Veri İşleme Sözleşmesi (DPA)

• Veri Sorumlusu (Müşteri): RGS Yazılım altyapısı üzerinde işlettiği e-ticaret mağazasının ziyaretçi ve müşteri verilerinin işlenme amaç ve vasıtalarını belirleyen gerçek veya tüzel kişi.
• Veri İşleyen (RGS Yazılım): Müşteri'nin yazılı talimatları doğrultusunda, Müşteri adına Hizmet kapsamında kişisel veri işleyen taraf.
• Son Kullanıcı / İlgili Kişi: Müşteri'nin mağazasına ilişkin kişisel verileri işlenen ziyaretçi, üye veya alıcı.

Müşteri; Son Kullanıcı'ya yönelik aydınlatma, açık rıza alımı ve KVKK uyum yükümlülüklerinin münhasıran kendisine ait olduğunu kabul eder.

• Konu: Müşteri'nin Hizmet kapsamında işlediği Son Kullanıcı verilerinin, Veri Sorumlusu'nun talimatları doğrultusunda Veri İşleyen tarafından saklanması, sunucularda barındırılması, yedeklenmesi, görüntülenmesi, raporlanması, pazaryeri / kargo / ödeme entegrasyonları aracılığıyla iletilmesi ve teknik destek amacıyla erişilmesi.
• Süre: İşleme faaliyeti, Müşteri'nin Hizmet aboneliği boyunca devam eder. Sözleşme sona erdiğinde 11. madde hükümleri uygulanır.
• Niteliği ve Amacı: İşleme faaliyeti tamamen otomatik veya kısmen otomatik yöntemlerle gerçekleştirilir; amacı, Müşteri'nin e-ticaret operasyonunu sürdürebilmesidir.

• Kimlik: Ad, soyad, doğum tarihi, T.C. kimlik numarası (Müşteri tarafından talep edilirse).
• İletişim: E-posta, telefon, fatura/teslimat adresi.
• Hesap Bilgileri: Üyelik bilgileri, şifre özetleri, oturum verileri, üyelik tercih ve ayarları.
• Sipariş ve Ürün Bilgileri: Sepet içeriği, sipariş kalemleri, sipariş tutarı, sipariş geçmişi, iade/iptal kayıtları.
• Finans: Fatura bilgileri, ödeme yöntemi (ödeme kuruluşundan dönen referans bilgisi). Kart bilgileri RGS Yazılım'da saklanmaz; ödemeler PCI-DSS uyumlu üçüncü taraf ödeme kuruluşları üzerinden alınır.
• Teknik / Log: IP adresi, kullanıcı ajanı, oturum ve erişim log'ları.
• İletişim Geçmişi: Müşteri tarafından panel üzerinden gönderilen pazarlama / bilgilendirme iletilerine ilişkin kayıtlar.
• Pazarlama: Bülten aboneliği tercihleri ve segmentasyon bilgileri (Müşteri tarafından oluşturulan).

• Müşteri'nin mağazasına üye olan Son Kullanıcı'lar.
• Müşteri'nin mağazasından alışveriş yapan müşteriler.
• Mağaza ziyaretçileri.
• Müşteri'nin mağaza yönetimi için yetkilendirdiği panel kullanıcıları.

• Saklama ve barındırma (hosting).
• Düzenli ve felaket sonrası yedekleme.
• Erişim, görüntüleme ve raporlama (Müşteri panel kullanıcıları aracılığıyla).
• Pazaryeri (Trendyol, Hepsiburada, N11 vb.), kargo ve ödeme altyapılarına API üzerinden iletim — yalnızca Müşteri'nin açıkça etkinleştirdiği entegrasyonlar için.
• Loglama ve güvenlik izleme.
• Teknik destek talepleri kapsamında erişim — yalnızca Müşteri'nin yazılı/elektronik talebi üzerine ve gerektiği süreyle sınırlı.
• Mevzuata uygun saklama süresi sonunda silme veya anonimleştirme.

• Kişisel verileri yalnızca Müşteri'nin yazılı/belgelenebilir talimatları doğrultusunda işler. Mevzuat zorunluluğundan doğan farklı bir işleme gereği halinde Müşteri'yi bu durumdan (mevzuat aksini öngörmediği sürece) önceden bilgilendirir.
• KVKK'nın 12. maddesi kapsamında, kişisel verilerin hukuka aykırı işlenmesini ve verilere yetkisiz erişimi önlemek için uygun teknik ve idari tedbirleri alır (bkz. madde 8).
• Veri işleyen sıfatıyla erişim sağlayan tüm personelinin, süresiz ve yazılı bir gizlilik yükümlülüğü altında olmasını sağlar.
• Müşteri'nin KVKK'nın 11. maddesindeki ilgili kişi taleplerini karşılayabilmesi için makul ölçüde teknik destek sağlar.
• Müşteri'nin Veri Sorumlusu sıfatıyla yerine getirmesi gereken denetim, dokümantasyon ve veri ihlali bildirim yükümlülüklerinde işbirliği yapar.
• Sözleşme süresince ve sona ermesinden sonra kişisel verileri bu DPA'da öngörülen amaçlar dışında kullanmaz, satmaz, yayınlamaz veya üçüncü kişilere aktarmaz.

