VERİ PAYLAŞIM PROTOKOLÜ
İşbu Veri Paylaşım Protokolü, Gustofy ("Netveri Bilgisayar Danışmanlık ve Ticaret Limited Şirketi") ile Kafe İş Ortağı arasında müşteri verilerinin Platform üzerinden paylaşımı, kafe erişim kapsamı, kullanım yasakları ve tarafların KVKK kapsamındaki rollerini düzenler. EK-1: İşleme Faaliyeti Bazlı Rol Dağılımı Matrisi (işbu belgenin sonunda yer almaktadır), Platform üzerinde gerçekleştirilen tüm veri işleme faaliyetlerini ve tarafların bu faaliyetlerdeki rollerini detaylı olarak göstermektedir.
1. Tarafların Veri Koruma Rolleri
1.1. Gustofy'nin Rolü: Bağımsız Veri Sorumlusu
Gustofy, aşağıdaki işleme faaliyetleri bakımından bağımsız veri sorumlusu sıfatıyla hareket eder:
- Kullanıcı kayıt ve üyelik verilerinin toplanması ve yönetilmesi
- Telefon numarası doğrulama
- Kafe İş Ortağı tarafından sisteme girilen satın alma verilerinin işlenmesi
- Kişiselleştirilmiş kampanya önerilerinin oluşturulması
- Kampanya ve bildirim iletilerinin teknik olarak gönderilmesi
- Platform güvenliği ve teknik altyapının işletilmesi
- Verilerin Türkiye sınırları içinde isimtescil A.Ş. veri merkezinde depolanması
Her bir işleme faaliyetinin detaylı rol analizi için EK-1'e bakınız.
1.2. Kafe İş Ortağının Rolü
Kafe İş Ortağı, kendi kafe içi müşteri ilişkileri ve fiziksel hizmet sunumu bakımından ayrı veri sorumlusu sıfatına sahiptir. Platform üzerindeki işleme faaliyetleri bakımından ise:
- Müşteri satın alma bilgilerini Platform'a girer (kampanya/damga kullanımı sırasında)
- Kampanya içeriklerini oluşturur veya onaylar
- Kendi kafesine kayıtlı müşterilerin verilerine Platform üzerinden erişir
Kafe İş Ortağı, Platform üzerinden gerçekleştirdiği veri girişi ve erişim faaliyetlerinde KVKK'ya ve işbu Protokol'e uygun davranmakla yükümlüdür.
2. Kafe İş Ortağının Erişebildiği Müşteri Verileri
Kafe İş Ortağı, Platform üzerinden yalnızca kendi kafesine kayıtlı müşterilere ait aşağıdaki verilere erişebilir:
Veri Erişim Amacı
Ad-soyad Müşteri tanıma, hizmet sunumu
Cep telefonu numarası İletişim, müşteri ilişkisi yönetimi
E-posta adresi İletişim, müşteri ilişkisi yönetimi Veri Erişim Amacı
İlgili kafedeki bireysel satın alma Hizmet ifası, sadakat takibi geçmişi
Kampanya ve damga kullanım bilgisi Kampanya performans takibi
Not: Platform üzerinde müşteri ödemeli abonelik akışı bulunmamaktadır. Bu nedenle "Abonelik durumu" alanı, müşteri ödemeli abonelik akışı aktive edilene kadar Kafe İş Ortağı dashboard'unda görüntülenmez.
Erişim sınırları:
- Kafe İş Ortağı, diğer kafelerin müşterilerine ait hiçbir veriye erişemez.
- Kafe İş Ortağı, müşterinin diğer kafelerdeki abonelik veya satın alma bilgilerine erişemez.
- Kafe İş Ortağı, müşterinin Platform genelindeki sadakat puanı veya RFM segmentasyon
bilgilerine erişemez.
- Bu sınırlandırmalar, Platform üzerinde satır düzeyinde erişim kontrolü (Row Level Security) ile
teknik olarak uygulanmaktadır.
