Yürürlük tarihi: Mayıs 2026 · Son güncelleme: 3 Haziran 2026 · Sürüm: v2.3 (Alternatif domain registrar seçenekleri üründen kaldırıldı; tek aktif registrar OnlineNIC. Önceki v2.2: Sentry/Anthropic/Mistral kaldırıldı; WHM/cPanel, Groq, Grok (xAI) eklendi; AI rıza sürümü 1.1)
Bu sayfa, KVKK m.8-9 + GDPR m.28(4) gereği kamuya açıklanan adlandırılmış alt işleyen tablosunu sunar. Kurumsal müşteriler imzalı bir DPA çerçevesinde 30 gün önceden bildirim alma hakkına sahiptir. Bölgesel veya ürün-özel ek alt işleyenler talep üzerine paylaşılır.
1. Adlandırılmış Alt İşleyenler — Tam Liste
Aşağıdaki tablo, RYSTAT (Unifics Limited bünyesinde) tarafından kişisel veri işleyen üçüncü taraf sağlayıcıların tam adlarını, hizmet kategorilerini, yargı çevrelerini, aktarılan veri kategorilerini ve KVKK m.9 / GDPR Bölüm V kapsamında uygulanan aktarım garantilerini içerir:
| Sağlayıcı | Hizmet | Yargı çevresi | Veri kategorileri | Aktarım mekanizması | DPA durumu |
|---|---|---|---|---|---|
| Stripe, Inc. | Ödeme işleme (kart + SEPA) | ABD (DPF üyesi) | Ödeme meta verisi, müşteri e-postası, fatura kimliği | SCC (2021/914) + EU-US DPF | Aktif |
| Hetzner Online GmbH | VPS ve sunucu barındırma + AI Builder yayınlanan site ziyaretçi analitik/form gönderileri | Almanya (AB) | Sunucu logları, IP adresi, müşteri panel meta verisi, yayınlanan site ziyaretçi PII (form gönderileri + analytics beacon) | AB-içi · aktarım yok | Aktif |
| CloudNS Ltd. | Otoritatif DNS barındırma | Bulgaristan (AB) | DNS sorguları, alan adı kayıt verisi | AB-içi · aktarım yok | Aktif |
| cPanel, L.L.C. (WebPros International) | WHM/cPanel hosting kontrol paneli (lisanslı sunucu yazılımı + lisans doğrulama telemetrisi) | ABD | Lisans aktivasyon meta verisi (sunucu IP, lisans anahtarı), cPanel kullanıcı adları, site yayın meta verisi | SCC (2021/914) + EU-US DPF | Aktif |
| OnlineNIC, Inc. | Alan adı tescili + SSL satış (varsayılan registrar) | ABD | WHOIS verisi (ad, e-posta, adres, telefon) | SCC (2021/914) | Aktif |
| Sectigo Limited | SSL Sertifika Otoritesi | Birleşik Krallık (GB) | Alan adı doğrulama verisi, sertifika talep verisi | Uygunluk kararı (UK adequacy) | Aktif |
| GoGetSSL (EnVers Group SIA / DigiCert Ireland Ltd) | SSL sertifikası düzenleme + yeniden düzenleme | Letonya (AB) → İrlanda (AB) | CSR + yönetici iletişim e-postası + DCV kayıtları | AB-içi · aktarım yok (DigiCert IE alt işleyenidir) | Aktif |
| SmarterTools, Inc. | SmarterMail e-posta sunucu yazılımı | ABD | E-posta meta verisi, alıcı/gönderici adresleri | SCC (2021/914) | Aktif |
| Hangzhou DeepSeek Artificial Intelligence Co., Ltd. | AI içerik üretimi (birincil — varsayılan sağlayıcı, AI_PROVIDER=deepseek) | Çin Halk Cumhuriyeti | AI promptları, içerik talimatları (kişisel veri içerebilir) | Açık rıza · GDPR m.49(1)(a) · KVKK m.9/6 | Aktif (kullanıcı AI rızası verdiğinde) |
| OpenAI, L.L.C. | AI içerik üretimi (opsiyonel sağlayıcı seçeneği) | ABD (DPF üyesi) | AI promptları, model girdileri | SCC (2021/914) + EU-US DPF | Rezerve — şu an aktif değil (OPENAI_API_KEY prod env'de ayarlı değil; ayarlandığında re-consent tetiklenir) |
| Groq, Inc. | AI içerik üretimi (opsiyonel sağlayıcı seçeneği — yüksek hızlı inference) | ABD | AI promptları, model girdileri | SCC (2021/914) | Rezerve — şu an aktif değil (GROQ_API_KEY prod env'de ayarlı değil; ayarlandığında re-consent tetiklenir) |
| X.AI, LLC (Grok) | AI içerik üretimi (opsiyonel sağlayıcı seçeneği) | ABD | AI promptları, model girdileri | SCC (2021/914) | Rezerve — şu an aktif değil (XAI_API_KEY prod env'de ayarlı değil; ayarlandığında re-consent tetiklenir) |
DeepSeek (PRC) için özel açıklama: Bu aktarım EDPB Tavsiye 01/2020 kapsamında Transfer Etki Değerlendirmesi'ne (TIA) tabidir ve GDPR m.49(1)(a) / KVKK m.9/6 uyarınca açık ve özel rıza alınmadıkça yapılmaz. Üye, hesap ayarlarındaki "Yapay zekâ özelliklerini kapat" seçeneğiyle rızasını her zaman geri çekebilir; geri çekme geleceğe yönelik etki gösterir. Aktif sağlayıcı yalnızca DeepSeek'tir; OpenAI / Groq / X.AI (Grok) sağlayıcıları kodda mevcut ancak prod env anahtarları ayarlanmadığı için şu an inaktiftir. Bu sağlayıcılar etkinleştirildiğinde re-consent (yeniden açık rıza) tetiklenir.
