Veri İşleyenin Yükümlülükleri – Tanım, Kapsam ve Uyum Rehberi
Veri sorumlusu adına kişisel verileri işleyen kuruluşlar; şeffaflık, güvenlik, haklara saygı ve amaç sınırlaması ilkeleri doğrultusunda hareket etmek zorundadır. Bu rehber, KVKK ve GDPR perspektifinden veri işleyenin tanımını, temel yükümlülüklerini ve pratik bir uyum programını adım adım özetler.
Veri İşleyen Tanımı
Veri işleyen, kişisel verileri bir veri sorumlusu adına ve onun talimatları çerçevesinde işleyen gerçek veya tüzel kişidir. Veri işleyen; hangi verilerin hangi amaçla işlendiğine karar vermez, yalnızca veri sorumlusunun belirlediği kapsamda teknik ve operasyonel işleri yürütür.
Tipik veri işleyen örnekleri:
- Bulut hizmet sağlayıcıları ve barındırma firmaları,
- Dış kaynak çağrı merkezi ve destek hizmeti sunan şirketler,
- Pazarlama otomasyonu ve e-bülten altyapısı sağlayıcıları,
- Veri merkezi, yedekleme, loglama ve siber güvenlik hizmeti veren firmalar,
- İK, bordro veya CRM yazılımları sağlayan SaaS platformları.
Bir kuruluş hem veri sorumlusu hem de başka bir kuruluş adına çalışırken veri işleyen rolünü aynı anda üstlenebilir. Bu nedenle rol tespiti, sözleşme ve aydınlatma metinleri hazırlanırken netleştirilmelidir.
Veri İşleyenin Temel Yükümlülükleri
KVKK, GDPR ve benzeri mevzuatlar; veri işleyenin veri sorumlusu adına hareket ederken uyması gereken açık kurallar koyar. Aşağıdaki başlıklar, veri işleyenin omurgasını oluşturan yükümlülüklerdir.
1) Kanuna Uyum ve Talimatlara Bağlılık
- GDPR/KVKK ve ilgili tüm veri koruma mevzuatına uygun işleme,
- Veri sorumlusu talimatlarına sıkı bağlılık (DPA, sözleşme, SCC vb.),
- Talimat dışı, kendi adına veri işlememe; işlenirse veri sorumlusu rolünü üstlenme.
2) Şeffaflık ve Dokümantasyon
- Politika ve prosedürlerin yazılı ve denetlenebilir hale getirilmesi,
- Alt işleyen listeleri, veri akışları ve transfer noktalarının kayıt altına alınması,
- Denetim, regülatör veya veri sorumlusu taleplerine sunulabilecek kayıt setleri.
3) Güvenlik Tedbirleri
- Uygun teknik/idari tedbirler: şifreleme, erişim kontrolü, loglama,
- Zafiyet yönetimi, yama süreci ve güvenlik izleme altyapıları,
- Veri ihlali bildirim süreçlerinin tasarımı ve düzenli test edilmesi.
4) Haklara Saygı ve Destek
- İlgili kişi taleplerinde veri sorumlusuna makul sürelerde destek sağlama,
- Silme/düzeltme/sınırlama taleplerini kendi sistemlerinde uygulama,
- Hak kullanımına engel olacak sözleşme veya teknik bariyerler oluşturmama.
5) Amaç Sınırlaması ve Veri Minimizasyonu
- Verilerin yalnızca sözleşmeyle belirlenen meşru amaçlarla işlenmesi,
- Gereğinden fazla veri toplamamak ve gereksiz kopyalar oluşturmamak,
- Test/QA ortamlarında mümkün olduğunca maskeleme veya anonimleştirme kullanmak.
6) Saklama ve Güvenli İmha
- İşleme amacı sona erdiğinde verileri güvenli biçimde silme veya anonimleştirme,
- Veri sorumlusunun talebi halinde veriyi iade etme veya imha etme,
- İmha veya iade işlemlerine ilişkin kanıt ve kayıtların veri sorumlusuna sunulması.
Veri İşleyen Yükümlülükleri Neden Önemli?
Veri sorumlusu; kişisel verilerin işlenmesinde nihai sorumlu taraf olsa da, fiili işleme çoğu zaman veri işleyenler üzerinden yürür. Bu nedenle veri işleyen tarafın hatası veya ihmali, veri sorumlusuna doğrudan idari yaptırım, dava ve itibar kaybı olarak geri döner.
