Bu Veri İşleyen Sözleşmesi ("DPA" veya "Sözleşme"), Mert Can Batur (Planimore) ("Planimore", "Veri İşleyen") ile Planimore platformunu kullanan işletme sahibi ("Müşteri", "Veri Sorumlusu") arasında, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve ilgili mevzuat çerçevesinde kişisel verilerin işlenmesine ilişkin hak ve yükümlülükleri düzenlemektedir.
Bu DPA, Planimore Kullanım Koşulları'nın ayrılmaz bir parçasını oluşturur ve işletme kaydı sırasında onaylanmaktadır.
1. Tanımlar
- Veri Sorumlusu (Müşteri): Planimore platformunu kullanarak kendi müşterilerinin kişisel verilerini toplayan ve işleme amacını belirleyen gerçek veya tüzel kişi.
- Veri İşleyen (Planimore): Veri Sorumlusu adına ve talimatı doğrultusunda kişisel verileri işleyen Mert Can Batur (Planimore)
- Kişisel Veri: Kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi (ad, telefon numarası, randevu bilgileri vb.).
- Alt İşleyen: Planimore tarafından, Veri Sorumlusu adına kişisel veri işleme faaliyetleri yürütmek üzere görevlendirilen üçüncü taraf hizmet sağlayıcı.
- Veri İhlali: İletilen, saklanan veya işlenen kişisel verilerin yanlışlıkla veya hukuka aykırı olarak imha edilmesi, kaybolması, değiştirilmesi, yetkisiz ifşa edilmesi veya erişilmesi.
2. İşlemenin Konusu ve Amacı
Planimore, Veri Sorumlusu'nun randevu yönetim platformunu kullanabilmesi amacıyla, Veri Sorumlusu adına aşağıdaki kişisel verileri işler:
- İşleme Amacı: Randevu oluşturma, yönetme, hatırlatma bildirimleri gönderme, müşteri kayıtlarını saklama ve platform hizmetlerinin sunulması.
- İşlenen Veri Kategorileri: Müşteri adı ve soyadı, telefon numarası, randevu tarihi/saati/hizmet bilgisi, ödeme durumu (tutar), SMS mesaj geçmişi.
- Veri Sahipleri: Veri Sorumlusu'nun son kullanıcıları (müşterileri).
- İşleme Süresi: Kullanım Koşulları kapsamındaki hizmet süresi ve sonrasında aşağıda belirtilen saklama süreleri.
3. Planimore'nun (Veri İşleyen) Yükümlülükleri
Planimore aşağıdaki yükümlülükleri kabul eder:
- Kişisel verileri yalnızca Veri Sorumlusu'nun belgelenmiş talimatları doğrultusunda işlemek.
- Kişisel verilere erişimi olan personelin gizlilik yükümlülüğü altında olduğunu güvence altına almak.
- KVKK Madde 12 kapsamında uygun teknik ve idari güvenlik tedbirlerini almak (bcrypt şifreleme, HTTPS, erişim kontrolü, güvenlik duvarı).
- Veri Sorumlusu'nun onayı olmaksızın başka bir veri işleyeni (alt işleyen) görevlendirmemek; bu DPA'nın 6. maddesinde belirtilen alt işleyenler için onay zaten verilmiş sayılmaktadır.
- İşlemenin niteliği göz önünde bulundurularak, veri sahiplerinin haklarına ilişkin talepleri Veri Sorumlusu'na iletmek için uygun teknik ve organizasyonel önlemleri almak.
- Veri Sorumlusu'nun KVKK'dan doğan yükümlülüklerini yerine getirmesine yardımcı olmak.
- Veri İşleyen tarafından işlenen tüm kişisel verileri, hizmetin sona ermesinin ardından 30 (otuz) gün içinde silmek veya iade etmek; Veri Sorumlusu'nun tercihi doğrultusunda hareket etmek.
- Bir Veri İhlali tespit edilmesi durumunda Veri Sorumlusu'nu en geç 72 saat içinde bilgilendirmek.
4. Veri Sorumlusunun (Müşteri) Yükümlülükleri
Veri Sorumlusu aşağıdaki yükümlülükleri kabul eder:
- Kendi müşterilerine ilişkin kişisel veri işleme faaliyetlerinin KVKK kapsamındaki tüm yasal gerekliliklerine uygun olduğunu güvence altına almak.
- Kendi müşterilerini, kişisel verilerinin işlenmesi konusunda KVKK Madde 10 uyarınca usulüne uygun biçimde aydınlatmak.
- Özel nitelikli kişisel veri (sağlık, cilt durumu vb.) işlenmesi gerektiğinde, ilgili kişilerden gerekli açık rızayı almak.
- Kendi VERBİS yükümlülüklerini (eşik değerleri aştığı durumlarda) yerine getirmek.
