KVKK Aydınlatma Metni

🔒 Veri Güvenliği Taahhüdümüz

Her büronun verisi kendi ayrı veritabanında tutulur ve yalnızca o büronun yetkili kullanıcıları tarafından erişilebilir. Hassas alanlar (kimlik, iletişim, müvekkil ve taraf bilgileri) AES-256-GCM ile şifrelenerek kaydedilir; şifreler bcrypt (cost 12) ile, oturum ve arama indeksleri SHA-256 / HMAC-SHA-256 ile korunur. Bir büronun verileri başka bürolar tarafından görülemez. Yazılım sahibi, günlük işleyişte büro verilerine erişmez; sistem sıfır-bilgi (zero-knowledge) mimarisinde olmadığından bakım ve zorunlu hâllerdeki yetkili teknik erişim mümkündür ve her erişim denetim kaydına işlenir.

1. Veri Sorumlusu ve Veri İşleyen

6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında platformda iki ayrı rol bulunmaktadır:

Veri Sorumlusu (Avukat/Hukuk Bürosu): Platformu kullanarak müvekkillerinin, davalarının ve dosyalarının yönetimini gerçekleştiren her bir avukat veya hukuk bürosu, kendi müvekkil ve dosya verileri bakımından veri sorumlusu sıfatını taşır. Müvekkillerin kişisel verilerinin işlenmesi, saklanması ve KVKK Madde 11 başvurularına yanıt verme yükümlülüğü, ilgili büronun kendisine aittir.
Veri İşleyen (İskender Uzun): Platformu geliştiren ve barındıran İskender Uzun (Hendekbaşı Mah. Çınarlar Sk. No:3 Kat:6 Görele/GİRESUN · Tel: 0507 245 68 33 · E-posta: bilgi@yerelofis.com), büroların verilerinin yalnızca teknik altyapı sağlayıcısıdır. İskender Uzun; büroların müvekkil veya dosya verilerini görüntülemez, işlemez, üçüncü kişilerle paylaşmaz. Bu rol, KVKK kapsamında veri işleyen sıfatına karşılık gelir.
Platform Hizmeti İçin Kişisel Veriler: Yalnızca platforma kayıt olan avukatın iletişim ve meslek bilgileri (ad-soyad, e-posta, telefon, kayıtlı baro, baro sicil numarası) bakımından İskender Uzun veri sorumlusu sıfatıyla hareket eder.

2. İşlenen Kişisel Veriler

Platform kapsamında iki ayrı kategoride veri işlenir:

(a) İskender Uzun tarafından (platform hizmeti için):

Avukatın kimlik bilgileri: ad, soyad
Avukatın iletişim bilgileri: e-posta, telefon
Avukatın meslek bilgileri: kayıtlı baro, baro sicil numarası
Kullanıcı işlem bilgileri: oturum açma kayıtları, IP adresi, sistem audit log'ları
Ödeme bilgileri (ücretli lisans veya paket alındığında, sınırlı kapsamda)

(b) Avukat/Büro tarafından (kendi yönetim/dava süreçleri için):

Müvekkil kimlik bilgileri (ad, soyad, T.C. kimlik no)
Müvekkil iletişim bilgileri
Dava, takip, dosya verileri
Belge ve evrak içerikleri
Karşı taraf, bilirkişi, tanık ve diğer ilgililerin verileri

Önemli: (b) grubundaki müvekkil ve dosya verileri, ilgili büronun kendi veritabanında AES-256-GCM ile şifrelenerek tutulur ve yalnızca o büronun yetkili kullanıcılarına gösterilir. Sistem sıfır-bilgi (zero-knowledge) mimarisinde değildir; bakım, teknik destek ve zorunlu hâllerde yetkili teknik erişim mümkün olup bu erişimler denetim kaydına işlenir.

(c) Tüm kullanıcıların etkinlik ve iletişim verileri: Büro yöneticisinin oluşturduğu her kullanıcı (avukat, sekreter, personel vb.) bakımından aşağıdaki veriler işlenir:

Giriş/çıkış kayıtları: tarih-saat, IP adresi, cihaz/tarayıcı (user-agent) bilgisi
İşlem (denetim/audit) kayıtları: kullanıcının gerçekleştirdiği her işlem; ilgili kayıt, IP adresi ve zaman damgası ile birlikte
Platform içi mesajlar: birebir ve grup (Genel Sohbet) mesajları; gönderen, alıcı, zaman ve okunma bilgisiyle

