Veri İşleme Ek Sözleşmesi

Son güncelleme: 19 Mart 2026

Bu Veri İşleme Ek Sözleşmesi ("DPA"), Acira AI LLC ("İşleyen", "biz", "bize") ile Hizmetlerin kullanıcısı ("Veri Sorumlusu", "siz") arasındaki Hüküm ve Koşulların ("Sözleşme") bir parçasını oluşturur ve kişisel verilerin işlenmesi bakımından Sözleşmeyi tamamlar.

Bu DPA, Hizmetleri Avrupa Ekonomik Alanı ("EEA"), Birleşik Krallık ("UK") veya İsviçre'de bulunan kişilerin kişisel verilerini toplayan veya işleyen web siteleri oluşturmak, barındırmak ve yayınlamak için kullandığınızda ya da geçerli veri koruma yasalarının başka şekilde gerektirdiği durumlarda uygulanır.

Bu Veri İşleme Eki kolaylığınız için diğer dillere çevrilebilir. İngilizce sürüm ile herhangi bir çeviri sürüm arasında çelişki veya tutarsızlık olması durumunda İngilizce sürüm geçerli olacaktır.

İÇİNDEKİLER

1. TANIMLAR
2. KAPSAM VE ROLLER
3. VERİ İŞLEME AYRINTILARI
4. İŞLEYENİN YÜKÜMLÜLÜKLERİ
5. VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ
6. ALT İŞLEYENLER
7. ULUSLARARASI VERİ AKTARIMLARI
8. İLGİLİ KİŞİ HAKLARI
9. VERİ GÜVENLİĞİ
10. VERİ İHLALİ BİLDİRİMİ
11. DENETIMLER VE UYUM DOĞRULAMASI
12. VERİ SAKLAMA VE SİLME
13. SÜRE VE SONA ERME
14. SORUMLULUĞUN SINIRLANDIRILMASI
15. BİZİMLE İLETİŞİME GEÇİN

1. TANIMLAR

"Geçerli Veri Koruma Yasası", bu DPA kapsamındaki kişisel verilerin işlenmesine uygulanan tüm yasa ve düzenlemeleri ifade eder; buna (uygun olduğu ölçüde) General Data Protection Regulation (EU) 2016/679 ("GDPR"), UK GDPR, Swiss Federal Act on Data Protection ("FADP") ve California Consumer Privacy Act ("CCPA") dahildir.

"Veri Sorumlusu", kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen gerçek veya tüzel kişiyi ifade eder; bu bağlamda, platform üzerinden bir web sitesi işleten Hizmet kullanıcısı olarak sizi ifade eder.

"İlgili Kişi", kişisel verileri işlenen kimliği belirli veya belirlenebilir gerçek kişiyi ifade eder.

"Kişisel Veri", Hizmetler aracılığıyla işlenen ve bir İlgili Kişiye ilişkin her türlü bilgiyi ifade eder.

"İşleme", kişisel veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder; buna toplama, kaydetme, düzenleme, yapılandırma, depolama, uyarlama, geri getirme, inceleme, kullanım, açıklama, yayma, kısıtlama, silme veya yok etme dahildir.

"İşleyen", Veri Sorumlusu adına kişisel veri işleyen gerçek veya tüzel kişiyi ifade eder; bu bağlamda Acira AI LLC'yi ifade eder.

"Alt İşleyen", İşleyen tarafından Veri Sorumlusu adına kişisel veri işlemek üzere görevlendirilen herhangi bir üçüncü tarafı ifade eder.

"Standart Sözleşme Maddeleri" veya "SCCs", kişisel verilerin üçüncü ülkelerde bulunan işleyenlere aktarımı için Avrupa Komisyonu tarafından kabul edilen standart sözleşme maddelerini ifade eder.

2. KAPSAM VE ROLLER

2.1 İşleme İlişkisi

Hizmetleri, web sitenizi ziyaret eden kişilerden kişisel veri toplayan bir web sitesi oluşturmak ve işletmek için kullandığınızda (formlar, kullanıcı hesapları, chatbot etkileşimleri, yorumlar, değerlendirmeler veya diğer etkileşimli özellikler aracılığıyla), siz Veri Sorumlusu olarak hareket edersiniz ve biz de bu ziyaretçi kişisel verileri bakımından İşleyen olarak hareket ederiz.

2.2 Veri Sorumlusu Olarak Rolümüz

Kendi amaçlarımız için topladığımız kişisel veriler için bağımsız bir Veri Sorumlusu olarak hareket ediyoruz; bunlar arasında: hesap bilgileriniz, fatura verileri, kullanım analitiği, web sitenizin içeriğinden türetilen genel web sitesi özellikleri (sektör veya işletme türü gibi) ve platform işletim verileri yer almaktadır. Bu verilerin işlenmesi Gizlilik Politikamız tarafından yönetilir ve bu DPA'nın kapsamı dışındadır.

