Kişisel Verilerin Korunması Ve İşlenmesi Hakkında Aydınlatma Metni

Veri Sorumlusu ve Temsilci

İşbu Aydınlatma Metni, Tanrıkulu Partners Bilişim ve AI Teknolojileri Anonim Şirketi (“Armağan AI” veya “Şirket”) tarafından, [www.tanrikulupartners.com] adresi ve mobil uygulamaları üzerinden sunulan “Yapay Zeka Destekli Hukuk Asistanı” hizmetlerine ilişkin Abonelik Sözleşmesi’nin ayrılmaz bir parçası olarak hazırlanmıştır.

Armağan AI; abonelik ve faturalama gibi kendi operasyonel süreçlerinde ‘Veri Sorumlusu’, ancak platforma yüklediğiniz müvekkil dosyaları ve hukuki içerikler bakımından ise yalnızca talimatlarınızla hareket eden bir ‘Veri İşleyen’ sıfatıyla hareket etmektedir.

  • Adres: Bahçelievler Mah. Konyaaltı Cad. Sıtkı Göksoy Apt. No: 40 İç Kapı No: 18 Muratpaşa / ANTALYA
  • E-Posta: info@tanrikulupartners.com

İşlenen Kişisel Veri Kategorileri ve Elde Etme Yöntemleri

Abonelik Sözleşmesi’nin kurulması ve hizmetin ifası kapsamında, verileriniz tamamen veya kısmen otomatik yollarla (internet sitesi, mobil uygulama, API entegrasyonları, çerezler) aşağıdaki kategorilerde işlenmektedir:

  • Kimlik ve İletişim Bilgileri: Ad, soyad, doğum tarihi, T.C. Kimlik/Vergi Numarası, e-posta adresi, telefon numarası ve adres bilgileri.
  • Müşteri İşlem Bilgileri: Abonelik türü, sipariş geçmişi, fatura bilgileri, talep ve şikâyet kayıtları. (Bu veriler yalnızca hesap sahibi Yetkili Kullanıcılar bakımından işlenir; alt kullanıcı çalışanlardan finansal veri toplanmaz.)
  • Hukuki İşlem ve Mesleki Veriler: Sisteme yüklediğiniz dava dosyaları, duruşma tutanakları, ara kararlar ve bu belgelerin analiz edilmesiyle oluşturulan takvim/görev kayıtları.
  • İşlem Güvenliği ve Hizmet Kullanım Verileri: Kullanıcı erişim ve işlem logları, IP adresleri, giriş-çıkış (login/logout) zaman damgaları, cihaz ve tarayıcı bilgileri, oturum bilgileri, parola bilgileri (tek yönlü şifrelenmiş/hash’lenmiş olarak), kullanım sıklığı ve yoğunluğu, işlem hacmi, belge yükleme ve analiz sayıları, eş zamanlı kullanım bilgileri, sistem içi işlem geçmişi, kullanım paternleri ve adil kullanım/limit takibine ilişkin teknik veriler.

Kişisel Verilerin İşlenme Amaçları ve Hukuki Sebepleri

Kişisel verileriniz, 6698 sayılı KVKK m.5 hükümleri uyarınca; KULLANICI’nın Avrupa Birliği’nde yerleşik olması, Avrupa Birliği’ne yönelik hizmet sunulması veya Avrupa Birliği’nde bulunan kişilerin davranışlarının izlenmesi hâllerinde ise ayrıca GDPR m.6 hükümleri kapsamında, belirtilen hukuki sebeplere dayanılarak işlenmektedir:

Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması (KVKK m. 5/2-c, GDPR m. 6/1-b)

  • Kullanıcı abonelik kaydının oluşturulması ve yönetilmesi,
  • Sözleşmede taahhüt edilen belge analizi, sınıflandırma, süre hesaplama ve takvim oluşturma hizmetlerinin sunulması,
  • Ödeme işlemlerinin gerçekleştirilmesi.

Kanunlarda Açıkça Öngörülmesi ve Hukuki Yükümlülük (KVKK m. 5/2-a/ç, GDPR m. 6/1-c)

  • 5651 sayılı Kanun uyarınca erişim loglarının tutulması,
  • Vergi Usul Kanunu uyarınca fatura düzenlenmesi ve saklanması.

