Madar AI
DPA

Veri İşleme Sözleşmesi

Son güncelleme: 23 Mayıs 2026

Bu Veri İşleme Sözleşmesi ("DPA"), Madar AI (Zyrix Global Technologies, İstanbul tarafından işletilir) ile, hizmeti kullanımı Madar'ın müşteri adına kişisel veri işlemesini içeren Enterprise müşterileri arasında geçerlidir. Hizmet Şartları'nı tamamlar, GDPR Madde 28 / KVKK / PDPL yapısını takip eder ve her Enterprise sözleşmesinin bir parçası olarak imzaladığımız belgedir.

1. Kapsam ve roller

Müşteri Veri Sorumlusudur. Madar Veri İşleyendir. Madar Kişisel Veri'yi yalnızca Order Form, ürün konfigürasyonu ve bu DPA'da belirtilen Müşteri talimatlarına göre işler. Hizmeti sunmak için gerekenler veya yasa zorunluluğu dışında Kişisel Veri'yi üçüncü taraflara satmıyor, paylaşmıyor veya ifşa etmiyoruz.

2. Konu, süre, nitelik

Konu: Madar AI büyüme platformunun sağlanması. Nitelik ve amaç: Müşteri'nin mobil-uygulama büyüme verisinin hosted analizi — audit'ler, forecast'ler, briefings ve otonom-aksiyon önerileri üretmek için; herhangi bir dış sistem dokundurulmadan önce hepsi Müşteri-onaylı aksiyonlardan geçer. Süre: Müşteri aboneliğinin yaşam süresi artı 30-günlük iptal sonrası saklama penceresi. Veri türü: iş hesabı metrikleri, ad-platform harcaması ve creative metadata, attribution event'leri, abonelik/faturalandırma verisi ve Müşteri'nin yetkili kullanıcılarının iletişim bilgileri. Özel kategori veri işlemiyoruz ve Müşteri'nin uygulama kullanıcılarının uç-kullanıcı tanımlayıcılarını işlemiyoruz.

3. Madar'ın yükümlülükleri

Kişisel Veri'yi işlemeye yetkili kişilerin gizlilikle bağlı olmasını sağlıyoruz. /security sayfamızda listelenen teknik ve organizasyonel önlemleri uyguluyoruz (transit ve at-rest şifreleme, en-az-ayrıcalık erişim kontrolleri, denetim günlüğü, vulnerability yönetimi, incident response). Müşteri'nin veri-sahibi taleplerine yanıt vermesinde ve GDPR Madde 32–36 / KVKK / PDPL altındaki kendi yükümlülüklerini karşılamasında destekleyiz.

4. Alt-işleyenler

Hizmeti sunmak için küçük, sabit bir alt-işleyen listesi kullanıyoruz (şu an: hosting için AWS, edge ve DNS için Cloudflare, transactional email için Resend, yönetilen Postgres için Supabase, ürünün çağırdığı yerlerde temel LLM için Anthropic). Mevcut liste, adresler ve işleme amaçlarıyla /legal/dpa/sub-processors'da yayınlanmıştır. Herhangi bir alt-işleyeni eklemeden veya değiştirmeden önce Müşteri'yi email ile en az 30 gün öncesinde bilgilendireceğiz; Müşteri makul gerekçelerle yazılı olarak itiraz edebilir; itirazı karşılayamazsak Müşteri etkilenen hizmeti cezasız sonlandırabilir.

5. Uluslararası transferler

Birincil işleme EU-West-2 (Londra) bölgesinde, dayanıklılık için ABD fail-over'ı ile. KSA/BAE bölge-içi işleme Enterprise müşterileri için talep üzerine kullanılabilir (provizyonlama ek 4–6 hafta). AB/UK dışına çıkan transferler için, EU Standart Sözleşme Maddelerine (2021/914) ve UK Addendum'a, ve KVKK altındaki Türkiye bağlayıcı kurumsal kurallara dayanırız; KSA için bölge-içi seçenek devreye alındığında PDPL-yetkili cross-border-transfer mekanizmalarına dayanırız.

