version: 1 effective_date: 2026-04-29

B2B Veri İşleme Sözleşmesi (B2B-DPA) — v1

Kapsam Notu: İşbu B2B-DPA; DoWaba'nın kurumsal müşterisine (KOBİ panel sahibi) sunduğu Hizmet kapsamında, Müşteri'nin kendi son kullanıcılarına ait kişisel verilerin işlenmesine ilişkindir. Bu sözleşmede Müşteri Veri Sorumlusu, DoWaba ise Veri İşleyen olarak konumlanır. DoWaba'nın Hetzner / Google / Anthropic / Meta gibi alt işleyenleriyle olan ilişkisi ayrı bir DPA dokümanında (dpa-v2.md) düzenlenmiştir.

Madde 1 — Taraflar ve Tanımlar

İşbu B2B Veri İşleme Sözleşmesi ("Sözleşme") aşağıdaki taraflar arasında akdedilmiştir:

• Veri Sorumlusu (Müşteri): DoWaba paneline üye olan ve son kullanıcılarına yönelik iletişim faaliyetlerini DoWaba altyapısı üzerinden yürüten kurumsal abone.
• Veri İşleyen (DoWaba): Acr Yapay Zeka Eğitim Ve Bilişim Teknolojileri Limited Şirketi, https://dowaba.com, Burdur / Türkiye, info@dowaba.com.

Tanımlar; 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") m. 3 anlamında kullanılır. KVKK Kurulu'nun 2017/61 sayılı Kararı, Veri Sorumlusu — Veri İşleyen ayrımının uygulamadaki sonuçlarına ışık tutar. Uygulanabildiği ölçüde AB GDPR (2016/679) Madde 28 hükümleri de dikkate alınır.

Madde 2 — Sözleşmenin Konusu

Sözleşme'nin konusu; Müşteri'nin son kullanıcılarına yönelik çok kanallı iletişim (WhatsApp, Instagram, Telegram, Mail, Messenger, Web Widget, Telefon AI Voice) ve otomasyon hizmetlerinin sunulması sırasında, DoWaba'nın Müşteri'nin yazılı talimatları doğrultusunda kişisel veri işleme yetkilerini ve yükümlülüklerini düzenlemektir.

DoWaba; Hizmet kapsamında Müşteri'ye yalnızca teknik altyapı sağlar. Müşteri'nin son kullanıcılarına yönelik aydınlatma yükümlülüğü, açık rıza alınması ve içerik yönetimi Müşteri'nin sorumluluğundadır.

Madde 3 — İşlenen Veri Kategorileri

Sözleşme kapsamında DoWaba tarafından Müşteri adına işlenebilecek kişisel veri kategorileri:

1. Kimlik verileri (ad, soyad, unvan)
2. İletişim verileri (telefon, e-posta, kullanıcı adı, sosyal medya kimliği)
3. Mesaj içerikleri (WhatsApp / IG / Telegram / mail / web widget metinleri ve medya)
4. Çağrı verileri (ses kaydı, transkript, çağrı meta verisi)
5. Otomasyon iş akışı verileri (randevu, sipariş, sepet, ürün ilgisi)
6. Teknik veriler (IP, tarayıcı, cihaz, oturum)
7. Tercih ve davranış verileri (kanal tercihi, açık rıza durumu)

Müşteri; bu listenin dışına çıkan ve özel nitelikli kişisel veri (sağlık, biyometrik vb.) içeren işleme yapmadan önce DoWaba'yı yazılı olarak bilgilendirmek ve gerekli ek tedbirleri Müşteri olarak almakla yükümlüdür.

Madde 4 — İlgili Kişi Grupları

Sözleşme kapsamında işlenen kişisel verilerin ilgili kişi grupları:

• Müşteri'nin son kullanıcıları (mevcut müşteri, potansiyel müşteri, abone, ziyaretçi),
• Müşteri'nin çalışanları (operatör, satış temsilcisi, çağrı merkezi personeli — paneli kullananlar),
• Müşteri'nin bayileri ve iş ortakları (ilgili faaliyet bu kapsamı gerektiriyorsa).

Madde 5 — İşleme Süresi

DoWaba, kişisel verileri Sözleşme'nin yürürlükte olduğu süre boyunca ve makul saklama dönemi boyunca işler. Hizmet sözleşmesi sona erdiğinde Müşteri'nin yazılı talimatına göre veriler imha edilir veya iade edilir; yasal saklama yükümlülüklerine tabi olanlar (vergi, tüketici hukuku, iletişim ihtilafı kayıtları) süre dolana kadar şifreli olarak saklanmaya devam eder.

Saklama süreleri Hizmet sözleşmesi ekinde ve panel ayarlarında belgelenir; varsayılan süreler (ses kayıtları için belirlenen makul süreler) Müşteri tarafından panel üzerinden ayarlanabilir.

