Veri İşleme Sözleşmesi (DPA)
1. Taraflar
| VERİ SORUMLUSU ("Müşteri") | |
|---|---|
| Ticaret Unvanı / Avukat Adı | [Müşteri Ticaret Unvanı] |
| Vergi Dairesi / VKN veya TCKN | [Vergi Dairesi / VKN veya TCKN] |
| MERSİS No (varsa) | [MERSİS No] |
| Adres | [Müşteri Adres] |
| KEP Adresi | [Müşteri KEP Adresi] |
| KVKK İrtibat Kişisi | [Ad Soyad / E-posta] |
| VERBİS Sicil No (varsa) | [VERBİS Sicil No] |
| VERİ İŞLEYEN ("AMA Yazılım") | |
|---|---|
| Ticaret Unvanı | AMA Yazılım Bilgi Teknolojileri Limited Şirketi |
| MERSİS No | 0068204291400001 |
| Ticaret Sicil No | 1130051 (İstanbul Ticaret Sicili) |
| Vergi Dairesi / VKN | Kağıthane Vergi Dairesi Müdürlüğü / 0682042914 |
| Adres | Merkez Mah. Kağıthane Cad. İ Ofis No: 3 İç Kapı No: 28, 34406 Kağıthane / İstanbul |
| KEP Adresi | [email protected] |
| Veri Sorumlusu Temsilcisi | Ali Mert Akyüz |
| KVKK İrtibat E-posta | [email protected] |
| VERBİS Sicil No | [Kayıt sonrası güncellenecek] |
2. Tanımlar
Bu sözleşmede geçen terimler, 6698 sayılı KVKK'daki tanımlarla aynıdır. Ek olarak:
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
- Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, dini inanç, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler (KVKK Md. 6).
- Veri Sorumlusu: Kişisel verilerin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan taraf (işbu sözleşmede Müşteri).
- Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen taraf (işbu sözleşmede AMA Yazılım).
- İlgili Kişi: Kişisel verisi işlenen gerçek kişi (müvekkiller, karşı taraflar, avukatlar, stajyerler, iş ortakları, üçüncü şahıslar).
- Alt İşleyen: AMA Yazılım'ın hizmet sağlamak için kullandığı üçüncü taraf hizmet sağlayıcıları (bulut altyapı, e-posta, yapay zekâ API vb.).
- Veri İhlali: Kişisel verilerin yetkisiz ifşası, erişimi, kaybı, değiştirilmesi, hukuka aykırı kullanımı veya imhası.
3. Sözleşmenin Konusu ve Kapsamı
Müşteri, AMA Yazılım'a kişisel verilerini "Titan Hukuk" SaaS yazılımı aracılığıyla işletmesi için devreder. AMA Yazılım, bu verileri yalnızca:
- SaaS Hizmet Sözleşmesi kapsamında hizmet sunumu amacıyla,
- Müşteri'nin yazılı talimatları çerçevesinde,
- İşbu DPA'da belirtilen güvenlik tedbirleriyle işler.
AMA Yazılım, kişisel verileri hiçbir koşulda kendi amaçları için kullanmaz; pazarlama, analiz, profil oluşturma yapmaz; verileri satmaz, kiralamaz, üçüncü kişilere ticari amaçla paylaşmaz.
4. İşleme Faaliyetinin Ayrıntıları
4.1 İşleme Amacı
Müşteri'nin avukatlık/hukuk danışmanlığı faaliyetleri çerçevesinde dava dosyası yönetimi, evrak saklama, UYAP entegrasyonu, karar arama, iş/duruşma takibi, iletişim ve raporlama hizmetlerinin sağlanması.
