d-dat · agentic ai marketing TR·EN v1.004.05.2026
// yasal · veri işleme sözleşmesi

Veri İşleme Sözleşmesi.

d-reach ve B2B servis kapsamında müşterilerimizle imzalanan DPA. Bu sözleşmede d-dat, Müşteri'nin "veri işleyeni" (processor) sıfatıyla hareket eder. KVKK Md. 12, GDPR Md. 28 ve KVK Kurulu Standart Sözleşmesi'ne uygundur.

// sürüm1.0
// yürürlük tarihi04.05.2026
// kanun dayanağıKVKK Md. 12 · GDPR Md. 28

// içindekiler

  1. 01Taraflar
  2. 02Tanımlar
  3. 03Konu, nitelik, amaç
  4. 04Müşteri yükümlülükleri
  5. 05d-dat yükümlülükleri
  6. 06Alt-işleyenler
  7. 07Güvenlik önlemleri
  8. 08Veri ihlali bildirimi
  9. 09İlgili kişi talepleri
  10. 10Yurt dışı aktarım
  11. 11Denetim hakkı
  12. 12Saklama ve imha
  13. 13Sorumluluk
  14. 14Genel hükümler
  15. 15Ekler
  16. 16İmza

Bu Veri İşleme Sözleşmesi ("DPA"), Hizmet Şartları'nın eki ve ayrılmaz parçasıdır.

DPA özellikle d-reach (müşteri listesi yükleme) ve B2B servis kapsamında geçerlidir; çünkü bu hizmetlerde Müşteri "veri sorumlusu" (controller), d-dat "veri işleyen" (processor) sıfatıyla hareket eder.

Yapı; KVKK Md. 12, GDPR Md. 28, KVK Kurulu Standart Sözleşme şablonu ve EDPB rehberlerine uygun hazırlanmıştır.

// 01Taraflar

Veri Sorumlusu / Controller[MÜŞTERİ ÜNVANI] — bundan sonra "Müşteri"
Veri İşleyen / ProcessorDATA ANALYTICS TEKNOLOJİ REKLAM ANONİM ŞİRKETİ — Mersis: 0271-1964-6050-0001, Adres: Maslak Mah. Eski Büyükdere Cad. No: 21 İç Kapı No: 1 Sarıyer / İstanbul — bundan sonra "d-dat"
Not: Bu DPA bir şablondur. Her B2B müşteriyle ayrı imzalanır; "Müşteri Ünvanı" alanı imza anında doldurulur. d-dat self-serve hizmet kullanıcıları için DPA, hesap kabul aşamasında elektronik onay yoluyla geçerli olarak imzalanmış sayılır.

// 02Tanımlar

KVKK ve GDPR'da kullanılan şu terimler bu DPA'da da aynı anlamda kullanılır:

TerimTanım
Kişisel VeriKimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
İşlemeKişisel veriler üzerinde gerçekleştirilen her türlü işlem
Veri SorumlusuKişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen taraf — bu DPA'da Müşteri
Veri İşleyenVeri sorumlusu adına kişisel verileri işleyen taraf — bu DPA'da d-dat
İlgili Kişi / Veri SahibiKişisel verisi işlenen gerçek kişi
Alt-İşleyen / Sub-processord-dat tarafından hizmet sunmak için kullanılan üçüncü taraflar
Veri İhlaliYetkisiz erişim, kayıp, açığa çıkma, değişme dahil güvenlik olayları

// 03İşlemenin Konusu, Niteliği ve Amacı

3.1 Konu

d-dat'ın Müşteri'ye sunduğu hizmetler (d-reach mesajlaşma, B2B reklam yönetimi vb.) kapsamında, Müşteri adına kişisel verilerin işlenmesi.

3.2 Nitelik

Hizmetİşleme türüSüre
d-reach — müşteri listesi gönderimSaklama, segmentasyon, gönderim, sonuç raporuHizmet süresince + 30 gün
B2B reklam yönetimiHedef kitle yükleme, reklam optimizasyonuSözleşme süresince
OAuth ile platform verisi okumaSalt okunur erişim, analiz, raporYetki kalktığı an + 30 gün

3.3 Amaç

Yalnızca Müşteri'nin yazılı talimatları çerçevesinde sözleşmeyi ifa etmek.

