Gizlilik Politikasi
Surum 2.1 · Son guncelleme: 29 Mayis 2026 · Yururluluk: Derhal
VerimliAI olarak, gizliliginizin ve kisisel verilerinizin korunmasi en temel calisma prensibimizdir. Bu Gizlilik Politikasi; 6698 sayili Kisisel Verilerin Korunmasi Kanunu (KVKK), Avrupa Birligi Genel Veri Koruma Tuzugu (GDPR — Regulation EU 2016/679) ve California Tuketici Gizliligi Yasasi (CCPA) cercevesinde, veri sorumlusu sifatiyla VerimliAI tarafindan yurutulen tum veri isleme faaliyetlerini seffaf bir sekilde aciklamaktadir. Bu belge, yasal olarak baglayici bir taahhutname niteligindedir.
Bu politika yalnizca VerimliAI tarafindan kontrol edilen veriler icin gecerlidir. Musterilerimizin kendi musteri verileri uzerindeki isleme faaliyetleri, ayri bir "Veri Isleme Sozlesmesi (DPA)" kapsaminda duzenlenir. Musteri verileri OpenAI tarafindan AI egitimi icin kullanilmaz.
Icerik Tablosu
- Veri Sorumlusu Kimligi
- Toplanan Kisisel Veri Kategorileri
- Veri Isleme Amaclari ve Hukuki Sebepleri
- Cerezler (Cookies) ve Izleme Teknolojileri
- Ucuncu Taraf Veri Isleyicileri
- Veri Saklama ve Guvenlik Onlemleri
- Uluslararasi Veri Aktarimi
- Haklariniz (KVKK Madde 11 + GDPR + CCPA)
- Cocuklarin Gizliligi
- Politika Degisiklikleri
- Iletisim ve Basvuru
1. Veri Sorumlusu Kimligi
| Unsur | Detay |
|---|---|
| Veri Sorumlusu | VerimliAI |
| Web Sitesi | https://verimliai.com |
| Iletisim E-Postasi | info@verimliai.com |
| Veri Koruma Yetkilisi | info@verimliai.com (DPO sorgulari icin) |
| Ticaret Sicil | Istanbul Ticaret Odasi |
2. Toplanan Kisisel Veri Kategorileri
VerimliAI, yalnizca hizmetin ifasi icin gerekli olan minimum veriyi toplar. Veri minimizasyonu prensibi, tum veri toplama sureclerimizin temelidir. Asagidaki tablo, hangi hizmet kapsaminda hangi verilerin toplandigini detaylandirmaktadir:
| Veri Kategorisi | Toplanan Veriler | Kaynak | Saklama Suresi |
|---|---|---|---|
| Kimlik Bilgisi | Ad, soyad | Iletisim formu, randevu formu, dijital magaza | Son etkilesimden itibaren 2 yil |
| Iletisim Bilgisi | E-posta adresi, telefon numarasi | Iletisim formu, randevu formu, dijital magaza | Son etkilesimden itibaren 2 yil |
| Isletme Bilgisi | Firma adi, Instagram hesabi, web sitesi, AI ihtiyaci | Randevu formu, check-up araci | Son etkilesimden itibaren 2 yil |
| Finansal Bilgi | Fatura adresi, odeme tutari | Dijital magaza (Shopier uzerinden) | Yasal zorunluluk: 10 yil (VUK) |
| Teknik Veri | IP adresi, tarayici tipi, isletim sistemi, ziyaret suresi, sayfa goruntuleme | Otomatik (sunucu loglari) | 30 gun (loglar), anonim: surekli |
| Cerez Verisi | Oturum kimligi, tercihler, dil secimi | Tarayici cerezleri | Oturum sonu — 365 gun |
Odeme bilgileriniz (kredi karti numarasi, CVV, son kullanma tarihi) hicbir zaman VerimliAI sunucularinda saklanmaz. Tum odeme islemleri PCI-DSS uyumlu Shopier ve Stripe altyapilari uzerinden tokenizasyon ile gerceklesir. VerimliAI bu verilere hicbir zaman erisemez.
3. Veri Isleme Amaclari ve Hukuki Sebepleri
| Isleme Amaci | Islenen Veri | KVKK Hukuki Sebebi | GDPR Hukuki Sebebi |
|---|---|---|---|
| Iletisim ve randevu taleplerinin karsilanmasi | Kimlik, iletisim, isletme | Madde 5/2(c): Sozlesmenin kurulmasi/ifasi | Art. 6(1)(b): Contractual necessity |
| Dijital urun satisi ve teslimati | Kimlik, iletisim, finansal | Madde 5/2(c): Sozlesmenin ifasi | Art. 6(1)(b): Contract performance |
| Hizmet kalitesi iyilestirme ve analitik | Teknik veri (anonim) | Madde 5/2(f): Mesru menfaat | Art. 6(1)(f): Legitimate interest |
| Yasal yukumluluklerin yerine getirilmesi | Finansal, kimlik | Madde 5/2(c): Hukuki yukumluluk | Art. 6(1)(c): Legal obligation |
| Pazarlama iletisimi (acik riza ile) | Iletisim | Madde 5/1: Acik riza | Art. 6(1)(a): Consent |
4. Cerezler (Cookies) ve Izleme Teknolojileri
Web sitemiz, kullanici deneyimini iyilestirmek ve temel site islevselligini saglamak amaciyla cerezler kullanir. Kesinlikle gerekli cerezler haricindeki tum cerezler icin acik rizaniz alinir. Cerez tercihlerinizi dilediginiz zaman tarayici ayarlarinizdan veya sitemizdeki cerez yonetim panelinden degistirebilirsiniz.
