Veri İşleme Sözleşmesi

Son Güncelleme: 3. Juli 2026

Bu Veri İşleme Sözleşmesi ("Sözleşme"), Genel Veri Koruma Tüzüğü'nün (GDPR) 28. Maddesi uyarınca gerekli olan sözleşmedir. Kendi müşterilerinizin kişisel verilerini toplamak ve yönetmek için Hizmet'i kullandığınızda Zeity'nin sizin adınıza gerçekleştirdiği kişisel veri işleme faaliyetlerini düzenler; bu kapsamda siz veri sorumlusu, Zeity ise veri işleyen olarak hareket eder. Bu Sözleşme, Hizmet Koşullarımızın bir parçasıdır ve onları tamamlar; burada tanımlanmayan terimler, Hizmet Koşulları'nda kendilerine verilen anlamı taşır. (Bu Türkçe metin bir kolaylık çevirisidir.)

1. Taraflar ve Roller

Bu Sözleşme aşağıdaki taraflar arasında akdedilir: • Siz — Zeity'ye kaydolan hesap sahibi — müşterilerinizin kişisel verilerinin işlenme amaç ve araçlarına karar veren 'veri sorumlusu' (Verantwortlicher / Auftraggeber) olarak; ve • Zeity platformunun işletmecisi Moon Regents ("Zeity", "biz"), bu kişisel verileri sizin adınıza ve talimatlarınız doğrultusunda işleyen 'veri işleyen' (Auftragsverarbeiter / Auftragnehmer) olarak. Bir Zeity hesabı birden fazla işletme yürütebilir. Bu Sözleşme'yi akdetmeye ve onunla bağlı olmaya yetkili olduğunuzu ve bunu hesabınız altında oluşturduğunuz her işletme adına yaptığınızı taahhüt edersiniz. Bu işletmelerin her biri kendi müşterilerinin kişisel verilerinin sorumlusudur ve hepsi için veri sorumlusunun yükümlülüklerini üstlenirsiniz. Bu Sözleşme, Hizmet Koşulları'nın bir parçasıdır ve onları tamamlar. Müşterilerinizin kişisel verilerinin işlenmesine ilişkin olarak Hizmet Koşulları ile bu Sözleşme çeliştiğinde bu Sözleşme geçerlidir.

2. Veri Sorumlusunun Yükümlülükleri

Veri sorumlusu olarak siz, müşterilerinizin kişisel verilerinin işlenmesinin hukuka uygunluğundan ve ilgili kişilerin haklarının korunmasından — aşağıdaki 'Veri Sorumlusuna Destek' bölümünde açıklandığı üzere taleplerine yanıt verilmesi dahil — sorumlusunuz. Zeity'ye verdiğiniz talimatların, Hizmet'i yapılandırmanız ve kullanmanız dahil, GDPR'a ve diğer geçerli veri koruma hukukuna uygun olduğunu ve müşterilerinizin kişisel verilerini toplamak ve Zeity'ye işletmek için geçerli bir hukuki dayanağa sahip olduğunuzu taahhüt edersiniz. Zeity tarafından yapılan kişisel veri işlemeyle ilgili fark ettiğiniz herhangi bir hata veya usulsüzlük hakkında Zeity'yi gecikmeksizin bilgilendirmelisiniz. GDPR Madde 9(1) anlamında özel nitelikli verileri girdiğiniz durumlarda — örneğin bir müşterinin serbest metin notlarında açıklanan sağlık verileri veya bir randevu türünün niteliğinden (fizyoterapi, dermatoloji, diş hekimliği, estetik veya ruh sağlığı hizmetleri gibi) çıkarılan bilgiler — veri sorumlusu olarak siz, bu işleme için GDPR Madde 9(2) uyarınca geçerli bir hukuki dayanak oluşturmaktan ve GDPR Madde 35 uyarınca bir veri koruma etki değerlendirmesinin gerekip gerekmediğini değerlendirmekten sorumlusunuz. Zeity, aşağıdaki 'Teknik ve Organizasyonel Önlemler' bölümünde açıklanan, talimat verdiğiniz işlemenin riskiyle orantılı önlemleri sağlar.

