Yürürlük tarihi: Mart 2026 · Son güncelleme: Mart 2026
Bu belge, kurumsal müşteriler için kamusal bir DPA çerçevesi sunar. Hizmete, lokasyona veya düzenleyici yükümlülüklere göre ek sözleşmesel hükümler gerekebilir.
1. Taraflar ve Roller
Bu DPA, RYSTAT markası altında hizmet sunan Unifics Limited ile müşteri arasında akdedilen hizmet sözleşmesinin eki niteliğindedir.
- Müşteri: kişisel veriler bakımından veri sorumlusu veya gerekli olduğu hallerde veri işleyen
- RYSTAT: hizmetin niteliğine göre veri işleyen veya alt işleyen
RYSTAT, hizmetin sunumu sırasında işlenen kişisel veriler üzerinde müşterinin talimatları doğrultusunda hareket eden bir veri işleyen veya alt işleyen konumundadır. Müşteri, işlenen verilerin veri sorumlusu olarak tüm yasal yükümlülüklerini yerine getirmekle sorumludur.
2. Konu, Süre ve Amaç
RYSTAT kişisel verileri yalnızca sözleşme kapsamındaki hizmetleri sağlamak, güvenliği sürdürmek, destek vermek ve belgelenmiş müşteri talimatlarını yerine getirmek amacıyla işler.
3. Veri Kategorileri ve İlgili Kişiler
| Kategori | Örnekler |
|---|---|
| İlgili kişi grupları | Müşteri çalışanları, son kullanıcılar, destek taleplerinde yer alan kişiler, ziyaretçiler |
| Veri kategorileri | Kimlik ve iletişim bilgileri, hesap verileri, log kayıtları, destek kayıtları, müşteri tarafından sisteme yüklenen içerikler |
| İşleme faaliyetleri | Barındırma, depolama, erişim, iletim, destek, loglama, güvenlik izleme, yedekleme |
4. Müşteri Talimatları
RYSTAT kişisel verileri yalnızca müşterinin belgelenmiş talimatları doğrultusunda işler; ancak uygulanabilir hukuk veya yetkili makam kararı farklı bir işlemeyi zorunlu kılıyorsa bu durum hariçtir. Bu tür bir zorunluluk halinde RYSTAT, yasal olarak engellenmediği sürece müşteriyi bilgilendirir.
5. Gizlilik ve Personel Yetkilendirmesi
RYSTAT kişisel verilere erişimi görev gereği bilmesi gereken personel ve yetkili hizmet sağlayıcıları ile sınırlar. Erişimi olan tüm kişiler, veri koruma mevzuatına uygun gizlilik yükümlülüklerine tabidir ve düzenli olarak veri güvenliği eğitimleri alır.
6. Güvenlik Tedbirleri
- Erişim kontrolü ve kimlik doğrulama mekanizmaları
- Loglama, olay izleme ve güvenlik alarm süreçleri
- Ağ segmentasyonu, güncelleme ve zafiyet yönetimi
- Şifreleme veya eşdeğer koruma tedbirleri
- Yedekleme ve süreklilik planları
- Fiziksel güvenlik önlemleri
RYSTAT, kişisel verilerin güvenliğini sağlamak için endüstri standartlarında teknik ve idari tedbirler uygular. Ancak, internet üzerinden yapılan hiçbir aktarım veya elektronik saklama yöntemi mutlak güvenlik garantisi vermez. Müşteri, kendi sistem ve uygulamalarının güvenliğinden ve yedeklemelerinden sorumludur.
7. Alt İşleyenler
RYSTAT hizmetin sunulması için alt işleyenlerden yararlanabilir. Alt işleyenler; barındırma, veri merkezi, ağ, destek, izleme, iletişim ve faturalandırma sağlayıcıları olabilir.
RYSTAT alt işleyenlerle uygun sözleşmesel yükümlülükler kurar ve makul düzeyde gözetim uygular. Müşteri, RYSTAT'ın alt işleyen kullanmasına onay verir. RYSTAT, yeni bir alt işleyen eklemesi veya mevcut bir alt işleyende esaslı bir değişiklik yapması durumunda, yasal olarak engellenmediği sürece müşteriyi bilgilendirir. Müşteri, bu bildirime makul bir süre içinde itiraz etme hakkına sahiptir. İtirazın haklı bulunması halinde taraflar, sözleşmenin feshi dahil olmak üzere uygun çözümler üzerinde mutabık kalır.
