksiz bir şekilde yaparak kişisel verilere tabiri caizse saygılı davranmalıdır. Kişisel verisi işlenen ilgili kişi, hangi kişisel verisinin, kim tarafından, hangi amaçla ve ne şekilde işlendiğini bilecek konumda olmalıdır. Bu kapsamda sözleşme müzakereleri sırasında taraflar arasında başta güveni, adaleti ve hesap verebilirliği teşvik edebilmek için kişisel verilerin işlenmesine ilişkin şeffaf bir iletişim kurulmalıdır. Şeffaflık, kişisel verilerin işlenmesi noktasında kapsamlı bir anlayış içerisinde müzakerelerin ilerlemesini ve sonuca bağlanmasını sağlar. Sözleşme müzakereleri sırasında şeffaflık, yanlış anlaşılmalardan veya yetersiz açıklamalardan kaynaklanan anlaşmazlık riskinin azaltılmasına da hizmet ederek sözleşmeye dayalı işlemlerde güven ve iş birliği ortamını güçlendirerek teşvik eder.

Şeffaflığın temini bakımından aydınlatma yükümlülüğünün gereği gibi yerine getirilmesi önem arz etmekte olup veri sahibinin; işlenecek kişisel veriler, kişisel verilerinin işlenme amacı, yöntemi, hukuki sebebi, kişisel verilerinin aktarılacağı kişi ya da kişi grupları ve bu kapsamda veri sahibinin sahip olduğu haklar gibi hususlarda açık, sade ve anlaşılır bir şekilde bilgilendirilmesi gerekecektir.[7] Aydınlatma yükümlülüğü yerine getirilirken uyulması gereken usul ve esaslar ise “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”de[8] detaylı şekilde düzenlenmiştir.

b-) Doğru ve Gerektiğinde Güncel Olma

               Kanun’un m.4/1-d bendinde işlenen kişisel verilerin doğru ve güncel olması gerektiği belirtilmiş ve akabinde m.11/1-d bendinde ise ilgili kişinin, kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme hakkının bulunduğu ifade edilmiştir.

2016/679 AB Genel Veri Koruma Tüzüğü’nün (GDPR) (“Tüzük”)[9] m. 5/1-d bendinde de benzer şekilde, kişisel verilerin doğru ve gerektiğinde güncel tutulması ifade edildikten sonra işlendikleri amaçlar göz önünde tutularak, doğru olmayan kişisel verilerin gecikmeye mahal verilmeksizin silinmesi veya düzeltilmesinin sağlanmasıyla ilgili makul tüm adımların atılması gerektiği düzenlenmiştir.

İlgili düzenlemelerden de görüleceği üzere, kişisel verilerin gerçeğe uygun ve güncel şekilde işlenmesi gerekmekle birlikte, kişisel verilerin doğruluk ve güncelliğinin sağlanması adına veri sorumluları tarafından makul düzeyde önlemlerin alınması, ilgili kişinin bilgilerinin doğru ve gerektiğinde güncel olmasını temin edecek kanalların açık tutulması ve ilgili kişilere, kişisel verilerini doğrulama ve güncelleme kolaylığının sağlanması icap etmektedir. Bu hususta Kişisel Verileri Koruma Kurulunun (“Kurul”) [10]     22/12/2020 Tarihli ve 2020/966 sayılı İlke Kararında;[11] çeşitli sektörlerde faaliyet gösteren veri sorumlularınca, fatura, ekstre, rezervasyon belgesi gibi kişisel veri içeren dokümanların sms ve/veya e-posta vasıtasıyla gönderimini teminen ilgili kişilerden telefon numarası ve/veya e-posta adreslerini beyan etmelerinin istenildiği ancak ilgili kişiler tarafından söz konusu bilgilerin beyanında yanlışlık olabildiği veya yine ilgili kişilerce üçüncü kişilere ait bilgilerin beyan edilmesi neticesinde, ilgili kişilere ait verileri içeren bahse konu dokümanların üçüncü kişilere iletildiğinin görüldüğü, bu durumun önüne geçebilmek içim veri sorumlularının, kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirleri alması gerektiği ifade edilmiştir. [12]

Açıklanan sebeplerle, sözleşme müzakereleri esnasında paylaşılan ve işlenecek olan kişisel verilerin doğru ve güncel olup olmadığının teyit edilmesi, gerekli doğrulama ve güncelleme mekanizmalarının sağlanması adına makul düzeyde önlem alınması önem arz etmektedir.

c-) İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Kişisel Verileri Koruma Kurumu tarafından yayınlanan “Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler” isimli belgede;[13] kişisel verilerin işlenme amaçlarının belirli, meşru ve açık olması ilkesinin; kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını, kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini, kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağladığı ifade edilmiştir. Bu ilkeye ilişkin olarak Kanun gerekçesinde,[14] bir hazır giyim mağazasının, müşterilerinin kimlik ve iletişim bilgilerini işlemesinin meşru amaç kapsamında olduğu ancak kan gruplarını işlemesinin meşru amaç kapsamında değerlendirilemeyeceği örneği verilmiştir.

