Veri İşleme Eki (DPA)

KVKK, AB GDPR ve UK GDPR kapsamında kurumsal müşterilerle veri işleme düzenlemesi.

Son güncelleme: 23.04.2026

İşbu Veri İşleme Eki (“Ek”), Innfinitive Yazılım Bilişim ve Danışmanlık Ticaret A.Ş. (bundan böyle “Innfinitive” veya “Sağlayıcı” olarak anılacaktır) ile aşağıda tanımlanan abone (“Abone” ve türevleri) (her biri bir “Taraf” ve topluca “Taraflar”) arasında akdedilen Ana Abonelik Sözleşmesi'nin (“Sözleşme”) ayrılmaz bir parçasını oluşturur.

Aşağıda değiştirilen hükümler hariç olmak üzere, Sözleşme şartları tam olarak yürürlükte kalmaya devam edecektir. Sözleşme'deki aksine herhangi bir hükme bakılmaksızın, işbu Ek ile Sözleşme arasında bir çelişki olması durumunda işbu Ek hükümleri geçerli olacaktır. İşbu Ek ile Standart Sözleşme Maddeleri arasında herhangi bir çelişki veya tutarsızlık olması durumunda, Standart Sözleşme Maddeleri üstün gelecektir.

1. Tanımlar

İşbu Ek'te kullanılan terimler, işbu Ek'te belirtilen veya Uygulanabilir Gizlilik Yasası tarafından tanımlanan anlamlara (hangisi daha kapsamlıysa) sahip olacaktır. Aşağıdaki terimler aşağıda belirtilen anlamlara sahiptir:

  • Bağlı Kuruluş:Sırasıyla Sağlayıcı veya Abone'ye sahip olan veya onları kontrol eden, onlar tarafından sahip olunan veya kontrol edilen veya onlarla ortak kontrol veya mülkiyet altında olan bir kuruluşu ifade eder.
  • Uygulanabilir Gizlilik Yasası:Sağlayıcı'nın tabi olduğu, yürürlükteki veri gizliliği, veri koruma ve siber güvenlik yasalarını ifade eder:
    • (a) 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”),
    • (b) 2018 tarihli Kaliforniya Tüketici Gizliliği Yasası (“CCPA”),
    • (c) 2016/679 sayılı AB Genel Veri Koruma Yönetmeliği (“AB GDPR”),
    • (d) 2018 tarihli Birleşik Krallık Veri Koruma Yasası ve UK GDPR,
    • (e) 19 Haziran 1992 tarihli İsviçre Federal Veri Koruma Yasası,
    • (f) Sağlayıcı'nın tabi olduğu diğer her türlü yasa.
  • Veri Sahibi: Kimliği belirli veya belirlenebilir gerçek kişiyi ifade eder.
  • Kişisel Veri:Sağlayıcı'nın Hizmetleri ifasıyla bağlantılı olarak Abone adına İşlediği kişisel verileri ifade eder.
  • Gizlilik Makamı:Türkiye'de Kişisel Verileri Koruma Kurumu - KVKK gibi yetkili denetim makamı.
  • İşlemek / İşleme: Otomatik yollarla olsun veya olmasın, Kişisel Veriler üzerinde gerçekleştirilen; toplama, kaydetme, düzenleme, saklama, uyarlama, geri çağırma, kullanma, açıklama, silme ve yok etme dahil her türlü işlem.
  • Güvenlik İhlali:Sağlayıcı'nın kontrolündeki Kişisel Verilerin kazara veya hukuka aykırı olarak imha edilmesine, kaybolmasına, değiştirilmesine veya yetkisiz ifşasına yol açan bir güvenlik ihlali. Başarısız oturum açma girişimleri, port taramaları, DoS saldırıları gibi başarısız girişimler bu kapsamda değildir.
  • Standart Sözleşme Maddeleri (SSM/SCC):(a) AB GDPR'ye tabi olan kısıtlı aktarımlar için Avrupa Komisyonu'nun 4 Haziran 2021 tarihli ve 2021/914 sayılı Kararı (“AB SSM”); (b) UK GDPR için UK SSM.
  • Alt İşlemci: Kişisel Verileri Abone adına İşlemek üzere Sağlayıcı tarafından görevlendirilen herhangi bir alt yüklenici.

