Digitable Yasal Belgeler

VERİ İŞLEME SÖZLEŞMESİ

Son Güncelleme: 2026-04-01 Sürüm: 2026.04

1. TARAFLAR

Bu Veri İşleme Sözleşmesi ("VİS"), aşağıdaki taraflar arasında akdedilmiştir:

Veri Sorumlusu ("Sorumlu"): SaaS Hizmet Sözleşmesi'ni kabul eden ve Digitable platformunu dijital menü yönetimi ve son kullanıcı verilerinin işlenmesi amacıyla kullanan gerçek veya tüzel kişi.

Veri İşleyen ("İşleyen"): MERS YAZILIM VE TEKNOLOJİ HİZMETLERİ LİMİTED ŞİRKETİ

Adres: Karaman Mah. Ceylan(170) Sk. No: 1 İç Kapı No: 1 Nilüfer/Bursa Türkiye

MERSİS No: 0618090558600001

E-posta: privacy@digitable.ai

Bu VİS, Taraflar arasındaki SaaS Hizmet Sözleşmesi'nin ("Ana Sözleşme") ayrılmaz bir parçasını oluşturur.

2. TANIMLAR

  • Kişisel Veri: KVKK Madde 3 ve GDPR Madde 4(1) kapsamında tanımlanan, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
  • İşleme: KVKK Madde 3 ve GDPR Madde 4(2) kapsamında tanımlanan, kişisel veriler üzerinde gerçekleştirilen her türlü işlem.
  • İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
  • Alt İşleyen: İşleyen tarafından Sorumlu adına kişisel verileri işlemek üzere görevlendirilen üçüncü taraf.
  • Veri İhlali: Kişisel verilerin kazara veya hukuka aykırı olarak imha edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz ifşası veya erişimi.
  • GDPR: Avrupa Birliği Genel Veri Koruma Tüzüğü (AB) 2016/679.
  • KVKK: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
  • SHS'ler: GDPR Madde 46(2)(c) uyarınca Avrupa Komisyonu tarafından kabul edilen Standart Sözleşme Hükümleri.

3. İŞLEMENİN KONUSU VE SÜRESİ

3.1 Konu

İşleyen, Digitable dijital menü platformunun sunulması kapsamında Sorumlu adına aşağıdaki işlemleri gerçekleştirir:

  • QR kodlar aracılığıyla erişilebilen dijital menülerin barındırılması ve sunulması
  • Müşteri geri bildirimlerinin toplanması ve işlenmesi
  • Menü görüntüleme ve QR kod tarama analizlerinin üretilmesi
  • Yapay zeka destekli içerik üretimi (menü açıklamaları, çeviriler, görseller)
  • Ödeme işleme kolaylaştırması
  • Sorumlu adına e-posta iletişimleri

3.2 Süre

İşleme, Ana Sözleşme süresince ve tüm kişisel verilerin bu VİS'in 11. Bölümü uyarınca silinmesine veya iade edilmesine kadar devam eder.

4. İŞLEMENİN NİTELİĞİ VE AMACI

İşleyen, kişisel verileri yalnızca Ana Sözleşme'de tanımlanan hizmetlerin sunulması amacıyla işler:

  • Depolama ve barındırma: Menü verileri, ürün bilgileri ve yüklenen medyanın saklanması
  • Analitik: QR kod taramaları ve menü görüntülemelerine ilişkin raporlama
  • Geri bildirim toplama: Platform üzerinden gönderilen müşteri değerlendirmelerinin işlenmesi
  • Yapay zeka hizmetleri: Sorumlu adına üçüncü taraf yapay zeka sağlayıcıları aracılığıyla içerik üretimi
  • İletişim: Sorumlu tarafından yapılandırılan işlemsel ve pazarlama e-postalarının gönderimi

5. İLGİLİ KİŞİ KATEGORİLERİ VE KİŞİSEL VERİ KATEGORİLERİ

5.1 İlgili Kişi Kategorileri

Kategori Açıklama
Sorumlu'nun çalışanları Platforma erişen ve yöneten personel
Son kullanıcılar (menü ziyaretçileri) QR kod tarayan ve dijital menüleri görüntüleyen kişiler
Geri bildirim verenler Platform üzerinden geri bildirim gönderen kişiler

5.2 Kişisel Veri Kategorileri

Kategori Örnekler
Hesap verileri Ad, e-posta adresi, telefon numarası, şirket adı
Cihaz ve erişim verileri IP adresi, tarayıcı türü, cihaz türü, işletim sistemi
Analitik veriler QR tarama zaman damgaları, menü görüntüleme süresi, sayfa etkileşimleri
Geri bildirim verileri Değerlendirmeler, yorumlar, oturum tanımlayıcıları
Ödeme verileri Fatura bilgileri, fatura adresi (ödeme alt işleyicileri aracılığıyla)

GDPR Madde 9 ve KVKK Madde 6 kapsamındaki özel nitelikli kişisel veriler kasıtlı olarak toplanmaz veya işlenmez.