Madde 6 — İşleme Amacı

DoWaba, Sözleşme kapsamındaki kişisel verileri yalnızca aşağıdaki amaçlarla ve Müşteri'nin yazılı / panel düzeyindeki talimatları doğrultusunda işler:

• Hizmet'in sunulması (mesaj iletimi, çağrı yönlendirme, otomasyon),
• Hizmet kalitesinin izlenmesi ve hata teşhisi,
• Bilgi güvenliği, dolandırıcılık tespiti, hizmet kötüye kullanımı önleme,
• Yasal yükümlülüklerin yerine getirilmesi.

DoWaba; Müşteri verilerini kendi pazarlama, profil oluşturma veya çapraz satış amaçlarıyla kullanamaz. Hizmet kalitesini iyileştirmek amacıyla üretilen istatistikler kümülatif ve anonim biçimde tutulur.

Madde 7 — Veri Sorumlusu'nun (Müşteri) Yükümlülükleri

Müşteri, Veri Sorumlusu sıfatıyla aşağıdaki yükümlülükleri kabul ve taahhüt eder:

1. KVKK m. 10 aydınlatma yükümlülüğü. Son kullanıcılarına Hizmet kapsamında yapılan veri işlemeyi, hangi kanaldan ve hangi amaçla işlendiğini açıkça bildirmek; gerektiğinde DoWaba tarafından sağlanan örnek aydınlatma şablonlarını uyarlayarak kullanmak.
2. Açık rıza yönetimi. Pazarlama, ticari elektronik ileti veya rıza gerektiren diğer faaliyetler için son kullanıcıdan KVKK m. 5/1 ve 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ile İYS uyumlu şekilde açık rıza almak.
3. Hukuka uygun işleme dayanağı. Her işleme faaliyeti için KVKK m. 5 / m. 6 dayanağına sahip olduğunu kontrol etmek.
4. VERBİS kaydı. Yükümlülük sınırlarını aşması hâlinde veri envanterini ve VERBİS kaydını güncel tutmak.
5. Yetkili kullanıcı yönetimi. Panel üzerinde verilen yetkileri ihtiyaç ölçüsünde ve need-to-know prensibine göre dağıtmak; ayrılan personelin yetkisini iptal etmek.
6. İçerik kontrolü. Müşteri, panele yüklediği içeriklerin (broadcast mesajı, otomatik yanıt, anons) hukuka uygunluğundan kendisi sorumludur.

Madde 8 — Veri İşleyen'in (DoWaba) Yükümlülükleri

DoWaba, Veri İşleyen sıfatıyla aşağıdaki yükümlülükleri kabul ve taahhüt eder:

1. Talimata bağlılık. Yalnızca Müşteri'nin yazılı talimatları (sözleşme, panel konfigürasyonu, API çağrıları) doğrultusunda işleme yapmak; mevzuat gereği işleme zorunluluğu doğarsa, hukuken yasak olmadığı ölçüde Müşteri'yi bilgilendirmek.
2. Gizlilik. Verilere erişen tüm personelin yazılı gizlilik sözleşmesine tabi olmasını sağlamak; yükümlülüğün iş ilişkisi sona erdikten sonra da devam etmesini taahhüt etmek.
3. Teknik ve idari tedbirler (TOM). KVKK m. 12 ve KVKK Kurulu 2018/10 sayılı Kararı kapsamında en az aşağıdaki tedbirleri uygulamak: TLS 1.2+ şifreli iletişim, at-rest şifreleme, RBAC, audit log, yedekleme, anomaly detection, sızma testi.
4. Alt işleyen kullanımı. Aşağıda Madde 9 kapsamındaki alt işleyenleri kullanmak ve listede yapılacak değişiklikleri 30 gün önceden Müşteri'ye bildirmek; Müşteri'nin makul gerekçeyle itiraz hakkını saklı tutmak. İtiraz halinde Müşteri Sözleşmeyi ücretsiz fesih hakkına sahiptir.
5. İlgili kişi başvurularına destek. Müşteri'nin son kullanıcılarından gelen KVKK m. 11 başvurularına Müşteri'nin yanıt verebilmesi için makul ve uygun teknik destek sağlamak.
6. Veri ihlali bildirimi. İhlali öğrendiği andan itibaren 72 saat içinde Müşteri'yi yazılı olarak bilgilendirmek.

Madde 9 — Almanya Lokasyonlu Sunucu ve Yurt Dışı Aktarım

Müşteri; DoWaba Hizmet altyapısının Almanya'da Hetzner Online GmbH üzerinde sunulduğunu ve AI / mesajlaşma çağrılarının ABD merkezli sağlayıcılara (Google LLC, Anthropic PBC, Meta Platforms Inc.) gerçekleştirilebileceğini kabul ve beyan eder. Müşteri:

• Bu altyapı yapılandırmasını kendi son kullanıcılarına açıkça bildirmekle yükümlüdür.
• Bunu yaparken DoWaba tarafından sağlanan yurtdisi-aktarim-v1.md örnek metnini uyarlayarak veya kendi aydınlatma metnine bu bilgileri dahil ederek kullanabilir.
• DoWaba'nın bu sağlayıcılarla Standart Sözleşme ilişkisi içinde olduğunu ve KVKK m. 9 / Kurul 2024/959 sayılı Karar gereği Kuruma bildirim yükümlülüğünün DoWaba tarafından yerine getirildiğini kabul eder.

