Veri sorumlusunun kimliği
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında veri sorumlusu IS.TEAM LLC'dir. IS.TEAM LLC Delaware, Amerika Birleşik Devletleri merkezlidir; çalıştığımız bulut tabanlı 3. parti araçların sunucuları farklı ülkelerde bulunabilir. Bu durum KVKK md.9 anlamında uluslararası işleme kapsamına girer. Bu politika, KolayKal markası altında sunulan internet sitesi, mobil web uygulaması ve yapay zekâ destekli sohbet asistanı (“Hizmet”) kapsamındaki kişisel veri işleme faaliyetlerini anlatır.
- Ticari unvan: IS.TEAM LLC
- Adres: 8 The Green, Ste A, Dover, DE 19901
- Yargı yetkisi: Delaware, Amerika Birleşik Devletleri
- İletişim: merhaba@kolaykal.com
Bu uluslararası işlemenin yasal dayanağı, kullanıcının hizmeti kullanmak için verdiği açık rıza (KVKK md.9/1) ve sözleşmenin ifası zorunluluğudur (md.5/2-c). Veri minimizasyonu, şifreleme ve erişim kısıtlaması ile kişisel veri korunur; çalıştığımız alt-işleyenlerin (Google Cloud, Cloudflare, Polar, Vercel, Resend, Upstash, MapTiler, Google Analytics) tamamı için standart sözleşme hükümleri uygulanır. Google Analytics yalnızca senin açık onayınla çalışır; onay vermediğin sürece Google'a hiç istek gönderilmez. Güncel ve tam liste aşağıda “Veri aktarımı ve veri işleyenler” bölümünde verilmiştir.
Ücretli abonelik satışları Polar Software Inc. (Merchant of Record (Kayıtlı Satıcı), Delaware, ABD) tarafından Kayıtlı Satıcı sıfatıyla gerçekleştirilmektedir; bu kapsamdaki ödeme verisi için Polar ayrıca kendi gizlilik politikası ile bağımsız bir veri sorumlusudur. Kart bilgileri IS.TEAM LLC sunucularında saklanmaz.
İşlediğimiz kişisel veri kategorileri
Hizmeti kullanırken aşağıdaki kişisel veri kategorileri işlenir. Bazı kategoriler zorunlu, bazıları opsiyoneldir. Opsiyonel olanları paylaşmamanız Hizmetin temel işlevlerini etkilemez.
Hesap ve kimlik verisi
- E-posta adresi (zorunlu; hesap doğrulama ve iletişim için)
- Ad, soyad (opsiyonel; kullanıcı arayüzünde selam için)
- Google / Apple gibi sosyal sağlayıcılardan iletilen profil fotoğrafı + benzersiz kimlik (opsiyonel; yalnızca sosyal giriş kullanırsan)
- Şifre; geri çevrilemez şekilde hash'lenir, ham hâliyle hiçbir zaman saklanmaz
Hizmet kullanımı ve içerik
- Yapay zekâ sohbetlerinde yazdığın mesajlar ve yapay zekâ yanıtları
- Favorilere eklediğin yerler, kaydettiğin gezi planları
- Kişiselleştirme tercihlerin (kamp tarzı, çocuk yaşları, erişilebilirlik ihtiyaçları, taşıdığın yasal ekipmanlar)
- Konum bilgisi (sadece açıkça izin verdiğinde; “yakınımdaki yerler” özelliği için)
Özel nitelikli kişisel veri uyarısı: Erişilebilirlik ihtiyaçların (örn. tekerlekli sandalye, görme veya işitme desteği) KVKK md.6 anlamında sağlığa dair özel nitelikli kişisel veri kapsamında değerlendirilebilir. Bu veriler yalnızca açık rızanla işlenir; rızanı istediğin zaman geri çekebilirsin.
