💡 Bu sözleşme nedir?
Bu Veri İşleyen Sözleşmesi (Data Processing Agreement / DPA), Reply2Earn platformunu kullanan
Veri Sorumlusu (siz, işletmeci) ile Veri İşleyen (Reply2Earn - ALİ ÖZARSLAN)
arasında, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) madde 12 ve ilgili AB GDPR madde 28 uyarınca
düzenlenmiştir. Reply2Earn'a kayıt olarak bu sözleşmeyi kabul etmiş sayılırsınız.
1. Taraflar ve Tanımlar
1.1 Taraflar
| VERİ SORUMLUSU |
Reply2Earn paneline kayıt olan ve müşteri verilerini Reply2Earn üzerinden işlettiren işletme/kişi.
(Bundan sonra "Müşteri" olarak anılacaktır.)
|
| VERİ İŞLEYEN |
ALİ ÖZARSLAN (Reply2Earn)
VKN: 6640524671 · Esenyurt V.D.
Adres: Barbaros Hayrettin Paşa Mah. 2316. Sk. Ayışığı B3 Blok No: 13E, Esenyurt/İstanbul 34513
E-posta: aliozarslanse@gmail.com
(Bundan sonra "Reply2Earn" olarak anılacaktır.)
|
1.2 Tanımlar
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
- Veri Sahibi: Kişisel verisi işlenen gerçek kişi (Müşteri'nin son kullanıcısı).
- İşleme: KVKK 3/e fıkrası kapsamında her türlü işlem (toplama, kaydetme, saklama, değiştirme, aktarma, silme).
- Alt İşleyen: Reply2Earn'in hizmeti sağlamak için anlaştığı üçüncü taraf hizmet sağlayıcılar (OpenAI, Meta, Resend vb).
- İhlal: Kişisel verilerin yetkisiz erişim, ifşa, değişiklik veya kaybına yol açan güvenlik olayı.
2. Sözleşmenin Konusu ve Kapsamı
Bu DPA, Müşteri'nin Reply2Earn platformunu kullanırken, son kullanıcılarına ait kişisel verilerin
Reply2Earn tarafından işlenmesinin esaslarını düzenler. Müşteri, veri sorumlusu sıfatıyla; Reply2Earn,
veri işleyen sıfatıyla hareket eder.
3. İşlenecek Veri Kategorileri
| Veri Kategorisi |
Açıklama |
İşleme Amacı |
| Kimlik Bilgisi |
Son kullanıcı adı, soyadı |
Mesajlaşma kişiselleştirmesi |
| İletişim Bilgisi |
Telefon numarası (WhatsApp), Instagram kullanıcı adı, e-posta |
Müşteri destek mesajlaşması, bot cevapları, randevu hatırlatma |
| Müşteri İşlem |
Sipariş numarası, ürün tercihi, satın alma geçmişi |
Sipariş takibi, ürün önerisi, terk edilmiş sepet |
| Konuşma İçeriği |
Müşteri-bot/operatör arası mesaj içeriği |
Cevap üretimi, AI training (anonymized), kalite analizi |
| Lokasyon |
Adres (varsa), IP konum (yaklaşık) |
Yerel teslimat, dil tespiti |
| Pazarlama Tercihi |
Onay/red durumu, abonelik |
İletişim kanalı yönetimi, KVKK uyumu |
Hassas veri (sağlık, biyometrik, dini, etnik vs.) işlenmez. Müşteri bu tür verileri sisteme girmemekle yükümlüdür.
4. İşleme Süresi
Kişisel veriler şu sürelere kadar saklanır:
- Aktif müşteri: Hesap aktif olduğu sürece.
- Pasif veri: Müşteri hesabı kapatıldıktan sonra 30 gün içinde anonimleştirilir veya silinir.
- Yasal saklama yükümlülüğü: Faturalar, sipariş kayıtları gibi VUK gereği 5 yıl (Vergi Usul Kanunu).
- Audit log: Güvenlik amaçlı 90 gün.
5. Reply2Earn'in Yükümlülükleri (Veri İşleyen Olarak)
- Talimat Doğrultusunda İşleme: Veriler yalnızca Müşteri'nin yazılı/elektronik talimatı doğrultusunda işlenir. Reply2Earn kendi adına başka amaçla kullanmaz.
- Gizlilik: Reply2Earn personeli ve alt işleyenleri gizlilik yükümlülüğü altındadır.
- Teknik ve İdari Tedbirler (Madde 7'de detaylı).
- Alt İşleyen Bildirimi: Yeni alt işleyen eklenmeden önce Müşteri'ye 30 gün önceden bildirim yapılır.
