KVKK Uyum Rehberi’nin bir parçası — Rehbere git →
Veri işleyen nedir?
Veri işleyen (uluslararası karşılığı: data processor), veri sorumlusunun verdiği yetkiye dayanarak ve onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. KVKK Madde 3 ve GDPR Madde 4 çerçevesinde, veri sorumlusuna kıyasla daha dar (ama somut) yükümlülükleri vardır.
Veri işleyen ile veri sorumlusu farkı
Veri işleyen, verinin NEDEN işleneceğine karar veremez — bu, veri sorumlusunun yetkisidir. İşleyen yalnızca operasyonel NASIL’a (sunucu lokasyonu, alt-işleyen seçimi, güvenlik konfigürasyonu) sorumlunun belirlediği sınırlar içinde karar verir. Bordro sağlayıcı, hosting şirketi, e-posta pazarlama platformu, analytics SDK — bunların hepsi tipik olarak müşterileri için işledikleri verinin işleyenidir.
KVKK kapsamında işleyenin yükümlülükleri
- Yalnızca sorumlunun yazılı talimatları çerçevesinde işleme
- Uygun teknik ve idari tedbirleri uygulamak
- İhlali sorumluya gecikmeksizin bildirmek
- Sorumlunun denetimine katlanmak ve katkı sağlamak
- Alt-işleyen ancak sorumlunun yetkisiyle ve eşdeğer sözleşmeyle dahil edilebilir
- Hizmet sonunda veriyi iade etmek veya imha etmek
- Veri işleme faaliyetlerinin kaydını tutmak
DPA — Veri İşleme Sözleşmesi
Her sorumlu-işleyen ilişkisi yazılı DPA gerektirir. AWS, Google Cloud, Stripe, HubSpot, Intercom standart DPA’larını yayımlar; sorumlu sıfatıyla siz imzalarsınız. Güvenlik taahhütleri ve ihlal bildirim SLA’sı arasındaki farklar maddidir — okuyun. Yatırımcıların DPA kapsamınızı nasıl değerlendirdiği için VC DD Checklist’imize bakın.
Referanslar
- 6698 sayılı Kişisel Verilerin Korunması Kanunu (Mevzuat)
- Kişisel Verileri Koruma Kurumu (KVKK)
- KVK Kurulu Kararları
- EU GDPR (Regülasyon 2016/679) — EUR-Lex
Veri işleme sözleşmesi (DPA)
Veri işleyen yalnızca veri sorumlusunun belgelenmiş talimatları doğrultusunda hareket edebilir ve veriyi hiçbir zaman kendi amaçları için işleyemez. Gerek KVKK gerek GDPR, işlemenin konusunu, süresini ve kapsamını, teknik ve idari güvenlik tedbirlerini, alt işleyen kullanımına ilişkin kuralları, ilişki sona erdiğinde verinin iadesi veya silinmesini ve denetim ile destek yükümlülüklerini tanımlayan yazılı bir veri işleme sözleşmesi gerektirir. KVKK uyarınca veri güvenliğinden veri sorumlusu ile veri işleyen müştereken sorumludur; sözleşme de bu paylaşımı yansıtmalıdır. Yetki almadan alt işleyen kullanan ya da veri sorumlusunun talimatlarını aşan bir veri işleyen, kendi rolünün dışına çıkar ve o işleme bakımından veri sorumlusu gibi değerlendirilir — bununla birlikte gelen tüm sorumluluğu da üstlenir.