--- title: "Veri İşleme Sözleşmesi (DPA)" description: "Son Güncelleme: 30 Mayıs 2026" canonical_url: "https://getminds.ai/legal/tr/dpa" last_updated: "2026-06-24T15:44:46.832Z" --- # Veri İşleme Sözleşmesi (DPA) **Son Güncelleme: 30 Mayıs 2026** GDPR madde 28 uyarınca bu Veri İşleme Sözleşmesi ("DPA"), Art of X UG (haftungsbeschränkt) ("Veri İşleyen", "biz") ile Müşteri ("Kontrolör", "siz") arasında hizmetlerimizin kullanımı için yapılan Sözleşmenin ("Ana Sözleşme") bir parçasını oluşturur. ## 1. Tanımlar - **Kişisel Veri**: Kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin herhangi bir bilgi (GDPR madde 4(1)). - **İşleme**: Kişisel Veri üzerinde gerçekleştirilen toplama, saklama, kullanma ve silme dahil herhangi bir işlem (GDPR madde 4(2)). - **Alt İşleyici**: Veri İşleyen tarafından Kişisel Verileri işlemek üzere görevlendirilen herhangi bir üçüncü taraf. - **GDPR**: 2016/679 (AB) Sayılı Tüzük (Genel Veri Koruma Tüzüğü). - **Veri İhlali**: Kişisel Verilerin kazara veya hukuka aykırı olarak imha edilmesine, kaybolmasına, değiştirilmesine, yetkisiz ifşa edilmesine veya bunlara erişime yol açan güvenlik ihlali (GDPR madde 4(12)). ## 2. İşlemenin Kapsamı ve Süresi 2.1 Bu DPA, Veri İşleyen tarafından hizmetlerle bağlantılı olarak Kontrolör adına gerçekleştirilen tüm Kişisel Veri İşleme faaliyetlerine uygulanır. 2.2 Veri İşleyen, Kişisel Verileri yalnızca Ana Sözleşmede tanımlandığı şekilde hizmetleri sağlamak amacıyla ve Kontrolörün belgelenmiş talimatlarına uygun olarak işleyecektir. 2.3 İşlemenin süresi, bu DPA hükümlerinden başka yükümlülükler doğmadığı sürece, Ana Sözleşmenin süresine karşılık gelir. ## 3. Veri İşleme Ayrıntıları
Kategori Açıklama
Konu AI destekli "Minds" platformunun sağlanması; AI asistanları, sentetik paneller, group-grounded simülasyonlar, API/MCP erişimi, tarayıcı eklentisi/widget iş akışları, entegrasyonlar, ses/mesajlaşma özellikleri ve ilgili hizmetler dahil
Süre Ana Sözleşmenin süresi boyunca
Nitelik ve Amaç Kontrolör tarafından sağlanan verilerden barındırma, kimlik doğrulama, saklama, erişim, analiz, simülasyon ve çıktı üretimi; Google Calendar, public API/MCP, kaynak çıkarımı, mesajlaşma/ses ve faturalandırma gibi isteğe bağlı entegrasyonların işletilmesi. Kontrolör verileri açık opt-in olmadıkça genel amaçlı veya üçüncü taraflara açık modelleri eğitmek için kullanılmaz.
