Buaze ana sayfa
DPA

Veri İşleyici Sözleşmesi (DPA)

ÖZET

KVKK m.12 kapsamında Buaze ile işletme arasında, müşteri verilerinin işlenmesine dair yazılı veri işleyici sözleşmesi.

1. Taraflar#

Veri Sorumlusu ("İşletme"): Platforma kayıtlı, müşterilerinden geri bildirim toplayan restoran / işletme sahibi.

Veri İşleyen ("Buaze"): Buaze

  • Adres: Türkiye
  • E-posta: legal@buaze.com
  • Mersis / Vergi No: [VKN veya MERSIS]

2. Tanımlar#

  • Kişisel Veri: KVKK m. 3'te tanımlandığı şekilde, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin bilgi.
  • İşleme: KVKK m. 3'te tanımlandığı şekilde her türlü işleme faaliyeti.
  • Veri İhlali: Yetkisiz erişim, aktarım, ifşa veya kayıp.

3. İşleme amacı, kapsamı ve süresi#

  • Amaç: İşletmenin müşterilerinden alınan geri bildirimlerin toplanması, raporlanması ve hizmetin sunulması.
  • Kapsam: İşletmenin platforma yüklediği müşteri kimlik, iletişim, yorum ve teknik veriler.
  • Süre: Aboneliğin devamı süresince ve KVKK Aydınlatma Metni m. 6'daki saklama süreleri çerçevesinde.

4. İşletmenin (Veri Sorumlusu) yükümlülükleri#

  • KVKK m. 5 ve m. 6 kapsamında işleme için hukuki sebebi (sözleşme, açık rıza, meşru menfaat vb.) sağlamak,
  • KVKK m. 10 kapsamında müşterilere aydınlatma yapmak,
  • KVKK m. 11 kapsamında ilgili kişi haklarını kullanmasını sağlamak (Buaze gerektiğinde teknik destek verir),
  • Veri Sorumluları Sicili (VERBİS) kayıt yükümlülüğü varsa kaydı tamamlamak,
  • Buaze'ye yalnızca bu sözleşme amaçlarıyla sınırlı veri sağlamak.

5. Buaze'nin (Veri İşleyen) yükümlülükleri#

Buaze, KVKK m. 12/3 uyarınca veri sorumlusu ile birlikte veri güvenliğinden müştereken sorumludur:

  • Verileri yalnızca veri sorumlusunun talimatları doğrultusunda işler. İşletmenin talimatı dışında işleme yapmaz.
  • KVKK m. 12'de öngörülen idari ve teknik tedbirleri alır:

- Şifre hashlame (bcrypt), oturum yönetimi, JWT token + session revocation - TLS 1.2+ ile veri aktarımı - Erişim kontrolü, rol bazlı yetkilendirme (RBAC), audit log - Düzenli güvenlik tarama ve patch yönetimi

  • Çalışanlarına gizlilik yükümlülüğü uygular ve gerekli eğitimi sağlar.
  • Veri işleme alt yükleniciye aktarmak gerekirse İşletmeye bilgi verir; alt yüklenici aynı yükümlülüklere tabi tutulur (m. 8).
  • Sözleşme sona erdiğinde verileri silme veya iade etme yükümlülüğü altındadır (m. 9).

6. Alt veri işleyenler#

Buaze, hizmetin sunulması için aşağıdaki kategori alt yüklenicileri kullanır:

  • Bulut altyapı (sunucu / veri tabanı barındırma)
  • E-posta gönderim sağlayıcısı
  • Hata izleme / gözlem (Sentry vb.)
  • Ödeme altyapısı

Güncel alt yüklenici listesi legal@buaze.com adresinden talep üzerine sağlanır. Yeni alt yüklenici eklenmesi durumunda 30 gün önceden bildirim yapılır; İşletme makul gerekçe ile itiraz edebilir.

7. Yurt dışı aktarım#

KVKK m. 9 koşulları (yeterli korumaya sahip ülke kararı veya taahhütname) sağlanmadıkça yurt dışına aktarım yapılmaz. Mevcut altyapı sağlayıcılarımızın bulunduğu bölgeler legal@buaze.com adresinden talep üzerine paylaşılır.

8. Veri ihlali bildirimi#

  • Buaze, ihlali öğrendiği andan itibaren 24 saat içinde İşletmeye yazılı bildirim yapar.
  • Bildirim; ihlalin niteliği, etkilenen veri kategorileri, etkilenen ilgili kişi sayısı tahmini, alınan / alınacak önlemleri içerir.
  • İşletme, kendi yükümlülüğü olan KVKK Kurulu bildirimini (en geç 72 saat) gerçekleştirir; Buaze talep edilen bilgi ve belge desteğini sağlar.

9. Denetim hakkı#

İşletme, yılda bir kez ve makul süre öncesinden bildirim yaparak, Buaze'nin bu sözleşmeye ve KVKK m. 12'ye uyumunu denetleyebilir. Denetim; uzaktan veya kabul edilmiş üçüncü taraf denetim raporu (örn. ISO 27001) ile yürütülür.

10. Sözleşme süresi ve sona erme#

  • Bu sözleşme, ana hizmet sözleşmesi (Platform Kullanım Sözleşmesi) süresince yürürlüktedir.
  • Sözleşme sona erdiğinde Buaze, İşletme talebi üzerine verileri 30 gün içinde silmek veya iade etmek zorundadır. Yasal saklama süresi gerektiren veriler ilgili süre boyunca saklanmaya devam eder ve süresinde silinir.

11. Sorumluluk ve rücu#

Buaze'nin bu sözleşmeden doğan toplam sorumluluğu, ihlalin gerçekleştiği döneme ait son 12 aylık abonelik bedeli ile sınırlıdır; TBK m. 115/2 anlamında ağır kusur veya kasıt halinde bu sınır uygulanmaz.

KVKK Kurulu tarafından İşletmeye (veri sorumlusuna) kesilen idari para cezası veya tazminat talebinin tamamı veya bir kısmı Buaze'nin kusurundan kaynaklanıyorsa, İşletme bu kısmı Buaze'ye rücu edebilir. Buaze, kendi kusur oranıyla sınırlı olmak üzere ödemekle yükümlüdür.

Aksi yönde — yani işletmenin kendi kusurundan kaynaklanan ihlallerden — Buaze sorumlu tutulamaz; bu durumda işletme, Buaze'nin uğradığı maliyetleri (avukat, dış denetim, müşteri bildirim masrafları) Buaze'ye karşılamayı taahhüt eder.

12. Yetkili hukuk ve mahkemeler#

Sözleşme Türk hukukuna tabidir. İstanbul mahkemeleri ve icra daireleri yetkilidir.

Sorularınız için legal@buaze.com