6. SORUMLU'NUN YÜKÜMLÜLÜKLERİ

Sorumlu:

  1. Kişisel verileri işlemek ve İşleyen'e bu verileri işlemesi talimatını vermek için hukuki dayanağa sahip olduğunu garanti eder.
  2. İşleyen'e kişisel verilerin işlenmesine ilişkin belgelenmiş talimatlar sağlar.
  3. İlgili kişilere uygun gizlilik bildirimlerinin sunulması dahil, geçerli veri koruma mevzuatına uyumu sağlar.
  4. İşleyen'in yükümlülüklerini etkileyebilecek mevzuat değişikliklerini gecikmeksizin bildirir.
  5. İlgili kişi başvurularına 9. Bölüm uyarınca yanıt verir.

7. İŞLEYEN'İN YÜKÜMLÜLÜKLERİ

İşleyen:

  1. Kişisel verileri yalnızca Sorumlu'nun belgelenmiş talimatları doğrultusunda işler; yürürlükteki mevzuatın gerektirdiği haller hariç — bu durumda İşleyen, işleme öncesinde Sorumlu'yu bilgilendirir.
  2. Kişisel verileri işlemeye yetkili kişilerin gizlilik taahhüdü vermiş olmasını veya uygun yasal gizlilik yükümlülüğü altında bulunmasını sağlar.
  3. Ek A'da belirtilen uygun teknik ve idari tedbirleri uygular ve sürdürür.
  4. Alt İşleyenlerin görevlendirilmesine ilişkin 8. Bölüm'deki koşullara uyar.
  5. İşlemenin niteliğini dikkate alarak, ilgili kişi başvurularına yanıt verilmesinde Sorumlu'ya yardımcı olur (Bölüm 9).
  6. Güvenlik, ihlal bildirimi, veri koruma etki değerlendirmesi ve ön danışma yükümlülüklerinin yerine getirilmesinde Sorumlu'ya yardımcı olur.
  7. Ana Sözleşme'nin sona ermesi üzerine, Sorumlu'nun tercihine göre tüm kişisel verileri siler veya iade eder (Bölüm 11).
  8. Bu VİS'e uyumu kanıtlamak için gerekli tüm bilgileri Sorumlu'ya sunar ve denetimlere izin verir (Bölüm 12).

8. ALT İŞLEYENLER

8.1 Genel Yetkilendirme

Sorumlu, İşleyen'in Ek B'de listelenen Alt İşleyenleri görevlendirmesi için genel yazılı yetki verir. İşleyen, yeni bir Alt İşleyen görevlendirmeden en az 30 gün önce Sorumlu'yu e-posta ile bilgilendirir.

8.2 İtiraz Hakkı

Sorumlu, bildirimi aldıktan sonraki 14 gün içinde yeni Alt İşleyen'e itiraz edebilir. Sorumlu'nun veri korumasına ilişkin makul gerekçelere dayanan itirazı halinde, Taraflar ticari açıdan makul bir alternatif çözüm tartışır. Alternatif bulunamazsa, ilgili hizmetler cezasız olarak feshedilebilir.

8.3 Alt İşleyen Yükümlülükleri

İşleyen:

  1. Her Alt İşleyen'e sözleşme yoluyla bu VİS'te belirtilen veri koruma yükümlülüklerinin aynısını yükler.
  2. Her Alt İşleyen'in yükümlülüklerinin ifasından Sorumlu'ya karşı tamamen sorumlu kalır.

9. İLGİLİ KİŞİ HAKLARI

9.1 Yardım

İşleyen, Sorumlu'nun GDPR Bölüm III ve KVKK Madde 11 kapsamındaki ilgili kişi başvurularına yanıt verme yükümlülüğünü yerine getirmesine yardımcı olur:

  • Erişim hakkı (GDPR Madde 15 / KVKK Madde 11-c)
  • Düzeltme hakkı (GDPR Madde 16 / KVKK Madde 11-d)
  • Silme hakkı (GDPR Madde 17 / KVKK Madde 11-e)
  • İşlemeyi kısıtlama hakkı (GDPR Madde 18)
  • Veri taşınabilirliği hakkı (GDPR Madde 20)
  • İtiraz hakkı (GDPR Madde 21 / KVKK Madde 11-e)

9.2 Doğrudan Başvurular

İşleyen, doğrudan bir ilgili kişiden başvuru alması halinde, ilgili kişiyi derhal Sorumlu'ya yönlendirir ve Sorumlu'yu başvurudan haberdar eder.

