Ek Protokol — Veri İşleme Sözleşmesi (DPA)
Bu Ek Protokol, kurumsal kullanıcılar (hukuk büroları/şirketler) ile Kızılelma AI arasında, KVKK ve GDPR Art. 28 kapsamında veri sorumlusu–veri işleyen ilişkisini düzenler ve Platform Hizmet Sözleşmesi'nin ayrılmaz ekidir.
1. Taraflar ve Roller
Veri Sorumlusu: Platformu kurumsal olarak kullanan ve müvekkil/üçüncü kişi verilerini yükleyen kullanıcı (hukuk bürosu/şirket). Veri İşleyen: Kızılelma AI Software (Anıl Talha BULDUKLU).
Veri Sorumlusu işlemenin amaç ve vasıtalarını belirler; Veri İşleyen, kişisel verileri yalnızca Veri Sorumlusu'nun belgelenmiş talimatları doğrultusunda işler.
2. Konu ve Süre
Bu Protokol'ün konusu, Platform hizmetlerinin sunulması kapsamında Veri İşleyen'in, Veri Sorumlusu adına gerçekleştirdiği kişisel veri işleme faaliyetidir. İşlemenin türü, amacı, veri kategorileri ve ilgili kişi grupları Ek-1'de tanımlanır. Protokol, ana hizmet sözleşmesinin yürürlükte olduğu süre boyunca geçerlidir.
3. Talimatla İşleme
- Veri İşleyen, kişisel verileri yalnızca Veri Sorumlusu'nun talimatlarıyla ve hizmetin sunulması amacıyla işler; kendi amaçları (özellikle model eğitimi) için kullanmaz.
- Talimatların hukuka aykırı olduğunu düşünmesi hâlinde Veri İşleyen, Veri Sorumlusu'nu bilgilendirir.
- Birincil talimat kanalı, hizmetin yapılandırma arayüzü ve info@kizilelmaai.com.tr adresidir.
4. Veri Sorumlusunun Yükümlülükleri
- İşlemenin hukuka uygunluğu (hukuki sebep, aydınlatma, gereken hâllerde açık rıza), doğruluğu ve veri minimizasyonu,
- Yalnızca amaç için gerekli verinin yüklenmesi ("bilmesi gereken" ilkesi); özellikle özel nitelikli/hassas dosyalarda dikkat,
- İlgili kişilere karşı aydınlatma yükümlülüğünün yerine getirilmesi.
5. Veri İşleyenin Yükümlülükleri
- Gizlilik: İşlemeye yetkili personel gizlilik taahhüdü altındadır.
- Kayıt: İşleme faaliyetlerine ilişkin kayıtlar tutulur.
- Yardım: Denetim makamı talepleri ve ilgili kişi başvurularında Veri Sorumlusu'na makul destek sağlanır.
- Güvenlik: KVKK m.12 / GDPR Art.32 uyarınca uygun tedbirler uygulanır (madde 6).
6. Teknik ve İdari Tedbirler (TOM)
- Aktarımda TLS 1.3; saklamada AES-256 (LUKS2 şifreli kasa, Türkiye),
- Kimliklendirilebilir verinin yurt içinde saklanması + maskeleme geçidi ile kimliksizleştirme,
- Rol bazlı erişim, çok kiracılı izolasyon (ayrı indeks/namespace), ağ izolasyonu (VPN),
- Loglama, erişim denetimi, yedekleme ve kurtarma süreçleri,
- Güvenli yazılım geliştirme ve bağımlılık/yama yönetimi.
Ayrıntılı tedbir matrisi Ek-2'de yer alır.
7. Alt İşleyenler (Alt Yükleniciler)
Veri İşleyen, Veri Sorumlusu'nun genel iznine dayanarak alt işleyen kullanabilir. Güncel alt işleyen listesi Ek-3'te tutulur. Yeni/değişen alt işleyenler önceden bildirilir; Veri Sorumlusu, veri korumasına ilişkin haklı sebeplerle otuz (30) gün içinde itiraz edebilir. İtiraz hâlinde taraflar iyi niyetle çözüm arar; bulunamazsa Veri Sorumlusu ilgili hizmeti feshedebilir. Alt işleyenlerle en az eşdeğer yükümlülükler kurulur.
8. İlgili Kişi Haklarına Destek
Veri İşleyen, erişim/düzeltme/silme/taşınabilirlik gibi talepleri yerine getirmesi için Veri Sorumlusu'na teknik imkânlar (sorgu, dışa aktarım, silme) sağlar. Doğrudan kendisine ulaşan talepleri, hukuken mümkün olduğu ölçüde Veri Sorumlusu'na yönlendirir.
9. Veri İhlali Bildirimi
Veri İşleyen, bir kişisel veri ihlalini öğrenmesinden itibaren gecikmeksizin ve en geç 48 saat içinde Veri Sorumlusu'na bildirir. Bildirim; ihlalin niteliği, etkilenen veri kategorileri, tahmini kişi sayısı, olası sonuçlar ve alınan/önerilen tedbirleri içerir. Veri İşleyen, KVKK m.12 ve GDPR Art.33/34 bildirimlerinde destek olur.
