DPA
DPA (Data Processing Agreement / Veri İşleyici Sözleşmesi) MevzuatRadar ile müşteri arasında imzalanan, KVKK 6698 Madde 12 gereksinimlerini merkez alan ek sözleşmedir. AB müşteri veya AB veri işleme kapsamı sözleşmede ayrıca açılırsa GDPR Article 28 paralel eki eklenir. Müşteri ana hizmet sözleşmesinin (MSA) Ek-A’sı olarak yürürlüğe girer.
Taraflar
- Veri Sorumlusu: Müşteri kurum (banka, holding, kamu kuruluşu). KVKK Madde 3(1)(ı): “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.”
- Veri İşleyen: Huzk Ltd (Birleşik Krallık, Companies House No. 13052672, 86-90 Paul Street, London EC2A 4NE) — MevzuatRadar markası altında hizmet veren tüzel kişilik. Türkiye’de yerleşik bir tüzel kişilik tescili gelecek dönemde planlıdır; aktif olduğunda DPA imza tarafı ek protokol ile devredilir. Müşteri talimatları doğrultusunda kişisel veriyi işleyen.
İşleme Konusu, Süresi ve Kapsamı
| Alan | Tanım |
|---|---|
| Konu | Mevzuat değişiklik takibi, doğrulama raporları, kanıt paketleri |
| Veri kategorileri | Kullanıcı kimlik (ad, e-posta), denetim çıktıları, müşteri yüklediği belgeler |
| Veri sahibi kategorileri | Müşteri çalışanları, yöneticiler, denetçiler |
| İşleme süresi | Hizmet sözleşmesi süresi + 90 gün sözleşme sonrası saklama |
| Coğrafi sınır | AB / Türkiye (egemen veri yönlendirme seçildiyse) |
Alt Veri İşleyici Listesi
MevzuatRadar aşağıdaki alt veri işleyicileri kullanır. Her birinin veri işleyici sözleşmesi talep üzerine paylaşılır.
| Alt veri işleyici | Hizmet | Veri yerleşimi | Kontrol |
|---|---|---|---|
| Cloudflare, Inc. | CDN, WAF, edge cache | AB/Global (veri yerleşimi seçilebilir) | DPA + SCC |
| Hetzner Online GmbH | Hesaplama ve depolama (PostgreSQL/MinIO) | Falkenstein, DE | DPA + ADV |
| Resend, Inc. | Transactional email | EU | DPA + SCC |
| OpenAI Ireland | Yapay zekâ işleme (RAG, özetleme) | AB/Norveç | DPA + SCC |
Yeni alt veri işleyici eklenmesi durumunda müşteri 30 gün önceden bilgilendirilir ve itiraz hakkı saklıdır (KVKK; AB müşteri eki varsa Art. 28(2) paraleli).
Breach Notification (Veri İhlali Bildirimi)
| Kanal | SLA | Yasal Dayanak |
|---|---|---|
| Müşteri DPO bildirimi | 72 saat | KVKK 6698 Tebliğ; AB müşteri eki varsa GDPR Art. 33 paraleli |
| KVKK Bilgi ve İletişim | 72 saat (yüksek risk) | KVKK Tebliğ 24 Ocak 2019 |
| Veri sahibi bildirimi | Yüksek risk durumunda | KVKK + müşteri sözleşmesi; AB eki varsa GDPR Art. 34 paraleli |
Bildirim formatı: SecOps post-mortem template (sebep, etki, kapsam, mitigasyon, zaman çizelgesi). İlk 24 saat içinde ön bildirim, 72 saat içinde tam rapor.
Veri Yerleşimi
Standart yapılandırma: AB sınırı (Hetzner DE + Cloudflare AB).
Egemen veri yönlendirme opsiyoneldir: müşteri talep ettiğinde depolama, log ve yapay zekâ işleme hattı sözleşmede belirlenen AB/Norveç sınırına alınır. Detay.
Müşteri Hakları (Veri Sorumlusu)
- Denetim talebi: yılda bir kez, ön onayla, gizlilik sözleşmesi altında.
- Alt veri işleyici değişikliklerine itiraz: 30 gün içinde, gerekçeli.
- Veri işleme talimatlarını yazılı olarak verme.
- Hizmet sona erdiğinde verinin silinmesi/iadesi (90 gün post-termination).
Erişim Kontrolü (Privileged Access)
MevzuatRadar tarafında müşteri verisine erişim:
- 4-eye principle (kritik kayıt erişimi 2 admin onayı gerektirir).
- Erişim audit log’u hash zincirli (
PublicStatusAuditLog); zincir bütünlüğü her gece doğrulanır. - Erişim talepleri RBAC matrisinde önceden tanımlı role’lere bağlıdır.
- Component bazlı at-rest şifreleme uygulanır; disk/volume encryption, S3/SSE veya envelope encryption ve hassas alanlarda uygulama-katmanı AES-256-GCM kullanılır. Transit katmanda TLS 1.3 hedeflenir.
İmza Süreci
- Müşteri
[email protected]adresinden veri işleyici sözleşmesi taslağı talep eder. - MevzuatRadar 2 iş günü içinde müşteri-spesifik özelleştirilmiş PDF gönderir (alt veri işleyici seçimleri, egemen veri yönlendirme tercihi, müşteri DPO bilgisi dahil).
- Müşteri hukuk ekibi inceleme yapar; gerekirse e-posta üzerinden müzakere.
- Karşılıklı e-imza (TR e-imza veya AB qualified electronic signature) ile yürürlüğe girer.
- KVKK aydınlatma metni ek olarak müşteri kullanıcılarına dağıtılmak üzere sağlanır.
Sözleşmenin Sona Ermesi
Hizmet sözleşmesi sona erdikten sonra:
- 90 gün: müşteri verisini geri alma penceresi (export endpoint aktif).
- 91-180 gün: arşiv/cold storage (kullanılamaz, sadece restore talebine açık).
-
- gün: müşteri verisi silme süreci tamamlanır (audit log hariç — 7 yıl saklanır TTK m.82 + KVKK uyumlu).
İletişim
| Konu | Kanal |
|---|---|
| Sözleşme talebi | [email protected] |
| DPO (Veri Koruma Görevlisi) | [email protected] |
| Hukuki tebligat | [email protected] (KEP) |
Sürüm
DPA template son revizyon: 2026 Q1. Sürüm geçmişi Değişiklik Günlüğü altında “Compliance” kategorisinde.