GDPR Madde 28 ve KVKK Uyarınca
Yürürlük Tarihi: 30 Mart 2026
1. Taraflar
Bu Veri İşleme Sözleşmesi ("VİS" veya "Sözleşme"), aşağıdaki taraflar arasında akdedilmiştir:
Veri Sorumlusu ("Sorumlu"): Müşteri / Kiracı — Vorden üzerinde hesap oluşturan ve Hizmet Sözleşmesi'ni kabul eden tüzel veya gerçek kişi.
Veri İşleyen ("İşleyen"): LucyHQ, Inc. 131 Continental Dr, Suite 305 Newark, DE 19713, ABD (Delaware eyaletinde kurulmuş bir C-Corp şirkettir)
Taraflar birlikte "Taraflar", ayrı ayrı "Taraf" olarak anılacaktır.
2. Tanımlar
Bu VİS'te kullanılan terimler aşağıdaki anlamları taşır:
| Terim | Tanım |
|---|---|
| Kişisel Veri | Kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi (GDPR Madde 4(1), KVKK Madde 3(d)) |
| İşleme | Kişisel veriler üzerinde otomatik veya otomatik olmayan yollarla gerçekleştirilen toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama, değiştirme, geri getirme, danışma, kullanma, iletim yoluyla açıklama, yayma, erişime sunma, hizalama, birleştirme, kısıtlama, silme veya imha etme gibi her türlü işlem (GDPR Madde 4(2)) |
| İlgili Kişi | Kişisel verileri işlenen gerçek kişi (GDPR Madde 4(1), KVKK Madde 3(a)) |
| Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişi (GDPR Madde 4(7), KVKK Madde 3(ı)) |
| Veri İşleyen | Veri Sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi (GDPR Madde 4(8), KVKK Madde 3(ğ)) |
| Alt Veri İşleyen | Veri İşleyen tarafından, Veri Sorumlusu adına kişisel verilerin işlenmesi amacıyla görevlendirilen başka bir işleyen |
| TOT | Teknik ve Organizasyonel Tedbirler |
| DSAR | İlgili Kişi Hakkı Talebi (Data Subject Access Request) |
| SCCs | Standart Sözleşme Maddeleri (Standard Contractual Clauses) |
3. Konu ve Süre
3.1 Konu
Bu VİS, İşleyen'in Sorumlu adına gerçekleştirdiği kişisel veri işleme faaliyetlerinin şart ve koşullarını düzenler. İşleme, Vorden aracılığıyla sağlanan iletişim verilerinin işlenmesini kapsar.
3.2 Süre
Bu VİS, Taraflar arasındaki ana Hizmet Sözleşmesi ("Ana Sözleşme") süresi boyunca geçerlidir. VİS, Ana Sözleşme'nin herhangi bir sebeple sona ermesiyle birlikte, bu VİS'te belirtilen veri silme ve iade yükümlülüklerinin tamamlanmasına kadar geçerliliğini korur.
4. İşlemenin Niteliği ve Amacı
4.1 İşlemenin Niteliği
İşleyen, Sorumlu'nun talimatlarına uygun olarak aşağıdaki işleme faaliyetlerini gerçekleştirir:
- İletişim verilerinin toplanması, kaydedilmesi ve saklanması
- Yapay zeka modelleri aracılığıyla ses ve metin verilerinin işlenmesi
- Konuşmadan metne dönüşüm (transkripsiyon)
- Metinden konuşmaya dönüşüm (ses sentezi)
- Sohbet mesajlarının işlenmesi ve yönlendirilmesi
- Analitik raporlama ve istatistik oluşturma
4.2 İşlemenin Amacı
- Yapay zeka destekli ses ve sohbet iletişim hizmetlerinin sunulması
- Telefon görüşmelerinin yönetimi ve yönlendirilmesi
- Çok kanallı iletişim (WhatsApp, Telegram, SMS, e-posta, web sohbet) işlemlerinin yürütülmesi
- Transkripsiyon ve ses sentezi hizmetleri
- İletişim analitiği ve raporlama
- Hizmet kalitesinin izlenmesi ve iyileştirilmesi
5. Kişisel Veri Türleri
Bu VİS kapsamında işlenen kişisel veri türleri:
| Veri Kategorisi | Detay |
|---|---|
| Ses kayıtları | Telefon görüşme kayıtları, sesli mesajlar |
| Transkriptler | Konuşmalardan metin olarak dönüştürülen içerikler |
| Telefon numaraları | Arayan ve aranan numaralar |
| E-posta adresleri | İletişim ve hesap e-postaları |
| IP adresleri | Erişim ve oturum bilgileri |
| Sohbet mesajları | Canlı sohbet, WhatsApp, Telegram, SMS mesaj içerikleri |
| Kullanıcı kimlikleri | Hesap ve kiracı tanımlayıcıları |
| Meta veriler | Arama süresi, zaman damgaları, kanal bilgileri |
6. İlgili Kişi Kategorileri
Bu VİS kapsamında kişisel verileri işlenen ilgili kişi kategorileri:
- Son kullanıcılar: Sorumlu'nun müşteri veya ziyaretçileri olup Platform üzerinden iletişime geçen kişiler
- Arayanlar: Vorden aracılığıyla telefon görüşmesi gerçekleştiren kişiler
- Sohbet katılımcıları: Web sohbet, WhatsApp, Telegram veya SMS kanalları üzerinden iletişim kuran kişiler
- Veri Sorumlusu'nun çalışanları: Sorumlu organizasyonunda Platform'u kullanan personel
7. Veri İşleyen'in Yükümlülükleri
7.1 Talimatlara Uygunluk
İşleyen, kişisel verileri yalnızca Sorumlu'nun belgelenmiş talimatlarına uygun olarak işler. İşleyen, bir talimatın geçerli mevzuatı ihlal ettiğine kanaat getirirse, Sorumlu'yu derhal bilgilendirir.