Hedeflenen amacın gerçekleşebilmesi için gerekli olması koşuluyla, temel hak ve özgürlüklere asgari düzeyde müdahale teşkil edecek ve yalnızca hedeflenen amaçla sınırlı olacak şekilde veri işlenmesi “veri minimizasyonu” olarak tanımlanmaktadır. Tüzük m.25/1’de veri minimizasyonun etkili bir şekilde uygulanabilmesi için takma ad verme (pseudonymization) gibi uygun teknik ve düzenlemeye ilişkin tedbirlerin uygulanması gerektiği ifade edilmiştir.

Bu ilke kapsamında veri işleme amacının açık ve kesin bir şekilde ortaya konulması gerekmekle birlikte, belirlenen veri işleme amacına temel hak ve özgürlüklere müdahale etmeden ya da daha az müdahale edilerek başka alternatif yöntem veya araçlarla ulaşılması mümkün ise kişisel veri işleme yoluna başvurulmamalıdır. [15] Belirlenen amacın gerçekleşmesi bakımından kişisel veri işlemek zorunluluk arz ediyor ise veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir denge kurulmalı, belirlenen amacın gerçekleştirilmesi açısından ihtiyaç duyulmayan veriler işlenmemeli, mümkün olduğunca asgari seviyede veri işlenmelidir. [16]

Sözleşme görüşmeleri sırasında taraflar, sözleşmenin kurulabilmesi için zorunlu olması şartıyla ve bu amaçla sınırlı olacak şekilde, gerekli ve asgari ölçüde kişisel veri işlemeli; sözleşmenin kurulması bakımından ihtiyaç duyulmayan kişisel verileri işlememeli, temel hak ve özgürlüklere saygılı şekilde davranmalıdırlar. Somutlaştıracak olursak; bir şirkete genel müdür alımı için yapılan iş görüşmeleri sırasında adayın eğitim bilgilerinin istenmesi hukuka uygun bir veri işleme faaliyet olarak kabul edilebilecekken adaydan anne kızlık soyadı bilgisinin istenmesi, hukuka uygun bir kişisel veri işleme faaliyeti olarak değerlendirilemeyecektir.[17]

d-) İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Edilme

İşlenen kişisel veriler bakımından mevzuatta öngörülmüş bir süre var ise bu süreye uyulmalı eğer böyle bir süre öngörülmemişse veriler ancak işlendikleri amaç için gerekli olan süre kadar saklanmalı, hedeflenen amaca ulaşıldıktan sonra kişisel veriler Kanun’a uygun şekilde silinmeli, yok edilmeli veya anonim hâle getirilmelidir.

Kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkesi aynı zamanda veri minimizasyonu ilkesinin zamansal bir tezahürüdür.[18] Bir başka deyişle, kanunda aksine bir düzenleme mevcut olmamak kaydıyla, işlenen kişisel veri hedeflenen amacın gerçekleştirilmesi için artık gerekli değilse muhafaza edilmemelidir.

                      Tüzük’te, aydınlatma yükümlülüğü yerine getirilirken kişisel verilerin saklanacağı süre veya bunun mümkün olmaması hâlinde, bu sürenin belirlenmesi amacı ile kullanılan kriterlere de yer verilmesi gerektiği düzenlenmiş iken Kanun’da bu yönde bir düzenleme yer almamaktadır.

Sözleşme görüşmeleri sırasında toplanan kişisel veriler, hedeflenen amacın ortadan kalkması veya zaman içinde hedeflenen amacın yerine getirilmesi bakımından ilgili kişisel verinin işlenmesinin herhangi bir gereklilik arz etmemesi ve mevzuatta aksi yönde bir düzenleme bulunmaması[19] hâlinde yasal mevzuata uygun şekilde silinmeli, yok edilmeli veya anonim hâle getirilmelidir. Bu kapsamda yasal mevzuattan kaynaklanan ayrık durumlar saklı kalmak üzere, taraflar arasında sözleşme ilişkisinin kurulamadığı durumlarda, sözleşme müzakereleri boyunca işlenen kişisel veriler muhafaza edilmeye devam edilmemelidir.

3.     GÜVENLİK ÖNLEMLERİ

Sözleşme müzakerelerinin birbirine bağlı ve özellikle dijital ortamında, kişisel verileri yetkisiz erişimden korumak yalnızca en iyi uygulama değil, aynı zamanda etik ve yasal sorumluluk kapsamında da tarafların dikkatinde olması gerekmektedir. Sağlam güvenlik önlemlerini uygulama ve yönetme görevi, mahremiyete, gizliliğe, veri korumadaki ihmalin derin sonuçlara yol açabileceği “Culpa in Contrahendo” ilkelerine olan bağlılığımızın altını çizer.