3.4 İşlenen Veri Kategorileri ve İlgili Kişi Kategorileri

Veri Kategorisiİlgili Kişi
Ad, soyad, telefon, e-postaMüşteri'nin son müşterileri
Sipariş, adres, alışveriş davranışıMüşteri'nin son müşterileri
Reklam etkileşim verisiReklam izleyicileri
Custom audience hash'leriHedef kitle

Özel nitelikli veri (sağlık, biyometrik, ceza vb.) işlenmez. Müşteri yanlışlıkla bu tür veriyi sağlasa bile d-dat işlemez ve Müşteri'yi uyarır.

// 04Müşteri'nin (Veri Sorumlusu) Yükümlülükleri

Müşteri taahhüt eder:

  1. İlgili kişilerden gerekli açık rıza / hukuki dayanağı kendi sağlamıştır
  2. WhatsApp aracılığıyla iletişim için spesifik açık rıza alındığını
  3. Aydınlatma yükümlülüklerini KVKK Md. 10 uyarınca yerine getirdiğini
  4. Talimatlarının yasalara uygun olduğunu
  5. Yüklediği verinin kaynağı, doğruluğu ve güncelliğinden sorumlu olduğunu
  6. İşleme faaliyetinin VERBİS kaydını kendi adına gerçekleştirdiğini (varsa)
  7. İlgili kişi taleplerini ilk derecede kendisinin yanıtlayacağını
d-dat, Müşteri'nin bu yükümlülüklerini yerine getirip getirmediğini denetlemekle yükümlü değildir; ancak şüpheli kullanım durumunda hizmeti askıya alabilir.

// 05d-dat'ın (Veri İşleyen) Yükümlülükleri

d-dat taahhüt eder:

  1. Yalnızca Müşteri'nin belgelenmiş talimatları çerçevesinde işleme yapacağını (yasal yükümlülük halleri hariç — bu durumda Müşteri'ye önceden bildirilir)
  2. Bir talimatın hukuka aykırı olduğunu düşünürse Müşteri'ye derhal bildireceğini
  3. Personeline gizlilik yükümlülüğü yükleyeceğini
  4. Madde 7'deki teknik ve idari güvenlik önlemlerini alacağını
  5. Madde 6 koşulları çerçevesinde alt-işleyen kullanacağını
  6. İlgili kişi taleplerinde Müşteri'ye yardımcı olacağını
  7. Veri ihlali halinde Müşteri'yi gecikmeksizin (en geç 24 saat içinde) bilgilendireceğini
  8. Sözleşme sona erdiğinde verileri Müşteri'nin tercihine göre iade edeceğini veya sileceğini (yasal saklama gerekleri saklı)
  9. Bu DPA'ya uyumu ispatlamak için gerekli bilgileri sağlayacağını ve denetimlere izin vereceğini

// 06Alt-İşleyenler (Sub-processors)

6.1 Genel Onay

Müşteri, d-dat'ın hizmeti sunmak için alt-işleyen kullanmasına genel olarak onay verir.

6.2 Mevcut Alt-İşleyen Listesi

Alt-İşleyenLokasyonHizmetVeri TipiKoruma Mekanizması
Amazon Web Services EMEA SARLFrankfurt, Almanya (eu-central-1)Bulut altyapı, veri saklamaTüm işlenen veriler (şifreli)KVKK Std. Sözleşme + AB SCC + DPF
AWS RDSFrankfurt, Almanya (eu-central-1)Yönetilen veritabanıYapılandırılmış verilerKVKK Std. Sözleşme + AB SCC + DPF
Mailchimp (Intuit Inc.)ABDToplu e-posta gönderimE-posta adresi, içerikKVKK Std. Sözleşme + AB SCC + DPF
PayTR A.Ş.Türkiye (yurt içi)Ödeme işlemeFaturalandırma, ödeme onayBDDK lisanslı; KVKK kapsamında ayrı işleyen sözleşmesi
Gupshup Inc. + Meta Platforms IrelandABD / Hindistan / İrlandaWhatsApp Business altyapıd-reach mesaj/iletişimKVKK Std. Sözleşme + AB SCC + DPF (Meta)
Google LLCABD / İrlandaGA4, Google Ads, OAuthReklam verisi, analyticsKVKK Std. Sözleşme + AB SCC + DPF
Meta Platforms Irelandİrlanda / ABDMeta Pixel, Marketing APIReklam verisiKVKK Std. Sözleşme + AB SCC + DPF
LinkedIn Irelandİrlanda / ABDInsight Tag, Marketing APIReklam verisiKVKK Std. Sözleşme + AB SCC + DPF
TikTokAB / SingapurMarketing APIReklam verisiKVKK Std. Sözleşme + AB SCC
Şirket içi destek aracıFrankfurt (kendi AWS altyapımız)Müşteri destekİletişim, içerikAynı bulut altyapısı kapsamında

