Son güncelleme: 10 Mayıs 2026. Bu sürüm, metin gömmeleri ve bağlamsal yapay zekâ yanıtları için OpenAI dahil olmak üzere mevcut alt işleyici yapısını yansıtmaktadır. Gerekli alt işleyicilerdeki gelecekteki değişiklikler için Bölüm 7.3'teki bildirim ve itiraz kuralları geçerlidir.

Bu DPA'nın Almanca sürümü hukuken bağlayıcıdır. Çeviriler kolaylık amacıyla sunulmuştur; uyuşmazlık halinde Almanca sürüm geçerlidir.

1. Önsöz ve Kapsam

Bu Veri İşleme Sözleşmesi (DPA), GDPR Art. 28 uyarınca aşağıdaki taraflar arasındaki kişisel verilerin işlenmesini düzenler:

  • Veri Sorumlusu: PlotonIQ müşterisi (bundan böyle "Veri Sorumlusu")
  • Veri İşleyen: K-Werbetechnik, sahibi: Ralph Kowalski, Banatstraße 31, 66424 Homburg, Almanya, PlotonIQ platformu aracılığıyla temsil edilmektedir (bundan böyle "Veri İşleyen")

Bu DPA, Hizmet Şartları'nın ayrılmaz bir parçasıdır ve PlotonIQ hizmetleri kapsamında Veri Sorumlusu adına kişisel verilerin işlenmesini düzenler.

2. İşlemenin Konusu ve Süresi

Veri İşleyen, kişisel verileri yalnızca Veri Sorumlusu adına ve onun belgelenmiş talimatları doğrultusunda işler.

2.1 İşlemenin Konusu

Veri işleme aşağıdaki kategorileri kapsar:

  • Müşteri Verileri: Veri Sorumlusu'nun müşterilerinin adları, adresleri, e-posta, telefon, şirket adı
  • Sipariş Verileri: Proje açıklamaları, zaman çizelgeleri, gereksinimler, değişiklikler
  • Performans Verileri: Hesaplamalar, malzeme spesifikasyonları, ölçüler, alanlar
  • İletişim Verileri: Ticari faaliyetlerdeki e-postalar, sohbet mesajları, notlar ve ses kayıtları
  • Ekip Verileri: Çalışan verileri, konum verileri (geofencing etkinleştirildiyse), izinler
  • Finansal Veriler: Fatura bilgileri, ödeme verileri (tokenleştirilmiş), kredi kartı detayları (yalnızca Stripe)
  • Görsel Veriler: Yapay zekâ ile ölçü tanıma için fotoğraflar, ekran görüntüleri, tasarım önerileri

2.2 İşleme Süresi

Veri işleme, sözleşme süresi boyunca ve Bölüm 8'e (Veri Silme ve Saklama) göre bunun ötesinde gerçekleşir.

3. İşlemenin Niteliği ve Amacı

Veri İşleyen, verileri aşağıdaki amaçlarla işler:

  • PlotonIQ hizmetlerinin sağlanması ve yönetimi (teklif hesaplamaları, ölçü tanıma, iş yönetimi, CRM, zaman takibi)
  • Anthropic Claude API kullanarak yapay zekâ destekli hesaplamalar ve analizler
  • Anlamsal arama ve bağlamsal yapay zekâ yanıtları (RAG) için OpenAI text-embedding-3-large (1536 boyut) ile metin gömmeleri
  • Computer Vision (SAM/DINO) kullanarak fotoğraflardan otomatik ölçü tanıma
  • Kullanıcılarla iletişim (işlemsel e-postalar, bildirimler)
  • Ödeme işleme ve faturalandırma
  • Güvenlik ve kimlik doğrulama önlemlerinin uygulanması
  • Güvenlik ve hata teşhisi için günlükleme ve sistem izleme
  • Geofencing ve ekip yönetimi (isteğe bağlı, yalnızca etkinleştirildiğinde)

4. Veri Sahiplerinin Kategorileri

Veri İşleyen aşağıdaki kişilere ait verileri işler:

