Veri Isleme Sozlesmesi (DPA)
Veri Isleme Sozlesmesi (Data Processing Agreement - DPA)
UYARI: Bu metin taslaktir. Yayina almadan once hukuk musaviri review'indan gecirilmelidir.
Son guncelleme: 2026-01-15
1. Amac ve Kapsam
Bu Veri Isleme Sozlesmesi (DPA), kurumsal musteriler ile Gumruk AI ("Isleyici") arasinda imzalanir. KVKK ve uygun olduğu durumda GDPR cercevesinde, Veri Sorumlusu (musteri) tarafindan Isleyiciye aktarilan kisisel verilerin islenmesini duzenler.
DPA, ana hizmet sozlesmesinin ayrilmaz bir parcasidir; ana sozlesme ile celismesi halinde DPA hukumleri oncelikle uygulanir.
2. Tanimlar
- Veri Sorumlusu: Kurumsal musteri.
- Isleyici: Gumruk AI hizmet saglayicisi.
- Alt Isleyici (Sub-Processor): Isleyicinin hizmet saglarken yararlandigi 3. taraflar.
- Kisisel Veri: KVKK m.3 ve GDPR m.4 anlaminda.
3. Isleme Konusu, Sure, Niteligi
- Konu: Hizmet sozlesmesinde tanimlanan asistan platform islevleri.
- Sure: Hizmet sozlesmesi yururlukte oldugu surece + KVKK uyarinca gerekli saklama sureleri.
- Nitelik: Otomatize isleme; OCR, LLM ile metin analizi, vergi/GTIP hesabi, belge depolama.
- Veri kategorileri: Calisan kimlik bilgileri, e-posta, gumruk evraki icerikleri, sorgu kayitlari.
- Veri Sahipleri: Musteri calisanlari, musterinin musterileri (gumruk evraki uzerinden dolayli).
4. Veri Sorumlusunun Yukumlulukleri
- Aktarilan verinin hukuka uygun toplanmis olmasi
- Veri sahiplerinin aydinlatilmasi
- Acik riza gerektiren islemler icin riza alinmasi
- Isleyiciye dogru talimat verilmesi
5. Isleyicinin Yukumlulukleri
- Veriyi yalnizca Veri Sorumlusunun yazili talimati uzerine islemek
- Calisanlarinin gizlilik yukumlulugu altinda olmasini saglamak
- Asagidaki teknik ve idari tedbirleri uygulamak (Madde 6)
- Veri ihlali halinde 72 saat icinde Veri Sorumlusunu bilgilendirmek
- Sub-processor degisikliklerini en az 30 gun once bildirmek
- Veri Sorumlusu istedigi takdirde, ana sozlesme sonunda verinin imhasi/iadesi
6. Teknik ve Idari Tedbirler (Security Measures)
- TLS 1.2+ ile tum trafik sifrelemesi
- PBKDF2-SHA256 ile parola hashing
- Refresh token aile yapisi + replay-detection
- Database access role-based (RBAC); pgvector + Postgres role isolation
- Audit kayitlari (730 gun) + immutable arsiv
- PII scrub (Sentry hata izleri)
- Multi-factor authentication (TOTP, kurumsal SSO)
- Yedekleme: gunluk + 14 gun retention
- Gizlilik / siber guvenlik egitimi (yillik)
- Erisim loglari ve anomali tespiti (V4-D'de S3 tabanli arsive yukseltilir)
7. Alt Isleyiciler (Sub-Processors)
Isleyici, hizmet saglarken /legal/sub-processors sayfasinda yayinlanan alt isleyicilerden yararlanir. Veri Sorumlusu, bu liste degistiginde 30 gun icinde itiraz hakkina sahiptir; itiraz halinde sozlesme sonlandirilir veya alternatif cozum aranir.
Tum alt isleyicilerle gizlilik ve veri koruma yukumlulukleri yazili olarak akdedilmistir.
8. Veri Aktarim Kosullari
KVKK m.9 uyarinca yurt disi aktarim ya Kurul tarafindan yeterli koruma onayi olan ulkelere ya da yeterli koruma taahhudunu iceren yazili bir taahhutname ile yapilir.
GDPR icin Standard Contractual Clauses (SCC) veya Adequacy Decision uyarinca aktarim saglanir.
9. Audit Hakki
Veri Sorumlusu, makul bildirim suresi (en az 14 gun) ve calisma saatleri icinde, masraflari kendisine ait olmak uzere ve gizlilik taahhudu altinda kalmak suretiyle, Isleyicinin uygulamalarinin DPA'ya uygunlugunu kontrol etme hakkina sahiptir. Audit yilda en fazla 1 kez yapilabilir; ihlal supheleri haricinde.
Isleyici, bagimsiz 3. taraf audit raporlarini (varsa) Veri Sorumlusu ile paylasarak fiziksel audit ihtiyacini azaltir.
10. Veri Ihlali Bildirimi
Isleyici, KVKK m.12 ve GDPR m.33 uyarinca bir veri ihlali tespit ettiginde 72 saat icinde Veri Sorumlusuna bildirim yapar. Bildirim su bilgileri icerir.
- Ihlal turu, etkilenen veri kategorileri, tahmini kayit sayisi
- Olasi sonuclar
- Alinan / alinacak tedbirler
- Iletisim noktasi
11. Veri Sahibi Talepleri
Veri sahipleri tarafindan Isleyiciye dogrudan ulasan talepler, Veri Sorumlusuna 5 is gunu icinde iletilir. Isleyici talebe yanit verme yetkisine sahip degildir; yalnizca Veri Sorumlusunun talimatiyla teknik destek saglar.
12. Sozlesme Sonu
Sozlesme sona erdiginde Veri Sorumlusunun talebine gore veriler 30 gun icinde imha veya iade edilir. Imha sertifikasi talep edilebilir. Yasal saklama sureleri haricinde tutulamaz.
13. Sorumluluk
Sozlesme ihlalinden dogan zararlar bakimindan ana sozlesmedeki sorumluluk sinirlamalari uygulanir; ancak GDPR/KVKK kapsaminda yapilan idari para cezalari sinirlamalardan istisnadir.
14. Imzalar
Bu DPA, kurumsal musteri tarafindan e-imzali olarak veya yetkili imza beyaniyla onaylanir. Imza bilgileri ana sozlesmenin ekinde tutulur.
Bu taslak DPA, kurumsal satis baslamadan once mutlaka hukuk musaviri tarafindan revize edilmeli ve son haline getirilmelidir.