Veri İşleme Sözleşmesi (Data Processing Agreement — DPA)
Sürüm: v1.0 | Yürürlük: 14 Haziran 2026 | Kapsam: Kurumsal (işletme/tacir) müşteriler
Kurumsal (işletme/tacir) müşteriler içindir. Tüketici mevzuatındaki cayma/garanti hükümleri uygulanmaz.
Master Studio Platformu üzerinden kurumsal Müşteri’nin (Veri Sorumlusu) kendi ilgili kişilerine ait kişisel veri işlettiği hâllerde, Master Studio’nun (Veri İşleyen) yükümlülüklerini düzenleyen; 6698 sayılı Kanun m.12 ve ilgili ikincil mevzuata uygun, GDPR m.28 ile paralel kurgulanmış Veri İşleme Sözleşmesi’dir. Yalnız B2B (kurumsal abonelik) ilişkisinde uygulanır; tüketici (B2C) ilişkisinde uygulanmaz ve Kurumsal Abonelik Sözleşmesi’nin ayrılmaz ekidir. Sözleşme; talimatla işleme, gizlilik, eğitimde-kullanmama taahhüdü, KVKK m.12 teknik/idari güvenlik tedbirleri, alt-işleyici (Google Gemini/Vertex AI, Firebase, Cloud SQL, Upstash, CDN) listesi ile bildirim/itiraz, KVKK m.9 yurt dışına aktarım güvencesi ve 5 iş günü Kurum bildirimi, ilgili kişi taleplerinde ve ihlalde yardım, en geç 72 saat içinde ihlal bildirimi, sözleşme sonunda iade/imha, denetim hakkı, kanıt/audit-trail altyapısı, versiyonlama/yeniden onay, hizmet sürekliliği ve sorumluluk (TBK m.115 saklı kayıtları ile) düzenlemelerini içerir.
1. Taraflar, Roller ve Tanımlar
1.1. İşbu Veri İşleme Sözleşmesi (“DPA” veya “Sözleşme”); bir tarafta Yeşilmen Elektronik Ticaret ve Bilişim Hizmetleri Ltd. Şti. (0951099351000001, Zincirlikuyu Vergi Dairesi / 9510993510, Esentepe Mah. Kore Şehitleri Cad. No:54 İç Kapı No:7, 34394 Şişli/İstanbul, [email protected], [email protected]) (“Master Studio” veya “Veri İşleyen”) ile diğer tarafta, Master Studio ile akdettiği Kurumsal Abonelik Sözleşmesi’nde kimlik ve künye bilgileri yer alan tüzel kişi/işletme abonesi (“Müşteri” veya “Veri Sorumlusu”) arasında akdedilmiştir. Master Studio ve Müşteri ayrı ayrı “Taraf”, birlikte “Taraflar” olarak anılır.
1.2. İşbu DPA, Taraflar arasındaki Kurumsal Abonelik Sözleşmesi’nin (“Ana Sözleşme”) ayrılmaz bir eki ve tamamlayıcı parçasıdır. Ana Sözleşme’nin imzalanması veya elektronik ortamda kabulü, işbu DPA’nın da kabulü anlamına gelir. İşbu DPA ile Ana Sözleşme arasında kişisel verilerin korunmasına ilişkin bir çelişki bulunması hâlinde, kişisel veri işlemeye dair konularda işbu DPA hükümleri öncelikle uygulanır.
1.3. İşbu DPA münhasıran B2B (kurumsal) ilişki için düzenlenmiştir ve yalnızca Müşteri’nin, Platform aracılığıyla kendi son kullanıcılarına, müşterilerine, çalışanlarına, modellerine/figüranlarına veya diğer üçüncü kişilere (ilgili kişilere) ait kişisel verileri işlediği hâllerde uygulanır. Bu durumda Müşteri veri sorumlusu (controller), Master Studio ise münhasıran Müşteri’nin yazılı talimatları doğrultusunda hareket eden veri işleyen (processor) sıfatını haizdir (6698 sayılı Kanun m.3/1-ğ ve m.12; GDPR m.28 muadili). İşbu DPA, tüketici (B2C) kullanıcılarla kurulan ilişkide uygulanmaz; bireysel/tüketici kullanıcının Platform’u kendi adına kullanması hâlinde Master Studio’nun veri işleme faaliyeti, Gizlilik Politikası ve KVKK Aydınlatma Metni ile düzenlenir.
1.4. Roller arası ayrım: Müşteri’nin yalnızca kendi tüzel kişiliği adına, kişisel veri içermeyen ürün/logo/referans görselleri yüklediği hâllerde işbu DPA uygulama alanı bulmaz. Master Studio’nun kendi müşteri ilişkisi kapsamında işlediği veriler (örneğin Müşteri’nin yetkili kullanıcılarının hesap/fatura/iletişim verileri, kullanım kayıtları ve analitik veriler) bakımından ise Master Studio kendi veri sorumlusu sıfatıyla hareket eder ve bu işleme Master Studio Gizlilik Politikası ile KVKK Aydınlatma Metni’ne tabidir; söz konusu işleme işbu DPA kapsamı dışındadır.
1.5. İşbu DPA’da büyük harfle başlayan tanımlı terimler, aşağıda kendilerine atfedilen anlamı taşır; ayrıca tanımlanmamış terimler Ana Sözleşme’de ve ilgili mevzuatta tanımlandığı anlamda kullanılır. Tanımlı terimler işbu DPA, Ana Sözleşme ve diğer Master Studio yasal belgeleri (Kullanım Koşulları, Gizlilik Politikası, AUP) ile tutarlı biçimde kullanılır.
- Kanun / KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili ikincil mevzuat (yönetmelik, tebliğ, Kurul karar, ilke karar ve rehberleri).
- Kurul / Kurum: Kişisel Verileri Koruma Kurulu / Kişisel Verileri Koruma Kurumu.
- Platform / Hizmet: Master Studio tarafından sunulan; Kullanıcı’nın ürün görseli ile (varsa) logo/referans görseli yüklediği ve yapay zekânın bir AI Manken ve/veya sahne üzerinde ürün fotoğrafı (Çıktı) ürettiği, kredi ve abonelik esaslı yazılım hizmeti.
