Gizlilik Politikası ve KVKK Aydınlatma Metni
Hangi kişisel verini, neden işlediğimiz; nereye aktarıldığı, ne kadar saklandığı ve haklarını nasıl kullanacağın.
Bu metin, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 10. maddesi uyarınca hazırlanmış aydınlatma metni ve aynı zamanda gizlilik politikamızdır. YapayZekaLab olarak veri sorumlusu sıfatıyla hareket ediyoruz.
Amacımız hukuki bir kalkan metni yazmak değil; sistemin gerçekte ne yaptığını sana anlatmak. Aşağıdaki her satır, çalışan sistemin davranışını tarif eder.
Hangi verileri işliyoruz?
| Veri | Neden | Hukuki sebep (KVKK m.5) |
|---|---|---|
| E-posta adresi | Hesap oluşturma, giriş, işlem bildirimleri | Sözleşmenin kurulması/ifası |
| Parola (scrypt hash) | Kimlik doğrulama | Sözleşmenin ifası |
| Ad (isteğe bağlı) | Hitap | Açık rıza |
| Telefon numarası | WhatsApp ile doğrulama (OTP) | Sözleşmenin ifası · meşru menfaat (hesap güvenliği) |
| Google hesap kimliği | Google ile giriş (kullanırsan) | Sözleşmenin ifası |
| IP adresi ve tarayıcı bilgisi | Oturum güvenliği, kötüye kullanım tespiti | Meşru menfaat |
| API anahtarı (sha256 hash) | API erişimini yetkilendirme | Sözleşmenin ifası |
| Bakiye ve defter kayıtları | Ücretlendirme, tüketici uyuşmazlığında kanıt | Kanuni yükümlülük · sözleşmenin ifası |
| Kullanım kayıtları (token sayıları, model, gecikme) | Faturalama ve teknik destek | Sözleşmenin ifası |
| Ödeme kayıtları (tutar, yöntem, referans) | Ödeme eşleştirme, muhasebe | Kanuni yükümlülük (VUK) |
| Destek talepleri | Talebini yanıtlamak | Sözleşmenin ifası |
| Telegram sohbet kimliği (bağlarsan) | Mini-app üzerinden bakiye yükleme | Açık rıza |
Saklamadığımız şeyler
Verilerini nasıl topluyoruz?
- Doğrudan senden: kayıt formu, bakiye yükleme, destek talebi, WhatsApp doğrulaması.
- Otomatik olarak: giriş yaptığında oturum çerezi, IP adresi ve tarayıcı bilgisi; API isteği attığında anahtar kimliği, model, token sayıları ve gecikme.
- Üçüncü taraftan: Google ile giriş yaparsan Google’dan e-posta ve hesap kimliği; ödeme yaparsan ödeme kuruluşundan işlem sonucu.
Yurt dışına aktarım — burayı mutlaka oku
İsteğin, seçtiğin modele göre Anthropic (Claude), OpenAI (GPT), Google (Gemini), xAI (Grok), Zhipu (GLM), Moonshot (Kimi), DeepSeek ve benzeri sağlayıcılara iletilir. Bu sağlayıcıların sunucuları Türkiye dışındadır.
Aktarılan şey isteğinin içeriğidir; kimlik bilgilerin (adın, e-postan, telefonun) sağlayıcıya gönderilmez. Sağlayıcı seni bir birey olarak değil, bizim hesabımızdan gelen bir istek olarak görür.
Bu aktarım KVKK’nın 9. maddesi kapsamındadır ve hizmeti kullanman için gereklidir. Sağlayıcının kendi veri politikaları geçerlidir; hangi modeli seçtiğine göre değişir.
Gizli veya kişisel veri içeren metinleri yapay zekâ modellerine göndermeden önce iki kez düşün. Bir isteği gönderdikten sonra sağlayıcının tarafındaki işlenmesi üzerinde kontrolümüz yoktur.
Ne kadar süre saklıyoruz?
| Veri | Saklama süresi | Neden |
|---|---|---|
| Bakiye ve defter kayıtları (rezervasyon/iade/kullanım) | Hesap kapandıktan sonra 10 yıl | Türk Ticaret Kanunu m.82 ve Vergi Usul Kanunu m.253 — ticari defter ve belgelerin saklanması |
| Ödeme ve fatura kayıtları | 10 yıl | Vergi Usul Kanunu |
| Hesap bilgileri (e-posta, ad, telefon) | Hesap açık olduğu sürece + kapanıştan sonra 10 yıl | Uyuşmazlık hâlinde ispat · kanuni yükümlülük |
| Kullanım kayıtları (token sayıları) | Hesap kapandıktan sonra 10 yıl | Faturalamanın dayanağı |
| Oturum kayıtları (IP, tarayıcı) | 30 gün | Güvenlik; sonra silinir |
| OTP doğrulama kodları | 5 dakika | Kod hash’i süre dolunca kullanılamaz hâle gelir |
| Destek talepleri | Kapanıştan sonra 3 yıl | Hizmet kalitesi ve uyuşmazlık |
| İstek/yanıt içeriği | HİÇ SAKLANMAZ | — |
Kimlerle paylaşıyoruz?
- Yapay zekâ sağlayıcıları — yalnız isteğinin içeriği (yukarıdaki yurt dışı aktarım bölümüne bak).
- Ödeme kuruluşları — ödeme tutarı ve referans kodu; kart bilgin bize hiç ulaşmaz.
- Barındırma ve altyapı sağlayıcımız — verinin tutulduğu sunucular.
- Yetkili kamu kurumları — yalnız kanunen zorunlu hâllerde ve talebin hukuki dayanağını inceledikten sonra.
- Bunların dışında kimseye satmıyor, kiralamıyor, pazarlama amacıyla paylaşmıyoruz.
Güvenlik
- Parolalar scrypt ile hash’lenir; düz metin parolayı biz de göremeyiz.
- API anahtarları sha256 + gizli anahtar (pepper) ile hash’lenir. Ham anahtar yalnız oluşturma anında bir kez gösterilir; sonrasında hiçbir ekrandan, hiçbir API ucundan okunamaz — bizim tarafımızdan da.
- Oturum çerezleri httpOnly’dir; JavaScript ile okunamaz.
- Bakiye hareketleri ACID transaction ve satır kilidi altında yazılır; her hareket geri izlenebilir bir defter satırı bırakır.
KVKK m.11 — haklarınız
Kişisel verilerinle ilgili şu haklara sahipsin: işlenip işlenmediğini öğrenme; işlenmişse bilgi talep etme; işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme; yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme; eksik veya yanlış işlenmişse düzeltilmesini isteme; silinmesini veya yok edilmesini isteme; düzeltme/silme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme; münhasıran otomatik sistemlerle analiz edilmesi suretiyle aleyhine bir sonuç çıkmasına itiraz etme; kanuna aykırı işleme sebebiyle zarara uğraman hâlinde zararın giderilmesini talep etme.
Başvurunu nasıl yapacağın “KVKK Başvuru” sayfasında adım adım yazılı.
Değişiklikler
Bu metni güncellersek, güncelleme tarihini değiştirir ve önemli değişikliklerde hesabına bağlı e-posta adresine bildirim göndeririz. Son güncelleme: 14 Temmuz 2026.
Veri sorumlusu / satıcı
Ticari unvan, adres ve sicil bilgileri yayına alınmadan önce eklenir. Bu alanları uydurmuyoruz — NEXT_PUBLIC_LEGAL_* ortam değişkenleri doldurulduğunda burada görünür.
Sorularını Destek sayfasından iletebilirsin.