Veri İşleyen Sözleşmesi Nasıl Hazırlanır?
Kurumlar çoğu zaman “KVKK uyumu”nu aydınlatma metinleriyle başlatıyor. Ancak operasyon büyüdükçe işin omurgası şu noktaya dayanır: kişisel veri işleyen tedarikçilerle ilişkiyi doğru sözleşme mimarisiyle yönetmek. Çağrı merkezi, bulut altyapısı, CRM, e-posta servisleri, muhasebe/IK dış kaynak, siber güvenlik hizmeti, lojistik vb. hizmetlerde veri kurumun dışına taşar ve risk “sözleşme + süreç + kontrol” üçlüsüyle yönetilir.
Bu rehberin amacı; “Veri İşleyen Sözleşmesi”ni (uygulamada sık geçen adıyla Kişisel Veri İşleme Sözleşmesi / DPA) herkesin anlayacağı dilde anlatmak: hangi maddeler olmazsa olmaz, nasıl yazılır, hangi kontrollerle sahaya indirilir ve denetimde nasıl ispatlanır?
Sözleşme tek başına yetmez: sözleşme + teknik/idari tedbir + kayıt/izleme birlikte çalışır.
Talimat net değilse risk büyür: veri işleyen “nasıl”ı yürütür; “neden/niçin”i belirleyemez.
Alt işleyen zinciri kontrol edilmezse: en zayıf halka tüm yapıyı düşürür.
1) Neden “Veri İşleyen Sözleşmesi” Gerekli? (Kısaca: Veri Dışarı Çıktıysa Risk Artar)
Veri işleyen; veri sorumlusunun verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Bu ilişki pratikte “hizmet alımı” gibi görünse de KVKK perspektifinde kişisel veri riskinin paylaşıldığı bir alandır. Özellikle veri işleyen tarafın sistemlerine erişim, saklama, yedekleme, loglama, destek ekipleri ve alt tedarikçileri devreye girince risk; “teknik” olduğu kadar “yönetişim” meselesine dönüşür.
- Şeffaflık riski: İlgili kişiye ne söylüyorsunuz, veri işleyen gerçekte ne yapıyor?
- Güvenlik riski: Yetkisiz erişim, yanlış yetkilendirme, zayıf yedekleme, sızıntı.
- Alt işleyen riski: Veri işleyen, fark etmeden veriyi başka alt sağlayıcıya aktarabiliyor.
- Denetim riski: “Tedbir aldım” demek değil, gösterebilmek önemli.
Kurum CRM hizmeti alıyor. CRM sağlayıcısı da e-posta gönderimi için başka bir servis, barındırma için bulut, destek için çağrı merkezi kullanıyor. Eğer sözleşme alt işleyenleri, aktarımı ve güvenliği “net” yönetmiyorsa; zincirin her halkası yeni bir risk alanı açar.
2) Rol Ayrımı: Veri Sorumlusu – Veri İşleyen (Sözleşmenin Temel Taşı)
Sağlam bir veri işleyen sözleşmesi için ilk şart; rol ayrımının doğru yapılmasıdır. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirler. Veri işleyen ise veri sorumlusunun talimatları kapsamında, onun adına işlemi yürütür. Rol ayrımı net değilse sözleşmedeki tüm maddeler “kağıt üzerinde” kalır.
Neden bu kritik?
Çünkü veri sorumlusu; aydınlatma, hukuki sebep, saklama süresi, aktarım rejimi gibi kararları verir. Veri işleyen ise bu kararları uygulamak üzere teknik/operasyonel faaliyeti yürütür. Veri işleyen “ben karar verdim” noktasına geçtiğinde, pratikte veri sorumlusu gibi değerlendirilen riskli bir alana girer.
Sözleşmeye başlamadan önce şu cümleyi yazabilmelisiniz: “Bu işleme faaliyetinde ‘neden ve ne için’ kararını kim veriyor?” Cevap veri sorumlusudur; veri işleyen bu kararları talimatla uygular.