3. Konu, Niteliği, Amacı ve Süresi

Konu ve niteliği: Zeity, müşterilerinizin kişisel verilerini rezervasyon ve randevu yönetimi Hizmeti'ni sağlamak amacıyla işler — rezervasyonların oluşturulması ve yönetilmesi, randevu onayları ve hatırlatmaların gönderilmesi, müşteri kayıtlarının ve notların saklanması ve etkinleştirdiğiniz durumlarda ön ödemelerin kolaylaştırılması dahil. Amaç: İşleme yalnızca Hizmet'i size sağlamak için ve talimatlarınıza göre gerçekleştirilir; Zeity'nin herhangi bir bağımsız amacı (örneğin müşterilerinizin verilerini kullanarak kendi analizleri, kalite güvencesi veya ürün optimizasyonu) için değildir. Süre: Bu Sözleşme, Zeity müşterilerinizin kişisel verilerini yedekler dahil olmak üzere sizin adınıza işlediği sürece geçerlidir ve bu veriler aşağıdaki 'Silme veya İade' bölümüne uygun olarak silinene veya iade edilene kadar devam eder. Öncelik: Sizinle Zeity arasındaki diğer sözleşmelerde kişisel verilerin korunmasına ilişkin başka düzenlemeler bulunduğu ölçüde, taraflar açıkça aksini kararlaştırmadıkça bu Sözleşme önceliklidir.

4. Kişisel Veri Kategorileri ve İlgili Kişi Kategorileri

İşlenen kişisel veri kategorileri (standart Alman veri kategorisi taksonomisi kullanılarak): • Kişi ana verileri (Personenstammdaten) — müşteri adı • İletişim verileri (Kommunikationsdaten) — e-posta adresi ve sağlanmışsa telefon numarası • Müşteri geçmişi (Kundenhistorie) — rezervasyon ve randevu geçmişi ve bir müşteri hakkında kaydettiğiniz notlar • Sözleşme muhasebe ve ödeme verileri (Vertragsabrechnungs- und Zahlungsdaten) — çevrimiçi ödemeleri etkinleştirdiğinizde, ödeme sağlayıcımız (Stripe) aracılığıyla işlenen işlem ve ödeme durumu meta verileri; Zeity tam kart bilgilerini saklamaz İlgili kişi kategorileri (betroffene Personen): • Müşterileriniz (Kunden) — ve ilgili olduğunda potansiyel müşteriler (Interessenten) — rezervasyon sayfanız aracılığıyla randevu alan veya adına randevu oluşturulan kişiler. Özel nitelikli veri kategorileri (GDPR Madde 9) Hizmet tarafından bilhassa talep edilmez; ancak yukarıdaki kategoriler içinde tesadüfen ortaya çıkabilir — örneğin bir müşterinin serbest metin notlarında açıklanan sağlık bilgileri veya bir randevu türünün niteliğinden çıkarılan bilgiler. Bu tür veriler için sorumluluk paylaşımı için yukarıdaki 'Veri Sorumlusunun Yükümlülükleri' bölümüne bakın.

5. Belgelenmiş Talimatlar Doğrultusunda İşleme

Zeity, müşterilerinizin kişisel verilerini yalnızca belgelenmiş talimatlarınız doğrultusunda, GDPR'ın 28(3)(a) Maddesine uygun olarak işler; meğerki Zeity'nin tabi olduğu Birlik veya Üye Devlet hukuku aksini gerektirsin. Bu durumda Zeity, hukukun önemli bir kamu yararı gerekçesiyle bunu yasaklamadığı sürece, işleme öncesinde bu yasal gerekliliği size bildirir. İlk talimatlar bu Sözleşme, Hizmet Koşulları ve Hizmet'i yapılandırmanız ve kullanmanız yoluyla belirlenir. Sözlü talimatları en az metin biçiminde gecikmeksizin teyit edersiniz. Zeity, bir talimatın kendi görüşüne göre GDPR'a veya diğer geçerli veri koruma hukukuna aykırı olması halinde sizi gecikmeksizin bilgilendirir ve siz teyit edene veya değiştirene kadar bu talimatın uygulanmasını askıya alma hakkına sahiptir. Kişisel verilerin bir üçüncü ülkeye aktarımı yalnızca belgelenmiş talimatınız doğrultusunda veya yasal olarak gerekli olduğunda gerçekleşir. Bir üçüncü ülkenin yasal yükümlülüğü tek başına böyle bir aktarımı meşrulaştırmaz (GDPR Madde 48). Aşağıdaki 'Uluslararası Aktarımlar' bölümüne bakın.

