KVKK Aydınlatma Metni

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca AkıllıBeyan platformunda iki ayrı rol bulunmaktadır:

Veri Sorumlusu kimlik bilgileri:

• Unvan: Ravencord OÜ
• Sicil no: 17088619 (Estonya Ticaret Sicili)
• Adres: Meistri tn 6, Tallinn, 13517, Estonya
• E-posta: bilgi@akillibeyan.com

Platform üzerinden işlenen kişisel veriler aşağıdaki kategorilere ayrılmıştır. Her kategori, KVKK Veri Kategorileri Tebliği ile uyumludur:

• Kimlik Verileri: Ad, soyad, T.C. kimlik numarası (TCKN), vergi kimlik numarası (VKN). VKN/TCKN yalnız vergi mevzuatı yükümlülüğü gereği işlenir; maskeli (***6789) gösterilir. TCKN ve VKN; Kişisel Verileri Koruma Kurulu'nun 31/01/2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararı kapsamındaki teknik ve idari tedbirlere tabi tutulur.
• İletişim Verileri: E-posta adresi, telefon numarası, müşavir ofis adresi.
• Mesleki Bilgiler: Müşavir hesapları için ofis unvanı, oda kayıt bilgileri, müşavirlik belgesi içeriği (müşavir kendi yüklediği takdirde).
• Finansal Veriler: Beyanname, tahakkuk fişleri, mükellef tarafından çekilen fiş/fatura fotoğrafları, müşavirin abonelik fatura kayıtları.
• Görsel ve İşitsel Veriler: Profil fotoğrafı (müşavir tarafından yüklendiği takdirde), ofis logosu, fiş ve fatura fotoğrafları.
• İşlem Güvenliği Verileri: IP adresi (Edge erişim loglarında düz, kod doğrulama brute-force korumasında SHA-256 hash), oturum bilgileri, giriş tarih/saatleri, başarısız giriş denemeleri, kullanıcı parolası (Supabase Auth tarafından bcrypt ile özetlenir, asla düz metin saklanmaz), mobil PIN (yalnız cihazda iOS Keychain veya Android Keystore içinde SHA-256 + rastgele tuz; sunucumuza gönderilmez), cihaz tanımlayıcısı (kod ile girişte brute-force koruması için SHA-256 hash).
• Mesajlaşma Verileri: Uygulama içi “Müşavirine Yaz” özelliğinde mükellef ile müşavir arasında iletilen mesaj içerikleri. Yalnız tarafların ve aynı ofise bağlı yetkili personelin erişimine açıktır; AkıllıBeyan ekibi içerikleri görüntülemez (Satır Düzeyi Güvenlik · RLS).
• Hesap-Şirket Eşleştirme Verileri: Bir kullanıcı hesabı birden fazla mükellef kaydına (şirkete) bağlanabilir; bu eşleştirme bilgisi de işlenir.
• Talep ve Şikâyet Verileri: Destek talebi, hesap silme talebi içeriği, müşavir-mükellef şikâyet konuları.
• Pazarlama Verileri: Yalnız açık rıza verilmesi halinde işlenen ürün güncellemesi, bildirim ve kampanya iletişim verileri.

Kişisel verileriniz aşağıdaki amaçlarla ve KVKK Madde 5'te sayılan hukuki sebeplere dayanılarak işlenmektedir:

• Sözleşmenin Kurulması ve İfası (Madde 5/2-c):Müşavir abonelik sözleşmesinin yürütülmesi; kullanıcı hesabı oluşturma; belge iletimi; bildirim gönderimi; müşavir-mükellef arası “Müşavirine Yaz” iletişiminin sağlanması; mükellef kod doğrulama; sözleşme onay akışları; aktif/pasif mükellef yönetimi.
• Hukuki Yükümlülük (Madde 5/2-ç):Vergi Usul Kanunu, Türk Ticaret Kanunu ve diğer ilgili mevzuattan kaynaklanan belge saklama yükümlülükleri; KVKK uyarınca veri sahibi başvurularına yanıt verme; yetkili kamu kurum ve kuruluşlarının (mahkeme, savcılık, KVK Kurulu) geçerli yazılı taleplerinin karşılanması.
• Bir Hakkın Tesisi, Kullanılması veya Korunması (Madde 5/2-e):Müşavir-Ravencord OÜ arasında ya da müşavir-mükellef arasında ileride doğabilecek hukuki uyuşmazlıklarda delil olarak işlem, ödeme ve mesajlaşma kayıtlarının saklanması.
• Meşru Menfaat (Madde 5/2-f):Platform güvenliğinin sağlanması (RLS izolasyonu, brute-force koruması, başarısız giriş takibi); yetkisiz erişim ve dolandırıcılığın önlenmesi; hizmet iyileştirmesi amacıyla anonimleştirilmiş kullanım istatistikleri; teknik destek süreçleri.
• Açık Rıza (Madde 5/1):Yalnız ürün güncellemeleri, kampanya ve pazarlama amaçlı iletişimler için alınır; her zaman bilgi@akillibeyan.com adresine yazılarak geri alınabilir. Google Analytics 4 çerezleri de yalnız açık rıza ile çalıştırılır (çerez onayı banner'ı üzerinden).

