version: 2 effective_date: 2026-04-29 replaces: v1
Veri İşleme Sözleşmesi (DPA) — v2
Kapsam Notu: İşbu DPA, DoWaba'nın kendi alt işleyenlerine (Hetzner / Google / Meta / Anthropic / PayTR / SIP trunk operatörü) yönelik veri aktarımları ve işleme ilişkilerini düzenler. DoWaba; bu kapsamda kendi son kullanıcılarına/Müşterilerine yönelik Veri Sorumlusu olarak konumlanır ve alt işleyenleri ile yazılı işleme sözleşmesi yürütür. Müşteri'nin (KOBİ) son kullanıcılarına yönelik veri işlemesini düzenleyen ve Müşteri'nin Veri Sorumlusu, DoWaba'nın Veri İşleyen olarak konumlandığı yapı için ayrı B2B-DPA dokümanı kullanılır (
b2b-dpa-v1.md).
1. Taraflar ve Tanımlar
İşbu Veri İşleme Sözleşmesi ("DPA"), aşağıdaki taraflar arasında akdedilmiştir:
- Veri Sorumlusu: Acr Yapay Zeka Eğitim Ve Bilişim Teknolojileri Limited Şirketi ("DoWaba"), https://dowaba.com, Burdur / Türkiye, info@dowaba.com.
- Alt Veri İşleyen: İşbu DPA'nın akdedildiği üçüncü taraf hizmet sağlayıcı (Hetzner / Google / Anthropic / Meta / PayTR / SIP trunk operatörü vb.).
İşbu sözleşme; 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK"), KVKK m. 12 (veri güvenliği), KVKK Kurulu'nun 2017/61 sayılı Kararı (Veri Sorumlusu — Veri İşleyen ayrımı), KVKK Kurulu'nun 2024/959 sayılı Kararı (yurt dışına aktarımda standart sözleşme), KVKK Kurulu'nun 2018/10 sayılı Kararı (özel nitelikli verilerde yeterli önlemler) ve uygulanabildiği ölçüde AB GDPR (2016/679) hükümleri dikkate alınarak düzenlenmiştir.
Tanımlar. "Kişisel Veri", "İşleme", "Veri Sorumlusu", "Veri İşleyen", "Açık Rıza" ve "İlgili Kişi" kavramları KVKK 6698 sayılı Kanun m. 3 anlamında kullanılmaktadır. "Hizmet", DoWaba'nın çok kanallı (WhatsApp, Instagram, Telegram, Mail, Messenger, Web Widget, Telefon AI Voice) iletişim ve otomasyon platformudur.
2. İşleme Konusu, Niteliği ve Amacı
Alt İşleyen, DoWaba'nın yazılı talimatları doğrultusunda DoWaba adına kişisel veri işler. İşleme konusu; sunucu altyapısı, AI çıkarsama (transkripsiyon/özet), mesajlaşma kanalları, ödeme tahsilatı veya telekomünikasyon altyapısı sağlamaktır.
Amaç: DoWaba Hizmet'inin sunulması, son kullanıcı verilerinin işlenmesi, depolanması, AI ile zenginleştirilmesi ve yasal yükümlülüklerin yerine getirilmesi.
3. Veri Kategorileri ve İlgili Kişi Grupları
Sözleşme kapsamında işlenebilecek veri kategorileri:
- Kimlik verileri (ad, soyad, unvan)
- İletişim verileri (telefon numarası, e-posta, kullanıcı adı, IP)
- Görsel/işitsel veriler (telefon ses kayıtları, transkriptler)
- Mesaj içerikleri (WhatsApp, IG, Telegram, mail vb.)
- İşlem verileri (randevu, sipariş, sepet bilgisi — Müşteri tarafından entegre edilirse)
- Ödeme referansları (kart bilgisi alt işleyen sahasında, DoWaba sahasında değil)
İlgili kişi grupları: DoWaba müşterileri (KOBİ panel sahipleri), Müşteri'nin son kullanıcıları (potansiyel müşteri, müşteri, abone, ziyaretçi).
