Veri İşleme Sözleşmesi

Son güncelleme: 15 April 2026

Bu Veri İşleme Sözleşmesi (“DPA”), Accsible hesabında tanımlanan kuruluş (“Müşteri”, “Veri Sorumlusu”) ile Denizcom Ltd arasında, Accsible ticari unvanıyla faaliyet gösteren, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom adresinde kayıtlı olan (<“Accsible”, “Veri İşleyen”), ve Kullanım Şartları ile Gizlilik Politikası (birlikte, “Ana Sözleşme”) arasındaki sözleşmenin bir parçasını oluşturur ve onu tamamlar.

Bu DPA, Accsible’ın Hizmeti sağlama sürecinde Müşteri adına Kişisel Verileri işlediği durumlarda ve bu ölçüde लागू olur. UK GDPR, AB GDPR (Regulation 2016/679) ve diğer लागू veri koruma mevzuatının Article 28 maddesine uyumu sağlamak üzere tasarlanmıştır.

1. Tanımlar

Bu DPA’da, bağlam aksi gerektirmedikçe:

“Veri Koruma Kanunları” — UK GDPR, AB GDPR, Data Protection Act 2018, Privacy and Electronic Communications Regulations 2003 ve diğer tüm लागू veri koruma mevzuatı.
“Kişisel Veri” — Ana Sözleşme kapsamında Accsible tarafından Müşteri adına işlenen, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi.
“İşleme” — Kişisel Veriler üzerinde gerçekleştirilen toplama, kaydetme, saklama, geri alma, kullanma, ifşa etme, silme veya yok etme dahil her türlü işlem.
“Alt İşleyen” — Müşteri adına Kişisel Verileri işlemek üzere Accsible tarafından görevlendirilen herhangi bir üçüncü taraf.
“Veri Sahibi” — Kişisel Verilerin ait olduğu kimliği belirli veya belirlenebilir gerçek kişi.
“Son Kullanıcı” — Accsible Widget ile etkileşime giren Müşteri’nin web sitesini ziyaret eden kişi.
“Güvenlik Olayı” — Kişisel Verilerin kazara veya hukuka aykırı şekilde yok edilmesine, kaybına, değiştirilmesine, yetkisiz ifşasına veya bunlara erişime yol açan bir güvenlik ihlali.
“SCCs” — Avrupa Komisyonu tarafından onaylanan Standart Sözleşme Maddeleri (Decision 2021/914) veya uygulanabildiği ölçüde UK International Data Transfer Agreement (IDTA).

2. İşlemenin Kapsamı ve Ayrıntıları

2.1 Konu

Accsible bir erişilebilirlik widget’ı ve SaaS platformu sağlar. Müşteri Widget’ı kendi web sitesi(leri)ne entegre ettiğinde, Accsible Son Kullanıcılara ait belirli Kişisel Verileri Müşteri adına işler.

2.2 Süre

İşleme, Müşteri Widget’ı etkinleştirdiğinde başlar ve Ana Sözleşme süresi boyunca devam eder. Sözleşmenin sona ermesi halinde, bu DPA’nın 11. Bölümü लागू olur.

2.3 İşlemenin Niteliği ve Amacı

Aspect	Detail
Purpose	Erişilebilirlik widget’ının sunulması ve işletilmesi; Dashboard üzerinden Müşteri’ye kullanım analitiği ve erişilebilirlik puanlarının sağlanması; Son Kullanıcılar tarafından gönderilen geri bildirimlerin işlenmesi.
Nature of processing	Hizmeti sağlamak için gerekli olduğu ölçüde Kişisel Verilerin toplanması, saklanması, birleştirilmesi, analiz edilmesi ve silinmesi.

