KVKK m.12 — Yazılı sözleşme
Veri İşleyen Sözleşmesi
Versiyon: 2026-05-28. Bu sözleşme, son müşteri verilerinde veri sorumlusu (İşletme) ile veri işleyen (Orasis) arasındaki yükümlülükleri tanımlar.
Taslak — avukat onayı bekliyor
Bu metin, onboarding sırasında işletme tarafından elektronik olarak kabul edilir (tenant_hukuki_kabul tablosunda audit edilir) ve KVKK m.12 yazılı sözleşme yükümlülüğünü karşılamaya yönelik baz şablondur. Özelleştirme talepleri kvkk@orasis.tr adresine yapılabilir.
1. Taraflar ve Roller
- Veri Sorumlusu (İşletme): Orasis'e kayıtlı işletme; son müşteri verilerinin işlenmesini belirler.
- Veri İşleyen (Orasis): İşletme adına ve İşletme'nin talimatları doğrultusunda son müşteri verilerini işleyen yazılım hizmet sağlayıcısı.
2. İşlemenin Konusu ve Süresi
Orasis, İşletme'nin son müşteri verilerini yalnızca platformun temel hizmetlerini (randevu, bildirim, ödeme, raporlama) sunmak amacıyla işler. Sözleşme süresi, İşletme'nin abonelik aktif olduğu süredir; fesih sonrası imha hükümleri §8'de düzenlenmiştir.
3. Veri Kategorileri ve Sahipleri
- Veri sahipleri: İşletme'nin son müşterileri (randevu alan kişiler), İşletme'nin çalışanları
- Veri kategorileri: kimlik (ad/soyad), iletişim (telefon/e-posta), randevu/işlem geçmişi, ödeme referansı, opsiyonel pazarlama tercihleri, sadakat/hediye kartı bakiyesi
4. Orasis'in Yükümlülükleri
- İşletme'nin talimatları dışında veri işlememek
- Veri güvenliği için gerekli idari ve teknik tedbirleri almak (§7); ihlal hâlinde 72 saat içinde İşletme'ye bildirmek
- Erişimi yalnızca gizlilik yükümlülüğü altındaki personelle sınırlamak
- Veri sahibinin haklarına (KVKK m.11) ilişkin gelen taleplerde İşletme'ye yardım etmek
- Denetlenebilirlik: makul talep hâlinde uyum belgelerini sunmak
5. İşletme'nin Yükümlülükleri
- Son müşteriden gerekli aydınlatma ve açık rızaları kendisi almak
- Platforma yüklenen verilerin doğruluğundan ve hukuka uygunluğundan sorumlu olmak
- Kendi çalışanlarına erişim verirken yetkilendirme yapmak
- Platforma yalnızca platform amaçları için gerekli veriyi yüklemek
6. Alt-İşleyenler (Sub-processors)
Orasis hizmetin sunulması için aşağıdaki alt-işleyenleri kullanır. Liste güncellenebilir; önemli değişiklikler önceden duyurulur.
- Supabase (PostgreSQL barındırma — AB Frankfurt)
- Vercel (sunucusuz uygulama — AB / Global CDN)
- iyzico (ödeme — Türkiye)
- NetGSM / VatanSMS (SMS — Türkiye)
- Resend (e-posta — AB)
- WhatsApp Business BSP (WhatsApp — Meta AB/ABD)
- PostHog (analitik — AB)
- Sentry (hata izleme — AB)
- Upstash (kuyruk + rate limit — AB)
7. Veri Güvenliği Tedbirleri
- PostgreSQL Row-Level Security ile tenant izolasyonu
- Erişim tokenları üzerinden yetkilendirme; servis-rolü işlemler audit log'a kayıt
- Aktarımda TLS (HTTPS), beklemede şifreleme
- Şifre hashleme, opsiyonel MFA
- Yedekleme (Supabase PITR), geri yükleme prosedürü
- Hata ve güvenlik izleme (Sentry), KVKK PII maskeleme kuralları
- Düzenli güvenlik incelemeleri ve bağımlılık taraması
8. Sözleşme Sonu — İmha
Abonelik sona erdiğinde veya İşletme yazılı talepte bulunduğunda:
- 30 gün içinde son müşteri verileri silinir veya anonimleştirilir
- Yedek mantıksal silme: PITR yedekleme penceresi (≤7 gün) içinde tam erişim kaybı
- İşletme talep ederse veri JSON formatında dışa aktarılır
- Yasal saklama yükümlülüğü (muhasebe/vergi) olan veriler ilgili sürelerce saklanır
9. Yurt Dışı Aktarım (KVKK m.9)
Supabase Frankfurt başta olmak üzere bazı alt-işleyenler AB merkezlidir. Aktarım, İşletme'nin onboarding sırasında verdiği açık rızaya dayanır. Yeterli koruma sağlayan ülke kararları, KVK Kurulu rehberleri ve standart sözleşme hükümleri esas alınır.
10. Veri Sahibi Talepleri
Son müşterinin KVKK m.11 kapsamındaki talepleri öncelikle İşletme'ye yapılır. Orasis, teknik ihtiyaç doğduğunda (silme, dışa aktarma) makul süre içinde yardım eder.
11. Uyuşmazlık ve Yetki
Türk hukuku uygulanır. İstanbul Mahkemeleri ve İcra Daireleri yetkilidir. Bu sözleşme, Kullanım Koşulları ile birlikte değerlendirilir; çelişki hâlinde son müşteri verisine ilişkin kısmında bu sözleşme önceliklidir.