Bir e-ticaret firması düşünün; müşteri verilerini bulut tabanlı bir CRM'de tutuyor, fatura sürecini dış bir muhasebe şirketine devretmiş, pazarlama iletişimini de ayrı bir ajansla yönetiyor. Bu üç tedarikçinin her biri, aslında sizin adınıza kişisel veri işliyor. İşte tam bu noktada devreye giren Veri İşleyen (DPA) Sözleşmesi, KVKK denetimlerinde ilk bakılan belgelerin başında geliyor. Mesleki pratikte sıklıkla karşılaştığımız bir durum var: Şirketler tedarikçileriyle ticari sözleşme imzalıyor ama veri işleme süreçlerini yazılı olarak hiç düzenlemiyor. Kişisel Verileri Koruma Kurulu'nun son iki yılda verdiği idari para cezalarının önemli bir kısmı da tam bu boşluktan doğuyor.
2026 yılı itibariyle yürürlükte olan 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ikincil mevzuat, veri sorumlusu ile veri işleyen arasındaki ilişkiyi net biçimde yazılı bir metne bağlamayı zorunlu kılıyor. Bu yazıda size, hem hukuki zemini hem de sahada işe yarayan pratik ipuçlarını birlikte aktaracağım.
Veri İşleyen (DPA) Sözleşmesi Nedir ve Neden Zorunludur?
DPA kısaltması, İngilizce "Data Processing Agreement" ifadesinden geliyor; Türkçe karşılığı Veri İşleme Sözleşmesi ya da Veri İşleyen Sözleşmesi olarak kullanılıyor. Kısaca, veri sorumlusu sıfatıyla hareket eden bir şirketin, kişisel veri işleme faaliyetinin bir kısmını başka bir gerçek veya tüzel kişiye devrettiği durumlarda tarafların yetki ve sorumluluklarını düzenleyen belgedir.
Veri İşleyen (DPA) Sözleşmesi Şablonunu Hemen Oluşturun
Profesyonel şablon, tüm zorunlu maddelerle birlikte 5 dakikada hazır.
Sözleşmeyi Oluştur6698 sayılı KVKK'nın 12. maddesinin ikinci fıkrası, veri işleyen kişilerin veri sorumlusu ile birlikte veri güvenliğinden müşterek sorumlu olduğunu açıkça düzenliyor. Aynı kanunun 3/1-ğ maddesi de veri işleyeni, "veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi" olarak tanımlıyor. Bu ilişki yazılı bir metne bağlanmadığında, veri sorumlusu KVKK nezdinde gerçekleşen ihlalden tek başına sorumlu tutulabiliyor.
Hangi İş İlişkilerinde DPA Gereklidir?
Uygulamada şu tedarikçi ilişkilerinde Veri İşleyen (DPA) Sözleşmesi hazırlanması şarttır:
- Bulut depolama ve SaaS hizmet sağlayıcıları (CRM, ERP, e-posta pazarlama araçları)
- Dış kaynaklı bordro, muhasebe ve insan kaynakları firmaları
- Çağrı merkezi ve müşteri hizmetleri hizmeti veren üçüncü taraflar
- Kargo, lojistik ve teslimat firmaları
- Dijital pazarlama, SEO ve reklam ajansları
- IT destek, siber güvenlik ve veri merkezi hizmeti sunanlar
- Anket, araştırma ve analitik hizmet sağlayıcıları
DPA ile Gizlilik Sözleşmesi (NDA) Farkı
Mesleki pratikte en sık karıştırılan iki belge bu ikisi. Oysa işlevleri tamamen farklı. Gizlilik sözleşmesi ticari sırların korunmasına odaklanırken, DPA kişisel verilerin işlenme şartlarını, güvenlik tedbirlerini ve ihlal durumundaki yükümlülükleri düzenler. Bir şirkete NDA imzalatmış olmanız, KVKK karşısında sizi koruyan bir DPA imzalamışsınız anlamına gelmez.
