Veri İşleme Sözleşmesi (Data Processing Agreement)
Son güncelleme: 1 Ocak 2026
Bu Veri İşleme Sözleşmesi ("DPA"), Mesajly'i kurumsal amaçlarla kullanan işletmeler için Oğuzhan Solmaz ("Veri İşleyen", Mesajly'i işleten şahıs işletmesi) ile müşteri işletme ("Veri Sorumlusu") arasındaki veri işleme ilişkisini düzenler.
1. Tarafların Rolleri
- Veri Sorumlusu:Mesajly'e bağladığı Instagram hesabından gelen müşteri verilerini toplayan ve bu verilerin işlenme amacını belirleyen işletme.
- Veri İşleyen: Oğuzhan Solmaz (Mesajly şahıs işletmesi) — Veri Sorumlusu adına teknik altyapı sağlayarak verileri işleyen taraf.
2. İşlenen Verilerin Kapsamı
| Veri Türü | Açıklama |
|---|---|
| Instagram mesajları | Müşteri DM içerikleri, zaman damgaları |
| Kullanıcı tanımlayıcıları | Instagram IGSID (anonimleştirilmiş) |
| Kontak bilgileri | Veri Sorumlusu'nun eklediği ad, telefon vb. |
| İşlem geçmişi | Siparişler, notlar, pipeline hareketleri |
3. Veri İşleyenin Yükümlülükleri
- Verileri yalnızca Veri Sorumlusu'nun yazılı talimatları doğrultusunda işler.
- Yetkisiz erişimi önlemek için teknik ve idari güvenlik önlemlerini alır.
- Kendi çalışanlarına veri gizliliği taahhüdü aldırır.
- Alt işlemcileri (Supabase, Vercel, iyzico) Veri Sorumlusu'na bildirir ve benzer yükümlülüklere tabi kılar.
- Veri ihlali durumunda Veri Sorumlusu'nu 72 saat içinde bilgilendirir.
- Sözleşme sona erdiğinde verileri siler ya da iade eder.
- Denetim hakkı taleplerini destekler.
4. Alt İşlemciler
| Alt İşlemci | Hizmet | Konum |
|---|---|---|
| Supabase Inc. | Veritabanı ve kimlik doğrulama | ABD / AB |
| Vercel Inc. | Uygulama barındırma | ABD / AB |
| iyzico Ödeme Hizmetleri A.Ş. | Ödeme işlemleri | Türkiye |
| Meta Platforms Inc. | API entegrasyonu | ABD |
5. Güvenlik Önlemleri
- Aktarımda TLS 1.3 şifreleme
- Veritabanı düzeyinde AES-256 şifreleme
- Rol tabanlı erişim kontrolü (RBAC)
- Düzenli güvenlik denetimleri
- Çok faktörlü kimlik doğrulama (MFA) ekip erişimi için zorunlu
6. Uluslararası Veri Aktarımı
AB/AEA dışına veri aktarımı, Avrupa Komisyonu'nun Standart Sözleşme Maddeleri (SCC) veya yeterlilik kararı çerçevesinde gerçekleştirilir. Türkiye'deki aktarımlar KVKK'nın 9. maddesi kapsamında yürütülür.
7. Sözleşmenin Sona Ermesi
Ana hizmet sözleşmesinin sona ermesiyle DPA da sona erer. Veri İşleyen, sona erme tarihinden itibaren 30 gün içinde tüm kişisel verileri siler ve silme işlemini yazılı olarak teyit eder.
8. DPA Talepleri
Kurumsal DPA imzalamak veya mevcut DPA'nızı güncellemek için:
[email protected]