Veri İşleme Sözleşmesi
Sürüm 3.0 · Son güncelleme: 9 Mayıs 2026 · Derhal yürürlüğe girer
1. Taraflar
Bu Veri İşleme Sözleşmesi ("DPA"), Müşteri ("Veri Sorumlusu") ile İrlanda'da kayıtlı YARDtwin Ltd ("Veri İşleyici") arasında akdedilmekte olup taraflar birlikte "Taraflar" olarak anılır. Bu DPA, YARDtwin'in bir parçasını oluşturur ve buna tabidir Kullanım Koşulları.
2. Kapsam ve Amaç
İşleyici, kişisel verileri Sorumlu adına yalnızca YARDtwin saha yönetimi platformunun sağlanması amacıyla işler: rıhtım planlaması, kapı operasyonları, dijital ikiz saha görselleştirmesi, taşıyıcı ve sürücü yönetimi, GMP uyumlu denetim izi, analitik ve entegrasyonlar. İşleme, Sorumlu'nun abonelik süresi ve Madde 11'in gerektirdiği saklama süresi boyunca gerçekleştirilir.
3. Veri Sahibi Kategorileri
- Sorumlu'nun çalışanları ve yöneticileri (platformun adlandırılmış kullanıcıları)
- Sorumlu'nun kapılarında giriş yapan sürücüler ve lojistik personeli
- Taşıyıcı temsilcileri ve sevkiyat irtibat kişileri
- Kapı güvenliği ve depo operatörü personeli
4. Kişisel Veri Türleri
- Kimlik verileri: adlar, e-posta adresleri, telefon numaraları, pozisyon/iş unvanı, şirket adı ve adresi
- Kimlik doğrulama verileri: bcrypt ile karma şifreler (12 tur), JWT erişim ve yenileme token'ları, oturum zaman damgaları, IP adresleri, SSO tanımlayıcıları (Google, Microsoft)
- Operasyonel veriler: randevular, rıhtım tahsisleri, treyler hareketleri, denetim kayıtları, belgeler, görev atamaları, araç tescil bilgileri
- Sürücü verileri: ehliyet numaraları, ehliyet görselleri, biyometrik kapı doğrulaması için isteğe bağlı yüz görselleri (özel kategori veri, Md. 9 GDPR — yalnızca Sorumlu'nun kapıda biyometrik doğrulamayı etkinleştirdiği ve veri toplama noktasında açık rıza aldığı durumlarda işlenir)
- Denetim verileri: kullanıcı eylemleri, zaman damgaları, IP adresleri, kullanıcı aracısı dizeleri, eski/yeni değer farkları, GMP ile işaretlenmiş kayıtlar
5. İşleyicinin Yükümlülükleri
- Kişisel verileri yalnızca Denetleyici'nin belgelenmiş talimatları doğrultusunda işlemek (platform UI ve API, belgelenmiş talimat niteliği taşır)
- Veri işleme yetkisi verilen kişilerin gizlilik sözleşmeleriyle bağlı olmasını sağlamak
- Uygun teknik ve organizasyonel güvenlik önlemlerini uygulamak (Madde 32) — aşağıdaki Bölüm 7'ye bakınız
- Önceden yazılı onay alınmadan alt işleyici kullanmamak; her yeni alt işleyici için 30 gün önceden bildirim yapmak (itiraz hakkı)
- Bölüm 9'da açıklanan DSAR uç noktaları aracılığıyla Denetleyici'ye veri sahibi talepleri (Madde 15–22) konusunda yardımcı olmak
- Kişisel veri ihlallerini gereksiz gecikme olmaksızın ve 72 saat içinde Denetleyici'ye bildirmek (Bölüm 8)
- Hizmetlerin sona ermesi üzerine tüm kişisel verileri silmek veya iade etmek (Bölüm 11)
- Uyumluluğu kanıtlamak ve denetimleri desteklemek için gerekli tüm bilgileri sunmak (Bölüm 12)
6. Alt İşleyiciler
İşleyici, her biri bir Veri İşleme Sözleşmesi ve (uygulanabildiği durumlarda) 2021 Standart Sözleşme Maddeleri kapsamında faaliyet gösteren aşağıdaki alt işleyicilerle şu an itibarıyla çalışmaktadır:
| Alt İşleyici | Amaç | Konum | Güvenceler |
|---|---|---|---|
| Microsoft Azure | Barındırma (App Service, Postgres Flexible Server, Blob Storage, Key Vault, App Insights, Front Door + WAF) | AEA — İsveç Orta + Norveç Doğu | Microsoft Online Services DPA + AB SCC'leri, ISO 27001, SOC 2 Tip II, ISO 27018, AB Veri Sınırı |
