Veri İşleme Sözleşmesi (DPA)
1. Taraflar ve Tanımlar
1.1. Taraflar
VERİ SORUMLUSU: Müşteri şirket (bundan böyle "Veri Sorumlusu" veya "Müşteri" olarak anılacaktır)
VERİ İŞLEYEN: Evaste (Group Taiga bünyesinde), Levent, Istanbul, Turkey, E-posta: dpa@evaste.co (bundan böyle "Veri İşleyen" veya "Evaste" olarak anılacaktır)
1.2. Tanımlar
"Geçerli Veri Koruma Mevzuatı": 6698 sayılı KVKK, AB Genel Veri Koruma Tüzüğü (GDPR), ePrivacy Direktifi ve ilgili tüm ulusal uygulama mevzuatı.
"Kişisel Veri": Kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi.
"İşleme": Kişisel veriler üzerinde gerçekleştirilen toplama, kaydetme, düzenleme, saklama, değiştirme, aktarma, silme gibi her türlü işlem.
"Veri Sorumlusu": Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişi.
"Veri İşleyen": Veri Sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
"Alt İşveren": Veri İşleyen tarafından işleme faaliyetlerinin bir kısmını yürütmek üzere görevlendirilen üçüncü taraf.
"Veri İhlali": Kişisel verilerin kazara veya yasadışı olarak imha edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz ifşası veya erişimi.
"Denetim Otoritesi": Kişisel Verileri Koruma Kurumu (KVKK) ve/veya ilgili AB üye ülkesi veri koruma otoritesi.
"Standart Sözleşme Maddeleri (SCC)": AB Komisyonu tarafından onaylanan uluslararası veri aktarımı için standart sözleşme maddeleri.
2. Sözleşmenin Konusu
2.1. Kapsam
İşbu Veri İşleme Sözleşmesi ("DPA"), Veri Sorumlusu ile Veri İşleyen arasında akdedilen ana hizmet sözleşmesinin ("Ana Sözleşme") ayrılmaz bir parçasıdır ve kişisel verilerin işlenmesine ilişkin tarafların hak ve yükümlülüklerini düzenlemektedir.
2.2. Amaç
Bu DPA'nın amacı:
- GDPR Madde 28 ve KVKK gerekliliklerini karşılamak
- Kişisel verilerin güvenli ve yasal şekilde işlenmesini sağlamak
- Tarafların sorumluluklarını açıkça belirlemek
- Veri sahiplerinin haklarını korumak
2.3. Öncelik
Ana Sözleşme ile bu DPA arasında çelişki olması halinde, kişisel verilerin korunması konusunda bu DPA hükümleri geçerli olacaktır.
3. İşlemenin Niteliği ve Amacı
3.1. İşleme Amacı
Veri İşleyen, Veri Sorumlusu adına kişisel verileri yalnızca aşağıdaki amaçlarla işleyecektir:
- Çerez rıza yönetimi hizmetlerinin sunulması
- Rıza kayıtlarının toplanması, saklanması ve raporlanması
- Çerez tarama ve kategorizasyon hizmetleri
- Gizlilik politikası ve aydınlatma metni oluşturma hizmetleri
- Uyumluluk raporlama hizmetleri
- Müşteri desteği sağlanması
- Ana Sözleşme kapsamındaki diğer hizmetler
3.2. İşleme Süresi
İşleme, Ana Sözleşme süresince ve bu DPA'da belirtilen koşullara uygun olarak devam edecektir.
3.3. İşleme Niteliği
İşleme faaliyetleri şunları içerir: Toplama, Kaydetme, Düzenleme, Yapılandırma, Saklama, Uyarlama, Değiştirme, Geri çağırma, Danışma, Kullanma, Aktarma yoluyla ifşa, Yayma, Erişime sunma, Hizalama, Birleştirme, Kısıtlama, Silme, İmha.
4. Kişisel Veri Türleri ve Veri Sahipleri
4.1. İşlenen Kişisel Veri Kategorileri
| Kategori | Açıklama |
|---|---|
| Tanımlayıcı Veriler | IP adresi, çerez ID, cihaz kimliği |
| Rıza Verileri | Rıza tercihleri, rıza zamanı |
| Teknik Veriler | Tarayıcı türü, işletim sistemi |
| Davranışsal Veriler | Sayfa ziyaretleri, etkileşimler |
| Coğrafi Veriler | Ülke, bölge (IP tabanlı, yaklaşık) |
4.2. Özel Nitelikli Kişisel Veriler
Bu DPA kapsamında özel nitelikli kişisel veriler (KVKK Md. 6, GDPR Md. 9) işlenmemektedir. Veri Sorumlusu, bu tür verileri Evaste hizmetleri aracılığıyla toplamamayı taahhüt eder.
4.3. Veri Sahipleri Kategorileri
İşlenen kişisel veriler aşağıdaki kişilere aittir:
- Veri Sorumlusunun web sitesi ziyaretçileri
- Veri Sorumlusunun mobil uygulama kullanıcıları
- Veri Sorumlusunun müşterileri ve potansiyel müşterileri
4.4. İşlenen Kayıt Hacmi
Tahmini işlenen kayıt hacmi: Ana Sözleşmede belirtilen abonelik planına göre değişkenlik gösterir.
5. Veri İşleyenin Yükümlülükleri
Veri İşleyen aşağıdaki yükümlülükleri üstlenmektedir:
5.1. Talimat Uyumu
- Kişisel verileri yalnızca Veri Sorumlusunun yazılı talimatlarına uygun olarak işleyecektir.
