Veri İşleme Sözleşmesi (DPA)

İşbu Veri İşleme Sözleşmesi ("DPA"), PickupTime hizmetine abone olan operatör ("Veri Sorumlusu" veya "Operatör") ile PickupTime (pickuptime.io) ("Veri İşleyen" veya "PickupTime") arasında akdedilmiş olup Kullanım Koşullarının ayrılmaz bir parçasıdır. İşbu DPA; GDPR md. 28 ve 6698 sayılı KVKK'nın veri işleyene ilişkin hükümleri dikkate alınarak hazırlanmıştır.

1. Konu ve Süre

İşbu DPA'nın konusu, PickupTime'ın hizmetin sunulması kapsamında Operatör adına ve hesabına kişisel veri işlemesidir. DPA, abonelik ilişkisinin kurulmasıyla yürürlüğe girer ve Operatör verilerinin tamamen silinmesine veya iadesine kadar yürürlükte kalır.

2. İşlemenin Niteliği ve Amacı

İşleme; alış (pickup) seferlerinin planlanması ve yürütülmesi, sürücü konumunun yalnızca aktif sefer sırasında izlenmesi, misafirlere jetonlu takip bağlantısı ve tahmini varış süresi sunulması, gecikmelerin sonraki duraklara yansıtılması, bildirim gönderimi (WhatsApp bağlantıları, e-posta), araç ruhsat belgelerinin OCR ile okunması ve operasyonel raporlama amaçlarıyla; verilerin kaydedilmesi, saklanması, görüntülenmesi, iletilmesi ve silinmesi işlemlerini kapsar.

3. Veri Kategorileri ve İlgili Kişi Grupları

İlgili kişi grupları: Operatörün sürücüleri, misafirleri (yolcular) ve personeli. Veri kategorileri: sürücü kimlik ve iletişim verileri ile aktif sefer sırasındaki GPS konum verileri; misafir ad-soyad (opsiyonel), otel/alış noktası ve iletişim verileri; rezervasyon ve sefer verileri; araç ruhsat verileri. Özel nitelikli kişisel verilerin platforma girilmesi öngörülmemektedir; Operatör bu tür verileri girmemeyi taahhüt eder.

4. Talimatla Bağlılık

PickupTime, kişisel verileri yalnızca Operatörün belgelendirilmiş talimatları doğrultusunda işler; hizmetin yapılandırması ve arayüz üzerinden verilen komutlar talimat hükmündedir. PickupTime, bir talimatın veri koruma mevzuatına aykırı olduğu kanaatine varırsa Operatörü derhâl bilgilendirir. Avrupa Birliği veya üye devlet hukukunun ya da Türk hukukunun zorunlu kıldığı işleme hâlleri saklıdır; bu durumda PickupTime, hukuken yasaklanmadıkça Operatörü önceden bilgilendirir.

5. Gizlilik

PickupTime, kişisel verilere erişim yetkisi bulunan personelinin ve alt yüklenicilerinin gizlilik taahhüdü altında olmasını veya yasal bir gizlilik yükümlülüğüne tabi olmasını sağlar. Erişim, görevin gerektirdiği asgari kapsamla sınırlıdır.

6. Güvenlik Önlemleri

PickupTime, GDPR md. 32 uyarınca riskle orantılı teknik ve idari tedbirleri uygular; bunlar asgari olarak şunları içerir:

• Kiracı (tenant) bazında satır seviyesi güvenlik (RLS) ile veri izolasyonu; bir operatörün verilerine diğer operatörlerin erişimi mimari düzeyde engellenir.
• Aktarım hâlindeki veriler için TLS; depolanan veriler için şifreleme.
• Misafir takip bağlantılarının tahmin edilemez, kişiye özel jetonlarla (token) üretilmesi ve sefer yaşam döngüsüyle sınırlandırılması.
• Rol bazlı erişim kontrolü, kimlik doğrulama, erişim ve işlem kayıtlarının tutulması.
• Düzenli yedekleme, ortam ayrımı (üretim/test) ve güvenlik güncellemelerinin uygulanması.

