Veri İşleme Sözleşmesi · Data Processing Agreement

Sürüm 2.0-draft · 10 Mayıs 2026 / Version 2.0-draft · 10 May 2026

Bu DPA, ArchitectAPI AI Systems ("Veri İşleyen / Processor") ile Platform'u kullanan müşteri ("Veri Sorumlusu / Controller") arasında, KVKK m.12, GDPR Art. 28 ve UK GDPR Art. 28 kapsamında akdedilmiş eklerdir. Müşteri Platform'a kayıt olduğunda bu DPA otomatik olarak yürürlüğe girer.

🇹🇷 Türkçe 🇬🇧 English EU SCC Module 2 (Annexes) UK IDTA Addendum Special Categories §15

1. Tanımlar

Veri Sorumlusu (Controller): Kullanıcı (Tenant) — Platform üzerinde kendi iş faaliyetine ilişkin kişisel verileri belirleyen taraf.
Veri İşleyen (Processor): ArchitectAPI AI Systems — Veri Sorumlusu adına ve onun talimatları doğrultusunda kişisel verileri işleyen taraf.
Kişisel Veri: KVKK Madde 3, GDPR Art. 4(1), UK GDPR Art. 4(1)'de tanımlandığı şekilde.
Alt İşleyici (Sub-processor): ArchitectAPI'nin hizmet sunmak için kullandığı üçüncü taraf hizmet sağlayıcılar (liste: /processors).
SCCs: EU Komisyonu 2021/914 sayılı Standart Sözleşme Maddeleri.
UK IDTA: UK International Data Transfer Agreement / Addendum (Section 119A Data Protection Act 2018).

2. İşleme Konusu, Süre, Veri Tipleri

ArchitectAPI, Platform'un sunumu ve Veri Sorumlusu'nun aktive ettiği modüller kapsamında kişisel verileri yalnızca Sözleşme süresince ve Veri Sorumlusu'nun belgeli talimatlarına uygun olarak işler. Toplanan veri "veri minimizasyonu" ilkesine göre hizmetin işlevi için zorunlu olanla sınırlıdır (KVKK m.4/2-ç). Sözleşme sona erdiğinde veriler 30 gün içinde Veri Sorumlusu'na iade edilir veya silinir (yasal saklama yükümlülükleri saklıdır).

2.1 İşleme Kategorileri ve Saklama Süreleri

Kategori	Veri Tipi	Veri Sahibi	Saklama (asgari)
Hesap	Firma ünvanı, e-posta, ad-soyad/telefon (opsiyonel)	Kullanıcı çalışanları	Hesap aktif + 30 gün
TahsilatOS	Borçlu adı, tutar, vade, iletişim bilgisi	Kullanıcı müşterileri	5 yıl (TBK ortalama zamanaşımı)
Belge	Fatura, sözleşme, dilekçe içerikleri	Değişken	Kullanıcı silene + 7 gün
Ödeme	Tutar, faturalama metadata (PAN saklanmaz)	Kullanıcı	10 yıl (VUK 253)
Audit Log	Kim, ne zaman, hangi aksiyon	Kullanıcı çalışanları	2 yıl
Oturum/Giriş kayıtları	IP son okteti maskeli, tarayıcı, zaman	Kullanıcı çalışanları	90 gün

* zorunlu alan; diğerleri Kullanıcı tercihine bağlıdır.

3. Veri Sorumlusu'nun Yükümlülükleri

İşlenecek veriler için uygun hukuki sebebi (açık rıza, sözleşme, meşru menfaat vb.) sağlar.
Kendi müşterileri/ilgili kişileri KVKK Madde 10, GDPR Art. 13/14 kapsamında aydınlatır.
ArchitectAPI'ye yalnızca belgeli, yazılı talimatlar (API + yapılandırma) gönderir.
Sensitive / Special Category Data işleyecekse §15 hükümlerini takip eder.

4. Veri İşleyen'in Yükümlülükleri (ArchitectAPI)

Verileri yalnızca Veri Sorumlusu talimatlarıyla işler; kendi amaçları için kullanmaz veya satmaz.
Çalışanları için KVKK/GDPR farkındalık eğitimi ve yazılı gizlilik taahhüdü alır.
Bölüm 6'daki teknik ve idari tedbirleri uygular.
Alt işleyici değişikliklerini 30 gün önceden bildirir.
Veri Sorumlusu'nun DSR (erişim, silme, taşınabilirlik, düzeltme, itiraz) taleplerine 30 gün içinde destek verir.
Veri ihlali tespit ettiğinde 48 saat içinde Veri Sorumlusu'na bildirim yapar (Bölüm 7).