2. İşleme Gereklilikleri

2.1.Sağlayıcı (Innfinitive), Kişisel Verilerin İşlenmesinde Uygulanabilir Gizlilik Yasası'na uymayı ve Kişisel Verileri yalnızca Hizmetleri sağlama amacıyla, Abone'nin talimatlarına uygun olarak İşlemeyi taahhüt eder. Sağlayıcı, bir talimatın Uygulanabilir Gizlilik Yasası'nı ihlal ettiğini düşünmesi durumunda Abone'yi derhal bilgilendirecektir.

2.2.Sağlayıcı, Abone'nin makul ve hukuka uygun talimatlarına uyulmasını sağlayacak makul ve uygun teknik önlemleri uygulayacak ve sürdürecektir.

2.3.Sağlayıcı, Kişisel Verileri (i) Abone'ye Hizmet sağlama özel amacı dışındaki herhangi bir amaçla veya (ii) Sağlayıcı ile Abone arasındaki doğrudan iş ilişkisi dışında toplamayacak, saklamayacak, kullanmayacak, ifşa etmeyecek veya İşlemeyecektir. Sağlayıcı, Kişisel Verileri “satmayacak”tır.

2.4.Sağlayıcı, Abone'nin Uygulanabilir Gizlilik Yasası kapsamındaki yükümlülüklerine uymasını sağlamak amacıyla makul işbirliği, yardım ve bilgileri sağlayacaktır.

3. Kişisel Verilerin Güvenliği

3.1.Sağlayıcı, Sözleşme süresi boyunca Kişisel Verileri kazara veya hukuka aykırı imhaya, kayba, hasara, değişikliğe, yetkisiz ifşaya veya erişime karşı korumak amacıyla, Ek B'de belirtilen uygun teknik ve organizasyonel güvenlik önlemlerini sürdürecektir.

3.2. Sağlayıcı, Kişisel Verileri İşleyen tüm çalışanlarının güvenilirliğini sağlamayı taahhüt eder.

4. Abone Yükümlülükleri

4.1. Güvenlik Sorumlulukları

Abone aşağıdakilerden sorumludur:

  • (a) Kişisel Verilere yönelik risklere uygun bir güvenlik düzeyi sağlamak amacıyla Hizmetleri uygun şekilde kullanmak;
  • (b) Hizmetlere erişmek için kullandığı hesap kimlik doğrulama bilgilerini, sistemlerini ve cihazlarını güvence altına almak;
  • (c) Sağlayıcı'nın Hizmetleri sunmak için kullandığı Abone'ye ait sistem ve cihazları güvence altına almak;
  • (d) Kişisel Verileri yedeklemek.

4.2. Yasaklı Veriler

Abone, Sağlayıcı'nın önceden yazılı izni olmaksızın aşağıdakileri içermeyeceğini taahhüt eder:

  • Sosyal güvenlik numaraları veya devlet tarafından verilen diğer kimlik numaraları;
  • HIPAA kapsamındaki korunan sağlık bilgileri, tıbbi geçmiş, teşhis veya tedavi bilgileri;
  • Sağlık sigortası bilgileri;
  • Biyometrik bilgiler;
  • Çevrimiçi hesap şifreleri;
  • Finansal hesap kimlik bilgileri;
  • Vergi beyannamesi verileri;
  • Kredi raporları veya tüketici raporları;
  • PCI DSS'ye tabi ödeme kartı bilgileri;
  • Gramm-Leach-Bliley Yasası veya Adil Kredi Raporlama Yasası kapsamı bilgiler;
  • Çocukların Kişisel Verileri;
  • GDPR'da tanımlanan özel nitelikli veri kategorileri.

5. Alt İşlemciler

5.1.Sağlayıcı, Abone'nin önceden yazılı onayı olmaksızın Alt İşlemciye taşeron vermeyecektir; ancak Abone bu onayı makul olmayan sebeple esirgemeyecektir. Abone, Ek C'de belirtilen Alt İşlemcilerle çalışma yetkisi vermektedir.

5.2. Sağlayıcı, Alt İşlemci tarafından gerçekleştirilen her türlü Kişisel Veri İşleme faaliyetinden, bu İşlemeyi bizzat kendisi üstlenmiş gibi sorumlu olmaya devam edecektir.

