Veri İşleme Sözleşmesi (DPA)
Son güncelleme:
1. Taraflar ve Sözleşmenin Statüsü
1.1. Veri İşleyen / Hizmet Sağlayıcı
Ticari unvan: 1453 İstanbul Gıda San. ve Tic. Ltd. Şti.
Marka / uygulama adı: Marfin
MERSİS No: 0001192249400001
Vergi Kimlik No: 0011922494
Vergi Dairesi: İlyasbey Vergi Dairesi
Adres: Mevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A, Gebze/Kocaeli
Telefon: +90 (532) 420 66 35
Genel iletişim e-postası: info@marfin.com.tr
KVKK iletişim e-postası: info@marfin.com.tr
Web sitesi: https://www.marfin.com.tr
KEP adresi: [KEP ADRESİ VARSA EKLENECEKTİR]
Bu Sözleşmede 1453 İstanbul Gıda San. ve Tic. Ltd. Şti. kısaca “Marfin” veya “Veri İşleyen” olarak anılacaktır.
1.2. Veri Sorumlusu / Müşteri
Marfin ile B2B Kullanıcı ve Abonelik Sözleşmesi kuran ve kendi işleme amaçları için kişisel verileri Platform üzerinden işleyen gerçek veya tüzel kişi müşteri, bu Sözleşmede “Müşteri” veya “Veri Sorumlusu” olarak anılacaktır.
Müşteriye ait:
- ticari unvan,
- MERSİS veya ticaret sicili numarası,
- vergi kimlik numarası,
- merkez adresi,
- veri koruma irtibat kişisi,
- bildirim e-posta adresi,
- varsa KEP adresi
Sipariş Formunda, müşteri hesabında veya bu Sözleşmenin Ek-6 İrtibat ve Talimat Matrisi bölümünde gösterilir.
1.3. Taraflar
Marfin ve Müşteri ayrı ayrı “Taraf”, birlikte “Taraflar” olarak anılır.
1.4. Ana Sözleşmenin Ayrılmaz Parçası
Bu Veri İşleme Sözleşmesi:
- Marfin B2B Kullanıcı ve Abonelik Sözleşmesinin,
- varsa Sipariş Formunun,
- Kurumsal Paket veya özel hizmet sözleşmesinin
ayrılmaz parçasıdır.
Ana Sözleşmenin sona ermesi, bu Sözleşmenin veri iadesi, silme, gizlilik, denetim, sorumluluk ve yasal saklama bakımından niteliği gereği devam eden hükümlerini ortadan kaldırmaz.
2. Amaç, Konu ve Kapsam
2.1. Amaç
Bu Sözleşmenin amacı, Müşterinin veri sorumlusu ve Marfin’in veri işleyen olduğu kişisel veri işleme faaliyetlerinde Tarafların hak, yükümlülük ve sorumluluklarını düzenlemektir.
2.2. Konu
Marfin, Müşterinin belgelenmiş talimatları doğrultusunda ve Hizmetleri sağlamak amacıyla Müşteri Verisi içinde yer alan kişisel verileri işleyebilir.
Bu işlemler, seçilen Paket ve kullanılan özelliklere göre özellikle şunları içerebilir:
- veri kaydetme ve barındırma,
- düzenleme, sınıflandırma ve eşleştirme,
- görüntüleme ve kullanıcı erişimi sağlama,
- raporlama ve analiz,
- veri içe veya dışa aktarma,
- yedekleme ve teknik geri yükleme,
- e-dönüşüm bağlantıları,
- banka ve açık bankacılık bağlantıları,
- pazaryeri bağlantıları,
- belge yükleme ve OCR,
- yapay zekâ destekli analiz ve chatbot,
- destek ve hata giderme,
- güvenlik, loglama ve suistimal önleme,
- API ve webhook işlemleri,
- silme, anonimleştirme veya iade.
2.3. Kapsam Dışı İşlemler
Marfin’in aşağıdaki amaçlarla kendi karar ve sorumluluğunda yaptığı işlemler bu DPA kapsamında veri işleyen faaliyeti sayılmaz:
- Müşteri hesabının kurulması ve sözleşmenin ispatı,
- abonelik, ücret, tahsilat ve Marfin’in kendi muhasebe kayıtları,
- Müşteri temsilcileriyle iletişim,
- Marfin’e yöneltilen destek ve şikâyetlerin yönetimi,
- Marfin’in kendi sistem güvenliği ve yasal yükümlülükleri,
- hakların tesisi, kullanılması veya korunması,
- mevzuata uyum ve yetkili makam talepleri,
- izinli ticari ileti ve Marfin pazarlama faaliyetleri.
Bu işlemlerde Marfin, somut işleme göre veri sorumlusu olarak hareket eder ve ilgili süreçler KVKK Aydınlatma Metni ile Gizlilik Politikasında açıklanır.
2.4. Rolün Fiilî Duruma Göre Belirlenmesi
Tarafların rolü, yalnızca sözleşmede kullanılan unvana değil, somut işleme faaliyetinin amaç ve esaslı vasıtalarını fiilen hangi Tarafın belirlediğine göre değerlendirilir.
Marfin’in bir işleme bakımından amaç ve esaslı vasıtaları bağımsız şekilde belirlemek zorunda kalması hâlinde Taraflar, rol ve bilgilendirme yükümlülüklerini ayrıca değerlendirir.
3. Tanımlar
Bu Sözleşmede geçen ifadeler, aksi açıkça belirtilmedikçe aşağıdaki anlamları taşır:
- Alt İşleyen: Marfin tarafından, Müşteri adına gerçekleştirilen veri işleme faaliyetinin tamamını veya bir bölümünü yürütmek üzere yetkilendirilen üçüncü taraf veri işleyen.
- Ana Sözleşme: Marfin B2B Kullanıcı ve Abonelik Sözleşmesi ile varsa Sipariş Formu ve ekleri.
- Belgelenmiş Talimat: Müşterinin Ana Sözleşme, Sipariş Formu, Platform ayarı, yetkili destek talebi, API yapılandırması veya Tarafların imzaladığı başka bir belge üzerinden verdiği ve sonradan ispatlanabilen talimat.
- Hizmetler: Marfin Platformu, web ve mobil uygulamalar, API, destek, entegrasyon, AI, OCR ve bağlantılı SaaS hizmetleri.
- İlgili Kişi: Kişisel verisi işlenen kimliği belirli veya belirlenebilir gerçek kişi.
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
- Kişisel Veri İhlali: İşlenen kişisel verilerin hukuka aykırı olarak elde edilmesine, açıklanmasına, değiştirilmesine, kaybına, yok edilmesine, erişilemez hâle gelmesine veya yetkisiz işlenmesine yol açan güvenlik ihlali.
- Kurul: Kişisel Verileri Koruma Kurulu.
- Kurum: Kişisel Verileri Koruma Kurumu.
- KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu ve uygulanabilir ikincil düzenlemeler.
- Müşteri Verisi: Müşteri veya Yetkili Kullanıcılar tarafından Platforma girilen, yüklenen, oluşturulan, aktarılan veya entegrasyonlardan alınan veri, belge ve içerik.
- OCR: Görsel veya belge üzerindeki metin ve alanların otomatik olarak tanınması ve yapılandırılmış veriye dönüştürülmesi.
- Özel Nitelikli Kişisel Veri: Yürürlükteki mevzuatta özel nitelikli olarak belirlenen kişisel veri kategorileri.
- Platform: Marfin markasıyla sunulan web, mobil, API ve bağlantılı yazılım ortamları.
- Standart Sözleşme: Yurt dışına kişisel veri aktarımı için yürürlükteki mevzuat kapsamında Kurul tarafından ilan edilen ve somut taraf rollerine uygun olan standart sözleşme.
- Teknik ve İdari Tedbirler: Kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, muhafazasını sağlamak ve riskleri azaltmak amacıyla alınan teknik ve organizasyonel önlemler.
- Veri İşleme: Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, erişilebilir hâle getirilmesi, sınıflandırılması, kullanılmasının engellenmesi, silinmesi, yok edilmesi, anonimleştirilmesi veya bunlar üzerinde gerçekleştirilen diğer işlemler.
- Veri İşleyen: Veri sorumlusunun verdiği yetkiye ve talimatlara dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi.
- Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
- Yurt Dışı Aktarım: Kişisel verilerin Türkiye dışındaki bir alıcıya iletilmesi veya Türkiye dışından erişilebilir hâle getirilmesi.
- Yetkili Kullanıcı: Müşteri tarafından Müşteri hesabına erişim yetkisi verilen çalışan, yönetici, mali müşavir, danışman veya diğer kişi.
Tanımlanmayan büyük harfli ifadeler Ana Sözleşmedeki anlamlarını taşır.
4. Tarafların Kişisel Veri Koruma Rolleri
4.1. Müşterinin Rolü
Müşteri, Platforma aktardığı veya Platform üzerinden işlediği üçüncü kişilere ait kişisel veriler bakımından kural olarak veri sorumlusudur.
Müşteri özellikle:
- işleme amaçlarını,
- işlenecek veri kategorilerini,
- ilgili kişi gruplarını,
- kullanıcı rollerini,
- saklama gereksinimlerini,
- entegrasyonların etkinleştirilmesini,
- AI veya OCR özelliklerine hangi verilerin gönderileceğini,
- veri dışa aktarım ve silme talimatlarını
belirler.
4.2. Marfin’in Rolü
Marfin, bu kapsamdaki kişisel verileri:
- Müşteri adına,
- Müşterinin Belgelenmiş Talimatları doğrultusunda,
- Hizmetleri sağlamak için gerekli olduğu ölçüde
işler.
4.3. Ortak Veri Sorumluluğu Oluşturulmaması
Taraflardan birinin açıkça kabulü veya fiilî durum gerektirmedikçe bu Sözleşme:
- ortak veri sorumluluğu,
- acentelik,
- ortaklık,
- iş ortaklığı,
- temsil ilişkisi
oluşturmaz.
4.4. Müşterinin Başka Bir Veri Sorumlusu Adına Hareket Etmesi
Müşteri, başka bir veri sorumlusunun veri işleyeni olarak Marfin’den hizmet alıyorsa:
- Marfin’i alt işleyen olarak yetkilendirmeye hakkı bulunduğunu,
- asıl veri sorumlusunun gerekli onayını aldığını,
- Marfin’e verdiği talimatların asıl veri sorumlusunun talimatlarıyla uyumlu olduğunu
beyan eder.
Bu durumda Taraflar, işleme zincirindeki rollerini ve yurt dışı aktarım modülünü gerektiğinde ayrıca belgelendirir.
5. İşleme Faaliyetinin Ayrıntıları
İşleme faaliyetinin temel ayrıntıları Ek-1 Veri İşleme Ayrıntıları bölümünde düzenlenir.
