EK-A: KVKK VERİ İŞLEME EKİ (DPA)
⚠️ ÖRNEK METİN — Şeffaflık Sürümü
Bu sayfa, Ozy2 hizmetlerimiz için kullandığımız standart sözleşme şartlarını tanıtım amaçlı yayımlar. Burada gördüğünüz şartlar size özel teklif sürecinde doldurulacak ve avukat onayı sonrası imzalanacaktır.
Gerçek sözleşme almak için: [email protected]
Bu belge müzakere zemini değildir; tipik şartlarımızı gösterir.
(Data Processing Agreement — Çerçeve Sözleşme Eki)
Versiyon: v1.0 — Örnek (Şeffaflık Sürümü) Son Güncelleme: 2026-05-30 Bağlı Olduğu Sözleşme: Yazılım Hizmeti Çerçeve Sözleşmesi (Master Service Agreement)
GİRİŞ
İşbu KVKK Veri İşleme Eki ("DPA"), Yazılım Hizmeti Çerçeve Sözleşmesinin ayrılmaz bir parçasıdır ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK"), buna bağlı ikincil mevzuat ve Kişisel Verileri Koruma Kurulu kararları kapsamında, SAĞLAYICI'nın MÜŞTERİ adına Kişisel Veri işlemesine ilişkin tarafların hak ve yükümlülüklerini düzenler.
Bu DPA, Veri Sorumlusu olan MÜŞTERİ ile Veri İşleyen olan SAĞLAYICI arasındaki ilişkiyi belirleyen yazılı bir sözleşme olarak, KVKK md. 12 ve "Veri Sorumlusu ile Veri İşleyen Arasındaki Sözleşmeye İlişkin Kararı" kapsamındaki yasal gereği karşılar.
MADDE 1 — TANIMLAR
Bu DPA'da geçen ifadeler, KVKK ve ikincil mevzuatta tanımlandığı şekilde anlaşılır. Ek olarak:
| Terim | Anlam |
|---|---|
| İşleme Faaliyeti | KVKK md. 3/e'de tanımlandığı şekilde Kişisel Veriler üzerinde gerçekleştirilen toplama, kaydetme, saklama, değiştirme, açıklama, aktarma, sınırlandırma, silme/imha vb. tüm işlemler. |
| Veri Sahibi (İlgili Kişi) | KVKK md. 3/ç anlamında, Kişisel Verisi işlenen gerçek kişi (öğrenci, veli, hasta, müşteri, çalışan vb.). |
| Veri İhlali | KVKK md. 12/5 kapsamında, işlenen Kişisel Verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumu. |
| Alt Veri İşleyen (Sub-processor) | SAĞLAYICI'nın MÜŞTERİ adına veri işleme amacıyla görevlendirdiği bulut altyapı sağlayıcıları, e-posta servisleri, yedekleme servisleri vb. üçüncü kişiler. |
| VERBİS | Veri Sorumluları Sicil Bilgi Sistemi. |
| Kurul | Kişisel Verileri Koruma Kurulu (KVKK md. 19). |
MADDE 2 — KAPSAM VE ROL TAYİNİ
2.1. Roller:
- MÜŞTERİ — Veri Sorumlusu (KVKK md. 3/ı): Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen taraf.
- SAĞLAYICI — Veri İşleyen (KVKK md. 3/ğ): MÜŞTERİ'nin talimatları doğrultusunda Kişisel Verileri işleyen taraf.
2.2. Bu DPA kapsamında işlenecek veriler:
| Kategori | Detay (programa göre değişir, Hizmet Eki'nde özelleştirilir) |
|---|---|
| Veri Sahipleri | Öğrenci, veli, öğretmen, personel, müşteri, hasta vb. |
| Veri Kategorileri | Kimlik, iletişim, eğitim/iş bilgileri, finansal, davranış, sağlık (Özel Nitelikli — programa göre) |
| İşleme Amacı | Yazılım'ın işlevini yerine getirme, MÜŞTERİ'nin operasyonel ihtiyaçları |
| İşleme Süresi | Sözleşme süresince + Madde 15.2 fesih sonrası 60 gün |
| İşleme Yöntemi | Otomatik (yazılım üzerinden), kısmen otomatik |
MADDE 3 — SAĞLAYICININ VERİ İŞLEME YÜKÜMLÜLÜKLERİ
3.1. SAĞLAYICI, Kişisel Verileri yalnızca aşağıdaki şartlarda işler:
- (a) MÜŞTERİ'nin belgelenmiş yazılı talimatları doğrultusunda (Çerçeve Sözleşme ve bu DPA dahil);
- (b) Hizmetin sunulması amacıyla;
- (c) KVKK ve diğer Türk mevzuatına uygun olarak;
- (d) MÜŞTERİ'nin açık talimatı olmaksızın ek bir amaca yönelik olarak işlemeden.