  • Veri Sorumlusu'nun müşterileri (tabela hizmetlerinin son müşterileri)
  • Veri Sorumlusu'nun çalışanları (platform kullanıcıları)
  • Veri Sorumlusu'nun alt yüklenicileri ve iş ortakları
  • İletişim kişileri ve temsilciler

5. Kişisel Veri Kategorileri

Veri İşleyen aşağıdaki kategorileri işler:

  • Ana Veriler: Ad, unvan, adres, telefon, e-posta adresi, şirket adı
  • Kimlik Verileri: Kullanıcı kimliği, JWT tokenleri, oturum çerezleri, tarayıcı parmak izi (hashlenmiş)
  • Konum Verileri: IP adresi, GPS koordinatları (yalnızca geofencing etkinleştirildiyse)
  • İş Verileri: Proje açıklamaları, hesaplamalar, teklifler, siparişler, faturalar
  • İletişim Verileri: Mesajlar, ses transkripleri, e-postalar
  • Teknik Veriler: Günlük dosyaları, sunucu logları, sistem erişimi, hata protokolleri
  • Özel Kategoriler: Yok (gönüllü olarak sağlanan tanımlayıcı bilgiler hariç)

6. Veri İşleyenin Yükümlülükleri — Teknik ve Organizasyonel Önlemler

6.1 Teknik Güvenlik Önlemleri

  • Veri Şifreleme:
    • Veritabanındaki hassas veriler için AES-256 şifreleme
    • İletim için TLS 1.2+ (HTTPS)
    • httpOnly çerezleri ile JWT kimlik doğrulama (JavaScript'ten erişilemez)
  • Veritabanı Koruması:
    • Güçlü kimlik doğrulamaya sahip PostgreSQL veritabanı
    • Uygulama ile veritabanı arasında şifrelenmiş bağlantılar
    • Şifreleme ile düzenli otomatik yedeklemeler
    • Yedekli depolama ve felaket kurtarma
  • Erişim Kontrolü:
    • Rol tabanlı erişim kontrolü (RBAC)
    • Sıkı tenant izolasyonu ile çoklu tenant mimarisi
    • Tüm yönetimsel erişimler için denetim günlükleri
    • En az ayrıcalık ilkesi: gereksiz izin yok
  • Ağ Güvenliği:
    • Cloudflare üzerinden DDoS koruması
    • Güvenlik duvarı kuralları ve saldırı tespiti
    • Düzenli güvenlik güncellemeleri ve yamalar
  • API Güvenliği:
    • JWT tabanlı API kimlik doğrulama
    • Brute-force saldırılarını önlemek için rate limiting
    • URL'lerde veya sorgu parametrelerinde hassas veri yok

6.2 Organizasyonel Güvenlik Önlemleri

  • Personel ve Eğitim:
    • Müşteri verilerine erişimi olan sınırlı sayıda çalışan
    • Tüm çalışanlarla gizlilik sözleşmeleri (NDA'lar)
    • İlgili personel için veri koruma eğitimi
  • Veri Koruma Yönetişimi:
    • Gizlilik Politikası ve bu DPA
    • Veri Koruma Görevlisi (gerekli olduğunda)
    • Kişisel verilerin korunması ve kullanımına ilişkin politikalar
  • Olay Müdahalesi:
    • Veri ihlallerinin tespiti ve raporlanması için prosedürler
    • Bilinen güvenlik olaylarından sonra 24 saat içinde Veri Sorumlusu'na bildirim
    • Yetkililere ve etkilenen kişilere bildirim yükümlülüklerinde işbirliği
  • Belgelendirme ve İzleme:
    • GDPR Art. 30 uyarınca İşleme Faaliyetleri Kayıtları
    • Düzenli güvenlik denetimleri
    • Tüm veri erişimlerinin günlüklenmesi (teknik olarak mümkün olduğunda)
  • Fiziksel Güvenlik:
    • ISO-27001 sertifikasına sahip Hetzner Online GmbH (Falkenstein, Almanya) ile barındırma
    • Veri merkezine fiziksel erişim kontrolü
    • Barındırma sağlayıcısının izleme ve güvenlik önlemleri

