Legal

REZO İŞLETME KVKK VERİ İŞLEME VE VERİ PAYLAŞIM PROTOKOLÜ

İşletmeler İçin Veri Koruma, Veri Kullanımı ve KVKK Uyum Protokolü

Son Güncelleme: Mayıs 2026 · Sürüm 2.2

Bu Protokol; 6698 sayılı KVKK, Kişisel Verileri Koruma Kurulu kararları ve Veri Sorumluları Sicili (VERBİS) yükümlülükleri kapsamında hazırlanmış olup Rezo İşletme Üyelik Sözleşmesi'nin ayrılmaz ekidir.

1. Amaç ve Kapsam

Bu Protokol; Rezo Platformuna kayıtlı İşletmelerin platform üzerinden eriştikleri kullanıcı verilerini hangi kapsamda işleyebileceğini, tarafların KVKK kapsamındaki rollerini ve yükümlülüklerini düzenler.

İşletme, Rezo Platformunu kullanmaya başladığı andan itibaren bu Protokol hükümlerini kabul etmiş sayılır. Protokol; KVKK Md. 12 kapsamında veri güvenliğine ilişkin teknik ve idari tedbirlerin belgelenmesi işlevini de taşır.

2. Taraflar ve KVKK Kapsamındaki Veri Rolleri

Taraf | KVKK Rolü | Kapsam

Rezo | Veri Sorumlusu | Platform kullanıcılarına ait tüm verilerin işlenme amacını ve araçlarını belirler; VERBİS'e kayıt yükümlülüğü kapsamında değerlendirilmekte olup yasal eşiklerin aşılması halinde kayıt yükümlülüğü yerine getirilecektir.

İşletme | Bağımsız Veri Sorumlusu | Kendi müşteri ilişkileri kapsamında (rezervasyon onayı, hizmet sunumu) eriştiği verileri münferiden işler

Ödeme Altyapı Sağlayıcısı | Bağımsız Veri Sorumlusu / Veri İşleyen | Ödeme işlemleri için BDDK lisanslı bağımsız bir kuruluş olarak kendi sözleşmesi kapsamında hareket eder

İşletme, Rezo adına veri işleyen değildir — kendi adına bağımsız veri sorumlusudur. Bu nedenle işletmenin kendi müşterilerine yönelik ayrı bir KVKK Aydınlatma Metni hazırlaması hukuki zorunluluktur.

3. İşletmenin Erişebileceği Veriler ve Amaçları

İşletme, aşağıdaki verilerle sınırlı olmak üzere ve yalnızca belirtilen amaçlar için erişim hakkına sahiptir:

Veri kategorisi | Aktarılan veri | İzin verilen amaç | Hukuki dayanak

Kimlik | Ad, soyad, doğum tarihi ve cinsiyet (opsiyonel) | Rezervasyon karşılama, müşteri tanıma | KVKK Md. 5(2)(c) — sözleşme ifası

İletişim | Telefon, e-posta | Rezervasyon bildirimi, değişiklik/iptal | KVKK Md. 5(2)(c)

Rezervasyon | Tarih, saat, kişi sayısı | Kapasite planlama, hizmet hazırlığı | KVKK Md. 5(2)(c)

Özel istek | Kullanıcı notları | Hizmet kişiselleştirme | KVKK Md. 5(2)(c)

Ödeme ref. | İşlem referans no (kart no değil) | İade yönetimi, muhasebe | KVKK Md. 5(2)(ç) — yasal yükümlülük

★ Kullanıcının özel istek alanına girdiği alerji veya diyet bilgisi gibi sağlık verisi niteliği taşıyan bilgiler "özel nitelikli kişisel veri" sayılır. İşletme bu verileri yalnızca hizmet sunumu için kullanabilir ve KVKK Md. 6 kapsamında ek güvence uygulamalıdır.

4. Yasaklı Veri Kullanımları

İşletme aşağıdaki işlemleri kesinlikle gerçekleştirmeyeceğini kabul eder:

Yasaklı eylem | Hukuki sonuç

Kullanıcı verilerini pazarlama amacıyla kullanmak | KVKK idari para cezası (Md. 18) + Rezo fesih hakkı

İzinsiz reklam veya kampanya göndermek | ETK Md. 14 idari para cezası + KVKK ihlali

Kullanıcı verilerini üçüncü kişilerle paylaşmak | KVKK Md. 12 ihlali — veri sorumlusu sorumluluğu

Kullanıcı verilerini satmak veya ticarileştirmek | TCK Md. 136 — verileri hukuka aykırı verme veya ele geçirme

Rezo dışında CRM veya veri tabanı oluşturmak | KVKK Md. 4 — amaçla bağlılık ilkesi ihlali

Yetkisiz çalışanlarla veri paylaşmak | KVKK Md. 12 teknik/idari tedbir yükümlülüğü ihlali

Veriyi amacı dışında profilleme amacıyla kullanmak | KVKK Md. 4 — ölçülülük ilkesi ihlali

5. İşletmenin Kendi KVKK Yükümlülükleri

5.1. Aydınlatma Yükümlülüğü

İşletme, kendi müşterilerine karşı bağımsız veri sorumlusu olduğundan kendi adına aydınlatma yapmak zorundadır. Bu Rezo'nun sorumluluğu değildir. Rezo üzerinden gelen rezervasyon verilerini işlediği ölçüde kendi müşterilerine yönelik:

• bir KVKK Aydınlatma Metni hazırlamalı,

• bu metni işyerinde görünür bir yerde bulundurmalı veya dijital kanallardan erişilebilir kılmalı,

• KVKK kapsamındaki kullanıcı başvurularını (erişim, silme, düzeltme) karşılamak üzere bir iletişim kanalı kurmalıdır.