Etik ve Yasal Zorunluluklar: Sağlam güvenlik önlemlerini uygulama yükümlülüğü, kişisel bilgilere karşı oluşan mahremiyetin esas değerini ve kişisel verilerin hassas doğasını tanıyan etik hususlara dayanmaktadır. Yasal olarak, çeşitli veri koruma düzenlemeleri, yetkisiz erişimi önlemek için güvenlik önlemlerinin uygulanmasını zorunlu kılmakta ve “Culpa in Contrahendo”da ana hatlarıyla belirtildiği gibi sözleşme öncesi aşamada özen yükümlülüğünü vurgulamaktadır.

Yetkisiz Erişimin Engellenmesi: Müzakerelerdeki taraflar şifreleme, erişim kontrolleri ve kimlik doğrulama mekanizmalarını doğru bir biçimde uygulayarak potansiyel veri ihlallerine ve yetkisiz ifşalara karşı güçlü bir savunma oluşturması beklenmektedir.

Gizlilik ve Güven: “Culpa in Contrahendo” ilkelerini koruyan taraflara, müzakereler sırasında paylaşılan kişisel bilgilerin gizli kalmasını ve yetkisiz kişi veya kurumlardan korunmasını sağlama sorumluluğu verilmiştir.

Riskin Azaltılması: Sağlam ve güvenilir güvenlik önlemlerinin uygulanması, riskin azaltılması, veri ihlalleri, siber saldırılar ve bunların ardından gelebilecek potansiyel yasal sonuçların meydana gelmesini azaltmak proaktif bir stratejidir. “Culpa in Contrahendo”, kişisel verilerin işlenmesiyle ilişkili risklerin yönetilmesinde dikkatli ve sağduyulu olmanın önemini vurgulayarak etkili güvenlik önlemlerini uygulama yükümlülüğünü güçlendirir ve taraflar arasında da bu konuda bir beklenti oluşmasını sağlar.

Veri Koruma Standartlarına Uygunluk: Tanınmış ve alanında yetkin güvenlik korumalarına ve sektör içerisinde yer alan iyi uygulamalara bağlılık, yasal beklentilerle uyumluluk içerisinde olma ve “Culpa in Contrahendo” kapsamındaki özen yükümlülüğünü yerine getirme taahhüdünü yansıtmaktadır.

4.     HUKUKİ SORUMLULUK

Kanun’un “Kabahatler” başlıklı 18. maddesinin 1. fıkrasının a bendinde: “aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar”[20] , b bendinde ise “veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar”[21] idari para cezası uygulanacağı hüküm altına alınmıştır. Dolayısıyla sözleşme müzakereleri kapsamında aydınlatma yükümlülüğünün yerine getirmeyen ve/veya veri güvenliğine ilişkin yükümlülüklerin yerine getirmeyen taraf hakkında Kanun kapsamında Kurul tarafından idari para cezasına hükmolunabilecektir. Bunun yanında kişisel verileri hukuka aykırı şekilde işlenen tarafın haksız fiil hükümlerine göre diğer taraftan maddi ve/veya manevi tazminat talep etme hakkı saklıdır.

Sözleşme görüşmeleri sırasında sözleşmenin kurulacağına ilişkin haklı bir beklenti bulunmakta iken taraflardan birinin dürüstlük kuralına aykırı şekilde ve kusurlu olarak diğer tarafın kişisel verilerini hukuka aykırı olarak ele geçirmesi, işlemesi hâlinde ise kişisel verileri hukuka aykırı olarak işlenen tarafın culpa in contrahendo sorumluluğu kapsamında diğer taraftan uğradığı zararın tazminini talep etme hakkı gündeme gelecektir.[22] Ancak bu noktada önemle belirtmek isteriz ki; culpa in contrahendo sorumluluğu yalnızca sözleşmenin tarafları arasında söz konusu olabilmektedir. Bu bakımdan sözleşme müzakereleri sırasında sözleşmenin tarafı olmayan, üçüncü bir kişinin kişisel verilerin işlenmesi durumunda, kişisel verisi hukuka aykırı olarak işlenen üçüncü kişinin culpa in contrahendo sorumluluğu kapsamında herhangi bir talepte bulunması hukuken mümkün değildir.[23] Ancak kişisel verisi hukuka aykırı olarak işlenen üçüncü kişi dilerse haksız fiil hükümler kapsamında uğradığı zararın tazminini talep edebilecektir.

Saygılarımızla,

Taşkın & Şimşek AO 

——————————–

*İşbu çalışma içerisinde yer alan değerlendirmeler hukuki tavsiye niteliği taşımamaktadır. Ayrıca zaman içesinde mevzuatta olabilecek değişiklikler nedeniyle güncel durumu yansıtmayabilecektir.  Bu sebeple paylaşılan değerlendirmelerden ötürü Taşkın & Şimşek Avukatlık Ofisi sorumluluk kabul etmez. Paylaşıma konu çalışma kapsamındaki soru ve sorunlarınız bakımından hukuki danışman görüşü alınması tavsiye olunur.