Когда контролер данных получает аутсорсинговые услуги (облако, колл-центр, бухгалтерский учет), он/она заключает договор с «обработчиком данных». Статья 12 КВКК.
Обязанности обработчика данных
- Соблюдение инструкций контролера данных
- Меры безопасности
- Не использовать персональные данные для целей, отличных от договорных целей
- Уничтожение или возврат в конце периода
- Письменное разрешение на использование субобработчиков данных
Содержание Соглашение
- Категории данных, подлежащих обработке
- Цель обработки
- Продолжительность
- Меры безопасности
- Процесс уведомления о нарушениях
- Ответ на соответствующие запросы лиц
- Право на аудит
- Процесс возврата/уничтожения
Последующая ответственность
- Основная ответственность за контроллер данных
- Обработчик данных, с свои договорные обязательства, ответственные за его ответственность.
- Соответствующее лицо может подать заявку на оба варианта.
Пример поставщика облачных услуг.
- Облачные сервисы, такие как AWS, Azure, GCP, «обрабатывают данные».
- Стандартного контракта может быть недостаточно.
- Может потребоваться дополнительный протокол в Турции.
- Важно расположение данных (внутреннее/международное).
KVKK Board Решение
Правление KVKK считает «отсутствие соглашения об обработке данных» у контролеров данных при аутсорсинге нарушением и даже наказывает компании, которые используют облачных провайдеров, но не подписывают контракт.
Практические рекомендации
- Письменный договор со всеми сторонними поставщиками
- Дополнительный протокол DPA (Соглашение об обработке данных)
- Право на проведение ежегодного аудита
- Добавьте процедуру вмешательства при нарушении