Veri işleme sözleşmesi kimler için zorunludur?

Kişisel veri işleme faaliyetini üçüncü bir kişi veya kurum aracılığıyla gerçekleştiren tüm veri sorumluları için veri işleme sözleşmesi yapılması zorunludur. Bulut hizmeti, muhasebe, IT destek gibi dış kaynak kullanan tüm işletmeler bu kapsamdadır.

VERBİS kaydı olmadan veri işleme sözleşmesi yapılabilir mi?

Veri işleme sözleşmesi VERBİS kaydından bağımsız olarak yapılabilir ve yapılmalıdır. Ancak VERBİS kaydı zorunlu olan veri sorumluları ayrıca VERBİS bildirimi de yapmalıdır.

Özel nitelikli kişisel veriler için ek önlem gerekir mi?

Evet, KVKK m.6 uyarınca özel nitelikli kişisel veriler (sağlık, biyometrik, din, ırk vb.) için Kurul tarafından belirlenen ek güvenlik tedbirleri alınmalıdır.

Veri işleyen sözleşme olmadan veri işlerse ne olur?

KVKK m.18 uyarınca veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında idari para cezası uygulanabilir. 2024 yılı için bu cezalar 75.000 TL ile 5.000.000 TL arasında değişmektedir.

GDPR veri işleme sözleşmesi KVKK için yeterli mi?

GDPR uyumlu bir veri işleme sözleşmesi KVKK gereksinimlerinin büyük bölümünü karşılar ancak KVKK'ya özgü düzenlemeler (VERBİS, Kurul kararları, yurt dışı aktarım kuralları) için ek maddeler eklenmesi gerekebilir.

İş ve TicaretTürkiye

Ücretsiz KVKK Veri İşleme Sözleşmesi Şablonu

KVKK veri işleme sözleşmesi, veri sorumlusu ile veri işleyen arasındaki kişisel veri işleme ilişkisini düzenleyen zorunlu bir belgedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu uyumlu sözleşme şablonumuzu kullanarak yasal yükümlülüklerinizi karşılayın.

KVKK Veri İşleme Sözleşmesi Oluştur

Ücretsiz kullanımAnında PDFHesap gerekmez

VERİ İŞLEME SÖZLEŞMESİ

6698 Sayılı KVKK M.12 F.2 Kapsamında — Veri Sorumlusu İle Veri İşleyen Arasında

VERİ SORUMLUSU

Prizma SaaS A.Ş.

VKN: 8901234567 · VERBİS: VRB-2024-00567 · Yetkili: Genel Müdür Kemal Özdemir · KVK Sorumlusu: kvk@prizma-saas.com.tr · Atatürk Mah. Cumhuriyet Cad. No:15/3, Kadıköy / İstanbul

VERİ İŞLEYEN

BulutDepo Teknoloji Ltd. Şti.

VKN: 5678901234 · Yetkili: CTO Deniz Çelik · Cyberpark Blok D No:22, Bilkent / Ankara

İşleme Amacı: Müşteri ilişkileri yönetimi (CRM), fatura işleme ve 7/24 teknik destek hizmetleri için müşteri ve çalışan kişisel verilerinin bulut altyapısında güvenli biçimde saklanması, işlenmesi ve yetkili personele sunulması. · Yöntem: Otomatik

Tarih: 2025-04-15

İşbu Veri İşleme Sözleşmesi ("Sözleşme"), Veri Sorumlusu ile Veri İşleyen arasında 2025-04-15 tarihinde, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 12. maddesinin 2. fıkrası kapsamında akdedilmiştir. KVKK m.12 f.2 uyarınca Veri Sorumlusu, kişisel verilerin başka gerçek veya tüzel kişiler tarafından işlenmesi hâlinde gerekli güvenlik tedbirlerinin alınması için Veri İşleyen'e talimat vermekle yükümlüdür. Veri İşleyen, yalnızca bu Sözleşme'de ve Veri Sorumlusu talimatlarında belirlenen sınırlar dahilinde kişisel veri işleyebilir.

TARAFLARIN ROLLERİ (KVKK M.3/I)

Veri Sorumlusu (KVKK m.3/ı): Kişisel verilerin işleme amaç ve yöntemlerini belirleyen, verilerin tutulduğu veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan taraf. Veri Sorumlusu, KVKK kapsamındaki yükümlülüklerin tamamından nihai olarak sorumludur.

Veri İşleyen (KVKK m.3/ğ): Veri Sorumlusu adına, onun verdiği yetkiye ve talimatlara dayanarak kişisel veri işleyen gerçek veya tüzel kişi. Veri İşleyen, yalnızca Veri Sorumlusu'nun yetkilendirdiği amaç ve kapsamda hareket eder; bağımsız olarak veri işleme kararı alamaz.

