Veri İşleyici Sözleşmesi (DPA)

Versiyon: 2026-05-28 · Yürürlük: 2026-05-28

Bu Veri İşleyici Sözleşmesi (“DPA”), Ranlio platformuna işletme sıfatıyla abone olan müşterilerimiz (“Veri Sorumlusu”) ile Ranlio Yazılım Bilişim Sistemleri (“Veri İşleyen” / “Ranlio”) arasında, son kullanıcıların (Müşteri'nin müşterileri) kişisel verilerinin işlenmesine ilişkin tarafların hak ve yükümlülüklerini düzenler. DPA, Hizmet Sözleşmesi'nin ayrılmaz bir parçasıdır; ödeme ekranında elektronik kabulle yürürlüğe girer.

Önemli rol ayrımı: Bu DPA'da Veri Sorumlusu sıfatı işletme müşterimize (kuaför, klinik, salon vb.) aittir; Ranlio bu hizmetin sunulması bakımından Veri İşleyen'dir. Ranlio'nun kendi kullanıcısı (işletme yetkilisi) ile arasındaki ilişkide ise Ranlio Veri Sorumlusu'dur — bu için KVKK Aydınlatma Metni'ne bakınız.

Madde 1 — Taraflar

  • Veri Sorumlusu:Hizmet Sözleşmesi'ni elektronik ortamda kabul ederek aboneliğini başlatan tüzel veya gerçek kişi tacir (Müşteri).
  • Veri İşleyen: Ranlio Yazılım Bilişim Sistemleri.

Madde 2 — Konu ve Süre

Bu DPA, Müşteri'nin Ranlio platformu üzerinden son kullanıcılarına hizmet sunması kapsamında, Ranlio'nun Müşteri adına işlediği kişisel veriler için geçerlidir. DPA, Hizmet Sözleşmesi'nin yürürlüğü boyunca ve aboneliğin sona ermesini izleyen 30 günlük veri iadesi/silme penceresinin tamamlanmasına kadar yürürlükte kalır.

Madde 3 — Veri Kategorileri ve Veri Sahibi Kategorileri

Ranlio, Müşteri adına aşağıdaki kategorilerde kişisel veri işler:

  • Veri Sahibi Kategorileri:Müşteri'nin son müşterileri (randevu alan bireyler), Müşteri çalışanları (Employee profilleri).
  • Veri Kategorileri: Ad-soyad, telefon, e-posta, randevu tarih ve saati, alınan hizmet bilgileri, isteğe bağlı notlar; çalışan profilleri (ad, rol, çalışma takvimi).
  • Özel Nitelikli Veri: Standart akışta toplanmaz. Sağlık verisi içerebilecek hizmet notları işletme talebiyle eklendiğinde, sorumluluk işletmenindir.

Madde 4 — Veri İşleyenin Yükümlülükleri

Ranlio, KVKK m.12 ve ilgili ikincil mevzuat kapsamında:

  • Kişisel verileri yalnızca Müşteri'nin yazılı/elektronik talimatları ve hizmetin sunulması için gerekli olan amaçlarla işler.
  • Çalışanlarına ve alt-işleyenlerine gizlilik yükümlülüğü yükler; verilere yetkisiz erişimi engellemek için teknik ve idari önlemler alır.
  • Veri minimizasyonu, şifreleme (taşıma katmanında TLS 1.2/1.3; oturum yönetimi için HttpOnly çerez), erişim kontrolü ve günlük denetim kayıtları tutar.
  • Bir veri ihlali tespit ettiğinde, en geç 72 saat içindeMüşteri'ye bildirimde bulunur ve etkilenen veri kategorileri, sayı ve alınan tedbirler hakkında bilgi sağlar.
  • Müşteri'nin veri sahibi başvurularını (m.11) zamanında yanıtlayabilmesi için gerekli teknik desteği sağlar (örn. veri ihracı, silme, düzeltme).