4. İşleme Süresi
Alt İşleyen, kişisel verileri Hizmet sözleşmesinin yürürlükte olduğu süre boyunca işler. Sözleşme sona erdiğinde DoWaba'nın yazılı talimatına göre verileri imha eder veya iade eder; yasal saklama yükümlülüklerine tabi olanlar süre dolana kadar tutulur.
5. Veri Sorumlusu Talimatları
Alt İşleyen, DoWaba'nın belgelenmiş talimatları (sözleşme, panel konfigürasyonu, API çağrıları, yazılı yönergeler) dışında veri işleyemez. Mevzuat gereği işleme zorunluluğu doğarsa, hukuken yasak olmadığı ölçüde DoWaba'ya derhal bilgi verir.
DoWaba'nın talimatı KVKK veya ilgili mevzuata aykırılık taşıyorsa Alt İşleyen, bu durumu DoWaba'ya yazılı olarak bildirir; aykırılık devam ederse işlemeyi durdurma hakkını saklı tutar.
6. Gizlilik
Alt İşleyen; verilere erişen tüm personelinin yazılı gizlilik yükümlülüğüne tabi olmasını sağlar. Bu yükümlülük iş ilişkisinin sona ermesinden sonra da devam eder. Erişim need-to-know prensibine göre verilir.
7. Teknik ve İdari Tedbirler (TOM)
Alt İşleyen, KVKK m. 12 ve KVKK Kurulu 2018/10 sayılı Kararı kapsamında en az aşağıdaki teknik ve idari tedbirleri sağlar:
Teknik Tedbirler (Technical Measures):
- Şifreli iletişim (TLS 1.2+) ve at-rest encryption
- Şifre hashleme (bcrypt / argon2id)
- Erişim logları, anomali tespiti, sızma testleri
- Yedeklemelerin şifreli ve off-site tutulması
- Rol bazlı yetkilendirme (RBAC) ve 2FA
- Düzenli yama / güncelleme yönetimi
- Veri tabanı izolasyonu, network segmentasyonu
İdari Tedbirler (Organizational Measures):
- Veri envanteri ve VERBİS / Article 30 GDPR kayıtları
- Personelin gizlilik sözleşmesi ve KVKK / GDPR eğitimi
- Veri ihlali müdahale prosedürü
- İç denetim ve uyum kontrolü
- Felaket kurtarma (DR) ve iş sürekliliği planı
- Tedarikçi yönetimi ve alt işleyen değerlendirmesi
Bu tedbirler "kesinlikle güvenli" garantisi sağlamayıp, KVKK ve ilgili ikincil mevzuat kapsamında gerekli teknik ve idari önlemleri ifade eder; tehdit ortamına göre düzenli güncellenir.
8. Alt İşleyen Kullanımı (Sub-processing)
Alt İşleyen, kendi alt veri işleyenlerini (sub-sub-processor) yalnızca DoWaba'nın önceden yazılı izni ile veya genel izin verilmiş bir liste kapsamında kullanabilir. Liste değişiklikleri en az 30 gün önceden DoWaba'ya bildirilir; DoWaba makul gerekçeyle itiraz hakkını saklı tutar.
Alt İşleyen, kendi alt işleyenleri ile en az işbu DPA seviyesinde yazılı sözleşme akdeder ve onların ihlallerinden DoWaba'ya karşı sorumlu olur.
