Veri İşleyici Sözleşmesi
KVKK madde 12 ve GDPR madde 28 uyarınca, Veri Sorumlusu (Müşteri) ile Veri İşleyen (BaretApp) arasındaki yükümlülükleri düzenler.
Yürürlük tarihi: 29.04.2026 · Versiyon: 1.0
1. Taraflar ve Tanımlar
İşbu Sözleşme bir tarafta Voltran Yazılım ve Teknoloji Hizmetleri Limited Şirketi ("Veri İşleyen", "BaretApp"), diğer tarafta BaretApp hizmetlerini kurumsal olarak kullanan [MÜŞTERİ ŞİRKET ADI] ("Veri Sorumlusu", "Müşteri") arasında akdedilmiştir.
- Veri Sorumlusu: KVKK madde 3/1-ı uyarınca kişisel verilerin işleme amaç ve vasıtalarını belirleyen taraf — Müşteri.
- Veri İşleyen: KVKK madde 3/1-ğ uyarınca, Veri Sorumlusu adına kişisel verileri işleyen taraf — BaretApp.
- İlgili Kişi: Müşteri'nin çalışanları, müteahhitleri, ziyaretçileri ve BaretApp üzerinde verisi işlenen diğer gerçek kişiler.
2. İşlemenin Konusu, Süresi ve Amacı
- Konu: Müşteri'nin İSG yönetim süreçlerinde kullandığı kişisel verilerin (çalışan kimliği, iş izni kayıtları, kaza bildirimleri, eğitim kayıtları, belgeler, fotoğraflar) BaretApp platformu üzerinde işlenmesi.
- Amaç: İSG mevzuatı uyumluluğunun sağlanması, iş izni yönetimi, ramak kala/iş kazası raporlaması, denetim hazırlığı, belge takibi.
- Süre: Müşteri'nin BaretApp aboneliği aktif olduğu sürece + sözleşme feshi sonrası mevzuat saklama süreleri kapsamında. İSG kayıtları için en az 15 yıl.
3. Talimatlara Uyma
BaretApp, Müşteri'nin belgelenmiş yazılı talimatları doğrultusunda kişisel verileri işler. Yazılı talimatlar, işbu Sözleşme ve Müşteri'nin Platform üzerinden gerçekleştirdiği yapılandırmalar (rol atamaları, paylaşım kuralları, vb.) yoluyla iletilir. BaretApp, bu talimatlar dışında kişisel verileri kendi amaçları için kullanmaz.
Talimatın yasaya aykırı olduğu kanaatine varılması halinde BaretApp, Müşteri'yi derhal bilgilendirir ve ilgili işlemi gerçekleştirmeyebilir.
4. Güvenlik Tedbirleri
BaretApp, KVKK madde 12 ve KVK Kurulu rehberleri uyarınca aşağıdaki teknik ve idari tedbirleri uygular:
- Şifreleme: Veriler iletim esnasında TLS 1.2+ ile şifrelenir; sunucuda Google Cloud at-rest şifreleme kullanılır.
- Erişim kontrolü: Rol-bazlı erişim (RBAC) ile kullanıcılar yalnızca yetkili oldukları verilere erişir; Firestore Security Rules düzeyinde tenant izolasyonu sağlanır.
- Kimlik doğrulama: E-posta doğrulaması zorunludur; tek oturum (SSO) politikası ile aynı hesabın birden fazla cihazda eşzamanlı kullanımı engellenir.
- Audit log: Kritik tüm mutasyonlar (iş izni, ramak kala, belge yükleme) sunucu tarafında otomatik denetim kaydı altına alınır.
- Yedekleme: Günlük yedek; afet kurtarma planı; çoklu bölge yedeklilik (europe-west3 birincil).
- Personel: BaretApp personeli gizlilik yükümlülüğü altındadır; üretim ortamına erişim kısıtlıdır ve kayıt altına alınır.
- Düzenli denetim: Yıllık güvenlik denetimi; bağımsız sızma testi (penetration testing).
