Veri işleyen nedir?
Veri işleyen (uluslararası karşılığı: data processor), veri sorumlusunun verdiği yetkiye dayanarak ve onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. KVKK Madde 3 ve GDPR Madde 4 çerçevesinde, veri sorumlusuna kıyasla daha dar (ama somut) yükümlülükleri vardır.
Veri işleyen ile veri sorumlusu farkı
Veri işleyen, verinin NEDEN işleneceğine karar veremez — bu, veri sorumlusunun yetkisidir. İşleyen yalnızca operasyonel NASIL’a (sunucu lokasyonu, alt-işleyen seçimi, güvenlik konfigürasyonu) sorumlunun belirlediği sınırlar içinde karar verir. Bordro sağlayıcı, hosting şirketi, e-posta pazarlama platformu, analytics SDK — bunların hepsi tipik olarak müşterileri için işledikleri verinin işleyenidir.
KVKK kapsamında işleyenin yükümlülükleri
- Yalnızca sorumlunun yazılı talimatları çerçevesinde işleme
- Uygun teknik ve idari tedbirleri uygulamak
- İhlali sorumluya gecikmeksizin bildirmek
- Sorumlunun denetimine katlanmak ve katkı sağlamak
- Alt-işleyen ancak sorumlunun yetkisiyle ve eşdeğer sözleşmeyle dahil edilebilir
- Hizmet sonunda veriyi iade etmek veya imha etmek
- Veri işleme faaliyetlerinin kaydını tutmak
DPA — Veri İşleme Sözleşmesi
Her sorumlu-işleyen ilişkisi yazılı DPA gerektirir. AWS, Google Cloud, Stripe, HubSpot, Intercom standart DPA’larını yayımlar; sorumlu sıfatıyla siz imzalarsınız. Güvenlik taahhütleri ve ihlal bildirim SLA’sı arasındaki farklar maddidir — okuyun. Yatırımcıların DPA kapsamınızı nasıl değerlendirdiği için VC DD Checklist’imize bakın.