4.2 İşlenen Veri Kategorileri
| Kategori | Örnekler | Özel Nitelikli mi? |
|---|---|---|
| Kimlik | Ad, soyad, TC kimlik no, baro sicil, doğum tarihi | Hayır |
| İletişim | Telefon, e-posta, adres | Hayır |
| Hukuki işlem | Dava dosya numarası, esas numarası, mahkeme, dava konusu, taraflar | Duruma göre |
| Finansal | Vekalet ücreti, masraf, fatura bilgisi | Hayır |
| Belge içeriği | Dilekçeler, kararlar, tebligatlar, beyanlar, bilirkişi raporları | Duruma göre |
| Özel nitelikli | Ceza mahkumiyeti, sağlık raporu (tıbbi malpraktis), cinsel hayat (aile hukuku), din (veraset), etnik köken | Evet |
| Sistem logu | IP, oturum tarih/saat, kullanıcı hareketi, audit log | Hayır |
| İletişim logları | AI sohbet geçmişi, notlar, yorumlar | Duruma göre |
4.3 İlgili Kişi Kategorileri
- Müşteri'nin müvekkilleri (ve eşler, çocuklar, mirasçılar, vekiller gibi vekalet kapsamındaki kişiler)
- Müşteri'nin müvekkilleri adına ilişkiye girilen karşı taraflar
- Müşteri bünyesinde çalışan avukat, stajyer, idari personel
- Tanıklar, bilirkişiler, hakemler, icra memurları gibi dava süreçlerinde adı geçen üçüncü kişiler
4.4 İşleme Süresi
Kişisel veriler, SaaS Hizmet Sözleşmesi süresince + fesih sonrası 30 gün grace period süresince tutulur. Yedekler en geç 90 gün içinde silinir. Müşteri, bu süreden önce silme talep ederse AMA Yazılım 7 iş günü içinde silme işlemini gerçekleştirir.
5. Veri İşleyen'in Yükümlülükleri (KVKK Md. 12/6)
5.1 Talimat prensibi
AMA Yazılım, kişisel verileri yalnızca Müşteri'nin yazılı talimatlarına göre işler. Hukuken zorunlu olmadıkça talimat dışı işlem yapmaz. Talimatın mevzuata aykırı olduğunu düşünürse Müşteri'ye derhal bildirir.
5.2 Gizlilik
AMA Yazılım'ın kişisel verilere erişimi olan tüm çalışanları ve alt işleyenleri, yazılı gizlilik taahhüdü (NDA) imzalamıştır. Gizlilik yükümlülüğü iş akdinin bitiminden sonra da süresiz devam eder.
5.3 Teknik ve idari tedbirler
AMA Yazılım, KVKK Kurumu'nun yayımladığı "Kişisel Veri Güvenliği Rehberi" ile uyumlu olmak üzere aşağıdaki tedbirleri uygular veya devreye almaktadır (bazı maddeler kademeli olarak hayata geçirilmektedir):
Teknik tedbirler
- Şifreleme: Taşıma anında TLS 1.3, depoda AES-256
- Veritabanı düzeyinde şifreleme (SQLCipher / pgcrypto)
- Disk şifreleme (LUKS / FileVault) tüm sunucularda
- Yedeklerin şifreli saklanması (GPG + offsite)
- İki faktörlü kimlik doğrulama (2FA) — yol haritasında (yönetici hesapları için önerilecek)
- Güvenli yazılım geliştirme yaşam döngüsü (SSDLC) ilkeleri
- Düzenli güvenlik gözden geçirmeleri ve bağımlılık takibi (kapsamı genişletilmektedir)
- IDS/IPS (saldırı tespit ve önleme sistemleri)
- Log yönetimi ve anomali tespiti
- Güncel firewall ve WAF (Web Application Firewall)
- DDoS koruması (DT Cloud altyapı seviyesi + Caddy reverse proxy)
- Antivirüs ve uç nokta koruması (tüm çalışan cihazlarında)
İdari tedbirler
- Kişisel Veri Envanteri ve VERBİS kaydı
- Yazılı Kişisel Veri İşleme, Saklama ve İmha Politikası
- Yazılı Veri İhlali Müdahale Planı (72 saat bildirim süreci)
- Çalışanlara yıllık KVKK farkındalık eğitimi (en az 4 saat)
- Rol ve yetki matrisi (least-privilege erişim)
- Erişim logları minimum 2 yıl saklanır, KVKK ve 5651 sayılı kanuna uygundur
- İş ilanlarında ve sözleşmelerde KVKK hükümleri
- Yıllık iç denetim ve üst yönetim raporlaması
- Veri Sorumlusu Temsilcisi ve KVKK İrtibat Kişisi tayini
5.4 Erişim kontrolü
AMA Yazılım çalışanlarının Müşteri verilerine erişimi yalnızca "ihtiyaç ilkesi" (need-to-know) çerçevesinde ve aşağıdaki koşullarda mümkündür:
- Müşteri'den yazılı (e-posta yeterli) destek talebi olması
- Erişim amacının net belirtilmesi (örn. "veritabanı kurtarma", "AI modeli hata teşhisi")
- Müşteri'nin yazılı onayı
- Tüm işlemin audit log'a kaydedilmesi (kim, ne zaman, hangi kaydı, hangi işlemi)
- Müşteri'ye işlem sonrası özet rapor
6. Alt İşleyenler
AMA Yazılım, hizmet sunumu için aşağıdaki alt işleyenleri kullanır:
| Alt İşleyen | Hizmet | Konum | Veri Kategorisi |
|---|---|---|---|
| DT Cloud (TTYazılım A.Ş.) | Sunucu barındırma (IaaS) — Türkiye içi veri merkezi | İstanbul, Türkiye | Tüm Müşteri verisi (şifreli) |
| SendGrid (Twilio Inc.) | İşlemsel e-posta gönderimi | ABD | E-posta adresi, kullanıcı adı (sadece) |
| Iyzico Ödeme Hizmetleri A.Ş. | Ödeme altyapısı | Türkiye | Finansal veri (kart bilgisi AMA Yazılım'a gelmez) |
| OpenRouter (Anthropic, Google) | Yapay zekâ modeli — opsiyonel, açık rıza gerektirir | ABD (AI API'leri) | Evrak içeriği (zero data retention; maskeleme uygulanmaz) |
Not: 16 Mayıs 2026 itibarıyla Cloudflare, Inc. alt işleyici listesinden çıkarılmıştır. CDN, DDoS koruması ve tünel ihtiyaçları DT Cloud altyapısı + Caddy reverse proxy + WireGuard self-hosted tünel ile Türkiye içinde karşılanmaktadır.