2.4 Kişisel Veri Türleri

IP adresleri (analitik için anonimleştirilmiş; güvenlik günlüklerinde tam IP en fazla 90 days boyunca)
Tarayıcı türü, sürümü ve user agent string
Cihaz türü ve işletim sistemi
Müşteri’nin web sitesinde ziyaret edilen sayfalar ve zaman damgaları
Son Kullanıcılar tarafından seçilen erişilebilirlik tercihleri (yalnızca Son Kullanıcı’nın cihazında yerel olarak saklanır; geri bildirim gönderilmedikçe iletilmez)
Geri bildirim gönderimleri (Son Kullanıcı tarafından gönüllü olarak sağlanmışsa ad ve/veya e-posta)
Toplu sayfa görüntüleme metrikleri

2.5 Veri Sahibi Kategorileri

Son Kullanıcılar — Accsible Widget ile etkileşime giren Müşteri’nin web sitesi(leri)nin ziyaretçileri
Müşteri personeli — Müşteri adına Accsible Dashboard’a erişen kişiler

3. Müşteri’nin (Veri Sorumlusu) Yükümlülükleri

Müşteri şunları yapacaktır:

Kişisel Verileri İşlemek ve bunların işlenmesi için Accsible’a talimat vermek üzere hukuka uygun bir dayanağa sahip olduğunu sağlamak.
Veri Koruma Kanunlarının gerektirdiği şekilde Veri Sahiplerine gerekli tüm bildirimleri yapmak ve gerekli tüm onayları almak; buna Müşteri’nin kendi gizlilik politikasında Accsible Widget’ın kullanımına ilişkin Son Kullanıcıları bilgilendirmek de dahildir.
Accsible’a verdiği talimatların Veri Koruma Kanunlarına uygun olmasını sağlamak.
Accsible’ın işleme yükümlülüklerini etkileyebilecek yürürlükteki Veri Koruma Kanunlarındaki değişiklikleri derhal Accsible’a bildirmek.

4. Accsible’ın (Veri İşleyen) Yükümlülükleri

Accsible şunları yapacaktır:

Kişisel Verileri yalnızca Müşteri’den alınan belgelenmiş talimatlar doğrultusunda (bu DPA ve Ana Sözleşmede yer alan talimatlar dahil) işlemek; ancak yürürlükteki hukuk tarafından zorunlu kılınması halinde bu talimatlar dışında hareket edebilir — bu durumda hukuken yasaklanmadıkça işlemeye başlamadan önce Müşteri’yi bilgilendirecektir.
Kişisel Verileri işlemeye yetkili kişilerin gizlilik taahhüdünde bulunmuş olmasını veya uygun bir yasal gizlilik yükümlülüğüne tabi olmasını sağlamak.
5. Bölümde açıklanan teknik ve organizasyonel güvenlik önlemlerini uygulamak ve sürdürmek.
6. Bölümde belirtilen Alt İşleyenlerin görevlendirilmesine ilişkin koşullara uymak.
Uygun teknik ve organizasyonel önlemlerle Müşteri’nin Veri Sahibi taleplerine yanıt verme yükümlülüğünü yerine getirmesine yardımcı olmak (7. Bölüm).
İşlemenin niteliğini ve Accsible’ın erişebildiği bilgileri dikkate alarak, Müşteri’nin GDPR Article 32–36 kapsamındaki yükümlülüklerine (güvenlik, ihlal bildirimi, etki değerlendirmeleri ve ön danışma) uyum sağlamasına yardımcı olmak.
Müşteri’nin tercihine göre, Ana Sözleşme sona erdiğinde tüm Kişisel Verileri silmek veya iade etmek (11. Bölüm).
Müşteri’ye, GDPR Article 28 kapsamında öngörülen yükümlülüklere uyumu göstermek için gerekli tüm bilgileri sunmak ve denetimlere ve incelemelere izin vermek ve bunlara katkıda bulunmak (10. Bölüm).
Accsible’ın görüşüne göre Müşteri’den gelen bir talimat Veri Koruma Kanunlarını ihlal ediyorsa, Müşteri’yi derhal bilgilendirmek.

