PDF Araçları için GDPR Uyumluluğu: Nelere Dikkat Etmeli

Hukuki Jargondan Uzak GDPR Temelleri

PDF araçlarını uyumluluk merceğinden değerlendirmeden önce dört temel kavramı anlamanız gerekir. Bu bölüm, hukuki jargondan kaçınarak her bir kavramın pratikte ne anlama geldiğine odaklanmaktadır.

Kişisel Veri

Bir kişiyi doğrudan veya dolaylı olarak tanımlayabilen her türlü bilgi. Bir sözleşmedeki isim kişisel veridir. Bir dekonttaki banka hesap numarası kişisel veridir. Bir PDF formundaki e-posta adresi kişisel veridir. Başka bilgilerle birleştirildiğinde kimliği tanımlayan veriler bile sayılır; örneğin, bir posta kodu artı doğum tarihi.

İşlediğiniz PDF, herhangi bir tanımlanabilir kişi hakkında bilgi içeriyorsa, kişisel verileri işliyorsunuz demektir.

Veri Sorumlusu ve Veri İşleyen

Veri sorumlusu, kişisel verilerin neden ve nasıl işleneceğine karar verendir. Müşteri banka ekstrelerini dönüştürmek için bir PDF aracı kullanmaya karar veren bir işletmeyseniz, siz sorumlusunuz.

Veri işleyen, veri sorumlusu adına verileri işleyendir. PDF aracı sağlayıcısı işleyendir — verileri sizin talimatlarınıza göre işlerler (bu dosyayı dönüştür, bu belgeleri birleştir, bu tabloyu çıkar).

Bu ayrım önemlidir çünkü GDPR her iki role de yükümlülükler getirir. Sorumlular, uyumluluk konusunda "yeterli güvenceler" sunan işleyenleri seçmelidir (Madde 28). İşleyenler, sorumlu talimatlarına uymalı ve uygun güvenlik önlemlerini uygulamalıdır. PDF aracı sağlayıcınız kişisel verileri koruyamazsa, her ikiniz de sorumlu olabilirsiniz.

İşleme İçin Hukuki Dayanak

Madde 6, kişisel verileri işlemek için hukuki bir dayanak gerektirir. PDF araçlarının çoğu iş kullanımı için ilgili dayanaklar meşru menfaatler (banka ekstrelerini muhasebe için dönüştürmek gibi gerçek bir iş nedeni), sözleşme performansı (sözleşme yükümlülüğünü yerine getirmek için gereken işleme) veya rızadır (B2B iş akışlarında daha az yaygındır). Hukuki dayanak, işleme başlamadan önce mevcut olmalıdır.

Veri Sahibi Hakları

Bu PDF'lerde yer alan kişilerin, GDPR kapsamında hakları vardır. PDF aracı kullanımıyla en ilgili olanlar erişim hakkı (Madde 15 — kişisel veri kopyası isteme), silinme hakkı (Madde 17 — veri artık gerekli olmadığında veya rıza geri çekildiğinde silme talebi) ve veri taşınabilirliği hakkı (Madde 20 — veriyi makine tarafından okunabilir formatta isteme)dır.

Sorumlular bir ay içinde yanıt vermelidir. PDF aracı sağlayıcınız o kişinin verilerini içeren belgelerin kopyalarını saklamışsa, bu kopyaların da silindiğinden emin olabilmelisiniz.

---

Bir PDF Aracı Kullanımı GDPR'ı Tetiklediğinde

Her PDF aracı kullanımı GDPR yükümlülükleri oluşturmaz. Ayrım basittir ancak kritik derecede önemlidir.

Senaryo 1: Tarayıcı Tabanlı İşleme (Aktarım Yok)

Tarayıcınızda bir PDF aracı açarsınız, bir dosya seçersiniz ve bu dosya tamamen istemci tarafı kod kullanılarak işlenir. Dosya cihazınızdan asla ayrılmaz.

