Küresel SaaS Şirketleri için Çok‑Yargı Bölgesi Veri İşleme Sözleşmesi Nasıl Oluşturulur

Bir SaaS sağlayıcısı platformunu kıtalararası müşterilere sunduğunda, Veri İşleme Sözleşmesi (DPA), kişisel verilerin nasıl işlendiğini, güvence altına alındığını ve aktarılacağını yöneten hukuki omurgadır. Tek‑yargı bölgesi DPA’sı yerel düzenleyicileri tatmin edebilir, ancak AB’nin GDPR’ı, Kaliforniya’nın CCPA’sı, Brezilya, Singapur gibi diğer veri koruma rejimlerinde kullanıcılarınız varsa uyumsuzluk boşluklarına yol açabilir.

Bu makale, [GDPR]( https://gdpr.eu), [CCPA]( https://oag.ca.gov/privacy/ccpa), [ISO 27701]( https://www.iso.org/standard/71670.html) ve diğer ortaya çıkan gizlilik yasalarının gereksinimlerini aynı anda karşılayan bir DPA taslağının nasıl hazırlanacağını açıklar. Sonuna geldiğinizde, yeniden kullanılabilir bir şablon, yargı‑özeline özgü madde kontrol listesi ve kontrat‑yönetim sisteminize doğrudan gömebileceğiniz görsel bir iş akışı elde edeceksiniz.

Çok‑Yargı Bölgesi DPA’nın Önemi Nedir?

1. Temel Oluşturma – Çekirdek DPA Mimarisi

Yargı‑özeline özgü dili eklemeden önce, tüm sürümlerde aynı kalacak çekirdek yapıyı tasarlayın:

1. Önsöz – Tarafları (Veri Sorumlusu vs. Veri İşleyen) ve işleme amacını tanımlayın.
2. Tanımlar – “Kişisel Veri”, “İşleme”, “Alt‑işleyen” gibi terimlerin ana listesini ekleyin.
3. İşlemenin Kapsamı – Veri kategorileri, işleme faaliyetleri ve süresi hakkında ayrıntı verin.
4. Güvenlik Önlemleri – Dış bir standarda referans verin (ör. [ISO 27701], NIST SP 800‑53).
5. Alt‑işleyen Yönetimi – Denetleme, bildirim ve denetim hakları yükümlülüklerini belirtin.
6. Veri Sahibi Hakları – Erişim, düzeltme, silme ve taşınabilirlik taleplerinin nasıl ele alınacağını düzenleyin.
7. İhlal Bildirimi – Zaman çizelgeleri ve iletişim protokolü.
8. Sınır‑ötesi Transferler – Temel mekanizmalar (Standart Sözleşme Şartları, Bağlayıcı Kurumsal Kurallar).
9. Denetim & İşbirliği – Sorumlunun işleyenin uyumluluğunu denetleme hakları.
10. Süre & Fesih – Sözleşmenin sona erme koşulları ve veri iade/işleme.

Tüm yargı‑özeline özgü maddeler Ek veya Addenda olarak eklenir ve çekirdek bölümlere sayı üzerinden referans verir.

2. Küresel Gizlilik Rejimlerini DPA Maddelerine Haritalama

İpucu: Her maddeyi yargıya göre gereken dili içeren bir tablo oluşturun. Bu tabloyu bir mail‑merge betiğiyle otomatik ek ek oluşturmak için kullanabilirsiniz.

3. Yargı‑Özel Eklerini Taslaklaştırma

Aşağıda GDPR Eki için bir şablon bulunmaktadır. Aynı formatı CCPA, LGPD vb. için tekrarlayın; sadece terminolojiyi ilgili yargıya göre değiştirin.

### Annex A – European Union (GDPR) Specific Provisions

1. **Lawful Basis**  
   The Processor shall only act on documented instructions from the Controller that satisfy one of the GDPR lawful bases (Article 6).  

2. **Data Protection Impact Assessment (DPIA)**  
   The Processor shall assist the Controller in conducting DPIAs for high‑risk processing activities as defined in Article 35.  

3. **International Transfers**  
   All transfers of Personal Data outside the European Economic Area shall be governed by the European Commission’s Standard Contractual Clauses (SCCs) attached as Schedule 1.  

4. **Data Subject Access Requests (DSARs)**  
   The Processor shall respond to DSARs within one (1) calendar month, providing the requested data in a structured, commonly used electronic format.  

5. **Record‑keeping**  
   The Processor shall maintain a processing log in accordance with Article 30 and make it available to the Controller upon request.

Önemli biçim kuralları:

• Madde başlıkları kalın olmalı.
• Her madde çekirdek DPA bölümleriyle aynı numaralandırmaya sahip olmalı.
• Detaylı teknik gereksinimler (örn. şifreleme standartları) Schedule 1 gibi bir ekte referans gösterilmeli.