5. Alt Veri İşleyenler
BaretApp, hizmet sunumu için aşağıdaki alt veri işleyenleri kullanır. Müşteri bu alt veri işleyenlerin kullanımına genel onay verir; BaretApp yeni alt işleyen ekleyeceği zaman en az 30 gün öncesinden bilgilendirir; Müşteri itiraz hakkına sahiptir.
| Alt İşleyen | Hizmet | Konum |
|---|---|---|
| Google Cloud Platform / Firebase | Bulut altyapı, veritabanı, dosya depolama, kimlik doğrulama | europe-west3 (Frankfurt, AB) |
| [E-POSTA SAĞLAYICI] | Transactional e-posta gönderimi | [KONUM] |
| [ÖDEME SAĞLAYICI] | Kart ödeme işleme | [KONUM] |
6. İlgili Kişi Talepleri
İlgili Kişi'lerden gelen KVKK madde 11 talepleri (erişim, düzeltme, silme vb.) öncelikle Veri Sorumlusu Müşteri tarafından yanıtlanır. Müşteri'nin BaretApp'in teknik desteğine ihtiyaç duyması halinde, BaretApp 30 gün içinde gerekli teknik desteği sağlar (veri export, silme, kısıtlama gibi).
7. Veri İhlali Bildirimi
BaretApp, kontrolü altında bulunan kişisel verilere ilişkin bir veri ihlali tespit ederse:
- Olayı tespitinden itibaren en geç 24 saat içinde Müşteri'yi yazılı olarak bilgilendirir.
- İhlalin niteliği, etkilenen veri kategorisi ve İlgili Kişi sayısı, muhtemel sonuçları ve alınan/önerilen tedbirler hakkında bilgi verir.
- KVKK madde 12/5 kapsamında KVK Kurulu'na yapılacak 72 saatlik bildirim için Müşteri'ye gerekli desteği sağlar.
8. Denetim Hakkı
Müşteri, KVKK uyumluluğu kapsamında BaretApp'in işbu Sözleşme'ye uyumunu denetleme hakkına sahiptir. Denetim:
- Yılda en fazla 1 kez, yazılı bildirimle ve 30 gün önceden talep edilebilir.
- BaretApp'in işleyişini kesintiye uğratmayacak şekilde, mesai saatleri içinde gerçekleştirilir.
- BaretApp tarafından üretilen denetim raporları, sertifikasyon belgeleri (varsa ISO 27001, SOC 2) ile karşılanmaya çalışılır.
- Müşteri'nin bağımsız üçüncü taraf denetim talebi için makul ücret talep edilebilir.
9. Yurt Dışına Aktarım
Verilerin Firebase altyapısı sebebiyle europe-west3 (Frankfurt, AB) bölgesinde işlenmesini Müşteri açıkça kabul eder. AB Komisyonu yeterlilik kararının bulunduğu ülkeler dışına aktarım söz konusu değildir.
10. Sözleşme Sonu — Veri İade ve İmha
Sözleşmenin sona ermesi halinde BaretApp, Müşteri'nin tercihine göre:
- Tüm Müşteri verilerini Müşteri'ye 30 gün içinde Excel/JSON formatında iade eder, ya da
- Mevzuat saklama süreleri haricinde, tüm verileri silir/yok eder ve imha tutanağı düzenler.
Mevzuatta saklanması zorunlu olan veriler (İSG kayıtları için 15 yıl) BaretApp tarafından arşiv ortamında erişimsiz şekilde tutulmaya devam eder.
11. Sorumluluk
Tarafların KVKK ve sair mevzuat kapsamındaki yükümlülükleri kendilerine aittir. BaretApp'in işbu Sözleşme'ye aykırılığı sebebiyle Müşteri'ye uygulanan KVK Kurulu idari para cezası, BaretApp'in kusur oranı ölçüsünde ve Yazılım Kullanım Sözleşmesi'ndeki sorumluluk sınırı saklı kalmak üzere BaretApp tarafından karşılanır.
12. Diğer Hükümler
İşbu Sözleşme, Yazılım Kullanım Sözleşmesi'nin ayrılmaz bir parçasıdır. Yazılım Kullanım Sözleşmesi'nin uygulanacak hukuk, yetkili mahkeme, mücbir sebep gibi hükümleri burada da geçerlidir.