- Bir talimatın geçerli veri koruma mevzuatını ihlal ettiğini düşünüyorsa, Veri Sorumlusunu derhal bilgilendirecektir.
- Ana Sözleşme ve bu DPA, geçerli yazılı talimat niteliğindedir.
5.2. Gizlilik
- Kişisel verilere erişimi olan personelin gizlilik yükümlülüğü altında olmasını sağlayacaktır.
- Personelin yalnızca görevlerini yerine getirmek için gerekli verilere erişmesini sağlayacaktır.
5.3. Güvenlik Tedbirleri
- GDPR Madde 32'de belirtilen uygun teknik ve organizasyonel güvenlik tedbirlerini uygulayacaktır.
- Güvenlik tedbirlerinin yeterliliğini düzenli olarak değerlendirecektir.
- Güvenlik tedbirleri Ek A'da detaylandırılmıştır.
5.4. Alt İşveren Kullanımı
- Veri Sorumlusunun önceden yazılı izni olmadan alt işveren kullanmayacaktır.
- Alt işverenlerle eşdeğer veri koruma yükümlülükleri içeren yazılı sözleşmeler akdedecektir.
5.5. Veri Sahibi Talepleri
- Veri Sorumlusunun veri sahibi taleplerini yanıtlamasına yardımcı olacaktır.
- Doğrudan alınan talepleri Veri Sorumlusuna yönlendirecektir.
5.6. Veri İhlali Bildirimi
- Veri ihlallerini tespit ettiğinde gecikmeksizin (en geç 24 saat içinde) Veri Sorumlusunu bilgilendirecektir.
- İhlale ilişkin tüm bilgi ve belgeleri sağlayacaktır.
5.7. Denetim Desteği
- Veri Sorumlusunun veya yetkili temsilcisinin makul denetim taleplerine yanıt verecektir.
- Denetim otoritesi incelemelerine işbirliği yapacaktır.
5.8. Sözleşme Sonu
- Sözleşme sona erdiğinde, Veri Sorumlusunun talimatına göre kişisel verileri iade edecek veya imha edecektir.
- Yasal saklama yükümlülükleri saklıdır.
6. Veri Sorumlusunun Yükümlülükleri
Veri Sorumlusu aşağıdaki yükümlülükleri üstlenmektedir:
6.1. Yasal Uyum
- Kişisel verilerin toplanması ve kullanılması için geçerli yasal dayanağa sahip olduğunu beyan ve garanti eder.
- Veri sahiplerini gerektiği şekilde bilgilendirmiş ve/veya gerekli rızaları almış olduğunu beyan eder.
6.2. Talimatların Yasallığı
- Veri İşleyene verilen talimatların geçerli veri koruma mevzuatına uygun olduğunu garanti eder.
- Evaste'nin çerez rıza yönetimi hizmetlerinin yasal gerekliliklerini karşıladığından emin olmak Veri Sorumlusunun sorumluluğundadır.
6.3. Bilgilendirme
- Son kullanıcılarına Evaste hizmetleri aracılığıyla yapılan veri işleme hakkında uygun gizlilik bildirimi sağlayacaktır.
- Çerez politikasında Evaste veya ilgili alt işverenleri açıklayacaktır.
6.4. Veri Doğruluğu
- Evaste'ye sağlanan kişisel verilerin doğru ve güncel olmasını sağlayacaktır.
- Gerektiğinde verileri güncelleyecektir.
7. Alt İşveren Kullanımı
7.1. Genel Yetkilendirme
Veri Sorumlusu, Ek B'de listelenen alt işverenlerin kullanımına önceden onay vermektedir (genel yazılı yetkilendirme).
7.2. Yeni Alt İşveren Bildirimi
- Evaste, yeni alt işveren eklemeden önce Veri Sorumlusuna en az 30 (otuz) gün önceden yazılı bildirimde bulunacaktır.
- Bildirim, Veri Sorumlusunun kayıtlı e-posta adresine gönderilecektir.
- Güncel alt işveren listesi https://evaste.co/legal-center/sub-processors adresinde yayınlanmaktadır.
7.3. İtiraz Hakkı
- Veri Sorumlusu, yeni alt işverene 15 (on beş) gün içinde makul gerekçelerle itiraz edebilir.
- İtiraz halinde taraflar iyi niyetli müzakereler yürütecektir.
- Çözüme ulaşılamaması halinde Veri Sorumlusu sözleşmeyi feshedebilir.
7.4. Alt İşveren Sözleşmeleri
- Evaste, alt işverenlerle bu DPA'ya eşdeğer yükümlülükler içeren yazılı sözleşmeler akdedecektir.
- Alt işverenlerin eylemlerinden Veri Sorumlusuna karşı sorumlu olmaya devam edecektir.
8. Uluslararası Veri Aktarımı
8.1. AEA Dışına Aktarım
Kişisel verilerin Avrupa Ekonomik Alanı (AEA) dışına aktarılması halinde:
- Yeterlilik Kararı: AB Komisyonu yeterlilik kararı bulunan ülkelere aktarım yapılabilir.
- Standart Sözleşme Maddeleri (SCC): AB Komisyonu tarafından 4 Haziran 2021 tarihinde kabul edilen SCC'ler uygulanacaktır.
- Ek Tedbirler: Schrems II kararı uyarınca gerekli ek teknik ve organizasyonel tedbirler alınacaktır.
