1. Tarafların Rolleri
Bu DPA, Prodixa'nın Müşteri adına veri işleyen sıfatıyla Müşteri Kişisel Verisi işlediği hâllerde uygulanır.
- Veri Sorumlusu: Müşteri, Müşteri Kişisel Verisinin işlenme amaç ve yöntemlerini belirler; hukuki dayanağından ve ilgili kişileri bilgilendirmekten sorumludur.
- Veri İşleyen: Prodixa, Müşteri Kişisel Verisini yalnızca Hizmeti sunmak için ve yalnızca Müşterinin belgelenmiş talimatları doğrultusunda (bu DPA, Şartlar ve Gizlilik Politikası'nda belirtildiği üzere) işler.
- Öncelik: bu DPA, Şartlar'ın bir parçasıdır; kişisel veri işlemeye ilişkin her türlü çelişkide bu DPA önceliklidir.
2. Tanımlar
Burada tanımlanmayan büyük harfli terimler, Şartlar'da verilen anlamı taşır. Bu DPA'da:
- "Müşteri Kişisel Verisi": Prodixa'nın Müşteri adına işlediği, Müşteri Verisi içindeki kişisel veriler anlamına gelir.
- "Veri Koruma Mevzuatı": bu DPA kapsamında kişisel veri işlemeye uygulanan tüm mevzuat anlamına gelir; AB ve Birleşik Krallık GDPR'ı ile Türkiye KVKK (6698 sayılı Kanun) dâhildir.
- "Veri Sorumlusu", "Veri İşleyen", "İlgili Kişi", "Kişisel Veri", "İşleme", "Kişisel Veri İhlali" ve "Alt İşleyen" terimleri, Veri Koruma Mevzuatı'nda verilen anlamı taşır.
- "Standart Sözleşme Hükümleri (SCC)": kişisel verilerin üçüncü ülkelere aktarımı için Avrupa Komisyonu tarafından onaylanan hükümler anlamına gelir.
3. İşlemenin Kapsamı ve Amacı
İşlemenin konusu, süresi, niteliği ve amacı ile kişisel veri türleri ve ilgili kişi kategorileri Ek I'de açıklanmıştır. Prodixa, Müşteri Kişisel Verisini yalnızca bu amaçlarla ve Hizmet süresince işler; yasal olarak başka türlü işlemesi gerekmedikçe — bu durumda, yasaklanmadıkça Müşteriyi bilgilendirir.
4. Müşteri Talimatları ve Sorumlulukları
- Belgelenmiş talimatlar: Prodixa, Müşteri Kişisel Verisini yalnızca Müşterinin belgelenmiş talimatları (Şartlar, bu DPA ve Müşterinin Hizmeti kullanımı ve yapılandırması dâhil) doğrultusunda işler.
- Hukuka uygunluk: Müşteri Kişisel Verisinin doğruluğundan ve hukuka uygunluğundan, gerekli tüm hak, bildirim ve rızalara sahip olmaktan (kendi son müşterilerini bilgilendirmek dâhil) Müşteri sorumludur.
- Talimat ve hukuk: Prodixa, kanaatince bir talimatın Veri Koruma Mevzuatı'nı ihlal ettiğini düşünürse Müşteriyi bilgilendirir; hukuki danışmanlık verme yükümlülüğü yoktur.
5. Gizlilik
Prodixa, Müşteri Kişisel Verisini işlemeye yetkili personelin uygun gizlilik yükümlülüklerine tabi olmasını ve verileri yalnızca Hizmeti sunmak için gerektiği ölçüde işlemesini sağlar.
6. Güvenlik Önlemleri
Prodixa; teknolojik düzeyi ve işlemenin risklerini dikkate alarak, Müşteri Kişisel Verisini kazara veya hukuka aykırı imha, kayıp, değişiklik, yetkisiz ifşa veya erişime karşı korumak için uygun teknik ve idari tedbirleri uygular ve sürdürür (GDPR md. 32). Bu tedbirlerin bir özeti Ek II'de yer alır.
7. Alt İşleme
- Genel yetki: Müşteri, Prodixa'ya Müşteri Kişisel Verisini işlemek üzere Ek III'te listelenen alt işleyenleri görevlendirme yetkisi verir.
- Yükümlülük aktarımı: Prodixa her alt işleyene, bu DPA'dakilerden daha az koruyucu olmayan veri koruma yükümlülükleri yükler ve alt işleyenlerinin performansından sorumlu kalır.
- Değişiklikler: Prodixa, bir alt işleyen eklemeden veya değiştirmeden önce (örneğin bu sayfa üzerinden veya e-posta ile) bildirimde bulunur ve Müşteriye makul veri koruma gerekçeleriyle itiraz etmesi için makul bir süre tanır.
8. Uluslararası Veri Aktarımları
Prodixa, temel Müşteri Kişisel Verisini Avrupa Birliği'nde (Frankfurt) barındırır ve Prodixa ya da alt işleyenlerinin faaliyet gösterdiği Amerika Birleşik Devletleri ile diğer ülkelere aktarabilir. Bu aktarımlar AEA, Birleşik Krallık veya Türkiye'den yeterlilik kararı bulunmayan bir ülkeye yapıldığında; Standart Sözleşme Hükümleri (ve ilgili olduğunda Birleşik Krallık Eki) ile tamamlayıcı önlemler dâhil uygun güvencelerle gerçekleştirilir.
