Veri İşleyen Sözleşmesi (KVKK Ek-1)

Yürürlük tarihi: __.__.____ • Versiyon: 1.0

⚠ ÖNEMLİ — HUKUKİ BELGE: Bu sözleşme şablon niteliğindedir. Mali müşavir müşterileriniz Veri Sorumlusu, siz ise onların yedeklerini barındıran Veri İşleyensiniz (KVKK md. 3, 12). Bu sözleşme her müşterinizle imzalanmalı veya ToS'unuzun parçası olarak kabul ettirilmelidir. Yayına almadan önce mutlaka bir KVKK avukatına kontrol ettirin.

1. Taraflar

Veri Sorumlusu (Müşteri)	[Müşterinin firma ünvanı, adres, vergi no, KEP] (Bu sözleşmede “Müşteri” veya “Veri Sorumlusu”)
Veri İşleyen (Bulut Aktif)	[FİRMA TAM ÜNVANI, MERSIS, KEP] (Bu sözleşmede “Bulut Aktif” veya “Veri İşleyen”)

2. Tanımlar ve Amaç

İşbu sözleşme, 6698 sayılı KVKK madde 12/2 uyarınca, Veri Sorumlusu Müşterinin Bulut Aktif yedekleme hizmeti aracılığıyla yedeklediği kişisel ve ticari verilerin Veri İşleyen sıfatıyla Bulut Aktif tarafından işlenmesi sırasında uyulacak güvenlik, gizlilik ve teknik tedbirleri düzenler.

Tanımlar:

Kişisel Veri: Müşterinin yedeklediği dosyalar içinde bulunan, gerçek kişilere ait her türlü bilgi (Logo/Mikro/ETA gibi muhasebe yazılımlarındaki müşteri kayıtları, çalışan bilgileri, vb.).
İşleme: Verilerin yedek olarak alınması, sıkıştırılması, sunucuya aktarılması, AES-256-GCM ile şifrelenmesi, depolanması ve Müşterinin talebi üzerine geri verilmesi.
Veri İhlali: Verilerin yetkisiz kişilerce ele geçirilmesi, sızdırılması, değiştirilmesi veya kaybedilmesi.

3. İşleme Konusu Veriler

Müşterinin Bulut Aktif Agent ile yedekleme için seçtiği klasörlerde bulunan tüm dosyalar. Bu kapsamda olabilecek tipik veri kategorileri:

Müşterinin müvekkillerinin (vergi mükellefleri) kimlik, iletişim, finansal, ticari verileri
Çalışan bordro ve özlük bilgileri
Faturalar, sözleşmeler, beyannameler
SQL veritabanı dosyaları (Logo, Mikro, ETA, Luca, Nebim, vb.)

Bulut Aktif, bu dosyaların içeriğine erişmez ve okumaz. Dosyalar, sunucuda Müşteriye özel AES-256-GCM şifreleme anahtarıyla şifrelenmiş halde saklanır.

4. İşleme Süresi ve Saklama

Yedekler, Müşterinin paneldeki ayarlarında belirlediği saklama süresi boyunca (varsayılan 30 gün) depolanır. Süre dolduğunda otomatik silinir. Müşteri istediği zaman manuel silme talebinde bulunabilir.

Hizmet sözleşmesi sonlandığında, yedek dosyaları en geç 30 gün içinde silinir.

5. Veri İşleyen'in Yükümlülükleri

5.1 Teknik ve İdari Tedbirler

Bulut Aktif, KVKK madde 12 uyarınca aşağıdaki tedbirleri uygular:

Şifreleme: Yedek dosyaları AES-256-GCM (256-bit anahtar uzunluğu, integrity tag'li) ile sunucuda şifrelenir. Her müşterinin kendi anahtarı vardır.
İletim Güvenliği: İstemci-sunucu trafiği TLS 1.2+ ile şifrelenir.
Erişim Kontrolü: Sunucuya yalnızca yetkili sistem yöneticileri erişebilir; tüm erişimler loglanır.
Bütünlük Doğrulama: Her chunk SHA-256 ile imzalanır; bozulma anında tespit edilir.
Yedekleme: Sunucu donanım arızası halinde veri kaybı olmaması için RAID yapılandırması.
Güncel Yamalar: Sunucu işletim sistemi ve uygulamaları düzenli olarak güncellenir.
Saldırı Tespiti: Brute force, anormal API kullanımı gibi durumlar otomatik tespit edilir.

