Veri İşleme Sözleşmesi (DPA)
Data Processing Agreement
Son Güncelleme: 14 Haziran 2026
Bu Veri İşleme Sözleşmesi ("DPA"), RoomLogic AI platformu ("Veri İşleyen", "İşleyen") ile Platform'a kaydolan müşteri ("Veri Sorumlusu", "Sorumlu") arasında, kişisel verilerin işlenmesine ilişkin tarafların hak ve yükümlülüklerini düzenlemektedir.
Bu DPA, taraflar arasındaki Kullanım Koşulları'nın ayrılmaz bir eki ve parçasıdır. DPA ile Kullanım Koşulları arasında çelişki olması halinde, kişisel verilerin korunması konusunda bu DPA hükümleri geçerli olacaktır.
1. Tanımlar
Bu DPA'da kullanılan ancak burada tanımlanmayan terimler, Gizlilik Politikası'nda verilen anlamları taşır. Ayrıca:
- Veri Sorumlusu (Controller): Müşteri — otel misafirlerinin kişisel verilerinin işlenme amaçlarını ve vasıtalarını belirleyen taraf.
- Veri İşleyen (Processor): RoomLogic AI — Veri Sorumlusunun talimatları doğrultusunda kişisel verileri işleyen taraf.
- Veri Sahipleri (Data Subjects): Kişisel verileri işlenen otel misafirleri ve son kullanıcılar.
- Uygulanabilir Veri Koruma Mevzuatı: 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve diğer yürürlükteki veri koruma düzenlemeleri.
- Kişisel Veri İhlali: Kişisel verilerin kazara veya yasa dışı olarak yok edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz ifşası veya bunlara erişilmesi.
2. İşlemenin Kapsamı (Scope of Processing)
İşlenen Kişisel Veri Kategorileri
- İletişim bilgileri (ad, telefon numarası, e-posta)
- Mesajlaşma platformu kimlikleri (WhatsApp numarası, Facebook/Instagram kullanıcı ID'si)
- Mesaj içerikleri (metin, resim, ses dosyaları)
- Sesli arama kayıtları ve transkripsiyonları
- Rezervasyon bilgileri (tarih, oda tipi, kişi sayısı, fiyat)
- Etkileşim meta verileri (zaman damgaları, kanal bilgileri)
- Profil bilgileri (mesajlaşma platformu tarafından sağlanan)
Veri Sahipleri Kategorileri
- Otel misafirleri ve potansiyel misafirler
- WhatsApp, Instagram veya Facebook Messenger üzerinden otelin AI asistanıyla iletişime geçen son kullanıcılar
- Otelin telefon hattını arayan kişiler (sesli AI aktif ise)
3. İşlemenin Amacı (Purpose of Processing)
Veri İşleyen, kişisel verileri yalnızca aşağıdaki amaçlarla ve Veri Sorumlusunun talimatları doğrultusunda işler:
- AI asistan aracılığıyla misafir mesajlarına otomatik yanıt üretilmesi
- Sesli arama yönetimi ve yapay zeka destekli telefon asistanlığı
- Bilgi bankası (RAG) kullanılarak doğru ve bağlamsal yanıtlar oluşturulması
- PMS entegrasyonu üzerinden müsaitlik kontrolü, fiyat sorgulama ve rezervasyon yönetimi
- Konuşma geçmişinin saklanması ve sürekliliğin sağlanması
- Müşteriye analitik raporlar sunulması (konuşma istatistikleri, yanıt süreleri vb.)
- Hizmet kalitesinin izlenmesi ve teknik sorunların giderilmesi
4. Veri İşleyenin Yükümlülükleri
Veri İşleyen (RoomLogic AI) aşağıdaki hususlarda taahhütte bulunur:
- Kişisel verileri yalnızca Veri Sorumlusunun yazılı talimatları doğrultusunda işlemek; aksi yönde bir yasal zorunluluk bulunması halinde, mümkün olduğu ölçüde Veri Sorumlusunu önceden bilgilendirmek.
- Kişisel verilere erişim yetkisi olan tüm personelin gizlilik yükümlülüğüne tabi olmasını sağlamak.
- Uygulanabilir Veri Koruma Mevzuatının gerektirdiği teknik ve organizasyonel güvenlik önlemlerini almak ve sürdürmek.
- Alt işleyen kullanımına ilişkin bu DPA hükümlerine uymak.
- Veri Sorumlusunun, veri sahiplerinin haklarına ilişkin taleplerini yanıtlamasına yardımcı olmak.