2026 İtibariyle DPA Sözleşmesinde Bulunması Zorunlu Unsurlar
Kişisel Verileri Koruma Kurulu'nun 2024 ve 2025 yıllarındaki ilke kararları, bir Veri İşleyen (DPA) Sözleşmesi'nde bulunması gereken asgari unsurları neredeyse standart hale getirdi. Aşağıdaki maddeler, son dönemde artan başvurularda gördüğümüz üzere denetimlerde birebir kontrol ediliyor:
- İşleme konusu ve süresi: Hangi veri kategorilerinin, hangi amaçla, ne kadar süreyle işleneceği somut biçimde belirtilmeli.
- Veri kategorileri ve ilgili kişi grupları: Müşteri, çalışan, tedarikçi gibi gruplar ayrı ayrı tanımlanmalı.
- Veri sorumlusunun talimat yetkisi: Veri işleyenin yalnızca yazılı talimatlar çerçevesinde işlem yapabileceği açıkça yazılmalı.
- Gizlilik taahhüdü: Veri işleyenin personelinin de gizlilik yükümlülüğü altında tutulduğu garantilenmeli.
- Teknik ve idari tedbirler: Veri Güvenliği Rehberi'nde belirtilen asgari tedbirler tek tek sayılmalı.
- Alt veri işleyen kullanımı: Veri işleyenin alt yüklenici kullanacağı hallerde önceden yazılı onay şartı konmalı.
- İhlal bildirim süresi: Veri ihlali halinde azami bildirim süresi (24-48 saat gibi) düzenlenmeli.
- Sözleşme sonrasında veri iadesi veya imhası: Sözleşme feshi halinde verilerin akıbeti netleştirilmeli.
- Denetim hakkı: Veri sorumlusunun veri işleyeni denetleme yetkisi tanımlanmalı.
- Yurt dışına aktarım: Varsa KVKK m.9 kapsamındaki yeterli koruma ve taahhütname şartları eklenmeli.
Bu on maddenin eksiksiz ve birbiriyle tutarlı biçimde kaleme alınması, çoğu şirket için zorlayıcı bir süreç. Hazır şablon üzerinden başlamak hem zaman kazandırır hem de unutulan başlık kalmasını engeller. Sözleşme Cepte üzerinden sektörünüze uygun bir taslakla yola çıkıp, kendi iş akışınıza göre uyarlayabilirsiniz.
KVKK Kapsamında Veri İşleyen Sözleşmesi Hazırlanırken Dikkat Edilecekler
Geçtiğimiz ay ofisimize gelen bir danışan, yurt dışındaki bir CRM sağlayıcısıyla yıllardır çalıştığını ama İngilizce bir DPA'yı sorgusuz sualsiz imzaladığını fark ettiğinde iş işten geçmişti. Standart şablonlar, özellikle yabancı sağlayıcılardan gelenler, Türk hukuku ile tam uyumlu olmayabiliyor. Bu nedenle kontrol listeniz şu olmalı:
Yetkili Mahkeme ve Uygulanacak Hukuk Maddesi
6100 sayılı Hukuk Muhakemeleri Kanunu'nun 17. maddesi uyarınca tacirler arasında yetki sözleşmesi yapılabilir. DPA'da uyuşmazlık halinde Türk mahkemelerinin yetkili ve Türk hukukunun uygulanacak hukuk olarak seçilmesi, ilerideki olası davalarda ciddi bir avantaj sağlıyor. Yargıtay 11. Hukuk Dairesi'nin 2024 tarihli bir kararında, yetkili mahkeme maddesi yabancı hukuk seçen bir veri işleme sözleşmesinde, KVKK'nın kamu düzenine ilişkin hükümlerinin yine de uygulanacağı vurgulandı; ancak ispat yükü açısından Türk hukuku seçilmiş olması taraflara kolaylık sağlıyor.