5.2 Personel

Yalnızca eğitimli, gizlilik taahhüdü imzalamış personel sistemlere erişebilir.
Personelle yapılan iş sözleşmelerinde KVKK uyumu ve gizlilik maddeleri bulunur.

5.3 Alt Veri İşleyenler

Bulut Aktif aşağıdaki alt veri işleyenleri kullanır:

Tedarikçi	Rol	Konum
[BARINDIRMA SAĞLAYICI]	Sunucu altyapısı	[ŞEHİR/ÜLKE]
[E-POSTA SAĞLAYICI]	Sistem bildirimleri	[ŞEHİR/ÜLKE]
[ÖDEME SAĞLAYICI]	Faturalama	[ŞEHİR/ÜLKE]

Yeni alt işleyen eklendiğinde Müşteri en az 30 gün önceden bilgilendirilir. Müşteri bu değişikliğe itiraz hakkına sahiptir.

6. Veri İhlali Bildirimi

Bulut Aktif, kişisel verilerin yetkisiz kişilerce ele geçirildiğini tespit ettiğinde, en geç 72 saat içinde:

Müşteriyi e-posta ve telefon ile bilgilendirir
İhlalin kapsamını, etkilenen veri kategorilerini ve alınacak önlemleri açıklar
KVKK Kurulu'na bildirim yapma yükümlülüğüne uyar (KVKK md. 12/5)

7. Veri Sahibi Talepleri

Veri sahipleri (müşterinin müvekkilleri/müşterileri) doğrudan Bulut Aktif'e KVKK md. 11 kapsamında başvurursa, talep Müşteriye yönlendirilir; Bulut Aktif veri sorumlusu sıfatıyla cevap vermez.

8. Denetim

Müşteri, makul ve önceden bildirilen mesai saatlerinde, yılda en fazla bir kez, işbu sözleşmenin ifasına yönelik denetim talep edebilir. Denetim, Müşteri veya bağımsız denetçi tarafından, ticari sırlar gizli tutulmak kaydıyla yapılır.

9. Sözleşme Sonlandığında

Sözleşmenin sona ermesinden itibaren 30 gün içinde:

Müşteri, son yedeklerini indirebilir.
Bu süreden sonra Bulut Aktif tüm yedek dosyalarını kalıcı olarak siler.
Aktivite logları ve faturalama kayıtları yasal saklama süreleri kadar muhafaza edilir.
Talep üzerine silme onay belgesi düzenlenir.

10. Sorumluluk ve Yaptırımlar

Bulut Aktif, KVKK ve işbu sözleşme ihlallerinden doğan zararlardan, varsa kusuru oranında sorumludur. Toplam tazminat, son 12 ayda Müşteri'den tahsil edilen abonelik bedelini aşamaz.

11. Süre, Fesih ve Uygulanacak Hukuk

İşbu sözleşme, hizmet sözleşmesinin yürürlüğe girmesi ile başlar ve hizmet sözleşmesinin sona ermesi ile birlikte feshedilmiş sayılır.

Sözleşmeden doğan uyuşmazlıklarda [İSTANBUL] Mahkemeleri yetkilidir.

12. İmza

Veri Sorumlusu (Müşteri)

___________________
İsim, İmza, Kaşe, Tarih

Veri İşleyen (Bulut Aktif)

___________________
İsim, İmza, Kaşe, Tarih