Gizlilik Politikası

Son güncelleme: 2026-05-18 · Yürürlük tarihi: (avukat tarafından final review sonrası belirlenecek)

Beta sürüm — taslak metin

Bu Gizlilik Politikası beta sürümünde taslak halindedir. Faz 3 lansman öncesi avukat onaylı son halini yayınlayacağız. Beta süresi boyunca soru/öneri için egedenizturan1@gmail.com.

1. Veri sorumlusu

Bu metnin amaçları doğrultusunda "AHA", "biz" veya "Aura Hukuk Asistanı" ifadeleri, hizmeti işleten Av. Ege Deniz Turan'ı (faaliyet adı: Aura Hukuk Asistanı, "Beta") ifade eder. İletişim: egedenizturan1@gmail.com.

2. İşlenen kişisel veriler

Kimlik & iletişim: ad, soyad, e-posta, telefon (opsiyonel), TC kimlik no (Iyzico KYC için ödeme sırasında, opsiyonel)
Hesap & ödeme:abonelik tier'ı, ödeme geçmişi, fatura bilgileri (Iyzico tarafından işlenir)
Kullanım verileri: vaka sorguları, yüklediğiniz sözleşme metinleri, oluşturduğunuz dilekçe ve sözleşme taslakları, kaydedilen vakalar
Teknik veriler: IP adresi (rate limit için), cihaz/tarayıcı bilgisi, oturum çerezleri, hata logları
Geri bildirim: AI çıktılarına verdiğiniz oylar ve yorumlar (anonim agregat hizmet iyileştirme için)

3. İşleme amaçları

Hizmeti sunmak (AI sorgu cevaplama, sözleşme analizi)
Hesap yönetimi, üyelik ve aboneliklerin işletilmesi
Faturalama ve ödeme tahsilatı (Iyzico üzerinden)
Kullanıcı destek talebi karşılama
Yasal yükümlülüklerin yerine getirilmesi (vergi, mali, KVKK)
Anonim agregat veriyle hizmet kalitesini iyileştirme (AI output kalitesi, citation verifier doğruluğu)

4. AI eğitimi için kullanılmaz

Sorgularınız, sözleşme metinleriniz veya çıktılarınız üçüncü taraf AI sağlayıcılarına eğitim verisi olarak gönderilmez. Anthropic Claude API ile yapılan çağrılarda zero-retention policy uygulanır (30 gün sonra otomatik silinir, eğitim için kullanılmaz).

5. Üçüncü taraf veri işleyiciler

Supabase (veritabanı + auth, EU-Central bölgesi)
Vercel (hosting, edge CDN)
Anthropic (Claude AI sorguları, zero-retention)
Iyzico (ödeme işleme, PCI-DSS uyumlu)
Brevo (transactional e-posta, oturum açma bildirimi vb.)
yargi-mcp + mevzuat-mcp (Said Sürücü tarafından sağlanan, açık API erişimi — sadece sorgu kelimeleri gönderilir, kişisel veri gönderilmez)

6. Saklama süreleri

Hesap aktif olduğu sürece: tüm hesap + kullanım verileri saklanır
Hesap kapatılırsa: 30 gün içinde kişisel veriler silinir
Yasal saklama: fatura ve ödeme kayıtları VUK uyarınca 5 yıl saklanır
Anonim agregat veri: kullanım istatistikleri anonim hale getirildikten sonra kalıcı olarak saklanabilir

7. Veri sahibi hakları (KVKK m.11)

KVKK m.11 uyarınca aşağıdaki haklara sahipsiniz:

Verilerinizin işlenip işlenmediğini öğrenme
İşlendiyse, hangi amaçla işlendiği bilgisini talep etme
Eksik veya yanlış işlenmişse düzeltilmesini, silinmesini isteme
Hesabınızdaki verileri makul okunabilir formatta talep etme (data portability)
Otomatik karar (AI çıktısı) sonucuna itiraz etme — AHA çıktıları zaten R-001 uyarınca avukatın profesyonel yargısının yerine geçmez; nihai karar her zaman avukatındır

Başvuru için: egedenizturan1@gmail.com. 30 gün içinde dönüş.

8. Güvenlik tedbirleri

Tüm trafik HTTPS/TLS 1.3 ile şifrelenir. Şifreler bcrypt ile hash'lenir (Supabase Auth). Veritabanı erişimi Row Level Security (RLS) ile kullanıcı bazlı kısıtlıdır. Webhook imzalarda HMAC-SHA256 doğrulama uygulanır.

9. Yürürlük ve değişiklikler

Bu politika, son güncelleme tarihinden itibaren yürürlüktedir. Esaslı değişikliklerde kayıtlı e-posta adresinize bilgilendirme yapılır.