Wave B disclosure düzeltmesi (23 Mayıs 2026): Önceki v2.1 sürümü Anthropic PBC, Mistral AI SAS ve Functional Software (Sentry) sağlayıcılarını "Aktif" olarak listeliyordu. Bu üç sağlayıcı kod tabanına entegre değildir: Anthropic ve Mistral, AI provider union tipinde mevcut değil (src/lib/ai/provider.ts); Sentry SDK Wave 24m revertinden bu yana no-op stub durumundadır (commit 2112d5a8). KVKK m.10 + GDPR m.13 uyarınca "yanıltıcı şeffaflık" yaratmamak için bu üç sağlayıcı listeden çıkarıldı. Yeniden eklenmesi durumunda 30 günlük DPA bildirimi yapılır ve legal.ai_features_version bump'ı ile yeniden onay tetiklenir.
2. Kategoriler ve Veri Akışı Özeti
| Kategori | Sağlayıcılar | Toplam yargı çevresi |
|---|---|---|
| Barındırma ve veri merkezi | Hetzner Online GmbH | AB (DE) |
| DNS ve ağ | CloudNS Ltd. | AB (BG) |
| Hosting kontrol paneli | cPanel, L.L.C. (WebPros) | ABD (DPF) |
| Ödeme ve faturalandırma | Stripe, Inc. | ABD (DPF) |
| Alan adı ve SSL (aktif) | OnlineNIC, Inc. · Sectigo Limited · GoGetSSL (EnVers Group SIA / DigiCert IE) | ABD · GB · AB (LV/IE) |
| E-posta altyapısı | SmarterTools, Inc. | ABD |
| Yapay zekâ ve dil modelleri (aktif) | Hangzhou DeepSeek AI Co., Ltd. | Çin Halk Cumhuriyeti |
| Yapay zekâ ve dil modelleri (rezerve, env anahtar tetiklemeli) | OpenAI · Groq · X.AI (Grok) | ABD (DPF / standart) |
3. Seçim ve Gözetim
RYSTAT alt işleyen seçerken güvenlik, operasyonel uygunluk, veri koruma yükümlülükleri ve hizmet sürekliliği kriterlerini dikkate alır. Tüm adlandırılmış alt işleyenlerle KVKK m.8-9 + GDPR m.28(4) çerçevesinde yazılı veri işleyen sözleşmesi (DPA) imzalanmıştır veya imzalanma sürecindedir. RYSTAT, alt işleyenlerin veri koruma standartlarına uygunluğunu sağlamak için makul çabayı gösterir.
4. Güncellemeler ve Bildirim
Alt işleyen tablosu hizmet mimarisine, lokasyona ve kullanılan ürünlere göre güncellenebilir. RYSTAT, yeni bir alt işleyen eklemesi veya mevcut bir alt işleyende esaslı bir değişiklik yapması durumunda:
- Kamuya açık bildirim: Bu sayfa güncellenir ve "Son güncelleme" tarihi revize edilir.
- DPA müşterilerine bireysel bildirim (GDPR m.28(4)): Aktif Veri İşleyen Sözleşmesi (DPA) bulunan kurumsal müşteriler, kişisel veri işleme kapsamını etkileyen değişiklikler için en az 30 gün önceden e-posta ile bilgilendirilir. Müşteri, hukuki olarak gerekçeli bir itiraz hakkını saklı tutar.
- Güvenlik nedeniyle yasal olarak kısıtlanan bilgiler bildirim kapsamından muaftır.
5. Öncelik ve Çatışma
Bu metin ile başka bir sözleşme belgesi arasında çelişki olması halinde, aşağıda belirtilen öncelik sırası geçerli olacaktır:
- İmzalı kurumsal sözleşme, sipariş formu veya teklif eki
- Ürüne özel hizmet şartları
- Acceptable Use Policy (AUP)
- Hizmet Seviyesi Taahhüdü (SLA)
- Data Processing Agreement (DPA) (yalnızca veri işleme konularında)
- Kullanım Koşulları
- Gizlilik Politikası
- İade Politikası
- Bu Kamusal Alt İşleyen Çerçevesi
İmzalı kurumsal sözleşmeler, sipariş formları veya teklifler, bu kamusal belgelerden her zaman önceliklidir. Çelişki halinde, en spesifik ve güncel imzalı belge geçerli olacaktır.