Veri İşleme Sözleşmesi
İşbu Veri İşleme Sözleşmesi (“Sözleşme”), KeyBrox platformu üzerinde sanal ofis açan Broker (“Veri Sorumlusu”) ile platformun teknik altyapısını işleten ASTRAL GAYRİMENKUL DANIŞMANLIK TİCARET LİMİTED ŞİRKETİ (“Veri İşleyen”) arasındaki kişisel veri işleme ilişkisini düzenler.
1. Taraflar
| Rol | Taraf | Açıklama |
|---|---|---|
| Veri Sorumlusu (Data Controller) | Broker Ofis | Sanal ofisindeki danışmanların ve müşterilerin kişisel verilerinin işlenmesine karar veren, işleme amacını ve araçlarını belirleyen taraf. |
| Veri İşleyen (Data Processor) | ASTRAL GAYRİMENKUL DANIŞMANLIK TİCARET LİMİTED ŞİRKETİ | Veri Sorumlusunun talimatları doğrultusunda, platform teknik altyapısı üzerinden kişisel verileri işleyen taraf. |
2. Tanımlar
- Kişisel Veri: Kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi (KVKK Madde 3/1-d).
- İşleme: Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açılanması, aktarılması, sınıflandırılması ya da kullanımının engellenmesi gibi veriler üzerinde yapılan her türlü işlem (KVKK Madde 3/1-e).
- Alt İşleyen (Sub-Processor): Veri İşleyen tarafından veri işleme faaliyetlerinin bir kısmını gerçekleştirmek üzere yetkilendirilen üçüncü taraf.
- Veri İhlali: İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi (KVKK Madde 12/5).
- Platform: keybrox.com üzerinden erişilebilen KeyBrox SaaS uygulaması ve ilgili API hizmetleri.
3. İşleme Konusu ve Kapsamı
3.1. İşlenen Veri Kategorileri
| Kategori | Örnekler |
|---|---|
| Kimlik verileri | Ad, soyad, T.C. kimlik no (muhasebe için) |
| İletişim verileri | Telefon, e-posta, iş adresi |
| Finansal veriler | Komisyon, fatura, ödeme bilgileri |
| Mesleki veriler | Performans metrikleri, işlem geçmişi, portföy |
| Lokasyon verileri | GPS (panik, gezdirme, AR fiyat) |
| Dijital iz | IP, cihaz bilgisi, oturum logları |
| Görsel/işitsel | Profil fotoğrafı, imza, arabuluculuk dosyaları |
3.2. İlgili Kişi Grupları
- Broker ofis danışmanları (çalışanlar)
- Broker ofis müşterileri (alıcı/satıcı adayları)
- Mal sahipleri (ilan verenler)
- Ziyaretçiler (gezdirme katılımcıları)
3.3. İşleme Amacı
Veri İşleyen, kişisel verileri yalnızca Platform hizmetinin sunulması amacıyla ve Veri Sorumlusunun yazılı talimatları doğrultusunda işler. Bu amaçlar:
- CRM işlevlerinin sağlanması (portföy, eşleştirme, mesajlaşma)
- İşlem ve komisyon yönetimi
- Gamification modülleri (XP, leaderboard hesaplama)
- Push bildirim gönderimi
- Raporlama ve analitik (anonim olarak)
- Güvenlik (panik butonu, erişim logları)
- Yedekleme ve felaket kurtarma
4. İşleme Talimatları
- Veri İşleyen, kişisel verileri yalnızca Veri Sorumlusunun yazılı (Platform kullanım sözleşmesi dahil) talimatlarına uygun olarak işler.
- Veri İşleyen, talimatların hukuka aykırı olduğunu düşünürse Veri Sorumlusunu derhal bilgilendirir.
- Veri İşleyen, talimatların dışına çıkarak kişisel verileri kendi amaçları için işleyemez.
- Platform özellikleri (gamification, arabuluculuk, asist zinciri) genel işleme talimatı kapsamındadır; Broker, hesap ayarlarından bu modülleri aktif/deaktif edebilir.
5. Güvenlik Önlemleri
Veri İşleyen, KVKK Madde 12 ve GDPR Madde 32 kapsamında aşağıdaki teknik ve idari güvenlik önlemlerini uygular:
5.1. Teknik Önlemler
| Önlem | Detay |
|---|---|
| Aktarım şifrelemesi | TLS 1.3 (tüm HTTP trafiği HTTPS üzerinden) |
| Depolama şifrelemesi | AES-256-GCM (oturum çerezleri), bcrypt (şifreler) |
| Erişim kontrolü | RBAC (Broker/Danışman/Admin), JWT kimlik doğrulama |
| Tenant izolasyonu | Multi-tenant veri ayrımı (user_id + office_id filtre) |
| Güvenlik duvarı | Cloudflare WAF + DDoS koruması |
| Yedekleme | Günlük otomatik (7 gün retention), 4 saatte bir incremental |
| Log yönetimi | Erişim logları 2 yıl (5651 sayılı Kanun), değiştirilemez |
| Güvenlik testi | Periyodik vulnerability scan, dependency audit |
| Pseudonimizasyon | Telefon numaraları SHA-256 hash ile (arabuluculuk, asist) |
5.2. İdari Önlemler
- Tüm personel gizlilik sözleşmesi imzalar.
