🚀 Dijital dönüşümünüze bugün başlayın! İlk 3 imza ücretsiz - Hemen deneyin!

← Trust Center

Data Processing Agreement (DPA) Template

GDPR Article 28 ve KVKK Madde 12(2) kapsamında Veri İşleme Sözleşmesi taslağı. Kurumsal müşterilerimiz tarafından imzalanmak üzere hazırlanmıştır.

📌 Bu Template Hakkında

  • Bu bir imzaya hazır template'dir, kurumsal müşterilerin self-serve imzalayabilmesi için sunulmuştur
  • PDF / DOCX formatında imzaya hazır kopyası talep üzerine sağlanır: [email protected]
  • Türk hukuku altında, KVKK + GDPR ortak gereksinimlerine uyumlu
  • Müşteri spesifik özelleştirmeler için müzakereye açıktır

VERİ İŞLEME SÖZLEŞMESİ (DATA PROCESSING AGREEMENT)

Bu Veri İşleme Sözleşmesi ("DPA"), [Müşteri Şirket Adı] ("Veri Sorumlusu" / "Controller") ile Codeck Yazılım Anonim Şirketi ("Veri İşleyen" / "Processor", "imzala.org") arasında, [tarih] tarihinde imzalanmıştır.

MADDE 1 — TANIMLAR

Bu sözleşmede kullanılan terimler:

  • "KVKK": 6698 sayılı Kişisel Verilerin Korunması Kanunu
  • "GDPR": AB Genel Veri Koruma Tüzüğü (EU) 2016/679
  • "Kişisel Veri": KVKK m.3(d) ve GDPR Art.4(1) tanımları
  • "Veri Sahibi": Kişisel verisi işlenen gerçek kişi
  • "Veri İşleme": KVKK m.3(e) ve GDPR Art.4(2) tanımları
  • "Alt Veri İşleyen": Veri İşleyen adına çalışan üçüncü taraf (subprocessor)
  • "Hizmet": imzala.org platformu üzerinden sunulan dijital sözleşme yönetimi ve elektronik imza hizmetleri

MADDE 2 — VERİ İŞLEMENİN KONUSU VE AMACI

2.1 Konu: Veri İşleyen, Veri Sorumlusu adına ve Veri Sorumlusu'nun talimatları doğrultusunda kişisel veri işleyecektir.

2.2 İşleme Amaçları:

  • Dijital sözleşme oluşturma ve gönderme
  • Elektronik imza akışı yönetimi
  • Belge arşivleme ve TÜBİTAK KAMU SM zaman damgası
  • Audit trail ve hukuki delil oluşturma
  • Müşteri destek hizmetleri (talep üzerine)

2.3 İşleme Süresi: Hizmet sözleşmesi süresince + KVKK / GDPR retention politikası gereği yasal saklama süreleri (sözleşme metadatası 10 yıl — TTK m.82).

MADDE 3 — KİŞİSEL VERİ KATEGORİLERİ VE VERİ SAHİPLERİ

3.1 İşlenen Kişisel Veri Kategorileri:

  • Kimlik (ad, soyad, doğum tarihi)
  • İletişim (e-posta, telefon, adres)
  • Hesap ve kimlik doğrulama (şifre hash, OAuth ID, OTP)
  • Sözleşme ve imza verileri (imza görseli, IP, zaman damgası)
  • Özel nitelikli (KVKK m.6): Biyometrik veri (yalnızca açık rıza ile)
  • Ödeme verileri (PayTR token, kart bilgisi DEĞİL)
  • İşlem güvenliği (IP, audit log)

3.2 Veri Sahipleri Kategorileri:

  • Veri Sorumlusu çalışanları (kullanıcılar)
  • Sözleşme tarafları ve imzacılar
  • Müşteriler ve potansiyel müşteriler (Veri Sorumlusu'nun)

MADDE 4 — VERİ İŞLEYENİN YÜKÜMLÜLÜKLERİ

Veri İşleyen aşağıdaki yükümlülükleri kabul eder (GDPR Art.28(3) + KVKK m.12 gereği):

4.1 Talimat Doğrultusunda İşleme:

Kişisel verileri yalnızca Veri Sorumlusu'nun belgelendirilmiş talimatları doğrultusunda işler. Yasal yükümlülük (mahkeme emri vb.) durumunda Veri Sorumlusu'nu derhal bilgilendirir.

4.2 Personel Gizliliği:

Kişisel verilere erişim yetkisi olan tüm personeli yasal veya sözleşmesel gizlilik yükümlülüğü altına alır (NDA imzalı).

4.3 Güvenlik Tedbirleri (GDPR Art.32):

Risk düzeyine uygun teknik ve idari güvenlik tedbirleri uygular. Bu sözleşmenin Ek-2'sinde detaylandırılmıştır.

