version: 2 effective_date: 2026-04-29 replaces: v1
Genel Aydınlatma Metni — v2
1. Veri Sorumlusu
İşbu Aydınlatma Metni; 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") m. 10 ve 10.03.2018 tarihli Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca hazırlanmıştır. Almanya'daki sunucu altyapısı bakımından AB Genel Veri Koruma Tüzüğü (GDPR — Regulation 2016/679) hükümleri çift seviyeli koruma kapsamında gözetilir.
- Veri Sorumlusu: Acr Yapay Zeka Eğitim Ve Bilişim Teknolojileri Limited Şirketi
- Marka: DoWaba (https://dowaba.com)
- Adres: Burdur, Türkiye
- İletişim: info@dowaba.com — KVKK talepleri: kvkk@dowaba.com — Panel: https://dowaba.com/kvkk-talep
DoWaba; müşterileri (KOBİ paneli sahipleri) ile kurduğu ilişkide Veri Sorumlusu sıfatına sahiptir. Müşterilerin kendi son kullanıcılarına yönelik işledikleri veriler bakımından ise DoWaba Veri İşleyendir; bu durum ayrı bir Veri İşleme Sözleşmesi (DPA) ile düzenlenmiştir.
2. İşlenen Kişisel Veri Kategorileri
İşbu Aydınlatma kapsamında DoWaba; ziyaretçileri, panel kullanıcıları, ödeme yapan müşterileri ve iletişime geçen kişilerin aşağıdaki verilerini işler:
- Kimlik: Ad, soyad, unvan, vergi numarası (kurumsal müşteri için), MERSİS no
- İletişim: E-posta, telefon, adres, KEP adresi
- Müşteri / Hesap: Kullanıcı adı, parola özeti (hash — bcrypt/argon2), abonelik durumu, kullanım istatistikleri
- Finans: Fatura adresi, ödeme tutarları, banka/kart bilgisi (yalnızca ödeme kuruluşu sahasında işlenir; DoWaba kart bilgisini saklamaz, yalnızca işlem referansı tutar)
- İşlem güvenliği: IP adresi, oturum kayıtları, cihaz bilgisi, tarayıcı parmak izi, 2FA kodları
- Pazarlama (varsa, açık rıza ile): Tercihler, kampanya etkileşimi, segment etiketleri
- Web sitesi çerezleri: Zorunlu, performans ve tercih çerezleri (ayrıntılar Çerez Politikası'nda)
- Destek talepleri: Ticket içeriği, e-posta yazışmaları, ekran görüntüleri (kullanıcı paylaşımı)
3. İşleme Amaçları
Kişisel veriler aşağıdaki amaçlarla işlenir:
- Hizmetin sunulması, panel erişiminin sağlanması, abonelik yönetimi
- Sözleşmenin kurulması ve ifası, faturalandırma, tahsilat
- Müşteri destek hizmetleri, talep ve şikayet yönetimi
- Yasal yükümlülüklerin yerine getirilmesi (VUK e-Arşiv/e-Fatura, 5651 SK loglama, KVKK envanteri)
- Bilgi güvenliği ve dolandırıcılığın önlenmesi (KVKK m. 12 teknik tedbirler)
- Hizmet kalitesi izleme, ürün geliştirme, kullanım analitiği (kişisel olmayan veya pseudonymize edilmiş)
- Açık rıza halinde pazarlama, kampanya, ürün duyuruları
- Hukuki uyuşmazlıkların çözümü ve yetkili kurumlara bilgi verme
4. Toplama Yöntemleri
Kişisel veriler aşağıdaki kanallar üzerinden toplanır:
- Panel kayıt formu (https://dowaba.com)
- Mobil/web entegrasyonları, API çağrıları
- Çerezler ve oturum izleme (analitik)
- Telefon, e-posta, destek talepleri
