version: 1 effective_date: 2026-04-29
Yurt Dışı Veri Aktarım Bildirimi — v1
İşbu Yurt Dışı Veri Aktarım Bildirimi; DoWaba (Acr Yapay Zeka Eğitim Ve Bilişim Teknolojileri Limited Şirketi, https://dowaba.com, Burdur / Türkiye, info@dowaba.com) tarafından kullanılan altyapı ve servis sağlayıcılarının önemli bir bölümünün Türkiye dışında konumlanması nedeniyle, ilgili kişilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") m. 9 kapsamında bilgilendirilmesi amacıyla hazırlanmıştır.
1. Bu Metnin Amacı
KVKK m. 9, kişisel verilerin yurt dışına aktarımını özel kurallara bağlar. İlgili kişinin; verilerinin hangi ülkelere, hangi sağlayıcılara, hangi amaçla aktarıldığını ve aktarımın hangi hukuki dayanağa istinaden yapıldığını şeffaf biçimde bilmesi gerekir. Bu metin söz konusu şeffaflık yükümlülüğünü yerine getirme amacı taşır ve KVKK m. 10 kapsamındaki aydınlatma metninin (kvkk-aydinlatma-v2.md) yurt dışı aktarımına ilişkin kısmını ayrıntılandırır.
2. Hangi Veriler Aktarılır?
Hizmetin sunulabilmesi için aktarılan kişisel veri kategorileri aşağıdaki tabloda özetlenmiştir.
| Veri Kategorisi | Örnek Alanlar | Aktarım Amacı |
|---|---|---|
| Kimlik | Ad, soyad, unvan | Hesap oluşturma, faturalama referansı |
| İletişim | E-posta, telefon, adres | Mesajlaşma, çağrı yönlendirme, bildirim |
| Çağrı verisi | Ses kaydı (.wav), transkript, meta veri | Çağrı işleme, AI transkripsiyon |
| Mesaj içeriği | WhatsApp / IG / Telegram / mail metinleri | AI cevap üretimi, kanal teslimi |
| İşlem verisi | Randevu, sipariş, talep | İş akışlarının yürütülmesi |
| Teknik | IP, tarayıcı, cihaz, oturum | Güvenlik, hata izleme |
| Ödeme referansı | İşlem kimliği (kart bilgisi DoWaba sahasında değildir) | Tahsilat (yurt içi alt işleyen) |
3. Aktarım Yapılan Ülkeler ve Sağlayıcılar
3.1 Almanya — Hetzner Online GmbH
- Sağlayıcı: Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Almanya).
- Lokasyon: Falkenstein veya Helsinki (AB üye ülkesi / Finlandiya AB üye ülkesi) veri merkezleri.
- Kapsam: Tüm uygulama sunucusu, veri tabanı (MySQL), Redis, dosya depolama, ses kayıtları ve Asterisk telefon altyapısı.
- Hukuki dayanak: Almanya, AB üye ülkesi olduğundan KVKK m. 9 anlamında yeterli koruma sağlayan ülke olarak değerlendirilebilir; ayrıca aktarılan veriler GDPR (2016/679) güvencesi altındadır. GDPR + KVKK çift seviye koruma uygulanır.
- Sözleşme: Hetzner ile yazılı veri işleme sözleşmesi (DPA / AVV) bulunmaktadır.
3.2 Amerika Birleşik Devletleri (ABD)
a) Google LLC — Gemini API
- Amaç: AI metin üretimi, çağrı transkripsiyonu, doğal dil işleme.
- Aktarılan veri: Mesaj / çağrı transkript metni (anonimleştirilmiş prompt; PII gerektiğinde Müşteri talimatıyla).
b) Anthropic PBC — Claude API
- Amaç: AI metin üretimi (Opus / Sonnet), karmaşık akıl yürütme, fonksiyon çağrısı.
- Aktarılan veri: Mesaj içeriği, kullanıcı sorusu, sistem talimatları.
c) Meta Platforms, Inc. — WhatsApp Cloud API & Instagram Graph API
- Amaç: WhatsApp ve Instagram kanallarında mesaj iletimi.
- Aktarılan veri: Mesaj içeriği, gönderici telefon / kullanıcı adı, medya.
d) Diğer
OpenAI veya benzer AI sağlayıcıları, Müşteri'nin panel üzerinde aktif etmesi durumunda eklenebilir; bu durumda ilgili sağlayıcı için ayrıca standart sözleşme imzalanır.
Hukuki dayanak (ABD aktarımları için): ABD, KVKK m. 9 anlamında "yeterli koruma sağlayan ülke" listesinde değildir. Bu nedenle bu aktarımlar:
- KVKK Kurulu 2024/959 sayılı Kararı kapsamında imzalanan Standart Sözleşme (yurt dışına aktarımda kullanılan tip sözleşme),
- veya nitelikli pazarlama amaçlı aktarımlar için ilgili kişinin açık rızası,
- ya da ilgili kişiye veya başkalarına ait hayati menfaatlerin korunması için zorunlu olduğu hâller (KVKK m. 9/3),
dayanağıyla yapılır. Standart Sözleşme, ilgili sağlayıcıyla imzalanmasını takip eden 5 iş günü içinde Kişisel Verileri Koruma Kurumu'na bildirilir.
