SBVirtus Teknoloji A.Ş.
BaroBase Hizmetleri İçin
Kişisel Verilerin Korunması Politikası + Aydınlatma Metni + Gizlilik Politikası
Yürürlük Tarihi: 24.11.2025
Versiyon: 1.0
Veri Sorumlusu: SBVirtus Teknoloji A.Ş.
MERSİS No: 0757108284200001
VKN: 7571082842
Ticaret Sicil: 1105342
Adres: YEŞİLKÖY MAH. ATATÜRK CAD. EGS BUSINESS PARK NO:12 İÇ KAPI NO:1 BAKIRKÖY/İSTANBUL
E-posta: privacy@barobase.com | KEP: sbvirtusteknoloji@hs01.kep.tr |
Uyarı: Bu metin, 6698 sayılı KVKK ve ikincil mevzuat esas alınarak hazırlanmıştır.
İÇİNDEKİLER
1.Kapsam, Roller ve Yetkiler
1.1 Amaç ve Kapsam
1.2 Roller (Veri Sorumlusu/İşleyen, İrtibat)
2.Temel İlkeler ve Hukuki Dayanaklar
2.1 İşleme İlkeleri (KVKK m.4)
2.2 İşleme Şartları / Hukuki Dayanaklar (KVKK m.5/2 ve m.6)
2.2.1 Hukuki Dayanak & Kullanım Senaryosu
2.2.2 Dayanak Değişikliği ve Bildirim
3.Hangi Verileri Ne Zaman Topluyoruz?
3.0 Yaşam Döngüsü Haritası (Özet)
3.1 Toplama Kanalları
3.2 Veri Kategorileri (Akış Bazlı)
3.2.1 Kayıt / Demo
3.2.2 Abonelik / Satın Alma
3.2.3 Kullanım / Operasyon
3.2.4 Destek / İletişim
3.3 Çevrimiçi Tanımlayıcılar ve Çerezler (Özet)
3.4 Alıcı/Alıcı Grupları ve Konum
4.İşleme Amaçları – Hukuki Dayanak Tablosu
4.0 Kısaltmalar
4.1 Amaç–Dayanak Tablosu
4.2 Amaç Değişikliği ve Uyum Adımları
4.3 Profil Oluşturma ve Otomatik Karar Verme
5.Saklama, Erişim ve Güvenlik
5.1 Saklama Süreleri ve Lokasyon
5.2 Erişim Kontrolü ve Güvenlik Tedbirleri
6.Anonimleştirme ve Model Eğitimi
6.1 PII-Mask ve Pseudonimizasyon
6.2 Anonim Verinin Kullanımı (LLM İyileştirme)
7.Aktarım, Yurt Dışı ve Alt İşleyenler
7.1 Yurt İçi Paylaşımlar
7.2 Veri Yerleşimi ve Sınır Ötesi Aktarım Politikası
7.2.1 Varsayılan: AB/Almanya
7.2.2 AB Dışına Aktarım Gerekirse (şartlı şalter)
7.3 Alt İşleyenler
7.4 Alıcı Kategorileri ve Örnek Sağlayıcılar (Yurt Dışı Dâhil)
8.İlgili Kişi Talepleri Yönetimi
8.1 Hesap Üzerinden İşlemler
8.2 KVKK m.11 Hakları
8.3 Başvuru/Şikâyet Usulü ve Süreler
9.Uygunluk ve Politika Yönetimi
9.1 Politikanın Yayımı ve Sürümleme
9.2 Yürürlük ve Revizyon
9.3 İYS, VERBİS ve Mesleki Gizlilik Notları — Şirket Pozisyonu
10.İletişim Kanalları
A. Politika Özeti
- Üyelik/abonelik ve hizmetin ifası için gerekli verileri işleriz.
- Ödeme verilerini PSP tutar; bizde yalnız token + kartın son 4 hanesi görünür.
- LLM eğitiminde ham kişisel veri kullanılmaz; PII-mask sonrası anonim veriler kalite/iyileştirme için kullanılabilir.
- Yurt dışına aktarım ancak KVKK m.9 mekanizmaları sağlandığında yapılır.