5.3. Sağlayıcı, Alt İşlemcilerine, işbu Ek kapsamındakinden daha az külfetli olmayan veri koruma yükümlülükleri getirecektir.

6. İhlal Bildirimi

6.1.Sağlayıcı, bir Güvenlik İhlali tespit ettiğinde haksız gecikme olmaksızın Abone'yi bilgilendirecektir. Bildirim şu bilgileri içerecektir:

  • (a) Güvenlik İhlali'nin ayrıntılı bir açıklaması;
  • (b) Güvenlik İhlali'ne konu olan veri türü;
  • (c) Etkilenen kişilerin kimliği (veya etkilenen Veri Sahibi ve Kişisel Veri kayıtlarının yaklaşık sayısı);
  • (i) Daha fazla bilgi edinme süreci;
  • (ii) Olası sonuçların açıklaması;
  • (iii) Sağlayıcı tarafından alınan önlemler.

6.2.Sağlayıcı, Güvenlik İhlali'ni incelemek için derhal harekete geçecek ve endüstri standardı ve ticari olarak makul çabayı gösterecektir.

7. Gizlilik Etki Değerlendirmesi

Sağlayıcı, Abone'den yazılı talep üzerine (a) Abone'nin Uygulanabilir Gizlilik Yasası'na uyumunu kanıtlamak için gerekli bilgileri sağlayacak ve (b) gizlilik etki değerlendirmesi ve Gizlilik Makamları ile ön görüşmelerde makul ölçüde yardımcı olacaktır. Abone, herhangi bir 12 aylık dönem içinde birden fazla bu yönde talepte bulunmayacaktır (Güvenlik İhlali veya yasal zorunluluk hariç).

8. Denetim Hakları

Abone, Sağlayıcı'nın bu Ek kapsamındaki yükümlülüklerine uyumunu yılda bir kez denetleyebilir. Önerilen denetim tarihinden en az iki hafta önce bir plan sunulmalıdır. Herhangi bir üçüncü taraf denetçisi, gizlilik sözleşmesi imzalamalıdır. 12 ay içinde nitelikli bir üçüncü taraf denetçisi tarafından gerçekleştirilen SOC 2 Tip 2, ISO veya NIST benzeri bir denetim raporu mevcut ise, Abone bu raporu kabul edecektir. Denetim masrafları Abone'ye aittir.

9. Kişisel Verilerin Silinmesi

Sağlayıcı, Sözleşme'nin sona ermesinden veya feshinden itibaren derhal ve her durumda 90 gün içinde veya Abone'nin yazılı bildirimi üzerine:

  • (a) Tüm Kişisel Verilerin eksiksiz bir kopyasını, Abone'ye güvenli dosya aktarımı yoluyla iade edecek;
  • (b) Sağlayıcı tarafından İşlenen Kişisel Verilerin diğer tüm kopyalarını silecek ve sildirecektir.

10. Üçüncü Taraf İfşa Talepleri

10.1.Sağlayıcı, T.C. Kişisel Verileri Koruma Kurumu (KVKK) başta olmak üzere herhangi bir Gizlilik Makamı veya Veri Sahibi'nden gelen sorguları derhal Abone'ye bildirecektir.

10.2.Sağlayıcı'nın bir Yasal Talep uyarınca Kişisel Veri ifşa etmesi gerekirse, ilgili talebi doğrudan Abone'ye yönlendirmeye çalışacaktır. Bu mümkün değilse, yasal olarak yasaklanmadığı sürece durumu Abone'ye bildirecek ve itiraz için makul yardım sağlayacaktır.

11. AEA (Avrupa Ekonomik Alanı) Dışına Aktarımlar

Abone'nin Kişisel Verileri Avrupa Komisyonu tarafından yeterli veri korumasına sahip olduğu kabul edilmeyen bir ülkedeki Sağlayıcı'ya aktarması durumunda, söz konusu aktarım AB Standart Sözleşme Maddeleri (EU SCCs) kapsamında gerçekleştirilecektir. Abone “veri ihracatçısı”, Sağlayıcı “veri ithalatçısı” olarak hareket edecektir.

