İçeriğe atla
ÖzelliklerFiyatlandırmaİş OrtaklığıBlogYardımHakkımızdaİletişim
BaşlaGiriş Yap

Veri İşleme Sözleşmesi

GDPR md. 28 · UK GDPR · KVKK — veri işleyen şartları

Last updated1 Temmuz 2026Effective1 Temmuz 2026

1. Taraflar, Kapsam ve Öncelik

Bu Veri İşleme Sözleşmesi ("DPA"), Synaltix LLC ("Thmenu", "Veri İşleyen", "biz") ile müşteri ("Veri Sorumlusu", "siz") arasındaki Hizmet Şartları'nın ayrılmaz bir parçasıdır ve atıfla dahil edilmiştir. Thmenu platformunu kullandığınızda sizin adınıza yaptığımız kişisel veri işlemesini düzenler. Veri koruma konusunda Şartlar ile çatışırsa bu DPA önceliklidir. Şartları kabulünüzle yürürlüğe girer ve sizin adınıza kişisel veri işlediğimiz sürece yürürlükte kalır.

2. Tanımlar

"GDPR" 2016/679 sayılı AB Tüzüğü'nü ve uygulanabildiği ölçüde UK GDPR'ı; "KVKK" 6698 sayılı Kişisel Verilerin Korunması Kanunu'nu ifade eder. "Veri Sorumlusu", "Veri İşleyen", "İlgili Kişi", "Kişisel Veri", "İşleme", "Alt-İşleyen" ve "Veri İhlali" terimleri GDPR/KVKK'daki anlamlarıyla kullanılır. "Uygulanabilir Veri Koruma Hukuku" bunların işlemeye uygulanan tümünü kapsar.

3. Tarafların Rolleri

GDPR / KVKK
Platform üzerinden işlenen son müşteri ve (varsa) otel misafiri kişisel verileri için siz Veri Sorumlusu, Thmenu Veri İşleyendir. Amaç ve araçları siz belirlersiniz; biz yalnızca hizmeti sağlamak için işleriz. Kendi sınırlı sorumlu faaliyetlerimiz (faturalandırma, hesap yönetimi, güvenlik loglaması, kendi kullanıcılarımıza dair ürün analitiği) için Gizlilik Politikamız uyarınca bağımsız Veri Sorumlusu olarak hareket ederiz.

4. İşleme Detayları (Ek I)

Konu: Thmenu SaaS platformunun sağlanması.
Süre: Şartların süresi + §11'deki saklama/silme penceresi.
Niteliği ve amacı: menü/sipariş verisini barındırma, saklama, iletme, görüntüleme; masa ve oda siparişi alma; müşteri etkileşimi; ve Diamond otel hesapları için oda içi menüyü misafire bağlama + siparişleri folyo kaydı için döndürme.
İlgili kişi kategorileri: son müşterileriniz, personeliniz ve otel misafirleri (Diamond).
Kişisel veri kategorileri: sipariş içeriği ve tutarları; masa/oda kimlikleri; sipariş, geri bildirim, sadakat veya rezervasyon için verdiğiniz/ilgili kişinin verdiği iletişim bilgileri (ad, e-posta, telefon); dolandırıcılık önleme ve hizmet sunumu için işlenen cihaz/teknik veri (IP, user-agent, yaklaşık konum sinyalleri); ve PMS API üzerinden otel misafir durumu (ad, oda no, dil, konaklama/sadakat kimlikleri). Özel nitelikli veri talep etmeyiz; bunu serbest-metin alanlarına girmemelisiniz.

5. Veri İşleyen Yükümlülükleri (md. 28/3)

Şunları yaparız: (a) kişisel veriyi yalnızca belgelenmiş talimatlarınızla işleriz (Şartlar, bu DPA ve platform yapılandırmanız), yasa gerektirmedikçe (bu durumda yasa yasaklamadıkça sizi bilgilendiririz); (b) işlemeye yetkili kişilerin gizlilikle bağlı olmasını sağlarız; (c) §7'deki güvenlik önlemlerini uygularız; (d) §6'daki alt-işleyen koşullarına uyarız; (e) ilgili kişi taleplerine yanıt vermenizde uygun teknik ve idari tedbirlerle yardımcı oluruz (§8); (f) güvenlik, ihlal bildirimi, DPIA ve ön danışma konularında yardımcı oluruz (md. 32-36); (g) tercihinize göre hizmet sonunda kişisel veriyi sileriz veya iade ederiz (§11); (h) uyumu göstermek için gerekli bilgiyi sunar ve denetime izin veririz (§9). Bir talimatın hukuka aykırı olduğunu düşünürsek sizi bilgilendiririz.

6. Alt-İşleyenler

Alt-İşleyen
Aşağıdaki alt-işleyenleri, her biri bu DPA'dan daha az koruyucu olmayan veri-koruma şartlarıyla bağlı olmak üzere görevlendirmeye genel yetki verirsiniz. Performanslarından tamamen sorumlu kalırız.

Cloudflare, Inc. (ABD/global edge) — barındırma, CDN, edge compute, R2
Supabase, Inc. (ABD) — kimlik doğrulama + birincil DB
Stripe, Inc. (ABD) — abonelik ödemeleri (etkinse masadan-ödeme)
Resend, Inc. (ABD) — işlemsel e-posta
PostHog, Inc. (ABD) — ürün analitiği (cookie-onaylı)
Sentry / Functional Software, Inc. (ABD) — hata izleme

Güncel liste Uyumluluk sayfasında tutulur. Bir alt-işleyen ekleme/değiştirme niyetimizi en az 30 gün önceden bildiririz; bu süre içinde makul veri-koruma gerekçesiyle itiraz edebilirsiniz ve itirazı karşılayamazsak etkilenen hizmeti feshedebilirsiniz.