- Kullanıcı: Müşteri adına ve hesabına Platform’u kullanan gerçek kişi (Yetkili Kullanıcı dâhil).
- Girdi: Kullanıcı’nın Platform’a yüklediği ürün görseli, metin/prompt ve sair veri.
- Referans Görsel: Kullanıcı’nın yönlendirme amacıyla yüklediği logo, marka veya stil görseli.
- Kullanıcı İçeriği: Girdi ve Referans Görsel dâhil, Müşteri/Kullanıcı tarafından Platform’a yüklenen her türlü içerik.
- AI Manken: Yapay zekâ tarafından üretilen, tamamen kurgusal sentetik insan figürü.
- Çıktı: Hizmet sonucunda üretilen görsel.
- Krediler: Hizmet’in kullanımı için tahsis edilen kullanım birimleri.
- AUP: Master Studio Kabul Edilebilir Kullanım Politikası.
- Müşteri Kişisel Verisi: Müşteri tarafından veya Müşteri adına Platform’a aktarılan, işbu DPA kapsamında Master Studio tarafından Müşteri adına işlenen kişisel veriler (Girdi/Referans Görsel/Kullanıcı İçeriği içinde yer alan gerçek kişiye ait veriler dâhil).
- AI Sağlayıcı: Çıktı’nın üretiminde kullanılan, yurt dışında (Amerika Birleşik Devletleri) yerleşik üçüncü taraf yapay zekâ altyapı sağlayıcısı (Google Gemini / Google Vertex AI).
- Alt-İşleyici (Sub-processor): Master Studio’nun, Müşteri Kişisel Verisi’ni işbu DPA kapsamında işlemek üzere yararlandığı üçüncü taraf veri işleyen.
- İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
- Kişisel Veri İhlali: İşlenen kişisel verinin hukuka aykırı olarak başkaları tarafından elde edilmesi dâhil, verinin güvenliğini, gizliliğini, bütünlüğünü veya erişilebilirliğini tehlikeye atan olay.
- Standart Sözleşme: Kurul tarafından ilan edilen ve KVKK m.9 kapsamında yurt dışına aktarım için uygun güvence teşkil eden tip/standart sözleşme metni.
- İşleme: Kişisel veriler üzerinde gerçekleştirilen, Kanun m.3/1-e’de tanımlanan her türlü işlem.
2. Sözleşmenin Konusu, Niteliği, Amacı, Süresi, Veri Kategorileri ve İlgili Kişi Grupları
2.1. Konu ve amaç: İşbu DPA, Müşteri’nin veri sorumlusu sıfatıyla belirlediği amaç ve kapsam doğrultusunda, Master Studio tarafından Platform/Hizmet’in sunulması amacıyla gerçekleştirilen Müşteri Kişisel Verisi işleme faaliyetinin esas ve usullerini düzenler. Master Studio, Müşteri Kişisel Verisi’ni yalnızca Hizmet’in sunulması, sürdürülmesi ile işbu DPA ve Ana Sözleşme’nin ifası amacıyla işler.
2.2. İşlemenin konusu ve niteliği (işleme türleri): Müşteri Kişisel Verisi’nin toplanması, kaydedilmesi, sunucu/bulut altyapısında saklanması, AI Sağlayıcı’ya ve diğer Alt-İşleyiciler’e Hizmet’in ifası amacıyla aktarılması/iletilmesi, Çıktı üretimi için yapay zekâ ile işlenmesi, görüntülenmesi, güvenliğinin sağlanması ve süresi sonunda iade veya imha edilmesi işleme faaliyetlerini kapsar.
2.3. İşlemenin süresi: İşbu DPA, Ana Sözleşme süresince yürürlüktedir. Master Studio, Müşteri Kişisel Verisi’ni Hizmet’in ifası için gereken süre ile sınırlı olarak ve işbu DPA’nın 11. maddesi (Sözleşme Sonunda İade/İmha) hükümleri saklı kalmak kaydıyla işler.
2.4. İşleme amaçlarının sınırlandırılması: Master Studio, Müşteri Kişisel Verisi’ni yalnızca işbu DPA’da ve Müşteri’nin yazılı talimatlarında belirtilen amaçlarla işler. Master Studio, Müşteri Kişisel Verisi’ni kendi yapay zekâ modellerinin veya herhangi bir makine öğrenmesi modelinin geliştirilmesinde, eğitilmesinde, doğrulanmasında veya ince ayarında KULLANMAZ; bu verileri satmaz, kiralamaz, pazarlama amacıyla üçüncü taraflarla paylaşmaz ve başka kullanıcıların erişimine açmaz. İşbu taahhüt, Master Studio’nun kişisel veri içermeyen, toplulaştırılmış/anonimleştirilmiş kullanım istatistiklerini Hizmet’in iyileştirilmesi amacıyla işlemesine engel teşkil etmez.
- İşlenen veri kategorileri (Müşteri’nin yüklediği içeriğe göre değişebilir): Kimlik ve görsel veriler (Girdi/Referans Görsel/Kullanıcı İçeriği içinde yer alabilecek gerçek kişi görüntüsü, fiziksel görünüm); Müşteri’nin sağladığı metin/prompt içeriğindeki kişisel veriler; teknik/işlem kayıtları (Hizmet’in sunulması sırasında oluşan log, IP, zaman damgası verileri — yalnızca işleme bu verilerle ilişkilendirildiği ölçüde).
- Özel nitelikli veri uyarısı: Kullanıcı İçeriği’nde gerçek bir kişinin yüz görüntüsü yer alır ve bu görüntü yüz tanıma/eşleme amacıyla teknik işlemeye tabi tutulursa, ilgili veri biyometrik veri niteliğinde özel nitelikli kişisel veri sayılabilir (Kanun m.6). Master Studio, Hizmet kapsamında biyometrik kimlik tespiti/yüz eşleme amacı gütmez; özel nitelikli veri içeren içeriğin Platform’a yüklenmesi hâlinde gerekli açık rıza/hukuki sebebin temini münhasıran Müşteri’nin sorumluluğundadır (bkz. madde 3).
- İlgili kişi grupları: Müşteri’nin son kullanıcıları, müşterileri, çalışanları, modelleri/figüranları ve Müşteri’nin yüklediği içeriklerde yer alabilecek diğer gerçek kişiler.