Kişisel Veri Türleri İletişim, kimlik bilgileri, kullanım, içerik (metin, görsel, ses, dosya, URL), prompt ve çıktılar, embeddings, API anahtarları, OAuth tokenları, takvim/katılımcı meta verileri, telefon/mesaj/arama meta verileri ve etkinse ses, teknik veriler, ödeme (Stripe), audit ve güvenlik günlükleri
Veri Sahibi Kategorileri Kontrolör çalışanları ve temsilcileri, davet edilen son kullanıcılar, verileri girilen kişiler ve içerik, takvim etkinlikleri, mesajlar veya kamu kaynaklarında atıf yapılan kişiler
## 4. Talimat Hakları 4.1 Veri İşleyen, kendisine uygulanan Birlik veya Üye Devlet hukukunun gerektirdiği durumlar dışında, bu DPA'da ve Ana Sözleşmede belirtilen talimatlar dahil olmak üzere yalnızca Kontrolörün belgelenmiş talimatlarına dayalı olarak Kişisel Verileri işleyecektir. Böyle bir durumda, o hukuk bu bilgilendirmeyi yasaklamadıkça, Veri İşleyen İşlemeden önce Kontrolörü o yasal gereklilik hakkında bilgilendirecektir. 4.2 Talimatlar yazılı veya metin formunda (e-posta dahil) verilebilir. Sözlü talimatlar gecikmeksizin metin formunda onaylanacaktır. 4.3 Veri İşleyen, kendi görüşüne göre bir talimatın veri koruma hukukunu ihlal ettiği durumlarda derhal Kontrolörü bilgilendirecektir (GDPR madde 28(3) üçüncü cümle). Veri İşleyen, ilgili talimatın Kontrolör tarafından onaylanıp değiştirilene kadar yürütülmesini askıya alma hakkına sahip olacaktır. ## 5. Veri İşleyen Yükümlülükleri Veri İşleyen: 5.1 Kişisel Verileri yalnızca Kontrolörün talimatları kapsamında ve kendi amaçları için değil işleyecektir. 5.2 Kişisel Verileri işlemeye yetkili kişilerin gizliliğe bağlılık taahhüdünde bulunmalarını veya uygun bir yasal gizlilik yükümlülüğüne tabi olmalarını sağlayacaktır (GDPR madde 28(3)(b)). 5.3 Bu DPA'nın süresince GDPR madde 32 uyarınca uygun teknik ve organizasyonel önlemleri (TOM'lar) uygulayacak ve sürdürecektir. Güncel TOM'lar bu DPA'nın **Ek 1 – Teknik ve Organizasyonel Önlemler (TOM)** bölümünde açıklanmış olup [https://getminds.ai/legal/tom](/legal/tom) adresinde mevcuttur. 5.4 Veri İşleyen, İşleme ile bağlantılı olarak GDPR veya diğer veri koruma düzenlemelerinin herhangi bir ihlalinin farkına vardığında derhal Kontrolörü bilgilendirecektir. 5.5 Hukuken gerekli olduğunda bir Veri Koruma Görevlisi atayacaktır. Mevcut Veri Koruma Görevlisi: Prof. Dr. Norman Uhlmann, h3ko Innovations GmbH, Pappelallee 64, 16359 Biesenthal, Almanya. E-posta: [privacy@getminds.ai](mailto:privacy@getminds.ai) ## 6. Veri Sahibi Hakları 6.1 Veri İşleyen, mümkün olduğu ölçüde uygun teknik ve organizasyonel önlemlerle, Kontrolörün GDPR Bölüm III'te belirtilen veri sahiplerinin haklarını (erişim, düzeltme, silme, işlemenin kısıtlanması, veri taşınabilirliği, itiraz) kullanma taleplerine yanıt verme yükümlülüklerini yerine getirmesinde Kontrolöre yardımcı olacaktır. 6.2 Bir veri sahibi bir talep ile doğrudan Veri İşleyene başvurursa, Veri İşleyen talebi gecikmeksizin Kontrolöre iletecektir. ## 7. Veri Koruma Yükümlülüklerine Yardım 7.1 Veri İşleyen, İşlemenin niteliğini ve kendisinde mevcut bilgileri dikkate alarak, Kontrolöre GDPR madde 32 ila 36 uyarınca yükümlülüklere uyumun sağlanmasında yardımcı olacaktır, özellikle: - İşlemenin güvenliğinin sağlanması (GDPR madde 32); - Kişisel Veri ihlallerinin denetim otoritesine (GDPR madde 33) ve veri sahiplerine (GDPR madde 34) bildirilmesi; - Veri Koruma Etki Değerlendirmelerinin yürütülmesi (GDPR madde 35); - Denetim otoritesi ile önceden danışma (GDPR madde 36). 