- Hesabınızdan veri talepleri oluşturabilir, KVKK m.11 haklarınızı kullanabilirsiniz. LLM tabanlı özellikler (dilekçe taslağı, metin analizi, özetleme vb.) yalnızca kişisel verilerinizin yurt dışında yerleşik LLM hizmet sağlayıcılarına aktarılmasına açık rıza vermeniz hâlinde kullanıma açılır; rızanızı dilediğiniz anda geri alabilirsiniz. Rızanızı geri aldığınızda hesabınız ve temel yönetim fonksiyonları çalışmaya devam eder, ancak LLM tabanlı özellikler devre dışı bırakılır.
- LLM eğitiminde ham kişisel veri kullanılmaz; PIImask sonrası anonim veriler kalite/iyileştirme için kullanılabilir. Yurt dışına aktarım; barındırma/altyapı hizmetleri bakımından KVKK m.9/2 kapsamındaki Standart Sözleşme (TR-SCC) ve Kurum bildirimi ile, LLM hizmet sağlayıcıları bakımından ise KVKK m.9/1 kapsamındaki açık rızanız ve ek sözleşmesel güvencelerle gerçekleştirilir.
1. Kapsam, Roller ve Yetkiler
1.1 Amaç ve Kapsam
Bu politika; BaroBase hizmetlerini kullanırken kişisel verilerinizi nasıl topladığımızı, işlediğimizi, paylaştığımızı ve sakladığımızı açıklar.
Hizmet 18 yaş altına yönelik değildir; 18 yaş altı kullanıcıların hizmeti kullanması amaçlanmamıştır.
1.2 Roller (Veri Sorumlusu/İşleyen, İrtibat)
- Veri Sorumlusu: SBVirtus Teknoloji A.Ş.
- Kurumsal Müşteriler (B2B) İçin: BaroBase, müşteri tarafından BaroBase’e yüklenen içerik/veri bakımından “Veri İşleyen” olarak hareket eder; bu ilişki ayrı “BaroBase Veri İşleme Sözleşmesi (DPA)” ile düzenlenir.
- İrtibat/İletişim: privacy@barobase.com
- KEP: sbvirtusteknoloji@hs01.kep.tr
2. Temel İlkeler ve Hukuki Dayanaklar
Bu sayfa, KVKK m.4 (işleme ilkeleri) ve m.5/2–m.6 (işleme şartları) uyarınca BaroBase’e özgü şekilde ayrıntılandırılmıştır.
2.1 İşleme İlkeleri (KVKK m.4)
Aşağıdaki ilkeler, tüm süreçlerimizde bağlayıcıdır. Her bir ilkenin hemen altında BaroBase’e özgü örnek verilmiştir.
- Hukuka ve dürüstlük kurallarına uygunluk
- İşleme faaliyetinin dayandığı açık bir hukuki zemin bulunur; kullanıcıyı yanıltıcı veya beklenmedik işleme yapılmaz.
- BaroBase örneği: LLM iyileştirmesinde ham kişisel veriyi kullanmayız; yalnız anonimleştirilmiş veri ile çalışırız.
- Doğruluk ve güncellik
- Veriler makul periyotlarda güncellenir; yanlış olanlar düzeltilir.
- BaroBase örneği: Avukat sicil numarası/iletişim bilgilerinin kullanıcı tarafından Hesap ekranında güncellenmesine imkân verilir; düzeltme talepleri kayıt altında tutulur.
- Belirli, açık ve meşru amaç
- Amaçlar net olarak tanımlanır; yeni, uyumsuz bir amaç için ayrıca hukuki dayanak tesis edilir.
- BaroBase örneği: Üyelik/abonelik, faturalama, güvenlik, destek ve LLM kalite ölçümü (anonim veri) ayrı ayrı tanımlanmıştır.
- Amaçla bağlantılı, sınırlı ve ölçülü olma (veri minimizasyonu)
- Yalnızca gerekli asgari veri işlenir; fazla/işe yaramayan alanlar toplanmaz.
- BaroBase örneği: Tam kart numarası ve CVV’yi tutmayız; yalnız PSP token + kartın son 4 hanesi saklanır.
