Üçüncü Taraf Hizmetleri için Bir Satıcı Yönetim Sözleşmesi Nasıl Oluşturulur
Üçüncü‑taraf hizmetlerin bulut barındırmadan pazarlama otomasyonuna kadar her şeyi güçlendirdiği bir dünyada, sağlam bir Satıcı Yönetim Sözleşmesi (VMA) risk azaltmanın belkemiğidir. Ancak birçok işletme satıcı sözleşmelerine bir düşünce olarak bakmaz; bu da veri ihlallerine, hizmet kesintilerine ve maliyetli anlaşmazlıklara yol açar. Bu rehber, bir VMA’nın neden önemli olduğunu, hangi temel maddelerin eklenmesi gerektiğini ve GDPR, CCPA ve sektöre özgü standartlarla uyumlu, geleceğe dönük bir sözleşmeyi nasıl hazırlayacağınızı açıklar.
TL;DR: Aşağıdaki 12‑adımlı çerçeveyi izleyin, hazır madde kütüphanesini kopyalayın ve hızlı bir uyumluluk kontrol listesini çalıştırarak tedarikçi ilişkilerinizi kilitleyin.
İçindekiler
- 2025’te VMA’nın Neden Kritik Olduğu
- Ana Tanımlar & Kısaltmalar
- 12‑Adımlı VMA Taslak Çerçevesi
- 3.1 Kapsam & Hizmetler
- 3.2 Hizmet Seviyesi Sözleşmesi (SLA) Entegrasyonu
- 3.3 Veri Koruma & Gizlilik
- 3.4 Güvenlik Kontrolleri & Denetimler
- 3.5 Fiyatlandırma, Faturalama & Değişiklik Emirleri
- 3.6 Fikri Mülkiyet (IP) Hakları
- 3.7 Sorumluluk & Tazminat
- 3.8 Süre, Yenileme & Fesih
- 3.9 Uyuşmazlık Çözümü
- 3.10 Uygulanacak Hukuk & Yetki
- 3.11 Raporlama & KPI Panosu
- 3.12 İmza & Yürütme
- Örnek Madde Kütüphanesi (Markdown Hazır)
- Uyumluluk Kontrol Listesi & Hızlı Denetim
- VMA Yaşam Döngüsü Mermaid Akış Diyagramı
- En İyi Uygulama İpuçları & Yaygın Tuzaklar
- Sonuç
2025’te VMA’nın Neden Kritik Olduğu
| Sebep | Görmezden Gelinirse Etki |
|---|---|
| Yasal maruziyet (GDPR, CCPA, HIPAA) | Ağır para cezaları, denetim işlemleri |
| Operasyonel süreklilik | Hizmet kesintileri, gelir kaybı |
| Veri güvenliği | İhlaller, müşteri güveninin kaybı |
| Fikri mülkiyet sızıntısı | Rekabet avantajının kaybı |
| Mali risk | Beklenmeyen maliyet artışları, gizli ücretler |
Modern tedarikçiler sıkça Software‑as‑a‑Service (SaaS), Data‑Processing veya Infrastructure‑as‑a‑Service (IaaS) sunar. Her model, genel bir NDA veya sözleşmenin kapsayamadığı benzersiz risk vektörleri getirir. VMA, performans metrikleri, denetim hakları ve net fesih yolları ekleyerek bu boşluğu doldurur.
Ana Tanımlar & Kısaltmalar
| Kısaltma | Tam Açılım | Bağlantı |
|---|---|---|
| VMA | Satıcı Yönetim Sözleşmesi | VMA tanımı |
| SLA | Hizmet Seviyesi Sözleşmesi | SLA rehberi |
| GDPR | Genel Veri Koruma Yönetmeliği | GDPR genel bakış |
| CCPA | California Tüketici Gizlilik Yasası | CCPA özeti |
| KPI | Anahtar Performans Göstergesi | KPI temelleri |
Not: Bağlantılı kısaltma sayısını beşle sınırlı tutun; yukarıdaki tablo bu kuralı karşılamaktadır.
12‑Adımlı VMA Taslak Çerçevesi
1. Tarafları ve Giriş Bölümlerini Tanımlayın
Tam yasal unvanları, kayıtlı adresleri ve iş amacını özetleyen kısa bir giriş bölümü kullanın.