7.2 Veri İşleyen, görevlendirilen İşleme ile ilgili veri koruma denetim otoritelerinin talep ve soruşturmalarında Kontrolöre yardımcı olacaktır. ## 8. Alt İşleyiciler 8.1 Kontrolör, bu bölümdeki gerekliliklere tabi olarak, GDPR madde 28(2) uyarınca Alt İşleyicileri görevlendirmek için Veri İşleyene genel yazılı yetki verir. 8.2 Bu DPA'nın imzalandığı tarihte mevcut Alt İşleyiciler [https://getminds.ai/legal/subprocessors](/legal/subprocessors) adresinde listelenmiştir. 8.3 Veri İşleyen, Alt İşleyicilerin planlanan eklenmesi veya değiştirilmesi hakkında Kontrolörü, planlanan değişiklikten en az **14 gün** önce bilgilendirerek Kontrolöre itiraz etme fırsatı verecektir. 8.4 Kontrolör bildirim süresi içinde itirazlarını dile getirirse, taraflar dostça bir çözüme ulaşmaya çalışacaktır. Bu mümkün değilse, Kontrolör Ana Sözleşmeyi derhal etkili olacak şekilde feshetme hakkına sahip olacaktır. 8.5 Veri İşleyen, Alt İşleyicilerin bu DPA'da belirtilenlerden daha az koruyucu olmayan veri koruma yükümlülükleriyle bağlı olduğundan sözleşmesel olarak emin olacaktır (GDPR madde 28(4)). Veri İşleyen, Alt İşleyicilerinin eylem ve ihmallerinden kendi eylem ve ihmalleri gibi sorumlu olacaktır. ## 9. Uluslararası Aktarımlar 9.1 Kişisel Verilerin üçüncü bir ülkede veya uluslararası bir kuruluş tarafından işlenmesi yalnızca GDPR madde 44 ve devamı maddelerinin özel koşullarının karşılandığı durumlarda gerçekleşir. 9.2 Amerika Birleşik Devletleri'nde bulunan Alt İşleyiciler için aktarımlar şunlara dayanılarak gerçekleştirilir: - Alt İşleyicinin sertifikalı olduğu durumlarda AB-ABD Veri Gizliliği Çerçevesi (DPF) - (AB) 2021/914 Sayılı Komisyon Uygulama Kararı uyarınca Standart Sözleşme Maddeleri (SCC'ler) 9.3 Birleşik Krallık'taki Alt İşleyiciler için Avrupa Komisyonu'nun yeterlilik kararı (Karar 2021/1772) uygulanır. 9.4 Veri İşleyen, uygulanabilir yeterlilik kararları ve aktarım mekanizmalarının durumunu izler ve değişikliklerin aktarım temelinde bir düzenleme gerektirmesi durumunda Kontrolörü bilgilendirir. 9.5 Veri İşleyen veya Alt İşleyicilerinden herhangi biri, Kişisel Verilerin ifşası için bir hükümet emri (ABD CLOUD Yasası, FISA veya benzeri mevzuat kapsamındaki emirler dahil) alırsa, Veri İşleyen yasal olarak izin verildiği ölçüde gecikmeksizin Kontrolörü bilgilendirecektir. Veri İşleyen, herhangi bir Kişisel Veriyi ifşa etmeden önce emrin yasallığını inceleyecek ve makul yasal çözüm yollarını arayacaktır. ## 10. Kişisel Veri İhlali Bildirimi 10.1 Veri İşleyen, bir Kişisel Veri ihlalinin farkına vardığında, gecikmeksizin ve her halükarda **48 saat** içinde Kontrolörü bilgilendirecektir. 10.2 Bildirim en azından şunları içerecektir: - İhlalin niteliğinin açıklaması, mümkün olduğunda ilgili veri sahiplerinin ve veri kayıtlarının kategorileri ve yaklaşık sayısı dahil; - Veri Koruma Görevlisinin veya diğer iletişim noktasının adı ve iletişim bilgileri; - İhlalin olası sonuçlarının açıklaması; - İhlali ele almak ve etkilerini hafifletmek için alınan veya önerilen önlemlerin açıklaması. 10.3 Veri İşleyen, GDPR madde 33 ve 34 uyarınca bildirim yükümlülüklerini yerine getirmede Kontrolöre yardımcı olacaktır. ## 11. Denetim Hakları 11.1 Veri İşleyen, GDPR madde 28 uyarınca belirlenen yükümlülüklere uyumu göstermek için gerekli tüm bilgileri Kontrolöre sunacaktır. 