2.3 Platform Analitiği

Web sitesi ziyaretçilerine ilişkin temel ve gizlilik dostu analitik veriler toplarız (Sözleşmede açıklandığı şekilde). Analitik veriler bakımından sizinle birlikte ortak veri sorumlusu olarak hareket ederiz. Analitiğimizi kişisel veri toplamayı en aza indirecek şekilde tasarladık; ham IP adreslerini saklamayız ve ziyaretçi tanımlayıcıları günlük olarak değişir. Her bir ortak veri sorumlusunun ilgili sorumlulukları aşağıdaki gibidir:

• Acira AI (İşleyen/Ortak Veri Sorumlusu): Hangi veri noktalarının toplanacağı, ziyaretçi tanımlayıcılarının nasıl hesaplanacağı (günlük dönen hash'ler) ve verilerin nasıl toplulaştırılacağı dahil olmak üzere analitik toplamanın teknik araçlarını belirler. Analitik altyapısının güvenliği ve bütünlüğünden ve platformdaki analitiğin nasıl çalıştığına ilişkin genel sorulara yanıt vermekten sorumluyuz.
• Siz (Veri Sorumlusu/Ortak Veri Sorumlusu): Web sitenizde analitiğin kullanılıp kullanılmayacağını belirlersiniz (analitik, Hizmetlerin bir parçası olarak varsayılan şekilde etkindir). Web sitenizin gizlilik politikasında analitik veri toplanmasını açıklamaktan ve web sitesi ziyaretçilerinizden analitik verilerine ilişkin gelen İlgili Kişi taleplerine yanıt vermekten siz sorumlusunuz.
• İlgili Kişiler için iletişim noktası: İlgili Kişiler, web sitenizde toplanan analitik veriler hakkında sizinle (web sitesi sahibiyle) iletişime geçebilir. Analitik verilere ilişkin bir İlgili Kişi talebi alırsak, siz bize aksini bildirmedikçe onları size yönlendiririz. Platforma ilişkin genel sorular için İlgili Kişiler bize legal@acira.ai adresinden ulaşabilir.

2.4 Ortak Veri Sorumluluğu Düzenlemesinin Özeti

GDPR'ın 26(2). maddesi uyarınca, analitik veriler için bu ortak veri sorumluluğu düzenlemesinin özü şudur: Biz (Acira AI) teknik araçları ve toplanan veri noktalarını belirleriz; siz (web sitesi işletmecisi) web sitenizde analitik kullanılıp kullanılmayacağını belirlersiniz. Geçerli Veri Koruma Yasası kapsamındaki ilgili yükümlülüklerimizden her birimiz ayrı ayrı sorumluyuz. Web sitesi ziyaretçileriniz için analitik verilerle ilgili birincil iletişim noktası sizsiniz. Bu düzenlemenin özeti, bu DPA aracılığıyla ve https://www.acira.ai/dpa adresinde İlgili Kişilere sunulmaktadır.

2.5 CCPA Kapsamında Hizmet Sağlayıcı Statüsü

California Consumer Privacy Act ("CCPA") kapsamına giren kişisel bilgileri sizin adınıza işlediğimiz ölçüde, Cal. Civ. Code § 1798.140(ag) kapsamında tanımlanan "service provider" sıfatını taşırız. Şunları yapmayacağız:

• Bize sağladığınız herhangi bir kişisel bilgiyi satmak veya paylaşmak (bu terimler CCPA kapsamında tanımlandığı şekliyle);
• Kişisel bilgileri, bu DPA ve Sözleşmede belirtilen ticari amaçlar dışında veya CCPA kapsamında başka şekilde izin verilen haller dışında herhangi bir amaçla saklamak, kullanmak veya açıklamak;
• Kişisel bilgileri sizinle bizim aramızdaki doğrudan ticari ilişki dışında saklamak, kullanmak veya açıklamak;
• Sizden alınan kişisel bilgileri, başka bir kişiden veya onun adına aldığımız kişisel bilgilerle ya da tüketicilerle kendi etkileşimlerimizden topladığımız kişisel bilgilerle, CCPA'nın izin verdiği durumlar dışında birleştirmek.

Bölüm 2.2'de açıklandığı şekilde, ilgili ürün önerileri sunmak amacıyla web sitenizin içeriğinden genel, kimlik belirleyici olmayan iş özellikleri (sektör sınıflandırması gibi) türetebiliriz. Bu sınırlı kullanım, CCPA anlamında kişisel bilgilerin satışı, paylaşımı veya birleştirilmesi anlamına gelmez.

Bu kısıtlamaları anladığımızı ve bunlara uyacağımızı beyan ederiz.

