byGenel

Giriş

Kişisel verilerin dış tedarikçiler, bulut servisleri ve ajanslar aracılığıyla işlendiği günümüz mimarisinde veri işleyen (processor) ile veri sorumlusu (controller) arasındaki sözleşmelere veri işleyen sözleşmesi diyebiliriz ve bu (DPA – Data Processing Agreement) hukuki ve operasyonel güvenliğin bel kemiğidir. KVKK’da veri işleyen kavramı tanımlanmış, veri güvenliği yükümlülüğü ise veri sorumlusuna ait esaslı bir ödev olarak düzenlenmiştir; GDPR ise m.28 ile DPA’nın asgari sözleşme şartlarını ayrıntılandırır. Uygulamada DPA’lar sadece “uyum belgesi” değildir; ihlal sonrası sorumluluk dağılımını, denetim ve delil üretme kapasitesini belirleyen risk sözleşmeleridir.

Aşağıda, Türkiye’de faaliyet gösteren KOBİ ve büyük şirketlerin (ve bu alanda çalışan avukatların) gündelik pratikte ihtiyaç duyduğu, zorunlu madde seti, alt işleyen (sub-processor) yönetimi, denetim/audit ve sorumluluk paylaşımı başlıklarını; yüksek yargı ve Kurul içtihatları ile AB uygulamalarını bir arada, adım adım ele alıyoruz.

1) Temel Kavramlar: Veri Sorumlusu, Veri İşleyen, Ortak Veri Sorumluluğu

  • Veri sorumlusu (controller): İşlemenin amaç ve vasıtalarını belirler; veri kayıt sisteminden ve uygun güvenlik tedbirlerinden sorumludur. (KVKK tanımı; GDPR m.4(7)). 
  • Veri işleyen (processor): Sadece talimatlar doğrultusunda sorumlu adına işler; amaç/vasıta belirlemez. KVKK’da tanım yer alır; GDPR m.28, işleyenin sözleşmeyle bağlı olmasını ve belirli yükümlülükleri üstlenmesini öngörür. 
  • Ortak veri sorumluluğu (joint controllership): Birden fazla kişi amaç ve vasıtalarda birlikte rol üstleniyorsa gündeme gelir. CJEU, Wirtschaftsakademie, Fashion ID ve Jehovan todistajat kararlarında kapsama alanını geniş yorumlamıştır: Erişim şart değildir; amaç/vasıta üzerinde etkili olmak yeterlidir. 

Uyarı (sık yanılgı): Bir tedarikçiyi “işleyen” sandığınız halde o tedarikçi pazarlama, analitik gibi kendi amaçları için veri kullanıyorsa ayrı veri sorumlusu (hatta ortak sorumlu) olabilir. Bu durumda DPA tek başına yeterli olmaz; ayrı aydınlatma ve hukuki zemin ihtiyacı doğar. (EDPB 07/2020 Rehberi)

2) Neden DPA? Türkiye–AB Perspektifi

  • KVKK bağlamı: Veri işleyenle çalışmak, veri sorumlusunun güvenlik yükümlülüğünü (md.12) ortadan kaldırmaz; işleyenin talimatsız hareketi ya da sözleşmeyi aşması, onu kendi başına veri sorumlusu konumuna itebilir. Kurul rehberleri ve uygulama notları, rollerin yazılı ve ispatlanabilir tanımını vurgular. 
  • GDPR bağlamı: m.28 uyarınca DPA zorunludur ve en azından belli maddeleri içerir. AB’de hesap verebilirlik (accountability) ilkesi gereği, denetim ve raporlama yükümlülükleri sözleşmeye işlenir; eksik DPA, doğrudan yaptırım riskidir. 

3) DPA’da Yer Alması Zorunlu Maddeler (GDPR m.28(3) özeti)

Aşağıdaki başlıklar, DPA’nın iskeletidir. Türkiye’de KVKK DPA’yı başlık başlık saymasa da en iyi uygulama olarak aynı çerçeve kabul görmektedir:

  1. Konu, süre, amaç, veri türleri ve ilgili kişi kategorileri (işlemenin kapsamı).
  2. Talimatla işleme: İşleyen sadece belgelendirilmiş talimatlarla işler; aksi halde hukuki statüsü değişebilir. (EDPB 07/2020)
  3. Gizlilik taahhüdü: İşleyenin personeli gizlilik ve eğitim yükümlülüğü altına alınır.
  4. Güvenlik tedbirleri: Uygun teknik/idari tedbirler (m.32) – şifreleme, erişim kontrolü, loglama, test/düzeltim.
  5. Alt işleyen (sub-processor): Önceden özel/genel yazılı yetki, değişikliklerde itiraz hakkı ve flow-down (aynı yükümlülükleri alt işleyene sözleşmeyle yansıtma).
  6. Hak taleplerine destek: İlgili kişi haklarına (erişim, silme vb.) yanıt için uygun teknik ve organizasyonel destek
  7. İhlal bildirimi: İşleyen, kişisel veri ihlalini gecikmeksizin sorumluya bildirir; içerik ve süre DPA’da netleşir.
  8. DPIA ve denetleyiciye destek: Etki değerlendirmeleri, denetim otoriteleriyle iş birliği ve bilgi temini.
  9. İade/silme: Sözleşme bitiminde verilerin iadesi veya güvenli silinmesi ve silme kanıtı.
  10. Denetim/audit: Sorumlunun denetime izin verilmesi ve katkı sağlanması; makul sıklık, kapsam, gizlilik ve maliyet prensipleri.
  11. Hukuka aykırı talimat bildirimi: İşleyen, talimatın mevzuata aykırı olduğunu fark ederse sorumluya derhal bildirir.

İpucu: AB’de güncel SCC’ler (standart sözleşme maddeleri) C2P/P2P modüllerinde m.28 gerekliliklerini içe alır; ayrı DPA şart olmayabilir. (Yine de ulusal gereklilikler ve ek güvenlik şartları için ek hüküm önerilir.)

4) Alt İşleyen (Sub-Processor) Yönetimi

Zincirleme güvence esastır: İşleyen, alt işleyeni sorumlu adına dahil ederken ön izin, bilgilendirme ve flow-down yükümlülüklerine uyar. Controller’a itiraz hakkı tanınması ve alt işleyen değişikliklerinin önceden duyurulması DPA’nın sabit maddesidir. İşleyen, alt işleyenin yeterli güvenceler sunduğunu kanıtlamakla da yükümlüdür. 

Pratik uygulama:

  • Alt işleyen envanteri ve bildirim kanalı (örn. e-posta listesi + web sayfası).
  • Güvence paketi: ISO 27001/SOC 2, sızma testi özeti, veri merkezi lokasyonları, erişim matrisleri.
  • Acil plan: Alt işleyen ihlali halinde bildirim, geçici askı, veri taşıma.

5) Denetim (Audit), Raporlama ve Teknik Şartnameler

DPA’da “allow for and contribute to audits” hükmü standarttır. Ancak kapsam ve yöntem netleşmezse uygulanamaz. Önerilen yapı:

  • Kapsam: Politikalar, teknik kontroller (m.32), alt işleyen sözleşmeleri, günlükler (log).
  • Yöntem: Yılda 1 kez planlı, makul bildirimle; istisnai ihlal şüphesinde ilave denetim.
  • Şekil: Yerinde veya uzaktan (dokümantasyon, ekran paylaşımı).
  • Delil: CAPA (düzeltici/önleyici faaliyet) planı, kapanış raporu, süreler.
  • Gizlilik: Denetim sırasında edinilen sırların korunması; çıkar çatışması halinde bağımsız üçüncü taraf.

ICO ve EDPB rehberleri, denetimi hak temelli bir yükümlülük olarak çerçeveler: Sadece “kapı açmak” değil, kanıta erişim ve işbirliği esastır. 

6) Sorumluluk ve Tazmin: Kim, Ne Kadar Sorumlu?

  • GDPR rejimi: İşleyen, sözleşme ve doğrudan GDPR yükümlülükleri (güvenlik, kayıt tutma gibi) bakımından sorumludur; zarara yol açarsa m.82 uyarınca tazmin gündeme gelebilir. Ortak sorumluluk hallerinde müteselsil tazmin söz konusu olabilir; iç ilişkide kusura göre rücu mekanizmaları DPA’ya yazılmalıdır. (EDPB 07/2020, CJEU ortak sorumluluk içtihadı) 
  • KVKK rejimi: İdari para cezaları çoğunlukla veri sorumlusu üzerinde tecelli eder; fakat işleyen talimat dışına çıkarsa ya da sözleşmeyi ihlal ederse bağımsız sorumluluk doğurabilir (sözleşmesel tazmin ve haksız fiil). KVKK rehberleri, rollerin ispatlanabilir şekilde ayrılmasını ve log’larla talimata uyumun gösterilmesini önerir. 