Veri Sorumlusunun Meşru Menfaati (KVKK m. 5/2-f, GDPR m. 6/1-f)

  • Sistem güvenliğinin sağlanması;
  • Yetkisiz erişimlerin, kötü niyetli kullanımların (abuse), anormal veya olağan mesleki kullanım amacını aşan faaliyetlerin tespiti ve önlenmesi;
  • Adil kullanım ilkelerinin ve teknik limitlerin uygulanması; otomasyon, bot kullanımı, sistematik veri çekme ve benzeri faaliyetlerin engellenmesi;
  • Hizmetin güvenliği, sürekliliği ve performansının sağlanması amacıyla erişim ve işlem loglarının, kullanım yoğunluğunun ve kullanım paternlerinin analiz edilmesi;
  • Sistem bütünlüğünün korunması, denetim, teknik inceleme ve olay müdahalesi (incident response) faaliyetlerinin yürütülmesi;
  • Hizmet kalitesinin artırılmasına yönelik sistemsel hata ve performans analizlerinin yapılması.

Doğum Günü Kutlamaları Kapsamında İşleme

KULLANICI tarafından isteğe bağlı olarak sağlanan doğum tarihi bilgisi;

  • KULLANICI’ya ve/veya aynı ofis/organizasyon kapsamında yer alan kullanıcılara yönelik doğum günü kutlamalarının yapılabilmesi,
  • Uygulama açılışı veya sistem içi bildirimler yoluyla kutlama içeriklerinin sunulması,
  • Bu kapsamdaki sistem kullanımına ilişkin anonim ve istatistiksel değerlendirmelerin yapılması

amaçlarıyla işlenmektedir.

Adres bilgileri ise yalnızca doğum günü ve benzeri özel günler kapsamında fiziksel gönderim yapılabilmesini sağlamak amacıyla işlenmekte olup; pazarlama, reklam, profil oluşturma veya başka herhangi bir ticari amaçla kullanılmaz.

Açık Rıza (KVKK m. 5/1, GDPR m. 6/1-a)

Abonelik Sözleşmesi’nin “Fikri Mülkiyet ve Model Eğitimi” maddesi uyarınca; verilerinizin anonimleştirilerek yapay zeka modellerinin genel eğitimi (training) ve iyileştirilmesi amacıyla kullanılması, yalnızca ayrı bir onay mekanizması üzerinden vereceğiniz açık rızanız ile mümkündür. Rızanızı dilediğiniz zaman panel üzerinden geri alabilirsiniz.

Tanıtım, Referans ve Ticari İletişim Amaçlı Kişisel Veri İşlenmesi

Armağan AI; KULLANICI’ya ait unvan, firma adı, ticaret unvanı, logo ve benzeri tanıtıcı bilgilerin hizmet tanıtımı, referans gösterimi ve ticari elektronik iletişim amacıyla işlenmesi ile kargo/lojistik aracılığıyla yurtiçinde fiziksel gönderim yapılması faaliyetleri, ayrıca vereceğiniz açık rızaya dayalı olarak yürütülür.

Söz konusu açık rıza, aydınlatma yükümlülüğünden bağımsız olarak; platform arayüzünde yer alan ayrı onay mekanizmaları (checkbox/panel tercihi) aracılığıyla alınır. Verdiğiniz açık rızayı, dilediğiniz zaman kullanıcı paneli üzerinden veya yazılı başvuru ile geri alabilirsiniz.

Yurt Dışı Aktarım ve Saklama Politikası

Abonelik Sözleşmesi’nde belirtildiği üzere, hizmetin güvenli ve yüksek performansla sunulabilmesi amacıyla; KULLANICI’ya ait operasyonel kişisel veriler (kimlik, iletişim vb.) ile sisteme yüklenen tüm dava dosyaları, evraklar ve diğer içerikler, sunucuları yurt dışında (Örn. Google Cloud AB bölgesi) bulunan güvenli bulut altyapılarına aktarılmakta ve burada saklanmaktadır. Bu aktarım; 6698 sayılı KVKK m.9 uyarınca, KVK Kurumu’na bildirilen ‘Standart Sözleşme (SCC)’ güvencesiyle hukuka uygun olarak gerçekleştirilmektedir.

Sistemdeki veri işleme ve saklama politikamız şu şekildedir:

  • Şifreli Kalıcı Saklama: KULLANICI’nın kendi dosyalarını ve klasörlerini daha sonra yeniden analiz edebilmesi amacıyla yüklediği içerikler ile kişisel verileri, bulut altyapısında uçtan uca şifreli (encrypted) olarak depolanır. Kullanılan şifreleme mimarisi gereği, Google dâhil hiçbir üçüncü taraf altyapı sağlayıcısının yüklenen dava dosyalarını ve hukuki evrakları düz metin olarak görme veya okuma yetkisi/imkânı bulunmamaktadır.
  • Anlık İşleme (Inference): Dava dosyalarının hukuki analizi, süre hesaplaması ve özet çıkarımı gibi işlemler için, veriler Gemini API vb. yapay zekâ modellerine anlık olarak transfer edilir ve analiz sonucu KULLANICI’ya sunulur.
  • Model Eğitimi Yasağı (No-Training): Yurt dışı sunucularında şifreli olarak saklanan veya yapay zekâ servislerine anlık olarak transfer edilen hiçbir veri; Armağan AI veya üçüncü taraf sağlayıcılar (Google vb.) tarafından yapay zekâ modellerinin eğitilmesi (training) veya iyileştirilmesi amacıyla kesinlikle kullanılmaz. Bu durum, yapılan Kurumsal Veri İşleme Sözleşmeleri (DPA) ile yasal güvence altına alınmıştır.

Kişisel Verilerin Aktarılması (Alıcı Grupları ve Yurt Dışı Aktarımı)

Verileriniz, bilme gereği (need-to-know) prensibi çerçevesinde aşağıdaki alıcı gruplarına aktarılabilir:

Kamu ve Teknik Hizmet Sağlayıcılar

Yasal yükümlülüklerimiz kapsamında yetkili kamu kurum ve kuruluşlarına (Gelir İdaresi Başkanlığı, mahkemeler ve benzeri resmî merciler) ve hizmetin sunulması için zorunlu olan teknik altyapı sağlayıcılarına.

Doğum Günü Kutlamaları Kapsamında Fiziksel Gönderim Amaçlı Yurt İçi Aktarım

KULLANICI tarafından isteğe bağlı olarak sağlanan doğum tarihi bilgisi;

  • KULLANICI’ya ve/veya aynı ofis/organizasyon kapsamında yer alan kullanıcılara yönelik doğum günü kutlamalarının yapılabilmesi,
  • Uygulama açılışı veya sistem içi bildirimler yoluyla kutlama içeriklerinin sunulması,
  • Doğum günü kutlama özelliğinin kullanımına ilişkin anonim ve istatistiksel değerlendirmelerin yapılması

amaçlarıyla işlenmektedir.

Adres bilgileri ise yalnızca doğum günü ve benzeri özel günler kapsamında fiziksel gönderim yapılabilmesini sağlamak amacıyla işlenmekte olup; istatistik, analiz, profil oluşturma, pazarlama veya başka herhangi bir amaçla kullanılmaz.

KULLANICI tarafından açık rıza verilmesi hâlinde; doğum günü ve benzeri özel günler kapsamında fiziksel gönderim yapılabilmesi amacıyla, ad-soyad, adres ve iletişim bilgileri, gönderimin gerçekleştirilmesi için zorunlu olduğu ölçüde kargo, kurye ve lojistik hizmet sağlayıcıları ile paylaşılabilir.

Bu aktarım, yalnızca ilgili gönderimin gerçekleştirilmesi amacıyla, sınırlı süreyle ve veri minimizasyonu ilkesi uyarınca yapılır. Söz konusu kişisel veriler, kargo ve lojistik hizmet sağlayıcıları tarafından pazarlama, reklam, profil oluşturma veya başka herhangi bir amaçla kullanılamaz.

Bu kapsamda gerçekleştirilen yurtiçi veri aktarımı, KULLANICI’nın doğum günü kutlamaları ve fiziksel gönderim yapılmasına ilişkin vereceği ayrı ve açık rızaya dayalı olarak gerçekleştirilmektedir.

Üçüncü Taraf Hizmet Sağlayıcılar ve İş Ortakları Üzerinden Sunulan Hizmetler

Armağan AI platformu içerisinde, banka, sigorta, finans, ödeme, danışmanlık ve benzeri alanlarda üçüncü taraf hizmet sağlayıcılar ve iş ortakları tarafından sunulan hizmetlere erişim imkânı sağlanabilir.

Bu hizmetlere ilişkin başvuru, teklif alma veya işlem başlatma süreçleri, KULLANICI’nın açık talebi ve işlem bazlı onayı üzerine, ilgili üçüncü tarafın kendi sistemlerine yönlendirilmesi suretiyle yürütülür. Bu kapsamda KULLANICI tarafından üçüncü taraf hizmet sağlayıcıya doğrudan iletilen kişisel veriler bakımından, söz konusu kuruluşlar bağımsız veri sorumlusu sıfatını haiz olup; Armağan AI bu verilerin işlenmesinden sorumlu değildir.

Armağan AI, bu kapsamda KULLANICI’ya ait kişisel verileri üçüncü taraf hizmet sağlayıcılarla otomatik veya sistematik şekilde paylaşmaz; veri paylaşımı yalnızca KULLANICI’nın ilgili hizmeti başlatması ve gerekli onayları vermesi hâlinde, KULLANICI’nın kendi iradesiyle gerçekleşir.