5. Alt İşleyiciler

Güncel alt işleyici listesi /processors sayfasında yayımlanır. Listede değişiklik halinde Veri Sorumlusu 30 gün önceden e-posta ile bilgilendirilir. Veri Sorumlusu yeni alt işleyiciye makul itiraz gerekçesi ile itiraz edebilir; bu durumda etkilenen hizmet durdurulabilir, alternatif çözüm aranır veya Veri Sorumlusu pro-rata iade ile sözleşmeyi feshedebilir.

6. Teknik ve İdari Tedbirler (TOM)

KVKK m.12 ve GDPR Art. 32 uyarınca, alınan tedbirlerin genel niteliği aşağıda özetlenmiştir. Spesifik yapılandırma detayları (sürüm, algoritma, ağ topolojisi) güvenlik gereği yayınlanmaz; bunlar denetim hakkı (Bölüm 9) kapsamında talep üzerine, NDA altında paylaşılabilir.

Şifreleme: Transit (HTTPS/TLS) ve at-rest şifreleme uygulanır. Kart bilgisi (PAN) saklanmaz.
Erişim kontrolü: Rol bazlı erişim (least-privilege); yönetici erişimleri çok faktörlü kimlik doğrulama (MFA) ile korunur.
Tenant izolasyonu: Veri tabanı seviyesinde tenant-bazlı izolasyon + uygulama seviyesinde ikinci kontrol.
Audit log: Append-only kayıt; kritik aksiyonlar değişmez (tamper-evident) loglanır.
Yedekleme & geri yükleme: Düzenli otomatik yedekleme + Point-in-Time Recovery. Felaket senaryosu için yedek farklı bir region/sağlayıcıda tutulur.
Yazılım güvenliği: CI/CD pipeline'ında otomatik güvenlik taraması (SAST + bağımlılık) zorunludur.
Fiziksel güvenlik: Kullanılan bulut altyapısı sağlayıcılarının ISO 27001 / SOC 2 sertifikalı veri merkezleridir.
Olay müdahale: 7/24 müdahale; KVKK m.12/5 + GDPR Art. 33 kapsamında ihlal bildirimi (bkz. Bölüm 7).
Pseudonymisation / anonimleştirme: Mümkün olduğunda uygulanır; analitik amaçlı IP'ler maskelenir.

7. Veri İhlali Bildirimi

ArchitectAPI, bir veri ihlali farkına vardığında:

48 saat içinde Veri Sorumlusu'nu bilgilendirir;
ihlalin niteliği, etkilenen kayıt sayısı ve kategorisini raporlar;
alınan ve alınacak teknik/idari önlemleri açıklar;
KVKK Madde 12 / GDPR Art. 33–34 çerçevesinde Kurum'a 72 saat içinde bildirim yapılmasında Veri Sorumlusu'na destek verir.

8. Uluslararası Aktarım

ArchitectAPI öncelikli olarak Türkiye'de mukim bulut altyapısı kullanmayı hedefler. Bazı modüllerin işlevi gereği (örn. uluslararası ödeme, e-posta dağıtımı, üçüncü taraf AI modelleri) AB veya ABD'de mukim sağlayıcılarla sınırlı kapsamlı veri aktarımı gerçekleşebilir. Bu aktarımlar:

KVKK (Türkiye): KVKK m.9 kapsamında, yeterli koruma sağlanan ülke / Kurul izni / taahhütname / açık rıza esasına göre yapılır.
EU/EEA → 3. ülke: EU Komisyonu 2021/914 sayılı Standart Sözleşme Maddeleri (SCC) Module 2 (controller-to-processor) uygulanır. Detaylı annex'ler için bu sayfanın "EU SCC Module 2" sekmesi.
Şeffaflık: Hangi sağlayıcıların hangi ülkede hizmet verdiği /processors sayfasında listelenir. Veri Sorumlusu yeni alt işleyiciye makul gerekçe ile itiraz edebilir (Bölüm 5).

