İçeriğe atla
Buaze ana sayfa
DPA

Veri İşleyici Sözleşmesi (DPA)

ÖZET

KVKK m.12 kapsamında Buaze ile işletme arasında, müşteri verilerinin işlenmesine dair yazılı veri işleyici sözleşmesi.

1. Taraflar#

Veri Sorumlusu ("İşletme"): Platforma kayıtlı, müşterilerinden geri bildirim toplayan restoran / işletme sahibi.

Veri İşleyen ("Buaze"): Buaze

  • Adres: Türkiye
  • E-posta: legal@buaze.com
  • Mersis / Vergi No: [VKN veya MERSIS]

2. Tanımlar#

  • Kişisel Veri: KVKK m. 3'te tanımlandığı şekilde, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin bilgi.
  • İşleme: KVKK m. 3'te tanımlandığı şekilde her türlü işleme faaliyeti.
  • Veri İhlali: Yetkisiz erişim, aktarım, ifşa veya kayıp.

3. İşleme amacı, kapsamı ve süresi#

  • Amaç: İşletmenin müşterilerinden alınan geri bildirimlerin toplanması, raporlanması ve hizmetin sunulması.
  • Kapsam: İşletmenin platforma yüklediği müşteri kimlik, iletişim, yorum ve teknik veriler.
  • Süre: Aboneliğin devamı süresince ve KVKK Aydınlatma Metni m. 6'daki saklama süreleri çerçevesinde.

4. İşletmenin (Veri Sorumlusu) yükümlülükleri#

  • KVKK m. 5 ve m. 6 kapsamında işleme için hukuki sebebi (sözleşme, açık rıza, meşru menfaat vb.) sağlamak,
  • KVKK m. 10 kapsamında müşterilere aydınlatma yapmak,
  • KVKK m. 11 kapsamında ilgili kişi haklarını kullanmasını sağlamak (Buaze gerektiğinde teknik destek verir),
  • Veri Sorumluları Sicili (VERBİS) kayıt yükümlülüğü varsa kaydı tamamlamak,
  • Buaze'ye yalnızca bu sözleşme amaçlarıyla sınırlı veri sağlamak.

5. Buaze'nin (Veri İşleyen) yükümlülükleri#

Buaze, KVKK m. 12/3 uyarınca veri sorumlusu ile birlikte veri güvenliğinden müştereken sorumludur:

  • Verileri yalnızca veri sorumlusunun talimatları doğrultusunda işler. İşletmenin talimatı dışında işleme yapmaz.
  • KVKK m. 12'de öngörülen idari ve teknik tedbirleri alır:

- Şifre hashlame (bcrypt), oturum yönetimi, JWT token + session revocation - TLS 1.2+ ile veri aktarımı - Erişim kontrolü, rol bazlı yetkilendirme (RBAC), audit log - Düzenli güvenlik tarama ve patch yönetimi

  • Çalışanlarına gizlilik yükümlülüğü uygular ve gerekli eğitimi sağlar.
  • Veri işleme alt yükleniciye aktarmak gerekirse İşletmeye bilgi verir; alt yüklenici aynı yükümlülüklere tabi tutulur (m. 8).
  • Sözleşme sona erdiğinde verileri silme veya iade etme yükümlülüğü altındadır (m. 9).

6. Alt veri işleyenler#

Buaze, hizmetin sunulması için aşağıdaki alt yüklenicileri açıkça onaylı olarak kullanır:

| Alt yüklenici | Hizmet kategorisi | Veri lokasyonu | |---|---|---| | Supabase | PostgreSQL veritabanı + dosya depolama | EU (Frankfurt) | | Vercel | Hosting / serverless çalıştırma | ABD (us-east-1) | | Resend | İşlemsel e-posta gönderimi | ABD | | OpenAI | Pulse AI yanıt önerileri (taslak) | ABD | | Sentry | Hata izleme + performans | ABD | | Upstash | Rate limit + cache | EU (Frankfurt) | | Firebase | Google OAuth (yalnız oturum açma) | AB / ABD |

İşletme, hesap oluşturarak bu alt yüklenici listesini açıkça kabul eder. Yeni alt yüklenici eklenmesi durumunda 30 gün önceden bildirim yapılır; İşletme makul gerekçe ile itiraz edebilir, itirazı kabul edilirse hizmet etkilenen kısımda yeniden konfigüre edilir veya İşletme dönem sonunda aboneliği fesheder (iade yapılmaz).

