DPA — VERİ İŞLEME SÖZLEŞMESİ (DATA PROCESSING AGREEMENT)
v1 TASLAK — AVUKAT ONAYI BEKLİYOR
Sürüm: v1.0.0-draft · Tarih: 2026-05-24
İşbu DPA; EVRAKTAN ile ABONE arasındaki Hizmet Sözleşmesi'nin ayrılmaz parçasıdır.
KVKK + GDPR uyumludur. Çatışma halinde işbu DPA önceliklidir (kişisel veri konularında).
1. TARAFLAR
- Veri Sorumlusu ("ABONE"): Hizmet Sözleşmesi'nde tanımlanan müşteri tüzel kişi
- Veri İşleyen ("EVRAKTAN"): HANTECH GROUP TEKNOLOJİ TİCARET LİMİTED ŞİRKETİ, Söğütözü Mah. 2182 Sk. No:6B İç Kapı No:4 Çankaya/Ankara
ABONE; KVKK md.3/1-ı ve GDPR md.4(7) kapsamında veri sorumlusu (controller), EVRAKTAN ise KVKK md.3/1-ğ ve GDPR md.4(8) kapsamında veri işleyen (processor) sıfatıyla hareket eder.
2. KONU VE KAPSAM
EVRAKTAN; ABONE'nin Platform'a yüklediği veya Platform aracılığıyla işlenen mükellef, müşteri, çalışan, tedarikçi vb. gerçek kişilere ait verileri, ABONE'nin verdiği yönergeler doğrultusunda, Hizmet'i sunmak amacıyla işler.
EVRAKTAN; bu verileri kendi belirlediği amaçlarla işleyemez, satamaz, kiralayamaz, ABONE'nin yazılı talimatı dışında üçüncü kişilere aktaramaz.
3. İŞLEME NİTELİĞİ
| Parametre | Tanım |
|---|---|
| İşleme amaçları | Belge yönetimi, OCR, KDV/risk inceleme, e-mutabakat, raporlama, AI destekli karar desteği |
| İşlemenin türü | Toplama, kayıt, saklama, değiştirme, aktarma, açıklama, sınıflandırma, silme |
| Veri kategorileri | Kimlik (ad, vergi no, T.C.), iletişim, finansal (fatura, tutar), belgenin içerdiği veriler |
| Veri sahibi grupları | ABONE'nin müşterileri, tedarikçileri, çalışanları, üçüncü kişiler (faturada/sözleşmede adı geçen) |
| İşleme süresi | Hizmet süresince + DPA m.11'de tanımlı silme/iade süreci |
4. EVRAKTAN'IN YÜKÜMLÜLÜKLERİ
4.1. EVRAKTAN; ABONE'nin yazılı (elektronik dahil) talimatları doğrultusunda işler. Kanunen zorunlu işlem hallerinde ABONE'ye derhal bildirim yapar.
4.2. EVRAKTAN; Platform'a erişimi olan kendi personelinin gizlilik yükümlülüğü altında olduğunu garanti eder; gerekli eğitim ve erişim segregasyonunu sağlar.
4.3. EVRAKTAN; Madde 5'te belirtilen güvenlik tedbirlerini uygular.
4.4. EVRAKTAN; ABONE'nin veri sahiplerinden gelen başvuruları (KVKK md.11 / GDPR md.12-23 hakları) işleme dahil etmek üzere ABONE'ye derhal iletir; ABONE'nin talebi üzerine gerekli teknik desteği sağlar (örn. ilgili kayıtların aranması, silinmesi, dışa aktarımı).
4.5. EVRAKTAN; ABONE'nin veri envanteri ve VERBİS bildirimi için gerekli teknik bilgiyi (alt işleyenler listesi, aktarım ülkeleri, saklama süreleri) yıllık olarak günceller.
4.6. EVRAKTAN; veri ihlali (data breach) halinde ABONE'yi azami 72 saat içinde bildirir (KVKK md.12/5 ve GDPR md.33). Bildirim aşağıdakileri içerir:
- İhlalin niteliği, etkilenen veri kategorisi ve veri sahibi sayısı
- Olası sonuçlar
- Alınan / alınacak tedbirler
- İletişim için EVRAKTAN VERBİS irtibat kişisi
4.7. EVRAKTAN; ABONE'nin makul talebi üzerine yılda bir kez güvenlik denetim raporunu (örn. ISO 27001 sertifikası, SOC 2 raporu, kendi iç audit raporu) paylaşır. ABONE'nin maliyeti karşılaması koşuluyla bağımsız denetim (yerinde inceleme) talep edebilir.
