← Ana sayfa

Veri İşleme Sözleşmesi (DPA)

Son güncelleme:

1. Taraflar ve Sözleşmenin Statüsü

1.1. Veri İşleyen / Hizmet Sağlayıcı

Ticari unvan: 1453 İstanbul Gıda San. ve Tic. Ltd. Şti.
Marka / uygulama adı: Marfin
MERSİS No: 0001192249400001
Vergi Kimlik No: 0011922494
Vergi Dairesi: İlyasbey Vergi Dairesi
Adres: Mevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A, Gebze/Kocaeli
Telefon: +90 (532) 420 66 35
Genel iletişim e-postası: info@marfin.com.tr
KVKK iletişim e-postası: info@marfin.com.tr
Web sitesi: https://www.marfin.com.tr
KEP adresi: [KEP ADRESİ VARSA EKLENECEKTİR]

Bu Sözleşmede 1453 İstanbul Gıda San. ve Tic. Ltd. Şti. kısaca “Marfin” veya “Veri İşleyen” olarak anılacaktır.

1.2. Veri Sorumlusu / Müşteri

Marfin ile B2B Kullanıcı ve Abonelik Sözleşmesi kuran ve kendi işleme amaçları için kişisel verileri Platform üzerinden işleyen gerçek veya tüzel kişi müşteri, bu Sözleşmede “Müşteri” veya “Veri Sorumlusu” olarak anılacaktır.

Müşteriye ait:

  • ticari unvan,
  • MERSİS veya ticaret sicili numarası,
  • vergi kimlik numarası,
  • merkez adresi,
  • veri koruma irtibat kişisi,
  • bildirim e-posta adresi,
  • varsa KEP adresi

Sipariş Formunda, müşteri hesabında veya bu Sözleşmenin Ek-6 İrtibat ve Talimat Matrisi bölümünde gösterilir.

1.3. Taraflar

Marfin ve Müşteri ayrı ayrı “Taraf”, birlikte “Taraflar” olarak anılır.

1.4. Ana Sözleşmenin Ayrılmaz Parçası

Bu Veri İşleme Sözleşmesi:

  • Marfin B2B Kullanıcı ve Abonelik Sözleşmesinin,
  • varsa Sipariş Formunun,
  • Kurumsal Paket veya özel hizmet sözleşmesinin

ayrılmaz parçasıdır.

Ana Sözleşmenin sona ermesi, bu Sözleşmenin veri iadesi, silme, gizlilik, denetim, sorumluluk ve yasal saklama bakımından niteliği gereği devam eden hükümlerini ortadan kaldırmaz.


2. Amaç, Konu ve Kapsam

2.1. Amaç

Bu Sözleşmenin amacı, Müşterinin veri sorumlusu ve Marfin’in veri işleyen olduğu kişisel veri işleme faaliyetlerinde Tarafların hak, yükümlülük ve sorumluluklarını düzenlemektir.

2.2. Konu

Marfin, Müşterinin belgelenmiş talimatları doğrultusunda ve Hizmetleri sağlamak amacıyla Müşteri Verisi içinde yer alan kişisel verileri işleyebilir.

Bu işlemler, seçilen Paket ve kullanılan özelliklere göre özellikle şunları içerebilir:

  • veri kaydetme ve barındırma,
  • düzenleme, sınıflandırma ve eşleştirme,
  • görüntüleme ve kullanıcı erişimi sağlama,
  • raporlama ve analiz,
  • veri içe veya dışa aktarma,
  • yedekleme ve teknik geri yükleme,
  • e-dönüşüm bağlantıları,
  • banka ve açık bankacılık bağlantıları,
  • pazaryeri bağlantıları,
  • belge yükleme ve OCR,
  • yapay zekâ destekli analiz ve chatbot,
  • destek ve hata giderme,
  • güvenlik, loglama ve suistimal önleme,
  • API ve webhook işlemleri,
  • silme, anonimleştirme veya iade.

2.3. Kapsam Dışı İşlemler

Marfin’in aşağıdaki amaçlarla kendi karar ve sorumluluğunda yaptığı işlemler bu DPA kapsamında veri işleyen faaliyeti sayılmaz:

  • Müşteri hesabının kurulması ve sözleşmenin ispatı,
  • abonelik, ücret, tahsilat ve Marfin’in kendi muhasebe kayıtları,
  • Müşteri temsilcileriyle iletişim,
  • Marfin’e yöneltilen destek ve şikâyetlerin yönetimi,
  • Marfin’in kendi sistem güvenliği ve yasal yükümlülükleri,
  • hakların tesisi, kullanılması veya korunması,
  • mevzuata uyum ve yetkili makam talepleri,
  • izinli ticari ileti ve Marfin pazarlama faaliyetleri.

Bu işlemlerde Marfin, somut işleme göre veri sorumlusu olarak hareket eder ve ilgili süreçler KVKK Aydınlatma Metni ile Gizlilik Politikasında açıklanır.

2.4. Rolün Fiilî Duruma Göre Belirlenmesi

Tarafların rolü, yalnızca sözleşmede kullanılan unvana değil, somut işleme faaliyetinin amaç ve esaslı vasıtalarını fiilen hangi Tarafın belirlediğine göre değerlendirilir.

Marfin’in bir işleme bakımından amaç ve esaslı vasıtaları bağımsız şekilde belirlemek zorunda kalması hâlinde Taraflar, rol ve bilgilendirme yükümlülüklerini ayrıca değerlendirir.


3. Tanımlar

Bu Sözleşmede geçen ifadeler, aksi açıkça belirtilmedikçe aşağıdaki anlamları taşır:

  • Alt İşleyen: Marfin tarafından, Müşteri adına gerçekleştirilen veri işleme faaliyetinin tamamını veya bir bölümünü yürütmek üzere yetkilendirilen üçüncü taraf veri işleyen.
  • Ana Sözleşme: Marfin B2B Kullanıcı ve Abonelik Sözleşmesi ile varsa Sipariş Formu ve ekleri.
  • Belgelenmiş Talimat: Müşterinin Ana Sözleşme, Sipariş Formu, Platform ayarı, yetkili destek talebi, API yapılandırması veya Tarafların imzaladığı başka bir belge üzerinden verdiği ve sonradan ispatlanabilen talimat.
  • Hizmetler: Marfin Platformu, web ve mobil uygulamalar, API, destek, entegrasyon, AI, OCR ve bağlantılı SaaS hizmetleri.
  • İlgili Kişi: Kişisel verisi işlenen kimliği belirli veya belirlenebilir gerçek kişi.
  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
  • Kişisel Veri İhlali: İşlenen kişisel verilerin hukuka aykırı olarak elde edilmesine, açıklanmasına, değiştirilmesine, kaybına, yok edilmesine, erişilemez hâle gelmesine veya yetkisiz işlenmesine yol açan güvenlik ihlali.
  • Kurul: Kişisel Verileri Koruma Kurulu.
  • Kurum: Kişisel Verileri Koruma Kurumu.
  • KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu ve uygulanabilir ikincil düzenlemeler.
  • Müşteri Verisi: Müşteri veya Yetkili Kullanıcılar tarafından Platforma girilen, yüklenen, oluşturulan, aktarılan veya entegrasyonlardan alınan veri, belge ve içerik.
  • OCR: Görsel veya belge üzerindeki metin ve alanların otomatik olarak tanınması ve yapılandırılmış veriye dönüştürülmesi.
  • Özel Nitelikli Kişisel Veri: Yürürlükteki mevzuatta özel nitelikli olarak belirlenen kişisel veri kategorileri.
  • Platform: Marfin markasıyla sunulan web, mobil, API ve bağlantılı yazılım ortamları.
  • Standart Sözleşme: Yurt dışına kişisel veri aktarımı için yürürlükteki mevzuat kapsamında Kurul tarafından ilan edilen ve somut taraf rollerine uygun olan standart sözleşme.
  • Teknik ve İdari Tedbirler: Kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, muhafazasını sağlamak ve riskleri azaltmak amacıyla alınan teknik ve organizasyonel önlemler.
  • Veri İşleme: Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, erişilebilir hâle getirilmesi, sınıflandırılması, kullanılmasının engellenmesi, silinmesi, yok edilmesi, anonimleştirilmesi veya bunlar üzerinde gerçekleştirilen diğer işlemler.
  • Veri İşleyen: Veri sorumlusunun verdiği yetkiye ve talimatlara dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi.
  • Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
  • Yurt Dışı Aktarım: Kişisel verilerin Türkiye dışındaki bir alıcıya iletilmesi veya Türkiye dışından erişilebilir hâle getirilmesi.
  • Yetkili Kullanıcı: Müşteri tarafından Müşteri hesabına erişim yetkisi verilen çalışan, yönetici, mali müşavir, danışman veya diğer kişi.

Tanımlanmayan büyük harfli ifadeler Ana Sözleşmedeki anlamlarını taşır.


4. Tarafların Kişisel Veri Koruma Rolleri

4.1. Müşterinin Rolü

Müşteri, Platforma aktardığı veya Platform üzerinden işlediği üçüncü kişilere ait kişisel veriler bakımından kural olarak veri sorumlusudur.

Müşteri özellikle:

  • işleme amaçlarını,
  • işlenecek veri kategorilerini,
  • ilgili kişi gruplarını,
  • kullanıcı rollerini,
  • saklama gereksinimlerini,
  • entegrasyonların etkinleştirilmesini,
  • AI veya OCR özelliklerine hangi verilerin gönderileceğini,
  • veri dışa aktarım ve silme talimatlarını

belirler.

4.2. Marfin’in Rolü

Marfin, bu kapsamdaki kişisel verileri:

  • Müşteri adına,
  • Müşterinin Belgelenmiş Talimatları doğrultusunda,
  • Hizmetleri sağlamak için gerekli olduğu ölçüde

işler.

4.3. Ortak Veri Sorumluluğu Oluşturulmaması

Taraflardan birinin açıkça kabulü veya fiilî durum gerektirmedikçe bu Sözleşme:

  • ortak veri sorumluluğu,
  • acentelik,
  • ortaklık,
  • iş ortaklığı,
  • temsil ilişkisi

oluşturmaz.

4.4. Müşterinin Başka Bir Veri Sorumlusu Adına Hareket Etmesi

Müşteri, başka bir veri sorumlusunun veri işleyeni olarak Marfin’den hizmet alıyorsa:

  • Marfin’i alt işleyen olarak yetkilendirmeye hakkı bulunduğunu,
  • asıl veri sorumlusunun gerekli onayını aldığını,
  • Marfin’e verdiği talimatların asıl veri sorumlusunun talimatlarıyla uyumlu olduğunu

beyan eder.

Bu durumda Taraflar, işleme zincirindeki rollerini ve yurt dışı aktarım modülünü gerektiğinde ayrıca belgelendirir.


5. İşleme Faaliyetinin Ayrıntıları

İşleme faaliyetinin temel ayrıntıları Ek-1 Veri İşleme Ayrıntıları bölümünde düzenlenir.

