Veri İşleme Sözleşmesi (DPA), GDPR Article 28

Bilgi Bu sayfa, Erişilebilir Çerez'in standart DPA'sının özetidir. İmzalı PDF versiyonu için sayfanın altındaki forma başvurabilirsiniz. Pro ve Enterprise müşterilerimiz için DPA imzalanması ücretsizdir.

İçindekiler

1. Tanımlar · 2. Sözleşme Konusu · 3. İşleme Niteliği ve Amacı · 4. Veri Kategorileri ve Özneleri · 5. İşleyici Yükümlülükleri · 6. Sub-processor'lar · 7. Güvenlik Önlemleri · 8. Veri Sahibi Başvuruları · 9. Veri İhlali Bildirimi · 10. Audit Hakkı · 11. Veri İade ve Silme · 12. SCC Eki · 13. DPA İmzalamak

1. Tanımlar

İşbu DPA kapsamında aşağıdaki terimler, karşılarında yazılı anlamları taşır:

Controller (Veri Sorumlusu / Müşteri): Erişilebilir Çerez hizmetlerini kullanan, kişisel verilerin işlenme amacını ve vasıtalarını belirleyen taraf. Müşterinin kendisi veya temsil ettiği tüzel kişi.

Processor (Veri İşleyici / Erişilebilir Çerez): Erişilebilir Çerez, Controller'ın talimatları doğrultusunda Controller adına kişisel veri işleyen taraf.

Künye: Erişilebilir Çerez
Adres: Altıeylül, Balıkesir / Türkiye
Vergi Dairesi / VKN: Kurtdereli V.D. / 1400185229
İletişim: destek@erisilebilircerez.com · +90 540 059 40 40

Sub-processor: Processor'ın, hizmet sunumu için angaje ettiği üçüncü taraf veri işleyici (örn. yerli barındırma sağlayıcısı, CDN, e-posta servis sağlayıcısı).

Data Subject (Veri Sahibi): Kişisel verisi işlenen gerçek kişi. Erişilebilir Çerez bağlamında: Controller'ın müşterileri, çalışanları, ziyaretçileri.

Personal Data (Kişisel Veri): Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (GDPR Art. 4/1, KVKK Madde 3/1-d).

Data Breach (Veri İhlali): Kişisel verilerin yetkisiz ifşası, değiştirilmesi, kaybedilmesi veya yok edilmesi (GDPR Art. 4/12).

SCC (Standard Contractual Clauses): Avrupa Komisyonu'nca onaylanan Standart Sözleşme Hükümleri (2021/914 sayılı Karar), yurt dışı veri aktarımları için.

2. Sözleşme Konusu ve Süresi

İşbu DPA, Controller ile Processor arasında akdedilen Ana Hizmet Sözleşmesi'nin (Kullanım Koşulları + Pro/Enterprise abonelik) eki niteliğindedir. DPA, Ana Sözleşme yürürlükte olduğu sürece geçerlidir. Sözleşmenin sona ermesi halinde Madde 11'deki veri iade/silme hükümleri uygulanır.

İşbu DPA, GDPR (Regulation EU 2016/679) Article 28 ve 6698 sayılı KVKK Madde 12 gerekliliklerini karşılayacak şekilde hazırlanmıştır.

3. İşleme Niteliği ve Amacı

İşleme Niteliği	Otomatik (cloud-based SaaS); kısmen otomatik (Controller panel girişleri)
İşleme Amacı	B2B SaaS hizmet sunumu: çerez consent yönetimi, erişilebilirlik widget servisi, raporlama, sub-processor entegrasyonu
İşleme Türü	Toplama, kaydetme, depolama, organize etme, yapılandırma, kullanım, açıklama, aktarım, silme
İşleme Süresi	Ana Sözleşme süresince + Madde 11'de belirtilen iade/silme süresi (30 gün)

4. Veri Kategorileri ve Veri Özneleri

4.1. Veri Özneleri

Controller'ın çalışanları: Hesap kullanıcıları (admin, editor, viewer)
Controller'ın B2B müşterileri: İletişime geçen şirket temsilcileri (Enterprise senaryolarda)
Controller'ın web sitesi ziyaretçileri: Son kullanıcılar (anonim/pseudo-anonim consent verileri)

4.2. Veri Kategorileri

Veri Tipi	Kaynak	Hassasiyet
Hesap kimlik bilgileri (ad, e-posta)	Controller kullanıcı kaydı	Düşük
IP adresi (kısaltılmış / hash)	SDK runtime, ziyaretçi tarayıcısı	Orta
Tarayıcı tipi, dil, OS	SDK runtime, User-Agent	Düşük
Consent tercih kayıtları (kabul/red, kategori)	SDK runtime, banner etkileşimi	Düşük
Sayfa URL'leri	SDK runtime	Düşük
API kullanım logları	Server	Orta

Özel Nitelikli Veri (Special Category Data): Erişilebilir Çerez, GDPR Art. 9 / KVKK Madde 6 kapsamındaki özel nitelikli verileri işlemez.

