GDPR Uyumluluğu
Avrupa Birliği Genel Veri Koruma Tüzüğü kapsamındaki haklarınız, uluslararası veri transferi güvenceleri ve uyum yaklaşımımız.
CLOUD SOLUTIONS
GDPR Uyumluluğu
Avrupa Birliği Genel Veri Koruma Tüzüğü kapsamındaki haklarınız, uluslararası veri transferi güvenceleri ve uyum yaklaşımımız.
Son Güncelleme: 01/05/2026
GDPR UYUMLULUK BEYANI
Son Güncelleme: 01/05/2026 Yürürlük Tarihi: 01/05/2026
1. GİRİŞ VE AMAÇ
İşbu GDPR Uyumluluk Beyanı ("Beyan"), NFO Digital Software and Information Hiz. San. ve Tic. A.Ş. ("yuppi.cloud") tarafından, Avrupa Birliği Genel Veri Koruma Tüzüğü (2016/679 sayılı Tüzük – "GDPR") kapsamındaki yükümlülüklerinin yerine getirilmesine ilişkin yaklaşımını, alınan önlemleri ve veri sahiplerinin haklarını açıklamak amacıyla hazırlanmıştır.
yuppi.cloud, hem Türkiye'deki 6698 sayılı Kişisel Verilerin Korunması Kanunu'na ("KVKK") hem de AB'de uygulanan GDPR'a uyumlu şekilde faaliyet göstermektedir. İşbu Beyan; Gizlilik Politikası, Çerez Politikası, Kullanım Koşulları ve Gizlilik Taahhüdü ile birlikte okunmalı ve bir bütün olarak değerlendirilmelidir.
2. KAPSAM
İşbu Beyan, GDPR'ın 3. maddesi uyarınca aşağıdaki kişilere uygulanır:
a) Avrupa Birliği ve Avrupa Ekonomik Alanı (AEA) sınırları içinde bulunan ve yuppi.cloud Hizmetlerini kullanan veri sahipleri,
b) Yerleşim yerinden bağımsız olarak, AB sınırları içinde mal veya hizmet sunulan veri sahipleri,
c) Davranışları AB sınırları içinde izlenen veri sahipleri.
3. ROL TAYİNİ
3.1. Veri Sorumlusu Sıfatı
yuppi.cloud, aşağıdaki hallerde GDPR'ın 4(7). maddesi anlamında veri sorumlusu (data controller) sıfatını haizdir:
- Web sitesi ziyaretçilerine ait verilerin işlenmesi,
- Pazarlama iletişimleri kapsamında işlenen veriler,
- Müşteri hesabı oluşturma ve yönetimi sürecinde işlenen veriler,
- Faturalandırma ve ödeme işlemleri kapsamında işlenen veriler,
- Müşteri destek talepleri kapsamında işlenen veriler.
3.2. Veri İşleyen Sıfatı
Müşterilerin Hizmetler aracılığıyla yüklediği, oluşturduğu veya sakladığı veriler (Hizmet Verileri) söz konusu olduğunda yuppi.cloud, GDPR'ın 4(8). maddesi anlamında veri işleyen (data processor) sıfatını haizdir. Bu kapsamda veri sorumlusu sıfatı müşteriye aittir.
Veri işleyen sıfatıyla yuppi.cloud, Hizmet Verileri'ne yalnızca müşterinin belgelenmiş talimatları doğrultusunda erişir ve bu verileri işler.
4. VERİ İŞLEMENİN HUKUKİ DAYANAKLARI
yuppi.cloud, kişisel verileri GDPR'ın 6. maddesinde sayılan hukuki dayanaklara göre işler:
a) Madde 6(1)(a) – Açık Rıza: Pazarlama iletişimleri, isteğe bağlı çerezler ve diğer hukuki dayanağı bulunmayan işleme faaliyetleri.
b) Madde 6(1)(b) – Sözleşmenin İfası: Hesap yönetimi, hizmet sunumu, faturalandırma ve sözleşmesel yükümlülüklerin yerine getirilmesi.
c) Madde 6(1)(c) – Hukuki Yükümlülük: Vergi mevzuatı, ticari defter tutma yükümlülüğü ve diğer mevzuattan kaynaklanan yükümlülükler.
d) Madde 6(1)(f) – Meşru Menfaat: Bilgi güvenliği, dolandırıcılık önleme, hizmet kalitesinin iyileştirilmesi ve müşteri ilişkileri yönetimi. Söz konusu meşru menfaatler, veri sahibinin temel hak ve özgürlükleri ile dengelenerek değerlendirilir.