Bu senaryoda, PDF aracı sağlayıcısı GDPR kapsamında bir veri işleyen değildir. Kişisel veri aktarılmamıştır. DPA gerekmez. Uyumluluk açısından bu, mümkün olan en temiz yaklaşımdır.

Senaryo 2: Bulut Tabanlı İşleme (İşleyene Aktarım)

Bir PDF'yi çevrimiçi bir aracın sunucusuna yüklersiniz. Sunucu dosyayı işler — dönüştürme, birleştirme, çıkarma veya seçtiğiniz başka bir işlem — ve sonucu döndürür. Bu süre zarfında dosya, sağlayıcının altyapısında mevcut olmuştur.

Bu senaryoda, PDF aracı sağlayıcısı GDPR kapsamında bir veri işleyen dir. Siz, veri sorumlusu olarak, kişisel verileri bir işleyene aktarmış olursunuz. Bu, bir dizi yasal gerekliliği tetikler:

• Aktarımdan önce bir Veri İşleme Sözleşmesi (DPA) yapılmalıdır
• İşleyen, verileri korumak için uygun teknik ve organizasyonel önlemler uygulamalıdır
• İşleyen AB/AEA dışındaysa, aktarım ek güvencelere tabi uluslararası bir veri aktarımıdır

Senaryo 3: Yapay Zeka Destekli İşleme (Ek Hususlar)

Bazı PDF araçları, belgeleri işlemek için yapay zeka veya makine öğrenimi kullanır — OCR, veri çıkarma, özetleme veya çeviri için. Bu, dosyanızı üçüncü taraf bir yapay zeka hizmetine (Google Gemini, OpenAI GPT vb.) göndermeyi içeriyorsa, yapay zeka sağlayıcısı bir alt işleyendir. Yükümlülük zinciri daha da uzar:

• PDF aracı sağlayıcısının alt işleyenleri kullanmak için sizin izninize ihtiyacı vardır

• Alt işleyen, eşdeğer veri koruma yükümlülükleriyle bağlı olmalıdır

• Hangi yapay zeka hizmetlerinin kullanıldığını ve verileri nerede işlediklerini bilmelisiniz

• Dosyalarınızın yapay zeka modeli eğitimi için kullanılmadığına dair net taahhütler olmalıdır

---

PDF Aracı Sağlayıcıları İçin Temel GDPR Gereklilikleri

Eğer bir PDF aracı dosyaları sunucularında işliyorsa — yani bir veri işleyen haline geliyorsa — GDPR belirli gereklilikler getirir. İşte nelere dikkat etmelisiniz.

Veri İşleme Sözleşmesi (DPA)

GDPR Madde 28, bunun pazarlığa kapalı olduğunu belirtir. Her veri işleyenin, her veri sorumlusuyla yazılı bir DPA'sı olmalıdır. DPA, işlemenin niteliğini ve amacını, kişisel veri türlerini, veri sahibi kategorilerini, güvenlik ve gizlilik konusundaki işleyen yükümlülüklerini, alt işleyen kurallarını, fesih üzerine veri silme gerekliliklerini ve veri sorumlusu denetim haklarını belirtmelidir.

DPA sunmayan bir PDF aracı sağlayıcısı, uyumluluk riski taşır. Her meşru bulut tabanlı işleyen, standart bir DPA'ya sahip olmalıdır.

Amaç Sınırlaması

GDPR Madde 5(1)(b), kişisel verilerin "belirlenmiş, açık ve meşru amaçlarla toplanması ve bu amaçlarla uyumsuz bir şekilde daha fazla işlenmemesi" gerektiğini belirtir.

