Transfer Etki Değerlendirmesi
VERİ TRANSFERİ ETKİ DEĞERLENDİRMESİ
Son güncelleme: 19 Mart 2026
Bu Veri Transferi Etki Değerlendirmesi ("TIA"), Acira AI LLC ("Acira AI", "biz") tarafından Avrupa Birliği Adalet Divanı'nın Data Protection Commissioner - Facebook Ireland Limited ve Maximillian Schrems davasındaki (Dava C-311/18, "Schrems II") kararı ve Avrupa Veri Koruma Kurulu'nun tavsiyeleri (Tamamlayıcı tedbirlere ilişkin EDPB Tavsiyeleri 01/2020) doğrultusunda hazırlanmıştır.
Bu TIA, Hizmetlerimizin sunulmasıyla bağlantılı olarak Avrupa Ekonomik Alanı ("AEA"), Birleşik Krallık ("BK"), İsviçre ve Kanada'dan Amerika Birleşik Devletleri'ne ve diğer üçüncü ülkelere aktarılan kişisel verilerin korunmasının yeterliliğini değerlendirmektedir.
Bu TIA, kolaylık açısından başka dillere çevrilebilir. İngilizce versiyon ile herhangi bir çeviri versiyon arasında çelişki veya tutarsızlık olması durumunda, İngilizce versiyon geçerli olacaktır.
İÇİNDEKİLER
- TRANSFERLERE GENEL BAKIŞ
- AKTARILAN VERİLERİN NİTELİĞİ
- TRANSFER MEKANİZMALARI
- HEDEF ÜLKE MEVZUATININ DEĞERLENDİRİLMESİ
- HİZMET SAĞLAYICIYA GÖRE VERİ AKIŞLARININ DEĞERLENDİRİLMESİ
- TAMAMLAYICI TEDBİRLER
- RİSK DEĞERLENDİRMESİ
- SONUÇ
- GÖZDEN GEÇİRME TAKVİMİ
- BİZE ULAŞIN
1. TRANSFERLERE GENEL BAKIŞ
1.1 Bağlam
Acira AI, işletmelerin ve bireylerin yapay zeka destekli web siteleri oluşturmasına, yönetmesine ve barındırmasına olanak tanıyan bir yazılım hizmeti platformudur. Kullanıcılar, AEA, Birleşik Krallık, İsviçre veya Kanada'da bulunan ziyaretçiler tarafından erişilen web siteleri oluşturduğunda, bu ziyaretçilerin kişisel verileri, altyapı sağlayıcılarımızın faaliyet gösterdiği ABD'ye ve diğer yerlere aktarılabilir ve orada işlenebilir.
1.2 Taraflar
- Veri İhracatçısı: Web sitesi operatörü (Denetleyici olarak hareket eden müşterimiz) ve analitik veriler için Ortak Denetleyici olarak Acira AI.
- Veri İthalatçısı: Nevada, ABD'de kurulu Acira AI LLC, İşleyici (ve analitik için Ortak Denetleyici) olarak hareket etmektedir.
- Alt İşleyiciler: Acira AI tarafından görevlendirilen üçüncü taraf hizmet sağlayıcılar (Bölüm 5'te listelenmiştir).
1.3 Transfer Hedefleri
| Hedef | Sağlayıcılar | Dayanak |
|---|---|---|
| ABD ve Avrupa Birliği (Stockholm) | AWS | SCC'ler + Tamamlayıcı Önlemler (ABD); AB'de ikamet eden ziyaretçi odaklı otomatik işlemler için AEA-içi |
| ABD | Stripe, Fireworks AI, xAI | SCC'ler + Tamamlayıcı Önlemler |
| Küresel (edge konumları) | Cloudflare | SCC'ler + Tamamlayıcı Tedbirler |
| İsrail | BrightData (yalnızca kullanıcı yönlendirmesiyle) | SCC'ler + Tamamlayıcı Tedbirler |
| Avrupa Birliği | Black Forest Labs, ScreenshotOne, CloudConvert | AEA içi (transfer mekanizması gerekmez) |
2. AKTARILAN VERİLERİN NİTELİĞİ
2.1 Kişisel Veri Kategorileri
Aktarılan kişisel veriler, web sitesi operatörü tarafından etkinleştirilen özelliklere ve web sitesi ziyaretçilerinin etkileşimlerine bağlıdır. Aşağıdaki kategoriler aktarılabilir:
| Veri Kategorisi | Açıklama | Hassasiyet | Hacim |
|---|---|---|---|
| Analitik tanımlayıcılar | IP + Kullanıcı Ajanı + tarihin günlük dönen kriptografik karması (takma adlı) | Düşük | Yüksek (her sayfa görüntülemede) |
| Ziyaretçi meta verileri | Ülke, bölge, dil, cihaz tipi, tarayıcı, işletim sistemi, yönlendiren alan adı, UTM parametreleri | Düşük | Yüksek (her sayfa görüntülemede) |
| IP adresleri | Form gönderimleri ve sohbet botu konuşmalarıyla birlikte meta veri olarak saklanır; analitik için karma; bot meydan okuma doğrulaması için geçici olarak kullanılır; hız sınırlama için geçici olarak saklanır (7 güne kadar) | Orta | Orta |
