Data Processing Addendum

Veri İşleme Ek Sözleşmesi

Versiyon: 2026-05-12 · Son güncelleme: 12 Mayıs 2026

İşbu Veri İşleme Ek Sözleşmesi ("DPA"), DARKSTONE INNOVATIONS LLC ("İhracat Kampüs", "Şirket", "Veri İşleyen" veya durumuna göre "Veri Sorumlusu") ile hizmet alan müşteri, kurumsal müşteri, iş ortağı veya form/başvuru sahibi ("Müşteri" veya "Veri Sorumlusu") arasında akdedilen kullanım koşulları, hizmet sözleşmesi, teklif, sipariş formu veya sair ticari anlaşmanın ayrılmaz parçasıdır.

Bu DPA; Avrupa Birliği Genel Veri Koruma Tüzüğü 2016/679 ("GDPR"), UK GDPR, İsviçre veri koruma düzenlemeleri ve uygulanabilir diğer veri koruma mevzuatı uyarınca, Şirket'in Müşteri adına kişisel veri işlediği hallerde tarafların hak ve yükümlülüklerini düzenlemek üzere hazırlanmıştır.

Kurumsal Program, kurumsal danışmanlık, ekip eğitimi veya benzeri B2B hizmetlerde; kurum/şirket bilgileri, yetkili kişi ve temsilci bilgileri, çalışan, danışman, ekip üyesi, katılımcı veya davetli verileri ile Müşteri'nin hizmet kapsamında paylaştığı kurumsal süreç, mağaza/platform, operasyon, strateji ve ticari bilgiler bu DPA ve ana sözleşme kapsamında değerlendirilir. Şirket'in bağımsız veri sorumlusu olduğu doğrudan müşteri, ödeme, fatura, pazarlama ve website kullanımı verileri ise Gizlilik Politikası'na tabidir.

1. Tanımlar

  1. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
  2. İşleme: Kişisel veriler üzerinde gerçekleştirilen toplama, kaydetme, saklama, aktarma, kullanma, silme ve benzeri her türlü işlemi ifade eder.
  3. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen tarafı ifade eder.
  4. Veri İşleyen: Veri Sorumlusu adına ve onun belgelenmiş talimatları doğrultusunda kişisel veri işleyen tarafı ifade eder.
  5. Alt İşleyen: Şirket'in hizmetlerin ifası için kişisel veri işleme faaliyetine dahil ettiği üçüncü taraf hizmet sağlayıcıyı ifade eder.
  6. Standart Sözleşme Maddeleri: Avrupa Komisyonu tarafından kabul edilen güncel Standard Contractual Clauses metinlerini ve uygun olduğu ölçüde UK Addendum/İsviçre eklerini ifade eder.

2. Tarafların Rolleri

  1. Şirket, kendi websitesi üzerinden doğrudan hizmet satın alan, e-kitap talep eden, pazarlama izni veren veya topluluk üyeliği alan bireylerin verileri bakımından kural olarak bağımsız veri sorumlusu sıfatıyla hareket eder.
  2. Kurumsal müşterinin çalışan, danışman, ekip üyesi, katılımcı veya davetlilerine ait kişisel verileri yalnızca kurumsal müşterinin talimatları doğrultusunda işlendiğinde, Şirket veri işleyen sıfatıyla hareket eder.
  3. Tarafların belirli bir veri seti bakımından rolü tereddütlü ise, ilgili işleme amacı ve vasıtalarını fiilen belirleyen taraf veri sorumlusu kabul edilir.

3. İşlemenin Konusu, Süresi ve Niteliği

  1. İşlemenin konusu; eğitim, danışmanlık, grup koçluğu, kurumsal program planlama ve yürütme, Microsoft Teams sınıf yönetimi, Telegram/iletişim grupları, e-kitap teslimi, ödeme sonrası operasyon, faturalama, müşteri destek ve raporlama hizmetlerinin sunulmasıdır.
  2. İşleme süresi; ilgili hizmet sözleşmesinin devamı, hukuki saklama süreleri, uyuşmazlık zamanaşımı ve meşru ispat gereklilikleri ile sınırlıdır.
  3. İşleme faaliyetleri; toplama, doğrulama, kaydetme, barındırma, düzenleme, sınıflandırma, erişim sağlama, üçüncü taraf hizmet sağlayıcılara aktarma, saklama, silme ve anonimleştirme işlemlerini kapsayabilir.

