1. Taraflar
Bu sözleşme, kwamlemedia.com / app.kwamlemedia.com platformunu kullanan Kwamle Media («İşleyen») ile Müşteri («Veri Sorumlusu») arasında akdedilmiştir.
2. Tanımlar
- «Kişisel Veriler»: kimliği belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi.
- «İşleme»: kişisel veriler üzerinde gerçekleştirilen her türlü işlem (toplama, saklama, kullanma, aktarma, silme).
- «GDPR»: AB Genel Veri Koruma Tüzüğü (Tüzük 2016/679).
- «CCPA»: Kaliforniya Tüketici Gizliliği Yasası.
- «Alt işleyen»: Kwamle adına veri işleyen herhangi bir üçüncü taraf.
3. İşleme kapsamı
Kwamle, kişisel verileri aşağıdaki amaçlarla işler:
- Pazarlama otomasyonu hizmetlerini ve akıllı botları işletmek.
- Meta sayfalarını ve hesaplarını yönetmek ve müşterinin kitlesiyle etkileşim kurmak.
- Analiz ve istatistik oluşturmak.
- Müşterinin ayarlarına göre yapay zeka çağrılarını yürütmek.
Veriler şunları içerir: adlar, telefon numaraları, e-posta adresleri, Facebook/Instagram tanımlayıcıları, mesaj içeriği ve yorumlar.
4. İşleyen olarak Kwamle'nin yükümlülükleri
- Verileri yalnızca müşterinin belgelenmiş talimatları doğrultusunda işlemek.
- Verilere erişimi olan tüm personel arasında veri gizliliğini sağlamak.
- Uygun güvenlik önlemlerini uygulamak (GDPR Madde 32).
- Müşteriye veri sahibi taleplerine yanıt vermede yardımcı olmak.
- Herhangi bir veri ihlali konusunda müşteriyi 72 saat içinde bilgilendirmek.
- Müşterinin onayı olmadan bir alt işleyenle çalışmamak.
- Hizmet sona erdiğinde müşterinin verilerini silmek veya iade etmek.
5. Güvenlik önlemleri
- Aktarımdaki (TLS 1.3) ve beklemedeki (AES-256) verilerin şifrelenmesi.
- Rol tabanlı erişim kontrolü (RBAC) ve en az ayrıcalık ilkesi.
- 12 ay boyunca saklanan denetim günlükleri.
- Üçüncü taraflarca yıllık sızma testleri.
- Üretim sistemlerinde personel için iki faktörlü kimlik doğrulama.
- Farklı bir coğrafi konumda her 24 saatte bir şifreli yedeklemeler.
- Bir güvenlik açığı yönetim programı ve anında güvenlik güncellemeleri.
6. Mevcut alt işleyenler
| İşleyen | Amaç | Konum |
|---|---|---|
| DigitalOcean | Altyapı barındırma | Amsterdam, Frankfurt |
| Cloudflare | CDN, DDoS koruması | Küresel (Edge Ağı) |
| OpenAI | Yapay zeka modelleri (isteğe bağlı) | Amerika Birleşik Devletleri |
| Google (Gemini) | Yapay zeka modelleri (isteğe bağlı) | Küresel |
| Anthropic | Yapay zeka modelleri (isteğe bağlı) | Amerika Birleşik Devletleri |
| Stripe | Ödeme işleme | ABD, İrlanda |
| Paymob | Ödeme işleme (Mısır) | Kahire |
| Postmark | E-posta gönderimi | Amerika Birleşik Devletleri |
Müşteri, bilgilendirildikten sonra 30 gün içinde yeni bir alt işleyenin eklenmesine itiraz edebilir.
7. Uluslararası veri aktarımları
Verileri Avrupa Ekonomik Alanı dışına aktarırken şunlara dayanırız:
- Yeni Standart Sözleşme Maddeleri (SCC 2021).
- Avrupa Komisyonu tarafından onaylanan ülkeler için yeterlilik kararları.
- Her alt işleyen ilişkisi için bir Aktarım Etki Değerlendirmesi (TIA).
8. Veri ihlalleri
Bir ihlal tespit edildiğinde:
- Olayın ayrıntılarıyla birlikte müşteriyi 72 saat içinde bilgilendirmek.
- Neden, kapsam ve alınan önlemler hakkında kapsamlı bir rapor sunmak.
- Müdahalede ve düzenleyicilere raporlamada tam olarak iş birliği yapmak.
9. Denetim hakkı
Müşteri şu haklara sahiptir:
- Yıllık SOC 2 Type II raporunu talep etmek.
- 30 gün önceden bildirimde bulunarak, kendi masraflarıyla yıllık bir denetim yapmak.
- Sızma testi sonuçlarının bir özetini almak.
10. Hizmet sonunda verilerin silinmesi
- Sözleşmenin feshi üzerine Kwamle tüm kişisel verileri 90 gün içinde siler.
- Faturalama kayıtları 7 yıl boyunca saklanır (bir muhasebe gerekliliği).
- Talep üzerine, silmeden önce müşteriye verilerinin JSON/CSV biçiminde bir kopyası verilir.
İmzalamaya hazır mısınız?
Kuruluşunuz için imzalı bir DPA almak üzere hukuk ekibimizle iletişime geçin.