7. Alt İşleyenler

Operatör, PickupTime'ın aşağıdaki alt işleyenleri kullanmasına genel yetki verir:

• Supabase / AWS (AB bölgesi): barındırma, veri tabanı, kimlik doğrulama
• Google Maps Platform: harita, rota ve ETA hizmetleri
• Resend: işlemsel e-posta gönderimi
• OpenAI: ruhsat belgesi OCR işlemleri

PickupTime, alt işleyen ekleme veya değiştirme niyetini en az 14 gün önceden bildirir; Operatör makul gerekçeyle itiraz edebilir. İtirazın çözülememesi hâlinde Operatör, aboneliğini cezasız feshedebilir. PickupTime, alt işleyenlere işbu DPA'daki yükümlülüklere denk koruma yükümlülükleri yükler ve alt işleyenlerin fiillerinden Operatöre karşı sorumlu olmaya devam eder.

8. Yurt Dışına Aktarım

Alt işleyenler eliyle AB/AEA veya Türkiye dışına yapılacak aktarımlar; Standart Sözleşme Maddeleri (SCC'ler), yeterlilik kararları veya KVKK md. 9 kapsamındaki usuller çerçevesinde, uygun güvencelerle gerçekleştirilir.

9. İlgili Kişi Taleplerine ve Yükümlülüklere Yardım

PickupTime; ilgili kişilerin erişim, düzeltme, silme, taşınabilirlik ve itiraz taleplerinin karşılanmasında, işlemenin niteliği elverdiği ölçüde uygun teknik ve idari tedbirlerle Operatöre yardımcı olur. Doğrudan PickupTime'a ulaşan talepler gecikmeksizin Operatöre yönlendirilir. PickupTime ayrıca, elindeki bilgilerle sınırlı olmak üzere, güvenlik, ihlal bildirimi ve veri koruma etki değerlendirmesi yükümlülüklerinde Operatöre makul destek sağlar.

10. Veri İhlali Bildirimi

PickupTime, Operatör verilerini etkileyen bir kişisel veri ihlalinden haberdar olduğunda Operatörü gecikmeksizin ve her hâlükârda 72 saat içinde bilgilendirir. Bildirim; ihlalin niteliğini, etkilenen veri kategorilerini ve yaklaşık kayıt sayısını, muhtemel sonuçları ve alınan/önerilen tedbirleri, bilgiler elverdiği ölçüde içerir. Denetim makamlarına ve ilgili kişilere bildirim yükümlülüğü Operatöre aittir; PickupTime bu süreçte makul desteği sağlar.

11. Denetim

PickupTime, işbu DPA'ya uyumu göstermek için gerekli bilgileri Operatöre sunar ve yılda bir defayı aşmamak üzere, makul bir ön bildirimle, iş saatleri içinde ve gizlilik taahhüdü altında gerçekleştirilecek denetimlere veya Operatör adına bağımsız bir denetçinin incelemelerine imkân tanır. Mevcut bağımsız denetim raporları ve sertifikalar öncelikle bu amaçla paylaşılır.

12. Sözleşme Sonunda Silme ve İade

Abonelik ilişkisinin sona ermesi hâlinde PickupTime, Operatörün tercihine göre kişisel verileri makine tarafından okunabilir bir biçimde iade eder ve/veya 30 gün içinde tüm kopyalarıyla birlikte siler. Hukuken saklanması zorunlu veriler, yalnızca ilgili yükümlülüğün gerektirdiği süre ve kapsamla sınırlı olarak saklanmaya devam eder ve başka amaçla işlenmez.

13. Çelişki Hâlinde Öncelik

İşbu DPA ile Kullanım Koşulları arasında çelişki bulunması hâlinde, kişisel verilerin işlenmesine ilişkin konularda DPA hükümleri önceliklidir.