Madde 5 — Alt-İşleyenler

Ranlio, hizmetin sunulması için aşağıda belirtilen kategorilerde alt-işleyen kullanır ve Müşteri bu DPA'yı kabul ederek genel onay vermiş sayılır:

  • Ödeme: Stripe Payments Europe Ltd. (İrlanda/AB)
  • CDN, WAF, bot koruması: Cloudflare Inc. (Global)
  • WhatsApp bildirim entegrasyonu: Meta Platforms / WhatsApp Cloud API (İrlanda/ABD)
  • AI destekli müşteri destek diyaloğu: Google LLC — Gemini API (AB/ABD)

Güncel ve eksiksiz liste için Alt-İşleyici Listesi sayfasına bakınız. Yeni alt-işleyen eklenmesi veya değiştirilmesi durumunda Müşteri en az 30 gün önceden e-posta ile bilgilendirilir; gerekçeli itiraz hakkı saklıdır.

Madde 6 — Veri Sahibi Haklarına Yardım

Müşteri, son kullanıcılarından KVKK m.11 kapsamında bir başvuru aldığında (örn. veri silme, ihraç, düzeltme, işleme itirazı), Ranlio bu talebin yerine getirilmesi için uygun teknik araçları sağlar:

  • Müşteri dashboard'u üzerinden müşteri/randevu silme, anonimleştirme arayüzü
  • JSON formatında veri ihracı (CRM aktarımı için)
  • Self-service müşteri verisi silme akışı (son kullanıcı kendi e-postasıyla başlatabilir)

Madde 7 — Veri İhlali Bildirimi (m.12/5)

Ranlio bir kişisel veri ihlali tespit ettiğinde:

  • 72 saat içinde Müşteri'ye e-posta ile bildirim yapar
  • İhlalin niteliği, etkilenen veri kategorileri ve kişi sayısı tahminini iletir
  • Alınmış ve alınacak tedbirleri bildirir
  • Müşteri'nin KVK Kurumu'na ve etkilenen veri sahiplerine bildirim yükümlülüğünü yerine getirebilmesi için işbirliği yapar

Madde 8 — Veri İadesi ve İmha

Aboneliğin sona ermesi veya Müşteri'nin yazılı talebi durumunda, Ranlio:

  • 30 gün içinde JSON formatında veri ihracı dosyası sağlar (zorunlu yedek saklamalar hariç)
  • 30 günün sonunda, yasal saklama yükümlülüklerine tabi tutarlar hariç, kişisel verileri silinmiş veya anonim hale getirilmiş sayar
  • Yasal saklama gerektiren kayıtlar (fatura, ödeme audit log) ilgili mevzuat süresinin sonunda imha edilir

Madde 9 — Audit Hakkı

Müşteri, makul gerekçeyle ve yılda en fazla bir kez, en az 30 gün önceden yazılı bildirimde bulunarak Ranlio'nun veri işleme operasyonlarının bu DPA ve KVKK gerekliliklerine uygunluğunu denetleme hakkına sahiptir. Denetim makul ölçekte ve hizmetin sürekliliğini kesintiye uğratmayacak şekilde yürütülür; üçüncü taraf bağımsız denetim raporları (örn. ISO 27001, SOC 2) talep üzerine paylaşılabilir.

Madde 10 — Yetkili Mahkeme ve Uygulanacak Hukuk

Bu DPA'dan doğan uyuşmazlıklarda Türk hukuku uygulanır; yetkili mahkeme ve icra daireleri Türkiye Cumhuriyeti mahkemeleridir.

Madde 11 — Yürürlük ve Kabul Şekli

Bu DPA, Müşteri'nin kayıt akışında elektronik kabul kutucuğunu işaretlemesi ve ödeme adımının tamamlanması ile yürürlüğe girer. Kabul tarihi, IP adresi ve doküman versiyonu Ranlio sistemlerinde audit kaydı olarak tutulur.

Bu DPA'da değişiklik yapılması gerektiğinde, Müşteri en az 7 gün önceden e-posta ile bilgilendirilir. Önemli değişiklikler için yeniden açık kabul talep edilebilir.