| Form gönderim içeriği | Ziyaretçiler tarafından gönderilen serbest metin alanları (isimler, e-postalar, mesajlar vb.) | Değişken (forma bağlı) | Düşük ila Orta |
| Sohbet botu mesajları | Ziyaretçi mesajları ve yapay zeka tarafından oluşturulan yanıtlar (mesaj başına en fazla 2.000 karakter) | Düşük ila Orta | Düşük |
| Dosya yüklemeleri | Ziyaretçiler tarafından web sitesi formları aracılığıyla yüklenen dosyalar (görseller, belgeler) | Değişken | Düşük |
| Oturum tanımlayıcıları | Sunucu tarafı oturum kimlikleri ve istemci tarafı oturum çerezleri | Düşük | Yüksek |
| Kimlik doğrulama bilgileri | Web sitesinin korumalı alanları için parolalar (yalnızca karma biçimde saklanır) | Yüksek (ancak karma) | Düşük |
2.2 Veri Sahibi Kategorileri
- Acira AI platformunda barındırılan web sitelerinin ziyaretçileri
- Platformda barındırılan web sitelerinde hesap oluşturan kullanıcılar
- Barındırılan web sitelerinde form dolduran, sohbet botlarıyla etkileşime giren veya dosya yükleyen kullanıcılar
2.3 Aktarılmayan Veriler
- Coğrafi konum verileri: IP'den konuma aramalar, altyapı sağlayıcımız tarafından ağ kenarında gerçekleştirilir. Ziyaretçi IP adresleri herhangi bir harici coğrafi konum hizmetine iletilmez.
- Ham analitik IP adresleri: Yalnızca günlük dönen kriptografik karma saklanır; ham IP'ler analitik sistemlerde saklanmaz.
- Düz metin parolalar: Yalnızca kriptografik karmalar saklanır ve aktarılır.
3. TRANSFER MEKANİZMALARI
3.1 Birincil Mekanizma: Standart Sözleşme Maddeleri
Komisyon Uygulama Kararı (AB) 2021/914 ile Avrupa Komisyonu tarafından benimsenen Standart Sözleşme Maddelerine (SCC'ler) dayanıyoruz:
- Birinci Modül (Denetleyiciden Denetleyiciye): Acira AI'nın web sitesi operatörüyle birlikte ortak denetleyici olarak hareket ettiği analitik veri transferleri için (DPA Bölüm 2.3'e bakınız).
- İkinci Modül (Denetleyiciden İşleyiciye): Web sitesi operatöründen (Denetleyici) Acira AI'ya (İşleyici) ziyaretçi kişisel verilerinin transferi için.
- Üçüncü Modül (İşleyiciden Alt İşleyiciye): Acira AI'dan alt işleyicilerimize yapılan sonraki transferler için.
3.2 Birleşik Krallık, İsviçre ve Kanada Transferleri
- Birleşik Krallık: AB SCC'lerine Birleşik Krallık Uluslararası Veri Transferi Eki uygulanır.
- İsviçre: SCC'ler, İsviçre Federal Veri Koruma Yasası (FADP) tarafından gerekli kılınan değişikliklerle uygulanır.
- Kanada: Transferler, her alt işleyiciyle, PIPEDA ve geçerli eyalet gizlilik mevzuatıyla tutarlı yükümlülükler getiren sözleşme korumalarına ve Bölüm 6'da açıklanan ek teknik ve organizasyonel tedbirlere dayanır. Ayrıntılar için DPA Bölüm 7.4'e bakınız.
3.3 Alt İşleyici Transfer Mekanizmaları
| Alt İşleyici | Transfer Mekanizması |
|---|---|
| Amazon Web Services | SCC'ler (AWS DPA), ISO 27001/27017/27018 sertifikalı |
| Cloudflare | SCC'ler (Cloudflare DPA), ISO 27001 sertifikalı |
| Stripe | SCC'ler (Stripe DPA), PCI DSS Seviye 1 sertifikalı |
| Fireworks AI | SCC'ler (Fireworks AI DPA), SOC 2 Type II, ISO 27001/27701/42001 sertifikalı |
| xAI | SCC'ler (AB SCC'leriyle xAI DPA) |
| BrightData | SCC'ler (BrightData DPA) |
4. HEDEF ÜLKE MEVZUATININ DEĞERLENDİRİLMESİ
4.1 Amerika Birleşik Devletleri
Amerika Birleşik Devletleri, aktarılan veriler için birincil hedeftir. Aşağıdaki ABD yasaları bu değerlendirmeyle ilgilidir:
4.1.1 Yabancı İstihbarat Gözetim Yasası (FISA), Bölüm 702
FISA Bölüm 702, ABD hükümetinin elektronik iletişim hizmeti sağlayıcılarını yabancı istihbarat amaçlarıyla ABD dışında bulunan ABD dışı kişilerin iletişimlerine erişim sağlamaya zorlamasına izin verir.