7. Alt İşleyiciler ve Üçüncü Taraflar

Veri İşleyen, hizmetleri sunmak için aşağıdaki alt işleyicileri ve hizmet sağlayıcıları kullanır:

7.1 Gerekli Alt İşleyiciler

Hizmet Sağlayıcı Konum Amaç Veri Aktarımı
Sunucu Barındırma Hetzner Online GmbH Falkenstein, Almanya Veritabanı, uygulama sunucusu AB içi (DE)
CDN / DDoS Koruması Cloudflare, Inc. San Francisco, ABD Web sitesi performansı, güvenlik ABD (EU-US DPF, SCC)
İşlemsel E-postalar Brevo SAS Paris, Fransa Onay ve bildirim e-postaları AB içi (FR)
Ödeme İşleme Stripe, Inc. San Francisco, ABD Kart ödemeleri, abonelik yönetimi ABD (SCC) — tokenleştirilmiş
Yapay Zekâ API (Hesaplamalar) Anthropic, PBC San Francisco, ABD Yapay zekâ hesaplamaları, metin üretimi ABD (SCC) — Sıfır Veri Saklama
Yapay Zekâ API (isteğe bağlı ses transkripsiyonu, birincil) Groq, Inc. Mountain View, ABD İsteğe bağlı ses transkripsiyonu özelliği Veri Sorumlusu tarafından kullanıldığında, ses notları için whisper-large-v3 ile birincil STT transkripsiyonu ABD (SCC) — STT özelliğini sağlamak için GroqCloud DPA kapsamında işleme
Yapay Zekâ API (metin gömmeleri ve bağlamsal yardım) OpenAI, L.L.C. San Francisco, ABD Anlamsal arama ve bağlamsal yapay zekâ yanıtları (RAG) için text-embedding-3-large (1536 boyut) ile metin gömmeleri; etkin olduğunda seçilmiş metin ve asistan fonksiyonları ABD (EU-US DPF, SCC) — API verileri varsayılan olarak eğitim için kullanılmaz; kötüye kullanım izleme günlükleri 30 güne kadar
Yapay Zekâ API (isteğe bağlı ses transkripsiyonu) OpenAI, L.L.C. San Francisco, ABD OpenAI gpt-4o-transcribe yalnızca Groq STT kullanılamadığında ve ses transkripsiyonu Veri Sorumlusu tarafından kullanıldığında ve buna göre yapılandırıldığında bir yedek STT yolu olarak ABD (EU-US DPF, SCC) — isteğe bağlı yol, gömmelerden/RAG'den ayrı

7.2 Üçüncü Ülkelere Aktarımlar

ABD'ye veri aktarımları için aşağıdaki mekanizmalar geçerlidir:

  • EU-US Data Privacy Framework (DPF): Cloudflare ve OpenAI, sağlayıcılar tarafından EU-US DPF kapsamında sertifikalı olarak temsil edilmektedir
  • Standart Sözleşme Maddeleri (SCC'ler): Üçüncü ülke aktarımlarının söz konusu olduğu Anthropic, Groq, OpenAI ve Stripe için

Veri Sorumlusu, Hizmet Şartları'nı kabul ederek bu aktarımlara onay verir.

7.3 Alt İşleyici Değişiklikleri

Veri İşleyen, yeni gerekli alt işleyicileri devreye almadan veya mevcut gerekli alt işleyicileri esaslı şekilde değiştirmeden önce Veri Sorumlusu'nu bilgilendirecektir. Veri Sorumlusu, yeni veya esaslı şekilde değiştirilmiş gerekli alt işleyicilerin kullanımına, bildirimi izleyen 30 gün içinde yazılı bildirim göndererek itiraz etme hakkına sahiptir. Süresi içinde itiraz edilmediği takdirde, gelecekteki değişikliklerin kullanımı bildirim süresinin sonunda kabul edilmiş sayılır. Bu durumda taraflardan herhangi biri sözleşme ilişkisini sona erdirebilir.

