Veri İşleyen Sözleşmesi
6698 Sayılı KVKK Kapsamında Veri İşleyen Taahhütnamesi
Son güncelleme: 15 Mayıs 2026
1. Taraflar
Bu Veri İşleyen Sözleşmesi ("Sözleşme"), aşağıdaki taraflar arasında akdedilmiştir:
- Veri Sorumlusu: MyHirer.ai platformunu kullanarak aday kişisel verilerini işleyen şirket/kurum ("Müşteri")
- Veri İşleyen: EKER BİLGİSAYAR SİSTEMLERİ ve GIDA SAN. A.Ş., "MyHirer.ai" markası altında faaliyet gösteren ("MyHirer.ai")
Müşteri, Platform'a kayıt olarak ve hizmeti kullanarak bu Sözleşme'nin koşullarını kabul etmiş sayılır.
2. Tanımlar
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
- Özel Nitelikli Kişisel Veri: KVKK m.6'da tanımlanan hassas veriler (biyometrik, psikolojik değerlendirme vb.)
- Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişi
- Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak kişisel verileri işleyen gerçek veya tüzel kişi
- Platform: MyHirer.ai yazılım hizmeti
3. İşleme Kapsamı
MyHirer.ai, Müşteri adına aşağıdaki kişisel verileri işlemektedir:
| Veri Kategorisi | İşleme Amacı | Saklama Süresi |
|---|---|---|
| Aday kimlik bilgileri (ad soyad, e-posta, telefon) | Mülakat hizmeti sunumu | Hesap aktif + 30 gün |
| Özgeçmiş (CV) içeriği | AI analizi ve mülakat hazırlığı | 2 yıl |
| Ses kaydı ve mülakat dökümü | Mülakat değerlendirmesi | 2 yıl |
| Webcam görüntüleri | Güvenlik doğrulaması | 2 yıl |
| Psikometrik test sonuçları | Yetkinlik değerlendirmesi | 2 yıl |
| AI değerlendirme raporları | İşe alım kararına destek | 2 yıl |
4. MyHirer.ai'nin Yükümlülükleri (Veri İşleyen)
MyHirer.ai, veri işleyen sıfatıyla aşağıdaki yükümlülükleri kabul eder:
- Kişisel verileri yalnızca Müşteri'nin talimatları doğrultusunda ve bu Sözleşme kapsamında işlemek
- İşleme faaliyetlerine ilişkin gizliliği sağlamak ve yetkili personeli gizlilik taahhütnamesi ile bağlamak
- KVKK m.12 uyarınca gerekli teknik ve idari güvenlik önlemlerini almak
- Özel nitelikli kişisel veriler için KVK Kurulu kararları doğrultusunda ek güvenlik önlemleri uygulamak
- Alt veri işleyenlerle (OpenAI, Anthropic, Google, ElevenLabs, LlamaCloud, Twilio/SendGrid, Meta, DigitalOcean, RFC 3161 zaman damgası sağlayıcısı, PayTR) çalışırken Müşteri'yi bilgilendirmek; alt-işleyen listesine yeni bir sağlayıcı eklenmesi halinde Müşteriye en az 30 gün önceden bildirim yapılır
- İşleme faaliyeti sona erdiğinde, Müşteri'nin talimatına göre verileri silmek veya iade etmek
- Müşteri'nin denetim taleplerini makul sürede karşılamak
- Veri ihlali durumunda Müşteri'yi en kısa sürede bilgilendirmek
5. Müşteri'nin Yükümlülükleri (Veri Sorumlusu)
Müşteri, veri sorumlusu sıfatıyla aşağıdaki yükümlülükleri kabul eder:
- Adaylarını Platform'u kullanmadan önce KVKK m.10 uyarınca bilgilendirmek (aydınlatma yükümlülüğü)
- Açık rıza gerektiren işlemler için adaylardan gerekli onayları almak
- Yurt dışı veri aktarımı için adayların açık rızasını temin etmek
- Platform'a yüklediği kişisel verilerin hukuka uygun şekilde elde edilmiş olmasını sağlamak
- Adayların KVKK m.11 kapsamındaki haklarını kullanabilmeleri için gerekli mekanizmaları sağlamak