Risk değerlendirmesi:
- Uygulanabilirlik: FISA Bölüm 702, 50 U.S.C. § 1881(b)(4)'te tanımlanan "elektronik iletişim hizmeti sağlayıcılarına" uygulanır. Acira AI, geleneksel bir telekomünikasyon sağlayıcısı değil, bir SaaS web sitesi barındırma platformudur. Alt işleyicilerimiz (AWS, Cloudflare), Bölüm 702 direktiflerine tabi olma olasılığı daha yüksektir.
- Risk altındaki verilerin kapsamı: İşlediğimiz kişisel veriler, ağırlıklı olarak web sitesi ziyaretçi analitiğinden (takma adlı), form gönderimlerinden ve sohbet botu mesajlarından oluşmaktadır. Bu veriler yabancı istihbarat açısından önem taşıma ihtimali düşüktür.
- Pratik olasılık: Hiçbir zaman FISA Bölüm 702 direktifi almadık ve Hizmetlerimizin niteliği ile işlediğimiz veriler göz önünde bulundurulduğunda böyle bir direktif alma olasılığını çok düşük olarak değerlendiriyoruz.
4.1.2 Yürütme Kararnamesi 12333
EO 12333, ABD istihbarat ajanslarına toplu sinyal istihbaratı toplanması da dahil olmak üzere gözetim faaliyetleri yürütme yetkisi verir. Aktarılan verilere uygulanır ve özel şirketleri işbirliği yapmaya zorlamaz.
Risk değerlendirmesi:
- Azaltma: Aktarılan tüm veriler TLS kullanılarak şifrelenir. Aktarılan şifreli verilerin toplu olarak ele geçirilmesi düz metin kişisel veriler sağlamaz.
- Pratik olasılık: Düşük. Hizmetlerimiz aracılığıyla işlenen veriler genellikle sinyal istihbaratının hedef aldığı türden değildir.
4.1.3 Yürütme Kararnamesi 14086 ve AB-ABD Veri Gizlilik Çerçevesi
Yürütme Kararnamesi 14086 (Ekim 2022), sinyal istihbaratı faaliyetleri için ek güvenceler getirmiştir:
- İstihbarat toplama için gereklilik ve orantılılık gereklilikleri
- AB/BK/İsviçre bireyleri için iki aşamalı başvuru mekanizması (Sivil Özgürlükler Koruma Memuru + Veri Koruma İnceleme Mahkemesi)
- Toplu toplama sınırlamaları
Avrupa Komisyonu, 10 Temmuz 2023'te AB-ABD Veri Gizlilik Çerçevesi (DPF) için yeterlilik kararı aldı. Acira AI şu anda DPF kapsamında öz-sertifikaya sahip olmasa da, EO 14086 kapsamındaki korumalar ABD'ye yapılan tüm veri transferlerine geniş çapta uygulanır ve kullanılan transfer mekanizmasından bağımsız olarak tüm veri sahiplerine fayda sağlar.
4.1.4 CLOUD Yasası
Yurt Dışında Verinin Yasal Kullanımını Açıklığa Kavuşturma (CLOUD) Yasası, ABD merkezli sağlayıcıları verinin nerede depolandığından bağımsız olarak geçerli bir mahkeme kararı veya emrine tabi olmak üzere veri sağlamaya zorlamasına olanak tanır.
Risk değerlendirmesi:
- Güvenceler: CLOUD Yasası geçerli bir yasal süreç (arama emri, celp veya mahkeme emri) gerektirir. Emirsiz toplu erişime izin vermez.
- Nezaket hükümleri: CLOUD Yasası, sağlayıcıların yabancı hukukla çelişen emirlere itiraz etmesine olanak tanıyan bir nezaket çerçevesi içermektedir.
- Pratik olasılık: Web sitesi ziyaretçi verileri için düşük. Kolluk taleplerine yönelik olarak ziyaretçi analitiği veya form gönderimleri yerine suç faaliyeti şüphesiyle belirli hesapların hedef alınması daha olasıdır.
4.2 İsrail (BrightData)
BrightData İsrail merkezlidir. İsrail, Avrupa Komisyonu'ndan yeterlilik kararına sahiptir (2011/61/EU); bu, İsrail'e yapılan transferlerin AEA içi transferlere benzer şekilde ele alındığı anlamına gelir. Ancak BrightData verileri diğer küresel konumlarda da işlemektedir. Şunu not ediyoruz:
- BrightData işlemi yalnızca kullanıcı yönlendirmesiyle (içerik içe aktarma için web sitesi oluşturma sırasında) veya planlanan SERP takibi sırasında gerçekleşir.
- Hiçbir web sitesi ziyaretçisi kişisel verisi BrightData'ya iletilmez.
4.3 Kanada (Kanada'dan ABD'ye Transferler)
Kanada'da bulunan web sitesi ziyaretçilerinin kişisel verileri işleme amacıyla ABD'ye aktarılabilir. Aşağıdaki Kanada yasaları bu değerlendirmeyle ilgilidir:
4.3.1 Kişisel Bilgilerin Korunması ve Elektronik Belgeler Yasası (PIPEDA)
PIPEDA, ticari faaliyetler sürecinde özel sektör kuruluşları tarafından kişisel bilgilerin toplanmasını, kullanılmasını ve ifşa edilmesini düzenler. PIPEDA İlkesi 4.1.3, Kanada dışına transferler dahil olmak üzere işleme amacıyla üçüncü taraflara kişisel bilgi aktarılırken karşılaştırılabilir düzeyde koruma sağlamak için sözleşme veya diğer araçların kullanılmasını gerektirmektedir.