4. Güvenlik & Teknik Kontroller – Mermaid Çalışma Akışı

  flowchart LR
    subgraph "Data Capture"
        A["User Input (Web/App)"]
    end
    subgraph "Processing Layer"
        B["API Gateway"]
        C["Application Services"]
        D["Database (Encrypted)"]
    end
    subgraph "Security Controls"
        E["TLS 1.3 Transport"]
        F["IAM & RBAC"]
        G["Audit Logging"]
        H["DLP & Malware Scanning"]
    end
    subgraph "External Transfers"
        I["Third‑Party Analytics"]
        J["Backup Cloud (EU)"]
    end

    A -->|HTTPS| E
    E --> B
    B --> F
    F --> C
    C --> D
    D --> G
    C --> H
    D -->|Replication| J
    C -->|Export| I
    I -->|Data‑Processing Agreement| K["Annex‑CCPA"]
    J -->|Standard Contractual Clauses| L["Annex‑GDPR"]

Yorum:

• Tüm gelen istekler TLS 1.3 ile şifrelenir.
• Rol‑tabanlı erişim kontrolleri (RBAC) kimlerin veriyi görebileceğini/kaydedebileceğini sınırlar.
• Denetim günlükleri tüm okuma/yazma işlemlerini yakalar ve uyumluluk için kullanılabilir.
• Veri dış ortamına (ör. analiz hizmetleri) çıktığında, ilgili yargı‑özel ek sözleşmesi devreye girer.

5. Sınır‑ötesi Transfer Araç Kutusu

6. Son Kontrol Listesi

• Tutarlılık – Tüm ekler aynı madde numaralarını çekirdek DPA’ya referans göstermeli.
• Yerelleştirme – Çevirilen terimler (örn. “Kişisel Veri”) tanım listesiyle eşleşmeli.
• Düzenleyici Güncellemeler – GDPR, CCPA, LGPD vb. resmi bültenlerine abone olun.
• Teknik Uyum – DPA’da listelenen güvenlik kontrolleri (şifreleme, IAM) gerçek SaaS mimarisiyle eşleşmeli.
• İmza İş Akışı – DocuSign, HelloSign gibi e‑imza platformlarıyla ek PDF ekleri desteklenmeli.

7. Versiyon Kontrolü ile DPA Oluşturmayı Otomatikleştirme

Modern kontrat ekipleri şablonları kod gibi yönetir. Çekirdek DPA ve her eki bir Git deposunda tutarak:

1. Şubeler (branches) ile yargı‑özel değişiklikler ana şablonu etkilemez.
2. Pull‑request incelemeleri, hem hukuk hem de mühendis ekiplerinin katılımını sağlar.
3. Tag’ler, ürün sürüm döngülerine (ör. v2.3‑DPA‑EU) karşılık gelir.

Aşağıdaki basit CI iş akışı, Markdown’ı PDF’e dönüştürür, Mermaid diyagramını işleme koyar ve nihai sözleşmeyi güvenli bir bucket’a gönderir.

# .github/workflows/dpa.yml
name: Build DPA PDF
on:
  push:
    paths:
      - 'templates/**.md'
jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v3
      - name: Install Pandoc & Mermaid CLI
        run: |
          sudo apt-get install -y pandoc
          npm i -g @mermaid-js/mermaid-cli          
      - name: Render PDF
        run: |
          pandoc templates/dpa.md -o output/dpa.pdf --pdf-engine=xelatex          

8. Gerçek‑Dünya Örneği: Bir SaaS Startup’ının Yolculuğu

Durum: DataFlowX, pazarlama analitiği platformunu AB, ABD ve Brezilya müşterilerine sunuyordu. Başlangıçta yalnızca GDPR’ya atıfta bulunan genel bir DPA kullanıyordu.

Karşılaşılan Sorunlar

• Brezilya müşterileri LGPD‑uyumlu maddeler talep etti; bu da sözleşme yeniden müzakerelerine yol açtı.
• CCPA denetimi, “satışı reddetme” ifadesinin eksik olduğunu ortaya koydu.

Çözüm

1. Yukarıda anlatıldığı gibi bir çekirdek DPA oluşturuldu.
2. EU, US‑CA ve Brezilya için üç ayrı ek (Annex) hazırlandı; her biri ilgili maddeleri içeriyordu.
3. Satış ekiplerinin kullandığı Mermaid iş akışı diyagramı portalda yayımlandı.
4. Git‑tabanlı şablon, CI/CD boru hattına entegre edilerek her yeni müşteri alımında otomatik PDF üretildi.

Sonuç: Sözleşme hazırlama süresi 14 günden 3 güne düştü; uyumluluk denetim bulguları sıfıra indi.

9. Sıkça Sorulan Sorular (SSS)

10. Çıkarımlar

• Sağlam bir çekirdek DPAyla evrensel yükümlülükleri (güvenlik, ihlal, denetim) kapsayın.
• Yargı‑özel ekleri modüler tutarak sözleşmeyi sürdürülebilir kılın.
• Mermaid diyagramlarıyla veri akışlarını görselleştirerek hukuk ve teknik ekipleri hizalayın.
• Versiyon kontrol sistemleriyle güncellemeleri yönetin, değişiklikleri izleyin ve CI/CD sürecine entegre edin.

Bu çerçeveyi izleyerek SaaS şirketleri, uyumlu ve ölçeklenebilir bir DPA ile yeni pazarlara güvenle açılabilir.

İlgili Bağlantılar

• SaaS sağlayıcıları için GDPR uyumluluk kontrol listesi – Avrupa Veri Koruma Kurulu
• Kaliforniya Tüketici Gizlilik Yasası (CCPA) – Başsavcılık Ofisi
• ISO/IEC 27701 – Gizlilik Bilgi Yönetim Sistemi (PIMS)