Veri İşleme Sözleşmesi

1. Taraflar ve Tanımlar

• Veri Sorumlusu (Mükellef): Evraktan hesabına yüklenen belgelerdeki kişisel veriler bakımından KVKK m.3/ı uyarınca veri sorumlusu sıfatına haiz hesap sahibi tüzel kişi.
• Veri İşleyen (Evraktan): Veri Sorumlusu adına ve onun verdiği yetkiye dayanarak kişisel veriyi işleyen Evraktan.
• Alt İşleyen:Evraktan'ın hizmetin sunulması amacıyla kullandığı altyapı sağlayıcıları (bkz. madde 6).

2. İşlemenin Konusu, Süresi ve Amacı

Veri işleyen, yalnızca hizmetin sunulması (KVKK m.5/2-c: sözleşmenin ifası) amacıyla, abonelik süresi boyunca ve abonelik sona erdikten sonra yasal saklama yükümlülüğü kapsamında veri işler. İşleme; belge dijitalleştirme, OCR, sınıflandırma, risk skoru üretimi, mutabakat ve raporlama fonksiyonlarını kapsar.

3. İşlenen Veri Kategorileri ve İlgili Kişi Grupları

• Kimlik / İletişim: ad-soyad, e-posta, telefon
• Mesleki: şirket, görev, vergi numarası
• Finansal: belge içerikleri (fatura tutarı, vergi, tedarikçi/müşteri)
• İşlem güvenliği: giriş log'u, IP, cihaz/tarayıcı kimliği
• İlgili kişi grupları: kullanıcılar (patron, müşavir, personel), tedarikçi/müşteri muhatapları

4. Veri Sorumlusunun Yükümlülükleri

• Yüklenen belgelerin gerçek ticari işleme dayalı olduğunu beyan eder.
• İlgili kişilere KVKK m.10 kapsamında aydınlatma yükümlülüğünü kendisi yerine getirir.
• Açık rıza gerektiren işlemeler için rızayı kendisi alır.
• Kullanıcı ekleme/çıkarma, rol yönetimi ve yetki tanımları kendi sorumluluğundadır.

5. Veri İşleyenin Yükümlülükleri

• Kişisel veriyi yalnızca veri sorumlusunun talimatları doğrultusunda işler.
• KVKK m.12 kapsamında gerekli teknik ve idari tedbirleri alır.
• İşlenen veriyi alt işleyen dışında üçüncü kişiyle paylaşmaz (yasal zorunluluk hariç).
• Gizlilik yükümlülüğü iş ilişkisi sona erse dahi devam eder.
• İhlal halinde veri sorumlusunu en geç 72 saat içinde bilgilendirir.

6. Alt İşleyenler ve Yurt Dışı Aktarım

Aşağıdaki alt işleyenler hizmetin sunulması için kullanılır:

• Vercel — uygulama barındırma (AB bölgesi)
• Supabase — veritabanı + dosya depolama (AB bölgesi)
• Google Document AI — OCR (AB bölgesi, zero-retention)
• Resend — işlem e-postaları (AB bölgesi)
• Vercel AI Gateway — yapay zeka açıklama (zero-retention)

Yurt dışı aktarım; KVKK m.9/2 kapsamında yeterli koruma sağlayan ülkelere ya da tip sözleşmeler ile yapılır. Yeni alt işleyen eklenmesi durumunda veri sorumlusu önceden bilgilendirilir.

7. Teknik ve İdari Tedbirler

• TLS 1.3 in-transit, AES-256 at-rest şifreleme
• Rol bazlı erişim (RBAC) + multi-tenant izolasyon (Supabase RLS)
• Değişmez audit log — her erişim, indirme, değişiklik kayıt altına alınır
• Günlük yedek + Point-in-Time Recovery (7 gün geriye dönük)
• İki faktörlü kimlik doğrulama opsiyonel (kurumsal pakette zorunlu)
• Çalışan KVKK eğitimi, gizlilik taahhütnamesi
• Düzenli güvenlik testleri ve bağımlılık taraması

8. İlgili Kişi Haklarına Destek

Veri işleyen; veri sorumlusunun ilgili kişi başvurularını yanıtlayabilmesi için makul ölçüde destek sağlar. Veriye erişim, düzeltme, silme ve aktarım talepleri için arayüz ve API uçları kullanıma sunulur.

9. Veri İade ve İmha

Sözleşmenin sona ermesi halinde, veri sorumlusunun yazılı talebine istinaden veriler 30 gün içinde veri sorumlusuna iade edilir veya silinir/anonimleştirilir. VUK m.253 kapsamında öngörülen asgari saklama yükümlülüğü saklıdır.

10. Denetim Hakkı

Veri sorumlusu, makul süre öncesinde bildirimde bulunmak şartıyla, yılda bir defaya mahsus olmak üzere veri işleme süreçlerini denetleyebilir ya da bağımsız denetim raporlarını talep edebilir.

11. Sorumluluk ve Tazminat

Veri işleyenin KVKK ihlali nedeniyle veri sorumlusuna ya da üçüncü kişilere verdiği zararlar, son 12 aylık abonelik bedeli ile sınırlı olmak üzere tazmin edilir. Kasıt ve ağır ihmal halinde sınır uygulanmaz.

12. Yürürlük ve Değişiklik

Bu sözleşme, hizmet abonelik süresi boyunca geçerlidir. Mevzuat değişikliği halinde güncellenebilir; önemli değişikliklerde 30 gün önceden kayıtlı e-posta adresine bildirim yapılır.