• Son Kullanıcı'lara yönelik KVKK aydınlatma metnini hazırlamak, ilan etmek ve gerektiğinde açık rıza almak.
• Hizmet kapsamında işlenen kişisel verilerin elde edilmesi ve RGS Yazılım'a aktarılmasının hukuki dayanağını sağlamak.
• Panel kullanıcı yetkilendirmesini, şifre güvenliğini ve paneline erişen personelinin gizlilik yükümlülüğünü temin etmek.
• Pazaryeri, kargo, ödeme ve diğer üçüncü taraf entegrasyonları yalnızca işin gereği ve hukuki dayanağı çerçevesinde etkinleştirmek.
• İlgili kişi taleplerini ve veri ihlali bildirimlerini KVKK süreleri içinde, kendisi sorumlu olarak Veri Sorumlusu sıfatıyla karşılamak.

RGS Yazılım, KVKK m.12 uyarınca aşağıdakiler dahil olmak üzere uygun güvenlik düzeyini temin etmek için makul tedbirleri alır:

• İletimde TLS 1.2+ şifreleme, hassas alanlarda saklamada şifreleme.
• Rol bazlı erişim kontrolü, en az yetki ilkesi, çok faktörlü kimlik doğrulama.
• Şifrelerin tek yönlü özet (hash) algoritmalarıyla saklanması.
• Güvenlik duvarı, DDoS koruması ve düzenli güvenlik taramaları.
• Sistem ve uygulama log kayıtlarının tutulması, kritik işlemlerin izlenmesi.
• 3 katmanlı güvenlik mimarisi ve 3 katmanlı yedekleme prosedürü.
• Düzenli güvenlik güncellemeleri ve yama yönetimi.
• Personele yönelik düzenli veri koruma farkındalık eğitimi.
• Felaket kurtarma ve iş sürekliliği planlaması.

Müşteri; Hizmet'in sunulabilmesi için RGS Yazılım'ın aşağıdaki türde alt veri işleyenleri kullanmasına genel yetki verir:

• Hosting / sunucu / veri merkezi sağlayıcıları.
• İçerik dağıtım ağı (CDN) ve güvenlik (DDoS / WAF) sağlayıcıları.
• E-posta gönderim altyapı sağlayıcıları.
• Yedekleme ve felaket kurtarma sağlayıcıları.
• Analitik ve performans izleme sağlayıcıları.
• Pazaryeri, kargo ve ödeme entegrasyonları (yalnızca Müşteri'nin etkinleştirdiği ölçüde).

Güncel alt veri işleyen listesi, Müşteri'nin yazılı talebi üzerine paylaşılır. RGS Yazılım, mevcut alt veri işleyen listesinde önemli değişiklik yapmadan en az otuz (30) gün öncesinden Müşteri'yi e-posta yoluyla bilgilendirir. Müşteri, makul bir gerekçeye dayanarak önerilen yeni alt veri işleyene bildirim süresi içinde itiraz edebilir; tarafların makul bir süre içinde uzlaşamaması halinde Müşteri Hizmet'i feshetme hakkına sahiptir.

RGS Yazılım; alt veri işleyenlerle, en az bu DPA'da öngörülenlerle eşdeğer veri koruma yükümlülükleri içeren yazılı sözleşmeler akdeder ve alt veri işleyenlerin yükümlülüklerini yerine getirmesinden Müşteri'ye karşı tam sorumludur.

Hizmet kapsamında, performans, güvenlik veya işlevsellik amacıyla bazı altyapı ve analitik hizmetler yurt dışında yerleşik sağlayıcılar üzerinden sağlanabilmektedir (örn. Google, Meta, Hotjar, Slack). Bu nitelikteki aktarımlar:

• KVKK'nın 9. maddesine uygun olarak, ilgili kişinin açık rızası alınmak suretiyle veya
• Kişisel Verileri Koruma Kurulu tarafından öngörülen güvenceler (taahhütname, standart sözleşme, BCR vb.) sağlanmak suretiyle gerçekleştirilir.

Yurt dışı aktarım için ilgili kişiden açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi Veri Sorumlusu Müşteri'nin sorumluluğundadır. RGS Yazılım, Müşteri'nin talebi halinde aktarım yapılan ülkeler ve uygulanan güvenceler hakkında bilgi sağlar.

• RGS Yazılım, Hizmet kapsamında işlediği kişisel verilere ilişkin bir ihlal ("Veri İhlali") tespit etmesi halinde, ihlali öğrendiği andan itibaren en geç 72 (yetmiş iki) saat içinde Müşteri'yi e-posta yoluyla bilgilendirir.
• Bildirim; ihlalin niteliği, etkilenen ilgili kişi ve veri kategorileri, olası sonuçları ve alınan / alınması planlanan tedbirleri (KVKK Kurulu'nun "Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Karar"ında belirtilen unsurları) makul ölçüde içerecek şekilde hazırlanır.
• Bilgilerin tamamına ilk bildirim anında ulaşılamaması halinde RGS Yazılım, ek bilgileri makul süreler içinde parçalı olarak Müşteri'ye iletir.
• Veri Sorumlusu sıfatıyla KVKK Kurumu'na ve etkilenen ilgili kişilere bildirim yapma yükümlülüğü Müşteri'ye aittir. RGS Yazılım, Müşteri'nin bu bildirimleri yapabilmesi için ihtiyaç duyduğu bilgi ve belgeleri makul ölçüde sağlar.

