KVKK kapsamında veri sorumlusu ve veri işleyen arasındaki sorumlulukları düzenleyen protokol.
İşbu Veri İşleyen Ek Protokolü ("Protokol"), JUDIS Kullanıcı Sözleşmesi'nin ayrılmaz bir parçası olarak; bir yanda sisteme kayıt olan ve kişisel verilerin işlenme amaç ve vasıtalarını belirleyen Veri Sorumlusu ("Kullanıcı") ile diğer yanda Veri Sorumlusu adına kişisel verileri işleyen Veri İşleyen ("JUDIS TEKNOLOJİ VE YAZILIM A.Ş.") arasında akdedilmiştir. Bu Protokol'ün amacı, Kullanıcı'nın Platform'a yüklediği müvekkil/üçüncü kişi kişisel verilerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") uyarınca işlenmesi, korunması ve güvenliğine ilişkin tarafların sorumluluklarını belirlemektir.
2.1. Hukuka Uygunluk: Kullanıcı, Platform'a yüklediği, kaydettiği veya işlenmesi talimatını verdiği kişisel verileri (müvekkillerine veya davaya taraf olan diğer kişilere ait T.C. Kimlik No, ad-soyad, özel nitelikli veriler vb.) KVKK ve ilgili mevzuata tamamen uygun olarak elde ettiğini kabul ve taahhüt eder.
2.2. Aydınlatma ve Rıza: İlgili kişilere (müvekkillere) karşı KVKK Madde 10 kapsamındaki aydınlatma yükümlülüğünün yerine getirilmesi ve gerekiyorsa yurt dışı aktarımı dâhil KVKK Madde 5, 6 ve 9 kapsamında hukuki şartların sağlanması (veya açık rızalarının alınması) münhasıran Veri Sorumlusu olan Kullanıcı'nın sorumluluğundadır.
2.3. JUDIS'in Sorumsuzluğu: İlgili kişilerin verilerinin Platform'a yüklenmesi sebebiyle yapacakları şikayetlerden veya yetkili merciler tarafından kesilecek idari para cezalarından JUDIS sorumlu tutulamaz. JUDIS'e yöneltilecek her türlü hukuki ve cezai talep Kullanıcı'ya rücu edilir.
3.1. Talimatla İşleme: JUDIS, Platform'a yüklenen kişisel verileri yalnızca Kullanıcı'nın talimatları doğrultusunda ve Kullanıcı Sözleşmesi'nde belirtilen hizmetlerin sunulması amacıyla işler. Bu veriler JUDIS tarafından kendi ticari amaçları veya yapay zeka modellerinin eğitilmesi (training) için KULLANILAMAZ.
3.2. Gizlilik ve Sır Saklama: JUDIS, işlediği kişisel verileri mutlak bir gizlilik içinde tutmayı taahhüt eder. Platform yönetimi ile görevli JUDIS personeli, avukat-müvekkil gizliliğine uygun katı gizlilik sözleşmelerine (NDA) tabidir. Sır saklama yükümlülüğü, Protokol sona erdikten sonra da süresiz devam eder.
3.3. İhlal Bildirimi: JUDIS, sistemlerine yönelik yetkisiz bir erişim veya veri sızıntısı tespit etmesi halinde, bu durumu KVKK uyarınca derhal Kullanıcı'ya (Veri Sorumlusuna) bildirmekle yükümlüdür. Kurula ve ilgili kişilere yapılacak resmi bildirim Kullanıcı tarafından gerçekleştirilir.