4. Kişisel Veri ve Veri Sahibi Kategorileri

  1. Veri sahibi kategorileri: müşteriler, potansiyel müşteriler, e-kitap talep edenler, eğitim katılımcıları, kurumsal müşteri temsilcileri, çalışanları, danışmanları, ekip üyeleri, davetlileri, Telegram/Teams grup üyeleri, iş ortakları ve destek talebi oluşturan kişiler.
  2. Veri kategorileri: ad soyad, e-posta, telefon, görev/unvan, şirket bilgisi, fatura bilgileri, mağaza/platform bilgileri, eğitim/başvuru bilgileri, katılım ve destek kayıtları, ödeme ve sipariş referansları, IP adresi, user-agent, onay kayıtları ve iletişim kayıtları.
  3. Kurumsal bilgi kategorileri: Müşteri'nin hizmet kapsamında paylaştığı şirket, mağaza, platform, operasyon, strateji, süreç, performans, tedarik, ürün, reklam, satış ve benzeri ticari bilgiler. Bu bilgiler kişisel veri içermediği ölçüde veri koruma mevzuatı yerine gizlilik ve sözleşmesel koruma hükümlerine tabidir.
  4. Özel nitelikli kişisel veri işlenmesi amaçlanmamaktadır. Müşteri, Şirket'e özel nitelikli veri aktarmayacağını kabul eder.

5. Talimatlara Uygun İşleme

  1. Şirket, veri işleyen olduğu hallerde kişisel verileri yalnızca Müşteri'nin belgelenmiş talimatları, hizmet sözleşmesi ve uygulanabilir hukuk çerçevesinde işler.
  2. Şirket, kendisine verilen talimatın veri koruma mevzuatına açıkça aykırı olduğunu değerlendirirse Müşteri'yi makul ölçüde bilgilendirir.
  3. Yasal bir yükümlülük nedeniyle talimat dışı işleme gerekirse, hukuken yasak olmadığı ölçüde Müşteri önceden bilgilendirilir.

6. Gizlilik ve Yetkilendirme

  1. Şirket, kişisel verilere erişen çalışan, danışman ve hizmet sağlayıcıların gizlilik yükümlülüğü altında olmasını sağlar.
  2. Erişim yetkileri işin gerektirdiği ölçüde sınırlandırılır ve gereksiz erişimler kaldırılır.
  3. Müşteri, kendi yetkilendirdiği kullanıcıların, temsilcilerin ve katılımcıların eylemlerinden sorumludur.
  4. Taraflar, hizmet kapsamında paylaşılan gizli ticari bilgi, kurumsal belge, strateji, süreç, müşteri veya mağaza bilgilerini hizmetin ifası dışında kullanmamayı ve yetkisiz üçüncü kişilerle paylaşmamayı kabul eder. Daha kapsamlı non-disclosure veya özel gizlilik hükümleri gerektiğinde ayrıca yazılı veya elektronik ek sözleşme yapılabilir.

7. Teknik ve Organizasyonel Güvenlik Önlemleri

  1. Yetki ve erişim kontrolü, parola/kimlik doğrulama süreçleri ve rol bazlı erişim sınırlamaları.
  2. Ödeme kartı verilerinin Şirket sistemlerinde saklanmaması ve Stripe gibi uzman ödeme sağlayıcıları üzerinden işlenmesi.
  3. Bulut altyapısı, e-posta, dosya depolama ve eğitim platformlarında makul güvenlik konfigürasyonları.
  4. Gerektiğinde loglama, yedekleme, aktarım güvenliği, dosya erişim süresi sınırlaması ve hizmet sağlayıcı sözleşmeleri.
  5. Kişisel veri ihlali riskini azaltmak üzere veri minimizasyonu ve saklama süresi sınırlaması ilkeleri.

8. Alt İşleyenler

  1. Müşteri, Şirket'in hizmetlerin sunulması için alt işleyen kullanmasına genel izin verir.
  2. Mevcut veya öngörülen alt işleyen kategorileri: Stripe (ödeme), Microsoft 365/Graph/Teams (e-posta, ofis ve sınıf yönetimi), Google Cloud/GCS/Cloud Run (barındırma ve dosya teslimi), Vercel (website barındırma), Telegram ve WhatsApp (topluluk/iletişim), muhasebe, hukuk, vergi ve operasyon hizmet sağlayıcıları.
  3. Şirket, alt işleyenlerle veri koruma yükümlülükleri içeren sözleşmeler yapar veya ilgili sağlayıcının veri işleme şartlarına tabi olur.
  4. Önemli bir alt işleyen değişikliğinde Müşteri'ye makul yöntemle bildirim yapılabilir.