6. Güvenlik önlemleri

Şifreleme: transit'te TLS 1.2+; veritabanları ve yedeklemeler için at-rest AES-256. Erişim: tüm Madar personeli için SSO + 2FA zorunlu; en-az-ayrıcalık role-based erişim; üç aylık erişim incelemeleri. Günlük: Müşteri verisine tüm erişimin append-only denetim günlükleri, 13 ay saklanır. Vulnerability yönetimi: sürekli dependency taraması, yıllık üçüncü-taraf pen test (sonraki: Q4 2026). Incident response: 24/7 on-call rotasyonu; belgelenmiş runbook; yılda iki kez tabletop egzersiz. Tam teknik duruş ve yol haritası /security ve /trust'ta.

7. Veri-sahibi hakları yardımı

Müşteri'ye, Madar'da tutulan kendi uç-kullanıcılarının veya kendi personelinin verisi hakkında ulaşan herhangi bir veri-sahibi talebi (erişim, düzeltme, silme, taşınabilirlik, kısıtlama, itiraz) için, Müşteri talimatı üzerine, o veriyi 30 gün içinde dışa aktarmak veya silmek için teknik araçları sağlarız. Müşteri'nin veri sahiplerine doğrudan yanıt vermiyoruz; Müşteri Veri Sorumlusu olarak kalır.

8. İhlal bildirimi

Müşteri'yi herhangi bir Kişisel Veri İhlali konusunda gereksiz gecikme olmadan ve her halükarda farkına vardıktan sonraki 72 saat içinde bilgilendiririz. Bildirim şunları içerir: ihlalin niteliği, etkilenen veri sahiplerinin ve kayıtların kategorileri ve yaklaşık sayısı, Veri Koruma Sorumlusunun iletişim noktası, olası sonuçlar ve ele almak için alınan veya önerilen önlemler. Müşteri'ye denetim makamları ve etkilenen veri sahiplerine yönelik kendi bildirim yükümlülüklerini yerine getirmesinde destek oluruz.

9. Denetim hakları

Müşteri, makul önceden bildirim (en az 30 gün) üzerine yılda en fazla bir kez Madar'ın bu DPA'ya uygunluğunu denetleyebilir; doğrulanmış bir Kişisel Veri İhlali durumunda hariç. Pratikte, denetimlerin çoğunu yıllık üçüncü-taraf raporumuzla (SOC 2 Type II mevcut olduğunda) artı Müşteri'nin sorgulamasına yazılı yanıt ile karşılarız. Enterprise müşterileri için Müşteri'nin masrafıyla yerinde denetimler mevcuttur.

10. Veri iadesi ve silinmesi

Aboneliğin sonlandırılması veya sona ermesi üzerine, Müşteri 30-günlük saklama penceresi boyunca herhangi bir zamanda dashboard'ın tek-tık dışa aktarması (CSV + JSON) ile tüm Kişisel Veri'yi dışa aktarabilir. Pencere sonrasında, üretim sistemlerinden Kişisel Veri'yi 7 gün içinde kalıcı olarak sileriz; şifrelenmiş yedekler normal rotasyonlarında yaşlanır (maksimum 90 gün). Talep üzerine yazılı bir silme sertifikası sağlarız.

11. Sorumluluk ve geçerli hukuk

Bu DPA altındaki sorumluluk Hizmet Şartları'ndaki sorumluluk-sınırlama maddesi tarafından yönetilir. DPA Türkiye yasalarına tabidir; iyi-niyetli müzakerelerle çözülemeyen uyuşmazlıklar İstanbul mahkemelerine sunulur. Bu DPA'daki hiçbir şey herhangi bir veri sahibinin geçerli veri-koruma yasası altındaki haklarını sınırlamaz.

12. İmza ve yürütme

Bu DPA Enterprise Order Form'un bir parçası olarak yürütülür. İmzalı Order Form, Hizmet Şartları, bu DPA ve /security sayfası birlikte taraflar arasındaki tam veri-koruma sözleşmesini oluşturur. İmzalı PDF kopya istemek veya sözleşme görüşmesini başlatmak için şirket adınız ve jurisdiction ile enterprise@madarai.co'ya email atın.

İmzalı DPA mı lazım?

Enterprise sözleşmeleri imzalı DPA içerir. Sözleşme ekibine email atın, bir iş günü içinde PDF'i göndeririz

enterprise@madarai.co →