Veri İşleme Sözleşmesi (DPA)
Aşağıdaki metin Post AI Pilot iş ortakları için Veri İşleme Sözleşmesi (Data Processing Agreement) hükümlerinin tam hâlidir.
VERİ İŞLEME SÖZLEŞMESİ
(Data Processing Agreement – DPA)
1. TARAFLAR
1.1. İşbu Veri İşleme Sözleşmesi (“Sözleşme”);
Veri Sorumlusu
Unvan : Furkan Pehlivanoğlu Şahıs Şirketi
Adres : Cevizli Mahallesi, Zuhal Caddesi, Ritim İstanbul Sitesi, A4 Blok, No: 46 D, Kat: 3, Daire: 34, Maltepe / İSTANBUL
E-posta : info@postaipilot.com
(“Veri Sorumlusu”)
ile
Veri İşleyen
Unvan/Ad-Soyad : [VERİ İŞLEYEN UNVANI]
Adres : [VERİ İŞLEYEN ADRESİ]
E-posta : [VERİ İŞLEYEN E-POSTA]
(“Veri İşleyen”)
arasında, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili ikincil mevzuata uygun olarak akdedilmiştir. Taraflar birlikte “Taraflar” olarak anılacaktır.
2. KONU VE KAPSAM
2.1. İşbu Sözleşme’nin konusu; Veri Sorumlusu’nun müşterilerine ait kişisel verilerin, Veri İşleyen tarafından [örneğin; sosyal medya yönetimi, içerik üretimi, reklam kampanyası yürütülmesi, Post ai Pilot hesabı üzerinden içerik planlama vb.] amaçlarla Veri Sorumlusu adına işlenmesine ilişkin usul ve esasların belirlenmesidir.
2.2. Veri İşleyen, KVKK m. 3/1-ğ uyarınca, kişisel verileri sadece Veri Sorumlusu’nun talimatları doğrultusunda ve işbu Sözleşme ile Ek-1’de belirtilen kapsam ve amaçlarla işleyeceğini kabul eder.
3. TANIMLAR
Bu Sözleşme’de geçen;
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi,
Özel Nitelikli Kişisel Veri: KVKK m.6’da sayılan nitelikteki veriler,
Veri Sorumlusu: Kişisel verilerin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi,
Veri İşleyen: Veri Sorumlusu’nun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi
anlamına gelecektir.
(GDPR vb. ile de uyumlu kullanmak istersen buraya ayrıca atıf ekleyebilirsin.)
4. İŞLENEN VERİ KATEGORİLERİ VE AMAÇLAR (EK-1)
4.1. İşbu Sözleşme kapsamında Veri İşleyen’e aktarılabilecek kişisel veri kategorileri ve işlenme amaçları Ek-1’de detaylı biçimde listelenmiştir. Örneğin:
- Müşteri kimlik/iletişim bilgileri (ad-soyad, kullanıcı adı, e-posta vs.),
- Müşteri sosyal medya hesap URL’leri, kullanıcı adları, içerik metinleri, görselleri,
- Kampanya/plan bilgileri, içerik takvimleri vb.
4.2. Veri İşleyen, Ek-1’de sayılan veri kategorileri ve amaçlar dışında veri işlemeyeceğini, veri minimizasyonu ilkesine uyarak yalnızca gerekli olan verileri işleyeceğini kabul eder.
5. VERİ İŞLEYENİN YÜKÜMLÜLÜKLERİ
5.1. Talimatla Hareket Etme
Veri İşleyen, kişisel verileri yalnızca Veri Sorumlusu’nun yazılı talimatları çerçevesinde işler. Yazılı talimat olmaksızın veri işleyemez, veri sahibinin veya üçüncü kişilerin talimatlarını uygulamaz.
5.2. Mevzuata Uygunluk
Veri İşleyen, KVKK, ilgili yönetmelikler ve Kurul kararları ile işbu Sözleşme hükümlerine uygun hareket edeceğini, aksi halde doğacak yükümlülük ve yaptırımlardan sorumlu olacağını kabul eder.
5.3. Gizlilik Yükümlülüğü
Veri İşleyen ve çalışanları, alt yüklenicileri veya istihdam ettiği kişiler; öğrendikleri tüm kişisel verileri ve ticari sırları gizli tutmakla yükümlüdür. Bu yükümlülük Sözleşme’nin sona ermesinden sonra da süresiz olarak devam eder.
5.4. Güvenlik Tedbirleri
Veri İşleyen;
- KVKK m.12 ve ilgili mevzuat çerçevesinde gerekli teknik ve idari tedbirleri almayı,
- Yetkisiz erişim, veri sızıntısı, kayıp, silinme, değiştirilme risklerine karşı uygun güvenlik önlemleri uygulamayı,
- Kendi personelini kişisel verilerin korunması konusunda bilgilendirmeyi ve gerekli eğitimleri vermeyi
kabul eder.
5.5. Alt Veri İşleyen (Sub-processor) Kullanımı
Veri İşleyen, Veri Sorumlusu’nun önceden yazılı onayını almaksızın kişisel verileri işlemek üzere üçüncü bir kişiyi alt veri işleyen olarak görevlendiremez.
