1. Taraflar
Bu Veri İşleme Sözleşmesi ("DPA") aşağıdaki taraflar arasında akdedilmiştir:
- Veri İşleyen: Hareki LLC, New Mexico, ABD ("Hareki", "biz")
- Veri Sorumlusu: Hareki Studio platformunu kullanan gerçek veya tüzel kişi ("Kullanıcı", "siz")
Bu DPA, Hareki Studio Kullanım Koşulları'nın ayrılmaz bir parçasıdır ve Kullanıcı adına kişisel verilerin işlenmesine ilişkin tarafların hak ve yükümlülüklerini düzenler.
2. Tanımlar
- Kişisel Veri: Kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi (GDPR Madde 4/1, KVKK Madde 3/d).
- Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, din, sağlık verileri vb. hassas kategoriler (GDPR Madde 9, KVKK Madde 6).
- Veri İşleme: Kişisel veriler üzerinde gerçekleştirilen toplama, kaydetme, düzenleme, saklama, değiştirme, aktarma, silme dâhil her türlü işlem.
- Alt Veri İşleyen (Sub-processor): Veri İşleyen adına kişisel verileri işlemek üzere görevlendirilen üçüncü taraf hizmet sağlayıcı.
- Veri İhlali: Kişisel verilerin izinsiz erişim, kayıp, imha, değişiklik veya ifşasına yol açan güvenlik ihlali.
- Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişi.
- Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
3. İşleme Kapsamı ve Amacı
Hareki Studio platformunda aşağıdaki kişisel veri kategorileri işlenmektedir:
| Veri Kategorisi | İşleme Amacı | Hukuki Dayanak |
|---|
| Marka verileri (logo, renk, ses tonu) | AI içerik üretimi | Sözleşmenin ifası |
| Hesap bilgileri (ad, e-posta) | Hizmet sunumu, kimlik doğrulama | Sözleşmenin ifası |
| Ödeme verileri | Stripe aracılığıyla faturalandırma | Sözleşmenin ifası |
| Kullanım verileri (log, tercihler) | Hizmet iyileştirme, hata takibi | Meşru menfaat |
| Üretilen içerikler | İçerik yönetimi ve dışa aktarım | Sözleşmenin ifası |
Özel nitelikli kişisel veri işlenmez. Platform, sağlık, biyometrik veya genetik veri toplamaz.
4. Veri İşleyenin Yükümlülükleri
Hareki LLC, Veri İşleyen sıfatıyla aşağıdaki yükümlülükleri üstlenir:
- Talimat bağlılığı: Kişisel verileri yalnızca Veri Sorumlusunun belgelenen yazılı talimatlarına uygun olarak işler. Talimata aykırı bir hukuki yükümlülük doğması hâlinde, işlemeden önce Veri Sorumlusunu bilgilendirir.
- Gizlilik taahhüdü: Kişisel verilere erişimi olan tüm personelin gizlilik yükümlülüğü altında olmasını sağlar. Bu yükümlülük, iş ilişkisinin sona ermesinden sonra da devam eder.
- Güvenlik tedbirleri: GDPR Madde 32 uyarınca, işleme niteliğine uygun teknik ve organizasyonel güvenlik tedbirlerini uygular (detaylar Ek'te).
- Alt veri işleyen kullanımı: Alt veri işleyen görevlendirmeden önce Veri Sorumlusunun önceden genel yazılı onayını alır. Yeni alt veri işleyen eklenmesi hâlinde 30 gün öncesinden bildirim yapar.
- Yardım yükümlülüğü: Veri sahiplerinin haklarının kullanılmasında (erişim, düzeltme, silme, taşınabilirlik) Veri Sorumlusuna gerekli teknik desteği sağlar.
- Veri silme/iade: İşleme ilişkisinin sona ermesi üzerine, Veri Sorumlusunun tercihine göre tüm kişisel verileri siler veya iade eder. Yasal saklama yükümlülükleri saklıdır.
- Denetim hakkı: Veri Sorumlusunun veya atadığı bağımsız denetçinin, bu DPA kapsamındaki yükümlülüklere uyumu doğrulamak için makul denetimlere tabi tutulmasını kabul eder.
5. Alt Veri İşleyenler (Sub-processors)
Hareki Studio, hizmet sunumu için aşağıdaki alt veri işleyenleri kullanmaktadır:
| Alt Veri İşleyen | Hizmet | Konum |
|---|
| Vercel Inc. | Hosting, CDN, Edge Network | San Francisco, CA, USA |
| Supabase Inc. | Veritabanı, Kimlik Doğrulama | San Francisco, CA, USA |
| OpenRouter / OpenAI | AI İçerik İşleme | San Francisco, CA, USA |
| Stripe Inc. | Ödeme İşleme | San Francisco, CA, USA |
| Sentry | Hata İzleme ve Performans | San Francisco, CA, USA |
| Resend | E-posta Gönderimi | USA |
Değişiklik bildirimi: Yeni alt veri işleyen eklenmesi veya mevcut olanın değiştirilmesi hâlinde, Veri Sorumlusuna en az 30 gün öncesinden yazılı bildirim yapılır.
