Veri İşleme Sözleşmesi
KVKK md.12 ve GDPR md.28 kapsamında çerçeve sözleşme
Bilgilendirme: Bu belge, denetim firmaları ile denetci.ai platformu arasındaki veri işleme ilişkisini düzenleyen çerçeve bir şablondur. MVP aşamasında bilgilendirme amaçlı sunulmaktadır ve bağlayıcı bir sözleşme niteliği taşımamaktadır. Resmi DPA imzalamak isteyen kurumlar info@denetci.ai ile iletişime geçebilir.
1. Taraflar ve Tanımlar
| Veri Sorumlusu | Denetim firması / bağımsız denetçi (platformu kullanan kuruluş) |
| Veri İşleyen | denetci.ai platformu |
| İlgili Kişiler | Denetlenen şirket çalışanları, yöneticiler, finansal tablo hazırlayıcıları ve diğer veri sahipleri |
2. İşleme Kapsamı
Veri İşleyen, aşağıdaki veri türlerini yalnızca Veri Sorumlusunun talimatları doğrultusunda işler:
- Denetim görevlendirme verileri ve iş akışı bilgileri
- Yüklenen finansal tablolar ve denetim belgeleri
- Risk değerlendirme verileri ve denetim bulguları
- Yapay zeka sorgulama ve analiz sonuçları
- Kullanıcı hesap bilgileri (denetçi ekip üyeleri)
3. Veri İşleyenin Yükümlülükleri
- Kişisel verileri yalnızca Veri Sorumlusunun yazılı talimatları doğrultusunda işlemek
- İşlenen verilerin gizliliğini sağlamak
- KVKK md.12 kapsamında gerekli teknik ve idari tedbirleri almak
- Veri Sorumlusunun önceden onayı olmadan alt işleyici kullanmamak
- Veri Sorumlusuna denetim hakkı tanımak
- Sözleşme sona erdiğinde verileri iade etmek veya silmek
4. Teknik ve İdari Tedbirler
Veri İşleyen, aşağıdaki güvenlik tedbirlerini uygulamaktadır:
Teknik Tedbirler
- HTTPS/TLS ile şifreli iletişim
- Scrypt ile parola hashleme
- Endüstri standardı API anahtar şifreleme
- HttpOnly/Secure oturum çerezleri
- Rol tabanlı erişim kontrolü (RBAC)
- Otomatik oturum zaman aşımı
İdari Tedbirler
- Belge erişim logları (audit trail)
- Kullanıcı yetkilendirme politikaları
- Veri sınıflandırma prosedürleri
- Düzenli güvenlik gözden geçirmesi
- Veri ihlali müdahale planı
- Personel gizlilik yükümlülükleri
5. Alt İşleyiciler
Veri İşleyen, hizmet sunumu için aşağıdaki alt işleyicileri kullanmaktadır. Yeni alt işleyici eklenmesi halinde Veri Sorumlusu önceden bilgilendirilecektir:
| Alt İşleyici | Hizmet | Konum |
|---|---|---|
| Stripe, Inc. | Ödeme altyapısı | ABD |
| AI Analiz Servis Sağlayıcısı | AI dil modeli | ABD |
| Gömme (Embedding) Servis Sağlayıcısı | Metin gömme hizmeti | ABD |
| Vektör Veritabanı Servis Sağlayıcısı | Vektör veritabanı | AB |
6. Veri İhlali Bildirimi
Veri İşleyen, kişisel veri ihlali tespit etmesi halinde Veri Sorumlusunu 72 saat içinde bilgilendirecektir (KVKK md.12/5 ve GDPR md.33). Bildirim, ihlalin kapsamı, etkilenen kişiler, alınan tedbirler ve önerilen düzeltici aksiyonları içerecektir.
7. Verilerin İadesi veya Silinmesi
Hizmet sözleşmesinin sona ermesi halinde, Veri İşleyen:
- Veri Sorumlusunun tercihine göre tüm kişisel verileri iade edecek veya güvenli bir şekilde silecektir
- Yasal saklama yükümlülükleri saklı kalmak kaydıyla, silme işlemini 30 gün içinde tamamlayacaktır
- Silme işlemini yazılı olarak teyit edecektir
8. Denetim Hakkı
Veri Sorumlusu, bu sözleşme kapsamındaki yükümlülüklere uyulup uyulmadığını denetleme hakkına sahiptir. Denetim talepleri makul bir süre öncesinde yazılı olarak bildirilecektir.
9. İletişim
Veri işleme sözleşmesi hakkında sorular ve resmi DPA imza talepleri için: info@denetci.ai