Bir PDF aracı için amaç açıktır: bir dosyayı dönüştürmek, birleştirmek, bölmek veya başka şekilde dönüştürmek için yüklediniz. Sağlayıcı, dosyanızı yalnızca belirtilen amaç için işleyebilir. Belgelerinizi reklam içgörüleri için analiz edemezler. Dosya içeriklerinizi yapay zeka modellerini eğitmek için kullanamazlar. Verilerinizi pazarlama amaçlı ortaklarla paylaşamazlar.

Bir aracın gizlilik politikasında, yüklenen dosyaları "hizmetlerimizi iyileştirmek" veya "araştırma amaçlı" kullanma ifadesi yer alıyorsa, bu bir amaç sınırlaması ihlali demektir.

Veri Minimizasyonu

Madde 5(1)(c), kişisel verilerin "işlendikleri amaçlarla ilgili olarak yeterli, ilgili ve gerekli olanla sınırlı" olmasını gerektirir.

Uygulamada bu, bir PDF aracının yalnızca istenen işlem için gereken dosya kısımlarına erişmesi gerektiği anlamına gelir. Meta verileri çıkarmamalı, belge içeriklerini kaydetmemeli veya görevi tamamlamak için gerekenden fazla bilgi tutmamalıdır.

Veri minimizasyonunun en güçlü şekli, veriyi hiç toplamamaktır — ki bu tam olarak tarayıcı tabanlı işlemenin başardığı şeydir.

Güvenlik Önlemleri

Madde 32, riske orantılı "uygun teknik ve organizasyonel önlemler" gerektirir. Bir PDF aracı için bu, aktarım sırasında şifreleme (TLS/HTTPS), depolama sırasında şifreleme, uygun erişim kontrolleri, güvenli barındırma ortamları ve düzenli güvenlik testleri anlamına gelir. Güvenlik mimarisini açıklayamayan bir sağlayıcı dosyalarınızı işlememelidir.

Dosya Saklama ve Silme

Birçok PDF aracının başarısız olduğu yer burasıdır. GDPR depolama sınırlaması ilkesi (Madde 5(1)(e)), kişisel verilerin "veri sahiplerinin kimliklerinin belirlenmesine olanak tanıyan bir biçimde, gerektiğinden daha uzun süre saklanmamasını" gerektirir.

Bir PDF aracı için gerekli süre, işleme işlemini tamamlamak ve sonucu teslim etmek için gereken süredir. Dönüştürülmüş dosyanızı indirdikten sonra, sağlayıcının orijinal veya çıktının kopyalarını saklamak için hiçbir neden olmamalıdır.

Bazı araçlar dosyaları 24 saat, 7 gün veya hatta 30 gün saklar. Kendinize sorun: neden? Kullanıcı için kolaylık, kişisel verileri saklamak için yasal bir dayanak değildir. Uzun saklama süreleri risk oluşturur ve karşılık gelen bir fayda sağlamaz.

En iyi uygulama, işlem tamamlandıktan sonra hemen silmektir.

Uluslararası Veri Aktarımları

Eğer PDF aracı sağlayıcısı veya alt işleyenleri AB/AEA dışındaysa, GDPR Bölüm V ek güvenceler gerektirir: bir yeterlilik kararı (Komisyon, hedef ülkenin yeterli koruma sağladığına karar vermiştir — 2026 başı itibarıyla bu, Birleşik Krallık, Japonya, Güney Kore, Kanada ve ABD'yi AB-ABD Veri Gizliliği Çerçevesi kapsamında içerir), Standart Sözleşme Maddeleri (SCC'ler) veya Bağlayıcı Kurumsal Kurallar (BCR'ler).

AB-ABD Veri Gizliliği Çerçevesi Eylül 2025'te bir hukuki mücadeleden sağ çıktı, ancak yorumcular 2026'da yeni incelemeler getirebileceğini belirtiyor. Bu çerçeveye dayanan kuruluşlar gelişmeleri izlemelidir.