6. Gizlilik

Zeity, kişisel verileri işlemeye yetkili kişilerin gizlilik yükümlülüğü altına girmesini (GDPR Madde 28(3)(b), 29 ve 32(4)) veya uygun bir yasal gizlilik yükümlülüğüne tabi olmasını ve kendileri için geçerli veri koruma hükümleriyle önceden tanışmış olmasını sağlar. Bu kişiler, yasal olarak aksi gerekmedikçe, kişisel verileri yalnızca sizin talimatlarınız doğrultusunda işler. Bu yükümlülük, söz konusu kişilerin işleme faaliyetindeki görevleri sona erdikten sonra da devam eder.

7. Teknik ve Organizasyonel Önlemler (Madde 32)

Teknolojinin durumunu, uygulama maliyetlerini, işlemenin niteliğini, kapsamını, bağlamını ve amaçlarını ve ayrıca ilgili kişilerin hak ve özgürlükleri açısından riski göz önünde bulundurarak Zeity, GDPR'ın 32. Maddesi uyarınca gerekli tüm teknik ve organizasyonel önlemleri uygular; ilgili olduğu ölçüde özellikle: • Kişisel verilerin takma adlaştırılması ve şifrelenmesi (aktarım sırasında HTTPS/TLS ile ve saklanan verilerin şifrelenmesi) • İşleme sistem ve hizmetlerinin sürekli gizliliğini, bütünlüğünü, kullanılabilirliğini ve dayanıklılığını sağlamaya yönelik önlemler • Fiziksel veya teknik bir olay durumunda kişisel verilerin kullanılabilirliğini ve bunlara erişimi zamanında geri yükleme yeteneği (kurtarılabilirlik, yedekler) • Teknik ve organizasyonel önlemlerin etkinliğinin düzenli olarak test edilmesi, değerlendirilmesi ve incelenmesine yönelik bir süreç • Kullanıcıların tanımlanması ve kimlik doğrulaması ile kişisel verilere erişimi yetkili kişilerle, gereklilik ilkesine göre sınırlayan erişim kontrolleri • Kişisel verilerin aktarım sırasında korunmasına yönelik önlemler • Kişisel verilerin saklanması sırasında korunmasına yönelik önlemler • Kişisel verilerin işlendiği yerlerin fiziksel güvenliği • Olay günlüğü tutma (örneğin kimlik doğrulamada ve veri girişi, değiştirme veya silmede) Bu önlemler teknik ilerlemeye ve gelişime tabidir; Zeity, kararlaştırılan güvenlik düzeyi düşürülmediği sürece alternatif, yeterli önlemler uygulayabilir ve önemli değişiklikler hakkında sizi gecikmeksizin bilgilendirir.