7. Yurt dışı aktarım#

KVKK m. 9 kapsamında, alt-yüklenicilerin bulunduğu ülkelere veri aktarımı gerçekleşir. ABD (Vercel, Resend, OpenAI, Sentry, Firebase) için Kişisel Verileri Koruma Kurulu'nun yeterli koruma kararı bulunmadığından, transfer KVKK m. 9/2(b) açık rıza ve/veya m. 9/2(a) taahhütname çerçevesinde yapılır.

İşletme, platformu kullanmaya başlamasıyla yurt dışı aktarım açık rızasını verir; aktarım yalnızca yukarıdaki tabloda belirtilen amaçlarla yapılır. Açık rıza geri alındığında ilgili hizmet özellikleri (Pulse AI taslak, transactional mail, hata izleme) devre dışı kalır.

8. Veri ihlali bildirimi#

  • Buaze, ihlali öğrendiği andan itibaren 24 saat içinde İşletmeye yazılı bildirim yapar.
  • Bildirim; ihlalin niteliği, etkilenen veri kategorileri, etkilenen ilgili kişi sayısı tahmini, alınan / alınacak önlemleri içerir.
  • İşletme, kendi yükümlülüğü olan KVKK Kurulu bildirimini (en geç 72 saat) gerçekleştirir; Buaze talep edilen bilgi ve belge desteğini sağlar.

9. Denetim hakkı#

İşletme, KVKK m. 12 uyumunu yalnızca belgesel inceleme yoluyla doğrulayabilir. Buaze, talep üzerine ve yılda bir kez:

  • Güvenlik politika özetlerini,
  • Varsa SOC 2 / ISO 27001 türü 3. taraf denetim raporlarının kapak ve sonuç sayfalarını,
  • Yıllık veri ihlali istatistiklerini (anonimleştirilmiş) paylaşır.

Bu hak, Buaze altyapısına yerinde fiziksel erişim, kaynak kod incelemesi, çalışan görüşmesi veya altyapı testleri içermez. KVKK Kurulu'nun yasal soruşturma talepleri saklıdır. Daha kapsamlı denetim ihtiyacı doğarsa taraflar ek protokol imzalayarak masrafı talep eden tarafın üstlendiği bir çerçeve belirler.

10. Sözleşme süresi ve sona erme#

  • Bu sözleşme, ana hizmet sözleşmesi (Platform Kullanım Sözleşmesi) süresince yürürlüktedir.
  • Sözleşme sona erdiğinde Buaze, İşletme talebi üzerine verileri 30 gün içinde silmek veya iade etmek zorundadır. Yasal saklama süresi gerektiren veriler ilgili süre boyunca saklanmaya devam eder ve süresinde silinir.

11. Sorumluluk ve rücu#

Buaze'nin bu sözleşmeden doğan toplam sorumluluğu, ihlalin gerçekleştiği döneme ait son 12 aylık abonelik bedeli ile sınırlıdır; TBK m. 115/2 anlamında ağır kusur veya kasıt halinde bu sınır uygulanmaz.

KVKK Kurulu tarafından İşletmeye (veri sorumlusuna) kesilen idari para cezası veya tazminat talebinin tamamı veya bir kısmı Buaze'nin kusurundan kaynaklanıyorsa, İşletme bu kısmı Buaze'ye rücu edebilir. Buaze, kendi kusur oranıyla sınırlı olmak üzere ödemekle yükümlüdür.

Aksi yönde — yani işletmenin kendi kusurundan kaynaklanan ihlallerden — Buaze sorumlu tutulamaz; bu durumda işletme, Buaze'nin uğradığı maliyetleri (avukat, dış denetim, müşteri bildirim masrafları) Buaze'ye karşılamayı taahhüt eder.

12. Yetkili hukuk ve mahkemeler#

Sözleşme Türk hukukuna tabidir. İstanbul mahkemeleri ve icra daireleri yetkilidir.

Sorularınız için legal@buaze.com