Ek-1’de en az aşağıdaki unsurlar bulunur:

  • işleme konusu,
  • amaçları,
  • niteliği ve kapsamı,
  • veri işleme süresi,
  • ilgili kişi grupları,
  • kişisel veri kategorileri,
  • özel nitelikli veri bulunup bulunmadığı,
  • kullanılan başlıca özellikler,
  • aktarım ve alt işleyen kategorileri,
  • veri dışa aktarım ve silme yaklaşımı.

Seçilen Paket, etkinleştirilen özellik ve entegrasyonlara göre Ek-1’in yalnızca ilgili satırları uygulanır.


6. Müşterinin Talimatları

6.1. Talimatın Kapsamı

Ana Sözleşmenin kurulması, Müşterinin Hizmetleri kullanması ve ilgili özellikleri etkinleştirmesi; Marfin’e aşağıdaki işlemler için Belgelenmiş Talimat oluşturur:

  • kişisel verileri Platformda barındırma,
  • Yetkili Kullanıcılara rol bazlı erişim sağlama,
  • Müşterinin seçtiği rapor, AI, OCR ve entegrasyon işlemlerini yürütme,
  • güvenlik, destek, yedekleme ve hata giderme faaliyetlerini gerçekleştirme,
  • Müşterinin talebi üzerine verileri dışa aktarma veya silme,
  • bu Sözleşmeye uygun Alt İşleyen kullanma.

6.2. Ek Talimatlar

Müşteri, Platformun standart işlevlerinin dışında bir işlem talimatı vermek isterse talebini yetkili iletişim kanalından yazılı veya elektronik olarak iletir.

Marfin:

  • talebin teknik olarak mümkün olup olmadığını,
  • güvenlik etkisini,
  • maliyetini,
  • diğer müşterilerin sistemlerine etkisini,
  • mevzuata uygunluğunu

değerlendirir.

Standart Hizmet kapsamını aşan talepler ek ücret, süre veya ayrı Sipariş Formu gerektirebilir.

6.3. Hukuka Aykırı Talimat

Marfin, bir talimatın uygulanabilir veri koruma mevzuatına aykırı olduğunu makul olarak değerlendirirse:

  1. Müşteriyi gecikmeksizin bilgilendirir,
  2. hukuken mümkünse aykırılığın nedenini açıklar,
  3. talimatın düzeltilmesini ister,
  4. risk devam ettiği sürece ilgili işlemi durdurabilir.

Marfin, hukuka aykırılığı açık bir talimatı yerine getirmek zorunda değildir.

6.4. Acil Güvenlik İşlemleri

Veri güvenliğini, sistem bütünlüğünü veya diğer müşterileri korumak için acil işlem gerekirse Marfin:

  • talimat beklemeksizin sınırlı ve gerekli güvenlik işlemini yapabilir,
  • hukuken ve teknik olarak mümkün olan en kısa sürede Müşteriyi bilgilendirir,
  • işlemi amaçla ve süreyle sınırlar.

7. Müşterinin Yükümlülükleri

Müşteri, veri sorumlusu olarak özellikle aşağıdaki yükümlülükleri yerine getirir.

7.1. Hukuki Sebep ve Şeffaflık

Müşteri:

  • her işleme faaliyeti için geçerli hukuki sebebi belirler,
  • ilgili kişileri usulüne uygun şekilde aydınlatır,
  • gerektiğinde açık rıza veya diğer izinleri alır,
  • rıza ve ret kayıtlarını saklar,
  • verileri yalnızca belirlenen amaçlarla işler.

7.2. Veri Toplama ve Platforma Aktarma Yetkisi

Müşteri, Platforma aktardığı verileri:

  • hukuka uygun şekilde elde ettiğini,
  • Marfin’e işlettirmeye ve gerekli aktarımları yaptırmaya yetkili olduğunu,
  • üçüncü taraf sözleşmelerine veya gizlilik yükümlülüklerine aykırı hareket etmediğini

temin eder.

7.3. Veri Minimizasyonu

Müşteri:

  • amaç için gereksiz veriyi Platforma yüklemez,
  • yüksek riskli kimlik ve finans verilerini gereksiz yere toplamaz,
  • AI, OCR ve destek alanlarına gereksiz kişisel veri göndermez,
  • mümkün olduğunda maskeleme veya takma adlandırma uygular.

7.4. Veri Doğruluğu

Müşteri:

  • kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlar,
  • hatalı veya eski verileri düzeltir,
  • OCR, otomatik sınıflandırma ve AI çıktısını kaynak kayıtlarla doğrular.

7.5. Yetkili Kullanıcı Yönetimi

Müşteri:

  • yalnızca görev gereği erişmesi gereken kişilere hesap açar,
  • rol ve yetkileri en az ayrıcalık ilkesine göre belirler,
  • ayrılan veya görevi değişen kullanıcının erişimini gecikmeksizin kaldırır,
  • hesap paylaşımına izin vermez,
  • güçlü parola ve sunuluyorsa çok faktörlü doğrulamayı kullanır.

7.6. İlgili Kişi Talepleri

Müşteri:

  • ilgili kişi taleplerinin asıl muhatabıdır,
  • başvuruları mevzuattaki süre ve usule uygun yanıtlar,
  • Marfin’den gerekli teknik yardımı zamanında talep eder,
  • talebin kapsamını açık ve doğrulanabilir biçimde bildirir.

7.7. Özel Nitelikli Veriler

Müşteri, özel nitelikli kişisel verileri yalnızca:

  • geçerli işleme şartı bulunduğunda,
  • gerekli ek güvenlik tedbirlerini aldığında,
  • Platformdaki ilgili özelliğin bu işlem için uygunluğunu değerlendirdiğinde,
  • Ek-1’de ilgili kategori belirtildiğinde

işler.

7.8. Yurt Dışı Aktarım Bilgilendirmeleri

Müşteri:

  • Platformun Alt İşleyenler Listesini ve veri barındırma bölgesini değerlendirir,
  • kendi ilgili kişilerine gerekli bilgilendirmeyi yapar,
  • kendi sorumluluk alanındaki aktarım mekanizmasını ve kayıtlarını tamamlar.

7.9. Mevzuata Aykırı İçerik

Müşteri, Marfin’i:

  • hukuka aykırı gözetim,
  • yetkisiz çalışan takibi,
  • ayrımcılık,
  • dolandırıcılık,
  • sahte belge veya kayıt üretimi,
  • hukuka aykırı profilleme,
  • izinsiz ticari ileti,
  • veri ticareti,
  • kara para aklama veya suç gelirlerinin gizlenmesi

amacıyla kullanamaz.


8. Marfin’in Genel Yükümlülükleri

Marfin, veri işleyen sıfatıyla:

  1. kişisel verileri yalnızca Belgelenmiş Talimatlara göre işler,
  2. işlemeyi Hizmetlerin sağlanması için gerekli kapsamla sınırlar,
  3. kişisel verilere erişen personeli gizlilik yükümlülüğü altında tutar,
  4. risk seviyesine uygun Teknik ve İdari Tedbirleri uygular,
  5. Alt İşleyenleri bu Sözleşmeyle uyumlu veri koruma yükümlülüklerine tabi tutar,
  6. ilgili kişi başvurularında Müşteriye makul yardım sağlar,
  7. Kişisel Veri İhlalini bu Sözleşmedeki usulle Müşteriye bildirir,
  8. denetim ve uygunluk taleplerine makul bilgi sağlar,
  9. sona erme sonrasında verileri bu Sözleşmeye göre iade eder, siler veya anonimleştirir,
  10. yurt dışı aktarımları için kendi sorumluluk alanındaki uygun mekanizmaları tesis eder,
  11. hukuken zorunlu olmadıkça Müşteri Verisini kendi bağımsız pazarlama amacıyla kullanmaz,
  12. Müşteri Verisini, Müşterinin talep ettiği Hizmet dışında üçüncü kişilere satmaz.

Marfin’in güvenlik ve veri koruma yükümlülükleri sonuç garantisi değil, riske uygun özen ve tedbir yükümlülüğüdür.


9. Gizlilik ve Yetkili Personel

9.1. Erişim Sınırlaması

Marfin, Müşteri Verisine erişimi:

  • görevi gereği erişmesi gereken,
  • uygun yetkilendirmeye sahip,
  • gizlilik yükümlülüğü altında bulunan

çalışan, danışman ve tedarikçilerle sınırlar.

9.2. Gizlilik Yükümlülüğünün Devamı

Gizlilik yükümlülüğü:

  • görev veya sözleşme sona erdikten sonra,
  • kişisel veri silinene veya hukuka uygun şekilde anonim hâle gelene kadar,
  • mevzuatın daha uzun süre öngördüğü durumlarda ilgili süre boyunca

devam eder.

9.3. Eğitim ve Farkındalık

Marfin, kişisel verilere erişen ilgili personelin görevine uygun olarak:

  • bilgi güvenliği,
  • kimlik avı ve sosyal mühendislik,
  • parola ve erişim güvenliği,
  • olay bildirimi,
  • veri minimizasyonu,
  • gizlilik

konularında bilgilendirilmesini hedefler.

9.4. Destek Erişimi

Marfin personeli, Müşteri hesabına destek amacıyla erişecekse:

  • erişim yalnızca talep veya olay için gerekli olmalı,
  • mümkün olduğunda yetkili destek kaydıyla ilişkilendirilmeli,
  • görev tamamlanınca erişim sonlandırılmalı,
  • uygun olduğu ölçüde erişim loglanmalıdır.

10. Teknik ve İdari Güvenlik Tedbirleri

10.1. Genel Yükümlülük

Marfin, kişisel verilerin:

  • hukuka aykırı işlenmesini,
  • hukuka aykırı erişilmesini,
  • kazara veya hukuka aykırı kaybını,
  • yetkisiz değiştirilmesini veya açıklanmasını

önlemeye ve verilerin muhafazasını sağlamaya yönelik riske uygun tedbirler uygular.

10.2. Tedbirlerin Belirlenmesi

Tedbirler belirlenirken:

  • verinin niteliği ve miktarı,
  • ilgili kişi sayısı,
  • işleme amacı,
  • teknoloji ve uygulama maliyeti,
  • olası ihlalin ilgili kişiler üzerindeki etkisi,
  • güncel tehdit ve zafiyetler,
  • kullanılan Alt İşleyenler

dikkate alınır.

10.3. Asgari Tedbir Alanları

Teknik ve idari tedbir alanları Ek-2 Teknik ve İdari Tedbirler bölümünde açıklanır ve en az aşağıdakileri kapsar:

  • organizasyonel güvenlik,
  • varlık ve veri envanteri,
  • erişim kontrolü,
  • kimlik doğrulama,
  • parola ve oturum güvenliği,
  • değişiklik ve sürüm yönetimi,
  • güvenli yazılım geliştirme,
  • zafiyet ve yama yönetimi,
  • loglama ve izleme,
  • zararlı yazılım ve saldırı önleme,
  • ağ ve iletişim güvenliği,
  • veri aktarım güvenliği,
  • yedekleme ve geri yükleme,
  • tedarikçi ve Alt İşleyen güvenliği,
  • olay müdahalesi,
  • iş sürekliliği,
  • veri silme ve imha,
  • personel gizliliği ve eğitim.

