1. TARAFLAR
İşbu Veri İşleyen Sözleşmesi (“DPA”);
(i) [MÜŞTERİ/VERİ SORUMLUSU]: Ünvan/Ad Soyad: [●], VKN/TCKN: [●], Adres: [●] (“MÜŞTERİ” veya “VERİ SORUMLUSU”)
ile
(ii) Solviera Teknoloji Yazılım ve Dijital Hizmetler Limited Şirketi: VKN: 7730929703, Adres: Kırcaali Mahallesi Kayalı Sokak No:34 Kat:3 D:307 Osmangazi/Bursa (“SOLVİERA” veya “VERİ İŞLEYEN”)
arasında akdedilmiştir.
Taraflar birlikte “Taraflar” olarak anılır.
2. AMAÇ, KAPSAM, DAYANAK
2.1. Bu DPA’nın amacı; Veri Sorumlusu’nun, Cari Plus SaaS hizmetini kullanımı sırasında SOLVİERA tarafından Veri Sorumlusu adına işlenen kişisel verilere ilişkin Tarafların hak ve yükümlülüklerini, KVKK uyarınca düzenlemektir.
2.2. Bu DPA; Veri Sorumlusu’nun Cari Plus’a yüklediği/oluşturduğu/verdiği talimatlarla işlenen Müşteri Kişisel Verileri için geçerlidir.
2.3. SOLVİERA’nın kendi ticari/finansal/hesap yönetimi süreçlerinde (faturalama, tahsilat, kendi çalışan/iletişim verileri vb.) işlediği veriler bakımından SOLVİERA “veri sorumlusu” olabilir; bu tür veriler bu DPA kapsamı dışındadır.
3. TANIMLAR
3.1. KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu.
3.2. Kişisel Veri / Özel Nitelikli Kişisel Veri: KVKK’daki anlamıyla.
3.3. Müşteri Kişisel Verileri: Veri Sorumlusu’nun Cari Plus’a yüklediği/oluşturduğu; Cari Plus üzerinde işlediği; müşteri/tedarikçi/çalışan/temsilci/üçüncü kişilere ait kişisel veriler ile entegrasyon verileri.
3.4. İşleme / Aktarım: KVKK’daki anlamıyla her türlü kişisel veri işleme faaliyeti.
3.5. Alt İşleyen (Sub-processor): SOLVİERA’nın, Veri Sorumlusu adına yürüttüğü işleme faaliyetlerinde yararlandığı üçüncü taraf hizmet sağlayıcılar.
3.6. Hizmet: Cari Plus (https://account.solviera.com.tr) SaaS yazılım hizmeti.
3.7. Talimat: Veri Sorumlusu’nun, Müşteri Kişisel Verileri’nin işlenmesine ilişkin yazılı/elektronik talimatları (panel ayarları, destek talepleri, e-posta talimatları vb.).
4. İŞLEMENİN KONUSU, SÜRESİ, NİTELİĞİ, AMACI (EK-1)
4.1. İşleme konusu, amacı, veri kategorileri, ilgili kişi grupları, işleme faaliyetleri ve süre; EK-1 “İşleme Detayları”nda düzenlenmiştir.
4.2. İşleme süresi; ana abonelik sözleşmesi süresince ve fesih/sona erme sonrası EK-1’de belirtilen iade/silme takvimi kadar devam eder.
5. VERİ SORUMLUSU’NUN YÜKÜMLÜLÜKLERİ
5.1. Veri Sorumlusu; Müşteri Kişisel Verileri’ni Cari Plus’a aktarmadan önce KVKK’ya uygun hukuki sebep, aydınlatma ve gerekiyorsa açık rıza süreçlerini tamamlamakla; veri minimizasyonu ilkesine uymakla yükümlüdür.
5.2. Veri Sorumlusu; sisteme yüklediği verilerin doğruluğu, güncelliği ve hukuka uygunluğundan sorumludur.
5.3. Veri Sorumlusu; Cari Plus kullanıcılarının yetkilendirmesini yapmak, erişim bilgilerini korumak, kendi kullanıcılarının eylemlerinden doğan ihlallerin önlenmesi için gerekli idari/teknik tedbirleri almakla yükümlüdür.
5.4. Veri Sorumlusu; mümkünse özel nitelikli kişisel verileri Cari Plus’a yüklememeyi, yüklemesi gerekiyorsa KVKK’ya uygun ek tedbirleri almayı ve SOLVİERA’yı yazılı olarak bilgilendirmeyi kabul eder.
6. VERİ İŞLEYEN’İN GENEL YÜKÜMLÜLÜKLERİ
6.1. SOLVİERA, Müşteri Kişisel Verileri’ni yalnızca Veri Sorumlusu’nun Talimatları doğrultusunda ve yalnızca Hizmet’i sunmak amacıyla işler.
