Veri İşleme Sözleşmesi (DPA)

Son güncelleme: 20 Nisan 2026 · GDPR Art. 28 + KVKK uyumlu

Bu Veri İşleme Sözleşmesi ("DPA"), ViCreative ("İşleyen"/Processor) ile hizmeti kullanan müşteri ("Veri Sorumlusu"/Controller) arasında, GDPR Madde 28 ve KVKK Madde 12 kapsamında veri işleme sorumluluklarını tanımlar. Hizmeti kullandığınızda bu DPA otomatik olarak yürürlüğe girer. Kurumsal müşteri olarak imzalı sürüm gerekirse legal@vicreative.app'e yazın.

1. Taraflar

• Veri Sorumlusu: Hesap sahibi / kuruluş (siz).
• İşleyen: ViCreative.

2. Konu ve Süre

Ana Kullanım Şartları geçerli kaldığı sürece; hesap kapatıldıktan sonra en geç 30 gün içinde veri silinir (yasal saklama yükümlülükleri hariç).

3. İşleme Niteliği ve Amacı

ViCreative'ın ana işlevleri doğrultusunda: Meta reklam hesabı verisi (insights) toplama, fatigue skoru hesaplama, AI variant üretimi, bildirim gönderimi.

4. Kişisel Veri Kategorileri

• Kimlik: ad, e-posta, kuruluş adı
• İletişim: e-posta, (opsiyonel) Slack webhook URL
• Davranışsal/Kullanım: login log, variant üretimi olayları
• Reklam metadata (pseudonymous): ad account ID, campaign ID, ad ID, metrikler

Tüketici/son kullanıcı kişisel verisi işlenmez. Meta Marketing API'den alınan insights metrikleridir (aggregate); tek tek son kullanıcıları tanımlayan veri işlenmez.

5. İlgili Kişi Kategorileri

• Müşteri çalışanları / yöneticileri (hesap kullanıcıları)

6. İşleyenin Yükümlülükleri

1. Veri Sorumlusu'nun belgelendirilmiş talimatları doğrultusunda veri işler; yasal yükümlülük haricinde başka amaçla işlemez.
2. Verileri işleyen personelin gizlilik taahhüdü altında olmasını sağlar (NDA).
3. GDPR Art. 32 ve KVKK kapsamında güvenlik önlemleri uygular (§7).
4. Alt işleyen eklemede Veri Sorumlusu'nu önceden bilgilendirir (§8).
5. İlgili kişi hakları (erişim, düzeltme, silme, taşınabilirlik) için Veri Sorumlusu'na destek sağlar.
6. İhlal tespitinden itibaren 72 saat içinde Veri Sorumlusu'na bildirir.
7. Talep üzerine DPIA (Veri Koruma Etki Değerlendirmesi) ve Art. 30 kayıtlarında destek sağlar.
8. Sözleşme sona erdiğinde verileri siler veya iade eder (seçim Veri Sorumlusu'nundur).

7. Güvenlik Önlemleri (GDPR Art. 32)

Teknik Önlemler

• Transport encryption: TLS 1.3
• At-rest encryption: AES-256 (Supabase Postgres)
• Row Level Security: kullanıcı sadece kendi org'unun verisine erişir
• Meta OAuth token'lar sunucu-side şifreli saklanır
• Rate limiting, brute-force koruma, WAF (Vercel Edge)
• Günlük otomatik yedekleme (Supabase point-in-time recovery)
• Secrets management: Vercel + Supabase Vault; API key'ler kod'a commit edilmez
• Audit log: tüm kritik operasyonlar (login, token issuance, admin aksiyon)

İdari Önlemler

• Need-to-know erişim ilkesi; en az yetki prensibi
• Personel gizlilik sözleşmeleri (NDA)
• İhlal müdahale planı + yıllık tatbikat
• Yıllık güvenlik incelemesi

8. Onaylı Alt İşleyenler

Aşağıdaki alt işleyenleri kullanırız. Yeni alt işleyen eklemeden 14 gün önce e-posta ile bildirim yaparız; itiraz hakkınız saklıdır.

9. Uluslararası Veri Aktarımı

AB/Türkiye dışına aktarım söz konusu olduğunda, aktarımlar Avrupa Komisyonu Standard Contractual Clauses 2021 (Module 2: Controller-to-Processor / Module 3: Processor-to- Sub-processor) altında gerçekleşir. Talep üzerine ilgili SCC'ler paylaşılır.

10. Veri Silme / İade

Sözleşme sona erdiğinde, Veri Sorumlusu 30 gün içinde yazılı tercih belirtir; veriler ya JSON export olarak iade edilir ya da kalıcı olarak silinir (cryptographic erasure + backup expiry).

11. Denetim Hakkı

Veri Sorumlusu, yıllık bir denetim hakkına sahiptir. Denetim talepleri en az 30 gün önceden yazılı bildirimle sunulur. Masraflar talep eden tarafa aittir (ViCreative operasyonunu normalde aksatmayacak şekilde).

12. Sorumluluk

DPA'nın ihlalinden doğan sorumluluk Ana Kullanım Şartları'ndaki sorumluluk sınırlarına tabidir.

13. İletişim

Veri Koruma sorumlumuz: dpo@vicreative.app