Veri İşleme Sözleşmesi

İşbu Veri İşleme Sözleşmesi ("Sözleşme"), VoxPulse hizmetlerini kullanan işletme ("Veri Sorumlusu" veya "İşletme") ile VoxPulse ("Veri İşleyen" veya "Şirket") arasında, müşteri geri bildirimlerinin toplanması, işlenmesi ve analiz edilmesi sürecinde kişisel verilerin korunmasına ilişkin tarafların hak ve yükümlülüklerini belirlemek amacıyla düzenlenmiştir.

Madde 1 — Tanımlar

Bu Sözleşme'de kullanılan terimler aşağıdaki anlamları taşır:

• Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen; VoxPulse hizmetlerini kullanan işletme (KVKK m.3/1-ı).
• Veri İşleyen: Veri Sorumlusu'nun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen; VoxPulse (KVKK m.3/1-ğ).
• İlgili Kişi: Verisi işlenen gerçek kişi; İşletme'nin müşterileri ve çalışanları (KVKK m.3/1-e).
• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (KVKK m.3/1-d).
• Alt Veri İşleyen: VoxPulse tarafından kişisel verilerin işlenmesi amacıyla yetkilendirilen üçüncü taraf hizmet sağlayıcıları.
• Veri İhlali: Kişisel verilerin hukuka aykırı olarak işlenmesi, erişilmesi, ifşa edilmesi, değiştirilmesi veya yok edilmesi.

Madde 2 — Sözleşmenin Konusu ve Kapsamı

2.1 Konu

Bu Sözleşme, VoxPulse platformu aracılığıyla İşletme'nin müşterilerinden toplanan geri bildirimlerin (sesli ve yazılı) işlenmesi sürecinde yer alan kişisel verilerin korunmasına ilişkin tarafların karşılıklı hak ve yükümlülüklerini düzenler.

2.2 İşlemenin Niteliği ve Amacı

Veri İşleyen, aşağıdaki amaçlarla kişisel verileri işler:

• Müşteri geri bildirimlerinin toplanması (QR kod aracılığıyla sesli/yazılı)
• Ses kayıtlarının metne dönüştürülmesi (transkripsiyon)
• Geri bildirimlerin yapay zeka ile analiz edilmesi (duygu analizi, kategori sınıflandırması)
• Analiz raporlarının oluşturulması ve İşletme'ye sunulması
• Trend takibi ve öneri üretimi

2.3 İşleme Süresi

Bu Sözleşme kapsamındaki veri işleme faaliyetleri, İşletme'nin VoxPulse hizmet aboneliği süresince devam eder. Aboneliğin sona ermesi halinde Madde 11 hükümleri uygulanır.

Madde 3 — İşlenen Kişisel Veri Türleri

Bu Sözleşme kapsamında işlenen veri kategorileri:

Madde 4 — Veri İşleyenin Yükümlülükleri

VoxPulse, Veri İşleyen sıfatıyla aşağıdaki yükümlülükleri üstlenir:

• Talimat İlkesi: Kişisel verileri yalnızca Veri Sorumlusu'nun yazılı talimatları ve bu Sözleşme'de belirtilen amaçlar doğrultusunda işler.
• Gizlilik: Kişisel verilere erişim yetkisi olan tüm personelin gizlilik yükümlülüğüne tabi olmasını sağlar.
• Güvenlik Tedbirleri: KVKK m.12 ve ilgili mevzuatta öngörülen teknik ve idari tedbirleri alır (bkz. Madde 8).
• Alt Veri İşleyen: Veri Sorumlusu'nun önceden genel yazılı iznini almadan alt veri işleyen kullanmaz (bkz. Madde 6).
• İlgili Kişi Hakları: İlgili kişilerin KVKK m.11 kapsamındaki haklarını kullanmaları halinde Veri Sorumlusu'na gerekli teknik desteği sağlar.
• İşbirliği: Kişisel Verileri Koruma Kurumu'nun denetimleri ve soruşturmaları kapsamında Veri Sorumlusu ile işbirliği yapar.
• İade ve Silme: Sözleşme'nin sona ermesi halinde, verileri Veri Sorumlusu'nun talimatına uygun olarak iade eder veya siler (bkz. Madde 11).

Madde 5 — Veri Sorumlusunun Yükümlülükleri

İşletme, Veri Sorumlusu sıfatıyla aşağıdaki yükümlülükleri üstlenir:

• İlgili kişilere (müşterilerine) KVKK m.10 kapsamında gerekli aydınlatma yükümlülüğünü yerine getirmek.
• Gerekli hallerde ilgili kişilerin açık rızasını almak (özellikle ses verisi ve yurt dışı aktarım için).
• VoxPulse'a verdiği talimatların hukuka uygun olmasını sağlamak.
• Kendi bünyesindeki veri güvenliği tedbirlerini almak.
• İlgili kişi başvurularını KVKK'da öngörülen sürelerde yanıtlamak.

Madde 6 — Alt Veri İşleyenler

Veri Sorumlusu, VoxPulse'ın aşağıdaki alt veri işleyenlerle çalışmasına genel yazılı izin verir. VoxPulse, alt veri işleyen listesinde değişiklik yapması halinde Veri Sorumlusu'nu makul bir süre öncesinde bilgilendirir:

VoxPulse, alt veri işleyenlerle yaptığı sözleşmelerde, bu Sözleşme'deki veri koruma yükümlülüklerinden daha az koruyucu olmayan koşullar belirlemeyi taahhüt eder.

