Yasal

Veri İşleme Sözleşmesi (DPA)

Müşteri'nin DMC'yi veri işleyen olarak görevlendirdiği durumlarda geçerli olan KVKK ve GDPR uyumlu sözleşme şartları.

Son güncelleme: 2026-04-30

ℹ️ Bilgilendirme amaçlıdır. Sözleşme niteliği taşıyan nihai şartlar, satınalma sürecinde tarafınızla ayrıca müzakere edilir ve imzalanır. Bu sayfa, ürün ve hizmet kapsamımız hakkında genel bir çerçeve sunar.

1. Taraflar ve Roller

Bu DPA, Sentinel DB 360 abonelik anlaşmasının ayrılmaz parçasıdır. Müşteri Veri Sorumlusu (KVKK m.3 / GDPR Art. 4(7)), DMC BİLGİ TEKNOLOJİLERİ YAZILIM DANIŞMANLIK SANAYİ VE TİCARET LİMİTED ŞİRKETİ (kısa ad: "DMC Bilgi Teknolojileri") Veri İşleyen (KVKK m.3 / GDPR Art. 4(8)) sıfatını taşır.

Veri İşleyen kayıtlı adresi: Düzce Üniversitesi Teknoloji Geliştirme Bölgesi (Düzce TGB), Türkiye · İletişim: [email protected]

2. İşleme Konusu, Süresi ve Amacı

  • Konu: Sentinel DB 360 veritabanı izleme hizmetinin sunumu
  • Süre: Abonelik süresi + sözleşme sonrası 30 gün veri silme süreci
  • Amaç: İzleme verisi toplama, analiz, raporlama, alarmlama, AI insight üretimi
  • Veri Türleri: Veritabanı sunucu metrikleri, sorgu istatistikleri, kullanıcı oturum bilgileri (kimlik/iletişim)
  • Veri Sahipleri: Müşteri'nin DBA'ları, sistem yöneticileri ve son kullanıcıları

3. DMC'nin Yükümlülükleri

  • Veriyi yalnızca Müşteri'nin yazılı talimatları doğrultusunda işlemek
  • İşleme yetkili personeli gizlilik taahhüdüne bağlamak
  • Uygun teknik ve idari güvenlik tedbirlerini almak (Madde 6)
  • Veri ihlali durumunda Müşteri'yi 24 saat içinde bilgilendirmek
  • Veri sahibi taleplerinde Müşteri'ye makul ölçüde destek olmak
  • İşleme sonunda veriyi silmek veya iade etmek

4. Müşteri'nin Yükümlülükleri

  • Veriyi hukuka uygun şekilde toplamak (rıza, sözleşme, vb.)
  • Veri sahiplerini KVKK m.10 / GDPR Art. 13 kapsamında aydınlatmak
  • İşleme talimatlarını yazılı olarak vermek
  • Veri sahibi taleplerini birinci derecede yanıtlamak

5. Alt Veri İşleyenler

DMC, hizmetin sunumu için aşağıdaki alt veri işleyenleri kullanır:

SağlayıcıHizmetLokasyon
Microsoft AzureBulut barındırmaEU / TR (West Europe)
Microsoft 365E-posta gönderimiEU
Azure Cosmos DBLisans yönetimiEU
Azure OpenAIAI Insight (opsiyonel)EU (Sweden Central)

Yeni alt işleyen ekleneceğinde 30 gün önceden e-posta ile Müşteri bilgilendirilir; Müşteri makul gerekçeyle itiraz edebilir.

6. Teknik ve İdari Güvenlik Tedbirleri

  • Şifreleme: TLS 1.2+ aktarımda, AES-256 saklamada
  • Erişim kontrolü: Rol bazlı (RBAC), prensip-en-az-yetki, MFA
  • Audit log: Tüm yetkili erişimler kayıt altında
  • Yedekleme: Şifreli, ayrı bölgede, RPO ≤ 24 saat
  • Pen-test: Yıllık bağımsız sızma testi
  • İhlal yanıtı: Olay müdahale planı, 24 saat bildirim taahhüdü

7. Uluslararası Veri Aktarımı

EU dışına aktarım gerektiren durumlarda Standart Sözleşme Maddeleri (SCC) veya KVKK m.9 kapsamında Kurul izni esas alınır. Türkiye içi aktarımlar için Kurul'un belirlediği ülke listesine uyulur.

8. Denetim Hakları

Müşteri, makul önceden bildirim ile (en az 30 gün) yılda bir kez DMC'nin işbu DPA'ya uyumunu denetleyebilir veya bağımsız bir üçüncü tarafça denetlettirebilir. Denetim maliyetleri Müşteri'ye aittir; uyumsuzluk tespit edilirse DMC'ye geçer.

9. Veri İhlali Bildirimi

Veri ihlali halinde DMC, Müşteri'yi 24 saat içinde e-posta ile bilgilendirir. Bildirim: ihlalin niteliği, etkilenen veri kategorileri, yaklaşık veri sahibi sayısı, alınan/önerilen önlemleri içerir.

10. Sözleşme Sonu

Sözleşme sona erdiğinde Müşteri 30 gün içinde verisini dışa aktarabilir. Bu sürenin sonunda DMC tüm Müşteri verisini siler ve silme onayını yazılı olarak verir. Yedeklerden silme rotasyon süresine (≤ 90 gün) tabidir.

11. Uygulanacak Hukuk ve Yetki

Bu DPA Türkiye Cumhuriyeti hukukuna tabidir. Çelişki halinde KVKK ve GDPR'ın emredici hükümleri öncelikli uygulanır. Yetkili mahkeme: İstanbul (Çağlayan) Mahkemeleri.

12. İletişim ve İmza

DPA'nın imzalı bir kopyasını talep etmek ve Veri Koruma Sorumlusu (DPO) bilgilerini almak için: [email protected].