Ek-1’de en az aşağıdaki unsurlar bulunur:
- işleme konusu,
- amaçları,
- niteliği ve kapsamı,
- veri işleme süresi,
- ilgili kişi grupları,
- kişisel veri kategorileri,
- özel nitelikli veri bulunup bulunmadığı,
- kullanılan başlıca özellikler,
- aktarım ve alt işleyen kategorileri,
- veri dışa aktarım ve silme yaklaşımı.
Seçilen Paket, etkinleştirilen özellik ve entegrasyonlara göre Ek-1’in yalnızca ilgili satırları uygulanır.
6. Müşterinin Talimatları
6.1. Talimatın Kapsamı
Ana Sözleşmenin kurulması, Müşterinin Hizmetleri kullanması ve ilgili özellikleri etkinleştirmesi; Marfin’e aşağıdaki işlemler için Belgelenmiş Talimat oluşturur:
- kişisel verileri Platformda barındırma,
- Yetkili Kullanıcılara rol bazlı erişim sağlama,
- Müşterinin seçtiği rapor, AI, OCR ve entegrasyon işlemlerini yürütme,
- güvenlik, destek, yedekleme ve hata giderme faaliyetlerini gerçekleştirme,
- Müşterinin talebi üzerine verileri dışa aktarma veya silme,
- bu Sözleşmeye uygun Alt İşleyen kullanma.
6.2. Ek Talimatlar
Müşteri, Platformun standart işlevlerinin dışında bir işlem talimatı vermek isterse talebini yetkili iletişim kanalından yazılı veya elektronik olarak iletir.
Marfin:
- talebin teknik olarak mümkün olup olmadığını,
- güvenlik etkisini,
- maliyetini,
- diğer müşterilerin sistemlerine etkisini,
- mevzuata uygunluğunu
değerlendirir.
Standart Hizmet kapsamını aşan talepler ek ücret, süre veya ayrı Sipariş Formu gerektirebilir.
6.3. Hukuka Aykırı Talimat
Marfin, bir talimatın uygulanabilir veri koruma mevzuatına aykırı olduğunu makul olarak değerlendirirse:
- Müşteriyi gecikmeksizin bilgilendirir,
- hukuken mümkünse aykırılığın nedenini açıklar,
- talimatın düzeltilmesini ister,
- risk devam ettiği sürece ilgili işlemi durdurabilir.
Marfin, hukuka aykırılığı açık bir talimatı yerine getirmek zorunda değildir.
6.4. Acil Güvenlik İşlemleri
Veri güvenliğini, sistem bütünlüğünü veya diğer müşterileri korumak için acil işlem gerekirse Marfin:
- talimat beklemeksizin sınırlı ve gerekli güvenlik işlemini yapabilir,
- hukuken ve teknik olarak mümkün olan en kısa sürede Müşteriyi bilgilendirir,
- işlemi amaçla ve süreyle sınırlar.
7. Müşterinin Yükümlülükleri
Müşteri, veri sorumlusu olarak özellikle aşağıdaki yükümlülükleri yerine getirir.
7.1. Hukuki Sebep ve Şeffaflık
Müşteri:
- her işleme faaliyeti için geçerli hukuki sebebi belirler,
- ilgili kişileri usulüne uygun şekilde aydınlatır,
- gerektiğinde açık rıza veya diğer izinleri alır,
- rıza ve ret kayıtlarını saklar,
- verileri yalnızca belirlenen amaçlarla işler.
7.2. Veri Toplama ve Platforma Aktarma Yetkisi
Müşteri, Platforma aktardığı verileri:
- hukuka uygun şekilde elde ettiğini,
- Marfin’e işlettirmeye ve gerekli aktarımları yaptırmaya yetkili olduğunu,
- üçüncü taraf sözleşmelerine veya gizlilik yükümlülüklerine aykırı hareket etmediğini
temin eder.
7.3. Veri Minimizasyonu
Müşteri:
- amaç için gereksiz veriyi Platforma yüklemez,
- yüksek riskli kimlik ve finans verilerini gereksiz yere toplamaz,
- AI, OCR ve destek alanlarına gereksiz kişisel veri göndermez,
- mümkün olduğunda maskeleme veya takma adlandırma uygular.
7.4. Veri Doğruluğu
Müşteri:
- kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlar,
- hatalı veya eski verileri düzeltir,
- OCR, otomatik sınıflandırma ve AI çıktısını kaynak kayıtlarla doğrular.
7.5. Yetkili Kullanıcı Yönetimi
Müşteri:
- yalnızca görev gereği erişmesi gereken kişilere hesap açar,
- rol ve yetkileri en az ayrıcalık ilkesine göre belirler,
- ayrılan veya görevi değişen kullanıcının erişimini gecikmeksizin kaldırır,
- hesap paylaşımına izin vermez,
- güçlü parola ve sunuluyorsa çok faktörlü doğrulamayı kullanır.
7.6. İlgili Kişi Talepleri
Müşteri:
- ilgili kişi taleplerinin asıl muhatabıdır,
- başvuruları mevzuattaki süre ve usule uygun yanıtlar,
- Marfin’den gerekli teknik yardımı zamanında talep eder,
- talebin kapsamını açık ve doğrulanabilir biçimde bildirir.
7.7. Özel Nitelikli Veriler
Müşteri, özel nitelikli kişisel verileri yalnızca:
- geçerli işleme şartı bulunduğunda,
- gerekli ek güvenlik tedbirlerini aldığında,
- Platformdaki ilgili özelliğin bu işlem için uygunluğunu değerlendirdiğinde,
- Ek-1’de ilgili kategori belirtildiğinde
işler.
7.8. Yurt Dışı Aktarım Bilgilendirmeleri
Müşteri:
- Platformun Alt İşleyenler Listesini ve veri barındırma bölgesini değerlendirir,
- kendi ilgili kişilerine gerekli bilgilendirmeyi yapar,
- kendi sorumluluk alanındaki aktarım mekanizmasını ve kayıtlarını tamamlar.
7.9. Mevzuata Aykırı İçerik
Müşteri, Marfin’i:
- hukuka aykırı gözetim,
- yetkisiz çalışan takibi,
- ayrımcılık,
- dolandırıcılık,
- sahte belge veya kayıt üretimi,
- hukuka aykırı profilleme,
- izinsiz ticari ileti,
- veri ticareti,
- kara para aklama veya suç gelirlerinin gizlenmesi
amacıyla kullanamaz.
8. Marfin’in Genel Yükümlülükleri
Marfin, veri işleyen sıfatıyla:
- kişisel verileri yalnızca Belgelenmiş Talimatlara göre işler,
- işlemeyi Hizmetlerin sağlanması için gerekli kapsamla sınırlar,
- kişisel verilere erişen personeli gizlilik yükümlülüğü altında tutar,
- risk seviyesine uygun Teknik ve İdari Tedbirleri uygular,
- Alt İşleyenleri bu Sözleşmeyle uyumlu veri koruma yükümlülüklerine tabi tutar,
- ilgili kişi başvurularında Müşteriye makul yardım sağlar,
- Kişisel Veri İhlalini bu Sözleşmedeki usulle Müşteriye bildirir,
- denetim ve uygunluk taleplerine makul bilgi sağlar,
- sona erme sonrasında verileri bu Sözleşmeye göre iade eder, siler veya anonimleştirir,
- yurt dışı aktarımları için kendi sorumluluk alanındaki uygun mekanizmaları tesis eder,
- hukuken zorunlu olmadıkça Müşteri Verisini kendi bağımsız pazarlama amacıyla kullanmaz,
- Müşteri Verisini, Müşterinin talep ettiği Hizmet dışında üçüncü kişilere satmaz.
Marfin’in güvenlik ve veri koruma yükümlülükleri sonuç garantisi değil, riske uygun özen ve tedbir yükümlülüğüdür.
9. Gizlilik ve Yetkili Personel
9.1. Erişim Sınırlaması
Marfin, Müşteri Verisine erişimi:
- görevi gereği erişmesi gereken,
- uygun yetkilendirmeye sahip,
- gizlilik yükümlülüğü altında bulunan
çalışan, danışman ve tedarikçilerle sınırlar.
9.2. Gizlilik Yükümlülüğünün Devamı
Gizlilik yükümlülüğü:
- görev veya sözleşme sona erdikten sonra,
- kişisel veri silinene veya hukuka uygun şekilde anonim hâle gelene kadar,
- mevzuatın daha uzun süre öngördüğü durumlarda ilgili süre boyunca
devam eder.
9.3. Eğitim ve Farkındalık
Marfin, kişisel verilere erişen ilgili personelin görevine uygun olarak:
- bilgi güvenliği,
- kimlik avı ve sosyal mühendislik,
- parola ve erişim güvenliği,
- olay bildirimi,
- veri minimizasyonu,
- gizlilik
konularında bilgilendirilmesini hedefler.
9.4. Destek Erişimi
Marfin personeli, Müşteri hesabına destek amacıyla erişecekse:
- erişim yalnızca talep veya olay için gerekli olmalı,
- mümkün olduğunda yetkili destek kaydıyla ilişkilendirilmeli,
- görev tamamlanınca erişim sonlandırılmalı,
- uygun olduğu ölçüde erişim loglanmalıdır.
10. Teknik ve İdari Güvenlik Tedbirleri
10.1. Genel Yükümlülük
Marfin, kişisel verilerin:
- hukuka aykırı işlenmesini,
- hukuka aykırı erişilmesini,
- kazara veya hukuka aykırı kaybını,
- yetkisiz değiştirilmesini veya açıklanmasını
önlemeye ve verilerin muhafazasını sağlamaya yönelik riske uygun tedbirler uygular.
10.2. Tedbirlerin Belirlenmesi
Tedbirler belirlenirken:
- verinin niteliği ve miktarı,
- ilgili kişi sayısı,
- işleme amacı,
- teknoloji ve uygulama maliyeti,
- olası ihlalin ilgili kişiler üzerindeki etkisi,
- güncel tehdit ve zafiyetler,
- kullanılan Alt İşleyenler
dikkate alınır.
10.3. Asgari Tedbir Alanları
Teknik ve idari tedbir alanları Ek-2 Teknik ve İdari Tedbirler bölümünde açıklanır ve en az aşağıdakileri kapsar:
- organizasyonel güvenlik,
- varlık ve veri envanteri,
- erişim kontrolü,
- kimlik doğrulama,
- parola ve oturum güvenliği,
- değişiklik ve sürüm yönetimi,
- güvenli yazılım geliştirme,
- zafiyet ve yama yönetimi,
- loglama ve izleme,
- zararlı yazılım ve saldırı önleme,
- ağ ve iletişim güvenliği,
- veri aktarım güvenliği,
- yedekleme ve geri yükleme,
- tedarikçi ve Alt İşleyen güvenliği,
- olay müdahalesi,
- iş sürekliliği,
- veri silme ve imha,
- personel gizliliği ve eğitim.
