عندما يتلقى مراقب البيانات خدمات خارجية (السحابة، مركز الاتصال، المحاسبة)، فإنه يبرم عقدًا مع "معالج البيانات". المادة 12 من KVKK.
التزامات معالج البيانات
- الامتثال لتعليمات مراقب البيانات
- التدابير الأمنية
- عدم استخدام البيانات الشخصية لأغراض أخرى غير الغرض التعاقدي
- الإتلاف أو الإرجاع في نهاية الفترة
- الموافقة الكتابية على استخدام معالجي البيانات الفرعية
محتوى الاتفاقية
- فئات البيانات المطلوب معالجتها
- الغرض من المعالجة
- المدة
- التدابير الأمنية
- عملية الإبلاغ عن الانتهاك
- الاستجابة لطلبات الأشخاص ذوي الصلة
- الحق في التدقيق
- عملية الإرجاع/التدمير
المسؤولية اللاحقة
- مراقب البيانات في المقام الأول المسؤول
- معالج البيانات، مع التزامه التعاقدي بالمسؤولية
- يمكن للشخص المعني التقدم لكليهما
مثال لموفر السحابة
- الخدمات السحابية مثل AWS وAzure وGCP "بيانات المعالجة"
- قد يكون العقد القياسي غير كافٍ
- قد يلزم بروتوكول إضافي تركي
- موقع البيانات (محلي/دولي) هو مهم
قرار مجلس إدارة KVKK
يعتبر مجلس إدارة KVKK أن "عدم وجود اتفاقية معالجة بيانات" لمراقبي البيانات في الاستعانة بمصادر خارجية يعد انتهاكًا، بل ويعاقب الشركات التي تستخدم موفري الخدمات السحابية ولكن لا توقع عقدًا.
توصيات عملية
- عقد مكتوب مع جميع موفري الطرف الثالث
- DPA (معالجة البيانات) الاتفاقية) بروتوكول إضافي
- الحق في التدقيق السنوي، احتفظ به
- أضف إجراء التدخل للمخالفة
محامي خبير KVKK موصى به.