5. Güvenlik Önlemleri

Accsible, Kişisel Verileri yetkisiz veya hukuka aykırı işleme, kazara kayıp, yok olma veya hasara karşı korumak için aşağıdaki teknik ve organizasyonel önlemleri uygular ve sürdürür:

5.1 Teknik Önlemler

Tüm bağlantılar için, CDN teslimatı, API iletişimi ve Dashboard erişimi dahil, TLS/HTTPS kullanılarak aktarım sırasında şifreleme.
Tuzlanmış, tek yönlü kriptografik algoritmalar kullanılarak parola hashleme.
Cross-site scripting ve injection saldırılarını azaltmak için Content Security Policy (CSP) başlıkları.
Cloudflare üzerinden DDoS koruması.
Session replay’lerde tüm metni maskelemek ve tüm medyayı engellemek üzere yapılandırılmış hata izleme (Sentry).
Analitik işlemede IP adresi anonimleştirme.
Son Kullanıcı erişilebilirlik tercihlerinin tarayıcı local storage’da saklanması (yalnızca cihaz tarafında; geri bildirim gönderilmedikçe sunuculara iletilmez).

5.2 Organizasyonel Önlemler

Rol tabanlı erişim kontrolleri; Kişisel Verilere erişim, görevlerini yerine getirmek için buna ihtiyaç duyan personelle sınırlandırılır.
Kişisel Verilere erişimi olan tüm çalışanlar ve yükleniciler için gizlilik yükümlülükleri.
Düzenli güvenlik değerlendirmeleri ve altyapı izleme.
8. Bölümde açıklanan olay müdahale prosedürleri.
Kişisel Verilerin gerekenden daha uzun süre saklanmamasını sağlayan saklama politikaları (bkz. 9. Bölüm).

6. Alt İşleyenler

6.1 Genel Yetkilendirme

Müşteri, Accsible’a Müşteri adına belirli işleme faaliyetlerini yürütmek üzere Alt İşleyenler görevlendirmesi için genel yazılı yetki verir. Accsible, her bir Alt İşleyen’e yazılı bir sözleşme yoluyla bu DPA’dakinden daha az koruyucu olmayan veri koruma yükümlülükleri getirecektir.

6.2 Mevcut Alt İşleyenler

Bu DPA tarihinden itibaren görevlendirilen Alt İşleyenler aşağıdadır:

Sub-processor	Purpose	Location
Cloudflare, Inc.	CDN, DDoS protection, content delivery for Widget and API	Global (headquartered in USA); EU/UK data processing under SCCs
Functional Software, Inc. (Sentry)	Error monitoring and performance diagnostics	USA; processing under SCCs
Google LLC (Google Analytics)	Aggregated website traffic analytics (consent-based only)	USA; processing under SCCs and EU-US Data Privacy Framework
Stripe, Inc.	Payment processing and subscription management	USA; PCI DSS Level 1 certified; processing under SCCs

6.3 Alt İşleyenlerde Değişiklikler

Accsible, bir Alt İşleyen eklemeden veya değiştirmeden en az 30 days önce Müşteri’yi e-posta ile bilgilendirecektir. Bildirimde Alt İşleyen’in adı, gerçekleştireceği işleme ve konumu yer alacaktır.

Müşteri’nin yeni bir Alt İşleyen’e veri koruma gerekçeleriyle makul bir itirazı varsa, Müşteri bildirim alındıktan sonra 14 days içinde Accsible’ı yazılı olarak bilgilendirecektir. Taraflar bu endişeyi iyi niyetle görüşecektir. Taraflar itirazı 30 days içinde çözemazsa, Müşteri yazılı bildirimde bulunarak etkilenen Hizmeti feshedebilir ve Accsible abonelik süresinin kullanılmayan kısmı için önceden ödenmiş ücretleri iade edecektir.

7. Veri Sahibi Hakları

Accsible, işlemenin niteliğini dikkate alarak, Müşteri’nin Veri Koruma Kanunları kapsamındaki haklarını kullanan Veri Sahiplerinin taleplerine yanıt verme yükümlülüklerini yerine getirmesine uygun teknik ve organizasyonel önlemlerle yardımcı olacaktır; bunlar şunları içerir:

Erişim hakkı
Düzeltme hakkı
Silme hakkı (“unutulma hakkı”)
İşlemenin kısıtlanması hakkı
Veri taşınabilirliği hakkı
İtiraz hakkı

Accsible, Müşteri’nin verileriyle ilgili olarak doğrudan bir Veri Sahibinden talep alırsa, hukuken yasaklanmadıkça Veri Sahibine derhal Müşteri’ye yönlendirecek ve talebi Müşteri’ye bildirecektir. Accsible, Müşteri tarafından talimat verilmedikçe veya hukuk tarafından zorunlu kılınmadıkça bu tür taleplere doğrudan yanıt vermeyecektir.

