Kurumsal / DPA

Ek Protokol — Veri İşleme Sözleşmesi (DPA)

Bu Ek Protokol, kurumsal kullanıcılar (hukuk büroları/şirketler) ile Kızılelma AI arasında, KVKK ve GDPR Art. 28 kapsamında veri sorumlusu–veri işleyen ilişkisini düzenler ve Platform Hizmet Sözleşmesi'nin ayrılmaz ekidir.

Son güncelleme: 30 Haziran 2026Sürüm: 1.1

1. Taraflar ve Roller

Veri Sorumlusu: Platformu kurumsal olarak kullanan ve müvekkil/üçüncü kişi verilerini yükleyen kullanıcı (hukuk bürosu/şirket). Veri İşleyen: Kızılelma AI Software (Anıl Talha BULDUKLU).

Veri İşleyenAnıl Talha BULDUKLU – Kızılelma AI Software (Şahıs İşletmesi)
Ticari/İşletme AdıKızılelma AI Software (Kızılelma AI)
Sicil No229960
Vergi Kimlik No1880825087
T.C. Kimlik No15307172916
Merkez/Fatura AdresiAkademi Mah. Gürbulut Sok. No: 67, Selçuk Üniversitesi Teknoloji Geliştirme Bölgesi (Teknokent), 42150 Selçuklu/KONYA (Meram Vergi Dairesi)
Tebligat AdresiSancaktepe Mah. 1586/1. Sok. No: 27/6, 06220 Keçiören/ANKARA (Yıldırım Beyazıt Vergi Dairesi)
E-postainfo@kizilelmaai.com.tr
Telefon+90 531 796 53 83
İnternet Sitesikizilelmaai.com

Veri Sorumlusu işlemenin amaç ve vasıtalarını belirler; Veri İşleyen, kişisel verileri yalnızca Veri Sorumlusu'nun belgelenmiş talimatları doğrultusunda işler.

2. Konu ve Süre

Bu Protokol'ün konusu, Platform hizmetlerinin sunulması kapsamında Veri İşleyen'in, Veri Sorumlusu adına gerçekleştirdiği kişisel veri işleme faaliyetidir. İşlemenin türü, amacı, veri kategorileri ve ilgili kişi grupları Ek-1'de tanımlanır. Protokol, ana hizmet sözleşmesinin yürürlükte olduğu süre boyunca geçerlidir.

3. Talimatla İşleme

  • Veri İşleyen, kişisel verileri yalnızca Veri Sorumlusu'nun talimatlarıyla ve hizmetin sunulması amacıyla işler; kendi amaçları (özellikle model eğitimi) için kullanmaz.
  • Talimatların hukuka aykırı olduğunu düşünmesi hâlinde Veri İşleyen, Veri Sorumlusu'nu bilgilendirir.
  • Birincil talimat kanalı, hizmetin yapılandırma arayüzü ve info@kizilelmaai.com.tr adresidir.

4. Veri Sorumlusunun Yükümlülükleri

  • İşlemenin hukuka uygunluğu (hukuki sebep, aydınlatma, gereken hâllerde açık rıza), doğruluğu ve veri minimizasyonu,
  • Yalnızca amaç için gerekli verinin yüklenmesi ("bilmesi gereken" ilkesi); özellikle özel nitelikli/hassas dosyalarda dikkat,
  • İlgili kişilere karşı aydınlatma yükümlülüğünün yerine getirilmesi.

5. Veri İşleyenin Yükümlülükleri

  • Gizlilik: İşlemeye yetkili personel gizlilik taahhüdü altındadır.
  • Kayıt: İşleme faaliyetlerine ilişkin kayıtlar tutulur.
  • Yardım: Denetim makamı talepleri ve ilgili kişi başvurularında Veri Sorumlusu'na makul destek sağlanır.
  • Güvenlik: KVKK m.12 / GDPR Art.32 uyarınca uygun tedbirler uygulanır (madde 6).

6. Teknik ve İdari Tedbirler (TOM)

  • Aktarımda TLS 1.3; saklamada AES-256 (LUKS2 şifreli kasa, Türkiye),
  • Kimliklendirilebilir verinin yurt içinde saklanması + maskeleme geçidi ile kimliksizleştirme,
  • Rol bazlı erişim, çok kiracılı izolasyon (ayrı indeks/namespace), ağ izolasyonu (VPN),
  • Loglama, erişim denetimi, yedekleme ve kurtarma süreçleri,
  • Güvenli yazılım geliştirme ve bağımlılık/yama yönetimi.