3. Verilerin Kullanımına İlişkin Yasaklar
3.1. Veri Dışa Aktarımı Yasağı: Kafe İş Ortağı, eriştiği müşteri verilerini Platform dışına aktaramaz,
indiremez, kopyalayamaz, ekran görüntüsü alarak biriktiremez veya manuel olarak harici bir sisteme/dosyaya kaydedemez.
3.2. Bağımsız Pazarlama Yasağı: Kafe İş Ortağı, müşteri telefon numarası veya e-posta adresini
Platform dışında bağımsız SMS, WhatsApp, e-posta, telefon araması veya başka bir kanal üzerinden pazarlama, kampanya veya tanıtım amacıyla kullanamaz.
3.3. Üçüncü Taraf Paylaşım Yasağı: Kafe İş Ortağı, eriştiği müşteri verilerini herhangi bir üçüncü
taraf yazılım, hizmet, platform, iş ortağı veya kişi ile paylaşamaz.
3.4. Bağımsız İşleme Yasağı: Kafe İş Ortağı, bu verileri Platform amaçları dışında işleyemez veya
yeniden işleme tabi tutamaz.
3.5. Müşteri Listesi Devri Yasağı: Kafe İş Ortağı, müşteri verilerini başka bir işletmeye, alıcıya
veya devralan tarafa aktaramaz; işletmenin satışı veya devri halinde bu veriler Platform üzerinde kalır ve devir kapsamı dışındadır.
4. Aykırılığın Sonuçları
4.1. Erişim Sonlandırma: İşbu Protokol'deki yasaklara aykırılık halinde Gustofy, Kafe İş Ortağının
Platform erişimini derhal ve önceden bildirimde bulunmaksızın sonlandırma hakkına sahiptir.
4.2. Bağımsız Sorumluluk: Bu yasaklara aykırılık halinde Kafe İş Ortağı, KVKK kapsamında bağımsız
veri sorumlusu sıfatıyla doğrudan sorumlu tutulur ve idari para cezaları da dahil olmak üzere her türlü hukuki ve idari yaptırımdan münhasıran sorumludur.
4.3. Rücu Hakkı: Kafe İş Ortağının ihlali nedeniyle Gustofy'nin herhangi bir cezaya, tazminata veya
zarara maruz kalması halinde, Gustofy ödediği tüm tutarları Kafe İş Ortağına rücu etme hakkına sahiptir.
5. Veri İşleme Konumu
Tüm veri işleme faaliyetleri Türkiye sınırları içinde gerçekleştirilmektedir. Platform'un veritabanı, uygulama barındırma ve telefon doğrulama altyapısı dahil olmak üzere tüm teknik altyapı, Türkiye merkezli ve KVKK Veri İşleyen Sözleşmesi (DPA) imzalanmış hizmet sağlayıcılar üzerinden işletilmektedir.
6. Veri Saklama ve Silme
Müşteri verileri, Aydınlatma Metni'nde belirtilen saklama süreleri sonunda otomatik olarak silinir. Kafe İş Ortağının ayrılması halinde, ilgili kafeye özgü üyelik bağlantıları, satın alma geçmişi ve kampanya kayıtları silinir; Kullanıcının kullanıcı hesabı ve diğer kafelerdeki üyelikleri etkilenmez (bkz. Hizmet Sözleşmesi B2B-1 §10.5).
7. Veri Güvenliği Yükümlülükleri
Gustofy, müşteri verilerinin güvenliğini sağlamak için KVKK m. 12 uyarınca gerekli teknik ve idari tedbirleri almakla yükümlüdür. Kafe İş Ortağı, kendi hesap bilgilerinin (kullanıcı adı, şifre) güvenliğinden sorumludur. Hesabın yetkisiz kişilerce kullanılmasından doğacak zararlardan münhasıran Kafe İş Ortağı sorumludur.