Etki alanları:
- Güvenlik ve gizlilik: Uygun tedbirler, veri ihlallerini önlemenin ve kullanıcı güvenini korumanın en kritik aracıdır.
- Uyum ve itibar: Yüksek para cezaları, sözleşmesel yaptırımlar ve itibar kaybının önüne geçer; rekabet avantajı yaratır.
- Tedarikçi ekosistemi: Güçlü veri işleyen yönetimi, tüm tedarik zincirinde veri koruma kültürünü güçlendirir.
Veri Sahibi Haklarına Saygı
Veri işleyen, doğrudan ilgili kişiyle muhatap olmasa bile; GDPR ve KVKK çerçevesinde tanınan hakların kullanılmasında veri sorumlusuna teknik ve operasyonel destek sağlamakla yükümlüdür.
Çekirdek İlkeler
- Şeffaflık: İşleme faaliyetlerinin veri sorumlusu üzerinden ilgili kişiye anlaşılır biçimde aktarılmasına engel olmamak.
- Rıza ve adil işleme: Rızaya dayalı işlemlerde amaç dışına çıkmamak, adil ve ayrımcılıktan uzak yaklaşmak.
- Güvenlik: Yetkisiz erişim, değişiklik ve kayba karşı koruma sağlayan kontrolleri uygulamak.
Hak Kullanımında Destek
- Erişim, düzeltme, silme, taşınabilirlik ve sınırlama taleplerinde veri sorumlusuna zamanında yanıt verebilmek,
- İlgili kişinin başvurusunu destekleyecek log, kayıt ve kanıtları gerektiğinde paylaşmak,
- Hak kullanımını engelleyici teknik kilitler (vendor lock-in) oluşturmaktan kaçınmak.
Veri İşleme Amaçlarına Uyum
Veri işleme amaçlarına uyum, hem veri sorumlusu hem de veri işleyen için temel bir prensiptir. Amaçların flu bırakıldığı her senaryo, ileride uyumsuzluk ve güven sorunu olarak geri döner.
Amaç ve Rıza Yönetimi
- İşleme amaçlarının sözleşme ve DPA üzerinde net ve ölçülebilir biçimde tanımlanması,
- Rızaya dayalı işlemlerde, rızanın bilgilendirilmiş, özgür ve spesifik olduğundan emin olunması,
- Amaç değişikliği söz konusu olduğunda veri sorumlusunun bilgilendirilmesi ve gerekli güncellemelerin yapılması.
İyileştirme ve Denetim
- Periyodik olarak süreçleri gözden geçirerek veri minimizasyonu, loglama ve saklama sürelerinin optimize edilmesi,
- İç denetimler ve tedarikçi değerlendirmeleri ile veri işleyen performansının izlenmesi,
- Gerekli durumlarda düzeltici/önleyici faaliyet (DÖF) planları oluşturulması.
Veri İşleme Sınırları
Veri işleyen rolünün en kritik unsurlarından biri, sınırların iyi tanımlanması ve bu sınırlara sadık kalınmasıdır.
Amaç ve Kapsam Sınırı
- Belirli ve meşru amaçlar dışında veri işlenmemesi,
- Yeni amaçlar için veri sorumlusunun yazılı onayı olmadan işleme yapılmaması,
- Veri kategorisi, kişi grubu ve alıcı gruplarının envanter ve sözleşmelerde netleştirilmesi.
Zaman, Erişim ve Güvenlik
- Saklama sürelerinin veri sorumlusu ile uyumlu belirlenmesi,
- Hassas/özel nitelikli verilerde ek güvenlik katmanları uygulanması,
- Rol bazlı erişim, güçlü kimlik doğrulama ve ayrıştırılmış ortamlar (prod/test) kullanılması.
Pratik Uyum Programı (Veri İşleyenler İçin Öneri)
Aşağıdaki adımlar, veri işleyenler için ölçeklenebilir bir KVKK & GDPR uyum programının omurgasını oluşturur.
1) DPA ve Sözleşmeler
- Veri işleme sözleşmeleri (DPA) ve hizmet sözleşmelerinde veri koruma hükümlerinin uyumlu hale getirilmesi,
- Alt işleyen onay süreçlerinin ve SCC/yurtdışı aktarım hükümlerinin net kurgulanması,
- Yetki ve sorumluluk sınırlarının “veri sorumlusu / veri işleyen” bakış açısıyla ayrıştırılması.
2) Envanter ve Kayıtlar
- Veri işleme faaliyetleri kaydı: hangi veri, nerede, ne amaçla, kim için işleniyor,
- Veri akış haritaları ve saklama–imha matrislerinin oluşturulması,
- Loglama ve değişiklik kayıtları ile süreçlerin denetlenebilir hale getirilmesi.