10.4. Doğrulanmamış Standartlar

Marfin, teknik olarak doğrulanmadıkça bu Sözleşmeyle:

  • belirli bir şifreleme algoritması,
  • belirli TLS sürümü,
  • ISO 27001 veya başka sertifika,
  • SOC 2 raporu,
  • kesintisiz 7/24 insan desteği,
  • sıfır veri kaybı,
  • kesin RPO veya RTO

taahhüt etmez.

Üretimde doğrulanan standartlar ve sertifikalar Ek-2’ye eklenebilir.

10.5. Tedbirlerin Güncellenmesi

Marfin, genel güvenlik seviyesini esaslı biçimde düşürmemek kaydıyla:

  • teknoloji değişikliği,
  • tehdit ortamı,
  • ürün mimarisi,
  • mevzuat,
  • hizmet sağlayıcısı değişikliği

nedeniyle tedbirleri güncelleyebilir.


11. Erişim, Yetki ve Hesap Güvenliği

11.1. Marfin Tarafındaki Erişimler

Marfin:

  • rol bazlı yetkilendirme uygular,
  • ayrıcalıklı erişimleri sınırlar,
  • görev değişikliği veya işten ayrılma durumunda erişimleri kaldırır,
  • mümkün olduğu ölçüde kritik erişimleri loglar,
  • paylaşımlı yönetici hesaplarını sınırlandırmayı hedefler.

11.2. Müşteri Tarafındaki Erişimler

Müşteri hesabındaki Yetkili Kullanıcıların:

  • oluşturulması,
  • silinmesi,
  • rolü,
  • erişebileceği firma ve modüller,
  • veri dışa aktarım yetkisi,
  • entegrasyon kurma yetkisi

Müşterinin sorumluluğundadır.

11.3. Kimlik Bilgilerinin Gizliliği

Taraflar:

  • parola,
  • API anahtarı,
  • erişim tokenı,
  • webhook sırrı,
  • kurtarma kodu

gibi kimlik doğrulama bilgilerini yetkisiz kişilerle paylaşmaz.

11.4. Şüpheli Erişim

Müşteri, şüpheli erişim veya kimlik bilgisinin açığa çıkması hâlinde Marfin’i gecikmeksizin bilgilendirir ve:

  • parolayı değiştirir,
  • ilgili oturumu sonlandırır,
  • API anahtarı veya tokenı yeniler,
  • gerekli kullanıcı erişimlerini kaldırır.

12. Özel Nitelikli Kişisel Veriler

12.1. Varsayılan Kapsam

Marfin, standart finans ve ön muhasebe Platformunu özel nitelikli kişisel veri işleme amacıyla tasarlamamıştır.

12.2. Yükleme Sorumluluğu

Müşteri, özel nitelikli veri yüklemeden önce:

  • işlemenin zorunlu ve hukuka uygun olduğunu,
  • ilgili özelliğin uygunluğunu,
  • erişim yetkilerini,
  • saklama süresini,
  • ek güvenlik tedbirlerini

değerlendirir.

12.3. Ön Bildirim Gerektiren Durumlar

Sürekli veya yüksek hacimli özel nitelikli veri işleme planlanıyorsa Müşteri, işleme başlamadan önce Marfin’e yazılı bilgi vermeli ve Taraflar:

  • teknik uygunluğu,
  • ek güvenlik ihtiyacını,
  • maliyet ve destek kapsamını,
  • Ek-1 güncellemesini

değerlendirmelidir.

12.4. Talimatla Sınırlılık

Marfin, özel nitelikli veriyi yalnızca bu Sözleşme ve Müşterinin Belgelenmiş Talimatı kapsamında işler.


13. Veri Minimizasyonu, Doğruluk ve Amaçla Sınırlılık

13.1. Minimizasyon

Marfin, standart ürün tasarımında yalnızca ilgili özelliğin çalışması için gerekli veri alanlarını işlemeyi hedefler.

Müşteri, serbest metin, belge yükleme ve AI alanlarında gereksiz veri paylaşımından kaçınır.

13.2. Doğruluk

Marfin, Müşterinin girdiği verilerin maddi doğruluğunu bağımsız olarak doğrulamakla yükümlü değildir.

Otomatik veri çıkarımı, eşleştirme veya sınıflandırma sonucu oluşan alanlar Müşteri tarafından kontrol edilir.

13.3. Amaçla Sınırlılık

Marfin, Müşteri Verisini:

  • bağımsız reklam profili oluşturmak,
  • üçüncü kişilere veri satmak,
  • Müşterinin talebi dışında genel pazarlama yapmak

amacıyla kullanmaz.

Anonim hâle getirilen ve ilgili kişiyle ilişkilendirilemeyen istatistikler; ürün güvenliği, kapasite planlama ve genel hizmet geliştirme amacıyla kullanılabilir.

13.4. Anonimleştirme Standardı

Veri, doğrudan veya dolaylı şekilde makul araçlarla gerçek kişiyle yeniden ilişkilendirilebiliyorsa anonim sayılmaz.

Takma adlandırılmış veri, yeniden ilişkilendirme anahtarı bulunduğu sürece kişisel veri olmaya devam eder.


14. Yapay Zekâ ve OCR İşlemleri

14.1. Özelliklerin Etkinleştirilmesi

AI ve OCR özellikleri, seçilen Paket ve ürün ayarlarına göre:

  • varsayılan olarak açık,
  • varsayılan olarak kapalı,
  • kullanıcı işlemiyle etkinleşen,
  • Kurumsal Paket ayarıyla sınırlandırılan

şekilde sunulabilir.

Üretim öncesinde gerçek varsayılan ayar [BİLGİ TAMAMLANACAK] olarak belirlenmelidir.

14.2. AI’a Gönderilebilecek Veriler

Müşterinin seçimine göre:

  • istem ve soru metni,
  • cari veya finansal kayıt,
  • rapor özeti,
  • fatura veya belge içeriği,
  • OCR ile çıkarılan metin,
  • kullanıcı tarafından seçilen bağlamsal bilgiler

AI sağlayıcısına iletilebilir.

14.3. İşleme Amacı

AI sağlayıcısı üzerinden işleme yalnızca:

  • Müşterinin talep ettiği yanıtı üretme,
  • belgeyi işleme,
  • analiz veya sınıflandırma yapma,
  • kötüye kullanım ve güvenliği yönetme

amacıyla gerçekleştirilir.

14.4. Genel Model Eğitimi

Marfin:

  • mümkün olduğunda kurumsal veya API planlarını,
  • müşteri verisiyle genel model eğitiminin kapalı olduğu ayarları,
  • sınırlı veri saklama seçeneklerini

tercih eder.

Ancak üretimde kullanılacak her sağlayıcının:

  • güncel hizmet şartları,
  • veri saklama süresi,
  • kötüye kullanım incelemesi,
  • model eğitim ayarı,
  • bölgesel veri akışı,
  • alt işleyenleri

doğrulanmadan mutlak garanti verilmez.

Güncel durum AI Veri İşleme Politikasında ve Alt İşleyenler Listesinde açıklanır.

14.5. İnsan Kontrolü

Müşteri:

  • AI ve OCR çıktısını doğrular,
  • finansal ve vergisel sonuç doğuran kaydı kaynak belgeyle karşılaştırır,
  • gerekli uzman görüşünü alır,
  • nihai kararı kendisi verir.

14.6. Yasaklı Veri Girişi

Zorunlu olmadığı sürece AI veya OCR alanlarına:

  • tam kart bilgisi,
  • parola ve güvenlik anahtarı,
  • biyometrik veya genetik veri,
  • sağlık veya ceza mahkûmiyeti verisi,
  • hukuki yetki bulunmayan üçüncü kişi verisi,
  • gereksiz kimlik belgesi

girilmemelidir.

14.7. Sağlayıcı Değişikliği

AI veya OCR sağlayıcısı değişikliği Alt İşleyen hükümlerine tabidir.


15. Alt İşleyenler

15.1. Genel Yetki

Müşteri, Marfin’in Hizmetleri sunmak için Alt İşleyen kullanmasına genel yazılı yetki verir.

15.2. Alt İşleyen Kategorileri

Alt İşleyenler özellikle aşağıdaki hizmet kategorilerinde kullanılabilir:

  • bulut barındırma ve veritabanı,
  • CDN, DNS ve siber güvenlik,
  • yedekleme ve felaket kurtarma,
  • e-posta ve bildirim,
  • müşteri destek altyapısı,
  • ödeme altyapısı,
  • AI ve OCR,
  • analitik, performans ve hata izleme,
  • e-dönüşüm,
  • banka ve açık bankacılık,
  • pazaryeri bağlantıları,
  • loglama ve güvenlik izleme.

15.3. Alt İşleyenin Yükümlülükleri

Marfin, Alt İşleyenle yaptığı sözleşmede, ilgili hizmet ve veri işleme riskiyle uyumlu olarak en az aşağıdaki yükümlülükleri düzenler:

  • talimatla sınırlı işleme,
  • gizlilik,
  • güvenlik tedbirleri,
  • olay ve ihlal bildirimi,
  • alt işleyen zinciri,
  • yurt dışı aktarım kuralları,
  • veri iadesi veya silme,
  • denetim ve uygunluk bilgisi,
  • ilgili kişi taleplerinde yardım.

15.4. Marfin’in Sorumluluğu

Marfin, Alt İşleyenin kendisine devredilen veri işleme yükümlülüklerini yerine getirmesini sözleşmesel olarak sağlamaktan sorumludur.

Tarafların kanundan ve Ana Sözleşmeden doğan sorumluluk sınırlamaları saklıdır.

15.5. Güncel Liste

Güncel Alt İşleyenler aşağıdaki belgede yayımlanır:

Alt İşleyenler Listesi

Liste en az şu bilgileri içerir:

  • sağlayıcı adı,
  • hizmeti,
  • işlenen veri kategorileri,
  • işleme ülkesi veya bölgesi,
  • aktarım mekanizması,
  • kullanım durumu,
  • son güncelleme tarihi.

16. Yeni Alt İşleyen Bildirimi ve İtiraz Süreci

16.1. Bildirim

Marfin, Müşteri Verisini işleyecek yeni ve esaslı bir Alt İşleyeni devreye almadan önce Müşteriye:

  • hesap içi bildirim,
  • kayıtlı e-posta,
  • Alt İşleyenler Listesi değişiklik bildirimi

yöntemlerinden biriyle makul ön bildirim yapar.

Standart bildirim süresi on beş (15) takvim günü olarak belirlenmiştir. Acil güvenlik, hizmet sürekliliği veya sağlayıcının zorunlu değişikliği hâlinde daha kısa süre uygulanabilir.

16.2. İtiraz

Müşteri, bildirimden itibaren on (10) takvim günü içinde yalnızca makul ve belgeli veri koruma gerekçeleriyle itiraz edebilir.

