Veri İşleme Sözleşmesi (DPA)
İşbu Veri İşleme Sözleşmesi; KVKK ve — uygulanabilir olduğu ölçüde — GDPR Madde 28 uyarınca, Müşteri'nin veri sorumlusu, OnySoft'un veri işleyen sıfatıyla hareket ettiği işleme faaliyetlerini düzenler. MSA'nın ayrılmaz ekidir.
1. Taraflar ve Roller
| Rol | Taraf | Tanım |
|---|---|---|
| Veri Sorumlusu | Müşteri (işveren firma) | Personel verilerinin işlenme amaç ve vasıtalarını belirler |
| Veri İşleyen | OnySoft A.Ş. | Verileri yalnızca Müşteri'nin belgelenmiş talimatlarıyla işler |
OnySoft'un kendi müşterilerine (firma yetkilileri) ilişkin veri sorumlusu sıfatındaki işlemeleri bu DPA'nın değil, KVKK Aydınlatma Metni'nin konusudur.
2. İşleme Konusu ve Süresi
İşleme konusu; Onysoft HR platformu üzerinden personel yönetimi, bordro, devam, izin, belge ve performans süreçlerinin yürütülmesidir. İşleme süresi, MSA'nın yürürlük süresi ile sınırlıdır; sözleşme sonu prosedürleri m.12'de düzenlenmiştir.
3. İşleme Amacı
Veriler yalnızca; (i) platform işlevlerinin sağlanması, (ii) Müşteri'nin yazılı talimatlarının yerine getirilmesi, (iii) hizmet güvenliğinin sağlanması ve (iv) yasal saklama yükümlülükleri amacıyla işlenir. OnySoft, Müşteri Verisi'ni kendi pazarlama veya profilleme amaçlarıyla işlemez.
4. İşlenen Veri Kategorileri
İşlenen kişisel veri kategorileri Ek-A'da tablo hâlinde sayılmıştır. Müşteri, platforma özel nitelikli kişisel veri (ör. sağlık raporu) yüklemesi hâlinde KVKK m.6'daki işleme şartlarını sağlamakla yükümlüdür.
5. Veri Sahiplerinin Kategorileri
- Müşteri'nin mevcut, eski ve aday personeli,
- Müşteri'nin platformda tanımlı yetkili kullanıcıları (İK yöneticileri),
- Personelin acil durum kişileri ve — yan hak modülü kullanılıyorsa — bakmakla yükümlü olduğu kişiler.
6. Veri İşleyen'in Yükümlülükleri
- Verileri yalnızca belgelenmiş talimatlarla işlemek; hukuka aykırı talimatı derhâl bildirmek,
- Erişim yetkisi olan personelin gizlilik taahhüdü altında olmasını sağlamak,
- Ek-B'deki teknik ve idari tedbirleri uygulamak ve güncel tutmak,
- Veri sahibi taleplerinde (m.10) ve etki değerlendirmelerinde Müşteri'ye makul destek vermek,
- İşleme faaliyetlerinin kaydını tutmak ve talep hâlinde uygunluk kanıtlarını sunmak.
7. Alt İşleyen Kullanımı
Müşteri, OnySoft'un Alt Yüklenici Listesi'ndeki alt işleyenleri kullanmasına genel yetki verir. Liste değişiklikleri 30 gün önceden bildirilir; Müşteri makul gerekçeyle itiraz edebilir. İtirazın giderilememesi hâlinde Müşteri, etkilenen hizmeti feshedebilir. OnySoft, alt işleyenlere işbu DPA'daki yükümlülüklerin eşdeğerini sözleşmeyle yükler ve fiillerinden sorumlu olur.
8. Güvenlik Tedbirleri
OnySoft, KVKK m.12 ve GDPR Art.32 uyarınca Ek-B'de sayılan tedbirleri uygular. Tedbirler teknolojik gelişmelere göre güncellenebilir; koruma seviyesi hiçbir güncellemede düşürülemez.
