Veri işleme sözleşmesi (VİS)

Durum: Haziran 2026

Sözleşmelere Dahil Edilmeye İlişkin Bilgi

Lütfen Dikkat: Bu Veri İşleme Sözleşmesi (“VİS”), syniotec GmbH (bundan böyle “İşleyici” olarak anılacaktır) ile ilgili müşteri sözleşme tarafı (bundan böyle “Veri Sorumlusu” olarak anılacaktır) arasında akdedilen ana sözleşmenin (örn. Hizmet Olarak Yazılım Sözleşmesi, Hizmet Şartları veya münferit sipariş) ayrılmaz bir parçasını oluşturur.

Ana sözleşmenin akdedilmesi veya yazılım ve telematik hizmetlerimizin kullanılmasıyla, bu VİS yasal olarak atıf yoluyla dahil edilmiş olur. Ayrı bir imza gerekli değildir. Veri Sorumlusunun kimliğine ve belirli iletişim bilgilerine ilişkin detaylar ilgili ana sözleşmeden alınır.

Giriş

İşleyici, Veri Sorumlusuna yazılım sağlama, özelleştirme, bakım veya benzeri hizmetler alanlarında sözleşmeye dayalı hizmetler sunar. Veri Sorumlusu ile mutabık kalınan durumlarda, İşleyici ayrıca, İşleyici tarafından dağıtılan ve Veri Sorumlusu tarafından kullanılan inşaat makinelerine, ekipmanlara veya diğer araç ve tesislere entegre edilmiş telematik sistemleriyle bağlantılı olarak veri işleme ve analiz alanında hizmetler sunar.

İlgili sözleşmenin yürütülmesinin bir parçası olarak, İşleyici tarafından, GDPR Madde 4(8) anlamında bir veri işleyici olarak, GDPR Madde 4(7) anlamında bir veri sorumlusu olan Veri Sorumlusu adına kişisel verilerin işlenmesi söz konusudur. Özellikle, GDPR Madde 28, bu tür veri işleme için belirli gereksinimler ortaya koymakta olup, bu Sözleşme bu gereksinimlere uyumu sağlamak amacıyla düzenlenmiştir.

1. Uygulama Kapsamı

1.1 Aşağıdaki hükümler, İşleyici tarafından Veri Sorumlusuna sağlanan GDPR Madde 28 anlamındaki tüm veri işleme hizmetleri için geçerlidir.

1.2 Bu VİS, temel sözleşmeden (bundan böyle “Ana Sözleşme” olarak anılacaktır) kaynaklanan sözleşme taraflarının veri koruma yükümlülüklerini belirtir.

1.3 Bu Sözleşmede “veri işleme” veya “işleme” terimi kullanıldığında, genellikle GDPR Madde 4(2) uyarınca kişisel verilerin kullanımı anlamına gelir. Kişisel verilerin kullanımı özellikle verilerin toplanmasını, saklanmasını, aktarılmasını, engellenmesini, silinmesini, anonimleştirilmesini, takma adla işlenmesini, şifrelenmesini veya başka herhangi bir kullanımını içerir. GDPR Madde 4’teki diğer tanımlamalara atıfta bulunulmuştur.

2. İşlemenin Konusu ve Süresi

2.1 İşleyici, Ana Sözleşme ile bağlantılı olarak kişisel verileri yalnızca Veri Sorumlusu adına ve talimatlarına uygun olarak işleyecektir.

2.2 Siparişin konusu, Ana Sözleşme uyarınca Veri Sorumlusu tarafından kullanılan inşaat makineleri gibi ekipmanların sevkıyatı, takibi, yer değiştirmesi ve faturalandırılması için yazılımın sağlanmasıdır. Görevlendirildiğinde, siparişin konusu ayrıca İşleyici’nin telematik üniteleri tarafından telematik verilerin toplanması ve iletilmesi ile bu verilerin Veri Sorumlusu adına hazırlanması ve işlenmesini de içerir.