8. Sözleşme Sona Erdiğinde
Hizmet Sözleşmesi'nin (B2B-1) sona ermesi halinde, Kafe İş Ortağına ait işletme bilgileri ve kafeye özgü müşteri ilişkisi verileri B2B-1 §10.4 ve §10.5 uyarınca silinir. Kullanıcı verileri Gustofy'nin bağımsız veri sorumlusu sıfatıyla işlenmeye devam eder.
9. Uyuşmazlık Çözümü
İşbu Protokol'den kaynaklanan uyuşmazlıklarda Hizmet Sözleşmesi (B2B-1) §13 uyarınca İstanbul Asliye Ticaret Mahkemeleri yetkilidir.
10. Yürürlük
İşbu Protokol, Hizmet Sözleşmesi'nin (B2B-1) ayrılmaz parçası olup, B2B-1 ile birlikte yürürlüğe girer ve B2B-1 ile birlikte sona erer. EK-1: İşleme Faaliyeti Bazlı Rol Dağılımı Matrisi işbu Protokol'ün ayrılmaz ekidir. EK-1: İŞLEME FAALİYETİ BAZLI ROL DAĞILIMI MATRİSİ
İşbu EK-1, Veri Paylaşım Protokolü'nün ayrılmaz parçasıdır. Gustofy platformu üzerinde gerçekleştirilen 15 (on beş) ayrı veri işleme faaliyetini ve her bir faaliyet bakımından tarafların KVKK kapsamındaki rollerini, işlenen veri kategorilerini, hukuki sebepleri, sağlayıcı bilgilerini ve ilgili belge referanslarını detaylı olarak göstermektedir.
İşleme Konumu Notu: Tüm veri işleme faaliyetleri Türkiye sınırları içinde, isimtescil A.Ş. veri merkezinde gerçekleştirilmektedir. Telefon doğrulama SMS'i ise yurt içi BTK tarafından yetkilendirilmiş işletmeci olan eMarka İletişim ve Bilgi Teknolojileri A.Ş. (İletiMerkezi) üzerinden gönderilmektedir. Yurt dışı aktarım söz konusu değildir.
Kapsam Notu: İşbu EK-1, yalnızca Platform üzerinde kafe müşterisi (Kullanıcı) verilerine ilişkin işleme faaliyetlerini kapsamaktadır. Kafe İş Ortağının Gustofy SaaS abonelik ödemelerine ilişkin ayrı veri işleme faaliyetleri, işbu EK-1 kapsamında değil; B2B-2 Kafe Aydınlatma Metni Bölüm 4.1 (iyzico — ödeme işlemleri) ve B2B-1 Hizmet Sözleşmesi Bölüm 6 (Ödeme) kapsamında düzenlenmektedir. EK-1 ile cafe SaaS ödeme akışı arasında karışıklık olmaması için, müşteri ödeme akışına ilişkin Faaliyet 4, 11 ve 12, şu an devre dışı olarak işaretlenmiştir.
Aşağıdaki rol tanımları kullanılmıştır:
- Veri Sorumlusu: İşleme amaç ve vasıtalarını belirleyen taraf.
- Veri İşleyen: Veri sorumlusunun talimatıyla onun adına veri işleyen taraf.
- Ayrı Veri Sorumlusu: Aynı veri seti üzerinde kendi bağımsız amacı için işleme yapan taraf.
