Veri İşleyen Sözleşmesi (DPA)
Purp Dijital Medya Ajansı Limited Şirketi | Purvisor AI
Yürürlük Tarihi: 09.05.2026 | Versiyon: 1.0
İşbu Veri İşleyen Sözleşmesi (Data Processing Agreement / "DPA"), Hüküm ve Koşullar ile birlikte, KVKK m.12/2 ve uluslararası veri koruma standartları çerçevesinde, Veri Sorumlusu sıfatına haiz Kullanıcı ile Veri İşleyen sıfatına haiz Purp Dijital Medya Ajansı Limited Şirketi ("İşleyen") arasında akdedilmiştir.
1. Taraflar ve Tanımlar
1.1. Veri Sorumlusu
Purvisor AI platformunu kullanan ve hesabı altında üçüncü kişilere ait kişisel verileri yükleyen Kullanıcı.
1.2. Veri İşleyen
Purp Dijital Medya Ajansı Limited Şirketi, MERSİS 0733120531000001, Altınkum Mah. Atatürk Bul. Erdem Apt. No: 146 İç Kapı No: 7 Konyaaltı / Antalya.
1.3. Tanımlar
- Kişisel Veri: KVKK m.3/(d) anlamında kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
- İşleme: KVKK m.3/(e) anlamında veriler üzerinde gerçekleştirilen tüm işlemler.
- Veri Sahibi: Kişisel verisi işlenen üçüncü kişi.
- Alt Veri İşleyen (Sub-processor): İşleyen'in hizmet sağlamak için kullandığı diğer veri işleyenler.
2. Sözleşmenin Konusu
İşbu DPA, Kullanıcı'nın Platform üzerinden yüklediği üçüncü kişi kişisel verilerinin İşleyen tarafından nasıl işleneceğini, alt işleyenlere aktarılacağını, korunacağını ve imha edileceğini düzenler.
3. İşlenecek Veri Kategorileri
- Aranan kişilerin telefon numaraları.
- Ad-soyad ve iletişim bilgileri.
- CRM senkronizasyonu ile alınan müşteri verileri.
- Görüşme ses kayıtları ve transkriptleri.
- Görüşme metaverisi (zaman, süre, durum).
4. Veri Sahibi Kategorileri
- Kullanıcı'nın müşterileri ve müşteri adayları.
- Lead formu doldurmuş kişiler.
- Mevcut müşteri veritabanındaki kişiler.
5. İşleme Amaçları
- Yapay zeka destekli aramaların yürütülmesi.
- Çağrı analizinin sağlanması.
- Randevu yönetimi.
- Dolandırıcılığın ve suistimalin önlenmesi.
6. İşleyenin Yükümlülükleri
- İşleyen, Kullanıcı'nın talimatları doğrultusunda ve sözleşmede belirtilen amaçla sınırlı olarak veri işler.
- Verileri amacı dışında kullanmaz veya üçüncü taraflara satmaz.
- KVKK m.12 ve uluslararası standartlar çerçevesinde uygun teknik ve idari tedbirleri uygular.
- Personeli ve alt işleyenleri için gizlilik yükümlülüğü tesis eder.
- Veri ihlali halinde Kullanıcı'yı 72 saat içinde bilgilendirir ve KVKK Kurulu'na bildirim sürecinde işbirliği yapar.
- Kullanıcı'nın denetim talebine makul ölçüde cevap verir.
- Veri sahibi haklarının (KVKK m.11) yerine getirilmesinde Kullanıcı'ya destek olur.
7. Alt Veri İşleyenler
İşleyen, hizmetin sağlanması için aşağıdaki alt veri işleyenleri kullanır:
| Sağlayıcı | Hizmet | Veri | Lokasyon |
|---|---|---|---|
| OpenAI Inc. | Büyük dil modeli (LLM) | Transkript ve komutlar | ABD |
| Deepgram Inc. | Konuşma tanıma (STT) | Ses kayıtları | ABD |
| ElevenLabs Inc. | Konuşma sentezi (TTS) | Metin verileri | ABD |
| Cartesia AI Inc. | TTS (yedek) | Metin verileri | ABD |
| Twilio Inc. | Telefon altyapısı (SIP) | Çağrı metaverisi | ABD |
| LiveKit Inc. | Gerçek zamanlı ses iletişimi | Ses akışı | ABD |
| Amazon Web Services Inc. | Yönetilen veritabanı (RDS PostgreSQL) | Hesap, görüşme, faturalandırma verileri | Almanya (eu-central-1) |
| Cloudflare Inc. | CDN, DDoS koruması, web analytics, bot koruması (Turnstile) | Trafik metaverisi, IP, çerezsiz beacon | Global edge ağı (anycast) |
| Hetzner Online GmbH | Bulut sunucu altyapısı | Tüm sistem verileri | Almanya |
| Google LLC (Workspace) | İşlem e-postaları (kullanıcı bildirimleri) | E-posta içeriği | ABD / AB veri rezidansı |
| Iyzico Ödeme Hizmetleri A.Ş. | Ödeme işleme | Ödeme verileri | Türkiye |
Yeni alt işleyen ekleneceğinde Kullanıcı'ya 30 gün önceden bildirim yapılır. Kullanıcı, makul gerekçelerle yeni alt işleyene itiraz hakkını saklı tutar.