- İşlemenin hukuki sebebi (Müşteri tarafından belirlenir): İşbu DPA kapsamında işlemenin hukuki sebebini, amacını ve meşruiyetini tayin etmek veri sorumlusu sıfatıyla Müşteri’ye aittir; Master Studio bu sebebin varlığını ve yeterliliğini denetlemekle yükümlü değildir.
3. Müşteri’nin (Veri Sorumlusu) Yükümlülükleri ve Beyanları
3.1. Müşteri, Platform aracılığıyla işlediği Müşteri Kişisel Verisi bakımından veri sorumlusu sıfatıyla; kişisel verilerin toplanması, işlenmesi ve Master Studio’ya aktarılmasında Kanun başta olmak üzere yürürlükteki tüm mevzuata uyacağını kabul, beyan ve taahhüt eder.
3.2. Müşteri, Master Studio’ya verdiği talimatların ve Platform’a yüklenen içeriklerin işlenmesinin hukuka uygunluğundan münhasıran sorumludur; verdiği talimatların Kanun’a ve ilgili mevzuata aykırı olmamasını sağlar.
3.3. İspat yükü: Aydınlatma yükümlülüğünün yerine getirildiğinin ve geçerli açık rızanın/uygun hukuki sebebin varlığının ispatı, veri sorumlusu sıfatıyla Müşteri’ye aittir (Kanun m.10 ve m.5/6). Master Studio’nun işbu DPA’nın 4.5 maddesi uyarınca tuttuğu işleme/kanıt kayıtları, Müşteri’nin bu ispat yükünü ikame etmez.
- Müşteri, işlediği kişisel veriler bakımından gerekli aydınlatmayı yapmış ve gereken hâllerde geçerli açık rızayı veya başkaca uygun hukuki sebebi temin etmiş olduğunu taahhüt eder; bu yükümlülük, içeriklerde yer alan üçüncü kişilerin (son kullanıcı, model, çalışan vb.) rıza/izinlerinin alınmasını da kapsar.
- Müşteri, özel nitelikli kişisel veri (Kanun m.6) içeren içeriklerin Platform’a yüklenmesi hâlinde, bu işleme için Kanun’da öngörülen ek koşulların (kural olarak açık rıza) sağlanmasından sorumludur.
- Müşteri, Master Studio’ya yalnızca Hizmet’in ifası için gerekli ve ölçülü kişisel veriyi aktarır (veri minimizasyonu — Kanun m.4); gereksiz veya amaç dışı kişisel veri aktarmamaya özen gösterir.
- Müşteri, kendi son kullanıcılarına/ilgili kişilerine karşı aydınlatma yükümlülüğü, açık rıza yönetimi, ilgili kişi başvurularının esastan değerlendirilmesi ve gerektiğinde Kurum’a/ilgili kişilere bildirim yapılması yükümlülüklerinin nihai sahibidir.
- Müşteri, kendi aktarımı (Müşteri → Master Studio ve devamında yurt dışı AI Sağlayıcı’ya aktarım) bakımından KVKK m.9’da öngörülen aydınlatma, uygun güvence ve gereken hâllerde Kurum’a bildirim yükümlülüklerini yerine getirir (bkz. madde 7).
- Müşteri, Master Studio’ya verdiği işleme talimatlarını yazılı/belgelenebilir olarak (Ana Sözleşme, işbu DPA, Platform yapılandırma seçimleri ve Master Studio’nun belirlediği iletişim kanalları üzerinden gönderilen yazılı bildirimler dâhil) verir.
- Müşteri, AUP ve Ana Sözleşme’ye uygun davranmayı; Platform’a hukuka aykırı, üçüncü kişilerin telif/marka/tasarım/kişilik haklarını ihlal eden ya da gerekli rıza/izinleri alınmamış içerik yüklememeyi taahhüt eder.
- Müşteri, gerçek/tanınmış bir kişiyi tanımlanabilir biçimde betimleyen Çıktı üretimi amacıyla isim, fiziksel tarif, referans görsel veya prompt kullanılmaması yükümlülüğünün; AI Manken’lerin kurgusal olduğunun ve gerçek bir kişiye benzer ticari kullanım sorumluluğunun (TMK m.24-25) kendisine ait olduğunu kabul eder (bkz. Ana Sözleşme ve AUP).
4. Master Studio’nun (Veri İşleyen) Yükümlülükleri ve Talimatla İşleme
4.1. Talimatla işleme: Master Studio, Müşteri Kişisel Verisi’ni yalnızca Müşteri’nin işbu DPA, Ana Sözleşme ve Platform üzerinden verdiği yazılı/belgelenebilir talimatları doğrultusunda işler. Master Studio, açıkça bir hukuki yükümlülükle (Kanun, mahkeme/idari makam kararı vb.) zorunlu kılınmadıkça, talimat dışında veya kendi amaçları için Müşteri Kişisel Verisi’ni işlemez. Böyle bir hukuki yükümlülük hâlinde Master Studio, hukuken yasak olmadıkça, işlemeden önce Müşteri’yi bilgilendirir.
4.2. Talimatın hukuka aykırılığı: Master Studio, Müşteri’nin bir talimatının Kanun’a veya ilgili mevzuata aykırı olduğu kanaatine varırsa, durumu gecikmeksizin Müşteri’ye bildirir. Master Studio, açıkça hukuka aykırı olduğunu tespit ettiği talimatları yerine getirmekten imtina edebilir; bu imtina nedeniyle Hizmet’in tamamen veya kısmen sunulamaması hâlinde Master Studio’nun sorumluluğu doğmaz (kasıt ve ağır kusur hâlleri saklıdır).
4.3. Amaç sınırlaması ve eğitimde kullanmama taahhüdü: Master Studio, Müşteri Kişisel Verisi’ni yalnızca Hizmet’in sunulması amacıyla işler; bu verileri kendi yapay zekâ modellerinin veya herhangi bir modelin eğitiminde/geliştirilmesinde/ince ayarında kullanmaz, satmaz, kiralamaz ve pazarlama amacıyla üçüncü kişilere açmaz (madde 2.4 ile uyumlu).