Teknik veri (cihaz + ağ)
- IP adresi (kayıt anında SHA-256 + tuzile tek-yönlü hash'lenir; ham IP Firestore'da hiçbir zaman saklanmaz; yalnızca misafir kotası ve suistimal koruması amacıyla 24 saat tutulur)
- Tarayıcı türü, işletim sistemi, ekran boyutu, dil tercihi (yalnızca uyumluluk ve tema kararı için)
- Servis çalışan (service worker) durumu ve PWA kurulum sinyali
- Sunucu erişim logları (URL, durum kodu, yanıt süresi)
Faturalama verisi
- Aboneliğin türü (Kolay / Yolcu / Pilot), durumu, yenilenme tarihi
- Polar tarafında tutulan ödeme tanımlayıcıları (customer id, sub id); kart numarası, CVV vb. doğrudan bizim sistemimize hiç gelmez; Polar PCI-DSS uyumludur
- Vergi Usul Kanunu md.253 + TTK md.82 gereği fatura/makbuz kaydı
İletişim ve bildirim verisi
- Bize gönderdiğin mesajlar (iletişim formu, e-posta)
- Push bildirim aboneliğin (tarayıcı tarafından üretilen endpoint'i); bildirimleri kapatırsan endpoint silinir
- Ticari Elektronik İleti (varsa); yalnızca açık rıza verdiğinde, İYS'den (İleti Yönetim Sistemi) doğrulanmış olarak
İşleme amaçları
Kişisel verilerin aşağıdaki amaçlarla işlenir:
- Hizmetin sunulması: hesabını oluşturmak, oturumunu sürdürmek, sohbet geçmişini saklamak, favori yerleri ve gezi planlarını kullanılabilir tutmak.
- Yapay zekâ önerilerinin üretilmesi: tercihlerine ve sohbet bağlamına uygun yer önerileri çıkarmak.
- Erişilebilirlik filtreleme: belirttiğin ihtiyaçlara göre uygun yerleri ön plana çıkarmak (açık rıza ile).
- Faturalandırma ve abonelik yönetimi: ödeme tahsilatı, faturanın e-postana iletilmesi, abonelik durumu güncellemeleri.
- Suistimal koruması ve güvenlik: bot trafiğine, kötü niyetli istekler ve hesap ele geçirme girişimlerine karşı tedbir; kullanım kotalarının uygulanması.
- Hizmet kalitesinin iyileştirilmesi: hata ayıklama, performans analizleri (agregeli, kişiselleşmemiş).
- Yasal yükümlülükler: Vergi Usul Kanunu, Türk Ticaret Kanunu, 5651 sayılı Kanun, KVKK ve diğer mevzuat gereği tutulması zorunlu kayıtlar.
- İletişim: destek taleplerini yanıtlamak, sistem duyuruları yapmak (yenileme, sözleşme değişikliği, güvenlik uyarısı).
- Pazarlama iletişimi (yalnızca açık rıza ile): ürün güncellemeleri ve özel kampanyalar; istediğin anda “ ret” diyebilirsin.
Hukuki sebepler
KVKK md.5 ve md.6 kapsamındaki işleme şartlarımız aşağıdaki tablodadır.
| İşleme amacı | Hukuki sebep |
|---|---|
| Hesap oluşturma ve giriş | Sözleşmenin kurulması ve ifası (md.5/2-c) |
| Yapay zekâ sohbet ve genel yer önerileri | Sözleşmenin ifası + meşru menfaat (md.5/2-c, md.5/2-f) |
| Erişilebilirlik ihtiyaçlarına göre kişiselleştirme | Açık rıza (md.6/2; özel nitelikli) |
| Faturalandırma ve mali kayıt | Hukuki yükümlülük (md.5/2-ç) |
| IP, hash + sunucu logları, kota yönetimi | Meşru menfaat; suistimal önleme (md.5/2-f) |
| Ticari elektronik ileti gönderimi | Açık rıza + ETK (6563) md.6 |
Veri aktarımı ve veri işleyenler
Kişisel verilerin hizmetin sunulabilmesi için sınırlı sayıda veri işleyenle paylaşılır. Tüm veri işleyenlerle veri işleme sözleşmesi (DPA) bulunur. Yurt dışına aktarımda KVKK md.9 kapsamında ya açık rızanız ya da yeterli koruma taahhüdü içeren sözleşmesel güvenceler (örn. SCC) esas alınır.
Google Cloud Firebase
Hesap doğrulama, kullanıcı profili, sohbet geçmişi ve kişiselleştirme tercihlerinin depolanması (Firestore + Firebase Auth + Cloud Functions).
Bölge: ABD / AB bölgeleri · Gizlilik politikası
Google Cloud Vertex AI (Gemini)
Yapay zekâ yanıtlarının ve yer önerilerinin üretilmesi. Kullanıcı mesajları, sohbet bağlamı ve (açık rıza varsa) kişiselleştirme tercihleri her cevap üretilirken sistem bağlamı olarak iletilir; sağlayıcının kurumsal şartlarına göre bu girdiler model eğitimi için kullanılmaz.
Bölge: ABD / AB bölgeleri · Gizlilik politikası
Cloudflare R2 + CDN
Fotoğraf, harita karoları ve statik içeriklerin depolanması ve dağıtımı.
Bölge: Küresel CDN · Gizlilik politikası
Polar Software Inc.
Ücretli abonelik satışı, kart bilgilerinin güvenli işlenmesi, faturalandırma ve KDV tahsilatı.