10. VERİ İHLALİ BİLDİRİMİ

10.1 Sorumlu'ya Bildirim

İşleyen, bu VİS kapsamında işlenen kişisel verileri etkileyen bir Veri İhlalinden haberdar olduğunda, gecikmeksizin ve her halükarda 48 saat içinde Sorumlu'yu bilgilendirir.

10.2 Bildirim İçeriği

Bildirim aşağıdaki bilgileri içerir:

  1. Veri İhlalinin niteliğinin açıklaması, mümkünse etkilenen ilgili kişi ve kayıt kategorileri ile yaklaşık sayıları.
  2. İşleyen'in veri koruma irtibat noktasının adı ve iletişim bilgileri.
  3. Veri İhlalinin muhtemel sonuçlarının açıklaması.
  4. Veri İhlalini ele almak için alınan veya önerilen tedbirlerin açıklaması.

10.3 Sorumlu'nun Yükümlülükleri

Sorumlu, Veri İhlalinden haberdar olduğu andan itibaren 72 saat içinde yetkili denetim makamına bildirimde bulunmak (GDPR Madde 33 / KVKK Madde 12) ve gerektiğinde etkilenen ilgili kişileri bilgilendirmekle (GDPR Madde 34) yükümlüdür.

11. VERİ SİLME VE İADE

11.1 Sözleşme Sonunda

Ana Sözleşme'nin sona ermesi üzerine İşleyen, Sorumlu'nun tercihine göre:

  1. Tüm kişisel verileri yapılandırılmış, yaygın kullanılan ve makine tarafından okunabilir bir formatta Sorumlu'ya iade eder; veya
  2. Tüm kişisel verileri siler ve silme işlemini yazılı olarak onaylar.

11.2 Muhafaza Süresi

Sorumlu, tercihini sözleşme sonundan itibaren 30 gün içinde bildirir. Talimat alınmaması halinde İşleyen, yürürlükteki mevzuatın gerektirdiği haller hariç, tüm kişisel verileri sözleşme sonundan itibaren 90 gün içinde siler.

11.3 Yasal Muhafaza

Yürürlükteki mevzuatın İşleyen'in belirli kişisel verileri muhafaza etmesini gerektirdiği hallerde (örn. Türk Ticaret Kanunu kapsamında faturalama verileri), İşleyen bu verileri ayırır, korur ve işlemeyi yasal olarak gerekli amaçla sınırlandırır.

12. DENETİM HAKLARI

12.1 Bilgi ve Denetim

İşleyen, bu VİS'e uyumu kanıtlamak için gerekli tüm bilgileri Sorumlu'ya sunar. Sorumlu veya görevlendirdiği üçüncü taraf denetçi, aşağıdaki koşullara tabi olarak denetim yapabilir:

  1. Sorumlu, en az 30 gün önceden yazılı bildirimde bulunur.
  2. Denetimler normal iş saatleri içinde yapılır ve İşleyen'in faaliyetlerini makul olmayan şekilde aksatmaz.
  3. Denetçi gizlilik yükümlülüklerine tabi olur.
  4. Denetimler yılda bir ile sınırlıdır; Veri İhlali veya düzenleyici soruşturma durumunda ek denetim yapılabilir.

12.2 Maliyetler

Denetim maliyetleri Sorumlu'ya aittir. İşleyen, denetime katkı sağlamanın kendi iç maliyetlerini üstlenir.

13. ULUSLARARASI VERİ TRANSFERLERİ

13.1 Transfer Mekanizmaları

Kişisel verilerin Avrupa Ekonomik Alanı (AEA) veya Türkiye dışına aktarılması halinde, İşleyen aşağıdaki güvencelerin sağlanmasını temin eder:

  1. Avrupa Komisyonu tarafından kabul edilen Standart Sözleşme Hükümleri (SHS'ler) (Komisyon Uygulama Kararı (AB) 2021/914).
  2. Avrupa Komisyonu veya Kişisel Verileri Koruma Kurulu tarafından verilen yeterlilik kararları.
  3. Geçerli veri koruma mevzuatı kapsamında tanınan diğer transfer mekanizmaları.

13.2 Transfer Etki Değerlendirmesi

İşleyen, talep üzerine, uluslararası veri transferlerine ilişkin transfer etki değerlendirmesi yapılması için gerekli bilgileri Sorumlu'ya sunar.