6.2. SOLVİERA; Talimat’ın KVKK’ya aykırı olduğunu açıkça değerlendirdiği hallerde Veri Sorumlusu’nu gecikmeksizin bilgilendirir ve Talimat’ın uygulanmasını askıya alabilir.
6.3. SOLVİERA; Müşteri Kişisel Verileri’ni işleme amacı dışında kullanamaz, üçüncü kişilere açıklayamaz. Bu yükümlülük sözleşme sona erdikten sonra da devam eder.
6.4. SOLVİERA; Hizmet’in işletilmesi için gerekli olan minimum personeli “bilmesi gereken” ilkesiyle yetkilendirir.
7. GİZLİLİK VE PERSONEL YÜKÜMLÜLÜĞÜ
7.1. SOLVİERA; Müşteri Kişisel Verileri’ne erişebilen personeli ve yetkili alt yüklenicilerini gizlilik yükümlülüğü altına alır (sözleşmesel/iş hukuku taahhüdü).
7.2. SOLVİERA, personel erişimlerini rol bazlı yetkilendirir; erişim kayıtlarını tutar.
8. TEKNİK VE İDARİ TEDBİRLER (EK-2)
8.1. SOLVİERA; KVKK m.12 kapsamındaki veri güvenliği yükümlülükleri doğrultusunda, işlenen veri türü ve risklere uygun teknik ve idari tedbirleri uygular.
8.2. SOLVİERA’nın asgari uygulayacağı tedbirler EK-2 “Teknik/İdari Tedbirler”de listelenmiştir.
8.3. Veri Sorumlusu; kendi sistemleri, uç cihazları, kullanıcı hesapları ve erişim güvenliğinden ayrıca sorumludur.
9. ALT İŞLEYENLER (SUB-PROCESSOR)
9.1. Veri Sorumlusu; SOLVİERA’nın Hizmet’i sunabilmek için Alt İşleyen kullanabileceğini kabul eder.
9.2. SOLVİERA; Alt İşleyenlerin seçimi ve denetiminde makul özeni gösterir ve Alt İşleyenlere bu DPA ile uyumlu veri koruma yükümlülükleri getirir.
9.3. SOLVİERA’nın güncel Alt İşleyen listesi EK-3’te yer alır. SOLVİERA; Alt İşleyen değişikliklerini mümkün oldukça önceden bildirir. Veri Sorumlusu, haklı güvenlik/uyum gerekçesiyle makul süre içinde itiraz edebilir; taraflar alternatif çözüm arar.
9.4. Entegrasyonlar (ör. Google Calendar/Drive, müşteri SMTP sunucusu) kapsamında yapılan veri akışı; ilgili üçüncü tarafın kendi koşullarına tabidir. Veri Sorumlusu, bu entegrasyonların etkinleştirilmesini Talimat olarak vermiş sayılır.
10. YURT DIŞINA AKTARIM
10.1. Hizmet kapsamında Müşteri Kişisel Verileri’nin yurt dışına aktarımı gerekirse; aktarım, KVKK’nın yurt dışı aktarım rejimine uygun şekilde (yeterlilik kararı / uygun güvenceler / istisnai haller) yürütülür.
10.2. Yurt dışı aktarımda “standart sözleşme” mekanizması kullanılacaksa; Taraflar Kurum’un ilan ettiği standart sözleşme metinlerinden uygun olanını imzalamayı ve mevzuattaki bildirim süreçlerini birlikte işletmeyi kabul eder.
10.3. Veri Sorumlusu, entegrasyonları (Google vb.) kendi iradesiyle aktif ediyorsa, bu durumda ilgili aktarımın hukuki sebebi ve gerekli aydınlatma/izinler Veri Sorumlusu sorumluluğundadır; SOLVİERA teknik aracı/işleyen rolüyle Talimat’ı uygular.
11. İLGİLİ KİŞİ BAŞVURULARI VE VERİ SAHİBİ HAKLARI
11.1. Veri Sorumlusu, KVKK m.11 kapsamındaki başvuruları yönetir.
11.2. SOLVİERA; Veri Sorumlusu’nun veri sahibi başvurularına cevap verebilmesi için, makul ölçüde ve mümkün olduğu ölçüde teknik destek sağlar (arama, dışa aktarma, silme, düzeltme, kısıtlama vb.).
11.3. İlgili kişinin başvurusu doğrudan SOLVİERA’ya gelirse; SOLVİERA, başvuruyu uygun şekilde Veri Sorumlusu’na yönlendirir (kimlik doğrulama ve mevzuat gereklilikleri saklıdır).