Bu Sözleşme kapsamında Veri İşleyen, Veri Sorumlusu adına Müşteri ilişkileri yönetimi (CRM), fatura işleme ve 7/24 teknik destek hizmetleri için müşteri ve çalışan kişisel verilerinin bulut altyapısında güvenli biçimde saklanması, işlenmesi ve yetkili personele sunulması. amacıyla kişisel veri işlemektedir.

İŞLENECEK VERİ KATEGORİLERİ (KVKK M.3/D)

Bu Sözleşme kapsamında işlenecek kişisel veri kategorileri: Kimlik, İletişim, Finansal, Çalışan.

İşlenecek kişisel verilerin hukuki niteliği:
• Genel nitelikli kişisel veriler (KVKK m.5): Kimlik, iletişim, finansal, işlem ve davranışsal veriler.
• Özel nitelikli kişisel veriler (KVKK m.6): Sağlık ve biyometrik veriler — bu kategoriler için KVKK m.6 f.3 kapsamında açık rıza veya kanunen zorunluluk şartı aranır.

Veri işleme, yukarıda belirlenen kategorilerin dışına çıkamaz. Yeni veri kategorisinin eklenmesi Veri Sorumlusu'nun yazılı onayını gerektirir.

İŞLEME AMACI VE KAPSAMI (KVKK M.5)

Kişisel veriler yalnızca şu amaç doğrultusunda işlenir: Müşteri ilişkileri yönetimi (CRM), fatura işleme ve 7/24 teknik destek hizmetleri için müşteri ve çalışan kişisel verilerinin bulut altyapısında güvenli biçimde saklanması, işlenmesi ve yetkili personele sunulması..

İşleme yöntemi: Otomatik. İşleme faaliyetleri yalnızca belirtilen amaçla sınırlıdır; amacın dışında hiçbir işleme yapılamaz. KVKK m.5 kapsamındaki işleme şartlarından en az birine dayanılmaktadır; bu şartların sağlanıp sağlanmadığını denetleme sorumluluğu Veri Sorumlusu'na aittir. Veri Sorumlusu, ilgili kişilere KVKK m.10 kapsamında aydınlatma yükümlülüğünü yerine getirir.

VERİ GÜVENLİĞİ TEDBİRLERİ (KVKK M.12)

Veri İşleyen, KVKK m.12 ve Kişisel Verileri Koruma Kurulu kılavuzları çerçevesinde aşağıdaki güvenlik tedbirlerini almakla yükümlüdür:

Teknik Tedbirler:
• Şifreleme (AES-256 veya eşdeğeri kriptografik standart)
• Erişim denetimi — yalnızca yetkili personel erişimi; "en az ayrıcalık" ilkesi
• Güvenlik duvarı, saldırı tespit/önleme sistemleri
• Düzenli güvenlik güncellemeleri ve yama yönetimi
• Yılda en az bir kez sızma testi ve güvenlik denetimi
• Veri yedekleme ve felaket kurtarma planı

İdari Tedbirler:
• Kişisel verilere erişen personelin gizlilik taahhütnamesi imzalaması
• Veri işleme eğitimi (yılda en az bir kez)
• İç veri güvenliği politikası ve prosedürleri
• Kişisel veri envanteri tutulması

Bu yükümlülüklerin yerine getirilmemesinden kaynaklanan zararlar Veri İşleyen'e rücu edilir.

VERİ İŞLEYENİN GENEL YÜKÜMLÜLÜKLERİ

Veri İşleyen şu yükümlülükleri üstlenir:

(a) Kişisel verileri yalnızca Veri Sorumlusu'nun yazılı talimatları doğrultusunda işlemek; talimatlara aykırı işleme derhal Veri Sorumlusu'na bildirmek;
(b) Verileri gizli tutmak; personelini gizlilik yükümlülüğüne bağlamak ve bu Sözleşme'nin sona ermesinden sonra da yükümlülüğün devam ettiğini taahhüt etmek;
(c) İlgili kişilerin hakları (erişim, silme, itiraz vb.) konusunda Veri Sorumlusu'na derhal yardımcı olmak;
(d) Denetim için gerekli belgeleri, erişim imkânını ve bilgiyi sağlamak;
(e) Sözleşme sona erdiğinde tüm kişisel verileri iade etmek veya imha etmek.

SÖZLEŞME SÜRESİ

Bu Sözleşme, 2 yıl süreyle geçerlidir. Ana hizmet sözleşmesinin sona ermesi hâlinde bu Sözleşme de otomatik olarak sona erer. Sona erme tarihinden itibaren 30 (otuz) günlük geçiş süreci uygulanır; bu sürede Veri İşleyen mevcut veri işleme faaliyetlerini düzenli olarak sonlandırır ve iade/imha sürecini tamamlar.