Bölge: ABD · Gizlilik politikası
Vercel Inc.
Web sitesinin yayınlanması (hosting), kenar ağ (edge) önbelleği ve temel performans ölçümleri.
Bölge: Küresel edge · Gizlilik politikası
Resend Inc.
Hesap doğrulama, abonelik bildirimleri, parola sıfırlama ve (açık rıza varsa) pazarlama e-postalarının gönderilmesi. E-posta adresi, ad ve şablon değişkenleri gönderici tarafa iletilir.
Bölge: ABD · Gizlilik politikası
Upstash Inc. (QStash)
E-posta ve zamanlanmış işlerin güvenilir kuyruğa alınması ve yeniden denenmesi. Mesaj içeriği (alıcı ve şablon parametreleri) işin tamamlandığı süre boyunca geçici olarak kuyrukta tutulur.
Bölge: AB / ABD · Gizlilik politikası
Google Maps Platform
Statik harita görselleri, ters geokod (koordinat → şehir/ilçe) ve rota hesaplaması. Yalnız ihtiyaç anında ilgili koordinatlar gönderilir; hesap kimliği iletilmez.
Bölge: ABD / AB bölgeleri · Gizlilik politikası
MapTiler
Sohbet ekranındaki etkileşimli haritanın karo (tile) görsellerini tarayıcına doğrudan dağıtır. Görüntülenen alanın koordinatları ve cihaz IP adresi sağlayıcının erişim günlüğüne düşebilir.
Bölge: AB (İsviçre) · Gizlilik politikası
Google Analytics (Google LLC)
Anonim sayfa görüntüleme + oturum metriklerini agregeli şekilde ölçer (hangi sayfa, ne kadar süre, hangi ülke). GA4 IP'yi otomatik anonimize eder; bireysel kullanıcı profili çıkarmaz. YALNIZCA ilk ziyarette gösterilen onay kutusunda kabul ettiysen yüklenir — reddedersen Google'a hiç istek gitmez.
Bölge: ABD / AB bölgeleri · Gizlilik politikası
Bunların dışında kişisel verilerin reklam ortakları, veri komisyoncu (data broker) veya benzeri üçüncü taraflara satılmaz, kiraya verilmez veya takas edilmez. Yasal merciler tarafından usulüne uygun olarak talep edildiğinde, yalnızca yetkili merciin yazılı talebi varlığında ve talep kapsamıyla sınırlı olarak paylaşım yapılabilir.
Saklama süreleri
Verilerin sadece amacı için gerekli olduğu süre kadar saklanır. Yasal saklama süreleri (örn. fatura kayıtları) bittiğinde veriler silinir veya anonim hâle getirilir.
| Kategori | Süre | Gerekçe |
|---|---|---|
| Hesap bilgileri (e-posta, ad, tercih) | Hesap aktif olduğu sürece + silmeyi takip eden 30 gün | Hizmet sunumu (KVKK md.5/2-c) ve hesap geri yükleme penceresi. |
| Sohbet ve arama geçmişi | Son 12 ay | Geri dönüp önceki rotalarına bakabilmen ve yapay zekânın bağlamı koruyabilmesi için (md.5/2-f). |
| Faturalandırma kayıtları | 10 yıl | Vergi Usul Kanunu md.253 ve TTK md.82 gereği yasal saklama yükümlülüğü. |
| IP tabanlı misafir kotası (hash'lenmiş) | 24 saat | Suistimal koruması — rolling pencere bitince otomatik düşer. |
| Sunucu erişim kayıtları (loglar) | 90 gün | Güvenlik denetimi ve hata teşhisi (md.5/2-f meşru menfaat). |
| Çerez tabanlı oturum + tercih | Çerez ömrü (14 gün — 1 yıl arası, bkz. Çerez Politikası) | Oturum sürekliliği ve kullanıcı tercihleri. |
Veri güvenliği önlemleri
KVKK md.12 kapsamında uygun teknik ve idari tedbirleri alıyoruz. Başlıcaları:
- Tüm bağlantılar uçtan uca TLS 1.2+ ile şifrelidir (HSTS preload).
- Veritabanı erişimi yalnızca servis hesabına sahip sunucu kodu üzerindendir; istemci doğrudan veriye erişemez.
- Şifreler scrypttabanlı tek-yönlü hash'lenir; admin dahil hiç kimse ham şifreyi göremez.
- IP adresleri Firestore'a yazılırken SHA-256 + uygulama-özel tuzile hash'lenir.
- Ödeme kartı verisi hiç bizim sistemimize gelmez; Polar PCI-DSS Level 1 uyumludur.
