İçeriğe atla
n
Demo

Veri İşleme Sözleşmesi

Veri işleme çerçevemiz.

Normzeka, müşteriye sunduğu hizmet süresince işlenen verilerin korunmasında sözleşmeyle belirlenmiş yükümlülüklere sahiptir. Alt işleyen zinciri, yurt dışı aktarım çerçevesi ve ihlal protokolü burada şeffaf olarak yayımlanır. DPA’nın landing özeti bu sayfada; imzalı sürüm ekibimizle yazışma üzerinden paylaşılır.

Son güncelleme: Nisan 2026 — v1.0

KVKK m.12 kapsamında teknik ve idari tedbirKVKK m.9 + Standart Sözleşme çerçevesiAlt işleyen şeffaflığı72 saat ihlal bildirimiTürkiye veri ikametgâhıSözleşme sonu veri iadesi ve silme

Hukuki Ankraj

KVKK m.12 teknik ve idari tedbirleri ve m.9 aktarım rejimi üzerine kuruldu.

Bu sözleşme, 6698 sayılı KVKK'nın 12. maddesindeki veri işleyen sorumlulukları, 7499 sayılı Kanun'la yeniden düzenlenen 9. madde ve 10.07.2024 tarihli "Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik" çerçevesinde hazırlanır. Özel nitelikli veri işlendiği ölçüde KVK Kurulu'nun 31/01/2018 tarih ve 2018/10 sayılı kararı tedbirleri uygulanır; uluslararası müşteri akışlarında GDPR madde 28 ile eşdeğer taahhüt ve Avrupa Komisyonu Standart Sözleşme Maddeleri (SCC) eki sunulur.

Sözleşmeyle tanımlı yükümlülükler.

Tarafların hak ve yükümlülükleri DPA metninde açıkça düzenlenir. Normzeka, müşterinin yazılı talimatları dışında işlem yapmaz; verileri kendi amaçları için aktarmaz, eğitim veri kümesine katmaz, ikincil bir işleme zincirine bağlamaz. Bu sayfadaki özet, sözleşmeyi değil, sözleşmenin temel çerçevesini yansıtır.

Alt işleyen listesi önde, değişiklikler önceden bildirilir.

Alt işleyenler bu sayfada adı, amacı, konumu ve eriştiği veri sınıfı ile birlikte açık şekilde listelenir. Listeye yeni bir taraf eklemeden önce müşterilere en az 30 gün önceden e-posta ile bildirim yapılır; haklı gerekçeyle itiraz hakkınız sözleşmeye işlidir.

Yurt dışı aktarım KVKK m.9 çerçevesinde yürütülür.

Gizli ve kısıtlı sınıftaki müvekkil içeriği Türkiye sınırlarında tutulur. Yurt dışı bir alt işleyenin devreye girdiği dar akışlarda (ör. dil modeli çıkarımı) aktarım, KVKK m.9 ve 10.07.2024 tarihli Yurt Dışı Aktarım Yönetmeliği kapsamında Kurul onaylı standart sözleşme veya taahhütname temelinde yapılır.

İhlal olursa 72 saat içinde öğrenirsiniz.

Veri ihlali tespitinde KVK Kurulu'na ve etkilenen müşteriye 72 saat içinde bildirim yapılır. Bildirim; etkilenen veri kategorisi, olası sonuçlar, alınan önlemler ve iletişim noktasını içerir. Olay sonrası kök neden analizi ve yapısal önlem raporu paylaşılır.

Alt işleyen listesi.

Normzeka hizmetleri kapsamında kişisel verileri işleyebilecek alt işleyenler aşağıda adı, amacı, konumu ve eriştiği veri sınıfı ile birlikte listelenir. Liste değiştiğinde müşteri iletişim noktasına en az 30 gün önce e-posta ile bildirim yapılır.

Alt İşleyenAmaçKonumVeri Sınıfı
Yurt içi sertifikalı bulut sağlayıcıUygulama sunucuları, PostgreSQL ve nesne depolama (Türkiye birincil)TürkiyeGizli / Kısıtlı (Confidential / Restricted)
Dil modeli sağlayıcısı — kontrollü çıkarımPseudonimleştirilmiş prompt üzerinden model çıkarımıYurt dışı (sıfır veri tutma sözleşmesi altında)Takma Adlı (Pseudonymized)
Dil modeli yönlendiriciSağlayıcı arası çıkarım yönlendirme; içerik kalıcı olarak tutulmazYurt dışı (zero-data-retention)Takma Adlı (Pseudonymized)
Ödeme ve fatura sağlayıcısı (iyzico)Abonelik tahsilatı, fatura düzenlemeTürkiyeDahili (Internal)
İşlemsel e-posta sağlayıcısıHesap doğrulama, bildirim ve fatura e-postalarıYurt dışı (taahhütname altında)Dahili (Internal)
Ürün hata ve performans izlemeUygulama hata izleme; müvekkil belgesi paylaşılmazYurt dışı (taahhütname altında)Dahili (Internal)

Alt işleyen isimlendirmesi sözleşme aşamasında ticari markalarıyla netleştirilir. Yurt dışı alt işleyenlerle sıfır veri tutma (zero-data-retention) sözleşmesi veya Kurul onaylı standart sözleşme/taahhütname imzalıdır.

