Veri İşleme Sözleşmesi
Последнее обновление 11 мая 2026 г.
Bu Veri İşleme Sözleşmesi ("DPA"), geçerli sipariş formu veya hizmet sözleşmesinde Veri Sorumlusu olarak tanımlanan kuruluş ("Veri Sorumlusu") ile genel merkezi Brezilya São Paulo Eyaleti'nde bulunan PZX (CNPJ: 62.054.402/0001-26) ("Operatör") arasında akdedilmiş olup Konn'un kullanımını düzenleyen sözleşmenin ("Sözleşme") bir parçasını oluşturur.
1. Tanımlar
"Kişisel Veri", Brezilya Genel Veri Koruma Kanunu (LGPD, 13.709/2018 sayılı Kanun) tarafından tanımlandığı şekilde, belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi anlamına gelir.
"İşleme", toplama, saklama, kullanım, erişim, aktarma ve silme dahil olmak üzere Kişisel Veriler üzerinde gerçekleştirilen herhangi bir işlem anlamına gelir.
"Veri Sorumlusu", Kişisel Verilerin İşlenmesi konusunda karar verme yetkisine sahip gerçek veya tüzel kişi anlamına gelir.
"Operatör", Veri Sorumlusu'nun talimatları doğrultusunda, Veri Sorumlusu adına Kişisel Verileri işleyen gerçek veya tüzel kişi anlamına gelir.
"İlgili Kişi", Kişisel Verilerin ait olduğu gerçek kişi anlamına gelir.
"Alt Operatör", Veri Sorumlusu adına Kişisel Verileri işlemek üzere Operatör tarafından görevlendirilen herhangi bir üçüncü taraf anlamına gelir.
"Hizmetler", Konn platformu ve Sözleşme kapsamında PZX tarafından sunulan ilgili özellikler anlamına gelir.
2. Kapsam ve İlişki
Bu DPA, Hizmetlerin sağlanması ile bağlantılı olarak PZX tarafından Operatör sıfatıyla, Veri Sorumlusu adına gerçekleştirilen Kişisel Veri işleme faaliyetlerini düzenler.
Veri Sorumlusu, işlemenin amaçlarını ve araçlarını belirler. PZX, Kişisel Verileri yalnızca bu DPA ve Sözleşmede belirtilen Veri Sorumlusu talimatlarına uygun olarak, Hizmetleri sağlamak ve işletmek amacıyla işler.
3. İşlemenin Niteliği, Amacı ve Süresi
Nitelik: Veri Sorumlusu ve yetkili kullanıcıları tarafından gönderilen içeriğin saklanması, organizasyonu, indekslenmesi, semantik işlenmesi, alınması ve görüntülenmesi.
Amaç: Belge yönetimi, bilgi grafiği, semantik arama ve yapay zeka destekli bağlamsal özellikler dahil olmak üzere Konn platformunun sağlanması.
Süre: Sözleşmenin süresi boyunca. Fesih halinde Madde 12 hükümleri uygulanır.
4. Kişisel Veri ve İlgili Kişi Kategorileri
Bu DPA kapsamında işlenen Kişisel Veri kategorileri, Veri Sorumlusu tarafından gönderilen içeriğe bağlıdır. Bunlar arasında sınırlandırılmaksızın şunlar yer alabilir:
Kimlik ve iletişim verileri: Veri Sorumlusu kullanıcılarının ve yüklenen içerikte bahsedilen herhangi bir bireyin adları, e-posta adresleri ve mesleki bilgileri;
Kurumsal veriler: Ekip yapıları, roller ve iç iletişim;
İçerik verileri: Veri Sorumlusu'nun çalışanları, müşterileri veya üçüncü tarafları hakkında Kişisel Veri içerebilen belgeler, notlar ve bilgi girişleri.