5. İşleyici Yükümlülükleri

Processor (Erişilebilir Çerez) aşağıdaki yükümlülüklere uymayı taahhüt eder:

Talimat: Kişisel verileri, yalnızca Controller'ın yazılı talimatları doğrultusunda işler. Yasal yükümlülük gerektirmediği sürece kendi inisiyatifiyle veri işlemez.
Gizlilik: Personeli ile yazılı gizlilik sözleşmeleri imzalar; veri işleme yetkisi sadece kimliği doğrulanmış ve gerekli kişilere verilir.
Güvenlik: Madde 7'de detaylandırılan teknik ve idari önlemleri uygular ve sürdürür.
Sub-processor şartı: Yeni sub-processor angajmanında Controller'ı önceden bilgilendirir (Madde 6).
Yardım: Controller'ın veri sahibi başvurularına yanıt vermesinde, ihlal bildirimlerinde, DPIA (Veri Koruma Etki Değerlendirmesi) yapmasında yardımcı olur.
Hesap verebilirlik: İşleme faaliyetlerini Article 30 kaydında tutar ve Controller'a denetim sırasında sunar.
İade/Silme: Sözleşme sona erdiğinde verileri iade eder veya siler (Madde 11).

6. Sub-processor Listesi

Controller, aşağıdaki sub-processor'lara genel ön onayını vermektedir. Liste değişikliklerinde Controller en az 30 gün önceden bilgilendirilir; itiraz hakkı saklıdır.

Sub-processor	Hizmet	Lokasyon	Transfer Mekanizması
Yerli barındırma sağlayıcısı	Sunucu, veritabanı, depolama, yedekleme	Türkiye	Yurt içi, KVKK Madde 8
CDN ve güvenlik sağlayıcısı	İçerik dağıtımı, DDoS koruması (opsiyonel kullanım)	Global, sözleşmesel ek listesinde	Gerekli olduğunda SCC / yeterli koruma taahhüdü
E-posta servis sağlayıcısı	İşlemsel e-posta gönderimi (davet, bildirim)	Sözleşmesel ek listesinde	Gerekli olduğunda SCC / yeterli koruma taahhüdü
AI servis sağlayıcıları (OpenAI Vision, MyLLM via Volpora)	AI alt-text / aria-label üretimi (yalnızca AI tag scanner kullanan müşteriler için)	Sağlayıcı bazında, sözleşmesel ek listesinde	Standart API kullanımı; müşteri verisi minimal düzeyde işlenir
Tawk.to	Canlı sohbet (opsiyonel)	EU + US	SCC

Güncel sub-processor listesi her zaman bu sayfada yayınlanır. Bildirim almak için destek@erisilebilircerez.com adresine e-posta atarak abone olabilirsiniz.

7. Teknik ve İdari Güvenlik Önlemleri

Processor, GDPR Article 32 ve KVKK Madde 12 uyarınca aşağıdaki güvenlik önlemlerini uygulamayı taahhüt eder:

7.1. Şifreleme

At rest (durağan veri): AES-256 ile şifreleme
In transit (hareket halindeki veri): TLS 1.3 (TLS 1.2 minimum); HTTP zorunlu olarak HTTPS'ye yönlendirilir (HSTS)
Şifre yönetimi: Bcrypt cost 12 (kullanıcı parolaları); API anahtarları hash + masking

7.2. Erişim Kontrolü

Rol bazlı yetkilendirme (RBAC): admin / editor / viewer
İşletme personeli için 2FA zorunlu (TOTP + donanım token opsiyonel)
Principle of Least Privilege (PoLP), erişim politikaları

7.3. Audit ve Loglama

Tüm admin işlemleri AuditLog tablosunda 1 yıl saklanır (kim, ne zaman, ne yaptı)
API kullanım kayıtları (90 gün retention)
Anomali tespiti (WAF + özel kurallar)

7.4. Yedekleme ve Felaket Kurtarma

Düzenli (en az gün sonu) otomatik yedekleme; 30 gün retention
Belgelenmiş felaket kurtarma planı