**Taraflar**
**Müşteri:** Acme Corp., Delaware şirketi, 123 Main St, Wilmington, DE 19801.
**Satıcı:** CloudNova LLC, Kaliforniya limited şirketi, 456 Sunset Blvd, Los Angeles, CA 90028.
**Giriş**
WHEREAS, Müşteri, e‑ticaret platformu için bulut barındırma hizmeti almak istemekte ve Satıcı gerekli teknik uzmanlığa ve altyapıya sahiptir.
2. Hizmet Kapsamı
Her teslimatı madde madde belirtin, İş Tanımı (SOW)’a referans verin ve Milestone Tarihlerini ekleyin.
- Ölçeklenebilir sanal sunucuların (vCPU, RAM, depolama) *Ek A – Hizmet Kataloğu*’nda detaylandırıldığı şekilde sağlanması.
- 30 dakika içinde ilk yanıt süresi olan 7/24 teknik destek.
- Üç aylık performans gözden geçirme toplantıları.
3. SLA’yı Entegre Edin
Uptime %, Yanıt Süreleri, Çözüm Süreleri ve Kredi mekanizmalarını içeren ek bir SLA’ya referans verin.
Satıcı, aylık en az %99.9 uptime sağlamalıdır. Bu metrikteki eksiklik, aylık ücretin %5'i kadar hizmet kredisiyle karşılanır (her %0.1 eksiklik için) (*Ek B – SLA*).
4. Veri Koruma & Gizlilik
Veri sınıflandırması, işleme amaçları, sınırötesi transferler ve alt‑işlemci onayı konularını ele alın.
Satıcı, Kişisel Verileri yalnızca *Ek C – Veri İşleme Eki* ile belgelenen **Veri İşleme Eki** (DPA) çerçevesinde işleyebilir. Avrupa Ekonomik Alanı dışındaki tüm transferler, Standart Sözleşme Şartları (SCC) ile yönetilir.
5. Güvenlik Kontrolleri & Denetimler
Güvenlik standartları (ISO 27001, SOC 2), penetrasyon testi sıklığı ve denetim hakkı belirleyin.
Satıcı, ISO 27001 sertifikasını korumalı ve her raporlama dönemi sonrasında SOC 2 Type II raporlarını, rapor tarihi itibarıyla 30 gün içinde Müşteri’ye sağlamalıdır.
6. Fiyatlandırma, Faturalama & Değişiklik Emirleri
Abonelik ücretleri, faturalama periyotları, fiyat ayarlamaları ve değişiklik emri sürecini detaylandırın.
Temel ücret: ayda 2.500 $, fatura alındıktan 15 gün içinde ödenir.
Hizmet Kataloğunda yapılacak her değişiklik, imzalı bir Değişiklik Emri (*Ek D*) ile belgelenmelidir.
7. Fikri Mülkiyet (IP) Hakları
Mevcut IP, iş‑için‑üretim ve lisans haklarını netleştirin.
Her iki tarafın da mevcut IP’si kendi mülkiyetinde kalır. Bu VMA kapsamında oluşturulan teslimatlar “iş‑için‑üretim” olarak kabul edilir ve tam ödeme sonrası Müşteri’ye devredilir.
8. Sorumluluk & Tazminat
Sınırlandırmalar, istisnalar ve tazminat tetikleyicileri (ör. veri koruma ihlalleri) belirleyin.
Satıcı’nın toplam sorumluluğu, önceki on iki (12) ay içinde ödenen toplam ücretin üç (3) katını geçemez; gizlilik veya veri koruma ihlalleri hariç, bu limit sınırsızdır.
9. Süre, Yenileme & Fesih
Başlangıç süresi, otomatik yenileme, sebep ile fesih ve çıkış yardımı konularını ekleyin.
Süre: 2025‑11‑01 tarihinden 24 ay.
Taraflardan biri, sürenin bitiminden en az 60 gün önce yazılı bildirimde bulunmadıkça, 12‑aylık periyotlarla otomatik yenilenir.
Fesih durumunda, Satıcı tüm Müşteri verilerini 30 gün içinde iade eder veya güvenli bir şekilde imha eder.
10. Uyuşmazlık Çözümü
Ara buluculuk, arabuluculuk veya mahkeme seçimini, yer ve uygulanan hukuku tanımlayın.
Her türlü uyuşmazlık, Amerikan Arabuluculuk Derneği (AAA) kuralları kapsamında, San Francisco, California’da bağlayıcı bir tahkim ile çözülür; uygulanacak hukuk California yasasıdır.