7.2 Gizlilik
İşleyen, kişisel verilere erişimi olan tüm personelinin:
- Gizlilik yükümlülüğüne tabi olduğunu veya uygun yasal gizlilik yükümlülüğü altında bulunduğunu
- Kişisel verileri yalnızca Sorumlu'nun talimatlarına uygun olarak işlediğini garanti eder.
7.3 Güvenlik (Teknik ve Organizasyonel Tedbirler)
İşleyen, işlemenin niteliği, kapsamı, bağlamı ve amacının yanı sıra gerçek kişilerin hak ve özgürlükleri için değişen olasılık ve ağırlıkta riskleri dikkate alarak uygun teknik ve organizasyonel tedbirleri uygular. Bu tedbirler Bölüm 8'de ayrıntılı olarak belirtilmiştir.
7.4 DSAR Taleplerinde Yardım
İşleyen, Sorumlu'nun GDPR Madde 15-22 ve KVKK Madde 11 kapsamındaki ilgili kişi haklarını yerine getirme yükümlülüğüne, işlemenin niteliği göz önünde bulundurularak uygun teknik ve organizasyonel tedbirlerle yardımcı olur.
7.5 İhlal Bildirimi
Kişisel veri ihlali durumunda İşleyen:
- İhlalden haberdar olduktan sonra 72 saat içinde Sorumlu'yu yazılı olarak bilgilendirir
- İhlalin niteliği, etkilenen veri kategorileri ve ilgili kişi sayısı, olası sonuçları ve alınan/alınması önerilen önlemler hakkında bilgi sağlar
- İhlalin etkilerini azaltmak ve yeniden oluşumunu önlemek için Sorumlu ile iş birliği yapar
7.6 Veri Koruma Etki Değerlendirmesi
İşleyen, GDPR Madde 35 kapsamında veri koruma etki değerlendirmesi yapılmasında ve gerektiğinde GDPR Madde 36 kapsamında denetim makamına ön danışma yapılmasında Sorumlu'ya yardımcı olur.