Veri Sorumlusu, PZX'in Hizmetlere yüklenen içerikte yer alan Kişisel Veri kategorilerini kontrol edemeyeceğini veya öngöremeyeceğini kabul eder. Veri Sorumlusu, Hizmetlere gönderilen tüm Kişisel Verilerin, yürürlükteki yasalar uyarınca işleme için geçerli bir hukuki dayanağa sahip olmasını sağlamaktan sorumludur.
İlgili Kişiler öncelikli olarak Veri Sorumlusu'nun çalışanları ve yetkili kullanıcılarıdır ve potansiyel olarak Veri Sorumlusu tarafından yüklenen içerikte verileri görünen üçüncü taraflardır.
5. Operatör'ün Yükümlülükleri
PZX, Operatör sıfatıyla şunları yerine getirecektir:
5.1 Talimatlara uyma: Yürürlükteki yasaların gerektirdiği durumlar haricinde, Kişisel Verileri yalnızca Veri Sorumlusu'nun belgelenmiş talimatları üzerine işlemek. PZX, bir talimatın yürürlükteki yasayı ihlal ettiğine inanırsa, devam etmeden önce Veri Sorumlusu'na bildirimde bulunacaktır.
5.2 Gizlilik: Kişisel Verileri işleyen yetkili personelin gizlilik yükümlülüklerine bağlı olmasını sağlamak.
5.3 Güvenlik: Madde 8'de açıklandığı gibi, Kişisel Verileri korumak için uygun teknik ve idari önlemleri uygulamak ve sürdürmek.
5.4 Alt Operatörler: Yalnızca Madde 7 uyarınca Alt Operatörleri görevlendirmek.
5.5 İlgili Kişi hakları: Madde 9'da açıklandığı gibi, İlgili Kişilerin hak taleplerine yanıt verme konusunda Veri Sorumlusu'na yardımcı olmak.
5.6 Silme: Madde 12'de açıklandığı gibi, fesih halinde Kişisel Verileri silmek veya iade etmek.
5.7 Denetim: Madde 11'de açıklandığı gibi, bu DPA'ya uyumu göstermek için gerekli bilgileri sunmak.
5.8 Olay bildirimi: Bu DPA kapsamında işlenen Kişisel Verilerle ilgili herhangi bir teyit edilmiş güvenlik olayını öğrendikten sonra haksız bir gecikme olmaksızın ve en geç 72 saat içinde Veri Sorumlusu'na bildirmek. Bildirim olayın niteliğini, etkilenen İlgili Kişilerin kategorilerini ve yaklaşık sayısını, olası sonuçları ve alınan veya önerilen önlemleri içerecektir.
6. Veri Sorumlusu'nun Yükümlülükleri
Veri Sorumlusu şunları yerine getirecektir:
6.1 Hukuki dayanak: Belgelerin veya bilgi içeriğinin bir parçası olarak yüklenen üçüncü taraflara ilişkin veriler dahil olmak üzere, Hizmetlere gönderilen tüm Kişisel Verilerin yürürlükteki yasalar uyarınca işleme için geçerli bir hukuki dayanağa sahip olmasını sağlamak.
6.2 Doğruluk: Doğru ve güncel talimatlar sağlamak ve gönderilen Kişisel Verilerin amaçlanan amaç için yeterli ve ilgili olmasını sağlamak.
6.3 İlgili Kişi hakları: Veri Sorumlusu'na yönlendirilen İlgili Kişi taleplerini ele almak ve Operatör'ün yardımının gerekli olduğu durumlarda PZX ile koordinasyon sağlamak.
6.4 Uyum: İlgili Kişilerden gerekli onayların alınması dahil olmak üzere, Veri Sorumlusu sıfatıyla yürürlükteki tüm veri koruma yasalarına uymak.