Veri sınıfları ve aktarım çerçevesi.

Hangi veri sınıfı nerede saklanır, hangi mekanizmayla aktarılır.

Özel Nitelikli (Sensitive)

KVKK m.6 — sağlık, ceza mahkumiyeti, inanç, biyometrik. Müvekkil dosyalarında sıkça yer alır; 2018/10 Kurul kararı tedbirleri uygulanır.

Gizli (Confidential)

Müvekkil dosyası, dilekçe taslakları, vekaletname, ödeme dışı finansal içerik. Türkiye sınırlarında saklanır.

Kısıtlı (Restricted)

Büroya ait organizasyon verisi, iç yazışma, denetim kayıtları. Rol bazlı yetkiyle sınırlanır.

Takma Adlı (Pseudonymized)

Model çıkarımı için hazırlanan, kimlik tanımlayıcıları soyulmuş prompt. Yurt dışı aktarım yalnızca bu sınıfta meydana gelir.

Dahili (Internal)

Fatura, işlem kaydı, kullanım istatistiği gibi iş süreç verisi. Yasal saklama süreleriyle yönetilir.

Yurt Dışı Aktarım Mekanizmaları

  • Standart Sözleşme:Kurul tarafından ilan edilen dört modül (VS→VS, VS→VI, VI→VI, VI→VS) kapsamında imzalanır ve beş iş günü içinde Kurul'a bildirilir.
  • Taahhütname: Kurul onayı gerektiren hâllerde taraflar arasında imzalanan ve aktarımın kalıcı koşullarını düzenleyen belge.
  • Yeterli koruma bulunan ülke: Kurul listesi çerçevesinde doğrudan aktarım mümkündür.
  • İstisnai hâller (m.9/6):Açık rıza, sözleşmenin ifası, üstün kamu yararı gibi KVKK'da sayılan dar istisnalarla sınırlı ve arızî aktarım.

Veri ihlali bildirimi — 72 saat

KVKK m.12/5 gereği, ihlal tespitinden itibaren 72 saat içinde KVK Kurulu'na ve etkilenen müşteriye yazılı bildirim yapılır. İhlal türü, etkilenen veri kategorileri, olası sonuçlar ve alınan önlemler aynı bildirimde yer alır. İhlal kapandığında kök neden analizi ve yapısal önlem raporu paylaşılır.

Veri dönüşü ve silme takvimi

Hizmet bitiminde verileriniz 30 gün içinde dışa aktarılır. Aktif sistemlerden 14 gün, şifreli yedeklerden en geç 90 gün içinde silinir veya anonimleştirilir. Silme kapanışında yazılı teyit iletilir; yasal saklama yükümlülüğüne tabi kayıtlar ayrı ve asgari düzeyde tutulur.

Hukuk departmanı ve bilgi güvenliği ekibi soruları.

Satın alma öncesi en sık gelen sorular — gerçek cevaplarla.

Alt işleyenlerinizi nereye sorduracağım? Düzenli bilgilendirme var mı?

Alt işleyen listesi bu sayfada güncel tutulur ve sürüm numarasıyla işaretlenir. Listeye katkı sağlayacak yeni bir taraf eklenmeden en az 30 gün önce müşteri iletişim noktasına e-posta ile bildirim yapılır; bu süre içinde haklı gerekçeyle itiraz edebilir, alternatif çözüm görüşebilir veya sözleşmeyi feshetme hakkınızı kullanabilirsiniz. DPA'nın imzalı sürümü ekle halinde yürürlükteki tüm alt işleyenleri listeler.

Yurt dışı aktarım hangi hukuki temele dayanıyor?

12.03.2024 tarihinde yürürlüğe giren 7499 sayılı Kanun'la değişen KVKK m.9 ve 10.07.2024 tarihli "Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik" çerçevesinde yürütülür. Gizli ve kısıtlı sınıftaki müvekkil içeriği Türkiye sınırlarında kalır. Yurt dışı aktarımın zorunlu olduğu dar akışlarda (dil modeli çıkarımı, işlemsel e-posta) Kurul onaylı standart sözleşme veya taahhütname mekanizması devreye girer; aktarım bildirim yükümlülüğüne tabidir.

Veri ihlali olursa nasıl ve ne zaman haberdar olurum?

Veri ihlali tespitinden itibaren 72 saat içinde KVK Kurulu'na ve etkilenen müşterinize yazılı bildirim yapılır. Bildirim; ihlalin kapsamı, etkilenen veri kategorileri, olası sonuçları, alınan teknik ve idari önlemler ile iletişim noktasını içerir. İhlal kapanışında kök neden analizi ve tekrar önleyici yapısal tedbir raporu ayrıca paylaşılır.

Sözleşme biterse verilerim ne olur? Yedeklerden silme garantisi var mı?

