AstraASTRA← Geri

Veri Isleme Sozlesmesi

Son guncelleme: Mayis 2026 · Versiyon 1.0
Data Processing Agreement (DPA) — KVKK Madde 12 ve GDPR Madde 28 kapsaminda

Isbu Veri Isleme Sozlesmesi (“Sozlesme”), Astra platformu uzerinde sanal ofis acan Broker (“Veri Sorumlusu”) ile platformun teknik altyapisini isleten StartKey Teknoloji (“Veri Isleyen”) arasindaki kisisel veri isleme iliskisini duzenler.

1. Taraflar

RolTarafAciklama
Veri Sorumlusu (Data Controller)Broker OfisSanal ofisindeki danismanlarin ve musterilerin kisisel verilerinin islenmesine karar veren, isleme amacini ve araclarini belirleyen taraf.
Veri Isleyen (Data Processor)StartKey TeknolojiVeri Sorumlusunun talimatlari dogrultusunda, platform teknik altyapisi uzerinden kisisel verileri isleyen taraf.

2. Tanimlar

  • Kisisel Veri: Kimliği belirli veya belirlenebilir bir gercek kisiye iliskin her turlu bilgi (KVKK Madde 3/1-d).
  • Isleme: Kisisel verilerin elde edilmesi, kaydedilmesi, depolanmasi, muhafaza edilmesi, degistirilmesi, yeniden duzenlenmesi, acilanmasi, aktarilmasi, siniflandirilmasi ya da kullaniminin engellenmesi gibi veriler uzerinde yapilan her turlu islem (KVKK Madde 3/1-e).
  • Alt Isleyen (Sub-Processor): Veri Isleyen tarafindan veri isleme faaliyetlerinin bir kismini gerceklestirmek uzere yetkilendirilen ucuncu taraf.
  • Veri Ihlali: Islenen kisisel verilerin kanuni olmayan yollarla baskalan tarafindan elde edilmesi (KVKK Madde 12/5).
  • Platform: app.startkeyastra.com uzerinden erisilebilen Astra SaaS uygulamasi ve ilgili API hizmetleri.

3. Isleme Konusu ve Kapsami

3.1. Islenen Veri Kategorileri

KategoriOrnekler
Kimlik verileriAd, soyad, T.C. kimlik no (muhasebe icin)
Iletisim verileriTelefon, e-posta, is adresi
Finansal verilerKomisyon, fatura, odeme bilgileri
Mesleki verilerPerformans metrikleri, islem gecmisi, portfoy
Lokasyon verileriGPS (panik, gezdirme, AR fiyat)
Dijital izIP, cihaz bilgisi, oturum loglari
Gorsel/isitselProfil fotografi, imza, arabuluculuk dosyalari

3.2. Ilgili Kisi Gruplari

  • Broker ofis danismanlari (calisanlar)
  • Broker ofis musterileri (alici/satici adaylari)
  • Mal sahipleri (ilan verenler)
  • Ziyaretciler (gezdirme katilimcilari)

3.3. Isleme Amaci

Veri Isleyen, kisisel verileri yalnizca Platform hizmetinin sunulmasi amaciyla ve Veri Sorumlusunun yazili talimatlari dogrultusunda isler. Bu amaclar:

  • CRM islevlerinin saglanmasi (portfoy, eslestirme, mesajlasma)
  • Islem ve komisyon yonetimi
  • Gamification modulleri (XP, leaderboard hesaplama)
  • Push bildirim gonderimi
  • Raporlama ve analitik (anonim olarak)
  • Guvenlik (panik butonu, erisim loglari)
  • Yedekleme ve felaket kurtarma

4. Isleme Talimatlari

  • Veri Isleyen, kisisel verileri yalnizca Veri Sorumlusunun yazili (Platform kullanim sozlesmesi dahil) talimatlarina uygun olarak isler.
  • Veri Isleyen, talimatlarin hukuka aykiri oldugunu dusunurse Veri Sorumlusunu derhal bilgilendirir.
  • Veri Isleyen, talimatlarin disina cikarak kisisel verileri kendi amaclari icin isleyemez.
  • Platform ozellikleri (gamification, arabuluculuk, asist zinciri) genel isleme talimati kapsamindadir; Broker, hesap ayarlarindan bu modulleri aktif/deaktif edebilir.

5. Guvenlik Onlemleri

Veri Isleyen, KVKK Madde 12 ve GDPR Madde 32 kapsaminda asagidaki teknik ve idari guvenlik onlemlerini uygular:

5.1. Teknik Onlemler

OnlemDetay
Aktarim sifrelemesiTLS 1.3 (tum HTTP trafigi HTTPS uzerinden)
Depolama sifrelemesiAES-256-GCM (oturum cerezleri), bcrypt (sifreler)
Erisim kontroluRBAC (Broker/Danisman/Admin), JWT kimlik dogrulama
Tenant izolasyonuMulti-tenant veri ayrimi (user_id + office_id filtre)
Guvenlik duvariCloudflare WAF + DDoS korumasi
YedeklemeGunluk otomatik (7 gun retention), 4 saatte bir incremental
Log yonetimiErisim loglari 2 yil (5651 sayili Kanun), degistirilemez
Guvenlik testiPeriyodik vulnerability scan, dependency audit
PseudonimizasyonTelefon numaralari SHA-256 hash ile (arabuluculuk, asist)

5.2. Idari Onlemler

  • Tum personel gizlilik sozlesmesi imzalar.
  • Yillik KVKK farkindalik egitimi.
  • Erisim yetki matrisi: minimum veri ilkesi (need-to-know).
  • Veri isleme envanteri ve kayit sistemi.
  • 6 aylik ic denetim.
  • Isbirakcilere ayrilma proseduru (erisim aninda iptal).

