YENİ
Tarım ve ormana yönelik düzenlemeleri de içeren kanun teklifi TBMM Genel Kurulunda kabul edildi
CBAM / SKDM

AB'deki müşterinizin Sınırda Karbon Düzenleme Mekanizması kapsamında talep ettiği karbon ayak izi raporu için bize ulaşın.

İletişime Geçin

Karbonsa Platform — Veri İşleme Sözleşmesi (DPA)

Yürürlük Tarihi: 22 Mayıs 2026

1. Konu ve Taraflar

İşbu Veri İşleme Sözleşmesi ("DPA"), KARBONSA DANIŞMANLIK MÜHENDİSLİK SANAYİ VE TİCARET LİMİTED ŞİRKETİ ("Karbonsa") ile Platform'a kayıt olan kurumsal üye ("Üye") arasındaki Üyelik Sözleşmesi'nin ayrılmaz bir ekidir.

DPA'nın konusu; Üye'nin Platform'u kullanımı sırasında, Üye veya Kullanıcıları tarafından Platform'a girilen veya yüklenen içeriklerde yer alabilecek üçüncü kişilere ait kişisel verilerin Karbonsa tarafından Üye adına işlenmesine ilişkin tarafların hak ve yükümlülüklerinin belirlenmesidir.

İşbu DPA, Üye tarafından Üyelik Sözleşmesi'nin onaylanmasıyla birlikte yürürlüğe girer.

2. Tanımlar

İşbu DPA'da geçen ve burada tanımlanmayan terimler, Üyelik Sözleşmesi'ndeki anlamlarını taşır.

  • Kişisel Veri, İlgili Kişi, Veri Sorumlusu, Veri İşleyen, İşleme: 6698 sayılı KVKK'daki anlamlarını taşır.
  • Üye İçeriği: Üye veya Kullanıcılar tarafından Platform'a girilen, yüklenen veya Platform üzerinde oluşturulan her türlü veri ve belge.
  • İlgili Kişi Verisi: Üye İçeriği içinde yer alan, üçüncü kişilere ait kişisel veriler.

3. Tarafların Rolleri

3.1. İlgili Kişi Verisi bakımından Üye veri sorumlusu, Karbonsa ise veri işleyen sıfatıyla hareket eder.

3.2. Karbonsa, İlgili Kişi Verisi'ni yalnızca Üye'nin talimatları doğrultusunda ve Platform hizmetinin sunulması amacıyla işler; kendi amaçları için kullanmaz.

3.3. Üye'nin Platform'u kullanması ve İlgili Kişi Verisi'ni Platform'a girmesi, işbu DPA kapsamında verilmiş bir işleme talimatı sayılır. Üye, ek talimatlarını yazılı olarak iletebilir; Karbonsa'nın bu talimatları yerine getirmesi, teknik olarak mümkün olması ve makul olması koşuluna bağlıdır.

3.4. Karbonsa'nın hesap, kimlik ve kullanım verileri bakımından veri sorumlusu sıfatı saklıdır; bu veriler işbu DPA'nın değil, Aydınlatma Metni ve Gizlilik Politikası'nın kapsamındadır.

4. İşlemenin Niteliği, Amacı, Süresi ve Kapsamı

4.1. İşlemenin konusu ve amacı: Platform'un kurumsal karbon ayak izi ve ESG yönetimi hizmetinin Üye'ye sunulması.

4.2. İşleme faaliyetleri: İlgili Kişi Verisi'nin saklanması, barındırılması, görüntülenmesi, yedeklenmesi, hesaplama ve raporlamaya tabi tutulması ve Üye'nin tercihi hâlinde yapay zekâ destekli analizi.

4.3. İşlemenin süresi: Üyelik Sözleşmesi'nin yürürlükte kaldığı süre boyunca; sona ermesi hâlinde 13. madde uygulanır.

4.4. İlgili kişi grupları: Üye'nin belirlediği kapsamda; tipik olarak Üye'nin yüklediği belgelerde adı geçen tedarikçi, müşteri veya çalışan temsilcileri gibi gerçek kişiler.

4.5. Veri kategorileri: Üye İçeriği'nin niteliğine göre değişir; tipik olarak kimlik ve iletişim bilgileri (ör. fatura veya belgelerde yer alan ad, ünvan, iletişim bilgisi). Karbonsa, Platform'un hesap verileri dışında özel nitelikli kişisel veri işlenmesini öngörmez; Üye, Platform'a özel nitelikli kişisel veri yüklememekle yükümlüdür.

