Veri İşleme Sözleşmesi

GDPR’nin 28. maddesi uyarınca.

Taraflar

  • Veri Sorumlusu (Controller): Buildmetrics Hizmeti’ni kullanan müşteri (“Veri Sorumlusu”).
  • Veri İşleyen (Processor): BUILDMETRICS SRL, CUI 51592519, kayıtlı adres: Str. Domnească 13, Bl. L, Sc. 3, Et. 1, Ap. 42, 800015 Galați, Romanya (“Buildmetrics” veya “Veri İşleyen”).

Bu Veri İşleme Sözleşmesi (“DPA”), Buildmetrics Kullanım Koşulları’nın ayrılmaz bir parçasıdır. Koşulları kabul ederek Veri Sorumlusu bu DPA’yı da kabul eder.

1. Arka plan ve amaç

Veri Sorumlusu, inşaat projelerini, görevleri, kalite kontrolünü ve ilgili belgeleri yönetmek için Buildmetrics platformunu kullanır. Hizmet’in sunulmasıyla bağlantılı olarak Veri İşleyen, Veri Sorumlusu adına Kişisel Verileri işler.

2. Tanımlar

Bu DPA’da kullanılan terimler, (AB) 2016/679 sayılı Tüzük (GDPR) ile aynı anlama gelir.

3. İşlemenin tanımı (Ek I)

Konu ve süre: Veri Sorumlusu’nun Hizmet’i kullandığı süre boyunca inşaat proje yönetimi için Buildmetrics SaaS platformunun sunulması.

Niteliği ve amacı: Veri Sorumlusu ve kullanıcıları tarafından yüklenen verilerin barındırılması, saklanması, işlenmesi, görüntülenmesi, görev açıklamaları ve kontrol listelerinin AI destekli üretimi, çevirisi ve teknik desteği.

Kişisel Veri türleri:

  • İletişim verileri (ad, e-posta, telefon, şirket adı, rol)
  • Proje katılımcılarının kimlik ve mesleki verileri
  • Gerçek kişiler içeren görüntü ve videolar (şantiye fotoğrafları)
  • Veri Sorumlusu’nun görevlere, yorumlara, belgelere veya eklere dahil ettiği diğer her türlü kişisel veri

İlgili kişi kategorileri:

  • Veri Sorumlusu’nun çalışanları, temsilcileri ve yüklenicileri
  • Denetçiler, müşteriler ve inşaat projelerinin diğer katılımcıları

Özel nitelikli veri kategorileri: özel nitelikli veri kategorileri, Hizmet’in kullanımı için bilerek talep edilmez veya gerekli değildir. Herhangi bir özel nitelikli veri kategorisinin yüklenmesi durumunda uygun hukuki dayanağı ve güvenceleri sağlamaktan Veri Sorumlusu sorumludur.

4. Veri İşleyen’in yükümlülükleri

Veri İşleyen:

4.1 Birlik veya üye devlet hukukunun gerektirdiği haller dışında, Kişisel Verileri yalnızca Veri Sorumlusu’nun belgelenmiş talimatları doğrultusunda (Hizmet arayüzü aracılığıyla dahil) işler. 4.2 Verileri işlemeye yetkili kişilerin gizlilik yükümlülüğü altında olmasını sağlar. 4.3 Uygun teknik ve idari tedbirleri uygular (bkz. Bölüm 7 / Ek II). 4.4 Veri Sorumlusu’nun önceden özel veya genel yazılı izni olmadan Alt Veri İşleyenleri görevlendirmez. Veri Sorumlusu, Bölüm 5’te listelenen Alt Veri İşleyenleri görevlendirmek için Veri İşleyen’e genel yazılı izin verir. 4.5 İlgili kişilerin haklarına ilişkin taleplerin yerine getirilmesinde Veri Sorumlusu’na yardımcı olur. 4.6 Herhangi bir Kişisel Veri İhlali konusunda Veri Sorumlusu’nu gecikmeksizin (ve mümkün olduğunda 48 saat içinde) bilgilendirir. 4.7 İşleme ile ilgili hizmetlerin sona ermesinden sonra, Veri Sorumlusu’nun tercihine göre tüm Kişisel Verileri siler veya iade eder, Birlik veya üye devlet hukuku Kişisel Verilerin saklanmasını gerektirmedikçe. 4.8 GDPR’nin 28. maddesindeki yükümlülüklere uyumu göstermek için makul ölçüde gerekli bilgileri Veri Sorumlusu’na sunar ve geçerli mevzuatın gerektirdiği hallerde, Veri İşleyen’in faaliyetlerini makul olmayan biçimde aksatmayan ve uygun gizlilik yükümlülüklerine tabi şekilde yürütülen denetimlere katkıda bulunur. 4.9 Bir talimatın, Veri İşleyen’in görüşüne göre GDPR’yi veya geçerli diğer veri koruma mevzuatını ihlal etmesi halinde Veri Sorumlusu’nu derhal bilgilendirir. 4.10 İşlemenin niteliğini ve Veri İşleyen’in elindeki bilgileri dikkate alarak, Veri Sorumlusu’nun talebi üzerine makul bilgi ve iş birliği sağlayarak, veri koruma etki değerlendirmeleri (madde 35) ve denetim makamına önceden danışma (madde 36) ile ilgili yükümlülüklerine uyum sağlamasında Veri Sorumlusu’na yardımcı olur.