- Gerekli süre kadar saklama
- Mevzuatta öngörülen veya amaç için zorunlu süre kadar; sonrasında silme/yok etme/anonimleştirme uygulanır.
- BaroBase örneği: Mali kayıtlar 10 yıl, güvenlik logları 2 yıl, LLM etkileşim logları 12 ay saklanır; imha işlemleri tutanakla kayıt altına alınır.
Şirket içi ek ilkeler (en iyi uygulamalar):
Hesap verebilirlik (accountability) – her işleme için sorumluluk sahibi birim ve kayıt;
Mahremiyet tasarımda/varsayılan (privacy by design/by default) – ürün geliştirmede PII-mask, RBAC ve minimum erişim varsayılandır;
İzlenebilirlik – veri yaşam döngüsü boyunca loglama ve değişiklik kayıtları tutulur.
2.2 İşleme Şartları / Hukuki Dayanaklar (KVKK m.5/2 ve m.6)
Aşağıdaki hallerden en az biri mevcutsa kişisel veri işleriz. Her başlık altında BaroBase’e özgü tipik senaryolar örneklenmiştir.
- Sözleşmenin kurulması veya ifası için zorunluluk (m.5/2-c)
- Örnek: Üyelik/demo açılması, lisansların yönetimi, kullanıcıların kimlik/iletişim doğrulaması, destek taleplerinin yanıtlanması.
- Hukuki yükümlülüğün yerine getirilmesi (m.5/2-ç)
- Örnek: E-fatura/e-arşiv düzenlenmesi, vergi mevzuatı kapsamındaki kayıtlar, talep/şikâyetlerin mevzuata uygun yönetimi.
- Meşru menfaat (m.5/2-f)
- Örnek: Dolandırıcılık ve kötüye kullanımın önlenmesi, erişim/güvenlik logları, anonimleştirilmiş kullanım verileriyle ürün/LLM kalite iyileştirme.
- Not: Denge testi (LIA) yapılır; temel hak ve özgürlüklerinize ağır basmayan hallerde uygulanır.
- Kanunlarda açıkça öngörülmesi (m.5/2-a)
- Örnek: Mali kayıtların Vergi Usul Kanunu uyarınca saklanması, yetkili mercilere bildirim yükümlülükleri.
- Bir hakkın tesisi, kullanılması veya korunması (m.5/2-e)
- Örnek: Uyuşmazlık, alacak takibi, delil niteliğindeki işlem kayıtlarının saklanması.
- İlgili kişinin kendisi tarafından alenileştirilmesi (m.5/2-d)
- Örnek: Kullanıcının mesleki profilini (ör. büro web sitesi) sisteme bilerek girmesi ve kamuya açık kılması; yine de amaçla sınırlılık korunur.
- Açık rıza (m.5/1 – zorunlu olmayan işlemler)
- Örnek: Ticari elektronik ileti (e-posta/SMS kampanya), pazarlama çerezleri, öğrenci doğrulama için opsiyonel bilgiler.
- Not: Rıza her zaman geri alınabilir; geri alma, rıza öncesi işlemenin hukuka uygunluğunu etkilemez.
- Fiilî imkânsızlık/hayati menfaat (m.5/2-b)
- Örnek: Güvenlik olaylarında sistem bütünlüğünü sağlamak amacıyla acil müdahale ve kayıtların incelenmesi (kullanıcının açık rızasını veremediği hallerde).
- Özel nitelikli kişisel veriler (KVKK m.6)
Hizmetin doğası: BaroBase, avukatların sisteme yüklediği dava dosyaları, dilekçeler ve mütalaalarda KVKK m.6 kapsamında özel nitelikli kişisel veriler (ör. sağlık verileri; ceza mahkûmiyetleri ve güvenlik tedbirleriyle ilgili veriler) bulunabileceğinin farkındadır.
Rol ve hukuki zemin:
• B2B kurumsal müşterilerde BaroBase, “veri işleyen” sıfatıyla yalnızca müşteri talimatı altında işlem yapar. Özel nitelikli veriler bakımından **hukuki zemini tesis etme yükümlülüğü veri sorumlusuna (müşteriye) aittir** (ör. açık rıza alınması veya kanunda açıkça öngörülmüş istisnalar).