| Cerez Kategorisi | Amaci | Suresi | Zorunlu mu? |
|---|---|---|---|
| Kesinlikle Gerekli | Site gezinmesi, form guvenligi, oturum yonetimi | Oturum sonu | Evet |
| Tercih Cerezleri | Dil secimi, cerez onay durumu | 365 gun | Hayir |
| Analitik Cerezler | Anonim ziyaretci istatistikleri (sayfa goruntuleme, sure) | 26 ay | Hayir |
VerimliAI, ucuncu taraf reklam veya davranissal hedefleme cerezleri kullanmaz. Google Analytics verileri anonimlestirilmis olarak toplanir (IP maskeleme aktif). Microsoft Clarity oturum kayitlari, form alanlari gibi hassas verileri otomatik olarak maskeler.
5. Ucuncu Taraf Veri Isleyicileri
Hizmetlerimizi sunabilmek icin asagidaki guvenilir ucuncu taraf hizmet saglayicilarla calisiyoruz. Tum alt isleyiciler, bizimle imzaladiklari Veri Isleme Sozlesmesi (DPA) kapsaminda verilerinizi yalnizca belirtilen amacla ve bizim talimatlarimiz dogrultusunda isler.
| Alt Isleyici | Hizmet | Islenen Veri | Sunucu Konumu | Uyumluluk |
|---|---|---|---|---|
| Web3Forms | Iletisim formu e-posta iletimi | Ad, e-posta, mesaj | AB (Almanya) | GDPR |
| Shopier | Odeme islemleri (TR) | Odeme bilgisi (token) | Turkiye | KVKK, PCI-DSS |
| Stripe | Odeme islemleri (Global) | Odeme bilgisi (token) | ABD/AB | GDPR, PCI-DSS Level 1 |
| OpenAI API | AI yanit uretimi | Anonim konusma verisi | ABD/AB | SOC 2, GDPR (DPA mevcut) |
| Google Fonts | Web yazi tipleri | IP adresi (onbellek) | Global CDN | GDPR |
| jsDelivr CDN | Chart.js kutuphanesi | IP adresi (onbellek) | Global CDN | GDPR |
OpenAI API veri politikasi geregi, API uzerinden gonderilen tum veriler OpenAI tarafindan AI modellerini egitmek icin kullanilmaz. Veriler islendikten sonra 30 gun icinde OpenAI sunucularindan otomatik olarak silinir. Bu, ChatGPT'nin ucretsiz surumunden farkli olarak API musteriilerine saglanan yasal olarak baglayici bir guvencedir.
6. Veri Saklama ve Guvenlik Onlemleri
6.1 Teknik Guvenlik Onlemleri
- AES-256 Sifreleme (At Rest): Veritabaninda saklanan tum kisisel veriler, 256-bit AES sifreleme ile sifrelenmis durumda saklanir. Sifreleme anahtarlari AWS KMS uzerinde, veriden ayri bir guvenlik katmaninda yonetilir.
- TLS 1.3 (In Transit): Kullanici ile sunucu arasindaki tum veri akisi TLS 1.3 protokolu ile sifrelenir. HSTS header'i ile yalnizca HTTPS baglantilari kabul edilir.
- WAF (Web Application Firewall): SQL enjeksiyonu, XSS ve DDoS saldirilarina karsi koruma saglayan web uygulamasi guvenlik duvari aktiftir.
- 2FA Zorunlulugu: Tum yonetim panellerine ve sunucu erisimlerine iki faktorlu kimlik dogrulama (2FA) zorunludur.
- Gunluk Yedekleme: Veritabani her gun otomatik olarak yedeklenir. Yedekler AES-256 ile sifrelenir ve cografi olarak farkli bir bolgede saklanir.
6.2 Idari Guvenlik Onlemleri
- Erisim Kontrolu (RBAC): Calisanlar yalnizca gorevleri icin gerekli minimum veriye erisebilir. Tum erisimler loglanir ve periyodik olarak denetlenir.
- Gizlilik Egitimi: Tum personel, ise baslarken ve yillik olarak KVKK/GDPR ve veri guvenligi egitimi alir.
- Sizma Testi: Yillik bagimsiz penetrasyon testi yaptirilir. Kritik aciklar 72 saat icinde kapatilir.
- Olay Mudahale Plani: Veri ihlali durumunda 72 saat icinde ilgili otoritelere (KVKK Kurumu / GDPR Denetim Makami) ve etkilenen kullanicilara bildirim yapilir.
