---
title: "Veri Koruma Etki Değerlendirmesi (DPIA)"
description: "Son Güncelleme: 30 Mayıs 2026"
canonical_url: "https://getminds.ai/legal/tr/dsfa"
last_updated: "2026-06-24T15:41:04.288Z"
---

# Veri Koruma Etki Değerlendirmesi (DPIA)

**Son Güncelleme: 30 Mayıs 2026**

Art of X UG (haftungsbeschränkt) tarafından işletilen Minds platformunun veri koruma risklerini, GDPR madde 35 uyarınca bu DPIA değerlendirir.

## 1. İşleme Tanımı

Minds, müşterilerin simüle paneller, araştırma, yaratıcı iş akışları, ses/mesajlaşma etkileşimleri, API/MCP iş akışları ve isteğe bağlı entegrasyonlar için sentetik AI personaları ("Minds"; eskiden "Sparks") oluşturmasını ve kullanmasını sağlar.

<table>
<thead>
  <tr>
    <th>
      Kategori
    </th>
    
    <th>
      Ayrıntılar
    </th>
  </tr>
</thead>

<tbody>
  <tr>
    <td>
      <strong>
        Veri sahipleri
      </strong>
    </td>
    
    <td>
      Kontrolör çalışanları, davet edilen son kullanıcılar, verileri girilen kişiler ve içerik, takvim etkinlikleri, mesajlar, aramalar veya kamu kaynaklarında atıf yapılan kişiler
    </td>
  </tr>
  
  <tr>
    <td>
      <strong>
        Veri türleri
      </strong>
    </td>
    
    <td>
      İletişim, kimlik bilgileri, kullanım, içerik (metin/görsel/ses/dosya/URL), prompt ve çıktılar, embeddings, API/OAuth tokenları, takvim etkinliği ve katılımcı meta verileri, SMS/WhatsApp/ses meta verileri, teknik veriler, ödeme (Stripe)
    </td>
  </tr>
  
  <tr>
    <td>
      <strong>
        Konumlar
      </strong>
    </td>
    
    <td>
      Birincil olarak AB (DE, SE), DPF/SCC kapsamında seçili APIler için ABD ve diğer üçüncü ülkeler, seçili ses hizmetleri için Birleşik Krallık
    </td>
  </tr>
  
  <tr>
    <td>
      <strong>
        Saklama
      </strong>
    </td>
    
    <td>
      Sözleşme süresi + 30 gün; daha kısa özellik bazlı saklama, rıza iptali, yasal saklama veya audit/güvenlik saklaması saklıdır
    </td>
  </tr>
  
  <tr>
    <td>
      <strong>
        Amaç
      </strong>
    </td>
    
    <td>
      AI platform hizmetleri, müşteri yönlendirmeli simülasyonlar, entegrasyonlar, kaynak toplama, mesajlaşma/ses, güvenlik ve destek. Açık opt-in olmadıkça genel amaçlı modellerin eğitimi yoktur.
    </td>
  </tr>
  
  <tr>
    <td>
      <strong>
        Teknoloji
      </strong>
    </td>
    
    <td>
      LLM APIleri, ses hizmetleri, kaynak/arama sağlayıcıları, Google Calendar, Twilio, DigitalOcean Frankfurt, Supabase Stockholm, Cloudflare, TLS 1.2+, AES-256.
    </td>
  </tr>
</tbody>
</table>

## 2. Gereklilik ve Orantılılık

- **Hukuki dayanak**: GDPR madde 6(1)(b) (sözleşme), GDPR madde 28 (veri işleyen), madde 6(1)(a) (analitik için rıza)
- **Amaç sınırlaması**: Yalnızca DPA uyarınca işleme. Model eğitimi, pazarlama veya yetkisiz paylaşım yok.
- **Veri minimizasyonu**: İsimler yerine UUID'ler, toplulaştırılmış analitik, otomatik silme
- **Saklama sınırlaması**: Sözleşme sonu sonrasında 30 gün silme, 30 gün yedek saklama

## 3. Risk Değerlendirmesi

<table>
<thead>
  <tr>
    <th>
      Risk
    </th>
    
    <th>
      Olasılık
    </th>
    
    <th>
      Etki
    </th>
    
    <th>
      Kalan Risk
    </th>
    
    <th>
      Azaltım
    </th>
  </tr>
</thead>

<tbody>
  <tr>
    <td>
      Yetkisiz erişim
    </td>
    
    <td>
      Düşük
    </td>
    
    <td>
      Yüksek
    </td>
    
    <td>
      Düşük
    </td>
    
    <td>
      MFA, RBAC, AES-256, Row-Level Security, kapsamlı ve iptal edilebilir tokenlar
    </td>
  </tr>
  
