dpa-review-zekaisuni

/dpa-review

Başlamadan

1. ~/.claude/plugins/config/claude-for-legal/privacy-legal/CLAUDE.md dosyasını oku.
2. ## Veri İşleyen / DPA Playbook, ## Yurt Dışına Aktarım, ## Aydınlatma / Politika Taahhütleri ve ## Çıktı Kuralları bölümlerini yükle.
3. Profil placeholder ağırlıklıysa önce /privacy-legal:cold-start-interview öner.
4. references/currency-watch.md dosyasını güncellik kontrol listesi olarak oku.
5. ## Matter Workspaces açıksa aktif matter'ı yükle; kapalıysa practice-level çalış.

Amaç

Bu skill, DPA'yı yabancı şablon olarak değil, Türkiye'de veri sorumlusu ve veri işleyen ilişkisini düzenleyen sözleşmesel kontrol dokümanı olarak inceler. DPA kısaltması kullanılabilir; çıktı dili "veri işleme sözleşmesi / veri işleyen eki" olmalıdır.

Rolü Belirle

İlk karar şudur:

Yanlış rol seçimi bütün önerileri tersine çevirir; belirsizlik varsa tek netleştirme sorusu sor.

Önceki Çıktılar

Aynı tedarikçi, müşteri veya faaliyet için önceki çıktıları kontrol et:

• use-case-triage sonucu,
• pia-generation / VKED,
• önceki dpa-review,
• politika monitor bulgusu,
• ihlal veya Kurul/şikayet notu.

Önceki çıktının risk seviyesi tabandır. Kırmızı riskli bir faaliyet DPA incelemesinde açıklamasız yeşile düşürülemez.

KVKK İnceleme Kapıları

Her sözleşmede şu kapıları kontrol et:

Türkiye'ye Özgü Özel Kontroller

• Açık rıza, aydınlatma metninden ayrı ve serbest iradeye uygun olmalıdır; battaniye rıza veya hizmet şartına gömülü rıza kırmızı bayraktır.
• Standart sözleşme kullanılacaksa Kurul metninin zorunlu yapısı, Türkçe metin, imza yetkisi ve imzadan itibaren beş iş günü içinde Kuruma bildirim kontrol edilir.
• Sektörel rejim varsa DPA tek başına yeterli sayılmaz: BDDK, SPK, TCMB, BTK, TİTCK, sağlık mevzuatı, kamu ihale/kamu bulutu veya e-ticaret/İYS gereklilikleri ayrıca işaretlenir.
• DPA, gizlilik politikası, aydınlatma, VERBIS/envanter, saklama-imha politikası ve teknik mimariyle çelişmemelidir.

Redline Yaklaşımı

Küçük ve hedefli değişiklik öner:

• önce kelime/ibare,
• sonra cümle,
• en son tüm madde değişimi.

Karşı taraf metninin çalışan kısmını koru. Büyük madde değişimi gerekiyorsa "bu madde kapsamlı değişti; nedeni ..." diye açıklama yaz.

Çıktı

GİZLİ HUKUKİ / KVKK ÇALIŞMA TASLAĞI - HUKUKÇU İNCELEMESİNE TABİDİR

Reviewer note
- Kaynaklar:
- Okuma kapsamı:
- Doğrulanması gerekenler:
- Aksiyon öncesi:

# Veri İşleme Sözleşmesi İncelemesi - [Taraf]

**Rol:** [Biz veri sorumlusuyuz / Biz veri işleyeniz / karma]
**Belge:** [MSA eki / bağımsız DPA / sözleşme maddesi]
**Tarih:** [YYYY-MM-DD]

## Kısa Sonuç

[İmzalanabilir mi? Hangi koşullar değişmeli?]

**Bulgular:** [N] yeşil | [N] sarı | [N] turuncu | [N] kırmızı

## Kritik Bulgular

| Seviye | Madde | Sorun | Öneri |
|---|---|---|---|
| kırmızı/turuncu/sarı | [madde] | [gap] | [redline/aksiyon] |

## Kapı Bazlı İnceleme

| Kapı | Sözleşme ne diyor | Playbook / KVKK beklentisi | Gap | Önerilen redline |
|---|---|---|---|---|
| Rol | | | | |
| Güvenlik | | | | |
| İhlal | | | | |
| Aktarım | | | | |

## Politika ve Envanter Uyum Kontrolü

[Aydınlatma, gizlilik politikası, VERBIS/envanter, saklama-imha ve önceki VKED ile uyum.]

## Pazarlık Pozisyonu

- Kabul edilebilir:
- Pazarlık edilmeli:
- Hukuk onayı olmadan kabul edilmemeli:

## Sonraki Adımlar

- [ ] Redline hazırla
- [ ] Tedarikçi/müşteri ile netleştir
- [ ] VKED veya aktarım analizi başlat
- [ ] Hukuk/security onayı al

İnsan Onayı Kapısı

DPA imzalamak veya imza talimatı vermek bağlayıcı hukuki işlemdir. Kullanıcı hukukçu değilse, imza öncesi şu özeti üret ve açık insan onayı olmadan ilerleme:

• taraflar ve rol,
• kişisel veri kategorileri,
• yurt dışına aktarım,
• kırmızı/turuncu bulgular,
• kabul edilen fallback pozisyonlar,
• hukukçuya sorulacak üç soru.

Bu Skill Ne Yapmaz

• Sıfırdan DPA şablonu üretmez; mevcut metni inceler ve redline önerir.
• Kuruma standart sözleşme bildirimi veya VERBIS kaydı yapmaz.
• Teknik güvenlik kontrollerinin gerçekten uygulandığını kanıt olmadan varsaymaz.