- Veri Sahibi Hakları: Veri sahibi talepleri Müşteri'ye iletilir, Müşteri'nin gönderdiği veri silme talepleri 30 gün içinde uygulanır.
- İhlal Bildirimi: Veri ihlali tespitinden itibaren 72 saat içinde Müşteri'ye yazılı (e-posta) bildirim.
- Veri Aktarımı: Yurt dışı aktarım sadece KVKK madde 9 uyumlu çerçevede yapılır (Madde 8'e bakınız).
- İade ve Silme: Sözleşme sona erdiğinde tüm veriler Müşteri'ye iade edilir veya 30 gün içinde silinir.
6. Müşteri'nin Yükümlülükleri (Veri Sorumlusu Olarak)
- Kendi son kullanıcılarına KVKK aydınlatma metni sunmak.
- Açık rıza gereken durumlarda (örn. ticari elektronik ileti / SMS pazarlama) onay almak.
- Sisteme yalnızca işleme amacı dahilinde veri girmek.
- Hassas kişisel veri girmemek.
- Son kullanıcıların veri sahibi haklarını yönetmek (silme, düzeltme talepleri ilk Müşteri'ye gelir).
- Operatör hesaplarının güvenliğinden (şifre, oturum) sorumludur.
- Veri sahibi rızası olmadan toplu mesaj (broadcast) göndermemek — KVKK ve Ticari Elektronik İleti Yönetmeliği'ne uyumlu kullanım.
7. Teknik ve İdari Güvenlik Tedbirleri
7.1 Teknik Tedbirler
- HTTPS/TLS 1.2+ ile tüm iletişim şifreli
- Veri tabanı (PostgreSQL) şifreli depolama (at rest encryption)
- Hassas alanlar (token, API key) encrypted kolonlarda
- Şifreler bcrypt (12 round) ile hash'lenir, plaintext saklanmaz
- API erişimi Bearer token (Sanctum) ile, brute-force koruması mevcut
- Rate limiting: dakikalık istek sınırı (DDoS önleme)
- Audit trail: kritik işlemler 90 gün loglanır
- Otomatik yedekleme (günlük), 7 günlük rolling backup
- Server tarafı: Railway Hobby Cloud — KVKK uyumlu
- Content Security Policy (CSP) + HSTS preload
- SAST + dependency scanning (Sentry)
7.2 İdari Tedbirler
- Verilere yalnızca yetkili Reply2Earn personeli (şu an: tek geliştirici/sahip) erişebilir
- Gizlilik sözleşmesi (NDA) — alt yükleniciler dahil
- Erişim ayrımı (production vs. development)
- Düzenli güvenlik denetimi (3 ayda 1)
- Personel KVKK farkındalık eğitimi (kayıt altında)
8. Alt İşleyenler (Sub-processors)
Reply2Earn aşağıdaki alt işleyenleri kullanmaktadır. Yeni eklenme veya değişiklik durumunda Müşteri 30 gün önceden bilgilendirilir.
| Alt İşleyen |
Amaç |
Lokasyon |
Veri Kategorisi |
| OpenAI Inc. |
AI mesaj üretimi (ChatGPT/gpt-4o-mini), ses transkripsiyon (Whisper) |
ABD |
Mesaj içeriği |
| Meta Platforms Inc. |
WhatsApp Business API, Instagram Graph API |
İrlanda (EU) |
Mesajlaşma metaverisi |
| Railway Corporation |
Sunucu, veritabanı, queue hosting |
ABD (us-east) / EU (opsiyonel) |
Tüm veri |
| Vercel Inc. |
Frontend hosting + CDN |
ABD/EU edge nodes |
Statik dosyalar (kişisel veri içermez) |
| Resend Inc. |
Transaktif email gönderim |
ABD |
E-posta adresi, mesaj içeriği |
| iyzico Ödeme Hizmetleri A.Ş. |
Abonelik ve tek seferlik ödeme |
Türkiye |
Ödeme bilgileri (Reply2Earn'a iletilmez) |
| Sentry.io |
Hata ve performans izleme |
ABD/EU |
Hata stack trace (PII filtrelenmiş) |
| Pusher Ltd. (opsiyonel) |
Real-time bildirim push |
EU |
Sadece eventID + meta (içerik değil) |
Yurt dışı aktarım hukuki dayanağı: KVKK madde 9/1-c ve 9/2-c uyarınca açık rıza ile, ve veri sahibi haklarını koruyacak yeterli korumayı sağlayan
standart sözleşme hükümleri (SCC / DPA) çerçevesinde yapılır.