Özel nitelikli kişisel veriler (GDPR Madde 9), yalnızca veri sahibinin açık rızasının bulunması veya GDPR'ın açıkça izin verdiği diğer haller kapsamında işlenir.
5. VERİ SAHİBİNİN HAKLARI
AB'de mukim veri sahipleri, GDPR'ın 15-22. maddeleri kapsamında aşağıdaki haklara sahiptir:
a) Erişim Hakkı (Madde 15): Kişisel verilerin işlenip işlenmediğini öğrenme, işleniyorsa bu verilere erişim sağlama hakkı.
b) Düzeltme Hakkı (Madde 16): Yanlış veya eksik kişisel verilerin düzeltilmesini veya tamamlanmasını talep etme hakkı.
c) Silme Hakkı / Unutulma Hakkı (Madde 17): Belirli koşulların gerçekleşmesi halinde kişisel verilerin silinmesini talep etme hakkı.
d) İşlemenin Kısıtlanması Hakkı (Madde 18): Belirli hallerde kişisel verilerin işlenmesinin kısıtlanmasını talep etme hakkı.
e) Veri Taşınabilirliği Hakkı (Madde 20): Kişisel verilerin yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta alınması ve başka bir veri sorumlusuna aktarılması hakkı.
f) İtiraz Hakkı (Madde 21): Meşru menfaate dayanan işleme faaliyetlerine ve doğrudan pazarlamaya itiraz etme hakkı. Doğrudan pazarlamaya itiraz koşulsuz olarak kullanılabilir.
g) Otomatik Karar Vermeye İlişkin Hak (Madde 22): Sadece otomatik işlemeye dayanan ve veri sahibi üzerinde hukuki sonuç doğuran veya benzer şekilde önemli ölçüde etkileyen kararlara tabi olmama hakkı.
h) Açık Rızanın Geri Alınması Hakkı (Madde 7(3)): Verilen açık rızanın dilenildiği zaman geri alınması hakkı. Geri alma, geri alma anına kadar gerçekleştirilen işlemenin hukuka uygunluğunu etkilemez.
i) Şikayet Hakkı (Madde 77): Yetkili denetim makamı nezdinde şikayette bulunma hakkı. AB veri sahipleri, mukim oldukları üye devletin denetim makamına başvurabilir.
6. HAKLARIN KULLANILMASI
Veri sahipleri yukarıda sayılan haklarını aşağıdaki yöntemlerle kullanabilir:
- E-posta: privacy@yuppi.cloud
- Posta: Akkent Mah. 23127 Sk. Arıcan XEN, Yenişehir / Mersin, Türkiye
Başvurular, GDPR'ın 12. maddesi uyarınca 1 (bir) ay içinde sonuçlandırılır. Başvurunun karmaşıklığı veya çokluğu halinde bu süre 2 (iki) ay daha uzatılabilir; bu durumda veri sahibi gecikme sebepleri ile birlikte bilgilendirilir.
Başvurular kural olarak ücretsizdir. Ancak başvurunun açıkça temelsiz, aşırı veya tekrarlanan nitelikte olması halinde makul bir ücret talep edilebilir veya başvuru reddedilebilir.
Başvurunun değerlendirilmesi için veri sahibinin kimliğinin doğrulanması gerekebilir. Bu çerçevede ek bilgi talep edilebilir.
7. ULUSLARARASI VERİ TRANSFERİ
7.1. Mevcut Durum
İşbu Beyan'ın yürürlük tarihi itibarıyla hizmet verileri yalnızca Türkiye bölgesinde, Cloudflare R2 (S3 uyumlu nesne depolama) altyapısı üzerinde tutulmaktadır.
Türkiye, Avrupa Komisyonu tarafından GDPR'ın 45. maddesi kapsamında "yeterlilik kararı" verilmiş ülkeler arasında yer almamaktadır. Bu nedenle AB'den Türkiye'ye yapılan veri aktarımları, GDPR'ın 46. maddesi kapsamında uygun güvenceler temelinde gerçekleştirilir.