3.2. SAĞLAYICI, Kişisel Verileri yalnızca Hizmet'i sunmak için zorunlu olan personeline erişime açar. Bu personel:
- KVKK ve gizlilik konusunda eğitim almıştır;
- Gizlilik yükümlülüğü içeren iş sözleşmesi imzalamıştır;
- Erişim ihtiyacı oranında ("need-to-know" prensibi) yetkilendirilmiştir.
3.3. SAĞLAYICI, MÜŞTERİ'nin talimatının Türk mevzuatına aykırı olduğunu düşündüğü durumlarda derhal MÜŞTERİ'yi yazılı olarak bilgilendirir.
3.4. SAĞLAYICI, MÜŞTERİ'nin yazılı talebi üzerine, KVKK md. 11 kapsamındaki Veri Sahibi taleplerinin (bilgi edinme, silme, düzeltme vb.) karşılanmasında makul teknik destek sağlar.
MADDE 4 — TEKNİK VE İDARİ TEDBİRLER (KVKK md. 12)
4.1. SAĞLAYICI, Kişisel Verilerin hukuka aykırı işlenmesini, erişilmesini ve hukuka aykırı yollarla elde edilmesini önlemek üzere aşağıdaki teknik ve idari tedbirleri uygular:
4.1.1 Teknik Tedbirler
- Şifreleme: Tüm verilerin iletim sırasında (TLS 1.2+ / HTTPS) ve disk üzerinde (at-rest encryption) şifrelenmesi.
- Erişim kontrolü: Rol bazlı yetkilendirme (RBAC), güçlü şifre politikası, çok faktörlü kimlik doğrulama (yönetici hesaplar için).
- Loglama: Tüm erişim, değişiklik ve silme işlemlerinin izlenmesi ve en az 1 yıl saklanması.
- Yedekleme: Günlük otomatik yedek, yedeklerin de şifreli ve farklı lokasyonda saklanması.
- Güncelleme: İşletim sistemi, veritabanı ve uygulama bağımlılıklarının düzenli güvenlik güncellemesi.
- Sızma testi: Yıllık en az bir kez güvenlik açığı taraması ve sızma testi.
- Anti-malware: Sunucu seviyesinde kötü amaçlı yazılım koruması.
- Ağ güvenliği: Güvenlik duvarı, DDoS koruması (Cloudflare vb.), VPN ile yönetim erişimi.
4.1.2 İdari Tedbirler
- Politikalar: Kişisel Veri Saklama ve İmha Politikası, Erişim Yönetimi Politikası, İhlal Yönetimi Politikası.
- Eğitim: Çalışanlara yılda en az 1 kez KVKK ve siber güvenlik eğitimi.
- Gizlilik sözleşmesi: Tüm personel ve alt veri işleyenler ile.
- Görevler ayrılığı: Geliştirme, test ve canlı ortamda farklı yetkiler.
- Saklama ve imha: KVKK md. 7 ve "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik" uyarınca süresinden fazla saklanmayan veriler.
4.2. SAĞLAYICI, bu tedbirlerin etkinliğini düzenli olarak gözden geçirir ve mevzuat değişikliklerine göre günceller.
4.3. MÜŞTERİ, kendi tedbirlerini de almakla yükümlüdür: güçlü kullanıcı şifreleri, yetki yönetimi, çalışanlarına KVKK eğitimi, fiziksel güvenlik vb.
MADDE 5 — VERİ İHLALİ BİLDİRİMİ
5.1. SAĞLAYICI, bir Veri İhlali öğrendiği veya makul olarak şüphelendiği andan itibaren:
- (a) En geç 72 saat içinde MÜŞTERİ'yi yazılı olarak bilgilendirir (e-posta yeterlidir).
- (b) Bildirimde şu bilgiler yer alır:
- İhlalin nitelği, kapsamı, etkilenebilecek Veri Sahibi yaklaşık sayısı,
- Etkilenen Kişisel Veri kategorileri,
- İhlalin olası sonuçları,
- SAĞLAYICI'nın aldığı ve almayı planladığı tedbirler.
5.2. MÜŞTERİ, Veri İhlali'ni öğrendiği tarihten itibaren en geç 72 saat içinde Kurul'a bildirim yapmakla yükümlüdür (KVKK Kurul'un 24.01.2019 tarih ve 2019/10 sayılı kararı). SAĞLAYICI, MÜŞTERİ'nin bu yükümlülüğünü yerine getirmesinde gerekli bilgi ve desteği sağlar.
5.3. İhlal ciddi sonuçlar doğurursa, MÜŞTERİ ilgili Veri Sahiplerine de bildirim yapmakla yükümlü olabilir; SAĞLAYICI bu süreçte makul destek verir.