8. Veri Silme ve Saklama

8.1 Sözleşmenin Sona Ermesinden Sonra Silme Süreleri

  • Müşteri ve Proje Verileri: Veri Sorumlusu'nun talebi üzerine, en geç sözleşmenin sona ermesinden 30 gün sonra silinecektir
  • Yedekler: Hetzner saklama politikalarına göre yaklaşık 30-90 gün sonra otomatik olarak silinecektir
  • Günlük Dosyaları ve Sistem Verileri: 90 gün sonra otomatik olarak anonimleştirilir veya silinir
  • Mali Kayıtlar ve Faturalar: Alman vergi mevzuatı (§14 StGB, §239 HGB) uyarınca 6-10 yıl süreyle saklanacaktır

8.2 Kullanım Sırasında Silme Hakkı

Veri Sorumlusu, yasalarca engellenmediği sürece, münferit kayıtların silinmesini istediği zaman talep edebilir. Silinen veriler kurtarılmayacaktır.

8.3 Veri Dışa Aktarma

Veri Sorumlusu, taşınabilirliği sağlamak için yapılandırılmış, yaygın bir formatta (örn. CSV, JSON) veri dışa aktarımı talep edebilir.

9. Veri Sorumlusunun Hak ve Yükümlülükleri

9.1 Veri Sorumlusunun Talimatları

Veri Sorumlusu, kişisel verilerin işlenmesi için talimatları aşağıdaki yollarla verebilir:

  • Platform ayarlarının yapılandırılması
  • [email protected] adresine e-posta yoluyla açık yazılı talimat
  • Uygun parametrelerle API uç noktalarının kullanımı

9.2 Veri Sorumlusunun İşbirliği

Veri Sorumlusu aşağıdakilerden sorumludur:

  • Giriş bilgilerinin ve erişim kodlarının güvenliğinin sağlanması
  • Müşteri verilerini toplarken yürürlükteki yasalara uyum
  • İşlenen verilerin doğruluğu ve yasallığı
  • Veri işleme için yasal dayanağın belgelenmesi
  • Etkilenen kişilere GDPR uyarınca bildirim yapılması (gerekli olduğunda)

9.3 Veri Sorumlusunun Gizlilik Politikası

Veri Sorumlusu, son müşterilerine kendi gizlilik politikasını sağlamaktan ve verilerin PlotonIQ / Veri İşleyen'e iletildiğini açıklamaktan sorumludur.

10. Veri Sahiplerinin Hak ve Yükümlülükleri

Veri İşleyen, veri sahibi haklarının yerine getirilmesinde Veri Sorumlusu'nu destekler:

  • Erişim Hakkı (GDPR Art. 15): Veri Sorumlusu erişim talep edebilir; Veri İşleyen 14 gün içinde yanıt verecektir
  • Düzeltme Hakkı (GDPR Art. 16): Veri sahipleri hatalı verileri düzeltebilir veya düzeltme talep edebilir
  • Silme Hakkı (GDPR Art. 17): Silme talepleri 14 gün içinde işleme alınacaktır (yasal saklama yükümlülükleri hariç)
  • İşlemenin Kısıtlanması Hakkı (GDPR Art. 18): Platform ayarları aracılığıyla mevcuttur
  • Veri Taşınabilirliği Hakkı (GDPR Art. 20): Veri Sorumlusu verileri standart formatta dışa aktarabilir
  • İtiraz Hakkı (GDPR Art. 21): Meşru menfaatlere dayalı işlemeler için geçerlidir

11. Veri İhlalleri ve Bildirim Yükümlülükleri

11.1 Veri İhlali Bildirimi

Bir veri ihlali durumunda, Veri İşleyen, Veri Sorumlusu'nu derhal, ancak en geç 24 saat içinde yazılı olarak bilgilendirecektir. Bildirim aşağıdakileri içerir:

  • İhlalin niteliği ve kapsamı
  • Etkilenen kişilerin kategorileri ve yaklaşık sayısı
  • İhlalin olası sonuçları
  • Hasarı gidermek ve azaltmak için alınmış ve planlanmış önlemler
  • Veri Koruma Görevlisi'nin veya iletişim kişisinin adı ve iletişim bilgileri

11.2 Yetkililerle İşbirliği

Veri İşleyen, Veri Sorumlusu ve yetkili veri koruma otoriteleriyle işbirliği yapacak ve Veri Sorumlusu'na aşağıdaki konularda yardımcı olacaktır:

  • Etkilenen kişilerin bilgilendirilmesi
  • Yetkili denetim otoritesine raporlama
  • Soruşturmalar ve denetimler

12. Veri Sorumlusunun Denetim Hakları

12.1 Denetim Hakları

Veri Sorumlusu, talep üzerine Veri İşleyen'in kişisel verileri nasıl işlediğini denetleme hakkına sahiptir:

  • İşleme Faaliyetleri Kayıtlarına erişim
  • Güvenlik önlemlerinin gözden geçirilmesi
  • Önceden bildirimle yapılan denetimler

Denetimler normal mesai saatleri içinde yapılmalı ve operasyonları esaslı şekilde aksatmamalıdır.

12.2 Sertifikalar ve Denetimler

Veri İşleyen aşağıdaki kanıtları sağlayacaktır:

  • Hetzner ISO-27001 sertifikası (barındırma sağlayıcısı)
  • SOC-2 raporu (mevcutsa)
  • Güvenlik politikaları ve önlemler kataloğu

13. Tasarımdan İtibaren Gizlilik ve Varsayılan Olarak Gizlilik

Veri İşleyen, GDPR Art. 25 uyarınca tasarımdan itibaren gizliliği uygular:

  • Asgari veri toplama: yalnızca gerekli veriler toplanır
  • Takma adlandırma: tarayıcı parmak izleri hashlenmiştir
  • Şifreleme: hassas veriler için AES-256
  • Erişim kontrolü: rol tabanlı izinler
  • Düzenli inceleme: denetimler ve sızma testleri

14. Yapay Zekâ İşleme ve Otomatik Karar Alma

14.1 Yapay Zekâ İşlemenin Niteliği

PlotonIQ yapay zekâyı şu amaçlarla kullanır:

  • Teklif hesaplamaları (Anthropic Claude API)
  • Anlamsal arama ve bağlamsal yapay zekâ yanıtları (RAG) için OpenAI text-embedding-3-large (1536 boyut) ile metin gömmeleri
  • Fotoğraflardan alanların ve ölçülerin tanınması (SAM/DINO — Hetzner üzerinde yerel)
  • Ses notlarının transkripsiyonu (isteğe bağlı STT özelliği; öncelikle Groq whisper-large-v3, OpenAI gpt-4o-transcribe yalnızca kullanıldığında ve yapılandırıldığında yedek olarak)
  • İş içgörüleri ve önerilerin üretilmesi

OpenAI gömmeleri ve RAG için yalnızca amaca bağlı metin alıntıları, özellikle sipariş, not ve fırsat metinlerinden alıntılar iletilir. Kullanıcı içeriğine bağlı olarak müşteri adları, iletişim bilgileri, adresler ve ölçüm, proje veya not verileri dahil edilebilir.

Gömmeler/RAG için OpenAI'a iletilmeyen bilgiler şunlardır: Stripe ödeme verileri, giriş bilgileri veya parola hash'leri, ham backend veritabanı dökümleri veya veri dışa aktarımları, görüntü segmentasyonu için SAM/DINO görüntü verileri ya da kasıtlı olarak GDPR Art. 9 kapsamındaki kişisel veri özel kategorileri.

14.2 Tamamen Otomatik Karar Alma Yok

GDPR Art. 22 uyarınca, hukuki etkisi olan tamamen otomatik karar alma YOKTUR. Bu şu anlama gelir:

  • Yapay zekâ hesaplamaları ÖNERİDİR, bağlayıcı değildir
  • Kullanıcılar her zaman manuel olarak karar verir
  • Siparişlerin veya müşterilerin otomatik reddedilmesi yoktur

14.3 Yapay Zekâ Kullanımında Şeffaflık

Kullanıcılar, bir süreçte yapay zekânın yer aldığı durumlarda aşağıdakiler aracılığıyla açıkça bilgilendirilir:

  • Kullanıcı arayüzünde etiketlenmiş alanlar (örn. "AI Önerisi")
  • Yardım metinlerinde yapay zekâ yaklaşımının açıklanması
  • Bu Gizlilik Politikası ve bu DPA