DPA tazminat modülü önerisi:

  • Üç katmanlı sorumluluk: (i) Doğrudan ihlal, (ii) alt işleyen ihlali, (iii) talimat dışı kullanım.
  • Tavan/tavan dışı zarar kalemleri: Kasıt/ağır kusur, kişisel veri ihlali, gizli veri sızıntısı için tavan dışı.
  • Sigorta: Siber risk/mesleki sorumluluk poliçesi, teminat tutarları ve sertifikasyon.

7) İçtihat ve Kurul Kararlarından Yol Haritası

  • CJEU – Wirtschaftsakademie (C-210/16): Facebook fan sayfası işleten şirket, erişim olmasa da amaç/vasıtaya katkısı nedeniyle ortak sorumlu sayıldı. DPA tek başına yeterli değil; rol tespiti hayati. 
  • CJEU – Fashion ID (C-40/17): Siteye yerleştirilen sosyal eklenti (Like) için site işletmesi, toplama ve iletim safhasında Facebook’la ortak sorumlu. Kullanılan araçlar, sorumluluk alanını belirler. 
  • CJEU – Jehovan todistajat (C-25/17): Dini topluluk, üyelerin kapı kapı faaliyetlerinde ortak sorumlu kabul edildi; organizasyonel etki yeterli. 
  • IAB Europe (2024): ABAD, geniş kontrolör yorumu çizgisini teyit etti; ekosistem aktörleri (reklam zinciri) için paylaşılan sorumluluk vurgusu. 

Ders: DPA, roller net değilse sizi kurtarmaz. İlk adım, rollerin doğru tasnifi; ikinci adım, DPA ile ölçülü ve denetlenebilir bir rejim kurmaktır.

8) Uluslararası Aktarım ve DPA Kesişimi

  • AB rejimi: Yeni AB SCC’leri, m.28 gerekliliklerini içerir; transferlerde TIA (transfer impact assessment) ve kamu otoritesi erişim taleplerine karşı prosedürler şarttır (Schrems II etkisi). 
  • Türkiye rejimi (2024/2025): KVKK m.9’da yapılan değişikliklerle yeterlilik kararı, standart sözleşme ve BŞK (BCR) mekanizmaları netleşti; Kurumun Yurt Dışına Aktarım Rehberi 2025 başında yayımlandı. DPA ile transfer sözleşmelerinin uyumlu dizaynı artık zorunlu pratik beceri haline geldi.

9) Sektörel Senaryolar: Hangi DPA Maddesi Hayat Kurtarır?

  • Bulut/SaaS (CRM, dosya depolama): Alt işleyen listesi + bölge (EU/Türkiye) + şifreleme anahtarı yönetimi + müşteri getir-kendi-anahtarını (BYOK) opsiyonu.
  • Çağrı merkezi/BPO: Erişim matrisi, ekran maskeleme, kayıt saklama süresi, coğrafi kısıt ve ihlal bildirim SLA’si. 
  • Pazarlama/analitik: Ortak sorumluluk riski; amaç sınırlaması, yeniden-kullanım yasağı, profil çıkarımı yasağı ve ölçülülük. (EDPB 07/2020; CJEU içtihatları) 
  • İK bordro/yan haklar: Kanuni zorunluluk temelli işlemelerde rıza istemekten kaçınma; alt işleyende yerel barındırma ve denetim hakkı.

10) Uygulanabilir DPA Şablon Maddeleri (Kısa Öneriler)

  1. Kapsam & Süre: “… işleme; sözleşme süresince, Ek-1’de tanımlı amaç, veri kategorileri ve kişi gruplarıyla sınırlıdır.”
  2. Talimatlar: “İşleyen, yalnızca yazılı talimatla işler; aykırılığı derhal bildirir.”
  3. Gizlilik & Eğitim: “Tüm personel gizlilik beyanı imzalar; yıllık eğitim zorunludur.”
  4. Güvenlik: “m.32 düzeyinde şifreleme, erişim kontrolü, loglama ve zafiyet yönetimi uygulanır.”
  5. Alt İşleyen: “Genel yazılı yetki + itiraz hakkı; flow-down; güncel liste ve değişiklik bildirimi.”
  6. Hak Talepleri: “İşleyen, 72 saat içinde destek sağlar; yanlış yönlendirme yapmaz.”
  7. İhlal Bildirimi: “Öğrenmeden itibaren derhal (örn. 24 saat) ön bildirim; 72 saat içinde ayrıntı.”
  8. Silme/İade: “Süre bitiminde iade + güvenli silme; kanıt olarak imzalı rapor.”
  9. Denetim: “Yıllık denetim; ihlal şüphesinde ilave; makul bildirim; bağımsız denetçi.”
  10. Tazmin: “Kasıt/ağır kusur ve veri ihlali tavan dışı; alt işleyen ihlalinde müteselsil sorumluluk.”
  11. Aktarım: “AB SCC veya KVKK standart sözleşme; TIA/ek önlemler; kamu otoritesi talep prosedürü.”

