Veri İşleme Sözleşmesi (DPA)

• Veri Sorumlusu (Controller): GetUp Hizmeti'ne kayıt olan ve kendi çalışan, müşteri, tedarikçi verisini yükleyen müşteri şirket (“Müşteri”). Müşteri, yüklediği Kişisel Veri'nin amaçlarını ve araçlarını belirler.
• Veri İşleyen (Processor): GetUp (“Sağlayıcı”, “biz”). Yalnızca Müşteri'nin talimatı doğrultusunda ve bu DPA'nın izin verdiği şekilde Kişisel Veri'yi işler.

Kayıt ve ödeme bilgileri gibi Müşteri'ye ait Hesap Verileri için ise GetUp, Veri Sorumlusu rolündedir ve bu veriler Gizlilik Politikası kapsamında ele alınır.

• Konu: Müşteri tarafından Hizmet'e yüklenen çalışan, müşteri, fatura, vardiya, bordro, gider ve benzeri operasyonel verilerin saklanması, işlenmesi, sunulması.
• Süre: Müşteri'nin GetUp aboneliği aktif olduğu sürece; feshedilmesinden sonraki veri iade/silme süreci dahil.
• Nitelik: Barındırma (Firestore + Cloud Storage), görüntüleme, arama, filtreleme, raporlama, yedekleme, e-posta yoluyla bildirim, ödeme ara yüzleri, KSeF entegrasyonu.
• Amaç: Müşteri'nin çok-şirket operasyon, personel, finans ve KSeF yükümlülüklerini yönetmesi.
• Veri sahibi kategorileri: Müşteri'nin çalışanları, müşterileri, iş ortakları, tedarikçileri.
• Kişisel veri kategorileri: Ad-soyad, iletişim (e-posta, telefon), ücret/bordro bilgisi, çalışma saatleri, kimlik numarası (NIP/REGON), adres, fatura detayları, KSeF referans numaraları.

GetUp, Kişisel Veri'yi yalnızca:

• (a) Müşteri'nin bu DPA ve Ana Sözleşme kapsamında verdiği belgelenmiş talimatlara göre,
• (b) AB veya Polonya hukuku tarafından aksi zorunlu kılınmadıkça,
• (c) Hizmet'in sağlanması için teknik olarak gerekli olduğu ölçüde işler.

Müşteri'nin talimatının GDPR'ı veya ilgili mevzuatı ihlal ettiği kanaatine varırsak, Müşteri'yi derhal bilgilendiririz (Art. 28(3)(h)).

Müşteri, aşağıdaki alt-işleyenlerin kullanılmasına önceden genel yetki verir:

• Google / Firebase — veritabanı, kimlik doğrulama, depolama
• Vercel — uygulama barındırma, CDN, analytics
• Stripe — ödeme işleme, abonelik yönetimi
• Resend — işlemsel e-posta gönderimi
• ImprovMX — gelen e-posta yönlendirme (support@, quote@, privacy@)

Yeni bir alt-işleyen ekleneceğinde veya mevcut bir alt-işleyen değiştirilmeye çalışılacağında, bu değişiklikten en az 14 gün önce Müşteri'ye e-posta ile bildirilir. Müşteri bu süre içinde itiraz ederse, makul çözümler aranır; uzlaşılamazsa Müşteri sözleşmeyi tazminatsız feshedebilir.

Her alt-işleyen ile Art. 28'deki koruma seviyesine eşdeğer yazılı sözleşme bulundurulur. Güncel alt-işleyen listesine daima /compliance sayfasından ulaşılabilir.

GetUp, aşağıdaki asgari önlemleri uygular:

• Aktarımda şifreleme: TLS 1.3 tüm trafikte
• Dinlenmede şifreleme: AES-256 (Google Cloud), şifre hash'leri için AES-GCM katmanı
• Erişim kontrolü: Rol bazlı yetkilendirme, HMAC-SHA256 imzalı session token, admin için zorunlu 2FA (TOTP)
• Veri izolasyonu: Firestore Security Rules — şirket-bazlı companyId eşleşmesi
• Ağ güvenliği: HTTPS-only, CSP, CORS, webhook HMAC imza doğrulama
• Yedekleme: Günlük yedek + 7 gün geçmişe dönük point-in-time recovery (Firebase)
• Bölge: Firebase europe-west3 (Frankfurt) — veri AB içinde
• Gözlemlenebilirlik: Activity log, subscription event log, daily cron retention sweep
• Olay müdahalesi: Yazılı breach playbook + incident register (Art. 33–34)
• Veri minimizasyonu: Self-servis silme (Art. 17), cascade-delete, retention cron

Güncel ve detaylı TOM listesi Müşteri tarafından her zaman /compliance sayfasından incelenebilir.

