DEVSEPET VERİ İŞLEME GÜVENLİĞİ TAAHHÜTNAMESİ (SATICI İÇİN)
KVKK Madde 12 Uyarınca Veri Sorumlusu Yükümlülüklerine İlişkin Beyanname
Son Güncelleme Tarihi: 24.05.2026
BÖLÜM 1 – TARAFLAR VE TANIMLAR
Madde 1 – TARAFLAR
1.1. Platform İşletmecisi ("DevSepet")
DevSepet markası altında elektronik ticaret hizmeti sunan,
Vergi Numarası: 7720417575
Adres: Kırmızı Kuşak Sokak No:14, Kadıköy / İstanbul
Telefon: 0850 242 3828
E-posta: info@devsepet.net
Domain: devsepet.net (2004 kuruluş)
(Bundan sonra "DevSepet" olarak anılacaktır.)
1.2. Satıcı ("Veri Sorumlusu")
Platform üzerinden ürün veya hizmet satışı yapmak üzere DevSepet ile Satıcı Hizmet Sözleşmesi imzalayan gerçek kişi veya tüzel kişi işletme.
(Bundan sonra "Satıcı" olarak anılacaktır.)
Madde 2 – TANIMLAR
Bu taahhütnamede geçen terimler aşağıdaki anlamları taşır:
| Terim | Açıklama |
|---|---|
| KVKK | 6698 sayılı Kişisel Verilerin Korunması Kanunu |
| Alıcı Verileri | Satıcı'nın DevSepet platformu üzerinden sipariş teslimatı ve iade süreci için eriştiği Alıcı'ya ait kişisel veriler (ad, soyad, adres, telefon, sipariş detayları, iade bilgileri, varsa TC kimlik no) |
| Veri İhlali | Kişisel verilerin yetkisiz kişilerce ele geçirilmesi, ifşa edilmesi, kaybolması, değiştirilmesi veya erişilemez hale gelmesi |
| Teknik Tedbirler | Şifreleme, erişim loglama, güvenlik duvarı, antivirüs, güncelleme yönetimi, veri yedekleme, ağ izleme gibi BT güvenlik önlemleri |
| İdari Tedbirler | Personel eğitimi, gizlilik sözleşmeleri, erişim yetkisi kısıtlamaları, disiplin yaptırımları, denetim prosedürleri |
BÖLÜM 2 – TAAHHÜTLER
Madde 3 – VERİ SORUMLUSU SIFATININ KABULÜ
3.1. Satıcı, Alıcı Verileri üzerinde KVKK madde 3 ve 12 uyarınca tam ve münhasır veri sorumlusu sıfatına sahip olduğunu kabul, beyan ve taahhüt eder.
3.2. Satıcı, DevSepet'in Alıcı Verileri üzerinde hiçbir şekilde veri sorumlusu sıfatı bulunmadığını, DevSepet'in yalnızca aracı hizmet sağlayıcı olarak Alıcı Verilerini Satıcı'ya ilettiğini kabul eder.
3.3. Satıcı, Alıcı Verileri ile ilgili olarak KVKK kapsamında doğabilecek her türlü hukuki, cezai ve mali sorumluluğun (idari para cezaları, tazminat talepleri, ceza davaları vb.) tamamının kendisine ait olduğunu kabul eder.
Madde 4 – ALICI VERİLERİNİN KULLANIM AMACI SINIRI
4.1. Satıcı, Alıcı Verilerini yalnızca ve sadece aşağıdaki amaçlarla kullanacağını taahhüt eder:
Sipariş teslimatı (kargo firması ile paylaşım dahil)
İade ve cayma hakkı süreçlerinin yönetimi
Ayıplı mal bildirimi ve garanti süreçlerinin yürütülmesi
Varsa yasal zorunluluklar (örneğin fatura düzenlenmesi gerekiyorsa)
4.2. Satıcı, Alıcı Verilerini kesinlikle aşağıdaki amaçlarla kullanmayacağını taahhüt eder:
Pazarlama, reklam, hedefleme, profil oluşturma (açık rıza alınmamışsa)
Alıcı verilerini üçüncü kişilere satmak, kiralamak, devretmek
Alıcı verilerini kendi veri tabanında ticari amaçla saklamak (yasal süreler haricinde)
Alıcı verilerini DevSepet dışındaki başka bir platformda veya kanalda kullanmak
4.3. İhlal halinde, her bir Alıcı kaydı için 500 TL cezai şart (Satıcı Sözleşmesi m.16 uyarınca) ve hesabın askıya alınması / feshi uygulanır.