Risk değerlendirmesi:
- Karşılaştırılabilir koruma: Bölüm 6'da açıklanan tamamlayıcı tedbirler (şifreleme, takma ad kullanımı, erişim kontrolleri, veri minimizasyonu), PIPEDA tarafından gerekli kılınan korumaya karşılaştırılabilir düzeyde koruma sağlar. Tüm alt işleyicilerle yazılı veri işleme sözleşmeleri mevcuttur.
- Yeterlilik gereksinimi yok: GDPR'nin aksine PIPEDA, "yeterlilik" tespitinden yoksun ülkelere transferleri yasaklamaz. Kuruluşlar, sözleşme ve diğer araçlar aracılığıyla karşılaştırılabilir koruma sağlamalıdır; biz de bunu uygulamaya koymuşuzdur.
4.3.2 Eyalet Gizlilik Mevzuatı
Alberta'nın Kişisel Bilgilerin Korunması Yasası (PIPA), Britanya Kolumbiyası'nın Kişisel Bilgilerin Korunması Yasası (PIPA) ve Quebec'in özel sektörde kişisel bilgilerin korunmasına ilişkin Yasası, bazı eyaletler için ek gereksinimler getirmektedir:
Risk değerlendirmesi:
- Quebec Yasa 25: Quebec'in modernize edilmiş gizlilik yasası (Eylül 2023'ten itibaren yürürlükte), kişisel bilgilerin Quebec dışına aktarılmadan önce gizlilik etki değerlendirmesi yapılmasını zorunlu kılmakta ve aktaran kuruluşun bilgilerin yeterli koruma alacağından emin olması gerekmektedir. Sözleşme korumalarımız, tamamlayıcı teknik tedbirlerimiz ve verilerin niteliği (ağırlıklı olarak takma adlı analitik ve küçük işletme web sitesi etkileşimleri) yeterli koruma tespitini desteklemektedir.
- Alberta ve Britanya Kolumbiyası: Alberta ve Britanya Kolumbiyası'nın PIPA'ları, kuruluşların aktarılan veriler için karşılaştırılabilir koruma sağlamasını gerektirmektedir. Sözleşme ve teknik güvencelerimiz bu gerekliliği karşılamaktadır.
4.3.3 Kanada Perspektifinden ABD Hükümeti Erişimi
Bölüm 4.1'de değerlendirilen aynı ABD hükümeti erişim riskleri Kanada veri transferleri için de geçerlidir. Hükümet erişiminin düşük olasılığı (verilerin niteliği ve şirket profilimiz göz önünde bulundurulduğunda), Bölüm 6'daki tamamlayıcı tedbirlerle birlikte, Kanada'dan ABD'ye aktarılan kişisel verilerin Kanada gizlilik hukuku tarafından gerekli kılınan korumaya karşılaştırılabilir düzeyde koruma almasını güvence altına almaktadır.
4.4 Küresel Edge Konumları (Cloudflare)
Cloudflare, küresel bir edge konumu ağı işletmektedir. AB ziyaretçi istekleri genellikle en yakın Cloudflare varlık noktasında işlenir; AB ziyaretçileri için bu genellikle bir AB konumu olacaktır.
- İstek yönlendirme, TLS sonlandırma ve bot koruması en yakın edge konumunda gerçekleşir.
- AB mukimi olarak tanımlanan web sitesi operatörleri için, kalıcı depolama (form gönderimlerini, sohbet botu konuşmalarını ve oturum verilerini içerir), Cloudflare'nin yetki alanı API'si kullanılarak Avrupa Birliği ile yetki alanı bakımından sınırlandırılmaktadır. AB dışı web sitesi operatörleri için kalıcı depolama, operatörün coğrafi bölgesine yakın konumdadır ancak AB dışında bulunabilir.
- Analitik veriler, Cloudflare tarafından yönetilen altyapıda işlenir.