6.1 Alt işleyenlerin değişimi
AMA Yazılım, alt işleyen listesindeki değişiklikleri en az 30 gün önceden Müşteri'ye bildirir. Müşteri, yeni alt işleyene makul gerekçeyle itiraz edebilir; itiraz halinde AMA Yazılım alternatif çözüm sunar veya Müşteri sözleşmeyi feshedebilir.
6.2 Alt işleyen yükümlülükleri
AMA Yazılım, tüm alt işleyenlerle işbu DPA ile eşdeğer seviyede yazılı veri işleme sözleşmesi imzalar. Alt işleyenin yükümlülüğünü ihlal etmesi halinde Müşteri'ye karşı sorumluluk AMA Yazılım'a aittir.
6.3 Yurt dışına veri aktarımı
Müşterinin dosya, müvekkil ve UYAP verileri kural olarak Türkiye'de tutulur (DT Cloud İstanbul) ve müşterinin kendi ofis ağına WireGuard tüneli üzerinden Türkiye içinden iletilir. Aşağıdaki istisnai aktarımlar gerçekleşebilir:
- E-posta (SendGrid): Yalnızca Müşteri ve Kullanıcı e-posta adresleri + kullanıcı adı dışına çıkmaz. Sözleşmenin ifası için zorunlu.
- Yapay zekâ API (OpenRouter): Yapay zekâ özelliği kullanıldığında işlenecek evrak içeriği, OpenRouter aracılığıyla ABD'deki yapay zekâ modellerine (Anthropic, Google) iletilir. İçerik şu aşamada maskeleme/anonimleştirme yapılmadan gönderilir; servis sağlayıcısıyla "zero data retention" esası geçerlidir (eğitim verisi olarak kullanılmaz). Açık rıza gerektirir; rıza yoksa AI özelliği kapalıdır. İçeriğin özel nitelikli kişisel veri (sağlık, ceza vb.) içermemesi Müşteri'nin sorumluluğundadır.
Müşteri dilerse, AI özelliğini tamamen devre dışı bırakabilir. Bu durumda yurt dışı aktarım pratikte ortadan kalkar (yalnızca SendGrid'e e-posta adresi gönderimi kalır).
Tünel altyapısı: 16 Mayıs 2026 itibarıyla Cloudflare Tunnel servisi kullanımdan kaldırılmış olup yerini AMA Yazılım'ın kendi yönettiği WireGuard self-hosted tünel almıştır. UYAP ve uzaktan erişim trafiği yurt dışı hop'tan geçmeden Türkiye içindeki sunuculardan müşteri ofisine ulaşır.
7. Veri Sahibinin Haklarının Desteklenmesi
Müşteri, KVKK Md. 11 kapsamındaki başvurular (bilgi talebi, silme, düzeltme, aktarım) için AMA Yazılım'dan aşağıdaki desteği talep edebilir:
- Belirli bir ilgili kişinin kişisel verisinin tümünün aktarımı (dışa aktarılabilir formatta: JSON, CSV, PDF)
- Belirli verilerin silinmesi veya anonimleştirilmesi (yedekler dahil)
- Yanlış verinin düzeltilmesi
- İşleme sürelerinin ve alt işleyen bilgilerinin raporlanması
AMA Yazılım, Müşteri talebini 5 iş günü içinde işleme alır ve yerine getirir. Teknik olarak imkansız hallerde Müşteri'ye gerekçe sunar.
