Jump to

Veri İşleyen

KVKK Uyum Rehberi’nin bir parçası — Rehbere git →

Veri işleyen nedir?

Veri işleyen (uluslararası karşılığı: data processor), veri sorumlusunun verdiği yetkiye dayanarak ve onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. KVKK Madde 3 ve GDPR Madde 4 çerçevesinde, veri sorumlusuna kıyasla daha dar (ama somut) yükümlülükleri vardır.

Veri işleyen ile veri sorumlusu farkı

Veri işleyen, verinin NEDEN işleneceğine karar veremez — bu, veri sorumlusunun yetkisidir. İşleyen yalnızca operasyonel NASIL’a (sunucu lokasyonu, alt-işleyen seçimi, güvenlik konfigürasyonu) sorumlunun belirlediği sınırlar içinde karar verir. Bordro sağlayıcı, hosting şirketi, e-posta pazarlama platformu, analytics SDK — bunların hepsi tipik olarak müşterileri için işledikleri verinin işleyenidir.

KVKK kapsamında işleyenin yükümlülükleri

  • Yalnızca sorumlunun yazılı talimatları çerçevesinde işleme
  • Uygun teknik ve idari tedbirleri uygulamak
  • İhlali sorumluya gecikmeksizin bildirmek
  • Sorumlunun denetimine katlanmak ve katkı sağlamak
  • Alt-işleyen ancak sorumlunun yetkisiyle ve eşdeğer sözleşmeyle dahil edilebilir
  • Hizmet sonunda veriyi iade etmek veya imha etmek
  • Veri işleme faaliyetlerinin kaydını tutmak

DPA — Veri İşleme Sözleşmesi

Her sorumlu-işleyen ilişkisi yazılı DPA gerektirir. AWS, Google Cloud, Stripe, HubSpot, Intercom standart DPA’larını yayımlar; sorumlu sıfatıyla siz imzalarsınız. Güvenlik taahhütleri ve ihlal bildirim SLA’sı arasındaki farklar maddidir — okuyun. Yatırımcıların DPA kapsamınızı nasıl değerlendirdiği için VC DD Checklist’imize bakın.

Referanslar

Veri işleme sözleşmesi (DPA)

Veri işleyen yalnızca veri sorumlusunun belgelenmiş talimatları doğrultusunda hareket edebilir ve veriyi hiçbir zaman kendi amaçları için işleyemez. Gerek KVKK gerek GDPR, işlemenin konusunu, süresini ve kapsamını, teknik ve idari güvenlik tedbirlerini, alt işleyen kullanımına ilişkin kuralları, ilişki sona erdiğinde verinin iadesi veya silinmesini ve denetim ile destek yükümlülüklerini tanımlayan yazılı bir veri işleme sözleşmesi gerektirir. KVKK uyarınca veri güvenliğinden veri sorumlusu ile veri işleyen müştereken sorumludur; sözleşme de bu paylaşımı yansıtmalıdır. Yetki almadan alt işleyen kullanan ya da veri sorumlusunun talimatlarını aşan bir veri işleyen, kendi rolünün dışına çıkar ve o işleme bakımından veri sorumlusu gibi değerlendirilir — bununla birlikte gelen tüm sorumluluğu da üstlenir.