5. HİZMET SAĞLAYICIYA GÖRE VERİ AKIŞLARININ DEĞERLENDİRİLMESİ
5.1 Amazon Web Services (ABD)
| Veri Akışı | İlgili Kişisel Veriler | Amaç |
|---|---|---|
| Veritabanı depolama | Form gönderim meta verileri (IP, ülke, bölge), sohbet botu konuşma kayıtları, dosya meta verileri, oturum kayıtları | Web sitesi ziyaretçi verilerinin kalıcı depolanması |
| Dosya depolama | Yüklenen dosyalar (görseller, belgeler), dağıtım anlık görüntüleri | Dosya depolama |
| YZ çıkarımı | Dosya içeriği (YZ açıklamaları için), e-posta içeriği (spam tespiti için) | YZ destekli açıklamalar ve spam sınıflandırması |
| İçerik moderasyonu | Yüklenen görseller | İçerik moderasyonu (çıplaklık/açık içerik tespiti) |
| E-posta teslimi | E-posta adresleri, mesaj içeriği | İşlemsel e-posta teslimi ve içerik gönderim bildirimleri. AB'de ikamet eden web sitesi operatörleri için bu işlemler Avrupa Birliği'nde (Stockholm) işlenir. |
| Dil tespiti | E-posta mesaj metni | Dil tespiti |
AWS Güvenceleri:
- ISO 27001, 27017, 27018 sertifikalı
- SOC 1/2/3 raporları mevcut
- Endüstri standardı şifreleme kullanılarak bekleyen veriler şifrelenir
- Aktarılan veriler şifrelenir (TLS)
- Her sistem bileşeni için en az ayrıcalık erişim kontrolleri
- Birincil hizmetler ABD'de barındırılmaktadır; AB'de ikamet eden web sitesi operatörleri için otomatik ziyaretçi odaklı işlemler (içerik gönderim bildirimleri ve işlemsel e-posta teslimi) Avrupa Birliği'nde (Stockholm) işlenir
5.2 Cloudflare (Küresel)
| Veri Akışı | İlgili Kişisel Veriler | Amaç |
|---|---|---|
| Edge yönlendirme | IP adresleri, HTTP başlıkları, istek URL'leri | İstek yönlendirme, DDoS koruması, TLS sonlandırma |
| Web sitesi barındırma | Sayfa içeriği, ziyaretçi meta verileri | Web sitesi barındırma ve iletimi |
| Kalıcı depolama | Form gönderimleri, sohbet botu konuşmaları, oturum verileri, kullanıcı tablo verileri | Web sitesi başına durumlu depolama |
| Analitik | Takma adlı ziyaretçi karması, ülke, cihaz, tarayıcı, yönlendiren, UTM | Gizlilik dostu ziyaretçi analitiği |
| YZ çıkarımı | Sohbet botu mesajları, form alanı özetleri | YZ sohbet botu yanıtları, spam tespiti |
| Varlık depolama | Web sitesi varlıkları (görseller, dosyalar) | Statik varlık depolama ve CDN iletimi |
Cloudflare Güvenceleri:
- ISO 27001 sertifikalı, SOC 2 Type II
- Tüm bağlantılar için TLS 1.2+
- SCC'lerle Cloudflare DPA mevcut
- Edge işleme, AB ziyaretçi verilerinin istek işleme için genellikle AB edge konumlarında işlendiği anlamına gelir
- AB sakinleri olarak tanımlanan web sitesi operatörleri için kalıcı depolama (form gönderimleri, sohbet robotu konuşmaları, oturum verileri ve kullanıcı tablo verileri içeren) Cloudflare'in yetki alanı API'si kullanılarak Avrupa Birliği ile yetki alanı olarak sınırlandırılmıştır, bu verilerin yalnızca AB veri merkezlerinde depolanmasını ve işlenmesini sağlar. Uçtan gelen arka plan API çağrıları (içerik gönderim bildirimleri ve işlemsel e-posta teslimi için) AB'deki AWS altyapısına yönlendirilir.
- YZ çıkarımı eğitim için girdi verilerini saklamaz
5.3 Stripe (ABD)
| Veri Akışı | İlgili Kişisel Veriler | Amaç |
|---|---|---|
| Ödeme işleme | Web sitesi operatörünün fatura verileri (ad, e-posta, ödeme yöntemi) | Abonelik ve alan adı ödeme işleme |
Not: Stripe web sitesi ziyaretçisi kişisel verilerini almaz. Yalnızca web sitesi operatörünün (müşterimizin) fatura bilgileri Stripe tarafından işlenir.
Stripe Güvenceleri:
- PCI DSS Seviye 1 sertifikalı
- ISO 27001 sertifikalı
- SCC'lerle Stripe DPA mevcut
5.4 YZ Çıkarım Sağlayıcıları (ABD)
Fireworks AI ve xAI, YZ modeli çıkarım hizmetleri sağlar.
| Veri Akışı | İlgili Kişisel Veriler | Amaç |
|---|---|---|
| Metin oluşturma (web sitesi içeriği) | Web sitesi içeriği (ziyaretçi verisi değil) | Web sitesi içerik oluşturma ve düzenleme |
| Görsel oluşturma | Metin istemleri (ziyaretçi verisi değil) | Web siteleri için görsel oluşturma |
| Konuşma YZ'si (sohbet ajanı) | Platform kullanıcısı adı, e-posta, dil tercihi ve konuşma geçmişi | Platform kullanıcıları (web sitesi operatörleri) için YZ destekli asistan |
Not: Bu YZ sağlayıcıları web sitesi ziyaretçisi kişisel verilerini almaz. Sohbet botu özelliği (web sitesi ziyaretçilerine hizmet veren) bu sağlayıcıları değil, Cloudflare Workers AI'yı (Bölüm 5.2'de değerlendirilmiştir) kullanır. Ancak platformun konuşma YZ asistanı — web sitesi operatörleri tarafından web sitelerini yönetmek için kullanılan — yanıt oluşturmanın bir parçası olarak platform kullanıcısı kişisel verilerini (ad, e-posta adresi ve konuşma geçmişi) bu sağlayıcılara gönderir. Bu işlem için Acira AI denetleyici (işleyici değil) olarak hareket eder ve veri sahipleri platform kullanıcılarımız (web sitesi operatörleri) olup web sitesi ziyaretçileri değildir. Bu veri akışı, ziyaretçi verileri için denetleyici-işleyici çerçevesi DPA'sı yerine Gizlilik Politikamız ve bu sağlayıcılarla yaptığımız sözleşmeler tarafından yönetilmektedir.