4.4 Alt Veri İşleyen (Subprocessor) Yönetimi:

  • Mevcut alt işleyenler bu sözleşmenin Ek-3'ünde listelenmiştir
  • Yeni alt işleyen eklenmeden 30 gün önce Veri Sorumlusu'na bildirim yapılır
  • Veri Sorumlusu makul gerekçeyle itiraz edebilir; itiraz halinde tarafların görüşmesi yapılır
  • Tüm alt işleyenler aynı veri koruma yükümlülüklerini sözleşme yoluyla üstlenir

4.5 Veri Sahibi Hakları:

Veri Sorumlusu'nun veri sahibi haklarını yerine getirmesinde teknik ve organizasyonel destek sağlar (uygun olduğu ölçüde):

  • Erişim hakkı (KVKK m.11 / GDPR Art.15)
  • Düzeltme hakkı (KVKK m.11 / GDPR Art.16)
  • Silme / unutulma hakkı (KVKK m.7 / GDPR Art.17) — tek tıkla self-serve API mevcut
  • Taşınabilirlik hakkı (GDPR Art.20) — JSON+ZIP export self-serve API
  • İtiraz hakkı (GDPR Art.21)

4.6 İhlal Bildirim:

  • Bir kişisel veri ihlali fark edildikten 48 saat içinde Veri Sorumlusu'na bildirim yapılır
  • Bildirim içeriği: ihlalin niteliği, etkilenen veri kategorileri, etkilenen veri sahibi sayısı, alınan önlemler, iletişim noktası
  • Veri Sorumlusu'nun KVKK Kurumu / İlgili otoriteye 72 saat bildirim süresine yetişmesi için zamanında destek

4.7 Veri Koruma Etki Değerlendirmesi (DPIA) Desteği:

Veri Sorumlusu'nun GDPR Art.35 kapsamındaki DPIA çalışmalarına gerekli teknik bilgi ile destek olur.

4.8 Sözleşme Sona Erdiğinde:

  • Veri Sorumlusu'nun tercihine göre kişisel veriler iade edilir veya silinir
  • Yasal saklama yükümlülüğü olan veriler (TTK m.82, VUK m.253) anonimleştirilmiş olarak saklanır
  • Silme işlemi 90 gün içinde tamamlanır, yedek sistemler dahil

4.9 Denetim Hakkı:

  • Veri Sorumlusu yıllık denetim hakkına sahiptir
  • Denetim 30 gün önceden yazılı bildirim ile yapılır
  • İmzala.org gerekli bilgi ve dokümantasyonu sağlar
  • Önceden anlaşılmış 3rd party denetçiler ile yapılabilir
  • Veri Sorumlusu makul kapsamı dışındaki maliyetleri karşılar

MADDE 5 — VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ

  • Kişisel verilerin hukuka uygun toplanmasını sağlamak (KVKK m.5-6)
  • Veri sahiplerinin aydınlatılmasını sağlamak (KVKK m.10)
  • Yasal dayanağı temin etmek (açık rıza, sözleşmenin ifası, hukuki yükümlülük vb.)
  • Veri İşleyen'e meşru ve sınırlı talimatlar vermek
  • İhlal bildiriminin yetkili otoriteye iletilmesi

MADDE 6 — YURT DIŞI AKTARIM

imzala.org'un kullandığı altyapı kapsamında bazı veriler yurt dışına aktarılabilir:

  • AB içine (Hetzner DE, Mailgun EU): GDPR kapsamında ek güvence gerekmez
  • ABD'ye (Cloudflare, Twilio, GitHub): Standart Sözleşme Maddeleri (SCC) Modül 2 imzalı
  • Türkiye'ye (PayTR, NetGSM, Kobikom, TÜBİTAK): KVKK m.9 kapsamında yurt içi sayılır

Bu sözleşmenin Ek-3'ündeki alt işleyen listesi her yurt dışı aktarım detayını içerir.

MADDE 7 — SORUMLULUK VE TAZMİNAT

7.1 Tarafların sorumluluğu kendi yükümlülüklerini ihlal ettikleri ölçüde geçerlidir.

7.2 Veri İşleyen'in sorumluluk üst sınırı, son 12 ayda Veri Sorumlusu'ndan tahsil edilen ücretler ile sınırlıdır (kasıt veya ağır kusur halleri hariç).

7.3 Veri Sorumlusu'nun KVKK m.12 ile ilgili düzenleyici para cezaları için Veri İşleyen yalnızca kendi ihlalleri ile sınırlı tazminatla yükümlüdür.

MADDE 8 — UYUŞMAZLIK VE UYGULANACAK HUKUK

Bu sözleşme Türkiye Cumhuriyeti kanunlarına tabidir. Uyuşmazlıklarda İstanbul (Çağlayan) Mahkemeleri ve İcra Daireleri yetkilidir.

