Kişisel Verilerin Korunması ve İşlenmesi Politikası
Bu politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında Kızılelma AI tarafından kişisel verilerin nasıl işlendiğini, korunduğunu ve ilgili kişilerin haklarını açıklar.
1. Veri Sorumlusu
İşbu Politika kapsamındaki kişisel veri işleme faaliyetlerinde veri sorumlusu, "Kızılelma AI" markası altında hizmet veren aşağıdaki işletmedir:
İşletme, KVKK ve ikincil mevzuata (Veri Sorumluları Sicili — VERBİS dâhil) tam uyum sağlamayı taahhüt eder ve işlenen tüm kişisel verilerin güvenliği için gerekli teknik ve idari tedbirleri alır.
2. Tanımlar
- Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
- Özel nitelikli kişisel veri: Sağlık, ceza mahkûmiyeti, din, üyelik, biyometrik veri gibi KVKK m.6'da sayılan veriler.
- İşleme: Verinin elde edilmesinden imhasına kadar her türlü işlem.
- İlgili kişi: Kişisel verisi işlenen gerçek kişi (kullanıcı, müvekkil, karşı taraf, tanık vb.).
- Veri işleyen: Veri sorumlusunun talimatıyla veri işleyen taraf (örn. bulut/altyapı sağlayıcıları).
- Maskeleme: Kimlik bilgilerinin geri döndürülebilir token'larla değiştirilerek kimliksizleştirilmesi.
3. Kişisel Verilerin İşlenmesinde Genel İlkeler
Kişisel verileriniz KVKK m.4'te yer alan ilkelere uygun olarak işlenir:
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
4. İşlenen Kişisel Veri Kategorileri
| Kategori | Örnek Veriler |
|---|---|
| Kimlik | Ad-soyad, T.C. kimlik no, baro/sicil bilgileri, vergi no |
| İletişim | E-posta, telefon, adres |
| Müşteri işlem / Hesap | Üyelik kaydı, rol/yetki, abonelik ve kota bilgileri, işlem geçmişi |
| Hukuki süreç verileri | Dava bilgileri, dilekçe/belge içerikleri, dosya adları, notlar, müvekkil yazışmaları |
| Yapay zeka etkileşimi | Asistana yazılan sorular (prompt), yüklenen içerikler, üretilen taslaklar |
| İşlem güvenliği | Oturum/IP kayıtları, log kayıtları, cihaz/oturum bilgileri |
| Pazarlama | İzin verilmişse ticari ileti tercihleri, kampanya etkileşimleri |
| Özel nitelikli veriler | Dava dosyaları kapsamında sağlık, ceza mahkûmiyeti vb. (KVKK m.6) |
5. Kişisel Verilerin İşlenme Amaçları
- Platform hizmetlerinin (AI asistan, içtihat/karar arama, dilekçe üretimi, belge analizi, dava yönetimi) sunulması ve iyileştirilmesi,
- Üyelik ve hesap yönetimi, kimlik doğrulama ve yetkilendirme,
- Abonelik, faturalama, ödeme ve kota süreçlerinin yürütülmesi,
- Kullanıcı taleplerinin, şikâyet ve destek başvurularının karşılanması,
- Bilgi güvenliğinin sağlanması, kötüye kullanımın ve suistimalin önlenmesi,
- Yasal yükümlülüklerin yerine getirilmesi ve yetkili makam taleplerinin karşılanması,
- İzin verilmesi hâlinde tanıtım, kampanya ve pazarlama faaliyetlerinin yürütülmesi.
Kişisel verileriniz yapay zeka modellerinin eğitiminde kullanılmaz; yalnızca size hizmet sunmak amacıyla işlenir.
6. İşlemenin Hukuki Sebepleri
Verileriniz KVKK m.5 kapsamında şu sebeplere dayanılarak işlenir:
- Sözleşmenin kurulması/ifası (m.5/2-c): üyelik ve hizmetin sunulması,
- Hukuki yükümlülük (m.5/2-ç): mevzuattan doğan saklama/bildirim yükümlülükleri,
- Meşru menfaat (m.5/2-f): güvenlik, hata analizi, hizmet iyileştirme,
- Açık rıza (m.5/1): özel nitelikli veriler, ticari elektronik ileti ve zorunlu olmayan çerezler bakımından.
7. Özel Nitelikli Kişisel Veriler
Avukatlık faaliyeti gereği yüklediğiniz dava dosyaları sağlık, ceza mahkûmiyeti gibi özel nitelikli veriler içerebilir. Bu veriler KVKK m.6 kapsamında, ek güvenlik tedbirleriyle ve yalnızca hizmetin sunulması amacıyla işlenir. Avukat olan kullanıcı, müvekkillerine gerekli aydınlatmayı yapmak ve gereken hâllerde açık rızalarını almakla yükümlüdür.