Model Aileleri: Bu altyapı sağlayıcıları, çeşitli üçüncü taraflar tarafından geliştirilen YZ modellerini barındırır ve çalıştırır. Kullanılan belirli modeller ve model aileleri zamanla değişebilir. Model geliştiriciler herhangi bir kullanıcı verisine erişemez veya almaz; tüm veri işleme, modelin başlangıçta nerede geliştirildiğinden bağımsız olarak, listelenen alt işleyicilerin altyapısında gerçekleşir. Tüm YZ çıkarım işlemleri listelenen alt işleyicilerimizin altyapısında kalır. Hiçbir kullanıcı verisi model geliştiricilere veya bu değerlendirmede listelenen alt işleyicilerin dışındaki altyapıya iletilmez. Kullanımda olan model ailelerinin güncel listesi talep üzerine legal@acira.ai adresine başvurularak edinilebilir.
5.5 BrightData (İsrail / Küresel)
| Veri Akışı | İlgili Kişisel Veriler | Amaç |
|---|---|---|
| Web veri toplama | Kamuya açık web içeriği (ziyaretçi verisi değil) | Web sitesi oluşturma sırasında içerik içe aktarma (kullanıcı yönlendirmesiyle) |
| SERP takibi | Arama anahtar kelimeleri (ziyaretçi verisi değil) | Anahtar kelime sıralama izleme |
Not: BrightData web sitesi ziyaretçisi kişisel verilerini işlemez. Kullanıcı yönlendirmesiyle kamuya açık web içeriğini işler ve kullanıcı tarafından tanımlanan anahtar kelimeler için arama motoru sıralamalarını takip eder.
5.6 AB Merkezli Sağlayıcılar (Transfer Yok)
| Sağlayıcı | Konum | Amaç |
|---|---|---|
| Black Forest Labs | Almanya (AB) | YZ görsel oluşturma (Flux modelleri) |
| ScreenshotOne | Avrupa Birliği | Web sitesi ekran görüntüsü yakalama |
| CloudConvert | Almanya (AB) | Dosya formatı dönüştürme |
Bu sağlayıcılar AB içinde veri işler ve uluslararası transfer oluşturmaz. Black Forest Labs yalnızca görsel oluşturma için metin istemleri alır; kişisel veri dahil değildir.
6. TAMAMLAYICI TEDBİRLER
SCC'lere ek olarak, aktarılan kişisel veriler için esasen eşdeğer düzeyde koruma sağlamak amacıyla aşağıdaki tamamlayıcı tedbirleri uyguluyoruz:
6.1 Teknik Tedbirler
| Tedbir | Açıklama |
|---|---|
| Aktarımda şifreleme | Ziyaretçiler, edge ağı ve arka uç hizmetler arasında aktarılan tüm veriler TLS (minimum TLS 1.2) kullanılarak şifrelenir. Dahili servisler arası iletişim şifreli kanallar kullanır. |
| Beklemede şifreleme | Tüm veritabanı kayıtları, dosya depolama ve edge'de barındırılan kalıcı depolama, ilgili altyapı sağlayıcısı tarafından yönetilen endüstri standardı şifreleme kullanılarak bekleme sırasında şifrelenir. |
| Takma ad kullanımı | Ziyaretçi analitiği, ham IP adreslerini depolamak yerine günlük dönen kriptografik karma (IP + Kullanıcı Ajanı + tarih) kullanır. Bu karma tersine çevrilemez ve her 24 saatte bir döner; gün bazında takibi önler. |
| Veri minimizasyonu | Analitik yalnızca toplam düzeyde meta verileri (ülke, cihaz türü, tarayıcı) toplar. Analitikte ham IP adresleri saklanmaz. Sohbet botu mesajları 2.000 karakterle sınırlıdır. |
| Parola karma | Tüm ziyaretçi parolaları (web sitesinin korumalı alanları için), depolama öncesinde kullanıcı başına rastgele tuz ile güçlü kriptografik algoritmalar kullanılarak karma yapılır. Düz metin parolalar hiçbir zaman saklanmaz veya aktarılmaz. |
| Erişim kontrolleri | En az ayrıcalık erişim politikaları her sistem bileşenini yalnızca ihtiyaç duyduğu kaynaklarla sınırlar. Web sitesi başına API tokenları erişimi bireysel web sitelerine kapsamlandırır. |
| Ağ yalıtımı | Arka uç hizmetler iç ağlar üzerinden iletişim kurar. Web sitesi barındırma yalıtılmış yürütme sanal ortamlarında çalışır. Özel kod yürütme WebAssembly tabanlı sanal ortam kullanır. |
| Yetki alanı veri ikameti | AB sakinleri olarak tanımlanan web sitesi operatörleri için ziyaretçi verilerini (form gönderimleri, sohbet robotu konuşmaları, oturum verileri ve kullanıcı tablo verileri) içeren kalıcı depolama Avrupa Birliği ile yetki alanı olarak sınırlandırılmıştır, bu verilerin yalnızca AB veri merkezlerinde depolanmasını ve işlenmesini sağlar. Otomatik ziyaretçi odaklı işlemler (içerik gönderim bildirimleri ve işlemsel e-posta teslimi) de AB'deki altyapıda işlenir. |
| Otomatik silme | Oturum verileri 30 gün hareketsizlikten sonra sona erer. Geçici dosyalar 24 saat içinde silinir. Bot challenge verileri geçicidir ve kalıcı olarak saklanmaz. |
6.2 Organizasyonel Tedbirler