MADDE 9 — YÜRÜRLÜK

Bu DPA, [tarih] tarihinde yürürlüğe girer ve aşağıdaki taraflar arasındaki Hizmet Sözleşmesi süresi boyunca geçerlidir. Aksi yazılı olarak kararlaştırılmadıkça Hizmet Sözleşmesi sona erdiğinde otomatik olarak fesholur.

EK-1: HİZMET TANIMI

Sunulan hizmetler:

  • Dijital biyometrik elektronik imza platformu
  • Sözleşme şablon yönetimi
  • API erişimi (REST)
  • Webhook bildirim sistemi
  • TÜBİTAK KAMU SM nitelikli zaman damgası entegrasyonu
  • Belge arşivleme

EK-2: TEKNİK VE İDARİ GÜVENLİK TEDBİRLERİ

Şifreleme:

  • TLS 1.2 / 1.3 (transit)
  • AES-256 (off-site backup, client-side)
  • RSA-2048 (KMS dijital imza)
  • SHA-256 (hash, belge bütünlüğü)

Erişim Kontrolü:

  • JWT RS256 + RBAC
  • Tüm yönetim panellerinde MFA zorunlu
  • OTP doğrulama (e-posta + SMS)
  • Periyodik erişim incelemesi (3 ayda bir)

Ağ Güvenliği:

  • Cloudflare WAF + DDoS koruma
  • Kubernetes NetworkPolicy ile namespace izolasyonu
  • VPN-only yönetim panellerine erişim

İzleme ve Audit:

  • Prometheus + Grafana metrikleri (24/7)
  • Loki log aggregation (PII otomatik maskelenir)
  • GlitchTip error tracking
  • Audit log 5 yıl saklama
  • Backup health monitor (hourly)

Yedekleme:

  • Velero (K8s) — daily 03:00 + weekly 04:00 UTC
  • PostgreSQL pg_dump — 6 saatte bir
  • Proxmox vzdump — daily 02:00 UTC
  • Off-site Storage Box (encrypted, AB lokasyon)
  • RTO: 4-8 saat, RPO: 6 saat (DB)
  • DR drill PASS (Nisan 2026)

Vulnerability Management:

  • Trivy Operator (sürekli ConfigAudit + VulnerabilityReport)
  • Renovate (otomatik dependency güncellemeleri)
  • ClamAV antivirus (yüklenen dosyalar için)
  • Pentest yıllık (3rd party — ISO 27001 sürecinde planlı)

İdari:

  • Tüm personel NDA + AUP imzalı
  • Yıllık güvenlik farkındalık eğitimi
  • Incident response runbook (5 fazlı yanıt)
  • VERBİS bildirim şablonu hazır (72 saat)

EK-3: ALT VERİ İŞLEYENLER (SUBPROCESSORS)

Güncel liste: /alt-isleyenler. Yeni alt işleyen ekleme bildirimleri için: [email protected]

Alt İşleyen Bölge Amaç Yasal Dayanak
Hetzner Online GmbH Almanya (AB) Sunucu altyapısı DPA + ISO 27001
Cloudflare, Inc. ABD/EU-Home CDN, WAF, DDoS DPA + SCC
Mailgun Almanya (AB) E-posta gönderim DPA
NetGSM, Kobikom Türkiye SMS gönderim KVKK m.9 yurt içi
Twilio Inc. ABD Uluslararası SMS DPA + SCC
PayTR Türkiye Ödeme işleme PCI Level 1
TÜBİTAK KAMU SM Türkiye Zaman damgası 5070 sayılı kanun
GitHub (Microsoft) ABD Kaynak kodu (PII yok) DPA + SCC

İMZA

VERİ SORUMLUSU

[Müşteri Şirket Adı]

Yetkili: ____________________

Unvan: ____________________

İmza: ____________________

Tarih: ____________________

VERİ İŞLEYEN

Codeck Yazılım Anonim Şirketi

Yetkili: Çağdaş Kurultay Kalkan

Unvan: Kurucu / DPO

İmza: ____________________

Tarih: ____________________

📥 İmzaya Hazır Versiyon

Bu DPA template'inin imzaya hazır PDF / DOCX kopyası talep üzerine sağlanır. Müşteri spesifik özelleştirmeler (kapsam, süre, veri kategorileri) için müzakereye açıktır.

[email protected] → DPA İste

Template tarihi: 29 Nisan 2026 — Versiyon: 1.0

Bu template GDPR Art.28 ve KVKK m.12(2) gereksinimlerine uygun olarak hazırlanmıştır. Hukuki tavsiye niteliği taşımaz; spesifik durumlar için kendi avukatınıza danışın.

Demo Talep Et

15 dakikalık ücretsiz demo ile imzala.org'un kurumunuza nasıl uyduğunu birlikte görelim.

E-posta veya telefondan en az birini doldurun.