• RGS Yazılım; bu DPA'ya uyumunu kanıtlamak için Müşteri'nin yazılı talebi üzerine güvenlik politikaları, sertifikaları ve bağımsız denetim raporları (varsa) hakkında makul düzeyde bilgi sağlar.
• Müşteri, yılda bir defayı geçmemek ve makul süre öncesinden yazılı bildirimde bulunmak kaydıyla, RGS Yazılım'ın bu DPA'ya uyumunu denetleme veya kendi adına bağımsız bir denetçiye denetletme hakkına sahiptir. Denetim; RGS Yazılım'ın faaliyetlerine asgari müdahaleyle, mesai saatleri içinde ve gizlilik yükümlülüğü altında gerçekleştirilir.
• Yetkili veri koruma otoritesi tarafından zorunlu kılınan denetimler bu sınırlamalardan etkilenmez.

RGS Yazılım, kişisel verilere erişim yetkisi tanıdığı tüm personelinin işten ayrılmalarından sonra da geçerli olmak üzere yazılı, sürekli ve bağlayıcı bir gizlilik yükümlülüğüne tabi olmasını sağlar. Erişim, "bilmesi gereken" ve "en az yetki" ilkelerine göre tahsis edilir; yetkilerin periyodik gözden geçirmesi yapılır.

Bir Son Kullanıcı doğrudan RGS Yazılım'a başvurarak KVKK m.11 kapsamında talepte bulunursa, RGS Yazılım talebi makul süre içinde Müşteri'ye yönlendirir ve mevzuatın açıkça gerektirdiği durumlar dışında kendisi yanıt vermez. Müşteri'nin Son Kullanıcı taleplerini karşılayabilmesi için RGS Yazılım, panel araçları ve makul ölçüde teknik destek sağlar.

• Hizmet'in sona ermesinden sonra Müşteri, verilerini geri almak için otuz (30) günlük bir geçiş süresine sahiptir. Bu süre içinde RGS Yazılım, Müşteri'nin talebi üzerine verilerin yapılandırılmış, yaygın olarak kullanılan formatlarda dışa aktarımına makul ölçüde destek olur.
• Otuz günlük süre sonunda kişisel veriler — mevzuatın öngördüğü saklama süresi devam etmediği sürece — en geç 90 (doksan) gün içinde silinir, yok edilir veya anonim hale getirilir. Müşteri yazılı talep ederse imha tutanağı paylaşılır.
• Yedekleme sistemlerinde kalan kopyalar, yedekleme döngüsünün doğal akışı içinde mevzuatın öngördüğü süreler aşılmamak kaydıyla silinir.
• Mevzuat gereği saklanması zorunlu kişisel veriler, saklama süresi boyunca yalnızca bu yükümlülüğün gerektirdiği amaçlarla işlenmeye devam eder.

Tarafların bu DPA kapsamındaki sorumlulukları; varsa Kullanıcı Sözleşmesi'nde öngörülen sorumluluk sınırlamaları çerçevesinde geçerli olur. KVKK kapsamında Veri Sorumlusu sıfatından doğan idari para cezaları ve ilgili kişi tazminatları öncelikle Veri Sorumlusu Müşteri'nin sorumluluğundadır; RGS Yazılım, yalnızca Veri İşleyen sıfatından kaynaklanan açık ihlali oranında sorumlu tutulabilir.

Bu DPA, taraflar arasındaki Hizmet ilişkisi süresince yürürlüktedir. Mevzuat değişiklikleri veya yetkili otorite kararları gerektirdikçe RGS Yazılım, DPA'da güncelleme yapma hakkını saklı tutar; önemli değişiklikler Site üzerinden veya Müşteri'nin kayıtlı e-posta adresine en az otuz (30) gün öncesinden duyurulur.

Bu DPA ile Kullanıcı Sözleşmesi veya diğer ekler arasında kişisel verilerin işlenmesine ilişkin bir çelişki olması halinde, çelişen konuda bu DPA hükümleri öncelikli olarak uygulanır.

Bu DPA, Türkiye Cumhuriyeti kanunlarına tabidir. DPA'dan doğan uyuşmazlıklarda İstanbul Anadolu Mahkemeleri ve İcra Daireleri yetkilidir.

Bu DPA ile ilgili her türlü bildirim ve talep aşağıdaki kanallar üzerinden iletilebilir:

• E-posta: [email protected]
• Telefon: +90 (216) 599 1502
• Adres: Acıbadem Mah Çeçen Sk. Akasya Residence A1 Kule No: 150, Üsküdar / İstanbul

KVKK kapsamındaki haklarınız ve genel veri işleme esasları için KVKK Aydınlatma Metni ve Gizlilik Politikası sayfalarımıza bakabilirsiniz.