2.6 Swiss FADP Temsilci Değerlendirmesi

Swiss Federal Act on Data Protection ("FADP") Madde 14, İsviçre dışında yerleşik özel bir veri sorumlusunun İsviçre'de bir temsilci atamasını yalnızca aşağıdaki dört şartın tamamı bir arada gerçekleştiğinde gerektirir: (1) işleme, İsviçre'deki kişilere mal veya hizmet sunulması ya da davranışlarının izlenmesiyle bağlantılıdır; (2) işleme büyük ölçekte yapılmaktadır; (3) işleme düzenli olarak gerçekleşmektedir; ve (4) işleme, ilgili kişilerin kişilik hakları veya temel hakları açısından yüksek risk oluşturmaktadır.

İşleme faaliyetlerimizi bu koşullara göre değerlendirdik ve (1) ve (3) numaralı koşullar sağlanmakla birlikte, kalan koşulların aşağıdaki nedenlerle sağlanmadığını belirledik:

• Büyük ölçekte değil: Biz küçük bir SaaS platformuyuz. Hizmetlerimiz aracılığıyla işlenen İsviçre mukimlerinin kişisel veri hacmi sınırlıdır ve FADP Madde 14 anlamında büyük ölçekli işleme teşkil etmez.
• Yüksek risk değil: Web sitesi işletmecileri adına işlediğimiz kişisel veriler ağırlıklı olarak takma adlı analitik tanımlayıcılardan (günlük dönen hash'ler), temel ziyaretçi meta verilerinden (ülke, cihaz türü, tarayıcı), form gönderim içeriklerinden ve chatbot mesajlarından oluşur. Özel nitelikli kişisel veri kategorilerini (FADP Madde 5(c)) işlemeyiz ve ilgili kişiler açısından yüksek risk oluşturan profilleme faaliyetinde bulunmayız. Swiss Federal Data Protection and Information Commissioner ("FDPIC"), bu yükümlülüğün öncelikle yurt dışından faaliyet gösteren büyük internet platformları ve sosyal ağlara yönelik olduğunu belirtmiştir; bu durum Hizmetlerimizi tanımlamamaktadır.

Bu değerlendirmeye dayanarak, şu anda FADP Madde 14 kapsamında İsviçre'de bir temsilci atamamız gerekmediği sonucuna vardık. İsviçre mukimlerini etkileyen işleme faaliyetlerimizin ölçeğinde veya niteliğinde önemli değişiklikler olması dahil olmak üzere bu değerlendirmeyi periyodik olarak yeniden gözden geçireceğiz.

3. VERİ İŞLEME AYRINTILARI

3.1 Konu ve Süre

Bu DPA kapsamındaki kişisel veri işleme, Sözleşmede açıklandığı şekilde Hizmetlerin sunulması amacıyla gerçekleştirilir ve Sözleşme süresi boyunca devam eder.

3.2 İşlemenin Niteliği ve Amacı

Kişisel verileri aşağıdaki amaçlarla işleriz:

• Web sitenizin içeriğini barındırmak ve sunmak
• Web sitenizin formları ve etkileşimli özellikleri aracılığıyla gönderilen verileri depolamak ve yönetmek
• Web sitenizin korumalı alanları için kullanıcı hesaplarını ve oturumlarını sürdürmek
• Adınıza e-posta iletişimi göndermek
• Özel alan adınızın e-posta adreslerine gelen e-postaları yönlendirmek
• Web sitenizi ziyaret edenlerle AI chatbot görüşmelerini yürütmek
• Yüklenen dosyalar için AI destekli açıklamalar ve meta veriler oluşturmak
• Yüklenen dosyaları web için optimize edilmiş formatlara dönüştürmek
• Ziyaretçi analitiği sağlamak
• İlgili platform önerileri sunmak için genel web sitesi özelliklerinin (sektör veya işletme türü gibi) türetilmesi
• Spam ve kötüye kullanımı tespit etmek ve önlemek (proof-of-work bot meydan okumaları dahil)
• Yüklenen dosyalar üzerinde içerik moderasyonu yapmak
• Web sitesi içeriğini yayınlama sırasında platform içerik politikalarına uygunluk açısından incelemek
• Web sitenizin e-posta alıcıları için e-posta abonelikten çıkma tercihlerini yönetmek
• WebSocket bağlantıları aracılığıyla web sitenizde gerçek zamanlı kanal iletişimini kolaylaştırmak (mesajlar geçicidir ve kalıcı olarak tutulmaz)
• Platform güvenilirliği ve sorun giderme amacıyla hata ve tanılama günlüklerini tutmak (IP adresleri ve istek meta verilerini içerebilir; en fazla otuz (30) gün tutulur)

3.3 Kişisel Veri Türleri

İşlenen kişisel veri türleri, web siteniz aracılığıyla ne topladığınıza bağlıdır ve şunları içerebilir:

• Adlar ve iletişim bilgileri
• E-posta adresleri
• Mesajlar ve form gönderimleri
• Web sitesi ziyaretçileri tarafından gönderilen dosya yüklemeleri (resimler ve belgeler gibi)
• Chatbot konuşma içeriği (ziyaretçi mesajları ve AI yanıtları)
• Kullanıcı hesabı kimlik bilgileri (hashlenmiş biçimde saklanır)
• Oturum verileri
• IP adresleri (analitikte saklanmaz — yalnızca günlük dönen bir hash saklanır; form gönderimleri ve chatbot konuşmalarıyla birlikte meta veri olarak saklanır; bot challenge doğrulaması için geçici olarak kullanılır ve hashlenir; rate limiting amacıyla en fazla yedi (7) gün geçici olarak saklanır ve otomatik olarak temizlenir)
• Tarayıcı ve cihaz bilgileri
• Konum verileri (IP'den türetilen ülke ve bölge düzeyi)
• E-posta abonelikten çıkma kayıtları (alıcı e-posta adreslerinin kriptografik hash'leri olarak saklanır; ham biçimde saklanmaz)
• Spam sınıflandırma sonuçları (bir gönderimin spam olarak belirlenip belirlenmediği)
• Hata ve tanılama günlük verileri (IP adresleri, istek yolları ve hata ayrıntıları; en fazla otuz (30) gün tutulur ve otomatik olarak temizlenir)

3.4 İlgili Kişi Kategorileri

• Web sitenizi ziyaret edenler
• Web sitenizde hesap oluşturan kullanıcılar
• Web sitenizde form gönderen veya chatbotlarla etkileşime giren kullanıcılar
• Web sitenizde yorum, değerlendirme veya başka katkılar gönderen kullanıcılar

4. İŞLEYENİN YÜKÜMLÜLÜKLERİ

Biz:

1. Kişisel verileri yalnızca sizin belgelenmiş talimatlarınıza göre işleyeceğiz; ancak geçerli hukuk tarafından zorunlu tutulması hali saklıdır (bu durumda, hukuk tarafından yasaklanmadıkça işleme öncesinde sizi bu hukuki zorunluluktan haberdar edeceğiz);
2. Kişisel verileri işlemeye yetkili kişilerin gizlilik yükümlülüğü altına girdiğinden veya uygun yasal gizlilik yükümlülüğüne tabi olduğundan emin olacağız;
3. 9. Bölümde açıklandığı şekilde uygun teknik ve organizasyonel güvenlik önlemlerini uygulayacağız;
4. 6. Bölümde belirtilen alt işleyenlerin görevlendirilmesine ilişkin koşullara uyacağız;
5. İşlemenin niteliğini dikkate alarak, Geçerli Veri Koruma Yasası kapsamındaki haklarını kullanan İlgili Kişilerin taleplerine yanıt vermenizde size yardımcı olacağız;
6. İşlemenin niteliğini ve elimizdeki bilgileri dikkate alarak, GDPR'ın 32-36. maddeleri kapsamındaki yükümlülüklerinize (güvenlik, ihlal bildirimi, veri koruma etki değerlendirmeleri ve önceden danışma) uymanızı sağlamada size yardımcı olacağız. Hizmetleri kullanımınız, Data Protection Impact Assessment (DPIA) gerektirebilecek yüksek riskli işlemeyi içeriyorsa, değerlendirmenizi desteklemek için işleme faaliyetlerimiz, teknik ve organizasyonel önlemlerimiz ve alt işleyenlerimiz hakkında size bilgi sağlayacağız;
7. GDPR'ın 22. maddesi (otomatik bireysel karar verme) kapsamındaki yükümlülüklerinizi yerine getirmenize; içerik moderasyonu, spam tespiti ve bot koruması dahil olmak üzere sizin adınıza gerçekleştirilen herhangi bir otomatik işlemeye ilişkin bilgi vererek ve talep üzerine otomatik kararların insan incelemesini kolaylaştırarak yardımcı olacağız;
8. Görüşümüze göre sizden gelen bir talimat Geçerli Veri Koruma Yasasını ihlal ediyorsa sizi bilgilendireceğiz;
9. Hizmetlerin sunulmasının sona ermesinden sonra, tercihinize göre tüm kişisel verileri silecek veya iade edeceğiz ve geçerli hukuk tarafından saklanması gerekmediği sürece mevcut kopyaları sileceğiz;
10. Bu DPA'da yer alan yükümlülüklere uyumu göstermek için gerekli tüm bilgileri size sunacağız ve 11. Bölümde açıklandığı şekilde uyum doğrulamasına katkı sağlayacağız.

5. VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ

Siz:

1. Web siteniz aracılığıyla kişisel veri toplamanızın ve işlemenizin tüm Geçerli Veri Koruma Yasalarına uygun olmasını sağlayacaksınız;
2. Platform düzeyindeki analitik, AI destekli chatbot etkileşimleri, spam tespiti ve bot koruması dahil olmak üzere veri toplama uygulamalarınızı açıklayan uygun gizlilik bildirimlerini web sitesi ziyaretçilerinize sağlayacaksınız;
3. Web siteniz aracılığıyla kişisel verilerin işlenmesi için gerekli tüm rızaları alacak veya başka bir hukuki dayanak oluşturacaksınız;
4. Kişisel verilerin işlenmesine ilişkin bize verdiğiniz talimatların Geçerli Veri Koruma Yasalarına uygun olmasını sağlayacaksınız;
5. Web siteniz aracılığıyla bize sağlanan kişisel verilerin doğruluğundan, kalitesinden ve hukuka uygunluğundan sorumlu olacaksınız.

Hizmetleri kullanarak, standart platform operasyonlarının bir parçası olarak sizin adınıza aşağıdaki işleme faaliyetlerini gerçekleştirmemizi talep edersiniz: yüklenen dosyaların içerik moderasyonu, yayınlanan web sitesi içeriğinin içerik politikası incelemesi, form gönderimlerinde spam tespiti, proof-of-work meydan okumaları yoluyla bot koruması ve web sitesi ziyaretçilerinizle AI destekli chatbot etkileşimleri. Bu faaliyetler, GDPR 28(3)(a) maddesi kapsamında belgelenmiş talimatlardır.

6. ALT İŞLEYENLER

6.1 Yetkili Alt İşleyenler

Hizmetlerin sağlanmasına yardımcı olmak üzere alt işleyenler görevlendirmemiz için bize genel yetki verirsiniz. Mevcut alt işleyenlerimiz aşağıda ve https://www.acira.ai/dpa adresinde listelenmiştir.

6.2 Güncel Alt İşleyen Listesi

6.3 Alt İşleyenlerdeki Değişiklikler

Şu anda kullandığınız Hizmetler için alt işlemci listesinde yapılması planlanan değişiklikler hakkında sizi, yeni alt işlemci kişisel verileri işlemeye başlamadan en az on dört (14) gün önce https://www.acira.ai/dpa adresindeki alt işlemci listesini güncelleyerek bilgilendireceğiz. Ek alt işlemciler içeren yeni özellikler veya hizmetler sunduğumuzda, söz konusu alt işlemciler özellik veya hizmetin kullanıma sunulduğu anda açıklanacaktır; yeni özellik veya hizmeti kullanmanız, açıklanan alt işlemcilerini kabul ettiğiniz anlamına gelir. Alt işlemci listesini değişiklikler açısından periyodik olarak incelemek sizin sorumluluğunuzdadır. Mevcut Hizmetler için veri işleyen yeni bir alt işlemciye makul bir itirazınız varsa, değişikliğin yayınlanmasından itibaren on dört (14) gün içinde bizi yazılı olarak bildirebilirsiniz. Endişelerinizi gidermek için iyi niyetle sizinle birlikte çalışacağız. İtirazı makul ölçüde tatmin edici biçimde çözemezsek, yazılı bildirim sunarak Sözleşmeyi feshedebilirsiniz.

6.4 Alt İşleyen Yükümlülükleri

Her bir alt işleyen ile, bu DPA'da belirtilenlerden daha az koruyucu olmayan veri koruma yükümlülükleri getiren yazılı anlaşmalar yapacağız. Hizmetleri doğrudan kendimiz sunuyor olsaydık sorumlu olacağımız ölçüde, alt işleyenlerimizin fiil ve ihmallerinden sorumlu olmaya devam ederiz.

7. ULUSLARARASI VERİ AKTARIMLARI

7.1 Aktarım Mekanizmaları

Hizmetler esas olarak Amerika Birleşik Devletleri'nde barındırılmaktadır. Hizmetler aracılığıyla işlenen kişisel veriler Amerika Birleşik Devletleri'ne ve alt işleyenlerimizin faaliyet gösterdiği diğer ülkelere aktarılabilir ve bu ülkelerde işlenebilir. AI inference sağlayıcıları (Fireworks AI ve xAI) verileri Amerika Birleşik Devletleri'nde işler. BrightData verileri İsrail'de ve küresel ölçekte diğer konumlarda işleyebilir. Cloudflare verileri dünya genelindeki edge konumlarında işler.