Uluslararası aktarım kapsamı minimal tutulur; mümkün olduğunda EU/Türkiye region'larındaki kaynaklar tercih edilir.

9. Denetim Hakkı

Veri Sorumlusu, uygun gerekçe ve 30 gün önceden bildirim ile yılda 1 defa ve ücreti kendisine ait olmak üzere, ArchitectAPI'nin TOM uygulamalarını denetleyebilir. Denetim doğrudan hizmet sunumuna halel getirmemelidir; gizli/rekabet hassasiyet içeren bilgiler maskelenebilir. Alternatif olarak SOC 2 Type II / ISO 27001 raporu paylaşımı kabul edilir.

10. İade ve Silme

Sözleşme sona erdiğinde veya Veri Sorumlusu'nun yazılı talebi üzerine, ArchitectAPI işlediği kişisel verileri 30 gün içinde Veri Sorumlusu'na yapısal bir formatta (JSON/CSV) iade eder ve/veya siler. Yasal saklama yükümlülükleri (ör. VUK 10 yıl) varsa süre sonuna kadar izole şekilde saklanır, başka bir amaçla işlenmez.

11. Sorumluluk ve Zarar

KVKK Madde 12, GDPR Art. 82 ve UK GDPR Art. 82 kapsamında oluşabilecek idari para cezaları ve/veya veri sahibi tazminat taleplerinde, ilgili ihlali kim sebep olmuşsa orantısal sorumluluk o tarafça üstlenilir. Her halükarda ArchitectAPI'nin toplam sorumluluğu, talepten önceki 12 ayda Veri Sorumlusu tarafından ödenen ücretlerle sınırlıdır (Kullanım Koşulları m.10 ile uyumlu).

12. Geçerlilik

İşbu DPA, ana Kullanım Koşulları ile birlikte okunur ve onun eki sayılır. DPA ile Kullanım Koşulları arasında çatışma halinde DPA öncelikli uygulanır.

13. İletişim

Veri Koruma Sorumlusu: support@architectapi.com · Genel hukuki: support@architectapi.com · Künye: /imprint

1. Definitions

Controller: Customer (Tenant) — the party determining purposes and means of processing.
Processor: ArchitectAPI AI Systems — processes personal data on Controller's behalf.
Personal Data: as defined in KVKK Art. 3, GDPR Art. 4(1), UK GDPR Art. 4(1).
Sub-processor: third-party service providers we use (list at /processors).
SCCs: EU Commission Implementing Decision (EU) 2021/914 Standard Contractual Clauses.
UK IDTA: UK International Data Transfer Agreement / Addendum (DPA 2018 § 119A).

2. Subject Matter, Duration, Categories

ArchitectAPI processes personal data only for the duration of the agreement and on Controller's documented instructions, in scope of the modules Controller activates. On termination, data is returned or deleted within 30 days (subject to legal retention obligations).

2.1 Processing Categories

Category	Data Type	Data Subjects	Retention
Account	Name, email, phone, role	Customer's employees	Active + 90 days
Collections (TahsilatOS)	Debtor name, amount, due date, contact	Customer's debtors	7 years
Documents	Invoices, contracts, drafts	Variable	Until deleted + 30 day backup
Payment	Amount, billing metadata (no PAN)	Customer	10 years (Tax Code)
Audit Log	Who/when/what	Customer's employees	7 years

3. Controller's Obligations

Establishes lawful basis for processing (Art. 6 GDPR / KVKK Art. 5).
Provides Art. 13/14 GDPR (or KVKK Art. 10) information notices to its data subjects.
Issues only documented, written instructions to ArchitectAPI (via API + configuration).
For Special Category data, follows §15 below.

4. Processor's Obligations (ArchitectAPI)

Processes only on Controller's documented instructions; does not use for own purposes or sell.
Ensures personnel are bound by written confidentiality and trained in GDPR / KVKK.
Implements TOMs in §6.
Provides 30-day prior notice of sub-processor changes.
Assists Controller with DSR requests (access, erasure, portability, rectification, objection) within 30 days.
Notifies Controller of personal data breach within 48 hours of awareness (§7).

5. Sub-processors

Current list at /processors. Changes notified by email 30 days in advance. Controller may object on reasonable grounds; affected service may be suspended, alternative sub-processor sought, or Controller may terminate the affected service with pro-rata refund.