| Stripe | Abonelik faturalandırması ve ödeme işleme (YARDtwin tarafından kart numarası saklanmaz) | Stripe İrlanda (AEA), bazı ABD destek hizmetleri | Stripe DPA + AB SCC'leri + PCI DSS Seviye 1 |
| Resend | İşlemsel e-posta (hoş geldiniz, deneme hatırlatıcıları, DSAR yanıtları, ihlal uyarıları) | ABD (Delaware) | Resend DPA + AB SCC'leri (FISA 702 ek tedbir doğrulaması devam ediyor — bkz. GDPR Politikası 11.6) |
| Google Cloud Vision | Sürücü belgesi OCR (yalnızca Denetleyici'nin kapıda lisans doğrulamayı etkinleştirdiği durumlarda) | AB bölgeleri | Google Cloud DPA + AB SCC'leri, ISO 27001, SOC 2 |
| Google / Microsoft (OAuth SSO) | SSO'yu tercih eden kullanıcılar için tek oturum açma kimlik belirteçleri | AEA (Microsoft Entra ID) / Global (Google Workspace) | Microsoft / Google Cloud DPA'ları |
| Anthropic | Ürün içi yapay zeka asistanı için Claude API + lisans-OCR metin ayrıştırma | ABD (Kaliforniya) | Anthropic DPA + sıfır saklama taahhüdü + AB SCC'leri (FISA 702 ek tedbir doğrulaması devam ediyor) |
Müşteriler, herhangi bir yeni alt işleyici eklenmeden en az 30 gün önce bilgilendirilir; itiraz etme ve cezasız olarak sözleşmeyi feshetme hakkına sahiptirler.
7. Güvenlik Önlemleri (Madde 32)
- İletimde şifreleme: Her uç noktada TLS 1.2+; sertifikalar Microsoft Azure (DigiCert) tarafından yönetilir
- Depoda şifreleme: Azure Postgres Flexible Server şeffaf veri şifreleme; Azure Blob Storage şifreleme
- Alan düzeyinde şifreleme: Biyometrik veriler için (sürücü belgesi görselleri, imza görselleri) AES-256-GCM; anahtarlar Azure Key Vault'ta saklanır
- Parola karma: bcrypt, 12 tur
- Kimlik doğrulama: JWT erişim belirteçleri (1 saatlik geçerlilik) + yenileme belirteçleri (7 günlük geçerlilik, kullanımda rotasyon); MFA eşdeğeri için Google ve Microsoft üzerinden SSO
- Kiracı izolasyonu: Her API rotasında zorunlu kılınır; her sürümde 25 vektörlü çapraz kiracı denetimiyle regresyon testi yapılır
- Rol tabanlı erişim denetimi: Altı rol (admin, ops_manager, gate_guard, warehouse_operator, carrier, super_admin), en az ayrıcalık ilkeli ara katman
- Web Uygulama Güvenlik Duvarı: Azure Front Door + yönetilen WAF (OWASP Temel Kural Seti, bot koruması, L7 DDoS)
- Hız sınırlama: Rota başına sınırlar, kimlik doğrulama uç noktalarında daha kısıtlı; bellek içi + kalıcı deneme takibi
- Denetim izi: uygulama katmanında yalnızca ekleme yapılabilir, 6 yıl saklama süresi, GMP ile ilgili girişler ayrı olarak işaretlenir, Art. 17(3)(b) kapsamındaki Art. 17 silme taleplerinde takma adlandırılır (silinmez)
- Sürekli izleme: Azure Application Insights, şema kayması uyarısı (15 dakikalık pencere), uçtan uca /health/db-write sondası, ihlal izleme anomali işçisi (başarısız giriş artışları, çok IP saldırıları, ülke değişiklikli girişler, 5xx oranı)
- Yazılım tedarik zinciri: Her PR'da npm audit, Trivy, Semgrep, gitleaks, OWASP ZAP. Gizli anahtarlar: App Service yönetilen kimliği aracılığıyla erişilen Azure Key Vault; kod, ortam dosyaları veya konteyner görüntülerinde gizli anahtar bulunmaz
8. Kişisel Veri İhlali Bildirimi
İşlemci, Denetleyici'nin verilerini etkileyen bir kişisel veri ihlalinden haberdar olmasının ardından gecikmeksizin ve en geç 72 saat içinde Denetleyici'yi bilgilendirir (Art. 33). Bildirim; ihlalin niteliğini, etkilenen veri sahiplerinin kategorilerini ve tahmini sayısını, olası sonuçları, alınan veya önerilen önlemleri ve ihlal kaydı referansını içerir. Tespit edilen anomaliler Azure Monitor Eylem Grubu'na yönlendirilir yardtwin-breach-actions; onaylanan olaylar, 72 saatlik DPC geri sayımıyla ihlal kaydı tablosunda takip edilir.