Kişisel verileriniz; yalnız hizmetin sunulması için zorunlu olan ve KVKK Madde 8 ve 9 kapsamındaki güvenceler sağlanan aşağıdaki taraf kategorileriyle paylaşılabilmektedir. Kişisel verileriniz üçüncü kişilere satılmaz veya kiralanmaz.

a) Aktarılan Taraf Kategorileri

• Bilgi Teknolojisi (Altyapı) Hizmet Sağlayıcıları: Veritabanı, kimlik doğrulama, dosya depolama, web barındırma ve push bildirim altyapısı sunan kuruluşlar.
• Ödeme Hizmeti Sağlayıcıları: Abonelik ve kod satın alma ödemelerinin güvenli işlenmesi için PCI-DSS sertifikalı ödeme şirketleri.
• Analitik Hizmet Sağlayıcıları: Yalnız anonim web ziyaret istatistikleri için; reklam veya davranışsal hedefleme amacıyla kullanılmaz; mobil uygulamada bulunmaz.
• Hukuki ve Mali Danışmanlar: Olası uyuşmazlıklarda hak savunması ya da yasal mali yükümlülüklerin yerine getirilmesi amacıyla; sınırlı veri, gizlilik yükümlülüğü altında.
• Yetkili Kamu Kurum ve Kuruluşları: Mahkeme, savcılık, KVK Kurulu veya diğer kamu otoritelerinin geçerli yazılı talepleri kapsamında, talep edilen veri ve sınırlar dahilinde.
• Müşavir-Mükellef İlişkisi: Mükellef bilgileri, yalnız o mükellefin bağlı bulunduğu müşavir ofisi personeli ile RLS güvencesiyle paylaşılır; başka ofisler erişemez.

b) Yurtdışı Aktarım Yapılan Hizmet Sağlayıcıları

Aşağıdaki hizmet sağlayıcılarla, KVKK'nın 2024 yılında değiştirilen 9. maddesi kapsamında imzalanan Standart Sözleşme hükümleri (KVK Kurulu'nun yayımladığı Standart Sözleşme metni) çerçevesinde ve Kurul'a bildirim yapılarak aktarım gerçekleştirilir. Bu güvencelerin yetersiz kaldığı istisnai hallerde hizmetin ifası için zorunlu olduğu ölçüde KVKK Madde 9/6-a uyarınca açık rızanız alınır:

• Supabase Inc. (ABD): Veritabanı, kimlik doğrulama, dosya depolama (verileriniz AB içinde Frankfurt bölgesinde tutulur).
• Vercel Inc. (ABD): Web uygulaması barındırma (AB içinde Frankfurt POP'ları kullanılır).
• Expo (Snack Inc., ABD): Mobil push bildirim röle altyapısı.
• Apple Inc. (ABD): iOS push bildirim altyapısı (Apple Push Notification service / APNs).
• Google LLC / Firebase (ABD): Android push bildirim altyapısı (Firebase Cloud Messaging).
• Stripe Payments Europe Ltd (İrlanda) ve Stripe, Inc. (ABD): Abonelik ve kod satın alma ödemelerinin işlenmesi.
• Google LLC (ABD): Yalnız web'de ve yalnız çerez onay banner'ından açık rıza vermeniz halinde anonim ziyaret istatistikleri (Google Analytics 4).