6. Alt Isleyenler (Sub-Processors)

6.1. Mevcut Alt Isleyenler

Veri Isleyen, asagidaki alt isleyenlerle calismaktadir. Veri Sorumlusu, isbu sozlesmeyi kabul ederek bu alt isleyicilerin kullanimina genel onay vermistir:

Alt IsleyenKonumIsleme AmaciKoruma
Vercel Inc.ABDFrontend hosting, edge rendering, CDNSCC + SOC 2 Type II
Hostinger InternationalLitvanya (AB)WordPress backend hosting, veritabaniGDPR uyumlu (AB lokasyonu)
OneSignal Inc.ABDPush bildirim gonderim altyapisiSCC + DPA
OpenAI Inc.ABDAI Asistan (GPT-4o) — sohbet islemleriSCC + DPA + zero-retention policy
Google LLC (Firebase)ABD/ABFCM push altyapisiSCC + ISO 27001
Cloudflare Inc.GlobalCDN, DNS, WAF guvenlikSCC + ISO 27001 + SOC 2

6.2. Yeni Alt Isleyen Eklenmesi

  • Veri Isleyen, yeni alt isleyen eklemeden once Veri Sorumlusunu en az 30 gun oncesinden Platform ici bildirim ve e-posta ile bilgilendirir.
  • Veri Sorumlusu, 15 gun icinde yazili itirazda bulunabilir.
  • Itiraz halinde taraflar makul bir cozum ararlar; cozum bulunamazsa Veri Sorumlusu sozlesmeyi feshedebilir.
  • Veri Isleyen, alt isleyenlerle en az isbu sozlesmedeki seviyede guvenlik taahhutleri iceren yazili sozlesme imzalar.

7. Veri Ihlali Bildirimi

7.1. Bildirim Suresi

Veri Isleyen, bir veri ihlalindan haberdar olduktan sonra en gec 24 saat icindeVeri Sorumlusunu bilgilendirir. Bu sure GDPR Madde 33'teki 72 saatlik Kurul bildirim suresinden once tetiklenir, boylece Veri Sorumlusu yasal yukumluluğunu yerine getirebilir.

7.2. Bildirim Icerigi

Veri ihlali bildiriminde asagidaki bilgiler yer alir:

  1. Ihlalin niteligi (erisim, silme, degistirme, paylasim)
  2. Etkilenen veri kategorileri ve tahmini kayit sayisi
  3. Etkilenen ilgili kisi gruplari
  4. Ihlalin muhtemel sonuclari
  5. Alinan ve alinmasi onerilen onlemler
  6. Irtibat kisi bilgileri

7.3. Mudahale Plani

  • 0-2 saat: Ihlalin tespiti, etki alaninin belirlenmesi, erisimin kesilmesi.
  • 2-24 saat: Veri Sorumlusuna bildirim, forensic inceleme baslatilmasi.
  • 24-72 saat: Veri Sorumlusu KVKK Kuruluna bildirir (Madde 12/5), ilgili kisilere bildirim karari.
  • 72 saat sonrasi: Kok neden analizi, onleyici tedbirlerin uygulanmasi, Veri Sorumlusuna kapanıs raporu.

8. Uluslararasi Veri Aktarimi

8.1. Aktarim Mekanizmalari

Alt isleyenlerle AB/EEA disi ulkelere veri aktariminda asagidaki mekanizmalar kullanilir:

  • AB Standart Sozlesme Maddeleri (SCC):Avrupa Komisyonu'nun 2021/914 sayili Uygulama Karari ile onaylanan standart maddeler.
  • Ek Teknik Onlemler: Aktarim sirasinda TLS 1.3 sifreleme, depolama sirasinda AES-256, pseudonimizasyon.
  • Transfer Etki Degerlendirmesi (TIA): Her alt isleyicinin bulundugu ulkedeki erişim yetkileri (FISA 702 vb.) degerlendirilmistir.

8.2. KVKK Madde 9 Uyumu

Yurt disi aktarimlar, KVKK Madde 9/2 kapsaminda Kurul tarafindan yeterli koruma bulunan ulkelere veya yeterli korumanin yazili olarak taahhut edildigi ve Kurul izninin bulundugu durumlarda gerceklestirilir. Kurul karari beklenen aktarimlar icin acik riza mekanizmasi uygulanir.