UYGULANACAK HUKUK VE YETKİLİ MAKAM

Bu Sözleşme, 6698 sayılı KVKK ve ilgili ikincil mevzuat ile Türk Hukuku'na tabidir. Kişisel Verileri Koruma Kurumu'nun idari yaptırım uygulama yetkisi her koşulda saklıdır. Sözleşme uyuşmazlıklarında İstanbul Mahkemeleri yetkilidir.

ALT VERİ İŞLEYEN (KVKK M.12 F.2)

Veri İşleyen, kişisel verilerin işlenmesinde alt veri işleyen kullanmak istediğinde Veri Sorumlusu'nun önceden yazılı onayını almak zorundadır. Onaysız alt işleyen kullanımı bu Sözleşme'nin ihlali sayılır.

Alt veri işleyen ile en az bu Sözleşme ile aynı güvenlik standartlarını içeren bir veri işleme sözleşmesi akdedilir. Veri İşleyen, alt veri işleyenin eylemlerinden ve ihmali sonucu ortaya çıkan ihlallerden Veri Sorumlusu'na karşı doğrudan sorumludur. Alt veri işleyenin değiştirilmesi veya eklenmesi için Veri Sorumlusu'na önceden bildirim yapılır.

VERİ İHLALİ BİLDİRİMİ (KVKK M.12 F.5 — 72 SAAT)

Kişisel veri ihlali (yetkisiz erişim, kayıp, değiştirme veya yok etme) farkındalığının oluşmasından itibaren Veri İşleyen, 72 saat içinde Veri Sorumlusu'nu yazılı olarak bilgilendirmekle yükümlüdür.

Bildirim şu bilgileri içermelidir:
• İhlal türü ve kapsamı
• Etkilenen kişisel veri kategorileri ve tahmini veri sahibi sayısı
• Olası sonuçlar ve riskler
• Alınan ve planlanan önlemler
• İletişim için sorumlu kişi bilgisi

KVKK m.12 f.5 uyarınca Veri Sorumlusu, gerekli durumlarda ihlali en kısa sürede Kişisel Verileri Koruma Kurumu'na bildirir. Gecikmeli bildirimden kaynaklanacak idari para cezaları Veri İşleyen'e rücu edilir.

10.

SÖZLEŞME SONA ERDİĞİNDE VERİ SİLME / İADE

Bu Sözleşme'nin herhangi bir nedenle sona ermesinden itibaren 15 (on beş) iş günü içinde Veri İşleyen şu işlemleri tamamlar:

(a) Tüm kişisel verileri Veri Sorumlusu'nun tercihine göre orijinal formatta iade eder veya geri dönüşümsüz biçimde imha eder;
(b) Sistemlerdeki tüm yedek kopyalar ve arşivler dahil verilerin silindiğini belgeler;
(c) İmha tutanağını Veri Sorumlusu'na yazılı olarak iletir;
(d) Yasal zorunluluk nedeniyle belirli verilerin saklanması gerekiyorsa bu durumu ve gerekçesini Veri Sorumlusu'na bildirir.

Silme ve imha, "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik" hükümleri çerçevesinde gerçekleştirilir.

11.

DENETİM HAKKI

Veri Sorumlusu veya Veri Sorumlusu'nun atadığı bağımsız denetçi, Veri İşleyen'in KVKK ve bu Sözleşme'ye uyumunu doğrulamak amacıyla yılda en fazla 1 (bir) kez, 10 (on) iş günü önceden yazılı bildirimle denetim gerçekleştirebilir.

Veri İşleyen;
• Denetim için gerekli belgeleri, sistemlere erişimi ve personeli hazır bulundurmak,
• Makul iş gün ve saatlerinde denetimi kolaylaştırmak,
• Denetim sonuçlarına ilişkin düzeltici faaliyetleri makul sürede tamamlamak
yükümlülüklerini kabul eder. Denetim giderleri Veri Sorumlusu'na aittir; ciddi ihlal tespitinde giderler Veri İşleyen'e yansıtılabilir.

İŞBU SÖZLEŞME taraflarca yukarıda belirtilen tarihte imzalanmıştır.

VERİ SORUMLUSU

Prizma SaaS A.Ş.

Tarih: ____________________

VERİ İŞLEYEN

BulutDepo Teknoloji Ltd. Şti.

Tarih: ____________________

KVKK veri işleme sözleşmesi nedir?

KVKK veri işleme sözleşmesi, kişisel verilerin işlenmesinde veri sorumlusu (verilerin işleme amacını ve vasıtalarını belirleyen gerçek veya tüzel kişi) ile veri işleyen (veri sorumlusunun verdiği yetkiye dayanarak veri işleme faaliyeti gerçekleştiren kişi) arasındaki hak ve yükümlülükleri düzenleyen sözleşmedir.

