Veri İşleme Sözleşmesi

Bu Veri İşleme Sözleşmesi ("VİS" veya "DPA"), TalepNET ile TalepNET hizmetlerini satın alan veya kullanan müşteri tüzel kişi ("Müşteri") arasındaki sözleşmenin bir parçasını oluşturur. Bu metin, TalepNET'in Müşteri adına kişisel veri işlediği durumlarda ve uygulanabilir veri koruma mevzuatının gerektirdiği ölçüde geçerlidir.

Son güncelleme: 25 Mayıs 2026

1. Kapsam ve Uygulanabilirlik

Bu VİS, Müşteri'nin veri sorumlusu veya benzeri sıfatla hareket ettiği ve TalepNET'in TalepNET platformu veya ilgili destek ve hizmet operasyonları kapsamında Müşteri Kişisel Verilerini veri işleyen veya hizmet sağlayıcı sıfatıyla işlediği durumlarda uygulanır. Bu VİS; ana sözleşme, abonelik sözleşmesi veya çevrim içi hizmet şartlarının ayrılmaz bir parçasıdır.

2. Tarafların Rolleri

Müşteri, Müşteri Kişisel Verilerinin hangi amaçla ve hangi vasıtalarla işleneceğine karar verir ve gerekli hukuki dayanak, aydınlatma, rıza, bildirim ve ilgili kişi hakları süreçlerinden sorumludur. TalepNET, Müşteri Kişisel Verilerini yalnızca Müşteri'nin belgelenmiş talimatları doğrultusunda veya uygulanabilir mevzuatın zorunlu kıldığı ölçüde işler.

3. İşlemenin Konusu, Süresi ve Niteliği

İşlemenin konusu; TalepNET'in bulut tabanlı talep, satın alma, onay, tedarikçi, sipariş ve harcama yönetimi hizmetlerinin, teknik bakım, destek, güvenlik ve ilişkili operasyonlarla birlikte sunulmasıdır. İşleme faaliyeti, uygulanabilir hizmet sözleşmesi yürürlükte olduğu sürece ve sonrasında varsa mutabık kalınan geçiş veya silme süresi boyunca devam eder.

4. Veri Konuları ve Veri Kategorileri

• Veri sahipleri; Müşteri çalışanları, yüklenicileri, yetkili kullanıcıları, satın alma ekipleri, onaylayıcılar, tedarikçi temsilcileri ve Müşteri tarafından Hizmetlere aktarılan diğer kişiler olabilir.
• İşlenebilecek veri kategorileri; kimlik ve iş iletişim bilgileri, kullanıcı hesap tanımlayıcıları, rol ve yetki verileri, iş akışı ve işlem metadata'sı, tedarikçi iletişim bilgileri, iletişim kayıtları, denetim logları ve Müşteri tarafından Hizmetlere girilen diğer verilerdir.
• Özel nitelikli kişisel veriler, yazılı olarak açıkça kararlaştırılmadıkça ve uygun hukuki/teknik önlemler tesis edilmedikçe Hizmetlere yüklenmemelidir.

5. Müşteri Talimatları ve İşleme Sınırları

TalepNET, Müşteri Kişisel Verilerini yalnızca Hizmetleri sunmak, güvenliği sağlamak, kötüye kullanımı önlemek, destek ve bakım faaliyetlerini yürütmek, Müşteri'nin belgelenmiş talimatlarını yerine getirmek ve yasal yükümlülüklerini karşılamak amacıyla işler. TalepNET, Müşteri Kişisel Verilerini satmaz ve bunları ilgisiz ticari amaçlarla kullanmaz.

6. Gizlilik ve Personel Yükümlülükleri

TalepNET, Müşteri Kişisel Verilerine erişebilen personelin gizlilik yükümlülüklerine tabi olmasını sağlar ve erişimi yalnızca görev gerekliliği bulunan kişilerle sınırlandırır.

7. Güvenlik Önlemleri

TalepNET, işlemenin niteliği ve risk düzeyi dikkate alınarak Müşteri Kişisel Verilerini korumaya yönelik uygun teknik ve organizasyonel tedbirler uygular.

• Erişim kontrolü, rol bazlı yetkilendirme ve kimlik doğrulama önlemleri.
• Loglama, izleme ve olay tespit süreçleri.
• Uygun olduğu ölçüde aktarım sırasında şifreleme ve saklanan veriler için makul koruma tedbirleri.
• Yedekleme, iş sürekliliği ve geri yükleme süreçleri.
• Değişiklik yönetimi, zafiyet yönetimi ve iç güvenlik yönetişimi.