9. Denetim Hakki

  • Veri Sorumlusu, yilda bir kez (veya veri ihlali sonrasinda) Veri Isleyenin isbu sozlesmeye uyumunu denetleme hakkına sahiptir.
  • Denetim en az 30 gun oncesinden yazili bildirimle talep edilir.
  • Denetim, Veri Isleyenin is surekliligi aksatmayacak sekilde mesai saatleri icinde gerceklestirilir.
  • Veri Isleyen, bagimsiz ucuncu taraf denetim raporlarini (SOC 2, ISO 27001) Veri Sorumlusu ile paylasabilir; bu raporlar yerinde denetim yerine gecebilir (karsilikli mutabakat ile).
  • Denetim masraflari Veri Sorumlusuna aittir (veri ihlali kaynakli denetimler haric).

10. Sozlesme Suresi ve Fesih

10.1. Sure

Isbu Sozlesme, Platform uyelik sozlesmesi ile ayni tarihte baslar ve uyelik devam ettigi surece gecerlidir. Uyelik sozlesmesinin sona ermesi ile isbu Sozlesme de kendiliğinden sona erer.

10.2. Fesih Halleri

  • Platform uyelik sozlesmesinin herhangi bir sebeple sona ermesi.
  • Veri Isleyenin isbu sozlesme yukumluluklerini agir sekilde ihlal etmesi ve 30 gunluk ihtar suresinde duzeltmemesi.
  • Alt isleyen degisikligine yapilan itirazin cozumsuz kalmasi.
  • Yasal duzenleme degisikligi nedeniyle islemenin imkansiz hale gelmesi.

11. Veri Iadesi ve Imhasi

11.1. Sozlesme Sona Erdiginde

  • Veri Sorumlusu, sozlesme bitiminden itibaren 30 gun icinde verilerinin iade edilmesini (JSON/CSV format) veya imha edilmesini talep edebilir.
  • Talep yapilmadiginda, Veri Isleyen sozlesme bitiminden 90 gun sonra tum kisisel verileri geri dondurulmez sekilde imha eder.

11.2. Imha Yontemleri

  • Veritabani kayitlari: Kalici silme (DELETE + VACUUM) veya kriptografik silme (sifreleme anahtari imhasi).
  • Dosyalar (gorsel, belge): Dosya sistemi duzeyinde uzerine yazma (overwrite) ve silme.
  • Yedekler: Yedek dongu suresi (7 gun) icinde dogal olarak kaybolur; ek olarak manuel purge.
  • Log kayitlari: Yasal saklama suresi (2 yil, 5651 sayili Kanun) dolana kadar saklanir, sonra otomatik silinir.

11.3. Imha Belgesi

Veri Isleyen, imha islemini tamamladiginda Veri Sorumlusuna yazili bir “Veri Imha Belgesi” gonderir. Bu belge imha tarihini, yontemini ve kapsamini icerir.

12. Isbirligi Yukumlulugu

Veri Isleyen, asagidaki durumlarda Veri Sorumlusuna isbirligi yapar:

  • Ilgili kisi haklari basvurulari (erisim, silme, duzeltme, tasima): en gec 5 isgun icinde gerekli bilgiyi saglar.
  • Veri Koruma Etki Degerlendirmesi (DPIA): Gerekli teknik bilgileri ve risk degerledirmesini paylaşır.
  • KVKK Kurulu veya ilgili otorite sorusturmasi: Istenen bilgi ve dokumanlari zamaninda saglar.

13. Sorumluluk ve Tazminat

  • Veri Isleyen, isbu sozlesmede belirtilen yukumluluklere aykiri davranisi sonucu Veri Sorumlusunun ugradigi zarari tazmin eder.
  • Veri Isleyenin azami sorumlulugu, zararin meydana geldigi yildan onceki 12 ayda alinan toplam platform ucretini asamaz (agir ihmal ve kasit disinda).
  • Veri Sorumlusu, yanlis veya eksik talimat vermesi nedeniyle ortaya cikan zararlardan sorumludur.

14. Uygulanacak Hukuk ve Yetkili Mahkeme

Isbu Sozlesme Turkiye Cumhuriyeti hukukuna tabidir. Sozlesmeden dogan uyusmazliklarda Izmir Mahkemeleri ve Icra Daireleri yetkilidir.

15. Iletisim

Veri Isleyen (StartKey Teknoloji):

Veri Koruma Sorumlusu: kvkk@startkeyastra.com

KEP: startkey@hs01.kep.tr

Adres: Alsancak, Kibris Sehitleri Cad. No:14/3, Konak/Izmir

Telefon: +90 505 869 00 81

16. Ekler

  • Ek-1: Islenen veri kategorileri ve ilgili kisi gruplari detayi (isbu sozlesme Bolum 3)
  • Ek-2: Teknik ve idari guvenlik onlemleri detayi (isbu sozlesme Bolum 5)
  • Ek-3: Alt isleyenler listesi (isbu sozlesme Bolum 6.1 — guncellenen liste Platform uzerinden yayinlanır)
  • Ek-4: AB Standart Sozlesme Maddeleri (SCC) — ilgili alt isleyenlerle imzalanan kopyalar talep uzerine sunulur