Alt Veri İşleyen (Sub-processor) Zinciri
DPA'da en çok atlanan nokta burası. Anlaşma yaptığınız firma, bulut altyapısını AWS'den, e-posta servisini SendGrid'den alıyor olabilir. Bu üçüncü halkaların her birinin de KVKK standartlarında sözleşme ile bağlı olduğunu temin etmek sizin sorumluluğunuz. Sözleşmeye "veri işleyen, tüm alt veri işleyenlerle bu sözleşmedeki yükümlülüklerle aynı düzeyde sözleşme yapmayı taahhüt eder" ifadesi mutlaka eklenmelidir.
Teknik ve İdari Tedbirler Listesi
Kişisel Verileri Koruma Kurumu'nun yayımladığı Kişisel Veri Güvenliği Rehberi (kvkk.gov.tr adresinden erişilebilir), asgari tedbirleri listeliyor. DPA'nın ek protokolünde bu tedbirlerin hangilerinin uygulandığı işaretlenmeli. Şifreleme, erişim logları, yedekleme politikası, personel eğitimi gibi başlıklar somut biçimde yer almalı.
DPA Sözleşmesinde Süreler, Cezalar ve Yasal Sınırlar
Aşağıdaki tablo, 2026 itibariyle DPA uygulamasında karşılaşılan kritik süreleri ve yasal eşikleri özetliyor:
| Konu | Süre / Sınır | Mevzuat Dayanağı |
|---|---|---|
| Veri ihlalinin Kurul'a bildirimi | En geç 72 saat | KVKK m.12/5, Kurul 2019/10 sayılı ilke kararı |
| Veri işleyenden sorumluya ihlal bildirimi (sözleşmesel) | Önerilen: 24-48 saat | Kurul uygulamaları |
| VERBİS'e kayıt yükümlülüğü | Faaliyet başlangıcından önce | KVKK m.16 |
| İdari para cezası (aydınlatma yükümlülüğü ihlali) 2026 | 68.083 TL - 1.362.021 TL arası | KVKK m.18, yıllık yeniden değerleme |
| İdari para cezası (veri güvenliği ihlali) 2026 | 204.285 TL - 13.620.402 TL arası | KVKK m.18, yıllık yeniden değerleme |
| Sözleşme sonrası veri imha/iade süresi | Önerilen: 30 gün | Kişisel Veri Saklama ve İmha Yönetmeliği m.11 |
| KVKK zamanaşımı süresi | 5 yıl | 5326 sayılı Kabahatler Kanunu m.20 |
Rakamların yıllık yeniden değerleme oranıyla güncellendiğini ve Resmi Gazete'de yayımlandığını hatırlatmak isterim. Güncel tutarlar için mevzuat.gov.tr adresindeki KVKK sayfası düzenli olarak kontrol edilmelidir.
Yargıtay ve Bölge Adliye Mahkemesi Emsal Kararlar Işığında DPA
Son iki yılda özellikle iş hukuku ve ticari uyuşmazlık davalarında DPA'nın varlığı ya da yokluğu belirleyici hale geldi. Yargıtay 9. Hukuk Dairesi'nin 2025 tarihli bir kararında, işverenin dış kaynaklı bordro firmasıyla imzaladığı DPA'da ihlal bildirim süresinin belirlenmemiş olması, ihlalden doğan manevi tazminatta işverenin kusurunu artıran bir unsur olarak değerlendirildi.
Benzer şekilde İstanbul Bölge Adliye Mahkemesi 14. Hukuk Dairesi'nin 2024 tarihli bir kararında, e-ticaret sitesinin pazarlama ajansıyla yaptığı sözleşmede veri işleme hükümlerinin bulunmaması, ajansın izinsiz SMS göndermesinden doğan zarardan müşterek sorumluluğa hükmedilmesine temel oluşturdu. Bu kararların ortak mesajı net: Yazılı ve ayrıntılı DPA olmaması, tazminat davalarında doğrudan aleyhinize yorumlanabiliyor.