8. Alt İşleyenler

Müşteri, TalepNET'in Hizmetlerin sunulmasını desteklemek amacıyla barındırma, altyapı, destek, iletişim, analitik, güvenlik ve yapay zeka özellik sağlayıcıları gibi alt işleyenler kullanmasını yetkilendirir. TalepNET, alt işleyenlerin bu VİS ile esasen uyumlu veri koruma yükümlülüklerine tabi olmasını sağlamakla sorumludur. TalepNET, alt işleyen listesini olağan iş akışı içinde zaman zaman güncelleyebilir. Hizmetler için kullanılan güncel alt işleyenler bu VİS'in ilgili bölümünde listelenmektedir.

• Google Cloud / Firebase (Google LLC): TalepNET uygulaması ve bağlı servislerin işletilmesi için kullanılan bulut barındırma, kimlik doğrulama, veritabanı, dosya saklama, sunucusuz fonksiyonlar, loglama ve ilişkili altyapı hizmetleri.
• SendGrid (Twilio SendGrid, Inc.): davet e-postaları, bildirimler, iş akışı e-postaları ve diğer hizmet iletişimleri için işlemsel e-posta gönderimi.
• OpenAI (OpenAI, L.L.C. ve ilgili grup şirketleri): Hizmetler içinde etkinleştirilen veya kullanılan yapay zeka destekli asistan ve ilgili dil işleme özellikleri.
• Google reCAPTCHA Enterprise (Google LLC): kamuya açık formlar ve korunan hizmet akışlarında kötüye kullanım önleme, bot tespiti ve istek bütünlüğü kontrolleri.
• Google Analytics / Google Tag Manager (Google LLC): etkinleştirildiği durumlarda web sitesi trafik ölçümü, kampanya ilişkilendirme ve ürün veya pazarlama analitiği.

9. Uluslararası Aktarımlar

Müşteri Kişisel Verilerinin menşe ülke dışındaki ülkelere aktarılması veya bu ülkelerden erişilmesi halinde TalepNET, uygulanabilir mevzuatın gerektirdiği uygun aktarım mekanizmalarını ve koruma önlemlerini uygular. Bunlar arasında Standart Sözleşme Maddeleri veya eşdeğer hukuki mekanizmalar bulunabilir.

10. Veri Lokasyonu

Müşteri Kişisel Verilerinin ana saklama ve işleme altyapısı, TalepNET'in hizmet mimarisi ve hizmetlerin sunulması için gerekli teknik ve organizasyonel önlemler çerçevesinde Google Cloud Firestore üzerinde eur3 (Avrupa) multi-region yapısında konumlanmaktadır.

11. İlgili Kişi Hakları ve Uyum Desteği

İşlemenin niteliği dikkate alınarak TalepNET, veri sahibi başvurularına yanıt verilmesi, güvenlik, ihlal bildirimi, etki değerlendirmeleri ve gerekli olduğunda düzenleyici otorite süreçleri bakımından Müşteri'ye makul ölçüde destek sağlar; ancak bu destek, hukuken gerekli ve Hizmetlerin niteliği kapsamında makul olan ölçüyle sınırlıdır.

12. Güvenlik Olayları

TalepNET, Müşteri Kişisel Verilerini etkileyen doğrulanmış bir güvenlik olayından haberdar olması halinde Müşteri'yi gereksiz gecikme olmaksızın bilgilendirir ve Müşteri'nin yasal yükümlülüklerini yerine getirmesi için makul ölçüde mevcut bilgileri paylaşır. Böyle bir bildirim, TalepNET açısından kusur veya sorumluluk ikrarı anlamına gelmez.

13. Verilerin Silinmesi ve İadesi

Uygulanabilir hizmet sözleşmesinin sona ermesi veya feshi üzerine TalepNET, sözleşme hükümleri, Müşteri talimatları ve TalepNET'in standart saklama/silme prosedürleri doğrultusunda Müşteri Kişisel Verilerini siler veya iade eder; ancak mevzuat, güvenlik ihtiyacı veya meşru kayıt tutma yükümlülükleri nedeniyle saklanması gereken veriler bu kapsamın dışındadır.

14. Denetim ve Bilgi Sağlama

TalepNET, bu VİS'e uyumu göstermek için makul ölçüde gerekli bilgileri Müşteri'ye sunar. Uygulanabilir mevzuatın gerektirdiği ve sunulan bilgilerin yeterli olmadığı istisnai durumlarda, TalepNET makul ön bildirim, gizlilik yükümlülükleri, kapsam sınırlamaları, güvenlik kontrolleri ve makul maliyetlerin karşılanması şartıyla sınırlı bir denetim veya inceleme sürecine izin verebilir.

15. Çatışma ve Öncelik

Müşteri Kişisel Verilerinin işlenmesi bakımından bu VİS ile ana hizmet sözleşmesi arasında çelişki bulunması halinde, çelişen kısım bakımından bu VİS öncelikli olarak uygulanır. Bu VİS, uygulanabilir veri koruma mevzuatının gerektirdiği durumlar dışında tarafların sorumluluk düzenini değiştirmez.