Veri İşleme Sözleşmesi (DPA)
Son güncelleme:
Bu belge, kişisel verilerin işlenmesinde veri sorumlusu (müşteri/kullanıcı) ile veri işleyen (XtroEngine) arasındaki yükümlülükleri ve kullanılan alt-işleyenleri (üçüncü taraflar) tanımlar. KVKK md. 12 ve ilgili mevzuat esas alınır.
1. Taraflar ve tanımlar
- Veri sorumlusu: verinin işlenme amacını ve vasıtalarını belirleyen taraf.
- Veri işleyen: veri sorumlusunun talimatıyla veriyi işleyen taraf.
- Alt-işleyen: veri işleyenin hizmet aldığı üçüncü taraf (barındırma, e-posta vb.).
2. İşlemenin konusu ve süresi
İşleme yalnızca hizmetin sağlanması için gerekli kapsamda ve süre boyunca yapılır; sözleşme sona erdiğinde veri iade edilir veya imha edilir.
3. Veri işleyenin yükümlülükleri
- Yalnızca yazılı talimat doğrultusunda işleme.
- Uygun teknik ve idari tedbirler (şifreleme, erişim kontrolü, loglama).
- Gizlilik taahhüdü ve personel erişiminin sınırlanması.
- İhlal halinde gecikmeksizin bilgilendirme (72 saat süreci ile uyumlu).
- Veri sahibi taleplerinde (erişim/silme/taşınabilirlik) destek.
4. Alt-işleyenler (üçüncü taraflar)
Aşağıdaki alt-işleyenler, yalnızca belirtilen amaçla ve veri işleme şartlarına tabi olarak kullanılır. Güncel liste için gizlilik politikası bölümündeki alt-işleyen envanterine bakınız.
- Barındırma (Türkiye): sunucu altyapısı ve veri depolama.
- Cloudflare: CDN, WAF ve DDoS azaltma (trafik metaverisi).
- AWS SES (eu-north-1): işlemsel e-posta teslimi (alıcı e-posta adresi ve mesaj içeriği).
5. Yeni alt-işleyen ve itiraz
Yeni bir alt-işleyen eklenmeden önce makul süre içinde bilgilendirme yapılır; veri sorumlusu gerekçeli itiraz hakkına sahiptir.
6. Denetim
Veri sorumlusu, makul bildirimle ve iş sürekliliğini aksatmadan uyum denetimi talep edebilir.
Bu metin genel bir çerçeve sunar; özel ihtiyaçlar için bizimle iletişime geçin.