Veri İşleme Anlaşmalarının Arkasındaki Gerçek: Efsaneler ve Gerçekler

Soru: Veri İşleme Anlaşmasına kimlerin ve neden ihtiyaçları vardır?

Veri İşleme Anlaşması (Data Processing Agreement), Veri İşlemcisi Anlaşması veya Veri İşleme Eki (Data Processor Agreement or Data Processing Addendum) olarak da bilinir ve diğer şeylerin yanı sıra veri işleme prosedürlerini, güvenlik yöntemlerini ve “veri sahibi haklarını” tanımlayan bir anlaşmadır. Veri İşleme Anlaşmaları, bir veri denetleyicisi (kiralayan taraf şirket) ile bir veri işlemcisi (genellikle bir hizmet sağlayıcı) arasındadır ve Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Regulation-GDPR), Madde 28 ve ayrıca bireysel eyalet yasaları uyarınca yönetilir.

Veri İşleme Anlaşması neredeyse her zaman ayrı bir hizmet anlaşmasının parçası olarak müzakere edilir. Ancak bir Veri İşleme Anlaşmasının rolü, şirketlerin veri güvenliği olaylarını önleme konusunda uyumlu ve korumalı olmasını sağlamaya yardımcı olmaktan daha fazlasıdır. Veri İşleme Anlaşmaları, ayrıca bir şirketin daha büyük veri gizliliği uyum programı ve kişisel olarak tanımlanabilir bilgileri (personally identifiably information) ve hassas bilgileri işleme yönergeleri için de önemli bir araçtır ki; bunlar bir kişinin adından, telefon numarasından, sosyal güvenlik numarasından, elektronik posta adresinden biyometrik verilere ve konum etiketlerine kadar her şeydir.

Avukatlar, genellikle teknoloji hukuku ve genel olarak veri gizliliği konusunda değişen karmaşıklık seviyeleri nedeniyle Amerika Birleşik Devletleri (ABD) Gizlilik Yasaları hakkında öznel yorumlarda bulunabilirler. Genellikle şu soru ortaya çıkar: Bir hizmet sözleşmesinin parçası olarak bir Veri İşleme Anlaşması gerekli midir? Bunu yanıtlamanıza yardımcı olmak için, Veri İşleme Anlaşmaları hakkındaki bazı temel efsaneleri çürütmek istiyoruz.

Efsane #1: Şirket yalnızca ABD’de faaliyet gösteriyorsa Veri Gizliliği Anlaşmasına ihtiyacınız yoktur

Kişisel verilere bir hizmet sağlayıcı tarafından erişildiğinde Veri İşleme Anlaşması en iyi uygulama olmakla kalmaz, aynı zamanda Kaliforniya (California Consumer Privacy Act-CCPA), Virginia (Consumer Data Protection Act-CDPA), Colorado (Colorado Privacy Act-CPA), Connecticut (Connecticut Data Privacy Act-CTDPA), Utah (Utah Consumer Privacy Act-UCPA), Delaware (Delaware Personal Data Privacy Act-DPDPA), New York (Stop Hacks and Improve Electronic Data Security Act-SHIELD) Yasası ve diğerleri de dâhil olmak üzere birçok ABD eyaletinde bir veri işleme sözleşmesi de gereklidir.

Amerika Birleşik Devletleri’nin, şu anda Kongre’de bulunan Amerikan Gizlilik Hakları Yasası (American Privacy Rights Act[1]) başlıklı veri gizliliğini düzenleyen bir federal yasa üzerinde çalıştığı dikkat çekicidir. Bu federal gizlilik yasasının geçip geçmeyeceğini bilmesek de, ABD’nin tüm eyaletlerin mevcut eyalet gizlilik yasalarını geçersiz kılacak bir dizi veri gizliliği yasasına tabi olmasını istediği açıktır.