- Veri güvenliği, etki değerlendirmesi ve yetkili makamlara danışma konularında Veri Sorumlusuna destek sağlamak.
- İşleme faaliyetinin sona ermesinde, Veri Sorumlusunun tercihine göre kişisel verileri iade etmek veya silmek.
- Uyum yükümlülüklerinin yerine getirildiğini göstermek için gerekli tüm bilgileri Veri Sorumlusunun kullanımına sunmak.
5. Veri Sorumlusunun Yükümlülükleri
Veri Sorumlusu (Müşteri) aşağıdaki hususlarda taahhütte bulunur:
- Kişisel verilerin işlenmesi için yasal bir dayanağın (açık rıza, sözleşme, meşru menfaat vb.) mevcut olduğunu sağlamak.
- Veri sahiplerini (misafirleri), kişisel verilerinin RoomLogic AI platformu aracılığıyla işleneceği konusunda usulüne uygun şekilde bilgilendirmek.
- RoomLogic'e verilen talimatların uygulanabilir veri koruma mevzuatına uygun olduğunu garanti etmek.
- Bilgi bankasına girilen verilerin doğruluğundan ve güncelliğinden sorumlu olmak.
6. Alt İşleyenler (Sub-processors)
Veri Sorumlusu, Veri İşleyenin aşağıda listelenen alt işleyenleri kullanmasına genel onay vermektedir. Veri İşleyen, yeni bir alt işleyen eklenmesi veya mevcut bir alt işleyenin değiştirilmesi durumunda Veri Sorumlusunu makul bir süre öncesinde bilgilendirecektir.
| Alt İşleyen | İşlev | Konum | İşlenen Veri |
|---|---|---|---|
| OpenAI | AI dil modeli (LLM) | ABD | Mesaj içerikleri, bilgi bankası verileri |
| Pinecone | Vektör veritabanı (RAG) | ABD | Vektörleştirilmiş bilgi bankası verileri |
| Meta Platforms | Mesajlaşma API | ABD/AB | Mesaj içerikleri, kullanıcı kimlikleri, profil bilgileri |
| Vercel | Hosting ve altyapı | ABD/AB | Tüm platform verileri (transit ve depolama) |
| Vapi.ai | Sesli AI orkestrasyon | ABD | Sesli arama verileri, transkripsiyonlar |
| NetGSM | Telefon altyapısı (SIP) | Türkiye | Telefon numaraları, arama meta verileri |
| ElevenLabs | Ses sentezi (TTS) | ABD | Yanıt metinleri (ses sentezi için) |
| Deepgram | Konuşma tanıma (STT) | ABD | Sesli arama ses verileri (transkripsiyon için) |
| Resend | E-posta hizmeti | ABD | E-posta adresleri, bildirim içerikleri |
| iyzico | Ödeme işleme | Türkiye | Fatura bilgileri, ödeme verileri |
Alt işleyenlerin güncel ve detaylı listesi Alt İşleyenler sayfamızda yayımlanmaktadır.
Veri Sorumlusu, yeni bir alt işleyene 15 gün içinde yazılı olarak itiraz edebilir. İtirazın haklı ve makul bulunması halinde Veri İşleyen, ilgili alt işleyeni kullanmayacak alternatif çözüm sunmaya çalışacaktır. Tarafların mutabık kalamaması durumunda, Veri Sorumlusu sözleşmeyi feshetme hakkına sahiptir.
7. Güvenlik Önlemleri (Security Measures)
Veri İşleyen, kişisel verilerin güvenliğini sağlamak için aşağıdaki teknik ve organizasyonel önlemleri uygulamaktadır:
Teknik Önlemler
- Tüm veri iletimi TLS 1.2+ (HTTPS) ile şifrelenmektedir
- Hassas veriler AES-256 standardında şifrelenerek depolanmaktadır
- API anahtarları ve erişim token'ları şifrelenmiş ortam değişkenlerinde saklanmaktadır
- Çok faktörlü kimlik doğrulama (MFA) desteklenmektedir
- Düzenli güvenlik taramaları ve zafiyet testleri gerçekleştirilmektedir
- Otomatik yedekleme ve felaket kurtarma prosedürleri mevcuttur
Organizasyonel Önlemler
- En az yetki prensibi (least privilege) uygulanmaktadır
- Kişisel verilere erişim, görev gerekliliğine göre sınırlandırılmaktadır
- Tüm veri erişimleri loglanmakta ve denetlenebilir durumdadır
- Gizlilik sözleşmeleri tüm yetkili personel için geçerlidir
- Olay müdahale ve veri ihlali yönetim prosedürleri belirlenmiştir
8. Kişisel Veri İhlali Bildirimi (Breach Notification)
Veri İşleyen, kişisel verilere ilişkin bir güvenlik ihlali tespit ettiğinde:
- Veri Sorumlusunu ihlali öğrenmesinden itibaren en geç 72 saat içinde yazılı olarak bilgilendirecektir.