8.2. Transfer Etki Değerlendirmesi
- Evaste, ABD veya diğer üçüncü ülkelere aktarım için transfer etki değerlendirmesi (TIA) yapmıştır.
- TIA sonuçları talep üzerine Veri Sorumlusuyla paylaşılabilir.
8.3. Türkiye'den Aktarım
KVKK Madde 9 uyarınca yurtdışına aktarım için:
- Yeterli koruma bulunan ülkelere aktarım
- Yeterli koruma taahhüdü içeren sözleşme ile aktarım
- Açık rıza ile aktarım
yöntemlerinden uygun olanı uygulanacaktır.
9. Güvenlik Tedbirleri
9.1. Teknik Tedbirler
Evaste aşağıdaki teknik güvenlik tedbirlerini uygulamaktadır:
- Şifreleme: Aktarım sırasında TLS 1.3, Depolama sırasında AES-256
- Erişim Kontrolü: Rol tabanlı erişim kontrolü (RBAC), Çok faktörlü kimlik doğrulama (MFA), En az yetki ilkesi
- Ağ Güvenliği: Güvenlik duvarı (WAF), IDS/IPS sistemleri, DDoS koruması
- Uygulama Güvenliği: OWASP Top 10 koruması, Düzenli güvenlik taramaları, Penetrasyon testleri
9.2. Organizasyonel Tedbirler
- Gizlilik sözleşmeleri (tüm personel)
- Güvenlik farkındalık eğitimleri
- Erişim yetkilendirme prosedürleri
- Olay müdahale planları
9.3. Güvenlik Tedbirlerinin Değerlendirilmesi
- Güvenlik tedbirleri yıllık olarak gözden geçirilir.
- Risk değerlendirmesine göre güncellenir.
- Bağımsız denetimlerle doğrulanır.
10. Denetim Hakları
10.1. Denetim Kapsamı
Veri Sorumlusu, bu DPA yükümlülüklerine uyumu doğrulamak için denetim yapma hakkına sahiptir.
10.2. Denetim Bildirimi
- Denetim talepleri en az 30 (otuz) gün öncesinden yazılı olarak bildirilmelidir.
- Denetim kapsamı ve süresi önceden belirlenmelidir.
- Denetimler normal iş saatleri içinde yapılmalıdır.
10.3. Denetim Yöntemleri
- Yerinde Denetim: Veri Sorumlusu veya yetkili temsilcisi tarafından, Bağımsız denetçi tarafından, Makul maliyetler Veri Sorumlusunca karşılanır
- Uzaktan Denetim: Güvenlik raporları ve sertifikalar incelemesi, Soru-cevap oturumları, Dokümantasyon paylaşımı
10.4. Mevcut Denetim Raporları
Evaste aşağıdaki denetim raporlarını talep üzerine sunabilir:
- SOC 2 Type II raporu
- ISO 27001 sertifikası
- Penetrasyon testi özet raporu
10.5. Gizlilik
Denetim sürecinde elde edilen bilgiler gizli tutulacak ve yalnızca uyumluluk değerlendirmesi amacıyla kullanılacaktır.
11. Veri Sahibi Talepleri
11.1. Talep Yönlendirme
- Evaste'ye doğrudan ulaşan veri sahibi talepleri, kimlik doğrulaması yapılmadan Veri Sorumlusuna yönlendirilecektir.
- Evaste, Veri Sorumlusunu derhal bilgilendirecektir.
11.2. Destek Yükümlülüğü
Evaste, Veri Sorumlusunun aşağıdaki haklarla ilgili talepleri yanıtlamasına yardımcı olacaktır:
- Erişim hakkı
- Düzeltme hakkı
- Silme hakkı ("unutulma hakkı")
- İşlemeyi kısıtlama hakkı
- Veri taşınabilirliği hakkı
- İtiraz hakkı
11.3. Yanıt Süreleri
Evaste, veri sahibi taleplerinin karşılanması için gerekli teknik desteği 10 (on) iş günü içinde sağlayacaktır.
11.4. Teknik Olanaklar
Evaste platformu aşağıdaki self-serviş özellikleri sunar:
- Rıza kayıtlarının dışa aktarımı
- Belirli ziyaretçi verilerinin silinmesi
- Veri erişim raporları
12. Veri İhlali Bildirimi
12.1. Tanım
Bu DPA kapsamında "Veri İhlali", Evaste tarafından işlenen kişisel verilerin kazara veya yasadışı olarak imha edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz ifşası veya erişimi anlamına gelir.
12.2. Bildirim Süresi
- Evaste, veri ihlalinden haberdar olduğu andan itibaren en geç 24 (yirmi dört) saat içinde Veri Sorumlusunu bilgilendirecektir.
- Bildirim: dpa@evaste.co ve Veri Sorumlusunun kayıtlı e-posta adresine yapılacaktır.
12.3. Bildirim İçeriği
İlk bildirimde aşağıdaki bilgiler sağlanacaktır:
- İhlalin niteliği
- Etkilenen veri kategorileri
- Tahmini etkilenen kayıt sayısı
- İlk tespitler ve alınan acil önlemler
- İletişim noktası
12.4. Detaylı Rapor
İlk bildirimden itibaren 72 saat içinde aşağıdakileri içeren detaylı rapor sunulacaktır:
- İhlalin kronolojisi
- Kök neden analizi
- Olası sonuçlar değerlendirmesi
- Alınan ve planlanan düzeltici önlemler
- Etkilenen verilerin tam listesi (mümkünse)
12.5. İşbirliği
Evaste:
- İhlal araştırmasında Veri Sorumlusuyla tam işbirliği yapacaktır.