Washington eyaleti yakın zamanda 31 Mart 2024 tarihinde, aksi takdirde Federal Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası’na (Health Insurance Portability and Accountability Act-HIPAA) uyması gerekmeyecek şirketler tarafından toplanan tüketici sağlık verilerini kapsayan My Health My Data Act’i (Sağlık Verilerim Yasası) geçirmiştir. Bu Yasa, Washington Tüketici Koruma Yasası (Washington Consumer Protection Act-WCPA) kapsamında yeni bir dava patlamasının kapısını açmaktadır. Illinois eyaletinin Biyometrik Bilgi Gizliliği Yasası (Biometric Information Privacy Act-BIPA) da, binlerce toplu dava da dâhil olmak üzere bir dizi davaya yol açan bir veri gizliliği yasasının başka bir örneğidir.

Sadece ABD’de faaliyet gösteren işletmeler için çıkarım, kişisel verilerin işlenme ihtimali varsa bir Veri İşleme Anlaşmasına sahip olmaları gerektiğidir.

Efsane #2: ‘Şablon’ Veri İşleme Anlaşması kullanmak iyidir

Veri İşleme Anlaşmaları tek tip bir belge değildir ve kesinlikle müzakere edilmelidir. Etkili Veri İşleme Anlaşmaları, sağlanan belirli hizmete ve veri işleme faaliyetlerinin kapsamına göre uyarlanır. Şirketin risk profiline bağlı olarak, Veri İşleme Anlaşmaları içerik açısından büyük ölçüde farklılık gösterebilir.

Genel bir şablon Veri İşleme Anlaşmasının kullanımı (ister müşteri, ister hizmet sağlayıcı veya başka bir yer tarafından sağlansın) gereğinden fazla kısıtlama getirebilir veya önemli prosedürleri içermeyebilir. Her iki durum da uygun veri güvenliği protokollerine uyulmamasına yol açar ve şirketi disiplin işlemlerine, davalara ve para cezalarına maruz bırakır.

Yukarıdakiler, veri işleme anlaşmalarının, kapsam, risk ve verilerin işlenme biçimini çevreleyen yasalar dâhil olmak üzere, bireysel veri denetleyicisi ve işlemci arasındaki benzersiz çerçeveye göre uyarlanmasının önemini göstermektedir. İş Beyanı veya İş Emri iyi başlangıç noktalarıdır.

Efsane #3: Veri İşleme Anlaşmaları Gizlilik İhlali Davalarına karşı tam bir kalkan sağlar

Bir Veri İşleme Anlaşması, tüm veri ihlali sorumluluklarına karşı bir sığınak değildir, ancak veri ihlallerine yol açan siber güvenlik olayları için açılan davalara karşı bir savunma sağlayabilir. Bu, nihayetinde Veri İşleme Anlaşmasının iyi bir şekilde hazırlanması ve bir ana hizmet sözleşmesi, bir ana Yazılım Hizmeti (Software-as-a-Service; SaaS) Sözleşmesi veya Son Kullanıcı Lisans Sözleşmesi (End-User Licence Agreement-EULA) ile birlikte dikkatlice müzakere edilmesi gereken en önemli nedendir. Hizmet sözleşmesi ve herhangi bir Çalışma Beyanı, Hizmet Seviyesi Anlaşması, İş Ortağı Anlaşması (varsa) ve Veri İşleme Anlaşması, siber güvenliği kapsayan sağlam bir sorumluluk sınırlaması hükmü ve güvenlik olayları için bir tazminat hükmüne sahip olmaya dikkat edilerek birlikte yasal incelemeden geçmelidir.

Kuruluş için veri gizliliği en iyi uygulamalarımızı tamamlamak için, bir Veri İşleme Anlaşmasına sahip olmanın yanı sıra, şirket içi hukuk ekibiniz veya dış danışmanınız da bir Dâhili Risk Değerlendirmesine öncülük etmeli ve en az yılda bir güncellenen bir siber güvenlik uyum çerçevesine sahip olmalıdır. Bu, şirketiniz, satıcılarınız ve müşterileriniz için siber risk açıklarını rutin olarak ele almanızı ve gelişen veri gizliliği yasalarına uymanızı sağlar.

