Veri İşleyen Sözleşmesi

İşbu Veri İşleyen Sözleşmesi ("DPA"); Akitle hizmetini kullanan kira firması ("Veri Sorumlusu", KVKK m.3/ı uyarınca) ile Akitle ("Veri İşleyen", KVKK m.3/ğ uyarınca) arasında kurulur.

DPA, Veri Sorumlusu'nun Akitle hesabını oluşturarak Kullanım Koşulları'nı kabul etmesiyle yürürlüğe girer ve hizmet kullanıldığı sürece geçerlidir.

• Konu: Kira sözleşmesi hazırlama, paylaşma, imza akışı, denetim kaydı tutma ve mühürlü PDF üretme.
• Süre: Veri Sorumlusu hesabının aktif olduğu süre + saklama yükümlülükleri (KVKK m.4, TBK m.146, TTK m.82).
• Nitelik ve amaç:Sözleşmenin kurulması ve ifası (KVKK m.5/2(c)) ve Akitle'nin altyapı sağlayıcısı olarak yürüttüğü teknik işleme faaliyetleri.

İşlenen kişisel veri kategorileri ve ilgili kişi grupları KVKK Aydınlatma Metni § 2'de belirtilmiştir; ilgili kişiler Veri Sorumlusu'nun müşterileri (kira firmasının kullanıcıları), bu firmanın müşterileri/kiracıları ve yetkilileridir.

Akitle, kişisel verileri yalnızca Veri Sorumlusu'nun belgelenmiş talimatları (Kullanım Koşulları, hizmet yapılandırması, destek talepleri) doğrultusunda işler. Akitle, KVKK'ya aykırı bir talimatı yerine getirmeyi reddetme yetkisine sahiptir.

Akitle, kişisel verilere erişen tüm çalışanlarının ve yüklenicilerinin yazılı gizlilik yükümlülüğü altında olmasını sağlar.

Akitle aşağıdaki teknik ve idari önlemleri uygular:

• Şirketler arası izolasyon (sunucu tarafında zorunlurequireCompany kontrolü);
• Değiştirilemez denetim kaydı (oluşturma, gönderme, açılma, doldurma, KVKK onayı, imza); silinemez/değiştirilemez;
• İmzalı sözleşmelerde içerik ve PDF kriptografik özetleri (SHA-256) ile bütünlük denetimi;
• Tüm bağlantılarda TLS (HTTPS) zorunluluğu;
• Şifrelerin tek yönlü hash (bcrypt benzeri) ile saklanması;
• En az ayrıcalık ilkesine uygun erişim kontrolleri ve düzenli erişim incelemeleri;
• Yapılandırılmış yedekleme ve felaket kurtarma planı.

Akitle, hizmetin sunulması için aşağıdaki alt veri işleyenlerden (sub-processor) faydalanır:

• Convex (convex.dev) — veritabanı, fonksiyon yürütme, depolama. AB üyesi ülkede barındırma (eu-west-1).
• iyzico (iyzico.com) — yalnızca sözleşme paketi ödemelerinde, kart bilgisi iyzico tarafından işlenir.

Yeni bir alt veri işleyen eklendiğinde Veri Sorumlusu'na en az 30 gün önceden duyurulur; itiraz hakkı saklıdır.

Akitle, KVKK m.12/5 uyarınca olası bir kişisel veri ihlalini öğrenmesinden itibaren en kısa sürede Veri Sorumlusu'na ve KVKK Kurulu'na bildirmekle yükümlüdür. Bildirim süreleri Kurul'un öngördüğü 72 saatlik süre içinde tamamlanır.

Akitle, Veri Sorumlusu'nun aydınlatma yükümlülüğünü (m.10), ilgili kişi başvurularını (m.11/13), Kurul taleplerini ve veri ihlali bildirimlerini yerine getirmesinde makul biçimde yardımcı olur.

Saklama süreleri Gizlilik Politikası § 7'de düzenlenmiştir. Sözleşme veya Kullanım Koşullarının sona ermesi halinde, yasal saklama süreleri dolduktan sonra veriler anonimleştirilir veya silinir.

Veri Sorumlusu, KVKK Kurulu'nun gerektirdiği ölçüde Akitle'nin işbu DPA'ya uyumunu denetlemek isteyebilir. Denetim, Akitle'nin operasyonel sürekliliğine zarar vermeyecek biçimde, makul ön bildirimle ve gizlilik yükümlülüğü çerçevesinde yapılır. Akitle, uyum kanıtı olarak standart belgelerini (politikalar, denetim kayıtları, üçüncü taraf denetim raporları) Veri Sorumlusu'nun talebi üzerine sunar.

Akitle'nin altyapısı AB üyesi bir ülkede barındırıldığı durumlarda, KVKK Kurulu tarafından yayımlanan Standart Sözleşmeler esas alınır (Modül 2: Veri Sorumlusu → Veri İşleyen). Kurul bildirim yükümlülüğü Akitle tarafından takip edilir.

DPA, Veri Sorumlusu'nun Akitle hesabını kapatması veya hizmetin sona ermesi halinde sona erer. Sona ermeden sonra dahi Akitle, yasal saklama yükümlülükleri ve ilgili kişi başvurularına cevap verme yükümlülüğü ile sınırlı olarak veriyi tutmaya devam eder.

Bu DPA; KVKK, ikincil mevzuat ve Kurul içtihatlarının mevcut yorumuna göre hazırlanmış genel bir şablondur. Tüzel kişilik kuruluş süreci sonrası bir KVKK uzmanı avukat tarafından incelenecek ve gerektiğinde güncellenecektir.