Gizlilik Politikasi (KVKK Aydinlatma)
Kisisel Verilerin Korunmasi ve Islenmesi Aydinlatma Metni
UYARI: Bu metin taslaktir. Yayina almadan once hukuk musaviri review'indan gecirilmelidir.
Son guncelleme: 2026-01-15
Bu aydinlatma metni 6698 sayili Kisisel Verilerin Korunmasi Kanunu (KVKK) madde 10 uyarinca hazirlanmistir. Gumruk AI hizmetini kullanmaniz halinde kisisel verilerinizin nasil islendigini bu metinde ozetliyoruz.
1. Veri Sorumlusu
- Unvan: [Sirket adi taslak — yayinda guncellenecek]
- Adres: [Mersis adresi taslak]
- KEP / e-posta: [iletisim@gumruk.ai - taslak]
- Veri Sorumlusu Sicil Bilgi Sistemi (VERBIS) kayit numarasi: [Bekleniyor]
2. Islenen Kisisel Veri Kategorileri
Hizmetimizi kullaniminizin niteligi geregi asagidaki veri kategorileri islenmektedir.
2.1 Kimlik ve iletisim verileri
- Ad ve soyad (display name)
- E-posta adresi
- Workspace / firma adi (ilgili ise)
2.2 Islem guvenligi verileri
- IP adresi
- Tarayici / istemci bilgisi (User-Agent)
- Oturum (session) ve refresh token meta verileri
- Basarisiz giris denemeleri ve hesap kilitlenme kayitlari
- Iki faktorlu kimlik dogrulama (TOTP) durum bilgisi
2.3 Hizmete iliskin kullanim verileri
- Sorgu kayitlari (RAG sorulari, GTIP arama, vergi hesabi parametreleri)
- Yuklenen belge meta verileri (dosya adi, boyut, tip, hash)
- Yuklenen belge icerikleri (OCR ve LLM ile islenen)
- On kontrol (precheck) ciktilari
2.4 Pazarlama ve iletisim
- Bilgilendirme / urun guncellemesi e-posta tercihi (opt-in)
3. Islenme Amaclari
Veriler asagidaki amaclarla islenmektedir.
- Hizmetin saglanmasi ve sozlesmenin ifasi (KVKK m.5/2-c)
- Kullanici kimlik dogrulama, oturum yonetimi, hesap guvenligi
- Yuklenen belgelerin asistan tarafindan analizi ve sonuc uretimi
- Sistem guvenligi, kotuye kullanim ve dolandiricilik onleme
- Hukuki yukumluluklerin yerine getirilmesi (KVKK m.5/2-c, c)
- Hizmet kalitesinin izlenmesi ve iyilestirilmesi (mesru menfaat - KVKK m.5/2-f)
- Acik riza vermis olmaniz halinde pazarlama amacli iletisim
4. Hukuki Sebepler
- Sozlesmenin kurulmasi veya ifasi (KVKK m.5/2-c)
- Veri sorumlusunun mesru menfaati (KVKK m.5/2-f)
- Hukuki yukumlulugun yerine getirilmesi (KVKK m.5/2-c)
- Acik riza (pazarlama, tercihe bagli analitik)
5. Aktarim ve Sub-Processor'lar
Hizmetin saglanmasi icin asagidaki kategorilerde alt isleyicilerden (sub-processor) yararlanilmaktadir. Guncel liste icin /legal/sub-processors sayfasina bakiniz.
- Bulut altyapi saglayicilari (AWS, Cloudflare)
- Buyuk dil modeli (LLM) saglayicilari (OpenAI; istemler isleme amaciyla aktarilir)
- Hata izleme ve gozlemlenebilirlik (Sentry; PII scrub aktiftir)
- E-posta gonderim altyapisi (AWS SES)
Yurt disina aktarim KVKK madde 9 kapsaminda gerceklesmektedir. Aktarilan saglayicilarla DPA imzalanmistir veya ilgili saglayicinin kendi DPA'si kabul edilmistir.
6. Saklama Sureleri
Verileri amac sona erdiginde silmek esastir. Asagida tipik saklama sureleri belirtilmistir.
- Hesap profili: Hesap acik kaldigi surece + 30 gun grace period (RTBF talebi sonrasi)
- Audit kayitlari: 730 gun (2 yil)
- Basarisiz giris denemeleri: 90 gun
- Kayit (signup) denemeleri: 30 gun
- Bildirim kayitlari: 365 gun
- Yuklenen gumruk belgeleri: 1825 gun (5 yil; gumruk mevzuati uyarinca)
- E-posta gonderim logu: 90 gun
- Sifre sifirlama / e-posta dogrulama tokenlari: 30 gun
- Veri ihrac dosyalari: 7 gun
7. Ilgili Kisi Haklari (KVKK m.11)
KVKK madde 11 uyarinca su haklara sahipsiniz.
- Kisisel verinizin islenip islenmedigini ogrenme
- Islendi ise buna iliskin bilgi talep etme
- Islenme amacini ve amacina uygun kullanilip kullanilmadigini ogrenme
- Yurt ici / yurt disinda aktarildigi 3. kisileri bilme
- Eksik veya yanlis islenmis verinin duzeltilmesini isteme
- Silme / yok edilmesini isteme (KVKK m.7)
- Aktarildigi 3. kisilere bildirilmesini isteme
- Otomatize sistemlerle analiz edilmesi sonucu aleyhinize bir sonuc ortaya cikmasi halinde itiraz etme
- Kanuna aykiri islenme nedeniyle zarara ugramaniz halinde tazminat isteme
8. Hak Talepleri
Yukaridaki haklarinizi kullanmak icin Veri Sorumlusuna Basvuru Usul ve Esaslari Hakkinda Teblig'e uygun olarak yazili olarak veya kayitli elektronik posta (KEP) yoluyla basvuruda bulunabilirsiniz. Iletisim bilgileri 1. bolumde belirtilmistir.
Talepler en gec 30 gun icinde sonuclandirilir. Islem ucretsizdir; ancak ek belge talep edilmesi halinde Kurul tarafindan belirlenen tarife uygulanabilir.
9. Cerez Politikasi
Cerez kullanimi /legal/cookie sayfasinda detayli olarak aciklanmistir. V4-B yayim doneminde yalnizca zorunlu (auth session, CSRF) cerezler kullanilmaktadir.
10. Veri Guvenligi
- Tum trafik TLS 1.2+ uzerinden sifrelenir
- Sifreler PBKDF2-SHA256 ile hashlenir
- Refresh token aile yapisi ile replay-detection aktiftir
- Audit kayitlari immutable arsive aktarilir
- Hata izleme satirlarinda PII scrub uygulanir
11. Degisiklikler
Bu metin guncellendiginde sayfanin "Son guncelleme" tarihi degistirilir. Onemli degisiklikler hesap acmis kullanicilara ayrica bildirilir.
Bu taslak metnin nihai hali yayina alinmadan once Avukat tarafindan KVKK ve gumruk mevzuati uyumu acisindan kontrol edilmelidir.