Yürürlük tarihi: 12 Mayıs 2026 · Son güncelleme: 12 Mayıs 2026 · Sürüm: 1.0
Bu belge, RYSTAT'ın AI Site Builder, AI Assistant ve AI içerik üretimi gibi yapay zekâ özelliklerinde kullanılan üçüncü taraf AI sağlayıcılarının kamusal açıklamasıdır. Açıklama; KVKK m.9, GDPR Art. 28 ve Art. 49 ile uyumludur ve Alt İşleyen Çerçevesi belgesini tamamlar.
1. AI Sağlayıcı Tablosu
Aşağıdaki tablo, RYSTAT'ın AI özelliklerini sunmak için işbirliği yaptığı dört üçüncü taraf sağlayıcıyı, yargı bölgelerini, aktarım mekanizmalarını ve durumlarını özetler:
| Sağlayıcı | Yargı Bölgesi | Yeterlik Kararı | SCC Durumu | No-Train Garantisi | DPA Durumu |
|---|---|---|---|---|---|
| Hangzhou DeepSeek AI Co., Ltd. | PRC (Çin) | HAYIR — AB yeterlik kararı yok | Sınırlı (yerel ek koruma) | Talep edildi (sağlayıcı yanıtı bekleniyor) | Beklemede |
| Anthropic, PBC | ABD | EU-US DPF (koşullu) | Evet (EU SCC + DPF) | Evet (DPA ile sözleşmeye bağlı) | Aktif |
| OpenAI, LLC | ABD | EU-US DPF (koşullu) | Evet (EU SCC + DPF) | Evet (kullanılabilir durumda zero-retention) | Aktif |
| Mistral AI SAS | Fransa (AB içi) | İlgili değil (AB içi) | Evet (gerek yok — AB içi) | Evet | Aktif |
Kısaltmalar: SCC = Standard Contractual Clauses (Standart Sözleşme Şartları); DPA = Data Processing Agreement (Veri İşleme Sözleşmesi); DPF = Data Privacy Framework; PRC = People's Republic of China (Çin Halk Cumhuriyeti).
2. Veri Akışı
Kullanıcı tarafından AI özelliklerine girilen prompt ve parametre verisinin yolu aşağıdaki gibidir:
- Kullanıcı (panel veya AI Builder UI) — AI özellikleri toggle'ı aktif (açık rıza onayı verilmiş) iken serbest metin prompt + konfigürasyon girer.
- RYSTAT (Hong Kong, Unifics Limited) — Prompt verisi, RYSTAT'ın Hong Kong tüzel kişiliği tarafından alınır, audit trail kaydedilir ve seçilen AI sağlayıcısına TLS 1.2+ üzerinden iletilir.
- AI Sağlayıcısı (DeepSeek / Anthropic / OpenAI / Mistral) — Prompt'u işler ve yanıt üretir. Sağlayıcı politikası "no-train" ise prompt eğitim verisinde kullanılmaz; "zero-retention" varsa anında silinir.
- Yanıt (sağlayıcıdan RYSTAT'a) — Üretim çıktısı TLS şifreli kanalla RYSTAT'a döner, audit trail kaydedilir.
- RYSTAT'tan kullanıcıya — Yanıt kullanıcı paneline iletilir, kullanıcı kabul/redaksiyon yapar.
2.1 Aktarılan Veri Kategorileri
- Kullanıcının serbest metin promptu (içerik talimatı, soru, açıklama)
- Konfigürasyon parametreleri: dil, ton, hedef kitle, sektör, marka adı (varsa)
- Üretim bağlamı: sayfa açıklaması, içerik template kategorisi, çıktı format tercihi
2.2 Aktarılmayan Veri Kategorileri
- Panel hesap bilgileri (e-posta, ad, fatura adresi, ödeme bilgileri)
- Sunucu erişim bilgileri (cPanel/WHM kimlik bilgileri, SSH anahtarları)
- Müşterinin barındırdığı içeriğin tamamı (yalnızca kullanıcının prompt'a manuel olarak eklediği snippet'ler iletilir)
- İşlemsel veriler (faturalar, ödeme tarihçesi, support tickets)
3. Schrems II Risk Bilgilendirmesi — DeepSeek (PRC)
RYSTAT'ın birincil AI sağlayıcısı olan Hangzhou DeepSeek AI Co., Ltd. Çin Halk Cumhuriyeti yargı bölgesinde mukimdir. Bu sağlayıcıya yapılan veri aktarımı, AB Adalet Divanı'nın C-311/18 (Schrems II — 16 Temmuz 2020) kararı ışığında özel risk değerlendirmesini gerektirir.
3.1 PRC Devlet Erişimi — Yasal Çerçeve
- Devlet İstihbarat Kanunu (2017) m.7: "Tüm kuruluşlar ve vatandaşlar, ulusal istihbarat çalışmasına destek vermek, yardımcı olmak ve işbirliği yapmakla yükümlüdür." Bu hüküm, DeepSeek dahil tüm Çinli kuruluşlar için resmi devlet talebine uyum yükümlülüğü doğurur.
- Veri Güvenliği Kanunu (2021): Devlet, "ulusal güvenlik" gerekçesiyle kuruluşlardan veri talep edebilir.