| Tedbir | Açıklama |
|---|---|
| Personel gizliliği | Kişisel verilere erişimi olan tüm personel gizlilik yükümlülükleriyle bağlıdır. |
| Alt işleyici özen denetimi | Alt işleyiciler, devreye alınmadan önce güvenlik uygulamaları ve veri koruma uyumluluğu açısından değerlendirilir. Tüm alt işleyicilerle yazılı DPA'lar mevcuttur. |
| Olay müdahalesi | İhlal bildirimi prosedürleri, kişisel veri ihlalinin doğrulanmasından itibaren 72 saat içinde Denetleyicilerin bilgilendirilmesini sağlar. |
| Veri saklama politikaları | Otomatik uygulama ile belgelenmiş saklama süreleri (TTL tabanlı silme, yaşam döngüsü politikaları). |
| Güvenlik izleme | Yapılandırılmış günlükleme, otomatik güvenlik izleme ve izinsiz giriş tespiti. Hata ve tanılama günlükleri 30 güne kadar saklanır. |
6.3 Sözleşme Tedbirleri
| Tedbir | Açıklama |
|---|---|
| Standart Sözleşme Maddeleri | SCC'ler (Birinci Modül, İkinci Modül ve Üçüncü Modül) atıfla DPA'mıza dahil edilmiştir. |
| Alt işleyici SCC'leri | Her alt işleyiciyle yapılan yazılı sözleşmeler, DPA'mızdakilerden daha az koruyucu olmayan veri koruma yükümlülükleri getirmektedir. |
| Hükümet erişimi bildirimi | Koşullar ve Şartlarımızda belirtildiği üzere, yasal olarak izin verilen durumlarda Denetleyicileri hükümet erişim talepleri hakkında bilgilendirmeyi taahhüt ediyoruz. |
| İtiraz taahhüdü | Aşırı geniş kapsamlı veya yasadışı olduğuna inandığımız hükümet erişim taleplerine itiraz etmeyi taahhüt ediyoruz. |
7. RİSK DEĞERLENDİRMESİ
7.1 Hükümet Erişiminin Olasılığı
| Faktör | Değerlendirme |
|---|---|
| Verilerin niteliği | Ağırlıklı olarak küçük işletme web sitelerinden takma adlı analitik, form gönderimleri ve sohbet botu mesajları. Bu veriler düşük istihbarat değerine sahiptir. |
| Veri hacmi | Düşük ila orta. Her web sitesi kendi ziyaretçi tabanına hizmet eder; veriler gözetim amacıyla web siteleri arasında toplanmaz. |
| Şirket profili | Acira AI, küçük işletme web sitelerini barındıran küçük bir SaaS şirketidir. Telekomünikasyon sağlayıcısı veya yüksek profilli bir gözetim hedefi değiliz. |
| Tarihsel talepler | Bu değerlendirmenin tarihi itibarıyla Acira AI, hiçbir zaman FISA Bölüm 702 direktifi, Ulusal Güvenlik Mektubu veya müşteri verilerine toplu erişim için herhangi bir hükümet talebi almamıştır. |
| Alt işleyici profili | AWS ve Cloudflare, şeffaflık raporları yayımlayan büyük altyapı sağlayıcılarıdır. Şeffaflık raporları, hükümet taleplerinin barındırılan içeriğe toplu erişim yerine belirli hesaplara yönelik olduğunu göstermektedir. |
Genel Olasılık: DÜŞÜK
7.2 Erişim Gerçekleşse Etkisi
| Faktör | Değerlendirme |
|---|---|
| Veri hassasiyeti | Aktarılan verilerin büyük çoğunluğu düşük hassasiyetlidir (takma adlı analitik, web sitesi ziyaretçi meta verileri). Form gönderimleri, web sitesine bağlı olarak orta hassasiyetli veriler (adlar, e-posta adresleri, mesajlar) içerebilir. |
| Takma ad kullanımının etkinliği | Analitik veriler, depolanmayan günlük dönen karma bileşenlerine (IP + Kullanıcı Ajanı + tarih) erişim olmadan bireylerle ilişkilendirilemez. |
| Maruz kalma kapsamı | Herhangi bir hükümet erişimi tüm platforma değil, belirli hesaplara veya web sitelerine yönelik olacaktır. Özel depolama örnekleri aracılığıyla web sitesi başına veri izolasyonu, olası herhangi bir ihlalin kapsamını sınırlar. AB'de ikamet eden web sitesi operatörleri için kalıcı depolama ve otomatik ziyaretçi odaklı işleme (içerik gönderim bildirimleri ve işlemsel e-posta teslimi) AB ile sınırlandırılmıştır, bu verilere ABD hükümeti erişimine maruz kalmayı daha da sınırlar. |
Genel Etki: DÜŞÜK ila ORTA (bireysel web sitesi operatörleri tarafından toplanan verilerin hassasiyetine bağlı olarak)
7.3 Artık Risk Değerlendirmesi
Hükümet erişiminin düşük olasılığını, tamamlayıcı teknik tedbirleri (şifreleme, takma ad kullanımı, veri minimizasyonu) ve EO 14086 tarafından getirilen ek güvenceleri göz önünde bulundurarak, veri sahipleri için artık riskin düşük olduğunu ve tamamlayıcı tedbirlerin SCC'lerle birlikte (AEA/BK/İsviçre transferleri için) ve sözleşme korumaları (Kanada transferleri için) ile birlikte AEA'da sağlananla esasen eşdeğer ve Kanada gizlilik hukuku tarafından gerektirilenle karşılaştırılabilir düzeyde koruma sağladığını değerlendiriyoruz.