10.4. Doğrulanmamış Standartlar
Marfin, teknik olarak doğrulanmadıkça bu Sözleşmeyle:
- belirli bir şifreleme algoritması,
- belirli TLS sürümü,
- ISO 27001 veya başka sertifika,
- SOC 2 raporu,
- kesintisiz 7/24 insan desteği,
- sıfır veri kaybı,
- kesin RPO veya RTO
taahhüt etmez.
Üretimde doğrulanan standartlar ve sertifikalar Ek-2’ye eklenebilir.
10.5. Tedbirlerin Güncellenmesi
Marfin, genel güvenlik seviyesini esaslı biçimde düşürmemek kaydıyla:
- teknoloji değişikliği,
- tehdit ortamı,
- ürün mimarisi,
- mevzuat,
- hizmet sağlayıcısı değişikliği
nedeniyle tedbirleri güncelleyebilir.
11. Erişim, Yetki ve Hesap Güvenliği
11.1. Marfin Tarafındaki Erişimler
Marfin:
- rol bazlı yetkilendirme uygular,
- ayrıcalıklı erişimleri sınırlar,
- görev değişikliği veya işten ayrılma durumunda erişimleri kaldırır,
- mümkün olduğu ölçüde kritik erişimleri loglar,
- paylaşımlı yönetici hesaplarını sınırlandırmayı hedefler.
11.2. Müşteri Tarafındaki Erişimler
Müşteri hesabındaki Yetkili Kullanıcıların:
- oluşturulması,
- silinmesi,
- rolü,
- erişebileceği firma ve modüller,
- veri dışa aktarım yetkisi,
- entegrasyon kurma yetkisi
Müşterinin sorumluluğundadır.
11.3. Kimlik Bilgilerinin Gizliliği
Taraflar:
- parola,
- API anahtarı,
- erişim tokenı,
- webhook sırrı,
- kurtarma kodu
gibi kimlik doğrulama bilgilerini yetkisiz kişilerle paylaşmaz.
11.4. Şüpheli Erişim
Müşteri, şüpheli erişim veya kimlik bilgisinin açığa çıkması hâlinde Marfin’i gecikmeksizin bilgilendirir ve:
- parolayı değiştirir,
- ilgili oturumu sonlandırır,
- API anahtarı veya tokenı yeniler,
- gerekli kullanıcı erişimlerini kaldırır.
12. Özel Nitelikli Kişisel Veriler
12.1. Varsayılan Kapsam
Marfin, standart finans ve ön muhasebe Platformunu özel nitelikli kişisel veri işleme amacıyla tasarlamamıştır.
12.2. Yükleme Sorumluluğu
Müşteri, özel nitelikli veri yüklemeden önce:
- işlemenin zorunlu ve hukuka uygun olduğunu,
- ilgili özelliğin uygunluğunu,
- erişim yetkilerini,
- saklama süresini,
- ek güvenlik tedbirlerini
değerlendirir.
12.3. Ön Bildirim Gerektiren Durumlar
Sürekli veya yüksek hacimli özel nitelikli veri işleme planlanıyorsa Müşteri, işleme başlamadan önce Marfin’e yazılı bilgi vermeli ve Taraflar:
- teknik uygunluğu,
- ek güvenlik ihtiyacını,
- maliyet ve destek kapsamını,
- Ek-1 güncellemesini
değerlendirmelidir.
12.4. Talimatla Sınırlılık
Marfin, özel nitelikli veriyi yalnızca bu Sözleşme ve Müşterinin Belgelenmiş Talimatı kapsamında işler.
13. Veri Minimizasyonu, Doğruluk ve Amaçla Sınırlılık
13.1. Minimizasyon
Marfin, standart ürün tasarımında yalnızca ilgili özelliğin çalışması için gerekli veri alanlarını işlemeyi hedefler.
Müşteri, serbest metin, belge yükleme ve AI alanlarında gereksiz veri paylaşımından kaçınır.
13.2. Doğruluk
Marfin, Müşterinin girdiği verilerin maddi doğruluğunu bağımsız olarak doğrulamakla yükümlü değildir.
Otomatik veri çıkarımı, eşleştirme veya sınıflandırma sonucu oluşan alanlar Müşteri tarafından kontrol edilir.
13.3. Amaçla Sınırlılık
Marfin, Müşteri Verisini:
- bağımsız reklam profili oluşturmak,
- üçüncü kişilere veri satmak,
- Müşterinin talebi dışında genel pazarlama yapmak
amacıyla kullanmaz.
Anonim hâle getirilen ve ilgili kişiyle ilişkilendirilemeyen istatistikler; ürün güvenliği, kapasite planlama ve genel hizmet geliştirme amacıyla kullanılabilir.
13.4. Anonimleştirme Standardı
Veri, doğrudan veya dolaylı şekilde makul araçlarla gerçek kişiyle yeniden ilişkilendirilebiliyorsa anonim sayılmaz.
Takma adlandırılmış veri, yeniden ilişkilendirme anahtarı bulunduğu sürece kişisel veri olmaya devam eder.
14. Yapay Zekâ ve OCR İşlemleri
14.1. Özelliklerin Etkinleştirilmesi
AI ve OCR özellikleri, seçilen Paket ve ürün ayarlarına göre:
- varsayılan olarak açık,
- varsayılan olarak kapalı,
- kullanıcı işlemiyle etkinleşen,
- Kurumsal Paket ayarıyla sınırlandırılan
şekilde sunulabilir.
Üretim öncesinde gerçek varsayılan ayar [BİLGİ TAMAMLANACAK] olarak belirlenmelidir.
14.2. AI’a Gönderilebilecek Veriler
Müşterinin seçimine göre:
- istem ve soru metni,
- cari veya finansal kayıt,
- rapor özeti,
- fatura veya belge içeriği,
- OCR ile çıkarılan metin,
- kullanıcı tarafından seçilen bağlamsal bilgiler
AI sağlayıcısına iletilebilir.
14.3. İşleme Amacı
AI sağlayıcısı üzerinden işleme yalnızca:
- Müşterinin talep ettiği yanıtı üretme,
- belgeyi işleme,
- analiz veya sınıflandırma yapma,
- kötüye kullanım ve güvenliği yönetme
amacıyla gerçekleştirilir.
14.4. Genel Model Eğitimi
Marfin:
- mümkün olduğunda kurumsal veya API planlarını,
- müşteri verisiyle genel model eğitiminin kapalı olduğu ayarları,
- sınırlı veri saklama seçeneklerini
tercih eder.
Ancak üretimde kullanılacak her sağlayıcının:
- güncel hizmet şartları,
- veri saklama süresi,
- kötüye kullanım incelemesi,
- model eğitim ayarı,
- bölgesel veri akışı,
- alt işleyenleri
doğrulanmadan mutlak garanti verilmez.
Güncel durum AI Veri İşleme Politikasında ve Alt İşleyenler Listesinde açıklanır.
14.5. İnsan Kontrolü
Müşteri:
- AI ve OCR çıktısını doğrular,
- finansal ve vergisel sonuç doğuran kaydı kaynak belgeyle karşılaştırır,
- gerekli uzman görüşünü alır,
- nihai kararı kendisi verir.
14.6. Yasaklı Veri Girişi
Zorunlu olmadığı sürece AI veya OCR alanlarına:
- tam kart bilgisi,
- parola ve güvenlik anahtarı,
- biyometrik veya genetik veri,
- sağlık veya ceza mahkûmiyeti verisi,
- hukuki yetki bulunmayan üçüncü kişi verisi,
- gereksiz kimlik belgesi
girilmemelidir.
14.7. Sağlayıcı Değişikliği
AI veya OCR sağlayıcısı değişikliği Alt İşleyen hükümlerine tabidir.
15. Alt İşleyenler
15.1. Genel Yetki
Müşteri, Marfin’in Hizmetleri sunmak için Alt İşleyen kullanmasına genel yazılı yetki verir.
15.2. Alt İşleyen Kategorileri
Alt İşleyenler özellikle aşağıdaki hizmet kategorilerinde kullanılabilir:
- bulut barındırma ve veritabanı,
- CDN, DNS ve siber güvenlik,
- yedekleme ve felaket kurtarma,
- e-posta ve bildirim,
- müşteri destek altyapısı,
- ödeme altyapısı,
- AI ve OCR,
- analitik, performans ve hata izleme,
- e-dönüşüm,
- banka ve açık bankacılık,
- pazaryeri bağlantıları,
- loglama ve güvenlik izleme.
15.3. Alt İşleyenin Yükümlülükleri
Marfin, Alt İşleyenle yaptığı sözleşmede, ilgili hizmet ve veri işleme riskiyle uyumlu olarak en az aşağıdaki yükümlülükleri düzenler:
- talimatla sınırlı işleme,
- gizlilik,
- güvenlik tedbirleri,
- olay ve ihlal bildirimi,
- alt işleyen zinciri,
- yurt dışı aktarım kuralları,
- veri iadesi veya silme,
- denetim ve uygunluk bilgisi,
- ilgili kişi taleplerinde yardım.
15.4. Marfin’in Sorumluluğu
Marfin, Alt İşleyenin kendisine devredilen veri işleme yükümlülüklerini yerine getirmesini sözleşmesel olarak sağlamaktan sorumludur.
Tarafların kanundan ve Ana Sözleşmeden doğan sorumluluk sınırlamaları saklıdır.
15.5. Güncel Liste
Güncel Alt İşleyenler aşağıdaki belgede yayımlanır:
Alt İşleyenler Listesi
Liste en az şu bilgileri içerir:
- sağlayıcı adı,
- hizmeti,
- işlenen veri kategorileri,
- işleme ülkesi veya bölgesi,
- aktarım mekanizması,
- kullanım durumu,
- son güncelleme tarihi.
16. Yeni Alt İşleyen Bildirimi ve İtiraz Süreci
16.1. Bildirim
Marfin, Müşteri Verisini işleyecek yeni ve esaslı bir Alt İşleyeni devreye almadan önce Müşteriye:
- hesap içi bildirim,
- kayıtlı e-posta,
- Alt İşleyenler Listesi değişiklik bildirimi
yöntemlerinden biriyle makul ön bildirim yapar.
Standart bildirim süresi on beş (15) takvim günü olarak belirlenmiştir. Acil güvenlik, hizmet sürekliliği veya sağlayıcının zorunlu değişikliği hâlinde daha kısa süre uygulanabilir.
16.2. İtiraz
Müşteri, bildirimden itibaren on (10) takvim günü içinde yalnızca makul ve belgeli veri koruma gerekçeleriyle itiraz edebilir.
İtirazda:
- etkilenen veri kategorisi,
- somut hukuki veya güvenlik riski,
- uygulanabilir mevzuat hükmü,
- talep edilen makul çözüm
açıklanmalıdır.