5. Karbonsa'nın (Veri İşleyen) Yükümlülükleri

5.1. Talimata bağlılık: İlgili Kişi Verisi'ni yalnızca işbu DPA ve Üye'nin talimatları doğrultusunda işler. Bir talimatın mevzuata aykırı olduğunu değerlendirmesi hâlinde durumu Üye'ye bildirir.

5.2. Gizlilik: İlgili Kişi Verisi'ne erişimi olan personelin ve yetkililerin gizlilik yükümlülüğü altında olmasını sağlar; erişimi görevle sınırlı tutar.

5.3. Veri güvenliği: KVKK md. 12 kapsamında, 9. maddede belirtilen teknik ve idari tedbirleri uygular.

5.4. Alt işleyiciler: 7. maddeye uygun olarak alt hizmet sağlayıcı kullanabilir.

5.5. İlgili kişi talepleri: İlgili kişilerin haklarını kullanmasına yönelik taleplerin karşılanmasında 11. madde uyarınca Üye'ye makul desteği sağlar.

5.6. İhlal bildirimi: İlgili Kişi Verisi'ni etkileyen bir veri ihlalinden haberdar olması hâlinde 10. madde uyarınca Üye'yi bilgilendirir.

5.7. Hesap verebilirlik: İşbu DPA kapsamındaki yükümlülüklere uyduğunu ortaya koymak için gerekli bilgileri 12. madde uyarınca Üye'ye sağlar.

5.8. Veri minimizasyonu: Karbonsa, İlgili Kişi Verisi'ni Üye'nin yüklediği kapsamla sınırlı olarak işler; içeriği bağımsız olarak zenginleştirmez veya başka kaynaklarla birleştirmez.

6. Üye'nin (Veri Sorumlusu) Yükümlülükleri

6.1. Üye, İlgili Kişi Verisi'nin toplanması ve Platform'a girilmesi dâhil işlenmesinin hukuka uygun olmasından münhasıran sorumludur.

6.2. Üye, İlgili Kişi Verisi'nin işlenmesi için geçerli bir hukuki sebebe sahip olduğunu; ilgili kişilere yönelik aydınlatma yükümlülüğünü ve gerekli hâllerde açık rıza dâhil tüm KVKK yükümlülüklerini yerine getirdiğini taahhüt eder.

6.3. Üye, Karbonsa'ya verdiği talimatların hukuka uygun olmasını sağlar.

6.4. Üye, Platform'a özel nitelikli kişisel veri veya hizmetin amacı için gerekli olmayan kişisel veri yüklememekle yükümlüdür.

6.5. Üye, kendi Kullanıcılarının işbu DPA'ya uygun hareket etmesinden sorumludur.

7. Alt Hizmet Sağlayıcılar

7.1. Üye, Karbonsa'nın Platform hizmetinin sunulması için alt hizmet sağlayıcı (alt veri işleyen) kullanmasına genel olarak yetki verir.

7.2. Karbonsa'nın yararlandığı güncel alt hizmet sağlayıcılar, bunların sundukları hizmet ve bulundukları ülkeler Alt Hizmet Sağlayıcılar Listesi'nde yayımlanır.

7.3. Karbonsa, alt hizmet sağlayıcılarla işbu DPA'dakine esasen denk veri koruma yükümlülüklerini içeren sözleşmeler akdeder ve alt hizmet sağlayıcının fiillerinden Üye'ye karşı sorumludur.

7.4. Karbonsa, yeni bir alt hizmet sağlayıcı eklenmesi veya mevcut birinin değiştirilmesi hâlinde, listeyi güncelleyerek Üye'yi makul bir süre önce bilgilendirir. Üye, veri koruması bakımından makul ve haklı bir gerekçeyle değişikliğe itiraz edebilir; tarafların çözüme ulaşamaması hâlinde Üye, Üyelik Sözleşmesi'ni feshetme hakkına sahiptir.

8. Yurt Dışı Aktarım

İlgili Kişi Verisi, Platform'un teknik altyapısının yurt dışında yerleşik sağlayıcılar aracılığıyla sunulması nedeniyle yurt dışına aktarılabilir. Karbonsa, bu aktarımların KVKK md. 9'a uygun olarak; varsa yeterlilik kararına, aksi hâlde uygun güvencelere (özellikle Kurul'un standart sözleşmelerine) veya md. 9/6'daki istisnalara dayanılarak gerçekleştirilmesini sağlar. Üye, kendi veri sorumlusu sıfatıyla bu aktarıma ilişkin kendi yükümlülüklerini yerine getirir.

