Plinyo

Veri İşleme Sözleşmesi (DPA)

Son Güncelleme: 2 Mart 2026Versiyon: 1.0.0

İşbu Veri İşleme Sözleşmesi ("DPA"), 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") hükümleri çerçevesinde, Veri Sorumlusu ile Veri İşleyen arasındaki kişisel veri işleme faaliyetlerine ilişkin hak ve yükümlülükleri düzenlemek amacıyla hazırlanmıştır.

1. Taraflar ve Tanımlar

1.1. Taraflar

  • Veri Sorumlusu (Data Controller): Plinyo platformuna abone olan ve kapalı çocuk oyun alanı işleten gerçek veya tüzel kişi. Veri Sorumlusu, oyun alanı müşterilerine (ebeveynler, çocuklar, ziyaretçiler) ait kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen taraftır.
  • Veri İşleyen (Data Processor): CONNECTING TURKEY DIŞ TİCARET ANONİM ŞİRKETİ — Veri Sorumlusunun talimatları doğrultusunda kişisel verileri işleyen taraftır.

1.2. Tanımlar

  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (KVKK madde 3/1-d).
  • Veri İşleme: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem (KVKK madde 3/1-e).
  • Alt Veri İşleyen (Sub-processor): Veri İşleyenin, Veri Sorumlusu adına gerçekleştirdiği kişisel veri işleme faaliyetlerinin bir kısmını yerine getirmek üzere yetkilendirdiği üçüncü taraf.
  • Veri Sahibi (İlgili Kişi): Kişisel verisi işlenen gerçek kişi — oyun alanı ziyaretçileri, ebeveynler ve çocuklar.

2. İşlemenin Konusu ve Kapsamı

Veri İşleyen, Veri Sorumlusunun Plinyo SaaS platformunu kullanması kapsamında aşağıdaki kişisel veri kategorilerini işlemektedir:

  • Ebeveyn / Veli Bilgileri: Ad, soyad, telefon numarası, e-posta adresi
  • Çocuk Bilgileri: Ad, soyad, doğum tarihi, yaş grubu
  • Ziyaret Kayıtları: Giriş-çıkış tarihi ve saati, ziyaret süresi, kullanılan hizmetler ve oyun grupları
  • Paket ve Üyelik Bilgileri: Satın alınan paket türü, kalan haklar, kullanım geçmişi
  • Satış Bilgileri: Kafe ve hizmet satışları, ödeme tutarları, ödeme yöntemi

Veri İşleyen, bu kişisel verileri yalnızca Plinyo SaaS hizmetinin sunulması amacıyla işler. Veriler, bu amaç dışında kullanılmaz, satılmaz veya üçüncü taraflarla Veri Sorumlusunun talimatı olmaksızın paylaşılmaz.

3. İşleme Talimatları

Veri İşleyen, kişisel verileri yalnızca Veri Sorumlusunun belgelenmiş (yazılı veya elektronik ortamda kayıt altına alınmış) talimatlarına uygun olarak işler. Bu talimatlar:

  • İşbu Veri İşleme Sözleşmesi,
  • Plinyo Hizmet Sözleşmesi (ana abonelik sözleşmesi),
  • Platform üzerinden Veri Sorumlusunun gerçekleştirdiği yapılandırma ve işlemler,
  • Veri Sorumlusunun yazılı olarak (e-posta dahil) ilettiği ek talimatlar

kapsamında verilmiş sayılır.

Veri İşleyen, bir talimatın KVKK veya diğer ilgili mevzuata aykırı olduğunu değerlendirdiği takdirde, Veri Sorumlusunu derhal bilgilendirir ve söz konusu talimatı, Veri Sorumlusunun yazılı teyidini alana kadar yerine getirmez.

4. Gizlilik Yükümlülüğü

Veri İşleyen, kişisel verilere erişimi olan tüm çalışanlarının ve yüklenicilerinin gizlilik yükümlülüğü altında olmasını sağlar. Bu kapsamda:

  • Kişisel verilere erişim yetkisi yalnızca görev gereği erişmesi gereken personel ile sınırlıdır.
  • Tüm çalışanlar, işe başlamadan önce gizlilik sözleşmesi imzalar.
  • Çalışanlara düzenli olarak kişisel verilerin korunması ve bilgi güvenliği eğitimleri verilir.
  • Gizlilik yükümlülüğü, iş ilişkisinin sona ermesinden sonra da devam eder.

5. Güvenlik Tedbirleri

Veri İşleyen, KVKK madde 12 uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ile verilerin muhafazasını sağlamak amacıyla aşağıdaki teknik ve organizasyonel tedbirleri alır:

5.1. Şifreleme

  • Aktarım sırasında şifreleme: Tüm veri iletişimi TLS 1.2 ve üzeri protokol ile şifrelenir.
  • Bekleme durumunda şifreleme: Veritabanında saklanan kişisel veriler AES-256 standardında şifrelenir.

