Veri İşleme Sözleşmesi (DPA)
KVKK m.12/5 ve GDPR m.28 kapsamında Veri Sorumlusu (Müşteri) ile Veri İşleyen (Teknik Danışman) arasındaki standart sözleşme.
Son güncelleme: 2026-06-21
Bu sözleşme ne için?
Teknik Danışman platformunu kullanan müşteri firmaları (örn. çalışan/donanım/lisans kaydı tutmak için panel kullananlar), KVKK ve GDPR kapsamında
Veri Sorumlusu'dur. Biz, müşterinin talimatları doğrultusunda veriyi işleyen
Veri İşleyen'iz. Bu DPA, ilişkiyi yazılı zemine oturtur ve
Hizmet Sözleşmesi'nin ayrılmaz parçasıdır. Kurumsal müşteri diligence süreçlerinde DPA talep edildiğinde bu doküman geçerlidir; özel düzenleme için
legal@teknikdanisman.net ile iletişime geçin.
1. Taraflar ve Tanımlar
- Veri Sorumlusu / "Müşteri": Teknik Danışman panelini kullanan tüzel kişi (tenant).
- Veri İşleyen / "Hizmet Sağlayıcı": Ali Enis Tekin (Teknik Danışman platformu işleticisi).
- Veri Sahibi: Verisi işlenen gerçek kişi (genellikle Müşteri'nin çalışanı veya iş ortağı).
- Kişisel Veri: KVKK m.3 ve GDPR m.4(1) anlamında.
- İşleme: KVKK m.3 ve GDPR m.4(2) anlamında.
- Alt İşleyen: Hizmet Sağlayıcı'nın hizmet kapsamında veri işlemekle görevlendirdiği üçüncü taraflar (sunucu, e-posta, ödeme vb.).
2. İşleme Konusu, Süresi, Türü ve Amacı
| Konu | Müşteri'nin Teknik Danışman platformu üzerinden gerçekleştirdiği İK / IT / donanım yönetimi operasyonları kapsamında Veri Sahipleri'ne ait kişisel verilerin işlenmesi |
|---|
| Süre | Hizmet Sözleşmesi'nin yürürlükte olduğu süre boyunca + sözleşme sonrası 60 günlük veri-iadesi/silme penceresi |
|---|
| İşleme türü | Toplama, kaydetme, saklama, sıralama, sorgulama, kullanma, açıklama (yalnızca Müşteri'nin talimatları doğrultusunda), aktarma, silme |
|---|
| Amaç | Müşteri'nin İK ve IT operasyonlarını yürütmesi, bildirim, raporlama, faturalandırma |
|---|
İşlenen Veri Kategorileri
- Çalışan kimlik bilgileri (ad, TCKN — yalnızca Müşteri yüklerse)
- İletişim bilgileri (e-posta, telefon)
- İstihdam bilgileri (pozisyon, departman, işe başlangıç/çıkış tarihleri, izin/ihtar kayıtları)
- Donanım/zimmet kayıtları (cihaz seri no, atanmış çalışan)
- Yazılım lisans bilgisi
- Sistem erişim ve audit log verileri
Veri Sahibi Kategorileri
- Müşteri'nin çalışanları
- Müşteri'nin iş ortakları / hizmet aldığı taraflar
- Müşteri'nin tedarikçi temsilcileri
3. Veri İşleyen'in Yükümlülükleri
Hizmet Sağlayıcı taahhüt eder ki:
- Verileri yalnızca Müşteri'nin yazılı talimatları doğrultusunda işler. Bu DPA ve Hizmet Sözleşmesi yazılı talimat sayılır.
- Verilerin gizliliğini korumakla yükümlü, gizlilik taahhüdü altında bulunan personeli atar.
- KVKK m.12 ve GDPR m.32 kapsamında uygun teknik ve idari önlemleri uygular (detay SECURITY.md'de).
- Müşteri'nin Veri Sahipleri'nin haklarına ilişkin başvurularını yerine getirmesinde kendisine yardımcı olur.
- Müşteri'nin denetim hakkını kullanmasına makul ölçüde yardımcı olur (yılda bir kez ücretsiz audit raporu paylaşımı).
- Veri ihlali durumunda Müşteri'yi 72 saat içinde bilgilendirir.
- Sözleşme sona erdiğinde verileri, Müşteri'nin tercihine göre Müşteri'ye iade eder veya kalıcı olarak siler.
4. Müşteri'nin Yükümlülükleri
Müşteri taahhüt eder ki:
- Veri Sahipleri'nden gerekli açık rızaları/aydınlatmaları KVKK m.10 uyarınca kendisi temin eder.
- Platforma yalnızca işleme amacına uygun ve yasal olarak elde ettiği veriyi yükler.
- Hesap erişim bilgilerini korur; yetkisiz erişimlerden Hizmet Sağlayıcı'yı haberdar eder.
