Veri İşleme Sözleşmesi (DPA)

Son Güncelleme: Mayıs 2026

Taraflar:

(1) Veri Sorumlusu (“Müşteri”): [MÜŞTERİ ÜNVANI], [MERSİS/VKN], [ADRES]

(2) Veri İşleyen (“Sağlayıcı”): Ragıp Aziz Şentürk, info@zimmettakip.com, İstanbul, Türkiye 

1. Amaç ve kapsam

1.1. İşbu DPA; Müşteri’nin veri sorumlusu sıfatıyla, Hizmet kapsamında Sağlayıcı’ya veri işleyen olarak işlettirdiği kişisel verilere ilişkin tarafların yükümlülüklerini düzenler.

1.2. Rol tespiti; kişisel verinin hangi amaçlarla ve hangi yollarla işleneceğine kimin karar verdiği kriterlerine göre yapılır.

2. Konu, süre, mahiyet ve amaç

2.1. İşlemenin konusu/mahiyeti/amacı Ek-A’da belirtilmiştir.

2.2. Süre: Hizmet Sözleşmesi yürürlükte kaldığı müddetçe; sona ermede madde 9 uygulanır.

3. Müşteri’nin (Veri Sorumlusu) yükümlülükleri

3.1. Müşteri, kişisel verileri Hizmet’e hukuka uygun şekilde aktaracağını; gerekli aydınlatma ve hukuki dayanakları sağlayacağını taahhüt eder.

3.2. Müşteri, Sağlayıcı’ya yalnızca yazılı/dokümante edilmiş talimatlar verir.

4. Sağlayıcı’nın (Veri İşleyen) yükümlülükleri

4.1. Sağlayıcı, kişisel verileri yalnızca Müşteri talimatları doğrultusunda ve Hizmet’i sunmak amacıyla işler.

4.2. Sağlayıcı, kişisel verileri yetkisiz üçüncü kişilere açıklamaz; işleme amacı dışında kullanmaz. Bu yükümlülük, görev/ilişki sona erdikten sonra da devam eder.

4.3. Sağlayıcı, Ek-B’de belirtilen teknik ve idari tedbirleri uygular; KVKK m.12 doğrultusunda uygun güvenlik düzeyini temin etmeye yönelik tedbirleri almakla yükümlüdür.

5. Alt işleyenler (subprocessor)

5.1. Sağlayıcı, Hizmet’in sunumu için alt işleyenlerden yararlanabilir.

5.2. Alt işleyen listesi: Sunucu Hosting hizmet sağlayıcısı (Natro - Çizgi Telekomünikasyon A.Ş.), E-posta hizmet sağlayıcısı (Brevo - AB merkezli).

5.3. Sağlayıcı, alt işleyenlerle en az bu DPA’daki gizlilik ve güvenlik yükümlülüklerini içeren sözleşmesel düzenlemeleri kurar.

5.4. Sağlayıcı yeni bir alt işleyen kullanması halinde Müşteri’yi en az 7 gün önceden e-posta yoluyla bilgilendirir. Müşteri bu süre içinde makul gerekçelerle itiraz edebilir.

6. Yurt dışına aktarım

6.1. Varsayım: Sağlayıcı, kişisel verileri yurt dışına aktarmayacaktır.

6.2. Yurt dışı aktarım gerekirse; yürürlükteki KVKK m.9 rejimine uygun aktarım mekanizması sağlanır. Standart sözleşmelerin imzalanmasından itibaren 5 iş günü içinde Kuruma bildirim yükümlülüğü bulunduğu Kurum duyurusunda belirtilmiştir.

7. İlgili kişi taleplerine destek

7.1. Müşteri, KVKK m.11 kapsamındaki taleplerin muhatabıdır.

7.2. Sağlayıcı, Müşteri’den gelen makul taleplerde; kişisel veriye erişim, düzeltme, silme/yok etme süreçlerine teknik olarak destek verir. Süre: 30 gün içerisinde.

8. Kişisel veri ihlali bildirimi

8.1. Sağlayıcı nezdinde bulunan kişisel verilerin hukuka aykırı şekilde elde edilmesi halinde, Sağlayıcı bu durumu gecikmeksizin Müşteri’ye bildirir.

8.2. Bildirim süresi (operasyonel hedef): 24 saat.

8.3. Kurul’un 2019/10 sayılı kararı uyarınca veri sorumlusu (Müşteri) açısından Kurul’a bildirim için 72 saat yaklaşımı esas alınır.

9. Sözleşmenin sona ermesi: iade/silme

9.1. Hizmet sona erdiğinde, Müşteri talimatına göre:

(a) Müşteri Verileri’nin iadesi ve ardından silinmesi veya
(b) Doğrudan silinmesi / anonimleştirilmesi
sağlanır.

9.2. Silme/yok etme/anonimleştirme işlemlerine ilişkin kayıtlar, mevzuattaki asgari süreler dikkate alınarak saklanır.

10. Denetim ve doğrulama

10.1. Müşteri, makul aralıklarla ve makul bildirim süresiyle (örn. 30 gün) denetim talep edebilir.

10.2. Denetim; uzaktan (belge/kanıt paylaşımı) yapılır.

11. Sorumluluk

11.1. Tarafların sorumluluğu, ana sözleşme ve işbu DPA ile belirlenen sınırlar çerçevesindedir.

11.2. Dolaylı zararlar ve üçüncü taraf talepleri konusunda risk paylaşımı: Dolaylı zararlar, kâr kaybı ve veri kaybı gibi dolaylı zararlardan taraflar sorumlu değildir. Sağlayıcı’nın sorumluluğu, ana hizmet sözleşmesinde belirtilen sorumluluk sınırlarına tabidir.

Ek-A: İşleme detayları

A1. Veri konusu kişi grupları: Müşteri çalışanları/temsilcileri, zimmet atanan kişiler, Müşteri müşterileri (varsa), tedarikçiler (varsa).

A2. Kişisel veri kategorileri: kimlik/iletişim, işlem güvenliği logları, zimmet/atama kayıtları, destek mesajları, dosya ekleri.

A3. İşleme amacı: Hizmet’in sunulması, kullanıcı yönetimi, zimmet takibi süreçleri, destek, güvenlik.

A4. Saklama: Hizmet süresi + fesihte talimat; loglar: 90 gün (5651 kapsamı ayrıca değerlendirilecek).

Ek-B: Teknik ve idari tedbirler

B1. Erişim kontrolü: rol/yetki tabanlı yetkilendirme, güçlü parola politikası.

B2. Şifreleme: TLS ile aktarım güvenliği; veritabanında şifreleme/anahtar yönetimi.

B3. Loglama/izleme: güvenlik olay kayıtları; anomali izlemesi; log saklama 90 gün.

B4. Yedekleme ve geri yükleme: düzenli yedek, test geri yükleme.

B5. Zafiyet yönetimi: güncelleme/patch, güvenli geliştirme süreçleri.

B6. Çalışan/taşeron gizliliği: gizlilik taahhüdü.

(Not: KVKK Kurumu rehberi; politika/prosedür belirleme, eğitim, “izin verilmedikçe her şey yasaktır” yaklaşımı gibi idari tedbirlere vurgu yapar.)