Not: Uluslararası iyi uygulamada (özellikle GDPR Art. 28), veri işleyen sözleşmeleri; talimat, gizlilik, güvenlik, alt işleyen, denetim ve imha gibi başlıkları yazılı olarak zorunlu kılar. Bu yaklaşım, KVKK saha pratiğinde de sözleşme kurgusuna güçlü referans sağlar.
3) Sözleşmenin Çekirdeği: Kapsam, Talimat, Amaç (En Çok Hata Yapılan Yer)
Veri işleyen sözleşmesinin çekirdeği; “ne işlenecek, hangi kapsamda, hangi talimatla, ne kadar süreyle” sorularının ölçülebilir ve denetlenebilir şekilde yazılmasıdır. “Genel ifadeler” (ör. “gerekli tedbirler alınacaktır”) sahada karşılık üretmez.
Minimum çekirdek alanlar
- Konu: Hizmetin adı ve veri işleme faaliyetinin tanımı (ör. “CRM barındırma ve destek”).
- Amaç: Veri sorumlusunun belirlediği işleme amaçlarına bağlılık.
- Veri seti: Veri kategorileri + ilgili kişi grupları (örn. müşteri, kullanıcı, çalışan adayı).
- İşleme türleri: toplama, kaydetme, saklama, erişim, aktarım, silme vb.
- Süre: Hizmet süresi + hizmet bitince imha/iadeye ilişkin zaman planı.
Sözleşmeye ek olarak mutlaka “Ek-1: İşleme Tanımı”, “Ek-2: Teknik/İdari Tedbirler”, “Ek-3: Alt İşleyen Listesi” gibi ekler kurgulayın. Ekler değiştikçe versiyon yönetimi yapılır; ana sözleşme sabit kalır.
Bu çekirdek kurgu doğru yazıldığında; aydınlatma metinleriyle “sözleşme gerçekliği” uyumlu hale gelir, denetimde delil üretmek kolaylaşır ve hizmet değiştiğinde (yeni modül, yeni ülke, yeni alt sağlayıcı) revizyon yönetimi netleşir.
4) Güvenlik + Denetim: İşin İspat Boyutu (Sözleşmeyi Sahaya İndirin)
KVKK uyumunda “güvenlik” sadece teknik bir konu değildir; idari tedbirler, kayıtlar ve denetlenebilirlik ile tamamlanır. Veri sorumlusu, kendi adına veri işleyenlerle birlikte belirli güvenlik tedbirleri bakımından müştereken sorumluluk alanına girebilir. Bu yüzden sözleşme; güvenlik yükümlülüklerini “ölçülebilir” hale getirmelidir.
Ölçülebilir güvenlik maddeleri (örnek başlıklar)
- Erişim yönetimi: rol bazlı yetki, MFA, ayrıcalıklı hesap kontrolü, erişim kayıtları.
- Şifreleme: aktarımda ve saklamada şifreleme (en azından kritik veri setleri için).
- Loglama & izleme: kritik işlemler için log, saklama süresi, olay inceleme prosedürü.
- Yedekleme: periyot, test, geri dönüş süresi (RTO/RPO gibi hedefler).
- Varlık & zafiyet yönetimi: güncelleme, yamalama, güvenlik testleri.
“Veri işleyen, veri sorumlusunun talebi halinde makul süre içinde uygun kanıtları (politika, kayıt, rapor, sertifika, test çıktısı) paylaşır; uzaktan denetimi destekler; gerekli hallerde yerinde denetime imkan tanır.”
Not: İhlal yönetimi ve olay bildirimi maddeleri; sadece “bildirir” demekle sınırlı olmamalı. Süre, iletişim kanalı, ilk bildirim içeriği (etkilenen veri, kapsam, alınan önlemler) ve iş birliği sorumluluğu açık yazılmalıdır.
5) Zorunlu Maddeler Checklist’i (Sözleşmeye Yazmadan “Tam” Sayılmaz)
Aşağıdaki başlıklar, veri işleyen sözleşmesinin sahada “işe yarar” olmasını sağlayan minimum çerçevedir. Kurumlar genelde bu maddeleri “genel hüküm” gibi yazar; oysa her biri işletilebilir olmalıdır.
