Alt Veri İşleyen (Sub-Processor) nedir?
Bir alt veri işleyen, işlemenin bir kısmını veya tamamını veri sorumlusu adına gerçekleştirmek üzere veri işleyen tarafından görevlendirilen üçüncü taraftır (GDPR Madde 28). Bulut altyapı sağlayıcıları (AWS, GCP), e-posta gönderim hizmetleri (SendGrid, Mailgun), analiz platformları ve ödeme ağ geçitleri SaaS bağlamında tipik alt veri işleyenlerdir. Veri sorumlusu nihai sorumluluğu korur; veri işleyen, her alt veri işleyene veri sorumlusu-işleyen DPA’sıyla eşleşen yükümlülükleri aktarmalıdır.
GDPR Madde 28(2) ve 28(4) — alt veri işleyen kuralları
- Önceden yetkilendirme: veri işleyen, veri sorumlusunun önceden genel veya özel yazılı yetkisi olmadan alt veri işleyen görevlendiremez.
- Değişikliklerin bildirimi: genel yetki verildiyse, veri işleyen alt veri işleyen eklemesini veya değişikliğini bildirmeli ve itiraz hakkı sağlamalıdır.
- Aynı yükümlülükler: alt veri işleyen sözleşmesi, aynı veri koruma yükümlülüklerini alt veri işleyene yüklemelidir.
- Tam sorumluluk: birincil veri işleyen, alt veri işleyenin performansı için veri sorumlusuna karşı tam sorumlu kalır.
Alt veri işleyen listesi ve DPA mekaniği
- Kamuya açık alt veri işleyen listesi: SaaS şirketleri kamuya açık listeler tutar (genellikle üç aylık güncelleme).
- E-posta bildirimi: yeni alt veri işleyenler için 30 günlük önceden bildirim sektör normudur.
- İtiraz hakkı: veri sorumlusu makul veri koruma gerekçeleriyle itiraz ederse sözleşmeyi feshedebilir.
KVKK kapsamında alt veri işleyen
KVKK Madde 12, veri sorumlusunun veri işleyen üzerinde gözetim yükümlülüğünü düzenler; alt veri işleyen zinciri için yazılı anlaşma + flow-down şartı pratik uygulama olarak yerleşmiştir. Türk SaaS ihracatçıları için müşteri DPA’ları AWS/GCP gibi standart alt veri işleyenleri zaten kapsar, ancak yerel CDN veya KVKK uyum vendor’ları gibi Türkiye-özel alt veri işleyenler açıkça listelenmelidir. KVKK Kurulu yurt dışı veri aktarımı incelemelerinde alt veri işleyen zincirini de talep eder.
Yapın: kamuya açık, tarihli alt veri işleyen listesi tutun; eklemeleri müşterilere önceden bildirin; alt veri işleyenlerden eş seviyeli DPA imzalatın.
Yapmayın: müşteri DPA’sındaki bildirim ve itiraz pencerelerini kontrol etmeden yeni alt veri işleyen görevlendirmeyin.