6.3 Yeni Alt-İşleyen Ekleme

  • d-dat yeni alt-işleyen eklediğinde Müşteri'yi 30 gün öncesinden e-posta ile bilgilendirir
  • Müşteri makul gerekçeyle itiraz hakkına sahiptir
  • İtiraz halinde taraflar makul çözüm arar — anlaşmazlıkta Müşteri sözleşmeyi feshedebilir

6.4 Alt-İşleyen Sorumluluğu

d-dat, alt-işleyenin bu DPA'ya eşdeğer yükümlülüklerle bağlı olmasını sağlar ve onların eylemlerinden Müşteri'ye karşı kendi eylemiymiş gibi sorumludur.

// 07Teknik ve İdari Güvenlik Önlemleri

KVKK Md. 12 ve GDPR Md. 32 gereği d-dat aşağıdaki önlemleri alır:

7.1 Teknik

  • Şifreleme: Aktarımda TLS 1.3, depolamada AES-256
  • Erişim kontrolü: Rol bazlı (RBAC), en az yetki ilkesi, MFA zorunlu
  • OAuth tokenları: Ayrı keyvault'ta, ham token'a kimse erişemez
  • Loglama: Kimlik doğrulama, veri erişimi, sistem değişiklikleri 7/24 izlenir
  • Yedekleme: Şifrelenmiş yedek, 90 gün rotasyon
  • Açıklık taraması: Sürekli (statik + dinamik analiz), yıllık penetrasyon testi
  • Patch yönetimi: Kritik yamalar 7 gün içinde

7.2 İdari

  • Personel eğitimi: İşe başlarken KVKK eğitimi + yıllık tekrar
  • Gizlilik taahhütnamesi: Tüm personel imzalı
  • Erişim revizyonu: Çeyrek bazlı yetki incelemesi
  • İşten ayrılma: Anında erişim iptali süreci
  • Ziyaretçi yönetimi: Fiziksel erişim kayıtlı

7.3 Operasyonel

  • Veri ihlal yanıt planı: Yazılı, test edilmiş, sorumlular atanmış
  • İş sürekliliği: RTO/RPO tanımlı disaster recovery planı
  • Tedarikçi denetimi: Alt-işleyen güvenlik durumu yıllık değerlendirme

// 08Veri İhlali Bildirimi

8.1 d-dat'tan Müşteri'ye

Veri ihlali tespit edildiğinde d-dat, Müşteri'yi 24 saat içinde bilgilendirir. Bildirim şunları içerir:

  • İhlalin niteliği
  • Etkilenen veri kategorileri ve yaklaşık ilgili kişi sayısı
  • Tahmini sonuçları
  • Alınmış ve önerilen önlemler
  • Müşteri'nin almasını önerdiğimiz önlemler

8.2 Müşteri'nin Yükümlülüğü

Müşteri kendi veri sorumlusu sıfatıyla:

  • KVK Kurulu'na 72 saat içinde bildirim (KVKK Md. 12/5)
  • GDPR denetim makamına 72 saat içinde bildirim (GDPR Md. 33)
  • Yüksek riskli ihlallerde ilgili kişilere bildirim

konularında sorumludur. d-dat bu süreçte gerekli teknik bilgi ve desteği sağlar.

// 09İlgili Kişi Talepleri

İlgili kişi (veri sahibi) bir talepte bulunduğunda:

  • Müşteri birinci derecede sorumludur (KVKK Md. 13, GDPR Md. 12)
  • d-dat doğrudan kendisine ulaşan talepleri Müşteri'ye yönlendirir veya yanıtlamaz (talimat olmadıkça)
  • d-dat, talepleri yerine getirebilmek için Müşteri'ye gerekli teknik desteği sağlar (ek ücretsiz, makul kapsamda)

// 10Yurt Dışına Veri Aktarımı

10.1 Genel İlke

d-dat ve alt-işleyenleri tarafından gerçekleştirilen yurt dışı aktarımlarda aşağıdaki mekanizmalar uygulanır:

  • EU-US Data Privacy Framework (uygun sertifikalı sağlayıcılar için)
  • AB Standard Contractual Clauses (SCC) — 2021 sürümü
  • KVK Kurulu Standart Sözleşmesi — 5 iş günü içinde Kuruma bildirim
  • Bağlayıcı Kurumsal Kurallar (BCR) — uygulanabilir kurumlarda

10.2 Müşteri'nin Onayı

Bu DPA imzalandığında Müşteri yukarıdaki mekanizmalarla yapılan aktarımlara onay vermiş sayılır.

