format_list_bulletedBu İçerikte Bahsedilen Konular
- arrow_rightVeri Gizliliği Sözleşmesi (DPA) Nedir?
- arrow_rightHosting Hizmetlerinde DPA'nın Önemi
- arrow_rightDPA Neden Zorunludur?
- arrow_rightDPA Kapsamında Veri Türleri
- arrow_rightİşlenen Başlıca Veri Kategorileri
- arrow_rightHosting DPA'sında Bulunması Gereken Temel Maddeler
- arrow_right1. Tarafların Tanımlanması ve Sorumluluklar
- arrow_right2. Veri İşleme Kapsamı ve Amaçları
- arrow_right3. Veri Güvenliği Önlemleri
- arrow_right4. Alt İşleyen Kullanımı
- arrow_right5. Veri Transferi Kuralları
- arrow_rightDPA ile Gizlilik Politikası Arasındaki Farklar
- arrow_rightHosting Şirketi Seçiminde DPA Kriterleri
- arrow_rightDPA İhlali Durumunda Yaptırımlar
- arrow_rightİhlal Durumunda Yapılması Gerekenler
- arrow_rightDPA Oluştururken Dikkat Edilmesi Gerekenler
- arrow_right1. Hukuki Danışmanlık
- arrow_right2. Düzenli Gözden Geçirme
- arrow_right3. Şeffaf İletişim
- arrow_rightSonuç
Veri Gizliliği Sözleşmesi (DPA) Nedir?
Veri Gizliliği Sözleşmesi (Data Processing Agreement - DPA), bir işletmenin kişisel verilerini işleyen tedarikçiler ve hizmet sağlayıcıları ile arasında imzalanan yasal bir belgedir. Hosting hizmetleri açısından DPA, web barındırma şirketinin müşterilerinin verilerini nasıl işleyeceğini, saklayacağını ve koruyacağını detaylı olarak tanımlayan sözleşmedir. Bu sözleşme, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) gibi düzenlemelerin gerektirdiği yükümlülüklerin yerine getirilmesini sağlar.
Hosting Hizmetlerinde DPA'nın Önemi
Hosting sektöründe DPA'nın kritik bir öneme sahip olmasının temel nedeni, veri işleyen (data processor) ile veri sorumlusu (data controller) arasındaki ilişkinin düzenlenmesidir. Bir sunucu altyapısı sağlayan şirket, müşterilerinin kişisel verilerini işleyen taraf konumundadır. Bu nedenle hosting hizmeti satın alan işletmeler, tedarikçileriyle mutlaka DPA imzalamalıdır.
Araştırmalara göre, veri ihlallerinin %28'i üçüncü taraf tedarikçilerden kaynaklanmaktadır. Bu istatistik, hosting sağlayıcıları ile yapılan sözleşmelerin ne denli kritik olduğunu açıkça göstermektedir.
DPA Neden Zorunludur?
KVKK ve GDPR gibi veri koruma mevzuatları, veri sorumlularının veri işleyenlerle yazılı sözleşme yapmasını zorunlu kılmaktadır. Bu zorunluluk yerine getirilmezse:
- Yasal para cezaları uygulanabilir
- Veri ihlali durumunda sorumluluk artar
- Müşteri güveni zedelenir
- İş sürekliliği risk altına girer
DPA Kapsamında Veri Türleri
Hosting hizmetlerinde işlenen kişisel veriler oldukça çeşitlidir ve bu verilerin korunması DPA'nın temel hedefidir.
İşlenen Başlıca Veri Kategorileri
| Veri Kategorisi | Örnekler | Koruma Seviyesi |
|---|---|---|
| Kimlik Verileri | Ad, soyad, T.C. kimlik numarası | Yüksek |
| İletişim Verileri | E-posta, telefon, adres | Yüksek |
| Finansal Veriler | Ödeme bilgileri, fatura verileri | Çok Yüksek |
| Teknik Veriler | IP adresi, tarayıcı bilgileri | Orta |
| Kullanım Verileri | Site trafiği, oturum süreleri | Orta |
Hosting DPA'sında Bulunması Gereken Temel Maddeler
Etkili bir Veri Gizliliği Sözleşmesi, hem veri sorumlusu hem de veri işleyen haklarını ve yükümlülüklerini net bir şekilde tanımlamalıdır.
1. Tarafların Tanımlanması ve Sorumluluklar
Sözleşmede veri sorumlusu (müşteri) ve veri işleyen (hosting sağlayıcısı) açıkça tanımlanmalıdır. Her iki tarafın veri koruma yükümlülükleri detaylı şekilde belirtilmelidir. Veri sorumlusu, verilerin işlenme amaçlarını ve hukuki dayanaklarını bildirmekle yükümlüdür.