JUDIS, KVKK Kurulunun güncel Kişisel Veri Güvenliği Rehberleri kapsamında verilerin güvenliğini sağlamak için aşağıdaki üst düzey teknik tedbirleri aldığını taahhüt eder:
a) Şifreleme (Envelope Encryption): Veri tabanındaki tüm hassas alanlar (dava detayları, görevler vb.), sektör standardı kriptografik algoritmalar ve organizasyona özel Veri Şifreleme Anahtarları (DEK) kullanılarak şifrelenir.
b) Dosya Güvenliği: Yüklenen belgeler yetkisiz dış erişime kapalı bulut altyapısında tutulur ve yalnızca yetkili Kullanıcı'ya anlık oluşturulan (presigned) sınırlı süreli bağlantılarla gösterilir.
c) Değiştirilemez Denetim İzleri (WORM Logs): Platform üzerindeki her türlü kişisel veri erişimi, değiştirilemez (WORM) log tablolarında kayıt altına alınır.
d) Veri İzolasyonu: Platform, çok kiracılı (multi-tenant) mimaride tasarlanmış olup, her bir Kullanıcı yalnızca kendi yetki matrisi dâhilindeki verilere erişebilir.
5.1. Altyapı (Yurt İçi): JUDIS platformunun ana sunucuları, veri tabanları ve dosya depolama sistemleri fiziksel olarak Türkiye Cumhuriyeti sınırları içerisinde barındırılmaktadır. Kullanıcı'ya ait dava dosyaları ve hassas içerikler, varsayılan olarak YURT DIŞINA AKTARILMAZ.
5.2. Alt İşleyenler (Yurt Dışı): JUDIS, hizmetin doğası ve teknik zorunluluklar gereği yalnızca aşağıdaki spesifik işlemler için yurt dışı merkezli yetkili Alt İşleyenler (servis sağlayıcılar) kullanır:
a) İletişim ve E-posta Servisleri: Sadece Kullanıcı'ya (Avukata) ait giriş, iletişim ve hesap doğrulama bilgileri (e-posta adresi), sistem bildirimleri (OTP, fatura, uyarı vb.) gönderilebilmesi amacıyla yurt dışı merkezli güvenli e-posta servis sağlayıcılarına aktarılır. Bu aktarım müvekkil verilerini kapsamaz.
b) Yapay Zeka (AI) Altyapısı: Kullanıcı'nın "Yapay Zeka (AI)" modüllerini kullanmayı kendi özgür iradesiyle (uygulama içi onay ile) tetiklemesi halinde; ilgili dava dosyaları ve istemler (promptlar), JUDIS'in Türkiye'deki sunucularında çalışan özel Maskeleme (NER) algoritmaları ile otomatik olarak maskelenir (Örn: Gerçek kişi adları, T.C. Kimlik Numaraları gizlenerek anonim etiketlere dönüştürülür). Yurt dışındaki yapay zeka altyapı sağlayıcılarına SADECE bu kişisel veriden arındırılmış, maskelenmiş metinler iletilir.
5.3. Kullanıcı Onayı: Kullanıcı, AI modülünü kullandığı an, bu maskelenmiş metinlerin yurt dışı altyapılarında işlenmesini ve gerekli olması halinde müvekkillerinden KVKK Madde 9 kapsamında ilgili izinleri aldığını kabul ve taahhüt eder. JUDIS, güncel Alt İşleyen listesini dilediği zaman değiştirme hakkını saklı tutar.
Kullanıcı'nın aboneliğinin sona ermesini takiben hesap 6 (altı) ay süreyle "Sadece Okuma" modunda tutulur. 6 aylık sürenin dolmasıyla birlikte veya Kullanıcı'nın yasal silme talebi üzerine; kanuni saklama yükümlülüğü olan veriler (log kayıtları, finansal veriler vb.) hariç olmak üzere, Kullanıcı'ya ait tüm dava verileri ve dosyalar geri döndürülemeyecek şekilde imha edilir veya şifreleme anahtarları yok edilerek erişilemez (anonim) hale getirilir.
İşbu Protokol, Kullanıcı Sözleşmesi'nin eki ve ayrılmaz bir parçası olup, Kullanıcı'nın Platform'a kayıt olurken onay kutucuğunu işaretlemesi ile yürürlüğe girer.
