Veri İşleme
1. Konu ve süre
Veri işleyen (Simon Kappelmeir – Dienstleistung, Weiherbachweg 6, 82216 Maisach, Almanya, support@horticum.com), veri sorumlusuna „Horticum" yazılımını SaaS uygulaması olarak sağlar ve kişisel verileri yalnızca veri sorumlusu adına KVKG/GDPR Madde 28 uyarınca işler. Bu Veri İşleme Sözleşmesi (DPA), ana sözleşmenin (uygulama kullanım sözleşmesi) imzalanmasıyla yürürlüğe girer ve onunla otomatik olarak sona erer. İşleme yalnızca AB/AEA içinde veya yeterlilik kararı kapsamındaki ya da Standart Sözleşme Şartları (SCC) ile korunan üçüncü ülkelerde gerçekleşir.
2. İşlemenin niteliği ve amacı
İşlemenin amacı uygulama işlevlerinin sağlanmasıdır, özellikle: • Tava planlaması, kültür planlaması, görev ve günlük plan yönetimi • Çalışanların mesai ve devamsızlık takibi • Bitki koruma ve gübreleme dokümantasyonu • İlk yardım defteri (DGUV uyarınca) • İletişim yönetimi (müşteriler, tedarikçiler, irtibat kişileri) • Etiket ve liste yazdırma (Pro+ aboneliği) • Cihazlar arası senkronizasyon • Hesap ve abonelik yönetimi
3. Kişisel veri türleri
• Ana ve iletişim verileri (ad, adres, telefon, e-posta) • Giriş/hesap verileri (e-posta, parola özeti, oturum belirteci, IP adresleri) • Şirket ana verileri (vergi numarası, KDV numarası, IBAN/BIC) • Operasyonel planlama ve kontrol verileri • Mesai ve devamsızlık verileri • GDPR Madde 9 kapsamındaki özel kategoriler: dijital ilk yardım defterindeki çalışan sağlık verileri (DGUV Kural 1'e göre 5 yıl yasal saklama süresi) • Bitki koruma uygulama verileri (yeterlilik, uygulayıcı adları — § 11 PflSchG uyarınca, 3 yıl) • Gübreleme verileri (DüV uyarınca)
4. Veri sahibi kategorileri
• Veri sorumlusunun sahibi veya yönetimi • Veri sorumlusunun çalışanları ve stajyerleri • Veri sorumlusunun müşterileri, tedarikçileri ve irtibat kişileri • Veri sorumlusunun son müşterileri (iletişim yönetiminde kayıtlıysa)
5. Veri işleyenin yükümlülükleri
Veri işleyen, kişisel verileri yalnızca bu sözleşme çerçevesinde ve veri sorumlusunun belgelenmiş talimatları doğrultusunda işlemeyi taahhüt eder (GDPR Madde 28(3)(a)). İşlemeye katılan tüm kişiler gizliliğe tabidir (GDPR Madde 28(3)(b), Madde 29, Madde 32(4)). Veri işleyen, veri sorumlusuna veri sahibi haklarının korunmasında (Madde 12–22 GDPR) ve Madde 32–36 GDPR kapsamındaki yükümlülüklerin yerine getirilmesinde (etki değerlendirmesi, ön danışma, ihlal bildirimi) destek sağlar. Veri sorumlusuna açıkça yöneltilen talepler gecikmeksizin iletilir. Veri koruma irtibat kişisi: Simon Kappelmeir, support@horticum.com. Bir veri koruma görevlisi atanması şu anda yasal olarak gerekli değildir.