6698 sayılı KVKK m.12 uyarınca veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişimini önlemek, verilerin muhafazasını sağlamak amacıyla gerekli teknik ve idari tedbirleri almakla yükümlüdür. Veri işleyen ile yapılacak sözleşme bu tedbirlerin en önemli parçasıdır.

AB GDPR ile uyumlu çalışan işletmeler için bu sözleşme ayrıca önem taşır. KVKK ve GDPR arasındaki uyum gereksinimleri dikkate alınarak hazırlanmış bir veri işleme sözleşmesi, uluslararası veri transferlerinde de güvence sağlar.

Bu şablon neleri kapsar?

KVKK veri işleme sözleşmesi şablonumuz aşağıdaki temel unsurları içerir.

Taraf bilgileri

Veri sorumlusu ve veri işleyenin unvan, adres, VERBİS kayıt numarası ve irtibat kişi bilgileri.

İşlenen veri kategorileri

İşlenen kişisel verilerin türleri: kimlik, iletişim, finansal, özel nitelikli veriler.

İşleme amacı ve hukuki dayanak

Kişisel verilerin hangi amaçlarla ve hangi hukuki dayanaklarla işleneceği.

Teknik ve idari tedbirler

Veri güvenliğini sağlamak için alınacak şifreleme, erişim kontrolü ve organizasyonel önlemler.

Alt veri işleyenler

Alt veri işleyen kullanımı, onay mekanizması ve sorumluluk zinciri.

Veri transferi

Yurt içi ve yurt dışı veri aktarımı kuralları ve güvenlik önlemleri.

İlgili kişi hakları

Veri sahiplerinin başvuru haklarının karşılanması için işbirliği yükümlülükleri.

İhlal bildirimi

Veri ihlali halinde bildirim süreci, süreleri ve sorumluluklar.

KVKK veri işleme sözleşmesi nasıl hazırlanır?

Beş adımda KVKK uyumlu veri işleme sözleşmesi oluşturun.

1
Veri işleme ilişkisini tanımlayın
Veri sorumlusu ve veri işleyen rollerini, veri kategorilerini ve işleme amaçlarını belirleyin.
2
Taraf bilgilerini girin
Her iki tarafın unvan, VERBİS kayıt ve irtibat kişi bilgilerini doldurun.
3
Güvenlik tedbirlerini belirleyin
Teknik (şifreleme, erişim kontrolü) ve idari (eğitim, politikalar) tedbirleri tanımlayın.
4
Transfer ve alt işleyen kurallarını düzenleyin
Veri transferi koşullarını ve alt veri işleyen kullanım kurallarını belirleyin.
5
Önizleyin ve indirin
Canlı önizleme ile sözleşmenizi kontrol edin ve PDF olarak indirin.

Hukuki bilgiler

KVKK veri işleme sözleşmesi hazırlarken dikkat edilmesi gereken yasal düzenlemeler.

Bu şablon yalnızca bilgilendirme amacıyla sunulmuş olup hukuki danışmanlık niteliğinde değildir.

Veri sorumlusunun yükümlülükleri

KVKK m.12 uyarınca veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini önlemek, verilere hukuka aykırı erişimi engellemek ve verilerin muhafazasını sağlamak için gerekli her türlü teknik ve idari tedbiri almakla yükümlüdür.

VERBİS kaydı

Veri sorumlusu sicil bilgi sistemi (VERBİS) kaydı zorunlu olan veri sorumluları, veri işleyen ile ilişkilerini de VERBİS üzerinden bildirmekle yükümlüdür.

Yurt dışı veri aktarımı

KVKK m.9 uyarınca kişisel veriler, ilgili kişinin açık rızası olmadan yurt dışına aktarılamaz. Yeterli korumanın bulunduğu ülkelere veya taahhütname ile aktarım yapılabilir. Kurul kararlarına uygunluk zorunludur.

Veri ihlali bildirimi

KVKK m.12/5 uyarınca veri sorumlusu, kişisel veri ihlalini en kısa sürede ve her halde 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirmekle yükümlüdür. İlgili kişilere de makul sürede bildirim yapılmalıdır.

Sıkça sorulan sorular

KVKK veri işleme sözleşmesi oluşturun

6698 sayılı KVKK uyumlu veri işleme sözleşmesi şablonumuzu kullanarak veri koruma yükümlülüklerinizi karşılayın ve PDF olarak indirin.

KVKK Veri İşleme Sözleşmesi Oluştur Tüm Şablonları Gör

Ücretsiz · Anında PDF · Hesap gerekmez