GDPR Madde 28’e göre Veri İşleme Sözleşmesi (AVV)

Taraflar

UÇFiKiR MARKA VE MEDYA AŞ
PiYuu - Dijital Bağlantı Ekosistemi (piiyuu.net)
Sinanpaşa Mh. Süleyman Seba Cd.
No.6 Tarihi Bina F2 Blok D.4
34357 Beşiktaş - İstanbul / Türkiye
E-posta: info@piiyuu.net

– bundan sonra “Veri İşleyen” –

ve

[Müşteri / Şirket / Klinik Adı]
[Adres]
[E-posta]
[Sistem kayıt bilgileri / müşteri no]

– bundan sonra “Veri Sorumlusu” –

§1 İşlemenin konusu

Veri İşleyen, Veri Sorumlusuna “PiYuu - Dijital Bağlantı Ekosistemi (piiyuu.net)” platformunu sağlar. Bu özellikle şunları kapsar:

• Dijital işletme profilleri / dijital kartvizitler
• İletişim, lead ve mesaj formları
• Rıza yönetimi ve rıza loglama
• KI destekli kartvizit tarayıcı (opsiyonel)
• CRM bağlantısı/aktarımı (opsiyonel)
• Barındırma ve otomasyonlar dahil teknik işletim
• Veri İşleyen, kişisel verileri yalnızca Veri Sorumlusunun talimatlarıyla ve onun adına işler.

§2 İşlemenin niteliği ve amacı

İşlemenin niteliği:

• Veri Sorumlusunun kamuya açık paylaştığı iletişim ve işletme bilgilerinin gösterimi
• Ziyaretçilerin form/lead/mesaj taleplerinin işlenmesi
• Rızaların loglanması (örn. form kullanımı, harici video aktivasyonu, bülten yönlendirmesi)
• Profil içeriklerinin KI/arama görünürlüğü için yapılandırılmış veri (örn. JSON-LD) olarak hazırlanması
• CRM/üçüncü sistemlere aktarım yalnızca Veri Sorumlusu etkinleştirirse
• AB sunucularında barındırma ve iş akışı otomasyonlarıyla güvenli platform işletimi
• Amaç: Platform fonksiyonlarının Veri Sorumlusu adına sağlanması, işletilmesi ve güvence altına alınması.

§3 İlgili kişi ve veri kategorileri

Veri kategorileri:

• Ad, e-posta, telefon, gerekirse adres ve Veri Sorumlusunun profilde yayınladığı işletme/profil verileri
• Form/mesaj içerikleri
• Kullanım/bağlantı verileri (kısaltılmış/takma adlı IP, zaman damgası, form yolları, user-agent)
• CRM entegrasyonu varsa opsiyonel alanlar

İlgili kişi grupları:

• Dijital profil/kartvizit ziyaretçileri
• Mesaj/lead gönderen ve alan kişiler
• Form/iletişim fonksiyonlarını kullanan son kullanıcılar
• Profillerde yer alan Veri Sorumlusunun çalışanları/iletişim kişileri

§4 Veri İşleyenin yükümlülükleri

Veri İşleyen:

• Verileri yalnızca Veri Sorumlusunun belgelendirilmiş talimatlarıyla işler
• GDPR Madde 32’ye uygun teknik ve organizasyonel önlemleri (TOM) uygular ve sürdürür
• Erişimi olan tüm kişileri gizlilikle yükümlendirir
• İlgili kişi hakları, DPIA (gerekirse) ve veri ihlallerinde Veri Sorumlusuna destek olur
• Rızaları loglar (saklama süresi en fazla 6 ay)
• §6’ya göre verileri siler/aktarır
• §8 kapsamındaki alt işleyenler dışında üçüncü tarafa veri aktarmaz
• Verileri, bu sözleşme kapsamındaki işleme dışında kendi amacı için kullanmaz

§5 Teknik ve organizasyonel önlemler (TOM)

Asgari TOM standardı:

• Hetzner Online GmbH üzerinde barındırma (Almanya/AB)
• Tenant ayrımı ve erişim kontrolü
• Tüm bağlantılar için TLS şifreleme
• Sunucu/uygulama erişim koruması (least privilege/RBAC; admin için 2FA)
• Güvenlik loglama ve izleme
• Düzenli güvenlik güncellemeleri/patch yönetimi
• Şifreli yedekler ve ayrık hedeflere yedekleme
• Otomatik silme: sunucu logları en fazla 14 gün; rıza logları en fazla 6 ay; profil/lead verileri talimata göre veya sözleşme bitiminden itibaren 30 gün içinde
• Not: Harici Google Fonts kullanılmaz; fontlar yerel olarak sunulur.

§6 Süre

İşleme, aktif sözleşme ilişkisi boyunca devam eder.

Sözleşme sonunda tüm kişisel veriler en geç 30 gün içinde silinir veya talimatla Veri Sorumlusuna iade edilir; yasal saklama zorunluluğu varsa istisna uygulanır.

§7 Veri Sorumlusunun hak ve yükümlülükleri

Veri Sorumlusu:

• Talimatları her zaman verebilir/değiştirebilir/geri çekebilir
• Verilerin hukuka uygun toplanmasını ve yayınlanan içeriklerin yasallığını sağlar
• İlgili kişi talepleri ve resmi denetimlerde iş birliği yapar
• Veri koruma risklerini Veri İşleyene bildirir
• Önceden mutabakatla denetim/audit yapabilir

§8 Alt veri işleyenler

Veri Sorumlusu şu alt işleyenleri onaylar:

• Hetzner Online GmbH – Hizmet: barındırma / altyapı – Konum: Almanya / AB
• Microsoft Ireland Operations Ltd. / Azure OpenAI Service – Hizmet: platform içi KI/GPT işlemleri (yalnızca kullanılırsa) – Konum: AB Azure bölgesi – Not: grup yapısı nedeniyle üçüncü ülke erişim riski tamamen sıfırlanamaz; DPA/SCC ve teknik önlemlerle güvence sağlanır.
• Ek alt işleyenler (örn. e-posta/CRM servisleri) önceden bildirilir; Veri Sorumlusu haklı sebeple itiraz edebilir.
• Google Analytics (GA4), Veri İşleyen tarafından kendi amaçları için ayrı veri sorumlusu olarak kullanılır (platform erişim ölçümü) ve bu AVV kapsamındaki veri işleme değildir.

§9 Son hükümler

• Değişiklikler metin formda yapılır.
• Bir madde geçersiz olursa diğerleri geçerliliğini korur.
• Alman hukuku uygulanır. Yetkili mahkeme (mümkünse) Kiel’dir.