3) Güvenlik Kontrolleri
- Şifreleme, anahtar yönetimi, erişim kontrolü, ağ segmentasyonu,
- Güncel antivirüs/EDR, zafiyet taramaları ve yama yönetimi,
- Yetkilendirilmiş personel listeleri ve görevler ayrılığı prensibi.
4) İhlal Yönetimi
- Veri ihlali tespiti için izleme ve uyarı mekanizmalarının kurulması,
- GDPR 72 saat kuralı ve KVKK bildirim yükümlülüklerine hazır akışların tasarlanması,
- Düzenli tatbikatlar ve masa başı senaryolarla ekibin hazır tutulması.
5) Hak Talepleri Süreci
- Veri sorumlusundan gelecek hak taleplerine yönelik standart prosedür ve SLA’lar,
- Kimlik doğrulama, log inceleme ve delil yönetimi pratiklerinin tanımlanması,
- Süreçlerin mümkün olduğunca otomasyona bağlanması.
6) Denetim ve Eğitim
- Yıllık veya altı aylık iç denetim takvimi oluşturulması,
- Tedarikçi ve alt işleyenlerin düzenli değerlendirilmesi,
- Çalışanlar için sürekli KVKK/GDPR ve bilgi güvenliği eğitimleri.
Sık Sorulan Sorular (SSS)
Genel kural, ilgili kişinin başvurularına veri sorumlusu tarafından yanıt verilmesidir. Veri işleyen; veri sorumlusunun talebi doğrultusunda kendi sistemlerinde silme, düzeltme, kısıtlama gibi işlemleri uygular, teknik bilgi ve kayıtları veri sorumlusu ile paylaşır. İstisnai durumlar dışında doğrudan ilgili kişiyle yazışma yapmaz.
Veri işleyen, alt işleyen kullanmak istediğinde:
- Veri sorumlusundan önceden yazılı onay almalı,
- Alt işleyenle imzaladığı sözleşmeye veri işleme sözleşmesiyle eşdeğer yükümlülükler koymalı,
- Alt işleyen listesini ve güncellemeleri kayıt altına alıp veri sorumlusuna bildirmelidir.
Aksi durumda; alt işleyenin neden olduğu ihlaller, veri işleyen açısından da ciddi sorumluluk doğurabilir.
Veri işleyen, sözleşme kapsamındaki işleme faaliyetlerini yalnızca veri sorumlusu adına yürütür. Kendi ticari amaçları için, kendi kararlarıyla veri işlemeye başladığı anda o faaliyetler için veri sorumlusu sıfatını kazanır ve buna bağlı tüm yükümlülük ve riskleri bizzat üstlenmiş olur.
Evet. Bir kuruluş, kendi çalışan ve müşterilerinin verileri için veri sorumlusu iken, başka bir şirket adına hizmet sunarken o şirket için veri işleyen rolünü üstlenebilir. Bu nedenle her işleme faaliyeti için rolün ayrı ayrı tanımlanması ve sözleşmelerde açıkça belirtilmesi gerekir.
Veri işleyen; tespit ettiği bir kişisel veri ihlalini gecikmeksizin veri sorumlusuna bildirmekle yükümlüdür. KVKK ve GDPR kapsamındaki resmi otorite/ilgili kişi bildirimleri ise veri sorumlusu tarafından yapılır; ancak gerekli teknik detay ve kanıtların sağlanmasında veri işleyen aktif rol alır.
Sonuç & İletişim
Veri işleyen yükümlülüklerine uygun, kayıtlı ve denetlenebilir bir uyum programı; yalnızca cezai riskleri azaltmakla kalmaz, aynı zamanda iş ortaklarına ve son kullanıcılara karşı güçlü bir güven taahhüdü oluşturur. KVKK ve GDPR beklentilerine paralel şekilde tasarlanmış süreçler; veri sorumlusu–veri işleyen ilişkisinde şeffaflığı ve sürdürülebilirliği garanti altına alır.
Bir sonraki adım; veri işleme sözleşmelerinizi (DPA), teknik/idari tedbirlerinizi ve kayıtlarınızı somut bir uyum planıyla eşleştirip düzenli olarak gözden geçirmektir. Böylece hem düzenleyici otoriteler hem de müşterileriniz nezdinde güçlü ve güvenilir bir veri işleyen profili çizebilirsiniz.