9. Veri Sahibi Hakları
Veri sahipleri KVKK madde 11 uyarınca şu haklara sahiptir:
- Verilerinin işlenip işlenmediğini öğrenme
- Bilgi talep etme
- İşleme amacını öğrenme ve uygun kullanılıp kullanılmadığını sorgulama
- Yurt içi/yurt dışı aktarılan üçüncü kişileri bilme
- Eksik veya yanlış veriyi düzeltme talep etme
- Verilerinin silinmesini veya yok edilmesini isteme
- Düzeltme/silme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme
- Otomatik sistemlerle analiz sonucu aleyhe oluşan duruma itiraz etme
- Hukuka aykırı işleme nedeniyle zarara uğranılması halinde tazminat talep etme
Başvuru yöntemi:
Bu hakları kullanmak isteyen veri sahibi, önce ilgili Müşteri'ye (verisini topladığı işletmeye) başvurur.
Reply2Earn doğrudan kendisine ulaşan talepleri ilgili Müşteri'ye 7 gün içinde yönlendirir.
Reply2Earn'a yönlendirilen yasal talepler için: aliozarslanse@gmail.com
10. Veri İhlali Bildirimi
- Reply2Earn ihlal tespitinden itibaren 72 saat içinde Müşteri'ye yazılı bildirim yapar.
- Bildirim içeriği: ihlalin niteliği, etkilenen veri sayısı/kategorisi, alınan/önerilen önlemler, iletişim noktası.
- Müşteri kendi son kullanıcılarına ve KVKK Kurulu'na (gerekiyorsa) bildirim yapmakla yükümlüdür.
- Reply2Earn ihlalin tüm aşamalarında Müşteri'ye gerekli teknik ve dokümantasyon desteğini sağlar.
11. Denetim Hakkı
Müşteri, yıllık olarak 1 (bir) kez, en az 30 gün önceden yazılı bildirim ile Reply2Earn'in bu DPA'ya uygunluğunu denetleyebilir.
Denetim makul saatlerde, faaliyetleri aksatmayacak şekilde, gizlilik altında yapılır.
Reply2Earn periyodik penetrasyon testi ve uyum raporlarını Müşteri ile paylaşır.
12. Sözleşmenin Süresi ve Feshi
Bu DPA, Müşteri'nin Reply2Earn hesabı açıkta olduğu sürece geçerlidir. Hesabın kapanması veya
Kullanım Şartları'nın feshi durumunda otomatik olarak sona erer. Sona erme tarihinden itibaren
30 gün içinde tüm Müşteri verisi Reply2Earn sistemlerinden silinir
(yasal saklama yükümlülüğü olan veriler hariç).
13. Sorumluluk Sınırlaması
Reply2Earn, Müşteri tarafından sağlanan yanlış/eksik bilgi, Müşteri'nin son kullanıcılara aydınlatma yapmaması,
veya Müşteri'nin kendi yükümlülüklerini ihlal etmesi nedeniyle doğan zarardan sorumlu tutulamaz.
Reply2Earn'in toplam sorumluluğu, son 12 ayda Müşteri'den tahsil edilen abonelik bedeli ile sınırlıdır.
14. Uygulanacak Hukuk ve Yetkili Mahkeme
Bu sözleşme Türkiye Cumhuriyeti hukukuna tabidir. Uyuşmazlık durumunda
İstanbul (Çağlayan) Mahkemeleri ve İcra Daireleri yetkilidir.
15. Diğer Hükümler
- Bu DPA, taraflar arasındaki diğer sözleşmelerin (Kullanım Şartları, Mesafeli Satış vs.) ayrılmaz parçasıdır.
- Çelişme halinde bu DPA önceliklidir.
- Reply2Earn DPA'da değişiklik yaparsa, Müşteri'ye 30 gün önceden e-posta ile bildirim yapar.
- Müşteri, Reply2Earn'a kayıt olmakla bu DPA'nın tamamını okuduğunu, anladığını ve kabul ettiğini beyan eder.
📝 Onay Beyanı
Reply2Earn'a kayıt olarak ve/veya hizmetleri kullanarak, yukarıdaki şartları
okuduğunuzu, anladığınızı ve kabul ettiğinizi beyan etmiş sayılırsınız.
Bu DPA tarafların imzasına gerek olmaksızın hüküm doğurur.
Veri Sorumlusu
Reply2Earn paneline kayıtlı işletme/kişi
Otomatik onay — hesap açılış tarihi
Veri İşleyen
Reply2Earn — ALİ ÖZARSLAN
VKN: 6640524671
E-posta: aliozarslanse@gmail.com