Kişisel Veri İşleme Sözleşmesi (Veri İşleyen)

İşbu Kişisel Veri İşleme Sözleşmesi taslağı, makul bir özenle hazırlanmış olup hukuki danışmanlık teşkil etmemektedir. Sözleşmenin yürürlüğe konulmasından ve imzalanmasından önce, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili ikincil mevzuat alanında uzman bir hukukçu/avukat tarafından incelenmesi önemle tavsiye edilir.

Köşeli parantez içinde «[...]» şeklinde belirtilen alanlar (resmî ticaret unvanı, MERSİS No, adres, KEP adresi) doldurulması gereken yer tutucular olup, sözleşme imzalanmadan önce güncel ve doğru bilgilerle doldurulmalıdır.

İşbu Sözleşme; bir tarafta botcu platformunu işleten «[Lumio Studio resmî ticaret unvanı]» (MERSİS No: «[MERSİS No]», adres: «[Şirket adresi]», KEP: «[KEP adresi]») (bundan böyle "botcu" veya "Veri İşleyen" olarak anılacaktır) ile diğer tarafta botcu platformu üzerinden hizmet alan ve kendi son müşterilerinin kişisel verilerini platforma aktaran müşteri firma (bundan böyle "Firma" veya "Veri Sorumlusu" olarak anılacaktır) arasında akdedilmiştir.

botcu, Shopify veya PlatinMarket mağazaları ile Meta WhatsApp Business numarasını entegre ederek Firma'nın son müşterilerine WhatsApp üzerinden stok ve sipariş asistanlığı sunan bir yazılım (SaaS) sağlayıcısıdır. İşbu Sözleşme, yalnızca aşağıda "İşlenen Kişisel Veri Kategorileri ve İlgili Kişi Grupları" başlığı altında tanımlanan son müşterilere ait kişisel verilerin işlenmesini düzenlemektedir.

Veri Sorumlusu

Son müşterilere ait kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen taraf olan Firma. KVKK kapsamında aydınlatma yükümlülüğünün yerine getirilmesi ve hukuka uygun işleme şartlarının (açık rıza veya Kanun'da öngörülen diğer hukuki sebepler) varlığının sağlanması münhasıran Firma'nın sorumluluğundadır.

Veri İşleyen

Son müşterilere ait kişisel verileri, Veri Sorumlusu olan Firma'nın yazılı ve belgelenmiş talimatları doğrultusunda, onun adına ve hesabına işleyen botcu.

İlgili Kişi

Kişisel verileri işlenen son müşteri (Firma'nın WhatsApp kanalı üzerinden iletişim kurduğu gerçek kişi alıcı veya müşteri).

Alt Veri İşleyen

botcu'nun, işbu Sözleşme kapsamındaki veri işleme faaliyetlerini gerçekleştirmek üzere hizmetlerinden yararlandığı üçüncü taraf alt yükleniciler veya hizmet sağlayıcılar (Madde 7).

Önemli Not: Platform kapsamında iki ayrı veri akışı mevcuttur: (1) Firma'nın kendi kurumsal/yetkili verileri (giriş e-postası, abonelik/fatura bilgileri, entegrasyon kimlik bilgileri vb.) bakımından botcu VERİ SORUMLUSU sıfatını haiz olup, bu süreçler ayrı bir Gizlilik Politikası ve Aydınlatma Metni'ne tabidir. (2) Son müşterilere ait veriler bakımından ise Firma VERİ SORUMLUSU, botcu ise VERİ İŞLEYEN konumundadır. İşbu Sözleşme YALNIZCA bu ikinci veri akışını kapsamaktadır.

İşlemenin Konusu ve Niteliği

Son müşterilerden WhatsApp kanalıyla gelen mesajların alınması, niyet sınıflandırması amacıyla analiz edilmesi, stok/sipariş sorgularının yanıtlanması ve konuşma geçmişinin saklanmasıdır. Veri işleme faaliyeti; toplama, kaydetme, depolama, muhafaza etme, sınıflandırma, kullanma ve aktarma işlemlerini kapsamaktadır.