15. EU AI Act — Uyumluluk

PlotonIQ'da kullanılan yapay zekâ sistemleri EU AI Act'a göre sınıflandırılmıştır:

  • Metin Üretimi (Claude API): Sınırlı risk — şeffaflık gereksinimleri karşılanmıştır
  • Anlamsal Arama ve RAG (OpenAI text-embedding-3-large, 1536 boyut): Sınırlı risk — asistan ve bağlam fonksiyonu, otomatik karar alma yok
  • Ölçü Tanıma (SAM/DINO): Sınırlı risk — yerel olarak yürütülür, üçüncü ülke aktarımı yok
  • Ses Transkripsiyonu (Groq whisper-large-v3, OpenAI gpt-4o-transcribe yedek): Sınırlı risk — kullanıcı opt-in gerekli

AI Act uyarınca yüksek riskli yapay zekâ uygulamaları YOKTUR.

16. Ücretler ve Maliyetler

Bu Veri İşleme Sözleşmesi, abonelik sözleşmesinin bir parçası olarak dahildir. Bu DPA'ya uyum için ek ücret YOKTUR.

17. Yasal Dayanak ve Kapsam

  • Birincil Yasal Dayanak: AB GDPR (2016/679), GDPR, ePrivacy Direktifi (Almanya)
  • Kapsam: Almanya veya AB'de kayıtlı merkezi bulunan tüm kullanıcılar
  • Yürürlük Tarihi: 1 Nisan 2026
  • Dil: Almanca; uyuşmazlık halinde Almanca sürüm geçerlidir

18. Süre ve Fesih

18.1 Sözleşmeye Bağlı Süre

Bu DPA, abonelik sözleşmesiyle paralel olarak yürür. Aboneliğin sona ermesi üzerine bu DPA da sona erer.

18.2 Fesih

Bu DPA'nın feshi yalnızca abonelik sözleşmesinin feshi ile birlikte mümkündür.

18.3 Feshin Sonuçları

Fesihten sonra müşteri verileri Bölüm 8'e göre silinir veya yasal olarak gerekli ise saklanır.

19. Bu DPA'da Yapılan Değişiklikler

Veri İşleyen, aşağıdaki durumlarda 30 gün önceden bildirimde bulunarak bu DPA'yı değiştirebilir:

  • Yasal veya düzenleyici gereklilikler bunu gerektiriyorsa
  • Değişiklik kişisel veri korumasını iyileştiriyorsa
  • Veri Sorumlusu 30 gün içinde yazılı olarak itiraz etmiyorsa

Veri Sorumlusu, değişiklikler hakkında önceden yazılı olarak bilgilendirilecektir.

20. İletişim ve Şikayetler

20.1 Veri İşleyenin İletişim Adresi

K-Werbetechnik / PlotonIQ
Banatstraße 31
66424 Homburg
Almanya
E-posta: [email protected]
Telefon: +49 (0)6821-6797414

20.2 Veri Koruma Otoritesi

Veri işlemeye ilişkin şikayetler yetkili veri koruma otoritesine sunulabilir. Almanya (Saarland) için iletişim bilgileri şunlardır:

Bağımsız Veri Koruma Merkezi Saarland
Fritz-Dobisch-Straße 12
66111 Saarbrücken, Almanya
E-posta: [email protected]
Web sitesi: www.datenschutz.saarland.de

21. Geçerlilik ve Bölünebilirlik Hükmü

Bu DPA'nın herhangi bir hükmünün geçersiz olması, sözleşmenin tamamının geçerliliğini etkilemez. Taraflar, orijinal sözleşmenin ekonomik amacına uygun geçerli bir ikame hüküm üzerinde anlaşacaklardır.

22. Son Hükümler

Bu Veri İşleme Sözleşmesi 1 Nisan 2026'da yürürlüğe girer ve bu tarih itibarıyla sözleşme imzalayan veya mevcut sözleşmelerini yenileyen tüm PlotonIQ müşterileri için bağlayıcıdır.

Sürüm: 1.1

Yürürlük tarihi: 1 Nisan 2026

Son Güncelleme: 10 Mayıs 2026