GDPR uyumlu hosting diye bir şey duyduysanız, aslında arkasındaki en önemli belge şudur:
Data Processing Agreement (DPA) — Veri İşleme Sözleşmesi.
Birçok şirket GDPR uyumlu olduğunu düşünür ama hosting sağlayıcısı ile DPA imzalamadığı için aslında uyumlu değildir.
1. DPA Nedir?
DPA (Data Processing Agreement), kişisel verileri işleyen taraf ile verinin sahibi olan taraf arasında yapılan sözleşmedir.
| Rol | Kim |
|---|---|
| Data Controller | Siz |
| Data Processor | Hosting sağlayıcısı |
GDPR Article 28’e göre bu sözleşme zorunludur.
2. DPA Zorunlu mu?
Hosting sağlayıcınız aşağıdakilere erişebiliyorsa:
- İsim
- E-posta
- IP adresi
- Sipariş bilgileri
- Kullanıcı hesapları
Cevap: Evet, zorunlu
3. DPA Olmazsa Ne Olur?
- GDPR uyumsuzluğu
- Veri ihlali sorumluluğu
- Para cezası
GDPR cezaları: Şirket cirosunun %4’üne kadar çıkabilir.
4. DPA İçinde Olması Gereken Maddeler
| Madde | Açıklama |
|---|---|
| Veri sadece talimatla işlenir | Hosting veriyi kullanamaz |
| Gizlilik | Yetkisiz erişim yok |
| Güvenlik önlemleri | Şifreleme, erişim kontrolü |
| Sub-processor listesi | Alt yükleniciler |
| Veri ihlali bildirimi | 72 saat |
| Veri silme | Sözleşme sonunda |
| Denetim hakkı | Audit |
| Veri lokasyonu | Veri nerede |
5. Sub-processor Nedir?
Hosting sağlayıcınız şu hizmetleri kullanabilir:
- Veri merkezi
- CDN
- Backup
- E-posta servisleri
Bunlara sub-processor denir ve listelenmelidir.
6. Veri EU Dışına Çıkarsa
EU dışına veri aktarımı için: SCC (Standard Contractual Clauses) gerekir.
7. Hosting Seçim Checklist
- DPA var mı?
- Veri EU’da mı?
- Sub-processor listesi var mı?
- Veri ihlali bildirimi var mı?
- Veri silme politikası var mı?
- SCC sağlanıyor mu?
8. En Büyük Yanlış
Yanlış: “Sunucu EU’da, GDPR tamam.”
Doğru: DPA yoksa GDPR yok.
9. Sonuç
GDPR uyumu için:
- DPA şart
- Veri lokasyonu önemli
- Hosting tek başına yeterli değil
En kritik cümle:
GDPR uyumlu hosting diye bir şey yoktur. GDPR uyumlu sözleşme vardır.