Veri İşleme Sözleşmesi (Data Processing Agreement - DPA)
Son Güncelleme Tarihi: 01.06.2026
İşbu Veri İşleme Sözleşmesi ("Sözleşme" veya "DPA"), bir tarafta pingyou Inc. ("pingyou" veya "Veri İşleyen") ile diğer tarafta Pingyou Inc. Hizmetlerini kullanan Müşteri ("Veri Sorumlusu") arasında, Ana Hizmet Sözleşmesi'nin ("Ana Sözleşme") ayrılmaz bir parçası olarak akdedilmiştir.
1. TANIMLAR
İşbu Sözleşme'de geçen ve aşağıda tanımlanmayan terimler, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve uygulanabilir olduğu ölçüde Avrupa Genel Veri Koruma Tüzüğü ("GDPR") kapsamındaki anlamlarına sahiptir. İşbu Sözleşme bakımından aşağıdaki terimler, karşılarında belirtilen anlamları taşır:
"Kişisel Veri": kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
"Özel Nitelikli Kişisel Veri": KVKK m. 6 ve GDPR m. 9 anlamında, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini ifade eder.
"İlgili Kişi (Veri Sahibi)": Kişisel Verisi işlenen gerçek kişiyi ifade eder.
"Veri Sorumlusu": Kişisel Verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. İşbu Sözleşme bakımından Müşteri, Veri Sorumlusu sıfatını haizdir.
"Veri İşleyen": Veri Sorumlusunun verdiği yetkiye dayanarak onun adına Kişisel Verileri işleyen gerçek veya tüzel kişiyi ifade eder. İşbu Sözleşme bakımından pingyou Inc., Veri İşleyen sıfatını haizdir.
"Alt İşleyen (Sub-processor)": Veri İşleyen tarafından, Veri Sorumlusu adına Kişisel Verilerin işlenmesi amacıyla görevlendirilen üçüncü taraf gerçek veya tüzel kişiyi ifade eder.
"İşleme": Kişisel Veriler üzerinde otomatik olan ya da olmayan yollarla gerçekleştirilen elde etme, kaydetme, depolama, muhafaza etme, değiştirme, yeniden düzenleme, açıklama, aktarma, devralma, elde edilebilir hâle getirme, sınıflandırma ya da kullanılmasını engelleme gibi her türlü işlemi ifade eder.
"Veri İhlali (Personal Data Breach)": İşlenen Kişisel Verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi, yetkisiz erişime maruz kalması, kazara veya hukuka aykırı şekilde imha edilmesi, kaybedilmesi, değiştirilmesi veya ifşa edilmesini ifade eder.
"Yurt Dışına Aktarım": Kişisel Verilerin Türkiye dışındaki bir gerçek veya tüzel kişiye, sunucuya veya hizmet sağlayıcıya KVKK m. 9 anlamında aktarılmasını ifade eder.
"Yeterlilik Kararı": Kişisel Verileri Koruma Kurulu tarafından, ilgili ülke, sektör veya uluslararası kuruluşun veri korumasının yeterli kabul edildiğine dair verilen kararı ifade eder.
"Standart Sözleşme (SCC)": Kurul tarafından ilan edilmiş ve veri aktaranı ile veri alıcısı arasında imzalanarak yurt dışına veri aktarımı için uygun güvence işlevi gören standart sözleşme metnini ifade eder.
"Bağlayıcı Şirket Kuralları (BCR)": aynı şirketler topluluğu içerisinde yurt dışına veri aktarımı için Kurul tarafından onaylanmış bağlayıcı kuralları ifade eder.
"Hizmetler": pingyou Inc. tarafından Ana Sözleşme kapsamında Müşteri'ye sunulan ve işbu DPA'nın Madde 3'ünde detayları belirtilen yapay zeka destekli mesaj yönetim hizmetlerini ifade eder.
"Platform": pingyou Inc.'ın Hizmetleri sunduğu web sitesi, API, mobil uygulama, panel ve tüm dijital arayüzleri ifade eder.