- Üçüncü taraf entegrasyonları (Meta, Google, ödeme kuruluşu)
- Yasal başvurular ve resmi yazışmalar
5. Hukuki Sebepler (KVKK m. 5-6)
İşleme faaliyetleri aşağıdaki hukuki sebeplere dayandırılır. Açık rıza ↔ zorunlu kabul ayrımı net olarak gözetilir; m. 5/2-c (sözleşmenin ifası) veya m. 5/2-f (meşru menfaat) kapsamına giren işlemler için açık rıza talep edilmez:
| Amaç | KVKK Hukuki Sebep | Tip |
|---|---|---|
| Üyelik / abonelik kurulması ve sürdürülmesi | m. 5/2-c (Sözleşmenin ifası) | Zorunlu |
| Hizmet altyapısının çalıştırılması (sunucu, log) | m. 5/2-c + m. 5/2-f (Meşru menfaat) | Zorunlu |
| Faturalama, vergisel kayıt | m. 5/2-ç (Hukuki yükümlülük — VUK 213) | Zorunlu |
| Loglama, güvenlik, dolandırıcılık tespiti | m. 5/2-f (Meşru menfaat) + 5651 SK | Zorunlu |
| Şikayet, hukuki başvuru, delil saklama | m. 5/2-e (Hakkın tesisi/kullanılması) | Zorunlu |
| Yurt dışı aktarım (Hetzner DE) | m. 5/2-c + m. 9/6 (yeterli koruma) | Zorunlu |
| Yurt dışı aktarım (ABD AI sağlayıcı) | m. 5/2-c + m. 9 Standart Sözleşme (KVKK Kurulu 2024/959) | Zorunlu |
| Pazarlama / ticari elektronik ileti | m. 5/1 (Açık rıza) + 6563 sayılı ETK İYS onayı | Opsiyonel |
| Çerez (zorunlu olmayan analitik/pazarlama) | m. 5/1 (Açık rıza) | Opsiyonel |
| Profilleme / segmentasyon | m. 5/1 (Açık rıza) | Opsiyonel |
Önemli ayrım: Pazarlama, kampanya, ticari elektronik ileti ve opsiyonel çerez izinleri ayrı açık rıza ile alınır; reddedilmesi halinde Müşteri ana hizmetten yararlanmaya devam eder.
6. Yurt İçi ve Yurt Dışı Aktarım
KVKK m. 8 ve m. 9 ile KVKK Kurulu'nun 19.07.2024 tarih ve 2024/959 sayılı Kararı uyarınca veriler aşağıdaki taraflara aktarılabilir:
Yurt içi aktarım:
- Mali müşavir, denetçi, hukuk danışmanı (yasal yükümlülük)
- SIP trunk telekom operatörü (Türkiye yerleşik)
- Ödeme kuruluşu (PayTR vb. — Türkiye yerleşik)
- Yetkili kamu kurumları (yasal talep halinde)
Yurt dışı aktarım:
- Hetzner Online GmbH (Falkenstein, Almanya) — sunucu altyapısı; KVKK m. 9/6 yeterli koruma + GDPR çift seviyeli koruma
- Google LLC (ABD) — Gemini Live AI ses ve metin modeli; KVKK Kurulu 2024/959 Standart Sözleşme
- Anthropic PBC (ABD) — Claude AI metin modeli; KVKK Kurulu 2024/959 Standart Sözleşme
- Meta Platforms, Inc. (İrlanda/ABD) — WhatsApp/Instagram/Messenger entegrasyonu; KVKK m. 9 Standart Sözleşme + Avrupa Komisyonu Adequacy Decision (Data Privacy Framework — Temmuz 2023)
7. Almanya / Hetzner Aktarımı (m. 9/6)
DoWaba, Hizmet kapsamında işlenen verileri Hetzner Online GmbH (Falkenstein, Saksonya, Almanya) bünyesindeki sunucularda barındırır. Almanya, AB üyesi olup GDPR'a tabidir. KVKK m. 9/6 uyarınca yeterli koruma sağlayan ülke kapsamında değerlendirilir; bu nedenle Hetzner ile aktarım için ayrıca açık rıza talep edilmez (m. 5/2-c sözleşmenin ifası ve m. 9/6 yeterli koruma birlikte uygulanır).