İtirazda:

  • etkilenen veri kategorisi,
  • somut hukuki veya güvenlik riski,
  • uygulanabilir mevzuat hükmü,
  • talep edilen makul çözüm

açıklanmalıdır.

16.3. Çözüm Süreci

Taraflar iyi niyetle aşağıdaki çözümleri değerlendirir:

  • ek güvenlik tedbiri,
  • ilgili özelliğin kapatılması,
  • alternatif sağlayıcı,
  • veri kapsamının azaltılması,
  • aktarım mekanizmasının değiştirilmesi.

16.4. Çözülemeyen İtiraz

Makul itiraz çözülemezse:

  • Marfin ilgili Alt İşleyene bağlı özelliği Müşteri için sunmayabilir,
  • Müşteri yalnızca etkilenen Hizmeti veya teknik olarak ayrılamıyorsa Ana Sözleşmeyi feshedebilir.

Bu fesih hakkı, bildirimin alınmasından itibaren otuz (30) gün içinde kullanılmalıdır.

16.5. Önceden Onaylı Alt İşleyenler

DPA’nın yürürlüğe girdiği tarihte Alt İşleyenler Listesinde bulunan sağlayıcılar Müşteri tarafından onaylanmış kabul edilir.


17. Yurt Dışına Kişisel Veri Aktarımı

17.1. Genel İlke

Marfin, Müşteri Verisini Türkiye dışındaki bir alıcıya ancak yürürlükteki mevzuatta öngörülen geçerli aktarım şartı ve mekanizması bulunduğunda aktarır veya yurt dışından erişilebilir hâle getirir.

17.2. Muhtemel Yurt Dışı İşlemler

Aşağıdaki hizmetler yurt dışı veri akışına yol açabilir:

  • Avrupa Birliği bölgesinde barındırılan veritabanı veya bulut hizmeti,
  • küresel CDN ve güvenlik ağı,
  • AI ve OCR sağlayıcıları,
  • e-posta, analitik, hata izleme ve bildirim sağlayıcıları,
  • uluslararası pazaryeri veya entegrasyon servisleri.

17.3. Kullanılabilecek Mekanizmalar

Somut aktarıma göre aşağıdaki mekanizmalardan uygun olanı kullanılabilir:

  • yeterlilik kararı,
  • Kurul tarafından ilan edilen Standart Sözleşme,
  • bağlayıcı şirket kuralları,
  • uygun güvence içeren ve gerekli onaya tabi taahhütname,
  • kanundaki şartları taşıyan arızi aktarım,
  • yürürlükteki mevzuatın izin verdiği diğer mekanizmalar.

17.4. Standart Sözleşme

Standart Sözleşme kullanılması gerekiyorsa Taraflar:

  • somut rollerine uygun modülü belirler,
  • sözleşmeyi usulüne uygun şekilde imzalar,
  • ekleri gerçek veri akışına göre doldurur,
  • gerekli bildirim ve kayıt işlemlerini kanuni süre içinde yerine getirir.

Standart Sözleşme ile bu DPA arasında çelişki olması hâlinde, ilgili yurt dışı aktarım bakımından emredici nitelikteki Standart Sözleşme hükmü öncelikle uygulanır.

17.5. Aktarım Zinciri

Marfin, yurt dışındaki Alt İşleyenin başka bir Alt İşleyen kullanması hâlinde:

  • aktarım zincirini makul ölçüde değerlendirir,
  • sözleşmesel veri koruma yükümlülükleri uygular,
  • güncel bilgileri Alt İşleyenler Listesine yansıtır.

17.6. Ek Tedbirler

Aktarım riskine göre:

  • veri minimizasyonu,
  • erişim sınırlaması,
  • şifreli iletim,
  • takma adlandırma,
  • sözleşmesel şeffaflık ve bildirim,
  • veri saklama süresini azaltma,
  • bölgesel barındırma

gibi tamamlayıcı tedbirler değerlendirilebilir.

17.7. Müşterinin Sorumluluğu

Müşteri, kendi ilgili kişilerine karşı:

  • aktarım hakkında aydınlatma,
  • uygun hukuki sebep,
  • veri envanteri ve kayıt,
  • kendi aktarım zincirindeki yükümlülükler

bakımından sorumludur.

17.8. Ayrıntılı Ek

Güncel aktarım bilgileri:

Yurt Dışına Veri Aktarım Eki

belgesinde açıklanır.


18. İlgili Kişi Başvurularında Yardım

18.1. Başvurunun Müşteriye Yöneltilmesi

Bir İlgili Kişi, Müşteri Verisi hakkında doğrudan Marfin’e başvurursa Marfin:

  • talebi Müşteriye iletir,
  • başvuru sahibine veri sorumlusunun Müşteri olduğunu bildirebilir,
  • Müşterinin talimatı veya kanuni zorunluluk olmadıkça talebi esas yönünden doğrudan yanıtlamaz.

18.2. İletim Süresi

Marfin, başvuruyu niteliğine göre mümkün olan en kısa sürede ve kural olarak üç (3) iş günü içinde Müşterinin belirlediği veri koruma irtibat noktasına iletmeyi hedefler.

Bu süre, başvurunun Marfin’e ulaştığının ve ilgili Müşteri hesabıyla makul şekilde eşleştirilebildiğinin anlaşılmasıyla başlar.

18.3. Teknik Yardım

Marfin, Hizmetlerin niteliği ve elindeki bilgiler ölçüsünde Müşteriye:

  • veri arama,
  • kayıt dışa aktarma,
  • düzeltme,
  • erişim kısıtlama,
  • silme veya anonimleştirme,
  • log ve işlem geçmişi sağlama

konularında makul yardım sunar.

18.4. Kimlik Doğrulama

İlgili kişinin kimliğinin ve talebin hukuki şartlarının doğrulanması Müşterinin sorumluluğundadır.

Marfin, yetkisiz veri açıklanmasını önlemek amacıyla Müşteriden:

  • başvuru referansı,
  • kimlik doğrulama teyidi,
  • talebin kapsamı,
  • etkilenen kullanıcı veya kayıt bilgisi

isteyebilir.

18.5. Aşırı veya Standart Dışı Talepler

Standart Platform işlevleriyle karşılanamayan, yüksek hacimli veya özel geliştirme gerektiren talepler için:

  • makul ek süre,
  • teknik kapsam,
  • maliyet

Taraflarca ayrıca kararlaştırılabilir.

Kanuni sürelerin takibi Müşteriye aittir.


19. Resmî Kurum, Mahkeme ve Kolluk Talepleri

19.1. Talebin Değerlendirilmesi

Marfin, Müşteri Verisine ilişkin resmî talebi:

  • talepte bulunan makamın yetkisi,
  • talebin hukuki dayanağı,
  • kapsamı ve ölçülülüğü,
  • gizlilik veya bildirim yasağı

bakımından makul ölçüde değerlendirir.

19.2. Müşterinin Bilgilendirilmesi

Hukuken yasak olmadığı ölçüde Marfin:

  • talebi Müşteriye bildirir,
  • Müşterinin uygun hukuki koruma yollarını değerlendirmesine makul fırsat verir.

19.3. Veri Açıklamasının Sınırlandırılması

Açıklama zorunluysa Marfin:

  • yalnızca talep edilen ve hukuken verilmesi gereken veriyi açıklar,
  • kapsamın daraltılması için makul çaba gösterebilir,
  • yapılan açıklamayı uygun şekilde kayıt altına alır.

19.4. Acil Talepler

Hayati tehlike veya acil güvenlik riski içeren talepler, yürürlükteki hukuk ve somut durum çerçevesinde değerlendirilir.


20. Kişisel Veri İhlali ve Güvenlik Olayları

20.1. Bildirim Yükümlülüğü

Marfin, Müşteri Verisini etkileyen doğrulanmış veya makul şekilde doğrulanabilir bir Kişisel Veri İhlalinden haberdar olduğunda Müşteriyi gecikmeksizin bilgilendirir.

Taraflar, üretim öncesinde operasyonel azami ilk bildirim hedefini aşağıdaki alanda belirlemelidir:

[AZAMİ İLK BİLDİRİM HEDEFİ BİLGİSİ TAMAMLANACAK]

Kesin süre belirlenmemiş olması, Marfin’in gecikmeksizin bildirim yükümlülüğünü ortadan kaldırmaz.

20.2. İlk Bildirimin İçeriği

İlk bildirim, o anda mevcut olduğu ölçüde:

  • olayın tarihi ve tespit zamanı,
  • olayın niteliği,
  • etkilenen sistem veya özellik,
  • etkilenen veri ve ilgili kişi kategorileri,
  • yaklaşık kayıt veya kişi sayısı,
  • muhtemel sonuçlar,
  • alınan veya planlanan önlemler,
  • olay irtibat kişisi,
  • bilgilerin kesin veya geçici olduğu

hususlarını içerir.

20.3. Aşamalı Bilgilendirme

Tüm bilgiler ilk bildirim anında mevcut değilse Marfin:

  • mevcut bilgileri gecikmeden paylaşır,
  • soruşturma ilerledikçe ek bilgi verir,
  • önemli değişiklikleri Müşteriye bildirir.

20.4. Olay Müdahalesi

Marfin, olayın niteliğine göre:

  1. olayı kayıt altına alır,
  2. ilgili erişimi veya sistemi izole eder,
  3. delil ve logları korur,
  4. etki ve kapsamı değerlendirir,
  5. kötüye kullanım riskini azaltır,
  6. kök neden analizi yapar,
  7. düzeltici ve önleyici faaliyet planlar.

20.5. Kurul ve İlgili Kişi Bildirimi

Müşteri, veri sorumlusu olarak:

  • Kurula bildirim gerekip gerekmediğini,
  • ilgili kişilere bildirim yapılıp yapılmayacağını,
  • bildirim içeriği ve zamanlamasını

değerlendirir ve yerine getirir.

Marfin, elindeki bilgiler ve teknik kapasitesi ölçüsünde yardım sağlar.

20.6. Marfin’in Doğrudan Bildirimi

Marfin’in mevzuat gereği doğrudan bildirim yükümlülüğü doğarsa veya Müşteriye ulaşılamaması ilgili kişilerin hakları bakımından ciddi risk yaratırsa, Marfin gerekli hukuki değerlendirmeyi yaparak yetkili makamlara bildirimde bulunabilir.

20.7. Sorumluluğun Kabulü Sayılmama

İhlal bildirimi:

  • kusurun,
  • hukuki sorumluluğun,
  • tazmin yükümlülüğünün

kendiliğinden kabulü anlamına gelmez.

20.8. Olay İletişiminin Gizliliği

Taraflar, soruşturmayı veya güvenliği zedelememek için olay bilgilerini yalnızca bilmesi gereken kişilerle paylaşır.


21. Veri Koruma Etki ve Risk Değerlendirmelerine Yardım

21.1. Müşterinin Değerlendirmesi

Müşteri, yüksek riskli veya yeni teknoloji içeren işlemlerde gerekli veri koruma, meşru menfaat ve güvenlik risk değerlendirmelerini yapar.

