Gizlilik Politikası ve KVKK Aydınlatma Metni

Son güncellenme: 17 Mayıs 2026 · Yürürlük tarihi: akıllı.chat'in kamuya açık lansman tarihi

Bu metin; 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") madde 10 kapsamında aydınlatma yükümlülüğümüzü yerine getirmek ve ÖZGÜÇ Yapay Zeka'nın akıllı.chat hizmeti üzerinden işlediği kişisel verilere ilişkin gizlilik uygulamalarımızı şeffaf biçimde açıklamak amacıyla hazırlanmıştır.

1. Veri Sorumlusu

ÖZGÜÇ Yapay Zeka, akıllı.chat hizmetinin sahibi ve veri sorumlusudur. İletişim bilgilerimiz bu metnin sonundaki "İletişim" bölümünde yer almaktadır. Bu metinde "akıllı.chat", "Hizmet", "biz" ya da "tarafımız" ifadeleri ÖZGÜÇ Yapay Zeka'ya işaret eder.

2. İşlenen Kişisel Veri Kategorileri

Hizmet kapsamında aşağıdaki kişisel veri kategorilerini işliyoruz:

• Kimlik ve iletişim verisi: ad, e-posta adresi, opsiyonel telefon numarası (SMS doğrulaması için).
• Hesap güvenlik verisi: kimlik doğrulama bilgileri (şifre yalnızca Firebase Authentication tarafından, geri döndürülemez biçimde saklanır), oturum jetonu, IP adresi, tarayıcı kimliği, e-posta/telefon doğrulama durumu.
• Müşteri işlem verisi: abonelik bilgisi (plan, başlangıç/bitiş tarihi, durum), ödeme kayıtları (kart son 4 hanesi, BIN bilgisi, sağlayıcı işlem kimliği — kart numarasının tamamı bizde saklanmaz), fatura kayıtları.
• Fatura bilgisi: TC kimlik numarası veya vergi kimlik numarası ile vergi dairesi/şahıs bilgisi. Bu veriler AES-256-GCM şifrelemesiyle veri tabanımızda saklanır.
• İletişim/içerik verisi: sohbet mesajlarınız, yüklediğiniz dosyalar (PDF, görsel), ürettiğiniz görseller, ses kayıtları (sesli yaz/sesli oku özelliklerini kullandığınızda anlık olarak işlenir).
• Hafıza verisi: ücretli planlarda sohbetlerden çıkarılan kalıcı kullanıcı tercihleri ve bağlam parçaları. Hafıza ayarlarınızdan tamamını veya bir kısmını her zaman silebilirsiniz.
• Bağlayıcı verisi (opsiyonel): Google hesabınızı Gmail/Takvim/Drive bağlayıcılarıyla yetkilendirdiğinizde, ilgili API çağrılarının çalışması için OAuth erişim ve yenileme jetonları AES-256-GCM şifrelemesiyle saklanır. Bağlayıcı verileri bölüm 6'da detaylandırılmıştır.
• Kullanım verisi: hangi modelin ne zaman çalıştırıldığı, token sayıları, araç çağrıları, hata olayları (operasyonel ölçüm ve faturalama için). Sohbet içerikleri bu kayıtların dışındadır.
• Çerez ve benzeri tanımlayıcılar: oturum çerezi, CSRF korumalı tanımlayıcılar, tema/dil tercih çerezi. Detay için Çerez Politikası.

3. İşleme Amaçları

• Hizmetin sunulması: sohbet, görsel üretim, sesli yaz/oku, hafıza, bağlayıcılar, Türkiye araçları (TCMB kuru, namaz vakti, nöbetçi eczane vb.).
• Hesap yönetimi: kayıt, e-posta/telefon doğrulama, oturum yönetimi.
• Faturalama ve abonelik yönetimi: ödeme tahsilatı, başarısız ödemelerin yeniden denenmesi, e-Arşiv fatura düzenlenmesi.
• Yasal yükümlülüklerin yerine getirilmesi: KVKK kapsamındaki başvurulara yanıt verme, Vergi Usul Kanunu kapsamında fatura saklama, ilgili mahkeme veya idari talepleri karşılama.
• Suistimal ve güvenlik: kötüye kullanım tespiti, hesap askıya alma, rate-limit uygulama, denetim kayıtları (audit log) tutma.
• Hizmet kalitesi: anonimleştirilmiş kullanım istatistikleri, model yönlendirme kalitesinin ölçülmesi, hata raporlamasının iyileştirilmesi.
• İletişim: operasyonel duyurular (planlanan kesinti, koşul değişikliği), ödeme bildirimi, destek talebine yanıt.