    Sonuç

    DPA, yalnızca “yasal gereklilik” değildir; operasyonel savunma hattınızdır. Kapsamı ve maddeleri titizlikle kurgulanmış, alt işleyen zinciri kontrol edilen, denetimi işletilebilir bir DPA; ihlal anında delil üretir, sorumluluğu adil paylaştırır ve düzenleyici karşısında hesap verebilirliği sağlar. KVKK ve GDPR çizgileri bugün büyük ölçüde yakınsak: Roller doğru tayin edilmeli, m.28 iskeleti esas alınmalı, Türkiye’nin 2024/2025 transfer rejimiyle tutarlı bir sözleşme seti kurulmalıdır. 

    KAYNAKÇA

    • EDPB, Guidelines 07/2020 on the concepts of controller and processor (Final, 7 Temmuz 2021). edpb.europa.eu
    • GDPR m.28 – Processor (gdpr-info.eu, madde metni ve alt işleyen hükümleri). EYgdpr-info.eu
    • ICO, Contracts and liabilities between controllers and processors – What needs to be included? ico.org.uk
    • Avrupa Komisyonu, Yeni SCC SSS – m.28 gereklilikleri SCC’lere entegre. European Commission
    • EDPB-EDPS Ortak Görüş 1/2021 – m.28(3)-(4) için standart sözleşme klozları. edpb.europa.eu
    • CJEU, Fashion ID (C-40/17) – ortak sorumluluk ve eklenti vakası. Curia
    • CJEU, Wirtschaftsakademie (C-210/16) – fan sayfası yöneticisinin sorumluluğu. Curia
    • Avrupa Parlamentosu Araştırma Servisi, Schrems II özeti – TIA ve ek önlemler. Avrupa Parlamento’su
    • KVK Kurumu, Yurt Dışına Aktarım Rehberi (2025); Rehberler ve Kurul sayfaları. Kişisel Verileri Koruma Kurumu+1
    • KVK Kurumu, Veri Sorumlusu ve Veri İşleyen Rehberi (temel kavramlar). Kişisel Verileri Koruma Kurumu
    • Erdem & Erdem, KVKK’da 2024 değişiklikleri (pratik etkiler). Erdem & Erdem
    • HSF Kramer notu, EDPB görüşü – alt işleyen zinciri ve m.28(2)/(4). hsfkramer.com

    Not: Makale içinde link verilmemesi talebiniz doğrultusunda kaynak bağlantılarını bu bölümde topladım.

    İLGİLİ MEVZUAT

    • KVKK (6698) – md.3 (tanımlar), md.10 (aydınlatma), md.12 (güvenlik), md.18 (yaptırımlar), md.9 (2024 değişiklikleriyle uluslararası aktarım). Kişisel Verileri Koruma Kurumu+1
    • GDPR (EU 2016/679) – md.4(7)-(8) (tanımlar), md.28 (DPA), md.32 (güvenlik), md.44-49 (aktarım). EY

    Ek: Hızlı DPA Başlatma Kontrol Listesi (Kopyalanabilir)

    • Roller net: Sorumlu/İşleyen/Ortak sorumlu ayrımı (EDPB 07/2020).
    • m.28 iskeleti: Talimat, gizlilik, güvenlik, alt işleyen, ihlal, silme, audit, bildirim.
    • Alt işleyen listesi + değişiklik bildirimi + itiraz hakkı.
    • Denetim yöntemi: Yıllık plan + istisnai denetim + CAPA akışı.
    • Transfer uyumu: AB SCC / KVKK standart sözleşme + TIA/ek önlemler.
    • Tazmin modülü: Kasıt/ağır kusur tavan dışı; alt işleyen ihlalinde rücu.

     

    Yorum Yazın

    Nunc velit metus, volutpat elementum euismod eget, cursus nec nunc.