11.2 Kontrolör, Veri İşleyenin tesislerinde denetimler (incelemeler dahil) yapma veya atanmış bir denetçi tarafından yapılmasını sağlama hakkına sahip olacaktır. Bu tür denetimler makul bir bildirim süresi (en az 14 gün) ile normal çalışma saatlerinde gerçekleşecek ve Veri İşleyenin iş operasyonlarını makul olmayan bir şekilde bozmayacaktır. 11.3 Veri İşleyen, uyumu göstermek için güncel denetim raporları, sertifikalar veya bunların özetlerini sunabilir. 11.4 Atanan üçüncü taraf denetçiler önceden gizlilik yükümlülükleriyle bağlı olmalıdır. Denetim maliyetleri, Veri İşleyen tarafından bir ihlal tespit edilmedikçe Kontrolör tarafından karşılanacaktır. ## 12. Kişisel Verilerin Silinmesi ve İadesi 12.1 Ana Sözleşmenin sona ermesi üzerine, Kontrolörün verilerin yaygın, makine tarafından okunabilir bir formatta iadesini talep etmediği sürece, Veri İşleyen Kontrolör adına işlenen tüm Kişisel Verileri **30 gün** içinde silecektir. 12.2 Silme, mevcut tekniğin durumuna uygun olarak gerçekleştirilecek ve talep üzerine Kontrolöre yazılı olarak onaylanacaktır. 12.3 Birlik veya Üye Devlet hukukuna göre saklama gerektiği durumlarda, Veri İşleyen saklama yükümlülüğü ve ilgili veriler hakkında Kontrolörü bilgilendirecektir. ## 13. Sorumluluk 13.1 Tarafların sorumluluğu GDPR madde 82 ile yönetilecektir. 13.2 Veri İşleyen, GDPR'ye veya Kontrolörün talimatlarına uymayan İşleme nedeniyle meydana gelen zararlardan Kontrolöre karşı sorumlu olacaktır. 13.3 Veri İşleyen, Alt İşleyicilerinin eylem ve ihmallerinden kendi eylem ve ihmalleri gibi sorumlu olacaktır. 13.4 Ana Sözleşmede aksi kararlaştırılmadığı sürece, Veri İşleyenin toplam sorumluluğu, talebe yol açan olaydan önceki 12 ay içinde Veri İşleyene ödenen ücretlerle sınırlı olacaktır. Bu sınırlama, kasıtlı suistimal veya ağır ihmalden doğan taleplere veya GDPR'nin zorunlu hükümleri uyarınca sınırlandırılması caiz olmayan taleplere uygulanmayacaktır. ## 14. Bu DPA'da Değişiklikler 14.1 Veri İşleyen, hukukta değişiklikler, düzenleyici emirler, teknik gelişmeler veya işleme faaliyetlerindeki değişiklikler nedeniyle gerekli olduğunda, değişikliğin yürürlüğe girmesinden en az 30 gün önce bildirimde bulunarak bu DPA'da değişiklik yapabilir. 14.2 Kontrolör, hesabıyla ilişkili adrese e-posta ile değişiklikler hakkında bilgilendirilecektir. Değiştirilmiş sürüm [https://getminds.ai/legal/dpa](/legal/dpa) adresinde yayımlanacaktır. 14.3 Kontrolör, bildirimin alınmasından itibaren 30 gün içinde değişikliklere itiraz etmezse, değişiklikler kabul edilmiş sayılır. Veri İşleyen, değişiklik bildiriminde bu yasal sonuca dikkat çekecektir. 14.4 Kontrolör itiraz ederse, taraflar dostça bir çözüme ulaşmaya çalışacaktır. Bu mümkün değilse, Kontrolör Ana Sözleşmeyi derhal etkili olacak şekilde feshetme hakkına sahip olacaktır. ## 15. Son Hükümler 15.1 Bu DPA, Federal Almanya Cumhuriyeti yasalarına tabi olacaktır. 15.2 Bu DPA'dan doğan veya bu DPA ile bağlantılı tüm uyuşmazlıklarda münhasır yetkili mahkeme, yasal olarak caiz olduğu ölçüde Berlin olacaktır. 15.3 Bölüm 14'te aksi öngörülmediği sürece, bu DPA'da değişiklikler ve ekler metin formunda yapılmalıdır. 15.4 Bu DPA'nın herhangi bir hükmünün geçersiz olması veya geçersiz hale gelmesi durumunda, kalan hükümlerin geçerliliği etkilenmeyecektir. 