Wholebeds

Veri İşleme Sözleşmesi (DPA)

Son güncelleme: 10 Mayıs 2026

İşbu Veri İşleme Sözleşmesi ("DPA"), BND Hospitality ("Wholebeds", veri işleyen) ile Müşteri (veri sorumlusu) arasında, Wholebeds RevenueOS kapsamında işlenen kişisel veriler için tarafların yükümlülüklerini düzenler. Ana Hizmet Sözleşmesinin ayrılmaz bir parçasıdır.

1. Tanımlar

"KVKK": 6698 sayılı Kişisel Verilerin Korunması Kanunu. "GDPR": 2016/679 sayılı AB Genel Veri Koruma Tüzüğü. "Kişisel Veri", "İşleme", "Veri Sorumlusu", "Veri İşleyen" KVKK / GDPR'daki anlamı taşır.

2. Konu, Süre ve Amaç

  • Konu: Wholebeds'in Hizmetleri sunmak amacıyla Müşteri adına işlediği Kişisel Veriler.
  • Süre: Ana Hizmet Sözleşmesi yürürlükte olduğu sürece + sözleşmede belirtilen geri verme/imha süresi.
  • Amaç: Yalnızca Hizmetlerin sağlanması, Müşterinin yazılı talimatları ve yasal yükümlülüklerin yerine getirilmesi.

3. Veri Kategorileri ve İlgili Kişiler

  • Müşteri kullanıcıları: ad, e-posta, kullanıcı adı, rol, IP, oturum kayıtları.
  • Otel operasyonel verileri: doluluk, ADR, RevPAR, forecast, segmentasyon, rezervasyon özetleri (kişisel veri içermemesi tercih edilir; misafir adı/iletişim bilgisi yüklenmesi önerilmez).

4. Wholebeds'in Yükümlülükleri

  • Verileri yalnızca Müşterinin talimatları ve Hizmet kapsamı çerçevesinde işlemek.
  • Veriye erişimi yalnızca gizlilik yükümlülüğü altındaki yetkili personelle sınırlamak.
  • KVKK md. 12 ve GDPR md. 32 uyarınca uygun teknik ve idari tedbirleri almak (TLS 1.2+, bcrypt, MFA, tenant izolasyonu, şifreli yedekler, erişim logları, düzenli zafiyet taramaları).
  • Veri ihlali tespit edildiğinde Müşteriye 72 saat içinde bildirimde bulunmak.
  • İlgili kişi taleplerinde Müşteriye makul ölçüde yardım etmek; KVKK Kuruluna yapılan denetim/talep süreçlerinde işbirliği sağlamak.
  • Sözleşme sona erdiğinde, Müşterinin tercihine göre verileri geri vermek veya imha etmek (yedeklerdeki kopyalar rotasyon süresince saklanır ve sonrasında otomatik silinir).

5. Müşterinin Yükümlülükleri

  • Platforma yüklenen kişisel veriler için aydınlatma yükümlülüğünü yerine getirmek ve gerekli hukuki sebebi/açık rızayı sağlamak.
  • Hesap kimlik bilgilerini güvenli tutmak; rol/yetki atamalarını güncel tutmak.

6. Alt İşleyiciler (Sub-processors)

Müşteri, aşağıdaki kategorilerdeki alt işleyicilerin kullanılmasına genel onay verir. Yeni bir alt işleyici eklenmeden önce Müşteriye e-posta ile bildirim yapılır ve makul süre içinde itiraz hakkı tanınır.

  • Bulut barındırma — Türkiye / AB veri merkezleri.
  • Hata ve performans izleme — Sentry (DE).
  • Uptime izleme — Uptime servis sağlayıcısı.
  • E-posta iletimi — SMTP / Postmark.
  • WhatsApp / SMS bildirimleri — Twilio (opsiyonel).
  • Müşteri konfigürasyonuna bağlı entegrasyonlar — Google Drive, döviz kuru API'leri.

7. Uluslararası Aktarımlar

Türkiye dışına yapılan aktarımlar KVKK md. 9 kapsamında standart sözleşme hükümleri (SCC) veya açık rıza esasına göre, GDPR kapsamındaki transferler ise SCC ya da diğer geçerli koruma mekanizmaları ile gerçekleştirilir.

8. Güvenlik Tedbirleri

  • HTTPS / TLS 1.2+ ve HSTS.
  • Bcrypt parola karması, opsiyonel TOTP MFA, hesap kilitleme.
  • Tenant izolasyonu, IDOR/XSS/CSRF koruması.
  • Günlük şifreli (GPG) yedekler, haftalık geri yükleme testleri, 7/4/12 rotasyon.
  • PII redaksiyonu yapılmış log/Sentry yapılandırması.
  • Rol bazlı erişim, aktif denetim (audit) günlüğü.

9. Denetim Hakkı

Müşteri, makul önceden bildirimle ve yılda en fazla bir kez, Wholebeds'in bu DPA'ya uyumunu denetleme hakkına sahiptir. Denetim, üçüncü taraf bağımsız denetim raporlarının (ör. ISO 27001, SOC 2 — yayımlandıkça) sunulması ile de karşılanabilir.

10. Sorumluluk ve Hukuk

Sorumluluk sınırları Ana Hizmet Sözleşmesinde belirlenen şartlara tabidir. İşbu DPA Türkiye Cumhuriyeti hukukuna tabi olup İstanbul Mahkemeleri yetkilidir.

11. İletişim

Veri işleme ile ilgili soru ve talepler: privacy@wholebeds.com
Hukuki bildirimler: legal@wholebeds.com