6. Technical and Organisational Measures (TOM)

Encryption: TLS 1.2+ in transit; column-level encryption with pgcrypto for PII at rest.
Access control: Role-based (owner/admin/operator/viewer); internal service tokens rotated every 90 days; admin access requires MFA.
Tenant isolation: Two-layer (Row-Level Security + middleware filter).
Audit log: Append-only, tamper-evident (hash chain planned).
Backup: Point-in-Time Recovery, RPO ≤ 5min, RTO ≤ 30min target.
SDLC security: SAST/DAST in CI pipeline; dependency scanning every build.
Physical: Data centres (AWS, Hetzner) ISO 27001 + SOC 2 certified.
Incident response: 24/7 on-call + documented runbooks; summary shared on request.
Pseudonymisation: Where feasible; analytics IPs are anonymised.

7. Personal Data Breach Notification

ArchitectAPI shall:

Notify Controller within 48 hours of becoming aware of a breach;
Report nature, affected record count, categories;
Describe TOMs taken and to be taken;
Assist Controller in its 72-hour notification to the supervisory authority under GDPR Art. 33 / UK GDPR Art. 33 / KVKK Art. 12.

8. International Transfers

Mechanisms:

EU/EEA → third country: EU SCCs Module 2 (Controller-to-Processor) — see "EU SCC Module 2" tab for Annexes I/II/III.
UK → third country: UK IDTA or UK Addendum to EU SCCs — see "UK IDTA Addendum" tab.
EU/UK → US (DPF-certified): EU-U.S. Data Privacy Framework / UK Extension where applicable.
Türkiye → third country: Per KVKK Art. 9 — Board permit, undertaking, or explicit consent.
Schrems II: Transfer Impact Assessment available on request.

9. Audit Right

Once per year, with 30 days' notice, at Controller's expense, Controller may audit ArchitectAPI's TOMs. Audit must not unreasonably interfere with operations; trade secrets may be redacted. SOC 2 Type II or ISO 27001 reports accepted in lieu of on-site audit.

10. Return / Deletion

On termination or written request, ArchitectAPI returns personal data in structured format (JSON/CSV) and/or deletes within 30 days. Where Turkish tax law (10 years) applies, data is held in isolation for that period, not used for any other purpose.

11. Liability

Liability for fines / data subject claims (GDPR Art. 82, UK GDPR Art. 82, KVKK Art. 12) is allocated to the breaching party in proportion to fault. ArchitectAPI's aggregate liability is capped at fees paid in the 12 months preceding the claim (consistent with Terms §10).

12. Order of Precedence

This DPA is read together with the Terms of Service. In conflict, this DPA prevails.

13. Contact

Data Protection Officer: support@architectapi.com · Legal: support@architectapi.com · Imprint: /imprint

EU SCC Module 2 — Annexes (Decision 2021/914)

Where Controller is established in the EEA (or its data subjects are in the EEA) and ArchitectAPI processes data outside the EEA, the parties incorporate the EU Standard Contractual Clauses (Module 2 — Controller-to-Processor) by reference. The full text is available at eur-lex.europa.eu. The following Annexes complete the SCCs.

Annex I.A — List of Parties

Data Exporter (Controller): Customer (the legal entity executing the Terms of Service / DPA). Contact details, role and signature: held by ArchitectAPI under the Customer's account profile.

Data Importer (Processor): ArchitectAPI AI Systems (Türkiye). Address: see /imprint. Contact: support@architectapi.com. Role: Processor.

Annex I.B — Description of Transfer

Categories of data subjects: Customer's employees, contractors, end-customers, debtors (where Customer uses TahsilatOS), document subjects (where Customer uploads files).
Categories of personal data: Identity, contact, account, financial metadata, digital footprint, document content. No special category data unless Customer activates §15 addendum.
Sensitive data: None expected; if Customer transfers, restrictions in §15 apply.
Frequency of transfer: Continuous (operational platform).
Nature of processing: Storage, retrieval, structuring, hosting, AI inference (where modules activated), backup.
Purpose: Provision of the SaaS Platform per the Terms of Service.
Retention: See §2.1 above.
Onward transfers: To sub-processors listed at /processors, each bound by Module 3 SCCs (or equivalent) with ArchitectAPI.