Faaliyet 1 Kullanıcı üyeliği oluşturma
Alan İçerik
Veri Kategorisi Ad-soyad, telefon numarası, e-posta (opsiyonel)
Veri Kaynağı Doğrudan kullanıcıdan
İşleme Amacı Hesap oluşturma, üyelik yönetimi
Gustofy Rolü Veri Sorumlusu
Kafe Rolü Yok
Sağlayıcı isimtescil A.Ş. (yurt içi — veritabanı ve uygulama altyapısı)
Yurt Dışı Aktarım Hayır
Hukuki Sebep Sözleşmenin ifası (KVKK m. 5/2-c)
İlgili Belgeler Aydınlatma Metni, Kullanım Koşulları
Faaliyet 2 Telefon doğrulama SMS'i gönderimi
Alan İçerik
Veri Kategorisi Telefon numarası, doğrulama kodu
Veri Kaynağı Sistem (otomatik tetiklenir) Alan İçerik
İşleme Amacı Kimlik doğrulama
Gustofy Rolü Veri Sorumlusu
Kafe Rolü Yok
Sağlayıcı eMarka İletişim ve Bilgi Teknolojileri A.Ş. — İletiMerkezi (yurt içi BTK yetkilendirilmiş SMS sağlayıcısı)
Yurt Dışı Aktarım Hayır
Hukuki Sebep Sözleşmenin ifası (KVKK m. 5/2-c)
İlgili Belgeler Aydınlatma Metni (Bölüm 4.4)
Faaliyet 3 Kafenin satın alınan ürün bilgisini sisteme girmesi
Alan İçerik
Veri Kategorisi Satın alınan ürün adı/kategorisi, tarih/saat, kullanılan kampanya veya damga, barista kodu
Veri Kaynağı Kafe (barista tarafından manuel olarak girilir, müşteri kampanya/damga kullanırken)
İşleme Amacı Sadakat puanı takibi, kişiselleştirme
Gustofy Rolü Veri Sorumlusu
Kafe Rolü Veri giren taraf + ayrı veri sorumlusu (kendi defterinde tutarsa)
Sağlayıcı isimtescil A.Ş. (yurt içi — veritabanı ve uygulama altyapısı)
Yurt Dışı Aktarım Hayır
Hukuki Sebep Sözleşmenin ifası (KVKK m. 5/2-c)
İlgili Belgeler Veri Paylaşım Protokolü (Bölüm 2 ve 3)
Alan İçerik
Durum aktif değildir. Kafe İş Ortağı SaaS abonelik ödemeleri ayrı bir akıştır ve B2B-2 Kafe Aydınlatma Metni Bölüm 4.1 ile Hizmet Sözleşmesi Bölüm 6 kapsamında düzenlenmiştir. Müşteri ödemeli abonelik akışı aktive edildiğinde işbu faaliyet aşağıdaki kapsamda gerçekleştirilecektir:
Veri Kategorisi Ad-soyad, işlem tutarı, abonelik referansı (Kart bilgileri yalnızca iyzico tarafından işlenir)
Veri Kaynağı Kullanıcı (ödeme anında)
İşleme Amacı Abonelik ödemesinin gerçekleştirilmesi
Gustofy Rolü Veri Sorumlusu (yönlendiren)
Kafe Rolü Yok Alan İçerik
Sağlayıcı iyzico (yurt içi — bağımsız ödeme kuruluşu)
Yurt Dışı Aktarım Hayır
Hukuki Sebep Sözleşmenin ifası (KVKK m. 5/2-c)
İlgili Belgeler Aydınlatma Metni (Bölüm 4.2), Kullanım Koşulları (m. 5)
Faaliyet 5 Kafenin kendi müşterisinin verilerine erişimi
Alan İçerik
Veri Kategorisi Ad, telefon, e-posta, satın alma geçmişi, kampanya kullanım bilgileri
Veri Kaynağı Platform veritabanı
İşleme Amacı Müşteri ilişkisi yönetimi, kampanya planlaması
Gustofy Rolü Veri Sorumlusu (erişim sağlayan)
Kafe Rolü Ayrı Veri Sorumlusu (erişim ile birlikte)