MADDE 6 — ALT VERİ İŞLEYENLER (SUB-PROCESSORS)
6.1. SAĞLAYICI, Hizmetin sunulması için aşağıdaki Alt Veri İşleyenleri kullanabilir:
| Alt Veri İşleyen | Hizmet | Lokasyon | KVKK Uyum |
|---|---|---|---|
| Hetzner Online GmbH | Sunucu/bulut altyapısı | Almanya (AB) | GDPR'a tabi, AB Komisyonu yeterlilik kararı kapsamında |
| Cloudflare Inc. | CDN, DDoS koruması | Global (anycast) | KVKK md. 9 kapsamında işleme sözleşmesi |
| Amazon SES / SMTP sağlayıcı | E-posta gönderimi | Çeşitli | KVKK md. 9 |
| MariaDB / MySQL | Veritabanı yazılımı (open source) | Müşterinin lokasyonu (Hetzner) | İşleme yapılmaz, yazılım |
| (diğerleri Hizmet Eki'nde) |
6.2. Yeni bir Alt Veri İşleyen ekleneceği veya mevcut bir tanesi değiştirileceği zaman SAĞLAYICI, MÜŞTERİ'ye en az 15 gün önceden yazılı bildirimde bulunur.
6.3. MÜŞTERİ, makul gerekçelerle yeni Alt Veri İşleyene itiraz hakkına sahiptir. İtiraz halinde Taraflar makul süre içinde çözüm bulamazsa, MÜŞTERİ Sözleşmeyi feshedebilir.
6.4. SAĞLAYICI, tüm Alt Veri İşleyenler ile bu DPA'da yer alan korumalara eşdeğer korumayı sağlayan yazılı sözleşmeler imzalamayı taahhüt eder.
6.5. Alt Veri İşleyenlerin eylemlerinden SAĞLAYICI doğrudan sorumludur.
MADDE 7 — YURT DIŞINA VERİ AKTARIMI (KVKK md. 9)
7.1. SAĞLAYICI, Yazılım'ın altyapısının yurt dışında bulunması (örn: Hetzner — Almanya) nedeniyle Kişisel Verileri yurt dışına aktarmaktadır.
7.2. Bu aktarım, KVKK md. 9 kapsamında:
- (a) Veri Sahibi'nin açık rızasına dayalı olarak, veya
- (b) Kurul tarafından yeterli korumaya sahip olduğu tespit edilen ülkelere yapılacaksa yeterlilik kararı kapsamında, veya
- (c) Veri sorumlusu ve veri aktarıcısı arasındaki standart sözleşme hükümlerinin Kurul'a bildirimi ve onayı ile
gerçekleştirilir.
7.3. MÜŞTERİ, kendi Veri Sahiplerinden (öğrenci, veli, çalışan vb.) yurt dışı aktarım için gerekli açık rızayı önceden almakla yükümlüdür.
7.4. SAĞLAYICI, talep halinde aktarımın hukuki sebebini belgeleyen dokümanı MÜŞTERİ'ye sağlar.
MADDE 8 — VERİ SAHİBİ TALEPLERİNE YANIT (KVKK md. 11, 13)
8.1. Veri Sahipleri, KVKK md. 11 kapsamında MÜŞTERİ'ye (Veri Sorumlusu) aşağıdaki talepleri yöneltebilir:
- Hangi verilerin işlendiğini öğrenme,
- İşleme amacını öğrenme,
- Yurt içi/yurt dışı aktarımları öğrenme,
- Eksik/yanlış işlenmişse düzeltme,
- KVKK md. 7'deki şartlar oluştuysa silme/yok etme,
- Otomatik sistemlerle analiz edilmişse buna itiraz,
- Hukuka aykırı işleme nedeniyle zarara uğramışsa tazminat.
8.2. MÜŞTERİ, Veri Sahibi talebini aldığında 30 gün içinde yanıt vermekle yükümlüdür. SAĞLAYICI bu süreçte:
- Veri Sahibi'nin verilerini çıkarma (export);
- Düzeltme veya silme işlemlerinin uygulanmasında gerekli teknik desteği sağlar.
8.3. Veri Sahibi doğrudan SAĞLAYICI'ya başvurursa, SAĞLAYICI bu talebi makul süre içinde MÜŞTERİ'ye yönlendirir; Veri Sahibi'ne MÜŞTERİ'nin Veri Sorumlusu olduğunu bildirir.
MADDE 9 — DENETLEME HAKKI
9.1. MÜŞTERİ, SAĞLAYICI'nın bu DPA'ya uyumunu yılda en fazla 1 (bir) kez denetleme hakkına sahiptir. Denetleme:
- MÜŞTERİ'nin yazılı talebinden sonra en az 30 gün öncesinden planlanır;
- Tarafların mutabık kalacağı bağımsız bir denetçi (CISA, KVKK uzmanı vb.) aracılığıyla yapılır;
- SAĞLAYICI'nın operasyonlarını aksatmayacak şekilde mesai saatleri içinde gerçekleştirilir;
- Denetçi, denetim sırasında öğrendiği bilgileri gizli tutmakla yükümlüdür.