- Yıllık KVKK farkındalık eğitimi.
- Erişim yetki matrisi: minimum veri ilkesi (need-to-know).
- Veri işleme envanteri ve kayıt sistemi.
- 6 aylık iç denetim.
- İşbırakçılere ayrılma prosedürü (erişim anında iptal).
6. Alt İşleyenler (Sub-Processors)
6.1. Mevcut Alt İşleyenler
Veri İşleyen, aşağıdaki alt işleyenlerle çalışmaktadır. Veri Sorumlusu, işbu sözleşmeyi kabul ederek bu alt işleyicilerin kullanımına genel onay vermiştir:
| Alt İşleyen | Konum | İşleme Amacı | Koruma |
|---|---|---|---|
| Vercel Inc. | ABD | Frontend hosting, edge rendering, CDN | SCC + SOC 2 Type II |
| Hostinger International | Litvanya (AB) | Backend hosting, veritabanı | GDPR uyumlu (AB lokasyonu) |
| OneSignal Inc. | ABD | Push bildirim gönderim altyapısı | SCC + DPA |
| OpenAI Inc. | ABD | AI Asistan (GPT-4o) — sohbet işlemleri | SCC + DPA + zero-retention policy |
| Google LLC (Firebase) | ABD/AB | FCM push altyapısı | SCC + ISO 27001 |
| Cloudflare Inc. | Global | CDN, DNS, WAF güvenlik | SCC + ISO 27001 + SOC 2 |
6.2. Yeni Alt İşleyen Eklenmesi
- Veri İşleyen, yeni alt işleyen eklemeden önce Veri Sorumlusunu en az 30 gün öncesinden Platform içi bildirim ve e-posta ile bilgilendirir.
- Veri Sorumlusu, 15 gün içinde yazılı itirazda bulunabilir.
- İtiraz halinde taraflar makul bir çözüm ararlar; çözüm bulunamazsa Veri Sorumlusu sözleşmeyi feshedebilir.
- Veri İşleyen, alt işleyenlerle en az işbu sözleşmedeki seviyede güvenlik taahhütleri içeren yazılı sözleşme imzalar.
7. Veri İhlali Bildirimi
7.1. Bildirim Süresi
Veri İşleyen, bir veri ihlalinden haberdar olduktan sonra en geç 24 saat içindeVeri Sorumlusunu bilgilendirir. Bu süre GDPR Madde 33'teki 72 saatlik Kurul bildirim süresinden önce tetiklenir, böylece Veri Sorumlusu yasal yükümlülüğünü yerine getirebilir.
7.2. Bildirim İçeriği
Veri ihlali bildiriminde aşağıdaki bilgiler yer alır:
- İhlalin niteliği (erişim, silme, değiştirme, paylaşım)
- Etkilenen veri kategorileri ve tahmini kayıt sayısı
- Etkilenen ilgili kişi grupları
- İhlalin muhtemel sonuçları
- Alınan ve alınması önerilen önlemler
- İrtibat kişi bilgileri
7.3. Müdahale Planı
- 0-2 saat: İhlalin tespiti, etki alanının belirlenmesi, erişimin kesilmesi.
- 2-24 saat: Veri Sorumlusuna bildirim, forensic inceleme başlatılması.
- 24-72 saat: Veri Sorumlusu KVKK Kuruluna bildirir (Madde 12/5), ilgili kişilere bildirim kararı.
- 72 saat sonrası: Kök neden analizi, önleyici tedbirlerin uygulanması, Veri Sorumlusuna kapanış raporu.
8. Uluslararası Veri Aktarımı
8.1. Aktarım Mekanizmaları
Alt işleyenlerle AB/EEA dışı ülkelere veri aktarımında aşağıdaki mekanizmalar kullanılır:
- AB Standart Sözleşme Maddeleri (SCC):Avrupa Komisyonu'nun 2021/914 sayılı Uygulama Kararı ile onaylanan standart maddeler.
- Ek Teknik Önlemler: Aktarım sırasında TLS 1.3 şifreleme, depolama sırasında AES-256, pseudonimizasyon.
- Transfer Etki Değerlendirmesi (TIA): Her alt işleyicinin bulunduğu ülkedeki erişim yetkileri (FISA 702 vb.) değerlendirilmiştir.
8.2. KVKK Madde 9 Uyumu
Yurt dışı aktarımlar, KVKK Madde 9/2 kapsamında Kurul tarafından yeterli koruma bulunan ülkelere veya yeterli korumanın yazılı olarak taahhüt edildiği ve Kurul izninin bulunduğu durumlarda gerçekleştirilir. Kurul kararı beklenen aktarımlar için açık rıza mekanizması uygulanır.
9. Denetim Hakkı
- Veri Sorumlusu, yılda bir kez (veya veri ihlali sonrasında) Veri İşleyenin işbu sözleşmeye uyumunu denetleme hakkına sahiptir.