15.5 Bu DPA ile Ana Sözleşme arasında çelişkiler olması durumunda, Kişisel Verilerin korunmasıyla ilgili olarak bu DPA üstün gelir. --- **Art of X UG (haftungsbeschränkt)** Köpenicker Straße 145, 10997 Berlin, Almanya Müdürler: Friedrich von Borries ve Alexander Doudkin Bu DPA ile ilgili sorular için iletişim: [privacy@getminds.ai](mailto:privacy@getminds.ai) --- ## Ek 1: Teknik ve Organizasyonel Önlemler (TOM) **Son Güncelleme: 30 Mayıs 2026** Art of X UG (haftungsbeschränkt) ("Minds"), kişisel verilerin işlenmesiyle ilgili riske uygun bir güvenlik düzeyi sağlamak amacıyla GDPR madde 32 uyarınca aşağıdaki teknik ve organizasyonel önlemleri uygular. --- ## 1. Erişim Kontrolü ### Fiziksel Erişim Kontrolü Minds altyapısı yalnızca sertifikalı bulut sağlayıcılarında barındırılır: - **DigitalOcean** – Frankfurt, Almanya veri merkezi (AB). Sertifikalar: SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018. - **Supabase** – Stockholm, İsveç veri merkezi (AB), AWS üzerinde barındırılmaktadır. Sertifikalar: SOC 2 Type II. Fiziksel güvenlik (biyometrik erişim kontrolleri, 7/24 gözetim, erişim günlüğü) tamamen bulut sağlayıcıları tarafından yönetilmektedir. ### Mantıksal Erişim Kontrolü - Tüm dahili sistemler ve yönetim arayüzleri için rol tabanlı erişim kontrolü (RBAC). - Üretim sistemlerine tüm çalışan erişimi için çok faktörlü kimlik doğrulama (MFA) gereklidir. - Bireysel kullanıcı hesapları – paylaşılan kimlik bilgisi yoktur. - En az ayrıcalık ilkesine uygun olarak erişim haklarının düzenli olarak gözden geçirilmesi ve iptal edilmesi. - API anahtarları ve kimlik bilgileri şifrelenmiş parola yöneticilerinde yönetilir. - OAuth tokenları, entegrasyon kimlik bilgileri ve API anahtarları kapsamlı, beklemede şifrelenmiş ve iptal edilebilirdir. --- ## 2. Şifreleme ### Aktarım Sırasında Şifreleme - Tüm veri aktarımları TLS 1.2 veya üzeri ile güvence altına alınmıştır. - HSTS (HTTP Strict Transport Security) tüm genel uç noktalar için etkindir. - Dahili servisler arası iletişim de şifrelenmiştir. ### Saklı Halde Şifreleme - Veritabanları (Supabase/PostgreSQL), saklı haldeki veriler için AES-256 şifreleme kullanır. - Dosya depolama (DigitalOcean Spaces / Supabase Storage), sunucu tarafı AES-256 şifreleme kullanır. - Yedekler şifrelenmiş biçimde saklanır. --- ## 3. Veri Ayrımı (Kiracı Yalıtımı) - Kiracı yalıtımı (PostgreSQL'de Row-Level Security) ile veritabanı düzeyinde müşteri verilerinin sıkı mantıksal ayrımı. - Her müşteri yalnızca kendi verilerine erişebilir – hem veritabanı hem de API düzeyinde uygulanır. - Otomatik testler, kiracılar arası veri sızıntısının oluşmadığından emin olur. --- ## 4. Erişilebilirlik ve Dayanıklılık ### Barındırma Mimarisi - Uygulama, otomatik ölçeklendirme ve sağlık kontrolleriyle DigitalOcean App Platform üzerinde çalışır. - Yüksek erişilebilirlik yapılandırmasıyla Supabase üzerinde veritabanı. ### Yedekleme ve Kurtarma - En az 7 gün saklama süresiyle günlük otomatik veritabanı yedeklemeleri. - PostgreSQL veritabanı için Point-in-Time Recovery (PITR). - Kurtarma prosedürlerinin düzenli testi. - Kurtarma Süresi Hedefi (RTO): SLA'da tanımlandığı şekilde. - Kurtarma Noktası Hedefi (RPO): maksimum 24 saat. --- ## 5. Olay Müdahale - Güvenlik olayları için belgelenmiş olay müdahale süreci. - Kişisel veri ihlalinden haberdar olmanın ardından Veri İşleme Sözleşmesi (DPA) uyarınca **48 saat** içinde