8. Teknik ve Organizasyonel Tedbirler (TOT)
İşleyen, aşağıdaki teknik ve organizasyonel tedbirleri uygular:
8.1 Şifreleme
| Önlem | Detay |
|---|---|
| Beklemedeki veri (at rest) | Endüstri standardı şifreleme |
| Aktarımdaki veri (in transit) | Endüstri standardı şifreleme |
| Yedeklemeler | Şifrelenmiş yedekleme |
| Veritabanı | Disk düzeyi ve alan düzeyi şifreleme |
8.2 Erişim Kontrolü
| Önlem | Detay |
|---|---|
| Kimlik doğrulama | Güvenli, oturum tabanlı kimlik doğrulama ve kısa ömürlü erişim tokenleri |
| Yetkilendirme | Rol Tabanlı Erişim Kontrolü |
| Çok faktörlü kimlik doğrulama | MFA desteği |
| Oturum yönetimi | Otomatik oturum sonlandırma, token süresi dolumu |
| En az yetki ilkesi | Kullanıcılara yalnızca görevleri için gerekli minimum erişim |
8.3 Kiracı İzolasyonu
| Önlem | Detay |
|---|---|
| Veritabanı izolasyonu | Kiracı bazında mantıksal veri ayrımı |
| Uygulama katmanı | Kiracı bazında erişim kontrolleri |
| API güvenliği | Kiracı kimlik doğrulaması ve yetkilendirmesi |
| Veri ayrımı | Kiracıların verilerine yalnızca yetkili kullanıcıların erişimi |
8.4 İzleme ve Denetim
| Önlem | Detay |
|---|---|
| Uygulama izleme | Kişisel veri temizleme (scrubbing) etkin olarak sürekli uygulama ve hata izleme |
| Denetim günlükleri | Tüm erişim ve değişikliklerin loglanması |
| Anormallik tespiti | Olağan dışı erişim kalıplarının izlenmesi |
| Olay uyarıları | Kritik olaylarda otomatik bildirim |
8.5 Yedekleme ve Felaket Kurtarma
| Önlem | Detay |
|---|---|
| Yedekleme konumu | Avrupa Birliği içindeki bulut altyapısı |
| Yedekleme sıklığı | Düzenli otomatik yedekleme |
| Yedekleme şifreleme | Endüstri standardı şifreleme |
| Kurtarma prosedürü | Tanımlanmış felaket kurtarma planı |
8.6 Olay Müdahalesi
| Önlem | Detay |
|---|---|
| Bildirim süresi | İhlalden itibaren 72 saat içinde |
| Müdahale ekibi | Özel olay müdahale ekibi |
| Eskalasyon süreci | Tanımlanmış eskalasyon prosedürü |
| Raporlama | Olay sonrası detaylı analiz raporu |
9. Alt Veri İşleyenler
9.1 Onaylanan Alt Veri İşleyenler
Sorumlu, bu VİS'in imzalanmasıyla İşleyen'in Alt Veri İşleyenler sayfasında yer alan alt veri işleyenlerin ("Alt Veri İşleyen Listesi") kullanılmasına genel yazılı onay vermektedir. Alt Veri İşleyen Listesi, her alt veri işleyen için adı, işleme konumu ve işleme amacını içerir ve İşleyen tarafından güncel tutulur. Yürürlük tarihi itibarıyla Alt Veri İşleyen Listesi'nin yazılı bir nüshası İşleyen'den talep edilebilir.
9.2 Yeni Alt Veri İşleyen Atama
İşleyen, yeni bir alt veri işleyen atamadan veya mevcut bir alt veri işleyeni değiştirmeden önce:
- Sorumlu'ya önceden yazılı bildirim gönderir
- Yeni alt veri işleyenin adı, konumu ve işleme amacını belirtir
- Sorumlu'ya bildirimin tebliğinden itibaren 30 (otuz) takvim günü içinde itiraz etme hakkı tanır
- Sorumlu'nun gerekçelendirilmiş itirazda bulunması halinde, Taraflar makul bir çözüm bulmak için iyi niyetle görüşür
- Çözüm bulunamazsa, Sorumlu VİS'i ve Ana Sözleşme'yi feshetme hakkına sahiptir
9.3 Alt Veri İşleyen Sözleşmeleri
İşleyen, her alt veri işleyenle, bu VİS'te belirtilen yükümlülüklerden daha az koruma sağlamayan bir sözleşme akdeder. İşleyen, alt veri işleyenlerin yükümlülüklerin yerine getirilmesinden Sorumlu'ya karşı doğrudan sorumludur.
10. Uluslararası Aktarımlar
10.1 Aktarım Mekanizması
Kişisel verilerin AEA dışına aktarımı gerektiği durumlarda, İşleyen aşağıdaki güvenceleri sağlar:
- Standart Sözleşme Maddeleri (SCCs): Avrupa Komisyonu'nun onayladığı güncel SCCs'ler uygulanır (Uygulama Kararı (AB) 2021/914)
- Aktarım Etki Değerlendirmesi (TIA): Her aktarım için hedef ülkenin veri koruma düzeyi değerlendirilir
- Ek Tedbirler: Gerekli görülen durumlarda şifreleme, takma ad kullanımı (pseudonymisation) ve diğer teknik tedbirler uygulanır
10.2 ABD'ye Aktarımlar
ABD'de bulunan alt veri işleyenlere yapılan aktarımlar için:
- SCCs'in Modül 3 (İşleyenden İşleyene) hükümleri uygulanır
- Ek teknik önlemler (aktarım sırasında ve beklemedeki endüstri standardı şifreleme, erişim kontrolü) alınır
- Aktarım etki değerlendirmesi gerçekleştirilir
10.3 KVKK Kapsamında
KVKK Madde 9 gereğince, yurt dışına veri aktarımı:
- Kişisel Verileri Koruma Kurulu tarafından yeterli korumanın bulunduğu ilan edilen ülkelere serbestçe yapılabilir
- Yeterli korumanın bulunmadığı ülkelere aktarımda, Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul'un izninin bulunması şartları aranır
11. İlgili Kişi Hakları
11.1 İşleyen'in Yardım Yükümlülüğü
İşleyen, Sorumlu'nun ilgili kişi haklarına ilişkin talepleri (DSAR) yerine getirmesinde yardımcı olur. Buna göre İşleyen:
- İlgili kişi taleplerini aldıktan sonra gecikmeksizin Sorumlu'ya iletir
- İlgili kişi taleplerinin yerine getirilmesi için gerekli teknik imkanları sağlar
- Sorumlu'nun talimatları doğrultusunda verilerin düzeltilmesi, silinmesi, kısıtlanması veya taşınması işlemlerini gerçekleştirir
11.2 Doğrudan Talepler
İşleyen, bir ilgili kişiden doğrudan talep alması halinde, talep edeni Sorumlu'ya yönlendirir. İşleyen, Sorumlu'nun önceden yazılı onayı olmadan ilgili kişi taleplerine doğrudan yanıt vermez (yasal olarak bunu yapmakla yükümlü olduğu haller hariç).
