Ana Sayfa KVKK Aydınlatma Gizlilik Politikası Kullanım Koşulları Veri İşleyen Sözleşmesi

Veri İşleyen Sözleşmesi

B2B — Eğitim Kurumları İçin Veri Sorumlusu – Veri İşleyen İlişkisi

📅 Son güncelleme: 18 Mart 2026

Bu sözleşme kimler içindir? İşbu Veri İşleyen Sözleşmesi, Kreshim platformunu kullanan eğitim kurumları (kreşler ve anaokulları) ile Platform Sağlayıcı (Karsh Soft) arasındaki KVKK kapsamında veri işleme ilişkisini düzenlemektedir. Kurum yöneticileri, platformu aktif olarak kullanmaya başlamadan önce bu sözleşmeyi dijital olarak onaylamış sayılır.

1. Taraflar

İşbu sözleşme, aşağıdaki taraflar arasında akdedilmiştir:

Statü Taraf Açıklama
Veri Sorumlusu Eğitim Kurumu (Kreş/Anaokulu) Platformu kullanarak veli, öğrenci ve öğretmen kişisel verilerini toplayan ve işleme amacını belirleyen kurum.
Veri İşleyen Karsh Soft (Ankara, Türkiye) Eğitim kurumunun talimatları doğrultusunda kişisel verileri barındıran ve işleyen yazılım altyapı sağlayıcısı.

2. Tanımlar

  • KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu.
  • Kurul: Kişisel Verileri Koruma Kurulu.
  • VERBİS: Veri Sorumluları Sicil Bilgi Sistemi.
  • Platform: Kreshim mobil uygulaması ve ilişkili bulut hizmetleri.
  • Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen eğitim kurumu.
  • Veri İşleyen: Veri Sorumlusunun verdiği yetkiye dayanarak kişisel verileri işleyen Karsh Soft.
  • Kişisel Veri İhlali: Kişisel verilerin kazara veya yasaya aykırı olarak erişimine, ifşa edilmesine, değiştirilmesine veya yok edilmesine yol açan güvenlik ihlali.

3. Sözleşmenin Konusu ve Amacı

İşbu sözleşmenin konusu; Veri Sorumlusu sıfatıyla eğitim kurumunun, Kreshim platformu aracılığıyla topladığı kişisel verilerin, Veri İşleyen sıfatıyla Karsh Soft tarafından işlenmesine ilişkin tarafların hak ve yükümlülüklerinin belirlenmesidir.

Bu sözleşme, KVKK'nın öngördüğü Veri Sorumlusu – Veri İşleyen ilişkisinin hukuki çerçevesini oluşturur ve Kreshim hizmet sözleşmesinin ayrılmaz bir parçasıdır.

4. Veri İşleyenin (Karsh Soft) Yükümlülükleri

Karsh Soft, Veri İşleyen sıfatıyla aşağıdaki yükümlülükleri kabul ve taahhüt eder:

  1. Kişisel verileri yalnızca Veri Sorumlusunun talimatları ve platformun belirlenen fonksiyonları doğrultusunda işlemek.
  2. Kişisel verileri kendi ticari amaçları (hedefli reklamcılık, veri madenciliği, profil çıkarma, üçüncü taraflara veri satışı veya kiralama) için kesinlikle kullanmamak.
  3. KVKK'nın 12. maddesinde öngörülen idari ve teknik tedbirleri almak ve bunları güncel tutmak.
  4. Kişisel verilere erişimi, yalnızca hizmetin ifası için gerekli olan personelle sınırlamak ve bu personelin gizlilik taahhüdü vermesini sağlamak.
  5. Olası bir kişisel veri ihlali durumunda, Veri Sorumlusunu en geç 48 saat içerisinde yazılı olarak bilgilendirmek.
  6. Veri Sorumlusunun KVKK kapsamındaki yükümlülüklerini yerine getirmesi için gerekli teknik desteği sağlamak (veri sahibi başvurularına yanıt verilmesi, veri silme/düzeltme talepleri vb.).
  7. Sözleşmenin feshi halinde, Veri Sorumlusunun talebi doğrultusunda kişisel verileri iade etmek veya güvenli şekilde silmek ve silme işlemini belgelemek.