2.3 Bu Sözleşmenin süresi, Ana Sözleşmenin süresine karşılık gelir.

3. Veri Toplama, İşleme veya Kullanımının Kapsamı, Niteliği ve Amacı

3.1 İşleyici tarafından kişisel verilerin toplanması, işlenmesi ve/veya kullanımının kapsamı, niteliği ve amacı Ana Sözleşmede belirtilmiştir. Bu, diğerlerinin yanı sıra, Veri Sorumlusu tarafından kullanılan “Ram” ve “SAM” yazılım çözümleri (bundan böyle “Yazılım” olarak anılacaktır) için aşağıdaki faaliyetleri ve amaçları içerir (uygulanabilir olduğunda bireysel görevlendirmeye tabi olarak):

  • 3.1.1 Yazılımın uzaktan, bulut tabanlı erişim (SaaS) yoluyla sağlanması.
  • 3.1.2 Yazılımın devreye alınmasıyla ilgili danışmanlık.
  • 3.1.3 Yazılımda Veri Sorumlusunun spesifikasyonlarına göre ayarlamaların ve uzantıların uygulanması.
  • 3.1.4 Veri Sorumlusunun üçüncü taraf sistemlerinden ilk veri geçişi.
  • 3.1.5 Eğitim oturumlarının yürütülmesi.
  • 3.1.6 Yazılımın bakımı ve yönetimi.
  • 3.1.7 Veri Sorumlusunun çalışanlarının veya Yazılımda saklanan diğer kullanıcıların kişisel verilerinin, İşleyici’den talep üzerine her zaman temin edilebilen ayrı “Telematik Gizlilik Politikası”na uygun olarak kullanılması.
  • 3.1.8 İşleyici’nin Veri Sorumlusunun sahasında konuşlandırılan telematik üniteleri tarafından oluşturulan ve yakalanan verilerin, İşleyici’den talep üzerine her zaman temin edilebilen ayrı “Telematik Gizlilik Politikası”na uygun olarak toplanması, iletilmesi ve işlenmesi.

4. Veri Sahipleri Kategorileri

4.1 Temel sözleşme çerçevesinde kişisel verilerin işlenmesinden etkilenen veri sahipleri kategorileri şunları içerir:

  • 4.1.1 Veri Sorumlusunun Tedarikçileri / Alt Yüklenicileri / Hizmet Sağlayıcıları / İşbirliği Ortakları.
  • 4.1.2 Sistem kullanıcıları.
  • 4.1.3 Veri Sorumlusunun çalışanları veya Yazılım aracılığıyla yönetilen makine ve ekipmanları kullanan Veri Sorumlusu adına hareket eden diğer kişiler.
  • 4.1.4 Veri Sorumlusunun çalışanları veya kişisel verileri Veri Sorumlusu tarafından Yazılıma girilen Veri Sorumlusu adına hareket eden diğer kişiler.

5. Kişisel Veri Türleri

5.1 Kullanım kapsamına ve Veri Sorumlusu tarafından yapılan girişlere bağlı olarak, genellikle aşağıdaki veriler/veri kategorileri işleme tabi olabilir:

  • 5.1.1 Makine ve ekipman çalışanlarının / kullanıcılarının Ana / İletişim Verileri: Ad, doğum tarihi, uyruk, acil durum irtibatı (ad, soyad, telefon numarası), iş adresi, iş e-postası/telefonu, iş pozisyonu, çalışan aracı, şantiye ile ilgili nitelikler, sertifikalar, ehliyetler, fotoğraflar (ayrı “Telematik Gizlilik Politikası”na bakınız).
  • 5.1.2 Sözleşmesel Veriler
  • 5.1.3 Makine ve ekipmanların Telematik Verileri (ayrı “Telematik Gizlilik Politikası”na bakınız).
  • 5.1.4 Makine ve ekipmanların Konum/Takip Verileri (ayrı “Telematik Gizlilik Politikası”na bakınız).

6. Veri Sorumlusunun Hakları ve Yükümlülükleri

6.1 Veri Sorumlusu, veri toplama, işleme ve kullanımının izin verilebilirliğini değerlendirmekten ve veri sahiplerinin haklarını korumaktan münhasıran sorumludur ve bu nedenle GDPR Madde 4(7) anlamında “Veri Sorumlusu”dur.