Ravencord OÜ kendisi Estonya merkezlidir; AB içinde Estonya, GDPR ve KVKK ile uyumlu bir hukuki rejime tabidir. Türkiye'de yerleşik veri sahipleri için KVKK Madde 16 ve Yurt Dışında Yerleşik Veri Sorumlusu Tebliği uyarınca VERBİS kayıt sürecimiz devam etmekte olup Türkiye temsilcimiz atandığında bu sayfa güncellenecektir.

• Müşavir hesap bilgileri (oturum, profil): Hesap kapatmadan itibaren 30 gün (ardından kalıcı silme veya anonimleştirme)
• Mali belgeler: Yükleme tarihinden itibaren VUK 253/1 (5 yıl) ile TTK 82 (10 yıl) atıflarından uzun olanı (10 yıl) uygulanır.
• Mesajlaşma içerikleri: Müşavir-mükellef ilişkisi süresince + ilişkinin sona ermesinden itibaren 1 yıl (KVKK Madde 5/2-e: bir hakkın tesisi). Hesap kapatma talebinde mükellefin mesajları 30 gün içinde silinir.
• Erişim ve işlem kayıtları: 90 gün (5651 sayılı Kanun ve KVKK güvenlik gereksinimleri kapsamında).
• Fatura ve muhasebe kayıtları: 10 yıl (TTK 82; VUK 253).
• Pazarlama rızasına dayalı veriler: Rızanın geri alınmasına kadar.

Yasal saklama yükümlülüğü altındaki kayıtlar (mali belgeler, fatura, erişim logları) süre sonunda silinir ya da anonim hale getirilir. Detaylı “Kişisel Veri Saklama ve İmha Politikası” iç dokümanımız bilgi@akillibeyan.com adresinden talep edilebilir.

Kişisel verilerin hukuka aykırı erişim, ifşa, değişiklik ve imhasına karşı KVKK Madde 12 ve KVK Kurulu'nun 2018/10 sayılı kararı kapsamında alınan başlıca tedbirler:

• Aktarımda şifreleme: TLS 1.3 (HTTPS), yalnız geçerli sertifikalarla.
• Saklamada şifreleme: AES-256 (Supabase Storage), parolalar bcrypt ile.
• Yetki ayrımı: Satır Düzeyi Güvenlik (RLS) ile ofis bazlı veri izolasyonu; ofis personeli yalnız kendi ofisinin verisini görür.
• Erişim kayıtları: Yetkili personelin erişim ve değişiklik kayıtları tutulur.
• Otomatik karar verme: Veri sahibi üzerinde hukuki sonuç doğuran tek başına otomatik karar verme veya profilleme uygulanmaz. Brute-force kilitleme, kategori önerme gibi yardımcı otomatik mekanizmalar yalnız operasyonel destek amaçlıdır.
• Çocuk verisi politikası: Platform 18 yaşın altındaki bireylere hizmet sunmaz. 18 yaş altı bir kişiye ait veri işlendiği tespit edilirse ilgili kayıt gecikmeksizin silinir.
• Eğitim ve farkındalık: Veri işleme süreçlerinde görevli personel KVKK farkındalık eğitimine tabi tutulur.

İşlenen kişisel verilerin kanuna aykırı yollarla başkaları tarafından elde edildiğinin tespit edilmesi halinde Ravencord OÜ:

• Olayı öğrendiği andan itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na “Kişisel Veri İhlali Bildirim Usul ve Esasları” uyarınca bildirimde bulunur.
• Etkilenen veri sahiplerini, makul olan en kısa sürede ve uygun olan en doğrudan kanaldan (panel bildirimi, e-posta, gerektiğinde kamuya açık duyuru) bilgilendirir.
• İhlalin kapsamını ve etkisini belirler, gerekli güvenlik tedbirlerini uygular, olay sonrası iyileştirme planını dokümante eder.
• GDPR Madde 33-34 kapsamında Estonya Veri Koruma Müfettişliği'ne (Andmekaitse Inspektsioon) gerekli bildirim de eş zamanlı yapılır.

KVKK'nın 11. maddesi uyarınca kişisel veri sahibi olarak aşağıdaki haklara sahipsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• İşlenmişse buna ilişkin bilgi talep etme
• İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
• Eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme
• KVKK Madde 11/1-e uyarınca, Madde 7'deki şartların gerçekleşmesi halinde kişisel verilerin silinmesini veya yok edilmesini isteme
• Düzeltme/silme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme
• Kişisel verilerin kanuna aykırı işlenmesi nedeniyle zarara uğranılması halinde zararın giderilmesini talep etme