5. Veri Sorumlusunun (Eğitim Kurumu) Yükümlülükleri

Eğitim kurumu, Veri Sorumlusu sıfatıyla aşağıdaki yükümlülükleri kabul ve taahhüt eder:

  1. Platforma yüklediği tüm kişisel verileri hukuka uygun şekilde elde ettiğini beyan ve garanti etmek.
  2. Velileri ve öğretmenleri, kişisel verilerinin işlenmesine ilişkin KVKK'nın 10. maddesi kapsamında usulüne uygun aydınlatmak.
  3. Görsel medya paylaşımı ve yurt dışı veri aktarımı gibi açık rıza gerektiren işlemler için velilerden gerekli açık rızayı almak.
  4. VERBİS'e kayıt yükümlülüğü kapsamında gerekli bildirimleri yapmak.
  5. Veri sahibi başvurularını KVKK'nın öngördüğü sürelerde yanıtlamak.
  6. Platforma davet SMS'i veya e-postası gönderirken, mesaj içeriğinin ticari ileti niteliği taşımadığından emin olmak. Operasyonel bilgilendirme formatını kullanmak.
  7. Duyuru panelini reklam, kampanya veya pazarlama amaçlı mesajlar için kullanmamak; kullanılması halinde İYS (İleti Yönetim Sistemi) mevzuatı kapsamında tüm sorumluluğun kendisine ait olduğunu kabul etmek.

İYS Uyarısı: Kurum yöneticilerinin duyuru panelini kullanarak velilere "Yaz okulu indiriminden yararlanın!", "Kardeş indirimli kayıtlar başladı!" gibi tanıtım, pazarlama veya promosyon içerikli mesajlar göndermesi halinde, bu mesajlar 6563 sayılı ETK kapsamında "Ticari Elektronik İleti" statüsüne dönüşür. Bu tür iletilerin İYS kaydı olmaksızın gönderilmesi ağır idari para cezalarına tabidir. Bu sorumluluk tamamen ve münhasıran mesajı gönderen kuruma aittir.

6. İşlenen Kişisel Veri Kategorileri

Platform kapsamında Veri İşleyen tarafından Veri Sorumlusu adına işlenen kişisel veri kategorileri:

Veri Kategorisi Kapsam Veri Sahipleri
Kimlik Verileri Ad, soyad, doğum tarihi, cinsiyet Veli, Öğrenci, Öğretmen
İletişim Verileri E-posta, telefon numarası Veli, Öğretmen
Eğitim/Gelişim Verileri Sınıf bilgisi, yoklama, günlük akış kayıtları Öğrenci
Görsel/İşitsel Veriler Fotoğraf, video Öğrenci, Öğretmen
İşlem Güvenliği Verileri Kimlik doğrulama tanımlayıcısı, bildirim tokenı, log kayıtları Tüm kullanıcılar

7. Teknik ve İdari Güvenlik Tedbirleri

Veri İşleyen, KVKK'nın 12. maddesi kapsamında aşağıdaki tedbirleri almaktadır:

Teknik Tedbirler

  • Aktarım ve depolama sırasında veri şifreleme (TLS/SSL, AES-256)
  • Rol bazlı erişim kontrolü (RBAC) — kullanıcılar yalnızca yetkili verilere erişir
  • Uygulama bütünlüğü doğrulama mekanizması
  • Veri tabanı düzeyinde güvenlik kuralları ile erişim kontrolü
  • Otomatik medya imha fonksiyonu (30 günlük retansiyon)
  • Düzenli güvenlik güncellemeleri ve yama yönetimi

İdari Tedbirler

  • Personel gizlilik taahhütleri
  • Erişim yetki matrisi ve minimum yetki prensibi
  • İhlal müdahale planı ve prosedürleri
  • Periyodik güvenlik değerlendirmeleri

8. Alt Veri İşleyenler

Veri İşleyen, hizmetin ifası için aşağıdaki alt veri işleyenlerden yararlanmaktadır:

Alt Veri İşleyen Hizmet Konum
Bulut altyapı sağlayıcısı Kimlik doğrulama, veri tabanı, depolama, bildirim, bulut fonksiyonları AB / ABD

Yeni bir alt veri işleyen eklenmesi halinde, Veri Sorumlusu önceden bilgilendirilir.

