top of page
Ara

AB Müşteriniz Var mı? DPA (Veri İşleme Sözleşmesi) Nedir? GDPR m.28 Zorunlulukları ve KVKK’ya Göre Pratik Rehber

  • Yazarın fotoğrafı: Merih Okuyaz
    Merih Okuyaz
  • 6 gün önce
  • 3 dakikada okunur

DPA yani veri işleme sözleşmesine ihtiyacımız var mı?

Avrupa Birliğinde ("AB") mukim müşterilerle çalışıyor ya da sitenize AB’den ziyaretçi geliyorsa, kişisel verileri işlerken bazı kurallara uymanız gerekir. Bu yazımızda, DPA nedir, kime gerekir, örneklerle 5 adımda DPA hazırlama, sık hatalar ve mini kontrol listesi, KVKK temelli; AB veri koruma kuralları (GDPR) farkları sade bir anlatımla açıklanmıştır.


1) Veri İşleme Sözleşmesi'nin en basit tanımı


Veri İşleme Sözleşmesi (DPA), “Veriyi benim adıma işliyorsan, oyunun kuralları bunlar” diyen kısa, yazılı bir anlaşmadır. Amaç, kişisel verilerin ne için, kimlerce, hangi güvenlikle, ne kadar süreyle işleneceğini netleştirmektir.


2) Kime gerekir?

Kural basit: Bir tedarikçiniz kişisel veriye sizin adınıza erişiyorsa—müşterinizin, çalışanınızın ya da nihai kullanıcının verisi fark etmez—DPA imzalanması değerlendirilmelidir.

  • Bulut/CRM: Müşteri kayıtları HubSpot/Zoho vb.

  • E-posta & pazarlama: Mailchimp/Sendinblue, reklam ajansı pixel/çerez yönetimi.

  • Destek & ticketing: Zendesk/Freshdesk müşterinin ad-soyad, e-posta görür.

  • Bordro/İK: Outsource bordro, işe alım aracı, performans yazılımı.


3) 5 adımda Veri İşleme Sözleşmesi nasıl hazırlanır?


Adım 1 — Envanter: Hangi veriler (ad, e-posta, telefon…), hangi tedarikçi, hangi amaç? Küçük bir tablo çıkarın.

Adım 2 — Sınırlar & talimat: “Yalnızca [destek/raporlama] amacıyla; kendi amaçların için kullanamazsın.

Adım 3 — Güvenlik (TOMs): Erişim yetkisi, şifreleme, yedekleme, olay kaydı (log), düzenli test.

Adım 4 — Alt tedarikçi: Yeni bir altyapı/taşeron eklenirse önceden bildir, aynı korumayı sözleşmeyle yansıt.

Adım 5 — Kapanış: Sözleşme bitince iade/silme ve silme kanıtı (rapor/log) şart.


4) Örnek Veri İşleme Sözleşmesi Cümleleri


  • Amaç & Talimat: “İşleyen, Kişisel Verileri yalnızca [destek/raporlama] amacıyla ve Sorumlu’nun yazılı talimatları uyarınca işler.”

  • Güvenlik: “İşleyen; erişim kontrolü, şifreleme, yedekleme ve olay kaydı önlemlerini uygular; talep edilirse bunların kanıtını sunar.”

  • Alt Tedarikçi: “Yeni alt işleyen atamadan [15] gün önce yazılı bildirim yapılır; eşdeğer yükümlülükler sözleşmeyle yansıtılır.”

  • Silme/İade: “Sözleşme sona erdiğinde veriler [30] gün içinde iade edilir veya silinir; silme işlemi yazılı olarak belgelendirilir.”

  • Denetim: “Sorumlu, yılda 1 belge temelli denetim (ISO/SOC raporları vb.) talep edebilir; makul şartlarda yerinde denetim yapılabilir.”


5) KVKK temelli pratik notlar (Türkiye bağlamı)


  • Gizlilik politikasında kullandığınız tedarikçi türlerini ve amaçlarını belirtin.

  • Silme-yok etme-anonimleştirme için takvim + yöntem yazın; delil isteyin.

  • Yurt dışına aktarım varsa ayrıca sözleşme/süreç planlayın (örn. AB müşterili projelerde).

  • Yerinde denetim yerine belge temelli doğrulama (ISO 27001, SOC 2) pratik ve yeterli olabilir.


6) AB'de mukim kişilerin verilerini işliyor musunuz?


AB’ye ürün/hizmet sunuyor veya AB’deki ziyaretçiyi izliyorsanız (pazarlama çerezleri/analitik), AB’nin veri kuralları GDPR da devreye girebilir. Bu durumda tipik farklar:

  • Çerezler: Pazarlama/izleme çerezlerinde ön rıza ve tercih paneli gerekebilir.

  • Sözleşme: Tedarikçilerle DPA kesin olmalı; alt tedarikçi bildirimi ve silme kanıtı aranır.

  • Aktarım: AB→Türkiye veri akışında ek sözleşme ekleri ve basit risk kontrolü (ör. tedarikçi listesi, şifreleme).

  • AB teması yoksa: KVKK temelli DPA ile ilerlemek genellikle yeterlidir.


7) Sık yapılan 5 hata (ve çözümler)


  1. ToS = DPA sanmak → Kısa bir DPA eki isteyin/ekleyin.

  2. Silme/iade maddesini unutmak → Süre + kanıt şartı yazın.

  3. Alt tedarikçiyi belirtmemek → Liste + değişiklik bildirimi + itiraz hakkı.

  4. Denetimi kâğıt üzerinde bırakmak → “Yılda 1 belge denetimi” cümlesi ekleyin.

  5. Veri envanteri olmadan DPA yazmak → Önce tablo: veri türü/amaç/tedarikçi/saklama.


8) 60 Saniyelik Veri İşleme Sözleşmesi Kontrol Listesi


  •  Tedarikçi/veri/amaç tablosu hazır

  •  Amaç ve talimat sınırları yazılı

  •  Güvenlik önlemleri (ek) eklendi

  •  Alt tedarikçi bildirimi ve eşdeğer koruma

  •  Sözleşme sonu iade/silme + kanıt

  •  Yıllık belge denetimi (ISO/SOC) hakkı

  •  (AB teması varsa) çerez rızası + aktarım eki


Sık Sorulan Sorular

  • DPA’yı kim imzalar?Veri Sorumlusu (siz) ve Veri İşleyen (tedarikçi).

  • Her tedarikçiye ayrı DPA mı?Evet; şablonu aynı tutup hızlanabilirsiniz.

  • İngilizce DPA olur mu?Olur. Türk işlerinde uygulanacak hukuk/yer ve bildirim adreslerini net yazın.

  • AB müşterim yoksa GDPR beni ilgilendirir mi?Genellikle hayır. AB’ye hedefleme/izleme yoksa KVKK temelli DPA yeterlidir.


Av. Merih Okuyaz (İstanbul 1 No'lu Barosu)


Bu içerik genel bilgilendirme amaçlıdır; hukuki görüş değildir.









Yorumlar

Bu sitedeki içerikler yalnızca bilgilendirme amaçlıdır ve hiçbir şekilde reklam, teklif veya hukuki tavsiye niteliği taşımaz.

Sitenin Türkçe ve İngilizce bölümleri birbirinden farklılık gösterebilir.

Tüm hakları saklıdır. Okuyaz Hukuk & Danışmanlık Hizmetleri 

bottom of page