Veri İşleme Sözleşmesi (DPA)
KVKK ve GDPR uyumlu şablon
Son güncelleme: 2026-07
İşbu Veri İşleme Sözleşmesi (“Sözleşme”), Veri Sorumlusu ([Müşteri Kurum]) ile Veri İşleyen (MHB Lean, [yasal unvan]) arasında, MHB Lean platformunun (“Hizmet”) sunumu kapsamında kişisel verilerin işlenmesine ilişkin tarafların hak ve yükümlülüklerini düzenler. Bu Sözleşme, KVKK (6698 sayılı Kanun) ve GDPR (AB 2016/679) hükümleriyle uyumlu olacak şekilde yorumlanır.
1. Taraflar ve Tanımlar
Veri Sorumlusu (KVKK) / Controller (GDPR): kişisel verilerin işlenme amaç ve vasıtalarını belirleyen müşteri kurum. Veri İşleyen (KVKK) / Processor (GDPR): Veri Sorumlusu adına kişisel verileri işleyen MHB Lean.
Kişisel Veri, İşleme, Veri Sahibi (İlgili Kişi), Alt-İşleyici ve İhlal terimleri KVKK ve GDPR’deki tanımlarıyla kullanılır.
2. İşlemenin Konusu ve Süresi
İşleme, yalnızca Hizmet’in sunulması amacıyla ve Veri Sorumlusu’nun belgelenmiş talimatları doğrultusunda gerçekleştirilir.
İşleme, Hizmet sözleşmesinin yürürlükte olduğu süre boyunca devam eder. Sözleşmenin sona ermesi halinde, Veri Sorumlusu’nun tercihine göre kişisel veriler silinir veya iade edilir; yasal saklama yükümlülükleri saklıdır.
3. İşlenen Kişisel Veri Kategorileri
Kimlik ve iletişim verileri: çalışan adı, e-posta adresi, organizasyon içi rolü.
Operasyonel veriler: kaizen önerileri, toplantı ve aksiyon kayıtları, standart iş dokümanları, performans göstergeleri (KPI).
Özel nitelikli kişisel veri tasarım gereği toplanmaz. Platform, kullanıcı girdisinde hassas veriyi tespit eden ve kullanıcıyı uyaran bir koruma katmanı içerir.
4. İşleme Amaçları
Kişisel veriler yalnızca Hizmet’in sunulması, sürekli iyileştirme (Kaizen) süreçlerinin yürütülmesi, kullanıcı erişiminin yönetilmesi ve yasal yükümlülüklerin yerine getirilmesi amaçlarıyla işlenir. Reklam profilleme veya üçüncü taraflara satış amacıyla işleme yapılmaz.
5. Alt-İşleyiciler
Veri İşleyen, Hizmet’in sunulması için aşağıdaki alt-işleyicileri kullanır. Veri Sorumlusu bu alt-işleyicilerin kullanımına onay verir. Yeni bir alt-işleyici eklenmesi halinde Veri Sorumlusu makul süre önce bilgilendirilir ve itiraz hakkına sahiptir.
| Supabase | Veritabanı / kimlik / depolama | [Bölge] |
| Vercel | Uygulama barındırma | [Bölge] |
| Google (Gemini API) | Yapay zekâ işleme | [Bölge] |
| Resend | İşlemsel e-posta | [Bölge] |
| Stripe / iyzico | Ödeme işleme | [Bölge] |
| PostHog / Sentry | Analitik / hata izleme | [Bölge] |
6. Teknik ve İdari Tedbirler (TOM)
Veri İşleyen, uygun teknik ve idari tedbirleri uygular: çok-kiracılı izolasyon (uygulama katmanı organizasyon filtresi + satır seviyesi güvenlik), aktarımda ve durağan halde şifreleme, sunucu-tarafı gizli anahtar yönetimi, rol tabanlı erişim kontrolü ve denetim kayıtları. Ayrıntılı mimari, Güvenlik ve Mimari Teknik Dokümanı’nda açıklanır.
7. Veri Sahibi Hakları
Veri İşleyen, Veri Sorumlusu’nun; veri sahiplerinin erişim, düzeltme, silme, işlemeyi kısıtlama ve veri taşınabilirliği taleplerini yerine getirmesine makul ölçüde teknik destek sağlar. Veri sahibi talepleri doğrudan Veri İşleyen’e ulaşırsa, Veri İşleyen gecikmeksizin Veri Sorumlusu’nu bilgilendirir.
8. İhlal Bildirimi
Kişisel veri ihlali tespit edilmesi halinde Veri İşleyen, durumu öğrenmesinin ardından gecikmeksizin ve KVKK/GDPR’nin öngördüğü süreler içinde ([72 saat]) Veri Sorumlusu’nu bilgilendirir; ihlalin niteliği, olası sonuçları ve alınan/önerilen önlemler hakkında makul bilgi sağlar.
9. Uluslararası Aktarım
Kişisel verilerin yurt dışına aktarılması gereken hallerde, aktarım KVKK ve GDPR’nin öngördüğü hukuki mekanizmalara (ör. yeterlilik kararı veya Standart Sözleşme Maddeleri) uygun olarak gerçekleştirilir. Aktarımın gerçekleştiği bölgeler alt-işleyici tablosunda belirtilir.
10. Denetim Hakları
Veri Sorumlusu, işbu Sözleşme’ye uygunluğu makul sıklıkta ve makul kapsamda denetleme hakkına sahiptir. Veri İşleyen, uyumluluğunu göstermek için gerekli bilgileri sağlar ve denetimlere makul ölçüde destek verir.
11. Sorumluluk ve Yürürlük
Tarafların sorumluluğu, ana Hizmet sözleşmesinin ilgili hükümlerine tabidir. İşbu Sözleşme, ana Hizmet sözleşmesinin ayrılmaz bir parçasıdır ve imza tarihinde yürürlüğe girer. [Yürürlük tarihi / imza / irtibat noktaları].
İmzaya hazır ve kurumunuza özel Veri İşleme Sözleşmesi için kurumsal ekibimizle iletişime geçin. Kurumsal iletişim / RFP