Madde 5 – TEKNİK VE İDARİ TEDBİRLER
Satıcı, Alıcı Verilerinin güvenliğini sağlamak için aşağıdaki asgari tedbirleri almayı ve sürekli kılmayı taahhüt eder:
5.1. Teknik Tedbirler (Asgari Liste)
| No | Tedbir | Açıklama |
|---|---|---|
| 1 | Şifreleme | Alıcı Verilerini (özellikle ad, adres, telefon) kendi sisteminde saklıyorsa, veritabanı şifreleme (AES-256 veya eşdeğeri) kullanmalıdır. |
| 2 | Erişim Loglama | Alıcı Verilerine kim, ne zaman, hangi IP'den, hangi amaçla eriştiğini loglamalı ve bu logları en az 2 yıl saklamalıdır. |
| 3 | Güvenlik Duvarı (Firewall) | Kendi sistemlerini (bilgisayar, sunucu, ağ) yetkisiz erişime karşı korumalıdır. |
| 4 | Antivirüs ve Anti-malware | Tüm cihazlarda güncel antivirüs yazılımı bulundurmalıdır. |
| 5 | Parola Politikası | DevSepet paneli için güçlü parola (en az 8 karakter, büyük/küçük harf, rakam, özel karakter) kullanmalı, aynı parolayı başka platformlarda kullanmamalıdır. |
| 6 | İki Faktörlü Kimlik Doğrulama (2FA) | DevSepet paneli için 2FA'yı aktif etmelidir (DevSepet tarafından sağlanıyorsa). |
| 7 | Yedekleme | Alıcı Verilerini (zorunlu hallerde) şifrelenmiş olarak yedeklemeli, yedekleri güvenli ortamda saklamalıdır. |
| 8 | Güncelleme Yönetimi | İşletim sistemi, tarayıcı, antivirüs ve diğer yazılımları güncel tutmalıdır. |
5.2. İdari Tedbirler (Asgari Liste)
| No | Tedbir | Açıklama |
|---|---|---|
| 1 | Personel Eğitimi | Satıcı'nın çalışanları (varsa) KVKK ve veri güvenliği konularında yılda en az 1 kez eğitilmelidir. |
| 2 | Gizlilik Sözleşmeleri | Alıcı Verilerine erişen tüm çalışanlar, işe başlarken gizlilik sözleşmesi imzalamalıdır. |
| 3 | Erişim Yetkisi Kısıtlaması | Alıcı Verilerine yalnızca ihtiyacı olan personel (örneğin kargo sorumlusu) erişebilmeli, diğer personelin erişimi engellenmelidir. |
| 4 | İhlal Bildirim Prosedürü | Veri ihlali halinde ne yapılacağına dair yazılı prosedür bulundurulmalı ve personel bu konuda bilgilendirilmelidir. |
| 5 | Denetim | Satıcı, kendi sistemlerini yılda en az 1 kez iç denetime tabi tutmalı veya dışarıdan bağımsız denetim yaptırmalıdır. |
5.3. Satıcı, yukarıdaki tedbirlerden herhangi birini almaması halinde, doğacak her türlü zarardan tamamen ve münhasıran sorumlu olduğunu kabul eder.
Madde 6 – VERİ İHLALİ BİLDİRİM YÜKÜMLÜLÜĞÜ
6.1. Satıcı, aşağıdaki durumları derhal (en geç 24 saat içinde) DevSepet'e bildirmekle yükümlüdür:
Alıcı Verilerine yetkisiz erişim (hack, brute force, phishing)
Alıcı Verilerinin kaybolması (bilgisayar çalınması, USB kaybı, kağıt fatura kaybı)
Alıcı Verilerinin yanlışlıkla veya kasıtlı olarak ifşa edilmesi (e-posta ile yanlış kişiye gönderme, sosyal medyada paylaşma)
Alıcı Verilerinin değiştirilmesi veya silinmesi (ransomware, sabotaj)
6.2. Bildirim info@devsepet.net adresine yapılmalı ve aşağıdaki bilgileri içermelidir:
İhlalin tarihi ve saati
İhlalden etkilenen Alıcı sayısı (tahmini)
Hangi veri kategorilerinin etkilendiği (ad, telefon, adres vb.)