6. Alt Veri İşleyenler
MyHirer.ai, hizmet sunumu için aşağıdaki alt veri işleyenlerle çalışmaktadır:
| Alt Veri İşleyen | Ülke | İşleme Amacı |
|---|---|---|
| OpenAI, Inc. | ABD | CV analizi, mülakat, ses tanıma, görüntü analizi (mülakat anlık görüntüleri), değerlendirme |
| Anthropic, PBC | ABD | Mülakat ve değerlendirme |
| Google LLC | ABD / AB | Gemini Live sesli mülakat |
| ElevenLabs, Inc. | ABD | Sesli mülakat, ses kaydı, İK kullanıcısı ses klonu üretimi (biyometrik — özel nitelikli) |
| LlamaCloud, Inc. (LlamaIndex) | ABD | Taranmış / görsel-tabanlı CV'ler için OCR ve yapılandırma yedeği (yalnızca yerel metin çıkarma yetersiz kaldığında) |
| Twilio, Inc. / SendGrid | ABD | İşlemsel e-posta bildirimleri ve teslim/açılma/tıklama olay kayıtları |
| Meta Platforms, Inc. | ABD / İrlanda | WhatsApp Business API üzerinden aday ve kullanıcı bildirim mesajları |
| DigitalOcean, LLC | ABD / AB | Bulut altyapı — sunucu barındırma, ana veritabanı ve şifreli yedek depolama |
| RFC 3161 zaman damgası sağlayıcısı (FreeTSA — Almanya; üretim modunda TÜRKKEP A.Ş. veya Kamu SM — Türkiye) | AB / Türkiye | Yalnızca rıza kayıtlarının kriptografik özet (hash) değerine zaman damgası — kişisel veri aktarılmaz |
| PayTR Ödeme ve Elektronik Para Hizmetleri A.Ş. | Türkiye | Ödeme işlemleri |
Alt veri işleyen listesi backend/services/vendor_registry.py üzerinde tek doğruluk kaynağı olarak tutulur ve KVKK panelinden DPA / Privacy / Terms arşiv kopyaları indirilebilir. Listede değişiklik yapılması halinde Müşteri en az 30 gün önceden e-posta ile bilgilendirilir; Müşteri'nin bu süre içinde gerekçeli itirazı halinde taraflar makul bir alternatif arar.
7. Veri Güvenliği Önlemleri
MyHirer.ai aşağıdaki teknik ve idari güvenlik önlemlerini uygulamaktadır:
- SSL/TLS şifreleme ile veri aktarımı
- Şifrelenmiş veritabanı bağlantıları
- Şifrelerin bcrypt ile tek yönlü hash'lenmesi
- Rol tabanlı erişim kontrolü (RBAC)
- JWT tabanlı oturum yönetimi
- Düzenli güvenlik güncellemeleri
- Özel nitelikli veriler için ek şifreleme katmanı
- Erişim loglarının tutulması
8. Veri İhlali Bildirimi
MyHirer.ai, kişisel veri ihlali tespit ettiğinde:
- Müşteri'yi ihlalden haberdar olduğu andan itibaren en geç 48 saat içinde bilgilendirir
- İhlalin niteliği, etkilenen veri kategorileri, etkilenen kişi sayısı ve alınan önlemler hakkında bilgi verir
- Müşteri'nin KVK Kurulu'na bildirimde bulunması için gerekli desteği sağlar
9. Sözleşmenin Sona Ermesi — Veri İadesi ve İmhası
Hizmet sözleşmesinin herhangi bir nedenle sona ermesi halinde MyHirer.ai:
- Sözleşmenin sona erdiği tarihten itibaren Müşteri'nin talebi doğrultusunda, kişisel verileri 30 gün içinde (a) makine-okunabilir formatta iade eder, (b) silerek imha eder, veya (c) anonim hale getirir.
- İade formatı varsayılan olarak JSON veya CSV'dir; ayrıca PostgreSQL dump veya API üzerinden toplu indirme seçenekleri sunulabilir.
- Yasal saklama yükümlülüğü bulunan veriler (fatura kayıtları — Vergi Usul Kanunu m.253 uyarınca 10 yıl; erişim logları — 5651 sayılı Kanun) hariç, Platform ortamında bulunan tüm kopyaları imha eder.
