Yasal · Taslak

Veri İşleme Sözleşmesi

KVKK md.12 kapsamında — Veri Sorumlusu (Eczacı) ile Veri İşleyen (VERA) arasında

Son güncelleme: 17 Haziran 2026 · v0.1 (taslak)

⚠️ Taslak:Bu metin VERA Yazılım'ın eczacı abonelerine sunduğu taslak versiyondur. Yayın öncesi KVKK avukatı tarafından gözden geçirilir ve taraflar arasında karşılıklı imzalanır.

1. Taraflar

İşbu Sözleşme, aşağıda tanımlı taraflar arasında akdedilmiştir:

  • Veri Sorumlusu (Abone):VERA Eczane Otomasyonu'nu kullanan eczacı / eczane ("Eczacı").
  • Veri İşleyen (Yazılım Sağlayıcısı):VERA Yazılım Ltd. Şti., MERSİS [VERBİS Sicil No], merkez: Antalya, Türkiye ("VERA").

2. Tanımlar

  • KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu.
  • Kişisel Veri: KVKK md.3'te tanımlanan veriler.
  • Özel Nitelikli Veri: KVKK md.6 — sağlık verileri dahil.
  • Hizmet: VERA Eczane Otomasyon Sistemi, web tabanlı destek hizmetleri ve bulut yedek altyapısı.
  • Eczane Verisi:Eczacı'nın VERA üzerinde tuttuğu, kendi müşterilerine ait kimlik, iletişim, reçete ve sağlık verisi dahil her tür kişisel veri.

3. Veri İşleme Konusu ve Amacı

Eczacı, kendi müşterilerinin kişisel verilerini KVKK kapsamında işlemek için VERA'yı bir yazılım altyapısı olarak kullanır. VERA, Eczacı'nın talimatları ve aşağıdaki amaçlar doğrultusunda Eczane Verisi üzerinde işleme faaliyeti yürütür:

  • Otomasyon hizmetinin sunulması (satış, stok, reçete, fatura)
  • SGK Medula, TİTCK İTS gibi yasal entegrasyonların işletilmesi
  • Eczacı'nın talebi üzerine bulut yedek (opsiyonel, şifreli)
  • Teknik destek ve hata raporlama

4. İşlenen Veri Kategorileri

  • Eczane çalışan verileri: ad, soyad, telefon, e-posta, kullanıcı oturum bilgileri
  • Müşteri kimlik verisi: TC kimlik no, ad, soyad, doğum tarihi (Eczacı kayıtlarında)
  • Müşteri iletişim: telefon, adres
  • Sağlık verisi (özel nitelikli): reçete bilgileri, ilaç geçmişi, SGK/TİTCK bildirim verileri
  • Mali veri: satış, ödeme bilgileri (kart tokeni değil — kart bilgileri PCI-DSS kapsamında üçüncü taraf altyapıda)

5. Veri İşleme Yöntemi ve Güvenlik

VERA, Eczane Verisi üzerinde uygulanan güvenlik önlemleri:

  • Lokal depolama:Eczane Verisi öncelikle Eczacı'nın kendi bilgisayarında (SQLite veritabanı) tutulur.
  • Uçtan uca şifreleme (E2E):Opsiyonel bulut yedek özelliğinde Eczane Verisi, Eczacı'nın belirlediği master şifreyle AES-256-GCM algoritmasıyla şifrelenir. Şifre VERA'ya GÖNDERİLMEZ; Eczacı kendi bilgisayarında saklar. VERA, şifresiz haliyle Eczane Verisi'ne erişemez.
  • İletişim güvenliği: Tüm sunucu trafiği TLS 1.3 üzerinden yapılır.
  • Erişim kontrolü: VERA personeli production sistemlerine rol bazlı, denetim kayıtlı erişir.
  • Sistem kayıtları: 90 gün boyunca tutulur, anonim/hash halinde.

