Yanıt AI
§ 0001
Chapter / Gizlilik
— Yasal

Gizlilik politikası

Yanıt AI'nin kişisel verilerinizi nasıl topladığını, kullandığını ve koruduğunu burada bulabilirsiniz. KVKK Md. 10 aydınlatma metni ile GDPR Art. 13/14 birleşik olarak sunulmuştur.

  1. § 01

    Veri sorumlusu

    Bu politika kapsamında kişisel verilerinizin işlenmesinden sorumlu veri sorumlusu Yanıt AI ("Yanıt AI", "biz")'dır. KVKK Md. 3/ı hükmü uyarınca veri sorumlusu iletişim bilgileri aşağıdadır:

  2. § 02

    İşlenen kişisel veri kategorileri

    Yanıt AI iki farklı veri sahibi grubu için kişisel veri işler:

    a) Platform kullanıcıları (ISP çalışanları, admin & temsilciler):

    • Kimlik: ad, soyad
    • İletişim: e-posta, iş telefonu (opsiyonel)
    • İşlem güvenliği: IP adresi, tarayıcı bilgisi, oturum logları, 2FA durumu
    • Audit log kayıtları: platformda yaptığınız işlemler

    b) ISP'nin son müşterileri (abone verileri): Bu veriler için veri sorumlusu ilgili ISP'dir; Yanıt AI yalnızca veri işleyen (processor) sıfatıyla hareket eder. ISP ile yapılan sözleşme KVKK Md. 12 ve GDPR Art. 28 hükümlerine uygundur.

  3. § 03

    İşleme amaçları

    Kişisel veriler aşağıdaki amaçlarla işlenir:

    • Platform hizmetinin sağlanması ve sözleşmenin ifası
    • Ücretlendirme ve fatura düzenleme
    • Bilgi güvenliği: brute-force koruması, hesap kilitleme, denetim izi (hash-chain'li audit log)
    • Yasal yükümlülüklerin yerine getirilmesi (Türk Ticaret Kanunu, KVKK)
    • Hizmet geliştirme ve ürün iyileştirme (sadece anonim/toplu veri)
    • İletişim: hesap bildirimleri, güvenlik uyarıları
  4. § 04

    İşleme hukuki sebepleri

    KVKK Md. 5 ve GDPR Art. 6 kapsamında işleme aşağıdaki hukuki sebeplere dayanır:

    • Sözleşmenin kurulması ve ifası — platform hesap yönetimi, hizmet sunumu
    • Hukuki yükümlülük — fatura saklama, denetim izi, yetkili kurum talepleri
    • Meşru menfaat — bilgi güvenliği, dolandırıcılık önleme, hizmet kalitesi
    • Açık rıza — pazarlama iletişimleri için (kullanıcının açık onayı ile)
  5. § 05

    Aktarım — kimlerle paylaşılır

    Kişisel veriler, aşağıdaki hizmet sağlayıcılara hizmetin gerektirdiği ölçüde aktarılır. Yurt dışına aktarım KVKK Md. 9 kapsamında ilgili güvenceler ve/veya açık rıza ile yapılır.

    • Barındırma (hosting): Railway (ABD) — Uygulama API sunucuları. Standart sözleşme hükümleri (SCC) altında.
    • Veritabanı: PostgreSQL (Supabase / AB bölgesi).
    • Ödeme işlemleri: Stripe (ABD, SCC) ve Iyzico (Türkiye). Kart bilgilerinizi biz saklamayız.
    • E-posta gönderimi: Resend (AB).
    • AI model sağlayıcı: OpenAI (ABD). Sohbet sınıflandırması için yalnızca gerekli alanlar iletilir; OpenAI, verileri model eğitiminde kullanmayacağını sözleşme ile taahhüt eder (OpenAI API Data Usage Policies).
    • Hata takibi: Sentry — kişisel veri çıkarma (PII scrub) ile.

    Yukarıdaki aktarımlar dışında kişisel veriler, yalnızca yasal bir zorunluluk (mahkeme kararı, yetkili kurum talebi) bulunması halinde resmi makamlara aktarılır.