• B2C veya BaroBase’in veri sorumlusu olduğu işlemlerde, **özel nitelikli veri talep etmeyiz;** kullanıcı arayüzleri bu verileri toplamaya yönelik değildir. Kullanıcı tarafından sehven paylaşılan özel nitelikli veriler işlenmez; maskeleme/çıkarma uygulanır ve erişimler kısıtlanır.
Not – kapsam: Avukatlık Kanunu’ndaki sır saklama yükümlülüğü, BaroBase’e özel nitelikli veri işlemek için bağımsız bir hukuki dayanak sağlamaz; m.6 kapsamındaki şartların (açık rıza veya kanunda öngörülen haller) müşteri tarafından karşılanması esastır.
Güvenceler: BaroBase, Kurul’un özel nitelikli veriler için öngördüğü teknik/idari tedbirleri uygular (örn. PIImask, güçlü şifreleme, detaylı erişim/audit logları, rol-tabanlı yetki, SoD). Bu verilerin **ham halleri model eğitimi/iyileştirmesinde asla kullanılmaz;** yalnızca 6. bölümde tarif edildiği gibi anonimleştirilmiş veri setleri kalite amaçlı kullanılabilir.
2.2.1 BaroBase’ye Özgü “Hukuki Dayanak - Kullanım Senaryosu” Eşlemesi
Hukuki Dayanak | Tipik Senaryo | Örnek Veri Kategorileri |
Sözleşme (m.5/2-c) | Üyelik/abonelik kurulumu, lisans yönetimi | Kimlik, iletişim, rol, baro/sicil |
Hukuki yükümlülük (m.5/2-ç) | E-fatura/e-arşiv | Fatura/adres, VKN/TCKN (gerektiği kadar) |
Meşru menfaat (m.5/2-f) | Güvenlik logları, dolandırıcılık önleme | IP, cihaz, oturum logları |
Hak tesisi/korunması (m.5/2-e) | Uyuşmazlık/kanıt | İşlem kayıtları |
Kanunda öngörülme (m.5/2-a) | Yasal bildirimler | Mali/işlem kayıtları |
Açık rıza (m.5/1) | Pazarlama iletileri, çerezler | İletişim tercihleri, çerez kimlikleri |
Özel nitelikli (m.6) | Varsayılan yok | Maskeleme/çıkarma uygulanır |
2.2.2 Dayanak Değişikliği ve Bildirim
Bir veri kümesinin işleme amacı değişirse, uyumlu amaç testi yapılır; dayanak değişikliği gerekiyorsa ilgili kişiye önceden bilgilendirme yapılır ve gerekirse açık rıza yeniden alınır.
3. Hangi Verileri Ne Zaman Topluyoruz?
Bu sayfa; veri yaşam döngüsünü (kayıt → abonelik → kullanım → destek/güvenlik → fesih) ve her aşamada işlenen veri kategorilerini BaroBase’e özgü şekilde açıklar.
3.0 Yaşam Döngüsü Haritası (Özet)
- Kayıt/Demo → kimlik/iletişim doğrulama, mesleki bilgiler.
- Abonelik/Ödeme → fatura/vergi bilgileri, ödeme tokenları.
- Kullanım → oturum & güvenlik logları, tercih ayarları, dosya metadataları ve LLM içerikleri (PII-mask sonrası).
- Destek/İletişim → talep kayıtları, geri bildirimler.
- Fesih/İmha → saklama süreleri sonunda silme/yok etme/anonimleştirme.
3.1 Toplama Kanalları
- Web/Mobil Arayüzleri: kayıt, giriş, profil, faturalama, ayarlar.
- API & Entegrasyonlar: UYAP uyumlu dosya üretimi, e-fatura/e-arşiv, SSO/kimlik doğrulama.
- Ödeme Servis Sağlayıcısı (PSP): kart verilerinin tokenizasyonu; 3D Secure sonuçları.