12. KİŞİSEL VERİ İHLALİ (INCIDENT / BREACH) YÖNETİMİ
12.1. SOLVİERA; Müşteri Kişisel Verileri’ne ilişkin bir kişisel veri ihlali şüphesini öğrendiğinde, gecikmeksizin Veri Sorumlusu’nu bilgilendirir ve ihlalin etkilerini azaltmak için gerekli makul teknik/organizasyonel aksiyonları alır.
12.2. Bildirim; olayın niteliği, etkilenen veri kategorileri/ilgili kişi grupları, muhtemel sonuçlar, alınan/alınacak önlemler ve iletişim noktalarını kapsar.
12.3. Veri Sorumlusu; Kurum’a ve ilgili kişilere yapılacak bildirim yükümlülüklerini kendi veri sorumlusu rolü kapsamında yürütür; SOLVİERA bu süreçte bilgi ve doküman desteği sağlar.
13. DENETİM, UYUMLULUK VE KAYITLAR
13.1. Veri Sorumlusu, SOLVİERA’dan bu DPA kapsamındaki uyum hakkında makul ölçüde bilgi talep edebilir.
13.2. Denetim; (i) yılda en fazla 1 kez, (ii) en az 10 iş günü önceden yazılı bildirimle, (iii) SOLVİERA’nın iş sürekliliğini aksatmayacak şekilde, (iv) gizlilik ve güvenlik kurallarına uygun olarak yapılır.
13.3. SOLVİERA; ticari sır, diğer müşterilerin güvenliği ve veri gizliliği gerekçeleriyle denetimin kapsamını makul ölçüde sınırlayabilir; alternatif olarak bağımsız denetim raporu/sertifika özeti (varsa) paylaşabilir.
13.4. Denetim masrafları, aksi yazılı mutabakat yoksa Veri Sorumlusu’na aittir.
14. VERİLERİN İADESİ, SİLİNMESİ, SAKLAMA
14.1. Abonelik sona erdiğinde; Veri Sorumlusu’nun makul talebi üzerine SOLVİERA, teknik olarak mümkün olduğu ölçüde Müşteri Kişisel Verileri’ni dışa aktarılabilir formatta iade etmeye yardımcı olur.
14.2. İade/silme takvimi: Varsayılan olarak fesih/sona erme tarihinden itibaren 30 gün içinde üretim ortamından silme/anonimleştirme yapılır.
14.3. Yedeklerde bulunan veriler, yedek döngüsü gereği daha geç silinebilir; bu süre boyunca yedekler erişime kapalı/korumalı tutulur ve yalnızca felaket kurtarma amacıyla kullanılabilir.
14.4. Mevzuattan doğan saklama yükümlülüğü veya uyuşmazlık/denetim halleri varsa, ilgili veriler yalnızca gerekli kapsam ve süreyle saklanabilir.
15. TALEP/İNCELEME/RESMİ MAKAM BAŞVURULARI
15.1. SOLVİERA; Müşteri Kişisel Verileri ile ilgili bir resmi makam talebi alırsa, hukuken yasak değilse Veri Sorumlusu’nu bilgilendirir ve talebin kapsamını veri minimizasyonu ile sınırlar.
15.2. SOLVİERA, Veri Sorumlusu’nun önceden yazılı onayı olmaksızın Müşteri Kişisel Verileri’ni üçüncü kişilere açıklamaz (yasal zorunluluklar hariç).
16. SORUMLULUK VE TAZMİN
16.1. Taraflar; KVKK kapsamında kendi rol ve kusurlarına göre sorumludur.
16.2. SOLVİERA; bu DPA’daki yükümlülüklerin ihlali nedeniyle Veri Sorumlusu’nun doğrudan uğradığı zararları, ana abonelik sözleşmesindeki sorumluluk sınırları çerçevesinde tazmin eder (emredici hükümler saklıdır).
16.3. Veri Sorumlusu; hukuka aykırı veri toplama/aktarım, özel nitelikli veri yükleme, gerekli aydınlatma/izinleri almama gibi kendi kusurundan doğan iddialarda SOLVİERA’yı tazmin eder.
17. DPA’NIN ANA SÖZLEŞME İLE İLİŞKİSİ, ÖNCELİK
17.1. Bu DPA, Cari Plus Kullanım Koşulları/Abonelik sözleşmesinin ayrılmaz bir ekidir.
17.2. Kişisel verilerin işlenmesi ve güvenliğine ilişkin hükümler bakımından bu DPA ile ana sözleşme arasında çelişki olması halinde bu DPA hükümleri uygulanır.
18. SÜRE, FESİH
18.1. DPA, ana sözleşme yürürlükte kaldığı sürece yürürlüktedir.
18.2. Taraflardan biri, diğerinin ağır ihlali halinde ihlalin giderilmesi için makul süre vererek sözleşmeyi feshedebilir; veri güvenliği ihlali gibi kritik hallerde derhal fesih hakkı saklıdır.