8. Veri Toplama Yöntemleri
Kişisel verileriniz; web sitesi ve uygulama üzerinden üyelik/kullanım sırasında, belge yükleme ve asistan etkileşimleri yoluyla, destek ve iletişim kanallarından, otomatik (log/çerez) ve otomatik olmayan yöntemlerle elektronik ortamda toplanır.
9. Maskeleme ve Güvenlik Mimarisi
Kızılelma AI, hukuk verilerinin hassasiyetine özgü bir mimari uygular:
- Kimliklendirilebilir veriler Türkiye'de kalır. Orijinal belgeler, gerçek ad/T.C. kimlik no/iletişim bilgileri, dosya adları, kayıtlar ve AI sohbet içerikleri Türkiye'de, şifreli (LUKS2 / AES-256) bir kasada saklanır ve yurt dışına aktarılmaz.
- Maskeleme geçidi. Yapay zeka modeline veya yurt dışındaki işleme altyapısına gönderilen her metin önce Türkiye'de maskelenir; isim, T.C. kimlik no, telefon gibi tanımlayıcılar [KİŞİ_1] gibi yalnızca Türkiye'deki kasada çözülebilen token'larla değiştirilir. Yapay zeka gerçek kimlikleri görmez.
- Şifreleme. Aktarımda TLS 1.3, saklamada AES-256 kullanılır.
- İzolasyon ve erişim kontrolü. Hesap bazlı izolasyon, rol/yetki kontrolü ve ağ izolasyonu (VPN tüneli) uygulanır; kullanıcılar birbirlerinin verilerine erişemez.
- Üyelik doğrulaması Türkiye'de. Telefon ve e-posta doğrulama kodları (OTP) Türkiye'de üretilip saklanır; doğrulama mesajları yalnızca Türkiye'de yerleşik SMS (İnteraktif İletişim / 1SMS) ve e-posta (TurkTicaret.net) hizmet sağlayıcıları aracılığıyla gönderilir.
- Model eğitimi yok. Verileriniz hiçbir yapay zeka modelinin eğitiminde kullanılmaz.
10. Kişisel Verilerin Aktarılması
Kişisel verileriniz KVKK m.8 ve m.9'daki şartlara uygun olarak; yalnızca gerekli olduğu ölçüde, hizmetin sunulması için altyapı/hizmet sağlayıcılarına (veri işleyenler), yasal yükümlülük kapsamında yetkili kamu kurum ve kuruluşlarına aktarılabilir. Tüm aktarımlar veri minimizasyonu ilkesine uygun yapılır.
11. Yurt Dışına Aktarım (KVKK m.9)
Kimliklendirilebilir kişisel veriler yurt dışına aktarılmaz. Yurt dışındaki işleme altyapısı ve yapay zeka modeli (AB bölgesinde barındırılan Microsoft Azure OpenAI dâhil) yalnızca maskeli (kimliksizleştirilmiş) metin işler ve verileriniz model eğitiminde kullanılmaz. Gerekli hâllerde KVKK m.9 ve uluslararası mevzuat kapsamında uygun güvenceler (standart sözleşme hükümleri / veri işleme sözleşmeleri) sağlanır. Ayrıntılar için Veri Aktarımı Protokolü'nü inceleyebilirsiniz.
12. Saklama ve İmha
Kişisel verileriniz, işleme amacının gerektirdiği ve ilgili mevzuatta öngörülen süreler boyunca saklanır. Süre dolduğunda ya da amaç ortadan kalktığında veriler silinir, yok edilir veya anonim hâle getirilir. Yedek sistemlerdeki veriler, yedekleme döngüsü kapsamında en geç ilgili döngü sonunda imha edilir.
13. İlgili Kişinin Hakları (KVKK m.11)
- Kişisel verinin işlenip işlenmediğini öğrenme ve işlenmişse bilgi talep etme,
- İşlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde/yurt dışında aktarıldığı üçüncü kişileri bilme,
- Eksik/yanlış işlenmişse düzeltilmesini, şartları oluşmuşsa silinmesini/yok edilmesini isteme ve bunların aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Münhasıran otomatik analiz sonucu aleyhe bir sonucun ortaya çıkmasına itiraz etme,
- Kanuna aykırı işleme nedeniyle zarara uğraması hâlinde zararın giderilmesini talep etme.
14. Başvuru Yöntemi
Haklarınızı kullanmak için talebinizi, kimliğinizi tevsik edici bilgilerle birlikte;
- Tebligat adresimize (yukarıda belirtilen) ıslak imzalı yazılı dilekçe ile,
- Güvenli elektronik imzalı olarak info@kizilelmaai.com.tr adresine,
- Kişisel Verileri Koruma Kurulu'nun belirlediği diğer yöntemlerle
iletebilirsiniz. Başvurunuz en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırılır; işlemin ayrıca maliyet gerektirmesi hâlinde Kurulca belirlenen tarifedeki ücret alınabilir.
15. Politikadaki Değişiklikler
Bu Politika gerektiğinde güncellenir. Güncel sürüm bu sayfada yayımlanır ve yayım tarihinden itibaren geçerli olur.