İhlal Bildirimi

Madde 33, sorumluları, bir ihlalden haberdar olduktan sonra 72 saat içinde denetleyici makama bildirimde bulunmaya zorlar. PDF aracı sağlayıcıları için bu, sizin (sorumlu) kendi yükümlülüklerinizi yerine getirebilmeniz için gecikmeksizin sizi bildirmeleri gerektiği anlamına gelir. DPA, net ihlal bildirim taahhütleri ve zaman çizelgeleri içermelidir.

---

PDF Aracı Gizlilik Politikalarındaki Kırmızı Bayraklar

Gizlilik politikaları genellikle uzun ve kasıtlı olarak belirsizdir. İşte endişe uyandırması gereken belirli ifadeler ve uygulamalar.

"İş amaçları için verileri üçüncü taraflarla paylaşabiliriz"

Belirsiz paylaşım şartları şeffaflık ilkesini ihlal eder. Verileri tam olarak hangi üçüncü tarafların, hangi amaçla ve hangi hukuki dayanakla aldığını bilmeniz gerekir. "İş amaçları" yasal bir dayanak değildir — bir kaçıştır.

"Dosyalar 30 güne kadar saklanır"

Gerekçesiz aşırı saklama. Eğer aracın amacı bir PDF dönüştürmekse, neden banka ekstrenizi bir ay boyunca saklaması gerekiyor? Uzun saklama süreleri ihlal riskini artırır ve depolama sınırlaması ilkesiyle uzlaştırmak zordur.

"Yüklenen dosyaları hizmetlerimizi iyileştirmek için kullanırız"

Bu en büyük kırmızı bayraktır. Eğer bir araç sağlayıcısı, belgelerinizi — müşterilerinizin kişisel verilerini içeren — yapay zeka modellerini eğitmek veya algoritmalarını iyileştirmek için kullanıyorsa, kişisel verileri sizin yetkilendirmediğiniz bir amaçla işliyor demektir. Bu, amaç sınırlamasını ihlal eder, muhtemelen yasal bir dayanağı yoktur ve ayrı rıza gerektiren ikincil bir işleme faaliyeti oluşturabilir.

DPA mevcut değil

Eğer bulut tabanlı bir PDF aracı Veri İşleme Sözleşmesi sağlayamıyorsa, GDPR uyumlu değildir. Nokta. Madde 28 bu konuda nettir. DPA olmaması, sizin adınıza kişisel verileri işlemek için yasal bir dayanakları olmadığı anlamına gelir.

Sunucu konumu açıklanmıyor

Sağlayıcı dosyalarınızın nerede işlendiğini söylemezse, Bölüm V kapsamında aktarımın ek güvenceler gerektirip gerektirmediğini değerlendiremezsiniz. Altyapı hakkında şeffaflık temel bir gerekliliktir.

Alt işleyen listesi yok

GDPR, işleyenlerin veri sahiplerini alt işleyenler hakkında bilgilendirmesini gerektirir. Eğer araç dosyalarınızı işlemek için üçüncü taraf hizmetleri (bulut barındırma, yapay zeka API'leri, CDN'ler) kullanıyorsa ve bunları açıklamıyorsa, yeterli özeni gösteremezsiniz.

---

Yeşil Bayraklar: Uyumlu PDF Araçları Nasıl Görünür?

Yukarıdaki her kırmızı bayrağın tersi bir yeşil bayraktır. Ancak birkaç tanesi vurgulanmaya değer:

• Tarayıcı tabanlı işleme, bir PDF aracının sunabileceği en güçlü gizlilik özelliğidir. Bir dosya cihazınızdan asla ayrılmadığında, sağlayıcı asla bir veri işleyen olmaz. Kişisel veri aktarımı yok, o işlem için DPA gerekmez, sunucu tarafı saklama riski yok. Bu teorik bir ayrım değil — istemci tarafı işleme, bir uyumluluk riski kategorisini gerçekten ortadan kaldırır.
• İşlem tamamlandıktan sonra dosyaların anında silinmesi. Bunun ötesindeki herhangi bir saklama, gerekçe gerektirir.
• DPA'nın kamuya açık olması veya kurumsal bir satış görüşmesi gerektirmeden elde edilebilmesi.
• AB merkezli sunucular veya AB/AEA dışındaki sunucular için açıkça belgelenmiş aktarım mekanizmaları (yeterlilik kararı, SCC'ler, BCR'ler).
• Dosya içeriklerinin ikincil kullanımı yok — yazılı olarak, hem gizlilik politikasında hem de DPA'da taahhüt edilmiş.
• Şeffaf alt işleyen listesi ve alt işleyenler değiştiğinde bir bildirim mekanizması (Madde 28(2)).

---

PDFSub GDPR Uyumluluğunu Nasıl Ele Alıyor?

PDFSub , GDPR gerekliliklerini sonradan düşünülmüş bir çözüm değil, tasarım gereği ele alan gizlilik odaklı bir mimariyle oluşturulmuştur. PDFSub, GDPR ve CCPA uyumlu ve SOC 2 Hazırdır.

Varsayılan Olarak Tarayıcı Tabanlı İşleme

Düzenleme işlemleri — birleştirme, bölme, sıkıştırma, döndürme — için PDFSub dosyaları tarayıcınızda işler. Dönüşümler ve gelişmiş işlemler, internet erişimi olmayan izole bir hizmet olan PDFSub Engine tarafından desteklenir. Dosyalar izole bir ortamda işlenir ve işlem sonrasında otomatik olarak silinir.

Bu bir pazarlama iddiası değil — bu bir mimari karardır. İstemci tarafı işleme, bu işlemler için veri işleyen ilişkisini tamamen ortadan kaldırır. DPA gerekmez. Uluslararası aktarım riski yok. Sunucu tarafı saklama yok.

Sunucu İşlemesi Gerektiğinde

Bazı işlemler sunucu tarafı işleme gerektirir: taranmış belgeler için OCR, karmaşık finansal belgeler için yapay zeka destekli çıkarma ve belirli gelişmiş dönüşümler. Bu olduğunda, PDFSub katı protokollere uyar:

• Aktarımda şifreleme — tüm dosya aktarımları TLS şifrelemesi kullanır

• İzole işleme — dosyalar internet erişimi olmayan izole bir ortamda işlenir

• Anında silme — dosyalar işlem tamamlanır tamamlanmaz silinir

• Kullanıcı dosyaları üzerinde eğitim yok — yüklenen belgeler asla yapay zeka modellerini eğitmek veya algoritmaları iyileştirmek için kullanılmaz

• Amaç sınırlaması — dosyalar yalnızca istenen işlem için işlenir

Kurumsal Müşteriler İçin DPA Mevcut

PDFSub, işlemci ilişkisinin resmi belgelendirilmesini gerektiren kurumsal müşteriler için bir Veri İşleme Sözleşmesi sunar. Bu, sunucu tarafı işleme senaryolarını kapsar ve Madde 28'in tüm zorunlu hükümlerini içerir.

Ne Olduğu Konusunda Şeffaf

PDFSub'ın gizlilik yaklaşımı basittir: mümkün olduğunda yerel olarak işleme yapın ve sunucu işleme gerektiğinde, şifreleme ve anında silme yoluyla veri maruziyetini en aza indirin. Belirsiz "iş amaçları" maddeleri yoktur. Verilerinizin ikincil kullanımı yoktur.

PDFSub'ın 77'den fazla aracını gezebilir ve 7 günlük ücretsiz denemeyi

deneyerek tarayıcı tabanlı işleme modelini kendiniz doğrulayabilirsiniz.

---

PDF Aracı Seçerken GDPR Uyumluluk Kontrol Listesi

Herhangi bir PDF aracını GDPR uyumluluğu açısından değerlendirirken bu kontrol listesini kullanın. Tarayıcı tabanlı araçlar birkaç kategoriyi tamamen atlar, ancak bulut tabanlı herhangi bir araç için her madde önemlidir.

