Veri İşleme Sözleşmesi - Topluyıldız Danışmanlık A.Ş.

Kişisel Verilerin İşlenmesine İlişkin Sözleşme (DPA)

Son Güncelleme: 11 Haziran 2026

1. Taraflar

Veri Sorumlusu: Topluyıldız Danışmanlık A.Ş. ("Şirket")
Veri İşleyenler / Alt-İşleyenler: Anthropic, PBC (Claude - AI yanıt/belge üretimi, ABD); OpenAI (bilgi çıkarımı ve embedding, ABD/AB); Google LLC (Gemini - taslak üretimi, ABD); Microsoft Azure (embedding, AB); Voyage AI (embedding, ABD)

2. Sözleşmenin Konusu

Bu sözleşme, Şirket'in yapay zekâ destekli hukuki danışmanlık platformu kapsamında işlenen kişisel verilerin korunmasına ilişkin tarafların hak ve yükümlülüklerini düzenler.

3. İşlenen Veriler ve İşleme Amaçları

Veri Kategorisi	İşleme Amacı	Aktarım
Sohbet içerikleri	AI analiz ve yanıt üretimi	Anthropic; gerektiğinde OpenAI/Google (maskeli)
Yüklenen belgeler	Belge analizi, revizyon ve inceleme	Anthropic (maskeli); embedding için OpenAI/Azure/Voyage (maskeli)
Kullanım verileri	Hizmet yönetimi ve faturalandırma	Aktarılmaz (yerel)

4. Veri İşleyenin Yükümlülükleri

Kişisel verileri yalnızca belirtilen amaçlar doğrultusunda işlemek
Uygun teknik ve idari güvenlik önlemlerini almak
Alt veri işleyenlere aktarımda aynı güvenlik standartlarını sağlamak
Veri ihlali durumunda Veri Sorumlusu'nu derhal bilgilendirmek
İşleme sona erdiğinde verileri silmek veya iade etmek

5. Veri Sorumlusunun Yükümlülükleri

İlgili kişileri veri işleme hakkında bilgilendirmek (aydınlatma yükümlülüğü)
Gerekli hukuki dayanakları sağlamak (açık rıza veya kanuni dayanak)
Yurt dışı veri aktarımı için KVKK m.9 uyarınca uygun güvenceleri (standart sözleşme / DPA) sağlamak ve gerekli Kurul bildirimlerini yapmak
Veri sahibi haklarına ilişkin başvuruları işlemek

6. Yurt Dışı Veri Aktarımı

Sohbet içerikleri ve yüklenen belgeler, yapay zekâ işleme amacıyla yukarıda belirtilen ABD ve AB yerleşimli hizmet sağlayıcılara aktarılmaktadır. Aktarımdan önce kişisel veriler takma-adlaştırma (PII maskeleme) ile maskelenir; maskeleme eşleştirme tablosu yurt dışına çıkmaz.

Hukuki dayanak (KVKK m.9 - 1 Haziran 2024 sonrası): Yeterlilik kararı bulunmayan ülkelere yapılan sürekli aktarımlar, KVKK m.9/4 kapsamında uygun güvenceler - Kurul tarafından ilan edilen standart sözleşme ve sağlayıcılarla akdedilen DPA'ler - esas alınarak gerçekleştirilir. Standart sözleşme, imza tarihinden itibaren 5 iş günü içinde Kurul'a bildirilir. Açık rıza yalnızca süreklilik taşımayan arızi aktarımlar (m.9/6) için tamamlayıcı dayanak olarak kullanılır.

Güvenlik önlemleri: TLS şifreleme (transit halinde), aktarım öncesi PII maskeleme, AES-256-GCM ile diskte (at-rest) şifreleme, API anahtarı ile kimlik doğrulama.

7. Güvenlik Önlemleri

HTTPS/TLS şifreleme (transit halinde)
Veriler diskte AES-256-GCM ile şifrelenerek saklanır; yüklenen belgeler ve türev sürümler şifreli dosya sisteminde tutulur
Brute-force koruması ve IP tabanlı erişim kontrolü
Rol bazlı yetkilendirme (admin/client ayrımı)
Otomatik oturum zaman aşımı (8 saat)
Denetim kayıtları (audit log)

8. Veri İhlali Bildirimi

Veri ihlali tespit edilmesi durumunda Şirket, KVKK m.12/5 uyarınca:

En kısa sürede ve en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirimde bulunur
İlgili kişileri uygun yollarla bilgilendirir
İhlali ve alınan önlemleri kayıt altına alır

9. Süre ve Fesih

Bu sözleşme, Platform hizmetinin süresi boyunca geçerlidir. Hizmetin sona ermesi halinde, işlenen tüm kişisel veriler silinir.

10. Uygulanacak Hukuk

Bu sözleşme Türkiye Cumhuriyeti hukukuna tabidir. Uyuşmazlıklarda İstanbul Mahkemeleri ve İcra Daireleri yetkilidir.

11. İletişim

Topluyıldız Danışmanlık A.Ş.
E-posta: [email protected]
Web: topluyildiz.av.tr