Ayrıntılı tedbir matrisi Ek-2'de yer alır.

7. Alt İşleyenler (Alt Yükleniciler)

Veri İşleyen, Veri Sorumlusu'nun genel iznine dayanarak alt işleyen kullanabilir. Güncel alt işleyen listesi Ek-3'te tutulur. Yeni/değişen alt işleyenler önceden bildirilir; Veri Sorumlusu, veri korumasına ilişkin haklı sebeplerle otuz (30) gün içinde itiraz edebilir. İtiraz hâlinde taraflar iyi niyetle çözüm arar; bulunamazsa Veri Sorumlusu ilgili hizmeti feshedebilir. Alt işleyenlerle en az eşdeğer yükümlülükler kurulur.

8. İlgili Kişi Haklarına Destek

Veri İşleyen, erişim/düzeltme/silme/taşınabilirlik gibi talepleri yerine getirmesi için Veri Sorumlusu'na teknik imkânlar (sorgu, dışa aktarım, silme) sağlar. Doğrudan kendisine ulaşan talepleri, hukuken mümkün olduğu ölçüde Veri Sorumlusu'na yönlendirir.

9. Veri İhlali Bildirimi

Veri İşleyen, bir kişisel veri ihlalini öğrenmesinden itibaren gecikmeksizin ve en geç 48 saat içinde Veri Sorumlusu'na bildirir. Bildirim; ihlalin niteliği, etkilenen veri kategorileri, tahmini kişi sayısı, olası sonuçlar ve alınan/önerilen tedbirleri içerir. Veri İşleyen, KVKK m.12 ve GDPR Art.33/34 bildirimlerinde destek olur.

10. Yurt Dışı İşleme ve Aktarım

Kimliklendirilebilir veriler Türkiye'de barındırılır. Maskeli verinin işlendiği AB/EEA altyapısı için aktarım, KVKK m.9 ve gereken hâllerde AB Standart Sözleşme Hükümleri (2021/914, Modül 2) ile güvence altına alınır. Bkz. Veri Aktarımı Protokolü ve SCC.

11. İade ve İmha

Hizmetin sona ermesinde, Veri Sorumlusu'nun tercihine göre kişisel veriler iade veya imha edilir; yasal saklama yükümlülükleri saklıdır. Aktif sistemlerden silme gecikmeksizin yapılır; yedeklerdeki veriler, yedekleme döngüsü kapsamında en geç doksan (90) gün içinde imha edilir. Talep hâlinde imha teyidi verilir.

12. Denetim Hakkı

Veri Sorumlusu, uyumu doğrulamak için denetim yapabilir. Denetimler öncelikle uzaktan (belge/sertifika/anket) yürütülür; yerinde denetim ancak gerekli hâllerde, en az otuz (30) gün önceden bildirimle, mesai saatlerinde ve gizlilik yükümlülüğü altında, kural olarak yılda bir kez yapılır. Geçerli sertifika/denetim raporları kanıt olarak kabul edilir.

13. Sorumluluk

İlgili kişilere karşı sorumluluk, ilgili mevzuat hükümlerine tabidir. Taraflar arası iç ilişkide, her taraf kendi yükümlülük ihlalinden doğan zarardan kusuru oranında sorumludur. Veri İşleyen'in bu Protokol kapsamındaki toplam sorumluluğu, ilgili olaydan önceki altı (6) ayda ödenen bedel ile sınırlıdır; bu sınır kasıt/ağır ihmalde uygulanmaz.

14. Genel Hükümler

Çatışma hâlinde, veri koruma yükümlülükleri bakımından bu Protokol esas alınır. Değişiklikler yazılı yapılır. Bu Protokol, Platform Hizmet Sözleşmesi'nin ekidir ve onunla birlikte yorumlanır. Türk hukuku uygulanır.

