DPA ile gizlilik sözleşmesi (NDA) aynı şey mi?

Hayır. NDA genel gizlilik yükümlülüklerini düzenler; DPA ise kişisel verilerin hangi amaçla, hangi kapsamla ve hangi güvenlik/denetim şartlarıyla işleneceğini ve GDPR Madde 28’e göre işlemci yükümlülüklerini ayrıntılı biçimde düzenler.

Bulut hizmeti alırken DPA imzalamak zorunda mıyım?

Kişisel verileriniz bir üçüncü taraf (ör. bulut sağlayıcı) tarafından sizin adınıza işlenecekse, kontrolör–işlemci ilişkisi doğar ve DPA (veya eşdeğer sözleşme maddeleri) gereklidir.

İhlal işlemci tarafında olursa kontrolör sorumluluktan kurtulur mu?

Genellikle hayır. Kontrolör; uygun işlemci seçimi, sözleşme ile yeterli garantileri alma ve denetim/izleme yükümlülükleri kapsamında değerlendirilir. Bu nedenle DPA; bildirim süreleri, teknik/idari tedbirler ve sorumluluk paylaşımını netleştirmelidir.

Veri İşleme Sözleşmesi (DPA) Nedir? GDPR Madde 28’e Uygun Rehber

GDPR · DPA · Kontrolör & İşlemci

Veri İşleme Sözleşmesi (DPA) Nedir? GDPR’de Kontrolör–İşlemci İlişkisini Güvenceye Alan Rehber

Veri işleme sözleşmesi (Data Processing Agreement – DPA); bir veri denetleyicisi (kontrolör) ile veri işleyeni (işlemci) arasında yazılı veya elektronik şekilde kurulan, yasal olarak bağlayıcı bir belgedir. DPA; veri işlemenin kapsamı, amacı, süresi, işlenen veri türleri ve tarafların güvenlik/uyum yükümlülüklerini düzenleyerek kontrolör–işlemci ilişkisini netleştirir.

Özellikle dış kaynak kullanımı (bulut hizmetleri, barındırma/hosting, CRM, çağrı merkezi, e-posta pazarlama, yazılım geliştirme, IT destek, bordro, veri analitiği vb.) durumlarında kişisel veriler üçüncü bir tarafça işlendiği için DPA, hem hukuki uygunluk hem de risk yönetimi açısından kritik bir rol oynar.

GDPR Dayanak & Zorunlu Maddeler DPA Kontrol Listesi

İçindekiler 1. Hukuki Dayanak: GDPR Madde 28 ve DPA Zorunluluğu 2. DPA Nedir? Kapsamı, Taraflar ve Temel Kavramlar 3. DPA’da Olmazsa Olmaz Maddeler: Güvenlik, Denetim, İhlal Bildirimi 4. Ne Zaman İmzalanır? Tipik Dış Kaynak Senaryoları 5. Riskler, En İyi Uygulamalar ve Sözleşme Kontrol Listesi 6. Sık Sorulan Sorular

Hızlı Özet

DPA nedir? Kontrolör–işlemci arasında kişisel veri işleme şartlarını belirleyen bağlayıcı sözleşme.
Neden önemli? İşlemcinin yeterli güvence verdiğinin ispatı + veri ihlali riskinin azaltılması.
Ne zaman? Bir üçüncü taraf verileri sizin adınıza işleyecekse (ör. bulut sağlayıcı).
En kritik noktalar: Talimatlara bağlılık, güvenlik tedbirleri, alt işleyici, denetim, ihlal bildirimi, silme/iade.

GDPR Madde 28 Kontrolör-İşlemci Alt İşleyici İhlal Bildirimi

Not: DPA “kağıt üstünde” kalmamalıdır. Sözleşme maddeleri; denetim, raporlama ve operasyonel süreçlerle desteklenmeli; işlemcinin gerçekten yeterli teknik ve idari tedbirleri uyguladığı doğrulanmalıdır.

1. Hukuki Dayanak: GDPR Madde 28 ve DPA Zorunluluğu

GDPR, kontrolörlerin kişisel verilerin korunmasını sağlamak için uygun tedbirleri almasını ve veri işleme faaliyetlerini uyumlu ve denetlenebilir şekilde yürütmesini bekler. Bir kontrolör, belirli veri işleme faaliyetlerini üçüncü bir tarafa devrettiğinde; bu işlemcinin yeterli garantiler sunduğunu gösterebilmelidir.

1.1. Kontrolör Neden İşlemciyi “Seçmekle” Sorumludur?

Dış kaynak kullanımında risk sadece teknik değildir; sözleşme ve yönetişim boyutu da vardır. İşlemci tarafında bir ihlal yaşansa bile, kontrolörün uygun seçim, talimat, denetim ve izleme yükümlülükleri gündeme gelebilir.

