§ 1Taraflar ve Roller
Veri Sorumlusu: Krono platformuna acente sıfatıyla kayıt olan gerçek veya tüzel kişi ("Acente"). Acente, müşterilerinin/yolcularının kişisel verileri bakımından KVKK md. 3/1/ı uyarınca veri sorumlusu sıfatına sahiptir.
Veri İşleyen: Krono ("Krono") — gerçek kişi veya tüzel kişi olarak faaliyet gösteren işletme; iletişim bilgileri ve KVKK irtibat kişisi VERBİS kaydı tamamlandığında bu bölümde yayımlanacaktır. Krono, Acente'nin müşteri/yolcu verileri bakımından yalnızca veri işleyen sıfatıyla hareket eder ve işbu sözleşmede belirtilen sınırlar içinde işleme faaliyetinde bulunur.
§ 2Talimatla İşleme
Krono, Acente'nin müşteri/yolcu verilerini yalnızca:
- Acente'nin Krono panelinde belirlediği kapsamda,
- Acente'nin verdiği talimatlar doğrultusunda,
- Hizmetin sunulması için zorunlu olan kapsamda,
işler. Krono, herhangi bir veriyi kendi adına ya da kendi ticari amaçları için kullanmaz; satmaz; üçüncü kişilere kiralamaz.
§ 3İşleme Konusu, Süre, Veri Türleri ve İlgili Kişi Kategorileri
| Başlık | İçerik |
|---|---|
| Konu | WhatsApp/Instagram müşteri yanıtları, tur ve yolcu yönetimi, manifestolar, sözleşmeler |
| Süre | Hizmet sözleşmesi süresince + 30 günlük iade/imha süresi |
| Veri türleri | İletişim, kimlik (yolcu için tc/pasaport), tercih, mesaj içeriği |
| İlgili kişiler | Acente'nin müşterileri, yolcuları, çalışanları |
§ 4Krono'nun Yükümlülükleri
- Verileri yalnızca Acente'nin talimatına uygun olarak işlemek
- Erişim yetkisi olan personeli gizlilik yükümlülüğüne tabi tutmak
- KVKK md. 12/1'de öngörülen teknik ve idari tedbirleri almak
- Acente'nin veri sahibi başvurularına yanıt verme yükümlülüğünü yerine getirmesinde makul ölçüde destek olmak
- Veri işlemenin yapısı gereği mümkün olduğu ölçüde Acente'ye veri silme/düzeltme/aktarım talepleri konusunda araç sağlamak
§ 5Acente'nin Yükümlülükleri
- Müşterilerini/yolcularını veri işleme konusunda usulüne uygun aydınlatmak
- İşlemenin hukuki sebebini sağlamak (rıza, sözleşme ifası, meşru menfaat vb.)
- Krono'ya yalnızca işlemeye yetkili olduğu verileri sağlamak
- Hassas verilerin işlenmesi gerekiyorsa açık rıza gibi ek hukuki sebepleri kendisi sağlamak
- VBBF Tebliği gerektiriyorsa veri sahibi başvurularını birinci elden yanıtlamak
Madde 5/6 — Krono'nun teknik kararları: Krono'nun hizmet altyapısının yapılandırılmasına ilişkin teknik kararları (örn. veritabanı bölümlemesi, log politikası, AI model seçimi), Krono'nun veri sorumlusu sıfatını doğurmaz; bu kararlar tüm müşteriler için ortak teknik gerekliliklerdir.
§ 6Veri İhlali Bildirimi
Krono, Acente'nin verilerini etkileyen bir kişisel veri ihlali tespit ettiğinde:
- 24 saat içinde Acente'ye ön bildirim yapar (ihlalin varlığı, etkilenen olası kategoriler)
- 72 saat içinde detaylı bildirim sunar (etkilenen veri türleri, sayısal etki, sebep, alınan tedbirler, öneriler)
- Acente'nin Kurul'a ve ilgili kişilere bildirim yükümlülüğünü yerine getirebilmesi için gerekli bilgileri sağlar
§ 7Alt İşleyenler (Sub-processors)
Krono, hizmeti sunmak için aşağıdaki alt işleyenleri kullanmaktadır:
| Alt İşleyen | Rol | Konum |
|---|---|---|
| Anthropic, PBC | Yapay zekâ (Claude API) | ABD |
| ChakraHQ | WhatsApp Business API | AB / ABD |
| Supabase Inc. | Veritabanı + Auth | AB (Frankfurt) |
| Netlify, Inc. | Web sunucu | AB / ABD |
| Resend | İşlemsel e-posta | AB / ABD |
Krono, alt işleyen ekleyeceği veya değiştireceği zaman Acente'yi en az 30 gün öncesinden bilgilendirir. Acente, makul gerekçelerle yeni alt işleyene itiraz ederse; tarafların bu itirazın çözümü için iyi niyetli müzakere yürütmesi esastır. Mutabakat sağlanamazsa, Acente sözleşmeyi tazminatsız feshedebilir.