Ekler

Ek-1: İşleme Tanımı

ParametreAçıklama
İşleme türüToplama, saklama, indeksleme, sorgulama, analiz/üretim, iletim, silme
AmaçPlatform işlevlerinin (analiz/üretim/araştırma), hesap, destek ve güvenliğin sağlanması
İlgili kişilerKullanıcı personeli; müvekkil/karşı taraf/tanık/bilirkişi; belgelerde geçen üçüncü kişiler
Veri kategorileriKimlik, iletişim, belge içeriği, üstveri, log; mahiyeti gereği özel nitelikli veriler
SüreAna sözleşme süresi + 90 gün (yedekler)

Ek-2: Teknik ve İdari Tedbirler

Yönetişim/ISMS, erişim/kimlik yönetimi, şifreleme (aktarım+saklama), çok kiracılı izolasyon, loglama/izleme/olay müdahale, yedekleme/iş sürekliliği, güvenli geliştirme, tasarımdan gizlilik. (Madde 6'da özetlenmiştir.)

Ek-3: Alt İşleyen Listesi

Alt İşleyenAmaçVeriKonumGüvence
Barındırma / işleme altyapısıUygulama çalıştırma, arama/indekslemeMaskeli içerik + sistem kayıtlarıAB (AEA)DPA + SCC, şifreleme, erişim kontrolü
Yapay zeka modeli (Azure OpenAI)Maskeli metinde analiz/üretimYalnızca maskeli metinAB bölgesiDPA, model eğitimi yasağı, şifreli iletim
Türkiye şifreli kasa & maskelemeKimliklendirilebilir verinin yurt içi saklanması; doğrulama kodu (OTP) üretimi/saklamaOrijinal belge, kimlik, token, telefon/e-posta, doğrulama koduTürkiyeLUKS2/AES-256, anahtar egemenliği
SMS doğrulama sağlayıcısı (İnteraktif İletişim / 1SMS)Üyelik/hesap doğrulama SMS (OTP) gönderimiTelefon numarası, doğrulama koduTürkiyeSözleşme, veri minimizasyonu, yalnızca talimatla işleme
E-posta gönderim sağlayıcısı (TurkTicaret.net)Doğrulama/işlem e-postası (OTP) gönderimiE-posta adresi, doğrulama koduTürkiyeSTARTTLS şifreli iletim, sözleşme, talimatla işleme
Kurumsal kullanım. İmzalı (ıslak/e-imza) bir DPA nüshası talep eden kurumsal kullanıcılar info@kizilelmaai.com.tr üzerinden iletişime geçebilir. Bu sayfa, çevrim içi kabul edilebilir standart metni içerir.
İçindekiler
1. Taraflar ve Roller2. Konu ve Süre3. Talimatla İşleme4. Veri Sorumlusunun Yükümlülükleri5. Veri İşleyenin Yükümlülükleri6. Teknik & İdari Tedbirler7. Alt İşleyenler8. İlgili Kişi Hakları9. İhlal Bildirimi10. Yurt Dışı / Aktarım11. İade ve İmha12. Denetim13. Sorumluluk14. Genel HükümlerEkler
İlgili Belgeler
Platform Hizmet Sözleşmesi
Kullanıcı ile platform arasındaki temel hizmet sözleşmesi.
Deneme Üyeliği Sözleşmesi
Ücretsiz deneme süresine ilişkin koşullar.
Mesafeli Satış Sözleşmesi
Çevrim içi abonelik satışına ilişkin tüketici sözleşmesi.
Kullanım Koşulları
Platformun kullanımına ilişkin genel kurallar.
KVKK Politikası
Kişisel verilerin işlenmesi ve korunması politikası.
Aydınlatma Metni
KVKK m.10 kapsamında aydınlatma metni.

Tüm yasal belgeler

Kızılelma.

Kızılelma.

Türk hukukuna adanmış profesyonel sınıf yapay zekâ. Yanıtlar kaynaklı, veriler Türkiye'de.

Platform

  • Ürün Turu
  • Dava Çalışma Alanı
  • Tahmin & Analitik
  • Ajan
  • Tüm Yetenekler

Çözümler

  • İş Hukuku
  • Aile Hukuku
  • İcra & İflas
  • Ticaret
  • Ceza

Şirket

  • Hakkımızda
  • Güvenlik
  • Planlar
  • SSS
  • İletişim

Yasal

  • Yasal Belgeler
  • KVKK Politikası
  • Gizlilik
  • Kullanım Koşulları
  • Çerez Politikası
© 2026 Kızılelma AITürkiye'de tasarlandı ve geliştirildi.KVKKGizlilikKoşullar