6.2 Veri Sorumlusu, veri işlemenin niteliği, kapsamı ve prosedürleri hakkında talimat verme hakkına sahiptir. Talimatlar Veri Sorumlusu tarafından yazılı veya elektronik formatta (metin formu) verilebilir ve iletilebilir. Sözlü talimatlar gecikmeksizin yazılı veya metin formunda teyit edilmelidir.

6.3 Veri Sorumlusu gerekli gördüğü takdirde, talimat verme yetkisine sahip kişiler atanabilir. Yetkili kişilerdeki herhangi bir değişiklik İşleyiciye metin formunda bildirilecektir.

6.4 Veri Sorumlusu, İşleyici tarafından kişisel verilerin işlenmesiyle ilgili herhangi bir hata veya düzensizlik tespit etmesi halinde İşleyiciyi derhal bilgilendirecektir.

6.5 Bölüm 8 hükümlerine uygun olarak, Veri Sorumlusu, veri işlemeye başlamadan önce ve düzenli olarak sonrasında İşleyici tarafından alınan teknik ve organizasyonel önlemlere uyumu doğrulama hakkına sahiptir. Bir denetim nedeniyle ortaya çıkan tüm maliyetler Veri Sorumlusu tarafından karşılanacaktır.

7. İşleyicinin Yükümlülükleri

7.1 Veri İşleme: İşleyici, kişisel verileri münhasıran yapılan anlaşmalar çerçevesinde ve Veri Sorumlusunun talimatlarına uygun olarak işlemekle yükümlüdür. Bundan sapan herhangi bir veri işleme yasaktır. Kanun veya Ana Sözleşme gerektirmedikçe kopyalar veya çoğaltmalar oluşturulamaz.

7.2 Taleplerde / Sorgularda Yardım: İşlemenin niteliği dikkate alınarak, İşleyici, GDPR Bölüm III’te belirtilen veri sahiplerinin haklarını kullanma taleplerine Veri Sorumlusunun yanıt verme yükümlülüğünü yerine getirmesine uygun teknik ve organizasyonel önlemlerle mümkün olduğunca yardımcı olacaktır.

7.3 Düzeltme, Silme ve İşlemeyi Kısıtlama: İşleyici, Veri Sorumlusunun talimatı üzerine kişisel verileri düzeltecek, silecek veya işlemeyi kısıtlayacaktır. Bir veri sahibi doğrudan İşleyici ile iletişime geçerse, İşleyici bu talebi gecikmeksizin Veri Sorumlusuna iletecektir.

7.4 Denetim Yükümlülükleri: İşleyici, uygun kontroller aracılığıyla işlemenin münhasıran bu Sözleşmeye ve talimatlara uygun olarak yürütülmesini sağlamayı taahhüt eder. İşleyici, yasal olarak gerekli olduğu durumlarda bir Veri Koruma Görevlisi atadığını teyit eder.

7.5 Bilgilendirme Yükümlülükleri: İşleyici, Veri Sorumlusu tarafından verilen bir talimatın yasal hükümleri ihlal ettiğini düşünüyorsa, Veri Sorumlusunu derhal uyaracaktır. İşleyici, Veri Sorumlusunun GDPR Madde 32 ila 36 uyarınca yükümlülüklere uymasını sağlamasına yardımcı olacaktır.

7.6 Veri İşleme Yeri: Veri Sorumlusunun verilerinin toplanması, işlenmesi ve kullanılması Almanya, başka bir AB üye devleti veya AEA’ya taraf bir devlette gerçekleşecektir. Üçüncü bir ülkeye herhangi bir aktarım, Veri Sorumlusunun önceden onayını gerektirir ve yalnızca GDPR Madde 44 ve devamındaki gereksinimler karşılandığında gerçekleşebilir.

7.7 Fesih Üzerine Silme: Sözleşmenin feshi üzerine İşleyici, elindeki tüm kişisel verileri Veri Sorumlusuna iade etmek veya Veri Sorumlusunun talimatlarına uygun olarak uyumlu ve güvenli bir şekilde silmekle yükümlüdür.

