Veri İşleme Sözleşmesi
Son güncelleme: 15 Nisan 2026
Bu Veri İşleme Sözleşmesi (“DPA”), Accsible hesabında belirtilen tüzel kişi (“Müşteri”, “Veri Sorumlusu”) ile ticari unvanı Accsible olan, Birleşik Krallık, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ adresinde kayıtlı Denizcom Ltd (“Accsible”, “Veri İşleyen”) arasında akdedilen sözleşmenin bir parçasını oluşturur ve Kullanım Koşulları ile Gizlilik Politikasını (birlikte “Asıl Sözleşme”) tamamlar.
Bu DPA, Accsible’ın Hizmeti sunarken Müşteri adına Kişisel Verileri işlediği ölçüde ve kapsamda geçerlidir. Birleşik Krallık GDPR’ı, AB GDPR’ı (Tüzük 2016/679) ve diğer ilgili veri koruma mevzuatına uyumu sağlamak üzere hazırlanmıştır.
1. Tanımlar
Bu DPA’da, bağlam aksini gerektirmedikçe:
- “Veri Koruma Mevzuatı” — Birleşik Krallık GDPR’ı, AB GDPR’ı, 2018 Veri Koruma Yasası, 2003 Gizlilik ve Elektronik Haberleşme Yönetmelikleri ve yürürlükteki diğer ilgili veri koruma mevzuatı.
- “Kişisel Veri” — Asıl Sözleşme kapsamında Accsible tarafından Müşteri adına işlenen, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
- “İşleme” — Kişisel Veriler üzerinde gerçekleştirilen; toplama, kaydetme, depolama, geri alma, kullanma, ifşa etme, silme veya yok etme dâhil her türlü işlem.
- “Alt veri işleyen” — Accsible tarafından Müşteri adına Kişisel Veri işlemek üzere görevlendirilen üçüncü taraf.
- “Veri Sahibi” — Kişisel Verilerin ilişkili olduğu kimliği belirli veya belirlenebilir gerçek kişi.
- “Son Kullanıcı” — Müşteri’nin web sitesini ziyaret eden ve Accsible Widget&rsquoı ile etkileşime giren ziyaretçi.
- “Güvenlik Olayı” — Kişisel Verilerin kazara veya hukuka aykırı olarak imha edilmesine, kaybolmasına, değiştirilmesine, yetkisiz ifşasına veya erişimine yol açan güvenlik ihlali.
- “SCC’ler” — Avrupa Komisyonu tarafından onaylanan Standart Sözleşme Maddeleri (Karar 2021/914) veya geçerli olduğu ölçüde Birleşik Krallık Uluslararası Veri Aktarım Sözleşmesi (IDTA).
2. İşlemenin Kapsamı ve Ayrıntıları
2.1 Konu
Accsible bir erişilebilirlik widget’ı ve SaaS platformu sunar. Müşteri, Widget’ı kendi web sitesi(leri)ne entegre ettiğinde, Accsible Son Kullanıcılara ait belirli Kişisel Verileri Müşteri adına işler.
2.2 Süre
İşleme, Müşteri Widget’ı etkinleştirdiğinde başlar ve Asıl Sözleşme süresince devam eder. Sona erme halinde, bu DPA’nın 11. Bölümü uygulanır.
2.3 İşlemenin Niteliği ve Amacı
| Boyut | Ayrıntı |
|---|---|
| Amaç | Erişilebilirlik widget’ının sunulması ve işletilmesi; Müşteri’ye Panel üzerinden kullanım analitiği ve erişilebilirlik puanlarının sağlanması; Son Kullanıcılar tarafından iletilen geri bildirimlerin işlenmesi. |
| İşlemenin niteliği | Hizmetin sunulması için gerekli olduğu ölçüde Kişisel Verilerin toplanması, depolanması, birleştirilmesi, analiz edilmesi ve silinmesi. |
2.4 Kişisel Veri Türleri
- IP adresleri (analitik için anonimleştirilmiş; güvenlik günlüklerinde en fazla 90 gün süreyle tam IP)
- Tarayıcı türü, sürümü ve kullanıcı aracısı (user agent) bilgisi
- Cihaz türü ve işletim sistemi
- Müşteri’nin web sitesinde ziyaret edilen sayfalar ve zaman damgaları
- Son Kullanıcılar tarafından seçilen erişilebilirlik tercihleri (Son Kullanıcı’nın cihazında yerel olarak saklanır; geri bildirim gönderilmedikçe iletilmez)
- Geri bildirim gönderimleri (Son Kullanıcı tarafından isteğe bağlı olarak sağlanması hâlinde ad ve/veya e-posta)
- Toplu sayfa görüntüleme metrikleri
2.5 Veri Sahibi Kategorileri
- Son Kullanıcılar — Müşteri’nin web sitesi(leri)ni ziyaret eden ve Accsible Widget ile etkileşime giren ziyaretçiler
- Müşteri personeli — Müşteri adına Accsible Paneli’ne erişen kişiler
3. Müşteri’nin (Veri Sorumlusu) Yükümlülükleri
Müşteri şunları yapacaktır:
- Kişisel Verileri İşlemek ve Accsible’ı bu verileri işlemesi için talimatlandırmak konusunda hukuka uygun bir dayanağa sahip olmasını sağlamak.