5.2. VERBİS Yükümlülüğü

Yıllık çalışan sayısı 50'nin üzerinde olan veya yıllık mali bilanço büyüklüğü 25 milyon TL'yi geçen işletmeler KVKK Md. 16 uyarınca VERBİS'e kaydolmakla yükümlüdür.

Eşiğin altındaki işletmeler VERBİS'e kayıt yükümlülüğünden muaf olmakla birlikte KVKK'nın diğer tüm hükümleri geçerlidir.

5.3. Teknik ve İdari Güvenlik Tedbirleri

İşletme, eriştiği kullanıcı verilerini korumak için asgari olarak aşağıdaki tedbirleri almakla yükümlüdür:

• Yalnızca yetkili personelin rezervasyon verilerine erişmesini sağlamak (erişim yetkilendirmesi),

• Rezervasyon verilerini içeren e-posta veya mesajları güvenli kanallardan iletmek,

• Fiziksel ortamda tutulan müşteri listelerini kilitli ve erişim kısıtlı yerde saklamak,

• Çalışanlarla gizlilik taahhütnamesi imzalamak,

• İşyerinden ayrılan personelin veri erişimini derhal kapatmak.

6. Veri İhlali ve Güvenlik Olayları

6.1. Bildirim Yükümlülükleri

İşletme, kullanıcı verilerine ilişkin bir ihlal, yetkisiz erişim veya güvenlik olayı tespit etmesi halinde:

Bildirim yükümlülüğü | Süre ve kanal

Rezo'ya bildirim | İhlali öğrenmesinden itibaren en geç 24 saat — bilgi@rezo.com.tr

KVKK Kurulu'na bildirim | 72 saat (KVKK Md. 12/5 — ihlal kişileri etkiliyor ise)

Etkilenen kullanıcılara bildirim | En kısa sürede, anlaşılır dilde

6.2. İhlal Sonrası Yükümlülükler

• İhlalin kapsamını ve etkilenen veri kategorilerini belgelemek,

• İhlalin etkilerini azaltıcı teknik önlemleri derhal almak,

• Rezo'nun talep ettiği bilgi ve belgeleri 48 saat içinde sağlamak,

• Yetkili kurum ve kuruluşlarla iş birliği yapmak,

• İhlalin tekrarını önleyen düzeltici tedbirleri uygulamak.

• İhlali Rezo'ya bildirmemek hem bu Protokolü hem KVKK Md. 12'yi ihlal eder. İşletme, gizlediği ihlalin Rezo'ya yansıyan sonuçlarından sorumludur.

7. Veri Saklama Süreleri

İşletme, eriştiği kullanıcı verilerini yalnızca aşağıdaki süreler boyunca saklayabilir:

Veri türü | Azami saklama süresi ve dayanak

Rezervasyon bilgileri (ad, tarih, kişi sayısı) | Rezervasyon tarihinden itibaren 2 yıl (TTK Md. 82 kapsamı dışında)

İletişim bilgileri (telefon, e-posta) | Yalnızca aktif rezervasyon sürecinde; tamamlanınca silinmeli

Ödeme referans kayıtları | 10 yıl (213 sayılı VUK Md. 253)

Özel istek / sağlık verisi niteliğindeki notlar | Rezervasyon tarihinden itibaren en geç 6 ay

Müşteri şikâyet yazışmaları | Kapanıştan itibaren 3 yıl

Azami saklama süresi dolan veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir. İşletme kullanıcı verilerini süresiz arşivleyemez.

★ İşletme, veri silme işlemlerini belgeleyen bir "imha kaydı" tutması KVKK Md. 7 kapsamında önerilir.

8. Alt Veri İşleyenler

İşletme, kullanıcı verilerini işlemek için üçüncü taraf yazılım veya hizmet kullanıyorsa (örneğin POS sistemi, CRM yazılımı, rezervasyon defteri uygulaması):

• Bu sistemlerle veri işleme sözleşmesi (KVKK uyumlu) imzalanmalıdır,

• Söz konusu sistemlerin KVKK'ya uygun güvenlik önlemleri aldığından emin olunmalıdır,

• Rezo verilerinin bu sistemlere aktarılması durumunda Rezo önceden bilgilendirilmelidir,

• Rezo, güvenlik riski oluşturduğunu değerlendirdiği alt veri işleyicilerin kullanılmasına itiraz edebilir.