Madde 7 — Uluslararası Veri Aktarımı

Hizmetin doğası gereği, kişisel veriler yukarıda belirtilen alt veri işleyenler aracılığıyla yurt dışına aktarılabilir. Bu aktarımlar:

• KVKK m.9 kapsamında, ilgili kişinin açık rızasına veya Kişisel Verileri Koruma Kurulu'nun yeterli koruma kararına dayanır.
• Alt veri işleyenlerle imzalanan Standart Sözleşme Maddeleri (SCCs) ile güvence altına alınır.
• Aktarım yapılan ülkelerde yeterli veri koruma düzeyinin sağlanması için ek güvenlik önlemleri alınır.

Madde 8 — Veri Güvenliği Tedbirleri

VoxPulse, KVKK m.12 kapsamında aşağıdaki teknik ve idari tedbirleri uygular:

8.1 Teknik Tedbirler

• Veriler aktarım sırasında (in transit) ve depolanırken (at rest) şifrelenir (TLS 1.2+, AES-256).
• Erişim kontrolü ve yetkilendirme mekanizmaları uygulanır (RBAC — Rol Tabanlı Erişim Kontrolü).
• Düzenli güvenlik güncellemeleri ve yama yönetimi yapılır.
• İzinsiz erişim girişimleri izlenir ve loglanır.
• Ses verileri, metne dönüştürüldükten sonra en geç 24 saat içinde kalıcı olarak silinir.

8.2 İdari Tedbirler

• Kişisel verilere erişim yetkisi, görev tanımı gereği ihtiyaç duyan personelle sınırlıdır (minimum yetki ilkesi).
• Personele düzenli veri güvenliği eğitimi verilir.
• Gizlilik sözleşmeleri imzalatılır.
• Veri işleme süreçleri düzenli olarak denetlenir.
• Veri koruma etki değerlendirmesi (DPIA) yapılır.

Madde 9 — Veri İhlali Bildirimi

Kişisel veri ihlali tespit edilmesi halinde:

• VoxPulse, veri ihlalini tespit ettiği andan itibaren en geç 48 (kırk sekiz) saat içinde Veri Sorumlusu'nu yazılı olarak bilgilendirir.
• Bildirimde; ihlalin niteliği, etkilenen veri kategorileri ve tahmini kayıt sayısı, olası sonuçlar ve alınan/alınacak tedbirler yer alır.
• Veri Sorumlusu, KVKK m.12/5 uyarınca veri ihlalini en kısa sürede (72 saat içinde) Kişisel Verileri Koruma Kurulu'na bildirir.
• İhlalin ilgili kişiler üzerinde ciddi zarar riski oluşturması halinde, Veri Sorumlusu ilgili kişileri de bilgilendirir.

Madde 10 — Denetim Hakkı

Veri Sorumlusu, bu Sözleşme kapsamındaki yükümlülüklerin yerine getirilip getirilmediğini denetleme hakkına sahiptir. Bu kapsamda:

• Veri Sorumlusu, makul bir önceden bildirimle (en az 15 iş günü) denetim talebinde bulunabilir.
• VoxPulse, denetim için gerekli erişimi ve bilgileri sağlar.
• Denetim, VoxPulse'ın ticari sırlarını ve diğer müşterilerinin verilerini ifşa etmeyecek şekilde yürütülür.
• Denetim masrafları, haklı bir gerekçe olmadıkça Veri Sorumlusu tarafından karşılanır.

Madde 11 — Sözleşmenin Sona Ermesi ve Verilerin İadesi/Silinmesi

İşletme'nin VoxPulse aboneliğinin sona ermesi veya feshi halinde:

• VoxPulse, Veri Sorumlusu'nun talebi üzerine tüm kişisel verileri 30 (otuz) gün içinde makine tarafından okunabilir bir formatta iade eder.
• Veri iadesi tamamlandıktan sonra veya Veri Sorumlusu'nun silme talimatı üzerine, tüm kişisel veriler ve kopyaları 60 (altmış) gün içinde kalıcı olarak silinir.
• Yasal saklama yükümlülükleri kapsamında tutulması gereken veriler hariç tutulur ve bu veriler yalnızca yasal amaçlarla saklanır.
• Silme işlemi tamamlandığında, VoxPulse yazılı olarak onay verir.

Madde 12 — Sorumluluk

VoxPulse, bu Sözleşme'deki yükümlülüklerini ihlal etmesi sonucu ortaya çıkan doğrudan zararlardan KVKK ve ilgili mevzuat çerçevesinde sorumludur. Tarafların sorumlulukları, ana hizmet sözleşmesindeki sorumluluk sınırlamalarına tabidir.

Madde 13 — Uygulanacak Hukuk ve Uyuşmazlık Çözümü

• Bu Sözleşme, Türkiye Cumhuriyeti hukukuna tabidir.
• Sözleşme'den doğan uyuşmazlıklarda İstanbul Mahkemeleri ve İcra Daireleri yetkilidir.

Madde 14 — Hukuki Dayanak

Bu Sözleşme, aşağıdaki mevzuat hükümleri çerçevesinde hazırlanmıştır:

• 6698 sayılı Kişisel Verilerin Korunması Kanunu (özellikle m.12)
• Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
• Veri Sorumluları Sicili Hakkında Yönetmelik
• Kişisel Verileri Koruma Kurulu kararları ve rehberleri
• Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) — Madde 28 (referans olarak)

Madde 15 — İletişim