4.4. AI Sağlayıcı politikalarına uyum (back-to-back): Master Studio, AI Sağlayıcı’nın Müşteri Kişisel Verisi’ni yalnızca Çıktı üretimi amacıyla ve Master Studio’nun veri koruma yükümlülükleriyle bağdaşır biçimde işlemesini, ücretli (paid) servis katmanında ve sağlayıcının kendi yapay zekâ modellerinin eğitiminde kullanılmaması esasıyla temin etmeye yönelik makul tedbirleri alır.
4.5. Veri işleme ve kanıt kayıtları: Master Studio, Müşteri adına gerçekleştirdiği işleme faaliyetlerine ilişkin mevzuatın öngördüğü kayıtları ve onay/işlem kanıt kayıtlarını (append-only/değiştirilemez nitelikte; asgari olarak işlem zamanı, kullanıcı kimliği, işlem türü ve ilgili belge versiyonu) tutar ve denetim/uyum amacıyla Müşteri’nin makul talebi üzerine işbu DPA’nın 10. maddesi çerçevesinde paylaşır.
- Gizlilik taahhüdü: Master Studio, Müşteri Kişisel Verisi’ne erişimi olan tüm çalışanlarının, organlarının ve yararlandığı üçüncü kişilerin, kişisel verileri yasal düzenlemelere uygun şekilde işlemelerini sağlamak ve verileri Kanun hükümlerine aykırı olarak başkasına açıklamamaları ile işleme amacı dışında kullanmamaları yönünde süresiz gizlilik yükümlülüğü altına alınmasını temin eder (Kanun m.12/3). Bu gizlilik yükümlülüğü Sözleşme sona erse dahi devam eder.
- Erişim sınırlaması: Müşteri Kişisel Verisi’ne erişim, yalnızca görevi gereği erişimi gerekli olan personel ile sınırlı tutulur (need-to-know / bilmesi gereken ilkesi).
- Yardım yükümlülüğü: Master Studio, işbu DPA’nın 6. (Güvenlik), 8. (İlgili Kişi Talepleri) ve 9. (İhlal Bildirimi) maddeleri kapsamında Müşteri’nin Kanun’dan doğan yükümlülüklerini yerine getirebilmesi için makul ölçüde ve teknik imkânları dâhilinde yardımcı olur.
- Dürüstlük ve bilgilendirme: Master Studio, işbu DPA kapsamındaki yükümlülüklerini etkileyebilecek önemli gelişmeler (yeni Alt-İşleyici, mevzuat değişikliği gereği ek tedbir vb.) hakkında Müşteri’yi makul süre içinde bilgilendirir.
- Çıktı’ya ilişkin sınır: İşbu DPA kişisel veri işlemeyi düzenler; Çıktı’nın doğruluğu, ürün/marka sadakati, fikrî mülkiyet niteliği ve kalitesine ilişkin hak ve yükümlülükler ile Çıktı’nın “olduğu gibi” (as-is) sunulduğu yönündeki düzenlemeler Ana Sözleşme ve Kullanım Koşulları’na tabidir; QA/kalite skorları bilgilendirme amaçlı olup bir kalite garantisi teşkil etmez.
5. Versiyonlama, Yeniden Onay ve Kanıt Altyapısı
5.1. Versiyonlama: İşbu DPA ile Müşteri’nin tabi olduğu Master Studio yasal belgeleri (Kullanım Koşulları, Gizlilik Politikası, Aydınlatma Metni, AUP) bir versiyon numarası, yürürlük tarihi ve içerik bütünlüğünü doğrulayan içerik özeti (content hash) ile yayımlanır. Müşteri’nin/Kullanıcı’nın hangi versiyonu kabul ettiği kanıt kayıtlarına bağlanır.
5.2. Esaslı değişiklik ve yeniden onay: Veri korumasını esaslı şekilde etkileyen değişiklikler (yeni işleme amacı, yeni AI Sağlayıcı veya yeni yurt dışına aktarım, güvenlik düzeyinde esaslı değişiklik) hâlinde Master Studio, değişikliği makul süre önce Müşteri’ye bildirir ve gerektiğinde girişte/uygulama içinde yeniden onay alır. Önemsiz değişikliklerde bilgilendirme ve “okudum” niteliğinde teyit yeterli olabilir.
5.3. Kanıt kayıtları (audit-trail): Master Studio, işbu DPA kapsamındaki onay/talimat/işlem olaylarına ilişkin append-only (eklemeli, değiştirilemez/silinemez) kanıt kayıtlarını tutmak üzere makul teknik altyapıyı sağlar. Kayıtlar asgari olarak işlem zamanı, kullanıcı kimliği, ilgili belge versiyonu ve işlemin bağlamını içerir. Bu altyapı, Müşteri’nin Kanun’dan doğan ispat yükünü ortadan kaldırmaz; Müşteri kendi ilgili kişilerine yönelik aydınlatma/açık rıza ispatından sorumlu olmaya devam eder (madde 3.3).
6. Güvenlik Tedbirleri (Kanun m.12)
6.1. Master Studio, Müşteri Kişisel Verisi’nin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı erişilmesini önlemek ile verilerin muhafazasını sağlamak amacıyla; verinin niteliği, işlemenin yarattığı riskler ve teknolojik imkânlar gözetilerek uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alır (Kanun m.12/1).
6.2. Master Studio, alınan teknik ve idari tedbirlerin yeterliliğini periyodik olarak gözden geçirir ve teknolojik gelişmelere göre günceller. Aşağıdaki tedbirler asgari nitelikte olup tüketici (sınırlayıcı) sayım değildir; Master Studio gerektiğinde ilave tedbirler alır.
6.3. Master Studio, kişisel veri içeren Kullanıcı İçeriği’ni sunucu/bulut tarafında şifreli ve erişim kontrollü saklama esasını benimser; kişisel veri içeren içeriğin korumasız veya uçtan uca güvenliği sağlanmayan istemci tarafı depolama alanlarında kalıcı olarak tutulmamasını gözetir.
- İdari tedbirler: kişisel veri envanteri ve işleme kayıtları; personel için gizlilik taahhütnameleri ve farkındalık eğitimleri; erişim yetkilendirme ve yetki matrisi; politika ve prosedürlerin (saklama-imha, ihlal müdahale, erişim) belgelenmesi; Alt-İşleyici seçim ve denetim süreçleri.
