DİJİMU
VERİ İŞLEYEN SÖZLEŞMESİ (DPA)
Kişisel Verilerin İşlenmesine İlişkin Sözleşme
Bu Sözleşme, Dijimu Üyelik Sözleşmesi'nin ayrılmaz ekidir ve 6698 sayılı KVKK m. 12 uyarınca veri sorumlusu (Kullanıcı / mali müşavir) ile veri işleyen (Dijimu) arasındaki ilişkiyi düzenler. Üyelik Sözleşmesi ile bu DPA arasında kişisel veri işlemeye dair bir çelişki olması hâlinde bu DPA hükümleri öncelikle uygulanır.
1. TARAFLAR VE SIFATLAR
| Veri Sorumlusu | Platform'a kayıtlı Kullanıcı (mali müşavir / YMM / muhasebe hizmeti sunan gerçek/tüzel kişi). Mükellef verileri bakımından veri sorumlusudur. |
| Veri İşleyen | [Doldurulacak] — Dijimu (www.dijimu.com). Kullanıcı'nın talimatıyla mükellef verilerini işleyen taraftır. |
İşbu DPA kapsamında "kişisel veri", Kullanıcı'nın Platform'a yüklediği veya Kullanıcı'nın yetkisiyle resmi/üçüncü taraf servislerden çekilen, mükelleflere ve mükelleflerin ilgili kişilerine (çalışan, ortak, müşteri vb.) ait kişisel verileri ifade eder. Kullanıcı'nın kendi verileri bu DPA'nın değil, Aydınlatma Metni'nin konusudur (Dijimu o veriler için veri sorumlusudur).
2. İŞLEMENİN KONUSU, SÜRESİ, NİTELİĞİ VE AMACI
| Unsur | İçerik |
|---|---|
| Konu | Muhasebe otomasyon hizmetinin sunulması kapsamında mükellef kişisel verilerinin işlenmesi |
| Süre | Üyelik Sözleşmesi yürürlükte olduğu sürece + yasal saklama süreleri |
| Niteliği | Toplama, kaydetme, saklama, sınıflandırma (OCR/kural), aktarma (GİB/SGK/Luca/Zirve), raporlama, silme |
| Amaç | Fatura/belge işleme, muhasebeleştirme, beyanname/SGK takibi, bildirim, raporlama |
| Veri kategorileri | Kimlik (ad/unvan, TCKN/VKN), iletişim, finansal (IBAN/ekstre/fatura/vergi), SGK/istihdam, belge içerikleri ve OCR çıktıları (Ek-1) |
| İlgili kişi grupları | Mükellefler, mükelleflerin çalışanları, ortakları, müşterileri ve tedarikçileri |
3. VERİ İŞLEYENİN (DİJİMU) YÜKÜMLÜLÜKLERİ
3.1. Talimata bağlılık: Dijimu, kişisel verileri yalnızca Kullanıcı'nın belgelenmiş talimatları (Platform üzerinden verilen komutlar, ayarlar ve işbu DPA dâhil) doğrultusunda işler. Talimatın KVKK'ya aykırı olduğunu düşünürse Kullanıcı'yı bilgilendirir.
3.2. Amaç sınırlaması: Verileri, hizmetin sunumu dışında kendi amaçları için kullanmaz; mükellef mali verilerini üçüncü taraf yapay zekâ modellerinin eğitiminde kullanmaz.
3.3. Gizlilik: Verilere erişen personelin gizlilik yükümlülüğü altında olmasını sağlar; bu yükümlülük sözleşme sona erse dahi devam eder.
3.4. Güvenlik (m. 12): KVKK m. 12 ve Kurul rehberleri uyarınca Ek-2'deki teknik ve idari tedbirleri uygular ve güncel tutar.
3.5. İlgili kişi taleplerinde yardım: Mükelleflerden gelen KVKK m. 11 taleplerinde, Kullanıcı'nın yükümlülüğünü yerine getirebilmesi için gerekli teknik desteği (erişim, düzeltme, silme, dışa aktarma) sağlar.