"Kurul": Kişisel Verileri Koruma Kurulu'nu ifade eder.
2. SÖZLEŞMENİN KONUSU VE KAPSAMI
İşbu Sözleşme, pingyou Inc.'ın Ana Sözleşme kapsamındaki hizmetleri ("Hizmetler") sunarken, Müşteri adına işleyeceği Kişisel Verilere ilişkin tarafların hak ve yükümlülüklerini düzenler. pingyou Inc., Müşteri'nin talimatları doğrultusunda ve sadece Hizmetlerin ifası amacıyla hareket eden bir "Veri İşleyen"dir.
3. İŞLEMENİN DETAYLARI
İşlemenin Niteliği ve Amacı: Müşteri'nin Meta (Instagram, Facebook vb.) hesaplarına gelen mesajların, yorumların ve etkileşimlerin yapay zeka destekli analizi, yanıt taslaklarının oluşturulması ve müşteri deneyimi yönetimi.
Veri Kategorileri: İletişim verileri (DM içerikleri, yorumlar), kimlik bilgileri (sosyal medya kullanıcı adları), işlem güvenliği verileri (loglar), müşteri işlem verileri.
İlgili Kişi Grupları: Müşteri'nin sosyal medya hesaplarıyla etkileşime geçen son kullanıcılar (takipçiler, potansiyel müşteriler).
Süre: Ana Sözleşme yürürlükte kaldığı sürece.
4. VERİ İŞLEYENİN (PINGYOU INC.) YÜKÜMLÜLÜKLERİ
Pingyou Inc., Veri İşleyen sıfatıyla aşağıdakileri kabul ve taahhüt eder:
4.1. Talimatlara Uygunluk
Kişisel Verileri yalnızca Müşteri'nin yazılı talimatlarına (Ana Sözleşme, bu DPA ve Platform üzerindeki kullanım ayarları talimat kabul edilir) ve mevzuata uygun olarak işleyecektir. Verileri kendi ticari amaçları için (anonimleştirilmiş istatistiksel veriler hariç) kullanmayacaktır.
4.2. Veri Güvenliği ve Teknik Tedbirler
Pingyou Inc., verilerin güvenliğini sağlamak için endüstri standardı teknik ve idari tedbirleri almıştır ve sürdürecektir. Bu tedbirler şunları içerir ancak bunlarla sınırlı değildir:
Şifreleme: Verilerin aktarım sırasında (TLS 1.2+) ve dinlenme halinde (AES-256) şifrelenmesi.
Erişim Kontrolü: Verilere erişimin "bilmesi gereken" (need-to-know) prensibiyle sınırlandırılması.
Sızma Testleri: Düzenli aralıklarla güvenlik taramaları ve penetrasyon testlerinin yapılması.
4.3. Gizlilik
Kişisel Verilere erişim yetkisi verilen personelinin, bu verilerin gizliliğini koruyacağını, yasal zorunluluklar haricinde üçüncü şahıslarla paylaşmayacağını ve bu yükümlülüğün iş akdi sona erse dahi devam edeceğini taahhüt eder.
4.4. Alt İşleyenler (Sub-processors)
Müşteri, pingyou Inc.'ın hizmeti sunmak için üçüncü taraf alt işleyenleri (örn. AWS, OpenAI, Iyzico) kullanmasına genel yetki verir. pingyou Inc,:
Alt işleyenlerle, işbu DPA'daki standartları koruyan yazılı sözleşmeler yapacaktır.
Alt işleyenlerin veri güvenliği ihlallerinden Müşteri'ye karşı sorumlu olmaya devam edecektir.
Güncel Alt İşleyen listesini talep üzerine Müşteri'ye sunacaktır.