• Rezo'dan elde edilen kullanıcı verilerini, Rezo'nun bilgisi ve onayı olmaksızın üçüncü taraf sistemlere aktarmak KVKK ihlali ve bu Protokolün feshine neden olur.

9. Kullanıcının KVKK Başvurularına Yanıt

Bir kullanıcı, erişim, düzeltme, silme veya işlemenin kısıtlanması gibi bir KVKK talebini doğrudan İşletmeye iletirse:

• İşletme talebi

• İşletme talebi 30 gün içinde yanıtlamakla yükümlüdür.

• Talep Rezo'ya ait altyapıyla ilgiliyse İşletme derhal bilgi@rezo.com.tr'ye yönlendirmelidir.

• Kullanıcının silme talebi: İşletme kendi sakladığı verileri siler; Rezo sistemindeki silme işlemi ayrıca Rezo tarafından yönetilir.

• İşletme, KVKK başvurularını reddedemez; ret gerekçesi ancak yasal zorunluluk veya meşru menfaat olabilir.

★ Kullanıcı başvurusuna 30 gün içinde yanıt verilmemesi KVKK Md. 18 kapsamında idari para cezasına yol açabilir.

10. Denetim ve Uyum

10.1. Rezo'nun Denetim Hakkı

Rezo, platform güvenliği ve KVKK uyumu kapsamında İşletmenin veri kullanım süreçlerini denetleme hakkını saklı tutar. Bu kapsamda:

• İşletmeden ek bilgi ve belge talep edebilir,

• Güvenlik açığı bildirimi yapabilir ve iyileştirme talep edebilir,

• Gerekli gördüğü durumlarda bağımsız teknik inceleme isteyebilir.

10.2. İşletmenin Uyum Beyanı

İşletme, bu Protokolü kabul ederek:

• çalışanlarını KVKK kapsamında eğittiğini veya eğiteceğini,

• gerekli teknik güvenlik önlemlerini aldığını veya alacağını,

• VERBİS yükümlülüğü varsa yerine getirdiğini veya getireceğini

beyan ve taahhüt eder.

11. Sorumluluk

11.1. İşletmenin Sorumluluğu

İşletmenin kullanıcı verilerini bu Protokole veya KVKK'ya aykırı şekilde işlemesinden doğacak:

• idari para cezaları (KVKK Md. 18),

• kullanıcı tazminat talepleri,

• cezai sorumluluk (TCK Md. 135-136),

• Rezo'ya yansıyan dolaylı zararlar

Tamamen İşletmeye aittir. İşletme, Rezo'nun bu nedenle maruz kaldığı zararları tazmin etmekle yükümlüdür.

11.2. Rezo'nun Sorumluluğu

Rezo; platform altyapısı üzerinden gerçekleştirilen veri işleme faaliyetleri için veri sorumlusu sıfatıyla sorumludur. Ancak İşletmenin platform dışında gerçekleştirdiği veri işleme faaliyetlerinden Rezo sorumlu tutulamaz.

12. Platform Erişiminin Askıya Alınması ve Fesih

İhlal | Yaptırım

İlk kez tespit — düşük risk | Yazılı uyarı; 10 gün içinde düzeltme talep edilir

İhlalin devamı veya orta risk | Platform erişimi geçici olarak kısıtlanır

Ciddi ihlal (veri satışı, yetkisiz paylaşım) | Hesap derhal kapatılır; KVKK Kurulu'na bildirim yapılabilir

Veri ihlalini gizlemek | Derhal fesih; Rezo'nun zararı tazmin edilir

★ Fesih kararı öncesinde acil durumlar dışında İşletmeye 5 iş günü savunma hakkı tanınır.

13. Protokol Değişiklikleri ve Yürürlük

Rezo bu Protokolü mevzuat değişiklikleri veya KVKK Kurulu kararları doğrultusunda güncelleyebilir. Değişiklikler yürürlüğe girmeden en az 15 gün önce bilgi@rezo.com.tr adresine bildirim yapılır.

Bu Protokol; Rezo İşletme Üyelik Sözleşmesi'nin ayrılmaz ekidir ve onunla uygulanır.

14. İletişim ve Başvuru Kanalları

Başvuru konusu | İletişim

KVKK protokol soruları | bilgi@rezo.com.tr

Veri ihlali bildirimi | bilgi@rezo.com.tr — Konu: "VERİ İHLALİ"

KVKK kullanıcı başvuruları | bilgi@rezo.com.tr

Genel destek | destek@rezo.com.tr | 0232 332 3862

Posta adresi | Bahriye Üçok Mah. 1762 Sk. No:9 D:1 Karşıyaka / İzmir

KVKK Kurulu (şikâyet) | www.kvkk.gov.tr | 0312 216 50 50

VERBİS kaydı | verbis.kvkk.gov.tr

Bu Protokol, İşletme'nin Rezo Platformuna kayıt işlemini tamamlamasıyla yürürlüğe girer ve İşletme Üyelik Sözleşmesi süresince geçerliliğini korur. | Rezo Bilişim Yazılım ve Teknoloji Ltd. Şti. · Mayıs 2026 · Sürüm 2.2