7. Alt Operatörler
7.1 Mevcut Alt Operatörler
Veri Sorumlusu, Hizmetlerle bağlantılı olarak aşağıdaki Alt Operatörleri görevlendirmesi için PZX'i yetkilendirir:
Alt Operatör | Konum | Amaç |
|---|---|---|
Amazon Web Services (AWS) | Amerika Birleşik Devletleri | Bulut altyapısı ve barındırma |
Cloudflare | Amerika Birleşik Devletleri | Ağ güvenliği, CDN ve DDoS koruması |
OpenAI | Amerika Birleşik Devletleri | Yapay zeka dil modeli işleme ve metin gömme |
Anthropic | Amerika Birleşik Devletleri | Yapay zeka dil modeli işleme |
Stripe | Amerika Birleşik Devletleri | Ödeme ve faturalama işlemleri |
Resend | Amerika Birleşik Devletleri | İşlemsel e-posta gönderimi |
7.2 Gelecekteki Alt Operatörler
PZX, Hizmetler geliştikçe ek yapay zeka modeli sağlayıcıları (yeniden sıralama, gömme veya ses işleme hizmetleri sağlayıcıları dahil ancak bunlarla sınırlı olmamak üzere) görevlendirebilir. PZX, Alt Operatörlerin amaçlanan eklenmesi veya değiştirilmesi konusunda en az 30 gün önceden Veri Sorumlusu'na bildirimde bulunacaktır.
Veri Sorumlusu, bildirim aldıktan sonra 15 gün içinde PZX'e yazılı bildirimde bulunarak makul veri koruma gerekçesiyle yeni bir Alt Operatöre itiraz edebilir. Tarafların itirazı çözememesi durumunda, Veri Sorumlusu 30 gün önceden yazılı bildirimle, ceza ödemeksizin Sözleşmeyi feshedebilir.
7.3 Alt Operatör yükümlülükleri
PZX, tüm Alt Operatörlere bu DPA'da belirtilenlere eşdeğer veri koruma yükümlülükleri yükleyecektir. PZX, Alt Operatörlerin yükümlülüklerini yerine getirmelerinden Veri Sorumlusu'na karşı sorumlu olmaya devam eder.
8. Güvenlik Önlemleri
PZX, Kişisel Verileri korumak için aşağıdaki teknik ve idari önlemleri uygular:
Aktarım sırasında (TLS) ve durağan halde veri şifreleme;
Kiracı izolasyonu: her Veri Sorumlusu'nun verileri diğer kiracılardan mantıksal olarak ayrılmıştır;
Yetkili personele erişimi sınırlayan rol tabanlı erişim kontrolü;
Güvenlik izleme ve günlüğe kaydetme;
Düzenli erişim incelemeleri.
PZX, güncellemelerin genel koruma düzeyini önemli ölçüde azaltmaması koşuluyla, bu önlemleri zamanla güncelleyebilir.
9. İlgili Kişi Hakları
PZX, erişim, düzeltme, silme, taşınabilirlik ve itiraz talepleri dahil olmak üzere, yürürlükteki yasalar uyarınca İlgili Kişilerin hak taleplerine yanıt verme yükümlülüklerinin yerine getirilmesi konusunda Veri Sorumlusu'na yardımcı olacaktır.
Veri Sorumlusu, İlgili Kişi taleplerini almak ve ön değerlendirmesini yapmaktan sorumludur. Bir talebin yerine getirilmesi PZX'in eylemini gerektirdiğinde, Veri Sorumlusu talebi Madde 13'teki iletişim kanalı aracılığıyla PZX'e iletecektir. PZX, 15 iş günü içinde yanıt verecektir.
10. Uluslararası Veri Aktarımları
Bu DPA kapsamında işlenen Kişisel Veriler, PZX'in Alt Operatörlerinin faaliyet gösterdiği Amerika Birleşik Devletleri dahil olmak üzere Brezilya dışındaki ülkelere aktarılabilir ve burada işlenebilir. Bu tür aktarımlar, LGPD'nin 33. Maddesi uyarınca yeterli sözleşmesel güvencelere dayalı olarak gerçekleştirilir.
GDPR'a tabi Veri Sorumluları için, Avrupa Ekonomik Alanı dışındaki Alt Operatörlere yapılan aktarımlar, gerektiğinde Standart Sözleşme Hükümleri dahil olmak üzere uygulanabilir aktarım mekanizmalarına tabidir.