- Teknik tedbirler: aktarım sırasında (in-transit) ve mümkün olan yerlerde durağan hâlde (at-rest) şifreleme; rol bazlı erişim kontrolü ve kimlik doğrulama; ağ güvenliği (güvenlik duvarı, sızma testleri/güvenlik taramaları); kayıt tutma ve izleme (loglama); yedekleme ve felaketten kurtarma; güncel yama ve zafiyet yönetimi; gerektiğinde takma adlandırma/maskeleme.
- Hizmet sürekliliği: yetkisiz erişim, kayıp, değişiklik ve ifşaya karşı makul önlemler; olağanüstü hâllerde verilere yeniden erişilebilirliğin makul süre içinde sağlanmasına yönelik tedbirler.
- Master Studio, Müşteri’nin makul talebi üzerine, aldığı teknik ve idari tedbirlere ilişkin özet bilgi/dokümantasyonu (Ek-2) işbu DPA’nın 10. maddesi (Denetim Hakkı) çerçevesinde sağlar.
7. Alt-İşleyiciler (Sub-processors)
7.1. Müşteri, Master Studio’nun Hizmet’in sunulması amacıyla aşağıda listelenen Alt-İşleyiciler’den yararlanmasına genel olarak onay verir. Alt-İşleyiciler, yalnızca Hizmet’in ifası için gerekli olan işleme faaliyetlerini yürütür.
7.2. Master Studio, her Alt-İşleyici ile, işbu DPA’da yer alan veri koruma yükümlülükleriyle esasen aynı düzeyde koruma sağlayan yazılı bir sözleşme akdeder ve Alt-İşleyici’nin kişisel veri koruma yükümlülüklerine uymasından Müşteri’ye karşı sorumlu olmaya devam eder (zincirleme sorumluluk).
7.3. Yeni Alt-İşleyici eklenmesi ve itiraz hakkı: Master Studio, yeni bir Alt-İşleyici eklemeyi veya mevcut bir Alt-İşleyici’yi değiştirmeyi planladığında, değişiklik yürürlüğe girmeden önce makul bir süre içinde (asgari 30 (otuz) gün) Müşteri’yi bilgilendirir. Müşteri, veri korumasına ilişkin makul ve haklı gerekçelerle, bildirim tarihinden itibaren makul süre içinde değişikliğe yazılı olarak itiraz edebilir.
7.4. İtirazın sonucu: Müşteri’nin haklı itirazı hâlinde Taraflar iyi niyetle makul bir çözüm (alternatif Alt-İşleyici, ek güvence veya ilgili işlevin sınırlandırılması) arar. Makul bir çözüme ulaşılamaması ve Master Studio’nun ilgili Alt-İşleyici olmaksızın Hizmet’i sunamaması hâlinde, Taraflardan her biri etkilenen Hizmet bileşeni bakımından Ana Sözleşme’yi haklı sebeple feshedebilir; bu fesih Müşteri için tek başına bir tazminat hakkı doğurmaz (kasıt ve ağır kusur hâlleri ile mevzuattan doğan emredici sorumluluk hâlleri saklıdır).
- Google Gemini / Google Vertex AI (AI Sağlayıcı) — yurt dışı (ABD): Girdi, Referans Görsel ve prompt verilerinin yapay zekâ ile işlenerek Çıktı üretilmesi. Ücretli (paid) servis katmanında işlenir; ücretsiz tier kullanılmaz.
- Google Firebase / Firebase Authentication — kimlik doğrulama ve hesap altyapısı (yurt dışı barındırma olabilir).
- Cloud SQL (yönetilen veritabanı) — uygulama verisinin ilişkisel veritabanında saklanması.
- Upstash (Redis) — önbellek/oturum/kuyruk altyapısı.
- İçerik dağıtım ağı / barındırma sağlayıcısı (CDN / Vercel veya muadili) — uygulama ve görsel varlıklarının sunulması/barındırılması.
- Güncel ve eksiksiz Alt-İşleyici listesi; sağlayıcı, işleme amacı, veri kategorisi ve barındırma lokasyonu bilgileriyle birlikte işbu DPA’nın eki (Ek-1) ve/veya çevrimiçi sayfası olarak tutulur ve güncel tutulur; sağlayıcı değişikliklerinde liste güncellenir ve madde 7.3 uyarınca bildirilir.
8. Yurt Dışına Aktarım Güvencesi (Kanun m.9)
8.1. Müşteri, Hizmet’in niteliği gereği, Girdi/Referans Görsel/Kullanıcı İçeriği’nin ve ilgili prompt verilerinin, Çıktı üretimi amacıyla yurt dışında (ABD) yerleşik AI Sağlayıcı’ya (Google Gemini / Vertex AI) ve gerektiğinde diğer yurt dışı Alt-İşleyiciler’e aktarıldığını açıkça bilir. Bu husus, kişisel veri içeren içerikler bakımından bir yurt dışına aktarım teşkil eder.
8.2. Master Studio, kendi yararlandığı yurt dışı Alt-İşleyiciler bakımından, Kanun m.9’da öngörülen aktarım rejimine uygunluğu sağlamak üzere makul tedbirleri alır. Yeterlilik kararı bulunmayan hâllerde aktarım, uygun güvencelere — özellikle Kurul tarafından ilan edilen Standart Sözleşme’ye veya diğer uygun güvence yöntemlerine — dayandırılır.
8.3. Bildirim yükümlülüğü: Master Studio, kendisi ile yurt dışı Alt-İşleyici arasında Standart Sözleşme imzalanması hâlinde, mevzuatın öngördüğü süre içinde (imza tarihinden itibaren beş iş günü) Kurum’a gerekli bildirimi yapmaktan, kendi aktarım ilişkisi bakımından sorumludur.