- Denetim otoritelerine bildirim için gerekli bilgileri sağlayacaktır.
- Etkilenen veri sahiplerine bildirim için destek verecektir.
13. Sözleşme Süresi ve Fesih
13.1. Süre
Bu DPA, Ana Sözleşmenin yürürlükte olduğu süre boyunca geçerlidir.
13.2. Fesih
- Bu DPA, Ana Sözleşmenin feshi ile otomatik olarak sona erer.
- Ağır ihlal halinde taraflardan her biri 30 gün yazılı ihbarla feshedebilir.
13.3. Devam Eden Yükümlülükler
Fesihten sonra aşağıdaki yükümlülükler devam eder:
- Gizlilik yükümlülükleri (süresiz)
- Veri imha/iade yükümlülükleri (90 gün içinde)
- Yasal saklama yükümlülükleri (ilgili süre boyunca)
14. Sözleşme Sonu Veri İmhası
14.1. Veri İade/İmha Seçenekleri
Sözleşme sona erdiğinde, Veri Sorumlusunun talimatına göre:
- Veri İadesi: Yaygın formatta (CSV, JSON) veri aktarımı, Güvenli transfer yöntemleri, 30 gün içinde tamamlanması
- Veri İmhası: Güvenli silme yöntemleri, NIST standartlarına uygun, İmha sertifikası sağlanması
14.2. Saklama İstisnaları
Aşağıdaki durumlarda veriler yasal süre sonuna kadar saklanabilir:
- Vergi mevzuatı gereklilikleri
- Aktif hukuki süreçler
- Denetim otoritesi talepleri
14.3. İmha Sertifikası
Veri imhası tamamlandığında Evaste, imha edilen verileri ve yöntemleri belirten yazılı sertifika sağlayacaktır.
15. Sorumluluk ve Tazminat
15.1. Sorumluluk Dağılımı
- Her taraf, kendi yükümlülüklerinin ihlalinden kaynaklanan zararlardan sorumludur.
- Veri İşleyen, yalnızca kendisine verilen talimatlara uygun davranmadığı veya GDPR'da doğrudan Veri İşleyene yüklenen yükümlülükleri ihlal ettiği ölçüde sorumludur.
15.2. Tazminat
- Taraflar, geçerli veri koruma mevzuatının ihlalinden kaynaklanan idari para cezaları ve veri sahibi taleplerinden birbirlerini tazmin edecektir.
- Tazminat talepleri, kusurun ağırlığına göre belirlenir.
15.3. Sorumluluk Sınırı
Ana Sözleşmedeki sorumluluk sınırlamaları bu DPA için de geçerlidir; ancak:
- Kasıt veya ağır ihmal durumunda uygulanmaz.
- Yasal düzenlemelerle sınırlanan durumlarda uygulanmaz.
16. Gizlilik
16.1. Gizlilik Yükümlülüğü
- Taraflar, bu DPA kapsamında elde ettikleri tüm bilgileri gizli tutacaktır.
- Gizli bilgiler yalnızca sözleşme amaçları için kullanılacaktır.
16.2. İstisnalar
Gizlilik yükümlülüğü aşağıdaki durumlarda uygulanmaz:
- Kamuya açık bilgiler
- Yasal zorunlulukla ifşa edilen bilgiler
- Önceden yazılı izinle paylaşılan bilgiler
16.3. Süre
Gizlilik yükümlülükleri sözleşme süresince ve sona ermesinden sonra süresiz olarak devam eder.
17. Genel Hükümler
17.1. Uygulanacak Hukuk
Bu DPA, Türkiye Cumhuriyeti yasalarına tabidir. GDPR kapsamındaki işleme faaliyetleri için AB veri koruma mevzuatı da geçerlidir.
17.2. Yetkili Mahkeme
Uyuşmazlıklarda İstanbul Mahkemeleri ve İcra Daireleri yetkilidir.
17.3. Değişiklikler
- Bu DPA'da yapılacak değişiklikler yazılı olmalıdır.
- Mevzuat değişiklikleri nedeniyle gerekli güncellemeler derhal uygulanacaktır.
17.4. Bölünebilirlik
Herhangi bir hükmün geçersiz bulunması diğer hükümleri etkilemez.
17.5. Feragat Etmeme
Herhangi bir hakkın kullanılmaması, bu haktan feragat anlamına gelmez.
17.6. Tam Anlaşma
Bu DPA ve ekleri, kişisel veri işleme konusundaki tam anlaşmayı oluşturur.
18. Ekler
Bu DPA'nın ayrılmaz parçaları olan ekler:
- Ek A: Teknik ve Organizasyonel Güvenlik Tedbirleri
- Ek B: Onaylı Alt İşverenler Listesi
- Ek C: AB Standart Sözleşme Maddeleri (SCC)
Standart Sözleşme Maddeleri için: AB Komisyonu 4 Haziran 2021 tarihli Uygulama Kararı (EU) 2021/914 kapsamındaki Standart Sözleşme Maddeleri bu DPA'ya dahildir. Seçilen Modül: Modül 2 (Veri Sorumlusu → Veri İşleyen)
İletişim Bilgileri
Evaste (Group Taiga)
Adres: Levent, Istanbul, Turkey
DPA Talepleri: dpa@evaste.co
Veri Koruma Görevlisi: dpo@evaste.co
Genel: info@evaste.co
Web: https://evaste.co
Veri İşleme Sözleşmesi (DPA)
1. Taraflar ve Tanımlar
1.1. Taraflar
VERİ SORUMLUSU: Müşteri şirket (bundan böyle "Veri Sorumlusu" veya "Müşteri" olarak anılacaktır)
VERİ İŞLEYEN: Evaste (Group Taiga bünyesinde), Levent, Istanbul, Turkey, E-posta: dpa@evaste.co (bundan böyle "Veri İşleyen" veya "Evaste" olarak anılacaktır)
1.2. Tanımlar
"Geçerli Veri Koruma Mevzuatı": 6698 sayılı KVKK, AB Genel Veri Koruma Tüzüğü (GDPR), ePrivacy Direktifi ve ilgili tüm ulusal uygulama mevzuatı.