- Veri Sahipleri'ne sağladığı aydınlatma metninde Hizmet Sağlayıcı'nın Veri İşleyen sıfatıyla işleyeceğini belirtir.
5. Alt İşleyenler
Müşteri, aşağıdaki alt işleyenlerin kullanımına genel olarak onay verir. Yeni bir alt işleyen eklendiğinde Müşteri en az 30 gün önce bilgilendirilir ve makul itiraz hakkı saklıdır.
| Alt İşleyen | Hizmet | Lokasyon |
|---|
| Hetzner Online GmbH | Sunucu barındırma | Almanya (AB) |
| iyzico Ödeme Hizmetleri A.Ş. | Ödeme işleme | Türkiye |
| Groq, Inc. | AI yanıt üretimi (yalnızca kullanıcının sohbet mesajları) | ABD — verileri saklamadığı sözleşmesel olarak taahhüt eder |
| Microsoft Corp. / Google LLC | E-posta dağıtımı (Müşteri'nin OAuth ile bağladığı kendi tenant'ı üzerinden) | AB / ABD — SCC altında |
6. Yurt Dışı Aktarım
KVKK m.9 ve GDPR Bölüm V kapsamında yurt dışı aktarımlar için aşağıdaki güvenlik tedbirleri uygulanır:
- AB üyesi ülkeler (Hetzner — Almanya): GDPR çerçevesinde yeterli koruma
- ABD aktarımları (Groq, Microsoft, Google): Avrupa Komisyonu Standart Sözleşme Maddeleri (SCC 2021/914) imzalı
- Hassas veriler (özel nitelikli) yurt dışına aktarılmaz
7. Veri Güvenliği — Asgari Standartlar
Hizmet Sağlayıcı asgari olarak şu önlemleri uygular:
- Şifreleme: Veriler transit'te TLS 1.2+, hassas alanlar rest'te AES-256-CBC ile şifreli.
- Erişim kontrolü: Rol bazlı (RBAC), 2FA zorunluluğu admin hesaplarda, ayrıntılı audit log.
- İzolasyon: Multi-tenant veritabanı izolasyonu — her Müşteri kendi veritabanına sahip.
- Yedekleme: Günlük tam yedek + saatlik artımsal, AB-içi şifreli storage.
- Olay yanıtı: 7/24 izleme, security@teknikdanisman.net üzerinden bildirim kanalı.
- Personel: Erişim yetkisi olan tüm personel gizlilik sözleşmesi imzalı.
8. Veri İhlali Bildirimi
Hizmet Sağlayıcı, kişisel veri güvenliğini etkileyen bir ihlal tespit ettiğinde:
- Müşteri'yi 72 saat içinde e-posta ve panel bildirimi ile bilgilendirir.
- Bildirimde: ihlalin niteliği, etkilenen veri kategorisi, tahmini etkilenen Veri Sahibi sayısı, alınan ve alınacak önlemler yer alır.
- İletişim için iletişim kişisi bilgileri paylaşılır.
9. Denetim ve Şeffaflık
Müşteri'nin denetim hakkı:
- Yılda bir kez ücretsiz olarak self-assessment audit raporu talep edebilir.
- Kurumsal müşteriler için ek olarak yılda bir kez 5 iş günü önceden bildirim ile saha denetimi yapılabilir (denetçi NDA imzalı olmak koşuluyla).
- SOC 2 Type 1 raporu (hazırlık aşamasında) tamamlandığında ücretsiz erişim sağlanır.
10. Sözleşmenin Sona Ermesi
Sözleşme sona erdiğinde Müşteri'nin tercihine göre:
- İade: Veriler 30 gün içinde makine-okunabilir format (JSON, CSV) ile teslim edilir.
- Silme: 60 gün sonra tüm aktif veriler kalıcı olarak silinir; yedeklerden 90 gün içinde silinir.
Müşteri 60 gün içinde tercih bildirmezse veriler otomatik olarak silinir.
11. Sorumluluk
Tarafların sorumluluğu, Hizmet Sözleşmesi'nde belirtilen sınırlar dahilindedir. KVKK m.12/5 ve GDPR m.82 kapsamındaki tazminat yükümlülükleri saklıdır.
12. Uygulanacak Hukuk ve Yetki
Bu DPA, Türk hukukuna tabidir. Uyuşmazlıklarda İstanbul Çağlayan Mahkemeleri ve İcra Daireleri yetkilidir. Müşteri'nin GDPR kapsamında ikamet ülkesinde dava hakkı saklıdır.
13. Kabul ve Yürürlük
Müşteri, Hizmet Sözleşmesi'ni kabul ederek bu DPA'yı da kabul etmiş sayılır. Müşteri imzalı kopya talep ederse legal@teknikdanisman.net üzerinden iletişime geçebilir.
Not: Bu doküman hukuki bağlayıcılığı olan bir taslaktır ancak özel ihtiyaçlar için (örn. enterprise SSO entegrasyonu, sektöre özgü compliance), tarafların imzalayacağı özel bir DPA hazırlanabilir.