5. Alt Veri İşleyenler

Veri Sorumlusu, Veri İşleyen’e aşağıdaki Alt Veri İşleyenleri görevlendirmesi için genel izin verir:

Alt Veri İşleyenAmaçKonum
Hetzner Online GmbHBarındırma ve veritabanıAlmanya / Finlandiya (AB)
OpenAI, Anthropic, GoogleGörev açıklaması ve kontrol listesi AI üretimiABD
CloudflareCDN ve analizAB / küresel
E-posta / SMTP sağlayıcısıBildirimlerAB

Veri İşleyen bir Alt Veri İşleyen görevlendirdiğinde, bunu, söz konusu Alt Veri İşleyen’e bu Sözleşmede belirtilen veri koruma yükümlülüklerinin aynısını yükleyen — özellikle, işlemenin (AB) 2016/679 sayılı Tüzük’ün gerekliliklerini karşılaması için uygun teknik ve idari tedbirleri uygulamaya yönelik yeterli güvenceleri sağlayan — yazılı bir sözleşme yoluyla yapar. Bir Alt Veri İşleyen’in veri koruma yükümlülüklerini yerine getirmemesi halinde, Veri İşleyen söz konusu Alt Veri İşleyen’in yükümlülüklerinin yerine getirilmesinden Veri Sorumlusu’na karşı tam olarak sorumlu kalır.

Veri İşleyen, Alt Veri İşleyenlerin eklenmesi veya değiştirilmesine ilişkin planlanan değişiklikler hakkında Veri Sorumlusu’nu en az 30 gün önceden bilgilendirir ve ilgili Alt Veri İşleyen görevlendirilmeden önce Veri Sorumlusu’na itiraz etmesi için yeterli süre tanır. Veri Sorumlusu, bildirimden itibaren 14 gün içinde veri korumasına ilişkin makul gerekçelerle itiraz ederse, taraflar bir çözüm bulmak için iyi niyetle birlikte çalışır; bir çözüme ulaşılamazsa, Veri Sorumlusu Hizmet’in etkilenen kısmını askıya alabilir veya sonlandırabilir. Alt Veri İşleyenler listesi, bu Bölüm uyarınca zaman zaman güncellenebilir.

6. Uluslararası veri aktarımları

Kişisel Veriler öncelikli olarak AB’de (Hetzner) saklanır. ABD’ye (AI sağlayıcıları) yapılan aktarımlar, Avrupa Komisyonu tarafından yayımlanan Standart Sözleşme Hükümleri (SCC, 2021) ile korunur ve ek teknik ve idari tedbirlerle desteklenir. Uygun olduğunda EU–US Data Privacy Framework’e dayanılabilir.

7. Güvenlik tedbirleri (Ek II)

Veri İşleyen, aşağıdakiler dahil uygun teknik ve idari tedbirleri uygular:

  • Sektör standardı protokollerle aktarım sırasında şifreleme
  • Teknik olarak uygulanabilir olduğu yerlerde durağan halde (at rest) şifreleme
  • Role dayalı erişim kontrolü (RBAC)
  • Eylemlerin denetim günlüğü (audit logging)
  • Düzenli yedeklemeler
  • Güvenli geliştirme uygulamaları

8. Sorumluluk

Veri İşleyen’in bu DPA kapsamındaki sorumluluğu, Buildmetrics Kullanım Koşulları’nda belirtilen sınırlamalara ve istisnalara tabidir.

9. Süre ve sona erme

Bu DPA, Veri İşleyen Veri Sorumlusu adına Kişisel Verileri işlediği sürece yürürlükte kalır. Sona ermede Veri İşleyen, verileri 4.7 maddesine uygun olarak iade eder veya siler.

10. Uygulanacak hukuk

Bu DPA Romanya hukukuna tabidir. Taraflar, geçerli emredici hukuk aksini gerektirmedikçe, Romanya mahkemelerinin münhasır yargı yetkisine tabidir.

Ekler

  • Ek I — İşlemenin ayrıntıları: Bölüm 3.
  • Ek II — Teknik ve idari tedbirler: Bölüm 7.
  • Ek III — Alt Veri İşleyenler listesi: Bölüm 5.

Kabul

Buildmetrics Kullanım Koşulları’nı kabul ederek Veri Sorumlusu bu DPA’yı kabul eder ve onaylar.