- İletişim Kanalları: destek talepleri (e-posta, form), bildirimler, IYS kapsamındaki ticari iletiler (rıza ile).
- Güvenlik/Loglama: erişim logları, hata izleme, anomali tespit.
- Çerezler ve benzeri teknolojiler: zorunlu/analitik/pazarlama çerezleri, SDK ve piksel sinyalleri (rıza ile).
- E-fatura Entegratörü: fatura kesimi için zorunlu alıcı bilgileri.
Hesap güvenliği, birden fazla kişi tarafından kullanım şüphesinin incelenmesi, mesleki durumun doğrulanması (avukat, stajyer, hakim, savcı, hukuk öğrencisi vb.) ve hizmete ilişkin memnuniyet/geri bildirim amaçlarıyla, kullanıcıyla telefon veya diğer iletişim kanalları üzerinden de irtibata geçebiliriz; bu kapsamda yapılan aramalar pazarlama amacı taşımaz.
3.2 Veri Kategorileri (Akış Bazlı)
3.2.1 Kayıt / Demo
- Bireysel & Şahıs Firmalı Avukat (zorunlu): Ad, Soyad, E-posta (giriş), Şifre, Avukat Sicil No, Telefon (OTP doğrulama), Baro.
- Firma / Hukuk Bürosu (zorunlu): Büro/Şirket adı (görünen ad), iletişim e-posta, telefon, şehir, web sitesi (opsiyonel), büyüklük (1-5, 6-20, …).
- Temel Kişi (hesap sahibi avukat / admin): Ad, Soyad, E-posta (giriş), Şifre, Telefon (OTP), Avukat Sicil No, Rol (kurucu ortak, managing partner vb.), Baro.
- Stajyer Avukat (demo kaydı): Ad, Soyad, E-posta, Şifre, Stajyer Sicil No (avukat sicilinden ayrı alan), Telefon (OTP), Baro, Staj bitiş tahmini.
- Onaylar (zorunlu): KVKK ve Kullanım Şartları onayı → checkbox + zaman damgası (timestamp). DPA → checkbox + zaman damgası.
- Onaylar (opsiyonel): LLM tabanlı özellikler kapsamında kişisel verilerin yurt dışındaki LLM hizmet sağlayıcılarına aktarımına ilişkin açık rıza → ayrı checkbox + zaman damgası (LLM fonksiyonları için şart, temel hesabın açılması için şart değildir).
3.2.2 Abonelik / Satın Alma
PAN ve CVV BaroBase’de tutulmaz; bu alanlar PSP (sanal POS) ekran/SDK’sında işlenir. BaroBase tarafında yalnız PSP token, maskeli kart tanımlayıcısı (örn. **** 1234) ve 3D Secure sonucu saklanır (SKT saklanmaz).
3.2.3 Kullanım / Operasyon
- Kullanım & Tercihler: arayüz dili/tema, bildirim tercihleri, özellik bayrakları.
- İşlem Güvenliği/Log: IP, kullanıcı ajanı, cihaz parmak izi (hash), oturum/token kimliği, giriş/çıkış zamanları, başarısız giriş denemeleri.
- Dosya & İçerik Metadatası: dosya adı/uzantı/boyut, yükleme zamanı, dönüştürme hataları.
- Hizmet İçi İçerik: LLM etkileşimleri – PII-mask ve çıkarma sonrası anonim içerik kalite ölçümü/iyileştirmede kullanılabilir. LLM tabanlı özellikler kapsamında girilen prompt ve içerikler, yalnızca “LLM Fonksiyonları İçin Açık Rıza Beyanı”nı onaylamanız hâlinde yurt dışında yerleşik LLM hizmet sağlayıcılarına aktarılır. Açık rızanızı, hesap ayarları üzerinden dilediğiniz zaman geri çekebilirsiniz; bu durumda LLM tabanlı özellikler hesabınızda devre dışı bırakılır, ancak hesabınız ve temel yönetim fonksiyonlarınız (panel, fatura görüntüleme, mevcut kayıtların erişimi vb.) çalışmaya devam eder.
- Etkinlik/Kullanım sinyalleri: Sayfa görüntüleme, buton tıklama, form gönderimi, arama kullanımına ilişkin olay kaydı; özellik bazlı kullanım ve performans ölçümleri.