8. Veri Koruma Denetimleri

8.1 İşleyici, Veri Sorumlusuna, düzenli çalışma saatleri içinde veri koruma düzenlemelerine uyumu uygun bir kapsamda doğrulama hakkı tanır. İşleyici, denetimleri makul bir ön bildirim süresiyle ve diğer müşterilerin verileriyle ilgili bir gizlilik anlaşmasının imzalanması koşuluyla yapabilir.

8.2 İşleyici, denetimlerin yürütülmesinde Veri Sorumlusuna yardımcı olacaktır. Bir denetim nedeniyle ortaya çıkan tüm maliyetler Veri Sorumlusu tarafından karşılanacaktır.

8.3 İşleyici, yetkili veri koruma denetim otoritesi tarafından alınan tüm kontrol önlemlerine müsamaha gösterecek ve Veri Sorumlusunu derhal bilgilendirecektir.

9. Alt Yüklenicilik İlişkileri

9.1 Alt yüklenicilerin daha fazla işleyici olarak görevlendirilmesine izin verilir. İşleyici, şu anda bu Sözleşmenin Ek 1’inde listelenen alt yüklenicileri görevlendirmektedir.

9.2 Alt yüklenicileri görevlendirmeden veya değiştirmeden önce, İşleyici, Veri Sorumlusunu yazılı olarak (metin formu / e-posta / platform içi bildirim yeterlidir) bilgilendirmekle yükümlüdür. Veri Sorumlusu, bilgiyi aldıktan sonra on dört (14) gün içinde, objektif nedenlere dayanarak itiraz etme hakkına sahiptir.

9.3 Yürütmeyi desteklemek için yalnızca yardımcı hizmetler sağlayan alt yüklenicilerin (örn. posta, nakliye, kurye veya temizlik hizmetleri) görevlendirilmesi onay gerektirmez.

9.4 Alt yüklenicilik sözleşmesi, bu sözleşmeyle karşılaştırılabilir yeterli düzeyde koruma sağlamalıdır.

10. Veri Gizliliği / Mahremiyet

10.1 İşleyici, Veri Sorumlusu için veri işlerken veri gizliliğine ve mahremiyetine bağlıdır.

10.2 İşleyici, yalnızca veri gizliliğine bağlı olan ve veri koruma gereksinimleri konusunda uygun şekilde bilgilendirilmiş çalışanları görevlendirmeyi taahhüt eder.

11. Teknik ve Organizasyonel Önlemler (TOM’lar)

11.1 Ek 2’de açıklanan teknik ve organizasyonel önlemler bağlayıcı olarak kabul edilmiştir.

11.2 Teknik ve organizasyonel önlemler, güvenlik seviyesi düşürülmemek kaydıyla, sözleşme ilişkisi süresince teknik gelişmelere uyarlanabilir.

11.3 İşleyici, herhangi bir arızayı, veri koruma hükümlerinin ihlalini veya şüpheli veri ihlallerini (Veri Sorumlusunun GDPR Madde 33, 34 kapsamındaki bildirim yükümlülükleri açısından kritik) Veri Sorumlusuna derhal bildirecektir.

12. Son Hükümler

12.1 Bu Sözleşme hükümleri ile Ana Sözleşme arasında çelişki olması durumunda, bu Sözleşmenin hükümleri geçerli olacaktır.

12.2 Bu Sözleşme Alman hukukuna tabidir. Yargı yeri Bremen, Almanya’dır.

EK 1 – ALT YÜKLENİCİLER

İşleyici, sözleşmeyle kararlaştırılan hizmetleri sağlamak için GDPR Madde 28(2) anlamında aşağıdaki alt işleyicileri kullanır:

Alt İşleyiciHizmet / AmaçKurumsal Merkezİşleme Konumu / Bölge
Amazon Web Services EMEA SARL / Amazon Web Services, Inc.Bulut Barındırma, Altyapı, Veri Merkezi OperasyonlarıLüksemburg / ABDMünhasıran Avrupa Birliği içinde (örn. AWS Frankfurt am Main Bölgesi, Almanya)
MongoDB, Inc.Veritabanı Barındırma ve Yönetimi (MongoDB Atlas)ABDAvrupa Birliği içindeki seçili veri merkezi bölgelerinde

Üçüncü Ülke Aktarımlarına İlişkin Not: AB/AEA dışında yerleşik alt işleyiciler görevlendirildiği sürece, kişisel verilerin herhangi bir aktarımı münhasıran GDPR Madde 44 ve devamındaki gereksinimlere (özellikle AB Standart Sözleşme Maddeleri ve tamamlayıcı TOM’lar aracılığıyla) uygun olarak gerçekleşir.