21.2. Marfin’in Yardımı

Marfin, elindeki bilgiler ve Hizmetlerin niteliği ölçüsünde:

  • sistem mimarisinin genel açıklaması,
  • veri akış bilgisi,
  • Alt İşleyenler,
  • güvenlik tedbirleri,
  • saklama ve silme yaklaşımı,
  • olay geçmişine ilişkin paylaşılabilir bilgiler

sağlayabilir.

21.3. Ticari Sır ve Güvenlik Sınırı

Marfin:

  • diğer müşterilerin verilerini,
  • sistem güvenliğini zayıflatacak ayrıntıları,
  • kaynak kodunu,
  • gizli zafiyet bilgilerini,
  • Alt İşleyenlerin gizli denetim raporlarını

açıklamak zorunda değildir.

Gerekirse bilgi:

  • gizlilik sözleşmesi,
  • kontrollü inceleme,
  • özet rapor,
  • bağımsız güvence belgesi

yoluyla sunulur.


22. Denetim, Bilgi Verme ve Uygunluk Kanıtları

22.1. Bilgi Sağlama

Marfin, bu Sözleşmedeki yükümlülüklere uyumu göstermek için makul ölçüde:

  • güvenlik politikası özeti,
  • Alt İşleyenler Listesi,
  • veri akış bilgisi,
  • yedekleme ve olay süreci özeti,
  • mevcut bağımsız denetim veya sertifika bilgisi,
  • ilgili kontrol beyanı

sağlayabilir.

22.2. Öncelikli Denetim Yöntemi

Taraflar, denetimde öncelikle:

  1. mevcut dokümantasyonun incelenmesi,
  2. güvenlik soru formu,
  3. uzaktan toplantı,
  4. bağımsız rapor veya kanıt

yöntemlerini kullanır.

Yerinde denetim son çare olarak uygulanır.

22.3. Yerinde Denetim Şartları

Müşteri, makul ve belgeli uyum şüphesi bulunması veya mevzuatın zorunlu kılması hâlinde yerinde denetim talep edebilir.

Aksi kararlaştırılmadıkça:

  • yılda en fazla bir kez,
  • en az otuz (30) gün önce yazılı bildirimle,
  • normal çalışma saatlerinde,
  • Hizmetleri ve diğer müşterileri aksatmadan,
  • gizlilik yükümlülüğü altındaki uzmanlarca

yapılır.

22.4. Güvenlik Testleri

Müşteri veya denetçisi, Marfin’in önceden yazılı izni olmaksızın:

  • sızma testi,
  • zafiyet taraması,
  • sosyal mühendislik,
  • çalışanlara kimlik avı testi,
  • hizmet engelleme testi,
  • üretim verisine erişim denemesi

yapamaz.

Güvenlik araştırmaları Güvenlik Açığı Bildirim Politikasına tabidir.

22.5. Denetim Maliyeti

Rutin veya Müşteriye özgü denetimin makul maliyeti Müşteriye ait olabilir.

Denetimde Marfin’in esaslı bir ihlali tespit edilirse, makul doğrulama maliyeti kusur ve ihlalin niteliği dikkate alınarak Marfin tarafından karşılanabilir.

22.6. Düzeltici Faaliyet

Esaslı uygunsuzluk tespit edilirse Marfin:

  • riski değerlendirir,
  • makul düzeltici faaliyet planı oluşturur,
  • öncelik ve teknik imkâna göre uygular,
  • tamamlanma durumu hakkında Müşteriye uygun bilgi verir.

23. Kayıtlar, Loglar ve İzlenebilirlik

23.1. Log Türleri

Marfin, Hizmetlerin güvenliği ve işletilmesi için teknik olarak mevcut olduğu ölçüde:

  • kullanıcı giriş ve oturum kayıtları,
  • IP ve cihaz bilgileri,
  • rol ve yetki değişiklikleri,
  • veri oluşturma, değiştirme veya silme olayları,
  • dışa aktarım işlemleri,
  • entegrasyon ve API çağrıları,
  • hata ve güvenlik olayları,
  • destek erişimleri

hakkında log tutabilir.

23.2. Amaç

Loglar:

  • güvenlik,
  • hata giderme,
  • denetim,
  • suistimal önleme,
  • uyuşmazlık çözümü,
  • hukuki yükümlülük

amacıyla kullanılır.

23.3. Saklama Süresi

Logların tür bazında saklama süresi:

Veri Kategorileri ve Saklama Süreleri

belgesinde belirlenir.

Üretim öncesinde süreler [BİLGİ TAMAMLANACAK] alanlarından çıkarılmalıdır.

23.4. Log Erişimi

Müşteriye sağlanabilecek log kapsamı:

  • seçilen Pakete,
  • kullanıcı yetkisine,
  • güvenlik riskine,
  • diğer müşterilerin gizliliğine,
  • teknik saklama süresine

bağlıdır.


24. Veri İadesi, Dışa Aktarımı, Silme ve İmha

24.1. Abonelik Süresince

Müşteri, aktif abonelik sırasında Platformun desteklediği ölçüde Müşteri Verisini dışa aktarabilir.

24.2. Sözleşme Sonrası Erişim

Ana Sözleşmenin sona ermesi veya hesabın kapanmasından sonra, hukuki veya güvenlik engeli bulunmadıkça Müşteriye altmış (60) gün boyunca:

  • verilerine erişme,
  • Desteklenen Formatlarda dışa aktarma,
  • teknik destek talep etme

imkânı sağlanır.

24.3. Erken Silme Talimatı

Müşteri, gerekli dışa aktarımı tamamladıktan sonra 60 günlük sürenin dolmasını beklemeden verilerin silinmesini talep edebilir.

Marfin, talebi:

  • hesabın ve yetkinin doğrulanması,
  • yasal saklama yükümlülükleri,
  • güvenlik ve uyuşmazlık kayıtları

çerçevesinde yerine getirir.

Erken silme geri alınamayabilir.

24.4. Standart Süre Sonu

Altmış günlük sürenin sonunda, kanunen saklanması zorunlu olmayan Müşteri Verileri:

  • silinir,
  • yok edilir veya
  • hukuka uygun şekilde anonim hâle getirilir.

24.5. Desteklenen Formatlar

Ürünün teknik kabiliyetine göre dışa aktarım formatları:

  • CSV,
  • XLSX,
  • PDF,
  • JSON,
  • XML,
  • diğer desteklenen formatlar

olabilir.

Her veri türü her formatta sunulmayabilir.

24.6. Veri Bütünlüğü

Müşteri:

  • dışa aktarılan veriyi kontrol eder,
  • dosyaları kendi sisteminde güvenli saklar,
  • gerekli şifreleme ve erişim tedbirlerini alır,
  • sürenin bitiminden önce eksikliği bildirir.

24.7. İmha Belgesi

Kurumsal Paket veya ayrı Sipariş Formunda kararlaştırılmışsa Marfin, silme işlemi sonrasında makul bir silme veya imha teyidi sunabilir.


25. Yedeklerde Bulunan Veriler

25.1. Yedekleme Döngüsü

Marfin, üretim ortamında günlük otomatik yedekleme ve yedeklerin otuz (30) gün saklanması yönünde bir yapı kurmayı hedefler.

Bu düzen teknik olarak doğrulanıncaya kadar kesin taahhüt sayılmaz.

25.2. Aktif Sistemden Silme

Bir veri aktif sistemden silindiğinde, yedeklerde kalan kopya:

  • normal yedek döngüsü içinde üzerine yazılır veya silinir,
  • yalnızca felaket kurtarma ve bütünlük amacıyla tutulur,
  • olağan iş süreçlerinde aktif olarak kullanılmaz.

25.3. Geri Yükleme Sonrası Silme

Silinmiş veri içeren eski bir yedek geri yüklenirse Marfin:

  • daha önce uygulanmış silme talimatlarını yeniden uygulamak,
  • veriyi aktif kullanıma almamak

için makul süreçler oluşturur.

25.4. Tekil Kayıt Geri Getirme Garantisi

Yedekleme sistemi, her silinen tekil kayıt veya belgenin geri getirileceği garantisini vermez.


26. Saklama Yükümlülükleri ve Hukuki İstisnalar

26.1. Kanuni Saklama

Marfin, veri işleyen faaliyeti sona erse dahi kanunen saklamak zorunda olduğu sınırlı kayıtları:

  • yalnızca ilgili hukuki amaçla,
  • erişimi kısıtlayarak,
  • gerekli süre boyunca

saklayabilir.

26.2. Veri Sorumlusu Kayıtları

Marfin’in kendi veri sorumluluğundaki:

  • sözleşme ve kabul kayıtları,
  • fatura ve tahsilat kayıtları,
  • güvenlik ve dolandırıcılık kayıtları,
  • hukuki uyuşmazlık belgeleri

DPA kapsamındaki Müşteri talimatından bağımsız yasal saklama sürelerine tabi olabilir.

26.3. Saklama Gerekçesinin Bildirilmesi

Müşterinin talebi üzerine ve hukuken mümkün olduğu ölçüde Marfin:

  • saklanan veri kategorisini,
  • genel hukuki gerekçeyi,
  • uygulanabilir süre yaklaşımını

açıklar.

26.4. Saklama Süresi Sonu

İstisnai saklama süresi sona erdiğinde veri güvenli şekilde silinir, yok edilir veya anonimleştirilir.


27. Hizmet Sürekliliği ve Veri Kurtarma

27.1. Genel Yaklaşım

Marfin, Platformun niteliği ve risk seviyesine uygun:

  • yedekleme,
  • geri yükleme,
  • olay müdahalesi,
  • hizmet bağımlılıklarının izlenmesi,
  • acil iletişim

süreçleri oluşturmayı hedefler.

27.2. Müşterinin İş Sürekliliği

Müşteri:

  • kritik verilerini düzenli dışa aktarır,
  • yasal saklama ve ibraz kopyalarını kendi kontrolünde tutar,
  • yalnızca Platformu tek yasal arşiv olarak kullanmadan önce özelliğin uygunluğunu değerlendirir.

27.3. RPO ve RTO

Kesin kurtarma noktası ve kurtarma süresi hedefleri teknik olarak doğrulanmadan taahhüt edilmez.

Kurumsal Pakete özgü değerler varsa Sipariş Formunda düzenlenir.


28. Gizli Bilgiler

28.1. Gizlilik

Her Taraf, diğer Tarafa ait:

  • kişisel verileri,
  • güvenlik bilgilerini,
  • ticari sırları,
  • teknik dokümantasyonu,
  • fiyat ve sözleşme koşullarını

gizli tutar.

28.2. İzin Verilen Açıklama

Gizli Bilgi yalnızca:

  • sözleşmenin ifası için bilmesi gereken personele,
  • gizlilik yükümlülüğü altındaki danışman ve Alt İşleyenlere,
  • hukuken yetkili makamlara

açıklanabilir.

28.3. Devam Süresi

Kişisel veri ve ticari sır niteliğindeki bilgiler bakımından gizlilik yükümlülüğü, niteliği ve mevzuat gerektirdiği süre boyunca devam eder.


