Gizlilik Politikası — KVKK Aydınlatma Metni
Yürürlük Tarihi: 04.05.2026 | Versiyon: 1.0
1. Veri Sorumlusu
| Ünvan | Kahraman Enerji Dış Ticaret ve Akademik Danışmanlık Ltd. Şti. |
|---|---|
| Marka / Platform | Hero AgentsTeams |
| Adres | [ŞİRKET ADRESİNİZİ DOLDURUNUZ] |
| Vergi No | [VERGİ NUMARASI] |
| MERSİS No | [MERSİS NUMARASI] |
| KEP | [KEP ADRESİNİZİ DOLDURUNUZ] |
| VERBİS Kayıt No | [VERBİS NUMARASI — Eğer eşik aşıldıysa kayıt zorunludur] |
| E-posta | kvkk@[ALAN-ADINIZ] |
2. İşlenen Kişisel Veri Kategorileri
Hero AgentsTeams platformunda aşağıdaki kişisel veri kategorileri işlenir:
| Kategori | İşlenen Veriler | Toplama Anı |
|---|---|---|
| Kimlik | Ad, soyad, T.C. kimlik no (kurumsal faturada vergi no), unvan | Kayıt ve sipariş |
| İletişim | E-posta, telefon, fatura adresi | Kayıt ve sipariş |
| Hesap & Kimlik Doğrulama | Kullanıcı adı, hashlenmiş şifre, oturum tokenları (JWT) | Kayıt ve giriş |
| Sipariş & Abonelik | Aktif modüller, paket bilgisi, abonelik tarihi, yenileme tarihi | Sipariş ve panel kullanımı |
| Ödeme | Ödeme onay kodu, fatura no (kart bilgisi Satıcı'da işlenmez) | Ödeme adımı |
| Kullanıcı İçerik Verileri | Sohbet sorularınız, AI yanıtları, sohbet geçmişi, yüklediğiniz dosyalar (PDF, Word, Excel, görsel), şirket dokümanları, mevzuat yüklemeleri | Sohbet ve dosya yükleme |
| Kullanım Verileri | Mesaj sayısı, modül kullanım istatistikleri, oturum süresi, hata kayıtları | Platform kullanımı |
| Teknik Veriler | IP adresi, tarayıcı türü, cihaz bilgisi, oturum kimliği, çerez kayıtları | Site ziyareti |
Önemli: Yüklediğiniz dosya içerikleri, sohbet sorularınız ve mevzuat metinleriniz yapay zekâ yanıtlarının üretilmesi amacıyla Anthropic PBC altyapısına aktarılır. Bu konunun ayrıntıları 5. bölümde anlatılmaktadır. Şirket sırrı veya hassas içerik yüklemeden önce uygunluk kontrolü yapmanızı tavsiye ederiz.