"Kişisel Veri": Kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi.
"İşleme": Kişisel veriler üzerinde gerçekleştirilen toplama, kaydetme, düzenleme, saklama, değiştirme, aktarma, silme gibi her türlü işlem.
"Veri Sorumlusu": Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişi.
"Veri İşleyen": Veri Sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
"Alt İşveren": Veri İşleyen tarafından işleme faaliyetlerinin bir kısmını yürütmek üzere görevlendirilen üçüncü taraf.
"Veri İhlali": Kişisel verilerin kazara veya yasadışı olarak imha edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz ifşası veya erişimi.
"Denetim Otoritesi": Kişisel Verileri Koruma Kurumu (KVKK) ve/veya ilgili AB üye ülkesi veri koruma otoritesi.
"Standart Sözleşme Maddeleri (SCC)": AB Komisyonu tarafından onaylanan uluslararası veri aktarımı için standart sözleşme maddeleri.
2. Sözleşmenin Konusu
2.1. Kapsam
İşbu Veri İşleme Sözleşmesi ("DPA"), Veri Sorumlusu ile Veri İşleyen arasında akdedilen ana hizmet sözleşmesinin ("Ana Sözleşme") ayrılmaz bir parçasıdır ve kişisel verilerin işlenmesine ilişkin tarafların hak ve yükümlülüklerini düzenlemektedir.
2.2. Amaç
Bu DPA'nın amacı:
- GDPR Madde 28 ve KVKK gerekliliklerini karşılamak
- Kişisel verilerin güvenli ve yasal şekilde işlenmesini sağlamak
- Tarafların sorumluluklarını açıkça belirlemek
- Veri sahiplerinin haklarını korumak
2.3. Öncelik
Ana Sözleşme ile bu DPA arasında çelişki olması halinde, kişisel verilerin korunması konusunda bu DPA hükümleri geçerli olacaktır.
3. İşlemenin Niteliği ve Amacı
3.1. İşleme Amacı
Veri İşleyen, Veri Sorumlusu adına kişisel verileri yalnızca aşağıdaki amaçlarla işleyecektir:
- Çerez rıza yönetimi hizmetlerinin sunulması
- Rıza kayıtlarının toplanması, saklanması ve raporlanması
- Çerez tarama ve kategorizasyon hizmetleri
- Gizlilik politikası ve aydınlatma metni oluşturma hizmetleri
- Uyumluluk raporlama hizmetleri
- Müşteri desteği sağlanması
- Ana Sözleşme kapsamındaki diğer hizmetler
3.2. İşleme Süresi
İşleme, Ana Sözleşme süresince ve bu DPA'da belirtilen koşullara uygun olarak devam edecektir.
3.3. İşleme Niteliği
İşleme faaliyetleri şunları içerir: Toplama, Kaydetme, Düzenleme, Yapılandırma, Saklama, Uyarlama, Değiştirme, Geri çağırma, Danışma, Kullanma, Aktarma yoluyla ifşa, Yayma, Erişime sunma, Hizalama, Birleştirme, Kısıtlama, Silme, İmha.
4. Kişisel Veri Türleri ve Veri Sahipleri
4.1. İşlenen Kişisel Veri Kategorileri
| Kategori | Açıklama |
|---|---|
| Tanımlayıcı Veriler | IP adresi, çerez ID, cihaz kimliği |
| Rıza Verileri | Rıza tercihleri, rıza zamanı |
| Teknik Veriler | Tarayıcı türü, işletim sistemi |
| Davranışsal Veriler | Sayfa ziyaretleri, etkileşimler |
| Coğrafi Veriler | Ülke, bölge (IP tabanlı, yaklaşık) |
4.2. Özel Nitelikli Kişisel Veriler
Bu DPA kapsamında özel nitelikli kişisel veriler (KVKK Md. 6, GDPR Md. 9) işlenmemektedir. Veri Sorumlusu, bu tür verileri Evaste hizmetleri aracılığıyla toplamamayı taahhüt eder.
4.3. Veri Sahipleri Kategorileri
İşlenen kişisel veriler aşağıdaki kişilere aittir:
- Veri Sorumlusunun web sitesi ziyaretçileri
- Veri Sorumlusunun mobil uygulama kullanıcıları
- Veri Sorumlusunun müşterileri ve potansiyel müşterileri
4.4. İşlenen Kayıt Hacmi
Tahmini işlenen kayıt hacmi: Ana Sözleşmede belirtilen abonelik planına göre değişkenlik gösterir.
5. Veri İşleyenin Yükümlülükleri
Veri İşleyen aşağıdaki yükümlülükleri üstlenmektedir:
5.1. Talimat Uyumu
- Kişisel verileri yalnızca Veri Sorumlusunun yazılı talimatlarına uygun olarak işleyecektir.