9. Yurt Dışına Aktarım — Almanya, ABD ve Diğer Ülkeler
Aşağıdaki alt işleyenler yurt dışında bulunmaktadır:
| Alt İşleyen | Lokasyon | Hukuki Dayanak |
|---|---|---|
| Hetzner Online GmbH | Falkenstein, Almanya (AB) | KVKK m. 9/6 yeterli koruma + GDPR Adequacy |
| Google LLC (Gemini Live) | ABD | KVKK m. 9 Standart Sözleşme (Kurul 2024/959) |
| Anthropic PBC (Claude) | ABD | KVKK m. 9 Standart Sözleşme (Kurul 2024/959) |
| Meta Platforms, Inc. | İrlanda (AB) / ABD | Standart Sözleşme + AB Komisyonu DPF Adequacy |
Almanya / Hetzner: AB üyesi olduğu için KVKK m. 9/6 yeterli koruma kapsamında değerlendirilir; ek olarak GDPR çift seviyeli koruma sağlar.
ABD aktarımları: KVKK Kurulu'nun 19.07.2024 tarih ve 2024/959 sayılı Kararı ekinde yer alan Standart Sözleşme (Modül 3 – İşleyenden İşleyene Aktarım) akdedilmiştir. Standart Sözleşme akdi, KVKK Kurulu'na 5 iş günü içinde bildirilir (Karar m. 8). DoWaba bu bildirimleri zamanında yapmakla yükümlüdür.
Müşteri/ilgili kişi, talep halinde Standart Sözleşme'nin redakte edilmiş bir kopyasını DoWaba'dan isteyebilir.
10. Veri İhlali Bildirimi (72 Saat)
Alt İşleyen, herhangi bir veri ihlalinden haberdar olduğunda gecikmeksizin ve her hâlükârda 72 saat içinde DoWaba'ya yazılı bildirim yapar. Bildirim aşağıdaki bilgileri içerir:
- İhlalin niteliği, kapsamı ve etkilenen veri kategorileri
- Etkilenen ilgili kişi sayısı (yaklaşık)
- Olası sonuçlar ve risk değerlendirmesi
- Alınan ve önerilen tedbirler
- Veri Sorumlusu (DoWaba) için iletişim noktası
DoWaba, KVKK m. 12/5 ve KVKK Kurulu'nun 24.01.2019 tarih ve 2019/10 sayılı Kararı uyarınca gerekiyorsa Kişisel Verileri Koruma Kurulu'na 72 saat içinde ve etkilenen ilgili kişilere makul sürede bildirim yapar. Alt İşleyen, bu süreçte DoWaba'ya gerekli bilgi ve belgeyi temin eder.
11. Denetim Hakkı
DoWaba; Alt İşleyen'in işbu DPA yükümlülüklerine uyumunu denetleme hakkına sahiptir. Denetim aşağıdaki yöntemlerle gerçekleştirilebilir:
- Alt İşleyen'in mevcut ISO 27001, SOC 2 Type II, ISO 27701 gibi bağımsız denetim raporları talep edilmesi
- Yazılı sorgu/anket gönderilmesi ve makul sürede yanıt alınması
- Mutabık kalınan koşullarla yerinde denetim (yılda en fazla bir defa, makul gerekçe halinde)
Denetim sonuçları gizlilik kapsamındadır. Alt İşleyen, KVKK Kurulu 2017/61 sayılı Kararı uyarınca veri işleyen denetimine açık olma yükümlülüğünü kabul eder.
12. Sözleşme Sonu — Silme veya İade
Hizmet sözleşmesi sona erdiğinde Alt İşleyen, DoWaba'nın yazılı talebine göre verileri:
- İade: Yapılandırılmış, yaygın olarak kullanılan, makine tarafından okunabilir bir formatta DoWaba'ya iade eder; veya
- İmha: Geri döndürülemez şekilde siler / yok eder.
Yasal saklama yükümlülüklerine (mali kayıt 10 yıl, log 2 yıl) tabi veriler bu süre boyunca tutulmaya devam eder ve süre sonunda imha edilir. İmha işlemi Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (RG 28.10.2017) hükümlerine uygun şekilde gerçekleştirilir.
DoWaba talebi üzerine Alt İşleyen, imhanın tamamlandığına dair yazılı bildirim sunar.