8. Güvenlik Olayı Bildirimi

8.1 Bildirim

Accsible, doğrulanmış herhangi bir Güvenlik Olayını gereksiz gecikme olmaksızın ve her hâlükârda bundan haberdar olduğu andan itibaren 48 hours içinde Müşteri’ye bildirecektir. Bildirim, Müşteri hesabıyla ilişkili e-posta adresine (veya bu amaçla Müşteri tarafından belirlenen alternatif bir adrese) gönderilecektir.

8.2 Bildirimin İçeriği

Bildirim, o anda mevcut olan ölçüde aşağıdakileri içerecektir:

İlgili Veri Sahiplerinin ve veri kayıtlarının kategorileri ve yaklaşık sayısı dahil olmak üzere Güvenlik Olayının niteliğine ilişkin bir açıklama.
Accsible’daki irtibat noktasının adı ve iletişim bilgileri.
Olayın muhtemel sonuçlarına ilişkin bir açıklama.
Olayı ele almak için alınan veya önerilen önlemlerin, etkilerini azaltmaya yönelik önlemler dahil, bir açıklaması.

8.3 Devam Eden Yükümlülükler

Accsible, mevcut oldukça daha fazla bilgi sağlayacak ve Güvenlik Olayını araştırmak, gidermek ve etkilerini azaltmak için Müşteri’nin makul talepleriyle iş birliği yapacaktır. Accsible ayrıca, GDPR Article 33 ve 34 kapsamında denetleyici makamlara ve Veri Sahiplerine karşı Müşteri’nin kendi ihlal bildirim yükümlülüklerini yerine getirmesine yardımcı olacaktır.

8.4 Kayıt Tutma

Accsible, olayın etrafındaki olgular, etkileri ve alınan düzeltici önlem dahil olmak üzere tüm Güvenlik Olaylarının kaydını tutacaktır.

9. Veri Saklama

Accsible, bu DPA kapsamında işlenen Kişisel Verileri aşağıdaki şekilde saklar:

Güvenlik günlükleri (tam IP adresleri): En fazla 90 days, ardından kalıcı olarak silinir.
Toplu analitik veriler: Aylık olarak anonimleştirilir; bireysel oturum verileri saklanmaz.
Son Kullanıcı geri bildirim gönderimleri: Ana Sözleşme süresi boyunca saklanır; sona ermeden sonraki 30 days içinde silinir.
Hata izleme verileri (Sentry): En fazla 90 days.
Widget kullanım metrikleri: Toplanmış ve anonimleştirilmiş; işleme sonrasında bireysel düzeyde veri saklanmaz.

Accsible, Kişisel Verileri Hizmeti sağlama amaçları için gerekli olandan veya yürürlükteki hukuk tarafından zorunlu kılınandan daha uzun süre saklamayacaktır.

10. Denetimler & Uyum

10.1 Bilgi

Accsible, makul bir talep üzerine, bu DPA ve GDPR Article 28 kapsamındaki yükümlülüklerine uyumu göstermek için makul ölçüde gerekli tüm bilgileri Müşteri’ye sunacaktır.

10.2 Denetim Hakları

Müşteri (veya Müşteri tarafından görevlendirilen bağımsız bir üçüncü taraf denetçi), aşağıdaki koşullara tabi olarak Accsible’ın işleme faaliyetleri ve güvenlik önlemleri üzerinde denetim yapabilir:

Müşteri, denetim talebi için en az 30 days’ yazılı bildirimde bulunacaktır.
Denetimler normal iş saatleri içinde (Monday–Friday, 09:00–18:00 GMT) gerçekleştirilecek ve Accsible’ın faaliyetlerini makul olmayan şekilde aksatmayacaktır.
Müşteri, bir denetleyici makam tarafından talep edilmedikçe veya doğrulanmış bir Güvenlik Olayını takiben olmadıkça, 12-month period başına bir denetimden fazlasını yapmayacaktır.
Denetçi, Ana Sözleşmedekinden daha az koruyucu olmayan gizlilik yükümlülüklerine tabi olacaktır.
Accsible, mevcutsa güncel bir SOC 2 Type II raporu, ISO 27001 sertifikası veya eşdeğer bağımsız bir sertifika sunarak denetim talebini karşılayabilir.