8. Veri İhlali Yönetimi
8.1 AMA Yazılım'ın yükümlülüğü
AMA Yazılım, kendi sistemlerinde bir veri ihlali tespit ederse:
- Öğrenmesinden itibaren en geç 24 saat içinde Müşteri'yi ilk bildirimle (e-posta + telefon) uyarır.
- 72 saat içinde ayrıntılı bir ihlal raporu sunar:
- İhlalin niteliği ve kapsamı
- Etkilenen ilgili kişi sayısı ve veri kategorileri
- Muhtemel sonuçlar
- Alınan ve alınacak tedbirler
- KVKK İrtibat Kişisi ve iletişim bilgileri
- Etkilenen verilerin Müşteri'ye ait olması halinde, KVKK Kurumu'na bildirim yükümlülüğü Müşteri'nindir (çünkü Müşteri Veri Sorumlusu'dur). AMA Yazılım, Müşteri'nin bildirim sürecini tüm belge/log desteğiyle hızlandırır.
8.2 Ortak sorumluluk
İhlalin kaynağı AMA Yazılım sistemlerindeyse, KVKK Kurumu'na karşı müteselsil sorumluluk yapılan denetim sonucu belirlenir. Ancak Müşteri'nin ihmali (zayıf şifre, hesap paylaşımı, 2FA devre dışı) sonucunda oluşan ihlallerde AMA Yazılım sorumlu değildir.
9. Denetim Hakkı
Müşteri, AMA Yazılım'ın bu sözleşmeye uyumunu denetleyebilir:
- Yılda bir kez, 30 gün önceden yazılı bildirimle, Müşteri'nin seçtiği bağımsız denetçi eşliğinde yerinde denetim.
- Veri ihlali durumunda 5 gün önceden bildirimle denetim hakkı (yıllık limit dışı).
- AMA Yazılım, ISO 27001, SOC 2 veya eşdeğer bir belgelendirme sertifikası sunarak yerinde denetimi ikame edebilir — Müşteri kabul ederse.
- Denetim masrafları Müşteri'ye aittir; ihlal tespit edilirse masrafları AMA Yazılım karşılar.
10. Veri İadesi ve İmhası
10.1 Sözleşme sonunda
SaaS Sözleşmesi sona erdiğinde AMA Yazılım, Müşteri'nin seçimine göre aşağıdakilerden birini yapar:
- Veri iadesi: 30 gün içinde dışa aktarılabilir formatta (JSON, CSV, PDF) Müşteri'ye teslim.
- Veri imhası: Müşteri talebi doğrultusunda aşağıdaki süreyle imha:
- Canlı veritabanı: 7 iş günü
- Yedekler: 90 gün (rotasyon döngüsü tamamlanana kadar)
- Loglar (KVKK Md. 12 ve 5651 uyarınca): 2 yıl
10.2 İmha yöntemi
İmha, KVKK Kurulu'nun "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik" uyarınca:
- Silme: Veritabanı DELETE + vakum + freespace overwrite
- Yok etme: Kriptografik anahtarın geri dönüşsüz imhası (crypto-shredding — en etkili yöntem, tüm yedekler bu sayede tek seferde geçersiz kılınır)
- Anonimleştirme: İstatistiksel raporlama için gerekli olduğunda, kimlik verileri irreversible hash'e dönüştürülür
İmha sonucu Müşteri'ye yazılı imha tutanağı sunulur.
11. Özel Nitelikli Veriler (KVKK Md. 6)
Avukatlık faaliyeti doğası gereği özel nitelikli kişisel veriler (ceza mahkumiyeti, sağlık, cinsel hayat, din, etnik köken) işlenebilir. AMA Yazılım bu verilere ek koruma uygular:
- Veritabanında ayrı tablo + ek şifreleme katmanı
- Erişim logları ayrı raporlanır
- Yapay zekâ API'lerine kesinlikle gönderilmez (filtre)
- Yedeklerde de ek şifreleme ile korunur
12. Cezai Sorumluluk
İşbu DPA'nın ihlali halinde taraflar, 6698 sayılı KVKK'nın 17. ve 18. maddelerinde düzenlenen idari para cezalarına ve cezai sorumluluğa maruz kalabileceğini kabul eder.
| İhlal Türü | KVKK Cezası (2026) |
|---|---|
| Aydınlatma yükümlülüğünü yerine getirmeme | 68.083 TL – 1.361.828 TL |
| Veri güvenliği tedbirlerinin alınmaması | 204.285 TL – 13.618.269 TL |
| Kurul kararına uymama | 340.476 TL – 13.618.269 TL |
| VERBİS kaydı yapmama | 272.380 TL – 13.618.269 TL |
*Rakamlar her yıl güncellenir.