13. Sorumluluklar
Alt İşleyen; işbu DPA'ya aykırılıktan, KVKK ve uygulanabilir mevzuatın ihlalinden, gizlilik yükümlülüğünün çiğnenmesinden ve teknik tedbirlerdeki zafiyetten doğan zararlardan DoWaba'ya karşı sorumludur. KVKK m. 12/4 uyarınca veri ihlalinden doğan idari para cezalarının muhatabı kanuni olarak Veri Sorumlusu (DoWaba) olsa da, ihlalin Alt İşleyen kaynaklı olduğunun ispatı halinde rücu hakkı saklıdır.
DoWaba, kendi talimatlarındaki hatalardan, kötü konfigürasyondan ve son kullanıcılarına yönelik aydınlatma yükümlülüğünün ihlalinden Alt İşleyen'e karşı sorumludur.
14. Kanunlar Arası Çatışma
İşbu DPA aynı anda KVKK 6698, AB GDPR (Hetzner aktarımı bağlamında) ve uygulanabilir diğer veri koruma mevzuatına tabidir. Hükümler arası çatışma halinde:
- Türkiye'de yerleşik ilgili kişiler için KVKK öncelikli uygulanır.
- AB'de yerleşik ilgili kişiler için GDPR ek koruma sağlar.
- Daha sıkı koruma sağlayan hüküm uygulanır (en yüksek koruma standardı).
15. Çözüm Sırası ve Yetkili Mahkeme
Taraflar arasındaki uyuşmazlıklar öncelikle iyi niyetli müzakere ile çözülmeye çalışılır. Çözülemeyen uyuşmazlıklar Türk Hukuku'na göre Burdur Mahkemeleri ve İcra Dairelerinde görülür. Yurt dışı alt işleyenler için tarafların ayrıca üzerinde mutabık kaldığı tahkim/jürisdiksiyon hükümleri saklıdır.
16. Yürürlük
İşbu DPA, taraflarca elektronik veya ıslak imzalı şekilde kabul edildiği tarihte yürürlüğe girer ve Hizmet sözleşmesinin yürürlükte olduğu süre boyunca devam eder. DPA hükümleri, Hizmet sözleşmesi sona erse dahi yasal saklama ve imha yükümlülükleri tamamlanana kadar geçerliliğini korur.
17. İmza ve Kabul
Taraflar; işbu DPA'yı yetkili imza sahipleri tarafından elektronik veya ıslak imzayla kabul ederler. Elektronik kabul, HMK m. 193 uyarınca delil sözleşmesi kapsamında geçerli sayılır. KVKK Kurulu Standart Sözleşme örneği akdedildiği takdirde 5 iş günü içinde Kuruma bildirim yapılır (Kurul Kararı 2024/959 m. 8).
Sürüm ve Yürürlük
- Sürüm: v2 (v1'in yerine geçer; v1 hash'leri audit_logs'ta saklı)
- Yürürlük Tarihi: 29 Nisan 2026
- İletişim: info@dowaba.com — KVKK talepleri: kvkk@dowaba.com — Panel: https://dowaba.com/kvkk-talep
- Uyuşmazlık: Türk Hukuku — Burdur Mahkemeleri ve İcra Daireleri
Bu metin DoWaba (Acr Yapay Zeka Eğitim Ve Bilişim Teknolojileri Limited Şti.) tarafından KVKK 6698, KVKK Kurulu 2017/61, 2018/10, 2019/10 ve 2024/959 sayılı Kararları ile uygulanabildiği ölçüde AB GDPR (2016/679) doğrultusunda gerekli teknik ve idari tedbirler alınarak hazırlanmıştır. Bu doküman bağımsız hukuki danışmanlık ihtiyacını ortadan kaldırmaz; her tarafın kendi durumuna özgü hukuki görüş alması tavsiye edilir. Sürüm güncellemeleri aynı dosyada yayınlanır.