1) Talimatla işleme: Veri işleyen, yalnızca veri sorumlusunun yazılı talimatlarıyla işlem yapar.
2) Gizlilik: Yetkili personel için gizlilik yükümlülüğü ve eğitim/farkındalık şartı.
3) Teknik-idari tedbirler: Ek-2 gibi somut kontrol listesi + asgari standartlar.
4) Alt işleyen yönetimi: Ön onay, liste, değişiklik bildirimi, sorumluluk zinciri.
5) İhlal bildirimi ve iş birliği: Bildirim süresi, kanal, içerik, delil koruma, kök neden analizi.
6) Denetim hakkı: Kanıt paylaşımı, uzaktan/yerinde denetim, aksiyon planı takibi.
7) Aktarım kuralları: Yurt içi/yurt dışı aktarımın şartları, lokasyon/ülke bilgisi, mekanizma.
8) İade/İmha: Hizmet bitince iade/silme/yok etme/anonimleştirme yöntemi ve süreleri.
9) Kayıt ve ispat: İşlem kayıtları, talimat kayıtları, alt işleyen kayıtları, raporlama periyodu.
Bu checklist; sadece sözleşme metnini güçlendirmez, aynı zamanda tedarikçi yönetimini standardize eder. Kurumsal ölçekte hedef; “her tedarikçi için farklı sözleşme dili” yerine, risk seviyesine göre ölçeklenen tek bir mimari kurmaktır.
6) Alt İşleyenler ve Tedarik Zinciri Yönetimi (Görünmeyen Risk Katmanı)
Veri işleyen, hizmeti yürütmek için başka tedarikçiler kullanabilir (alt işleyen). Bu durum “normal”dir; risk ise şuradan doğar: veri sorumlusu, veri akışının nereye gittiğini bilmez veya kontrol edemezse, güvenlik ve aktarım rejimi kırılır.
Alt işleyen maddesi nasıl kurgulanmalı?
- Ön onay mekanizması: Genel onay mı, spesifik onay mı? Değişiklikte bildirim süresi?
- Liste ve şeffaflık: Alt işleyen listesi + lokasyon + hizmet rolü.
- Back-to-back yükümlülük: Veri işleyen, alt işleyene aynı güvenlik/taahhüt seviyesini yansıtır.
- Sorumluluk zinciri: Alt işleyenin hatasında veri işleyenin sorumluluk alanı sözleşmede netleşir.
Alt işleyen yönetimi yoksa, “benim verim kurumdan hiç çıkmıyor” zannedilen senaryoda bile veri; e-posta, bulut log, destek ekran görüntüsü, yedekleme veya telemetriyle fark edilmeden başka ülke/sağlayıcılara akabilir.
7) Milestone Haritası: Sözleşme Hazırlama Aşamaları (Kronolojik Özet Tablo)
Aşağıdaki tablo; veri işleyen sözleşmesini “tek seferlik evrak” gibi değil, kurumsal bir süreç olarak yönetmek için pratik bir yol haritası sunar.
| Aşama / Dönem | Milestone | Kurumlar İçin Pratik Anlamı |
|---|---|---|
| 0. Gün | Rol analizi ve hizmet haritalama (veri sorumlusu / veri işleyen / alt işleyen) | Yanlış rol = yanlış sözleşme; risk ve sorumluluk gerçekçi yönetilemez. |
| 1–3. Gün | Veri seti ve işleme tanımı (Ek-1): veri kategorileri, kişi grupları, işleme türleri, süre | Aydınlatma–envanter–sözleşme uyumu kurulur; denetimde çelişki azalır. |
| 3–7. Gün | Teknik/İdari tedbir seti (Ek-2) ve minimum standartların yazılması | “Tedbir alır” yerine ölçülebilir kontrol listesi oluşur. |
| 7–10. Gün | Alt işleyen modeli (Ek-3) ve değişiklik/bildirim/onay mekanizması | Tedarik zinciri görünür olur; en zayıf halka yönetilebilir hale gelir. |
| 10–14. Gün | İhlal bildirimi, denetim hakkı, raporlama ve iş birliği maddeleri | Olay anında panik yerine prosedür çalışır; delil ve kayıt yönetimi netleşir. |
| 14–30. Gün | Uygulama: onboarding kontrol listesi, versiyon yönetimi, periyodik gözden geçirme | Sözleşme “imza” ile bitmez; süreç ölçülür, izlenir, iyileştirilir. |
Not: Yurt dışı aktarım varsa; ülke/lokasyon ve kullanılacak mekanizma ayrıca tasarlanmalı, sözleşme ve eklerle uyumlu şekilde yönetilmelidir.