Bu yapı dolaylı olarak Müşteri'nin son kullanıcılarına da yansır; Müşteri yansımayı kendi aydınlatma metninde belirtmekle yükümlüdür.

Madde 10 — Veri İhlali Bildirimi

DoWaba; kişisel veri ihlalini öğrendiği andan itibaren 72 saat içinde Müşteri'yi yazılı olarak (e-posta veya panel bildirim) bilgilendirir. Bildirim asgari olarak şunları içerir:

• İhlalin niteliği,
• Etkilenen veri kategorileri ve yaklaşık ilgili kişi sayısı,
• Olası sonuçlar,
• Alınmış / alınacak tedbirler,
• DoWaba veri irtibat kişisinin iletişim bilgisi.

Müşteri; KVKK Kurulu'na ve etkilenen ilgili kişilere yapılacak bildirimden Veri Sorumlusu sıfatıyla kendisi sorumludur. DoWaba bu süreçte makul teknik destek sağlar.

Madde 11 — Denetim Hakkı

Müşteri; Sözleşme'nin yürürlükte olduğu süre boyunca, makul gerekçeyle ve yılda 1 kez, en az 30 gün önceden yazılı bildirimde bulunmak suretiyle DoWaba'nın KVKK uyumluluğunu denetleme hakkına sahiptir. Denetim şu kurallarla yürütülür:

• Yalnızca KVKK uyumluluğuyla sınırlı,
• Bağımsız üçüncü taraf denetçi tarafından yürütülebilir,
• DoWaba'nın iş gizliliğini ihlal etmeyecek şekilde ve normal iş saatlerinde yürütülür,
• Üçüncü taraf bağımsız sertifika raporları (örn. ISO/IEC 27001) sunulabildiğinde Müşteri makul olarak bu raporları kabul edebilir.

Madde 12 — Sözleşme Sonu

Hizmet sözleşmesi sona erdiğinde DoWaba:

• Müşteri'nin yazılı talimatına göre verileri 30 gün içinde imha eder veya
• Müşteri talep ederse standart formatta (CSV / JSON) iade eder.
• Yasal saklama yükümlülüğüne tabi veriler ilgili süre dolana kadar şifreli olarak tutulur.

İmha sonrası "data destruction certificate" (imha sertifikası) Müşteri'nin talebi hâlinde sağlanır.

Madde 13 — Sorumluluklar

Her taraf, kendi sıfatıyla yürüttüğü işleme faaliyetlerinden ve kendi yükümlülüklerinin ihlalinden kendisi sorumludur. KVKK m. 12 kapsamında ortaya çıkabilecek paylaşılan sorumluluk durumları saklıdır.

DoWaba, Müşteri'nin son kullanıcılarına yönelik aydınlatma, açık rıza ve diğer Veri Sorumlusu yükümlülüklerinin yerine getirilmemesinden sorumlu değildir.

Madde 14 — Sigorta ve Tazminat

• Müşteri; kendi son kullanıcılarından, panele yüklediği içeriklerden veya açık rıza yokluğundan kaynaklanan şikayet, KVKK Kurulu yaptırımı veya tazminat taleplerinden DoWaba'yı tazmin eder.
• DoWaba ise teknik altyapı kusuru, kendi alt işleyen yönetimi veya bu Sözleşme'deki kendi yükümlülüklerinin ihlalinden kaynaklı doğrudan zararlardan kendi sorumluluğu dahilinde sorumlu olur.
• Toplam sorumluluk sınırı, asıl Hizmet sözleşmesindeki sorumluluk hükümlerine tabidir.

Madde 15 — Çakışma Çözümü

İşbu Sözleşme ile Müşteri ve DoWaba arasındaki diğer sözleşmeler arasında çakışma olması hâlinde, kişisel veri işleme konularında bu B2B-DPA hükümleri öncelikli olarak uygulanır. Diğer hususlarda asıl Hizmet sözleşmesi geçerlidir.

Madde 16 — Yürürlük

Bu Sözleşme; Müşteri'nin DoWaba paneline kaydolması ve Hizmet sözleşmesini imzalamasıyla birlikte yürürlüğe girer ve Hizmet sözleşmesinin yürürlükte olduğu süre boyunca geçerli olur. DoWaba; bu sözleşmeyi makul süreyle önceden bildirimde bulunarak güncelleyebilir; yeni sürüm b2b-dpa-v2.md adıyla yayımlanır ve panel üzerinde değişiklik bildirimi gösterilir.

Sözleşme; Türkiye Cumhuriyeti hukukuna tabidir ve uyuşmazlıklarda Burdur Mahkemeleri ve İcra Daireleri yetkilidir.

İletişim: kvkk@dowaba.com — info@dowaba.com — https://dowaba.com