9.2. Denetleme masrafları MÜŞTERİ tarafından karşılanır. Denetimde somut ihlal tespit edilirse, masrafları SAĞLAYICI üstlenir ve ihlali 30 gün içinde giderir.
9.3. SAĞLAYICI, bağımsız üçüncü taraflarca alınmış güvenlik sertifikaları (ISO 27001, SOC 2, BTK SOME vb.) varsa, bunları yıllık olarak MÜŞTERİ ile paylaşır; bu durum yerinde denetim talebini büyük oranda azaltır.
MADDE 10 — VERİLERİN İADESİ VE İMHASI
10.1. Sözleşmenin sona ermesi durumunda SAĞLAYICI:
- (a) MÜŞTERİ'nin Verilerini fesih tarihinden itibaren 60 (altmış) gün boyunca saklar;
- (b) MÜŞTERİ'nin yazılı talebi üzerine, Verileri standart formatta (CSV, XLSX, SQL dump, JSON) MÜŞTERİ'ye bir kez ücretsiz teslim eder;
- (c) 60 günlük süre sonunda Verileri geri getirilemez şekilde imha eder (KVKK'nın "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik" hükümlerine uygun olarak);
- (d) İmha işleminin gerçekleştirildiğine dair MÜŞTERİ'ye yazılı bildirim yapar.
10.2. Yasal saklama zorunluluğu (vergi, ticaret, sağlık mevzuatı vb.) olan Veriler için süre, ilgili mevzuatın gerektirdiği zamana kadar uzar. Bu Veriler salt yasal saklama amacıyla, daha katı erişim kontrolü altında tutulur.
10.3. Yedekleme medyalarındaki Veriler, normal yedek rotasyon süresi (genelde 30 gün) sonunda otomatik silinir. Bu süre boyunca yedeklere yalnızca acil felaket kurtarma amacıyla erişilir.
MADDE 11 — VERBİS KAYITLARI VE BİLDİRİMLER
11.1. SAĞLAYICI, Veri İşleyen sıfatıyla yaptığı işlemeler için VERBİS kaydı yaptırmak zorunda değildir, ancak Veri Sorumlusu MÜŞTERİ'nin VERBİS yükümlülüğüne destek sağlar.
11.2. MÜŞTERİ, VERBİS kaydında SAĞLAYICI'yı Veri İşleyen olarak belirtmek ve gerekli kayıtları yapmakla yükümlüdür.
11.3. SAĞLAYICI, talep halinde MÜŞTERİ'ye VERBİS giriş için bilgi sağlar (veri kategorileri, işleme amaçları, alıcılar, saklama süreleri vb.).
MADDE 12 — SORUMLULUK VE TAZMİNAT
12.1. Her Taraf, KVKK ihlali nedeniyle Kurul tarafından doğrudan kendisine kesilen idari para cezalarından kendisi sorumludur.
12.2. SAĞLAYICI, MÜŞTERİ'nin DPA'ya aykırı talimatları sonucu uygulanan işlemden kaynaklı zararlardan sorumlu değildir.
12.3. MÜŞTERİ, Veri Sahibi'nden gerekli aydınlatma ve rızanın alınmamış olması nedeniyle doğacak tüm sorumluluğu üstlenir ve SAĞLAYICI'ya yöneltilecek talepleri tazmin eder.
12.4. Master Service Agreement Madde 12'deki sorumluluk sınırlamaları bu DPA için de geçerlidir, ancak KVKK md. 12 kapsamındaki idari para cezaları bundan istisnadır.
MADDE 13 — ÇATIŞMA VE YORUM
13.1. Bu DPA ile Master Service Agreement veya herhangi bir Hizmet Eki arasında çatışma çıkması halinde, veri koruma konularında bu DPA öncelikli uygulanır.
13.2. Bu DPA'nın yorumunda Türk mevzuatı (KVKK, ikincil mevzuat, Kurul kararları) esastır.
EKLER
- EK-A.1: İşleme Faaliyeti Detayı (programa özel — Hizmet Eki ile birlikte sunulur)
- EK-A.2: Onaylı Alt Veri İşleyenler Listesi (güncel hali ayrı belge)
İMZA
| SAĞLAYICI (Veri İşleyen) | MÜŞTERİ (Veri Sorumlusu) |
|---|---|
| Unvan: (imzada doldurulur) | Unvan: (imzada doldurulur) |
| Yetkili Adı: (imzada doldurulur) | Yetkili Adı: (imzada doldurulur) |
| Tarih: (imzada) | Tarih: (imzada) |
| İmza: | İmza: |