Annex I.C — Competent Supervisory Authority

The supervisory authority of the Member State where the Customer (data exporter) is established. If Customer is established outside the EEA but represents EEA data subjects under GDPR Art. 3(2), Controller designates the authority of the Member State where the majority of data subjects reside.

Annex II — Technical and Organisational Measures

The TOMs in §6 of this DPA satisfy SCC Annex II requirements: pseudonymisation, encryption at rest and in transit, ongoing confidentiality/integrity/availability, regular testing, restoration after incident, ISMS certification of underlying infrastructure (AWS, Hetzner — ISO 27001).

Annex III — List of Sub-processors

The current list of authorised sub-processors is published at /processors and updated continuously. Sub-processors include (non-exhaustive): AWS (Frankfurt/Dublin), Hetzner (Nürnberg), Stripe (DPF-certified), Google Gemini (DPF), Anthropic (SCC), SendGrid (Twilio, SCC), Twilio (SCC), Meta WhatsApp Cloud API (SCC), Iyzico (TR), PayTR (TR), Netgsm (TR).

Clause 7 — Docking Clause

Optional. Not invoked at signing; available on Customer request.

UK IDTA / UK Addendum to EU SCCs

For transfers from the United Kingdom, the parties incorporate by reference either:

The UK International Data Transfer Agreement (IDTA) issued by the ICO under § 119A Data Protection Act 2018 (in force 21 March 2022), or
The International Data Transfer Addendum to the EU Commission SCCs ("UK Addendum"), issued by the ICO and laid before Parliament under § 119A DPA 2018 (in force 21 March 2022).

Tables (UK Addendum)

Table 1 — Parties & Effective Date: Customer (Exporter), ArchitectAPI AI Systems (Importer). Effective date = date Customer accepts the Terms of Service.
Table 2 — Selected SCCs, Modules and Operative Clauses: Module 2 (Controller-to-Processor) of EU SCCs 2021/914.
Table 3 — Appendix Information: Annexes I, II, III of the EU SCCs (see "EU SCC Module 2" tab).
Table 4 — Ending the Addendum when the Approved Addendum changes: Either party may end this Addendum if the ICO issues a revised version that materially changes the parties' obligations.

Supervisory authority: Information Commissioner's Office (ICO), United Kingdom — ico.org.uk.

§15. Special Category Data (GDPR Art. 9 / KVKK Özel Nitelikli)

15.1 Default Position

The Platform is not designed to process special-category personal data — health, biometric, genetic, ethnic, racial, political, religious, philosophical, trade-union membership, sexual orientation, sex life — under GDPR Art. 9(1), nor "özel nitelikli kişisel veri" under KVKK Art. 6.

Customers must not upload such data to the Platform unless they have first contacted support@architectapi.com and executed a Special Category Data Addendum with ArchitectAPI.

15.2 Customer's Lawful Basis Obligation

Where Customer obtains a Special Category Data Addendum, Customer warrants that it has a lawful basis under GDPR Art. 9(2) (typically explicit consent, employment law, vital interests, or substantial public interest) and, for KVKK, the conditions in Art. 6(2) or explicit consent.

15.3 Enhanced Technical Measures

Under the Special Category Data Addendum, ArchitectAPI provides:

Application-layer envelope encryption (KMS-backed customer keys);
Restricted sub-processor list (no AI sub-processors unless Customer explicitly opts in);
Enhanced audit logging with end-customer identifiable export;
Dedicated data residency option (EU-only or TR-only) with no replication outside the chosen region;
Quarterly TOM attestation in writing.

15.4 Sub-processor Restrictions

By default, Special Category Data is excluded from AI sub-processor inference (Google Gemini, Anthropic). If Customer wishes to enable AI processing of Special Category Data, an additional consent flow at the data subject level is required, and the Customer must record evidence per GDPR Art. 9(2)(a).

15.5 Children's Data (Art. 8 GDPR)

The Platform is not directed at children. Customers must not upload data of children under 16 (EU) / 13 (US — COPPA) / 18 (TR — KVKK practice for minors) without explicit guardian consent and a separate addendum with ArchitectAPI's DPO.

15.6 Termination Right

If Customer breaches §15.1 by uploading Special Category Data without an addendum, ArchitectAPI may suspend the Customer's account on 7 days' written notice and, on continued breach, terminate the Agreement under Terms §12 with no refund liability for the breach period.