TASLAK — HUKUKİ İNCELEME GEREKLİ
Kişisel Verilerin İşlenmesine İlişkin Sözleşme (DPA)
Son Güncelleme: 10 Nisan 2026
1. Taraflar
Veri Sorumlusu: Topluyıldız Legal Co. ("Şirket")
Veri İşleyen: Anthropic, PBC (Claude API Sağlayıcısı)
2. Sözleşmenin Konusu
Bu sözleşme, Şirket'in yapay zekâ destekli hukuki danışmanlık platformu kapsamında işlenen kişisel verilerin korunmasına ilişkin tarafların hak ve yükümlülüklerini düzenler.
3. İşlenen Veriler ve İşleme Amaçları
| Veri Kategorisi | İşleme Amacı | Aktarım |
|---|
| Sohbet içerikleri | AI analiz ve yanıt üretimi | Anthropic API (ABD) |
| Yüklenen belgeler | Doküman analizi ve inceleme | Anthropic API (ABD) |
| Kullanım verileri | Hizmet yönetimi ve faturalandırma | Aktarılmaz (yerel) |
4. Veri İşleyenin Yükümlülükleri
- Kişisel verileri yalnızca belirtilen amaçlar doğrultusunda işlemek
- Uygun teknik ve idari güvenlik önlemlerini almak
- Alt veri işleyenlere aktarımda aynı güvenlik standartlarını sağlamak
- Veri ihlali durumunda Veri Sorumlusu'nu derhal bilgilendirmek
- İşleme sona erdiğinde verileri silmek veya iade etmek
5. Veri Sorumlusunun Yükümlülükleri
- İlgili kişileri veri işleme hakkında bilgilendirmek (aydınlatma yükümlülüğü)
- Gerekli hukuki dayanakları sağlamak (açık rıza veya kanuni dayanak)
- Yurt dışı veri aktarımı için ilgili kişilerden açık rıza almak
- Veri sahibi haklarına ilişkin başvuruları işlemek
6. Yurt Dışı Veri Aktarımı
Sohbet içerikleri ve yüklenen belgeler, yapay zekâ işleme amacıyla Amerika Birleşik Devletleri'ndeki Anthropic, PBC sunucularına aktarılmaktadır.
Hukuki dayanak: KVKK m.9/1 kapsamında ilgili kişinin açık rızası
Güvenlik önlemleri: TLS 1.3 şifreleme, API anahtarı ile kimlik doğrulama, verilerin işleme sonrası saklanmaması
7. Güvenlik Önlemleri
- HTTPS/TLS şifreleme (transit halinde)
- Oturum bazlı veri saklama (kalıcı veritabanı kullanılmaz)
- Brute-force koruması ve IP tabanlı erişim kontrolü
- Rol bazlı yetkilendirme (admin/client ayrımı)
- Otomatik oturum zaman aşımı (8 saat)
- Denetim kayıtları (audit log)
8. Veri İhlali Bildirimi
Veri ihlali tespit edilmesi durumunda Şirket, KVKK m.12/5 uyarınca:
- En kısa sürede ve en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirimde bulunur
- İlgili kişileri uygun yollarla bilgilendirir
- İhlali ve alınan önlemleri kayıt altına alır
9. Süre ve Fesih
Bu sözleşme, Platform hizmetinin süresi boyunca geçerlidir. Hizmetin sona ermesi halinde, işlenen tüm kişisel veriler silinir.
10. Uygulanacak Hukuk
Bu sözleşme Türkiye Cumhuriyeti hukukuna tabidir. Uyuşmazlıklarda İstanbul Mahkemeleri ve İcra Daireleri yetkilidir.
11. İletişim
Topluyıldız Legal Co.
E-posta: [email protected]
Web: topluyildiz.av.tr