14. SORUMLULUK

Bu VİS kapsamındaki sorumluluk, Ana Sözleşme'de belirtilen sınırlama ve istisnalara tabidir; ancak hiçbir Tarafın veri koruma mevzuatı ihlallerinden doğan sorumluluğu, geçerli mevzuatın yasakladığı ölçüde sınırlandırılamaz.

15. UYGULANACAK HUKUK VE YETKİLİ MAHKEME

Bu VİS, Ana Sözleşme'ye uygulanacak hukuka tabidir. Bu VİS'ten doğan uyuşmazlıklar, Ana Sözleşme'de belirtilen mahkemelere sunulur.

16. DEĞİŞİKLİKLER

Bu VİS yalnızca yazılı olarak değiştirilebilir. İşleyen, Alt İşleyenlerdeki değişiklikleri (8. Bölüm'e tabi olarak) veya teknik tedbirlerdeki değişiklikleri yansıtmak üzere Ekleri güncelleyebilir; ancak bu değişiklikler genel veri koruma düzeyini düşüremez.

EK A: TEKNİK VE İDARİ TEDBİRLER

İşleyen, kişisel verilerin güvenliğini sağlamak için aşağıdaki tedbirleri uygular:

Erişim Kontrolü

  • Tüm platform kullanıcıları için rol tabanlı erişim kontrolü (RBAC)
  • Yönetici erişimi için çok faktörlü kimlik doğrulama
  • Dahili personel için en az yetki ilkesi

Şifreleme

  • Aktarım halindeki veri: Tüm bağlantılar için TLS 1.2+
  • Saklanan veri: AES-256 şifreleme
  • SSL ile şifrelenmiş veritabanı bağlantıları

Altyapı Güvenliği

  • Almanya'da (AB) Hetzner özel sunucularda barındırma
  • Cloudflare CDN ve DDoS koruması
  • Otomatik güvenlik yamaları ve güncellemeleri
  • Ağ düzeyinde güvenlik duvarları ve saldırı tespit sistemleri

Uygulama Güvenliği

  • Düzenli bağımlılık güvenlik açığı taraması
  • Statik kod analizi (DeepSource)
  • Dağıtım öncesi konteyner imaj taraması (Trivy)
  • İmzalı konteyner imajları (Sigstore/cosign)

Veri Ayrımı

  • Uygulama katmanında mantıksal kiracı izolasyonu
  • Şirket bazında veritabanı düzeyinde erişim kontrolleri

Yedekleme ve Kurtarma

  • Belirli bir zamana kurtarma ile otomatik günlük yedeklemeler
  • Saklanan yedeklerin şifrelenmesi
  • Test edilmiş felaket kurtarma prosedürleri

İzleme ve Kayıt Tutma

  • Saklama politikalarıyla merkezi kayıt tutma
  • Gerçek zamanlı izleme ve uyarı
  • Yönetim işlemleri için denetim izi

Personel

  • Tüm personel için gizlilik sözleşmeleri
  • Kişisel verileri işleyen çalışanlar için veri koruma eğitimi
  • Yüksek erişim yetkisine sahip personel için güvenlik soruşturması

EK B: ALT İŞLEYEN LİSTESİ

Alt İşleyen Ülke Amaç Veri Kategorileri
OpenRouter, Inc. Amerika Birleşik Devletleri Metin üretimi, çeviri ve içerik denetimi için yapay zeka model yönlendirmesi Menü metinleri, ürün açıklamaları
fal.ai, Inc. Amerika Birleşik Devletleri Yapay zeka destekli görsel ve video üretimi Ürün görselleri, menü görselleri
Paddle.com Market Ltd. Birleşik Krallık Uluslararası ödeme işleme (Kayıtlı Satıcı) Fatura bilgileri, e-posta adresi, fatura adresi
iyzico Ödeme Hizmetleri A.Ş. Türkiye Yurtiçi ödeme işleme Tokenize kart bilgileri, fatura bilgileri
Hetzner Online GmbH Almanya Bulut barındırma ve nesne depolama Tüm platform verileri
Cloudflare, Inc. Amerika Birleşik Devletleri CDN, DNS ve DDoS koruması IP adresleri, istek meta verileri

İşleyen, güncel Alt İşleyen listesini muhafaza eder ve bu VİS'in 8. Bölümü uyarınca Sorumlu'yu değişikliklerden haberdar eder.

Bu Veri İşleme Sözleşmesi, Sorumlu'nun Digitable platformu üzerinden kabul ettiği tarihten itibaren geçerlidir.