Alınan acil önlemler (şifre değişimi, sistem kapatma vb.)
İhlalin kaynağına ilişkin ilk bulgular
6.3. Satıcı, ihlal bildirimini yapmadığı veya geç yaptığı takdirde, her bir gün için 1.000 TL cezai şart ödemeyi kabul eder.
Madde 7 – VERİ İHLALİ SONRASI DEVSEPET'İN YAPACAĞI İŞLEMLER
7.1. DevSepet, Satıcı'dan gelen ihlal bildirimi üzerine aşağıdaki işlemleri yapma hakkına sahiptir:
Satıcı'nın panel erişimini geçici olarak askıya almak
İhlali KVKK'ya bildirmek (KVKK m.12 uyarınca veri sorumlusu Satıcı olmasına rağmen, DevSepet kendi risk yönetimi gereği bildirimde bulunabilir)
Etkilenen Alıcıları bilgilendirmek (e-posta, SMS, platform duyurusu)
İhlal nedeniyle doğan tüm masrafları (danışmanlık, yasal süreç, KVKK cezaları, tazminatlar) Satıcı'ya rücu etmek ve/veya Satıcı'nın mutabakatından kesmek
7.2. Satıcı, DevSepet'in yukarıdaki işlemleri yapmasına önceden ve peşinen izin verdiğini, bu işlemlerden doğan tüm mali ve hukuki sonuçlara katlanacağını kabul eder.
Madde 8 – ALICI VERİLERİNİN SAKLANMA SÜRESİ
8.1. Satıcı, Alıcı Verilerini aşağıdaki sürelerden daha uzun süre saklamayacağını taahhüt eder:
| Veri Türü | Azami Saklama Süresi | Dayanak |
|---|---|---|
| Sipariş teslimat verileri (ad, adres, telefon) | Teslimat tamamlandıktan sonra 6 ay | Meşru menfaat / sözleşme ifası |
| İade ve cayma hakkı süreci verileri | İade tamamlandıktan sonra 1 yıl | Olası uyuşmazlık (2 yıl zamanaşımına karşı tedbiren) |
| Garanti ve ayıplı mal bildirimi | Teslimden itibaren 2 yıl | TKHK m.11 (ayıplı malda 2 yıl) |
| Fatura ve ticari defter kayıtları (Satıcı'nın kendi sisteminde) | 10 yıl | VUK m.253 (vergi yükümlülüğü) |
8.2. Sürelerin dolmasını takiben Satıcı, Alıcı Verilerini derhal silmek, yok etmek veya anonim hale getirmekle yükümlüdür.
8.3. Anonimleştirme, verinin hiçbir şekilde kimlikle ilişkilendirilemeyecek hale getirilmesi (örneğin sadece şehir bazında istatistik saklamak, ad ve adres bilgilerini silmek) şeklinde yapılmalıdır.
Madde 9 – ALT İŞLEYEN KULLANIMI (VARSI)
9.1. Satıcı, Alıcı Verilerini işlemek üzere bir alt işleyen (veri işleyen) kullanacaksa (örneğin kargo firması, çağrı merkezi, yazılım hizmeti), bu alt işleyen ile KVKK uyumlu bir veri işleme sözleşmesi yapmak zorundadır.
9.2. Satıcı, alt işleyenin neden olacağı veri ihlallerinden tamamen ve münhasıran sorumludur. Alt işleyenin yükümlülüklerini yerine getirmemesi halinde Satıcı, DevSepet'e karşı sorumluluğunu devam ettirir.
9.3. Satıcı, kullandığı alt işleyenlerin listesini DevSepet'e yazılı olarak (panel üzerinden veya e-posta ile) bildirmekle yükümlüdür. DevSepet, listeyi talep etme ve onaylama hakkına sahiptir.
BÖLÜM 3 – DENETİM VE YAPTIRIM
Madde 10 – DEVSEPET'İN DENETİM HAKKI
10.1. DevSepet, Satıcı'nın bu taahhütnameye uyumunu denetleme hakkına sahiptir. Denetim:
Uzaktan: Satıcı'dan sistem loglarını, güvenlik prosedürlerini, çalışan eğitim kayıtlarını talep etme
Yerinde: Önceden 7 gün yazılı bildirim yaparak Satıcı'nın iş yerinde inceleme yapma (yılda en fazla 1 kez)
Test alımı: Anonim Alıcı bilgileri kullanarak Satıcı'nın veri işleme süreçlerini test etme
10.2. Denetim masrafları (seyahat, konaklama, danışmanlık vb.) ihlal tespit edilirse Satıcı'ya, ihlal tespit edilmezse DevSepet'e aittir.
