Desteq logoDesteq
Ücretsiz Başla

Veri İşleme Sözleşmesi (DPA)

Yürürlük Tarihi: 23 Haziran 2026 · Versiyon: 1.4

Data Processing Agreement

Bu Veri İşleme Sözleşmesi ("DPA"); aşağıda belirtilen Veri Sorumlusu ("Müşteri") ile Veri İşleyen ("Şirket" veya "Desteq") arasında, 6698 sayılı KVKK, AB GDPR ve ilgili sair mevzuat çerçevesinde, Hizmet Şartları ve/veya MSA kapsamında işlenecek kişisel verilere ilişkin hak ve yükümlülükleri düzenlemek amacıyla akdedilmiştir.

Hizmet Şartları, MSA, SLA, AUP veya sipariş belgeleri ile bu DPA arasında çelişki bulunması halinde, kişisel verilerin korunmasına ilişkin konularda bu DPA öncelikli uygulanır. Sağlık Müşterisi Eki / Hassas Veri Eki uygulanan Müşteriler bakımından, sağlık/hassas veri konularında ilgili ek önceliklidir.

1. Taraflar

1.1 Veri İşleyen (Hizmet Sağlayıcı)

  • Ticari Unvan: UniqueIQ Yazılım Teknolojileri Anonim Şirketi
  • Mersis No: 0892079386000001
  • Adres: İdealtepe Mah. Dik Sk. No: 13 İç Kapı No: 2 Maltepe/İstanbul
  • E-posta: info@desteq.ai

1.2 Veri Sorumlusu (Müşteri)

Hizmet Şartlarını kabul ederek, MSA'yı imzalayarak veya sipariş sürecini onaylayarak Desteq Hizmetini kullanan tüzel kişi veya işletme adına işlem yapmaya yetkili gerçek kişi.

Self-serve kullanım: Bu DPA; Müşteri'nin desteq.ai üzerinden hesap oluştururken/satın alırken "Veri İşleme Sözleşmesi'ni kabul ediyorum" seçeneğini onaylaması ile yürürlüğe girer ve hesap bilgileri Müşteri kimliği olarak esas alınır.

Enterprise kullanım: Sipariş belgeleri ve/veya MSA ekinde kabul edilir ve ilgili belgelerdeki taraflar arasında bağlayıcıdır.

2. Tanımlar

  • "Kişisel Veri": KVKK m.3 ve GDPR m.4'te tanımlandığı şekilde, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
  • "Veri Sorumlusu": Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen taraf — bu DPA kapsamında Müşteri.
  • "Veri İşleyen": Veri Sorumlusu adına kişisel verileri işleyen taraf — bu DPA kapsamında Şirket.
  • "İlgili Kişi" / "Veri Sahibi": Kişisel verisi işlenen gerçek kişi (özellikle Müşteri'nin Son Kullanıcıları).
  • "Veri İhlali": Kişisel verilerin hukuka aykırı olarak işlenmesi, üçüncü kişilerin eline geçmesi, kaybolması veya değiştirilmesi.
  • "Alt İşleyen": Şirket'in Hizmeti sağlamak amacıyla kişisel verileri işlemesi için yetkilendirdiği üçüncü taraf.
  • "Özel Nitelikli Kişisel Veri": KVKK m.6'da tanımlanan sağlık, biyometrik, dini inanç vb. veriler.

3. İşlemenin Konusu, Süresi, Amacı ve Niteliği

İşlemenin Konusu: Desteq AI müşteri destek platformunun sunulması — chatbot konuşmaları, bilgi bankası içeriği, insan operatöre aktarım, analitik raporlama.

İşlemenin Süresi: Müşteri'nin Hizmeti kullandığı süre + sözleşmenin sona ermesinden sonra DPA'daki silme süreleri. Konuşma kayıtları için varsayılan saklama 90 gün; sağlık turizmi ve özel nitelikli veri riski yüksek alanlardaki Müşteriler için varsayılan 30 gündür. Yedeklerde silme en geç 90 gün. Fatura/muhasebe kayıtları mevzuat gereği 10 yıl; güvenlik logları 12 ay.

İşlemenin Amacı: Hizmetin sağlanması, teknik destek, güvenlik, faturalama ve Müşteri'nin Veri Sorumlusu olarak belirlediği amaçlar.

İşlemenin Niteliği: Elektronik ortamda otomatik ve kısmen otomatik işleme; toplama, kaydetme, depolama, yapılandırma, kullanma, aktarma, silme.