AB Veri İkameti: AB'de ikamet eden olarak tanımlanan web sitesi operatörleri için, ziyaretçi kişisel verilerinin Avrupa Birliği dışına aktarımını en aza indirmek amacıyla aşağıdaki veri ikameti tedbirlerini uyguluyoruz:

• Depolama: Kalıcı uç depolamadaki ziyaretçi verileri — form gönderimleri, chatbot konuşmaları, oturum verileri ve kullanıcı tablo verileri dahil — yetki alanı açısından Avrupa Birliği ile sınırlıdır. Bu veriler yalnızca AB veri merkezlerinde depolanır.
• Otomatik ziyaretçi odaklı işleme: Ziyaretçi etkinliği tarafından otomatik olarak tetiklenen işlemler — içerik gönderim bildirimleri ve işlemsel e-posta teslimi dahil — Avrupa Birliği içinde işlenir ve ABD altyapısından geçmez.
• Platform yönetimi erişimi: Web sitenizin ziyaretçi verilerine platform panosu veya konuşma arayüzü aracılığıyla eriştiğinizde (örneğin, form gönderimlerini görüntüleme veya kullanıcı kayıtlarını yönetme), bu veriler talebinizi yerine getirmek için ABD merkezli altyapımız aracılığıyla işlenebilir. Bu aktarımlar talep üzerine gerçekleşir, sizin (Veri Sorumlusu) tarafınızdan başlatılır ve aşağıda açıklanan aktarım mekanizmaları ve ek tedbirlerle korunur.
• Diğer ABD merkezli işleme: Analitik verileri ve ABD merkezli bulut altyapımız tarafından içerik denetimi ve AI çıkarımı için işlenen veriler, aşağıdaki aktarım mekanizmalarına tabi olarak hâlâ Amerika Birleşik Devletleri'ne aktarılabilir.

EEA, UK veya İsviçre'den, yeterli düzeyde veri koruması sağladığı kabul edilmeyen ülkelere kişisel veri aktarımı için aşağıdakilere dayanırız:

1. Standart Sözleşme Maddeleri (SCCs): Avrupa Komisyonu'nun Standart Sözleşme Maddelerini bu DPA'ya atıf yoluyla dahil ediyoruz: ortak veri sorumlusu olarak hareket ettiğimiz analitik veriler için Module One (Controller to Controller) (bkz. Bölüm 2.3) ve sizin adınıza işlenen diğer tüm kişisel veriler için Module Two (Controller to Processor). SCCs şu adreste mevcuttur: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. UK International Data Transfer Addendum: UK'den yapılan aktarımlar için EU SCCs'ye ilişkin UK Addendum uygulanır.
3. Swiss Data Transfer Mechanisms: İsviçre'den yapılan aktarımlar için Swiss FADP'nin gerektirdiği değişikliklerle SCCs uygulanır.

7.2 Tamamlayıcı Önlemler

Aktarılan kişisel verileri korumak için aşağıdaki tamamlayıcı önlemleri uygularız:

• Verilerin aktarım sırasında (TLS/SSL) ve depoda şifrelenmesi
• Erişim kontrolleri ve kimlik doğrulama mekanizmaları
• Düzenli güvenlik değerlendirmeleri
• Veri minimizasyonu uygulamaları (ör. ham IP saklama yerine günlük dönen ziyaretçi hash'leri)
• AB'de ikamet eden web sitesi operatörleri için yetki alanı veri ikameti (kalıcı depolama ve otomatikleştirilmiş ziyaretçiye yönelik işleme AB ile sınırlı)
• AB'de ikamet eden web sitesi operatörleri için otomatik ziyaretçi odaklı işlemler için AB merkezli hesaplama ve e-posta altyapısı (içerik gönderim bildirimleri ve işlemsel e-posta teslimi Avrupa Birliği'nde işlenir)

7.3 Aktarım Etki Değerlendirmesi

Bu tamamlayıcı önlemler, aktarılan verinin niteliği, dayanılan aktarım mekanizması ve yürürlükteki teknik ve organizasyonel güvenceler dikkate alınarak hedef ülkelerin yasa ve uygulamalarına ilişkin değerlendirmemize dayanmaktadır. Yukarıda açıklanan tamamlayıcı önlemlerin, SCCs kapsamındaki taahhütlerle birlikte, aktarılan kişisel veriler için yeterli düzeyde koruma sağladığını değerlendirdik. Transfer Impact Assessment belgemiz https://www.acira.ai/tia adresinde mevcuttur.

7.4 Canadian Data Transfers

Kanada'dan yapılan kişisel veri aktarımlarında, Kanada dışına aktarılan kişisel verilerin Personal Information Protection and Electronic Documents Act (PIPEDA) ve geçerli eyalet gizlilik mevzuatının (Alberta's PIPA, British Columbia's PIPA ve Quebec's Act respecting the protection of personal information in the private sector dahil) gerektirdiği karşılaştırılabilir koruma düzeyine sahip olmasını sağlamak için aşağıdaki güvencelere dayanırız:

1. Sözleşmesel korumalar: Her bir alt işleyen ile, uygun güvenlik önlemleri, kullanım sınırlamaları, ihlal bildirimi ve ilgili kişi erişimi gereklilikleri dahil olmak üzere kişisel verileri Kanada gizlilik hukukuyla uyumlu bir standartta koruma yükümlülükleri getiren yazılı veri işleme sözleşmeleri.
2. Teknik güvenceler: Bölüm 7.2'de açıklanan aynı şifreleme, takma adlandırma, erişim kontrolü ve veri minimizasyonu önlemleri Canadian veri aktarımlarına da uygulanır.
3. Organizasyonel güvenceler: Alt işleyenlere yönelik due diligence, personel için gizlilik yükümlülükleri ve bu DPA'da açıklandığı şekilde belgelendirilmiş incident response prosedürleri.