İşlemenin Amacı

Firma'nın son müşterilerine WhatsApp üzerinden otomatik stok ve sipariş asistanlığı hizmetinin sunulması ve mesajların doğru şekilde yanıtlanabilmesi amacıyla niyet sınıflandırmasının yapılmasıdır.

İşlemenin Süresi

Veri işleme faaliyeti, Firma ile botcu arasındaki ana hizmet/abonelik sözleşmesi yürürlükte kaldığı sürece devam eder. Ana sözleşmenin sona ermesi hâlinde, Madde 8 uyarınca kişisel verilerin silinmesi, yok edilmesi veya iadesi süreçleri işletilir.

botcu, son müşterilere ait kişisel verileri yalnızca Firma'ya hizmet sunmak amacıyla işler; bu verileri kendi ticari amaçları doğrultusunda kullanamaz, üçüncü kişilere satamaz, devredemez ve işbu Sözleşme'de tanımlanan amaçlar dışında hiçbir surette işleyemez.

İlgili Kişi Grubu: Firma'nın WhatsApp kanalı üzerinden iletişim kurduğu son müşterileri (gerçek kişiler). İşlenen kişisel veri kategorileri, Firma'nın talimatları ve son müşterinin paylaştığı mesaj içerikleriyle sınırlı olup aşağıdaki gibidir:

• İletişim Verisi: WhatsApp telefon numarası ve varsa profil adı.
• Müşteri İşlem ve Destek Verisi: Mesaj içerikleri, sipariş/talep bilgileri, ürün ve stok sorguları.
• Konuşma Kayıtları: Konuşma oturumları (ConversationSession), sohbet mesajları (ChatMessage) ve işlenmiş mesaj kayıtları (ProcessedMessage).

botcu'nun PostgreSQL veri tabanında depolanan veriler; ürün bilgileri, yalnızca ekleme yapılabilir (append-only) stok defteri, konuşma oturumları, sohbet mesajları, işlenmiş mesaj kayıtları ve türetilmiş kiracı (tenant) yapılandırma anlık görüntülerinden (snapshot) oluşur. Her sorgu kiracı (tenant) bazında mantıksal olarak ayrıştırılmakta olup, hassas erişim anahtarları ve sırlar (secrets) yalnızca ortam değişkenlerinde (environment variables) muhafaza edilmektedir.

Firma, açık rıza veya özel bir hukuki sebep gerektiren özel nitelikli kişisel veriler ile bota işlenmesi yönünde talimat verilmemiş diğer verileri sisteme aktarmamakla yükümlüdür. botcu, sisteme yalnızca yukarıda belirtilen veri kategorilerinin aktarılacağı varsayımıyla hizmet sunmaktadır.

botcu, KVKK ve ilgili mevzuat uyarınca veri işleyen sıfatıyla aşağıdaki yükümlülüklere uymayı taahhüt eder:

Belgelenmiş talimata bağlılık

Son müşterilere ait kişisel verileri yalnızca Firma'nın işbu Sözleşme ve ana hizmet sözleşmesi kapsamında ilettiği yazılı ve belgelenmiş talimatları doğrultusunda işler. Verilen bir talimatın veri koruma mevzuatına aykırı olduğunu tespit etmesi veya bu kanaate varması hâlinde, durumu derhâl Firma'ya bildirir.

Gizlilik

Kişisel verilere erişim yetkisi bulunan personelinin yazılı bir gizlilik taahhüdü altında olmasını sağlar; söz konusu verileri Sözleşme süresince ve Sözleşme sona erdikten sonra da süresiz olarak gizli tutar.

Güvenlik (KVKK m.12)

Kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere yetkisiz erişilmesini önlemek, verilerin muhafazasını sağlamak amacıyla uygun teknik ve idari tedbirleri alır (kiracı bazlı mantıksal ayrıştırma, sırların ortam değişkenlerinde tutulması, sıkı erişim kontrolü ve yalnızca ekleme yapılabilir defter yapısı ile veri bütünlüğünün korunması). KVKK m.12 uyarınca gerekli güvenlik tedbirlerinin alınması hususunda tarafların sorumlulukları saklıdır.