- Kişisel Bilgi Koruma Kanunu (PIPL, 2021): Genel olarak veri sahibi haklarını düzenler, ancak istihbarat ve güvenlik istisnaları geniştir.
- Bağımsız yargısal denetim: Devlet erişim taleplerine karşı veri sahibi için etkili AB benzeri bir mahkeme yolu mevcut değildir.
3.2 "Essential Equivalence" Testi
CJEU C-311/18 ışığında, üçüncü ülke verisi alıcısının veri koruma seviyesi, AB içindekiyle "esasen eşdeğer" olmalıdır. PRC çerçevesi bu testi karşılamaz; bu nedenle DeepSeek aktarımı yalnızca GDPR Art. 49 derogasyonu (açık rıza) altında, kullanıcı açıkça bilgilendirildikten sonra yapılır.
3.3 Risk Azaltma Önlemleri
- Veri Minimizasyonu: Yalnızca AI üretimi için gereken prompt + parametre aktarılır; PII içermesi kullanıcı sorumluluğundadır (Terms 13/A.4).
- Şifreleme: Aktarımlar TLS 1.2+ ile yapılır.
- Açık Rıza: Kullanıcı /panel/profile (Gizlilik sekmesi) sayfasında AI toggle'ı manuel olarak aktifleştirmedikçe aktarım gerçekleşmez.
- Geri Çekme: Toggle kapatılarak gelecekteki aktarımlar anında durdurulur.
- Alternatif: Kullanıcı, AB içi alternatif (Mistral SAS) veya US (Anthropic / OpenAI DPF altında) sağlayıcıları seçme imkânına sahiptir.
Detaylı Transfer Impact Assessment (TIA) için lütfen legal@rystat.com adresine başvurunuz. TIA, EDPB Tavsiye 01/2020 metodolojisi ile yıllık güncellenir.
4. Kullanıcı Hakları
4.1 Açık Rızayı Geri Çekme
Kullanıcı, açık rızasını her zaman geri çekebilir:
- Panel üzerinden: /panel/profile (Gizlilik sekmesi) sayfasındaki "Yapay Zekâ Özellikleri" toggle'ını kapatın. Geri çekme anında etkili olur.
- E-posta ile: privacy@rystat.com adresine "AI rızası geri çekme" konulu mail gönderin. RYSTAT 30 gün içinde işlemi tamamlar ve teyit verir.
- Etkisi: İleriye yönelik — geçmişte gerçekleşmiş aktarımları geçersiz kılmaz (KVKK m.7, GDPR Art. 7(3)).
4.2 TIA ve Belge Talebi
Veri Aktarımı Etki Değerlendirmesi (Transfer Impact Assessment) ve diğer ilgili belgeler talep üzerine paylaşılır:
- DeepSeek (PRC) TIA:
docs/legal/tia-deepseek-2026.md(talep edilebilir) - AI sağlayıcısı DPA özetleri (kurumsal müşteri için tam metin sözleşme altında)
- İletişim: legal@rystat.com
4.3 Veri Sahibi Hakları
KVKK m.11 ve GDPR Art. 15-22 kapsamındaki haklar tüm AI sağlayıcılar için geçerlidir: erişim, düzeltme, silme, kısıtlama, taşınabilirlik, itiraz. Talepler privacy@rystat.com adresinden iletilir ve RYSTAT, ilgili sağlayıcıya geçirir.
5. Sağlayıcı Değişikliği Bildirimi
RYSTAT mevcut AI sağlayıcı listesini güncellediğinde aşağıdaki bildirim prosedürünü uygular:
- Yeni sağlayıcı eklenmesi: Bu durum yeni bir veri alıcısı anlamına geldiğinden, KVKK m.9 ve GDPR Art. 49(1)(a) çerçevesinde re-consent (yeniden açık rıza) tetiklenir. Kullanıcılar panelde bildirimle karşılaşır ve mevcut AI toggle'ı, kullanıcı yeni listeye onay verene kadar otomatik olarak pasifleştirilir.
- Mevcut sağlayıcı kaldırılması: Kullanıcılar bilgi amaçlı bildirilir; ek onay gerekmez. Aktivitenin alternatif sağlayıcıya yönlendirilmesi RYSTAT tarafından yapılır.
- Sağlayıcı politika değişikliği: Sağlayıcı no-train / SCC / DPA durumunu değiştirirse, etkilenen kullanıcılar bilgilendirilir ve gerekirse re-consent tetiklenir.
- Bildirim kanalları: Panel bildirimi + kayıtlı e-posta + bu sayfanın "Son güncelleme" tarihi.
Bu sayfa yalnızca kamusal bilgi sağlar. Spesifik kurumsal müşteri DPA'sı, sağlayıcı liste ekiyle birlikte talep üzerine paylaşılır.
6. İletişim
AI sağlayıcı açıklaması, açık rıza yönetimi, TIA talebi ve veri sahibi hakları için:
- Genel uyum / hukuki sorular: legal@rystat.com
- Gizlilik / KVKK / GDPR hakları: privacy@rystat.com
- Veri sorumlusu: Unifics Limited (Hong Kong) — RYSTAT markası