10.3 Etki Değerlendirmesi

Yüksek riskli ülkelere aktarım gerektiğinde Aktarım Etki Değerlendirmesi (TIA — Transfer Impact Assessment) yapılır ve Müşteri'ye sunulur.

// 11Denetim Hakkı

11.1 Belge Sunumu

d-dat, yıllık olarak güncellenen aşağıdaki belgeleri Müşteri'ye sunar:

  • Bu DPA ve sürüm geçmişi
  • Alt-işleyen listesi (güncel)
  • Güvenlik önlemleri özeti (Madde 7)
  • Bağımsız denetim raporları (varsa: SOC 2, ISO 27001 vb.)
  • Veri ihlali geçmişi (yıllık özet)

11.2 Yerinde Denetim

Müşteri yıllık 1 kez veya somut bir gerekçe varsa olağanüstü denetim talep edebilir. Denetim:

  • 30 gün öncesinden yazılı bildirimle
  • Çalışma saatleri içinde
  • Operasyonu makul ölçüde aksatmadan
  • Gizlilik anlaşması imzalanarak

yapılır. Olağan denetim Müşteri'nin masrafıyla, kusur tespit edilirse d-dat'ın masrafıyla yürütülür.

// 12Saklama ve İmha

12.1 Sözleşme Süresince

  • Veriler hizmet sunmak için gereken süre boyunca saklanır
  • Müşteri istediği zaman silme talep edebilir

12.2 Sözleşme Sonrası

Sözleşme sona erdiğinde Müşteri'nin tercihine göre:

  • A — İade: Veriler 30 gün içinde Müşteri'ye yapılandırılmış formatta teslim edilir, sonra silinir
  • B — Silme: Veriler 30 gün içinde geri döndürülemez şekilde silinir veya anonimleştirilir

Yasal saklama zorunluluğu (vergi, defter, KVKK) bulunan veriler kanuni süre boyunca tutulur, sonrasında silinir.

Silme tamamlandığında Silme Tutanağı Müşteri'ye sunulur.

// 13Sorumluluk

  • d-dat, bu DPA ihlalinden doğan zararlardan, Hizmet Şartları'ndaki sorumluluk üst sınırı çerçevesinde sorumludur
  • KVKK / GDPR ihlali nedeniyle Müşteri'ye uygulanan idari para cezalarında, ihlal d-dat'tan kaynaklanmışsa d-dat tazmin sorumluluğunu üstlenir
  • Müşteri, kendi yükümlülüklerini ihlal etmesinden doğan zararlarda d-dat'ı tazmin eder

// 14Genel Hükümler

  • Bu DPA, Hizmet Şartları'nın ekidir; çelişki halinde DPA önceliklidir (sadece veri koruma konularında)
  • KVKK ve GDPR'daki güncellemelerle birlikte bu DPA da güncellenir; Müşteri'ye 30 gün öncesinden bildirim yapılır
  • Yetkili mahkeme: İstanbul (Çağlayan) Mahkemeleri
  • Uygulanacak hukuk: Türkiye Cumhuriyeti hukuku (AB sakinleri için GDPR yorumlaması saklıdır)

// 15Ekler

  • EK-A: İşleme Faaliyetlerinin Detayı (kategori, kişi sayısı, süre)
  • EK-B: Teknik ve İdari Güvenlik Önlemleri (detaylı liste)
  • EK-C: Onaylı Alt-İşleyen Listesi (canlı liste — Müşteri panelinden takip edilebilir)
  • EK-D: Veri İhlali Bildirim Şablonu

// 16İmza

Veri Sorumlusu (Müşteri)Ünvan: __________ · Yetkili: __________ · Tarih: __________ · İmza: __________
Veri İşleyen (d-dat)Ünvan: DATA ANALYTICS TEKNOLOJİ REKLAM A.Ş. · Yetkili: __________ · Tarih: __________ · İmza: __________
// sürüm 1.0 · 04.05.2026 · bu DPA elektronik onay (tıklama / hesap kabulü) yoluyla da geçerli olarak imzalanmış sayılır
WhatsApp ile yaz