Hizmet ilişkisinin bitmesinden itibaren 30 gün içinde verileriniz talebiniz doğrultusunda dışa aktarılır. Dışa aktarım sonrası aktif sistemlerden 14 gün, şifreli yedekleme katmanlarından ise en geç 90 gün içinde silinir veya anonimleştirilir. Silme tamamlandığında imzalı yazılı teyit iletilir; yasal saklama yükümlülüğüne tabi kayıtlar (vergi, muhasebe) bu yükümlülük süresince asgari düzeyde tutulmaya devam eder.

Denetim hakkım var mı? Nasıl kullanırım?

Yüksek hacimli kullanım sözleşmelerinde yıllık denetim hakkı veya bağımsız bir denetim kuruluşu tarafından hazırlanmış güvenlik raporunun paylaşılması standarttır. Bilgi güvenliği soru setinizi ("vendor security questionnaire") yanıtlamayı, paylaşılan bir çalışma alanında kanıtları incelemeyi ve gerektiğinde çevrimiçi görüşmeyle destek olmayı taahhüt ederiz. İşlem kayıtları, erişim günlükleri ve şifreleme anahtar yönetim politikası denetim kapsamına girebilir.

AB'li müşterilerimiz için GDPR madde 28 ve SCC uyumu sağlanıyor mu?

KVKK m.12 ile GDPR m.28 arasındaki veri işleyen yükümlülükleri büyük ölçüde örtüşür: talimat bağlılığı, gizlilik, güvenlik tedbirleri, alt işleyen çerçevesi, destek yükümlülükleri, veri iadesi ve silme. AB veri sahibi içeren akışlarda Avrupa Komisyonu'nun 2021 tarihli Standart Sözleşme Maddeleri (SCC) eki imzalanabilir; satış sürecinde modül seçimi ve ek taahhütler (supplementary measures) birlikte kararlaştırılır.

Özel nitelikli veriler için hangi tedbirler alınıyor?

Müvekkil dosyalarında yer alan sağlık, ceza veya inanç verisi gibi KVKK m.6 kapsamındaki içerik, Kurul'un 31/01/2018 tarih ve 2018/10 sayılı kararında sayılan tedbirlere göre işlenir: ayrık şifreleme, anahtar ayrı saklama, çok faktörlü erişim, gizlilik taahhüdü altındaki personel, olay kaydı ve periyodik güvenlik testi. Teknik ve idari önlemlerin detayı Güvenlik sayfasında açıklanır.

İmzalı DPA kopyası

İmzalı DPA kopyası ve organizasyonunuza özel alt işleyen eki için ekibimize yazın. Yanıt aynı iş gününde, imza akışı KEP veya güvenli imza portalı üzerinden yürütülür.

Bize Yaz

Yoğun Çalışan Hukuk Büroları

Satın alma öncesi soru setinize birlikte hazırız.

Yüksek hacimli kullanımda özel DPA müzakeresi, alt işleyen değişiklik bildirimi, yıllık denetim hakkı veya bağımsız güvenlik raporu, paylaşılan sorumluluk matrisi ve SCC eki standarttır. Bilgi güvenliği soru setinizi ve satın alma birimi vendor assessment'ını ortaklaşa yanıtlıyoruz. Güvenlik mimarisinin teknik detayı için Güvenlik sayfasını inceleyin.

Demo PlanlaPlanları İncele
Veri dönüşü, silme ve alt işleyen değişiklik prosedürü (BT ekibi detayı)

Aktif sistemler

  • Dışa aktarım talebi üzerine 30 gün içinde yapılandırılmış format (JSON, CSV, PDF) sağlanır
  • Dışa aktarım teyidinden sonra 14 gün içinde birincil veritabanından silinir
  • Nesne depolamadaki dosyalar tombstone işaretlenir ve aynı pencerede kaldırılır

Yedekler

  • Şifreli yedek katmanı gün bazlı döngüde tutulur
  • Silme komutu verilen veriler en geç 90 gün içinde yedek döngüsünden düşer
  • Silme kapanışında imzalı yazılı teyit belgesi iletilir

Denetim kayıtları

  • Erişim ve işlem kayıtları KVKK m.12 gereği saklanır; içerik değil meta veridir
  • Yasal saklama süresi (10 yıl, ticaret kanunu) sonunda anonimleştirilir
  • Büroya ait sorgulanabilir özet rapor talep üzerine sağlanır

Alt işleyen değişikliği

  • Yeni alt işleyen eklenmesinden en az 30 gün önce e-posta bildirimi
  • Haklı gerekçeyle itiraz ve alternatif çözüm görüşme hakkı
  • Alt işleyen listesi sürüm numarasıyla arşivlenir

Çerçeveyi kendi hukuk departmanınızla masaya alalım.

KVKK sorumlunuz, bilgi güvenliği ekibiniz veya satın alma biriminiz — DPA, güvenlik ve aydınlatma metinleri birlikte gözden geçirilir, organizasyonunuza özel ek netleştirilir.

Demo PlanlaGüvenlik ÇerçevesiKVKK Aydınlatma

Son güncelleme: Nisan 2026 — v1.0 · Sözleşme değişiklikleri sürüm numarasıyla arşivlenir.