Değişiklik Bildirimi: pingyou Inc., alt işleyen listesinde yapacağı değişiklikleri (yeni bir alt işleyen eklenmesi veya mevcut olanın değiştirilmesi) Müşteri'ye en az 15 (on beş) gün önceden e-posta veya platform içi bildirim yoluyla bildirecektir. Müşteri'nin, veri güvenliği veya yasal uyumluluk gerekçeleriyle haklı bir nedenle bu değişikliğe itiraz etme hakkı saklıdır. Taraflar makul bir çözüm bulamazsa, Müşteri sözleşmeyi tazminatsız feshetme hakkına sahip olacaktır.
4.5. Veri İhlali Bildirimi
pingyou Inc., işlediği Kişisel Verilere yönelik herhangi bir güvenlik ihlali (yetkisiz erişim, veri kaybı vb.) tespit etmesi durumunda, gecikmeksizin ve en geç 48 saat içinde Müşteri'yi bilgilendirecektir. Bildirim, ihlalin niteliğini, etkilenen veri kategorilerini ve alınan önlemleri içerecektir.
4.6. İlgili Kişi Hakları
pingyou Inc., Müşteri'nin KVKK Madde 11 kapsamındaki (erişim, silme, düzeltme vb.) yükümlülüklerini yerine getirebilmesi için, teknik imkânları ölçüsünde Müşteri'ye yardımcı olacaktır. pingyou Inc.’a doğrudan gelen talepler, cevaplanmaksızın Müşteri'ye yönlendirilecektir.
5. VERİ SORUMLUSUNUN (MÜŞTERİ) YÜKÜMLÜLÜKLERİ
Müşteri, Veri Sorumlusu sıfatıyla aşağıdakileri beyan ve taahhüt eder:
pingyou Inc. ile paylaştığı verilerin hukuka uygun olarak elde edildiğini (aydınlatma ve gerekirse açık rıza süreçlerinin tamamlandığını).
pingyou Inc.’a verdiği talimatların KVKK ve ilgili mevzuata uygun olduğunu.
Platform üzerinden "Özel Nitelikli Kişisel Veri" (sağlık, biyometrik veri vb.) işlenmesi durumunda, buna ilişkin tüm yasal sorumluluğun kendisine ait olduğunu.
6. YURT DIŞINA VERİ AKTARIMI
6.1. Hukuki Dayanak ve Uyumluluk
Taraflar, Hizmet'in doğası gereği (küresel bulut altyapıları, yapay zeka modelleri ve Meta sunucularının kullanımı) Kişisel Verilerin yurt dışına aktarılmasının zorunlu olduğunu kabul eder. pingyou Inc., bu aktarımı 6698 sayılı Kanun'un 12 Mart 2024 tarihinde değiştirilen 9. maddesine ve Kişisel Verileri Koruma Kurulu'nun ("Kurul") ilgili yönetmeliklerine tam uyumlu olarak gerçekleştireceğini taahhüt eder.
6.2. Aktarım Mekanizmaları
pingyou Inc., Kişisel Verileri yurt dışındaki alt işleyenlere (örn. AWS, OpenAI, Google Cloud) aktarırken aşağıdaki öncelik sırasına göre hareket eder:
a) Yeterlilik Kararı: Kurul tarafından ilgili ülkenin, sektörün veya uluslararası kuruluşun güvenli olduğuna dair bir "Yeterlilik Kararı" verilmişse, aktarım bu karara dayalı olarak yapılır.
b) Uygun Güvenceler (Standart Sözleşmeler): Yeterlilik kararının bulunmadığı durumlarda (ki mevcut durumda ABD ve AB ülkeleri için geçerlidir), pingyou Inc., yurt dışındaki veri alıcısı (alt işleyen) ile Kurul tarafından ilan edilen "Standart Sözleşme" (Standard Contractual Clauses - SCC) metinlerini imzalar veya Bağlayıcı Şirket Kuralları (BCR) mekanizmasını işletir.
Bildirim Yükümlülüğü: pingyou Inc., imzaladığı Standart Sözleşmeleri, imzadan itibaren 5 (beş) iş günü içinde Kurul'a bildirmeyi taahhüt eder.