16.3. Çözüm Süreci
Taraflar iyi niyetle aşağıdaki çözümleri değerlendirir:
- ek güvenlik tedbiri,
- ilgili özelliğin kapatılması,
- alternatif sağlayıcı,
- veri kapsamının azaltılması,
- aktarım mekanizmasının değiştirilmesi.
16.4. Çözülemeyen İtiraz
Makul itiraz çözülemezse:
- Marfin ilgili Alt İşleyene bağlı özelliği Müşteri için sunmayabilir,
- Müşteri yalnızca etkilenen Hizmeti veya teknik olarak ayrılamıyorsa Ana Sözleşmeyi feshedebilir.
Bu fesih hakkı, bildirimin alınmasından itibaren otuz (30) gün içinde kullanılmalıdır.
16.5. Önceden Onaylı Alt İşleyenler
DPA’nın yürürlüğe girdiği tarihte Alt İşleyenler Listesinde bulunan sağlayıcılar Müşteri tarafından onaylanmış kabul edilir.
17. Yurt Dışına Kişisel Veri Aktarımı
17.1. Genel İlke
Marfin, Müşteri Verisini Türkiye dışındaki bir alıcıya ancak yürürlükteki mevzuatta öngörülen geçerli aktarım şartı ve mekanizması bulunduğunda aktarır veya yurt dışından erişilebilir hâle getirir.
17.2. Muhtemel Yurt Dışı İşlemler
Aşağıdaki hizmetler yurt dışı veri akışına yol açabilir:
- Avrupa Birliği bölgesinde barındırılan veritabanı veya bulut hizmeti,
- küresel CDN ve güvenlik ağı,
- AI ve OCR sağlayıcıları,
- e-posta, analitik, hata izleme ve bildirim sağlayıcıları,
- uluslararası pazaryeri veya entegrasyon servisleri.
17.3. Kullanılabilecek Mekanizmalar
Somut aktarıma göre aşağıdaki mekanizmalardan uygun olanı kullanılabilir:
- yeterlilik kararı,
- Kurul tarafından ilan edilen Standart Sözleşme,
- bağlayıcı şirket kuralları,
- uygun güvence içeren ve gerekli onaya tabi taahhütname,
- kanundaki şartları taşıyan arızi aktarım,
- yürürlükteki mevzuatın izin verdiği diğer mekanizmalar.
17.4. Standart Sözleşme
Standart Sözleşme kullanılması gerekiyorsa Taraflar:
- somut rollerine uygun modülü belirler,
- sözleşmeyi usulüne uygun şekilde imzalar,
- ekleri gerçek veri akışına göre doldurur,
- gerekli bildirim ve kayıt işlemlerini kanuni süre içinde yerine getirir.
Standart Sözleşme ile bu DPA arasında çelişki olması hâlinde, ilgili yurt dışı aktarım bakımından emredici nitelikteki Standart Sözleşme hükmü öncelikle uygulanır.
17.5. Aktarım Zinciri
Marfin, yurt dışındaki Alt İşleyenin başka bir Alt İşleyen kullanması hâlinde:
- aktarım zincirini makul ölçüde değerlendirir,
- sözleşmesel veri koruma yükümlülükleri uygular,
- güncel bilgileri Alt İşleyenler Listesine yansıtır.
17.6. Ek Tedbirler
Aktarım riskine göre:
- veri minimizasyonu,
- erişim sınırlaması,
- şifreli iletim,
- takma adlandırma,
- sözleşmesel şeffaflık ve bildirim,
- veri saklama süresini azaltma,
- bölgesel barındırma
gibi tamamlayıcı tedbirler değerlendirilebilir.
17.7. Müşterinin Sorumluluğu
Müşteri, kendi ilgili kişilerine karşı:
- aktarım hakkında aydınlatma,
- uygun hukuki sebep,
- veri envanteri ve kayıt,
- kendi aktarım zincirindeki yükümlülükler
bakımından sorumludur.
17.8. Ayrıntılı Ek
Güncel aktarım bilgileri:
Yurt Dışına Veri Aktarım Eki
belgesinde açıklanır.
18. İlgili Kişi Başvurularında Yardım
18.1. Başvurunun Müşteriye Yöneltilmesi
Bir İlgili Kişi, Müşteri Verisi hakkında doğrudan Marfin’e başvurursa Marfin:
- talebi Müşteriye iletir,
- başvuru sahibine veri sorumlusunun Müşteri olduğunu bildirebilir,
- Müşterinin talimatı veya kanuni zorunluluk olmadıkça talebi esas yönünden doğrudan yanıtlamaz.
18.2. İletim Süresi
Marfin, başvuruyu niteliğine göre mümkün olan en kısa sürede ve kural olarak üç (3) iş günü içinde Müşterinin belirlediği veri koruma irtibat noktasına iletmeyi hedefler.
Bu süre, başvurunun Marfin’e ulaştığının ve ilgili Müşteri hesabıyla makul şekilde eşleştirilebildiğinin anlaşılmasıyla başlar.
18.3. Teknik Yardım
Marfin, Hizmetlerin niteliği ve elindeki bilgiler ölçüsünde Müşteriye:
- veri arama,
- kayıt dışa aktarma,
- düzeltme,
- erişim kısıtlama,
- silme veya anonimleştirme,
- log ve işlem geçmişi sağlama
konularında makul yardım sunar.
18.4. Kimlik Doğrulama
İlgili kişinin kimliğinin ve talebin hukuki şartlarının doğrulanması Müşterinin sorumluluğundadır.
Marfin, yetkisiz veri açıklanmasını önlemek amacıyla Müşteriden:
- başvuru referansı,
- kimlik doğrulama teyidi,
- talebin kapsamı,
- etkilenen kullanıcı veya kayıt bilgisi
isteyebilir.
18.5. Aşırı veya Standart Dışı Talepler
Standart Platform işlevleriyle karşılanamayan, yüksek hacimli veya özel geliştirme gerektiren talepler için:
- makul ek süre,
- teknik kapsam,
- maliyet
Taraflarca ayrıca kararlaştırılabilir.
Kanuni sürelerin takibi Müşteriye aittir.
19. Resmî Kurum, Mahkeme ve Kolluk Talepleri
19.1. Talebin Değerlendirilmesi
Marfin, Müşteri Verisine ilişkin resmî talebi:
- talepte bulunan makamın yetkisi,
- talebin hukuki dayanağı,
- kapsamı ve ölçülülüğü,
- gizlilik veya bildirim yasağı
bakımından makul ölçüde değerlendirir.
19.2. Müşterinin Bilgilendirilmesi
Hukuken yasak olmadığı ölçüde Marfin:
- talebi Müşteriye bildirir,
- Müşterinin uygun hukuki koruma yollarını değerlendirmesine makul fırsat verir.
19.3. Veri Açıklamasının Sınırlandırılması
Açıklama zorunluysa Marfin:
- yalnızca talep edilen ve hukuken verilmesi gereken veriyi açıklar,
- kapsamın daraltılması için makul çaba gösterebilir,
- yapılan açıklamayı uygun şekilde kayıt altına alır.
19.4. Acil Talepler
Hayati tehlike veya acil güvenlik riski içeren talepler, yürürlükteki hukuk ve somut durum çerçevesinde değerlendirilir.
20. Kişisel Veri İhlali ve Güvenlik Olayları
20.1. Bildirim Yükümlülüğü
Marfin, Müşteri Verisini etkileyen doğrulanmış veya makul şekilde doğrulanabilir bir Kişisel Veri İhlalinden haberdar olduğunda Müşteriyi gecikmeksizin bilgilendirir.
Taraflar, üretim öncesinde operasyonel azami ilk bildirim hedefini aşağıdaki alanda belirlemelidir:
[AZAMİ İLK BİLDİRİM HEDEFİ BİLGİSİ TAMAMLANACAK]
Kesin süre belirlenmemiş olması, Marfin’in gecikmeksizin bildirim yükümlülüğünü ortadan kaldırmaz.
20.2. İlk Bildirimin İçeriği
İlk bildirim, o anda mevcut olduğu ölçüde:
- olayın tarihi ve tespit zamanı,
- olayın niteliği,
- etkilenen sistem veya özellik,
- etkilenen veri ve ilgili kişi kategorileri,
- yaklaşık kayıt veya kişi sayısı,
- muhtemel sonuçlar,
- alınan veya planlanan önlemler,
- olay irtibat kişisi,
- bilgilerin kesin veya geçici olduğu
hususlarını içerir.
20.3. Aşamalı Bilgilendirme
Tüm bilgiler ilk bildirim anında mevcut değilse Marfin:
- mevcut bilgileri gecikmeden paylaşır,
- soruşturma ilerledikçe ek bilgi verir,
- önemli değişiklikleri Müşteriye bildirir.
20.4. Olay Müdahalesi
Marfin, olayın niteliğine göre:
- olayı kayıt altına alır,
- ilgili erişimi veya sistemi izole eder,
- delil ve logları korur,
- etki ve kapsamı değerlendirir,
- kötüye kullanım riskini azaltır,
- kök neden analizi yapar,
- düzeltici ve önleyici faaliyet planlar.
20.5. Kurul ve İlgili Kişi Bildirimi
Müşteri, veri sorumlusu olarak:
- Kurula bildirim gerekip gerekmediğini,
- ilgili kişilere bildirim yapılıp yapılmayacağını,
- bildirim içeriği ve zamanlamasını
değerlendirir ve yerine getirir.
Marfin, elindeki bilgiler ve teknik kapasitesi ölçüsünde yardım sağlar.
20.6. Marfin’in Doğrudan Bildirimi
Marfin’in mevzuat gereği doğrudan bildirim yükümlülüğü doğarsa veya Müşteriye ulaşılamaması ilgili kişilerin hakları bakımından ciddi risk yaratırsa, Marfin gerekli hukuki değerlendirmeyi yaparak yetkili makamlara bildirimde bulunabilir.
20.7. Sorumluluğun Kabulü Sayılmama
İhlal bildirimi:
- kusurun,
- hukuki sorumluluğun,
- tazmin yükümlülüğünün
kendiliğinden kabulü anlamına gelmez.
20.8. Olay İletişiminin Gizliliği
Taraflar, soruşturmayı veya güvenliği zedelememek için olay bilgilerini yalnızca bilmesi gereken kişilerle paylaşır.
21. Veri Koruma Etki ve Risk Değerlendirmelerine Yardım
21.1. Müşterinin Değerlendirmesi
Müşteri, yüksek riskli veya yeni teknoloji içeren işlemlerde gerekli veri koruma, meşru menfaat ve güvenlik risk değerlendirmelerini yapar.
