YASAL

Veri İşleme Sözleşmesi

Müşterilerimizle imzaladığımız standart DPA — KVKK Madde 6 ve GDPR Article 28 uyumlu.

Son güncelleme: 28 Mayıs 2026 · Sürüm 1.0 · Çerçeve metin

Bu sayfa standart DPA çerçevesidir. Müşterimiz olduğunuzda, panel üzerinden kendi şirket bilgilerinizle özelleştirilmiş DPA belgenizi indirebilir, ıslak veya e-imza ile karşılıklı imzalayabilirsiniz. Avukat değerlendirmesi gerektiren özel hükümler için [email protected] ile iletişime geçin.

1. Taraflar

Bu Veri İşleme Sözleşmesi (DPA), veri sorumlusu sıfatıyla Müşteri (siz) ile veri işleyen sıfatıyla Yazılım Koçu arasında akdedilir. SendNomi, Yazılım Koçu tarafından sunulan e-posta gönderim ve iletişim altyapı hizmetidir.

2. Tanımlar

  • Veri Sorumlusu: Kişisel verinin işlenme amaç ve vasıtalarını belirleyen taraf (Müşteri).
  • Veri İşleyen: Veri sorumlusu adına ve talimatları doğrultusunda kişisel verileri işleyen taraf (Yazılım Koçu).
  • Kişisel Veri: KVKK Madde 3 uyarınca tanımlanan, belirli veya belirlenebilir gerçek kişiye ait her türlü bilgi.
  • Veri İşleme Faaliyeti: E-posta gönderimi, kampanya yönetimi, kontak yönetimi, otomasyon ve raporlama dahil hizmetin sunulması kapsamındaki her türlü işleme faaliyeti.

3. İşleme Amacı ve Kapsamı

Yazılım Koçu, Müşteri'nin yalnızca aşağıdaki amaçlar için verdiği talimat doğrultusunda kişisel verileri işler:

  • Müşteri tarafından tanımlanan alıcılara ticari ve işlemsel e-posta gönderimi
  • İletilerin teslim, açılma, tıklanma ve geri dönüş (bounce) raporlanması
  • Otomasyon, kampanya ve segmentasyon işlemlerinin yürütülmesi
  • İYS (İleti Yönetim Sistemi) izin sorgusu — Müşteri'nin kendi İYS hesabı üzerinden
  • Hizmetin güvenliği, kötüye kullanım tespiti ve yasal yükümlülüklerin ifası

4. İşlenen Veri Kategorileri

  • Alıcı e-posta adresi, ad-soyad, telefon (Müşteri tarafından yüklenen)
  • IP adresi, kullanıcı ajanı, açılma/tıklanma olay verileri (otomatik üretilen)
  • Müşteri kullanıcı hesabı verileri (panel erişimi için)
  • Fatura ve ödeme bilgileri (Müşteri'ye ait şirket bilgileri)

5. Verilerin Saklandığı Yer

Tüm kişisel veriler Türkiye sınırları içinde bulunan veri merkezimizde işlenir ve saklanır. KVKK Madde 9 kapsamında yurt dışı aktarım yapılmaz.

Şeffaflık notu (2026-06-02): SendNomi'nin altyapısı şu an Almanya'da Hetzner veri merkezinde çalışıyor. Türkiye'de KVKK uyumlu kurumsal veri merkezimize geçiş planı Q3 2026'da tamamlanacak; geçiş tarihi sayfada güncellenecek. Geçiş tamamlanana kadar yurt dışı aktarım için KVKK Madde 9 kapsamında veri işleme sözleşmesi imzalanır.

6. Veri İşleyenin Yükümlülükleri

  • Veri sorumlusunun yazılı talimatlarına uygun hareket etmek
  • İşleme faaliyetlerini gizli tutmak ve gizliliğe ilişkin önlemleri almak
  • Teknik ve idari tedbirler almak (TLS 1.3, KMS zarf şifreleme, RLS, audit log, erişim kontrolü)
  • Veri sahibinin haklarına ilişkin başvuruları derhal Müşteri'ye iletmek
  • Kişisel veri ihlali halinde Müşteri'ye 72 saat içinde bilgi vermek
  • Sözleşme sona erdiğinde verileri Müşteri talimatı doğrultusunda silmek veya iade etmek

7. Veri Güvenliği Önlemleri

Yazılım Koçu, KVKK Madde 12 uyarınca alınması gereken teknik ve idari tedbirleri uygular:

  • Uçtan uca TLS 1.3 şifreleme (sunucu içi + transport)
  • KMS zarf şifreleme ile veritabanı şifreleme (anahtar rotasyonu desteklenir)
  • Row-Level Security (RLS) ile çoklu müşteri izolasyonu
  • Zaman damgalı kanıt zinciri (SHA-256 hash chain audit log)
  • Düzenli güvenlik denetimi ve zafiyet taraması
  • SOC 2 Tip II hedefli prosedürler (sertifika sahip eylemi)

8. Alt İşleyenler (Sub-processors)

Hizmetin sunulması için sınırlı sayıda alt işleyen kullanılabilir (bot koruma, hata izleme gibi). Tam liste panel'den erişilebilir; her alt işleyen değişikliği Müşteri'ye en az 30 gün önceden bildirilir.

9. Veri Sahibinin Hakları

Veri sahibi, KVKK Madde 11 uyarınca veri sorumlusu sıfatıyla Müşteri'ye başvurma hakkına sahiptir. Yazılım Koçu, Müşteri'nin bu başvuruları yanıtlamasına self-service araçlarla destek olur (DSAR self-export, KVKK silme talebi otomasyonu).

10. Sözleşmenin Sona Ermesi

Sözleşme sona erdiğinde Yazılım Koçu, Müşteri'nin talimatı doğrultusunda kişisel verileri 30 gün içinde siler veya iade eder. Sahip eylem: müşteri talimatı yazılı olarak iletilmedikçe veriler 30 gün sonra otomatik olarak silinir.

11. Sorumluluk ve İhlal Bildirimi

Veri ihlali halinde Yazılım Koçu, en geç 72 saat içinde Müşteri'ye yazılı bildirim yapar. KVKK Kuruluna bildirim Veri Sorumlusu sıfatıyla Müşteri tarafından yapılır; Yazılım Koçu gerekli teknik ve hukuki desteği sağlar.

12. Uygulanacak Hukuk

Bu DPA, Türk hukukuna tabidir. Uyuşmazlıklar İstanbul Mahkemeleri'nin yetkisindedir.

13. İmza

Bu DPA, panel'den indirilen Müşteri'ye özgü PDF belgesi üzerinde her iki tarafça e-imza veya ıslak imza ile imzalandığında yürürlüğe girer. İmzalı belge, audit chain'de zaman damgalı olarak saklanır.

İletişim: Hukuki sorularınız için [email protected]. Veri ihlali bildirimi için [email protected].