8.4. Müşteri’nin yükümlülüğü: Müşteri’nin kendi veri sorumlusu sıfatıyla, kendi ilgili kişilerine yönelik aydınlatma yapma, kendi aktarımı bakımından Kanun m.9 dayanağını (uygun güvence ve gereken hâllerde Kurum’a bildirim) tesis etme yükümlülüğü saklıdır. Sürekli/sistematik aktarımlarda açık rıza birincil ve sürdürülebilir dayanak olamayacağından, Müşteri uygun güvence yöntemini (Standart Sözleşme/taahhütname vb.) esas alır. İşbu DPA, Master Studio ile Müşteri arasındaki aktarım ilişkisi bakımından uygun güvence niteliğindeki düzenlemeleri içerir; aktarım rejiminin nihai uygunluğunun teyidi konusunda Taraflar iyi niyetle iş birliği yapar.
8.5. Mevzuatın yurt dışına aktarım rejiminde yapacağı değişiklikler (yeterlilik kararı ilanı, Standart Sözleşme metni güncellemesi, bildirim süre/usul değişikliği vb.) hâlinde Taraflar, uygunluğu korumak için gerekli güncellemeleri iyi niyetle yapar.
9. İlgili Kişi Taleplerinde ve Yükümlülüklerde Yardım
9.1. Master Studio, doğrudan kendisine ulaşan ve Müşteri Kişisel Verisi’ne ilişkin bir İlgili Kişi talebini (Kanun m.11 kapsamındaki erişim, düzeltme, silme, işlemenin sınırlandırılması, itiraz vb.) esastan yanıtlamaz; bu talebi gecikmeksizin ilgili veri sorumlusu olan Müşteri’ye yönlendirir. Talebin esastan değerlendirilmesi ve yanıtlanması Müşteri’ye aittir.
9.2. Master Studio, Müşteri’nin İlgili Kişi taleplerini Kanun’un öngördüğü süre ve usulde karşılayabilmesi için, teknik ve idari imkânları ölçüsünde, uygun teknik ve organizasyonel tedbirlerle Müşteri’ye makul yardımda bulunur (ilgili veriye erişim, düzeltme, silme veya çıktı sağlama gibi).
- Master Studio, Müşteri’nin yazılı talebi üzerine, belirli bir İlgili Kişi’ye ait Müşteri Kişisel Verisi’ne erişim, bu verinin düzeltilmesi, silinmesi veya Müşteri’ye iadesi/çıktısının sağlanması konusunda makul desteği sunar.
- Master Studio, Müşteri’nin Kanun m.12 (veri güvenliği), veri ihlali bildirimi, gerektiğinde veri koruma etki değerlendirmesi ve Kurum ile yapılacak ön görüşmelere ilişkin yükümlülüklerini yerine getirebilmesi için, kendi işleme faaliyetiyle sınırlı bilgileri makul ölçüde sağlar.
- Master Studio, işbu madde kapsamındaki yardım faaliyetlerinin Hizmet’in olağan kapsamını aşan, tekrar eden veya orantısız ölçüde kaynak gerektiren talepler olması hâlinde, makul ve önceden bildirilen bir ücret talep edebilir (kasıt ve ağır kusur hâlleri ile mevzuattan doğan zorunlu yükümlülükler saklıdır).
- Master Studio, bir kamu kurumu/yargı merciinden Müşteri Kişisel Verisi’ne ilişkin bağlayıcı bir talep alması hâlinde, hukuken yasak olmadıkça Müşteri’yi gecikmeksizin bilgilendirir.
10. Kişisel Veri İhlali Bildirimi (72 Saat Zinciri)
10.1. Master Studio, Müşteri Kişisel Verisi’ni etkileyen bir Kişisel Veri İhlali’nden haberdar olduğunda, durumu gecikmeksizin ve her hâlükârda ihlali öğrendiği andan itibaren en geç yetmiş iki (72) saat içinde Müşteri’ye bildirir. Bu bildirim, Müşteri’nin veri sorumlusu sıfatıyla Kurum’a ve gereken hâllerde ilgili kişilere yapacağı bildirimlerin (Kurul’un öngördüğü süre içinde) zamanında gerçekleştirilebilmesini teminen yapılır.
10.2. Bildirim usulü: İhlal bildirimi, Müşteri’nin Ana Sözleşme’de belirttiği yetkili iletişim/KEP adresine yapılır. İhlalin tüm detaylarına 72 saat içinde ulaşılamaması hâlinde Master Studio, eldeki bilgilerle ilk bildirimi yapar ve eksik bilgileri makul gecikme olmaksızın aşamalı olarak tamamlar.
10.3. Master Studio, ihlalin etkilerini azaltmak ve tekrarını önlemek için makul tüm tedbirleri alır ve aldığı tedbirler hakkında Müşteri’yi bilgilendirir; Müşteri’nin ihlal yönetimi ve müdahalesi konusunda makul ölçüde iş birliği yapar.
- İhlal bildirimi asgari olarak şu bilgileri içerir (mevcut olduğu ölçüde): ihlalin niteliği, etkilenen İlgili Kişi grupları ve yaklaşık sayısı, etkilenen kayıt türleri ve yaklaşık sayısı.
- İhlalin muhtemel sonuçları ve etkileri.
- İhlali gidermek/etkilerini azaltmak için alınan veya alınması önerilen tedbirler.
- İletişim kurulabilecek irtibat noktası bilgileri.
11. Denetim Hakkı
11.1. Master Studio, işbu DPA’da öngörülen yükümlülüklere uyumunu gösterebilmek için gerekli bilgileri Müşteri’nin makul talebi üzerine sağlar.
11.2. Müşteri, kişisel veri koruma yükümlülüklerine uyumu doğrulamak amacıyla, yılda en fazla bir kez ve makul kapsamla sınırlı olmak üzere denetim yaptırma hakkına sahiptir. Denetim hakkı, mevzuatın veya yetkili bir denetim makamının zorunlu kıldığı ek denetimler ile somut ve haklı bir Kişisel Veri İhlali şüphesinin bulunduğu hâller için saklıdır.
11.3. Denetim usulü: Denetim, en az 30 (otuz) gün önceden yazılı bildirimle, Master Studio’nun normal iş saatlerinde, Hizmet’in ve diğer müşterilerin verilerinin güvenliğini ve gizliliğini bozmayacak şekilde ve makul süre içinde gerçekleştirilir. Master Studio, denetimi öncelikle güncel bağımsız denetim raporları, sertifikalar ve uyum dokümantasyonu sağlayarak karşılayabilir; bu belgeler denetim amacını makul ölçüde karşıladığı sürece yerinde denetim talep edilmez.