  <tr>
    <td>
      Veri ihlali
    </td>
    
    <td>
      Düşük
    </td>
    
    <td>
      Yüksek
    </td>
    
    <td>
      Düşük
    </td>
    
    <td>
      TLS 1.2+, şifreli yedekler, Cloudflare, olay süreci, 48 saat bildirimi
    </td>
  </tr>
  
  <tr>
    <td>
      Müşteri verisiyle talimatsız AI eğitimi
    </td>
    
    <td>
      Çok düşük
    </td>
    
    <td>
      Yüksek
    </td>
    
    <td>
      Çok düşük
    </td>
    
    <td>
      Varsayılan no-training, opt-in kontrolleri, sözleşmeler, mevcut olduğunda ZDR/no-retention
    </td>
  </tr>
  
  <tr>
    <td>
      Müşteriler arası sızıntı
    </td>
    
    <td>
      Çok düşük
    </td>
    
    <td>
      Kritik
    </td>
    
    <td>
      Çok düşük
    </td>
    
    <td>
      Row-Level Security, tenant kontrolleri, otomatik testler
    </td>
  </tr>
  
  <tr>
    <td>
      Devlet erişimi
    </td>
    
    <td>
      Düşük
    </td>
    
    <td>
      Orta
    </td>
    
    <td>
      Düşük
    </td>
    
    <td>
      AB birincil altyapı, DPF/SCC, aktarım incelemesi, şeffaflık
    </td>
  </tr>
  
  <tr>
    <td>
      Ses/benzerlik/klon ses kötüye kullanımı
    </td>
    
    <td>
      Düşük
    </td>
    
    <td>
      Yüksek
    </td>
    
    <td>
      Orta
    </td>
    
    <td>
      Rıza şartları, kabul edilebilir kullanım, günlükler, kaldırma/askıya alma
    </td>
  </tr>
  
  <tr>
    <td>
      Calendar/OAuth token kötüye kullanımı
    </td>
    
    <td>
      Düşük
    </td>
    
    <td>
      Yüksek
    </td>
    
    <td>
      Düşük
    </td>
    
    <td>
      Sınırlı izinler, şifreli token saklama, bağlantı kesme, webhook temizliği, audit
    </td>
  </tr>
  
  <tr>
    <td>
      Hukuka aykırı veya hassas kamu kaynak çıkarımı
    </td>
    
    <td>
      Orta
    </td>
    
    <td>
      Orta
    </td>
    
    <td>
      Orta
    </td>
    
    <td>
      Kullanıcı taahhütleri, yasaklar, kaynak logging, minimizasyon, silme
    </td>
  </tr>
  
  <tr>
    <td>
      Madde 50 öncesi AI şeffaflığı/köken boşluğu
    </td>
    
    <td>
      Orta
    </td>
    
    <td>
      Orta
    </td>
    
    <td>
      Orta
    </td>
    
    <td>
      Görünür etiketler, üretim meta verileri, 2 Ağustos 2026 hazırlığı
    </td>
  </tr>
  
  <tr>
    <td>
      Kullanılabilirlik kaybı
    </td>
    
    <td>
      Düşük
    </td>
    
    <td>
      Orta
    </td>
    
    <td>
      Düşük
    </td>
    
    <td>
      Günlük yedekler, PITR, RPO 24s, RTO 8s
    </td>
  </tr>
</tbody>
</table>

## 4. Önlemler

- **Teknik**: TLS 1.2+, AES-256, MFA, RBAC, Row-Level Security, AB altyapısı, Langfuse (AB), kapsamlı API/OAuth tokenları, entegrasyon audit günlükleri
- **Organizasyonel**: Harici DPO (Prof. Dr. Norman Uhlmann), NDA'lar, eğitim, 48 saat olay müdahale
- **Sözleşmesel**: Tüm alt işleyicilerle DPA'lar, ZDR garantileri, SCC'ler, 14 günlük değişiklik bildirimi, FISA şeffaflığı

## 5. Danışma

**DPO**: Prof. Dr. Norman Uhlmann, h3ko Innovations GmbH, Pappelallee 64, 16359 Biesenthal, Almanya. [privacy@getminds.ai](mailto:privacy@getminds.ai)

**Madde 36**: Önceden danışma gerekli değil (kalan risk "yüksek" değil).

**İnceleme**: Yıllık olarak, önemli değişikliklerde veya denetim otoritesinin talebi üzerine.

---

**Art of X UG (haftungsbeschränkt)** | Köpenicker Straße 145, 10997 Berlin | [privacy@getminds.ai](mailto:privacy@getminds.ai)