- Denetim en az 30 gün öncesinden yazılı bildirimle talep edilir.
- Denetim, Veri İşleyenin iş sürekliliği aksatmayacak şekilde mesai saatleri içinde gerçekleştirilir.
- Veri İşleyen, bağımsız üçüncü taraf denetim raporlarını (SOC 2, ISO 27001) Veri Sorumlusu ile paylaşabilir; bu raporlar yerinde denetim yerine geçebilir (karşılıklı mutabakat ile).
- Denetim masrafları Veri Sorumlusuna aittir (veri ihlali kaynaklı denetimler hariç).
10. Sözleşme Süresi ve Fesih
10.1. Süre
İşbu Sözleşme, Platform üyelik sözleşmesi ile aynı tarihte başlar ve üyelik devam ettiği sürece geçerlidir. Üyelik sözleşmesinin sona ermesi ile işbu Sözleşme de kendiliğinden sona erer.
10.2. Fesih Halleri
- Platform üyelik sözleşmesinin herhangi bir sebeple sona ermesi.
- Veri İşleyenin işbu sözleşme yükümlülüklerini ağır şekilde ihlal etmesi ve 30 günlük ihtar süresinde düzeltmemesi.
- Alt işleyen değişikliğine yapılan itirazın çözümsüz kalması.
- Yasal düzenleme değişikliği nedeniyle işlemenin imkansız hale gelmesi.
11. Veri İadesi ve İmhası
11.1. Sözleşme Sona Erdiğinde
- Veri Sorumlusu, sözleşme bitiminden itibaren 30 gün içinde verilerinin iade edilmesini (JSON/CSV format) veya imha edilmesini talep edebilir.
- Talep yapılmadığında, Veri İşleyen sözleşme bitiminden 90 gün sonra tüm kişisel verileri geri döndürülmez şekilde imha eder.
11.2. İmha Yöntemleri
- Veritabanı kayıtları: Kalıcı silme (DELETE + VACUUM) veya kriptografik silme (şifreleme anahtarı imhası).
- Dosyalar (görsel, belge): Dosya sistemi düzeyinde üzerine yazma (overwrite) ve silme.
- Yedekler: Yedek döngü süresi (7 gün) içinde doğal olarak kaybolur; ek olarak manuel purge.
- Log kayıtları: Yasal saklama süresi (2 yıl, 5651 sayılı Kanun) dolana kadar saklanır, sonra otomatik silinir.
11.3. İmha Belgesi
Veri İşleyen, imha işlemini tamamladığında Veri Sorumlusuna yazılı bir “Veri İmha Belgesi” gönderir. Bu belge imha tarihini, yöntemini ve kapsamını içerir.
12. İşbirliği Yükümlülüğü
Veri İşleyen, aşağıdaki durumlarda Veri Sorumlusuna işbirliği yapar:
- İlgili kişi hakları başvuruları (erişim, silme, düzeltme, taşıma): en geç 5 işgün içinde gerekli bilgiyi sağlar.
- Veri Koruma Etki Değerlendirmesi (DPIA): Gerekli teknik bilgileri ve risk değerledirmesini paylaşır.
- KVKK Kurulu veya ilgili otorite soruşturması: İstenen bilgi ve dokümanları zamanında sağlar.
13. Sorumluluk ve Tazminat
- Veri İşleyen, işbu sözleşmede belirtilen yükümlülüklere aykırı davranışı sonucu Veri Sorumlusunun uğradığı zararı tazmin eder.
- Veri İşleyenin azami sorumluluğu, zararın meydana geldiği yıldan önceki 12 ayda alınan toplam platform ücretini aşamaz (ağır ihmal ve kasıt dışında).
- Veri Sorumlusu, yanlış veya eksik talimat vermesi nedeniyle ortaya çıkan zararlardan sorumludur.
14. Uygulanacak Hukuk ve Yetkili Mahkeme
İşbu Sözleşme Türkiye Cumhuriyeti hukukuna tabidir. Sözleşmeden doğan uyuşmazlıklarda İzmir Mahkemeleri ve İcra Daireleri yetkilidir.
15. İletişim
Veri İşleyen (ASTRAL GAYRİMENKUL DANIŞMANLIK TİCARET LİMİTED ŞİRKETİ):
Veri Koruma Sorumlusu: kvkk@keybrox.com
KEP: astralgayrimenkuldanismanlik@hs01.kep.tr
Adres: Aksoy Mahallesi Girne Caddesi 36/3 Zemin Kat Karşıyaka/İZMİR
Telefon: +90 505 869 00 81
16. Ekler
- Ek-1: İşlenen veri kategorileri ve ilgili kişi grupları detayı (işbu sözleşme Bölüm 3)
- Ek-2: Teknik ve idari güvenlik önlemleri detayı (işbu sözleşme Bölüm 5)
- Ek-3: Alt işleyenler listesi (işbu sözleşme Bölüm 6.1 — güncellenen liste Platform üzerinden yayınlanır)
- Ek-4: AB Standart Sözleşme Maddeleri (SCC) — ilgili alt işleyenlerle imzalanan kopyalar talep üzerine sunulur