8. Alt Veri İşleyenler

Hizmet'in sağlanması için alt veri işleyenler (diğer veri işleyenler) görevlendirmesi için Zeity'ye genel yazılı yetki verirsiniz. Zeity şu anda aşağıdaki alt veri işleyenleri kullanmaktadır: • Supabase, Inc. — müşteri ve randevu verilerinizin veritabanı ve barındırılması — veri işleyen — AB'de (Stockholm) barındırılır; arızi destek erişimi Supabase'in Veri İşleme Sözleşmesi ve AB Standart Sözleşme Maddeleri kapsamındadır. • Resend (Plus Five Five, Inc.) — müşterilerinize işlemsel ve rezervasyon e-postaları — veri işleyen — Amerika Birleşik Devletleri; EU-US Data Privacy Framework (öncelikli), yedek güvence olarak AB Standart Sözleşme Maddeleri, Modül 2 (veri sorumlusundan veri işleyene) ile birlikte. • Stripe Payments Europe, Ltd. (İrlanda), Stripe, LLC (Amerika Birleşik Devletleri) ile birlikte — ödeme işleme — Stripe, talimat verdiğiniz ödeme işleme için veri işleyen olarak ve ayrıca kendi kara para aklamayı önleme, finansal suçla mücadele ve dolandırıcılığı önleme amaçları için bağımsız veri sorumlusu olarak hareket eder — EU-US Data Privacy Framework (öncelikli) kapsamında Amerika Birleşik Devletleri'ne aktarım, yedek güvence olarak AB Standart Sözleşme Maddeleri, Modül 1 ve 2 ile birlikte ve ek önlemlerle (aktarım sırasında ve beklemede şifreleme). • Vercel, Inc. (Amerika Birleşik Devletleri) — uygulama barındırma ve içerik dağıtımı — verileriniz için veri işleyen (ve kendi toplu hizmet ve kullanım verileri için veri sorumlusu) — hesaplama AB'de (Frankfurt) yürütülür, EU-US Data Privacy Framework (öncelikli) kapsamında Amerika Birleşik Devletleri'nde kalan işleme (küresel edge ağı, yedeklemeler) ile, yedek güvence olarak AB Standart Sözleşme Maddeleri, Modül 2 ile birlikte. • Better Stack (Better Stack s.r.o., Çek Cumhuriyeti) — üretim günlükleri (kişisel veri maskeleme ile) — veri işleyen — AB'de (Nürnberg) barındırılır; üçüncü ülke aktarımı yoktur. Zeity, her alt veri işleyene sözleşmeyle ve GDPR'ın 28(2)–(4). Maddeleri uyarınca bu Sözleşme'de belirtilenlere eşdeğer veri koruma yükümlülükleri getirir ve her alt veri işleyenin yükümlülüklerini yerine getirmesinden size karşı tümüyle sorumlu kalır. Zeity, her alt veri işleyenin teknik ve organizasyonel önlemlerini işleme başlamadan önce ve sonrasında düzenli aralıklarla denetler ve sonuçları talep üzerine size sunar. Zeity, bu Sözleşme kapsamındaki haklarınızı — özellikle denetim haklarınızı — doğrudan alt veri işleyenlere karşı da kullanabilmenizi sağlar. Zeity, bir alt veri işleyenin eklenmesi veya değiştirilmesi hakkında sizi en az 30 gün önceden metin biçiminde bilgilendirir ve müşterilerinizin verileri teslim edilmeden önce itiraz etme fırsatı tanır. Veriler aktarılmadan önce makul veri koruma gerekçeleriyle itiraz ederseniz, Hizmet'in etkilenen kısmını sonlandırabilirsiniz. Bir alt veri işleyenin daha ileri alt görevlendirme yapması Zeity'nin önceden onayını gerektirir; bu Sözleşme'deki tüm veri koruma yükümlülükleri zincir boyunca uygulanır. Güncel alt veri işleyen listesini istediğiniz zaman talep edebilirsiniz.

9. Kişisel Veri İhlali Bildirimi

Zeity, müşterilerinizin kişisel verilerini etkileyen bir kişisel veri ihlalinden haberdar olduktan sonra gereksiz gecikme olmaksızın sizi bilgilendirir; böylece GDPR'ın 33 ve 34. Maddeleri kapsamındaki kendi yükümlülüklerinizi yerine getirebilirsiniz. Bildirim, mevcut olduğu ölçüde ihlalin niteliğini, olası sonuçlarını ve gidermek için alınan veya önerilen önlemleri içerir. Zeity, olayı belgelendirir ve bu belgeleri sonraki önlemler için size sunar.