10.3. Satıcı, denetime ilişkin tüm bilgi ve belgeleri sağlamakla yükümlüdür. Denetime engel olma veya bilgi vermeme hali, sözleşme ihlali sayılır ve hesabın askıya alınması / feshi sonucunu doğurur.
Madde 11 – CEZAİ ŞARTLAR (ÖZET)
Aşağıdaki ihlal türlerine uygulanacak cezai şartlar, Satıcı Sözleşmesi m.16 ile birlikte uygulanır:
| İhlal | Ceza (TL) | Ek Yaptırım |
|---|---|---|
| Alıcı verilerini izinsiz amaçla kullanma (her bir kayıt) | 500 | Hesap askıya alma |
| Veri ihlali bildirimini 24 saat içinde yapmama (her bir gün) | 1.000 | Hesap askıya alma |
| Alıcı verilerini yasal süreden uzun saklama (her bir kayıt) | 250 | Verilerin silinmesini sağlama |
| Alt işleyen kullanımını bildirmeme | 5.000 | Uyarı, tekrarında fesih |
| Denetime engel olma | 10.000 | Fesih |
BÖLÜM 4 – SON HÜKÜMLER
Madde 12 – TAAHHÜTNAMENİN GEÇERLİLİĞİ VE SÜRESİ
12.1. Bu taahhütname, Satıcı'nın DevSepet platformunda satıcılık yapmaya başladığı tarihte yürürlüğe girer ve Satıcı Hizmet Sözleşmesi'nin sona ermesinden itibaren 10 yıl boyunca geçerliliğini korur (özellikle veri saklama, silme, ihlal bildirimi ve tazminat yükümlülükleri açısından).
12.2. Taahhütname, Satıcı Hizmet Sözleşmesi'nin eki ve ayrılmaz parçasıdır. Sözleşmenin feshi, bu taahhütnameyi otomatik olarak sona erdirmez.
Madde 13 – DEĞİŞİKLİKLER
13.1. DevSepet, bu taahhütnameyi KVKK değişiklikleri, Kurul kararları veya teknolojik gelişmeler nedeniyle 30 gün önceden platformda duyurmak ve Satıcı'nın e-posta adresine bildirim göndermek suretiyle değiştirebilir.
13.2. Değişiklikleri kabul etmeyen Satıcı, 30 gün içinde Satıcı Hizmet Sözleşmesi'ni feshedebilir. Aksi halde değişiklikler kabul edilmiş sayılır.
Madde 14 – YÜRÜRLÜK
Bu taahhütname, Satıcı'nın ıslak imzası veya güvenli elektronik imzası (e-imza) ile DevSepet'e ibraz etmesiyle yürürlüğe girer. DevSepet paneli üzerinden "Veri İşleme Güvenliği Taahhütnamesi'ni okudum, anladım, kabul ediyorum" butonuna tıklanması da ıslak imza yerine geçerli kabul edilir (Elektronik İmza Kanunu m.15 uyarınca).
BÖLÜM 5 – İMZA
Satıcı Beyanı:
Yukarıda yazılı tüm maddeleri okudum, anladım. KVKK kapsamında veri sorumlusu sıfatıyla tüm yükümlülükleri yerine getireceğimi, Alıcı verilerinin güvenliğini sağlamak için gerekli teknik ve idari tedbirleri alacağımı, ihlal halinde yukarıda belirtilen cezai şartları ve tazminat yükümlülüklerini kabul ettiğimi beyan ve taahhüt ederim.
| Satıcı Ünvanı / Adı Soyadı | _______________________________ |
| Vergi Numarası / TC Kimlik No | _______________________________ |
| Adres | _______________________________ |
| Telefon | _______________________________ |
| E-posta | _______________________________ |
| Tarih | ...../...../2026 |
| İmza (Islak veya e-imza) | _______________________________ |
DevSepet İşletmesi
Son Güncelleme: 24.05.2026