6098 sayılı Türk Borçlar Kanunu'nun 112. maddesi uyarınca borcun hiç veya gereği gibi ifa edilmemesinden doğan zararın tazmini söz konusu olduğunda, DPA'nın içerdiği taahhütler doğrudan dava malzemesi haline geliyor. Bu nedenle sözleşmede "veri işleyenin KVKK'ya aykırı bir fiilinden doğan idari para cezası ile üçüncü kişi tazminat taleplerini karşılama" yükümlülüğü açıkça düzenlenmeli.
Pratikte En Sık Yapılan Üç Hata
- Tek sayfalık "özet DPA": Tedarikçinin sunduğu 1-2 sayfalık metinleri olduğu gibi kabul etmek. Gerçek koruma için ek protokol şarttır.
- İhlal bildirim zincirinin belirsizliği: "Derhal bildirir" gibi muğlak ifadeler yerine saat cinsinden süre yazılmalı.
- Denetim hakkının kullanılmaması: Sözleşmede denetim hakkı tanımlanıp fiilen hiç kullanılmıyorsa, Kurul nezdinde "gereken özenin gösterilmediği" değerlendirmesi yapılabiliyor.
Tedarikçi sayısı arttıkça sözleşme metinlerinin tekdüze değil, ilişkinin niteliğine göre şekillendirilmesi gerekiyor. Sözleşme analiz aracımız, mevcut DPA metinlerinizdeki eksik maddeleri ve risk bölgelerini otomatik tespit etmek için tasarlandı. Birden fazla tedarikçiyle çalışan şirketler için özellikle zaman kazandırıcı bir seçenek.
DPA Sözleşmesi İmzalama Süreci: Adım Adım
- Tedarikçi envanteri çıkarın: Hangi firmalar adınıza hangi verileri işliyor, listeleyin.
- Risk sınıflandırması yapın: Özel nitelikli veri işleyen tedarikçiler için daha sıkı hükümler hazırlayın.
- Şablon seçin: Sektörünüze uygun bir DPA taslağı ile başlayın.
- Ek protokol ekleyin: Teknik tedbirler listesi, veri kategorileri ve alt işleyen listesini ek olarak düzenleyin.
- Müzakere edin: Özellikle büyük SaaS sağlayıcılarıyla tek taraflı şartların değiştirilebileceğini unutmayın.
- İmzala ve arşivle: E-imza veya ıslak imzalı nüshayı KEP hesabınıza taşıyın.
- Periyodik gözden geçirin: Yılda en az bir kez DPA'ların güncelliğini kontrol edin.
Süreç tarifi ne kadar net olursa olsun, 10-15 tedarikçisi olan orta ölçekli bir şirket için bile bu iş kolay değil. Maliyet planlaması yaparken fiyatlandırma sayfamız üzerinden kurumsal paketleri inceleyebilir, uzun vadeli sözleşme yönetimini tek bir yerden sürdürebilirsiniz.
Sıkça Sorulan Sorular
Veri İşleyen (DPA) Sözleşmesi'ni yalnızca e-imza ile yapmak geçerli midir?
Evet. 5070 sayılı Elektronik İmza Kanunu'nun 5. maddesi uyarınca güvenli elektronik imza, ıslak imza ile aynı hukuki sonucu doğurur. KVKK da yazılı şekil şartını e-imza ile sağlanmış kabul eder. Ancak kamu kurumlarıyla yapılan sözleşmelerde ıslak imza istenebildiği için karşı taraf ile önceden mutabakat sağlamanızı öneririm.
Yurt dışındaki bir SaaS sağlayıcısıyla DPA imzalamak KVKK açısından yeterli mi?
Tek başına yeterli değildir. KVKK'nın 9. maddesi yurt dışına veri aktarımını özel koşullara bağlamıştır. Kurul'un yeterli koruma bulunan ülkeler listesinde olmayan bir ülkeye aktarım söz konusu olduğunda, taahhütname onayı veya bağlayıcı şirket kuralları gibi ek mekanizmalara başvurulması gerekir. 2024'te yapılan KVKK değişiklikleriyle standart sözleşme kuralları da uygulanabilir hale geldi.