11. Denetim Hakları
Veri Sorumlusu'nun yazılı talebi üzerine, PZX bu DPA'ya uyumu göstermek için makul olarak gerekli bilgileri sunacaktır. PZX, güncel sertifikalar, güvenlik belgeleri veya özet denetim raporları sağlayarak bu yükümlülüğü yerine getirebilir.
Veri Sorumlusu, en az 30 gün önceden yazılı bildirimle ve Veri Sorumlusu'nun masrafıyla, takvim yılı başına bir defadan fazla olmamak üzere yerinde denetim talep edebilir. Herhangi bir denetim, PZX'in operasyonlarını aksatmayacak veya diğer müşterilerin verilerinin güvenliğini ya da gizliliğini tehlikeye atmayacak şekilde yürütülmelidir.
12. Süre, Fesih ve Veri Silme
Bu DPA, Sözleşmenin süresi boyunca yürürlükte kalır.
Sözleşmenin feshi veya sona ermesi üzerine:
Veri Sorumlusu, verilerini Hizmetlerden dışa aktarmak için 30 günlük bir süreye sahip olacaktır;
Bu süreden sonra PZX, teknik olarak mümkün olduğunda Alt Operatörlerce tutulan kopyalar dahil olmak üzere bu DPA kapsamında işlenen tüm Kişisel Verileri 30 gün içinde silecektir;
PZX, Veri Sorumlusu'nun talebi üzerine silmenin yazılı teyidini sağlayacaktır;
PZX, Kişisel Verileri yalnızca yürürlükteki yasaların gerektirdiği ölçüde bu süreyi aşacak şekilde saklayabilir; bu durumda veriler bu DPA'nın gizlilik yükümlülüklerine tabi olmaya devam eder.
13. Sorumluluk
Bu DPA kapsamında her bir tarafın sorumluluğu, Sözleşmede belirtilen sınırlamalara tabidir. Bu DPA'daki hiçbir hüküm, yürürlükteki veri koruma yasaları uyarınca hariç tutulamayan veya sınırlandırılamayan yükümlülükler için herhangi bir tarafın sorumluluğunu sınırlamaz.
14. Geçerli Hukuk
Bu DPA, Brezilya Federal Cumhuriyeti yasalarına, özellikle LGPD'ye (13.709/2018 sayılı Kanun) tabidir. Bu DPA'dan kaynaklanan ve dostane şekilde çözülemeyen tüm anlaşmazlıklar, São Paulo Eyaleti, São Paulo Bölgesi mahkemelerine sunulacaktır.
15. İletişim
Bu DPA, ilgili kişi hak talepleri veya güvenlik olaylarına ilişkin konular için:
E-posta: [email protected]
Web sitesi: pzx.app
Veri Koruma Görevlisi:
İsim: Filipe Albuquerque Brauns Cazelgrandi
E-posta: [email protected]
Ek A, İşleme Detayları
Bu ek, Madde 3'ü tamamlar ve Hizmetlerdeki değişiklikleri yansıtmak için karşılıklı yazılı anlaşma ile güncellenebilir.
Alan | Detaylar |
|---|---|
Konu | Konn platformu aracılığıyla kurumsal bilgi yönetimi |
İşleme niteliği | Saklama, indeksleme, semantik arama, yapay zeka destekli alım ve oluşturma |
Amaç | Sözleşmede tanımlanan Hizmetlerin sağlanması |
Saklama süresi | Sözleşmenin süresi artı Madde 12'deki silme süresi |
İlgili Kişi kategorileri | Veri Sorumlusu çalışanları, yetkili kullanıcılar ve yüklenen içerikte bahsedilen üçüncü taraflar |
Kişisel Veri kategorileri | Madde 4'te açıklandığı gibi; gerçek kategoriler Veri Sorumlusu tarafından gönderilen içeriğe bağlıdır |