9. Veri İhlali Bildirimi
OnySoft, Müşteri Verisi'ni etkileyen bir kişisel veri ihlalini öğrendikten sonra gecikmeksizin ve en geç 72 saat içinde Müşteri'ye bildirir. Bildirim; ihlalin niteliğini, etkilenen veri ve kişi kategorilerini, muhtemel sonuçları ve alınan/önerilen tedbirleri içerir. Kurul'a ve ilgili kişilere yapılacak bildirimlerin sorumluluğu veri sorumlusu sıfatıyla Müşteri'dedir; OnySoft gerekli tüm bilgiyi sağlar.
10. Veri Sahibi Haklarına Destek
Veri sahiplerinden doğrudan OnySoft'a ulaşan başvurular 5 iş günü içinde Müşteri'ye yönlendirilir. Platform; erişim, düzeltme, silme ve taşınabilirlik taleplerinin karşılanmasını sağlayan yerleşik araçlar (dışa aktarım, anonimleştirme, silme) sunar.
11. Denetim Hakları
Müşteri, yılda bir kez ve en az 30 gün önceden bildirimle, gizlilik taahhüdü altındaki bağımsız bir denetçi aracılığıyla, işleme faaliyetlerinin bu DPA'ya uygunluğunu denetleyebilir. OnySoft; ISO 27001 sertifikası, sızma testi özetleri ve uygunluk raporlarını sunarak denetim yükümlülüğünü kısmen karşılayabilir. Denetim masrafları Müşteri'ye aittir ve denetim, hizmetin işleyişini aksatamaz.
12. Sözleşme Sonu Prosedürleri
MSA'nın sona ermesi hâlinde Müşteri, 60 gün içinde tüm Müşteri Verisi'ni makine tarafından okunabilir formatta (CSV/JSON) dışa aktarabilir. Süre sonunda veriler — yasal saklama yükümlülüğüne tabi kayıtlar hariç — geri döndürülemez şekilde silinir ve silme işlemi yazılı olarak teyit edilir. Müşteri'nin talebi hâlinde veriler silinmeden önce iade edilir.
13. Uluslararası Aktarım
Birincil işleme ve barındırma Türkiye'de yapılır. Ek-A kapsamındaki sınırlı iletişim verilerinin yurt dışı alt işleyenlere aktarımı, KVKK m.9 ve — uygulanabilir hâllerde — GDPR Bölüm V uyarınca standart sözleşme hükümleriyle (SCC) yürütülür. Müşteri'nin yazılı onayı olmaksızın yeni bir ülkeye aktarım yapılmaz.
Ek-A · İşlenen Veri Kategorileri
| Kategori | Örnekler | Kaynak |
|---|---|---|
| Kimlik | Ad, soyad, TC no, doğum tarihi | İK kaydı / TC kart okuma |
| İletişim | E-posta, telefon, adres | İK kaydı / personel güncellemesi |
| Özlük | Pozisyon, departman, işe giriş, sözleşme | İK kaydı |
| Finansal | Maaş, IBAN, bordro kalemleri | İK kaydı / bordro motoru |
| Devam | Giriş-çıkış zamanı, doğrulama yöntemi | Mobil uygulama / QR |
| Lokasyon | Tek seferlik GPS koordinatı | Mobil uygulama (açık rıza) |
| Belgeler | Özlük dosyası ekleri | Yükleme |
| Teknik | IP, cihaz, oturum logları | Otomatik |
Ek-B · Teknik ve İdari Güvenlik Tedbirleri
- Şifreleme: TLS 1.3 (aktarım), AES-256 (durağan), anahtar yönetimi HSM destekli,
- Erişim: RBAC, en az yetki ilkesi, 2FA, IP kısıtlama, oturum zaman aşımı,
- Ağ: güvenlik duvarı, IDS/IPS, DDoS koruması, ağ segmentasyonu,
- Uygulama: OWASP Top 10 kontrolleri, yıllık bağımsız sızma testi, güvenli geliştirme yaşam döngüsü,
- Veri merkezi: biyometrik giriş, CCTV, yedekli güç ve iklimlendirme (İzmir),
- Yedekleme: günlük şifreli yedek, coğrafi replikasyon, RPO 24 saat / RTO 4 saat,
- İdari: NDA'lar, KVKK farkındalık eğitimleri, olay müdahale planı, tedarikçi değerlendirme süreci.