6.3 Veri Saklama Sureleri
| Veri Kategorisi | Saklama Suresi | Dayanak |
|---|---|---|
| Aktif musteri verileri | Sozlesme suresi + 2 yil | Yasal yukumluluk + mesru menfaat |
| Fatura ve finansal veriler | 10 yil | VUK Madde 253 |
| Form basvurulari (donus yapilmamis) | 90 gun | Veri minimizasyonu |
| Sunucu erisim loglari | 30 gun | Guvenlik izleme |
| Anonim analitik veriler | Surekli | Kisisel veri degildir |
7. Uluslararasi Veri Aktarimi
VerimliAI sunuculari oncelikli olarak Avrupa Birligi sinirlari icinde (AWS eu-central-1, Frankfurt) konumlandirilmistir. Bazi alt isleyicilerimiz (OpenAI, Stripe) ABD merkezli sunucular kullanmaktadir. Bu aktarimlar, asagidaki yasal guvenceler altinda gerceklestirilir:
- AB-ABD Veri Gizliligi Cercevesi (Data Privacy Framework): OpenAI ve Stripe, EU-US DPF sertifikasina sahiptir.
- Standart Sozlesme Maddeleri (SCC): Tum alt isleyicilerle AB Komisyonu tarafindan onaylanmis Standart Sozlesme Maddeleri imzalanmistir.
- Etki Degerlendirmesi (TIA): Her uluslararasi aktarim oncesi Transfer Etki Degerlendirmesi yapilir ve belgelenir.
8. Haklariniz
KVKK Madde 11, GDPR ve CCPA kapsaminda asagidaki haklara sahipsiniz. Bu haklarinizi kullanmak icin info@verimliai.com adresine e-posta gonderebilirsiniz. Basvurular en gec 30 gun icinde ucretsiz olarak yanitlanir.
| Hak | KVKK | GDPR | CCPA | Aciklama |
|---|---|---|---|---|
| Erisim Hakki | ✓ | Art. 15 | §1798.100 | Verilerinizin islenip islenmedigini ogrenme ve kopyasini talep etme |
| Duzeltme Hakki | ✓ | Art. 16 | §1798.106 | Eksik veya yanlis verilerin duzeltilmesini talep etme |
| Silme Hakki (Unutulma Hakki) | ✓ | Art. 17 | §1798.105 | Verilerinizin silinmesini talep etme |
| Islemeyi Kisitlama | — | Art. 18 | — | Belirli kosullarda veri islenmesinin kisitlanmasini talep etme |
| Veri Tasinabilirligi | — | Art. 20 | §1798.100 | Verilerinizi yapilandirilmis formatta alma ve baska bir sorumluya aktarma |
| Itiraz Hakki | — | Art. 21 | — | Mesru menfaate dayali islemeye veya pazarlamaya itiraz etme |
| Riza Geri Cekme | ✓ | Art. 7(3) | — | Verdiginiz rizayi dilediginiz zaman geri cekme |
| Satistan Cayma (Opt-Out) | — | — | §1798.120 | Kisisel verilerinizin satisindan cayma (VerimliAI veri satmaz) |
| Denetim Otoritesine Sikayet | ✓ | Art. 77 | — | KVKK Kurumu'na veya yerel GDPR otoritesine sikayette bulunma |
9. Cocuklarin Gizliligi
VerimliAI hizmetleri, 18 yasindan kucuk bireylere yonelik degildir. Bilincli olarak 18 yas altindaki kisilerden kisisel veri toplamayiz. 18 yas altindaki bir bireyden veri topladigimizi tespit edersek, bu verileri derhal sileriz. Ebeveyn veya vasi olarak, cocugunuzun bize veri sagladigini dusunuyorsaniz, info@verimliai.com adresinden bizimle iletisime gecin.
10. Politika Degisiklikleri
Bu Gizlilik Politikasi; yasal duzenlemelerdeki degisiklikler, yeni hizmetlerin eklenmesi veya veri isleme sureclerimizdeki guncellemeler nedeniyle zaman zaman revize edilebilir. Onemli degisiklikler durumunda:
- Web sitemizde 30 gun oncesinden duyuru yapilir
- Aktif musterilerimize e-posta ile bildirim gonderilir
- Riza gerektiren degisiklikler icin ayrica onay alinir
Politikanin onceki versiyonlari talep uzerine info@verimliai.com adresinden temin edilebilir.
11. Iletisim ve Basvuru
| Kanal | Detay |
|---|---|
| E-Posta (Genel) | info@verimliai.com |
| Veri Koruma Yetkilisi (DPO) | info@verimliai.com (Konu: DPO) |
| Web Sitesi | https://verimliai.com/iletisim |
| KVKK Basvuru Adresi | info@verimliai.com (Konu: KVKK Basvurusu) |
| Yanit Suresi | En gec 30 (otuz) gun |
| Ucret | Ucretsiz (KVKK Madde 13 uyarinca) |
Bu Gizlilik Politikasi, VerimliAI'nin veri koruma taahhudunun yazili beyanidir. Sorulariniz veya endiseleriniz icin her zaman info@verimliai.com adresinden bize ulasabilirsiniz.