- Bir talimatın geçerli veri koruma mevzuatını ihlal ettiğini düşünüyorsa, Veri Sorumlusunu derhal bilgilendirecektir.
- Ana Sözleşme ve bu DPA, geçerli yazılı talimat niteliğindedir.
5.2. Gizlilik
- Kişisel verilere erişimi olan personelin gizlilik yükümlülüğü altında olmasını sağlayacaktır.
- Personelin yalnızca görevlerini yerine getirmek için gerekli verilere erişmesini sağlayacaktır.
5.3. Güvenlik Tedbirleri
- GDPR Madde 32'de belirtilen uygun teknik ve organizasyonel güvenlik tedbirlerini uygulayacaktır.
- Güvenlik tedbirlerinin yeterliliğini düzenli olarak değerlendirecektir.
- Güvenlik tedbirleri Ek A'da detaylandırılmıştır.
5.4. Alt İşveren Kullanımı
- Veri Sorumlusunun önceden yazılı izni olmadan alt işveren kullanmayacaktır.
- Alt işverenlerle eşdeğer veri koruma yükümlülükleri içeren yazılı sözleşmeler akdedecektir.
5.5. Veri Sahibi Talepleri
- Veri Sorumlusunun veri sahibi taleplerini yanıtlamasına yardımcı olacaktır.
- Doğrudan alınan talepleri Veri Sorumlusuna yönlendirecektir.
5.6. Veri İhlali Bildirimi
- Veri ihlallerini tespit ettiğinde gecikmeksizin (en geç 24 saat içinde) Veri Sorumlusunu bilgilendirecektir.
- İhlale ilişkin tüm bilgi ve belgeleri sağlayacaktır.
5.7. Denetim Desteği
- Veri Sorumlusunun veya yetkili temsilcisinin makul denetim taleplerine yanıt verecektir.
- Denetim otoritesi incelemelerine işbirliği yapacaktır.
5.8. Sözleşme Sonu
- Sözleşme sona erdiğinde, Veri Sorumlusunun talimatına göre kişisel verileri iade edecek veya imha edecektir.
- Yasal saklama yükümlülükleri saklıdır.
6. Veri Sorumlusunun Yükümlülükleri
Veri Sorumlusu aşağıdaki yükümlülükleri üstlenmektedir:
6.1. Yasal Uyum
- Kişisel verilerin toplanması ve kullanılması için geçerli yasal dayanağa sahip olduğunu beyan ve garanti eder.
- Veri sahiplerini gerektiği şekilde bilgilendirmiş ve/veya gerekli rızaları almış olduğunu beyan eder.
6.2. Talimatların Yasallığı
- Veri İşleyene verilen talimatların geçerli veri koruma mevzuatına uygun olduğunu garanti eder.
- Evaste'nin çerez rıza yönetimi hizmetlerinin yasal gerekliliklerini karşıladığından emin olmak Veri Sorumlusunun sorumluluğundadır.
6.3. Bilgilendirme
- Son kullanıcılarına Evaste hizmetleri aracılığıyla yapılan veri işleme hakkında uygun gizlilik bildirimi sağlayacaktır.
- Çerez politikasında Evaste veya ilgili alt işverenleri açıklayacaktır.
6.4. Veri Doğruluğu
- Evaste'ye sağlanan kişisel verilerin doğru ve güncel olmasını sağlayacaktır.
- Gerektiğinde verileri güncelleyecektir.
7. Alt İşveren Kullanımı
7.1. Genel Yetkilendirme
Veri Sorumlusu, Ek B'de listelenen alt işverenlerin kullanımına önceden onay vermektedir (genel yazılı yetkilendirme).
7.2. Yeni Alt İşveren Bildirimi
- Evaste, yeni alt işveren eklemeden önce Veri Sorumlusuna en az 30 (otuz) gün önceden yazılı bildirimde bulunacaktır.
- Bildirim, Veri Sorumlusunun kayıtlı e-posta adresine gönderilecektir.
- Güncel alt işveren listesi https://evaste.co/legal-center/sub-processors adresinde yayınlanmaktadır.
7.3. İtiraz Hakkı
- Veri Sorumlusu, yeni alt işverene 15 (on beş) gün içinde makul gerekçelerle itiraz edebilir.
- İtiraz halinde taraflar iyi niyetli müzakereler yürütecektir.
- Çözüme ulaşılamaması halinde Veri Sorumlusu sözleşmeyi feshedebilir.
7.4. Alt İşveren Sözleşmeleri
- Evaste, alt işverenlerle bu DPA'ya eşdeğer yükümlülükler içeren yazılı sözleşmeler akdedecektir.
- Alt işverenlerin eylemlerinden Veri Sorumlusuna karşı sorumlu olmaya devam edecektir.
8. Uluslararası Veri Aktarımı
8.1. AEA Dışına Aktarım
Kişisel verilerin Avrupa Ekonomik Alanı (AEA) dışına aktarılması halinde:
- Yeterlilik Kararı: AB Komisyonu yeterlilik kararı bulunan ülkelere aktarım yapılabilir.
- Standart Sözleşme Maddeleri (SCC): AB Komisyonu tarafından 4 Haziran 2021 tarihinde kabul edilen SCC'ler uygulanacaktır.
- Ek Tedbirler: Schrems II kararı uyarınca gerekli ek teknik ve organizasyonel tedbirler alınacaktır.