1.2. DPA’nın Temel Fonksiyonu

Talimat bağı: İşlemci, verileri kontrolörün talimatları dışında kullanamaz.
Güvence: Güvenlik, gizlilik, ihlal yönetimi ve alt işleyici şartları yazılı hale gelir.
İspat kolaylığı: Denetimlerde “hangi tedbirler, hangi sorumluluklar” sorusunu netleştirir.

Pratik ipucu: DPA’yı tek başına “imzalanmış doküman” olarak değil, satıcı yönetimi süreçlerinin bir parçası (ön değerlendirme, güvenlik soru formu, denetim, raporlama, SLA) olarak ele alın.

2. DPA Nedir? Kapsamı, Taraflar ve Temel Kavramlar

DPA; veri işlemenin “ne, neden, nasıl, ne kadar süre, kimler tarafından ve hangi güvenlik tedbirleriyle” yapıldığını belirleyen bir çerçevedir. Genellikle aşağıdaki unsurlar netleştirilir:

Başlık	DPA’da Ne Netleşir?	Örnek
Kapsam & Amaç	Hangi faaliyet için veri işlenecek, amaç nedir?	Bulut CRM üzerinde müşteri kayıtlarının tutulması
Veri Türleri	İşlenen veri kategorileri ve hassasiyet düzeyi	Kimlik/iletişim, işlem kayıtları, loglar
Taraf Rolleri	Kontrolör kim, işlemci kim, alt işleyici var mı?	Kontrolör: şirket / İşlemci: SaaS sağlayıcı
Güvenlik	Teknik ve idari tedbirler, erişim yönetimi, şifreleme vb.	MFA, loglama, yedekleme, yetki matrisi

Ayrıca kritik bir kontrol noktası şudur: İşlemci, verileri DPA’nın ve dış kaynak kullanımının amacı dışında işleyemez. Bu nedenle sözleşmenin kapsamının, sizin “orijinal yasal dayanağınızdan” daha geniş bir işleme alanı yaratmamasına dikkat edilmelidir.

3. DPA’da Olmazsa Olmaz Maddeler: Güvenlik, Denetim, İhlal Bildirimi

3.1. Talimatlara Uygunluk ve Amaç Sınırlılığı

İşlemci sadece kontrolörün belgelenmiş talimatlarına göre veri işler.
Veri, işlemcinin kendi amaçları için “yeniden kullanım”ına açık kapı bırakılmamalıdır.

3.2. Gizlilik ve Personel Yetkilendirmesi

İşlemci personeli için gizlilik taahhüdü ve “need-to-know” yetkilendirme.
Rol tabanlı erişim (RBAC), ayrıcalıklı erişim ve hesap yönetimi.

3.3. Teknik & İdari Güvenlik Tedbirleri

İşlemcinin “yeterli garanti” sağladığını göstermek için; asgari güvenlik tedbirleri, raporlama biçimi ve uygulanma düzeyi sözleşmede netleşmelidir.

Şifreleme / anahtar yönetimi (uygunsa),
Loglama ve izleme,
Zafiyet yönetimi ve güvenli geliştirme pratikleri,
Yedekleme ve felaket kurtarma,
Erişim kontrolü ve MFA.

3.4. Alt İşleyiciler (Sub-Processor) ve Onay Mekanizması

Alt işleyici kullanımı için ön onay / bildirim ve itiraz modeli.
Alt işleyicilerde de eşdeğer yükümlülüklerin sözleşme ile zorunlu kılınması.

3.5. Veri İhlali Yönetimi ve Bildirim Süresi

İhlal anında “kimin ne yapacağı” belirsizse, 72 saat gibi kritik süreler kaçabilir. DPA’da ihlal bildirimi; süre, içerik, iletişim kanalı ve iş birliği boyutlarıyla düzenlenmelidir.

3.6. Denetim Hakkı ve Uyum Kanıtları

Kontrolörün denetim/inceleme hakkı (yerinde/uzaktan),
Güvenlik raporları, test sonuçları veya bağımsız denetim çıktıları (uygunsa),
Uyum kanıtlarının hangi periyotla paylaşılacağı.

3.7. Sözleşme Sonu: Silme, İade ve İmha

Sözleşme bittiğinde verilerin iadesi veya imhası (kanıt/tutanak modeli dahil),
Yedekler üzerinde imha yaklaşımı ve saklama süreleri.

Önemli uyarı: “Genel şartlar” içeren kısa bir DPA çoğu zaman yeterli olmaz. Sizin işleme amacınız ve veri türlerinizle uyumlu, ölçülü ve denetlenebilir hükümler oluşturun.