3. Kişisel Verilerin İşlenme Amaçları
3.1 Sözleşmenin Kurulması ve İfası (KVKK Md. 5/2-c)
-
Kullanıcı kaydının oluşturulması ve hesap yönetimi
-
Sipariş alınması, abonelik aktivasyonu ve ödeme tahsilatı
-
Yapay zekâ ajanları üzerinden hizmetin ifası ve sohbet yanıtlarının üretilmesi
-
Modül ekleme/çıkarma, abonelik yenileme ve iptali
-
Müşteri destek taleplerinin karşılanması
3.2 Kanuni Yükümlülükler (KVKK Md. 5/2-ç)
-
Vergi mevzuatı, Türk Ticaret Kanunu ve Vergi Usul Kanunu kapsamında fatura ve belge saklama
-
Yetkili kamu kurumlarının (mahkeme, vergi dairesi, BTK, KVKK Kurulu vb.) talepleri
-
5651 sayılı Kanun kapsamında erişim ve oturum loglarının tutulması
3.3 Meşru Menfaat (KVKK Md. 5/2-f)
-
Hizmet kalitesinin ölçülmesi ve performans iyileştirme
-
Dolandırıcılık ve kötüye kullanım tespiti
-
Sistem güvenliği ve siber saldırı önleme
-
Anonimleştirilmiş istatistik ve analiz çalışmaları
3.4 Açık Rıza (KVKK Md. 5/1)
-
Pazarlama amaçlı e-posta gönderimi (yalnızca ayrı onay verilmesi halinde)
-
Yurt dışına kişisel veri aktarımı (Anthropic PBC'ye sohbet ve dosya içeriği aktarımı dâhil)
4. Hukuki Dayanaklar Tablosu
| Amaç | Hukuki Dayanak | KVKK Maddesi |
|---|---|---|
| Hesap ve abonelik yönetimi | Sözleşmenin ifası | Md. 5/2-c |
| Fatura, muhasebe, vergi | Kanuni yükümlülük | Md. 5/2-ç |
| Yetkili kurum bildirimleri | Hukuki yükümlülük | Md. 5/2-ç |
| Sohbet/dosya → Anthropic aktarımı | Açık rıza + Sözleşmenin ifası | Md. 5/1, Md. 9 |
| Pazarlama iletişimi | Açık rıza | Md. 5/1 |
| Site analitiği | Açık rıza (zorunlu olmayan çerezler) | Md. 5/1 |
| Güvenlik logları, kötüye kullanım | Meşru menfaat | Md. 5/2-f |
5. Yurt Dışına Kişisel Veri Aktarımı (KVKK Md. 9)
Hero AgentsTeams hizmeti, yapay zekâ yanıtlarını Anthropic PBC (ABD) tarafından geliştirilen Claude modelleri üzerinden üretmektedir. Bu nedenle sohbet sorularınız ve yüklediğiniz dosya içerikleri zorunlu olarak ABD merkezli sunuculara aktarılmaktadır. Bu aktarım sözleşmenin ifası için zorunlu bir işlem olmakla birlikte, aktarımın kapsamı ve hukuki temeli aşağıda detaylı şekilde açıklanmıştır.
5.1 Anthropic PBC'ye Aktarılan Veriler
-
Sohbet mesajlarınız (sorduğunuz sorular, sistem promptu ile birleşmiş haliyle)
-
Yüklediğiniz dosyalar: PDF, Word, Excel, görsel — yapay zekâ analiz edebilsin diye dosya içeriği veya base64 kodlanmış hâli
-
Yüklediğiniz mevzuat ve şirket dokümanları (yapay zekâ bağlam olarak okur)
-
Sohbet bağlamı için son 20 mesaj ve özetlenmiş eski geçmiş
5.2 Aktarımın Hukuki Dayanağı
Aktarım iki temele dayanmaktadır:
-
Sözleşmenin ifası (KVKK Md. 5/2-c, Md. 9/2): Yapay zekâ yanıtının üretilmesi için aktarım teknik olarak zorunludur — yani hizmet, aktarım yapılmadan ifa edilemez.
-
Açık rıza (KVKK Md. 5/1, Md. 9/1): Sipariş onay aşamasında 'Yapay zekâ yanıtlarının üretilmesi için sohbet ve dosya içeriklerimin Anthropic PBC altyapısına aktarılmasını kabul ediyorum' kutucuğunu işaretlemeniz halinde, açık rıza kapsamında aktarım gerçekleşir. Bu kutucuk işaretlenmediğinde hizmet sunulamaz.
5.3 Anthropic'in Veri İşleme Politikası
-
API üzerinden gönderilen veriler Anthropic'in genel modellerini eğitmek için kullanılmaz (Anthropic Commercial Terms ve Usage Policies çerçevesinde varsayılan olarak).
-
API çağrılarına ait veriler Anthropic'te varsayılan olarak en fazla 30 gün saklanır; güvenlik amaçlı incelemelerde bu süre uzayabilir.