Kanada gizlilik hukukundaki gelişmeleri, önerilen Consumer Privacy Protection Act (CPPA) dahil olmak üzere izleriz ve aktarım mekanizmalarımızı gerektiğinde güncelleriz.

8. İLGİLİ KİŞİ HAKLARI

8.1 Taleplere Yardım

Geçerli Veri Koruma Yasası kapsamındaki erişim, düzeltme, silme, kısıtlama, taşınabilirlik ve itiraz hakları dahil olmak üzere haklarını kullanan İlgili Kişilerin taleplerine yanıt vermenizde size yardımcı olacağız.

8.2 Bildirim

Sizin adınıza işlenen kişisel verilere ilişkin doğrudan bir İlgili Kişiden talep alırsak, sizi derhal bilgilendiririz ve geçerli hukuk tarafından zorunlu tutulmadıkça talebinize ilişkin talimatlarınız olmadan yanıt vermeyiz.

8.3 Platform Araçları

İlgili Kişi taleplerini yerine getirmenize yardımcı olmak için Hizmetler içinde aşağıdakiler dahil araçlar sunarız:

• Web sitenizin veritabanlarında depolanan verilere erişim ve bunların yönetimi
• Web sitenizin veritabanlarından tekil kayıtların silinmesi
• Talep üzerine, veri taşınabilirliği yükümlülüklerinize yardımcı olmak için ZIP formatında veri dışa aktarımları sağlayabiliriz

9. VERİ GÜVENLİĞİ

9.1 Güvenlik Önlemleri

Kişisel verileri yetkisiz veya hukuka aykırı işlemeye karşı ve kazara kayıp, imha veya hasara karşı korumak için uygun teknik ve organizasyonel önlemleri uygular ve sürdürürüz. Bu önlemler şunları içerir:

• Şifreleme: TLS/SSL ile aktarım sırasında ve sektör standardı şifreleme kullanılarak depoda şifrelenmiş veriler
• Erişim Kontrolü: Rol tabanlı erişim kontrolleri, platform yönetimi için çok faktörlü kimlik doğrulama, en az ayrıcalık ilkesine dayalı erişim politikaları
• Altyapı Güvenliği: Otomatik security patching, DDoS protection ve Web Application Firewall (WAF) içeren yönetilen bulut altyapısı
• Veri İzolasyonu: Ayrılmış depolama örnekleri aracılığıyla web sitesi bazında veri izolasyonu
• İzleme: Otomatik güvenlik izleme, intrusion detection ve yapılandırılmış loglama
• Kimlik Bilgisi Güvenliği: Tüm API anahtarları ve sırlar özel secrets management hizmetlerinde depolanır; kullanıcı parolaları, her kullanıcı için ayrı salts ile güçlü kriptografik algoritmalar kullanılarak hashlenir
• Bot Koruması: Otomatik kötüye kullanımı önlemek için proof-of-work challenge sistemleri

9.2 Gizlilik

Kişisel veri işlemeye yetkili tüm personelin gizlilik yükümlülüklerine bağlı olmasını sağlarız.

10. VERİ İHLALİ BİLDİRİMİ

10.1 Veri Sorumlusuna Bildirim

Sizin adınıza işlenen kişisel verileri etkileyen bir kişisel veri ihlalini doğruladıktan sonra sizi gereksiz gecikme olmaksızın bilgilendiririz. Bildirim, hesabınızla ilişkili iletişim bilgilerine gönderilir.

10.2 Bildirimin İçeriği

İhlal bildirimimiz, mümkün olduğu ölçüde aşağıdakileri içerecektir:

1. İhlalin niteliğinin açıklaması; buna ilgili İlgili Kişi kategorileri ile yaklaşık ilgili kişi ve kayıt sayısı dahildir;
2. Veri koruma iletişim kişimizin adı ve iletişim bilgileri;
3. İhlalin olası sonuçlarının açıklaması;
4. İhlali gidermek ve etkilerini hafifletmek için alınan veya önerilen önlemlerin açıklaması.

10.3 Sizin Yükümlülükleriniz

Geçerli Veri Koruma Yasasının gerektirdiği ölçüde, kişisel veri ihlalini ilgili denetim makamına ve etkilenen İlgili Kişilere bildirmekten siz sorumlusunuz. İhlal bildirim yükümlülüklerinize uymanıza yardımcı olmak için sizinle iş birliği yapacak ve makul destek sağlayacağız.