5. GÜVENLİK TEDBİRLERİ (KVKK md.12, GDPR md.32)
EVRAKTAN aşağıdaki teknik ve idari tedbirleri uygular:
5.1. Şifreleme
- Aktarımda: TLS 1.3 (uçtan uca, HSTS preload listesinde)
- Depolamada: AES-256 (Supabase + S3 uyumlu blob storage)
- Veritabanı kolon düzeyi şifreleme: Vergi no, T.C. kimlik no, IBAN
5.2. Erişim Kontrolü
- Multi-Factor Authentication (MFA) zorunlu (admin + ABONE adminleri)
- Role-Based Access Control (RBAC) + Row-Level Security (RLS) — kullanıcı yalnızca kendi tenant verisini görür
- En az yetki (least privilege) prensibi
- Yıllık erişim revizyonu
5.3. İzlenebilirlik
- Tüm hassas işlemler için audit log (kim, ne, ne zaman, hangi IP)
- Audit log için yetkisiz değişiklik koruması (append-only)
- Aktif anomali tespit (eşik aşan indirme, IP coğrafi anomali)
5.4. Operasyonel Tedbirler
- Düzenli yedekleme (günlük + haftalık tam yedek; cross-region replikasyon)
- Disaster Recovery planı: RPO ≤ 1 saat, RTO ≤ 4 saat (Enterprise pakette)
- Üç ayda bir penetrasyon testi (yetkin 3. taraf)
- Çalışan ekipmanlarında disk şifreleme + MDM
- Kaynak kod erişimi yalnızca yetkili geliştiriciler; merge öncesi peer-review
5.5. Veri Yaşam Döngüsü
- Tüm yeni veri kategorileri için PIA (Privacy Impact Assessment) zorunlu
- Test ortamlarında gerçek veri kullanılmaz (anonimleştirilmiş örnek veri)
- Silme talepleri için doğrulanabilir silme (logical + physical purge)
6. ALT İŞLEYENLER (SUB-PROCESSORS)
ABONE; aşağıdaki alt işleyenlerin kullanılmasına onay vermiş sayılır. Yeni alt işleyen eklendiğinde EVRAKTAN, ABONE'yi en az 30 gün önceden elektronik olarak bilgilendirir. Bu süre içinde ABONE itiraz etme ve tazminatsız fesih hakkına sahiptir.
| Alt İşleyen | Hizmet | Veri Türü | Konum | Güvenceler |
|---|---|---|---|---|
| Vercel Inc. | Uygulama hosting (Edge + Serverless Functions) | Tüm işlenen veri (transit) | ABD + Edge (küresel) | DPA + SCC + ISO 27001 + SOC 2 |
| Supabase Inc. | Veritabanı (PostgreSQL), Auth, Storage | Tüm kalıcı veri | AB (Frankfurt) | GDPR uyumlu + SOC 2 |
| OpenAI, LLC | LLM (GPT-* serisi) | Belge içeriği (anonimleştirilmiş/kısaltılmış) | ABD | DPA + SCC + opt-out for training |
| Anthropic, PBC | LLM (Claude serisi) — alternatif | Belge içeriği (anonimleştirilmiş/kısaltılmış) | ABD | DPA + SCC + zero-retention API tier |
| Google Cloud (GCP) | OCR / Document AI | Belge görüntüsü (yalnızca işleme süresince) | AB (Belçika, Hollanda) | GDPR + ISO 27001/27018 |
| Resend | İşlemsel e-posta gönderimi | Ad-soyad, e-posta | ABD | SOC 2 + DPA |
| Upstash | Önbellek (Redis), rate-limit | Oturum token (TTL'li), rate kayıtları | AB (Frankfurt) + edge | GDPR + ISO 27001 |
| Sentry | Hata izleme | Hata logları (PII scrubbing aktif) | ABD | DPA + SCC + privacy filters |
| Cloudflare | CDN, DDoS koruma | Trafik metadata, IP | Küresel | GDPR + ISO 27001 + SCC |
| İyzico / PayTR | Ödeme tahsilatı | Kart bilgisi (tokenize) | Türkiye | BDDK + PCI-DSS L1 |
| [E-fatura entegratörü] | E-fatura kesimi | Fatura bilgisi | Türkiye | GİB yetki belgesi |
Güncel alt işleyen listesi: https://evraktan.com/alt-isleyenler
EVRAKTAN; her alt işleyenle KVKK + GDPR uyumlu yazılı sözleşme (DPA) imzalar ve eşdeğer veri koruma standartlarını sözleşmesel olarak şart koşar.
7. ULUSLARARASI VERİ AKTARIMI
7.1. ABD'deki alt işleyenlere yapılan aktarımlar için EVRAKTAN, Standard Contractual Clauses (SCC) 2021/914 veya KVKK Kurulu'nun onayladığı yazılı taahhütname mekanizmalarını kullanır.