21.2. Marfin’in Yardımı
Marfin, elindeki bilgiler ve Hizmetlerin niteliği ölçüsünde:
- sistem mimarisinin genel açıklaması,
- veri akış bilgisi,
- Alt İşleyenler,
- güvenlik tedbirleri,
- saklama ve silme yaklaşımı,
- olay geçmişine ilişkin paylaşılabilir bilgiler
sağlayabilir.
21.3. Ticari Sır ve Güvenlik Sınırı
Marfin:
- diğer müşterilerin verilerini,
- sistem güvenliğini zayıflatacak ayrıntıları,
- kaynak kodunu,
- gizli zafiyet bilgilerini,
- Alt İşleyenlerin gizli denetim raporlarını
açıklamak zorunda değildir.
Gerekirse bilgi:
- gizlilik sözleşmesi,
- kontrollü inceleme,
- özet rapor,
- bağımsız güvence belgesi
yoluyla sunulur.
22. Denetim, Bilgi Verme ve Uygunluk Kanıtları
22.1. Bilgi Sağlama
Marfin, bu Sözleşmedeki yükümlülüklere uyumu göstermek için makul ölçüde:
- güvenlik politikası özeti,
- Alt İşleyenler Listesi,
- veri akış bilgisi,
- yedekleme ve olay süreci özeti,
- mevcut bağımsız denetim veya sertifika bilgisi,
- ilgili kontrol beyanı
sağlayabilir.
22.2. Öncelikli Denetim Yöntemi
Taraflar, denetimde öncelikle:
- mevcut dokümantasyonun incelenmesi,
- güvenlik soru formu,
- uzaktan toplantı,
- bağımsız rapor veya kanıt
yöntemlerini kullanır.
Yerinde denetim son çare olarak uygulanır.
22.3. Yerinde Denetim Şartları
Müşteri, makul ve belgeli uyum şüphesi bulunması veya mevzuatın zorunlu kılması hâlinde yerinde denetim talep edebilir.
Aksi kararlaştırılmadıkça:
- yılda en fazla bir kez,
- en az otuz (30) gün önce yazılı bildirimle,
- normal çalışma saatlerinde,
- Hizmetleri ve diğer müşterileri aksatmadan,
- gizlilik yükümlülüğü altındaki uzmanlarca
yapılır.
22.4. Güvenlik Testleri
Müşteri veya denetçisi, Marfin’in önceden yazılı izni olmaksızın:
- sızma testi,
- zafiyet taraması,
- sosyal mühendislik,
- çalışanlara kimlik avı testi,
- hizmet engelleme testi,
- üretim verisine erişim denemesi
yapamaz.
Güvenlik araştırmaları Güvenlik Açığı Bildirim Politikasına tabidir.
22.5. Denetim Maliyeti
Rutin veya Müşteriye özgü denetimin makul maliyeti Müşteriye ait olabilir.
Denetimde Marfin’in esaslı bir ihlali tespit edilirse, makul doğrulama maliyeti kusur ve ihlalin niteliği dikkate alınarak Marfin tarafından karşılanabilir.
22.6. Düzeltici Faaliyet
Esaslı uygunsuzluk tespit edilirse Marfin:
- riski değerlendirir,
- makul düzeltici faaliyet planı oluşturur,
- öncelik ve teknik imkâna göre uygular,
- tamamlanma durumu hakkında Müşteriye uygun bilgi verir.
23. Kayıtlar, Loglar ve İzlenebilirlik
23.1. Log Türleri
Marfin, Hizmetlerin güvenliği ve işletilmesi için teknik olarak mevcut olduğu ölçüde:
- kullanıcı giriş ve oturum kayıtları,
- IP ve cihaz bilgileri,
- rol ve yetki değişiklikleri,
- veri oluşturma, değiştirme veya silme olayları,
- dışa aktarım işlemleri,
- entegrasyon ve API çağrıları,
- hata ve güvenlik olayları,
- destek erişimleri
hakkında log tutabilir.
23.2. Amaç
Loglar:
- güvenlik,
- hata giderme,
- denetim,
- suistimal önleme,
- uyuşmazlık çözümü,
- hukuki yükümlülük
amacıyla kullanılır.
23.3. Saklama Süresi
Logların tür bazında saklama süresi:
Veri Kategorileri ve Saklama Süreleri
belgesinde belirlenir.
Üretim öncesinde süreler [BİLGİ TAMAMLANACAK] alanlarından çıkarılmalıdır.
23.4. Log Erişimi
Müşteriye sağlanabilecek log kapsamı:
- seçilen Pakete,
- kullanıcı yetkisine,
- güvenlik riskine,
- diğer müşterilerin gizliliğine,
- teknik saklama süresine
bağlıdır.
24. Veri İadesi, Dışa Aktarımı, Silme ve İmha
24.1. Abonelik Süresince
Müşteri, aktif abonelik sırasında Platformun desteklediği ölçüde Müşteri Verisini dışa aktarabilir.
24.2. Sözleşme Sonrası Erişim
Ana Sözleşmenin sona ermesi veya hesabın kapanmasından sonra, hukuki veya güvenlik engeli bulunmadıkça Müşteriye altmış (60) gün boyunca:
- verilerine erişme,
- Desteklenen Formatlarda dışa aktarma,
- teknik destek talep etme
imkânı sağlanır.
24.3. Erken Silme Talimatı
Müşteri, gerekli dışa aktarımı tamamladıktan sonra 60 günlük sürenin dolmasını beklemeden verilerin silinmesini talep edebilir.
Marfin, talebi:
- hesabın ve yetkinin doğrulanması,
- yasal saklama yükümlülükleri,
- güvenlik ve uyuşmazlık kayıtları
çerçevesinde yerine getirir.
Erken silme geri alınamayabilir.
24.4. Standart Süre Sonu
Altmış günlük sürenin sonunda, kanunen saklanması zorunlu olmayan Müşteri Verileri:
- silinir,
- yok edilir veya
- hukuka uygun şekilde anonim hâle getirilir.
24.5. Desteklenen Formatlar
Ürünün teknik kabiliyetine göre dışa aktarım formatları:
- CSV,
- XLSX,
- PDF,
- JSON,
- XML,
- diğer desteklenen formatlar
olabilir.
Her veri türü her formatta sunulmayabilir.
24.6. Veri Bütünlüğü
Müşteri:
- dışa aktarılan veriyi kontrol eder,
- dosyaları kendi sisteminde güvenli saklar,
- gerekli şifreleme ve erişim tedbirlerini alır,
- sürenin bitiminden önce eksikliği bildirir.
24.7. İmha Belgesi
Kurumsal Paket veya ayrı Sipariş Formunda kararlaştırılmışsa Marfin, silme işlemi sonrasında makul bir silme veya imha teyidi sunabilir.
25. Yedeklerde Bulunan Veriler
25.1. Yedekleme Döngüsü
Marfin, üretim ortamında günlük otomatik yedekleme ve yedeklerin otuz (30) gün saklanması yönünde bir yapı kurmayı hedefler.
Bu düzen teknik olarak doğrulanıncaya kadar kesin taahhüt sayılmaz.
25.2. Aktif Sistemden Silme
Bir veri aktif sistemden silindiğinde, yedeklerde kalan kopya:
- normal yedek döngüsü içinde üzerine yazılır veya silinir,
- yalnızca felaket kurtarma ve bütünlük amacıyla tutulur,
- olağan iş süreçlerinde aktif olarak kullanılmaz.
25.3. Geri Yükleme Sonrası Silme
Silinmiş veri içeren eski bir yedek geri yüklenirse Marfin:
- daha önce uygulanmış silme talimatlarını yeniden uygulamak,
- veriyi aktif kullanıma almamak
için makul süreçler oluşturur.
25.4. Tekil Kayıt Geri Getirme Garantisi
Yedekleme sistemi, her silinen tekil kayıt veya belgenin geri getirileceği garantisini vermez.
26. Saklama Yükümlülükleri ve Hukuki İstisnalar
26.1. Kanuni Saklama
Marfin, veri işleyen faaliyeti sona erse dahi kanunen saklamak zorunda olduğu sınırlı kayıtları:
- yalnızca ilgili hukuki amaçla,
- erişimi kısıtlayarak,
- gerekli süre boyunca
saklayabilir.
26.2. Veri Sorumlusu Kayıtları
Marfin’in kendi veri sorumluluğundaki:
- sözleşme ve kabul kayıtları,
- fatura ve tahsilat kayıtları,
- güvenlik ve dolandırıcılık kayıtları,
- hukuki uyuşmazlık belgeleri
DPA kapsamındaki Müşteri talimatından bağımsız yasal saklama sürelerine tabi olabilir.
26.3. Saklama Gerekçesinin Bildirilmesi
Müşterinin talebi üzerine ve hukuken mümkün olduğu ölçüde Marfin:
- saklanan veri kategorisini,
- genel hukuki gerekçeyi,
- uygulanabilir süre yaklaşımını
açıklar.
26.4. Saklama Süresi Sonu
İstisnai saklama süresi sona erdiğinde veri güvenli şekilde silinir, yok edilir veya anonimleştirilir.
27. Hizmet Sürekliliği ve Veri Kurtarma
27.1. Genel Yaklaşım
Marfin, Platformun niteliği ve risk seviyesine uygun:
- yedekleme,
- geri yükleme,
- olay müdahalesi,
- hizmet bağımlılıklarının izlenmesi,
- acil iletişim
süreçleri oluşturmayı hedefler.
27.2. Müşterinin İş Sürekliliği
Müşteri:
- kritik verilerini düzenli dışa aktarır,
- yasal saklama ve ibraz kopyalarını kendi kontrolünde tutar,
- yalnızca Platformu tek yasal arşiv olarak kullanmadan önce özelliğin uygunluğunu değerlendirir.
27.3. RPO ve RTO
Kesin kurtarma noktası ve kurtarma süresi hedefleri teknik olarak doğrulanmadan taahhüt edilmez.
Kurumsal Pakete özgü değerler varsa Sipariş Formunda düzenlenir.
28. Gizli Bilgiler
28.1. Gizlilik
Her Taraf, diğer Tarafa ait:
- kişisel verileri,
- güvenlik bilgilerini,
- ticari sırları,
- teknik dokümantasyonu,
- fiyat ve sözleşme koşullarını
gizli tutar.
28.2. İzin Verilen Açıklama
Gizli Bilgi yalnızca:
- sözleşmenin ifası için bilmesi gereken personele,
- gizlilik yükümlülüğü altındaki danışman ve Alt İşleyenlere,
- hukuken yetkili makamlara
açıklanabilir.
28.3. Devam Süresi
Kişisel veri ve ticari sır niteliğindeki bilgiler bakımından gizlilik yükümlülüğü, niteliği ve mevzuat gerektirdiği süre boyunca devam eder.