- Veri Koruma Mevzuatı uyarınca Veri Sahiplerine gerekli tüm bildirimleri yapmak ve gerekli tüm rızaları almak; buna, Müşteri’nin kendi gizlilik politikasında Son Kullanıcılara Accsible Widget’ının kullanımına ilişkin bilgi verilmesi de dâhildir.
- Accsible’a verdiği talimatların Veri Koruma Mevzuatı ile uyumlu olmasını sağlamak.
- Accsible’ın işleme yükümlülüklerini etkileyebilecek yürürlükteki Veri Koruma Mevzuatındaki değişiklikleri Accsible’a derhâl bildirmek.
4. Accsible’ın (Veri İşleyen) Yükümlülükleri
Accsible şunları yapacaktır:
- Kişisel Verileri yalnızca Müşteri’nin belgelenmiş talimatları üzerine (bu DPA ve Asıl Sözleşme’de yer alan talimatlar dâhil) işleyecek; aksi ancak yürürlükteki hukuk tarafından zorunlu kılınırsa söz konusu olacak, bu durumda Accsible, hukuken yasaklanmadığı sürece işlemeye başlamadan önce Müşteri’yi bilgilendirecektir.
- Kişisel Verileri işlemeye yetkili kişilerin gizlilik taahhüdünde bulunmalarını veya uygun yasal gizlilik yükümlülüklerine tabi olmalarını sağlamak.
- 5. Bölümde açıklanan teknik ve organizasyonel güvenlik önlemlerini uygulamak ve sürdürmek.
- Alt veri işleyenlerin görevlendirilmesine ilişkin 6. Bölümde belirtilen koşullara uymak.
- Müşteri’nin Veri Sahibi taleplerine yanıt verme yükümlülüğünü yerine getirmesine yardımcı olmak için uygun teknik ve organizasyonel önlemlerle destek sağlamak (Bölüm 7).
- İşlemenin niteliğini ve Accsible’ın elindeki bilgileri dikkate alarak, Müşteri’nin GDPR’ın 32–36. maddeleri kapsamındaki yükümlülüklerine (güvenlik, ihlal bildirimi, etki değerlendirmeleri ve ön danışma) uyum sağlamasına yardımcı olmak.
- Müşteri’nin tercihine göre, Asıl Sözleşme’nin sona ermesi üzerine tüm Kişisel Verileri silmek veya iade etmek (Bölüm 11).
- GDPR’ın 28. maddesinde öngörülen yükümlülüklere uyumu göstermek için gerekli tüm bilgileri Müşteri’nin kullanımına sunmak ve denetimlere ve incelemelere izin vererek bunlara katkıda bulunmak (Bölüm 10).
- Accsible’ın görüşüne göre Müşteri’nin bir talimatı Veri Koruma Mevzuatını ihlal ediyorsa Müşteri’yi derhâl bilgilendirmek.
5. Güvenlik Önlemleri
Accsible, Kişisel Verileri yetkisiz veya hukuka aykırı işlemeye, kazara kayba, imhaya veya zarara karşı korumak için aşağıdaki teknik ve organizasyonel önlemleri uygular ve sürdürür:
5.1 Teknik Önlemler
- CDN teslimi, API iletişimi ve Panel erişimi dâhil tüm bağlantılar için TLS/HTTPS kullanılarak aktarım sırasında şifreleme.
- Tuzlanmış, tek yönlü kriptografik algoritmalar kullanılarak parola karma (hash) işlemi.