9. Uluslararası Aktarımlar

  1. Şirket Amerika Birleşik Devletleri'nde kurulu olacağından, EEA/UK/İsviçre kaynaklı kişisel veriler ABD'ye ve alt işleyenlerin bulunduğu ülkelere aktarılabilir.
  2. Uygulanabilir olduğu ölçüde taraflar, EEA dışı aktarımlar için Standart Sözleşme Maddeleri'ni, UK Addendum'u, İsviçre uyarlamalarını veya geçerli başka aktarım mekanizmalarını kullanmayı kabul eder.
  3. Şirket, aktarım yapılan alt işleyenlerin uygun veri koruma taahhütlerini değerlendirmek için makul ticari çabayı gösterir.

10. Veri Sahibi Hakları

  1. Şirket, veri işleyen olduğu hallerde veri sahibi taleplerini doğrudan yanıtlamak yerine, talebi gecikmeksizin Müşteri'ye iletebilir.
  2. Şirket, Müşteri'nin erişim, düzeltme, silme, itiraz, kısıtlama, taşınabilirlik ve rıza geri çekme taleplerini yerine getirmesine makul ölçüde yardımcı olur.
  3. Şirket'in bağımsız veri sorumlusu olduğu hallerde talepler Gizlilik Politikası'nda belirtilen iletişim adresi üzerinden değerlendirilir.

11. Kişisel Veri İhlali

  1. Şirket, veri işleyen olduğu hallerde kişisel veri ihlalinden haberdar olursa, makul şekilde mümkün olan en kısa sürede Müşteri'yi bilgilendirir.
  2. Bildirim; ihlalin niteliği, etkilenen veri kategorileri, alınan veya önerilen önlemler ve mevcutsa temas noktası hakkında eldeki bilgileri içerir.
  3. Şirket tarafından yapılan ihlal bildirimi, kusur veya sorumluluk kabulü anlamına gelmez.

12. Denetim ve Bilgi Sağlama

  1. Şirket, bu DPA kapsamındaki yükümlülüklerin yerine getirildiğini göstermek için Müşteri'ye makul bilgi sağlayabilir.
  2. Yerinde denetimler ancak önceden yazılı bildirim, gizlilik taahhüdü, iş sürekliliğini aksatmama ve güvenlik kurallarına uyum şartıyla yapılabilir.
  3. Şirket, ticari sır, sistem güvenliği veya diğer müşterilere ait gizli bilgileri ifşa etmek zorunda değildir.

13. Silme, İade ve Saklama

  1. Hizmet sona erdiğinde Müşteri'nin yazılı talebi üzerine, Şirket veri işleyen sıfatıyla işlediği kişisel verileri makul süre içinde siler veya iade eder.
  2. Yasal saklama, muhasebe, vergi, güvenlik, uyuşmazlık, dolandırıcılık önleme veya meşru ispat amaçlarıyla tutulması gereken kayıtlar bu yükümlülüğün dışındadır.
  3. Yedek sistemlerdeki kayıtlar olağan yedek döngüsü içinde silinir veya erişimden kaldırılır.

14. Sorumluluk ve Tazmin

  1. Taraflar, kendi veri koruma yükümlülüklerine aykırılık nedeniyle doğan doğrudan zararlardan uygulanabilir hukuk ve ana sözleşme sınırları dahilinde sorumludur.
  2. Müşteri, Şirket'e aktardığı veriler için gerekli bilgilendirme, hukuki dayanak, rıza ve yetkilendirmeleri sağlamakla yükümlüdür.
  3. Şirket'in toplam sorumluluğu, ana sözleşmede öngörülen sorumluluk sınırına tabidir.

15. Öncelik ve Yürürlük

  1. Bu DPA, kişisel veri işleme hükümleri bakımından ana sözleşmenin ve Kurumsal Program gibi B2B hizmetlere ilişkin Kullanım Koşulları'nın ayrılmaz parçasıdır.
  2. Ana sözleşme ile bu DPA arasında veri işleme hükümleri bakımından çelişki olması halinde bu DPA; ticari hükümler bakımından ana sözleşme uygulanır.
  3. Kurumsal Program, kurumsal danışmanlık, ekip eğitimi veya benzeri B2B hizmetlerde Müşteri'nin kurum, temsilci, çalışan, katılımcı veya davetli verilerini Şirket'e aktarması halinde bu DPA uygulanır. Taraflar ayrıca yazılı veya elektronik DPA, gizlilik sözleşmesi, NDA veya özel güvenlik eki imzalarsa, bu özel belge ilgili konuda öncelikli olarak uygulanır.
  4. Genel website kullanımı veya yalnızca bireysel iletişim formu gönderimi tek başına Müşteri adına veri işleme ilişkisi oluşturmaz; bu haller Gizlilik Politikası kapsamında değerlendirilir.