  6. § 06

    Saklama süresi

    • Aktif hesap verileri: hizmet süresince
    • Kapanan hesap: Türk Ticaret Kanunu Md. 82 uyarınca ticari defter ve kayıtlar 10 yıl saklanır. Ticari değere konu olmayan veriler 1 yıl içinde silinir.
    • Denetim izi (audit log): 12 ay
    • Oturum ve IP logları: 90 gün
    • Pazarlama izinleri: Açık rıza geri alınıncaya kadar
  7. § 07

    Haklarınız — KVKK Md. 11 / GDPR Art. 15-22

    KVKK Md. 11 uyarınca aşağıdaki haklara sahipsiniz:

    • Kişisel verinizin işlenip işlenmediğini öğrenme
    • İşleniyorsa amacını ve buna uygun kullanılıp kullanılmadığını öğrenme
    • Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
    • Eksik veya yanlış işlenmiş verinin düzeltilmesini isteme
    • Kanunda öngörülen şartlar çerçevesinde silinmesini isteme
    • İşlemeye itiraz etme ve münhasıran otomatik sistemlerle analiz edilmesi sonucunda aleyhinize bir sonuç doğmasına itiraz etme
    • Kanuna aykırı işleme sebebiyle zarara uğramanız halinde tazminat talep etme

    Veri erişim (export) hakkı: Platform üzerinde oturum açtıktan sonra /auth/me/export endpoint'inden (ya da panel içinden bağlantıyla) hesabınıza ait verilerin makine-okunabilir (JSON) kopyasını indirebilirsiniz. Bu, GDPR Art. 20 (data portability) gereksinimini karşılar.

    Silme ve diğer haklar için başvuru: destek@gokberkgun.com adresine kimlik teyidi ile başvuru yapılır. Talep 30 gün içinde (olağan durumlarda) cevaplanır.

  8. § 08

    Güvenlik önlemleri

    • TLS 1.3 ile tüm iletişim şifrelenir; HSTS zorunludur.
    • Parolalar bcrypt (cost 12) ile saklanır; saf parola kaydı tutulmaz.
    • İki faktörlü doğrulama (2FA) desteklenir; admin hesapları için tavsiye edilir.
    • Multi-tenant izolasyon: her müşterinin verisi ayrı tenant kayıtları ile filtrelenir; uygulama katmanında zorlanır ve Prisma middleware ile otomatik filtreleme uygulanır.
    • Tüm kritik işlemler hash-chain'li audit log'a kaydedilir; geriye dönük değiştirmeye karşı doğrulanabilir.
    • Düzenli güvenlik denetimleri yapılır, bulgular giderilmeden bir sonraki faza geçilmez.
  9. § 09

    Çerezler

    Platform, yalnızca zorunlu çerezleri kullanır:

    • Oturum çerezi — httpOnly, SameSite=Lax, Secure. Hesabınızda oturum açık kalması için gerekli.
    • CSRF koruma çerezi — Cross-site request forgery saldırılarına karşı.

    İzleme veya reklam amaçlı üçüncü taraf çerez kullanılmaz.

  10. § 10

    Değişiklikler

    Bu politika zaman zaman güncellenebilir. Önemli değişiklikler kayıtlı e-posta adresinize bildirilir ve yürürlüğe girmeden önce 30 gün süre tanınır. Son güncelleme tarihi yukarıda belirtilmiştir.

  11. § 11

    Başvuru ve iletişim

    KVKK Md. 11 başvuruları, veri sahibi talepleri ve diğer gizlilikle ilgili sorular için:

    • E-posta: destek@gokberkgun.com
    • Başvuruda kimlik teyidi için hesabınıza bağlı e-posta adresinden yazmanız gereklidir.

    Başvurunuza 30 gün içinde yanıt verilmemesi, yanıtın yetersiz olması veya talebinizin reddi hâlinde Kişisel Verileri Koruma Kurulu'na (KVKK) şikâyet hakkınız saklıdır.

← Ana sayfaya dön