GDPR + KVKK çift seviyeli koruma yapısı; veri sahibinin AB hukukundaki haklarının da uygulanmasını sağlar (örn. taşınabilirlik, otomatik karar verme itirazı). Hetzner ile yürütülen işleme ilişkisi, KVKK ve GDPR kapsamında gerekli teknik ve idari tedbirler alınarak yürütülmektedir.
8. ABD Aktarımı (KVKK Kurulu 2024/959)
ABD merkezli AI sağlayıcılarına (Google Gemini, Anthropic Claude) yönelik kısa süreli veri akışları için KVKK Kurulu'nun 19.07.2024 tarih ve 2024/959 sayılı Kararı ekinde yer alan Standart Sözleşme (Modül 3 – İşleyenden İşleyene Aktarım) akdedilmiştir. KVKK Kurulu'na 5 iş günü içinde Standart Sözleşme bildirimi yapılmaktadır.
ABD aktarımları yalnızca AI çıkarsama (transkripsiyon, özet, niyet tespiti) için gereken minimum süre boyunca gerçekleşir; AI sağlayıcısının verileri model eğitiminde kullanmayacağı sözleşmeyle kayıt altına alınmıştır.
9. Alt İşleyenler — Güncel Liste
| Alt İşleyen | Lokasyon | İşleme Amacı | Hukuki Dayanak |
|---|---|---|---|
| Hetzner Online GmbH | Falkenstein, Almanya | Sunucu altyapısı, depolama, yedekleme | m. 9/6 yeterli koruma + GDPR |
| Google LLC | Mountain View, ABD | Gemini Live STT/TTS/AI | m. 9 Standart Sözleşme (2024/959) |
| Anthropic PBC | San Francisco, ABD | Claude AI metin modeli | m. 9 Standart Sözleşme (2024/959) |
| Meta Platforms, Inc. | İrlanda merkezli (AB) / ABD | WhatsApp/Instagram/Messenger API | m. 9 Standart Sözleşme + DPF Adequacy |
| PayTR Ödeme Hizmetleri A.Ş. | İstanbul, Türkiye | Ödeme tahsilatı | m. 5/2-ç (hukuki yükümlülük) |
| SIP Trunk Operatörü | Türkiye | Telekomünikasyon altyapısı | m. 5/2-c (sözleşme) |
Liste güncellemeleri panel üzerinden ve e-posta ile en az 30 gün önceden bildirilir.
10. Saklama Süreleri
| Veri Türü | Süre | Dayanak |
|---|---|---|
| Hesap verisi (aktif abonelik) | İlişki süresince + 10 yıl | TBK m. 146 zamanaşımı |
| Mali kayıtlar (fatura, dekont) | 10 yıl | VUK m. 253 |
| İşlem ve sistem logları | 24 ay | 5651 SK m. 7 + KVKK m. 12/3 |
| Çerez verisi (opsiyonel) | 12 aya kadar | Çerez Politikası |
| Pazarlama kayıtları | Açık rıza geri çekilene kadar | KVKK m. 5/1 + İYS |
| Destek talepleri (ticket, mail) | Uyuşmazlık zamanaşımı + 2 yıl | TBK m. 146 + delil saklama |
| Çağrı ses kaydı / transkript | 90 gün (panelden ayarlanabilir) | KVKK m. 4 ölçülülük |
Süre sonunda veriler Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (RG 28.10.2017) gereğince imha edilir.