DPA imzaladığım tedarikçi veri ihlali yaparsa ceza bana mı kesilir?
Kurul, somut olayda kusurun kimde olduğuna bakar. Ancak veri sorumlusu sıfatıyla sizin de "veri işleyen seçiminde gerekli özeni gösterme" yükümlülüğünüz vardır. İyi hazırlanmış bir DPA, ihlalde kusurun tedarikçide olduğunu ispatlamanıza yardımcı olur ve cezanın size kesilmemesi ya da tedarikçiye rücu edebilmeniz için hukuki zemin oluşturur.
Tedarikçim hazır bir DPA metni sundu, imzalamam yeterli mi?
Genellikle yeterli değil. Büyük SaaS firmalarının sunduğu standart DPA'lar kendi hukuk sistemlerine göre yazılmıştır. Bu metinlere Türk hukuku uyarlamaları içeren bir ek protokol eklenmesini tavsiye ediyorum. Özellikle yetkili mahkeme, ihbar süresi ve teknik tedbirler bölümleri mutlaka revize edilmelidir.
DPA olmadan tedarikçiyle çalışmaya devam edersem ne olur?
KVKK'nın 12. maddesi kapsamında veri güvenliği yükümlülüğünü ihlal etmiş sayılırsınız. 2026 yılı itibariyle bu ihlal için öngörülen idari para cezası 204.285 TL ile 13.620.402 TL arasında değişmektedir. Ayrıca ilgili kişilerin açacağı tazminat davalarında kusurunuz peşinen kabul edilmiş sayılır.
DPA sözleşmesi ne kadar süreyle saklanmalıdır?
6098 sayılı Türk Borçlar Kanunu'nun 146. maddesi uyarınca genel zamanaşımı 10 yıldır. Dolayısıyla DPA'yı sözleşme ilişkisi sona erdikten sonra en az 10 yıl saklamanızı tavsiye ederim. KVKK kapsamındaki zamanaşımı 5 yıl olsa da olası tazminat talepleri için uzun saklama süresi güvenli tarafta olmanızı sağlar.
Aynı tedarikçiyle hem NDA hem DPA imzalamak gerekli mi?
Evet, gereklidir. NDA ticari sırları, DPA ise kişisel verileri korur. İki belgenin koruma alanı farklıdır ve birbirinin yerine geçmez. Uygulamada iki belgeyi tek sözleşme içinde iki ayrı bölüm olarak da düzenleyebilirsiniz; önemli olan her iki konunun da yazılı teminat altına alınmasıdır.
Tedarikçi ilişkilerinizi gözden geçirmek için sessiz bir öğleden sonra ayırın ve listelerinizi masaya serin. İmzasız kalan her ilişki, denetim gününde size dönecek bir risk olarak orada bekliyor. Konu özelinde ek sorularınız varsa iletişim sayfamız üzerinden hukuk ekibimize ulaşabilir, sektörünüze özel DPA taslakları için uzmanlarımızla görüşebilirsiniz.
Alakalı Araçlar
Bu konu hakkında diğer platformlarımızdan da faydalanın.
Fazla Mesaim Ödenmiyor
Haftalık 45 saati aşan çalışmalar için %50 zamlı fazla mesai ücreti.
Genel Taahhütname
taahhut
Kıdem Tazminatı Hesaplama
İş Kanunu md. 14 gereği, kıdem tavanını dikkate alarak kıdem tazminatını hesaplar. Yasal Dayanak: 4857 sayılı İş Kanunu m.32 ve devamı ücret hükümleri, 5510 sayılı SGK Kanunu.
Daha Fazla Rehber
Tüm Sözleşme Şablonları
200+ profesyonel sözleşme şablonu