11. Raporlama & KPI Panosu
Aylık KPI raporlaması (sistem kullanılabilirliği, ticket hacmi, güvenlik olayları) zorunlu kılın.
Satıcı, gerçek‑zamanlı metrikler içeren güvenli bir KPI panosu (*Ek E*) sağlamalı ve her ayın 5. iş gününe kadar bir performans raporu sunmalıdır.
12. İmza & Yürütme
e‑imza platformlarının eIDAS (AB) ya da ESIGN (ABD) standartlarına uygunluğunu belirtin.
Taraflar, bu VMA’yı DocuSign üzerinden elektronik olarak imzalayarak, elle atılmış imzaya aynı hukuki etkiye sahip olacağını kabul eder.
Örnek Madde Kütüphanesi (Markdown Hazır)
Aşağıda, yeni bir VMA’ya kolayca kopyalayıp yapıştırabileceğiniz, yeniden kullanılabilir bir madde kütüphanesi bulacaksınız. Her madde bir kod bloğu içinde yer alır.
## 1. Hizmet Kapsamı
Satıcı, Ek A’da tanımlanan hizmetleri (“Hizmetler”) sağlayacaktır. Hizmetler, sektör standartlarına uygun, profesyonel ve özenli bir şekilde yerine getirilecektir.
## 2. Hizmet Seviyesi Sözleşmesi
Satıcı, Ek B’da belirtilen performans ölçütlerini karşılayacaktır. Hizmet kredileri, burada tanımlandığı şekilde uygulanacaktır.
## 3. Veri Koruma
Satıcı, GDPR ve CCPA dahil olmak üzere tüm geçerli veri‑gizliliği yasalarına uyacak ve Ek C’da yer alan Veri İşleme Eki’ni imzalayacaktır.
## 4. Güvenlik
Satıcı, ISO 27001 sertifikasını koruyacak ve yıllık SOC 2 Type II raporlarını 15 gün içinde Müşteri’ye sunacaktır. Müşteri, 10‑gün önceden bildirimle yerinde denetimler gerçekleştirme hakkına sahiptir.
## 5. Ücretler & Ödeme
Müşteri, Ek D’de belirtilen ücretleri, tartışmasız bir fatura alındıktan sonra on beş (15) gün içinde ödeyecektir. Gecikmiş ödemeler aylık %1,5 faizle cezalandırılır.
## 6. Fikri Mülkiyet Sahibi
Bu Sözleşme kapsamında oluşturulan tüm teslimatlar, iş‑için‑üretim olarak değerlendirilecek ve Müşteri’nin mülkiyetine geçecektir. Satıcı, mevcut IP’sini yalnızca hizmeti yerine getirmek amacıyla kullanma haklarını saklı tutar.
## 7. Sorumluluk
Gizlilik veya veri‑gizliliği ihlalleri dışındaki tüm durumlarda, Satıcı’nın toplam sorumluluğu, son on iki (12) ay içinde ödenen ücretlerin üç (3) katını geçemez.
## 8. Süre & Fesih
Bu Sözleşme, yürürlüğe giriş tarihinden itibaren yirmi‑dört (24) ay sürecektir. Taraflardan biri, maddi bir ihlal sonrası otuz (30) günlük yazılı iyileştirme süresi vererek sözleşmeyi feshedebilir.
## 9. Uyuşmazlık Çözümü
Tüm uyuşmazlıklar, AAA Kuralları çerçevesinde San Francisco, California’da bağlayıcı tahkim yoluyla çözülecek, uygulanacak hukuk ise California yasaları olacaktır.
## 10. Gizlilik
Taraflar, diğer tarafın kamuya açıklanmamış bilgilerini gizli tutacak ve sadece bu Sözleşme’nin yerine getirilmesi amacıyla kullanacaktır.
## 11. Bildirimler
Tüm bildirimler, Ek F’de listelenen iletişim noktalarına e‑posta onayıyla veya taahhütlü posta ile gönderilecektir.
## 12. Tam Sözleşme
Bu Sözleşme, ekleri ve eklerini de içerecek şekilde, taraflar arasındaki tüm anlayışı oluşturur ve önceki tüm müzakerelerin yerine geçer.