11. Veri Güvenliği Tedbirleri
DoWaba; KVKK m. 12 ve KVKK Kurulu'nun 31.01.2018 tarih ve 2018/10 sayılı Kararı (özel nitelikli kişisel verilerin işlenmesinde yeterli önlemler) kapsamında gerekli teknik ve idari tedbirleri alır:
Teknik tedbirler:
- TLS 1.2+ uçtan uca şifreleme
- Şifre hashleme (bcrypt / argon2id)
- Veritabanı şifrelemesi (at-rest encryption)
- Yedeklemelerin şifreli ve off-site tutulması
- Signed URL ile zaman sınırlı erişim (varsayılan exp <= 600 s)
- Rol bazlı yetkilendirme (RBAC), 2FA seçeneği
- Anomali tespiti, erişim logları, sızma testleri
- Güvenlik açıklarına yönelik düzenli güncellemeler
İdari tedbirler:
- Veri envanteri ve VERBİS kayıtları
- Personelin gizlilik yükümlülüğü ve KVKK eğitimi
- Erişim yetkisi prensibi (need-to-know)
- Veri ihlali müdahale prosedürü (72 saat bildirim)
- Düzenli iç denetim ve uyum kontrolü
Bu tedbirler "kesinlikle güvenli" garantisi sağlamayıp, KVKK ve ilgili ikincil mevzuat kapsamında gerekli teknik ve idari önlemleri ifade eder; tehdit ortamına göre düzenli olarak güncellenir.
12. İlgili Kişinin Hakları (KVKK m. 11)
Kişisel veri sahibi (ilgili kişi) KVKK m. 11 kapsamında aşağıdaki haklara sahiptir:
- Kişisel verisinin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- İşleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içi/yurt dışı aktarılan üçüncü kişileri bilme
- Eksik/yanlış işlenmişse düzeltilmesini isteme
- KVKK m. 7'de öngörülen şartlar çerçevesinde silinmesini/yok edilmesini isteme
- Düzeltme/silme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme
- Otomatik sistemlerle yapılan analize itiraz etme
- Kanuna aykırı işleme nedeniyle uğradığı zararın tazminini talep etme
Almanya/Hetzner sunucu nedeniyle GDPR kapsamındaki ek haklar (taşınabilirlik m. 20, otomatik karar verme itirazı m. 22, denetim makamına şikayet m. 77) da uygulanabilir.
13. Başvuru Yöntemi
Başvurular 10.03.2018 tarihli Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'e uygun olarak aşağıdaki kanallardan yapılabilir:
- E-posta: kvkk@dowaba.com (kayıtlı e-posta hesabınızdan)
- Yazılı: Burdur, Türkiye adresine ıslak imzalı dilekçe
- Panel: https://dowaba.com/kvkk-talep
- KEP / MERSİS: Şirket KEP adresi (panelde duyurulur)
Başvuruda kimlik teyidi için ad-soyad, T.C. kimlik / pasaport numarası, adres ve talep konusu açıkça belirtilmelidir. DoWaba, başvuruyu en geç 30 gün içinde sonuçlandırır. Talebin reddi, eksik yanıt veya süre aşımı halinde ilgili kişi 30 gün içinde Kişisel Verileri Koruma Kurulu'na şikayette bulunabilir.
14. İletişim
- info@dowaba.com — Genel iletişim
- kvkk@dowaba.com — KVKK talepleri ve veri sahibi başvuruları
- https://dowaba.com/kvkk-talep — Panel başvuru formu
Sürüm ve Yürürlük
- Sürüm: v2 (v1'in yerine geçer; v1 hash'leri audit_logs'ta saklı)
- Yürürlük Tarihi: 29 Nisan 2026
Bu metin DoWaba (Acr Yapay Zeka Eğitim Ve Bilişim Teknolojileri Limited Şti.) tarafından KVKK 6698, 10.03.2018 tarihli Aydınlatma Tebliği, KVKK Kurulu 2018/10 ve 2024/959 sayılı Kararları ile AB GDPR (2016/679) doğrultusunda gerekli teknik ve idari tedbirler alınarak hazırlanmıştır. Bu doküman bağımsız hukuki danışmanlık ihtiyacını ortadan kaldırmaz. Sürüm güncellemeleri aynı dosyada yayınlanır.