Gizlilik Politikası

AkıllıBeyan (“Platform”, “biz”, “hizmet”), Ravencord OÜ tarafından işletilmektedir (sicil no: 17088619, Meistri tn 6, Tallinn, 13517, Estonya). Bu Gizlilik Politikası; platformumuzu kullanan serbest muhasebeci mali müşavirler (SMMM/YMM), ofis personeli ve mükelleflerin kişisel verilerini nasıl topladığımızı, işlediğimizi ve koruduğumuzu açıklamaktadır.

GDPR Madde 4 ve KVKK Madde 3 uyarınca Ravencord OÜ platformda iki ayrı rolde hareket eder:

• Veri Sorumlusu sıfatıyla: Müşavir (SMMM/YMM ofisi) hesap sahiplerinin, ofis personelinin ve doğrudan Ravencord OÜ ile sözleşme ilişkisi kuran tarafların kimlik, iletişim, faturalama, oturum güvenliği gibi kendi müşterilerimize aitkişisel verileri için.
• Veri İşleyen sıfatıyla: Müşavirin platforma yüklediği mükellef verileri (beyanname, tahakkuk, fiş/fatura, mesajlaşma) için. Bu kapsamda müşavir Veri Sorumlusu, Ravencord OÜ ise yalnız müşavirin talimatlarıyla işlem yapan Veri İşleyen'dir (GDPR Madde 28; KVKK Madde 12). Mükellef kişisel verilerine ilişkin başvurular öncelikle müşavire yöneltilmelidir.

Veri Sorumlusu kimlik bilgileri:
Ravencord OÜ (sicil 17088619, Estonya Ticaret Sicili)
Adres: Meistri tn 6, Tallinn, 13517, Estonya
E-posta: bilgi@akillibeyan.com

Türkiye'deki kullanıcılar için KVKK kapsamındaki aydınlatma metniKVKK Aydınlatma Metni sayfasında yer alır.

Platform üzerinden aşağıdaki kişisel veriler işlenmektedir:

• Kimlik ve iletişim verileri: Ad soyad, e-posta adresi, telefon numarası
• Vergi kimlik bilgileri: VKN (10 hane) veya TCKN (11 hane), mükellef profili için
• Hesap verileri: Şifreli parola hash, oturum jetonları, son giriş tarihi
• Kullanım verileri: IP adresi, tarayıcı/işletim sistemi bilgisi, belge görüntüleme kayıtları
• Finansal belgeler: Yüklenen beyanname, tahakkuk fişleri ve mükellef tarafından çekilen fiş/fatura fotoğrafları (şifreli depolamada)
• Mesajlaşma içerikleri: Mükellef ile müşavir arasındaki uygulama içi yazışmalar (“Müşavirine Yaz” özelliği). Mesajlar yalnızca tarafların ve ofis personelinin erişimine açıktır; AkıllıBeyan ekibi içeriği görüntülemez (Veritabanı Satır Düzeyi Güvenlik · RLS).
• Push notification token: Mobil uygulama için Expo push token
• Hesap-şirket ilişkisi: Tek bir mükellef hesabı birden fazla şirkete (mükellef kaydına) bağlanabilir; bu eşleştirme verisi de işlenir.

• Hizmet sözleşmesinin ifası: Belge iletimi, bildirim gönderimi, kullanıcı kimlik doğrulama
• Yasal yükümlülüklerin yerine getirilmesi: Fatura ve muhasebe kayıtları
• Meşru menfaatlerimiz: Hizmet güvenliğinin sağlanması, suistimal tespiti
• Açık rıza (opsiyonel): Ürün güncellemeleri ve pazarlama e-postaları

Kişisel veri işleme faaliyetlerimiz GDPR Madde 6 kapsamında aşağıdaki hukuki dayanaklara dayanmaktadır:

• Madde 6(1)(b) Sözleşme ifası: Temel platform hizmetleri için
• Madde 6(1)(c) Yasal yükümlülük: Vergi ve muhasebe mevzuatı uyumu için
• Madde 6(1)(f) Meşru menfaat: Güvenlik ve dolandırıcılık önleme için
• Madde 6(1)(a) Açık rıza: Pazarlama iletişimleri için (her zaman geri alınabilir)

• Hesap verileri: Hesap kapatmadan sonra 30 gün (ardından kalıcı silme)
• Mali belgeler: Türk vergi mevzuatı gereği yükleme tarihinden itibaren 5 yıl
• Mesajlaşma içerikleri: Müşavir-mükellef ilişkisi devam ettiği sürece + ilişkinin sona ermesinden itibaren 1 yıl (defansif veya hukuki amaçla saklama). Hesap kapatıldığında mükellefin tüm mesajları 30 gün içinde silinir.
• Erişim kayıtları (log): 90 gün
• Fatura kayıtları: 10 yıl (Türk Ticaret Kanunu)

Verilerinizi korumak için aşağıdaki teknik ve organizasyonel önlemleri uygulamaktayız:

• Tüm iletişim TLS 1.3 ile şifrelenmektedir
• Dosyalar AES-256 ile depolanmaktadır (Supabase Storage, AB içinde Frankfurt bölgesi)
• Belge URL'leri imzalıdır ve 1 saat geçerlidir
• Veri izolasyonu: ofis bazlı Satır Düzeyi Güvenlik (RLS) ile başka ofis veriye erişemez
• Mobil uygulamada biyometrik giriş (Face ID / parmak izi) desteği
• Mobil uygulama açılış kilidi (PIN); yalnızca cihazda iOS Keychain veya Android Keystore üzerinden SecureStore içinde SHA-256 + rastgele salt ile saklanır. PIN sunucumuza veya veritabanımıza asla gönderilmez.
• Art arda başarısız giriş denemelerinde otomatik hesap kilitleme (3 deneme web, 5 deneme mobil)
• Kullanıcı parolaları yalnız Supabase Auth tarafından bcrypt ile özetlenip saklanır; düz metin parola hiçbir yerde tutulmaz
• Otomatik karar verme: veri sahibi üzerinde hukuki sonuç doğuran tek başına otomatik karar verme uygulanmaz
• Düzenli güvenlik denetimleri ve sızma testleri

Kişisel verilerinizi, hizmetin sunulması için zorunlu olan alt işleyiciler dışında üçüncü taraflarla satmaz veya kiralamayız. Alt işleyicilerimiz:

• Supabase Inc. (ABD): Veritabanı, kimlik doğrulama, dosya depolama (verileriniz AB içinde Frankfurt bölgesinde tutulur).
• Vercel Inc. (ABD): Web uygulaması barındırma (AB içinde Frankfurt POP'ları kullanılır).
• Expo (Snack Inc., ABD): Mobil push bildirim röle altyapısı.
• Apple Inc. (ABD): iOS push bildirim altyapısı (Apple Push Notification service / APNs).
• Google LLC / Firebase (ABD): Android push bildirim altyapısı (Firebase Cloud Messaging).
• Stripe Payments Europe Ltd (İrlanda) ve Stripe, Inc. (ABD): Abonelik ve kod satın alma ödeme işlemleri (Stripe, Ravencord OÜ adına ödeme işlemcisi olarak hareket eder).
• Google LLC (ABD): Anonim site analitiği (Google Analytics 4); yalnız çerez onay banner'ından açık rıza vermeniz halinde çalışır; reklam ve davranışsal hedefleme amacıyla kullanılmaz. Mobil uygulamada analitik SDK veya telemetri sistemi bulunmaz.

Tüm alt işleyicilerle GDPR uyumlu Veri İşleme Sözleşmeleri (DPA) imzalanmıştır. AB'den ABD'ye veri transferlerinde standart sözleşme hükümleri (SCC) uygulanmaktadır.

Platform Estonya'da yerleşik olmakla birlikte, alt işleyicilerin sunucuları ABD ve AB'de bulunmaktadır. Tüm transferler, uygun güvence mekanizmaları (SCC) kapsamında gerçekleştirilmektedir.

KVKK Madde 12/5 ve GDPR Madde 33-34 uyarınca veri ihlali tespit edilmesi halinde aşağıdaki bildirim süreci uygulanır:

• Olay öğrenildikten itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na (Türkiye) ve Estonya Veri Koruma Müfettişliği'ne (Andmekaitse Inspektsioon) bildirim.
• Etkilenen veri sahiplerine en kısa sürede ve doğrudan kanaldan (panel bildirimi, e-posta, gerektiğinde kamuya açık duyuru) bilgilendirme.
• İhlalin kapsamının, etkisinin ve alınan tedbirlerin dokümantasyonu; olay sonrası iyileştirme planının uygulanması.

Platformumuzda kullanılan çerezler hakkında ayrıntılı bilgi için Çerez Politikamızı inceleyiniz.

GDPR ve KVKK kapsamında aşağıdaki haklara sahipsiniz:

• Erişim hakkı: İşlenen kişisel verilerinize erişim talep edebilirsiniz
• Düzeltme hakkı: Hatalı verilerin düzeltilmesini isteyebilirsiniz
• Silme hakkı (“unutulma hakkı”): Belirli koşullar altında verilerinizin silinmesini talep edebilirsiniz
• İşlemeyi kısıtlama hakkı: Belirli koşullar altında işlemeyi sınırlayabilirsiniz
• Veri taşınabilirliği hakkı: Verilerinizi makine okunabilir formatta alabilirsiniz
• İtiraz hakkı: Meşru menfaate dayalı işlemelere itiraz edebilirsiniz
• Onay geri çekme hakkı: Rıza temelli işlemelerde onayı geri alabilirsiniz

Talep ve şikayetleriniz için: bilgi@akillibeyan.com

Bu politikayı zaman zaman güncelleyebiliriz. İşleme amacı, hukuki sebep, saklama süresi veya alt işleyici listesinde yapılan esaslı değişiklikler en az 30 gün önce kayıtlı e-posta adresinize bildirilir; küçük yazım veya düzen değişiklikleri yalnızca “Son güncelleme” tarihi ile belirtilir. Esaslı değişiklikleri kabul etmemeniz halinde hesabınızı kapatma hakkınız saklıdır.