4. İlgili Kişi Kategorileri

Müşteri'nin Son Kullanıcıları (web sitesi ziyaretçileri, mobil uygulama kullanıcıları, chatbot ile etkileşim kuran kişiler); Müşteri'nin çalışanları, temsilcileri ve yetkili kullanıcıları (panel kullanımı için); Müşteri'nin müşterileri (insan operatöre aktarım sırasında).

5. İşlenen Kişisel Veri Kategorileri

Kimlik bilgileri (ad, soyad — Son Kullanıcının paylaştığı kadarıyla); İletişim bilgileri (e-posta, telefon — paylaştığı kadarıyla); Chatbot konuşma içerikleri (Son Kullanıcı mesajları ve Desteq yanıtları); WhatsApp kanalında ilgili mesaj içerikleri ve metadata'sı; Teknik veriler (IP, oturum, kullanım istatistikleri); Müşteri'nin yüklediği bilgi bankası içeriği.

5.1 Özel Nitelikli Kişisel Veri ve Sağlık Verisi

Şirket; Hizmeti, Son Kullanıcılardan özel nitelikli kişisel veri talep edecek şekilde tasarlamamıştır. Son Kullanıcının sağlık semptomu, tıbbi geçmiş, sağlık raporu, görüntü, teşhis/tedavi bilgisi, pasaport veya benzeri özel nitelikli veri paylaşması halinde, Müşteri bu verinin işlenmesine ilişkin hukuki dayanak, aydınlatma ve gerekli açık rıza süreçlerinden sorumludur. Şirket, bu tür verilerin işlenmesini asgari düzeyde tutmak ve mümkünse insan temsilciye yönlendirmek için makul teknik ve organizasyonel önlemleri uygular. Sağlık turizmi veya özel nitelikli veri riski yüksek Müşteriler için Sağlık Müşterisi Eki / Hassas Veri Eki uygulanır ve sağlık/hassas veri konularında ilgili ek önceliklidir. Bu müşteriler için chatbot konuşma kayıtları varsayılan 30 gün saklanır.

6. Veri İşleyenin Yükümlülükleri

Talimat doğrultusunda işleme: Şirket, kişisel verileri yalnızca Veri Sorumlusu'nun yazılı talimatları (Hizmet Şartları, MSA, sipariş belgeleri ve bu DPA dahil) doğrultusunda işler. Hukuki zorunluluk halinde, aksine açık yasak yoksa Müşteri'yi önceden bilgilendirir.

İkincil kullanım yasağı: Şirket, Müşteri'nin Son Kullanıcılarına ait kişisel verileri yalnızca Hizmetin sağlanması ve Müşteri'nin talimatı amacıyla işler; bu verileri kendi pazarlaması, reklamı, profil çıkarımı veya kendi yapay zekâ modellerinin eğitimi dahil — kullanmaz ve üçüncü taraflara bu amaçlarla devretmez. Şirket bu kapsamda yalnız veri işleyen sıfatıyla hareket eder; kendi amaçlarını belirlediği ölçüde veri sorumlusu sıfatı doğarsa buna ilişkin sorumluluk Şirket'e ait olur.

Gizlilik: Kişisel verilere erişen kişiler gizliliğe bağlılık taahhüdü altındadır veya yasal bir gizlilik yükümlülüğüne tabidir ve veri koruma konusunda bilinçlendirilir.

Güvenlik: Bölüm 8'deki teknik ve idari tedbirler uygulanır.

Alt işleyen kullanımı: Bölüm 9'a uygun olarak.

İlgili kişi haklarına destek: KVKK m.11 ve GDPR m.15-22 kapsamında Müşteri'ye teknik/organizasyonel destek.

Veri Sorumlusu'na yardım: Etki değerlendirmeleri, ihlal bildirimleri, otorite iletişimi gibi konularda makul yardım.

Bildirim: Yasal/idari talepler, ihlal şüphesi veya talimatın mevzuata aykırılığı hallerinde gecikmeksizin Müşteri'yi bilgilendirir.

Silme/iade: Hizmet sona erince bölüm 12'ye uygun olarak siler veya iade eder.

7. Veri Sorumlusunun Yükümlülükleri

Hukuki dayanak ve rıza — münhasır sorumluluk: Müşteri, widget/chatbot üzerinden topladığı tüm Son Kullanıcı kişisel verisinde — sağlık dışı genel lead verisi dahil — gerekli hukuki dayanağı, aydınlatmayı ve gereken hallerde açık rızayı sağlamaktan münhasıran sorumludur. Şirket bu verileri yalnızca Müşteri'nin Veri Sorumlusu sıfatıyla verdiği talimat doğrultusunda işler; Son Kullanıcılara karşı aydınlatma ve rıza yükümlülüğü Şirket'e geçmez.