Kullanıcı etkinliği ve büro içi görünürlük: Büro yöneticisinin oluşturduğu her kullanıcının giriş/çıkış, IP, cihaz bilgisi ve gerçekleştirdiği tüm işlemleri; güvenlik, kötüye kullanımın önlenmesi ve denetlenebilirlik amacıyla kaydedilir. Büro yöneticisi, kendi bürosundaki tüm kullanıcıların bu giriş ve işlem kayıtlarını görüntüleyebilir. Platform içi mesajlar ilgili büronun veritabanında saklanır; Genel Sohbet mesajları o kanaldaki yetkili tüm kullanıcılar tarafından okunabilir, büro yöneticisi mesajlaşmayı yönetebilir ve mesajları silebilir. Büro içindeki kullanıcıları bu işleme ve görünürlük hakkında aydınlatma yükümlülüğü, veri sorumlusu sıfatıyla ilgili büroya aittir.

3. Kişisel Verilerin İşlenme Amaçları

İskender Uzun'ın işleme amaçları:

Platforma erişim ve hesap yönetimi
Hizmet sözleşmesinin kurulması ve ifası
Fatura ve ödeme süreçlerinin yürütülmesi (ücretli lisans/paket)
Müşteri destek hizmetlerinin sağlanması
Platformun güvenliğinin sağlanması ve kötüye kullanımın önlenmesi
Yetkili kurum ve kuruluşlardan gelen taleplerin karşılanması
Ayrıca onay vermeniz hâlinde, ticari elektronik ileti (yeni özellik duyurusu, kampanya, bülten) gönderimi — açık rızanıza dayanır ve bu rıza dilediğiniz an geri alınabilir

Avukat/Büro'nun kendi işleme amaçları (İskender Uzun'ı ilgilendirmez):

Bir avukatın ya da bürodaki birden fazla avukatın, yazılımı kullanarak hangi veriyi ve ne amaçla kaydedeceği kendi kararı ya da büro yönetimi kararına bağlıdır. Yazılım sağlayıcı-programcı yalnızca yazılımı kodlar, hangi verinin ne amaçla yazılıma kaydedileceği tamamen kullanıcının kararına bağlıdır. Kaydedilen veriden, veri içeriğinden yazılım sağlayıcı hiçbir şekilde sorumlu değildir. Veri işleme amacı kullanıcıya aittir, yazılım sağlayıcının, kullanıcının hangi amaçla veri işleyeceği konusunda bir karar verme yetkisi ve sorumluluğu bulunmamaktadır. Bu sorumluluk kullanıcıya aittir.

4. İşlemenin Hukuki Sebebi

Kişisel verileriniz; KVKK madde 5/2 kapsamında sözleşmenin kurulması veya ifası için gerekli olması, hukuki yükümlülüğümüzün yerine getirilmesi, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması ve meşru menfaatlerimiz için gerekli olması hukuki sebeplerine dayanılarak işlenmektedir.

5. Kişisel Verilerin Aktarımı

İskender Uzun, avukatın platform kayıt verilerini KVKK madde 8 ve 9 hükümlerine uygun olarak;

Mevzuat gereği bilgi talep eden adli ve idari makamlara
Hizmet aldığımız barındırma (sunucu), yedekleme ve siber güvenlik tedarikçilerine
Ödeme alındığında, fatura kesimi için mali müşavir/muhasebe tedarikçilerine

aktarabilir. Büro yönetimi verileri için yurt dışına aktarım yapılmaz; tüm sunucular Türkiye'de (İstanbul ve Ankara) bulunmaktadır.

Müvekkil verileri yalnızca ilgili büronun yetkili kullanıcıları tarafından görülebilir. Yapay zeka üretiminde kullanılan metin maskelenmiş biçimde yapay zeka sağlayıcısına aktarılabilir; bunun dışında üçüncü kişilerle paylaşılmaz.

6. Kişisel Verilerin Saklanması ve Güvenliği

Platform kayıt verileri, hesabın aktif olduğu süre boyunca ve sözleşmesel/yasal yükümlülükler süresince saklanır. Hesabın kapatılması veya silme talebi hâlinde, ilgili veriler makul olarak en geç otuz (30) gün içinde silinir, yok edilir veya anonim hale getirilir; yasal saklama yükümlülüğü bulunan kayıtlar yalnızca ilgili mevzuattaki süreyle sınırlı olarak saklanır.

Veri güvenliğine ilişkin bir ihlalden haberdar olunması hâlinde; platform kayıt verileri bakımından ilgili kişiler ve gerektiğinde Kişisel Verileri Koruma Kurulu, büro verileri bakımından ise veri sorumlusu olan ilgili büro, gecikmeksizin, makul olarak en geç yetmiş iki (72) saat içinde bilgilendirilmeye çalışılır ve ihlalin etkilerini gidermek için makul adımlar atılır. İnternet üzerinden veri iletiminin mutlak güvenliğinin hiçbir sistemde garanti edilemeyeceği unutulmamalıdır.