İşleyici, aşağıdaki önlemlerle riske uygun bir güvenlik seviyesi sağlar:

1. Fiziksel Erişim Kontrolü (Zutrittskontrolle):

  • Manuel ve elektronik kilitleme sistemleri, güvenlik kilitleri, anahtar/transponder yönetim politikaları.
  • Alarm sistemleri, güvenlik görevlileri, resepsiyonda ziyaretçi kaydı, zorunlu ziyaretçi kartları, ziyaretçi kaydı, biyometrik erişim engelleri.

2. Sistem Erişim Kontrolü (Zugangskontrolle):

  • Kullanıcı haklarının yönetimi ve düzenlenmesi, kullanıcı adı/şifre ile kimlik tespiti/doğrulama.
  • İstemci güvenlik duvarları, sunucu güvenlik duvarları (DMZ) ve düzenli olarak güncellenen anti-virüs/casus yazılımı dağıtımı.
  • Standart VPN teknolojileri, şifreli veri taşıyıcıları, otomatik iş istasyonu kilitlemeleri, mantıksal ağ segmentasyonu.

3. Veri Erişim Kontrolü (Zugriffskontrolle):

  • Rol tabanlı yetkilendirme konseptleri, yönetici hesaplarının minimize edilmesi.
  • Sıkı şifre politikaları (uzunluk gereksinimleri, zorunlu rotasyon aralıkları).
  • Sistem erişim ve kötüye kullanım girişimlerinin günlüğe kaydedilmesi, PKI tabanlı erişim izinleri, LDAP entegrasyonu, profesyonel belge ve medya imhası dahil takip.

4. Aktarım Kontrolü (Weitergabekontrolle):

  • Şifreli konteynerler aracılığıyla veri aktarımı, HTTPS şifreleme, VPN tünelleri.
  • SQL enjeksiyonlarını aktif olarak önlemek için veritabanı sorgularının sunucu tarafında hazırlanması ve temizlenmesi.
  • Fiziksel taşıma için güvenli taşıma konteynerleri ve dikkatle seçilmiş personel.

5. Giriş Kontrolü (Eingabekontrolle):

  • Yetkilendirme konseptlerine dayalı olarak veri girme, değiştirme ve silme haklarının kısıtlayıcı tahsisi; kapsamlı sistem günlüğü.

6. İş Kontrolü (Auftragskontrolle):

  • Veri Sorumlusunun veri koruma görevlisinin uyumu doğrulamasını sağlamak için TOM’larla ilgili kanıt ve belgelerin sağlanması.

7. Erişilebilirlik Kontrolü (Verfügbarkeitskontrolle):

  • Kesintisiz Güç Kaynağı (UPS), acil durum jeneratörleri, klima ve veri merkezlerinde aşırı gerilim koruması.
  • Yerel itfaiye teşkilatlarına doğrudan bağlantı hatları olan otomatik yangın/duman algılama sistemleri, oksijen azaltma yangın söndürme sistemleri.
  • Yedekli fiber optik bağlantılar (Darkfiber).
  • Standartlaştırılmış yedekleme ve kurtarma konseptleri, fiziksel olarak ayrılmış veri yedeklemeleri, düzenli kurtarma testleri.

8. Ayırma Gereksinimi (Trennungsgebot):

  • Mantıksal çoklu kiralama mimarisi, amaca dayalı ayrı veritabanı örnekleri.
  • Üretim ve test/geliştirme ortamlarının sıkı ayrımı.
  • Bağlantısız misafir Wi-Fi ağları; AWS altyapısı içinde müşteriler için izole edilmiş erişim örnekleri.

(Bir müşteri, dahili yasal belgeleri için bu VİS’in PDF kopyasını talep ederse, bu çevrimiçi sayfaya atıfta bulunarak talep üzerine önceden imzalanmış bir PDF sürümü e-posta yoluyla sağlanabilir).