Maliyo ERP - Data Processing Agreement
🔒

Veri İşleme Sözleşmesi

DPA for SaaS ERP Services
GDPR Compliant KVKK Compliant

Bu Veri İşleme Sözleşmesi (“DPA”), Maliyo tarafından SaaS (Hizmet Olarak Yazılım) modeli kapsamında sunulan ERP hizmetleri çerçevesinde taraflar arasında akdedilen ana sözleşmenin ayrılmaz bir parçasıdır.

Hukuki Çerçeve: Bu Veri İşleme Sözleşmesi (DPA), Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile uyumu sağlamak amacıyla düzenlenmiştir.

1 Partiler ve Roller

👤
Veri Sorumlusu
Müşteri

Kişisel verilerin işlenmesinin amaçlarını ve yöntemlerini belirler.

⚙️
Veri İşleyen
Maliyo

Müşteri adına verileri işler.

Önemli: Maliyo, SaaS modeli kapsamında ERP yazılımı sunarken kişisel verileri yalnızca Müşteri’nin talimatları doğrultusunda işlemektedir.

2 SaaS Kapsamında Veri İşleme

Maliyo, aşağıdaki faaliyetleri SaaS altyapısı üzerinden gerçekleştirir:

ERP Yazılımının Barındırılması Sistem erişimi ve kullanıcı yönetimi Yedekleme ve sistem güvenliği Teknik Destek ve Bakım
Veri Kapsamı: İşlenen veriler, Müşteri tarafından sisteme girilen verilerle sınırlıdır. Maliyo, Müşteri tarafından sağlanan veriler dışında herhangi bir ek kişisel veri toplamaz veya işlemez.

3 Maliyo’nun Yükümlülükleri

Veri İşleyen sıfatıyla Maliyo aşağıdaki taahhütlerde bulunur:

  • Kişisel verileri yalnızca sözleşme kapsamı ve Müşteri’nin talimatları doğrultusunda işlemek
  • Verileri kendi amaçları doğrultusunda veya kararlaştırılan kapsam dışında kullanmamak
  • Implement technical and administrative measures to prevent unauthorized access
  • Verilere erişimi olan tüm personel için gizlilik yükümlülüklerinin bağlayıcı olmasını sağlamak
  • Veri sahiplerinden gelen taleplerin yanıtlanmasında Müşteri’ye destek olmak
  • Mevzuata uyumu göstermek için gerekli tüm bilgi ve belgeleri Müşteri’nin erişimine sunmak

4 Alt İşleyiciler

SaaS altyapısı kapsamında Maliyo, aşağıdaki alt veri işleyenlerden faydalanabilir:

  • Bulut hizmet sağlayıcıları (barındırma ve altyapı hizmetleri)
  • * Sunucu ve veri merkezi hizmetleri
  • Yedekleme ve felaket kurtarma hizmetleri
Alt Veri İşleyen Yükümlülükleri: Tüm alt veri işleyenler, KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu) ve GDPR ile uyumlu sözleşmelerle bağlıdır. Maliyo, herhangi bir alt veri işleyenin fiil ve ihmallerinden tamamen sorumlu olmaya devam eder.

5 Veri Güvenliği

Maliyo, kişisel verilerin korunması amacıyla kapsamlı güvenlik önlemleri uygular:

🔐 * Rol bazlı erişim kontrolü
🔒 Şifreleme ve güvenli bağlantılar
📊 Loglama ve izleme sistemleri
💾 Düzenli yedekleme
🛡️ Güvenlik duvarı koruması
🔍 Güvenlik denetimleri

6 Veri İhlali Bildirimi

Herhangi bir kişisel veri ihlali durumunda Maliyo aşağıdaki yükümlülükleri yerine getirir:

  • İhlalin farkına varılmasını takiben gecikmeksizin ve mümkün olduğu ölçüde en geç 24 saat içinde Müşteri’yi bilgilendirir
  • İhlalin niteliği, etkilenen veri kategorileri ve etkilenen kayıtların yaklaşık sayısı hakkında ayrıntılı bilgi sağlar
  • İhlalin etkilerini azaltmak ve benzer olayların tekrarını önlemek amacıyla derhal gerekli tedbirleri alır
  • İhlalin incelenmesi ve giderilmesi sürecinde Müşteri ile iş birliği yapar
  • Tüm veri ihlallerini ve alınan düzeltici/önleyici aksiyonları kayıt altına alır

7 Veri Saklama ve Silme

SaaS aboneliğinin sona ermesi halinde;

  • Müşteri verileri, talep edilmesi halinde yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta Müşteri’ye teslim edilir
  • Aksi kararlaştırılmadıkça, tüm kişisel veriler sözleşmenin sona ermesinden itibaren 30 gün içinde güvenli bir şekilde silinir
  • Yasal yükümlülükler veya düzenleyici gereklilikler haricinde hiçbir veri saklanmaz
  • Talep edilmesi halinde, veri silme işleminin gerçekleştirildiğine dair yazılı teyit Maliyo tarafından sağlanır
Müşteri Sorumluluğu: İş sürekliliğinin sağlanabilmesi için, Müşterilerin sözleşmenin sona ermesinden önce verilerini dışa aktarmaları ve yedeklemeleri önerilir.

8 Denetim Hakkı

Müşteri, aşağıdaki şartlar kapsamında Maliyo’nun veri koruma yükümlülüklerine uyumunu denetleme hakkına sahiptir:

  • Makul bir süre önceden (en az 30 gün) bildirimde bulunulması gerekir
  • Denetimler, doğrudan Müşteri tarafından veya bağımsız bir üçüncü taraf denetçi aracılığıyla gerçekleştirilebilir
  • Denetimler, normal çalışma saatleri içerisinde yapılır
  • Düzenleyici bir otoritenin talebi veya bir veri ihlali durumu haricinde, denetim sıklığı yılda bir kez ile sınırlıdır
  • Tüm denetim bulguları gizlilik yükümlülüklerine tabidir

9 Uygulanacak Hukuk

Bu Veri İşleme Sözleşmesi, Türkiye Cumhuriyeti hukukuna tabidir.

Uyuşmazlıkların Çözümü: Bu Veri İşleme Sözleşmesi’nden (DPA) doğabilecek her türlü uyuşmazlık, ana hizmet sözleşmesinde belirtilen uyuşmazlık çözüm mekanizmalarına uygun olarak ve Türk mahkemelerinin münhasır yetkisine tabi olmak üzere çözümlenecektir.