Veri İşleme Sözleşmesi (DPA)

Son güncelleme: 14 Temmuz 2026 · Sürüm 0.9 (taslak yayın)

Bu metin B2B SaaS müşterileri için operasyonel DPA taslağıdır. Kurumsal satın almada imzalı sürüm ve ekler (SCC, güvenlik eki) ayrıca sunulur; Türkiye’de bir avukatın nihai incelemesiyle güncellenebilir.

1. Taraflar ve roller

Abone organizasyon (“Kontrolör” / KVKK’da veri sorumlusu) teklif, CRM ve alıcı verilerinin sorumludur. evre (“İşlemci”, “evre”) hizmeti sağlamak için bu verileri Kontrolör’ün talimatına göre işler. İletişim: biz@evre.work · İstanbul, Türkiye.

2. Konu ve süre

İşleme konusu; teklif oluşturma/gönderim, portal onay kayıtları, CRM kişi/anlaşma, faturalama ve güvenlik audit’leridir. Süre, abonelik ve gizlilik / saklama politikasında belirtilen tutulma süreleriyle sınırlıdır.

3. Talimatlar

evre yalnızca (a) abonelik sözleşmesi ve ürün işlevlerinin gerektirdiği işlemleri, (b) Kontrolör’ün yazılı/dokümante talimatlarını ve (c) zorunlu yasal talepleri yerine getirir. Yasadışı bir talimatı reddedebilir ve bildirir.

4. Güvenlik

evre; erişim kontrolü, şifreleme (transit), org izolasyonu, audit izi, yedekleme ve olay müdahalesi dahil teknik ve idari tedbirler uygular. Ayrıntılar ürün güvenlik sayfasında ve talep üzerine güvenlik ekinde özetlenir.

5. Alt işlemciler

Kontrolör, hizmet için gerekli alt işlemcilerin kullanıldığını kabul eder. Güncel liste: Alt işlemci listesi. Önemli değişikliklerde makul süreyle bilgilendirme yapılır (e-posta veya ürün içi duyuru).

6. Uluslararası aktarım

Varsayılan barındırma ve alt işlemci bölgeleri AB / Türkiye odaklıdır (liste). ABD’ye zorunlu aktarım gerektiren bir alt işlemci için SCC veya sair uygun güvence mekanizması Dalga 2 hukuki pakette tamamlanır.

7. Destek ve veri talepleri

Veri sahibi talepleri (erişim, silme vb.) öncelikle Kontrolör’e aittir. evre, ürün araçlarıyla (ör. KVKK paneli) destekler; makul ölçüde yardımcı olur. Denetim hakkı: yılda bir kez, gizli, makul süre ve maliyet paylaşımıyla (ör. SOC raporları / anket).

8. İhlal bildirimi

evre, işlemci sıfatıyla öğrendiği kişisel veri ihlalini gecikmeksizin Kontrolör’e bildirir; yasal süreler (ör. 72 saat) çerçevesinde işbirliği yapar.

9. Silme / iade

Abonelik sonunda veya talep üzerine, yasal saklama ve yedekleme pencereleri saklı kalmak kaydıyla kişisel veriler silinir veya iade edilir. Detay: KVKK metni ve ürün içi silme talepleri.

10. Çelişki

Bu DPA ile abonelik şartları çelişirse kişisel veri işleme konusunda DPA önceliklidir. Uygulanacak hukuk: Türkiye; uyuşmazlıkta İstanbul mahkemeleri (zorunlu tüketici kuralları saklı).

İlgili belgeler

  • Alt işlemci listesi
  • Kullanım şartları
  • Gizlilik
  • KVKK

Mevcut alt işlemci özeti

Özet (7 sağlayıcı): Neon, Upstash, evre.email (AWS SES), Sentry, S3 / R2, Stripe, iyzico.