Veri İşleme Sözleşmesi
Özet
GDPR 28. madde kapsamında işleyen-sorumlu şartları; alt işleyenler ve güvenlik dahil.
1. Özet
Bu Veri İşleme Sözleşmesi (“DPA”), Kullanım Şartları ile Qoro platformunun kullanıldığı durumlarda Flexton LLC'nin (“İşleyen”) Tenant (“Sorumlu”) adına kişisel veri işlediği her durumda, GDPR Md. 28 ve KVKK uyumluluğu sağlamak üzere tarafların karşılıklı yükümlülüklerini düzenler. DPA, Kullanım Şartları'nın ayrılmaz bir parçasıdır (Şartlar Md. 9/9.2 — “Exhibit A”).
2. Tanımlar
Aşağıdaki terimler, aksi belirtilmedikçe GDPR ve KVKK'daki anlamlarıyla kullanılır: “Kişisel Veri”, “Sorumlu”, “İşleyen”, “Alt İşleyen”, “İlgili Kişi”, “İhlal”, “Aktarım”.
- Sorumlu: Tenant (Qoro'yu kullanan işletme) — Son Kullanıcı verilerine ilişkin.
- İşleyen: Flexton LLC.
- Alt İşleyen: Flexton'un Qoro platformunu sunmak için kullandığı üçüncü taraf altyapı/veri işleme sağlayıcıları (Exhibit A).
3. İşleme Detayları
- Konu: Qoro platformunun sağlanması — sipariş, menü, müşteri etkileşimi, ödeme, raporlama.
- Süre: Kullanım Şartları kapsamındaki abonelik ilişkisinin süresi.
- Niteliği ve amacı: Tenant'ın Qoro platformunu operasyonel olarak kullanması için gerekli veri işleme faaliyetleri.
- Veri kategorileri: Bakınız Gizlilik Politikası Md. 3 — Tenant hesap verisi, Tenant verisi, Son Kullanıcı sipariş verisi, teknik/kullanım verisi.
- İlgili kişiler: Tenant personeli, Son Kullanıcı (Tenant'ın müşterisi).
4. İşleyenin Yükümlülükleri
- Kişisel verileri yalnızca Sorumlu'nun belgelenmiş talimatları doğrultusunda işler (yasa gereği aksi zorunlu değilse).
- Verilere erişim yetkisi olan personelin gizlilik yükümlülüğüne bağlı olmasını sağlar.
- GDPR Md. 32 / KVKK Md. 12 gereği teknik ve idari güvenlik önlemlerini uygular (Exhibit B).
- Bu DPA Md. 5 çerçevesinde alt işleyenler kullanır ve onlara bu DPA'daki yükümlülüklerle eşdeğer yükümlülükler yükler.
- Sorumlu'nun kendi yükümlülüklerini (ilgili kişi talepleri, ihlal bildirimi, etki değerlendirmesi) yerine getirmesine makul düzeyde yardım eder.
- Sözleşme sona erdiğinde kişisel verileri Sorumlu'ya iade eder veya — Sorumlu aksini istemezse veya yasal saklama yükümlülüğü bulunmazsa — siler.
5. Alt İşleyenler
Sorumlu, İşleyen'in Exhibit A'da listelenen alt işleyenleri kullanmasına genel olarak yetki verir. Yeni bir alt işleyen eklenmesi veya mevcutlarda değişiklik yapılması halinde Sorumlu'ya en az 30 gün önceden bildirim yapılır. Sorumlu, makul gerekçeyle bu değişikliğe itiraz edebilir; çözüm sağlanamazsa Sorumlu, aboneliği etkilenen hizmet kapsamında feshedebilir.
6. İlgili Kişi Haklarına Yardım
İşleyen, makul teknik ve idari tedbirlerle — ör. erişim/düzeltme/silme/export arayüzleri ve API'lar — Sorumlu'nun ilgili kişi taleplerini (GDPR Md. 15-22 / KVKK Md. 11) yerine getirmesine yardım eder. Platform içi Privacy Centre ile self-servis araçlar Blok G-II ile gelir.
7. Güvenlik Önlemleri
İşleyen, Exhibit B'de sayılan güvenlik önlemlerini uygular ve bu önlemleri, gelişen risklere ve teknolojik gelişmelere göre gözden geçirir.
8. İhlal Bildirimi
İşleyen, bir kişisel veri ihlalinden haberdar olduktan sonra gecikmeksizin ve en geç 72 saat içinde Sorumlu'yu bilgilendirir. Bildirim; ihlalin niteliği, etkilenen veri kategorileri ve ilgili kişi sayısı, olası sonuçları ve alınan/alınacak tedbirlere ilişkin bilgileri içerir.