Yurt Dışı Aktarım

Abonelik Sözleşmesi’nde belirtildiği üzere, yapay zekâ destekli analiz hizmetinin sağlanabilmesi amacıyla; KULLANICI tarafından sisteme yüklenen belge ve içerikler dâhil olmak üzere kişisel veriler, sunucuları yurt dışında bulunan üçüncü taraf yapay zekâ servis ve bulut hizmet sağlayıcılarına (Google Cloud vb.) aktarılabilmektedir.

Bu yurt dışı aktarım; 6698 sayılı KVKK’nın 9. maddesinde 2024 yılında yapılan değişiklikler ile GDPR Bölüm V hükümleri uyarınca gerçekleştirilmektedir. KVKK m.9/5 uyarınca, bu kapsamda aktarım tarafları arasında imzalanan Standart Sözleşmeler (SCC), beş iş günü içinde Kişisel Verileri Koruma Kurumuna bildirilir.

Yurt dışına aktarılan kişisel veriler, yüklenen belge ve içeriklerin yapay zekâ destekli analizinin gerçekleştirilmesi amacıyla, yalnızca hizmetin anlık ifası (inference) kapsamında işlenmekte olup; yapay zekâ modellerinin genel eğitimi (training), kalıcı model iyileştirmesi veya başka kullanıcılar lehine veri seti oluşturulması amacıyla Armağan AI tarafından kullanılmaz ve bu yönde bir aktarım talimatı verilmez. Ayrıca Armağan AI, kurumsal/ücretli API hizmetleri ve imzaladığı ilgili veri işleme sözleşmeleri (DPA) kapsamında, üçüncü taraf yapay zekâ servis sağlayıcılarının da aktarılan verileri model eğitimi amacıyla kullanmamasını sözleşmesel olarak güvence altına alır.

Armağan AI, yukarıda belirtilen ikili rolü gereğince; kendi operasyonel süreçlerine ait veriler bakımından Veri Sorumlusu, sisteme yüklenen müvekkil/hukuki içerikler bakımından ise Veri İşleyen sıfatıyla hareket ederek yurt dışı aktarımını hukuka uygun şekilde gerçekleştirmekten ve gerekli sözleşmesel/teknik tedbirlerin temininden sorumludur.

KULLANICI; hizmetin sunumu kapsamında üçüncü taraf servis sağlayıcıların (örneğin yapay zekâ modeli sağlayıcıları, bulut altyapıları, bildirim ve ödeme servisleri) kullanılabileceğini bildiğini ve bu sağlayıcıların kendi iç veri işleme politikaları ile operasyonel süreçlerinin Armağan AI’nın fiilî kontrol alanı dışında olduğunu kabul eder. Bununla birlikte Armağan AI, bu üçüncü taraflarla olan ilişkilerini yürürlükteki mevzuata uygun sözleşmesel ve teknik güvenceler çerçevesinde tesis etmeyi; veri sorumlusu veya veri işleyen sıfatına göre kendisine düşen yükümlülükleri yerine getirmeyi taahhüt eder.

Chrome Eklentisi (Chrome Extension) Veri Kullanımı

ArmaganAI Chrome Eklentisi, UYAP ve UETS portallarından çektiği hukuki dosya ve evrak içeriklerini tarayıcınızda kalıcı olarak saklamaz. Bu veriler, Armağan AI yerel sunucularına aktarılmaksızın, tarayıcınız üzerinde anlık olarak şifrelenerek (encrypted) doğrudan güvenli yurt dışı bulut depolama (Google Cloud vb.) altyapısına yüklenir. Eklenti, bu süreçte yalnızca güvenli bir aktarım köprüsü görevi görür.

Tarayıcınızda yalnızca şifrelenmiş kimlik doğrulama anahtarları (token) ve senkronizasyon durumu lokal olarak tutulur. Eklenti aracılığıyla toplanan hiçbir veri üçüncü şahıslara satılmaz, farklı kurumlarla paylaşılmaz veya reklam amacıyla kullanılmaz. Veriler, yalnızca KULLANICI’nın kendi ArmaganAI hesabına entegre edilmek ve talep edilen hizmetin ifası amacıyla işlenir.

Üçüncü Kişi (Müvekkil) Verileri ve Rol Ayrımı

Sisteme yüklediğiniz belgelerde yer alan üçüncü kişilere (müvekkilleriniz, karşı taraf vb.) ait kişisel veriler bakımından, Armağan AI “Veri İşleyen” (Data Processor), siz ise “Veri Sorumlusu” (Data Controller) sıfatını haizsiniz. Bu verileri sisteme yüklemeden önce ilgili kişileri aydınlatma ve gerekmesi hâlinde açık rızalarını alma yükümlülüğü tarafınıza aittir.