11. DENETIMLER VE UYUM DOĞRULAMASI

11.1 Uyumluluk Belgeleri

Bu DPA ile uyumluluğumuzu göstermek için, makul yazılı talep üzerine (yılda en fazla bir kez) aşağıdakileri size sunacağız:

1. İlgili üçüncü taraf denetim raporları, sertifikalar veya güvenlik değerlendirmesi özetleri;
2. Mevcut teknik ve organizasyonel güvenlik tedbirlerimizin özeti;
3. İşleme faaliyetlerimiz, alt işleyiciler ve veri koruma uygulamalarımız hakkında bilgi.

Üçüncü taraf altyapı sağlayıcılarına (AWS ve Cloudflare gibi) dayandığımız durumlarda, onların güvenlik sertifikaları ve uyumluluk belgeleri ilgili güven ve uyumluluk programları aracılığıyla erişilebilirdir.

11.2 Ek Sorular

Bölüm 11.1 kapsamında sağlanan belgeler uyumluluk endişelerinizi makul ölçüde gidermiyorsa, veri koruma uygulamalarımıza ilişkin belirli yazılı sorular gönderebilirsiniz; bunları makul bir süre içinde yanıtlayacağız.

12. VERİ SAKLAMA VE SİLME

12.1 Sözleşme Süresince

Sizin adınıza işlenen kişisel verileri, Sözleşme süresi boyunca ve Hizmetler aracılığıyla verdiğiniz talimatlara uygun şekilde saklarız. Ziyaretçi verileri için özel saklama süreleri şunları içerir:

• Web sitenizdeki chatbot konuşmaları: Her konuşmadaki son etkileşimden itibaren otuz (30) gün saklanır. Konuşmalar, web sitesinin edge altyapısındaki ziyaretçi oturumları içinde saklanır ve oturum hareketsizlik nedeniyle sona erdiğinde otomatik olarak silinir.
• Web sitenizdeki form gönderimleri ve kullanıcı tarafından oluşturulan içerik: Bunları platform araçları aracılığıyla daha önce silmediğiniz sürece, ilgili web sitesinin süresi boyunca saklanır.
• Web sitesi ziyaretçileriniz için oturum verileri: 30 gün hareketsizlikten sonra otomatik olarak silinir.
• Silinmiş ziyaretçi içeriği (web sitenizdeki form gönderimleri, yorumlar ve diğer kullanıcı tarafından oluşturulan içerik): Platform araçları aracılığıyla ziyaretçi içeriğini sildiğinizde, içerik soft-delete durumuna taşınır ve kurtarma desteği için en fazla otuz (30) gün saklanır. Bu süreden sonra soft-deleted içerik kalıcı olarak kaldırılır. İçeriği recovery queue'dan purge ederek derhal kalıcı olarak silebilirsiniz.
• Web sitenizde e-posta abonelikten çıkma kayıtları: Alıcı yeniden abone olmadığı sürece ilgili web sitesinin süresi boyunca saklanır. Web sitesi yok edildiğinde abonelikten çıkma kayıtları silinir.
• Analitik veriler: İlgili web sitesinin süresi boyunca saklanır (plana dayalı saklama sınırlarına tabidir; free plan analitik verileri doksan (90) gün saklanır).

12.2 Sona Erme Sonrasında

Sözleşmenin sona ermesi üzerine veya talebiniz doğrultusunda, sizin adınıza işlenen kişisel verileri, Sözleşmede açıklanan veri saklama uygulamalarına uygun olarak sileceğiz (hesap ve web sitesi silmeleri için yedi (7) günlük grace period dahil). Grace period sonrasında silme kalıcı ve geri döndürülemezdir.

12.3 İstisnalar

Kişisel verileri, geçerli hukuk tarafından gerekli kılındığı ölçüde veya veriler anonim hale getirildiyse ve artık bir İlgili Kişi ile ilişkilendirilemiyorsa saklayabiliriz.

13. SÜRE VE SONA ERME

Bu DPA, Sözleşmeyi kabul ettiğiniz tarihte yürürlüğe girer ve sizin adınıza kişisel veri işlediğimiz sürece yürürlükte kalır. Bu DPA'da belirtilen gizlilik ve veri koruma yükümlülükleri, Sözleşmenin sona ermesinden sonra da yürürlükte kalır.

14. SORUMLULUĞUN SINIRLANDIRILMASI

Bu DPA kapsamındaki her bir tarafın sorumluluğu, Sözleşmede belirtilen sorumluluk sınırlamalarına tabidir.

15. BİZİMLE İLETİŞİME GEÇİN

Bu DPA hakkında sorularınız veya haklarınızı kullanmak için bizimle aşağıdaki adresten iletişime geçin:

Acira AI LLC
Attn: Data Protection
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Telefon: 888-389-1189
E-posta: legal@acira.ai