Efsane #4: Yalnızca büyük kuruluşların Veri İşleme Anlaşmalarına ihtiyaçları vardır

İster bir startup olun ister 40 milyar dolarlık bir işletme, işletmeler arasında veri toplanıp işlendiğinde Veri İşleme Anlaşmaları imzalanmalıdır. Başka bir deyişle, kişisel verileri toplayan, işleyen, saklayan veya aktaran ya da bir hizmet sağlayıcısı olan herhangi bir kuruluş, şirketin büyüklüğünden bağımsız olarak bir Veri İşleme Anlaşmasına sahip olmalıdır.

2024 yılında bir veri ihlalinin ortalama maliyetinin 4,88 milyon dolar olmasıyla, 2023’e göre yüzde 10 artışla, veri güvenliği endişeleri küçük şirketler için de akılda en üstte yer almalıdır, çünkü tek bir siber güvenlik olayıyla işlerinden olabilirler. Bir Veri İşleme Anlaşması, şu anda sizden istenmese bile, cephaneliğinizde bulundurmanız gereken güçlü bir araçtır. Bir Veri İşleme Anlaşması, bir güvenlik ihlali söz konusu olduğunda sizi korumaya yardımcı olmakla kalmaz, bir Veri İşleme Anlaşmasının yürürlükte olması, bir şirketin veri gizliliği en iyi uygulamalarına olan bağlılığını kanıtladığı için müşteriler ve ortaklarla güven oluşturur. Bu, onlara müşteri ve çalışan verilerini koruma konusunda ciddi olduğunuzu gösterir.

Efsane #5: Veri İşleme Anlaşmaları tek seferlik, bağımsız belgelerdir

Veri İşleme Anlaşmaları statik anlaşmalar değildir. Yani, bunlar tek seferlik bir görev değildir. Veri Gizliliği Yasaları, hizmet sağlayıcıların veri işleme davranışları gibi sürekli olarak gelişmektedir. Veri İşleme Anlaşmalarının yasalar, kuruluşun ilişkileri ve veri işleme faaliyetlerindeki değişikliklerle güncel kalabilmeleri için düzenli yasal incelemelere ve güncellemelere ihtiyaçları vardır. Örneğin, sınır ötesi veri transferlerinin düzenlemelere nasıl uyduğuna ilişkin ayrıntılarda, Standart Sözleşme Hükümlerine (Standard Contractual Clauses), Bağlayıcı Şirket Kurallarına (Binding Corporate Rules), Yeterlilik Kararlarına (Adequacy Decisions), alt işlemcinin kullanımıyla ilgili prosedürlere ve alt işlemci listesinin güncellenmesine güvenmek gibi değişiklikler olması muhtemeldir.

Veri İşleme Anlaşmaları yalnızca düzenli güncellemeler gerektiren yaşayan, nefes alan belgeler olmakla kalmaz, aynı zamanda bağımsız belgeler de değildir. Veri İşleme Anlaşmaları, üçüncü taraf bir hizmet sağlayıcıyla ayrı bir hizmet sözleşmesinin parçası olarak kullanılır ve bu hizmet sözleşmesi ve geçerli tüm çalışma beyanları veya İş Emirleri ile birlikte incelenmeli ve müzakere edilmelidir.

Sonuç

İster büyük bir çokuluslu şirket olun, ister hızla büyüyen küçük veya orta ölçekli bir işletme olun, ister veri denetleyicisi ister veri işlemcisi olun, Veri İşleme Anlaşmasının ne zaman ve nasıl kullanılacağı da dâhil olmak üzere Veri İşleme Anlaşmaları etrafındaki efsaneleri anlamak, veri işleme faaliyetleriniz ve en güncel veri koruma yasalarına uyumunuz için temeldir.

Bu makaleden çıkarılacak en önemli ders, Veri İşleme Anlaşmanızın her veri işleme ilişkisinin benzersiz bağlamını doğru bir şekilde yansıttığından ve siber saldırıları ve güvenlik ihlallerini en aza indirdiğinden emin olmanız gerektiğidir.

[1] <https://www.commerce.senate.gov/services/files/E7D2864C-64C3-49D3-BC1E-6AB41DE863F5>

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.