Veri İşleme Sözleşmesi (DPA)

Son güncelleme: 11 Haziran 2026

İşbu Veri İşleme Sözleşmesi ("DPA" — Data Processing Agreement), 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") Md. 12 ile Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) Md. 28 uyarınca, Veri Sorumlusu (Abone Restoran) ile Veri İşleyen (Narworks — Güray Gürkan Kılıç Şahıs İşletmesi) arasındaki kişisel veri işleme faaliyetlerinin koşullarını düzenler. İşbu DPA, Abonelik Sözleşmesi'nin (Madde 18.4) ayrılmaz ve tamamlayıcı parçasıdır.

1. Taraflar ve Tanımlar

  • Veri Sorumlusu: Nar Menu platformuna kayıtlı, kendi müşterilerine hizmet sunan Restoran ("Abone"). KVKK Md. 3/1-ı uyarınca kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek/tüzel kişidir.
  • Veri İşleyen: Güray Gürkan Kılıç (Şahıs İşletmesi — "Narworks"), VKN 5500220508, Bodrum Vergi Dairesi. Abone adına ve Abone'nin talimatları doğrultusunda kişisel veri işleyen taraftır (KVKK Md. 3/1-ğ).
  • İlgili Kişi (Veri Sahibi): Restoranın müşterileri — QR menü üzerinden sipariş veren, hesap isteyen, sadakat programına katılan veya garson çağıran son kullanıcılar.
  • Alt Yüklenici (Sub-processor): Veri İşleyen'in hizmet sunumunda kullandığı üçüncü taraf hizmet sağlayıcılar (hosting, veritabanı, e-posta gönderim, hata izleme vb.).

2. Veri İşleme Kapsamı ve Amacı

2.1 İşlenen Veri Kategorileri:

  • Sipariş verileri: Masa numarası, sipariş edilen ürünler, sipariş zamanı, tutar, özel notlar (alerji vb.).
  • İletişim verileri (varsa): Sadakat programı için telefon numarası, müşteri adı (opsiyonel).
  • Cihaz / oturum verileri: Çerez tanımlayıcı, IP adresi, tarayıcı bilgisi (anonim oturum için).
  • Fatura verileri (talep edilirse): TC kimlik numarası veya VKN, ad-soyad, vergi dairesi, adres.
  • Hesap verileri: Restoran yetkilisinin ad-soyad, e-posta, telefon, hash'li parolası.

2.2 İşleme Amacı: Sözleşme'nin ifası — yani QR menü hizmetinin sunulması, sipariş alınması, hesap akışının yönetilmesi, sadakat programının çalıştırılması, yasal yükümlülüklerin yerine getirilmesi (VUK Md. 253 fatura saklama, KVKK Md. 12 güvenlik tedbirleri).

2.3 İşleme Süresi: Veriler Abonelik Sözleşmesi devam ettiği sürece işlenir. Sözleşme sona erdiğinde Bölüm 9 (Veri İmhası) akışı uygulanır.

3. Veri İşleyen'in Yükümlülükleri (KVKK Md. 12)

Veri İşleyen, aşağıdaki yükümlülükleri taahhüt eder:

  • Kişisel verileri yalnızca Veri Sorumlusu'nun yazılı ve/veya panel üzerinden verdiği talimatlar doğrultusunda işler.
  • KVKK Md. 12/1 uyarınca uygun teknik ve idari tedbirleri alır (Bölüm 6).
  • Çalışanlarına ve alt yüklenicilerine veri gizliliği taahhüdü imzalatır.
  • Veri Sorumlusu'nun KVKK Md. 11 kapsamındaki ilgili kişi taleplerine yanıt vermesine teknik altyapı (data export, hesap silme endpoint'leri) sağlar.
  • Veri ihlali durumunda Bölüm 8 uyarınca derhal bildirimde bulunur.
  • Veri Sorumlusu'nun makul talebi üzerine, KVKK Md. 12 uyumluluğu hakkında belge ve bilgi sağlar.

4. Alt Yükleniciler (Sub-processors)

4.1 Veri İşleyen, hizmetin sunumu için aşağıdaki alt yüklenicilerden hizmet alır. Abone, işbu DPA'yı kabul etmekle aşağıdaki alt yüklenicilerin kullanımına açıkça onay vermiş sayılır.