İhlal bildirimi

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğini (veri ihlalini) öğrendiği andan itibaren gecikmeksizin ve en geç 72 saat içinde durumu Firma'ya bildirir. Bu bildirimde ihlalin niteliği, etkilenen veri ve ilgili kişi grupları ile alınan/alınacak önlemler hakkında bilgi verir. Kişisel Verileri Koruma Kurulu'na ve ilgili kişilere bildirim yapma yükümlülüğü veri sorumlusu sıfatıyla münhasıran Firma'ya ait olup, botcu bu sürecin yönetilmesi için gerekli bilgi ve desteği sağlar.

İlgili kişi başvurularına yardım

KVKK m.11 kapsamında ilgili kişilerden gelen talepleri (erişim, düzeltme, silme, imha vb.) doğrudan yanıtlamaz; bu talepleri gecikmeksizin Firma'ya iletir. Firma'nın yasal 30 günlük süre içinde bu talepleri yanıtlayabilmesi için gerekli teknik desteği sağlar.

Silme/iade

Sözleşme'nin sona ermesi hâlinde, Madde 8 hükümleri uyarınca kişisel verileri Firma'nın tercihine göre siler, yok eder veya iade eder.

Denetim (audit)

İşbu Sözleşme kapsamındaki yükümlülüklerine uyumunu tevsik eden bilgi ve belgeleri Firma'ya sunar; makul bir süre önceden yazılı bildirimde bulunulması, iş akışının aksatılmaması ve gizlilik esaslarına uyulması kaydıyla, yılda bir kez veya olası bir veri ihlali şüphesinde Firma'nın kendisi veya yetkilendirdiği bağımsız bir denetçi tarafından yapılacak denetimlere olanak tanır.

• Son müşterilere yönelik aydınlatma yükümlülüğünü (KVKK m.10) eksiksiz olarak yerine getirmek; bu yükümlülük münhasıran Firma'ya ait olup, botcu yalnızca veri aktarılan üçüncü taraf/alıcı grubu bilgisini sağlamakla yükümlüdür.
• Kişisel verilerin işlenmesi için gerekli olan hukuki sebepleri (açık rıza veya KVKK m.5 ve m.6'da yer alan diğer hukuki sebepleri) tesis etmek ve gerektiğinde belgelemek.
• botcu'ya yalnızca işbu Sözleşme'de tanımlanan kategorilerde ve belirlenen amaçlarla sınırlı olarak veri aktarmak; tüm talimatlarını yazılı ve belgelenmiş şekilde iletmek.
• Mevzuat gereği yükümlü olması hâlinde, kendi VERBİS (Veri Sorumluları Sicili) kayıt ve bildirim yükümlülüklerini yerine getirmek.

botcu, hizmet kalitesini ve kesintisizliği sağlamak amacıyla bazı alt veri işleyenlerin yurt dışında bulunan teknik altyapılarını kullanmaktadır (Madde 7). Bu doğrultuda, son müşterilere ait kişisel veriler yurt dışına aktarılabilir. Söz konusu aktarımlar, KVKK m.9'un 2024 yılı değişikliği ile yürürlüğe giren kademeli aktarım rejimine uygun olarak gerçekleştirilir:

• Kişisel Verileri Koruma Kurulu tarafından hakkında yeterlilik kararı verilmiş olan ülkelere doğrudan aktarım gerçekleştirilebilir.
• Yeterlilik kararının bulunmadığı durumlarda, Kanun'da öngörülen uygun güvencelerden (özellikle 2024 tarihli standart sözleşme veya taahhütname) biri esas alınır; standart sözleşmenin imzalanmasını takip eden 5 (beş) iş günü içinde Kurul'a gerekli bildirimler yapılır.
• Süreklilik arz eden SaaS (yazılım) aktarımları için açık rıza tek başına bir aktarım mekanizması olarak kullanılmayacak olup, arızi (istisnai) durumlar haricinde uygun güvence şartlarından birinin varlığı aranacaktır.

botcu, hizmet aldığı alt veri işleyenlerle yurt dışı veri aktarımına ilişkin gerekli standart sözleşmeleri, taahhütnameleri ve sözleşmesel güvenceleri tesis etmekle; Firma ise kendi veri sorumlusu sıfatı kapsamında gerekli bildirim, aydınlatma ve dokümantasyon süreçlerini tamamlamakla yükümlüdür.