- Bildirim aşağıdaki bilgileri içerecektir:
- İhlalin niteliği ve kapsamı
- Etkilenen veri kategorileri ve tahmini veri sahibi sayısı
- İhlalin olası sonuçları
- Alınan ve önerilen düzeltici önlemler
- İrtibat kişisi bilgileri
- İhlalin etkilerini azaltmak için derhal gerekli teknik ve organizasyonel önlemleri alacaktır.
- Veri Sorumlusunun, yetkili veri koruma otoritelerine ve/veya veri sahiplerine bildirimde bulunmasında tam destek sağlayacaktır.
- İhlalle ilgili tüm belgeleri ve kanıtları güvenli şekilde saklayacak ve Veri Sorumlusunun incelemesine sunacaktır.
9. Verilerin Silinmesi ve İadesi (Deletion & Return of Data)
İşleme faaliyetinin sona ermesi (sözleşme feshi, hesap kapatma vb.) üzerine:
- Veri İadesi: Veri Sorumlusunun talebi üzerine, kişisel veriler yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta (JSON veya CSV) iade edilecektir.
- Veri Silme: İade talebi yapılmaması veya silme talebi yapılması halinde, kişisel veriler sona erme tarihinden itibaren 30 gün içinde üretim sistemlerinden kalıcı olarak silinecektir.
- Yedekleme: Yedekleme ortamlarındaki veriler, üretim verilerinin silinmesinden itibaren en geç 90 gün içinde silinecektir.
- Silme Onayı: Veri İşleyen, silme işleminin tamamlandığına dair Veri Sorumlusuna yazılı onay sağlayacaktır.
- Yasal Saklama İstisnası: Uygulanabilir mevzuatın zorunlu kıldığı durumlarda (fatura kayıtları, vergi belgeleri vb.), ilgili veriler yasal saklama süresi boyunca muhafaza edilebilir. Bu durum Veri Sorumlusuna bildirilecektir.
10. Uluslararası Veri Transferleri
Kişisel verilerin Türkiye dışına aktarılması durumunda, Veri İşleyen aşağıdaki güvencelerin mevcut olduğunu sağlayacaktır:
- Avrupa Komisyonu tarafından kabul edilen Standart Sözleşme Maddeleri (Standard Contractual Clauses — SCC)
- KVKK madde 9 kapsamında yeterli koruma sağlayan ülkelere aktarım veya veri sahibinin açık rızası
- Alt işleyenlerin sağladığı ek güvenlik taahhütleri ve sertifikasyonlar (SOC 2, ISO 27001 vb.)
11. Denetim Hakkı (Audit Rights)
Veri Sorumlusu, Veri İşleyenin bu DPA kapsamındaki yükümlülüklerine uyumunu doğrulamak amacıyla:
- Makul bir süre öncesinde yazılı bildirimde bulunarak denetim talep edebilir.
- Denetimler yılda en fazla bir kez ve iş saatleri içinde gerçekleştirilecektir.
- Veri İşleyen, denetim için gerekli erişimi ve bilgiyi sağlayacaktır.
- Denetim maliyetleri Veri Sorumlusuna aittir (makul bir şekilde belirlenir).
- Alternatif olarak, Veri İşleyen bağımsız bir üçüncü tarafça düzenlenmiş güncel denetim raporunu (SOC 2 vb.) sunabilir.
12. Süre ve Fesih
Bu DPA, Kullanım Koşulları yürürlükte olduğu sürece geçerlidir. Kullanım Koşullarının herhangi bir nedenle sona ermesi halinde, bu DPA da otomatik olarak sona erer; ancak verilerin silinmesi veya iadesi ile gizlilik yükümlülüklerine ilişkin hükümler yürürlükte kalmaya devam eder.
13. İletişim
Bu DPA hakkında sorularınız veya talepleriniz için:
- E-posta: privacy@roomlogic.ai
- Yasal İletişim: legal@roomlogic.ai
- Adres: Balat Mahallesi, Koral Sokak, No 15/A Daire 5, Nilüfer / BURSA, TÜRKİYE
- Sorumlu Kişi: BERKAY SOYER