- Cross-site scripting ve enjeksiyon saldırılarını azaltmak için İçerik Güvenliği Politikası (CSP) başlıkları.
- Cloudflare aracılığıyla DDoS koruması.
- Oturum tekrarlarında tüm metni maskeleyecek ve tüm medyayı engelleyecek şekilde yapılandırılmış hata izleme (Sentry).
- Analitik işlemelerinde IP adreslerinin anonimleştirilmesi.
- Son Kullanıcı erişilebilirlik tercihleri tarayıcı yerel depolamasında saklanır (yalnızca cihaz tarafında; geri bildirim gönderilmedikçe sunuculara iletilmez).
5.2 Organizasyonel Önlemler
- Rol tabanlı erişim kontrolleri; Kişisel Verilere erişim, görevlerini yerine getirmek için buna ihtiyaç duyan personelle sınırlıdır.
- Kişisel Verilere erişimi olan tüm personel ve yükleniciler için gizlilik yükümlülükleri.
- Altyapının düzenli güvenlik değerlendirmeleri ve izlenmesi.
- 8. Bölümde açıklandığı şekilde olay müdahale prosedürleri.
- Kişisel Verilerin gerekli olandan daha uzun süre saklanmamasını sağlayan saklama politikaları (bkz. Bölüm 9).
6. Alt veri işleyenler
6.1 Genel Yetkilendirme
Müşteri, Accsible’a Müşteri adına belirli işleme faaliyetlerini yürütmek üzere Alt veri işleyenler görevlendirmesi için genel yazılı yetki verir. Accsible, her bir Alt veri işleyen ile bu DPA’daki koruma düzeyinden daha düşük olmayan veri koruma yükümlülüklerini içeren yazılı bir sözleşme akdedecektir.
6.2 Mevcut Alt veri işleyenler
Bu DPA tarihi itibarıyla görevlendirilmiş Alt veri işleyenler şunlardır:
| Alt veri işleyen | Amaç | Konum |
|---|---|---|
| Cloudflare, Inc. | Widget ve API için CDN, DDoS koruması, içerik teslimi | Küresel (merkez: ABD); AB/BK veri işleme SCC’ler kapsamında |
| Functional Software, Inc. (Sentry) | Hata izleme ve performans teşhisi | ABD; SCC’ler kapsamında işleme |
| Google LLC (Google Analytics) | Toplu web sitesi trafik analitiği (yalnızca rıza esaslı) | ABD; SCC’ler ve AB-ABD Veri Gizliliği Çerçevesi kapsamında işleme |
| Stripe, Inc. | Ödeme işleme ve abonelik yönetimi | ABD; PCI DSS Seviye 1 sertifikalı; SCC’ler kapsamında işleme |
6.3 Alt veri işleyenlerde Değişiklikler
Accsible, bir Alt veri işleyeni eklemeden veya değiştirmeden en az 30 gün önce Müşteri’yi e-posta ile bilgilendirecektir. Bildirimde Alt veri işleyenin adı, yürüteceği işleme faaliyeti ve konumu yer alacaktır.
Müşteri, veri koruma gerekçelerine dayalı olarak yeni bir Alt veri işleyene makul bir itirazı varsa, bildirimi aldıktan sonra 14 gün içinde Accsible’a yazılı olarak bildirimde bulunacaktır. Taraflar, itirazı iyi niyetle görüşecektir. Taraflar 30 gün içinde itirazı çözüme kavuşturamazsa, Müşteri yazılı bildirimde bulunarak ilgili Hizmeti feshedebilir ve Accsible, abonelik süresinin kullanılmamış kısmına ilişkin peşin ödenmiş ücretleri iade edecektir.
7. Veri Sahibi Hakları
Accsible, işlemenin niteliğini dikkate alarak, Veri Sahiplerinin Veri Koruma Mevzuatı kapsamındaki haklarını kullanmaya yönelik taleplerine yanıt verme yükümlülüğünü yerine getirmesi için Müşteri’ye uygun teknik ve organizasyonel önlemlerle yardımcı olacaktır; bu haklar şunları içerir:
- Erişim hakkı
- Düzeltme hakkı
- Silme hakkı (“unutulma hakkı”)
- İşlemenin kısıtlanması hakkı
- Veri taşınabilirliği hakkı
- İtiraz hakkı
Accsible, Müşteri’nin verilerine ilişkin olarak bir Veri Sahibinden doğrudan bir talep alırsa, Veri Sahibini gecikmeksizin Müşteri’ye yönlendirecek ve hukuken yasaklanmadığı sürece Müşteri’yi bu talepten haberdar edecektir. Accsible, Müşteri tarafından talimat verilmedikçe veya hukuk tarafından zorunlu kılınmadıkça bu taleplere doğrudan yanıt vermeyecektir.