29. Sorumluluk ve Tazmin

29.1. Kendi Yükümlülük Alanı

Her Taraf:

  • kendi mevzuata aykırı eyleminden,
  • kendi sözleşme ihlalinden,
  • kendi personeli ve sorumluluk alanındaki tedarikçilerden

doğan sonuçlardan kusuru ve hukuki sorumluluğu ölçüsünde sorumludur.

29.2. Müşterinin Sorumluluğu

Müşteri özellikle:

  • hukuki sebep bulunmaması,
  • aydınlatma yükümlülüğünün yerine getirilmemesi,
  • hukuka aykırı veri toplama veya yükleme,
  • yetkisiz kullanıcı erişimi,
  • hukuka aykırı talimat,
  • ilgili kişi talebinin süresinde yanıtlanmaması,
  • özel nitelikli verinin uygunsuz işlenmesi

nedeniyle doğan sonuçlardan sorumludur.

29.3. Marfin’in Sorumluluğu

Marfin özellikle:

  • Müşteri talimatı dışında işleme,
  • gerekli gizlilik yükümlülüğünün uygulanmaması,
  • kendi kontrol alanındaki makul güvenlik tedbirlerinin ihlali,
  • Alt İşleyen yönetimindeki sözleşmesel yükümlülüklerin ihlali,
  • ihlal bildirim yükümlülüğünün kusurlu şekilde yerine getirilmemesi

nedeniyle doğan sonuçlardan kusuru ölçüsünde sorumludur.

29.4. İdari Para Cezaları

Bir idari para cezası veya yaptırımın Taraflardan birinin ihlalinden kaynaklanması hâlinde, nihai mali sorumluluk:

  • kararın muhatabı,
  • kusur,
  • illiyet bağı,
  • ihlalin niteliği,
  • uygulanabilir emredici hükümler

dikkate alınarak belirlenir.

29.5. Savunma İş Birliği

Bir talep veya soruşturma her iki Tarafı etkiliyorsa Taraflar:

  • zamanında bilgi paylaşır,
  • delilleri korur,
  • bir diğerinin savunmasını gereksiz yere zayıflatmaz,
  • gizlilik ve hukuk kurallarına uyar.

29.6. Ana Sözleşmedeki Sınırlar

Emredici mevzuatın izin verdiği ölçüde, Ana Sözleşmedeki sorumluluk sınırlamaları bu DPA’ya da uygulanır.

Kasıt, ağır kusur veya kanunen sınırlandırılamayan sorumluluklar saklıdır.


30. Sözleşmenin Süresi ve Sona Ermesi

30.1. Başlangıç

Bu DPA:

  • Ana Sözleşmeyle birlikte,
  • Müşterinin elektronik kabulüyle,
  • yazılı imzayla,
  • veri işleme faaliyetinin fiilen başlamasıyla

yürürlüğe girer.

30.2. Süre

DPA, Marfin Müşteri adına kişisel veri işlediği sürece yürürlükte kalır.

30.3. Sona Erme Sonrası Devam Eden Hükümler

Aşağıdaki hükümler niteliği gereği sona ermeden sonra da devam eder:

  • gizlilik,
  • veri iadesi ve silme,
  • yasal saklama,
  • olay ve ihlal iş birliği,
  • denetim kayıtları,
  • sorumluluk,
  • uyuşmazlık çözümü.

30.4. Esaslı İhlal

Taraflardan biri DPA’yı esaslı şekilde ihlal eder ve yazılı bildirimden sonra verilen makul sürede ihlali gidermezse diğer Taraf:

  • etkilenen işleme faaliyetini durdurabilir,
  • Ana Sözleşmedeki haklarını kullanabilir,
  • sözleşmeyi haklı nedenle feshedebilir.

Acil ve giderilemez güvenlik veya hukuka aykırılık hâlinde derhâl işlem yapılabilir.


31. Belge Önceliği ve Çelişki

Aynı konuya ilişkin belgeler arasında çelişki olması hâlinde aşağıdaki sıra uygulanır:

  1. emredici mevzuat,
  2. somut yurt dışı aktarım için imzalanan zorunlu Standart Sözleşme,
  3. Müşteriye özel imzalı Sipariş Formundaki veri koruma hükümleri,
  4. bu DPA,
  5. Ana Sözleşme,
  6. Alt İşleyenler Listesi ve Yurt Dışına Veri Aktarım Eki,
  7. diğer politikalar ve Dokümantasyon.

Özel hüküm, aynı seviyedeki genel hükme göre önceliklidir.


32. Değişiklikler

32.1. Mevzuat ve Hizmet Değişikliği

Marfin, aşağıdaki nedenlerle DPA’yı güncelleyebilir:

  • mevzuat veya Kurul uygulaması değişikliği,
  • ürün mimarisi,
  • yeni özellik veya entegrasyon,
  • güvenlik gereksinimi,
  • Alt İşleyen veya aktarım mekanizması değişikliği.

32.2. Esaslı Değişiklik Bildirimi

Müşterinin hak ve yükümlülüklerini esaslı etkileyen değişiklikler makul süre önce:

  • kayıtlı e-posta,
  • hesap içi bildirim,
  • Platform duyurusu

ile bildirilir.

32.3. Mevcut Korumanın Azaltılmaması

Marfin, geçerli sebep olmaksızın Müşteri Verisine uygulanan genel veri koruma seviyesini esaslı biçimde düşürmemeyi hedefler.

32.4. Müşteriye Özel Değişiklik

Müşteriye özel değişiklik ancak Tarafların yazılı veya güvenli elektronik kabulüyle geçerli olur.


33. Bildirimler ve İrtibat Noktaları

33.1. Marfin İrtibatı

Genel / KVKK: info@marfin.com.tr
Güvenlik olayı e-postası: [GÜVENLİK İLETİŞİM E-POSTASI BİLGİSİ TAMAMLANACAK]
KEP: [KEP ADRESİ VARSA EKLENECEKTİR]

33.2. Müşteri İrtibatı

Müşterinin:

  • veri koruma irtibat kişisi,
  • güvenlik olayı irtibat kişisi,
  • hukuki bildirim e-postası,
  • KEP adresi

Ek-6 veya Müşteri hesabında belirtilir.

33.3. İrtibat Bilgisinin Güncelliği

Her Taraf kendi iletişim bilgilerinin güncel tutulmasından sorumludur.

Müşteri iletişim bilgisini güncellemezse kayıtlı adrese yapılan bildirim geçerli kabul edilebilir.

33.4. Acil Olay İletişimi

Kişisel Veri İhlali veya kritik güvenlik olayında Taraflar normal destek kanalından farklı, öncelikli iletişim bilgileri kullanabilir.


34. Uygulanacak Hukuk ve Yetki

34.1. Uygulanacak Hukuk

Bu DPA Türk hukukuna tabidir.

34.2. Yetki

Tarafların tacir veya yetki sözleşmesi yapmaya elverişli kişiler olduğu ölçüde, DPA’dan doğan uyuşmazlıklarda Gebze Mahkemeleri ve İcra Daireleri yetkilidir.

Emredici görev ve yetki hükümleri saklıdır.

34.3. İdari Başvuru ve Denetim

İlgili kişilerin Kurula başvuru ve şikâyet hakları ile yetkili kurumların denetim yetkileri bu yetki şartından etkilenmez.


35. Yürürlük ve Elektronik Kabul

35.1. Kabul

DPA:

  • ayrı bir onay kutusu,
  • Ana Sözleşmeye bağlı elektronik kabul,
  • güvenli elektronik imza,
  • ıslak imza,
  • karşılıklı imzalı Sipariş Formu

yoluyla kabul edilebilir.

35.2. Kayıtlar

Marfin, kabulün ispatı amacıyla:

  • sözleşme sürümü,
  • kabul tarihi ve saati,
  • Müşteri ve kullanıcı kimliği,
  • IP ve oturum bilgisi,
  • onay kaydı

tutabilir.

35.3. Kopya

Müşteri, kabul ettiği DPA sürümünü indirebilir veya kendisine iletilmesini talep edebilir.


36. Ekler


EK-1 — VERİ İŞLEME AYRINTILARI

A. İşlemenin Konusu

Marfin’in Müşteriye sunduğu B2B finans ve ön muhasebe Platformu kapsamında, Müşteri Verisi içinde yer alan kişisel verilerin Müşteri adına işlenmesi.

B. İşlemenin Süresi

İşleme:

  1. Ana Sözleşmenin ve ilgili Hizmetin yürürlükte olduğu süre boyunca,
  2. sözleşme sonrasında 60 günlük veri erişim ve dışa aktarım süresince,
  3. yedeklerde normal 30 günlük döngü boyunca,
  4. kanunen saklanması zorunlu sınırlı kayıtlar bakımından ilgili yasal süre boyunca

devam eder.

C. İşlemenin Niteliği

İşleme faaliyetleri, kullanılan özelliklere göre:

  • toplama,
  • kaydetme,
  • düzenleme,
  • yapılandırma,
  • barındırma,
  • görüntüleme,
  • sorgulama,
  • eşleştirme,
  • raporlama,
  • analiz,
  • sınıflandırma,
  • içe ve dışa aktarma,
  • üçüncü taraf entegrasyonuna iletme,
  • yedekleme,
  • geri yükleme,
  • destek amacıyla erişme,
  • kısıtlama,
  • silme,
  • anonimleştirme

işlemlerini içerebilir.

D. İşleme Amaçları

  • cari hesap ve müşteri/tedarikçi yönetimi,
  • gelir ve gider takibi,
  • kasa ve banka yönetimi,
  • finansal raporlama,
  • nakit akış ve kârlılık analizi,
  • stok, teklif ve sipariş yönetimi,
  • fatura ve e-dönüşüm işlemleri,
  • banka ve açık bankacılık entegrasyonu,
  • pazaryeri entegrasyonu,
  • belge işleme ve OCR,
  • AI destekli analiz ve chatbot,
  • kullanıcı ve rol yönetimi,
  • API ve webhook işlemleri,
  • destek ve hata giderme,
  • bilgi güvenliği,
  • yedekleme ve iş sürekliliği,
  • veri dışa aktarımı ve silme.

E. İlgili Kişi Grupları

Müşterinin iş modeline ve Platforma aktardığı verilere göre:

  • Müşteri çalışanları,
  • iş başvurusu sahipleri,
  • şirket ortakları ve yöneticileri,
  • Yetkili Kullanıcılar,
  • müşteriler ve potansiyel müşteriler,
  • tedarikçiler ve iş ortakları,
  • cari hesap yetkilileri,
  • fatura alıcı ve göndericileri,
  • serbest meslek erbapları,
  • mali müşavirler ve danışmanlar,
  • teslimat veya iletişim kişileri,
  • Müşterinin hizmet sunduğu diğer gerçek kişiler.

F. Kişisel Veri Kategorileri

Kullanılan özelliklere göre:

F.1. Kimlik

  • ad ve soyadı,
  • unvan ve temsil bilgisi,
  • T.C. kimlik numarası veya yabancı kimlik bilgisi,
  • vergi numarası gerçek kişiyle ilişkiliyse ilgili bilgi,
  • imza ve yetki bilgisi.

