Veri İşleme Ek Sözleşmesi (DPA) Özeti
Son güncelleme: 2 Temmuz 2026
Bu özet, kurumsal müşterilerimize CarbonTrex platformundaki tenant (kiracı) verilerine ilişkin işleme modelimizi açıklar. Kurumsal müşteri verilerinin işlenmesi, hizmet sözleşmesinin ayrılmaz parçası olan Veri İşleme Ek Sözleşmesi'ne (DPA) tabidir. DPA, işleme başlamadan önce elektronik kabul, ana sözleşme veya yazılı ek yoluyla taraflar için bağlayıcı hâle gelir.
1. Taraflar ve Rol Dağılımı
Kurumsal müşteri, platforma yüklediği kendi tenant verileri bakımından veri sorumlusudur. CarbonTrex'i işleten Opsida Teknoloji Yazılım Bilgisayar ve Danışmanlık Ltd. Şti., bu verileri yalnızca müşteri adına ve müşterinin talimatları doğrultusunda işleyen veri işleyen sıfatını taşır.
2. İşlemenin Konusu ve Süresi
İşleme, hizmet sözleşmesi süresince, sözleşmede tanımlanan hizmetlerin (emisyon hesaplama, raporlama, arşivleme) sunulması amacıyla sınırlıdır. Sözleşmenin sona ermesiyle işleme sona erer.
DPA; işleme konusu/süresi, niteliği/amacı, kişisel veri türleri, ilgili kişi kategorileri, müşterinin hak ve yükümlülükleri, gizlilik taahhüdü, teknik/idari tedbirler, alt işleyenlere genel yazılı izin ve itiraz mekanizması, veri sahibi taleplerine ve GDPR/KVKK güvenlik yükümlülüklerine yardım, denetim/bilgi sağlama, hukuka aykırı talimat bildirimi ve sözleşme sonunda silme/iade hükümlerini içerir.
3. İşleme Talimatları
Veri işleyen, tenant verilerini yalnızca müşterinin belgelenmiş talimatları ve hizmetin gereği doğrultusunda işler; verileri kendi amaçları için kullanmaz veya üçüncü taraflara satmaz.
4. Alt İşleyenler
- Supabase — barındırma ve veritabanı (altyapı: AWS, eu-central-1 / AB)
- Vercel — uygulama barındırma
Yeni bir alt işleyenin eklenmesi hâlinde müşteri makul süre önceden bilgilendirilir.
5. Güvenlik Tedbirleri
- Aktarımda ve saklamada şifreleme (TLS / at-rest)
- Kiracı bazlı erişim izolasyonu (Row Level Security)
- Rol tabanlı yetkilendirme ve erişim kayıtları
- Düzenli yedekleme
6. Yurt Dışına Aktarım
Veriler Avrupa Birliği (Frankfurt) bölgesinde barındırılır. KVKK bakımından Türkiye'den AB'deki altyapı sağlayıcılarına düzenli aktarım, yeterlilik kararı bulunmadıkça KVKK standart sözleşmeleri veya diğer uygun güvencelerle yapılır. GDPR uygulanıyorsa, EEA'dan Türkiye'ye veya başka üçüncü ülkelere aktarım doğması hâlinde AB Standart Sözleşme Maddeleri ve gerekli aktarım etki değerlendirmeleri uygulanır.
7. Veri İhlali Bildirimi
Veri işleyen, kişisel veri ihlali tespit ettiğinde gecikmeksizin müşteriyi bilgilendirir ve ihlalin etkilerinin azaltılması için makul desteği sağlar.
8. Sözleşme Sonunda Silme / İade
Sözleşmenin sona ermesinin ardından tenant verileri, müşterinin tercihine göre iade edilir ya da yasal saklama yükümlülükleri saklı kalmak üzere silinir veya anonim hâle getirilir.
9. İletişim
Bağlayıcı DPA talebi ve sorularınız için info@carbontrex.com adresine yazabilirsiniz.