Hukuki dayanak: Müşteri, Son Kullanıcı verilerinin işlenmesi için gerekli hukuki dayanağa sahip olduğunu ve aydınlatmayı yaptığını taahhüt eder.

Aydınlatma: KVKK m.10 ve GDPR m.13-14 kapsamında aydınlatma Müşteri'ye aittir. Chatbot arayüzünde Son Kullanıcının yapay zekâ ile etkileşim kurduğu açıkça bildirilmelidir.

İçerik sorumluluğu: Bilgi bankası içeriğinin yasal olduğunu ve üçüncü kişi haklarını ihlal etmediğini taahhüt eder.

Hassas alan yapılandırması: Sağlık vb. alanlardaki Müşteri, chatbot'u tıbbi tavsiye/semptom değerlendirmesi/klinik karar vermeyecek şekilde yapılandırır; Son Kullanıcıları özel nitelikli veri paylaşmamaları konusunda bilgilendirir.

Çocuk koruma: 18 yaş altı kullanıcı ihtimaline karşı yaş doğrulama, ebeveyn/vasi rızası ve KVKK m.5 / GDPR m.8 uyumu Müşteri'ye aittir. Hizmet 18 yaş altına yönelik tasarlanmamıştır.

Müşteri tarafında veri ihlali bildirimi: Müşteri; kendi sistemlerinde/hesaplarında/API anahtarlarında ihlal şüphesi tespit ettiğinde, gecikmeksizin ve her halükarda 72 saat içinde info@desteq.ai adresine yazılı bildirimde bulunur.

İletişim noktası: Müşteri, ilgili kişi başvurularını alabilecek kanala sahip olduğunu ve KVKK m.13 / GDPR m.12 süresinde yanıt vereceğini taahhüt eder.

Talimatların hukuka uygunluğu: Müşteri, verdiği talimatların mevzuata uygun olduğunu taahhüt eder.

8. Teknik ve İdari Tedbirler

Şirket; KVKK m.12 ve GDPR m.32 kapsamında aşağıdaki tedbirleri kendi kontrolündeki sistemlerde ve sağlayıcı imkanları ölçüsünde uygular; güvenlik seviyesi düşürülmez.

8.1 Teknik: Aktarımda TLS şifreleme, depolamada AES-256 veya eşdeğer (sağlayıcı imkanı ölçüsünde); rol bazlı erişim (RBAC), en az ayrıcalık, idari erişimde MFA; güvenlik duvarı/IDS/DDoS koruması; erişim ve değişiklik logları; şifreli düzenli yedekleme; multi-tenancy veri ayrımı; periyodik zafiyet taraması ve güncellemeler.

8.2 İdari: Personel gizlilik yükümlülüğü ve veri koruma bilinçlendirmesi; erişim yetkisi prosedürleri ve periyodik gözden geçirme; veri envanteri; alt işleyenlerle yazılı DPA'lar; veri ihlali müdahale prosedürü; iş sürekliliği ve felaket kurtarma.

8.3 Veri Lokasyonu: Müşteri verileri Alt İşleyenler Listesi'ndeki sağlayıcı ve lokasyonlarda işlenir. Şirket mümkün olduğu ölçüde AB/AEA öncelikli altyapıyı tercih eder. Sipariş belgelerinde belirtilirse özel lokasyon tercihleri uygulanabilir.

9. Alt İşleyenler

Genel yetki: Müşteri, Şirket'in alt işleyen kullanmasına bu DPA ile genel yetki verir. Aktif liste desteq.ai/sub-processors adresinde yayınlanır.

Mevcut alt işleyenler: Vercel, Supabase, Neon, Clerk, OpenAI, Anthropic, Google Vertex AI, AWS, Twilio (WhatsApp Business API), Google Workspace/Gmail ve PayTR başta olmak üzere Alt İşleyenler Listesi'ndeki sağlayıcılar.

Yeni alt işleyen bildirimi: En az 30 gün önceden Müşteri'ye bildirilir.

İtiraz hakkı: Müşteri, bildirimden itibaren 7 gün içinde makul ve veri korumasına ilişkin nedenlerle yazılı itiraz edebilir. İtiraz halinde Şirket alternatif önerebilir, ilgili alt işleyenden vazgeçebilir veya makul alternatif sunamazsa Müşteri etkilenen bileşeni feshedebilir.

Alt işleyen sorumluluğu: Şirket, alt işleyenlerle eşdeğer koruma öngören yazılı sözleşmeler imzalar ve alt işleyenin ihlalinden Müşteri'ye karşı doğrudan sorumlu kalır.