- Planimore'ya yalnızca hukuka uygun talimatlar vermek ve Planimore'nun söz konusu talimatları yerine getirmesinin KVKK'yı ihlal ettiğine dair bilgi sahibi olduğunda Planimore'yu derhal haberdar etmek.
5. Güvenlik Tedbirleri
Planimore, kişisel verilerin güvenliğini sağlamak amacıyla aşağıdaki teknik ve idari tedbirleri uygulamaktadır:
- Tüm veri iletişiminde TLS/SSL şifrelemesi
- Kullanıcı şifrelerinin bcrypt (12 rounds) ile hashlenmesi
- Rol tabanlı erişim kontrolü (RBAC)
- Veritabanı erişiminin yalnızca uygulama katmanı üzerinden sağlanması
- Düzenli veritabanı yedekleme
- API rate limiting ve güvenlik izleme
- JWT tabanlı kimlik doğrulama (httpOnly cookie)
6. Alt İşleyenler
Veri Sorumlusu, Planimore'nun aşağıdaki alt işleyenleri kullanmasına bu DPA kapsamında önceden onay vermektedir. Planimore, alt işleyenlerle bu DPA ile eşdeğer veri koruma yükümlülükleri içeren sözleşmeler yapmaktadır.
| Alt İşleyen | Hizmet | Konum |
|---|
| Railway Inc. | Uygulama ve veritabanı barındırma (PostgreSQL) | ABD (AWS altyapısı) |
| Verimor Telekomunikasyon A.Ş. | SMS bildirimleri (randevu hatırlatma, OTP) | Türkiye |
Planimore, yeni bir alt işleyen eklemeden veya mevcut alt işleyen ile devam etmemeden önce Veri Sorumlusu'na makul süre öncesinde bildirimde bulunacaktır.
7. Yurt Dışına Veri Aktarımı
Planimore, Railway Inc. altyapısını kullanması nedeniyle kişisel verileri ABD'de bulunan sunucularda işleyebilmektedir. Bu aktarım, Railway Inc.'in standart sözleşme hükümleri ve güvenlik sertifikasyonları (SOC 2) çerçevesinde gerçekleştirilmektedir.
Veri Sorumlusu, kendi müşterilerinden bu yurt dışına veri aktarımına ilişkin gerekli bilgilendirmeyi ve gerektiğinde açık rızayı alacağını kabul eder.
8. Veri Sahibi Talepleri
Veri Sorumlusu'nun kendi müşterilerinden (veri sahiplerinden) KVKK kapsamındaki haklara (silme, düzeltme, erişim, taşınabilirlik vb.) ilişkin talepler alması durumunda, Planimore Veri Sorumlusu'na bu talepleri karşılamak için gerekli teknik imkânları sunacaktır.
Veri sahiplerinin doğrudan Planimore'ya yönelttiği talepler en geç 3 (üç) iş günü içinde Veri Sorumlusu'na iletilecektir.
9. Veri Saklama ve Silme
- Aktif hesaplara ait veriler, hizmet süresi boyunca saklanır.
- Hesap kapatma veya abonelik iptali durumunda veriler, Veri Sorumlusu'nun talebi üzerine 30 gün içinde kalıcı olarak silinir veya dışa aktarım yapılarak iade edilir.
- Yasal zorunluluk gerektiren durumlarda (vergi, muhasebe vb.) ilgili veriler yasal saklama süresi boyunca muhafaza edilebilir.
10. Gizlilik İhlali Bildirimi
Planimore, bir kişisel veri ihlalini tespit ettiğinde, Veri Sorumlusu'nu ihlal hakkında 72 (yetmiş iki) saat içinde e-posta ile bilgilendirecektir. Bildirimde en azından şunlar yer alacaktır:
- İhlalin niteliği ve ilgili kişisel veri kategorileri
- Etkilenen yaklaşık kişi sayısı
- Alınan veya alınması önerilen önlemler
- İletişim kurulabilecek kişi adı ve iletişim bilgileri
11. Denetim ve Uyum
Veri Sorumlusu, Planimore'nun bu DPA kapsamındaki yükümlülüklere uyumunu doğrulamak amacıyla makul ön bildirimle denetim talep edebilir. Planimore, Veri Sorumlusu'na veya yetkilendirdiği denetçiye denetim için gerekli bilgi ve belgelere erişim sağlayacaktır.
12. Süre ve Fesih
Bu DPA, Kullanım Koşulları'nın yürürlükte olduğu sürece geçerliliğini korur. Kullanım Koşulları'nın sona ermesi veya feshi ile birlikte bu DPA da kendiliğinden sona erer.
13. Uygulanacak Hukuk
Bu DPA, Türkiye Cumhuriyeti hukukuna tabidir. Uyuşmazlıklar için İstanbul Mahkemeleri ve İcra Daireleri yetkilidir.
14. İletişim