Veri Sorumlusu, bildirim tarihinden itibaren 14 gün içinde makul gerekçeleriyle itiraz edebilir. İtirazın çözülememesi hâlinde Veri Sorumlusu sözleşmeyi feshedebilir.
6. Uluslararası Veri Transferleri
Hareki LLC ABD merkezli olup, kişisel veriler ABD'deki sunucularda işlenmektedir. AB/AEA veya Türkiye'den yapılan veri transferlerinde aşağıdaki koruma mekanizmaları uygulanır:
- Standart Sözleşme Hükümleri (SCC): Avrupa Komisyonu'nun 4 Haziran 2021 tarihli Uygulama Kararı (2021/914) kapsamındaki güncel Standart Sözleşme Hükümleri uygulanır.
- EU-U.S. Data Privacy Framework: Alt veri işleyenlerin ilgili sertifikasyonları geçerli olduğu ölçüde ek koruma mekanizması olarak değerlendirilir.
- Ek koruma tedbirleri: Transfer edilen veriler için uçtan uca şifreleme (TLS 1.3), pseudonymization ve erişim kontrolleri uygulanır.
- KVKK uyumu: Türkiye'den yapılan transferlerde, 6698 sayılı KVKK Madde 9 kapsamında gerekli taahhütnameler ve Kurul kararlarına uyum sağlanır.
7. Veri İhlali Bildirimi
Bir kişisel veri ihlali tespit edilmesi hâlinde Hareki LLC:
- İhlali öğrendiği andan itibaren en geç 72 saat içinde Veri Sorumlusunu yazılı olarak bilgilendirir.
- Bildirimde şu bilgiler yer alır:
- İhlalin niteliği ve kapsamı
- Etkilenen veri kategorileri ve tahmini kayıt sayısı
- İhlalin olası sonuçları
- Alınan ve alınması önerilen önlemler
- İletişim sorumlusunun bilgileri
- İhlalin etkilerini azaltmak ve tekrarını önlemek için derhal gerekli tedbirleri alır.
- Soruşturma ve raporlama sürecinde Veri Sorumlusuna tam işbirliği sağlar.
- İhlale ilişkin tüm olguları, etkilerini ve alınan düzeltici tedbirleri belgeler.
8. Teknik ve Organizasyonel Tedbirler (Annex)
GDPR Madde 32 uyarınca uygulanan güvenlik tedbirleri:
8.1 Şifreleme
- Aktarım hâlindeki veriler: TLS 1.3 protokolü
- Durağan veriler: AES-256 şifreleme
- Veritabanı bağlantıları: SSL/TLS zorunlu
- Yedeklemeler: şifreli depolama
8.2 Erişim Kontrolü
- Rol Tabanlı Erişim Kontrolü (RBAC)
- Supabase Row Level Security (RLS) — veritabanı seviyesinde izolasyon
- Tenant bazlı veri ayrımı — çoklu kiracı mimarisi
- En az yetki prensibi (principle of least privilege)
8.3 Kimlik Doğrulama
- Parola hash: bcrypt algoritması
- OAuth 2.0 entegrasyonları (Google, Apple, Microsoft, LinkedIn)
- Oturum yönetimi: JWT token, güvenli cookie
- Rate limiting: brute-force koruması
8.4 İzleme ve Kayıt
- Uygulama hata izleme: Sentry
- Erişim logları ve denetim izi
- Anormal aktivite tespiti
8.5 Yedekleme ve Felaket Kurtarma
- Günlük otomatik veritabanı yedeklemesi
- Coğrafi olarak dağıtılmış yedekleme
- Point-in-time recovery kapasitesi
- Felaket kurtarma planı ve düzenli test
8.6 Personel ve Organizasyon
- Veri koruma farkındalık eğitimi
- Gizlilik sözleşmeleri (NDA)
- Erişim yetkisi düzenli gözden geçirme
- Güvenlik olayı müdahale prosedürleri
9. Süre ve Fesih
- Bu DPA, Kullanım Koşulları'nın yürürlüğe girmesiyle birlikte geçerlilik kazanır ve hizmet ilişkisi süresince yürürlükte kalır.
- Hizmet ilişkisinin sona ermesi hâlinde, Veri İşleyen 30 gün içinde tüm kişisel verileri siler veya Veri Sorumlusuna iade eder.
- Yasal saklama yükümlülükleri kapsamında tutulan veriler, ilgili süre sonunda otomatik olarak silinir.
- Veri silme işlemi tamamlandığında Veri Sorumlusuna yazılı onay gönderilir.
10. Geçerli Hukuk
- GDPR: Avrupa Birliği Genel Veri Koruma Tüzüğü (Regulation 2016/679) — AB/AEA vatandaşlarının verileri için geçerlidir.
- KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu — Türkiye Cumhuriyeti vatandaşlarının verileri için geçerlidir.
- Uyuşmazlık çözümü: Taraflar arasındaki uyuşmazlıklar öncelikle dostane yollarla çözülmeye çalışılır. Çözüm sağlanamaması hâlinde New Mexico, ABD mahkemeleri yetkilidir.
Son güncelleme: 12 Mart 2026 · İletişim: legal@hareki.com