6698 sayılı KVKK m.12 ile GDPR Art.28 hükümleri çerçevesinde, Bayi (Veri Sorumlusu) ile Tekno Borsa (Veri İşleyici) arasında akdedilen veri işleme anlaşması. Bayilik Sözleşmesi'nin ayrılmaz parçası olarak yürürlüğe girer.
Yasal dayanak: 6698 sayılı KVKK m.12, m.18, m.28 · GDPR Art.28 (referans) · KVKK Kurumu "Veri İşleyen-Veri Sorumlusu" Rehberi · Veri İşleyenler Hakkında Kararlar
İşbu Veri İşleme Anlaşması ("DPA"), Bayilik Sözleşmesi'nin ayrılmaz parçası olarak; bir tarafta Bayi ("Veri Sorumlusu") ile diğer tarafta Tekno Borsa Bilişim Teknolojileri A.Ş. ("Veri İşleyen", "Tekno Borsa") arasında, KVKK m.12 hükümleri çerçevesinde akdedilmiştir.
İşbu DPA'nın konusu; Tekno Borsa'nın, Bayi'nin müşterilerine sunduğu satış, mesajlaşma ve sözleşme yönetimi hizmetlerini destekleyen teknik altyapıyı işletirken, Bayi adına kişisel veri işleme faaliyetlerini düzenlemektir.
KVKK m.12/2 ve GDPR Art.28/3 hükümleri çerçevesinde Tekno Borsa, aşağıdaki yükümlülükleri kabul ve taahhüt eder.
Bayi adına işlenen müşteri kişisel verileri; veri kategorisi, örnek veriler ve azami saklama süresi ile birlikte aşağıdaki tabloda listelenmiştir.
| Veri Kategorisi | Örnek Veriler | İşleme Amacı | Saklama Süresi |
|---|---|---|---|
| Kimlik (Müşteri) | Ad-soyad, T.C. kimlik numarası | Sözleşme tarafının tespiti | Bayi'nin belirlediği süre (5-10 yıl önerilir) |
| İletişim (Müşteri) | Telefon (opsiyonel), e-posta (opsiyonel) | Mesajlaşma, satış sonrası iletişim | Bayi belirler |
| Mesaj İçerikleri | Bayi-müşteri sohbet metinleri | İletişim sürdürme, ihtilaf delili | 3 yıl (TBK m.146) |
| Satış / Sözleşme | Cihaz IMEI, fiyat, tarih, sözleşme PDF | Satışın gerçekleşmesi | 10 yıl (VUK) |
| Anlık Kimlik Doğrulama | TC + ad doğrulama yanıtı (boolean) | Sahtecilik önleme | Doğrulama anı + 24 saat |
| IP / Trafik (Müşteri) | IP, oturum kayıtları, kullanıcı agent | 5651 trafik logu | 2 yıl (5651 m.5) |
| Görsel (Sözleşme PDF içi) | Anlık çekilen kimlik fotoğrafı (PDF'ye gömülür, ham saklanmaz) | Sözleşme delili | PDF içinde — Bayi belirler |
| Konum (Yaklaşık) | IP tabanlı şehir | Bölgesel hizmet | Oturum + 30 gün |
Bayi, Tekno Borsa'ya aşağıdaki amaçlar için yazılı talimat vermiş sayılır. Bayilik Sözleşmesi'ni imzalamak ve Platform'u kullanmak, bu talimatların verildiği anlamına gelir.
| Talimat / Amaç | Veri Tipi | Aktarım Hedefi |
|---|---|---|
| Müşteri kayıtlarının panelde gösterilmesi | Kimlik, iletişim | Bayi yetkilileri |
| Mesaj içeriklerinin iletilmesi ve saklanması | Mesaj metni, tarih | Müşteri ve Bayi |
| Sözleşme PDF'lerinin üretilmesi ve arşivlenmesi | Kimlik, satış, görsel | Bayi paneli + opsiyonel müşteri e-postası |
| Anlık kimlik doğrulama (TC + ad) | TC, ad | KPS Web Servisi (NVI) — yalnızca doğrulama (kayıt yapılmaz) |
| IYS entegrasyonu (pazarlama izinleri) | Telefon, e-posta + onay | İYS — Bayi adına |
| Fatura/e-arşiv entegrasyonu | Kimlik, satış | Bayi seçtiği e-arşiv sağlayıcısı |
| Yedekleme | Tüm müşteri verileri | Tekno Borsa şifreli yedek (AB) |
Tekno Borsa, Veri İşleyen sıfatıyla aşağıdaki alt işleyicilerden hizmet alır. Bu liste, Sub-Processor Listesi (/legal/sub-processor) belgesinin DPA'ya yansıtılan özetidir.