Alt YükleniciHizmetVeri LokasyonuUyumluluk
Vercel Inc. (ABD)Hosting, CDN, edge functionsFrankfurt (EU — fra1)GDPR, SOC 2 Type II, SCC
Neon Inc. (ABD)PostgreSQL veritabanıFrankfurt (EU)GDPR, SOC 2 Type II, SCC
Upstash Inc. (ABD)Redis önbellek, rate limitFrankfurt (EU) / global edgeGDPR, SCC
Cloudinary Ltd. (İsrail/ABD)Görsel ve dekont depolamaUS-East / EU edgeGDPR, SOC 2, SCC
Resend (ABD)İşlemsel e-posta gönderimiUS-EastGDPR, SCC
Sentry (Functional Software Inc., ABD)Hata izleme ve uyarıUS (PII scrubbing aktif)GDPR, SOC 2, SCC
Cloudflare Inc. (ABD)DNS, WAF, DDoS korumasıGlobal edge ağıGDPR, ISO 27001, SCC

4.2 Yeni Alt Yüklenici Bildirimi: Veri İşleyen, yeni bir alt yüklenici eklemeyi veya mevcut alt yükleniciyi değiştirmeyi planladığında, Abone'ye Yönetim Paneli ve e-posta yoluyla en az 30 gün önceden bildirimde bulunur. Abone, makul gerekçelerle itiraz hakkını saklı tutar; itiraz halinde Abonelik Sözleşmesi Madde 7.2 uyarınca kalan döneme orantılı iade ile sözleşme feshedilebilir.

4.3 Alt Yüklenici Sorumluluğu: Veri İşleyen, alt yüklenicilerin KVKK ve GDPR uyum yükümlülüklerini yerine getirmesinden Abone'ye karşı doğrudan sorumludur. Her alt yüklenici ile yazılı DPA imzalanmıştır.

5. Yurt Dışı Veri Aktarımı (KVKK Md. 9)

5.1 Yukarıdaki alt yüklenicilerin bir kısmı veri merkezlerini Avrupa Birliği (Frankfurt, EU) veya Amerika Birleşik Devletleri'nde işletmektedir. KVKK Md. 9/1 uyarınca yurt dışına veri aktarımı, açık rıza veya yeterli korumanın bulunduğu hallerde mümkündür.

5.2 Avrupa Birliği Aktarımı: EU içindeki veri merkezleri (Vercel fra1, Neon EU, Upstash EU) için Avrupa Komisyonu Yeterlilik Kararı (Adequacy Decision) çerçevesinde aktarım yapılır. EU ülkeleri KVKK Md. 9/2-a uyarınca yeterli korumaya sahip ülke listesinde yer almaktadır.

5.3 Amerika Birleşik Devletleri Aktarımı: ABD'deki ve global edge ağı kullanan alt yükleniciler (Cloudinary, Resend, Sentry, Cloudflare) ile Standart Sözleşme Maddeleri (SCC — Standard Contractual Clauses) veya Bağlayıcı Şirket Kuralları (BCR) çerçevesinde aktarım yapılmaktadır. Bu mekanizmalar Avrupa Adalet Divanı'nın Schrems II kararı sonrası ek teknik tedbirlerle (uçtan uca şifreleme, PII scrubbing) güçlendirilmiştir.

5.4 Veri Sorumlusu (Abone), kendi müşterilerine yönelik aydınlatma metninde yurt dışı aktarım bilgisini ve bu metni paylaşmak durumundadır. Veri İşleyen, Abone'ye örnek aydınlatma metni sağlar.

6. Veri Güvenliği Tedbirleri

Veri İşleyen, KVKK Md. 12/1 ve GDPR Md. 32 uyarınca aşağıdaki teknik ve idari tedbirleri uygulamayı taahhüt eder:

  • Aktarımda şifreleme: Tüm trafik TLS 1.2+ (HTTPS) ile şifrelenir. HSTS aktif.
  • Depolamada şifreleme: Veritabanı disklerinde AES-256 at-rest şifreleme (Neon native).
  • Parola güvenliği: Tüm parolalar bcrypt (cost 10+) ile hash'lenir. Düz metin parola asla saklanmaz.
  • Erişim kontrolü: Row-Level Security (RLS) ile tenant izolasyonu, role-based access control (RBAC).
  • Soft delete + audit log: Veri silme işlemleri deletedAt damgası ile takip edilir; tüm admin işlemleri audit log'a yazılır.
  • Yedekleme: Günlük otomatik yedekleme, 30 gün retention.
  • İzleme ve uyarı: Sentry hata izleme, Vercel analytics, anomali uyarıları.
  • Kimlik doğrulama: NextAuth.js v5 ile session yönetimi, opsiyonel 2FA (TOTP).
  • Düzenli güvenlik incelemesi: Yıllık penetrasyon testi ve KVKK uyum denetimi.

7. Veri Sahibi Haklarına Yardım (KVKK Md. 11)

Veri Sorumlusu (Abone), KVKK Md. 11 kapsamındaki ilgili kişi taleplerini yerine getirmekle yükümlüdür. Veri İşleyen bu taleplerin yerine getirilmesi için aşağıdaki teknik altyapıyı sağlar:

  • Veri export: Yönetim Paneli > Ayarlar > KVKK > Veri Dışa Aktar — tüm müşteri verileri JSON formatında indirilebilir.
  • Hesap / müşteri silme: API endpoint üzerinden tekil müşteri verisi hard-delete edilebilir.
  • Düzeltme talebi: Müşteri bilgileri panel üzerinden güncellenebilir.
  • İşlemenin durdurulması: Pazarlama izinleri ve sadakat programı katılımı bireysel olarak iptal edilebilir.