4. Hukuki Sebepler

Kişisel verilerinizi aşağıdaki KVKK madde 5 ve 6 hukuki sebeplerine dayanarak işliyoruz:

• Sözleşmenin kurulması ve ifası (md. 5/2-c): hesap oluşturma, sohbet/görsel/ses gibi temel hizmetlerin sunulması, abonelik yönetimi.
• Hukuki yükümlülük (md. 5/2-ç): e-Arşiv fatura düzenlenmesi, Vergi Usul Kanunu kapsamında saklama, KVKK başvurularına yanıt verme.
• Bir hakkın tesisi, kullanılması veya korunması (md. 5/2-e): yasal denetim kayıtları, dolandırıcılık ve suistimal tespiti.
• Meşru menfaat (md. 5/2-f): hizmet güvenliği, anonim kullanım analitiği, kalite iyileştirme — temel hak ve özgürlüklerinizi zedelemediği ölçüde.
• Açık rıza (md. 5/1, md. 6/2): pazarlama amaçlı bilgilendirme tercihleri, isteğe bağlı bağlayıcılar (Gmail/Takvim/Drive), hafıza özelliğinin etkinleştirilmesi (paid planda kullanıcının kontrolündedir).

5. Veri Aktarımı ve Alıcı Grupları

Hizmet altyapımız bulut tabanlıdır; Türkiye Cumhuriyeti veri ikamet gerekliliklerini karşılamak amacıyla veri merkezimizi Google Cloud europe-west1 bölgesinde (Belçika) konumlandırdık. Aşağıdaki üçüncü taraf hizmet sağlayıcılarına, yalnızca tanımlı amaçlarla, asgari veri prensibiyle aktarım yapılır:

• OpenRouter (ABD): sohbet mesajları, sistem talimatları ve araç çağrı sonuçları büyük dil modellerine yönlendirilmek üzere OpenRouter API üzerinden iletilir. OpenRouter ve alt model sağlayıcıları sözleşme ile veri eğitimi amaçlı kullanımı reddetmektedir.
• Google Cloud (Belçika/AB): Vertex AI Imagen (görsel üretim), Speech-to-Text (sesli yaz), Text-to-Speech (sesli oku), embedding modelleri (hafıza arama). Cloud SQL Postgres, Memorystore Redis, Cloud Storage (yükleme + görsel + ses önbelleği), Cloud Tasks (asenkron işler), Cloud Run (uygulama barındırma).
• Firebase Authentication (Google): e-posta/şifre ve Google ile giriş kimlik doğrulaması.
• iyzico (Türkiye): abonelik tahsilatı ve top-up satın alımları. Kart numaranızın tamamı iyzico tarafında tokenize edilir; bizim tarafımıza yalnızca son 4 hane ve BIN bilgisi ulaşır.
• Parasut (Türkiye): e-Arşiv fatura düzenleme. Fatura için TC kimlik / vergi kimlik numarası, ad/unvan, adres ve fatura kalemleri aktarılır.
• Tavily (ABD), Brave Search (Çek Cumhuriyeti), OpenWeather (Birleşik Krallık): Araç çağrılarınız bu sağlayıcılara yönlendirilirken yalnızca anlık sorgu metni aktarılır; kullanıcı kimliği iletilmez.
• Cloudflare (ABD): alan adı yönetimi, DDoS koruması, CDN. IP adresi ve tarayıcı parmak izi gibi teknik veriler bu katmanda anlık olarak işlenir.

AB ülkelerine aktarım, AB Adalet Divanı ve Avrupa Komisyonu'nun tanıdığı korumalı veri akışı zemininde gerçekleşir. AB dışı sağlayıcılarla aktarımda KVKK madde 9 kapsamında gerekli güvenceler (standart sözleşme koşulları veya açık rıza) sağlanır.

6. Google Bağlayıcıları (Gmail / Takvim / Drive)

akıllı.chat'in Google bağlayıcılarını etkinleştirmeniz tamamen isteğe bağlıdır ve istediğiniz zaman geri alabilirsiniz. Google ile yetkilendirme yaptığınızda yalnızca aşağıdaki kapsamlardan onayladıklarınız çalıştırılır:

• Gmail (read-only veya send): belirttiğiniz sorgu kriterlerine göre son mesajlarınızı listeleme; isteğinizle gönderim. Gelen mesaj içerikleri uygulamanın hafıza pipeline'ına otomatik olarak yazılmaz.
• Google Takvim: yaklaşan etkinlikleri listeleme; isteğinizle etkinlik oluşturma.
• Google Drive (drive.file + drive.metadata.readonly): uygulamanın oluşturduğu ya da sizin açıkça paylaştığınız dosyalara erişim. Drive'ınızın tamamına geniş erişim talep edilmez.

Erişim ve yenileme jetonlarınız AES-256-GCM ile şifrelenerek veri tabanımızda saklanır. Bağlayıcıyı ayarlar > bağlayıcılar ekranından kaldırdığınızda jetonlarınız hemen iptal edilir ve veri tabanından silinir. Google hesabınızın myaccount.google.com/permissions sayfasından da erişimi her zaman kaldırabilirsiniz. Google Workspace Sınırlı Kullanım koşullarına uyduğumuzu beyan ederiz: Google API verilerini yalnızca yetkilendirdiğiniz özelliği çalıştırmak için kullanırız, üçüncü taraflara aktarmayız, reklam için kullanmayız ve model eğitimine sokmayız.

