1. Taraflar ve roller

Veri sorumlusu: hizmeti kullanan işletme (kiracı). Veri işleyen: yerly.tech. yerly.tech, kişisel verileri yalnızca işletmenin talimatları doğrultusunda ve onun adına işler.

2. Konu ve amaç

İşleme yalnızca Yerly XL hizmetinin sunulması amacıyla yapılır. İşlenen veri türleri: işletmenin sisteme girdiği iş kayıtları (cari/personel vb. kişisel veri içerebilir) + kullanıcı hesabı (e-posta, rol).

3. İşleyenin yükümlülükleri

• Yalnızca sorumlunun talimatıyla işler; kendi amacı için kullanmaz, satmaz, paylaşmaz.

• Gizlilik: erişim yetkili personelle sınırlıdır.

• Güvenlik: kiracı izolasyonu (PostgreSQL RLS — her kiracı yalnız kendi verisini görür), aktarımda TLS, parolalar argon2id ile saklanır, denetim günlüğü.

• Yardım: sorumlunun KVKK taleplerini (erişim/silme/düzeltme) karşılamasına makul ölçüde yardım eder.

• İade/silme: sözleşme bitince veri sorumluya iade edilir veya silinir (mevzuatın saklamayı zorunlu kıldığı mali kayıtlar hariç — VUK).

4. Alt-işleyenler

Barındırma için bulut altyapısı (AWS) alt-işleyen olarak kullanılır. Veriler şu an AWS Frankfurt (Almanya) bölgesindedir; KVKK kapsamında yurt dışına aktarım uygun güvencelerle yapılır. Gerçek dağıtımlarda Türkiye merkezli altyapı talep edilebilir.

5. İhlal bildirimi

Kişisel veri ihlali halinde yerly.tech, sorumluyu gecikmeksizin bilgilendirir.

6. İmzalı sözleşme

Bu özet, gerçek müşteri ilişkilerinde imzalanacak ayrıntılı DPA'nın temelidir. Tam metin talebi: info@yerly.tech

1. Parties and roles

Data controller: the business (tenant) using the service. Data processor: yerly.tech. yerly.tech processes personal data only on the controller's instructions and on its behalf.

2. Subject and purpose

Processing is solely to provide the Yerly XL service. Data types: business records entered by the tenant (contacts/HR etc. may contain personal data) + user accounts (email, role).

3. Processor obligations

• Processes only on the controller's instructions; never for its own purposes, never sold or shared.

• Confidentiality: access limited to authorized personnel.

• Security: tenant isolation (PostgreSQL RLS — each tenant sees only its own data), TLS in transit, passwords stored with argon2id, audit logging.

• Assistance: reasonably assists the controller in meeting data-subject (KVKK) requests (access/erasure/rectification).

• Return/erasure: on termination, data is returned or deleted (except financial records subject to mandatory retention — Turkish Tax Law).

4. Sub-processors

Cloud infrastructure (AWS) is used as a sub-processor for hosting. Data is currently in the AWS Frankfurt (Germany) region; cross-border transfer under KVKK is carried out with appropriate safeguards. Türkiye-based infrastructure can be requested for real deployments.

5. Breach notification

In the event of a personal data breach, yerly.tech notifies the controller without undue delay.

6. Signed agreement

This summary is the basis of the detailed DPA to be signed in real customer relationships. Request the full text: info@yerly.tech