-
Anthropic, GDPR ve eşdeğer veri koruma standartlarına uyumlu altyapı sağlayıcılarını kullanır.
-
Anthropic'in güncel gizlilik politikası: anthropic.com/legal adresinden erişilebilir.
5.4 Diğer Yurt Dışı Aktarımlar
-
Stripe (uluslararası ödeme): Ödeme işleminin tamamlanması için kart bilgileri ve ödeme detayları PCI-DSS uyumlu altyapıya aktarılabilir.
-
Bulut barındırma: Sunucu altyapısı (Vercel, Railway veya eşdeğeri) yurt dışı veri merkezleri kullanabilir; bu durumda da KVKK Md. 9 hükümleri uygulanır.
Yukarıdaki aktarımların tamamı, yalnızca hizmetin teknik olarak ifası için zorunlu kapsamla sınırlıdır ve ticari amaçla üçüncü taraflarla paylaşılmaz.
6. Yurt İçi Aktarımlar
-
Türk ödeme sağlayıcısı (iyzico): Yurt içi ödeme işlemleri için
-
Mali müşavir / muhasebe firması: Fatura ve vergi yükümlülükleri için
-
Hukuk danışmanı: Olası hukuki süreçlerde
-
Bağımsız denetçiler ve KVKK uzmanları: Denetim ve uyum çalışmalarında
-
Yetkili kamu kurumları: Mevzuat gereği bildirim ve talepleri kapsamında
7. Veri Saklama Süreleri
| Veri Türü | Saklama Süresi | Dayanak |
|---|---|---|
| Hesap bilgileri | Hesap silinene + 1 yıl | Meşru menfaat |
| Sohbet geçmişi (DB) | Kullanıcı silmediği sürece abonelik süresince + 90 gün | Sözleşmenin ifası |
| Yüklenen dosyalar | Kullanıcı silmediği sürece abonelik süresince + 90 gün | Sözleşmenin ifası |
| Fatura ve sipariş kayıtları | 10 yıl | TTK / VUK |
| Erişim ve oturum logları | 2 yıl | 5651 sayılı Kanun |
| Pazarlama onay verileri | Onay geri alınana kadar | Açık rıza |
| Anthropic'te (varsayılan) | En fazla 30 gün | Anthropic Commercial Terms |
Saklama süresi sona eren veriler güvenli yöntemlerle silinir, yok edilir veya anonim hâle getirilir. Sohbet ve dosya verilerinizi her zaman hesap panelinizdeki 'Veri Yönetimi' alanından bizzat silebilirsiniz.
8. Veri Güvenliği (KVKK Md. 12)
8.1 Teknik Tedbirler
-
Tüm veri iletimi SSL/TLS şifreleme ile güvenli kanaldan yapılır
-
Şifreler bcrypt algoritmasıyla hashlenerek saklanır; ham şifre kayıt tutulmaz
-
Oturum yönetimi imzalı JWT tokenları ile yapılır
-
Ödeme bilgileri PCI-DSS sertifikalı sağlayıcı altyapısında işlenir; Satıcı sunucularında asla saklanmaz
-
Veritabanı erişimi yetkilendirmeli ve şifreli bağlantı üzerinden gerçekleşir
-
Düzenli güvenlik güncellemeleri ve bağımlılık taraması yapılır
8.2 İdari Tedbirler
-
Kişisel verilere yetkisiz erişim engellenir; erişim need-to-know ilkesiyle sınırlandırılır
-
Veri işleyen üçüncü taraflarla KVKK uyumlu veri işleme sözleşmeleri imzalanır
-
Personele KVKK farkındalık eğitimi verilir
-
Veri sızıntısı planı ve KVKK Kurulu bildirim prosedürü hazır tutulur
8.3 Veri İhlali Bildirimi
Bir veri ihlali yaşandığını öğrendiğimizde KVKK Md. 12/5 ve Kişisel Verileri Koruma Kurulu'nun konuya ilişkin kararları doğrultusunda en kısa sürede ve her halükârda 72 saat içinde Kurum'a bildirim yapılır. Etkilenen kişilere de mümkün olan en kısa sürede bilgilendirme iletilir.