29. Sorumluluk ve Tazmin
29.1. Kendi Yükümlülük Alanı
Her Taraf:
- kendi mevzuata aykırı eyleminden,
- kendi sözleşme ihlalinden,
- kendi personeli ve sorumluluk alanındaki tedarikçilerden
doğan sonuçlardan kusuru ve hukuki sorumluluğu ölçüsünde sorumludur.
29.2. Müşterinin Sorumluluğu
Müşteri özellikle:
- hukuki sebep bulunmaması,
- aydınlatma yükümlülüğünün yerine getirilmemesi,
- hukuka aykırı veri toplama veya yükleme,
- yetkisiz kullanıcı erişimi,
- hukuka aykırı talimat,
- ilgili kişi talebinin süresinde yanıtlanmaması,
- özel nitelikli verinin uygunsuz işlenmesi
nedeniyle doğan sonuçlardan sorumludur.
29.3. Marfin’in Sorumluluğu
Marfin özellikle:
- Müşteri talimatı dışında işleme,
- gerekli gizlilik yükümlülüğünün uygulanmaması,
- kendi kontrol alanındaki makul güvenlik tedbirlerinin ihlali,
- Alt İşleyen yönetimindeki sözleşmesel yükümlülüklerin ihlali,
- ihlal bildirim yükümlülüğünün kusurlu şekilde yerine getirilmemesi
nedeniyle doğan sonuçlardan kusuru ölçüsünde sorumludur.
29.4. İdari Para Cezaları
Bir idari para cezası veya yaptırımın Taraflardan birinin ihlalinden kaynaklanması hâlinde, nihai mali sorumluluk:
- kararın muhatabı,
- kusur,
- illiyet bağı,
- ihlalin niteliği,
- uygulanabilir emredici hükümler
dikkate alınarak belirlenir.
29.5. Savunma İş Birliği
Bir talep veya soruşturma her iki Tarafı etkiliyorsa Taraflar:
- zamanında bilgi paylaşır,
- delilleri korur,
- bir diğerinin savunmasını gereksiz yere zayıflatmaz,
- gizlilik ve hukuk kurallarına uyar.
29.6. Ana Sözleşmedeki Sınırlar
Emredici mevzuatın izin verdiği ölçüde, Ana Sözleşmedeki sorumluluk sınırlamaları bu DPA’ya da uygulanır.
Kasıt, ağır kusur veya kanunen sınırlandırılamayan sorumluluklar saklıdır.
30. Sözleşmenin Süresi ve Sona Ermesi
30.1. Başlangıç
Bu DPA:
- Ana Sözleşmeyle birlikte,
- Müşterinin elektronik kabulüyle,
- yazılı imzayla,
- veri işleme faaliyetinin fiilen başlamasıyla
yürürlüğe girer.
30.2. Süre
DPA, Marfin Müşteri adına kişisel veri işlediği sürece yürürlükte kalır.
30.3. Sona Erme Sonrası Devam Eden Hükümler
Aşağıdaki hükümler niteliği gereği sona ermeden sonra da devam eder:
- gizlilik,
- veri iadesi ve silme,
- yasal saklama,
- olay ve ihlal iş birliği,
- denetim kayıtları,
- sorumluluk,
- uyuşmazlık çözümü.
30.4. Esaslı İhlal
Taraflardan biri DPA’yı esaslı şekilde ihlal eder ve yazılı bildirimden sonra verilen makul sürede ihlali gidermezse diğer Taraf:
- etkilenen işleme faaliyetini durdurabilir,
- Ana Sözleşmedeki haklarını kullanabilir,
- sözleşmeyi haklı nedenle feshedebilir.
Acil ve giderilemez güvenlik veya hukuka aykırılık hâlinde derhâl işlem yapılabilir.
31. Belge Önceliği ve Çelişki
Aynı konuya ilişkin belgeler arasında çelişki olması hâlinde aşağıdaki sıra uygulanır:
- emredici mevzuat,
- somut yurt dışı aktarım için imzalanan zorunlu Standart Sözleşme,
- Müşteriye özel imzalı Sipariş Formundaki veri koruma hükümleri,
- bu DPA,
- Ana Sözleşme,
- Alt İşleyenler Listesi ve Yurt Dışına Veri Aktarım Eki,
- diğer politikalar ve Dokümantasyon.
Özel hüküm, aynı seviyedeki genel hükme göre önceliklidir.
32. Değişiklikler
32.1. Mevzuat ve Hizmet Değişikliği
Marfin, aşağıdaki nedenlerle DPA’yı güncelleyebilir:
- mevzuat veya Kurul uygulaması değişikliği,
- ürün mimarisi,
- yeni özellik veya entegrasyon,
- güvenlik gereksinimi,
- Alt İşleyen veya aktarım mekanizması değişikliği.
32.2. Esaslı Değişiklik Bildirimi
Müşterinin hak ve yükümlülüklerini esaslı etkileyen değişiklikler makul süre önce:
- kayıtlı e-posta,
- hesap içi bildirim,
- Platform duyurusu
ile bildirilir.
32.3. Mevcut Korumanın Azaltılmaması
Marfin, geçerli sebep olmaksızın Müşteri Verisine uygulanan genel veri koruma seviyesini esaslı biçimde düşürmemeyi hedefler.
32.4. Müşteriye Özel Değişiklik
Müşteriye özel değişiklik ancak Tarafların yazılı veya güvenli elektronik kabulüyle geçerli olur.
33. Bildirimler ve İrtibat Noktaları
33.1. Marfin İrtibatı
Genel / KVKK: info@marfin.com.tr
Güvenlik olayı e-postası: [GÜVENLİK İLETİŞİM E-POSTASI BİLGİSİ TAMAMLANACAK]
KEP: [KEP ADRESİ VARSA EKLENECEKTİR]
33.2. Müşteri İrtibatı
Müşterinin:
- veri koruma irtibat kişisi,
- güvenlik olayı irtibat kişisi,
- hukuki bildirim e-postası,
- KEP adresi
Ek-6 veya Müşteri hesabında belirtilir.
33.3. İrtibat Bilgisinin Güncelliği
Her Taraf kendi iletişim bilgilerinin güncel tutulmasından sorumludur.
Müşteri iletişim bilgisini güncellemezse kayıtlı adrese yapılan bildirim geçerli kabul edilebilir.
33.4. Acil Olay İletişimi
Kişisel Veri İhlali veya kritik güvenlik olayında Taraflar normal destek kanalından farklı, öncelikli iletişim bilgileri kullanabilir.
34. Uygulanacak Hukuk ve Yetki
34.1. Uygulanacak Hukuk
Bu DPA Türk hukukuna tabidir.
34.2. Yetki
Tarafların tacir veya yetki sözleşmesi yapmaya elverişli kişiler olduğu ölçüde, DPA’dan doğan uyuşmazlıklarda Gebze Mahkemeleri ve İcra Daireleri yetkilidir.
Emredici görev ve yetki hükümleri saklıdır.
34.3. İdari Başvuru ve Denetim
İlgili kişilerin Kurula başvuru ve şikâyet hakları ile yetkili kurumların denetim yetkileri bu yetki şartından etkilenmez.
35. Yürürlük ve Elektronik Kabul
35.1. Kabul
DPA:
- ayrı bir onay kutusu,
- Ana Sözleşmeye bağlı elektronik kabul,
- güvenli elektronik imza,
- ıslak imza,
- karşılıklı imzalı Sipariş Formu
yoluyla kabul edilebilir.
35.2. Kayıtlar
Marfin, kabulün ispatı amacıyla:
- sözleşme sürümü,
- kabul tarihi ve saati,
- Müşteri ve kullanıcı kimliği,
- IP ve oturum bilgisi,
- onay kaydı
tutabilir.
35.3. Kopya
Müşteri, kabul ettiği DPA sürümünü indirebilir veya kendisine iletilmesini talep edebilir.
36. Ekler
EK-1 — VERİ İŞLEME AYRINTILARI
A. İşlemenin Konusu
Marfin’in Müşteriye sunduğu B2B finans ve ön muhasebe Platformu kapsamında, Müşteri Verisi içinde yer alan kişisel verilerin Müşteri adına işlenmesi.
B. İşlemenin Süresi
İşleme:
- Ana Sözleşmenin ve ilgili Hizmetin yürürlükte olduğu süre boyunca,
- sözleşme sonrasında 60 günlük veri erişim ve dışa aktarım süresince,
- yedeklerde normal 30 günlük döngü boyunca,
- kanunen saklanması zorunlu sınırlı kayıtlar bakımından ilgili yasal süre boyunca
devam eder.
C. İşlemenin Niteliği
İşleme faaliyetleri, kullanılan özelliklere göre:
- toplama,
- kaydetme,
- düzenleme,
- yapılandırma,
- barındırma,
- görüntüleme,
- sorgulama,
- eşleştirme,
- raporlama,
- analiz,
- sınıflandırma,
- içe ve dışa aktarma,
- üçüncü taraf entegrasyonuna iletme,
- yedekleme,
- geri yükleme,
- destek amacıyla erişme,
- kısıtlama,
- silme,
- anonimleştirme
işlemlerini içerebilir.
D. İşleme Amaçları
- cari hesap ve müşteri/tedarikçi yönetimi,
- gelir ve gider takibi,
- kasa ve banka yönetimi,
- finansal raporlama,
- nakit akış ve kârlılık analizi,
- stok, teklif ve sipariş yönetimi,
- fatura ve e-dönüşüm işlemleri,
- banka ve açık bankacılık entegrasyonu,
- pazaryeri entegrasyonu,
- belge işleme ve OCR,
- AI destekli analiz ve chatbot,
- kullanıcı ve rol yönetimi,
- API ve webhook işlemleri,
- destek ve hata giderme,
- bilgi güvenliği,
- yedekleme ve iş sürekliliği,
- veri dışa aktarımı ve silme.
E. İlgili Kişi Grupları
Müşterinin iş modeline ve Platforma aktardığı verilere göre:
- Müşteri çalışanları,
- iş başvurusu sahipleri,
- şirket ortakları ve yöneticileri,
- Yetkili Kullanıcılar,
- müşteriler ve potansiyel müşteriler,
- tedarikçiler ve iş ortakları,
- cari hesap yetkilileri,
- fatura alıcı ve göndericileri,
- serbest meslek erbapları,
- mali müşavirler ve danışmanlar,
- teslimat veya iletişim kişileri,
- Müşterinin hizmet sunduğu diğer gerçek kişiler.
F. Kişisel Veri Kategorileri
Kullanılan özelliklere göre:
F.1. Kimlik
- ad ve soyadı,
- unvan ve temsil bilgisi,
- T.C. kimlik numarası veya yabancı kimlik bilgisi,
- vergi numarası gerçek kişiyle ilişkiliyse ilgili bilgi,
- imza ve yetki bilgisi.