- Yedekleme (backup) sistemlerindeki kopyalar, yedekleme rotasyon döngüsü içinde (en geç 90 gün) otomatik olarak silinir; bu süre zarfında bu kopyalar yalnızca felaket kurtarma amacıyla saklı tutulur.
- Silme ve imha işleminin tamamlandığını yazılı olarak teyit eder (imha sertifikası) ve bu belge Müşteri tarafından talep edildiğinde sunulur.
- Müşteri 30 gün içinde iade tercihini bildirmezse, veriler varsayılan olarak silinir.
10. Uluslararası Veri Aktarımı (EU/UK Müşterileri için)
Müşterinin Avrupa Birliği veya Birleşik Krallık'ta yerleşik olması ve AB Genel Veri Koruma Tüzüğü (GDPR) ile İngiliz Veri Koruma Kanunu'nun (UK GDPR) uygulandığı durumlarda, Türkiye ve ABD'deki hizmet sağlayıcılara yapılan veri aktarımları için aşağıdaki mekanizmalar uygulanır:
- Standart Sözleşme Hükümleri (SCC): Avrupa Komisyonu'nun 4 Haziran 2021 tarih ve (AB) 2021/914 sayılı kararı ile kabul edilen Standard Contractual Clauses (SCC) — Modül 2 (Veri Sorumlusundan Veri İşleyene) ve Modül 3 (Veri İşleyenden Alt Veri İşleyene) — bu Sözleşmeye ek olarak uygulanır.
- UK IDTA: Birleşik Krallık müşterileri için ICO tarafından onaylanmış "International Data Transfer Addendum" ek olarak imzalanır.
- Transfer Etki Değerlendirmesi (TIA): MyHirer.ai, alıcı ülkedeki veri koruma düzeyinin yeterliliğine ilişkin makul inceleme yapar ve sonuçları Müşteri ile paylaşır.
- Ek koruma önlemleri: Aktarım sırasında şifreleme (TLS 1.2+), alıcı tarafta erişim kontrolü ve log tutma, alıcıya KVKK/GDPR uyumlu alt-işleyen anlaşmaları zorunluluğu.
SCC veya IDTA'nın tam metni, Müşterinin talebi üzerine sözleşmenin ayrılmaz bir parçası olarak imzalanmak üzere sunulur.
11. Denetim Hakkı
Müşteri, bu Sözleşmeye uyumu doğrulamak amacıyla yılda bir kez, yazılı ön bildirim ile MyHirer.ai'nin veri koruma uygulamalarını denetleyebilir. Denetim şekilleri:
- Yazılı soru formu (self-attestation) — varsayılan yöntem
- Üçüncü taraf bağımsız denetim raporu (SOC 2, ISO 27001 gibi — elde edildiğinde paylaşılır)
- Müşterinin makul gerekçesi halinde yerinde denetim; denetim masrafları Müşteri'ye aittir ve operasyonel kısıtlar çerçevesinde kararlaştırılır
Denetim kapsamında edinilen bilgiler gizlilik yükümlülüğüne tabidir; yalnızca uyum değerlendirme amacıyla kullanılabilir.
12. Uygulanacak Hukuk
Bu Sözleşme Türkiye Cumhuriyeti hukukuna tabidir. Uyuşmazlıklarda Bursa Mahkemeleri ve İcra Daireleri yetkilidir. AB/UK müşterileri ile yapılan SCC/IDTA eklerinde belirtilen tahkim/yetki kuralları saklıdır.
13. İletişim
Şirket: EKER BİLGİSAYAR SİSTEMLERİ ve GIDA SAN. A.Ş.
Yetkili Kişi: NAZMİ AHMET EKER (Şirket Sahibi / Veri Sorumlusu Temsilcisi)
Ticaret Sicil No: 49183 · MERSIS: 0327003746700021
Vergi Dairesi / No: Setbaşı Vergi Dairesi / 3270037467
Adres: Odunluk Mah. Erdoğan Binyücel Cad. No:13/A Nilüfer / BURSA
KEP Adresi: ekersoft@hs01.kep.tr
Telefon: (0224) 451 27 27
Veri Koruma İrtibat: kvkk@myhirer.ai
Genel İletişim: ali@myhirer.ai
İnternet Sitesi: https://myhirer.ai