Veri İşleme Sözleşmesi
Data Processing Agreement (DPA)
Son Güncelleme: 19 Mayıs 2026
1. Giriş ve Amaç
Bu Veri İşleme Sözleşmesi ("DPA"), ASTROTECH INNOVATIONS BİLİŞİM TİCARET LİMİTED ŞİRKETİ ("Veri İşleyen", "Stuvio") ile Stuvio platformunu kullanan işletmeler ("Veri Sorumlusu", "İşletme") arasındaki kişisel veri işleme ilişkisini düzenlemektedir.
Bu sözleşme, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) gerekliliklerini karşılamak üzere hazırlanmıştır.
2. Tanımlar
- Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişi (İşletme/Stüdyo)
- Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi (Stuvio)
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
- Özel Nitelikli Kişisel Veri: Sağlık verileri dahil KVKK madde 6'da tanımlanan hassas veriler
- İşleme: Kişisel veriler üzerinde gerçekleştirilen her türlü işlem
3. Tarafların Rolü ve Sorumlulukları
3.1 İşletmenin (Veri Sorumlusu) Sorumlulukları
- Üyelerin kişisel verilerinin işlenmesi için gerekli hukuki dayanağı sağlamak
- Üyeleri KVKK kapsamında aydınlatmak
- Gerekli hallerde açık rıza almak (özellikle sağlık verileri için)
- Verilerin doğruluğunu ve güncelliğini sağlamak
- İlgili kişi başvurularını yönetmek
- Stuvio'ya yalnızca yasal ve meşru amaçlarla veri işleme talimatı vermek
3.2 Stuvio'nun (Veri İşleyen) Sorumlulukları
- Verileri yalnızca İşletmenin talimatları doğrultusunda işlemek
- Uygun teknik ve idari güvenlik önlemlerini almak
- Veri gizliliğini sağlamak
- Alt işleyenler konusunda şeffaf olmak
- İşletmenin denetim hakkına saygı göstermek
- Veri ihlali durumunda derhal bildirimde bulunmak
- Sözleşme sona erdiğinde verileri silmek veya iade etmek
4. İşlenen Kişisel Veriler
Stuvio platformunda İşletme adına aşağıdaki veri kategorileri işlenmektedir:
| Veri Kategorisi | Örnekler | Özel Nitelikli |
|---|---|---|
| Kimlik Bilgileri | Ad, soyad, T.C. kimlik no | Hayır |
| İletişim Bilgileri | E-posta, telefon, adres | Hayır |
| Ödeme Bilgileri | Fatura kayıtları, ödeme geçmişi | Hayır |
| Sağlık Verileri | Boy, kilo, vücut ölçümleri, Tanita raporları | Evet |
| Görsel Veriler | Profil fotoğrafı, postür analizi | Hayır* |
* Postür analizi fotoğrafları sağlık verisi kapsamında değerlendirilebilir.
5. Teknik ve İdari Güvenlik Önlemleri
Stuvio, aşağıdaki güvenlik önlemlerini uygulamaktadır:
5.1 Teknik Önlemler
- SSL/TLS şifreleme ile veri iletimi
- Şifrelerin bcrypt algoritmasıyla hash'lenmesi
- Veritabanı şifreleme
- Güvenlik duvarı koruması
- Düzenli güvenlik güncellemeleri
- Günlük otomatik yedekleme
- 7/24 sistem izleme
5.2 İdari Önlemler
- Rol tabanlı erişim kontrolü (RBAC)
- Multi-tenant veri izolasyonu
- Çalışan gizlilik taahhütleri
- Düzenli güvenlik değerlendirmeleri
- Olay müdahale prosedürleri
6. Alt Veri İşleyenler
Stuvio, hizmet sunumu için aşağıdaki alt veri işleyenleri kullanmaktadır:
| Hizmet | Sağlayıcı | Konum | Amaç |
|---|---|---|---|
| Sunucu Hosting | Altyapı sağlayıcıları | AB / Türkiye / sözleşmeli bölge | Veri depolama ve işleme |
| Hata Takibi | Sentry | AB/ABD | Teknik hata izleme |
| Push Bildirimi | Expo, Firebase, Apple Push Notification service | AB/ABD | Mobil bildirimler |
| Kişi Senkronizasyonu | Google Contacts | AB/ABD | Kullanıcı onayıyla üye kişi bilgilerinin senkronizasyonu |
Yeni alt işleyen eklenmesi durumunda İşletme bilgilendirilecektir.
7. Veri İhlali Bildirimi
Kişisel veri ihlali tespit edilmesi durumunda Stuvio:
- İhlali tespit ettiği andan itibaren en geç 24 saat içinde İşletmeyi bilgilendirir
- İhlalin niteliği, etkilenen veri kategorileri ve tahmini kişi sayısını raporlar
- Olası sonuçları ve alınan/alınacak önlemleri açıklar
- İşletmenin yasal bildirim yükümlülüklerini yerine getirmesine yardımcı olur
Not: Kişisel Verileri Koruma Kurulu'na bildirim yükümlülüğü Veri Sorumlusu olarak İşletmeye aittir. İhlalin öğrenilmesinden itibaren 72 saat içinde bildirim yapılmalıdır.
8. Denetim Hakkı
İşletme, bu DPA kapsamındaki yükümlülüklerin yerine getirildiğini doğrulamak için:
- Makul önceden bildirimle (en az 30 gün) denetim talep edebilir
- Stuvio'nun güvenlik sertifikalarını ve raporlarını inceleyebilir
- Yazılı sorulara cevap talep edebilir
Denetimler normal iş saatlerinde, Stuvio'nun operasyonlarını aksatmayacak şekilde gerçekleştirilir.
9. Sözleşme Sona Ermesi ve Veri İadesi
Stuvio aboneliğinin sona ermesi durumunda:
- İşletme, sözleşme sona ermeden 30 gün önce veri dışa aktarımı talep edebilir
- Veriler standart formatta (CSV, JSON) sağlanır
- Veri aktarımının tamamlanmasından 30 gün sonra tüm veriler kalıcı olarak silinir
- Yasal saklama zorunluluğu olan veriler hariçtir
10. Uluslararası Veri Transferleri
Kişisel veriler, KVKK'nın 9. maddesi ve GDPR'ın 46. maddesi kapsamında yurt dışına aktarılabilir. Aktarımlar için:
- AB Komisyonu yeterlilik kararı olan ülkelere
- Standart sözleşme maddelerini kabul eden taraflara
- Bağlayıcı şirket kuralları uygulayan gruplara
11. Yürürlük Süresi
Bu DPA, İşletmenin Stuvio platformunu kullanmaya başlamasıyla yürürlüğe girer ve platform kullanımı sona erene kadar geçerliliğini korur.
12. İletişim
Veri işleme ile ilgili sorularınız için:
Veri Koruma Yetkilisi: ASTROTECH INNOVATIONS
E-posta: [email protected]
Adres: Efeler Mah. 306 Sk. No:4/A Buca/İzmir