7.2. AB içinde kalan aktarımlar GDPR md.44 vd. uyarınca serbesttir (yeterli koruma).
7.3. ABONE; veri sahiplerine yapacağı aydınlatmada yurt dışı aktarım bilgisini açıkça belirtmek ve gerektiğinde açık rıza almakla yükümlüdür.
8. VERİ SAHİBİ TALEPLERİ
8.1. EVRAKTAN; ABONE'nin veri sahiplerinden doğrudan başvuru aldığında, başvuruyu işleme almaz; veri sorumlusunun ABONE olduğunu belirterek başvuruyu 2 iş günü içinde ABONE'ye yönlendirir.
8.2. ABONE; veri sahibi talepleri için EVRAKTAN'dan teknik destek isteyebilir (örn. tüm belgelerin dışa aktarımı, anonimleştirme, fiziksel silme). EVRAKTAN; talebi 15 iş günü içinde yerine getirir. Adli/idari merci kaynaklı talepler için bu süre 5 iş gününe düşer.
9. VERİ İHLALİ BİLDİRİMİ
9.1. EVRAKTAN; veri ihlalini tespit ettiği andan itibaren 72 saat içinde ABONE'ye bildirim yapar (KVKK md.12/5, GDPR md.33).
9.2. Bildirim; KVKK Kurulu'nun "Kişisel Veri İhlal Bildirim Formu" doldurmaya yeterli detayı içerir.
9.3. ABONE; veri sahiplerine ve KVKK Kurulu'na (gerekiyorsa) bildirimi kendi sorumluluğunda yapar; EVRAKTAN bu süreçte gerekli destek ve dokümanı sağlar.
10. DENETİM HAKKI
10.1. ABONE; yılda bir kez ve makul ölçüde, EVRAKTAN'ın işbu DPA'ya uyumunu denetleyebilir. Bu denetim öncelikle EVRAKTAN'ın sağlayacağı belgeler (politika, audit raporu, sertifika) üzerinden yapılır.
10.2. Yerinde fiziksel denetim için 30 gün önceden yazılı talep; kabul edilen denetçi olarak EVRAKTAN, bağımsız bir 3. taraf öneren bir liste sunabilir. Denetim maliyetlerini ABONE üstlenir; ancak denetim sonucunda ciddi bir uyumsuzluk tespit edilirse maliyet EVRAKTAN'a yansıtılır.
11. SÖZLEŞME BİTİMİ — VERİ SİLME / İADE
11.1. Hizmet Sözleşmesi sona erdiğinde ABONE 30 gün içinde dilerse:
- Tüm verisini makinece okunabilir formatta (CSV/JSON/PDF) indirebilir
- Veya EVRAKTAN'a silinmesini talep edebilir
11.2. 30 gün sonrası: VUK md.253 + TBK md.146 gereği yasal saklama yükümlülüğü olan kayıtlar (fatura, defter, sözleşme) yasal süre boyunca arşiv modunda tutulur; aktif erişim kapatılır. Bu kayıtlara yalnızca yetkili merciler erişebilir.
11.3. Silme; kalıcı silme (purge) yöntemiyle yapılır; yedeklerde de azami 35 gün içinde yok edilir (yedekleme rotasyonu nedeniyle).
11.4. Silme/iade işleminin tamamlandığı, EVRAKTAN tarafından yazılı (KEP/e-posta) silme tutanağı ile ABONE'ye bildirilir.
12. SORUMLULUK
12.1. Tarafların kendi yükümlülüklerini ihlal etmeleri durumunda KVKK + GDPR çerçevesindeki idari para cezaları ve veri sahibi tazminat talepleri ihlal eden tarafa aittir.
12.2. EVRAKTAN'ın işbu DPA'dan doğacak toplam sorumluluğu; Hizmet Sözleşmesi m.11.1'de tanımlı sorumluluk sınırına tabidir; ancak kasıt ve ağır ihmal halinde bu sınır uygulanmaz.
13. SÜRE VE YÜRÜRLÜK
İşbu DPA; Hizmet Sözleşmesi'nin yürürlüğe girdiği anda yürürlüğe girer ve Hizmet Sözleşmesi sona erene kadar yürürlükte kalır. Sözleşme sonrası gizlilik ve veri silme yükümlülükleri Madde 11 uyarınca devam eder.
14. UYGULANACAK HUKUK VE UYUŞMAZLIK
Hizmet Sözleşmesi m.15 hükümleri işbu DPA için de geçerlidir. Ek olarak; AB'deki veri sahiplerinin GDPR md.79 kapsamındaki dava açma hakları saklıdır.
İMZA
ABONE (Veri Sorumlusu) İmza / Tarih:
EVRAKTAN (Veri İşleyen) İmza / Tarih:
Bu doküman v1 TASLAK statüsündedir ve şirket avukatınca onaylanmadan bağlayıcı değildir.