9. Teknik ve İdari Tedbirler

Karbonsa, İlgili Kişi Verisi'nin güvenliği için Gizlilik Politikası'nın 8. maddesinde sayılan tedbirleri uygular. Bunlar arasında özellikle; multi-tenant veri izolasyonu, şifreli iletişim (HTTPS/TLS), rol bazlı erişim yetkilendirmesi, yüklenen belgelerin erişime kapalı depolama alanında tutulması, hız sınırlama ve dosya doğrulama kontrolleri, hata izleme ve düzenli yedekleme yer alır. Uygulanan tedbirlerin ayrıntısı, ayrıca düzenlenecek Teknik ve Organizasyon Güvenlik Önlemleri belgesinde açıklanır.

10. Veri İhlali Bildirimi

10.1. Karbonsa, İlgili Kişi Verisi'nin hukuka aykırı olarak ele geçirilmesi, ifşası, değiştirilmesi veya erişilemez hâle gelmesiyle sonuçlanan bir ihlalden haberdar olduğunda, durumu gecikmeksizin ve makul süre içinde Üye'ye bildirir.

10.2. Bildirim; ihlalin niteliği, etkilenen veri ve ilgili kişi grupları, olası sonuçları ve alınan/önerilen önlemler hakkında, o an mevcut olan bilgileri içerir.

10.3. Veri sorumlusu sıfatıyla Kişisel Verileri Koruma Kurulu'na ve ilgili kişilere bildirim yükümlülüğü Üye'ye aittir. Karbonsa, bu bildirimlerin yapılabilmesi için Üye'ye makul desteği sağlar.

11. İlgili Kişi Talepleri

11.1. Bir ilgili kişinin, İlgili Kişi Verisi'ne yönelik olarak doğrudan Karbonsa'ya başvurması hâlinde Karbonsa, talebi makul süre içinde Üye'ye yönlendirir ve kural olarak doğrudan yanıt vermez.

11.2. Karbonsa, Üye'nin ilgili kişi taleplerini (bilgi verme, düzeltme, silme vb.) karşılayabilmesi için Platform'un sunduğu işlevler ve makul teknik destek aracılığıyla Üye'ye yardımcı olur.

12. Denetim ve Bilgi Sağlama

12.1. Karbonsa, işbu DPA'ya uygunluğunu ortaya koymak için gerekli bilgileri, Üye'nin makul yazılı talebi üzerine sağlar.

12.2. Üye, denetim hakkını öncelikle Karbonsa tarafından sağlanan bilgi, belge ve varsa bağımsız denetim raporları üzerinden kullanır. Bunların yetersiz kaldığı istisnai hâllerde; önceden makul bildirim yapılması, mesai saatleri içinde gerçekleştirilmesi, Platform'un işleyişini ve diğer üyelerin verilerinin gizliliğini bozmaması koşuluyla yerinde denetim yapılabilir.

13. Sözleşmenin Sona Ermesi ve Verilerin Akıbeti

13.1. Üyelik Sözleşmesi'nin sona ermesi hâlinde Karbonsa, İlgili Kişi Verisi'ni içeren Üye İçeriği'ni Üyelik Sözleşmesi md. 18'e uygun olarak ele alır: sona ermeden itibaren otuz (30) günlük dışa aktarma penceresinin ardından, mevzuat gereği saklanması zorunlu olanlar hariç, aktif sistemlerden siler veya geri döndürülemez şekilde anonim hâle getirir.

13.2. Mevzuat gereği saklanması zorunlu olan veriler, ilgili saklama süresi boyunca ve yalnızca bu amaçla tutulur.

14. Sorumluluk

İşbu DPA kapsamındaki sorumluluk, Üyelik Sözleşmesi'nin 14. maddesindeki sorumluluk hükümlerine tabidir. KVKK gereği sınırlandırılamayacak sorumluluk hâlleri saklıdır.

15. Çeşitli Hükümler

15.1. İşbu DPA ile Üyelik Sözleşmesi arasında, kişisel verilerin işlenmesine ilişkin bir çelişki bulunması hâlinde işbu DPA hükümleri öncelikle uygulanır.

15.2. İşbu DPA, Üyelik Sözleşmesi'nin tabi olduğu hukuka ve yetkili mahkemeye tabidir.

15.3. Karbonsa, mevzuat değişiklikleri veya Platform'un evrimi nedeniyle işbu DPA'yı güncelleyebilir; esaslı değişiklikler Üyelik Sözleşmesi md. 16'ya uygun olarak duyurulur.

← Tüm Yasal Belgeler