Veri İşleme Sözleşmesi
Son güncelleme: Şubat 2026
1. Taraflar
Bu Veri İşleme Sözleşmesi ("VİS"), işletme sahibi ("Veri Sorumlusu") ile Zommo ("Veri İşleyen") arasında akdedilmektedir. Veri Sorumlusu, kişisel verilerin işlenme amaç ve yöntemlerini belirler. Veri İşleyen, kişisel verileri yalnızca Zommo rezervasyon hizmetlerini sunmak amacıyla Veri Sorumlusu adına işler.
2. Konu ve Amaç
Veri İşleyen, Zommo'nun rezervasyon flow'u hizmetlerini sunmak amacıyla Veri Sorumlusu adına kişisel verileri işler. Bu kapsama; rezervasyon bilgilerinin saklanması, düzenlenmesi ve gösterilmesi, müşteri randevularının yönetilmesi ve Veri Sorumlusu ile müşterileri arasındaki iletişimin kolaylaştırılması dahildir.
3. İşleme Süresi
Veri İşleyen, kişisel verileri Veri Sorumlusu ile Zommo arasındaki hizmet sözleşmesinin geçerli olduğu süre boyunca işler. İşleme, sözleşmenin sona ermesiyle birlikte durdurulur; veri iade ve silme hükümleri Madde 10'da düzenlenmiştir.
4. Veri Kategorileri
İşlenen kişisel veriler şunlardır: müşteri adları, e-posta adresleri, telefon numaraları, rezervasyon tarihleri ve saatleri, hizmet tercihleri, rezervasyon notları ve ödeme referansları. İşletme sahipleri için ek olarak işletme adı, iletişim bilgileri ve hesap kimlik bilgileri de işlenir.
5. İşleme Faaliyetleri
İşleme faaliyetleri şunlardır: rezervasyon verilerinin toplanması ve saklanması, randevu kayıtlarının düzenlenmesi ve yapılandırılması, rezervasyon bilgilerinin panelde alınması ve gösterilmesi, rezervasyon onayı ve hatırlatmalarının iletilmesi ve anonimleştirilmiş analitik raporların oluşturulması.
6. Alt İşleyenler
Veri İşleyen aşağıdaki alt işleyenlerle çalışmaktadır: veri depolama ve uygulama barındırma için altyapı sağlayıcısı; güvenli ödeme işleme için PCI-DSS uyumlu Stripe; ve işlemsel bildirimler için e-posta hizmet sağlayıcısı. Alt işleyenlerdeki herhangi bir değişiklik, Veri Sorumlusuna 30 gün önceden bildirilecektir.
7. Güvenlik Önlemleri
Veri İşleyen aşağıdaki teknik ve organizasyonel önlemleri uygular: aktarım sırasında (TLS 1.2+) ve durağan hâlde veri şifreleme, rol tabanlı erişim denetimleri, düzenli güvenlik denetimleri ve güvenlik açığı değerlendirmeleri, güvenli yazılım geliştirme pratikleri, otomatik yedekleme prosedürleri ve olay müdahale protokolleri.
8. Veri Sahibi Hakları
Veri İşleyen, GDPR Madde 15-22 kapsamındaki veri sahibi taleplerine (erişim, düzeltme, silme, kısıtlama, taşınabilirlik ve itiraz hakları dahil) yanıt verilmesinde Veri Sorumlusuna destek olur. Bu tür talepler 72 saat içinde yanıtlanır; Veri Sorumlusuna panel üzerinden veri sahibi haklarını yönetmesi için gerekli araçlar sağlanır.
9. Veri İhlali Bildirimi
Kişisel veri ihlali yaşanması durumunda Veri İşleyen, ihlalden haberdar olmasından itibaren en geç 72 saat içinde Veri Sorumlusunu gecikmeksizin bilgilendirir. Bildirim; ihlalin niteliğini, etkilenen veri kategorilerini, ilgili veri sahibi sayısının yaklaşık olarak tahminini ve ihlali gidermek için alınan veya önerilen tedbirleri kapsar.
10. Veri İadesi ve Silme
Hizmet sözleşmesinin sona ermesinin ardından Veri İşleyen, Veri Sorumlusunun tercihine göre tüm kişisel verileri standart makine tarafından okunabilir formatta iade eder ya da 30 gün içinde güvenli biçimde siler. Veri Sorumlusu, verilerini istediği zaman panel üzerinden dışa aktarabilir. Silme işlemi tamamlandığında yazılı olarak teyit edilir. dpa@zommo.app.