7. Saklama Süreleri

• Aktif hesap süresince: hesabınıza ait tüm kullanıcı verileri.
• Hesap silme talebinin ardından 30 gün: yedek geri yükleme ve KVKK madde 7 kapsamındaki saklama yükümlülüğü için. Bu sürede hesabınız tarafımızdan görüntülenmez; siz de erişemezsiniz.
• 30 günden sonra: sohbet, hafıza, yüklemeler, üretilen görseller ve ses dosyaları kalıcı olarak silinir.
• Hafıza parçaları: kullanıcı tarafından silindiğinde 7 gün içinde kalıcı olarak silinir (yedeklerden de temizlenir).
• Faturalama ve muhasebe kayıtları: Vergi Usul Kanunu kapsamında 10 yıl saklanır. Bu süreden sonra anonimleştirilir veya silinir.
• Denetim kayıtları (audit log): idari ve güvenlik amaçlı olaylar (giriş, kredi tahsisi, hesap askıya alma vb.) 2 yıl boyunca saklanır.
• Operasyonel loglar: uygulama logları 30 gün, hata izleri 14 gün içinde rotasyonla silinir.

8. Çocukların Kişisel Verileri

Hizmetimiz 13 yaş altındaki kullanıcılara yönelik değildir. 13 ila 18 yaş arası kullanıcıların hizmetten yararlanması veli/vasi onayına bağlıdır. 13 yaş altı bir kullanıcıya ait kişisel veri işlediğimizi fark ettiğimizde söz konusu veriyi gecikmeksizin silmekteyiz. Çocuğunuza ait bir hesap olduğunu düşünüyorsanız iletisim@ozguc.ai adresinden bizimle iletişime geçebilirsiniz.

9. Otomatik Karar Verme ve Profilleme

akıllı.chat, ürettiği sohbet yanıtları ve görseller için otomatik dil modelleri kullanır. Bu çıktılar kullanıcıya tavsiye niteliğindedir; sizin hakkınızda hukuki sonuç doğuran veya benzer şekilde önemli etki yaratan otomatik kararlar üretilmez. Otomatik suistimal tespiti (örneğin spam veya ödeme dolandırıcılığı) uyguladığımız nadir durumlarda kararı bir insan operatör inceleyerek nihai hale getirir; itiraz hakkınız saklıdır.

10. Veri Güvenliği

• Tüm trafik HTTPS / TLS 1.2+ ile şifrelenir.
• Hassas alanlar (TC kimlik no, vergi kimlik no, OAuth jetonları) veri tabanında AES-256-GCM zarflı şifrelemeyle saklanır. Şifreleme anahtarı (BILLING_KEK) Secret Manager üzerinden yönetilir.
• Şifreler Firebase Authentication tarafında scrypt türevi tek yönlü hash ile saklanır; biz görmeyiz.
• Yetkilendirme jeton bazlıdır; oturum jetonları HttpOnly+Secure çerezler ve kısa süreli imzalar üzerinden taşınır.
• Üretim ortamına erişim asgari yetki prensibiyle (least-privilege) yönetilir; tüm yönetici işlemleri denetim kaydı bırakır.
• Veri ihlali durumunda KVKK madde 12/5 kapsamında en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na ve ilgili veri sahiplerine bildirim yaparız.

11. KVKK Kapsamındaki Haklarınız

KVKK madde 11 size aşağıdaki haklarda bulunma imkânı tanır:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme.
• İşleniyorsa buna ilişkin bilgi talep etme.
• İşlenme amacını ve bu amaca uygun kullanılıp kullanılmadığını öğrenme.
• Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme.
• Eksik veya yanlış işlenmesi hâlinde düzeltilmesini isteme.
• KVKK madde 7'de öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme.
• Yukarıdaki taleplerin işlemleri aktarılan üçüncü kişilere bildirilmesini isteme.
• İşlenen verilerin münhasıran otomatik sistemlerle analiz edilmesi suretiyle aleyhinize bir sonuç doğmasına itiraz etme.
• Kanuna aykırı işleme nedeniyle uğranılan zararın giderilmesini talep etme.

Bu haklarınızı kullanmak için Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'de belirtilen şartlara uygun başvurunuzu iletisim@ozguc.aiadresine iletebilir, ya da yazılı olarak şirket adresimize gönderebilirsiniz. Talebinize en geç 30 gün içinde yanıt veririz; talebinizi karşılayamamamız halinde gerekçesini belirtiriz. Başvurunuz reddedilirse veya yanıt verilmezse Kişisel Verileri Koruma Kurulu'na (kvkk.gov.tr) şikâyette bulunabilirsiniz.

12. Bu Politikadaki Değişiklikler

Bu metinde değişiklik yapma hakkımız saklıdır. Önemli değişiklikleri hesap e-posta adresinize bildirimde bulunarak veya uygulama içinde uyarı göstererek duyururuz. Güncel sürüm her zaman bu sayfada yayında olur; sayfanın üst kısmındaki tarih son güncellenme tarihini belirtir.

13. İletişim

ÖZGÜÇ Yapay Zeka
E-posta: iletisim@ozguc.ai
Telefon: +90 505 505 00 20
Adres: [Şirket adresi — lansman öncesi eklenecek]