11.4. Denetimi gerçekleştiren Müşteri ve görevlendireceği denetçiler, denetim sırasında eriştikleri tüm bilgiler bakımından gizlilik yükümlülüğü altındadır; denetçinin Master Studio’nun rakibi olmaması ve gizlilik taahhüdünü imzalaması koşulu aranabilir. Denetim, Master Studio’nun ticari sırlarını, diğer müşterilerinin kişisel verilerini ve gizli bilgilerini ifşa etmeyecek şekilde yürütülür. Olağan kapsamı aşan denetimlerin makul masrafları Müşteri’ye aittir (Master Studio’nun işbu DPA’ya veya mevzuata aykırılığının tespit edildiği hâller saklıdır).
12. Sözleşmenin Sona Ermesinde İade ve İmha
12.1. Ana Sözleşme’nin ve/veya işbu DPA’nın herhangi bir nedenle sona ermesi hâlinde Master Studio, Müşteri’nin tercihine bağlı olarak, Müşteri Kişisel Verisi’ni Müşteri’ye iade eder veya imha eder (siler, yok eder veya anonim hâle getirir) ve mevcut kopyaları imha eder.
12.2. Müşteri, sona erme tarihinden itibaren makul süre içinde (asgari 30 (otuz) gün) iade mi yoksa imha mı talep ettiğini Master Studio’ya yazılı olarak bildirir. Bu süre içinde Müşteri tarafından bir tercih bildirilmemesi hâlinde Master Studio, makul süre içinde verileri imha eder (mevzuatın saklamayı zorunlu kıldığı hâller saklıdır).
12.3. İmha, Master Studio’nun Kişisel Veri Saklama ve İmha Politikası’na ve mevzuata uygun yöntemlerle gerçekleştirilir. Yedekleme ortamlarındaki kopyalar, ilk silme/yok etme işleminden sonra teknik olarak mümkün olan ilk yedekleme döngüsünde imha edilir; bu süre boyunca ilgili veriler erişime kapalı tutulur.
12.4. Saklama zorunluluğu istisnası: Master Studio, mevzuat gereği saklamakla yükümlü olduğu verileri, yalnızca ilgili yükümlülük süresince ve yalnızca bu amaçla saklayabilir; bu süre boyunca işbu DPA’nın gizlilik ve güvenlik hükümleri uygulanmaya devam eder. Master Studio, Müşteri’nin yazılı talebi üzerine iade ve/veya imhanın gerçekleştirildiğini yazılı olarak teyit eder.
13. Gizlilik
13.1. Master Studio, Müşteri Kişisel Verisi’ni ve işbu DPA kapsamında öğrendiği Müşteri’ye ait her türlü bilgiyi gizli tutar; Hizmet’in ifası ve işbu DPA’nın gereği dışında üçüncü kişilere açıklamaz ve amaç dışı kullanmaz.
13.2. Gizlilik yükümlülüğü, işbu DPA ve Ana Sözleşme sona erse dahi süresiz olarak devam eder. Master Studio, Müşteri Kişisel Verisi’ne erişimi olan personelinin ve Alt-İşleyicileri’nin de aynı kapsamda gizlilik yükümlülüğü altında olmasını sağlar (Kanun m.12/3).
13.3. Hukuken zorunlu açıklama: Master Studio’nun, yürürlükteki mevzuat veya yetkili bir kamu/yargı makamının bağlayıcı kararı gereği bilgi açıklamak zorunda kalması hâli gizlilik ihlali sayılmaz; bu hâlde Master Studio, hukuken yasak olmadıkça Müşteri’yi gecikmeksizin bilgilendirir ve açıklamayı gerekli olanla sınırlı tutar.
14. Hizmet Sürekliliği ve Üçüncü Taraf Altyapı Bağımlılığı
14.1. Müşteri, Hizmet’in sunulmasının; AI Sağlayıcı ve diğer Alt-İşleyiciler dâhil üçüncü taraf altyapı, model ve servislere bağımlı olduğunu kabul eder. Master Studio, bu altyapıların kesintisiz, hatasız veya değişmeden sunulacağını garanti etmez.
14.2. AI Sağlayıcı veya bir Alt-İşleyici kaynaklı kesinti, kota/kullanım sınırı, fiyatlandırma değişikliği, model/servis kaldırılması veya değiştirilmesi ya da sağlayıcının politika değişiklikleri nedeniyle Hizmet’in veya bir bileşeninin geçici ya da kalıcı olarak sunulamaması hâlinde, Master Studio bu durumun veri koruma yükümlülükleri üzerindeki etkisini makul süre içinde gidermeye çalışır; ancak bu tür dış kaynaklı olaylardan doğan dolaylı/sonuçsal zararlardan Master Studio sorumlu değildir (kasıt ve ağır kusur hâlleri ile mevzuattan doğan emredici sorumluluk hâlleri saklıdır).
14.3. Bu madde, Master Studio’nun işbu DPA’nın 6. maddesi (Güvenlik Tedbirleri), 9. maddesi (İlgili Kişi Talepleri), 10. maddesi (İhlal Bildirimi) ve 12. maddesi (İade/İmha) kapsamındaki yükümlülüklerini ortadan kaldırmaz; bu yükümlülükler, dış kaynaklı kesintiden bağımsız olarak teknik imkânlar ölçüsünde sürdürülür.
15. Sorumluluk
15.1. Taraflardan her biri, işbu DPA kapsamındaki kendi yükümlülüklerinin ihlalinden ve kendi kusurundan kaynaklanan zararlardan sorumludur. Müşteri’nin veri sorumlusu sıfatından doğan yükümlülükleri (aydınlatma, hukuki sebep/açık rıza temini, içeriklerde yer alan üçüncü kişilerin rıza/izinleri, talimatların hukuka uygunluğu) bakımından sorumluluk münhasıran Müşteri’ye aittir.