7.5. Personel Güvenliği

İşe başlama öncesi NDA imzalanır
Yıllık KVKK/GDPR farkındalık eğitimi

8. Veri Sahibi Başvurularına Destek

Controller'ın veri sahiplerinden gelen erişim, düzeltme, silme, taşınabilirlik, itiraz taleplerine yanıt verebilmesi için Processor:

Hesap panelinden veri export (XLSX/CSV/PDF) imkanı sunar
Tek bir kullanıcının verisini silme/anonim hale getirme API'si sağlar
Talep üzerine teknik destek ekibi 5 iş günü içinde yardımcı olur (Pro+); Enterprise için 2 iş günü

9. Veri İhlali Bildirimi

Processor, kişisel veri ihlali tespit etmesi halinde:

İhlali tespit ettiği andan itibaren 72 saat içinde Controller'a yazılı bildirim yapar (e-posta + DPA panelden bildirim).
Bildirim aşağıdaki bilgileri içerir:
- İhlalin niteliği, etkilenen veri kategorileri ve veri sahibi yaklaşık sayısı
- İhlalin olası sonuçları
- Alınan/önerilen önlemler
- İrtibat noktası (DPO)
Controller'ın Veri Koruma Otoritesi'ne (KVKK Kurulu / Lead Supervisory Authority) bildirim yapmasına teknik destek sağlar.

10. Audit (Denetim) Hakkı

Controller, makul ölçüde ve önceden bildirim yaparak (en az 30 gün), Processor'ın bu DPA'ya uygunluğunu denetleme hakkına sahiptir:

On-site audit: Enterprise müşteriler için, yılda 1 kez, 2 iş günü, makul saatlerde, Processor merkez ofisinde gerçekleştirilebilir. Maliyetler Controller'a aittir.
Üçüncü taraf denetçi: Bağımsız denetçilerle de yapılabilir; NDA imzalanması şartıyla.

11. Veri İade ve Silme

Ana Sözleşme'nin sona ermesi halinde Processor, Controller'ın tercihi doğrultusunda:

Veri İadesi: Sözleşme sonundan itibaren 30 gün içinde tüm kişisel verileri yapılandırılmış makine-okunabilir formatta (JSON/CSV/XLSX) Controller'a iade eder.
Veri Silme: İade sonrası veya iade istenmiyorsa, sözleşme sonundan itibaren 30 gün içinde tüm kişisel verileri kalıcı olarak siler (yedeklerden dahil).
Yasal Saklama İstisnası: Vergi/Ticaret kanunları gereği saklanması zorunlu olan fatura ve mali kayıtlar 10 yıl boyunca saklanır.

Silme işlemi tamamlandığında Controller'a yazılı imha sertifikası verilir.

12. Yurt Dışı Veri Aktarımı ve SCC

Veriler kural olarak Türkiye sınırları içinde, yerli veri merkezinde saklandığından yurt dışı veri aktarımı yapılmaz. AB veri transferi gerektiren özel durumlarda, Avrupa Komisyonu'nun 2021/914 sayılı Kararı ile onaylanan Standart Sözleşme Hükümleri (SCC), Modül 2 (Controller-to-Processor) referans alınır.

Türkiye'de mukim Controller'lar için, yurt dışı aktarım gerekmesi halinde Kişisel Verileri Koruma Kurulu'nun ilgili kararları uyarınca yayınlanan Taahhütname formatı veya KVKK Madde 9/2-b kapsamında akdedilen yeterli korumayı sağlayan yazılı taahhüt esasına dayanılır.

SCC tam metnine erişim: eur-lex.europa.eu/eli/dec_impl/2021/914

13. DPA İmzalamak İçin İletişim

İmzalı DPA almak veya özel hükümler eklemek istiyorsanız, aşağıdaki kanallardan bize ulaşabilirsiniz:

Standart DPA / Enterprise görüşmesi / Hukuki sorular: destek@erisilebilircerez.com

Veri Koruma Sorumlusu (DPO): [Atama yapılacak]

Telefon / WhatsApp: +90 540 059 40 40 (WhatsApp)

İletişim Formu: erisilebilircerez.com/iletisim

Standart DPA ve SCC Modül 2 (PDF), sözleşme aşamasında temin edilecektir.

İlgili sayfalar: Gizlilik Politikası · KVKK Aydınlatma · Kullanım Koşulları

Sorularınız için: destek@erisilebilircerez.com · Bu sayfa son olarak 31 Mayıs 2026 tarihinde güncellenmiştir.