9. Kişisel Veri İhlali Bildirim Prosedürü

Veri İşleyen, bir kişisel veri ihlali tespit ettiğinde:

  1. İhlali tespit ettiği andan itibaren en geç 48 saat içerisinde Veri Sorumlusunu yazılı olarak bilgilendirir.
  2. Bildirimde; ihlalin niteliği, etkilenen veri kategorileri ve tahmini kişi sayısı, muhtemel sonuçları ve alınan/alınacak tedbirler belirtilir.
  3. İhlalin etkilerini en aza indirmek için derhal müdahale eder ve Veri Sorumlusuyla koordineli çalışır.
  4. Veri Sorumlusunun, KVKK'nın 12/5. maddesi kapsamında Kurul'a bildirim yapmasına yardımcı olur.

10. Yurt Dışına Veri Aktarımı

Platform, kullandığı bulut altyapısı nedeniyle kişisel veriler yurt dışındaki sunucularda (AB veya ABD) barındırılabilmektedir. Bu aktarım:

  • KVKK'nın 9. maddesi kapsamında, veri sahiplerinden alınan açık rıza ile gerçekleştirilmektedir.
  • Altyapı sağlayıcısının Standart Sözleşme Maddeleri (Standard Contractual Clauses — SCC) ile desteklenmektedir.
  • Veriler, aktarım sırasında TLS/SSL şifreleme ile korunmaktadır.

Veri Sorumlusu, velilerden ve öğretmenlerden yurt dışı veri aktarımına ilişkin açık rızayı alma yükümlülüğünü kabul eder. Platform, kayıt/ilk giriş aşamasında bu rızayı ayrı bir onay kutucuğuyla toplamaktadır.

11. Ticari Elektronik İleti ve İYS Uyumu

Platform üzerinden gönderilen operasyonel bildirimler (çocuğun okula giriş yaptı, yeni duyuru, yeni fotoğraf vb.) ticari elektronik ileti sayılmaz ve İYS kaydı gerektirmez.

Kurum Sorumluluğu: Duyuru panelinin reklam, kampanya veya promosyon amaçlı mesajlar için kullanılması halinde, 6563 sayılı ETK ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik kapsamında sorumluluk tamamen ve münhasıran Veri Sorumlusuna (kuruma) aittir. Kurumun bu tür mesajlar göndermesi halinde İYS entegrasyonu ve onay sorumluluğu da kuruma aittir. Veri İşleyen, bu kapsamdaki ihlallerden sorumlu tutulamaz.

Davet Mesajları

Kurum yöneticisinin, velileri veya öğretmenleri platforma davet etmek amacıyla gönderdiği SMS veya e-posta mesajlarının içeriği belirleyicidir:

  • Operasyonel davet (örn: "Sayın Veli, çocuğunuzun eğitim süreçlerini takip edebilmeniz için kurumumuz tarafından oluşturulan profile erişebilirsiniz") — İYS'den muaftır.
  • Tanıtım/reklam amaçlı davet (örn: "Kreshim'i indirin, hayatınızı kolaylaştırın!") — Ticari ileti sayılır, İYS kaydı gerektirir.

Kurum, davet mesajlarının operasyonel nitelikte olmasını sağlamakla yükümlüdür.

12. Sözleşme Süresi ve Feshi

İşbu sözleşme, Veri Sorumlusunun platformu aktif olarak kullanmaya başladığı tarihte yürürlüğe girer ve platform kullanımı süresince geçerlidir.

Sözleşmenin feshi halinde:

  1. Veri İşleyen, Veri Sorumlusunun talebi üzerine, işlenen tüm kişisel verileri 30 gün içerisinde güvenli bir formatta iade eder veya kalıcı olarak siler.
  2. Silme işlemi gerçekleştirildikten sonra, silme belgesi Veri Sorumlusuna iletilir.
  3. Yasal saklama süreleri devam eden veriler, ilgili mevzuatın öngördüğü süre boyunca saklanmaya devam eder.

13. Uyuşmazlık Çözümü

İşbu sözleşmeden doğabilecek uyuşmazlıklarda Türkiye Cumhuriyeti yasaları uygulanır. Uyuşmazlıkların çözümünde Ankara Mahkemeleri ve İcra Daireleri yetkilidir.

Kabul Beyanı: Eğitim kurumu yöneticisi, Kreshim platformunu aktif olarak kullanmaya başlamasıyla birlikte, işbu Veri İşleyen Sözleşmesi'nin tüm hüküm ve koşullarını okuduğunu, anladığını ve kabul ettiğini beyan etmiş sayılır.