9. İlgili Kişi Taleplerine Yardım
İşlemenin niteliğini dikkate alarak Prodixa, mümkün olduğu ölçüde uygun teknik ve idari tedbirlerle, ilgili kişilerin haklarını kullanma taleplerine yanıt vermesinde Müşteriye yardımcı olur. Prodixa böyle bir talebi doğrudan alırsa, izin verilen hâllerde ilgili kişiyi Müşteriye yönlendirir.
10. Veri Koruma Etki Değerlendirmeleri
Prodixa; işlemenin niteliğini ve kendisine sunulan bilgileri dikkate alarak, veri koruma etki değerlendirmeleri ve denetim makamlarıyla ön görüşmeler konusunda Müşteriye makul yardımı sağlar.
11. Kişisel Veri İhlali
Prodixa, Müşteri Kişisel Verisini etkileyen bir Kişisel Veri İhlalinden haberdar olduktan sonra gereksiz gecikme olmaksızın Müşteriyi bilgilendirir ve Müşterinin ihlal bildirim yükümlülüklerini yerine getirmesine yardımcı olmak için makul ölçüde elindeki bilgileri sağlar. Bu bildirim, kusur veya sorumluluk kabulü anlamına gelmez.
12. Verilerin İadesi ve Silinmesi
Hizmetin sona ermesi üzerine veya Müşterinin yazılı talebi hâlinde Prodixa, yasal saklama gerekmedikçe Müşteri Kişisel Verisini siler veya iade eder ve mevcut kopyaları siler. Rutin yedeklerdeki artık kopyalar Prodixa'nın yedekleme döngüsüne uygun olarak silinir ve silinene kadar bu DPA kapsamında korunmaya devam eder.
13. Denetimler ve Bilgi
Prodixa, bu DPA'ya uyumu göstermek için makul ölçüde gerekli bilgileri Müşteriye sunar ve Müşterinin veya görevlendirdiği bir denetçinin yürüttüğü denetimlere (incelemeler dâhil) — makul bildirim, gizlilik, sıklık sınırları ve diğer müşterilerin verisinin korunması koşuluyla — izin verir ve katkıda bulunur. Prodixa, denetim taleplerini mevcut olduğunda ilgili sertifikaları veya üçüncü taraf raporlarını sağlayarak karşılayabilir.
14. Sorumluluk
Her bir tarafın bu DPA'dan doğan veya bununla ilgili sorumluluğu, Şartlar'da belirtilen sorumluluk sınırlamaları ve istisnalarına tabidir. Bu DPA'daki hiçbir hüküm, ilgili bir kişinin Veri Koruma Mevzuatı kapsamında sahip olabileceği hakları sınırlamaz.
15. Süre
Bu DPA, Müşterinin Şartlar'ı kabul etmesiyle yürürlüğe girer ve Prodixa Müşteri adına Müşteri Kişisel Verisi işlediği sürece yürürlükte kalır. Niteliği gereği fesihten sonra da geçerli olması gereken hükümler yürürlükte kalır.
Ek I — İşlemenin Ayrıntıları
- Roller: Müşteri = veri sorumlusu; Prodixa LLC = veri işleyen.
- Konu: Prodixa'nın yapay zeka destekli müşteri operasyonları Hizmetinin sunulması.
- Süre: Müşterinin abonelik süresi boyunca ve 12. bölüm uyarınca silinene kadar.
- Nitelik ve amaç: Hizmeti işletmek için Müşteri Kişisel Verisinin barındırılması, saklanması, analiz edilmesi ve iletilmesi; müşteri yanıtlarının yapay zekayla anlaşılması ve üretilmesi ile otomasyon dâhil.
- Kişisel veri türleri: iletişim ve hesap verileri; müşteri iletişim içeriği ve üst verileri; sipariş ve ticaret verileri; ve teknik ve kullanım verileri, Gizlilik Politikası'nda açıklandığı gibi.
- İlgili kişi kategorileri: Müşterinin yetkili kullanıcıları ve Müşterinin son müşterileri.
Ek II — Teknik ve İdari Tedbirler
- Hassas kimlik bilgilerinin şifrelenmesi (yönetilen anahtar / zarf şifreleme) ve aktarım hâlindeki verilerin şifrelenmesi (TLS).
- Her mağazanın verisini ve çalışma alanını mantıksal olarak ayıran katı çok kiracılı izolasyon.
- Erişim kontrolleri, en az ayrıcalıklı erişim ve yönetimsel erişim için denetim kaydı.
- Sürekli izleme, tanılama ve olay müdahalesi.
- Fiziksel ve çevresel güvencelere sahip saygın bulut altyapısının kullanımı (AWS).
Ek III — Onaylı Alt İşleyenler
Prodixa, Müşteri Kişisel Verisini işlemek için Gizlilik Politikası'nın "Hizmet Sağlayıcılar ve Alt İşleyiciler" bölümünde listelenen alt işleyenleri (AWS, Google, Meta Platforms, Dodo Payments, Resend ve Sentry dâhil) görevlendirir. Güncel liste support@prodixa.app adresinden talep üzerine sunulur.