Erken erişim açık · 2026 Ç3 lansmanı
Ana sayfaya dön
YASAL

Veri İşleme Sözleşmesi (VİS)

KVKK ve GDPR Madde 28 uyarınca

Son güncelleme · Son güncelleme: Nisan 2026

Veri Sorumlusu

Gastrolie hesabı oluşturan ve hizmeti kullanan müşteri (bundan sonra "Veri Sorumlusu").

Veri İşleyen

Gastrolie, Sahibi Timur Aynacı, Krifteler Straße 15, 60326 Frankfurt am Main, Almanya (bundan sonra "Veri İşleyen" veya "Gastrolie").

§ 1 Konu ve Süre

Veri İşleyen, Gastrolie platformunun sağlanması kapsamında Veri Sorumlusu adına kişisel verileri işler. İşleme; Veri Sorumlusunun platforma girdiği verilerin depolanması, düzenlenmesi, sorgulanması ve sunulmasını kapsar.

İşleme süresi, hizmet sözleşmesinin süresiyle aynıdır. Sona ermesinin ardından veriler, yasal saklama yükümlülükleri olmadıkça 90 gün içinde silinir.

§ 2 İşlemenin Niteliği ve Amacı

İşleme yalnızca sözleşmeyle kararlaştırılan hizmetlerin sunulması amacıyla gerçekleştirilir:

  • Kullanıcı yönetimi ve kimlik doğrulama
  • Denetim ve inspeksiyon verileri
  • Finansal ve kasa raporu verileri
  • Personel yönetimi (vardiyalar, giriş-çıkış)
  • Ticket yönetimi ve görev takibi
  • Bildirimler ve iletişim
  • Raporlama ve analitik

§ 3 Kişisel Veri Türleri

Aşağıdaki kişisel veri kategorileri işlenir:

  • Kimlik verileri: Ad, e-posta adresi, telefon numarası
  • Erişim verileri: Şifre (hashlenmiş), 2FA yapılandırması
  • Kullanım verileri: Giriş zamanları, IP adresleri, cihaz bilgileri
  • İş verileri: Giriş/çıkış saatleri, vardiya planları, bordro
  • İçerik verileri: Denetim sonuçları, yorumlar, yüklenen fotoğraflar

§ 4 İlgili Kişi Kategorileri

  • Veri Sorumlusunun çalışanları (platform kullanıcıları)
  • Yöneticiler ve müdürler
  • Harici denetçiler ve müfettişler

§ 5 Veri İşleyenin Yükümlülükleri

  • Verileri yalnızca Veri Sorumlusunun belgelenmiş talimatları doğrultusunda işlemek
  • Verileri işlemeye yetkili kişilerin gizliliğe bağlı olmasını sağlamak
  • GDPR Madde 32 uyarınca gerekli tüm teknik ve organizasyonel önlemleri almak
  • Veri Sorumlusunun önceden onayı olmadan alt işleyici görevlendirmemek
  • İlgili kişi hakları konusunda Veri Sorumlusuna destek olmak
  • İşleme sona erdikten sonra tüm kişisel verileri silmek veya iade etmek
  • Denetimler ve inspeksiyonlar için gerekli tüm bilgileri sunmak

§ 6 Teknik ve Organizasyonel Önlemler

Veri İşleyen aşağıdaki önlemleri uygulamıştır:

  • Şifreleme: Aktarımda TLS 1.3, depolamada AES-256
  • Erişim kontrolü: 25+ rol ile rol bazlı erişim kontrolü (RBAC)
  • Kiracı ayrımı: Tenant ID ile tüm müşteri verilerinin mantıksal izolasyonu
  • Günlükleme: Tüm erişim ve değişikliklerin eksiksiz denetim izi
  • Yedekleme: 30 gün saklama süreli otomatik günlük yedekleme
  • Erişilebilirlik: Otomatik yeniden başlatma ile container tabanlı altyapı
  • Pseudonimleştirme: Silme taleplerinde veri anonimleştirme yeteneği
  • Dayanıklılık: Kaynak limitleri ile izole container ortamı

§ 7 Alt İşleyiciler

Aşağıdaki alt işleyiciler kullanılmaktadır:

  • Hetzner Online GmbH, Gunzenhausen, Almanya — Sunucu barındırma ve altyapı
  • Amazon Web Services (AWS SES), AB Bölgesi — E-posta gönderimi
  • Stripe, Inc. — Ödeme işleme (yalnızca ücretli planlar)
  • OpenAI, Inc. — AI özellikleri (yalnızca anonimleştirilmiş veriler)

Veri Sorumlusu, yukarıdaki alt işleyicilerin kullanımını onaylar. Yeni alt işleyiciler hakkında Veri Sorumlusu önceden bilgilendirilecektir.

§ 8 İhlal Bildirimi

Veri İşleyen, herhangi bir kişisel veri ihlalini gecikmeksizin Veri Sorumlusuna bildirir. Bildirim en azından şunları içerir:

  • İhlalin niteliği ve etkilenen veri kategorileri
  • Etkilenen kişi ve kayıt sayısının yaklaşık değeri
  • Muhtemel sonuçların açıklaması
  • İhlali gidermek için alınan önlemlerin açıklaması

§ 9 İlgili Kişi Hakları

Veri İşleyen, ilgili kişi haklarının yerine getirilmesinde Veri Sorumlusuna destek olur:

  • Erişim hakkı (GDPR Madde 15) — Platformda veri dışa aktarma fonksiyonu
  • Düzeltme hakkı (Madde 16) — Kullanıcılar kendi verilerini değiştirebilir
  • Silme hakkı (Madde 17) — Ayarlar üzerinden anonimleştirme ve silme
  • Veri taşınabilirliği hakkı (Madde 20) — Tüm kişisel verilerin JSON dışa aktarımı
  • Kısıtlama hakkı (Madde 18) — Kullanıcı hesabını devre dışı bırakma

§ 10 Veri Transferi

İşleme münhasıran Avrupa Birliği içinde gerçekleşir. Sunucular Almanya'da bulunmaktadır (Hetzner, Gunzenhausen). Veri Sorumlusu transfer gerektiren özellikler kullanmadıkça (örneğin AI analizi için OpenAI) üçüncü ülkelere transfer yapılmaz. Bu durumda yalnızca anonimleştirilmiş veriler iletilir.

§ 11 Süre ve Fesih

Bu VİS, Gastrolie platformunun kullanımı süresince geçerlidir. Fesih üzerine tüm kişisel veriler 90 gün içinde silinir. Talep üzerine, silme öncesinde Veri Sorumlusuna eksiksiz bir veri dışa aktarımı sağlanır.

§ 12 Son Hükümler

Alman hukuku uygulanır. Yargı yeri Frankfurt am Main'dir. Bu VİS'te yapılacak değişiklikler yazılı şekil şartına tabidir. Münferit hükümlerin geçersiz olması, kalan hükümlerin geçerliliğini etkilemez.

Veri Koruma İletişim

datenschutz@gastrolie.com

Gastrolie Sahibi: Timur Aynacı Krifteler Straße 15, 60326 Frankfurt am Main, Almanya

Veri İşleme Sözleşmesi | Gastrolie