| Alt İşleyici | Rol | Konum | Aktarılan Veri Tipi |
|---|---|---|---|
| Supabase Inc. | Veritabanı, Auth, Storage | Almanya / Frankfurt (AB) | Tüm müşteri verileri |
| Vercel Inc. | Hosting, Edge fonksiyonları, CDN | Edge global ağ (AB tercihli) | İstek/cevap metadata, statik içerik |
| Upstash Inc. | Redis önbellek, kuyruk | Almanya / Frankfurt (AB) | Oturum tokenı, geçici cache |
| Resend Inc. | İşlemsel e-posta dağıtımı | AB / ABD | E-posta içerik, alıcı adresi |
| Google LLC (Firebase Cloud Messaging) | Push bildirim teslimi | ABD | Push token, bildirim payload |
| Functional Software Inc. (Sentry) | Hata izleme, performans | AB / ABD | Hata izleri, anonim cihaz bilgisi |
| Cloudflare (varsa) | WAF, DDoS koruması | Edge global ağ | IP, istek başlıkları (anonim) |
| PostHog Inc. (varsa) | Ürün analitiği | AB | Anonim oturum, olay verileri |
Bayi, Veri Sorumlusu sıfatıyla aşağıdaki yükümlülükleri kabul ve taahhüt eder.
Tekno Borsa, KVKK m.12/1 uyarınca aşağıdaki teknik ve idari tedbirleri uygular ve sürekli iyileştirir.
KVKK m.12/5 ve KVKK Kurumu Veri İhlali Bildirimi Karar Özeti (24.01.2019, 2019/10) uyarınca veri ihlali aşağıdaki akışta yönetilir.
KVKK m.12/3 uyarınca Bayi, Tekno Borsa'nın veri işleme faaliyetlerinin DPA'ya ve mevzuata uygunluğunu denetleme hakkına sahiptir.
KVKK m.12/2 uyarınca Bayi ile Tekno Borsa, müşteri verilerinin güvenliğinden müştereken sorumludur. Tarafların kendi yükümlülüklerinden kaynaklanan ihlallerden doğrudan kendileri sorumlu olur.
İşbu DPA, Bayilik Sözleşmesi'nin yürürlükte kaldığı süre boyunca geçerlidir. Sözleşme sona erdiğinde aşağıdaki süreç uygulanır.
İşbu DPA Türk hukukuna tabidir. Anlaşmadan doğan ihtilaflarda Bayilik Sözleşmesi'nde belirtilen yetkili mahkeme ve icra daireleri yetkilidir. Türk hukuku ile çelişmemek kaydıyla GDPR Art.28 ve KVKK Kurumu rehber kararlarına başvurulur.
KVKK Kurumu'nun ihlal bildirimi, denetim ve idari yaptırım yetkileri ile mahkemelerin görev alanları işbu DPA hükümlerinden bağımsızdır.
İşbu DPA, Bayi tarafından Bayi Sözleşmesi'nin elektronik onayı ile birlikte yürürlüğe girer. Tarafların ayrı ıslak imzasına gerek yoktur; elektronik onay, 6098 sayılı TBK m.1 (sözleşmenin kurulması — karşılıklı ve birbirine uygun irade beyanı) ve TBK m.12 (şekil serbestliği) uyarınca geçerli irade beyanı sayılır. Yazılı şekle bağlı işlemlerde ise 5070 sayılı Elektronik İmza Kanunu m.5 uyarınca güvenli elektronik imza (KEP) gereklidir; ancak işbu DPA yazılı şekle bağlı sözleşmelerden değildir.
İşbu DPA'nın değişiklik ve sürüm yönetimi, Bayi Sözleşmesi Madde 14 (Sözleşme Değişiklikleri ve Bildirim Usulü) hükümlerine tabidir. DPA'da yapılan her değişiklik aynı sınıflandırma (Patch / Minor / Major), haklı sebep, bildirim, itiraz süresi ve reddetme kurallarına bağlıdır. Açık rıza içeren işleme amaçlarındaki değişikliklerde — sürüm tipi ne olursa olsun — Bayi'nin işlediği Müşteri verileri için yeniden aydınlatma ve (gerekiyorsa) yeniden açık rıza alma yükümlülüğü Veri Sorumlusu sıfatıyla Bayi'ye aittir (KVKK m.5/2 + 2026/347 ilke kararı).