GDPR Madde 28 + KVKK uyumlu. Müşteri controller'dır. Gurulu processor'dur. Kaydolduğunuzda referans yoluyla kabul edilir; Kullandıkça paketinde imzalı kopya mevcuttur.
Son güncelleme · 19 Mayıs 2026
Bir Gurulu workspace'i oluşturup Müşteri event verisi ingest ederek, kuruluşunuz adına bu Veri İşleme Ekini kabul edersiniz. Free plan için manuel imza gerekmiyor — DPA referans yoluyla Kullanım Şartlarına dahil edilir. Kullandıkça müşterileri Gurulu paper template'inde karşı-imzalı kopya talep edebilir veya değişiklik müzakere edebilir. E-posta: [email protected].
Bu Ek, Müşteri (Gurulu'ya kaydolan kuruluş, data controller olarak hareket eden) ile Gurulu Bilişim (data processor olarak hareket eden) arasındadır. Müşterinin kendisi yukarı yönlü bir controller için processor olduğu durumlarda, bu Ek o düzenlemeye sub-processing zinciri olarak uzanır.
Konu: Kullanım Şartlarında tanımlanan analitik, identity, attribution ve notification hizmetlerini sunmak amacıyla Gurulu tarafından Müşteri event verisinin ve ilgili kişisel verinin işlenmesi. Süre: Temel aboneliğin süresi, artı 30 günlük post-termination export penceresi. Ondan sonra Müşteri event verisi bir sonraki planlı erasure run'da silinir, backup retention (35 gün) ve audit log retention (7 yıl) saklı tutulur.
Gurulu Müşteri adına aşağıdaki kişisel veri kategorilerini işler: • Identifier — anonymous_id, person_id, hash'lenmiş e-posta, hash'lenmiş telefon, device fingerprint. • Behavioral — event stream (page view, click, custom event), session metadata, funnel pozisyonları. • Technical — IP adresi (işleme sonrası coarse region'a kırpılır), user-agent, referrer, ekran boyutu. • Consent state — event başına 4-kategori consent snapshot (Necessary / Analytics / Marketing / Functional). Gurulu hassas kategori kişisel veri (GDPR Madde 9) gerektirmez. Müşteriler uygun safeguard'ları yapılandırmak için önce [email protected] ile iletişime geçmeden özel kategori veri göndermemelidir.
Veri sahipleri Müşterinin son kullanıcılarıdır — tipik olarak ziyaretçiler, kayıtlı kullanıcılar, müşteriler, prospect'ler ve Müşterinin web sitesi, mobil uygulaması, server-side workflow'u veya backend webhook'u ile etkileşime giren herhangi bir gerçek kişi.
Gurulu şunları taahhüt eder: • Müşteri event verisini yalnızca Müşteriden belgelenmiş talimatlar üzerine işlemek. • Müşteri event verisini işlemeye yetkili personelin gizlilikle bağlı olmasını sağlamak. • Uygun teknik ve organizasyonel önlemleri uygulamak — transit'te TLS 1.3, rest'te AES-256, Postgres RLS, RBAC, default-on audit log, bölgesel izolasyon. • Müşteriye veri sahibi taleplerine makul sürelerde cevap vermede yardım etmek. • Kişisel veri ihlalini Müşteriye gereksiz gecikme olmadan ve her halükarda farkına vardıktan sonra 72 saat içinde bildirmek. • Müşteri event verisini sözleşme sonunda yukarıdaki retention pencerelerine tabi olarak silmek veya iade etmek. • Uyumluluğu göstermek için gereken tüm bilgiyi sağlamak ve yılda birden fazla olmamak üzere (veya yasa ya da denetim makamı tarafından makul olarak daha sık gerektirildiğinde) denetimlere izin vermek.
Gurulu, Gizlilik Politikasında listelenen sub-processor'ları kullanır (Hetzner, Resend, Faz 2'den itibaren Stripe, AI fallback için AWS Bedrock). Müşteri bu sub-processor'lar için genel yetki verir. Gurulu, Müşteri event verisini işleyen bir sub-processor eklemeden veya değiştirmeden en az 30 gün önce Müşteriyi bilgilendirir. Müşteri meşru veri-koruma gerekçeleriyle itiraz edebilir. Taraflar anlaşamazsa, Müşteri etkilenen hizmeti aboneliğin kullanılmayan kısmı için pro-rata iade ile sonlandırabilir.
Müşteri event verisi Avrupa Birliği içinde işlenir (Hetzner Falkenstein primary, Helsinki failover). Bir sub-processor veriyi EEA dışında işlediğinde — bugün yalnızca AI fallback için AWS Bedrock eu-central-1 ile sınırlı (ki o da AB içinde) — AWS-internal kontrol düzlemini kapsamak için Standart Sözleşme Maddeleri yürürlüktedir. Gurulu, (a) yeterlilik kararı, (b) Standart Sözleşme Maddeleri artı transfer impact assessment veya (c) explicit Müşteri talimatı olmadan Müşteri event verisini Amerika Birleşik Devletleri, Çin veya başka herhangi bir üçüncü ülkeye transfer etmez.
Detaylı güvenlik önlemleri /security sayfasında tanımlanmıştır ve referans yoluyla dahil edilmiştir. Özetle: EU residency, tenant izolasyonu (Postgres RLS + ClickHouse tenant başına prefix), şifreleme (TLS 1.3 + AES-256), magic link + RBAC + scoped API key, hassas route'larda privacy zoning, 7 yıl retention ile default-on audit log ve 72 saat breach notification taahhüdü.
Bu Ek altındaki sorumluluk, sözleşmeyle hariç tutulamayan GDPR Madde 82 / KVKK Madde 11 altındaki zorunlu sınırlamalara tabi olarak, temel Kullanım Şartlarındaki sorumluluk sınırlama maddesine göre yönetilir ve sınırlanır.
Free plan için bu Ek workspace oluşturma anında referans yoluyla kabul edilir — manuel imza gerekmiyor. Kullandıkça müşterileri Gurulu paper template'inde karşı-imzalı PDF talep edebilir; güvenlik veya sub-processor mimarimizle çelişmediği sürece makul müşteri paper'ını da inceleyebiliriz. İmzalı kopya veya paper-form talepleri için [email protected] adresine e-posta atın. Standart turnaround 5 iş günü.
DPA soruları · [email protected]