12. Birleşik Krallık (UK) Dışına Aktarımlar

Abone'nin Kişisel Verileri Birleşik Krallık dışına Sağlayıcı'ya aktarması durumunda, aktarım Birleşik Krallık Standart Sözleşme Maddeleri (UK SCCs) kapsamında gerçekleştirilecektir.

13. Hak Talepleri

İşbu Ek kapsamında veya işbu Ek ile bağlantılı olarak ortaya çıkan her türlü hak talebi, Sözleşme'de belirtilen sorumluluk muafiyetlerine ve sınırlandırmalarına tabi olacaktır.

Ek A — Tarafların Listesi ve Aktarımın Açıklaması

A. Taraflar

Veri İhracatçısı:Sözleşme'de tanımlanan Abone.

Veri İthalatçısı: Innfinitive Yazılım Bilişim ve Danışmanlık Ticaret A.Ş.
Adres: Cumhuriyet Mah. Şişecam Yolu Sk. Ar-Ge 3 No:12 İç Kapı No: 27, 41400 Gebze/Kocaeli, Türkiye
İletişim: [email protected]
Rol: Veri İşleyen (Processor)

B. Aktarımın Açıklaması

  • Veri Öznelerinin Kategorileri:Abone'nin Hizmetlere yüklediği içeriklerdeki katılımcılar.
  • Kişisel Veri Kategorileri: İsim, telefon numarası, e-posta adresi ve iletişim içerikleri (mesaj, ses, görüntü).
  • Aktarım Sıklığı: Sözleşme süresi boyunca sürekli.
  • Hassas Veriler: Sağlayıcı hassas veri almayı beklememektedir; paylaşılırsa sıkı erişim kontrolleri uygulanır.
  • İşlemenin Niteliği ve Amacı:Sözleşme'de tanımlanan WhatsApp iletişim yönetimi, AI otomatik cevap, transkripsiyon ve raporlama hizmetleri.
  • Veri Saklama Süresi: Hizmetlerin ifası süresince (veya standart 6 ay / Sözleşme sonu 90 gün kuralı).
  • Yetkili Denetim Makamı: Türkiye için KVKK.

Ek B — Teknik ve Organizasyonel Önlemler

Sağlayıcı aşağıdakileri içeren kapsamlı korumaları uygular:

  • Organizasyonel Yönetim: Bilgi güvenliği programından sorumlu atanmış uzman kadro.
  • Denetim ve Risk Değerlendirmesi: Risklerin periyodik olarak gözden geçirilmesi ve yönetime raporlanması.
  • Veri Güvenliği Kontrolleri: Verilerin mantıksal ayrımı, rol tabanlı erişim izleme, endüstri standardı şifreleme (AES-256).
  • Erişim Kontrolleri:“Bilmesi gereken” ve “en az ayrıcalık” ilkesine dayalı, benzersiz kullanıcı kimlikleri.
  • Parola Kontrolleri: En az 8 karakter, karmaşık yapıda ve ilk kullanımda değiştirme zorunlu.
  • Sistem Günlükleri: Kullanıcı erişimini ve sistem faaliyetlerini kaydeden olay günlükleri.
  • Fiziksel Güvenlik: Veri merkezlerinin yetkisiz erişime ve çevresel tehlikelere karşı korunması.
  • Operasyonel Prosedürler: Sistemlerin ve medyanın güvenli imhası.
  • Değişiklik Yönetimi: Tüm materyal değişikliklerin test edilmesi ve onaylanması.
  • Olay Yönetimi: Güvenlik ihlallerini araştırma, müdahale ve bildirim prosedürleri.
  • Ağ Güvenliği: Sızmaları önleyen ağ kontrolleri.
  • Zafiyet ve Tehdit Yönetimi: Düzenli yama yönetimi, antivirüs ve tehdit algılama.
  • Felaket Kurtarma: Olağanüstü durumlarda hizmet devamlılığını sağlayan prosedürler.

Ek C — Yetkili Alt İşlemciler

Güncel Alt İşlemci listesi Abone talebi üzerine [email protected] adresinden paylaşılır.

İmzalı bir DPA kopyası için lütfen bizimle [email protected] üzerinden iletişime geçin.