#	Soru	Neye Bakılmalı
1	Dosyaları yerel olarak mı işliyor?	Tarayıcı tabanlı işleme = veri aktarımı yok = işlemci ilişkisi yok. Tarayıcı geliştirici araçlarındaki ağ trafiğini kontrol ederek doğrulayın.
2	Bir DPA (Veri İşleme Sözleşmesi) mevcut mu?	Kurumsal satış görüşmesi yapmadan elde edilebilmelidir. Madde 28'in tüm zorunlu hükümlerini içermelidir.
3	Sunucular nerede bulunuyor?	AB/AEA işlemesi, aktarım karmaşıklıklarını önler. AB dışındaysa, yeterlilik kararı, SCC'ler (Standart Sözleşme Maddeleri) veya BCR'leri (Bağlayıcı Kurumsal Kurallar) kontrol edin.
4	Dosya saklama politikası nedir?	Anında silme en iyi uygulamadır. İşleme tamamlandıktan sonraki herhangi bir saklama, gerekçelendirilmelidir.
5	Veriler herhangi bir ikincil amaç için kullanılıyor mu?	Gizlilik politikası, dosya içeriklerinin yapay zeka eğitimi, analiz ve reklam kullanımı dışında tutulduğunu açıkça belirtmelidir.
6	Veri sahibi talepleri nasıl ele alınıyor?	Bir veri sahibi silme hakkını kullandığında saklanan kopyaların silindiğini onaylayabilmelidir.
7	Hangi alt işlemciler dahil?	Açıklamalar, konumlar ve alt işlemciler değiştiğinde bildirim mekanizması içeren yayınlanmış liste.
8	Ne gibi güvenlik önlemleri mevcut?	Aktarımda ve durağan haldeki verilerin şifrelenmesi, erişim kontrolleri, ilgili sertifikalar (ISO 27001, SOC 2).
9	İhlal bildirim taahhütleri nelerdir?	72 saat içinde (veya daha erken) bildirim ve güvenlik olayları için özel bir iletişim noktası.
10	Uyumluluğu denetleyebilir misiniz?	DPA, denetim haklarını içermelidir. Sağlayıcı, uyumluluk belgelerini paylaşmalı ve bir DPO (Veri Koruma Görevlisi) atamalıdır.

---

Yanlış Yapmanın Maliyeti: GDPR Cezaları Bağlamında

GDPR cezaları caydırıcı olacak şekilde tasarlanmıştır. Alt seviye (Madde 83(4)), işlemci ve güvenlik ihlalleri için yıllık küresel cironun %2'sine veya 10 milyon Euro'ya kadar cezalar öngörür. Üst seviye (Madde 83(5)), veri işleme ilkeleri ve veri sahibi haklarının ihlalleri için yıllık küresel cironun %4'üne veya 20 milyon Euro'ya kadar cezalar öngörür.

Uygulama eğilimi belirgindir. 2025'te, veri işlemenin yetersiz yasal dayanağı, toplam ceza değerinin %90'ını (yaklaşık 1.03 milyar Euro) oluşturdu. TikTok, Mayıs 2025'te AB kullanıcı verilerini Çin'e yeterli güvenceler olmadan yasa dışı bir şekilde aktardığı için 530 milyon Euro ceza aldı. Daha küçük kuruluşlar da muaf değil; denetleyici otoriteler, yetersiz DPA'lar, yetersiz güvenlik ve aşırı saklama nedeniyle KOBİ'lere ceza kesti.

İtibar maliyeti, finansal cezayı aşabilir. Müşteri banka ekstrelerini veya tıbbi kayıtları içeren bir veri ihlali, hiçbir ceza ödemesinin onaramayacağı şekilde güveni zedeler.

---