8. Güvenlik Olayı Bildirimi
8.1 Bildirim
Accsible, doğrulanmış herhangi bir Güvenlik Olayını Müşteri’ye gereksiz gecikme olmaksızın ve her hâlükârda farkına varmasından itibaren en geç 48 saat içinde bildirecektir. Bildirim, Müşteri’nin hesabıyla ilişkili e-posta adresine (veya Müşteri tarafından bu amaçla belirlenen alternatif bir adrese) gönderilecektir.
8.2 Bildirimin İçeriği
Bildirim, o anda mevcut olduğu ölçüde aşağıdakileri içerecektir:
- Güvenlik Olayının niteliğinin açıklaması; etkilenen Veri Sahibi kategorileri ile yaklaşık sayıları ve etkilenen veri kayıtları.
- Accsible nezdindeki irtibat noktasının adı ve iletişim bilgileri.
- Olayın muhtemel sonuçlarının açıklaması.
- Olayı ele almak için alınan veya önerilen önlemlerin açıklaması; bunlara etkilerini azaltmaya yönelik önlemler de dâhildir.
8.3 Süregelen Yükümlülükler
Accsible, yeni bilgiler elde edildikçe Müşteri’ye ilave bilgi sağlayacak ve Güvenlik Olayını araştırmak, düzeltmek ve etkilerini azaltmak için Müşteri’nin makul talepleriyle iş birliği yapacaktır. Accsible ayrıca, Müşteri’nin GDPR’ın 33 ve 34. maddeleri uyarınca denetim otoritelerine ve Veri Sahiplerine ihlal bildirimi yükümlülüklerini yerine getirmesine yardımcı olacaktır.
8.4 Kayıt Tutma
Accsible, olayın arka planı, etkileri ve alınan düzeltici önlemler dâhil tüm Güvenlik Olaylarının kaydını tutacaktır.
9. Veri Saklama
Accsible, bu DPA kapsamında işlenen Kişisel Verileri aşağıdaki şekilde saklar:
- Güvenlik günlükleri (tam IP adresleri): En fazla 90 gün, ardından kalıcı olarak silinir.
- Toplu analitik verileri: Aylık bazda anonimleştirilir; bireysel oturum verileri saklanmaz.
- Son Kullanıcı geri bildirim gönderimleri: Asıl Sözleşme süresince saklanır; feshi takiben 30 gün içinde silinir.
- Hata izleme verileri (Sentry): En fazla 90 gün.
- Widget kullanım metrikleri: Toplu ve anonimleştirilmiş; işleme sonrasında bireysel düzeyde veri saklanmaz.
Accsible, Kişisel Verileri Hizmeti sunma amaçları veya yürürlükteki hukuk tarafından zorunlu kılınan süre dışında daha uzun süre saklamayacaktır.
10. Denetimler ve Uyumluluk
10.1 Bilgi
Accsible, Müşteri’nin makul talebi üzerine, bu DPA ve GDPR’ın 28. maddesi kapsamındaki yükümlülüklerine uyumunu göstermek için makul ölçüde gerekli tüm bilgileri Müşteri’nin kullanımına sunacaktır.
10.2 Denetim Hakları
Müşteri (veya Müşteri tarafından görevlendirilen bağımsız üçüncü taraf denetçi), aşağıdaki koşullara tabi olmak üzere Accsible’ın işleme faaliyetleri ve güvenlik önlemleri üzerinde denetim gerçekleştirebilir:
- Müşteri, denetim talebine ilişkin en az 30 gün önceden yazılı bildirimde bulunacaktır.
- Denetimler, normal çalışma saatleri içinde (Pazartesi–Cuma, 09:00–18:00 GMT) gerçekleştirilecek ve Accsible’ın operasyonlarını makul olmayan şekilde aksatmayacaktır.
- Müşteri, bir denetim otoritesi tarafından zorunlu kılınmadıkça veya doğrulanmış bir Güvenlik Olayını takiben olmadıkça, 12 aylık dönem başına birden fazla denetim gerçekleştiremez.