6.3. Arızi Haller ve Açık Rıza (İstisnai Durumlar)
Yeterlilik kararının olmadığı ve uygun güvencelerin (Standart Sözleşme vb.) sağlanamadığı nadir ve arızi durumlarda; pingyou Inc., Veri Sorumlusu olan Müşteri'den veya (Müşteri aracılığıyla) İlgili Kişilerden, muhtemel riskler hakkında bilgilendirilmek kaydıyla "Açık Rıza" temin edilmesini talep edebilir. Ancak Taraflar, sistematik ve sürekli veri aktarımlarında öncelikli olarak Madde 6.2'deki güvencelerin esas alınacağını kabul eder.
6.4. Alt İşleyenlerin Konumu
Müşteri, pingyou Inc.’in hizmeti sunmak için kullandığı ve sunucuları yurt dışında bulunan aşağıdaki küresel alt işleyenlere veri aktarımına, yukarıdaki güvencelerin sağlanması koşuluyla genel yetki ve onay verir:
Sunucu ve Altyapı: Amazon Web Services (AWS) / Google Cloud (Lokasyon: AB/ABD)
Yapay Zeka İşleme: OpenAI, Anthropic, Google (Lokasyon: ABD)
Ödeme Altyapısı: Stripe / Iyzico (Global operasyonlar için)
6.5. Müşteri'nin Sorumluluğu
Müşteri, Veri Sorumlusu sıfatıyla, kendi son kullanıcılarına (ilgili kişilere) sunduğu Aydınlatma Metni'nde, verilerin yurt dışına aktarıldığını ve bu aktarımın hukuki sebebini (Kanun m.9 kapsamında uygun güvenceler veya açık rıza) şeffaf bir şekilde belirtmekle yükümlüdür.
7. DENETİM HAKKI
Müşteri, yılda bir kez ve masrafları kendisine ait olmak üzere, pingyou Inc.’ın işbu DPA kapsamındaki yükümlülüklerine uyumunu denetleme (veya bağımsız bir denetçiye denetletme) hakkına sahiptir. Bu denetim, pingyou Inc.’ın iş süreçlerini aksatmayacak şekilde ve en az 30 gün önceden yazılı bildirimle yapılmalıdır. pingyou Inc., güvenlik sertifikalarını (örn. ISO 27001, SOC 2) sunarak bu denetim yükümlülüğünü yerine getirmiş sayılabilir.
8. SÖZLEŞMENİN SONA ERMESİ VE VERİLERİN SİLİNMESİ
Hizmet ilişkisinin sona ermesi üzerine pingyou Inc., Müşteri'nin tercihine bağlı olarak ve yasal saklama zorunlulukları saklı kalmak kaydıyla; Kişisel Verileri 30 gün içinde silecek, yok edecek veya Müşteri'ye iade edecektir. Meta platformlarından çekilen geçici veriler (cache), bağlantı kesildiği anda sistemden otomatik olarak silinir.
9. SORUMLULUK
pingyou Inc.’ın işbu DPA kapsamındaki sorumluluğu, Ana Sözleşme'de belirtilen sorumluluk sınırlarına (Limitation of Liability) tabidir. pingyou Inc., Müşteri'nin veya son kullanıcıların verilerini kendi kusuru olmaksızın kaybetmesi veya yetkisiz erişime uğraması durumunda, sadece doğrudan zararlardan ve Ana Sözleşme'deki limitler dahilinde sorumlu olacaktır.
10. YETKİLİ MAHKEME VE UYGULANACAK HUKUK
İşbu Sözleşmeden doğan veya doğabilecek her türlü uyuşmazlığın çözümünde Türk Hukuku uygulanacak olup, İstanbul (Çağlayan) Mahkemeleri ve İcra Daireleri münhasıran yetkilidir.
VERİ İŞLEYEN (PINGYOU INC.):
pingyou Inc.
VERİ SORUMLUSU (MÜŞTERİ):
Hizmet Sözleşmesini Onaylayan Kullanıcı