F.2. İletişim

  • telefon,
  • e-posta,
  • adres,
  • KEP,
  • teslimat ve fatura iletişim bilgileri.

F.3. Müşteri İşlem

  • cari hesap hareketleri,
  • teklif, sipariş ve sözleşme bilgileri,
  • destek ve işlem geçmişi,
  • kullanıcı rolleri ve işlem kayıtları.

F.4. Finans

  • gelir ve gider,
  • borç ve alacak,
  • banka hareketi,
  • ödeme ve tahsilat,
  • fatura ve vergi alanları,
  • maliyet ve kârlılık verileri.

F.5. Mesleki ve Şirket Bilgileri

  • görev ve unvan,
  • çalışılan şirket,
  • departman,
  • temsil veya yetki,
  • ticari faaliyet bilgileri.

F.6. İşlem Güvenliği

  • IP,
  • oturum,
  • cihaz,
  • API çağrısı,
  • kullanıcı işlemi,
  • erişim ve değişiklik logları.

F.7. Belge ve İçerik

  • fatura,
  • makbuz,
  • dekont,
  • sözleşme,
  • teklif,
  • sipariş belgesi,
  • serbest metin notları,
  • yüklenen dosyalar.

F.8. AI ve OCR

  • istemler,
  • seçilen kayıtlar,
  • belge görüntüsü,
  • çıkarılan metin,
  • analiz, öneri ve sınıflandırmalar,
  • kullanıcı geri bildirimi.

F.9. Özel Nitelikli Kişisel Veri

Standart kullanımda işlenmesi amaçlanmaz.

İşlenecekse kategoriler aşağıda açıkça işaretlenmelidir:

  • Sağlık
  • Biyometrik
  • Genetik
  • Ceza mahkûmiyeti ve güvenlik tedbirleri
  • Sendika üyeliği
  • Din, mezhep veya inanç
  • Siyasi düşünce
  • Dernek veya vakıf üyeliği
  • Cinsel hayat
  • Diğer: [BİLGİ TAMAMLANACAK]

G. İşleme Sıklığı ve Hacmi

  • İşleme sıklığı: Hizmet kullanımı boyunca sürekli veya kullanıcı talebine bağlı.
  • Yaklaşık ilgili kişi sayısı: [BİLGİ TAMAMLANACAK / PAKET VE MÜŞTERİYE GÖRE DEĞİŞİR]
  • Yaklaşık kayıt hacmi: [BİLGİ TAMAMLANACAK / PAKET VE MÜŞTERİYE GÖRE DEĞİŞİR]
  • Coğrafi kapsam: Türkiye ve kullanılan Alt İşleyenlerin bulunduğu bölgeler.

H. Alt İşleyen Kategorileri

  • bulut ve veritabanı,
  • CDN ve güvenlik,
  • e-posta,
  • ödeme,
  • AI ve OCR,
  • analitik ve hata izleme,
  • e-dönüşüm,
  • banka/açık bankacılık,
  • pazaryeri,
  • destek ve iletişim.

I. Veri İadesi ve Silme

  • Aktif abonelik süresince dışa aktarım,
  • sözleşme sonrasında 60 gün erişim,
  • süre sonunda aktif sistemden silme/anonimleştirme,
  • yedeklerde 30 günlük normal döngü,
  • yasal zorunlulukların saklı tutulması.

EK-2 — TEKNİK VE İDARİ TEDBİRLER

Bu Ek, üretim mimarisiyle doğrulanmalı; uygulanmayan kontroller kesin taahhüt gibi yayımlanmamalıdır.

1. Yönetişim ve Organizasyon

Marfin, uygulanabilir olduğu ölçüde:

  • veri koruma ve bilgi güvenliği sorumluluklarını tanımlar,
  • politika ve prosedürleri sürümlendirir,
  • kritik görevlerde yetki ayrımı uygular,
  • risk değerlendirmesi yapar,
  • güvenlik olaylarını kayıt altına alır,
  • tedarikçi riskini değerlendirir.

Üretim durumu: [BİLGİ TAMAMLANACAK]

2. Personel Güvenliği

  • Gizlilik yükümlülüğü,
  • görev bazlı erişim,
  • işe giriş ve ayrılış erişim süreçleri,
  • güvenlik farkındalığı,
  • yetki değişikliklerinin takibi.

Üretim durumu: [BİLGİ TAMAMLANACAK]

3. Kimlik ve Erişim Yönetimi

Planlanan veya uygulanabilir kontroller:

  • e-posta doğrulaması,
  • rol bazlı erişim,
  • en az ayrıcalık,
  • güçlü parola gereksinimleri,
  • iki aşamalı doğrulama,
  • oturum süresi ve sonlandırma,
  • ayrıcalıklı hesapların sınırlandırılması,
  • erişimlerin periyodik gözden geçirilmesi.

2FA üretim durumu: [BİLGİ TAMAMLANACAK]

4. Ağ ve İletişim Güvenliği

  • Güvenli veri iletimi,
  • CDN ve saldırı azaltma hizmetleri,
  • güvenlik duvarı ve ağ kuralları,
  • yönetim arayüzlerinin sınırlandırılması,
  • şüpheli trafik izleme.

Kullanılan doğrulanmış protokol ve sürümler: [BİLGİ TAMAMLANACAK]

5. Uygulama Güvenliği

  • güvenli geliştirme ilkeleri,
  • kod gözden geçirme,
  • bağımlılık ve paket yönetimi,
  • girdi doğrulama,
  • yetkilendirme kontrolleri,
  • hata mesajlarında veri sızıntısını önleme,
  • gizli anahtarların kaynak koddan ayrılması,
  • test ve üretim ortamlarının ayrılması.

Üretim durumu: [BİLGİ TAMAMLANACAK]

6. Zafiyet ve Yama Yönetimi

  • kritik güncellemelerin izlenmesi,
  • bağımlılık zafiyetlerinin değerlendirilmesi,
  • risk bazlı yama önceliği,
  • güvenlik bildirim kanalı,
  • gerekli hâllerde kontrollü güvenlik testi.

Tarama ve test periyodu: [BİLGİ TAMAMLANACAK]

7. Loglama ve İzleme

  • giriş ve oturum olayları,
  • rol ve yetki değişiklikleri,
  • kritik veri işlemleri,
  • API ve entegrasyon hataları,
  • güvenlik olayları,
  • ayrıcalıklı destek erişimleri.

Log saklama süreleri: [BİLGİ TAMAMLANACAK]

8. Veri Güvenliği

  • veri minimizasyonu,
  • erişim sınırlandırması,
  • aktarım güvenliği,
  • mümkün olduğunda maskeleme,
  • test ortamında gerçek verinin sınırlandırılması,
  • dışa aktarım yetkilerinin yönetimi.

Depolama şifrelemesi ve anahtar yönetimi: [BİLGİ TAMAMLANACAK]

9. Yedekleme ve Geri Yükleme

Planlanan yapı:

  • günlük otomatik yedek,
  • 30 günlük saklama,
  • erişim sınırlandırması,
  • geri yükleme prosedürü,
  • periyodik geri yükleme testi.

Teknik doğrulama: [BİLGİ TAMAMLANACAK]

10. Olay Müdahalesi

  • olay bildirim kanalı,
  • sınıflandırma,
  • izolasyon,
  • delil ve log koruma,
  • etki değerlendirmesi,
  • Müşteri bildirimi,
  • kök neden analizi,
  • düzeltici faaliyet.

Azami ilk bildirim hedefi: [BİLGİ TAMAMLANACAK]

11. İş Sürekliliği

  • kritik sistem ve bağımlılıkların belirlenmesi,
  • hizmet kesintisi iletişimi,
  • yedek altyapı değerlendirmesi,
  • kurtarma planı,
  • periyodik test.

RPO: [BİLGİ TAMAMLANACAK]
RTO: [BİLGİ TAMAMLANACAK]

12. Tedarikçi Güvenliği

  • Alt İşleyen değerlendirmesi,
  • sözleşmesel veri koruma hükümleri,
  • yurt dışı aktarım mekanizması,
  • olay bildirimi,
  • veri silme ve iade hükümleri,
  • önemli değişikliklerin izlenmesi.

13. Veri Silme ve İmha

  • aktif sistemden silme,
  • rol ve yetkinin kaldırılması,
  • yedek döngüsü,
  • dışa aktarım sonrası güvenli imha,
  • gerekli olduğunda anonimleştirme.

14. Fiziksel Güvenlik

Marfin’in doğrudan işlettiği ofis veya altyapı bakımından:

  • çalışma alanı erişim kontrolü,
  • cihaz güvenliği,
  • evrak ve ekran güvenliği

uygulanabilir.

Bulut veri merkezlerinin fiziksel güvenliği ilgili Alt İşleyen tarafından sağlanır.

Üretim ve ofis durumu: [BİLGİ TAMAMLANACAK]


EK-3 — ALT İŞLEYENLER VE GENEL YETKİ

Güncel liste ayrı ve sürümlü belge olarak tutulur:

Alt İşleyenler Listesi

Başlangıçta değerlendirilmesi beklenen sağlayıcı kategorileri:

Sağlayıcı / kategoriHizmetDurum
Supabase veya güncel veritabanı sağlayıcısıVeritabanı, kimlik doğrulama, depolamaÜretim öncesi sözleşme ve bölge doğrulanacak
Cloudflare veya güncel CDN/güvenlik sağlayıcısıCDN, DNS, güvenlik, trafik yönetimiÜrün ve veri kapsamı doğrulanacak
İyzico veya güncel ödeme sağlayıcısıAbonelik ve ödeme işlemleriKesin sağlayıcı ve rol doğrulanacak
Zoho veya güncel e-posta sağlayıcısıE-posta ve bildirimKesin sağlayıcı doğrulanacak
OpenAIAI özellikleriAPI planı, eğitim ve saklama ayarları doğrulanacak
AnthropicAI özellikleriAPI planı, eğitim ve saklama ayarları doğrulanacak
[ANALİTİK SAĞLAYICI]Ürün analitiğiBelirlenecek
[HATA İZLEME SAĞLAYICISI]Hata ve performans izlemeBelirlenecek
[E-DÖNÜŞÜM SAĞLAYICISI]e-Fatura ve bağlantılı işlemlerBelirlenecek
[BANKA/AÇIK BANKACILIK SAĞLAYICISI]Finansal veri bağlantısıBelirlenecek
[PAZARYERİ SAĞLAYICILARI]Sipariş ve satış entegrasyonuBelirlenecek

Her sağlayıcı için:

  • sözleşme tarafı,
  • veri işleme rolü,
  • veri kategorileri,
  • veri merkezi bölgesi,
  • alt işleyenleri,
  • saklama süresi,
  • silme prosedürü,
  • yurt dışı aktarım mekanizması

doğrulanmalıdır.