7.2. Uygulanan Güvenceler
AB'den Türkiye'ye veri aktarımları aşağıdaki güvencelere tabidir:
a) Standart Sözleşme Maddeleri (Standard Contractual Clauses – SCC): Avrupa Komisyonu'nun 4 Haziran 2021 tarihli ve 2021/914 sayılı Uygulama Kararı ile kabul edilen, güncel versiyondaki Standart Sözleşme Maddeleri uygulanır.
b) Aktarım Etki Değerlendirmesi (Transfer Impact Assessment – TIA): Schrems II kararı (C-311/18) doğrultusunda, aktarım hedefi ülkedeki hukuki çerçeve ve veri koruma seviyesi değerlendirilir.
c) Ek Teknik Önlemler: Aktarılan veriler aktarım sırasında TLS 1.2+ ile, depolamada AES-256 şifreleme ile korunur. Erişim, rol bazlı yetkilendirme ile sınırlandırılmıştır.
7.3. Alt İşleyenler Aracılığıyla Aktarım
yuppi.cloud'un kullandığı alt işleyenler aracılığıyla gerçekleştirilen aktarımlar da yukarıda sayılan güvencelere tabidir. Alt işleyenlerin tam listesi ve aktarım hedefleri için Gizlilik Politikası'nın 12. maddesi incelenmelidir.
7.4. SCC Kopya Talebi
Yürürlükteki Standart Sözleşme Maddeleri'nin bir kopyası, talep üzerine privacy@yuppi.cloud adresinden temin edilebilir.
8. TEKNİK VE İDARİ TEDBİRLER
GDPR'ın 32. maddesi kapsamında yuppi.cloud, kişisel verilerin güvenliğini sağlamak amacıyla aşağıdaki teknik ve idari tedbirleri uygulamaktadır:
8.1. Teknik Tedbirler
- Aktarım sırasında TLS 1.2 ve üzeri protokollerle şifreleme,
- Depolamada AES-256 standardında şifreleme,
- Rol bazlı erişim kontrolü ve yetkilendirme sistemleri,
- Çok faktörlü kimlik doğrulama (MFA) altyapısı,
- Düzenli güvenlik testleri ve sızma testleri,
- Sistem ve uygulama loglarının tutulması ve izlenmesi,
- DDoS koruması ve web uygulama güvenlik duvarı (WAF),
- Günlük otomatik yedekleme ve yedeklerin şifreli saklanması,
- Yazılım güncellemelerinin ve güvenlik yamalarının düzenli uygulanması.
8.2. İdari Tedbirler
- Personel için gizlilik taahhütnameleri,
- Düzenli farkındalık ve veri koruma eğitimleri,
- Erişim yetkilerinin ihtiyaç ölçüsünde sınırlandırılması (need-to-know prensibi),
- Veri ihlali müdahale prosedürleri ve müdahale ekibi,
- Üçüncü taraf sağlayıcılarla veri işleme sözleşmeleri (DPA),
- Düzenli iç denetimler.
9. VERİ İHLALİ BİLDİRİMİ
Kişisel veri ihlali yaşanması halinde:
9.1. Denetim Makamına Bildirim
GDPR'ın 33. maddesi uyarınca, kişisel veri ihlali fark edildiği andan itibaren mümkün olduğunca kısa sürede ve en geç 72 (yetmiş iki) saat içinde yetkili denetim makamına bildirim yapılır. Bildirimin 72 saatten geç yapılması halinde gecikme nedenleri belirtilir.
9.2. Veri Sahibine Bildirim
İhlalin veri sahibinin hak ve özgürlüklerine ilişkin yüksek risk doğurması halinde, GDPR'ın 34. maddesi uyarınca veri sahipleri de gecikmeksizin bilgilendirilir.
9.3. Bildirim İçeriği
İhlal bildirimleri en az aşağıdaki bilgileri içerir:
- İhlalin niteliği ve etkilenen veri kategorileri,
- Tahmini etkilenen veri sahibi sayısı,
- İhlalin olası sonuçları,
- Alınan veya alınması planlanan tedbirler,
- Veri Koruma Sorumlusu veya iletişim noktası bilgileri.