9. Denetim Hakkı
Sorumlu, yılda bir defa (veya makul gerekçeyle daha sık) ve önceden yazılı bildirim yaparak, İşleyen'in bu DPA'ya uygunluğunu denetleme hakkına sahiptir. Denetimler, operasyonel güvenlik ihlaline yol açmayacak ve birden fazla Sorumlu kullanan platform için bağımsız üçüncü taraf (ISO 27001, SOC 2 vb.) denetim raporları üzerinden yürütülecek şekilde makul surette yapılandırılır. Doğrudan yerinde denetim talebi için ek bir ücret uygulanabilir.
10. Uluslararası Aktarım
Exhibit A'da belirtilen alt işleyenlerin bir kısmı AB dışında (ABD) yerleşiktir. Bu aktarımlar için AB Komisyonu'nun Standart Sözleşme Hükümleri (SCC) 2021/914 (Modül 2 — Sorumlu-İşleyen; Modül 3 — İşleyen-Alt İşleyen) uygulanır. Türkiye'den yapılan aktarımlar için KVKK Md. 9 kapsamında taahhütname veya açık rıza güvenceleri devreye alınır.
11. Sona Erme ve İade/Silme
Kullanım Şartları sona erdiğinde Tenant Verisi 30 gün salt-okunur export penceresiyle tutulur, ardından silinir. Sorumlu aksini talep ederse iade edilir. Yasal saklama yükümlülüklerine tabi kayıtlar (örn. fatura) anonimleştirilerek arşivde tutulur.
Exhibit A — Alt İşleyenler
Qoro'yu sunmak için kullanılan alt işleyenler ve rolleri. Her alt işleyen ile GDPR Md. 28'e uygun veri işleme sözleşmesi akdedilmiştir. Güncel liste bu sayfada yayımlanır; değişiklik durumunda Md. 5'teki bildirim süreci uygulanır.
- Uygulama barındırma / edge: ABD + AB-Batı (global edge). Amaç: Uygulama sunucusu, SSR render, edge middleware. Aktarım: ABD ve AB-Batı.
- Veritabanı & kimlik doğrulama: AB-Batı (Frankfurt/İrlanda). Amaç: Tenant ve Son Kullanıcı verilerinin saklanması, auth session yönetimi.
- Ödeme işlemcisi: ABD/İrlanda. Amaç: Abonelik ücreti tahsilatı, fatura PDF üretimi. Aktarım: ABD (SCC Modül 3).
- E-posta iletimi: AB-Batı. Amaç: İşlemsel e-posta (sipariş teyidi, fatura, şifre sıfırlama) ve — açık rıza verilmiş ise — pazarlama e-postası.
- Hata izleme: AB-Batı. Amaç: Platform hata ve performans izleme. Yalnızca kullanıcının analitik çerez rızası vermesi halinde aktif.
- Bot savunması: Global edge (Cloudflare). Amaç: Form/bot koruması (Turnstile), DDoS azaltımı.
Exhibit B — Güvenlik Önlemleri
- Şifreleme: TLS 1.2+ iletimde; AES-256 depoda.
- Row-Level Security (RLS): Veritabanı seviyesinde tenant yalıtımı.
- Kimlik doğrulama: bcrypt/argon2 ile hash'lenmiş parolalar, opsiyonel WebAuthn/passkey, iki faktörlü doğrulama.
- Erişim kontrolü: En az ayrıcalık prensibi; rol bazlı erişim (RBAC), platform kayıt defteri, zorunlu 2FA çalışan hesapları için.
- Yedekleme: Günlük otomatik yedekleme; felaket kurtarma test planı.
- Ağ ve altyapı güvenliği: WAF, rate limiting, Turnstile bot savunması, güvenlik alarm izleme.
- Log ve izleme: Auth denetim logu, sistem güvenlik logu, yapılandırma değişikliği kaydı.
- Güvenlik süreçleri: İhlal yanıt runbook'u; üçüncü taraf güvenlik değerlendirmesi (yıllık); GDPR/KVKK etki değerlendirmesi (DPIA) süreci.
- Veri minimizasyonu: Varsayılan olarak Son Kullanıcı isim/ telefon/e-posta toplanmaz — yalnızca Tenant tarafından opsiyonel olarak etkinleştirilirse.
İletişim
Veri koruma irtibat noktası: hello@qoro.cc
Flexton LLC, 7901 4th St N, Suite 300, St. Petersburg, FL 33702, United States.