15.2. Tazminat ve rücu (tek yönlü): Müşteri; Master Studio’ya verdiği hukuka aykırı talimatlardan veya Platform’a hukuka aykırı, üçüncü kişilerin haklarını ihlal eden ya da gerekli rıza/izinleri alınmamış kişisel veri yüklemesinden kaynaklanan; Master Studio’ya yöneltilen üçüncü kişi talepleri, davaları, idari para cezaları, Kurum yaptırımları ve makul avukatlık masrafları bakımından Master Studio’yu tazmin etmeyi ve zararsız tutmayı (hold harmless) kabul eder. Master Studio, kendi masrafı Müşteri’ye ait olmak üzere bu tür taleplerin savunmasını üstlenme hakkını saklı tutar. İşbu hüküm, Master Studio’nun KENDİ kusurundan (örneğin kendi güvenlik yükümlülüğünü ihlalinden kaynaklı veri sızıntısı) doğan zararları Müşteri’ye yüklemez.
15.3. Sorumluluğun sınırlandırılması: Yürürlükteki mevzuatın izin verdiği azami ölçüde, Master Studio’nun işbu DPA kapsamındaki toplam sorumluluğu, Ana Sözleşme’de öngörülen sorumluluk sınırına tabidir; Master Studio dolaylı, arızi, özel veya sonuçsal zararlardan (kâr/veri/itibar kaybı dâhil) sorumlu değildir. İŞBU SINIRLAMA VE SORUMSUZLUK HÜKÜMLERİ BAKIMINDAN KASIT VE AĞIR KUSUR HÂLLERİ İLE MEVZUATTAN DOĞAN EMREDİCİ SORUMLULUK HÂLLERİ SAKLIDIR (6098 sayılı Türk Borçlar Kanunu m.115/1). Ayrıca, ilgili kişilerin Kanun’dan ve emredici mevzuattan doğan hakları ile Kurum’un idari yaptırım yetkisi işbu hükümden etkilenmez.
15.4. İşbu DPA’da yer alan sorumluluk düzenlemeleri, Taraflar arasındaki Ana Sözleşme’nin sorumluluk hükümleri ile birlikte yorumlanır; kişisel veri işlemeye özgü konularda işbu madde önceliklidir. Tarafların tacir sıfatı bulunduğundan, sorumluluk sınırlamaları TTK m.18/2 çerçevesinde basiretli tacir ölçütüyle yorumlanır; ancak emredici hükümler ve TBK m.115/1 saklıdır.
16. Diğer Hükümler, Yürürlük, Uygulanacak Hukuk ve Yetki
16.1. Yürürlük ve süre: İşbu DPA, Ana Sözleşme’nin yürürlüğe girmesiyle birlikte yürürlüğe girer ve Ana Sözleşme yürürlükte kaldığı sürece geçerliliğini korur. Niteliği gereği sona ermeden sonra da uygulanması gereken hükümler (gizlilik, iade/imha, sorumluluk, kanıt kayıtları) sona ermeden sonra da yürürlükte kalır.
16.2. Değişiklik ve versiyonlama: İşbu DPA, mevzuat değişiklikleri veya Hizmet kapsamındaki güncellemeler nedeniyle Master Studio tarafından güncellenebilir. Veri koruma düzeyini esaslı şekilde etkileyen değişiklikler madde 5.2 uyarınca Müşteri’ye makul süre önce bildirilir ve gerektiğinde yeniden onay alınır. Her güncel metin bir versiyon numarası, yürürlük tarihi ve içerik özeti taşır.
16.3. Devir: Müşteri, işbu DPA’dan doğan hak ve yükümlülüklerini Master Studio’nun yazılı onayı olmaksızın üçüncü kişilere devredemez. Master Studio, işbu DPA’yı Ana Sözleşme ile birlikte ve veri koruma düzeyini düşürmemek kaydıyla, birleşme/devralma/kısmî bölünme hâllerinde halefine devredebilir.
16.4. Bölünebilirlik: İşbu DPA’nın herhangi bir hükmünün geçersiz veya uygulanamaz sayılması, diğer hükümlerin geçerliliğini etkilemez; geçersiz hüküm, amaca en yakın geçerli hükümle ikame edilmiş sayılır.
16.5. Uygulanacak hukuk ve yetki: İşbu DPA Türk Hukuku’na tabidir. İşbu DPA’dan doğan uyuşmazlıklarda İstanbul Mahkemeleri ve İcra Daireleri (Çağlayan Adliyesi) mahkemeleri ve icra daireleri yetkilidir. Kanun’un emredici hükümleri ve Kurum’un yetkisi her hâlde saklıdır.
- İşbu DPA, Ana Sözleşme ile birlikte, kişisel veri işlemeye ilişkin Taraflar arasındaki tam mutabakatı oluşturur ve bu konudaki önceki tüm yazılı/sözlü anlaşmaların yerini alır.
- İşbu DPA, kişisel veri içermeyen veriler veya Master Studio’nun kendi veri sorumlusu sıfatıyla yürüttüğü işleme faaliyetleri bakımından uygulanmaz.
- Taraflar, işbu DPA’nın Kanun ve ilgili mevzuata tam uyumunu sağlamak için gerektiğinde iyi niyetle ek düzenleme/güncelleme yapmayı kabul eder.
- Ekler: (Ek-1) Güncel Alt-İşleyici Listesi (sağlayıcı/amaç/veri kategorisi/lokasyon); (Ek-2) Teknik ve İdari Tedbirler Özeti — işbu DPA’nın ayrılmaz parçalarıdır ve güncel hâlleri esas alınır.
- Kişisel verilerin yurt dışına aktarımına ilişkin hukuki dayanağın (KVKK m.9 — Kurul Standart Sözleşmesi’nin imzalanması ve imzadan itibaren 5 iş günü içinde Kurum’a bildirim) fiilen tesisi, işbu DPA’nın ön koşuludur.
İletişim ve Tüzel Kişilik Bilgileri
- Ünvan: Yeşilmen Elektronik Ticaret ve Bilişim Hizmetleri Ltd. Şti.
- MERSİS No: 0951099351000001
- Ticaret Sicil No: İstanbul Ticaret Sicil Müdürlüğü — 213713-5
- Vergi Dairesi / No: Zincirlikuyu Vergi Dairesi / 9510993510
- Adres: Esentepe Mah. Kore Şehitleri Cad. No:54 İç Kapı No:7, 34394 Şişli/İstanbul
- KEP: [email protected]
- E-posta: [email protected]