Wenn der Datenverantwortliche ausgelagerte Dienste (Cloud, Callcenter, Buchhaltung) erhält, schließt er/sie einen Vertrag mit dem „Datenverarbeiter“ ab. KVKK Artikel 12.
Pflichten des Datenverarbeiters
- Einhaltung der Anweisungen des Datenverarbeiters
- Sicherheitsmaßnahmen
- Keine Verwendung personenbezogener Daten für andere Zwecke als den Vertragszweck
- Vernichtung oder Rückgabe am Ende der Frist
- Schriftliche Genehmigung für den Einsatz von Unterauftragsverarbeitern
Inhalt der Vereinbarung
- Kategorien der zu verarbeitenden Daten
- Zweck der Verarbeitung
- Dauer
- Sicherheitsmaßnahmen
- Prozess zur Meldung von Verstößen
- Reaktion auf Anfragen relevanter Personen
- Recht auf Prüfung
- Rückgabe-/Vernichtungsprozess
Nachträgliche Haftung
- Hauptverantwortlicher für die Datenverarbeitung
- Datenverarbeiter, mit seine vertragliche Verpflichtung ist verantwortlich
- Die relevante Person kann sich bei beiden bewerben
Beispiel eines Cloud-Anbieters
- Cloud-Dienste wie AWS, Azure, GCP „verarbeiten Daten“
- Standardvertrag reicht möglicherweise nicht aus
- Türkisches Zusatzprotokoll kann erforderlich sein
- Datenstandort (inländisch/international) ist wichtig
Entscheidung des KVKK-Vorstands
Der KVKK-Vorstand betrachtet das „Fehlen einer Datenverarbeitungsvereinbarung“ durch Datenverantwortliche beim Outsourcing als Verstoß und bestraft sogar Unternehmen, die Cloud-Anbieter nutzen, aber keinen Vertrag unterzeichnen.
Praktische Empfehlungen
- Schriftlicher Vertrag mit allen Drittanbietern
- DPA (Datenverarbeitungsvereinbarung)-Zusatzprotokoll
- Recht auf jährliche Prüfung behalten
- Fügen Sie ein Interventionsverfahren bei Verstößen hinzu
KVKK-Fachanwalt empfohlen.