9. İlgili Kişi Hakları (KVKK Md. 11)
KVKK'nın 11. maddesi kapsamında veri sahibi olarak aşağıdaki haklara sahipsiniz:
-
Kişisel verilerinizin işlenip işlenmediğini öğrenme
-
İşlenmişse buna ilişkin bilgi talep etme
-
İşlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme
-
Yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme
-
Eksik veya yanlış işlendiğinde düzeltilmesini isteme
-
KVKK Md. 7 koşulları çerçevesinde silinmesini, yok edilmesini isteme
-
Düzeltme/silme işlemlerinin aktarılan üçüncü kişilere bildirilmesini isteme
-
Münhasıran otomatik sistemlerle yapılan analiz sonucunda aleyhinize bir sonuç oluşması halinde itiraz etme
-
Hukuka aykırı işleme nedeniyle uğradığınız zararın giderilmesini talep etme
9.1 Başvuru Yöntemi
Haklarınızı kullanmak için aşağıdaki kanallardan biriyle başvurabilirsiniz:
-
E-posta: kvkk@[ALAN-ADINIZ] (Konu: 'KVKK Başvurusu')
-
KEP: [KEP ADRESİNİZİ DOLDURUNUZ]
-
Yazılı başvuru: Kayıtlı şirket adresine ıslak imzalı dilekçe ile
Başvurularınız KVKK Md. 13 uyarınca en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandırılır. Talebin reddedilmesi, eksik yanıtlanması veya süresi içinde yanıt verilmemesi halinde Kişisel Verileri Koruma Kurumu'na şikâyet hakkınız saklıdır.
10. Çerez Politikası
| Çerez Türü | Amaç | Süre |
|---|---|---|
| Zorunlu (oturum/JWT) | Hesap girişi, oturum yönetimi, güvenlik | Oturum / 7 gün |
| Performans | Sayfa yükleme süresi, hata kaydı | 30 gün |
| Analitik (varsa) | Anonim ziyaret istatistikleri | Açık rıza ile 1 yıl |
Zorunlu çerezler haricindeki çerezler, ilk ziyarette gösterilen çerez bildirimi aracılığıyla onayınız alındıktan sonra etkinleştirilir. Tarayıcı ayarlarından çerezleri devre dışı bırakabilirsiniz; bu durumda bazı işlevler sınırlanabilir.
11. Çocukların Verileri
Hero AgentsTeams hizmeti 18 yaşından küçük kişilere yönelik değildir ve bu kişilerden bilerek kişisel veri toplamamaktadır. 18 yaşından küçük olduğunuzu fark edersek, hesabınız kapatılır ve toplanan verileriniz silinir. 18 yaşından küçük bir kişinin hizmeti kullandığını fark eden veli/vasi, kvkk@[ALAN-ADINIZ] adresine bildirimde bulunabilir.
12. Politika Güncellemeleri
Bu Gizlilik Politikası, mevzuat değişiklikleri, hizmet kapsamının genişlemesi veya teknik altyapı güncellemeleri doğrultusunda revize edilebilir. Güncel sürüm her zaman [ALAN-ADINIZ]/gizlilik-politikasi adresinde yayınlanır. Önemli değişiklikler kayıtlı kullanıcılara e-posta ile bildirilir; mümkün olduğunda yürürlük tarihinden makul süre önce ön bildirim yapılır.
Bu Gizlilik Politikası 04.05.2026 tarihinde yürürlüğe girmiştir. Sorularınız için: kvkk@[ALAN-ADINIZ] — KEP: [KEP ADRESİNİZİ DOLDURUNUZ] — Adres: [ŞİRKET ADRESİNİZİ DOLDURUNUZ]