2. Veri İşleme Kapsamı ve Amaçları
Hangi verilerin, hangi amaçla ve ne kadar süreyle işleneceği DPA'da açıkça belirtilmelidir. Sunucu altyapısı ve barındırma hizmetleri bağlamında, veri işleme faaliyetleri şunları içerebilir:
- Web sitesi barındırma ve veri depolama
- E-posta hizmetleri ve iletişim
- Veritabanı yönetimi ve yedekleme
- Alan adı kayıt ve yönetimi
- Güvenlik duvarı ve tehdit koruma hizmetleri
3. Veri Güvenliği Önlemleri
DPA, hosting sağlayıcısının alacağı teknik ve idari güvenlik önlemlerini detaylı olarak tanımlamalıdır. Bu önlemler şunları kapsamalıdır:
- Erişim Kontrolü: Yetkisiz erişimin engellenmesi için rol tabanlı erişim sistemleri
- Şifreleme: Aktarım halindeki ve durağan verilerin şifrelenmesi (TLS/SSL)
- Yedekleme: Düzenli ve güvenli veri yedekleme prosedürleri
- Denetim: Güvenlik denetimleri ve penetrasyon testleri
- Olay Müdahale: Veri ihlali durumunda izlenecek prosedürler
4. Alt İşleyen Kullanımı
Hosting sağlayıcısının alt işleyen (sub-processor) kullanması durumunda, bu durumun nasıl yönetileceği DPA'da düzenlenmelidir. Alt işleyenlerin de aynı veri koruma standartlarına uyması sağlanmalıdır.
5. Veri Transferi Kuralları
Verilerin farklı ülkelere aktarılması durumunda, bu transferlerin yasal dayanağı DPA'da belirtilmelidir. GDPR kapsamında yeterli koruma sağlayan ülkelere veyaStandart Sözleşme Maddeleri (SCC) kullanılarak veri transferi yapılmalıdır.
DPA ile Gizlilik Politikası Arasındaki Farklar
Birçok kişi DPA ile gizlilik politikasını karıştırmaktadır. Oysa bu iki belge farklı amaçlara hizmet eder.
| Özellik | Veri Gizliliği Sözleşmesi (DPA) | Gizlilik Politikası |
|---|---|---|
| Hukuki Nitelik | İki taraflı sözleşme | Tek taraflı açıklama |
| Taraflar | Veri sorumlusu + Veri işleyen | Web sitesi ziyaretçileri |
| Odak Noktası | Veri işleme koşulları | Veri toplama pratikleri |
| Yaptırım | Sözleşmesel yükümlülükler | Yasal şeffaflık gerekliliği |
Hosting Şirketi Seçiminde DPA Kriterleri
Domain ve hosting hizmeti satın alırken DPA konusunda dikkat edilmesi gereken kriterler şunlardır:
- KVKK Uyumu: Hosting şirketinin Türkiye KVKK mevzuatına uyumlu olması
- GDPR Uyumu: Uluslararası müşterileriniz varsa GDPR uyumu da gereklidir
- Veri Merkezi Konumu: Verilerin hangi ülkede saklandığının netleştirilmesi
- Sertifikasyonlar: ISO 27001, SOC 2 gibi güvenlik sertifikalarının varlığı
- Şeffaflık: Veri işleme süreçlerinin açıkça raporlanması
DPA İhlali Durumunda Yaptırımlar
Veri Gizliliği Sözleşmesi'nin ihlali durumunda ciddi yaptırımlar uygulanabilir. GDPR kapsamında para cezaları yıllık cirosunun %4'üne kadar çıkabilir. KVKK kapsamında ise 2024 itibarıyla idari para cezaları 50.000 TL'den başlamakta ve artan ihlal durumlarına göre yükselmektedir.
İhlal Durumunda Yapılması Gerekenler
Hosting sağlayıcısının veri ihlali gerçekleştirmesi durumunda DPA'da belirlenen süre içinde veri sorumlusuna bildirim yapması gerekmektedir. Bu bildirim şunları içermelidir:
- İhlalin niteliği ve kapsamı
- Etkilenen veri kategorileri ve sayısı
- Olası sonuçlar
- Alınan veya alınacak tedbirler
DPA Oluştururken Dikkat Edilmesi Gerekenler
Etkili bir Veri Gizliliği Sözleşmesi hazırlanırken aşağıdaki hususlara dikkat edilmelidir:
1. Hukuki Danışmanlık
DPA, hukuki nitelik taşıyan bir sözleşmedir. DNS güvenliği ve altyapı güvenliği konularında uzmanlaşmış hukuki danışmanlardan destek alınması önerilir. Her işletmenin veri işleme süreçleri farklı olduğundan, standart şablonlar yerine özelleştirilmiş DPA'lar hazırlanmalıdır.
2. Düzenli Gözden Geçirme
Veri koruma mevzuatı sürekli değişmektedir. DPA'ların en az yılda bir kez gözden geçirilmesi ve güncellenmesi gerekmektedir. Özellikle yeni düzenlemeler veya iş modeli değişiklikleri sonrası güncelleme yapılmalıdır.
3. Şeffaf İletişim
Hosting sağlayıcınızla açık ve düzenli iletişim kurmak, DPA'nın etkinliğini artırır. Veri işleme süreçlerindeki değişiklikler zamanında bildirilmeli ve onay alınmalıdır.
Sonuç
Veri Gizliliği Sözleşmesi (DPA), modern dijital iş dünyasının vazgeçilmez bir bileşenidir. Sunucu yönetimi ve hosting hizmetleri alanında faaliyet gösteren işletmeler için DPA, yalnızca yasal bir zorunluluk değil, aynı zamanda müşteri güveninin temel taşıdır. Doğru hazırlanmış bir DPA, veri ihlallerini önler, yasal riskleri minimize eder ve işletmenizin itibarını korur.
Unutmayın: Veri koruma, bir süreçtir; tek seferlik bir sözleşme değil. Sürekli denetim, güncelleme ve iyileştirme, etkili bir veri koruma stratejisinin anahtarlarıdır.