4. Hukuki Dayanaklar (Madde Bazlı Açıklama)
- KVKK m. 9/2 — Yeterli koruma sağlayan ülke: Almanya/Finlandiya gibi AB üye ülkelerine yapılan aktarımlar bu kapsamdadır.
- KVKK m. 9/3 — Yeterli korumanın bulunmaması durumunda: ABD aktarımları gibi durumlarda Türkiye'deki ve aktarımın yapılacağı ülkedeki veri sorumluları tarafından standart sözleşme imzalanması esastır.
- KVKK m. 9/6 — Açık rıza: Yukarıdaki dayanaklar uygulanamadığı durumlarda ilgili kişinin yurt dışı aktarımı için açık rıza vermesi gerekir. Pazarlama amaçlı opsiyonel aktarımlar (Google Ads, Meta Pixel remarketing) bu kapsamda yürütülür.
- KVKK Kurulu 2024/959 sayılı Karar: Standart sözleşme metnini ve Kuruma bildirim usulünü düzenler.
Bu dayanaklar birbirini dışlamaz; ana hizmet aktarımları m. 9/3 (standart sözleşme), pazarlama aktarımları m. 9/6 (açık rıza) çerçevesinde yürütülür.
5. Şifreleme ve Teknik Tedbirler
Yurt dışına aktarım yapılan tüm veriler aşağıdaki teknik tedbirlere tabidir.
5.1 İletim sırasında (in-transit)
- TLS 1.2+ ile uçtan uca şifreli kanal,
- Let's Encrypt sertifikaları (https://dowaba.com ve alt alan adları),
- Asterisk SIP trafiği için TLS / SRTP (operatör desteklediğinde),
- API çağrıları için HMAC ve Bearer token tabanlı kimlik doğrulama.
5.2 Depolanırken (at-rest)
- Şifreler
bcrypthash ile saklanır, - API token'lar ve hassas alanlar
Crypt::encryptString(Laravel AES-256-CBC) ile şifrelenir, - Ses kayıtları erişimi 24 saatlik signed URL üzerinden imzalı şekilde sunulur,
- Veri tabanı yedekleri şifrelenmiş olarak off-site lokasyonda tutulur.
Bu tedbirler "kesinlikle güvenli" garantisi sağlamayıp KVKK m. 12 kapsamında alınması gereken makul teknik ve idari tedbirleri ifade eder.
6. Erişim Yetkilendirmesi
- Rol bazlı erişim (RBAC): Sadece görevi gereği veriye erişmesi gereken personel ilgili veriye erişebilir,
- MFA / 2FA: Admin paneline yönetici düzeyi giriş için iki faktörlü kimlik doğrulama önerilir,
- Audit log: Hassas veri erişim ve değişiklik kayıtları
audit_logstablosunda saklanır, - Need-to-know: Alt işleyen sağlayıcılar (Hetzner / Google / Anthropic / Meta) yalnızca DoWaba'nın yazılı talimatları çerçevesinde işleme yapar.
7. Bu Aktarımı Kabul Etmezsem Ne Olur?
- Ana hizmet aktarımları (Hetzner / Google / Anthropic / Meta): Hizmetin teknik altyapısı yurt dışında olduğundan, bu aktarım reddedilirse ana hizmet sunulamaz. Bu durumda kullanıcının hizmeti kullanmama tercihi vardır.
- Pazarlama amaçlı opsiyonel aktarımlar (Google Ads, Meta Pixel remarketing): Bu aktarımlar açık rızaya bağlıdır; reddedilirse pazarlama içerikli kişiselleştirme pasifleşir, ana hizmet etkilenmez. Bu rıza panel üzerinde Profil → Tercihler → Pazarlama Tercihleri sayfasından her an geri alınabilir.
8. KVKK m. 11 Hakları
İlgili kişi olarak KVKK m. 11 kapsamında aşağıdaki haklarınız bulunmaktadır:
- Kişisel verinizin işlenip işlenmediğini öğrenme,
- İşlenmişse buna ilişkin bilgi talep etme,
- İşlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
- Eksik veya yanlış işlenmiş ise düzeltilmesini isteme,
- KVKK m. 7 çerçevesinde silinmesini veya yok edilmesini isteme,
- Yapılan işlemlerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Otomatik sistemlerle analiz sonucu aleyhine bir sonuç çıkmasına itiraz etme,
- Kanuna aykırı işleme nedeniyle zarar görmesi hâlinde tazminat talep etme.
Başvurular kvkk@dowaba.com adresine yöneltilebilir. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca otuz gün içinde yanıt verilir.
9. Standart Sözleşme
KVKK Kurulu'nun 2024/959 sayılı Kararı ile yayımlanan Standart Sözleşme modülleri (Modül 1 — Veri Sorumlusu'ndan Veri Sorumlusu'na, Modül 2 — Veri Sorumlusu'ndan Veri İşleyen'e vb.) uygulanmaktadır. Bu sözleşmenin örnek metnine Kişisel Verileri Koruma Kurumu'nun resmi web sitesinden (https://www.kvkk.gov.tr) ulaşılabilir.
10. İletişim
Yurt dışı aktarım, KVKK m. 11 başvuruları veya bu metinle ilgili her türlü soru için:
- E-posta: kvkk@dowaba.com
- Genel: info@dowaba.com
- Web: https://dowaba.com