F.2. İletişim
- telefon,
- e-posta,
- adres,
- KEP,
- teslimat ve fatura iletişim bilgileri.
F.3. Müşteri İşlem
- cari hesap hareketleri,
- teklif, sipariş ve sözleşme bilgileri,
- destek ve işlem geçmişi,
- kullanıcı rolleri ve işlem kayıtları.
F.4. Finans
- gelir ve gider,
- borç ve alacak,
- banka hareketi,
- ödeme ve tahsilat,
- fatura ve vergi alanları,
- maliyet ve kârlılık verileri.
F.5. Mesleki ve Şirket Bilgileri
- görev ve unvan,
- çalışılan şirket,
- departman,
- temsil veya yetki,
- ticari faaliyet bilgileri.
F.6. İşlem Güvenliği
- IP,
- oturum,
- cihaz,
- API çağrısı,
- kullanıcı işlemi,
- erişim ve değişiklik logları.
F.7. Belge ve İçerik
- fatura,
- makbuz,
- dekont,
- sözleşme,
- teklif,
- sipariş belgesi,
- serbest metin notları,
- yüklenen dosyalar.
F.8. AI ve OCR
- istemler,
- seçilen kayıtlar,
- belge görüntüsü,
- çıkarılan metin,
- analiz, öneri ve sınıflandırmalar,
- kullanıcı geri bildirimi.
F.9. Özel Nitelikli Kişisel Veri
Standart kullanımda işlenmesi amaçlanmaz.
İşlenecekse kategoriler aşağıda açıkça işaretlenmelidir:
- Sağlık
- Biyometrik
- Genetik
- Ceza mahkûmiyeti ve güvenlik tedbirleri
- Sendika üyeliği
- Din, mezhep veya inanç
- Siyasi düşünce
- Dernek veya vakıf üyeliği
- Cinsel hayat
- Diğer:
[BİLGİ TAMAMLANACAK]
G. İşleme Sıklığı ve Hacmi
- İşleme sıklığı: Hizmet kullanımı boyunca sürekli veya kullanıcı talebine bağlı.
- Yaklaşık ilgili kişi sayısı:
[BİLGİ TAMAMLANACAK / PAKET VE MÜŞTERİYE GÖRE DEĞİŞİR] - Yaklaşık kayıt hacmi:
[BİLGİ TAMAMLANACAK / PAKET VE MÜŞTERİYE GÖRE DEĞİŞİR] - Coğrafi kapsam: Türkiye ve kullanılan Alt İşleyenlerin bulunduğu bölgeler.
H. Alt İşleyen Kategorileri
- bulut ve veritabanı,
- CDN ve güvenlik,
- e-posta,
- ödeme,
- AI ve OCR,
- analitik ve hata izleme,
- e-dönüşüm,
- banka/açık bankacılık,
- pazaryeri,
- destek ve iletişim.
I. Veri İadesi ve Silme
- Aktif abonelik süresince dışa aktarım,
- sözleşme sonrasında 60 gün erişim,
- süre sonunda aktif sistemden silme/anonimleştirme,
- yedeklerde 30 günlük normal döngü,
- yasal zorunlulukların saklı tutulması.
EK-2 — TEKNİK VE İDARİ TEDBİRLER
Bu Ek, üretim mimarisiyle doğrulanmalı; uygulanmayan kontroller kesin taahhüt gibi yayımlanmamalıdır.
1. Yönetişim ve Organizasyon
Marfin, uygulanabilir olduğu ölçüde:
- veri koruma ve bilgi güvenliği sorumluluklarını tanımlar,
- politika ve prosedürleri sürümlendirir,
- kritik görevlerde yetki ayrımı uygular,
- risk değerlendirmesi yapar,
- güvenlik olaylarını kayıt altına alır,
- tedarikçi riskini değerlendirir.
Üretim durumu: [BİLGİ TAMAMLANACAK]
2. Personel Güvenliği
- Gizlilik yükümlülüğü,
- görev bazlı erişim,
- işe giriş ve ayrılış erişim süreçleri,
- güvenlik farkındalığı,
- yetki değişikliklerinin takibi.
Üretim durumu: [BİLGİ TAMAMLANACAK]
3. Kimlik ve Erişim Yönetimi
Planlanan veya uygulanabilir kontroller:
- e-posta doğrulaması,
- rol bazlı erişim,
- en az ayrıcalık,
- güçlü parola gereksinimleri,
- iki aşamalı doğrulama,
- oturum süresi ve sonlandırma,
- ayrıcalıklı hesapların sınırlandırılması,
- erişimlerin periyodik gözden geçirilmesi.
2FA üretim durumu: [BİLGİ TAMAMLANACAK]
4. Ağ ve İletişim Güvenliği
- Güvenli veri iletimi,
- CDN ve saldırı azaltma hizmetleri,
- güvenlik duvarı ve ağ kuralları,
- yönetim arayüzlerinin sınırlandırılması,
- şüpheli trafik izleme.
Kullanılan doğrulanmış protokol ve sürümler: [BİLGİ TAMAMLANACAK]
5. Uygulama Güvenliği
- güvenli geliştirme ilkeleri,
- kod gözden geçirme,
- bağımlılık ve paket yönetimi,
- girdi doğrulama,
- yetkilendirme kontrolleri,
- hata mesajlarında veri sızıntısını önleme,
- gizli anahtarların kaynak koddan ayrılması,
- test ve üretim ortamlarının ayrılması.
Üretim durumu: [BİLGİ TAMAMLANACAK]
6. Zafiyet ve Yama Yönetimi
- kritik güncellemelerin izlenmesi,
- bağımlılık zafiyetlerinin değerlendirilmesi,
- risk bazlı yama önceliği,
- güvenlik bildirim kanalı,
- gerekli hâllerde kontrollü güvenlik testi.
Tarama ve test periyodu: [BİLGİ TAMAMLANACAK]
7. Loglama ve İzleme
- giriş ve oturum olayları,
- rol ve yetki değişiklikleri,
- kritik veri işlemleri,
- API ve entegrasyon hataları,
- güvenlik olayları,
- ayrıcalıklı destek erişimleri.
Log saklama süreleri: [BİLGİ TAMAMLANACAK]
8. Veri Güvenliği
- veri minimizasyonu,
- erişim sınırlandırması,
- aktarım güvenliği,
- mümkün olduğunda maskeleme,
- test ortamında gerçek verinin sınırlandırılması,
- dışa aktarım yetkilerinin yönetimi.
Depolama şifrelemesi ve anahtar yönetimi: [BİLGİ TAMAMLANACAK]
9. Yedekleme ve Geri Yükleme
Planlanan yapı:
- günlük otomatik yedek,
- 30 günlük saklama,
- erişim sınırlandırması,
- geri yükleme prosedürü,
- periyodik geri yükleme testi.
Teknik doğrulama: [BİLGİ TAMAMLANACAK]
10. Olay Müdahalesi
- olay bildirim kanalı,
- sınıflandırma,
- izolasyon,
- delil ve log koruma,
- etki değerlendirmesi,
- Müşteri bildirimi,
- kök neden analizi,
- düzeltici faaliyet.
Azami ilk bildirim hedefi: [BİLGİ TAMAMLANACAK]
11. İş Sürekliliği
- kritik sistem ve bağımlılıkların belirlenmesi,
- hizmet kesintisi iletişimi,
- yedek altyapı değerlendirmesi,
- kurtarma planı,
- periyodik test.
RPO: [BİLGİ TAMAMLANACAK]
RTO: [BİLGİ TAMAMLANACAK]
12. Tedarikçi Güvenliği
- Alt İşleyen değerlendirmesi,
- sözleşmesel veri koruma hükümleri,
- yurt dışı aktarım mekanizması,
- olay bildirimi,
- veri silme ve iade hükümleri,
- önemli değişikliklerin izlenmesi.
13. Veri Silme ve İmha
- aktif sistemden silme,
- rol ve yetkinin kaldırılması,
- yedek döngüsü,
- dışa aktarım sonrası güvenli imha,
- gerekli olduğunda anonimleştirme.
14. Fiziksel Güvenlik
Marfin’in doğrudan işlettiği ofis veya altyapı bakımından:
- çalışma alanı erişim kontrolü,
- cihaz güvenliği,
- evrak ve ekran güvenliği
uygulanabilir.
Bulut veri merkezlerinin fiziksel güvenliği ilgili Alt İşleyen tarafından sağlanır.
Üretim ve ofis durumu: [BİLGİ TAMAMLANACAK]
EK-3 — ALT İŞLEYENLER VE GENEL YETKİ
Güncel liste ayrı ve sürümlü belge olarak tutulur:
Alt İşleyenler Listesi
Başlangıçta değerlendirilmesi beklenen sağlayıcı kategorileri:
| Sağlayıcı / kategori | Hizmet | Durum |
|---|---|---|
| Supabase veya güncel veritabanı sağlayıcısı | Veritabanı, kimlik doğrulama, depolama | Üretim öncesi sözleşme ve bölge doğrulanacak |
| Cloudflare veya güncel CDN/güvenlik sağlayıcısı | CDN, DNS, güvenlik, trafik yönetimi | Ürün ve veri kapsamı doğrulanacak |
| İyzico veya güncel ödeme sağlayıcısı | Abonelik ve ödeme işlemleri | Kesin sağlayıcı ve rol doğrulanacak |
| Zoho veya güncel e-posta sağlayıcısı | E-posta ve bildirim | Kesin sağlayıcı doğrulanacak |
| OpenAI | AI özellikleri | API planı, eğitim ve saklama ayarları doğrulanacak |
| Anthropic | AI özellikleri | API planı, eğitim ve saklama ayarları doğrulanacak |
[ANALİTİK SAĞLAYICI] | Ürün analitiği | Belirlenecek |
[HATA İZLEME SAĞLAYICISI] | Hata ve performans izleme | Belirlenecek |
[E-DÖNÜŞÜM SAĞLAYICISI] | e-Fatura ve bağlantılı işlemler | Belirlenecek |
[BANKA/AÇIK BANKACILIK SAĞLAYICISI] | Finansal veri bağlantısı | Belirlenecek |
[PAZARYERİ SAĞLAYICILARI] | Sipariş ve satış entegrasyonu | Belirlenecek |
Her sağlayıcı için:
- sözleşme tarafı,
- veri işleme rolü,
- veri kategorileri,
- veri merkezi bölgesi,
- alt işleyenleri,
- saklama süresi,
- silme prosedürü,
- yurt dışı aktarım mekanizması
doğrulanmalıdır.