3.6. İhlal bildirimi: Bir kişisel veri ihlali öğrenildiğinde Kullanıcı'yı gecikmeksizin bilgilendirir; ihlalin niteliği, etkilenen veriler ve alınan önlemler hakkında bilgi verir. Kullanıcı'nın KVKK Kurulu'na 72 saat içinde bildirim yükümlülüğünü yerine getirmesine yardımcı olur.
3.7. Kayıt ve hesap verebilirlik: İşleme faaliyetlerine ilişkin gerekli kayıtları tutar; Kullanıcı'nın talebi üzerine bu DPA'ya uyumu gösterir.
3.8. İade/imha: Hizmet sona erdiğinde, Kullanıcı'nın tercihine göre verileri iade eder veya imha eder (m. 7).
3.9. Sorumluluğun sınırı: Dijimu'nun bu DPA kapsamındaki sorumluluğu; (i) kişisel verilerin güvenli biçimde saklanması, barındırılması ve imhası, (ii) KVKK m. 12 kapsamındaki teknik ve idari güvenlik tedbirleri ve (iii) Kullanıcı'nın belgelenmiş talimatlarının teknik olarak yerine getirilmesi ile sınırlıdır. Bunların dışında kalan tüm işleme unsurları Kullanıcı'nın (veri sorumlusunun) sorumluluğundadır (bkz. m. 4.6-4.7).
4. VERİ SORUMLUSUNUN (KULLANICI) YÜKÜMLÜLÜKLERİ
4.1. Mükellefleri ve ilgili kişileri KVKK m. 10 uyarınca aydınlatmak ve gerekli hâllerde açık rıza almak.
4.2. Platform'a aktardığı verilerin işlenmesi için hukuki dayanağa ve yetkiye sahip olduğunu garanti etmek.
4.3. Verilerin doğruluğu ve güncelliğinden sorumlu olmak; talimatlarının hukuka uygun olmasını sağlamak.
4.4. Mükellef m. 11 başvurularını birinci derecede yanıtlamak.
4.5. Üçüncü taraf servis (Luca, GİB, SGK vb.) kimlik bilgilerini hukuka uygun temin etmek ve güncel tutmak.
4.6. Saklama dışındaki tüm işleme sorumluluğu Kullanıcı'dadır. Kullanıcı; hangi verinin Platform'a yükleneceğine/işleneceğine karar vermek, işlemenin hukuki sebebi, amacı, hukuka uygunluğu ve doğruluğu, ilgili kişilerin aydınlatılması ve açık rızalarının alınması, ilgili kişi (m. 11) taleplerinin yanıtlanması, muhasebe kural/tanım/hesap kodu tanımlamalarının doğruluğu, muhasebeleştirme çıktılarının ve bunların muhasebe programına (Luca/Zirve vb.) aktarımının ve kontrolünün doğruluğu dâhil, işleme faaliyetinin saklama dışındaki tüm unsurlarından tek başına sorumludur. Dijimu bu hususlarda esasa ilişkin hiçbir karar vermez; yalnızca Kullanıcı'nın talimatını teknik olarak icra eder.
4.7. Tazmin (Geri Ödeme): Kullanıcı'nın kendi hatasından (yanlış/eksik veri, yanlış tanımlama/kural, hatalı aktarım veya kontrol etmemesi) doğan bir nedenle Dijimu aleyhine ceza, tazminat veya dava ortaya çıkarsa; Dijimu'nun bu yüzden ödediği tüm bedelleri (avukatlık ücreti dâhil) Kullanıcı, Dijimu'nun talebi üzerine derhal öder.
5. ALT VERİ İŞLEYENLER (SUB-PROCESSORS)
5.1. Kullanıcı, Dijimu'nun hizmetin sunumu için Ek-3'te listelenen alt veri işleyenleri kullanmasına genel onay verir.
5.2. Dijimu, alt veri işleyenleri bu DPA'dakine eşdeğer yükümlülüklerle sözleşmesel olarak bağlar ve onların uyumundan Kullanıcı'ya karşı sorumludur.
5.3. Dijimu yeni bir alt veri işleyen ekler veya değiştirirse Platform/e-posta yoluyla önceden bilgilendirir; Kullanıcı makul ve haklı bir gerekçeyle itiraz edebilir. İtirazın çözülememesi hâlinde Kullanıcı ilgili hizmeti durdurabilir veya sözleşmeyi feshedebilir.