8. SONUÇ
Bu değerlendirmeye dayanarak aşağıdaki sonuçlara varıyoruz:
Hizmetlerimizin sunulmasıyla bağlantılı olarak AEA/BK/İsviçre/Kanada'dan ABD'ye aktarılan kişisel veriler, AB veri koruma hukuku kapsamında güvence altına alınan koruma düzeyiyle esasen eşdeğer ve Kanada gizlilik hukuku tarafından gerektirilen koruma düzeyiyle karşılaştırılabilir bir koruma düzeyinden yararlanmaktadır.
Bölüm 6'da açıklanan ek teknik, organizasyonel ve sözleşme tedbirleriyle birlikte Standart Sözleşme Maddeleri, bu değerlendirmede belirlenen riskleri yeterince ele almaktadır.
Verilerin niteliği (ağırlıklı olarak takma adlı analitik ve küçük işletme web sitesi ziyaretçi etkileşimleri) ve veri ithalatçısının profili (telekomünikasyon sağlayıcısı değil, küçük bir SaaS şirketi) hükümet gözetiminin pratik riskini önemli ölçüde azaltmaktadır.
Yürütme Kararnamesi 14086 tarafından getirilen korumalar ve ilgili başvuru mekanizması, kullanılan belirli transfer mekanizmasından bağımsız olarak tüm veri sahiplerine fayda sağlayan ek güvenceler sunmaktadır.
Kanada transferleri için burada açıklanan sözleşme korumaları ve tamamlayıcı tedbirler, Quebec'in modernize edilmiş gizlilik yasası dahil olmak üzere PIPEDA ve geçerli eyalet gizlilik mevzuatı tarafından gerektirilen koruma düzeyiyle karşılaştırılabilir bir koruma düzeyini güvence altına almaktadır.
ABD gözetim hukuku ve uygulamasındaki gelişmeleri ve Kanada gizlilik hukukundaki gelişmeleri (önerilen Tüketici Gizliliğini Koruma Yasası dahil) takip etmeye devam edeceğiz ve koşullar önemli ölçüde değişirse bu TIA'yı yeniden değerlendireceğiz.
Transferler, burada açıklanan SCC'lerin ve tamamlayıcı tedbirlerin uygulanmaya devam etmesi koşuluyla sürdürülebilir.
9. GÖZDEN GEÇİRME TAKVİMİ
Bu TIA aşağıdaki durumlarda gözden geçirilecek ve güncellenecektir:
- En az yıllık olarak, veya
- Geçerli yasa veya yönetmeliklerde önemli değişiklikler olduğunda (FISA, CLOUD Yasası, EO 14086, PIPEDA veya Kanada eyalet gizlilik mevzuatındaki değişiklikler dahil),
- Alt işleyicilerimizde veya aktarılan verilerin niteliğinde değişiklikler olduğunda,
- SCC'lerin geçerliliğini veya ABD veri koruma yeterliliğini önemli ölçüde etkileyen herhangi bir mahkeme kararı olduğunda.
10. BİZE ULAŞIN
Bu Veri Transferi Etki Değerlendirmesi hakkında sorularınız varsa lütfen bizimle iletişime geçin:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States
Telefon: 888-389-1189
E-posta: legal@acira.ai
Gizliliğiniz, önceliğimiz
Verilerinizi satmıyoruz, izleme çerezleri kullanmıyoruz — bu yüzden burada çerez banneri görmeyeceksiniz. Global Privacy Control'e saygı duyuyoruz ve AB müşterileri için ziyaretçi verileri yalnızca Avrupa Birliği içinde saklanır ve işlenir.
Acira AI
AI ile güzel web siteleri oluşturun. Kodlama gerekmez.
Amerika Birleşik Devletleri'nde gururla geliştirilmiştir
© 2026 Acira AI LLC. Tüm hakları saklıdır.