12. Denetim Hakları
12.1 Sorumlu'nun Denetim Hakkı
Sorumlu (veya Sorumlu tarafından yetkilendirilen bağımsız denetçi):
- İşleyen'in bu VİS kapsamındaki yükümlülüklere uyumunu denetleme hakkına sahiptir
- Denetim öncesinde en az 30 (otuz) takvim günü önceden yazılı bildirimde bulunur
- Denetim, normal iş saatleri içinde ve İşleyen'in işletme faaliyetlerini asgari düzeyde aksatacak şekilde gerçekleştirilir
12.2 İşleyen'in Yükümlülükleri
İşleyen:
- Denetim için gerekli tüm bilgi ve belgeleri Sorumlu'ya sunar
- Denetçilere makul erişim imkanı sağlar
- Tespit edilen uyumsuzlukları makul bir süre içinde giderir
12.3 Denetim Maliyetleri
Denetim masrafları Sorumlu tarafından karşılanır; ancak denetimde İşleyen'in bu VİS'e aykırı bir uygulamasının tespit edilmesi halinde, ilgili denetim masrafları İşleyen tarafından karşılanır.
13. Süre ve Fesih
13.1 Süre
Bu VİS, Ana Sözleşme'nin yürürlüğe girmesiyle birlikte başlayıp Ana Sözleşme'nin herhangi bir nedenle sona ermesine kadar geçerliliğini korur.
13.2 Fesih Sonrası Yükümlülükler
Ana Sözleşme'nin veya bu VİS'in sona ermesi üzerine İşleyen:
- Ana Sözleşme'nin/VİS'in sona ermesinden itibaren 30 (otuz) takvim günü içinde tüm kişisel verileri ve mevcut kopyalarını siler veya (Sorumlu'nun tercihine göre) Sorumlu'ya iade eder
- Silme işlemini yazılı olarak teyit eder
- Yasal saklama yükümlülüklerinin gerektirdiği veriler hariç, tüm kişisel verileri ortamlarından kaldırır
- Yasal nedenlerle saklanan veriler için, bu VİS'teki koruma yükümlülüklerini saklama süresi boyunca uygulamaya devam eder
13.3 Devam Eden Yükümlülükler
Gizlilik, veri güvenliği ve bu VİS'in niteliği gereği süresiz olması gereken yükümlülükler, VİS'in sona ermesinden sonra da geçerliliğini korur.
14. Genel Hükümler
14.1 Çatışma
Bu VİS ile Ana Sözleşme arasında bir çatışma olması halinde, kişisel verilerin korunmasına ilişkin konularda bu VİS'in hükümleri öncelikli olarak uygulanır.
14.2 Değişiklikler
Bu VİS'te yapılacak değişiklikler, yalnızca Tarafların yazılı mutabakatıyla geçerli olur.
14.3 Uygulanacak Hukuk
Bu VİS, GDPR ve uygulanabilir olduğu ölçüde KVKK hükümleri çerçevesinde yorumlanır.
15. İletişim
Bu VİS ile ilgili talepler için:
LucyHQ, Inc. — Veri Koruma Sorumlusu (VKS / DPO): E-posta: dpo@vorden.ai
Genel Hukuki İletişim: E-posta: legal@vorden.ai
Adres: LucyHQ, Inc. 131 Continental Dr, Suite 305 Newark, DE 19713, ABD
Web Sitesi: https://vorden.ai
Bu Veri İşleme Sözleşmesi 30 Mart 2026 tarihinde yürürlüğe girmiştir.