10. VERİ İŞLEME SÖZLEŞMESİ (DPA)
Müşterilerin GDPR kapsamında veri sorumlusu sıfatıyla yuppi.cloud Hizmetlerini kullandığı hallerde, GDPR'ın 28. maddesi uyarınca taraflar arasında bir Veri İşleme Sözleşmesi (Data Processing Agreement – DPA) akdedilmesi gerekmektedir.
yuppi.cloud, standart bir DPA şablonu sunmakta olup talep eden müşterilere privacy@yuppi.cloud adresi üzerinden iletilmektedir. Standart DPA aşağıdaki hususları düzenler:
- İşlemenin konusu, süresi, niteliği ve amacı,
- Kişisel veri kategorileri ve veri sahipleri kategorileri,
- Veri sorumlusu ve veri işleyenin yükümlülükleri,
- Alt işleyen kullanımına ilişkin koşullar,
- Güvenlik tedbirleri,
- Veri ihlali bildirim yükümlülükleri,
- Veri sahibi hak taleplerinde işbirliği,
- Denetim hakları,
- Sözleşmenin sona ermesi sonrasında verilerin akıbeti.
11. ALT İŞLEYENLER
GDPR'ın 28. maddesi uyarınca yuppi.cloud'un kullandığı alt işleyenler, müşterilere şeffaf biçimde bildirilir. Alt işleyenlerin güncel listesi Gizlilik Politikası'nın 12. maddesinde yer almakta olup yuppi.cloud, alt işleyenlerle ilgili önemli değişiklikleri müşterilere makul bir süre öncesinden bildirir.
Müşterilerin yeni alt işleyenlere itiraz hakkı saklıdır. İtiraz halinde, taraflar makul bir çözüm bulmaya çalışır; mutabık kalınamaması durumunda müşteri sözleşmeyi feshetme hakkına sahiptir.
12. AB TEMSİLCİSİ
İşbu Beyan'ın yürürlük tarihi itibarıyla yuppi.cloud, GDPR'ın 27. maddesi kapsamında AB içinde bir temsilci atamamıştır; ancak işleme faaliyetlerinin kapsamı ve niteliği gerektirdiği takdirde ileride AB temsilcisi atanabilir. Bu durumda işbu Beyan güncellenir ve temsilci bilgileri yayımlanır.
13. VERİ KORUMA SORUMLUSU (DPO)
İşbu Beyan'ın yürürlük tarihi itibarıyla yuppi.cloud, GDPR'ın 37. maddesi kapsamında zorunlu olarak Veri Koruma Sorumlusu (Data Protection Officer – DPO) atamakla yükümlü değildir. Bununla birlikte, veri koruma ile ilgili tüm soru, talep ve başvurular için iletişim noktası olarak privacy@yuppi.cloud adresi belirlenmiştir.
İleride yasal şartların gerektirmesi halinde resmi DPO ataması yapılır ve bu Beyan güncellenir.
14. KVKK İLE İLİŞKİ
yuppi.cloud, Türkiye'de mukim bir veri sorumlusu olarak öncelikli olarak 6698 sayılı KVKK'ya tabidir. AB'de mukim veri sahipleri bakımından ise GDPR'ın hükümleri uygulanır.
İki düzenleme arasında çelişki bulunması halinde, AB'de mukim veri sahipleri bakımından GDPR'ın daha lehe olan koruma seviyesi uygulanır. KVKK ve GDPR'ın birlikte uygulanması esastı
15. BEYANDA DEĞİŞİKLİKLER
İşbu Beyan; mevzuat değişiklikleri, veri koruma otoritelerinin kararları, hizmet kapsamındaki güncellemeler veya iş süreçlerindeki değişiklikler doğrultusunda güncellenebilir.
Esaslı değişiklikler yürürlüğe girmeden önce makul bir süre önce web sitesi üzerinden duyurulur. Beyanın güncel sürümü her zaman www.yuppi.cloud/gdpr-uyumluluk adresinde yayımlanır.
16. İLETİŞİM
GDPR kapsamındaki her türlü soru, talep ve başvuru için:
Veri Sorumlusu
Türkiye: NFO Digital Yazılım ve Bilişim Hiz. San. ve Tic. A.Ş.
Adres: Akkent Mah. 23127 Sk. Arıcan XEN, Yenişehir / Mersin, Türkiye
E-posta: privacy@yuppi.cloud
Uluslararası Şube: YUPPICLOUD LLC Adres: 1603 Capitol Avenue Suite 413J PMB 2300, Cheyenne, Wyoming 82001, ABD
E-posta: info@yuppi.cloud
www.yuppi.cloud