8.2. Transfer Etki Değerlendirmesi
- Evaste, ABD veya diğer üçüncü ülkelere aktarım için transfer etki değerlendirmesi (TIA) yapmıştır.
- TIA sonuçları talep üzerine Veri Sorumlusuyla paylaşılabilir.
8.3. Türkiye'den Aktarım
KVKK Madde 9 uyarınca yurtdışına aktarım için:
- Yeterli koruma bulunan ülkelere aktarım
- Yeterli koruma taahhüdü içeren sözleşme ile aktarım
- Açık rıza ile aktarım
yöntemlerinden uygun olanı uygulanacaktır.
9. Güvenlik Tedbirleri
9.1. Teknik Tedbirler
Evaste aşağıdaki teknik güvenlik tedbirlerini uygulamaktadır:
- Şifreleme: Aktarım sırasında TLS 1.3, Depolama sırasında AES-256
- Erişim Kontrolü: Rol tabanlı erişim kontrolü (RBAC), Çok faktörlü kimlik doğrulama (MFA), En az yetki ilkesi
- Ağ Güvenliği: Güvenlik duvarı (WAF), IDS/IPS sistemleri, DDoS koruması
- Uygulama Güvenliği: OWASP Top 10 koruması, Düzenli güvenlik taramaları, Penetrasyon testleri
9.2. Organizasyonel Tedbirler
- Gizlilik sözleşmeleri (tüm personel)
- Güvenlik farkındalık eğitimleri
- Erişim yetkilendirme prosedürleri
- Olay müdahale planları
9.3. Güvenlik Tedbirlerinin Değerlendirilmesi
- Güvenlik tedbirleri yıllık olarak gözden geçirilir.
- Risk değerlendirmesine göre güncellenir.
- Bağımsız denetimlerle doğrulanır.
10. Denetim Hakları
10.1. Denetim Kapsamı
Veri Sorumlusu, bu DPA yükümlülüklerine uyumu doğrulamak için denetim yapma hakkına sahiptir.
10.2. Denetim Bildirimi
- Denetim talepleri en az 30 (otuz) gün öncesinden yazılı olarak bildirilmelidir.
- Denetim kapsamı ve süresi önceden belirlenmelidir.
- Denetimler normal iş saatleri içinde yapılmalıdır.
10.3. Denetim Yöntemleri
- Yerinde Denetim: Veri Sorumlusu veya yetkili temsilcisi tarafından, Bağımsız denetçi tarafından, Makul maliyetler Veri Sorumlusunca karşılanır
- Uzaktan Denetim: Güvenlik raporları ve sertifikalar incelemesi, Soru-cevap oturumları, Dokümantasyon paylaşımı
10.4. Mevcut Denetim Raporları
Evaste aşağıdaki denetim raporlarını talep üzerine sunabilir:
- SOC 2 Type II raporu
- ISO 27001 sertifikası
- Penetrasyon testi özet raporu
10.5. Gizlilik
Denetim sürecinde elde edilen bilgiler gizli tutulacak ve yalnızca uyumluluk değerlendirmesi amacıyla kullanılacaktır.
11. Veri Sahibi Talepleri
11.1. Talep Yönlendirme
- Evaste'ye doğrudan ulaşan veri sahibi talepleri, kimlik doğrulaması yapılmadan Veri Sorumlusuna yönlendirilecektir.
- Evaste, Veri Sorumlusunu derhal bilgilendirecektir.
11.2. Destek Yükümlülüğü
Evaste, Veri Sorumlusunun aşağıdaki haklarla ilgili talepleri yanıtlamasına yardımcı olacaktır:
- Erişim hakkı
- Düzeltme hakkı
- Silme hakkı ("unutulma hakkı")
- İşlemeyi kısıtlama hakkı
- Veri taşınabilirliği hakkı
- İtiraz hakkı
11.3. Yanıt Süreleri
Evaste, veri sahibi taleplerinin karşılanması için gerekli teknik desteği 10 (on) iş günü içinde sağlayacaktır.
11.4. Teknik Olanaklar
Evaste platformu aşağıdaki self-serviş özellikleri sunar:
- Rıza kayıtlarının dışa aktarımı
- Belirli ziyaretçi verilerinin silinmesi
- Veri erişim raporları
12. Veri İhlali Bildirimi
12.1. Tanım
Bu DPA kapsamında "Veri İhlali", Evaste tarafından işlenen kişisel verilerin kazara veya yasadışı olarak imha edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz ifşası veya erişimi anlamına gelir.
12.2. Bildirim Süresi
- Evaste, veri ihlalinden haberdar olduğu andan itibaren en geç 24 (yirmi dört) saat içinde Veri Sorumlusunu bilgilendirecektir.
- Bildirim: dpa@evaste.co ve Veri Sorumlusunun kayıtlı e-posta adresine yapılacaktır.
12.3. Bildirim İçeriği
İlk bildirimde aşağıdaki bilgiler sağlanacaktır:
- İhlalin niteliği
- Etkilenen veri kategorileri
- Tahmini etkilenen kayıt sayısı
- İlk tespitler ve alınan acil önlemler
- İletişim noktası
12.4. Detaylı Rapor
İlk bildirimden itibaren 72 saat içinde aşağıdakileri içeren detaylı rapor sunulacaktır:
- İhlalin kronolojisi
- Kök neden analizi
- Olası sonuçlar değerlendirmesi
- Alınan ve planlanan düzeltici önlemler
- Etkilenen verilerin tam listesi (mümkünse)
12.5. İşbirliği
Evaste:
- İhlal araştırmasında Veri Sorumlusuyla tam işbirliği yapacaktır.