EK-4 — YURT DIŞINA AKTARIM KONTROL FORMU
Her yurt dışı aktarım için aşağıdaki alanlar doldurulur:
| Alan | Bilgi |
|---|---|
| Veri ihracatçısı | [BİLGİ TAMAMLANACAK] |
| Veri ithalatçısı | [BİLGİ TAMAMLANACAK] |
| Taraf rolleri | [SORUMLUDAN İŞLEYENE / İŞLEYENDEN ALT İŞLEYENE / DİĞER] |
| Ülke veya bölge | [BİLGİ TAMAMLANACAK] |
| Veri kategorileri | [BİLGİ TAMAMLANACAK] |
| İlgili kişi grupları | [BİLGİ TAMAMLANACAK] |
| Aktarım amacı | [BİLGİ TAMAMLANACAK] |
| Aktarım sıklığı | [BİLGİ TAMAMLANACAK] |
| Saklama süresi | [BİLGİ TAMAMLANACAK] |
| Aktarım mekanizması | [YETERLİLİK / STANDART SÖZLEŞME / BŞK / TAAHHÜTNAME / ARIZİ / DİĞER] |
| Standart sözleşme modülü | [BİLGİ TAMAMLANACAK] |
| İmza tarihi | [BİLGİ TAMAMLANACAK] |
| Kurum bildirim tarihi | [BİLGİ TAMAMLANACAK] |
| Teknik ek tedbirler | [BİLGİ TAMAMLANACAK] |
| Alt aktarım bulunuyor mu? | [EVET / HAYIR] |
| Son değerlendirme tarihi | [BİLGİ TAMAMLANACAK] |
| Sorumlu kişi | [BİLGİ TAMAMLANACAK] |
EK-5 — KİŞİSEL VERİ İHLALİ BİLDİRİM İÇERİĞİ
Marfin’in Müşteriye yapacağı olay bildirimi, mevcut olduğu ölçüde aşağıdaki bilgileri içerir:
1. Olay Kimliği
- Olay referansı:
- İlk tespit tarihi ve saati:
- İlk bildirim tarihi ve saati:
- Olay durumu:
- İrtibat kişisi:
2. Olayın Niteliği
- Gizlilik ihlali:
- Bütünlük ihlali:
- Erişilebilirlik ihlali:
- Yetkisiz erişim:
- Yanlış alıcıya gönderim:
- Kayıp veya silinme:
- Zararlı yazılım:
- Diğer:
3. Etkilenen Sistemler
- Platform modülü:
- Entegrasyon:
- Alt İşleyen:
- Ortam:
- Etkilenen hesaplar:
4. Veri ve İlgili Kişiler
- Veri kategorileri:
- Özel nitelikli veri:
- Yaklaşık kayıt sayısı:
- Yaklaşık ilgili kişi sayısı:
- İlgili kişi grupları:
- Verinin okunabilir olup olmadığı:
5. Muhtemel Etki
- Kimlik hırsızlığı:
- Finansal zarar:
- Gizlilik kaybı:
- Ayrımcılık:
- Dolandırıcılık:
- Hizmet kesintisi:
- Diğer:
6. Alınan Önlemler
- İzolasyon:
- Erişim iptali:
- Parola/token yenileme:
- Yama veya yapılandırma:
- Veri kurtarma:
- İzleme:
- İlgili Alt İşleyenle işlem:
7. Sonraki Adımlar
- Devam eden inceleme:
- Beklenen bir sonraki güncelleme:
- Müşteriden talep edilen işlem:
- Kök neden analizi:
- Düzeltici faaliyet:
EK-6 — İRTİBAT VE TALİMAT MATRİSİ
A. Müşteri Bilgileri
| Alan | Bilgi |
|---|---|
| Ticari unvan | [BİLGİ TAMAMLANACAK] |
| MERSİS / ticaret sicili | [BİLGİ TAMAMLANACAK] |
| Vergi kimlik numarası | [BİLGİ TAMAMLANACAK] |
| Adres | [BİLGİ TAMAMLANACAK] |
| KEP | [BİLGİ TAMAMLANACAK] |
| Veri koruma irtibatı | [BİLGİ TAMAMLANACAK] |
| Güvenlik olayı irtibatı | [BİLGİ TAMAMLANACAK] |
| Hukuki bildirim e-postası | [BİLGİ TAMAMLANACAK] |
B. Marfin Bilgileri
| Alan | Bilgi |
|---|---|
| Ticari unvan | 1453 İstanbul Gıda San. ve Tic. Ltd. Şti. |
| Adres | Mevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A, Gebze/Kocaeli |
| Genel/KVKK e-posta | info@marfin.com.tr |
| Güvenlik e-postası | [BİLGİ TAMAMLANACAK] |
| KEP | [KEP ADRESİ VARSA EKLENECEKTİR] |
C. Talimat Vermeye Yetkili Müşteri Rolleri
- Hesap sahibi
- Şirket yöneticisi
- Veri koruma irtibat kişisi
- Bilgi güvenliği sorumlusu
- Yetkilendirilmiş mali müşavir
- Diğer:
[BİLGİ TAMAMLANACAK]
D. Talimat Kanalları
Geçerli kabul edilen kanallar:
- Platform içi yönetici işlemi
- Kayıtlı e-posta adresi
- KEP
- İmzalı yazı
- Destek sistemi üzerinden doğrulanmış talep
- API veya teknik yapılandırma
- Diğer:
[BİLGİ TAMAMLANACAK]
EK-7 — YAYIN ÖNCESİ KONTROL LİSTESİ
Bu Ek, yayımlanan nihai müşteri sürümünden kaldırılabilir veya iç kontrol belgesi olarak tutulabilir.
1. Hukuki Yapı
- DPA güncel KVKK ve ikincil düzenlemeler bakımından hukukçu tarafından incelendi.
- Veri sorumlusu/veri işleyen rol ayrımı gerçek veri akışlarıyla doğrulandı.
- Standart Sözleşme gerektiren tüm yurt dışı aktarımlar belirlendi.
- Standart Sözleşmeler imzalandı ve gerekli bildirimler tamamlandı.
- Müşterinin başka veri sorumlusu adına hareket ettiği senaryo değerlendirildi.
- Sorumluluk sınırları Ana Sözleşmeyle uyumlu hâle getirildi.
- Gebze yetki şartının müşteri türleri bakımından uygulanabilirliği kontrol edildi.
2. Teknik Mimari
- Supabase üretim bölgesi doğrulandı.
- Veri depolama ve kimlik doğrulama ürünleri belirlendi.
- Cloudflare üzerinden geçen veri ve loglar belirlendi.
- Yedeklerin günlük alındığı ve 30 gün tutulduğu test edildi.
- 60 günlük veri erişim ve dışa aktarım akışı test edildi.
- Silme işleminin aktif sistem ve yedeklerdeki davranışı doğrulandı.
- Log türleri ve saklama süreleri belirlendi.
- 2FA ve hesap güvenliği özelliklerinin gerçek durumu doğrulandı.
- Şifreleme ve anahtar yönetimi gerçek mimariye göre yazıldı.
- RPO/RTO değerleri ancak test sonrası eklendi.
3. AI ve OCR
- Üretimde kullanılacak AI sağlayıcıları kesinleştirildi.
- API/kurumsal planlarda genel model eğitimi ayarı doğrulandı.
- Sağlayıcı saklama süreleri doğrulandı.
- Kötüye kullanım incelemesi ve insan erişimi ihtimali değerlendirildi.
- AI’a giden gerçek alanlar veri akış matrisine işlendi.
- AI özelliğinin varsayılan açık/kapalı ayarı belirlendi.
- Özel nitelikli veri engelleme veya uyarı mekanizması değerlendirildi.
- OCR belge saklama ve silme süresi belirlendi.
4. Alt İşleyenler
- Supabase sözleşmesi ve alt işleyenleri incelendi.
- Cloudflare ürün kapsamı ve sözleşmesi incelendi.
- İyzico veya güncel ödeme sağlayıcısı kesinleştirildi.
- Zoho veya güncel e-posta sağlayıcısı kesinleştirildi.
- Analitik aracı belirlendi.
- Hata izleme servisi belirlendi.
- E-dönüşüm entegratörü belirlendi.
- Banka/açık bankacılık sağlayıcısı belirlendi.
- Pazaryeri sağlayıcıları belirlendi.
- Alt İşleyenler Listesi gerçek verilerle dolduruldu.
- Yeni Alt İşleyen bildirim sistemi üründe veya operasyonel süreçte kuruldu.
5. Olay Yönetimi
- Güvenlik iletişim e-postası oluşturuldu.
- Müşteriye azami ilk ihlal bildirim hedefi teknik kapasiteyle belirlendi.
- Olay kayıt ve sınıflandırma sistemi kuruldu.
- Delil ve log koruma prosedürü oluşturuldu.
- Kurul ve ilgili kişi bildirimi için sorumluluk matrisi oluşturuldu.
- İhlal tatbikatı yapıldı.
6. İlgili Kişi Talepleri
- Müşteriden gelen veri arama/dışa aktarma talepleri test edildi.
- Düzeltme, silme ve erişim kısıtlama akışları test edildi.
- Marfin’e doğrudan gelen taleplerin Müşteriye yönlendirme süreci kuruldu.
- Üç iş günlük iç iletim hedefi operasyonel olarak doğrulandı.
- Standart dışı talepler için ücret ve teknik süreç belirlendi.
7. Belge Uyumu
- B2B Kullanıcı ve Abonelik Sözleşmesiyle süre ve tanımlar eşleştirildi.
- KVKK Aydınlatma Metniyle rol ayrımı eşleştirildi.
- Gizlilik Politikasıyla tutarlılık kontrol edildi.
- AI Veri İşleme Politikasıyla sağlayıcı ve saklama bilgileri eşleştirildi.
- Veri Saklama ve İmha Politikasıyla süreler eşleştirildi.
- Bilgi Güvenliği Politikasıyla Ek-2 kontrolleri eşleştirildi.
- Yurt Dışına Veri Aktarım Ekiyle mekanizmalar eşleştirildi.
- Sürüm, yürürlük tarihi ve değişiklik özeti eklendi.
REFERANS VERİLEN BAĞLANTILI BELGELER
- B2B Kullanıcı ve Abonelik Sözleşmesi
- KVKK Aydınlatma Metni
- Gizlilik Politikası
- Veri Saklama ve İmha Politikası
- İlgili Kişi Başvuru Formu
- Alt İşleyenler Listesi
- Yurt Dışına Veri Aktarım Eki
- AI Veri İşleme Politikası
- Bilgi Güvenliği Politikası
- İş Sürekliliği ve Felaket Kurtarma Politikası
- Güvenlik Olayı Müdahale Politikası
- Veri Kategorileri ve Saklama Süreleri
- Veri Akış Matrisi
BELGE SONU
Bu belge, Marfin Hukuki Dokümantasyon Projesi kapsamında hazırlanmıştır.
Yayın durumu: Taslak
Hukukçu onayı: Bekleniyor
Teknik doğrulama: Bekleniyor
Yürürlük tarihi: [BİLGİ TAMAMLANACAK]