Kontrolörün (müşterinin) bilgilendirilmesi. - Tüm güvenlikle ilgili olayların günlüğe kaydedilmesi ve takibi. - Olay müdahale planının düzenli olarak gözden geçirilmesi ve güncellenmesi. --- ## 6. Gizlilik ve Çalışan Yükümlülükleri - Tüm çalışanlar ve yükleniciler gizlilik sözleşmeleriyle (NDA'lar) bağlıdır. - Tüm çalışanlar için düzenli veri koruma eğitimi. - GDPR uyarınca veri gizliliğini koruma yükümlülüğü. - Kişisel verilere erişim yalnızca bilme ihtiyacı temelinde verilir. --- ## 7. Alt İşleyici Yönetimi - Alt işleyicilerin veri koruma ve güvenlik kriterlerine göre dikkatli seçimi. - Tüm alt işleyicilerin GDPR uyumlu veri işlemeye sözleşmesel yükümlülüğü. - Alt işleyicilerin düzenli olarak gözden geçirilmesi. - Güncel alt işleyici listesi [Alt İşleyiciler](/legal/subprocessors) sayfasında mevcuttur. - DPA uyarınca müşterilere tüm değişikliklerin önceden bildirilmesi. --- ## 8. Günlükleme ve İzleme - Sistem olaylarının ve erişimin merkezi olarak günlüğe kaydedilmesi. - Audit günlükleri API/MCP erişimini, OAuth ve entegrasyon değişikliklerini, takvim senkronizasyonu/webhook olaylarını ve güvenlikle ilgili yönetici işlemlerini kapsar. - AI model etkileşimlerinin izlenmesi ve izlemesi için **Langfuse** (AB'de barındırılır). - Ürün analitiği ve isteğe bağlı oturum tekrarı için **PostHog** - kalıcı analitik/oturum tekrarı yalnızca analitik rızasıyla; hukuken mümkün olduğunda sınırlı çerezsiz tanılama. - Otomatik uyarılarla kritik sistem metriklerinin izlenmesi. - Anomaliler için günlüklerin düzenli olarak gözden geçirilmesi. --- ## 9. Veri Minimizasyonu ve Takma Adlaştırma ### Veri Minimizasyonu - Yalnızca ilgili işleme amacı için gerekli olan kişisel verilerin toplanması ve işlenmesi. - İşlenen veri kategorilerinin gereklilik açısından düzenli olarak gözden geçirilmesi. - Tanımlanan saklama sürelerine uygun olarak artık gerekli olmayan verilerin otomatik silinmesi. ### Takma Adlaştırma - Teknik olarak uygulanabilir ve uygun olduğunda, kişisel veriler takma adlaştırılmış biçimde işlenir. - Dahili işleme esas olarak gerçek isimler yerine UUID'ler kullanır. - Analitik değerlendirmeler toplulaştırılmış veya takma adlaştırılmış temelde gerçekleştirilir. --- ## 10. Düzenli İnceleme ve Değerlendirme - Altyapı ve uygulamaların düzenli güvenlik değerlendirmeleri. - Bağımlılıklar bilinen güvenlik açıklarına karşı düzenli olarak kontrol edilir (bağımlılık taraması). - Bu TOM'ların en az yılda bir kez veya işleme faaliyetlerindeki önemli değişikliklerde gözden geçirilmesi ve güncellenmesi. - Mevcut tehdit ortamına dayalı olarak güvenlik önlemlerinin sürekli iyileştirilmesi. --- ## 11. Ek Önlemler ### Giriş Kontrolü - Kişisel verilerdeki değişikliklerin günlüğe kaydedilmesi (denetim izi). - Hangi verileri kimin, ne zaman girdiğinin, değiştirdiğinin veya sildiğinin izlenebilirliği. ### Aktarım Kontrolü - Veri aktarımları yalnızca şifrelidir. - Yeterli koruma düzeyi olmaksızın (yeterlilik kararı veya Standart Sözleşme Maddeleri) kişisel verilerin üçüncü ülkelere aktarılmaması. ### İşleme Kontrolü - Kişisel verilerin yalnızca Kontrolörün talimatlarına uygun olarak işlenmesi. - DPA'da sipariş üzerine işlemenin sözleşmesel düzenlenmesi. --- *Bu teknik ve organizasyonel önlemler, mevcut tekniğin durumuyla tutarlı bir koruma düzeyi sağlamak için düzenli olarak gözden geçirilir ve gerektiğinde güncellenir.*