EK-4 — YURT DIŞINA AKTARIM KONTROL FORMU

Her yurt dışı aktarım için aşağıdaki alanlar doldurulur:

AlanBilgi
Veri ihracatçısı[BİLGİ TAMAMLANACAK]
Veri ithalatçısı[BİLGİ TAMAMLANACAK]
Taraf rolleri[SORUMLUDAN İŞLEYENE / İŞLEYENDEN ALT İŞLEYENE / DİĞER]
Ülke veya bölge[BİLGİ TAMAMLANACAK]
Veri kategorileri[BİLGİ TAMAMLANACAK]
İlgili kişi grupları[BİLGİ TAMAMLANACAK]
Aktarım amacı[BİLGİ TAMAMLANACAK]
Aktarım sıklığı[BİLGİ TAMAMLANACAK]
Saklama süresi[BİLGİ TAMAMLANACAK]
Aktarım mekanizması[YETERLİLİK / STANDART SÖZLEŞME / BŞK / TAAHHÜTNAME / ARIZİ / DİĞER]
Standart sözleşme modülü[BİLGİ TAMAMLANACAK]
İmza tarihi[BİLGİ TAMAMLANACAK]
Kurum bildirim tarihi[BİLGİ TAMAMLANACAK]
Teknik ek tedbirler[BİLGİ TAMAMLANACAK]
Alt aktarım bulunuyor mu?[EVET / HAYIR]
Son değerlendirme tarihi[BİLGİ TAMAMLANACAK]
Sorumlu kişi[BİLGİ TAMAMLANACAK]

EK-5 — KİŞİSEL VERİ İHLALİ BİLDİRİM İÇERİĞİ

Marfin’in Müşteriye yapacağı olay bildirimi, mevcut olduğu ölçüde aşağıdaki bilgileri içerir:

1. Olay Kimliği

  • Olay referansı:
  • İlk tespit tarihi ve saati:
  • İlk bildirim tarihi ve saati:
  • Olay durumu:
  • İrtibat kişisi:

2. Olayın Niteliği

  • Gizlilik ihlali:
  • Bütünlük ihlali:
  • Erişilebilirlik ihlali:
  • Yetkisiz erişim:
  • Yanlış alıcıya gönderim:
  • Kayıp veya silinme:
  • Zararlı yazılım:
  • Diğer:

3. Etkilenen Sistemler

  • Platform modülü:
  • Entegrasyon:
  • Alt İşleyen:
  • Ortam:
  • Etkilenen hesaplar:

4. Veri ve İlgili Kişiler

  • Veri kategorileri:
  • Özel nitelikli veri:
  • Yaklaşık kayıt sayısı:
  • Yaklaşık ilgili kişi sayısı:
  • İlgili kişi grupları:
  • Verinin okunabilir olup olmadığı:

5. Muhtemel Etki

  • Kimlik hırsızlığı:
  • Finansal zarar:
  • Gizlilik kaybı:
  • Ayrımcılık:
  • Dolandırıcılık:
  • Hizmet kesintisi:
  • Diğer:

6. Alınan Önlemler

  • İzolasyon:
  • Erişim iptali:
  • Parola/token yenileme:
  • Yama veya yapılandırma:
  • Veri kurtarma:
  • İzleme:
  • İlgili Alt İşleyenle işlem:

7. Sonraki Adımlar

  • Devam eden inceleme:
  • Beklenen bir sonraki güncelleme:
  • Müşteriden talep edilen işlem:
  • Kök neden analizi:
  • Düzeltici faaliyet:

EK-6 — İRTİBAT VE TALİMAT MATRİSİ

A. Müşteri Bilgileri

AlanBilgi
Ticari unvan[BİLGİ TAMAMLANACAK]
MERSİS / ticaret sicili[BİLGİ TAMAMLANACAK]
Vergi kimlik numarası[BİLGİ TAMAMLANACAK]
Adres[BİLGİ TAMAMLANACAK]
KEP[BİLGİ TAMAMLANACAK]
Veri koruma irtibatı[BİLGİ TAMAMLANACAK]
Güvenlik olayı irtibatı[BİLGİ TAMAMLANACAK]
Hukuki bildirim e-postası[BİLGİ TAMAMLANACAK]

B. Marfin Bilgileri

AlanBilgi
Ticari unvan1453 İstanbul Gıda San. ve Tic. Ltd. Şti.
AdresMevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A, Gebze/Kocaeli
Genel/KVKK e-postainfo@marfin.com.tr
Güvenlik e-postası[BİLGİ TAMAMLANACAK]
KEP[KEP ADRESİ VARSA EKLENECEKTİR]

C. Talimat Vermeye Yetkili Müşteri Rolleri

  • Hesap sahibi
  • Şirket yöneticisi
  • Veri koruma irtibat kişisi
  • Bilgi güvenliği sorumlusu
  • Yetkilendirilmiş mali müşavir
  • Diğer: [BİLGİ TAMAMLANACAK]

D. Talimat Kanalları

Geçerli kabul edilen kanallar:

  • Platform içi yönetici işlemi
  • Kayıtlı e-posta adresi
  • KEP
  • İmzalı yazı
  • Destek sistemi üzerinden doğrulanmış talep
  • API veya teknik yapılandırma
  • Diğer: [BİLGİ TAMAMLANACAK]

EK-7 — YAYIN ÖNCESİ KONTROL LİSTESİ

Bu Ek, yayımlanan nihai müşteri sürümünden kaldırılabilir veya iç kontrol belgesi olarak tutulabilir.

1. Hukuki Yapı

  • DPA güncel KVKK ve ikincil düzenlemeler bakımından hukukçu tarafından incelendi.
  • Veri sorumlusu/veri işleyen rol ayrımı gerçek veri akışlarıyla doğrulandı.
  • Standart Sözleşme gerektiren tüm yurt dışı aktarımlar belirlendi.
  • Standart Sözleşmeler imzalandı ve gerekli bildirimler tamamlandı.
  • Müşterinin başka veri sorumlusu adına hareket ettiği senaryo değerlendirildi.
  • Sorumluluk sınırları Ana Sözleşmeyle uyumlu hâle getirildi.
  • Gebze yetki şartının müşteri türleri bakımından uygulanabilirliği kontrol edildi.

2. Teknik Mimari

  • Supabase üretim bölgesi doğrulandı.
  • Veri depolama ve kimlik doğrulama ürünleri belirlendi.
  • Cloudflare üzerinden geçen veri ve loglar belirlendi.
  • Yedeklerin günlük alındığı ve 30 gün tutulduğu test edildi.
  • 60 günlük veri erişim ve dışa aktarım akışı test edildi.
  • Silme işleminin aktif sistem ve yedeklerdeki davranışı doğrulandı.
  • Log türleri ve saklama süreleri belirlendi.
  • 2FA ve hesap güvenliği özelliklerinin gerçek durumu doğrulandı.
  • Şifreleme ve anahtar yönetimi gerçek mimariye göre yazıldı.
  • RPO/RTO değerleri ancak test sonrası eklendi.

3. AI ve OCR

  • Üretimde kullanılacak AI sağlayıcıları kesinleştirildi.
  • API/kurumsal planlarda genel model eğitimi ayarı doğrulandı.
  • Sağlayıcı saklama süreleri doğrulandı.
  • Kötüye kullanım incelemesi ve insan erişimi ihtimali değerlendirildi.
  • AI’a giden gerçek alanlar veri akış matrisine işlendi.
  • AI özelliğinin varsayılan açık/kapalı ayarı belirlendi.
  • Özel nitelikli veri engelleme veya uyarı mekanizması değerlendirildi.
  • OCR belge saklama ve silme süresi belirlendi.

4. Alt İşleyenler

  • Supabase sözleşmesi ve alt işleyenleri incelendi.
  • Cloudflare ürün kapsamı ve sözleşmesi incelendi.
  • İyzico veya güncel ödeme sağlayıcısı kesinleştirildi.
  • Zoho veya güncel e-posta sağlayıcısı kesinleştirildi.
  • Analitik aracı belirlendi.
  • Hata izleme servisi belirlendi.
  • E-dönüşüm entegratörü belirlendi.
  • Banka/açık bankacılık sağlayıcısı belirlendi.
  • Pazaryeri sağlayıcıları belirlendi.
  • Alt İşleyenler Listesi gerçek verilerle dolduruldu.
  • Yeni Alt İşleyen bildirim sistemi üründe veya operasyonel süreçte kuruldu.

5. Olay Yönetimi

  • Güvenlik iletişim e-postası oluşturuldu.
  • Müşteriye azami ilk ihlal bildirim hedefi teknik kapasiteyle belirlendi.
  • Olay kayıt ve sınıflandırma sistemi kuruldu.
  • Delil ve log koruma prosedürü oluşturuldu.
  • Kurul ve ilgili kişi bildirimi için sorumluluk matrisi oluşturuldu.
  • İhlal tatbikatı yapıldı.

6. İlgili Kişi Talepleri

  • Müşteriden gelen veri arama/dışa aktarma talepleri test edildi.
  • Düzeltme, silme ve erişim kısıtlama akışları test edildi.
  • Marfin’e doğrudan gelen taleplerin Müşteriye yönlendirme süreci kuruldu.
  • Üç iş günlük iç iletim hedefi operasyonel olarak doğrulandı.
  • Standart dışı talepler için ücret ve teknik süreç belirlendi.

7. Belge Uyumu

  • B2B Kullanıcı ve Abonelik Sözleşmesiyle süre ve tanımlar eşleştirildi.
  • KVKK Aydınlatma Metniyle rol ayrımı eşleştirildi.
  • Gizlilik Politikasıyla tutarlılık kontrol edildi.
  • AI Veri İşleme Politikasıyla sağlayıcı ve saklama bilgileri eşleştirildi.
  • Veri Saklama ve İmha Politikasıyla süreler eşleştirildi.
  • Bilgi Güvenliği Politikasıyla Ek-2 kontrolleri eşleştirildi.
  • Yurt Dışına Veri Aktarım Ekiyle mekanizmalar eşleştirildi.
  • Sürüm, yürürlük tarihi ve değişiklik özeti eklendi.

REFERANS VERİLEN BAĞLANTILI BELGELER

  • B2B Kullanıcı ve Abonelik Sözleşmesi
  • KVKK Aydınlatma Metni
  • Gizlilik Politikası
  • Veri Saklama ve İmha Politikası
  • İlgili Kişi Başvuru Formu
  • Alt İşleyenler Listesi
  • Yurt Dışına Veri Aktarım Eki
  • AI Veri İşleme Politikası
  • Bilgi Güvenliği Politikası
  • İş Sürekliliği ve Felaket Kurtarma Politikası
  • Güvenlik Olayı Müdahale Politikası
  • Veri Kategorileri ve Saklama Süreleri
  • Veri Akış Matrisi

BELGE SONU

Bu belge, Marfin Hukuki Dokümantasyon Projesi kapsamında hazırlanmıştır.

Yayın durumu: Taslak
Hukukçu onayı: Bekleniyor
Teknik doğrulama: Bekleniyor
Yürürlük tarihi: [BİLGİ TAMAMLANACAK]