13. Tazminat ve Rücu Hakkı
İşbu DPA'nın ihlali sonucunda bir taraf KVKK Kurumu veya veri sahipleri tarafından idari para cezası veya tazminata mahkum edilirse:
- İhlalin kaynağı Veri İşleyen'in (AMA Yazılım) yükümlülüklerini ihlalinden kaynaklanıyorsa, Müşteri'ye tahakkuk eden cezaları AMA Yazılım rücu eder ve Müşteri'yi tazmin eder.
- İhlalin kaynağı Müşteri'nin talimatlarına veya Veri Sorumlusu yükümlülüklerine aykırılıktan kaynaklanıyorsa, AMA Yazılım'a tahakkuk eden cezaları Müşteri rücu eder ve AMA Yazılım'ı tazmin eder.
- İhlal her iki tarafın müştereken kusurundan kaynaklanıyorsa, sorumluluk kusur oranında paylaşılır.
- Tazminat kapsamı: idari para cezaları, hükmolunan tazminatlar, mahkeme masrafları, avukatlık ücretleri, adli merciiler önünde savunma masrafları.
14. Sözleşmenin Süresi
İşbu DPA, ana SaaS Hizmet Sözleşmesi'nin yürürlükte olduğu süre boyunca geçerlidir. SaaS Sözleşmesi'nin feshiyle birlikte DPA da sona erer; ancak aşağıdaki yükümlülükler fesih sonrası da devam eder:
- Gizlilik yükümlülüğü (süresiz)
- Veri iadesi (30 gün)
- Veri imhası (canlı 7 iş günü, yedek 90 gün, log 2 yıl)
- Denetim hakkı (imha tamamlanana kadar)
- Tazminat/rücu hakkı (zamanaşımı süresince)
15. Diğer Hükümler
15.1 Standart Sözleşme Maddeleri (GDPR SCC)
Müşteri AB üye devletlerinde kurulu veya AB'de yerleşik kişisel verileri işliyorsa, taraflar Avrupa Komisyonu tarafından yayımlanan Standard Contractual Clauses (SCC, 2021/914 sayılı Karar) hükümlerini işbu DPA'nın eki olarak kabul ederler. SCC ile bu DPA arasında çelişki halinde SCC üstün tutulur.
15.2 Bölünebilirlik
Bu sözleşmenin herhangi bir hükmünün geçersiz sayılması diğer hükümlerin geçerliliğini etkilemez.
15.3 Sözleşmenin Bütünlüğü
Bu DPA, ana SaaS Sözleşmesi ile birlikte taraflar arasındaki kişisel veri işleme ilişkisinin tamamını oluşturur. Ana sözleşme ile çelişki halinde kişisel veri konularında DPA üstün tutulur.
15.4 Değişiklik
Bu DPA, KVKK veya ikincil mevzuatında değişiklik olması halinde AMA Yazılım tarafından tek taraflı olarak güncellenebilir; değişiklikler yürürlüğe girmeden 30 gün önce Müşteri'ye bildirilir. Diğer değişiklikler tarafların yazılı mutabakatı ile yapılır.
16. Uygulanacak Hukuk ve Yetki
İşbu sözleşmeye Türkiye Cumhuriyeti hukuku uygulanır. 6698 sayılı KVKK ve ikincil mevzuatı (Kurul Kararları, Yönetmelikler, Tebliğler) esas alınır. AB müşterisi halinde ayrıca GDPR ve SCC hükümleri uygulanır. Uyuşmazlıklarda İstanbul (Çağlayan) Mahkemeleri yetkilidir.
17. İletişim
KVKK ile ilgili her türlü bildirim, başvuru ve taleplerin yöneltileceği iletişim bilgileri:
| AMA Yazılım KVKK İletişimi |
Veri Sorumlusu Temsilcisi: Ali Mert Akyüz E-posta: [email protected] Adres: Merkez Mah. Kağıthane Cad. İ Ofis No:3 İç Kapı No:28, Kağıthane/İstanbul KEP: [email protected] (kuruluş sonrası güncellenecek) |
|---|
Yetkili: Ali Mert Akyüz
Unvan: Şirket Müdürü
Yetkili: [Ad Soyad]
Unvan: [Unvan]