Sağlayıcı isimtescil A.Ş. (yurt içi — veritabanı ve uygulama altyapısı, Row Level Security)
Yurt Dışı Aktarım Hayır
Hukuki Sebep Sözleşmenin ifası (KVKK m. 5/2-c)
İlgili Belgeler Aydınlatma Metni (Bölüm 4.1), Veri Paylaşım Protokolü (Bölüm 2)
Faaliyet 6 Kişiselleştirme ve profil oluşturma
Alan İçerik
Veri Kategorisi Satın alma sıklığı, ürün tercihleri, kampanya kullanım oranı
Veri Kaynağı Platform veritabanı (otomatik analiz)
İşleme Amacı Kişiselleştirilmiş kampanya önerileri sunulması
Gustofy Rolü Veri Sorumlusu
Kafe Rolü Yok
Sağlayıcı isimtescil A.Ş. (yurt içi — veritabanı ve uygulama altyapısı)
Yurt Dışı Aktarım Hayır
Hukuki Sebep Sözleşmenin ifası (KVKK m. 5/2-c) — ileri profil çıkarma için açık rıza (m. 5/1)
İlgili Belgeler Aydınlatma Metni (Bölüm 3.4)
Faaliyet 7 Kafenin kampanya oluşturması veya AI önerisini onaylaması Alan İçerik
Veri Kategorisi Kampanya içeriği, hedef segment
Veri Kaynağı Kafe (manuel) veya Gustofy (AI önerisi)
İşleme Amacı Kampanya hazırlığı
Gustofy Rolü Veri Sorumlusu (AI önerisi üreten)
Kafe Rolü Veri Sorumlusu (içerik onaylayan/oluşturan)
Sağlayıcı isimtescil A.Ş. (yurt içi — veritabanı ve uygulama altyapısı)
Yurt Dışı Aktarım Hayır
Hukuki Sebep Sözleşmenin ifası (KVKK m. 5/2-c)
İlgili Belgeler Hizmet Sözleşmesi (m. 4.5, 4.7), Veri Paylaşım Protokolü (Bölüm 5)
Faaliyet 8 Push bildirim ve e-posta ile kampanya iletisi gönderimi
Alan İçerik
Veri Kategorisi İletişim bilgileri (push aboneliği, e-posta), kampanya içeriği
Veri Kaynağı Platform veritabanı + Kafe onayı
İşleme Amacı Ticari elektronik ileti gönderimi
Gustofy Rolü Veri Sorumlusu (gönderim altyapısı)
Kafe Rolü Veri Sorumlusu (kampanya içeriği onaylayan)
Sağlayıcı isimtescil A.Ş. (yurt içi — gönderim altyapısı). Web Push doğrudan tarayıcıya iletilir.
Yurt Dışı Aktarım Hayır
Hukuki Sebep Açık rıza (KVKK m. 5/1) ve 6563 sayılı Kanun
İlgili Belgeler Ticari Elektronik İleti Onay Metni, Aydınlatma Metni (Bölüm 2.3, 4.4)
Faaliyet 9 Kullanıcının kendi profilini görüntülemesi
Alan İçerik
Veri Kategorisi Tüm kullanıcı verileri
Veri Kaynağı Platform veritabanı
İşleme Amacı Şeffaflık, KVKK m. 11 hakkı
Gustofy Rolü Veri Sorumlusu
Kafe Rolü Yok
Sağlayıcı isimtescil A.Ş. (yurt içi — veritabanı ve uygulama altyapısı)
Yurt Dışı Aktarım Hayır Alan İçerik
Hukuki Sebep Sözleşmenin ifası (KVKK m. 5/2-c) ve KVKK m. 11
İlgili Belgeler KVKK Başvuru Formu, Aydınlatma Metni
Faaliyet 10 Toplulaştırılmış analitik raporların kafeye sunulması
Alan İçerik
Veri Kategorisi Anonim/toplulaştırılmış istatistikler (RFM, ziyaret sıklığı, popüler ürünler)
Veri Kaynağı Platform veritabanı (toplulaştırılmış)
İşleme Amacı Kafe operasyonel kararları
Gustofy Rolü Veri Sorumlusu