- Yönetici paneline erişim çok-faktörlü doğrulama ve özel claim gereksinimi ile sınırlandırılmıştır.
- Üçüncü taraf yazılım bağımlılıkları için otomatik güvenlik açığı taraması yapılır.
- Kişisel veri ihlali tespit edilirse KVKK md.12/5 gereği 72 saat içinde Kuruma ve etkilenen ilgili kişilere bildirim yaparız.
İlgili kişi olarak haklarınız
KVKK md.11 kapsamında veri sorumlusu olarak bize başvurarak şu haklarını kullanabilirsin:
- Kişisel verinin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
- Eksik veya yanlış işlenmişse düzeltilmesini isteme
- KVKK md.7'de öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme
- Düzeltme / silme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
- Otomatik sistemler vasıtasıyla analiz edilerek aleyhine bir sonuç ortaya çıkmasına itiraz etme
- Hukuka aykırı işleme nedeniyle zarara uğradığında zararın giderilmesini talep etme
AB'deki kullanıcılar ek olarak GDPR Madde 15-22 kapsamındaki haklarını (taşınabilirlik, otomatik kararlara itiraz, denetim otoritesine şikâyet) kullanabilir.
Başvuru yöntemi
Md.11 başvurularını ücretsiz yapabilirsin. Başvurunu en geç 30 gün içinde yazılı olarak yanıtlarız. Başvuru kanalları:
- E-posta (önerilen): merhaba@kolaykal.com
- Posta (uluslararası): IS.TEAM LLC, 8 The Green, Ste A, Dover, DE 19901
Veri sorumlusu Türkiye dışında tescilli olduğu için KEP (Kayıtlı Elektronik Posta) hattımız bulunmuyor. Tüm başvurular için resmi kanal e-postadır; kimlik doğrulama için ek bilgi gerekirse sana ayrıca iletilir.
Başvurunda kimliğini doğrulayacak bilgileri (hesabına bağlı e-posta adresi, varsa müşteri numarası), talebini açık şekilde belirtmen ve ekli belgeleri (varsa) iletmen yeterlidir. Yetkisiz erişimi önlemek için kimlik doğrulama adımı uygulayabiliriz.
Cevabımızdan tatmin olmazsan Kişisel Verileri Koruma Kurulu'na şikâyet hakkın saklıdır (md.14).
Çocuk kullanıcılar
KolayKal 13 yaşın altındaki kullanıcılara hizmet vermez. 18 yaşın altındaki kullanıcılar Hizmeti yalnızca veli veya yasal temsilcisinin bilgisi dahilinde kullanabilir; ücretli aboneliklere erken yaşta giriş yapılmaması, sosyal giriş yöntemlerinde ebeveynin bilgisi dahilinde yapılması önerilir.
13 yaşın altında bir kullanıcıya ait veri tespit edersek hesap derhal kapatılır ve veriler silinir. Çocuğunun hesabını silmek istiyorsanız merhaba@kolaykal.com adresinden bize ulaşın.
Uluslararası kullanıcılar (GDPR)
Hizmet Türkiye merkezlidir ancak yurt dışından da erişilebilir. AB'den ziyaret eden kullanıcılar için aşağıdakileri özellikle belirtmek isteriz:
- Yapay zekâ yanıtları tamamen otomatik bir işlemsonucu üretilir. Yanıtlar genel öneri niteliğindedir ve seni hukuki olarak bağlayan bir karar oluşturmaz; GDPR Madde 22 anlamında “tamamen otomatik karar” etkisi taşımaz.
- GDPR Madde 15-22 hakların (erişim, düzeltme, silme, taşınabilirlik, otomatik kararlara itiraz, denetim otoritesine şikâyet) merhaba@kolaykal.com üzerinden talep edilebilir.
- AB dışına veri aktarımı yapıldığında Standard Contractual Clauses (SCC) veya eşdeğer güvenceler uygulanır.
- Bulunduğun ülkenin denetim otoritesine şikâyet etme hakkın saklıdır.
Politikanın güncellenmesi
Bu politikayı, mevzuat değişiklikleri veya Hizmet kapsamındaki güncellemeler nedeniyle zaman zaman güncelleyebiliriz. Önemli değişiklikleri uygulamaya geçmeden önce e-posta ile veya Hizmet içinde duyururuz; küçük metin / format düzeltmeleri için bu sayfanın yukarısındaki “Son güncelleme” tarihi referansını kullanın.
Politikayı kabul etmek istemiyorsan Hizmeti kullanmamak ve hesabını kapatmak hakkın saklıdır.
Soru, talep veya geri bildirim: merhaba@kolaykal.com