Veri sorumlusu, dışarıdan hizmet aldığında (bulut, çağrı merkezi, muhasebe) "veri işleyen" ile sözleşme yapar. KVKK m.12.
Veri İşleyenin Yükümlülükleri
- Veri sorumlusunun talimatlarına uyma
- Güvenlik tedbirleri
- Kişisel veriyi sözleşmedeki amacın dışında kullanmama
- Süre sonunda imha veya iade
- Alt veri işleyen kullanımı için yazılı onay
Sözleşmenin İçeriği
- İşlenecek veri kategorileri
- İşleme amacı
- Süre
- Güvenlik tedbirleri
- İhlal bildirim süreci
- İlgili kişi taleplerine yanıt
- Denetim hakkı
- İade/imha süreci
Müteselsil Sorumluluk
- Veri sorumlusu birinci derecede sorumlu
- Veri işleyen, sözleşmeden doğan yükümlülüğüyle sorumlu
- İlgili kişi her ikisine de başvurabilir
Bulut Sağlayıcı Örneği
- AWS, Azure, GCP gibi bulut hizmetleri "veri işleyen"
- Standart sözleşme yetersiz olabilir
- Türkçe ek protokol gerekebilir
- Veri lokasyonu (yurt içi/dışı) önemli
KVKK Kurulu Kararı
KVKK Kurulu, veri sorumlularının dış hizmet alımlarında "veri işleyen sözleşmesi yokluğu"nu ihlal kabul etmekte, hatta bulut sağlayıcı kullanan ama sözleşme imzalamayan şirketlere ceza vermektedir.
Pratik Tavsiyeler
- Tüm 3. taraf sağlayıcılarla yazılı sözleşme
- DPA (Data Processing Agreement) ek protokol
- Yıllık denetim hakkı saklayın
- İhlal müdahale prosedürü ekleyin
KVKK uzmanı avukat önerilir.