Veri İşleme Sözleşmesi
Bu Veri İşleme Sözleşmesi (DPA), Genel Veri Koruma Yönetmeliği'nin (GDPR) 28. Maddesi uyarınca yapılmıştır ve Hizmet Şartlarının bir parçasını oluşturur. Danışanlarımız adına ClientFlow tarafından kişisel verilerin işlenmesini düzenler.
Versiyon 2.0 | Son Güncelleme: Aralık 2024
1. Taraflar
Veri Sorumlusu
Siz, danışan (işlemenin amaçlarını ve araçlarını belirleyen kuruluş)
Veri İşleyen
ClientFlow (kişisel verileri sizin adınıza işler)
1.1 İşleme Kapsamı
Bu DPA, aşağıdaki durumlarda kişisel verilerin işlenmesi için geçerlidir:
- ClientFlow, Hizmeti sağlamanın bir parçası olarak Veri Sorumlusu adına kişisel verileri işler
- İşleme, Veri Sorumlusunun danışan ilişkilerinin yönetimi ile ilgilidir
- Veri konuları, Veri Sorumlusunun danışanları ve iş bağlantılarıdır
İşleme Faaliyetleri
- Danışan iletişim bilgilerinin depolanması ve organizasyonu
- Ödeme işlemlerinin kaydedilmesi ve takibi
- Yetkili iletişimlerin gönderilmesi (hatırlatıcılar, bildirimler)
- Toplu verilere dayalı analiz ve raporların oluşturulması
2. Veri Kategorileri
| Kategori | Örnekler | Amaç |
|---|---|---|
| Hesap Verileri | E-posta, ad, profil resmi | Hizmet erişimi |
| Danışan Verileri | Danışan isimleri, telefonlar, e-postalar | CRM işlevselliği |
| Ödeme Kayıtları | Tutarlar, tarihler, durumlar | Ödeme takibi |
| Kullanım Verileri | Giriş zamanları, özellik kullanımı | Güvenlik, iyileştirme |
3. İşleyen Yükümlülükleri
Yapacaklarımız:
- Verileri yalnızca belgelenmiş talimatlarınız doğrultusunda işlemek
- Personelin gizlilik yükümlülüğüne tabi olmasını sağlamak
- Uygun güvenlik önlemlerini uygulamak
- Veri sahibi taleplerine yardımcı olmak
- Veri ihlallerini 72 saat içinde size bildirmek
- Fesihin ardından verileri silmek (saklama süresi sonrasında)
4. Güvenlik Önlemleri
Teknik
- TLS 1.3 (aktarım)
- AES-256 (bekleme)
- OAuth 2.0 kimlik doğrulaması
- Rol tabanlı erişim kontrolü
- Gerçek zamanlı izleme
Organizasyonel
- Yazılı güvenlik ve veri işleme uygulamaları
- Olay müdahale prosedürü
- Tedarikçi ve alt işleyici incelemeleri
- Veriye erişimi olan herkes için gizlilik yükümlülükleri
- Üretim sistemleri için değişiklik yönetimi
5. Alt İşleyenler
Aşağıdaki yetkili alt işleyenleri kullanıyoruz:
| Sağlayıcı | Hizmet | Konum | DPF |
|---|---|---|---|
| Google Cloud | Kimlik doğrulama | ABD | Evet |
| iyzico | Ödemeler | Türkiye | SCC'ler |
| Meta (WhatsApp) | Mesajlaşma | ABD | Evet |
| Tekrar Gönder | E-posta | ABD | SCC'ler |
| Hetzner | Barındırma ve Veritabanı | Almanya (AB) | SCC'ler |
| Cloudflare | CDN ve Depolama | AB | Evet |
DPF = AB-ABD Veri Gizliliği Çerçevesi sertifikalı
Alt İşleyen Değişiklikleri
Alt işleyenlerdeki amaçlanan değişiklikleri size bildireceğiz:
- Alt işleyenleri eklemeden veya değiştirmeden en az 14 gün önceden bildirim
- Kayıtlı hesap e-posta adresinize e-posta ile bildirim
- Değişikliklere 14 gün içinde bizimle iletişime geçerek itiraz edebilirsiniz
- İtirazınız çözülemezse, etkilenen hizmetleri feshedebilirsiniz
5.1 Denetim Hakları
Veri Sorumlusu, bu DPA'ya uyumu doğrulama hakkına sahiptir:
- İlgili dokümantasyon ve sertifikaları talep etme
- En az 30 gün önceden yazılı bildirimle denetim yapma
- Denetimler normal çalışma saatleri içinde yapılmalıdır
- Denetçi bir gizlilik sözleşmesi imzalamalıdır
Denetim Kapsamı
- Güvenlik önlemleri ve teknik korumalar
- Alt işleyen uyumluluğu
- Veri işleme prosedürleri
- Olay müdahale yetenekleri
Denetim, önemli bir uyumsuzluk ortaya çıkarmadıkça Veri Sorumlusu tarafından karşılanacaktır.