Kişisel Veri'ye erişmeye yetkili her GetUp personeli, yazılı gizlilik yükümlülüğü altındadır veya yasal gizlilik yükümlülüklerine tabidir. Erişim “bilmesi gereken” ilkesine göre sınırlıdır.

GetUp, Müşteri'nin veri sahibinden gelen taleplere (erişim, düzeltme, silme, taşınabilirlik, itiraz) cevap verebilmesi için uygun teknik ve organizasyonel tedbirlerle makul düzeyde yardım eder. Self-servis araçlar:

• Art. 20 — Taşınabilirlik: /api/account/export ile tüm şirket verisinin JSON dump'ı
• Art. 17 — Unutulma: Abonelik sayfasında self-servis hesap silme
• Art. 16 — Düzeltme: Uygulama içi düzenleme ekranları
• Diğer talepler: privacy@getup.dev — en geç 30 gün içinde yanıtlanır

Kişisel Veri ihlalinin farkına varıldığında, GetUp gecikmesiz olarak ve mümkünse 24 saat içinde etkilenen Müşteri'yi e-posta yoluyla bilgilendirir. Bildirim şunları içerir:

• İhlalin niteliği, veri sahibi kategorileri ve yaklaşık sayısı
• DPO / irtibat kişisi: privacy@getup.dev
• Muhtemel sonuçlar
• Alınan veya önerilen önlemler

Her ihlal, ister bildirilsin ister bildirilmesin, GetUp'ın iç incident register'ına kaydedilir (Art. 33(5)).

Müşteri, GetUp'ın bu DPA'ya uyumunu yılda bir kez gözden geçirme hakkına sahiptir. Pratikte bu hak öncelikle GetUp'ın /compliance sayfasında yayınlanan RoPA, TOM ve sub-processor listesinin incelenmesiyle ve varsa bağımsız denetim raporlarının (örn. Firebase SOC 2, Stripe SOC 2) paylaşımıyla karşılanır. Yerinde denetim talebi için en az 30 gün önceden yazılı talep gereklidir; makul gizlilik yükümlülükleri ve ücretler geçerli olabilir.

GetUp, AB dışına veri aktarımını yalnızca aşağıdaki uygun güvenceler ile gerçekleştirir:

• EU Standard Contractual Clauses (SCC) — 2021 versiyonu, Module 2 (Controller–Processor)
• EU-U.S. Data Privacy Framework (DPF) — sertifikalı alt-işleyenler için
• Gerektiğinde, aktarım etki değerlendirmesi (TIA) ve ek teknik önlemler

Temel veri (/companies, içerik) Firebase europe-west3'te tutulur — pratikte çoğu veri AB içinde kalır.

Hizmet sona erdiğinde Müşteri'nin seçimine göre:

• (a) İade: Müşteri, sözleşme sona ermeden önce /api/account/export ile veri dump'ını indirebilir.
• (b) Silme: Müşteri self-servis silme seçerse veya sözleşme fesih sonrası 30 gün içinde veri aksi talimat edilmezse, GetUp tüm Kişisel Veri'yi cascade-delete ile siler — KSeF metadata ve yasal zorunluluk gereği saklanması gereken fatura kayıtları (Polonya vergi mevzuatı, 5 yıl) hariç.

Audit trail (subscriptionEvents) içinde companyId "__deleted__" olarak pseudonimize edilir, böylece kişisel veri referansı kırılır fakat olay kaydı korunur.

Bu DPA'nın kapsamı dışındaki konular Ana Sözleşme'ye tabidir. Çelişki durumunda bu DPA üstün gelir. Uygulanacak hukuk: Polonya hukuku ve doğrudan uygulanabilir AB hukuku (GDPR). Yetkili merci: Kraków mahkemeleri — ancak Müşteri, tüketici veya küçük işletme sıfatıyla yerel yetki kurallarından yararlanma hakkını saklı tutar.

Bu DPA'nın güncel sürümü 2026-04-19 olup getup.dev/dpa adresinde yayınlanır. Önemli değişiklikler Müşteri'ye en az 30 gün önceden e-posta ile bildirilir.

Müşteri'nin kayıt sırasında kabul ettiği sürüm, Hesap kaydına (DPA version, timestamp, IP, tarayıcı) audit-trail olarak saklanır.