5.2. Erişim Kontrolü

  • Rol bazlı erişim yetkilendirmesi (RBAC)
  • Çok faktörlü kimlik doğrulama (MFA) zorunluluğu
  • En az yetki ilkesi (principle of least privilege)
  • Oturum yönetimi ve otomatik zaman aşımı mekanizmaları

5.3. İzleme ve Kayıt

  • Tüm erişim ve işlem loglarının tutulması
  • Anormal aktivite tespiti ve uyarı sistemleri
  • Düzenli güvenlik denetimleri ve log incelemeleri

5.4. Yedekleme

  • Otomatik ve düzenli veri yedeklemeleri
  • Yedeklerin şifreli olarak ayrı lokasyonda saklanması
  • Felaket kurtarma planı ve düzenli test senaryoları

5.5. Zafiyet Yönetimi

  • Düzenli güvenlik taramaları ve zafiyet değerlendirmeleri
  • Bağımlılık güncellemelerinin sürekli takibi
  • Güvenlik yamalarının zamanında uygulanması

6. Alt Veri İşleyenler (Sub-processors)

Veri İşleyen, hizmetin sunulabilmesi için aşağıdaki alt veri işleyenlerle çalışmaktadır. Alt veri işleyenlerle yapılan sözleşmelerde, işbu DPA'da belirtilen veri koruma yükümlülüklerine eşdeğer taahhütler yer almaktadır.

6.1. Barındırma ve CDN

  • Vercel Inc. — Uygulama barındırma ve içerik dağıtım ağı (CDN) hizmeti
  • Supabase Inc. — Veritabanı barındırma ve kimlik doğrulama hizmeti

6.2. E-posta Hizmeti

  • Resend Inc. — İşlemsel ve bilgilendirme amaçlı e-posta gönderim hizmeti

6.3. Ödeme Hizmeti

  • iyzico (Iyzico Ödeme Hizmetleri A.Ş.) — Ödeme altyapısı (PCI DSS uyumlu)

Veri İşleyen, alt veri işleyen listesinde değişiklik yapması durumunda, Veri Sorumlusunu yeni alt veri işleyenin devreye alınmasından en az 30 (otuz) gün önce yazılı olarak (e-posta dahil) bilgilendirir. Veri Sorumlusu, bildirimden itibaren 15 (on beş) gün içinde yazılı olarak itiraz etme hakkına sahiptir. İtiraz halinde taraflar, makul bir çözüm bulmak için iyi niyetle müzakere eder. Çözüm bulunamadığı takdirde Veri Sorumlusu, aboneliğini sona erdirme hakkını saklı tutar.

7. Veri Sahibi Hakları

Veri İşleyen, Veri Sorumlusunun KVKK madde 11 kapsamındaki veri sahibi başvurularını yanıtlama yükümlülüğünü yerine getirmesine yardımcı olur. Bu kapsamda:

  • Veri sahibi taleplerinin doğrudan Veri İşleyene iletilmesi halinde, talep derhal Veri Sorumlusuna yönlendirilir.
  • Veri İşleyen, Veri Sorumlusunun talebi üzerine ilgili kişisel verilerin erişilmesi, düzeltilmesi, silinmesi veya aktarılması işlemlerini teknik olarak destekler.
  • Platform, Veri Sorumlusunun müşteri verilerine erişim, dışa aktarma ve silme işlemlerini gerçekleştirebileceği yönetim araçları sunar.
  • Veri İşleyen, veri sahibi taleplerinin karşılanması için makul çaba gösterir ve en geç 10 (on) iş günü içinde gerekli teknik desteği sağlar.

8. Veri İhlali Bildirimi

Veri İşleyen, kişisel verilere ilişkin bir güvenlik ihlali tespit ettiğinde veya böyle bir ihlalden haberdar olduğunda:

  1. Veri Sorumlusunu ihlali öğrendiği andan itibaren en geç 72 (yetmiş iki) saat içinde yazılı olarak (e-posta dahil) bilgilendirir.
  2. Bildirimde aşağıdaki bilgileri sağlar:
    • İhlalin niteliği ve kapsamı
    • Etkilenen kişisel veri kategorileri ve tahmini kayıt sayısı
    • İhlalin muhtemel sonuçları
    • İhlalin giderilmesi için alınan ve alınması önerilen tedbirler
    • İrtibat noktası bilgileri
  3. İhlalin araştırılması ve etkilerinin en aza indirilmesi sürecinde Veri Sorumlusu ile tam iş birliği içinde hareket eder.
  4. Veri Sorumlusunun KVKK madde 12/5 kapsamında KVK Kurulu'na ve ilgili kişilere yapması gereken bildirimlere yardımcı olur.

Tüm güvenlik ihlali vakaları, alınan önlemler ve sonuçlarıyla birlikte kayıt altına alınır.