§ 8Yurtdışı Aktarım
Anthropic (ABD) için yurtdışı aktarım, Acente'nin kayıt sırasında verdiği açık rıza hukuki sebebine dayanır. Diğer alt işleyenler için Krono, KVKK md. 9/2 kapsamında uygun güvenceleri (Standart Sözleşme veya Taahhütname) sağlamakla yükümlüdür.
§ 9Veri Güvenliği Tedbirleri
- Şifreleme: Tüm veriler iletim sırasında TLS 1.3, depolamada AES-256
- Erişim kontrolü: Row-Level Security (RLS) ile çok kiracılı izolasyon; her acente yalnızca kendi verisine erişir
- Kimlik doğrulama: bcrypt şifre özetleme, oturum tabanlı yetkilendirme
- Loglama: Yetkili işlemlerin denetim kaydı, saldırı tespit izleme
- Yedekleme: Günlük otomatik yedek, point-in-time recovery
- İhlal müdahalesi: 24/72 saat bildirim akışı (madde 6)
§ 10Hizmet Sona Erince — İade veya İmha
Acente'nin hesabının kapatılmasından itibaren 30 gün içinde, Acente'nin tercihine göre veriler:
- Acente'ye yaygın bir formatta iade edilir (CSV/JSON), veya
- Krono altyapısından kalıcı olarak silinir (yedeklerin doğal döngü süresi içinde imhası dahil)
Tercihin Acente tarafından bildirilmemesi halinde, varsayılan olarak imha uygulanır. Mevzuat gereği daha uzun süre saklanması zorunlu olan veriler, ilgili sürelerin sonunda imha edilir.
§ 11Denetim Hakkı
Acente, makul süreli ön bildirimle, yılda bir kez ve normal mesai saatleri içinde, Krono'nun bu sözleşmeye uyumunu denetleme hakkına sahiptir. Krono, üçüncü taraf bağımsız denetim raporlarını (örn. SOC 2) paylaşarak yerinde denetim ihtiyacını ikame edebilir.
§ 12Sorumluluk ve Tazminat
Krono'nun bu sözleşmeden doğan toplam sorumluluğu, Acente'nin son 12 ayda Krono'ya ödediği abonelik bedeli ile sınırlıdır. Bu sınır, Krono'nun kasıt veya ağır ihmali, mevzuatın açıkça öngördüğü sorumluluk halleri ile veri ihlali nedeniyle ilgili kişilere ödenecek tazminatlar bakımından uygulanmaz.
§ 13Süre ve Fesih
Bu sözleşme, Acente'nin hesap oluşturduğu ve DPA onay kutusunu işaretlediği anda yürürlüğe girer ve hesap aktif olduğu sürece geçerli kalır. Hesabın kapatılması bu sözleşmenin sona erme işlemini başlatır; madde 10'daki iade/imha süresi tamamlanınca son bulur.
§ 14Değişiklikler
Krono, bu sözleşmede mevzuat değişikliği veya hizmet güncellemesi nedeniyle değişiklik yapma hakkını saklı tutar. Önemli değişiklikler en az 30 gün öncesinden bildirilir; Acente itiraz ederse sözleşmeyi tazminatsız feshedebilir.
§ 15Uygulanacak Hukuk ve Yetkili Mahkeme
Bu sözleşmeye Türk hukuku uygulanır. Uyuşmazlıklarda İstanbul (Çağlayan) Mahkemeleri ve İcra Daireleri yetkilidir.
Not: Bu DPA'nın PDF/imzaya hazır kopyasını talep etmek için kvkk@krono.com.tr adresine yazabilirsiniz. Acente kayıt formunda DPA onay kutusunu işaretlemekle, bu sözleşmeyi kabul etmiş sayılırsınız.