8) Kurumlar İçin Somut Etki Listesi (Sözleşme Neyi İyileştirir?)
İyi tasarlanmış veri işleyen sözleşmesi, “uyum dokümanı” olmanın ötesinde; operasyonu güvenli ve öngörülebilir kılar. Sahada en görünür etkiler aşağıdaki alanlarda ortaya çıkar:
1) Tedarikçi Riskinin Ölçülebilir Yönetimi
Her tedarikçi aynı risk seviyesinde değildir. Sözleşme mimarisi; kritik/orta/düşük risk tedarikçiye göre ölçeklenir, böylece kaynaklar doğru yere harcanır.
2) Denetim ve İspat Gücü
“Tedbir aldık” beyanı yerine kanıt üretilir: erişim kayıtları, test raporları, eğitim kanıtları, aksiyon planları ve alt işleyen listeleri.
3) Olay (İhlal) Yönetimi Disiplini
Olay anında iletişim ve sorumluluk netleşir: kim, ne zaman, hangi formatta bilgi verecek; hangi kayıt korunacak; hangi iyileştirme planı devreye girecek.
4) Süreç Standardizasyonu
Farklı ekiplerin (BT, hukuk, satınalma, operasyon) aynı dili konuşmasını sağlar. Sözleşme, onboarding kontrol listesiyle birleştiğinde “kurumsal standarda” dönüşür.
Veri işleyen sözleşmesi; veri güvenliği yatırımlarının “görünür ve yönetilebilir” hale gelmesini sağlar. Doğru kurgulanırsa itibar ve süreklilik kazandırır; zayıf kurgulanırsa denetim, şikâyet ve operasyonel kesinti riski büyütür.
9) Sık Sorulan Sorular
Veri işleyen sözleşmesi “her tedarikçi için” zorunlu mu?
Tedarikçi sizin adınıza kişisel veri işliyorsa pratikte sözleşme mimarisi şarttır. Buradaki kritik nokta, sözleşmenin kapsamının risk seviyesine göre ölçeklenmesidir.
Sözleşmede “gerekli tedbirler alınacaktır” yazmak yeterli mi?
Genelde hayır. Denetimde ve olay anında işleyen şey, somut kontrol setidir (erişim, log, yedek, şifreleme, ihlal prosedürü vb.). Bu yüzden Ek-2 gibi net bir tedbir listesi kurmak gerekir.
Alt işleyenleri kontrol etmek neden bu kadar önemli?
Çünkü veri çoğu zaman zincir şeklinde ilerler. Alt işleyen yönetimi yoksa, veri akışının gerçek haritası görünmez; özellikle bulut ve destek süreçlerinde lokasyon/aktarım riski artar.
Yurt dışı aktarım varsa sözleşmede ne değişir?
Aktarımın yapıldığı ülke/lokasyon, mekanizma, standart sözleşme/kurumsal kural/uygun güvence gibi unsurların sözleşme ve eklerle uyumlu tasarlanması gerekir. “Genel aktarım izni” yaklaşımı sürdürülebilir değildir.
Doğru Sözleşme, Uyumun “İspat” Katmanını Güçlendirir
Veri işleyen sözleşmesini; metin üretimi değil, risk yönetimi ve tedarikçi yönetişimi olarak tasarlayın. Sözleşme + kontrol seti + kayıt/izleme birlikte çalıştığında sürdürülebilir uyum oluşur.
Resmî kaynak olarak KVKK’nın tanımlar (veri sorumlusu / veri işleyen) ve veri güvenliği yükümlülükleri ile yurt dışı aktarım rejimine ilişkin Kurum içerikleri incelenmelidir.