7. Güvenlik Önlemleri (md. 32)

Riske uygun teknik ve idari tedbirler uygularız: aktarımda şifreleme (TLS) ve hassas alanlarda beklemede şifreleme (ör. pgcrypto ile şifreli KYC/banka verisi); katı erişim kontrolü ve en-az-yetki; satır-seviyesi güvenlik ve ayrıcalıklı-alan yazma tetikleyicileri; CSRF, rate-limit, brute-force ve bot/anonimleştirici savunmaları; denetim loglaması; loglarda PII minimizasyonu ve hash'leme; canlı-secret redaksiyonlu şifreli/erişim-kontrollü yedekler; ve belgelenmiş secret rotasyon süreci. Önlemler hizmet boyunca gözden geçirilir; koruma seviyesi esaslı biçimde düşmediği sürece güncelleyebiliriz.

8. İlgili Kişi Talepleri

İşlemenin niteliğini dikkate alarak, GDPR ve KVKK kapsamındaki ilgili kişi haklarına (erişim, düzeltme, silme, kısıtlama, taşınabilirlik, itiraz) yanıt verme yükümlülüğünüzü yerine getirmeniz için uygun teknik ve idari tedbirlerle — ürün içi dışa aktarma/silme araçları ve gerektiğinde legal@synaltix.io destek talepleri dahil — yardımcı oluruz. Bir ilgili kişi bize doğrudan ulaşırsa, sizin talimatınız veya yasa gerektirmedikçe esasa girmeden sizi işaret ederiz.

9. Veri İhlali

Verinizi etkileyen bir Veri İhlalini öğrendikten sonra gecikmeksizin sizi bilgilendirir ve bildirim yükümlülüklerinizi (md. 33-34 / KVKK ihlal bildirimi) yerine getirmenize yardımcı olacak makul erişilebilir bilgiyi — ihlalin niteliği, olası sonuçlar, alınan/önerilen tedbirler — sağlarız. Bildirim kusur ikrarı değildir.

10. Uluslararası Aktarım

Altyapımız ve alt-işleyenlerimiz esasen ABD'dedir. AEA/BK/Türkiye ilgili kişilerinin verisi yeterlilik kararı olmayan bir ülkeye aktarıldığında, aktarım uygulanabilir güvenceyle korunur — AB Standart Sözleşme Maddeleri (Modül İki: Sorumlu-İşleyen), UK IDTA ve Türkiye için KVKK md. 9 mekanizmaları — ek teknik tedbirlerle (şifreleme, erişim kontrolü) birlikte. SCC'ler atıfla dahildir; aktarım konularında bu DPA ile çatışırsa SCC'ler önceliklidir.

11. Silme ve İade

Hizmetin sona ermesi/feshi üzerine, tercihinize göre, sizin adınıza işlenen tüm kişisel veriyi siler veya iade eder ve mevcut kopyaları sileriz; Uygulanabilir Veri Koruma Hukuku saklamayı gerektirdiği ölçüde hariç (ör. fatura kaydı: 7 yıl). Aksi talimat yoksa kişisel veri 30 günlük bekleme süresi sonrası kalıcı silinir. PMS API üzerinden gönderilen otel misafir verisi yalnızca konaklama süresi + bu pencere boyunca saklanır. Yedekler normal rotasyonlarında düşer.

12. Denetim

Md. 28 uyumunu göstermek için gerekli bilgiyi sunar ve gizlilikle bağlı bir denetçinin (siz veya karşılıklı mutabık kalınan bağımsız denetçi) denetimlerine/incelemelerine katkı sağlarız. Denetimler makul ön bildirimle (en az 30 gün), 12 ayda birden fazla olmamak üzere (denetim otoritesi gerektirmedikçe veya ihlal sonrası), mesai saatlerinde ve operasyonumuzu/diğer müşterilerin gizliliğini bozmadan yapılır. Denetim taleplerini güncel güvenlik dokümantasyonumuz ve üçüncü-taraf belgeleriyle karşılayabiliriz.

13. Türkiye / KVKK Özellikleri

KVKK
Türk ilgili kişiler için KVKK yükümlülükleri, Şartlardaki hukuk seçiminden bağımsız uygulanır. Thmenu, veri işleyen olarak, kişisel veriyi yalnızca veri sorumlusu olan sizin talimatınızla işler, KVKK md. 12'nin gerektirdiği güvenlik önlemlerini alır ve VERBİS/ilgili kişi yükümlülüklerinde yardımcı olur. Yurt dışı aktarım KVKK md. 9'a dayanır (gereken hallerde açık rıza veya uygulanabilir güvenceler). Kendi KVKK kaydınız ve hukuki-sebep belirlemenizden siz sorumlusunuz.

14. Sorumluluk, Süre ve İletişim

Bu DPA kapsamındaki sorumluluk, Şartlardaki sorumluluk sınırlamalarına tabidir. Bu DPA, sizin adınıza tüm kişisel veri işlememiz sona erene kadar yürürlüktedir. Zorunlu ilgili-kişi ve denetim-otoritesi haklarına halel gelmeksizin, Şartlarla aynı hukuk ve yargı yerine tabidir.

Veri koruma iletişimi: legal@synaltix.io. Karşılıklı imzalı bir nüsha talep üzerine sunulur.