19. DEĞİŞİKLİKLER
19.1. Bu DPA’daki değişiklikler yazılı mutabakatla yapılır.
19.2. EK-3 Alt İşleyen listesi güncellemeleri, 9. maddeye uygun bildirim/itiraz süreciyle yapılır.
20. UYGULANACAK HUKUK VE YETKİ
Bu DPA Türk Hukuku’na tabidir. Uyuşmazlıkların çözümünde ana sözleşmedeki yetki şartı uygulanır; tüketicinin emredici yetki kuralları saklıdır.
21. İMZA
İşbu DPA, elektronik ortamda onaylanmak suretiyle veya ıslak imza ile [tarih] tarihinde yürürlüğe girmiştir.
VERİ SORUMLUSU (MÜŞTERİ)
Unvan/Ad Soyad: [●]
İmza/Onay: [●]
VERİ İŞLEYEN (SOLVİERA)
Solviera Teknoloji Yazılım ve Dijital Hizmetler Limited Şirketi
İmza/Onay: [●]
EK-1 — İŞLEME DETAYLARI (KONU / AMAÇ / VERİ / İLGİLİ KİŞİ)
Konu: Cari Plus üzerinde Veri Sorumlusu adına kişisel veri işleme (barındırma, görüntüleme, kayıt, raporlama, entegrasyon çalıştırma, yedekleme).
Amaç: Hizmet’in sağlanması, hesap/organizasyon yönetimi, veri saklama ve işlevlerin çalıştırılması, güvenlik, hata giderme, destek.
İşleme Faaliyetleri (örnek): Toplama (Veri Sorumlusu tarafından yükleme), kaydetme, depolama, sınıflandırma, raporlama, erişim sağlama, aktarma (entegrasyonlar), silme/anonimleştirme, loglama.
Veri Kategorileri (örnek):
- Kimlik/iletişim: ad-soyad, e-posta, telefon, adres
- Finans/işlem: cari hareketler, fatura bilgileri, ödeme durumu, vergi bilgileri (VKN/VD)
- Kullanım/güvenlik: IP, log kayıtları, kullanıcı hareketleri
- Entegrasyon verileri: SMTP ayarları, OAuth token/izin kayıtları (kullanıcı talimatıyla)
İlgili Kişi Grupları (örnek): Veri Sorumlusu’nun müşterileri, tedarikçileri, çalışanları, yetkilileri, potansiyel müşterileri ve diğer üçüncü kişiler.
İşleme Süresi: Abonelik süresince + Madde 14’teki silme/iade süreleri.
EK-2 — TEKNİK VE İDARİ TEDBİRLER (ASGARİ)
Aşağıdakiler asgari hedef/taahhüt setidir (risklere göre artırılabilir):
- Erişim kontrolü (rol bazlı), ayrıcalıklı erişim yönetimi
- Parola politikası, mümkünse MFA/2FA (varsa)
- Aktarım sırasında güvenli protokoller (TLS/HTTPS), kritik sırların güvenli saklanması
- Loglama, izleme, anomali tespiti; güvenlik olay yönetimi prosedürü
- Yedekleme, felaket kurtarma ve iş sürekliliği
- Zafiyet yönetimi (güncelleme/patch), güvenlik testleri (makul sıklıkta)
- Veri ayrıştırma (tenant izolasyonu), test ortamında veri maskeleme (mümkünse)
- Çalışan gizlilik taahhütleri, farkındalık eğitimi, disiplin süreçleri
- Alt işleyenlerde sözleşmesel güvenlik maddeleri ve tedarikçi değerlendirmesi
- Silme/anonimleştirme prosedürü ve erişimlerin kapanması
- Olay/ihlal bildirimi ve kanıt muhafazası prosedürü
EK-3 — ALT İŞLEYEN LİSTESİ (DOLDURULACAK ŞABLON)
| Hizmet | Alt İşleyen Ünvan | Ülke | İşleme Amacı | Veri Türü |
|---|---|---|---|---|
| Barındırma / Veri merkezi | [●] | Fn | Depolama/işletim | Müşteri verisi |
| Yedekleme | [●] | TR | Yedekleme | Müşteri verisi |
| Hata izleme / destek altyapısı (varsa) | [●] | [●] | Hata/destek | Log/metadata |
| E-posta bildirim altyapısı (varsa) | [●] | [●] | Bildirim | E-posta |
Not: Google/SMTP entegrasyonları müşteri talimatıyla aktive olur; aktarımın hukuki yönetimi Veri Sorumlusu sorumluluğundadır.