10.3 İş Birliği

Accsible, bu DPA ile bağlantılı olarak Accsible’ın tesislerine veya kayıtlarına erişim gerektiren Müşteri ve herhangi bir denetleyici makam ile iş birliği yapacaktır.

11. Veri İadesi & Silme

Ana Sözleşmenin sona ermesi veya süresinin dolması üzerine, Müşteri 30 days içinde Accsible’dan şunları talep edebilir:

Tüm Kişisel Verilerin yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta iade edilmesi; veya
Tüm Kişisel Verilerin silinmesi ve silmenin yazılı olarak teyit edilmesi.

Müşteri, sona ermeden itibaren 30 days içinde bir talepte bulunmazsa, Accsible, saklamanın yürürlükteki hukuk tarafından zorunlu kılındığı durumlar hariç (örneğin vergi uyumu için faturalama kayıtları), tüm Kişisel Verileri kalıcı olarak silecektir. Saklamanın hukuken zorunlu olduğu durumlarda, Accsible verileri izole edecek ve koruyacak, işleme faaliyetini hukukun öngördüğü amaçla sınırlayacaktır.

12. Uluslararası Aktarımlar

Accsible, United Kingdom’da kuruludur. Kişisel Veriler UK veya EEA dışındaki konumlarda bulunan Alt İşleyenlere aktarıldığında, Accsible aşağıdakiler dahil uygun güvencelerin mevcut olmasını sağlar:

UK International Data Transfer Agreement (IDTA) veya SCCs için UK Addendum
AB Standart Sözleşme Maddeleri (SCCs) — Commission Decision 2021/914
UK Secretary of State veya European Commission tarafından verilen yeterlilik kararları
Uygulanabildiği ölçüde, ICO veya EDPB tarafından önerilen ek tamamlayıcı önlemler

İlgili aktarım mekanizmasının bir kopyası, yazılı talep üzerine Müşteri’ye sunulacaktır.

13. Sorumluluk

Bu DPA kapsamındaki her bir tarafın sorumluluğu, Ana Sözleşmede (Kullanım Şartları) belirtilen sorumluluk sınırlamaları ve istisnalarına tabidir; ancak taraflardan hiçbiri, yürürlükteki hukuk tarafından izin verilmediği ölçüde Veri Koruma Kanunlarının ihlallerine ilişkin sorumluluğu hariç tutmaz veya sınırlandırmaz.

14. Süre & Öncelik

14.1 Süre

Bu DPA, Müşteri’nin Accsible Widget’ı ilk kez entegre ettiği tarihte yürürlüğe girer ve Ana Sözleşme süresi boyunca, ardından 11. Bölüme uygun olarak tüm Kişisel Veriler silinene veya iade edilene kadar yürürlükte kalır.

14.2 Öncelik

Bu DPA ile Ana Sözleşme arasında herhangi bir çelişki olması halinde, Kişisel Verilerin işlenmesi ve korunması bakımından bu DPA geçerli olacaktır.

14.3 Değişiklikler

Accsible, Veri Koruma Kanunlarındaki veya işleme faaliyetlerindeki değişiklikleri yansıtmak için bu DPA’yı güncelleyebilir. Önemli değişiklikler, yürürlüğe girmeden en az 30 days önce e-posta yoluyla Müşteri’ye bildirilecektir. Değişikliklerin yürürlük tarihinden sonra Hizmetin kullanılmaya devam edilmesi kabul anlamına gelir.

15. İletişim

Bu DPA ile ilgili sorular veya talepler için bizimle şu adresten iletişime geçin:

Veri Koruma İletişim: [email protected]
Güvenlik Olayları: [email protected]
Kayıtlı Ofis: Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom
ICO Registration: ZC114350