Uyumluluk Kontrol Listesi & Hızlı Denetim
| ✔️ Madde | Açıklama | Durum |
|---|---|---|
| Veri‑gizliliği eki | DPA imzalanmış ve ekli | ☐ |
| Güvenlik sertifikaları | ISO 27001 & SOC 2 kanıtı | ☐ |
| SLA uyumu | Kredi planı ücret yapısıyla eşleşiyor | ☐ |
| IP maddesi | İş‑için‑üretim ifadesi mevcut | ☐ |
| Fesih yardımı | Veri iade & imha planı | ☐ |
| Uygulanacak hukuk | Taraflar için uygun yargı | ☐ |
| Denetim hakları | 12‑ay önceden bildirim, yerinde/uzaktan seçenek | ☐ |
| E‑imza uyumu | DocuSign ile eIDAS/ESIGN | ☐ |
Sözleşmeyi sonlandırmadan önce bu kontrol listesini tamamlayın; aksi takdirde maliyetli eksikliklerle karşılaşabilirsiniz.
VMA Yaşam Döngüsü Mermaid Akış Diyagramı
flowchart TD
A["Satıcı İhtiyacını Belirle"] --> B["İhale ve Değerlendirme Kriterlerini Hazırla"]
B --> C["Satıcıyı Seç ve Durum Tespiti Yap"]
C --> D["VMA’yı Müzakere Et"]
D --> E["Sözleşmeyi İmzala (e‑imza)"]
E --> F["Satıcıyı Devret"]
F --> G["SLA & KPI Panosunu İzle"]
G --> H{"Performans Sorunu Var mı?"}
H -->|Evet| I["İyileştirme Bildirimi Gönder & Kredi Uygula"]
H -->|Hayır| J["Hizmeti Devam Ettir"]
I --> K["Yükselt veya Feshet (ihlal halinde)"]
K --> L["Geçiş & Çıkış Yardımı"]
J --> L
L --> M["Sonuç Analizi & Öğrenilen Dersler"]
M --> N["VMA’yı Belge Depolama’da Arşivle"]
En İyi Uygulama İpuçları & Yaygın Tuzaklar
| İpucu | Neden |
|---|---|
| Sözleşmeleri modülerleştir – çekirdek VMA’yı Sözleşme Eklerinden (SLA, DPA) ayırın | Güncellemeler, tüm sözleşmeyi yeniden müzakere etmeden yapılabilir |
| Versiyon kontrolü (Git) kullanın | Değişiklik geçmişi, denetim ve iş birliği kolaylaşır |
| Denetim haklarını erken ekleyin | Performans izleme ihtiyacı ortaya çıktığında itirazla karşılaşmazsınız |
| Veri ihlali bildirim zaman çizelgesini tanımlayın (ör. 24 saat içinde) | GDPR’nın 72‑saat kuralına uyum ve sorumluluğun azaltılması |
| “Mücbir sebep” maddesini SaaS kesintileri için özelleştirin | Olağanüstü durumlar için açık bir yol haritası sağlar |
Yaygın Tuzaklar
- Genel NDAlara aşırı güven – performans metriklerini kapsamaz.
- Fiyatlandırmayı belirsiz bırakmak – temel ücret, ek ücret ve yükseltme tetikleyicilerini mutlaka belirtin.
- Çıkış‑yardımı maddesini atlamak – veri taşıma bir kabus olabilir; net bir plan şarttır.
- Yetki çatışmalarını göz ardı etmek – hem tarafların operasyonel merkezlerine hem de yasal gerekliliklere uygun bir hukuk seçin.
- VMA’yı güncellemeyi unutmak – teknoloji ve düzenlemeler değişir; yıllık sözleşme gözden geçirme takvimi oluşturun.
Sonuç
İyi hazırlanmış bir Satıcı Yönetim Sözleşmesi, sadece yasal bir formalite değil; veri güvenliğini koruyan, hizmet güvenilirliğini sağlayan ve maliyetinizi koruyan stratejik bir araçtır. 12‑adımlı çerçeveyi izleyerek, yeniden kullanılabilir madde kütüphanesinden yararlanarak ve uyumluluk kontrol listesini çalıştırarak, VMA’yı hızlı bir şekilde oluşturabilir ve GDPR, CCPA ve sektörel en iyi uygulamalarla uyumlu tutabilirsiniz.
Unutmayın: Sözleşmeler yaşayan belgelerdir. VMA’nızı, tedarikçi ekosisteminize göre evrimleştirecek bir yönetişim varlığı olarak ele alın; böylece riskleri kontrol altında tutar ve ilişkileri yıllarca üretken tutarsınız.