9. Veri Sahibi Hakları
İşlemci, Denetleyici'ye 30 günlük Art. 12(3) süresi içinde veri sahibi haklarını yerine getirmek için aşağıdaki uç noktaları sağlar:
POST /api/v1/dsar/export/by-email— Art. 15 (erişim) ve Art. 20 (taşınabilirlik) kapsamını içeren makine tarafından okunabilir dışa aktarımPOST /api/v1/dsar/erase/by-email— tüm KBB tablolarında takma adlandırma; denetim günlüğü saklama süresi Art. 17(3)(b) uyarınca korunur- Self-servis talep portalı: /data-request
10. Uluslararası Veri Transferleri
Operasyonel veriler Avrupa Ekonomik Alanı içinde saklanır (Microsoft Azure, İsveç Orta + Norveç Doğu). EEA dışı alt işlemcilere (Resend, Anthropic) yapılan sonraki transferler, belgelenmiş Transfer Etki Değerlendirmeleriyle birlikte 2021 Standart Sözleşme Maddeleri kapsamında yönetilir. Stripe, Stripe Ireland (EEA birincil) aracılığıyla sözleşme yapar.
11. Süre, Fesih ve Verilerin İadesi
Bu DPA, hizmet sözleşmesinin süresi boyunca geçerliliğini korur. Fesih durumunda:
- Denetleyici, ürün içi dışa aktarma işlevleri veya talep yoluyla tüm verilerini 30 gün içinde dışa aktarabilir
- 30 günün ardından İşlemci, Denetleyici'ye ait tüm operasyonel kişisel verileri siler
- Denetim günlükleri, 21 CFR Part 11 / AB GMP Annex 11 gerekliliklerine uygun olarak (Art. 17(3)(b) yasal yükümlülük istisnası) olaydan sonra 6 yıl boyunca takma adlandırılmış biçimde saklanır
- Yedekler, anlık kurtarma penceresiyle uyumlu şekilde operasyonel silinmeden itibaren 7 gün içinde temizlenir
12. Denetim Hakları
İşlemci, Denetleyici'ye Art. 28 GDPR uyumunu kanıtlamak için gerekli tüm bilgileri sağlar. Müşteriler şunları talep edebilir: ilgili güvenlik sertifikalarının ve denetim raporlarının kopyaları (mevcut olması halinde), güncel alt işlemci kaydı, en son kiracı izolasyonu regresyon test raporu, en son harici sızma testi özeti (yayımlandığında, bkz. GDPR Policy 11.1) ve satıcı güvenlik anketi yanıtları. Makul yerinde veya uzaktan denetimler, en az 30 gün önceden bildirim yapılarak, gizlilikle bağlı Denetleyici veya bağımsız bir üçüncü taraf tarafından gerçekleştirilebilir. İşlemci, söz konusu sertifikalar alındığında ISO 27001 / SOC 2 Type II raporlarını yedek kanıt olarak öncelikli değerlendirecektir.
13. Sorumluluk ve Geçerli Hukuk
Bu DPA kapsamındaki sorumluluk, YARDtwin Kullanım Koşulları'nde belirtilen sınırlamalara tabidir. Bu DPA, İrlanda hukuku ve AB Genel Veri Koruma Tüzüğü (GDPR) tarafından yönetilir. Tüm anlaşmazlıklar, İrlanda mahkemelerinin münhasır yargı yetkisine tabidir.
14. İletişim
Bu DPA hakkındaki sorularınız için, karşılıklı imzalı bir kopya talep etmek veya yukarıda belirtilen haklardan herhangi birini kullanmak için admin@yardtwin.com veya Veri Koruma Sorumlusu ile iletişime geçin: dpo@yardtwin.com. Harici kısmi DPO görevlendirmesi yapılmaktadır (GDPR Policy 11.2); atama gerçekleşene kadar dpo@yardtwin.com adresine gönderilen postalar admin@yardtwin.com adresine yönlendirilir.
Kabul ederek Müşteri, Veri Sorumlusu sıfatıyla bu Veri İşleme Sözleşmesi v3.0 ile bağlı olmayı kabul eder.