- Denetçi, Asıl Sözleşme’de yer alanlardan daha az koruyucu olmayan gizlilik yükümlülüklerine tabi olacaktır.
- Accsible, mevcut olması hâlinde güncel bir SOC 2 Tip II raporu, ISO 27001 sertifikası veya eşdeğer bağımsız sertifikasyon sunarak bir denetim talebini karşılayabilir.
10.3 İş Birliği
Accsible, bu DPA ile bağlantılı olarak Accsible’ın tesislerine veya kayıtlarına erişim talep eden Müşteri ve herhangi bir denetim otoritesi ile iş birliği yapacaktır.
11. Verilerin İadesi ve Silinmesi
Asıl Sözleşme’nin sona ermesi veya süresinin dolması üzerine, Müşteri 30 gün içinde Accsible’dan aşağıdakilerden birini talep edebilir:
- Tüm Kişisel Verilerin yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta iade edilmesi; veya
- Tüm Kişisel Verilerin silinmesi ve silmenin yazılı olarak teyit edilmesi.
Müşteri, feshi takiben 30 gün içinde bir talepte bulunmazsa, Accsible tüm Kişisel Verileri kalıcı olarak silecektir; yürürlükteki hukuk uyarınca saklama zorunluluğu bulunan veriler (örneğin vergi uyumu için fatura kayıtları) hariç. Saklamanın hukuken zorunlu olduğu durumlarda Accsible, verileri izole edecek ve koruyacak, işleme faaliyetini hukukun gerektirdiği amaçla sınırlayacaktır.
12. Uluslararası Aktarımlar
Accsible, Birleşik Krallık’ta kuruludur. Kişisel Veriler, Birleşik Krallık veya AEA dışındaki Alt veri işleyenlere aktarıldığında, Accsible aşağıdakiler dâhil uygun güvencelerin mevcut olmasını sağlar:
- Birleşik Krallık Uluslararası Veri Aktarım Sözleşmesi (IDTA) veya SCC’lere Birleşik Krallık Ek’i
- AB Standart Sözleşme Maddeleri (SCC’ler) — Komisyon Kararı 2021/914
- Birleşik Krallık Dışişleri Bakanı veya Avrupa Komisyonu tarafından verilen yeterlilik kararları
- Uygulanabildiği ölçüde, ICO veya EDPB tarafından tavsiye edilen ilave tamamlayıcı önlemler
İlgili aktarım mekanizmasının bir kopyası, yazılı talep üzerine Müşteri’nin kullanımına sunulacaktır.
13. Sorumluluk
Tarafların bu DPA kapsamındaki sorumluluğu, Asıl Sözleşme’de (Kullanım Koşulları) yer alan sorumluluk sınırlamaları ve istisnalarına tabidir; ancak taraflardan hiçbiri, yürürlükteki hukuk tarafından izin verilmediği ölçüde Veri Koruma Mevzuatının ihlaline ilişkin sorumluluğunu hariç tutamaz veya sınırlayamaz.
14. Süre ve Öncelik
14.1 Süre
Bu DPA, Müşteri’nin Accsible Widget’ını ilk kez entegre ettiği tarihte yürürlüğe girer ve Asıl Sözleşme süresince yürürlükte kalır; sonrasında ise tüm Kişisel Veriler 11. Bölüme uygun şekilde silinene veya iade edilene kadar geçerliliğini sürdürür.
14.2 Öncelik
Bu DPA ile Asıl Sözleşme arasında herhangi bir çelişki olması hâlinde, Kişisel Verilerin işlenmesi ve korunması bakımından bu DPA öncelikli olacaktır.
14.3 Değişiklikler
Accsible, Veri Koruma Mevzuatındaki veya işleme faaliyetlerindeki değişiklikleri yansıtmak üzere bu DPA’yı güncelleyebilir. Önemli değişiklikler, yürürlük tarihinden en az 30 gün önce Müşteri’ye e-posta yoluyla bildirilecektir. Değişikliklerin yürürlüğe girmesinden sonra Hizmetin kullanılmaya devam edilmesi, bu değişikliklerin kabulü anlamına gelir.
15. İletişim
Bu DPA ile ilgili soru veya talepler için bizimle şu adresten iletişime geçebilirsiniz:
- Veri Koruma İrtibatı: [email protected]
- Güvenlik Olayları: [email protected]
- Kayıtlı Ofis: Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom
- ICO Kaydı: ZC114350