Güncel kamusal alt işleyen çerçevesi Alt İşleyen Çerçevesi sayfasında yayınlanır. Daha ayrıntılı kurumsal bilgi talep üzerine paylaşılabilir.
8. Uluslararası Veri Aktarımları
AEA dışına veri aktarımı veya bu bölgelerden erişim gerektiğinde, uygulanabilir hukuka uygun aktarım mekanizmaları kullanılır. Bunlar yeterlilik kararları, standart sözleşme hükümleri veya eşdeğer koruyucu çerçeveler olabilir. Müşteri, RYSTAT'ın bu tür aktarımları gerçekleştirmesine onay verir.
9. Veri Sahibi Talepleri ve Yardım
RYSTAT işleme faaliyeti ve hizmet mimarisi ölçüsünde müşteriye veri sahibi taleplerinin yanıtlanmasında makul yardım sağlar. Nihai değerlendirme ve cevaplama yükümlülüğü esasen veri sorumlusuna aittir. RYSTAT, veri sahibinden doğrudan bir talep alması halinde, yasal olarak engellenmediği sürece bu talebi müşteriye yönlendirir.
10. Kişisel Veri İhlalleri
RYSTAT kendi kontrol alanında tespit ettiği ve müşteri verilerini etkileyen kişisel veri ihlallerini uygulanabilir mevzuat ve olayın niteliği doğrultusunda gecikmeksizin müşteriye bildirir. Bu bildirim, ihlalin niteliği, etkilenen veri kategorileri, ilgili kişi sayısı, alınan önlemler ve olası sonuçlar hakkında bilgi içerir. RYSTAT, ihlalin araştırılması ve hafifletilmesi konusunda müşteriye makul ölçüde destek sağlar.
11. Denetim ve Bilgi Sağlama
RYSTAT makul gizlilik ve güvenlik sınırları içinde müşterinin uygun bilgi taleplerine yanıt verir. Yerinde denetim talepleri hizmet güvenliğini, diğer müşterilerin gizliliğini ve ticari sırları ihlal etmeyecek şekilde önceden mutabakat ile yürütülür. RYSTAT, denetim yerine, bağımsız üçüncü taraf denetim raporları veya sertifikasyonları sunabilir.
12. Hizmet Sonunda İade veya Silme
Hizmetin sona ermesi üzerine veriler sözleşme, hizmet mimarisi ve yasal saklama yükümlülükleri çerçevesinde silinir, anonim hale getirilir veya müşteriye iade edilir. Teknik yedeklerden silme olağan sistem döngüleri içinde gerçekleşebilir. Müşteri, hizmetin sona ermesinden önce verilerini yedeklemekle sorumludur.
13. Öncelik ve Çatışma
Bu metin ile başka bir sözleşme belgesi arasında çelişki olması halinde, aşağıda belirtilen öncelik sırası geçerli olacaktır:
- İmzalı kurumsal sözleşme, sipariş formu veya teklif eki
- Ürüne özel hizmet şartları
- Kabul Edilebilir Kullanım Politikası (AUP)
- Hizmet Seviyesi Taahhüdü (SLA)
- Bu Veri İşleme Sözleşmesi (DPA) (yalnızca veri işleme konularında)
- Kullanım Koşulları
- Gizlilik Politikası
- İade Politikası
- Kamusal açıklama metinleri (örn. Alt İşleyen Çerçevesi)
İmzalı kurumsal sözleşmeler, sipariş formları veya teklifler, bu kamusal belgelerden her zaman önceliklidir. Çelişki halinde, en spesifik ve güncel imzalı belge geçerli olacaktır.