10. Uluslararası Veri Aktarımı

Şirket, yurt dışı aktarımda KVKK m.9, GDPR Bölüm V ve uygulanabilir mevzuata uygun mekanizmaları (yeterlilik kararı, SCC, BCR, DPA, teknik/idari ek önlemler veya istisnai aktarım halleri) kullanır. LLM sağlayıcıları üzerinden işlenen veriler model eğitimi amacıyla kullanılmaz. Şirket mümkün olduğu ölçüde düşük veri saklama seçeneklerini tercih eder; ZDR yalnızca ilgili sağlayıcı hesabında etkinleştirilmişse uygulanır. Son Kullanıcılara ilişkin aydınlatma ve hukuki dayanak süreçleri Müşteri'nin sorumluluğundadır.

11. Veri İhlali Bildirimi

Şirket; doğrulanmış bir ihlali öğrendikten sonra makul süre içinde, her halükarda 72 saat içinde Müşteri'ye yazılı bildirimde bulunur. Bildirim asgari: (i) ihlalin niteliği/kapsamı, (ii) etkilenen ilgili kişi ve veri kategorileri, (iii) muhtemel sonuçlar, (iv) alınan/alınacak tedbirler, (v) iletişim noktası. Şirket, Müşteri'nin KVKK Kurulu/otoritelere ve ilgili kişilere bildirim yükümlülüğü için makul destek sağlar. Bildirim, sorumluluğun kabulü anlamına gelmez.

12. Sözleşme Sonrası Veri İşleme

Müşteri, Hizmetin sona ermesinden itibaren 30 gün içinde verilerin standart formatta iadesini talep edebilir. 30 günün sonunda Şirket verileri aktif sistemlerden siler veya kimliksizleştirir. Yedeklerde imha en geç 90 gün; bu süre boyunca veriler şifreli ve operasyonel erişimsiz tutulur. Mevzuat gereği saklama zorunluluğu varsa ilgili veriler ayrılır ve yalnızca saklama amaçlı tutulur (fatura/muhasebe için 10 yıl). Müşteri talep ederse silme belgesi sağlanır.

13. İlgili Kişi Hakları

İlgili kişiler doğrudan Şirket'e başvurursa, Şirket Müşteri'yi 5 iş günü içinde bilgilendirir ve aksine yazılı anlaşma olmadıkça doğrudan yanıt vermez. Şirket, panel üzerinden veri görüntüleme/dışa aktarma/düzeltme/silme araçları sağlar ve destek taleplerini normal koşullarda 5 iş günü içinde yanıtlar.

14. Denetim

Müşteri; Şirket'in periyodik şeffaflık raporları, desteq.ai/sub-processors listesi ve talep üzerine paylaşılacak güvenlik açıklamaları ile uyumu doğrulayabilir. Şu an itibarıyla Şirket'in ISO 27001, SOC 2 veya benzeri bağımsız güvenlik sertifikası bulunmamaktadır; sertifikasyon süreçleri uzun vadeli planlamada değerlendirilmektedir. Şirket yerinde fiziksel denetim hakkı sunmamaktadır; düzenleyici otoritelerin zorunlu denetim talepleri saklıdır.

15. Sorumluluk

Tarafların bu DPA'dan doğan sorumlulukları, Hizmet Şartları / MSA'nın sorumluluk sınırlaması hükümlerine tabidir. Mevzuatın sınırlandırılamayacağı sorumluluklar (kasıt, ağır ihmal, idari para cezaları) saklıdır. KVKK m.12 veya GDPR m.82 kapsamında üçüncü taraflara karşı sorumlulukta taraflar kendi kusurları oranında sorumlu olur; bir tarafın diğerinin talimatına uyarak gerçekleştirdiği işlemden doğan zararda talimat veren taraf sorumlu olur.

16. Süre ve Fesih

Bu DPA; Hizmet Şartları veya MSA yürürlükte olduğu sürece yürürlükte kalır. İlgili sözleşmenin sona ermesi ile sona erer; nitelikleri gereği fesihten sonra da uygulanması gereken hükümler (silme, gizlilik, sorumluluk) geçerliliğini sürdürür.

17. Diğer Hükümler

Bu DPA'da düzenlenmeyen konularda Hizmet Şartları veya MSA geçerlidir. Uygulanacak hukuk: Türkiye Cumhuriyeti hukuku. Yetkili mahkeme: İstanbul (Çağlayan) Mahkemeleri ve İcra Daireleri. Bildirimler: info@desteq.ai (Şirket) ve Müşteri'nin kayıtlı e-posta adresi (Müşteri). Bir hükmün geçersizliği diğerlerini etkilemez. Değişiklik; tarafların yazılı mutabakatı veya Şirket'in 30 gün önceden bildirimi ile mümkündür; Müşteri esaslı değişikliği kabul etmezse Hizmeti feshedebilir.