10. Yurt Dışı İşleme ve Aktarım
Kimliklendirilebilir veriler Türkiye'de barındırılır. Maskeli verinin işlendiği AB/EEA altyapısı için aktarım, KVKK m.9 ve gereken hâllerde AB Standart Sözleşme Hükümleri (2021/914, Modül 2) ile güvence altına alınır. Bkz. Veri Aktarımı Protokolü ve SCC.
11. İade ve İmha
Hizmetin sona ermesinde, Veri Sorumlusu'nun tercihine göre kişisel veriler iade veya imha edilir; yasal saklama yükümlülükleri saklıdır. Aktif sistemlerden silme gecikmeksizin yapılır; yedeklerdeki veriler, yedekleme döngüsü kapsamında en geç doksan (90) gün içinde imha edilir. Talep hâlinde imha teyidi verilir.
12. Denetim Hakkı
Veri Sorumlusu, uyumu doğrulamak için denetim yapabilir. Denetimler öncelikle uzaktan (belge/sertifika/anket) yürütülür; yerinde denetim ancak gerekli hâllerde, en az otuz (30) gün önceden bildirimle, mesai saatlerinde ve gizlilik yükümlülüğü altında, kural olarak yılda bir kez yapılır. Geçerli sertifika/denetim raporları kanıt olarak kabul edilir.
13. Sorumluluk
İlgili kişilere karşı sorumluluk, ilgili mevzuat hükümlerine tabidir. Taraflar arası iç ilişkide, her taraf kendi yükümlülük ihlalinden doğan zarardan kusuru oranında sorumludur. Veri İşleyen'in bu Protokol kapsamındaki toplam sorumluluğu, ilgili olaydan önceki altı (6) ayda ödenen bedel ile sınırlıdır; bu sınır kasıt/ağır ihmalde uygulanmaz.
14. Genel Hükümler
Çatışma hâlinde, veri koruma yükümlülükleri bakımından bu Protokol esas alınır. Değişiklikler yazılı yapılır. Bu Protokol, Platform Hizmet Sözleşmesi'nin ekidir ve onunla birlikte yorumlanır. Türk hukuku uygulanır.
Ekler
Ek-1: İşleme Tanımı
| Parametre | Açıklama |
|---|---|
| İşleme türü | Toplama, saklama, indeksleme, sorgulama, analiz/üretim, iletim, silme |
| Amaç | Platform işlevlerinin (analiz/üretim/araştırma), hesap, destek ve güvenliğin sağlanması |
| İlgili kişiler | Kullanıcı personeli; müvekkil/karşı taraf/tanık/bilirkişi; belgelerde geçen üçüncü kişiler |
| Veri kategorileri | Kimlik, iletişim, belge içeriği, üstveri, log; mahiyeti gereği özel nitelikli veriler |
| Süre | Ana sözleşme süresi + 90 gün (yedekler) |
Ek-2: Teknik ve İdari Tedbirler
Yönetişim/ISMS, erişim/kimlik yönetimi, şifreleme (aktarım+saklama), çok kiracılı izolasyon, loglama/izleme/olay müdahale, yedekleme/iş sürekliliği, güvenli geliştirme, tasarımdan gizlilik. (Madde 6'da özetlenmiştir.)
Ek-3: Alt İşleyen Listesi
| Alt İşleyen | Amaç | Veri | Konum | Güvence |
|---|---|---|---|---|
| Barındırma / işleme altyapısı | Uygulama çalıştırma, arama/indeksleme | Maskeli içerik + sistem kayıtları | AB (AEA) | DPA + SCC, şifreleme, erişim kontrolü |
| Yapay zeka modeli (Azure OpenAI) | Maskeli metinde analiz/üretim | Yalnızca maskeli metin | AB bölgesi | DPA, model eğitimi yasağı, şifreli iletim |
| Türkiye şifreli kasa & maskeleme | Kimliklendirilebilir verinin yurt içi saklanması; doğrulama kodu (OTP) üretimi/saklama | Orijinal belge, kimlik, token, telefon/e-posta, doğrulama kodu | Türkiye | LUKS2/AES-256, anahtar egemenliği |
| SMS doğrulama sağlayıcısı (İnteraktif İletişim / 1SMS) | Üyelik/hesap doğrulama SMS (OTP) gönderimi | Telefon numarası, doğrulama kodu | Türkiye | Sözleşme, veri minimizasyonu, yalnızca talimatla işleme |
| E-posta gönderim sağlayıcısı (TurkTicaret.net) | Doğrulama/işlem e-postası (OTP) gönderimi | E-posta adresi, doğrulama kodu | Türkiye | STARTTLS şifreli iletim, sözleşme, talimatla işleme |