Bu kapsamda sisteme yüklenen içerikler, niteliği gereği 6698 sayılı KVKK’nın 6. maddesinde tanımlanan özel nitelikli kişisel verileri içerebilir; bu verilerin hukuka uygun şekilde işlenmesine ilişkin her türlü aydınlatma, açık rıza ve sair hukuki dayanakların temini münhasıran KULLANICI’nın sorumluluğundadır. Armağan AI, KULLANICI tarafından sisteme yüklenen kişisel verilerin işlenmesi için gerekli hukuki dayanağın varlığı, geçerliliği veya yeterliliği konusunda herhangi bir denetim yükümlülüğü taşımaz; Veri İşleyen sıfatıyla yalnızca KULLANICI’nın talimatları doğrultusunda hareket eder ve KVKK m.12 uyarınca kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri alır.

Armağan AI;

(i) abonelik hesabı, faturalama, erişim logları ve platform güvenliği gibi kendi operasyonel süreçlerinde Veri Sorumlusu, (ii) KULLANICI tarafından sisteme yüklenen ve KULLANICI’nın müvekkillerine/üçüncü kişilere ait olabilecek içerikler bakımından ise KULLANICI adına Veri İşleyen sıfatıyla hareket eder.

Armağan AI’nın Veri İşleyen sıfatıyla işlediği üçüncü kişilere ait veriler bakımından yapılacak ilgili kişi başvuruları, asıl Veri Sorumlusu olan KULLANICI tarafından değerlendirilir; Armağan AI’ya yöneltilen talepler, KULLANICI’ya iletilebilir.

Veri Saklama Süresi ve İmha

Kişisel verileriniz, Abonelik Sözleşmesi devam ettiği sürece işlenir. Aboneliğinizin sona ermesini takiben, olası yeniden üyelik taleplerinizi kolaylaştırmak amacıyla verileriniz 1 (bir) yıl süreyle saklanır ve bu sürenin sonunda otomatik olarak silinir. Abonelik sona erdiğinde, saklama süresi boyunca aktif bir abonelik bulunmadıkça veriler üzerinde erişim, görüntüleme, indirme veya herhangi bir işlem yapılmasına imkân sağlanmaz.

Yasal saklama yükümlülükleri (örneğin vergi mevzuatı gereği fatura saklama süreleri) saklıdır. Ayrıca, abonelik sonrası “Hemen Silme” talebinde bulunma hakkınız mevcuttur.

İlgili Kişinin Hakları

KULLANICI; 6698 sayılı KVKK’nın 11. maddesi uyarınca, ayrıca KULLANICI’nın Avrupa Birliği mevzuatı kapsamında ilgili kişi sayılması hâlinde GDPR’ın 15–22. maddeleri çerçevesinde;

  • Kişisel verilerinizin işlenip işlenmediğini öğrenme,
  • İşlenen verilerinize ilişkin bilgi ve kopya talep etme (Erişim Hakkı),
  • Yanlış veya eksik verilerin düzeltilmesini isteme,
  • Verilerinizin silinmesini veya yok edilmesini isteme (Unutulma Hakkı),
  • Veri taşınabilirliği hakkınızı kullanma (GDPR kapsamında),
  • Otomatik karar verme sistemleri ile aleyhinize çıkan sonuçlara itiraz etme,

haklarına sahipsiniz.

Başvuru Yöntemi

KULLANICI, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamındaki haklarını kullanmak üzere yapacağı başvuruları;

  • Yazılı olarak Şirket adresine gönderilecek imzalı dilekçe ile,
  • Kayıtlı elektronik posta (KEP) adresi üzerinden,
  • Güvenli elektronik imza veya mobil imza kullanılarak,
  • Veya Şirket sisteminde kayıtlı bulunan e-posta adresi üzerinden, kimliğini doğrulayıcı bilgi ve belgelerle birlikte,

info@tanrikulupartners.com adresine iletebilir.

Kişisel veri koruma mevzuatı kapsamındaki başvurular bakımından; kullanıcı paneli üzerinden yapılan bildirimler, sistem içi mesajlar veya genel destek talepleri KVKK başvurusu olarak kabul edilmez.

Başvurular, 6698 sayılı KVKK’nın 13. maddesi uyarınca, talebin Şirket’e ulaştığı tarihten itibaren en geç 30 (otuz) gün içinde, ücretsiz olarak sonuçlandırılır.