6. Yurtdışı Aktarım

Bulut altyapısı KVKK md.9 kapsamında Avrupa Birliği sınırları içinde konumlandırılmıştır:

  • Hetzner Online GmbH (Almanya) — sunucu altyapısı, yedek depolama
  • Supabase Inc. (EU Frankfurt) — meta veri (lisans, hata raporu, destek mesajları)
  • İyzico/PayTR(Türkiye) — kart işleme (Türkiye'de tutulur, yurtdışı aktarım YOK)

AB ülkeleri KVK Kurumu tarafından yeterli koruma sağlayan ülkelerkapsamında değerlendirilmektedir. Eczacı, bu aktarımları abonelik kabulüyle birlikte onaylar.

7. Eczacı'nın Yükümlülükleri (Veri Sorumlusu)

  • Kendi müşterilerine KVKK md.10 uyarınca aydınlatma yükümlülüğünü yerine getirmek (VERA'nın sunduğu şablon kullanılabilir).
  • Özel nitelikli sağlık verisi için KVKK md.6/3 uyarınca açık rıza veya yasal istisna çerçevesinde işleme zemini oluşturmak.
  • E2E master şifresini güvenli saklamak. Şifre kaybedilirse bulut yedek kurtarılamaz.
  • VERA üzerinden erişim verdiği eczane çalışanlarının yetkilerini düzenlemek.

8. VERA'nın Yükümlülükleri (Veri İşleyen)

  • Eczane Verisi'ni yalnızca Eczacı'nın talimatı ve bu Sözleşme kapsamındaki amaçlar için işlemek.
  • Güvenlik tedbirlerini (md.5) güncel tutmak.
  • Bir veri ihlali halinde 72 saat içindeEczacı'ya bildirmek (KVKK md.12/5).
  • Eczacı talep ederse veri kategorilerine erişim/silme desteği vermek.
  • Personeline gizlilik yükümlülüğü altında çalıştığını belirten taahhüt imzalatmak.

9. Alt-İşleyenler

VERA, hizmetin sunumu için aşağıdaki alt-işleyenleri kullanır:

  • Hetzner Online GmbH (sunucu altyapısı, Almanya)
  • Supabase Inc. (meta veri yönetimi, EU Frankfurt)
  • İyzico Ödeme Hizmetleri A.Ş. veya PayTR (kart tahsilatı, Türkiye)
  • Resend (transactional mail, EU)

VERA, alt-işleyen değişiklikleri için Eczacı'ya makul süre içinde bildirim yapar.

10. Saklama Süresi

  • Aktif abonelik:Abonelik aktif olduğu sürece, Eczacı'nın lokal verileri ve şifreli bulut yedekleri saklanır.
  • Abonelik sonrası: 30 gün retention süresi — bu süre içinde Eczacı verisini dışa aktarabilir.
  • 30 gün sonrası: Tüm Eczane Verisi VERA sistemlerinden kalıcı olarak silinir.
  • Mali kayıtlar:VUK md.253 uyarınca 5 yıl saklanan fatura/abonelik kayıtları VERA'nın kendi mali kayıtlarındadır, Eczane Verisi içermez.

11. Sözleşmenin Sona Ermesi

Bu Sözleşme, Eczacı'nın VERA aboneliğinin sona ermesiyle birlikte 30 gün içinde sona erer. Sözleşme sonunda VERA, md.10 kapsamında saklanan tüm Eczane Verisi'ni siler veya Eczacı'ya iade eder.

12. İletişim

Bu Sözleşme kapsamındaki başvurular için:

  • E-posta: kvkk@verayazilim.com.tr
  • Destek: destek@veraeczane.com

13. Yürürlük

İşbu Sözleşme, Eczacı'nın VERA aboneliği başlangıcında onayladığı tarih itibarıyla yürürlüğe girer ve abonelik süresi boyunca geçerlidir.


Bu metin KVKK md.12 ve KVK Kurumu yayımladığı "Veri İşleme Sözleşmesi Rehberi" doğrultusunda hazırlanmıştır. Yayın öncesi avukat denetimine tabidir.