Verilerin korunması için aşağıdaki teknik ve idari tedbirler uygulanmaktadır:

AES-256-GCM şifreleme — hassas alanlar (kimlik, iletişim, müvekkil/taraf verileri)
bcrypt (cost 12) — kullanıcı şifreleri
HMAC-SHA-256 — aranabilir alanların indekslenmesi (T.C., e-posta)
JWT tabanlı oturum yönetimi
Her büro için ayrı veritabanı — diğer bürolar tarafından erişim mümkün değildir
Detaylı denetim (audit) kayıtları
Otomatik günlük yedekleme — İstanbul ve Ankara sunucularında, 30 gün saklama
Sunucu erişim kontrolleri (SSH key tabanlı, parola devre dışı)

7. Veri İşleyen Taahhütleri

İskender Uzun'un, büroların girdiği müvekkil ve dosya verileri bakımından veri işleyen sıfatıyla uyacağı şartlar aşağıdadır. Bu madde, taraflar arasındaki veri işleme ilişkisini düzenleyen sözleşmesel hükümler niteliğindedir:

Gizlilik ve sınırlı erişim: Veriler şifrelenerek saklanır ve günlük işleyişte yalnızca ilgili büronun yetkili kullanıcılarına gösterilir. Bakım veya zorunlu hâllerdeki yetkili teknik erişimler denetim kaydına işlenir.
Alt veri işleyenler: Hizmetin ifası için sınırlı sayıda alt işleyen kullanılabilir (sunucu barındırma, yedekleme, e-posta altyapısı, yapay zekâ sağlayıcısı). Bu sağlayıcılar yalnızca hizmetin gerektirdiği ölçüde veri işler.
İhlal bildirimi: Büro verilerine ilişkin bir ihlalden haberdar olunması hâlinde, veri sorumlusu olan ilgili büro 6. maddedeki esaslara göre bilgilendirilmeye çalışılır.
İlgili kişi taleplerinde destek: Müvekkil ve üçüncü kişilerin KVKK başvurularını karşılamak veri sorumlusu olarak büroya aittir; İskender Uzun teknik olarak makul ölçüde destek olur.
Geri verme ve imha: Büro hesabının kapatılması hâlinde büro verileri 6. maddedeki sürelere uygun olarak imha edilir; yasal saklama yükümlülüğü bulunan kayıtlar ilgili süreyle sınırlı kalır.

8. KVKK Madde 11 Kapsamındaki Haklarınız

İlgili kişi olarak Kanunun 11. maddesi uyarınca aşağıdaki haklara sahipsiniz:

Kişisel verilerinizin işlenip işlenmediğini öğrenme
İşlenmişse buna ilişkin bilgi talep etme
İşlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme
Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
Eksik veya yanlış işlenmişse düzeltilmesini isteme
KVKK madde 7 çerçevesinde silinmesini veya yok edilmesini isteme
Düzeltme, silme ve yok etme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme
İşlenen verilerin münhasıran otomatik sistemler ile analiz edilmesi suretiyle aleyhinize bir sonuç çıkmasına itiraz etme
Verilerin kanuna aykırı işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme

Not: Müvekkil verilerine ilişkin KVKK Madde 11 başvurularını, ilgili müvekkilin avukatı/büro yöneticisi ile yapmanız gerekir; çünkü bu verilerin veri sorumlusu ilgili bürodur. İskender Uzun, veri işleyen sıfatıyla bu başvurularda büroya teknik destek sağlar.

9. Başvuru ve İletişim

Platform kayıt verilerinize ilişkin haklarınızı kullanmak için taleplerinizi bilgi@yerelofis.com adresine yazılı olarak iletebilirsiniz. Başvurular, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'e uygun olarak en geç 30 gün içinde sonuçlandırılır. Başvurunun ayrıca bir maliyet gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu'nca belirlenen tarifedeki ücret alınabilir. Bu talep yalnızca büroyu yazılım kullanmak suretiyle kuran yetkili tarafından talep edildiğinde yerine getirilebilir. Büro kullanıcısının kaydettiği kullanıcılar ile büro kullanıcılarının kaydettiği diğer kullanıcılar bu yöndeki taleplerini o büronun veri sorumlusuna iletmeleri gerekmektedir zira hem KVKK Aydınlatma Metninde hem de yukarıda izah edildiği üzere, veri sorumlusu ilgili büro kurucusu ve yazılımın kullanıcılarıdır.

Veri Sorumlusu: İskender Uzun
E-posta: bilgi@yerelofis.com
Web: yerelofis.com