Onay verilmesi halinde:
- Alt veri işleyen ile KVKK’ya uygun bir veri işleme sözleşmesi yapar,
- Alt veri işleyenin fiillerinden bizzat sorumlu olduğunu kabul eder.
5.6. Yurtdışına Aktarım ve Üçüncü Taraf Servis Kullanımı
Veri İşleyen, kişisel verileri Türkiye dışına aktarmayı ancak:
- Veri Sorumlusu’nun yazılı talimatı ve onayı ile,
- Veri Sorumlusu’nun ilgili veri sahiplerinden gerekli açık rızaları veya Kurul’un öngördüğü diğer hukuki dayanakları elde etmiş olması kaydıyla
yapabilir.
Veri İşleyen’in; OpenAI, Google Cloud, AWS vb. yurt dışı hizmet sağlayıcılarını alt veri işleyen olarak kullanması söz konusu ise, bu durum Ek-2 – Yurtdışına Aktarım ve Alt Veri İşleyenler’de belirtilir ve sadece bu Ek’teki şartlara uygun şekilde işlem yapılır.
5.7. Veri İhlali Bildirimi
Veri İşleyen; kişisel verilerle ilgili bir güvenlik ihlali (yetkisiz erişim, ifşa, sızıntı, kayıp vb.) olması halinde, olayı en kısa sürede (örneğin en geç 24 saat içinde) Veri Sorumlusu’na yazılı olarak bildirir; ihlalin etkilerini azaltmak ve tekrarını önlemek için gerekli tedbirleri alır ve Veri Sorumlusu ile iş birliği yapar.
5.8. Veri Sahibinin Talepleri
Veri İşleyen, veri sahiplerinden doğrudan kendisine yöneltilen KVKK kapsamındaki talepleri (erişim, düzeltme, silme, itiraz vb.) derhal Veri Sorumlusu’na iletir ve Veri Sorumlusu’nun talimatı olmadıkça bu taleplere doğrudan cevap vermez.
5.9. Denetim Hakkı
Veri Sorumlusu, makul süre ve sıklıkta, Veri İşleyen’in işbu Sözleşme ve KVKK’ya uygun davranıp davranmadığını denetleyebilir veya üçüncü kişilere denetletebilir. Veri İşleyen, denetim sırasında gerekli bilgi ve belgeleri sunmayı kabul eder.
5.10. Sona Erme Sonrası Silme/İade
Sözleşme’nin sona ermesi veya Veri Sorumlusu’nun talebi üzerine, Veri İşleyen:
İşlediği tüm kişisel verileri (ve bunların kopyalarını) Veri Sorumlusu’na iade eder veya
KVKK ve ilgili mevzuata uygun şekilde siler/yok eder/anonim hale getirir
ve yapılan işlemleri yazılı olarak belgelendirir. Mevzuatın zorunlu tuttuğu saklama yükümlülükleri saklıdır.
6. VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ
6.1. Veri Sorumlusu, kişisel verilerin Veri İşleyen’e aktarımı öncesinde;
- İlgili kişilere KVKK m.10 kapsamında aydınlatma yapmaktan,
- Gerekmesi halinde açık rıza almaktan,
- Yurtdışı aktarımlar için KVKK m.9’daki şartları sağlamaktan
sorumludur.
6.2. Veri Sorumlusu, Veri İşleyen’e yalnızca amacın gerektirdiği ölçüde ve doğru veriyi aktaracağını, veri seti içindeki gereksiz veya fazla verilerden kendisinin sorumlu olacağını kabul eder.
6.3. Veri Sorumlusu, Veri İşleyen’e vereceği talimatların hukuka aykırı olması halinde ortaya çıkabilecek idari ve cezai yaptırımlardan sorumlu olacağını kabul eder.
7. SÜRE VE SONA ERME
7.1. İşbu Sözleşme, 02.12.2025 tarihinde yürürlüğe girer ve Taraflar arasındaki asıl iş/hizmet sözleşmesinin yürürlükte olduğu süre boyunca geçerliliğini korur.
7.2. Taraflardan herhangi biri, KVKK’ya aykırı veri işleme tespit etmesi halinde, diğer Taraf’a yazılı bildirimde bulunarak uygun bir süre verir; ihlal giderilmezse Sözleşme’yi haklı nedenle feshedebilir.
7.3. Sona erme halinde Veri İşleyen’in veri imha/iadeye ilişkin yükümlülükleri Madde 5.10 uyarınca devam eder.
8. SORUMLULUK VE TAZMİNAT
8.1. Taraflar, işbu Sözleşme’den ve KVKK’dan kaynaklanan yükümlülüklerini ihlal etmeleri halinde, ortaya çıkan zararlar bakımından genel hükümler çerçevesinde sorumlu olacaktır.
8.2. Veri İşleyen’in kusuru veya ihlali sonucu Veri Sorumlusu’na veya üçüncü kişilere bir zarar doğması, idari para cezası veya tazminat ödemesi gerekmesi halinde; ilgili zarar ve cezalardan Veri İşleyen sorumlu olacak, Veri Sorumlusu’nu tazmin edecektir.