9. Veri İadesi ve İmhası

İşbu Sözleşmenin veya ana hizmet sözleşmesinin herhangi bir nedenle sona ermesi halinde:

  1. Veri Sorumlusuna ait kişisel veriler, sona erme tarihinden itibaren 30 (otuz) gün boyunca Platform üzerinden dışa aktarılabilir (veri taşınabilirliği) durumda tutulur. Veriler, yaygın kullanılan ve makine tarafından okunabilir bir formatta (CSV, JSON) sunulur.
  2. 30 günlük sürenin sona ermesinin ardından, Veri Sorumlusuna ait tüm kişisel veriler — yedekler dahil — kalıcı olarak silinir ve imha edilir.
  3. İmha işlemi, KVKK ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak gerçekleştirilir.
  4. Veri Sorumlusunun talebi halinde, imha işlemine ilişkin yazılı teyit sağlanır.

Yasal saklama yükümlülükleri (vergi mevzuatı, 5651 sayılı Kanun vb.) kapsamında saklanması gereken veriler, ilgili mevzuatın öngördüğü süre sonuna kadar yalnızca bu amaçla muhafaza edilir ve süre sonunda silinir.

10. Denetim Hakkı

Veri Sorumlusu, Veri İşleyenin işbu Sözleşme kapsamındaki yükümlülüklerine uygunluğunu denetleme hakkına sahiptir. Denetim sürecine ilişkin esaslar:

  • Veri Sorumlusu, denetim talebini en az 30 (otuz) gün önceden yazılı olarak bildirir.
  • Denetimler, normal iş saatleri içinde ve Veri İşleyenin operasyonlarını aksatmayacak şekilde gerçekleştirilir.
  • Veri Sorumlusu, denetimi bizzat veya bağımsız bir üçüncü taraf denetçi aracılığıyla gerçekleştirebilir. Üçüncü taraf denetçilerin gizlilik sözleşmesi imzalaması zorunludur.
  • Veri İşleyen, denetim sürecinde makul ölçüde iş birliği yapar ve ilgili kayıt, belge ve sistemlere erişim sağlar.
  • Denetim maliyetleri, aksi kararlaştırılmadıkça Veri Sorumlusuna aittir.
  • Veri İşleyen, bağımsız güvenlik denetimleri veya sertifikasyon raporları mevcut ise bunları Veri Sorumlusu ile paylaşabilir; bu raporlar, yerinde denetim yerine kabul edilebilir.

11. Sorumluluk

Her bir taraf, KVKK ve ilgili mevzuat kapsamındaki kendi yükümlülüklerinin ihlalinden doğan zararlardan sorumludur.

  • Veri Sorumlusu: Kişisel verilerin hukuka uygun olarak toplanması, işleme amaçlarının belirlenmesi, veri sahiplerinin bilgilendirilmesi ve gerekli açık rızaların alınmasından sorumludur.
  • Veri İşleyen: Kişisel verilerin Veri Sorumlusunun belgelenmiş talimatlarına uygun olarak işlenmesi, güvenlik tedbirlerinin alınması ve işbu Sözleşme kapsamındaki yükümlülüklerin yerine getirilmesinden sorumludur.

Taraflardan birinin KVKK ihlali nedeniyle üçüncü kişilere tazminat ödemesi halinde, ihlale kusurlu olan taraf, diğer tarafa rücu hakkına sahiptir. Veri İşleyenin işbu Sözleşme kapsamındaki toplam sorumluluğu, zarara yol açan olaydan önceki son 12 (on iki) ay içinde Veri Sorumlusunun ödediği toplam hizmet bedelini aşamaz.

12. Süre ve Fesih

İşbu Veri İşleme Sözleşmesi, Veri Sorumlusunun Plinyo platformuna abone olduğu tarihte yürürlüğe girer ve ana hizmet sözleşmesinin (Mesafeli Hizmet Sözleşmesi) sona ermesiyle birlikte kendiliğinden sona erer.

Ana hizmet sözleşmesinin herhangi bir nedenle feshedilmesi veya sona ermesi halinde, işbu DPA'nın veri iadesi ve imhası (madde 9), gizlilik yükümlülüğü (madde 4) ve sorumluluk (madde 11) hükümleri, niteliği gereği sona erme sonrasında da geçerliliğini korur.

13. Uygulanacak Hukuk

İşbu Veri İşleme Sözleşmesi, Türkiye Cumhuriyeti hukukuna tabidir ve Türkiye Cumhuriyeti kanunlarına göre yorumlanır. İşbu Sözleşmeden doğabilecek uyuşmazlıklarda İstanbul Mahkemeleri ve İcra Daireleri yetkilidir.

İşbu Veri İşleme Sözleşmesi 13 (on üç) maddeden ibaret olup, Veri Sorumlusunun Plinyo platformuna abonelik kaydı sırasında elektronik ortamda onaylanmasıyla yürürlüğe girer.

CONNECTING TURKEY DIŞ TİCARET ANONİM ŞİRKETİ

Kavaklı Mah. İbrahim Müteferrika Cad. No: 7/1 İç Kapı No: 2 Beylikdüzü / İstanbul, İstanbul

E-posta: hello@plinyo.com | Web: https://plinyo.com

MERSİS No:

Bu belge, yazdırılabilir ve arşivlenebilir formattadır.