4. Ne Zaman İmzalanır? Tipik Dış Kaynak Senaryoları

Kontrolörseniz ve verileriniz bir üçüncü tarafça sizin adınıza işlenecekse DPA imzalanması gerekir. Aşağıdaki örnekler en sık görülen senaryolardır:

4.1. Bulut ve SaaS Hizmetleri

Bulut depolama / yedekleme,
CRM/ERP, e-posta pazarlama, çağrı merkezi platformları,
Log/SIEM, müşteri destek yazılımları.

4.2. IT Operasyon ve Güvenlik Hizmetleri

Yönetilen hizmet sağlayıcı (MSP),
Penetrasyon testi / güvenlik danışmanlığı kapsamında veri erişimi,
Bakım, izleme ve olay müdahalesi hizmetleri.

4.3. İK ve Bordro Dış Kaynak Kullanımı

Bordro, yan hak yönetimi,
İşe alım platformları ve aday yönetimi sistemleri.

İpucu: DPA’yı yalnızca “ana tedarikçi” ile değil; tedarikçinin kullandığı alt işleyiciler ekosistemini de kapsayacak şekilde kurgulayın (bildirim + onay + eşdeğer yükümlülükler).

5. Riskler, En İyi Uygulamalar ve Sözleşme Kontrol Listesi

5.1. Başlıca Riskler

Kapsam kayması: İşlemcinin veriyi kendi amaçları için kullanma riski.
Alt işleyici görünmezliği: Verinin kimlerin elinden geçtiğinin bilinmemesi.
İhlal gecikmesi: Zamanında bildirim yapılmaması ve etkin müdahalenin gecikmesi.
Denetim eksikliği: “Garanti”nin kâğıtta kalması ve ispatlanamaması.

5.2. En İyi Uygulamalar

Ön değerlendirme: Satıcı güvenlik soru formu + veri akış haritalama + risk skoru.
Minimum veri: Gereksiz veri paylaşmamak; erişimleri rol bazlı sınırlamak.
Net bildirim şartları: İhlal bildirimi için süre, içerik, iletişim kanalı ve iş birliği planı.
Denetim planı: Periyodik raporlar, test çıktıları ve gerekirse yerinde denetim.
Çıkış planı: Sözleşme bitince iade/silme ve yedeklerde imha yaklaşımı.

5.3. DPA Kontrol Listesi

Madde	Kontrol Sorusu	Beklenen Netlik
Amaç & Talimat	İşlemci veriyi yalnızca talimatlarla mı işliyor?	Amaç sınırlı, yeniden kullanım kapalı
Güvenlik Tedbirleri	Hangi teknik/idari tedbirler uygulanıyor?	Somut kontrol listesi + raporlama
Alt İşleyici	Alt işleyici listesi ve onay/bildirim var mı?	Onay + eşdeğer yükümlülük
İhlal Bildirimi	Ne kadar sürede, hangi formatta bildirilecek?	Süre, kanal, içerik, iş birliği
Denetim	Kontrolör denetim yapabilecek mi?	Periyot + kapsam + kanıt paylaşımı
Silme/İade	Sözleşme sonunda veri ne olacak?	İade/silme + tutanak/kanıt

Kaynak önerisi: DPA’nın teorik çerçevesi ve uygulama perspektifi için (incelemek isterseniz): dergipark.org.tr/en/download/article-file/1472674 ve ayrıca nesilteknoloji.com/kisisel-verilerin-islenmesi-nedir.

6. Sık Sorulan Sorular

DPA her tedarikçi için zorunlu mu?

Tedarikçi sizin adınıza kişisel veri işliyorsa (işlemci rolündeyse) DPA (veya eşdeğer sözleşme hükümleri) gerekir. Sadece “ürün satışı” gibi veri işleme içermeyen ilişkilerde her zaman gerekli olmayabilir.

İşlemcinin DPA’sı benim yasal dayanağımdan geniş olabilir mi?

Hayır, bu yüksek risk yaratır. İşlemcinin veri kullanım kapsamı, sizin veri işleme amacınız ve dayanağınızla uyumlu ve daha geniş olmayan şekilde sınırlandırılmalıdır.

DPA imzalamak “yeterli güvence” demek midir?

Tek başına imza yeterli değildir. DPA; denetim, raporlama, güvenlik kontrolleri ve operasyonel süreçlerle desteklenmelidir. Satıcı seçimi ve izleme (vendor management) pratikleri bu yüzden kritik önemdedir.

DPA Veri İşleme Sözleşmesi GDPR Madde 28 Kontrolör İşlemci Alt İşleyici Veri İhlali Bildirimi Denetim Hakkı Teknik İdari Tedbirler