Firma, hizmetin eksiksiz sunulabilmesi amacıyla botcu'nun aşağıda belirtilen alt veri işleyenleri kullanmasına onay verir. Bu sağlayıcıların bir kısmının merkezinin veya sunucularının yurt dışında bulunması sebebiyle, ilgili aktarımlar Madde 6'da belirtilen güvencelere tabidir:

Anthropic (Claude LLM) — ABD

Mesaj metinleri, niyet sınıflandırması ve yapay zekâ analizi amacıyla işlenmek üzere aktarılır. Bu kapsamda yurt dışına aktarım gerçekleştirilmektedir.

Google Firebase / Google Cloud — ABD/AB

Kontrol düzlemi (yapılandırma/yetkilendirme) ve barındırma hizmetleri (GCP sanal makineleri üzerindeki ajan çalışma zamanı) amacıyla kullanılır. Bu kapsamda yurt dışına aktarım söz konusu olabilir.

Vercel — ABD

Yönetim paneli (dashboard) barındırma hizmetleri için kullanılır. Bu kapsamda yurt dışına aktarım gerçekleştirilmektedir.

Meta / WhatsApp Business API

Mesajların iletim (taşıma) kanalıdır. Tüm mesaj trafiği bu altyapı üzerinden akmaktadır.

Polar

Faturalandırma ve abonelik yönetimi altyapısıdır. Bu hizmet yalnızca Firma'nın kendi fatura ve abonelik verilerini kapsamakta olup, son müşterilere ait mesaj içerikleri bu kanala aktarılmaz.

botcu, yeni bir alt veri işleyen eklemeyi veya mevcut olanları değiştirmeyi planladığında Firma'yı makul bir süre önceden bilgilendirir. Firma, haklı gerekçelerin varlığı hâlinde bu değişikliğe itiraz edebilir. İtiraz durumunda taraflar makul bir çözüm üzerinde mutabık kalmaya çalışır; mutabakat sağlanamaması hâlinde Firma, hizmet sözleşmesini feshetme hakkına sahiptir. botcu, her bir alt veri işleyene işbu Sözleşme'den kaynaklanan yükümlülüklere eş değer veri koruma yükümlülükleri dayatacağını ve alt veri işleyenlerin veri ihlallerinden Firma'ya karşı doğrudan sorumlu olacağını kabul ve taahhüt eder.

İşbu Sözleşme'nin veya taraflar arasındaki ana hizmet ilişkisinin herhangi bir nedenle sona ermesi hâlinde botcu, Firma'nın tercihine göre son müşterilere ait kişisel verileri makul bir süre içinde siler, yok eder veya Firma'ya iade ederek mevcut tüm kopyalarını imha eder. Mevzuat gereği saklanması zorunlu olan veriler, yasal saklama süreleri boyunca yalnızca bu yükümlülüğün yerine getirilmesi amacıyla ve erişimi kısıtlanmış olarak muhafaza edilir.

Stok defteri yapısı yalnızca ekleme yapılabilir (append-only) nitelikte olduğundan, silme işlemi ilgili kiracıya (tenant) ait kayıtların bir bütün olarak veri tabanından tamamen temizlenmesi yoluyla gerçekleştirilir; tekil kayıtlar üzerinde geriye dönük güncelleme (UPDATE) işlemi yapılmaz.

• İşbu Sözleşme, taraflar arasındaki ana hizmet/abonelik sözleşmesinin ayrılmaz bir eki niteliğindedir. İki sözleşme arasında çelişki bulunması hâlinde, kişisel verilerin korunmasına ilişkin hususlarda işbu Sözleşme hükümleri öncelikli olarak uygulanır.
• İşbu Sözleşme'nin yorumlanmasında, uygulanmasında ve uyuşmazlıkların çözümünde 6698 sayılı KVKK ve ilgili ikincil mevzuat hükümleri esas alınır.
• İletişim ve bildirimler için botcu adresi: https://botcu.lumiostudio.co • contact@lumiostudio.co; resmî tebligatlar için ise «[KEP adresi]» kullanılacaktır.