10. Veri Sorumlusuna Destek

İşlemenin niteliğini ve elindeki bilgileri göz önünde bulundurarak Zeity, mümkün olduğu ölçüde uygun teknik ve organizasyonel önlemlerle, ilgili kişilerin GDPR'ın III. Bölümü kapsamındaki haklarını (erişim, düzeltme, silme, kısıtlama ve taşınabilirlik gibi) kullanmaya yönelik taleplerine yanıt verme yükümlülüğünüzü yerine getirmenizde size yardımcı olur. Zeity bu talepleri kendisi yanıtlamaz, gecikmeksizin size iletir ve veriler üzerinde yalnızca belgelenmiş talimatınız doğrultusunda işlem yapar. Zeity ayrıca, GDPR'ın 32 ila 36. Maddeleri kapsamındaki yükümlülüklerinize — işleme güvenliği, denetim makamına ve ilgili kişilere kişisel veri ihlali bildirimi, veri koruma etki değerlendirmesi ve ön danışma — uyum sağlamanızda size yardımcı olur. Talep üzerine Zeity, denetim makamıyla işbirliği yapar (GDPR Madde 31) ve bu işlemeyle ilgili olduğu ölçüde bir denetim makamının herhangi bir teftişi veya önlemi hakkında sizi gecikmeksizin bilgilendirir.

11. Verilerin Silinmesi veya İadesi

İşlemenin sona ermesi üzerine ve sizin tercihinize göre Zeity, müşterilerinizin tüm kişisel verilerini siler veya iade eder ve mevcut kopyaları siler; meğerki Birlik veya Üye Devlet hukuku verilerin saklanmaya devam etmesini gerektirsin. Bilginiz olmadan kopya veya çoğaltma yapılmaz; uygun veri işlemeyi sağlamak için gerekli yedek kopyalar ile yasal saklama yükümlülüklerine (örneğin Alman vergi hukuku) uymak için saklanması gereken veriler bundan istisnadır. İade, veri dışa aktarma akışı aracılığıyla desteklenir (verilerinizi yapılandırılmış, makine tarafından okunabilir bir biçimde sağlar); silme, veri silme akışı aracılığıyla desteklenir. Silme kaydı (protokol) talep üzerine sunulur. Zeity, işlemenin usulüne uygun yapıldığını kanıtlamaya yarayan belgeleri saklayabilir.

12. Denetim ve Bilgi Hakları

Zeity ile koordinasyon içinde, normal çalışma saatleri içinde ve Zeity'nin faaliyetlerini orantısız biçimde aksatmadan, denetimler — genellikle makul bir süre önceden bildirilen örnekleme kontrolleri dahil — gerçekleştirme veya görevlendireceğiniz bir denetçiye gerçekleştirtme hakkına sahipsiniz. Zeity, GDPR'ın 28. Maddesine ve bu Sözleşme'ye uyumu göstermek için gerekli tüm bilgileri size sunar ve özellikle teknik ve organizasyonel önlemlerin uygulandığını kanıtlar. Teknik ve organizasyonel önlemlerin kanıtı, onaylanmış davranış kurallarına uyum (GDPR Madde 40), onaylanmış bir sertifikasyon mekanizması kapsamında sertifikasyon (GDPR Madde 42) veya bağımsız kuruluşların (örneğin denetçiler, iç denetim veya veri koruma denetçileri) güncel belgeleri ya da raporları aracılığıyla da sağlanabilir. Böyle bir kanıt, diğer denetim haklarınızı ortadan kaldırmaz. Güncel alt veri işleyen listesini istediğiniz zaman talep edebilirsiniz.