6. Teknik ve organizasyonel önlemler (TOM)
Veri işleyen, GDPR Madde 32 uyarınca gerekli tüm teknik ve organizasyonel önlemleri alır, özellikle: • Fiziksel erişim kontrolü: Almanya'da sertifikalı veri merkezinde barındırma (ISO 27001), fiziksel kontrol ve 7/24 izleme • Sistem erişim kontrolü: e-posta/parola kimlik doğrulama, Argon2id/Bcrypt özetleri, yönetici için SSH anahtarı, oran sınırlaması, oturum süresinin dolması • Veri erişim kontrolü: Appwrite ekipleri üzerinden işletme bazında kiracı ayrımı, rol tabanlı izin modeli • Aktarım kontrolü: yalnızca TLS 1.2+ (HTTPS), HSTS etkin • Giriş kontrolü: tüm ilgili kayıtlarda denetim izi (createdAt, updatedAt) • Sipariş kontrolü: tüm alt işleyenlerle DPA • Erişilebilirlik kontrolü: günlük yedekleme (14 gün saklama), izleme, RTO/RPO < 24 saat, güvenlik duvarı, düzenli güvenlik güncellemeleri • Ayrım kontrolü: ayrı test/geliştirme/üretim ortamları, veritabanı düzeyinde kiracı ayrımı • Takma ad kullanımı: sunucu günlüklerinde gerçek adlar yerine dahili hesap kimlikleri
7. Alt işleyenler
Bu sözleşmenin imzalanmasıyla veri sorumlusu, aşağıdaki alt işleyenlerin kullanımı için genel yetki verir (GDPR Madde 28(2)): • dogado GmbH (Dortmund, DE) — web/posta barındırma, VIES doğrulama için sunucu proxy'si • dogado GmbH veya benzer barındırıcı (DE) — Almanya'da Appwrite sunucusunun işletilmesi • Stripe Payments Europe Ltd. (Dublin, IE) — Pro/Pro+ abonelikleri için ödeme işleme (ABD aktarımında: SCC + DPF) • Apple Distribution International Ltd. (Cork, IE) — In-App Purchase üzerinden iOS/macOS ödeme işleme • fintectura GmbH / openiban.com (Berlin, DE) — IBAN doğrulama • Avrupa Komisyonu, DG TAXUD (Brüksel, BE) — VIES KDV kontrolü • komoot GmbH (Karlsruhe, DE) — Photon coğrafi kodlama • zippopotam.us — posta kodundan şehir araması Veri işleyen, planlanan değişikliklerden en az 30 gün önce veri sorumlusunu metin formunda bilgilendirir. Veri sorumlusu, önemli veri koruma nedenleriyle 14 gün içinde itiraz edebilir. Veri işleyen, alt işleyenlerin veri koruma yükümlülüklerine uymasından sorumludur (GDPR Madde 28(4)).
8. Veri koruma etki değerlendirmesi ve ön danışma
Veri işleyen, makul olanaklar çerçevesinde, veri sorumlusuna veri koruma etki değerlendirmesi (Madde 35 GDPR) ve denetim kurumuyla ön danışma (Madde 36 GDPR) yürütmesinde destek sağlar, özellikle işleme işlemleri, TOM'lar ve alt işleyenler hakkında gerekli bilgileri sağlayarak.
9. Veri ihlallerinin bildirilmesi
Kişisel veri ihlalleri, öğrenildikten sonra en geç 48 saat içinde, kayıtlı iletişim adresine e-posta ile gecikmeksizin veri sorumlusuna bildirilir — böylece veri sorumlusu Madde 33 GDPR kapsamındaki kendi 72 saatlik süresine uyabilir. Bildirim, ihlalin niteliği ve kapsamını, etkilenen veri kategorilerini ve yaklaşık kişi sayısını, olası sonuçları ve alınan veya planlanan önlemleri içerir.
10. İşlemenin sona ermesi
Ana sözleşmenin sona ermesi üzerine veri işleyen, yasal bir saklama yükümlülüğü yoksa veri sorumlusuna ait tüm kişisel verileri 30 gün içinde siler. Veri sorumlusunun talebi üzerine veriler önceden makine tarafından okunabilir bir formatta (JSON dışa aktarımı) sağlanır. Yasal saklamaya tabi veriler (ilk yardım kayıtları: DGUV'ye göre 5 yıl; bitki koruma verileri: PflSchG'ye göre 3 yıl) süresi sona erene kadar engellenmiş şekilde saklanır ve ardından silinir. Silme talep üzerine yazılı olarak teyit edilir.
11. Kanıt ve denetim
Veri sorumlusu, veri işleyen tarafından bu sözleşmeye uyumu denetleyebilir (Madde 28(3)(h) GDPR). Denetim öncelikle güncel kanıtların (veri koruma konsepti, TOM'lar, alt işleyen listesi, denetim raporları) istenmesiyle gerçekleştirilir. Yerinde denetimler, en az 4 hafta önceden randevuyla, yılda bir kez, normal mesai saatleri içinde yapılabilir. Eşlik masrafları önceden kararlaştırılan saatlik ücret üzerinden geri ödenir.
12. Son hükümler
Bu sözleşmedeki değişiklikler ve eklemeler metin formu gerektirir; bu, bu hükmün iptali için de geçerlidir. Bireysel hükümlerin geçersiz olması durumunda, kalan hükümlerin geçerliliği etkilenmez. Geçersiz hüküm, ekonomik amaca en yakın geçerli bir hükümle değiştirilir. Alman hukuku geçerlidir. Yargı yeri — yasal olarak izin verildiği ölçüde — Maisach'tır (veri işleyenin merkezi). Sorumluluk Madde 82 GDPR ve aksi halde ana sözleşmeyle düzenlenir.