Veri İşleme Sözleşmesi (DPA)
Taraflar
Veri Sorumlusu (pilot mali müşavir): Mali müşavirlik bürosunun ticari unvanı, VKN, adres ve irtibat bilgileri kayıt formuyla doldurulur.
Veri İşleyen (PratikYedek): Berhan Tecer; KVKK irtibat kvkk@pratikyedek.com.
1. Tanımlar
| Terim | Tanım |
|---|---|
| KVKK | 6698 sayılı Kişisel Verilerin Korunması Kanunu |
| Veri Sorumlusu | Pilot mali müşavir; mukelleflerin verileri için yasal sahip |
| Veri İşleyen | PratikYedek (Berhan Tecer) |
| Alt-İşleyen | PratikYedek'in hizmet alımı yaptığı 3. taraflar |
| Hizmet | PratikYedek bulut yedekleme platformu |
2. Konu ve süre
Bu sözleşme, Veri Sorumlusu'nun mukelleflerine ait kişisel verilerin Veri İşleyen tarafından işlenmesini düzenler. Süre: pilot süresince (30 gün); ücretli abonelik devamı halinde abonelik boyunca otomatik uzar. Fesih: 30 gün önceden yazılı bildirim.
Fesih sonrası 30 gün cooldown içinde kişisel veriler gerçek silme ile silinir; TTK m.82 + VUK 10 yıl yasal saklama gereken kayıtlar ayrı saklanır.
3. İşlenen kişisel veri kategorileri
- Kimlik bilgileri: ad, soyad, e-posta, telefon (sadece Veri Sorumlusu hesabı)
- Mukellef bilgileri: VKN/TCKN, mukellef adı, e-posta (Veri Sorumlusu girer; PratikYedek bu verileri okumaz, sadece şifrelenmiş halde saklar)
- Yedek dosya içeriği: e-Defter, e-Fatura, beyanname (uçtan uca client-side encrypted)
- Erişim logları: IP, User-Agent, oturum, audit_log (KVKK § 12)
- Faturalama: ödeme türü, kart son 4 hane (PaynKolay PCI-DSS)
İşlenmeyen: sağlık, biyometrik, dini inanç, cinsel hayat (özel nitelikli — KVKK § 6); yedek içeriği plaintext.
4. İşleme amaçları
- Bulut yedekleme hizmetinin sunulması
- Faturalama ve abonelik yönetimi
- Teknik destek ve hata giderme (GlitchTip self-hosted, VDS Türkiye — PII scrub aktif)
- Yasal saklama yükümlülükleri (TTK m.82 + VUK 10 yıl)
- Pilot programının başarısının ölçülmesi (anonim agregat metrikler)
Yapılmaz: Pazarlama (3. taraflara satış), profilleme, AI eğitim verisi, kullanıcı yedek içeriklerinin okunması/indekslenmesi.
5. Alt-işleyenler (KVKK § 9 yurt dışı transfer dahil)
| Alt-işleyen | Hizmet | Veri | Konum | Yurt dışı? |
|---|---|---|---|---|
| GlitchTip self-hosted (sentry.pratikyedek.com) | Hata izleme | Stack trace + request_id (PII scrub'lı) | Türkiye (VDS) | HAYIR |
| Foriba | e-Arşiv GİB | Fatura içeriği + VKN | Türkiye | Hayır |
| PaynKolay | Sanal POS | Kart son 4 hane | Türkiye | Hayır |
| Kobikom / NetGSM / Turkcell / TT Mesaj / Vodafone | SMS OTP | Cep telefonu | Türkiye | Hayır |
| Google (BYOS Drive — opsiyonel) | Bireysel BYOS | Şifrelenmiş blob | Çoklu | EVET — kullanıcı sözleşmesi |
| Microsoft (BYOS OneDrive — opsiyonel) | Bireysel BYOS | Şifrelenmiş blob | AB | EVET — kullanıcı sözleşmesi |
| Cloudflare | DNS + edge | IP, request log | Çoklu (TR edge tercih) | EVET — KVKK § 9 |
Mali müşavir paketinde BYOS yasaktır (TTK m.82 + VUK 10 yıl Türkiye sınırı). Yeni alt-işleyen eklenirse Veri Sorumlusu 30 gün önceden bilgilendirilir; itiraz hakkı vardır.
6. Veri İşleyen yükümlülükleri
- Kişisel verileri sadece bu sözleşmedeki amaçlar için işler
- Erişim sadece yetkili personel ile sınırlıdır (Berhan + ileride 4-eyes 2. yönetici)
- Encryption-at-rest (LUKS dm-crypt) + Encryption-in-transit (TLS 1.2+)
- Uçtan uca şifreleme (client-side; key kullanıcıda)
- WAL+PITR 5 dk hassasiyetli point-in-time recovery
- Penetrasyon testi yıllık (Faz 4 öncesi ilk)
- VERBİS kaydı (Faz 4 öncesi)
- KVKK § 12 ihlali halinde 72 saat içinde Veri Sorumlusu'na bildirim
- KVKK § 11 hak taleplerine 30 gün içinde cevap
7. Veri Sorumlusu yükümlülükleri
- Mukelleflerinden KVKK § 5 açık rıza alır (kendi Aydınlatma Metni ile)
- Yüklenen dosyaların yasal sahipliği kendisindedir
- Şifre ve encryption key güvenliğinin sahibidir; kayıp halinde PratikYedek kurtarma garantisi vermez (zero-knowledge)
- Pilot süresince haftalık feedback formuna katılmayı taahhüt eder
8. Veri sızıntısı / olay yönetimi
- Tespit: Berhan + GlitchTip alarm + log tabanlı tespit
- Bildirim süresi: 72 saat (Veri Sorumlusu'na) + 72 saat (KVK Kurulu'na — KVKK § 12/5)
- İçerik: ihlal mahiyeti, etkilenen kayıt sayısı, alınan önlemler
- Pilot sızıntısında: pilot otomatik askıya alınır + ücretsiz veri export
9. Veri saklama ve silme
- Aktif: Hizmet süresi boyunca
- Pasif (silme talebi sonrası): 30 gün cooldown (KVKK § 7)
- Yasal (TTK + VUK): 10 yıl ayrı encrypted archive
- Gerçek silme: WAL replay dahil (docs/INFRA/postgres-pitr.md)
- Silme sertifikası: Ed25519 imzalı PDF + sha256 hash chain
10. Hak talepleri (KVKK § 11)
Mukellef veya pilot kullanıcı talep ederse: Berhan, Veri Sorumlusu mali müşaviri 5 iş günü içinde bilgilendirir; talep Veri Sorumlusu yönlendirmesiyle işlenir (yasal sahip mali müşavir).
11. Sözleşme değişiklikleri
Pilot sonrası ücretli abonelikte otomatik yenilenir; mevzuat değişikliklerinde 30 gün önceden güncellenmiş metin gönderilir.
12. Uyuşmazlık çözümü
İstanbul mahkemeleri ve icra dairelerinin yetki alanı. KVKK Kurulu'na şikayet hakkı saklıdır.
13. İmza süreci
Veri Sorumlusu kayıt sırasında "DPA'yı kabul ediyorum" kutusunu işaretler; ıslak imza tarama PDF olarak yüklenir; PratikYedek tarafından imzalı son hal e-posta ile gönderilir.