13. Uluslararası Aktarımlar

Bazı alt veri işleyenler, kişisel verileri Avrupa Ekonomik Alanı (AEA) dışında işler. İşlemenin AEA içinde gerçekleştiği durumlarda — veritabanımız (Stockholm), günlük kaydı (Nürnberg) ve uygulama hesaplaması (Frankfurt) — olağan işleme akışında üçüncü ülke aktarımı gerçekleşmez; bununla birlikte, AEA'da barındırılan alt veri işleyenler yine de zaman zaman AEA dışından arızi destek erişimi içerebilir; bu erişim AB Standart Sözleşme Maddeleri kapsamındadır. Kişisel verilerin Amerika Birleşik Devletleri'ne aktarıldığı durumlarda (Resend; Stripe; ve Vercel'in küresel edge ağı ve yedeklemeleri), aktarım öncelikle alıcının EU-US Data Privacy Framework (bir AB yeterlilik kararı) kapsamındaki sertifikasyonuna dayanır; AB Standart Sözleşme Maddeleri yedek bir güvence olarak dahil edilir ve şifreleme gibi ek teknik önlemlerle birlikte uygulanır. EU-US Data Privacy Framework yeterlilik kararı hâlihazırda yasal itiraza konu olduğundan, AB Standart Sözleşme Maddeleri yedek bir güvence olarak korunur; bu Amerika Birleşik Devletleri aktarımları için yetkili denetim makamı İrlanda Veri Koruma Komisyonu'dur (Irish Data Protection Commission) ve Stripe, Vercel ve Resend sözleşmelerinin SCC bölümleri İrlanda hukukuna tabidir. Örneğin, Vercel'in veri işleme sözleşmesinin tamamı ABD'nin Kaliforniya eyaleti hukukuna tabidir; yalnızca bu sözleşmeye dahil edilen SCC bölümü İrlanda hukukuna tabidir. Aktarım yalnızca belgelenmiş talimatınız üzerine veya yasaların gerektirdiği durumlarda gerçekleşir; bir üçüncü ülkenin yasal yükümlülüğü tek başına bir aktarımı meşrulaştırmaz (GDPR Madde 48). Zeity, bu aktarımları kapsayan bir aktarım etki değerlendirmesi tutar.

14. Sorumluluk

Her taraf, GDPR ve bu Sözleşme kapsamında kendisine düşen yükümlülüklere uyumundan sorumludur. Taraflar arasında sorumluluk, orada belirtilen sorumluluk sınırlamaları dahil olmak üzere Hizmet Koşulları'na göre paylaştırılır. Bu Sözleşme'deki veya Hizmet Koşulları'ndaki hiçbir hüküm, bir tarafın GDPR'ın 82. Maddesi kapsamında ilgili kişilere karşı sorumluluğunu veya geçerli hukuk uyarınca sınırlandırılamayacak ya da hariç tutulamayacak başka bir sorumluluğu sınırlandırmaz veya hariç tutmaz.

15. Bu Sözleşme'de Değişiklikler

Zeity, örneğin bir alt veri işleyen eklemek, yeni özellikleri yansıtmak veya yasal gereklilikleri karşılamak için bu Sözleşme'yi zaman zaman güncelleyebilir. Her sürüm bir 'Son Güncelleme' tarihi taşır ve o an geçerli olan sürümün belirlenebilmesi için kaydedilir. Bir değişiklik müşterilerinizin kişisel verilerine sağlanan korumayı önemli ölçüde azaltacaksa, yalnızca bildirime dayanmak yerine bu değişiklik için onayınızı isteriz. Diğer değişiklikler belirtilen tarihte yürürlüğe girer; bu tarihten sonra Hizmet'i kullanmaya devam etmeniz kabul anlamına gelir.

16. Geçerli Hukuk ve Dil

Bu Sözleşme, seçilen hukuktan bağımsız olarak uygulanan zorunlu veri koruma mevzuatına halel gelmeksizin, Almanya Federal Cumhuriyeti hukukuna tabidir. Bu Sözleşme Almanca, İngilizce ve Türkçe olarak sunulur. Almanca dil sürümü esas alınan sürümdür; diğer dillerdeki sürümler yalnızca kolaylık amaçlı çeviri olarak sağlanır ve ayrı bir hak veya yükümlülük doğurmaz. Dil sürümleri arasında bir tutarsızlık olması hâlinde Almanca sürüm geçerlidir.

17. İletişim

Bu Veri İşleme Sözleşmesi hakkında veya Zeity'nin sizin adınıza gerçekleştirdiği işlemeyle ilgili herhangi bir veri koruma konusunda sorularınız için iletişime geçin: Moon Regents Antoniusplatz 1 47805 Krefeld Almanya E-posta: info@zeity.me Telefon: +49 163 8635043 Tüm sorulara 30 gün içinde yanıt veririz.

Veri İşleme Sözleşmesi — Zeity