Desteq logoDesteq
Ücretsiz Başla

Alt İşleyen Listesi (Sub-processors)

Yürürlük Tarihi: 20 Haziran 2026 · Versiyon: 1.1

Veri İşleyen: UniqueIQ Yazılım Teknolojileri A.Ş. ("Desteq") — Mersis: 0892079386000001 · Yayım yeri: desteq.ai/sub-processors

Bu liste, Veri İşleme Sözleşmesi (DPA) Bölüm 9'un ekidir. Desteq, Müşteri (Veri Sorumlusu) adına Veri İşleyen sıfatıyla hareket eder. Yeni alt işleyen aktifleşmeden en az 30 gün önce Müşteri'ye bildirilir; Müşteri 7 gün içinde itiraz edebilir (DPA m.9).

A. Aktif Alt İşleyenler (şu an kullanılan)

1) Vercel — Barındırma / edge, ön yüz & API

  • Veri: teknik veri (IP, oturum, log), transit konuşma trafiği · Lokasyon: ABD/AB · Yurt dışı: Evet
  • Güvence: DPA otomatik dahil (Pro/Enterprise) + GDPR SCC (vercel.com/legal/dpa)

2) Neon — Yönetilen PostgreSQL veritabanı (depolama)

  • Veri: konuşma içerikleri, kimlik/iletişim, teknik veri · Lokasyon: AB/ABD · Yurt dışı: Evet
  • Güvence: Vendor DPA + SCC (neon.tech/dpa); AB bölge tercihi

3) Clerk — Kimlik / oturum (YALNIZ Müşteri panel-admin girişi)

  • Veri: müşteri yetkili kullanıcı kimlik/iletişim (B2B) · Lokasyon: ABD · Yurt dışı: Evet
  • Güvence: Vendor DPA + SCC (clerk.com/legal/dpa) — SON KULLANICI/HASTA VERİSİ YOK

4) OpenAI — LLM yanıt üretimi

  • Veri: konuşma içeriği (maskeleme sonrası) · Lokasyon: ABD · Yurt dışı: Evet
  • Güvence: İmzalı DPA + SCC; model eğitimine kapalı; düşük/zero retention

5) Google Workspace / Gmail — Kurumsal e-posta (info@), handoff bildirimi, ilgili kişi başvuruları

  • Veri: iletişim / başvuru verisi · Lokasyon: AB/ABD · Yurt dışı: Evet
  • Güvence: Google Cloud CDPA + GDPR SCC — 20 Haziran 2026'da Admin Konsolu'ndan dijital kabul

6) Twilio (WhatsApp Business API) — WhatsApp mesajlaşma kanalı

  • Veri: mesaj içeriği, telefon, metadata · Lokasyon: ABD/AB · Yurt dışı: Evet
  • Güvence: Twilio DPA + SCC

7) PayTR — Ödeme / tahsilat

  • Veri: fatura / ödeme verisi (Müşteri yetkilisi) · Lokasyon: Türkiye · Yurt dışı: HAYIR
  • Güvence: Yurt içi sağlayıcı — yurt dışı aktarım güvencesi gerekmez

B. Olası / Yedek Alt İşleyenler

(zaman zaman kullanılabilecek; aktifleşince A bölümüne taşınır ve aktiflik tarihi işlenir — DPA m.9 bildirimi bu set için önceden verilmiş sayılır)

  • SUPABASE — veritabanı / auth alternatifi · Frankfurt (AB) · Vendor DPA + SCC
  • ANTHROPIC — LLM alternatifi · ABD · DPA + SCC; model eğitimine kapalı
  • GOOGLE VERTEX AI — LLM alternatifi · AB/ABD · Google Cloud DPA + SCC
  • AWS — altyapı/DB + PII redaction (Comprehend/Bedrock) — değerlendiriliyor · AB bölge · AWS DPA + SCC

Önemli Notlar

  • Son kullanıcı/hasta verisi taşımayanlar: Clerk (yalnız panel-admin) ve PayTR (ödeme).
  • Yurt dışı aktarım güvencesi: KVKK SS-2/SS-3 global sağlayıcılarca imzalanamadığından, güvence her sağlayıcının DPA'sı + GDPR SCC'leri + dokümante aktarım gerekçesiyle sağlanır. PayTR yurt içidir.
  • Maskeleme: LLM'e (OpenAI) giden veri PII redaction'dan geçirildiğinde anonimleştirmeyi hedefler; depolama (Neon) anonimleşmez.
  • Özel nitelikli (sağlık) veri: Sağlık Müşterisi Eki uygulanır; saklama 30 gün; hastanın açık rızası gerekir.
  • Model eğitimi: LLM verileri model eğitiminde kullanılmaz.
  • Bu liste Hizmet Şartları §8, KVKK Aydınlatma §7.2 ve DPA §9'daki sağlayıcı listeleriyle uyumludur.