Kafe Rolü Yok (anonim veriler)
Sağlayıcı isimtescil A.Ş. (yurt içi — veritabanı ve uygulama altyapısı)
Yurt Dışı Aktarım Hayır
Hukuki Sebep Meşru menfaat (KVKK m. 5/2-f)
İlgili Belgeler Hizmet Sözleşmesi (m. 9.4)
Alan İçerik
Durum aktif değildir. Müşteri ödemeli abonelik akışı aktive edildiğinde işbu faaliyet gerçekleştirilecektir:
Veri Kategorisi Abonelik referansı, ödeme tarihi, tutar, sonuç
Veri Kaynağı iyzico (otomatik bildirim)
İşleme Amacı Tekrarlayan ödeme yönetimi
Gustofy Rolü Veri Sorumlusu
Kafe Rolü Yok
Sağlayıcı iyzico (yurt içi — bağımsız ödeme kuruluşu)
Yurt Dışı Aktarım Hayır
Hukuki Sebep Sözleşmenin ifası (KVKK m. 5/2-c)
İlgili Belgeler Aydınlatma Metni (Bölüm 4.2)
Durum aktif değildir. Müşteri ödemeli abonelik akışı aktive edildiğinde işbu faaliyet gerçekleştirilecektir:
Veri Kategorisi Ad-soyad, fatura adresi, vergi bilgileri, tutar
Veri Kaynağı Kullanıcı (ödeme anında) + iyzico (sonuç bilgisi)
İşleme Amacı Vergi mevzuatı yükümlülüğü, e-Arşiv fatura düzenlemesi
Gustofy Rolü Veri Sorumlusu
Kafe Rolü Yok
Sağlayıcı isimtescil A.Ş. (yurt içi — fatura kayıtları), e-Arşiv altyapısı
Yurt Dışı Aktarım Hayır
Hukuki Sebep Hukuki yükümlülük (KVKK m. 5/2-ç) — vergi ve TTK m. 82
İlgili Belgeler Aydınlatma Metni (Bölüm 5)
Faaliyet 13 Kullanıcı KVKK başvurularının işlenmesi
Alan İçerik
Veri Kategorisi Başvuru sahibi kimlik bilgileri, talep konusu
Veri Kaynağı Doğrudan kullanıcıdan (KVKK Başvuru Formu)
İşleme Amacı KVKK m. 11 ve m. 13 yükümlülüklerinin yerine getirilmesi
Gustofy Rolü Veri Sorumlusu
Kafe Rolü Bağımsız faaliyetleri için ayrı veri sorumlusu
Sağlayıcı isimtescil A.Ş. (yurt içi — başvuru kayıtları)
Yurt Dışı Aktarım Hayır
Hukuki Sebep Hukuki yükümlülük (KVKK m. 5/2-ç)
İlgili Belgeler KVKK Başvuru Formu, Aydınlatma Metni (Bölüm 6)
Faaliyet 14 Hesap kapatma ve veri silme talebinin işlenmesi
Alan İçerik
Veri Kategorisi Tüm kullanıcı verileri
Veri Kaynağı Kullanıcı talebi
İşleme Amacı KVKK m. 7 (silme) yükümlülüğü
Gustofy Rolü Veri Sorumlusu
Kafe Rolü Yok
Sağlayıcı isimtescil A.Ş. (yurt içi — veritabanından silme) Alan İçerik
Yurt Dışı Aktarım Hayır
Hukuki Sebep KVKK m. 7
İlgili Belgeler Hizmet Sözleşmesi (m. 3.3)
Faaliyet 15 Çerez ve oturum yönetimi
Alan İçerik
Veri Kategorisi Çerez verileri (oturum, tercihler), IP adresi
Veri Kaynağı Tarayıcı (otomatik)
İşleme Amacı Oturum yönetimi, güvenlik, kullanıcı tercihleri
Gustofy Rolü Veri Sorumlusu
Kafe Rolü Yok
Sağlayıcı isimtescil A.Ş. (yurt içi — uygulama altyapısı)
Yurt Dışı Aktarım Hayır
Hukuki Sebep Zorunlu çerezler: meşru menfaat (m. 5/2-f); Analitik çerezler: açık rıza (m. 5/1)
İlgili Belgeler Çerez Politikası, Aydınlatma Metni (Bölüm 2.5)