14. İletişim
privacy@rystat.com
15 (Yeni). Managed / Self-Servis VDS Ürün Bazlı Rol Belirlemesi
15.1 Managed VDS
Managed VDS hizmetlerinde RYSTAT, hizmetin işletilmesi için zorunlu olarak işlediği operasyonel veriler bakımından KVKK 3/1-(ı) ve GDPR Art. 4(7) anlamında veri sorumlusu (controller) sıfatını taşır. Bu kapsamdaki veriler:
- Sunucu sağlığı, kapasite ve güvenlik metrikleri (CPU, RAM, disk I/O, ağ trafiği örüntüleri)
- İşletim sistemi log kayıtları (auth.log, syslog, kernel log) — güvenlik olayı tespiti amacıyla
- Off-site yedek meta-verisi (yedek zaman damgası, boyut, başarı durumu)
- Destek talebi içeriği (RYSTAT panelinden açılan ticketlar)
Müşterinin sunucu üzerinde barındırdığı uygulama, veritabanı içeriği, son kullanıcı kayıtları ve uygulama dosyaları için RYSTAT, müşteri talimatı doğrultusunda hareket eden veri işleyen (processor) sıfatını korur. RYSTAT bu kapsama yalnızca aşağıdaki hâllerde erişir: (a) müşteri tarafından açılan destek talebi gerekli kıldığında, (b) güvenlik olayı incelemesi zorunlu olduğunda, (c) hukuki yetkili makam talebi söz konusu olduğunda. Her erişim AuditLog kaydına alınır ve müşteri panelinden görüntülenebilir.
RYSTAT, Managed VDS kapsamında veri sorumlusu sıfatıyla işlediği veriler için Aydınlatma Metni / Gizlilik Politikası hükümlerine uyar ve bu DPA'nın 6. maddesindeki güvenlik tedbirlerine tam bağlılık taahhüt eder.
15.2 Self-Servis VDS
Self-Servis VDS hizmetlerinde RYSTAT, müşterinin sunucusunda barındırılan uygulama verilerine erişmez ve bu veriler üzerinde herhangi bir işleme faaliyeti gerçekleştirmez. RYSTAT bu hizmet türünde:
- Müşteri uygulamasındaki kişisel veriler bakımından alt işleyen (sub-processor) dahi sayılmaz; yalnızca teknik altyapı sağlayıcısı konumundadır.
- Müşteri, kendi uygulamasındaki kişisel veriler için tek başına veri sorumlusudur.
- RYSTAT'ın eriştiği yegâne veriler altyapı katmanı metrikleridir (donanım sağlığı, ağ trafiği toplam değerleri, fatura hesabı verileri); bunlar GDPR Art. 4(7) anlamında RYSTAT'ın kendi veri sorumlusu sıfatıyla işlediği operasyonel verilerdir.
Müşteri, Self-Servis VDS satın alarak, kendi uygulama katmanına ilişkin KVKK aydınlatma yükümlülüğü, açık rıza yönetimi, veri sahibi taleplerine yanıt, ihlal bildirimi ve teknik tedbirlerin uygulanmasından tek başına sorumlu olduğunu kabul eder.
15.3 5. Maddeye Atıf — RYSTAT'ın Eriştiği Veriler
Bu DPA'nın 5. maddesi (Personel Yetkilendirmesi) kapsamında, RYSTAT personelinin erişebildiği veri tipleri ürün modeline göre farklılaşır:
| Veri Tipi | Managed VDS | Self-Servis VDS |
|---|---|---|
| Donanım metrikleri (CPU/RAM/disk) | Erişilebilir | Erişilebilir |
| İşletim sistemi log kayıtları | Erişilebilir (operasyon) | Erişilemez (müşteri toplar) |
| Sunucu konsolu (rescue/KVM) | Erişilebilir (planlı bakım + acil) | Yalnızca müşteri talebi üzerine |
| Off-site yedek snapshot içeriği | Saklanır; içerik yalnızca müşteri talebiyle veya hukuki zorunlulukla okunur | Yedek tutulmaz |
| Uygulama veritabanı içeriği | Yalnızca destek talebi/güvenlik olayı kapsamında, AuditLog'lu | Erişilemez |
| Faturalandırma ve hesap verileri | Erişilebilir (RYSTAT controller) | Erişilebilir (RYSTAT controller) |
Tabloda yer alan tüm veri tipleri, RYSTAT'ın 6. maddedeki güvenlik tedbirlerine ve uygulanabilir KVKK/GDPR hükümlerine tabidir. Müşteri, uygulama içi verilere üçüncü taraf erişimini kontrol etmek istediği takdirde "Müşteri Anahtarı (BYOK)" veya uçtan uca şifreleme eklentisi talep edebilir.