- Denetim otoritelerine bildirim için gerekli bilgileri sağlayacaktır.
- Etkilenen veri sahiplerine bildirim için destek verecektir.
13. Sözleşme Süresi ve Fesih
13.1. Süre
Bu DPA, Ana Sözleşmenin yürürlükte olduğu süre boyunca geçerlidir.
13.2. Fesih
- Bu DPA, Ana Sözleşmenin feshi ile otomatik olarak sona erer.
- Ağır ihlal halinde taraflardan her biri 30 gün yazılı ihbarla feshedebilir.
13.3. Devam Eden Yükümlülükler
Fesihten sonra aşağıdaki yükümlülükler devam eder:
- Gizlilik yükümlülükleri (süresiz)
- Veri imha/iade yükümlülükleri (90 gün içinde)
- Yasal saklama yükümlülükleri (ilgili süre boyunca)
14. Sözleşme Sonu Veri İmhası
14.1. Veri İade/İmha Seçenekleri
Sözleşme sona erdiğinde, Veri Sorumlusunun talimatına göre:
- Veri İadesi: Yaygın formatta (CSV, JSON) veri aktarımı, Güvenli transfer yöntemleri, 30 gün içinde tamamlanması
- Veri İmhası: Güvenli silme yöntemleri, NIST standartlarına uygun, İmha sertifikası sağlanması
14.2. Saklama İstisnaları
Aşağıdaki durumlarda veriler yasal süre sonuna kadar saklanabilir:
- Vergi mevzuatı gereklilikleri
- Aktif hukuki süreçler
- Denetim otoritesi talepleri
14.3. İmha Sertifikası
Veri imhası tamamlandığında Evaste, imha edilen verileri ve yöntemleri belirten yazılı sertifika sağlayacaktır.
15. Sorumluluk ve Tazminat
15.1. Sorumluluk Dağılımı
- Her taraf, kendi yükümlülüklerinin ihlalinden kaynaklanan zararlardan sorumludur.
- Veri İşleyen, yalnızca kendisine verilen talimatlara uygun davranmadığı veya GDPR'da doğrudan Veri İşleyene yüklenen yükümlülükleri ihlal ettiği ölçüde sorumludur.
15.2. Tazminat
- Taraflar, geçerli veri koruma mevzuatının ihlalinden kaynaklanan idari para cezaları ve veri sahibi taleplerinden birbirlerini tazmin edecektir.
- Tazminat talepleri, kusurun ağırlığına göre belirlenir.
15.3. Sorumluluk Sınırı
Ana Sözleşmedeki sorumluluk sınırlamaları bu DPA için de geçerlidir; ancak:
- Kasıt veya ağır ihmal durumunda uygulanmaz.
- Yasal düzenlemelerle sınırlanan durumlarda uygulanmaz.
16. Gizlilik
16.1. Gizlilik Yükümlülüğü
- Taraflar, bu DPA kapsamında elde ettikleri tüm bilgileri gizli tutacaktır.
- Gizli bilgiler yalnızca sözleşme amaçları için kullanılacaktır.
16.2. İstisnalar
Gizlilik yükümlülüğü aşağıdaki durumlarda uygulanmaz:
- Kamuya açık bilgiler
- Yasal zorunlulukla ifşa edilen bilgiler
- Önceden yazılı izinle paylaşılan bilgiler
16.3. Süre
Gizlilik yükümlülükleri sözleşme süresince ve sona ermesinden sonra süresiz olarak devam eder.
17. Genel Hükümler
17.1. Uygulanacak Hukuk
Bu DPA, Türkiye Cumhuriyeti yasalarına tabidir. GDPR kapsamındaki işleme faaliyetleri için AB veri koruma mevzuatı da geçerlidir.
17.2. Yetkili Mahkeme
Uyuşmazlıklarda İstanbul Mahkemeleri ve İcra Daireleri yetkilidir.
17.3. Değişiklikler
- Bu DPA'da yapılacak değişiklikler yazılı olmalıdır.
- Mevzuat değişiklikleri nedeniyle gerekli güncellemeler derhal uygulanacaktır.
17.4. Bölünebilirlik
Herhangi bir hükmün geçersiz bulunması diğer hükümleri etkilemez.
17.5. Feragat Etmeme
Herhangi bir hakkın kullanılmaması, bu haktan feragat anlamına gelmez.
17.6. Tam Anlaşma
Bu DPA ve ekleri, kişisel veri işleme konusundaki tam anlaşmayı oluşturur.
18. Ekler
Bu DPA'nın ayrılmaz parçaları olan ekler:
- Ek A: Teknik ve Organizasyonel Güvenlik Tedbirleri
- Ek B: Onaylı Alt İşverenler Listesi
- Ek C: AB Standart Sözleşme Maddeleri (SCC)
Standart Sözleşme Maddeleri için: AB Komisyonu 4 Haziran 2021 tarihli Uygulama Kararı (EU) 2021/914 kapsamındaki Standart Sözleşme Maddeleri bu DPA'ya dahildir. Seçilen Modül: Modül 2 (Veri Sorumlusu → Veri İşleyen)
İletişim Bilgileri
Evaste (Group Taiga)
Adres: Levent, Istanbul, Turkey
DPA Talepleri: dpa@evaste.co
Veri Koruma Görevlisi: dpo@evaste.co
Genel: info@evaste.co
Web: https://evaste.co