6. Veri Saklama ve Silme
Kişisel verileri yalnızca açıklanan amaçlar için gerekli olduğu veya yürürlükteki mevzuatın gerektirdiği süre boyunca saklıyoruz (ör. muhasebe ve ticari kayıtların 10 yıla kadar saklanmasını gerektiren Vergi Usul Kanunu ve Türk Ticaret Kanunu).
| Zaman Çizelgesi | İşlem |
|---|---|
| Hesap silme talebinde | Aktif müşteri verileri 30 gün içinde kaldırılır veya anonimleştirilir |
| 10 yıla kadar | Vergi ve ticaret mevzuatının gerektirdiği ödeme ve faturalama kayıtları saklanır |
| Sözleşme sona erdiğinde | Yasal saklama yükümlülükleri geçerli olmadıkça kişisel veriler 30 gün içinde iade edilir veya silinir |
7. CCPA Hükümleri
CCPA kapsamında "Hizmet Sağlayıcı" olarak hareket ediyoruz ve:
- Verileri yalnızca belirtilen iş amaçları için işleriz
- Kişisel bilgileri satmayız
- Tüketici hakları taleplerine yardımcı oluruz
- Makul güvenlik önlemlerini uygularız
8. Veri İhlali Bildirimi
Kişisel veri ihlali durumunda, aşağıdakileri taahhüt ediyoruz:
Bildirim Zaman Çizelgesi
- İhlalin farkına varıldıktan itibaren 72 saat içinde size bildirim
- İhlal kapsamı ve etkisinin ilk değerlendirmesinin sağlanması
- 5 iş günü içinde ayrıntılı yazılı bildirim sağlama
Bildirim İçeriği
- İhlalin niteliği, etkilenen veri sahiplerinin kategorileri ve yaklaşık sayısı
- Takip soruları için gizlilik iletişim bilgileri
- İhlalin olası sonuçlarının açıklaması
- İhlali ele almak için alınan veya önerilen önlemler
- Olası olumsuz etkileri azaltmaya yönelik önlemler
Soruşturmanız ve herhangi bir düzenleyici sorgulamayla tam olarak işbirliği yapacağız ve geçerli yasalarca gerekli olduğu şekilde denetim makamlarına ve etkilenen bireylere ihlal bildirimlerinde yardımcı olacağız.
9. Uluslararası Veri Transferleri
Kişisel veriler Avrupa Ekonomik Alanı (AEA) dışına transfer edildiğinde, uygun koruma önlemlerini sağlarız:
Transfer Mekanizmaları
AB Yeterlilik Kararları
Avrupa Komisyonu tarafından yeterli kabul edilen ülkelere transferler
AB-ABD Veri Gizliliği Çerçevesi
DPF kapsamında sertifikalandırılmış ABD tabanlı işleyiciler için
Standart Sözleşme Hükümleri (SCC)
Diğer transferler için AB Komisyonu onaylı hükümler (2021 versiyonu)
Gerektiğinde transfer etki değerlendirmeleri yapıyoruz ve esasen eşdeğer bir koruma seviyesi sağlamak için gerektiğinde ek önlemler (teknik, organizasyonel ve sözleşmeli) uyguluyoruz.
Talep üzerine ilgili transfer mekanizmalarının kopyalarını talep edebilirsiniz.
10. Sorumluluk ve Tazminat
İşleyen Sorumluluğu
ClientFlow, bu DPA'ya uymayan veya Veri Sorumlusunun yasal talimatları dışında veya aksine hareket ettiğimiz işlemlerden kaynaklanan hasarlardan sorumlu olacaktır.
Veri Sorumlusu Sorumluluğu
Veri Sorumlusu, geçerli veri koruma yasasını ihlal eden veya bu DPA kapsamındaki Veri Sorumlusunun yükümlülüklerine uymayan işlemlerden kaynaklanan hasarlardan sorumlu olacaktır.
Sınırlamalar
- Hiçbir taraf dolaylı, arızi veya sonuç olarak ortaya çıkan hasarlardan sorumlu olmayacaktır
- Bu DPA kapsamındaki toplam toplam sorumluluk, talebin öncesindeki 12 ayda ödenen ücretlerle sınırlıdır
- Bu sınırlamalar gizlilik ihlalleri, kasıtlı suistimal veya ağır ihmal durumlarında geçerli değildir
Her taraf, tazmin eden tarafın bu DPA'nın veya geçerli veri koruma yasalarının ihlalinden kaynaklanan üçüncü taraf taleplerinden diğerini tazmin etmeyi kabul eder.
11. Fesih ve Veri İadesi
Süre
Bu DPA, Hizmet Sözleşmesinin süresi boyunca ve sizin adınıza kişisel verileri işlediğimiz sürece yürürlükte kalır.
Fesihin Ardından
- Tercihinize göre, tüm kişisel verileri 30 gün içinde iade edeceğiz veya sileceğiz
- Yaygın olarak kullanılan makine tarafından okunabilir bir formatta veri dışa aktarımı talep edebilirsiniz
- Talep üzerine silme işlemini onaylayacağız
- Geçerli yasalar gerektirdiğinde veriler saklanabilir
Gizlilik, sorumluluk ve veri koruma haklarına ilişkin bölümler bu DPA'nın feshinden sonra da geçerliliğini sürdürecektir.