Veri İşleyen, doğrudan müşterilerden gelen talepleri ilgili Veri Sorumlusu'na yönlendirir ve 72 saat içinde Veri Sorumlusu'nu bilgilendirir.

8. Veri İhlali Bildirimi (KVKK Md. 12/5)

8.1 Veri İşleyen, KVKK Md. 12/5 kapsamında bir veri ihlali tespit ettiğinde, durumu öğrendiği andan itibaren en geç 24 saat içinde Veri Sorumlusu'na (Abone) e-posta ve panel bildirimi yoluyla haber verir.

8.2 Bildirim içeriği:

  • İhlalin niteliği ve etkilenen veri kategorileri
  • Etkilenen ilgili kişi sayısı (tahmini)
  • Tespit tarihi ve zamanı
  • Olası sonuçlar ve risk değerlendirmesi
  • Alınan / alınacak teknik ve idari tedbirler
  • Veri İşleyen iletişim noktası

8.3 Veri Sorumlusu'nun KVKK Kurulu'na 72 saat içinde bildirim yükümlülüğü kendisine aittir; Veri İşleyen bildirim sürecine teknik destek verir.

9. Sözleşme Sonrası Veri İmhası

Abonelik Sözleşmesi sona erdiğinde (fesih, iptal, süre dolum) aşağıdaki veri imha akışı uygulanır:

  • T+0: Hesap soft-delete (deletedAt damgası), platform erişimi kapatılır.
  • T+30 gün: Tüm kişisel veriler (müşteri, sipariş, sadakat) hard-delete ile veritabanından kalıcı olarak silinir. Bu süre veri geri yükleme penceresidir.
  • T+60 gün: Yedeklerden ve replikalardan rotasyon yoluyla silinir.
  • T+5 yıl: Yalnızca fatura ve mali kayıtlar (VUK Md. 253 zorunluluğu) anonimleştirilmiş audit log olarak saklanır; kişisel veri içermez.

Veri Sorumlusu'nun talebi üzerine, Veri İşleyen imha işleminin tamamlandığına dair yazılı tutanak düzenler.

10. Denetim Hakkı (Audit Right)

10.1 Veri Sorumlusu, KVKK Md. 12 uyumluluğunu denetlemek için yılda en fazla bir kez, en az 30 gün önceden yazılı bildirimde bulunarak Veri İşleyen'den denetim talep edebilir.

10.2 Denetim kapsamı: teknik ve idari tedbirler, alt yüklenici sözleşmeleri, veri akış diyagramları, güvenlik sertifikaları (SOC 2, ISO 27001).

10.3 Veri İşleyen, makul üçüncü taraf denetim raporlarını (Vercel SOC 2, Neon SOC 2, vb.) sunarak denetim yükümlülüğünü yerine getirebilir.

10.4 Denetim maliyetleri Veri Sorumlusu'na aittir; ancak ciddi ihlal tespit edilmesi halinde Veri İşleyen masrafları üstlenir.

11. Tazminat ve Sorumluluk

11.1 Veri İşleyen, işbu DPA'da düzenlenen yükümlülüklerini ihlal etmesi sebebiyle Veri Sorumlusu'na verilebilecek zararlardan, Abonelik Sözleşmesi Madde 16.4'te belirlenen sorumluluk tavanı (son 12 aylık abonelik bedeli) ile sınırlı olmak üzere sorumludur.

11.2 KVKK Kurulu tarafından doğrudan Abone'ye kesilen idari para cezaları, ihlalin Veri İşleyen kaynaklı olduğunun kesinleşmesi halinde, sorumluluk tavanı çerçevesinde rücu edilebilir.

11.3 Abone'nin kendi kusurundan (zayıf parola, aydınlatma metni eksikliği, VERBİS kayıt ihmali) doğan zararlar Veri İşleyen'in sorumluluğu dışındadır.

12. Yürürlük ve Çakışma

12.1 İşbu DPA, Abone'nin Abonelik Sözleşmesi'ni kabul ettiği tarihten itibaren yürürlüğe girer ve Abonelik Sözleşmesi süresince geçerlidir.

12.2 İşbu DPA ile Abonelik Sözleşmesi arasında veri koruma konusunda çelişki bulunması halinde, bu DPA hükümleri öncelikli olarak uygulanır.

12.3 KVKK, GDPR veya diğer ilgili mevzuatta yapılacak değişiklikler doğrultusunda işbu DPA güncellenir; güncellemeler Abone'ye en az 30 gün önceden bildirilir.

12.4 Uyuşmazlık halinde Bodrum Mahkemeleri ve İcra Daireleri yetkilidir; Türkiye Cumhuriyeti hukuku uygulanır.

KVKK ve veri koruma sorularınız için: kvkk@narmenu.com | Destek: destek@narmenu.com

Sorularınız için: destek@narmenu.com

© 2026 Nar Menu — Tüm hakları saklıdır.