Standard Contractual Clauses
AB Standart Sözleşme Hükümleri (Modül 2: C2P) uygulama çerçevesi ve ekleri. / EU Standard Contractual Clauses (Module 2: C2P) implementation framework and annexes.
1. Amaç
Bu sayfa, AB/EEA'dan üçüncü ülkeye (Türkiye) kişisel veri aktarımında, AB Komisyonu'nun 4 Haziran 2021 tarihli ve (EU) 2021/914 sayılı Uygulama Kararı ile kabul edilen Standart Sözleşme Hükümleri'nin (SCC) uygulanmasına ilişkin çerçeveyi ve eklerini sunar.
2. Uygulanacak Modül
Kızılelma AI, kurumsal müşteri adına veri işlediğinden, kural olarak Modül 2 (Veri Sorumlusundan Veri İşleyene — C2P) uygulanır. Taraflar ve aktarım ayrıntıları aşağıdaki eklerde tanımlanır.
3. Temel Taahhütler
- Veri ithalatçısı, kişisel verileri yalnızca veri ihracatçısının talimatlarıyla işler.
- GDPR'a eşdeğer koruma sağlanır; ilgili kişiler SCC kapsamında üçüncü taraf yararlanıcı haklarına sahiptir.
- Kamu otoritesi erişim talepleri şeffaflık ilkesiyle ele alınır; hukuken mümkünse ihracatçı bilgilendirilir.
- Ek tedbirler (maskeleme, uçtan uca şifreleme, anahtar egemenliği) uygulanır.
4. Mimari Notu (Önemli)
Uygulamamızda kimliklendirilebilir veriler Türkiye'de kalır; AB altyapısına ve yapay zeka modeline yalnızca maskeli veri gider. Türkiye'deki destek personelinin erişimi, üçüncü ülke erişimi sayıldığından SCC Modül 2 ile güvence altına alınır.
5. Ekler
Annex I.A — Taraflar / List of Parties
| Rol / Role | Kimlik / Identity |
|---|---|
| Veri ihracatçısı / Data exporter | AB/EEA'da yerleşik kurumsal müşteri (veri sorumlusu) / EEA-based corporate customer (controller) |
| Veri ithalatçısı / Data importer | Kızılelma AI Software (Anıl Talha BULDUKLU) — Akademi Mah. Gürbulut Sok. No: 67, Selçuk Üniversitesi Teknoloji Geliştirme Bölgesi (Teknokent), 42150 Selçuklu/KONYA, Türkiye (veri işleyen / processor) |
Annex I.B — Aktarımın Tanımı / Description of Transfer
| Parametre / Item | Açıklama / Description |
|---|---|
| İlgili kişiler / Data subjects | Müşteri personeli; belgelerde geçen müvekkil/karşı taraf/üçüncü kişiler / Customer staff; clients/counterparties/third parties in documents |
| Veri kategorileri / Categories | Kimlik, iletişim, belge içeriği, üstveri, log / Identity, contact, document content, metadata, logs |
| Hassas veri / Sensitive data | Mahiyeti gereği mümkün; ek tedbirlerle / Possible by nature; with extra safeguards |
| Sıklık / Frequency | Sürekli (hizmet boyunca) / Continuous (during the service) |
| İşleme niteliği / Nature | Yalnızca maskeli metin üzerinde analiz/üretim/depolama / Analysis/generation/storage on masked text only |
| Süre / Duration | Ana sözleşme + 90 gün (yedek) / Main contract + 90 days (backups) |
Annex II — Teknik ve İdari Tedbirler / TOMs
TLS 1.3 (aktarım), AES-256 / LUKS2 (saklama), Türkiye'de şifreli kasa + maskeleme geçidi, rol bazlı erişim, çok kiracılı izolasyon, loglama/izleme, yedekleme, güvenli geliştirme. / TLS 1.3 in transit, AES-256/LUKS2 at rest, encrypted vault + masking gateway in Türkiye, RBAC, multi-tenant isolation, logging/monitoring, backups, secure SDLC.
Annex III — Alt İşleyenler / Subprocessors
Bkz. Ek Protokol — Ek-3. / See Addendum — Annex 3.