8. Yurtdışı Aktarımı
Yurtdışı aktarım, KVKK m.9 (Mart 2024 değişikliği) çerçevesinde gerçekleştirilir:
- Sağlayıcılarla aktif standart sözleşme şartları (SCC) veya bağlayıcı şirket kuralları (BCR).
- Kullanıcı tarafından alınan açık rıza (uygulanabilir hallerde).
- KVKK m.9/6 istisnaları (zorunlu hallerde).
9. Veri Sahibi Hakları
İşleyen, Veri Sahibinin KVKK m.11 kapsamında ileteceği taleplere doğrudan yanıt vermez; Kullanıcı'nın taleplerine cevap vermesinde teknik ve idari destek sağlar. Kullanıcı, kendisine ulaşan veri sahibi taleplerini İşleyen'e iletmekle yükümlüdür.
10. Veri İhlali Bildirimi
İşleyen, kişisel veri ihlali tespit ettiğinde:
- 72 saat içinde Kullanıcı'yı bilgilendirir.
- İhlalin niteliği, etkilenen veri kategorileri ve sayısı, olası sonuçları, alınan ve önerilen önlemler hakkında bilgi sağlar.
- KVKK Kurulu'na ve Veri Sahiplerine bildirim sürecinde Kullanıcı ile koordineli çalışır.
11. Saklama ve İmha
Hesap kapatma veya sözleşme feshi sonrasında İşleyen, Kullanıcı'nın yüklediği üçüncü kişi verilerini 30 (otuz) gün içinde geri döndürülemez şekilde imha eder; talep üzerine bu durum yazılı olarak teyit edilir. Yasal saklama yükümlülüğüne tabi veriler ayrı düzenlenir.
12. Denetim Hakkı
Kullanıcı, makul önceden bildirim yaparak yılda en fazla bir kez İşleyen'in veri işleme süreçlerini denetleme veya bağımsız bir denetçiye denetletme hakkına sahiptir. Denetim, İşleyen'in operasyonlarına engel olmayacak şekilde yürütülür ve denetim maliyetleri, ihlal tespit edilmedikçe Kullanıcı'ya aittir.
13. Sorumluluk
Tarafların sorumluluk sınırları, ana Hüküm ve Koşullar Madde 19 hükümlerine tabidir. Veri Sahiplerine karşı tazminat sorumluluğunda, KVKK ve genel hukuk hükümleri uygulanır.
14. Süre ve Sona Erme
Bu DPA, Kullanıcı'nın hesabı aktif olduğu sürece geçerlidir. Hesap kapatıldığında veya Hüküm ve Koşullar feshedildiğinde DPA da kendiliğinden sona erer; Madde 11 (saklama ve imha) ve Madde 13 (sorumluluk) hükümleri sona ermenin ardından da geçerli olmaya devam eder.
15. Uygulanacak Hukuk ve Yetkili Mahkeme
Türkiye Cumhuriyeti hukuku uygulanır; uyuşmazlıklarda Antalya Mahkemeleri ve Antalya İcra Daireleri münhasıran yetkilidir.
16. Kabul
Kullanıcı, Platform'da hesap oluşturarak ve Hüküm ve Koşullar'ı kabul ederek bu DPA'yı da kabul etmiş sayılır. Kurumsal müşteriler ile ayrıca ıslak veya nitelikli e-imzalı DPA akdedilebilir; talep [email protected] adresine iletilebilir.
Bu DPA, purvisor.ai/legal/dpa adresinde yayınlanır ve Kullanıcı'nın hesap aktiflik dönemi boyunca yürürlüktedir.