5.4. Güncel alt veri işleyen listesi (Ek-3):
| Alt İşleyen | Amaç | Yerleşim |
|---|---|---|
| Bulut/sunucu sağlayıcı | Barındırma | Yurt içi (Türkiye) |
| Google Cloud (Vision) | Belge OCR | ABD |
| Anthropic (Claude) | Belge OCR / metin analizi | ABD |
| Meta (WhatsApp Business) | Bildirim/yazışma | ABD |
| 2Captcha | Portal CAPTCHA çözümü | Rusya |
| Luca (Agiris), Zirve | Muhasebe entegrasyonu | Yurt içi |
| E-posta/SMS sağlayıcı | Bildirim/2FA | [Doldurulacak] |
| Ödeme kuruluşu (iyzico vb.) | Tahsilat | Yurt içi |
6. YURT DIŞINA AKTARIM (KVKK m. 9)
6.1. Ek-3'te "ABD" / "Rusya" olarak işaretli alt işleyenlere aktarım, KVKK m. 9 (7499 sayılı Kanun ile değişik) çerçevesinde; yeterlilik kararı yoksa standart sözleşme (SCC), bağlayıcı şirket kuralları veya taahhütname gibi uygun güvencelerle yapılır.
6.2. Standart sözleşme imzalanması hâlinde, imza tarihinden itibaren 5 iş günü içinde KVKK Kurulu'na bildirim yapılır.
6.3. Uygun güvence sağlanamayan hâllerde aktarım, yalnızca m. 9/6 istisnaları veya ilgili kişinin açık rızası ile gerçekleştirilir.
7. SÖZLEŞMENİN SONA ERMESİ — İADE VE İMHA
7.1. Hizmet ilişkisi sona erdiğinde Kullanıcı'ya verilerini dışa aktarma (export) imkânı tanınır.
7.2. Bu sürenin ardından Dijimu, yasal saklama yükümlülüğü bulunan veriler hariç olmak üzere, kişisel verileri Saklama ve İmha Politikası'na uygun olarak siler/yok eder/anonimleştirir. Yasal saklama gerektiren veriler, süre boyunca yalnızca saklama amacıyla muhafaza edilir.
8. DENETİM
8.1. Kullanıcı, Dijimu'nun bu DPA'ya uyumunu makul aralıklarla ve makul bildirimle denetleme/denetletme hakkına sahiptir. Dijimu, talep üzerine uyumu gösteren belge ve bilgileri (güvenlik özetleri, varsa bağımsız denetim raporları) sağlar.
9. SORUMLULUK
9.1. KVKK m. 12/2 uyarınca taraflar, aldıkları/alması gereken tedbirlerden müştereken sorumludur. Taraflardan her biri, kendi kusurundan kaynaklanan ihlallerden sorumlu olup, diğer tarafın bu nedenle ödemek zorunda kaldığı idari para cezası ve tazminatları rücu hakkı saklıdır. Dijimu'nun bu DPA kapsamındaki toplam sorumluluğu, Üyelik Sözleşmesi'ndeki sorumluluk sınırlamasına tabidir. Taraflar arasındaki iç ilişkide Dijimu'nun sorumluluğu m. 3.9'da belirtilen hususlarla (güvenli saklama ve teknik güvenlik) sınırlı olup, saklama dışındaki işleme faaliyetlerine ilişkin sorumluluk ve bunlardan doğan zararlar Kullanıcı'ya aittir.
10. YÜRÜRLÜK VE EKLER
Bu DPA, Üyelik Sözleşmesi'nin kabulü ile birlikte yürürlüğe girer. Ekleri:
- Ek-1: İşlenen veri kategorileri ve ilgili kişi grupları (Aydınlatma Metni m. 2.B)
- Ek-2: Teknik ve idari tedbirler (Aydınlatma Metni m. 10)
- Ek-3: Alt veri işleyen listesi (yukarıda m. 5.4)
Versiyon: v1.0 · Yürürlük tarihi: 27.06.2026