- Oturum & cihaz metadatası: Oturum ID, kullanıcı/cihaz ajanı, IP, zaman damgası; hata/çökme kayıtları ve anomali sinyalleri.
- Tercihler: Bildirim/iletişim tercihleri, arayüz/dil/tema ayarları.
- Not: Etkinlik ölçümü meşru menfaat kapsamında asgari veri ile yapılır; pazarlama amaçlı çerez/SDK’lar rıza ile çalışır.
3.2.4 Destek / İletişim
- Destek Talepleri: konu, açıklama, ekler (varsa), iletişim tercihleri, çözüm kayıtları.
- Geri Bildirim & Anketler: ürün içi değerlendirmeler (opsiyonel).
- Kontrol ve Doğrulama Aramaları: Hesabın yetkisiz veya birden fazla kişi tarafından kullanıldığına dair şüphelerin değerlendirilmesi, mesleki statünün doğrulanması ve hizmetten memnuniyetin ölçülmesi amacıyla, hesap sahibi veya yetkili kullanıcılarla telefon ya da diğer iletişim kanalları üzerinden sınırlı sayıda görüşme yapılabilir; bu kapsamda yapılan aramalar hizmete ilişkin olup pazarlama niteliği taşımaz.
3.3 Çevrimiçi Tanımlayıcılar ve Çerezler (Özet)
- Zorunlu çerezler (gerekli): oturum bütünlüğü, güvenlik, yük dengeleme.
- İşlevsel çerezler (opsiyonel): tercihlerin hatırlanması.
- Analitik çerezler/SDK (rıza ile): kullanım istatistikleri, performans ölçümü.
- Pazarlama/yeniden hedefleme (rıza ile): kampanya ve dönüşüm ölçümü.
- Yönetim: Çerez tercih panelinden istediğiniz an açıp kapatabilirsiniz; rıza geri alındığında ilgili çerezler silinir/engellenir. Ayrıntılar Çerez Politikası’nda yer alır.
3.4 Alıcı/Alıcı Grupları ve Konum
Verileriniz; barındırma, kimlik doğrulama, e-posta/SMS iletimi, analitik ve destek hizmetleri amaçlarıyla tedarikçilerimize aktarılabilir. Hizmetin sağlanması için verileriniz, yurt dışında bulunan alıcı gruplarına aktarılabilir. Varsayılan barındırma lokasyonumuz olan AB (Almanya) dahil, tüm yurt dışı aktarımlarımız Bölüm 7.2.2'de belirtilen KVKK m.9 güvenceleri (öncelikli olarak Standart Sözleşme + Kurum'a Bildirim) sağlandıktan sonra yapılır. Güncel alıcı kategorileri ve ülke/bölgeler için bkz. 7.4 “Alıcı Kategorileri ve Örnek Sağlayıcılar”.
4. İşleme Amaçları – Hukuki Dayanak Tablosu
Kısaltmalar
Söz.: Sözleşmenin kurulması/ifası (m.5/2-c)
Hük.: Hukuki yükümlülük (m.5/2-ç)
MM: Meşru menfaat (m.5/2-f)
Açık Rıza: m.5/1
KO: Kanunda öngörülme (m.5/2-a)
HTK: Hak tesisi/kullanımı/korunması (m.5/2-e)
HB: Hayati/fiilî imkânsızlık (m.5/2-b)
4.1 Amaç-Dayanak Tablosu
Amaç | Tipik İşlemler / Örnek | Veri (Minimal) | Hukuki Dayanak | Saklama (Azami) | Uyum Notu |
Üyelik/demo & kimlik doğrulama | Kayıt, OTP, rol/meslek doğrulama | Ad-soyad, e-posta, OTP’li telefon, baro/sicil, rol | Söz. | Hesap süresince + 3 yıl | Kimlik doğrulama logları tutulur; gereksiz alan toplanmaz. |
Lisans/abonelik yönetimi | Kullanıcı ekleme/çıkarma, yetkiler, ekip atamaları | Ad-soyad, e-posta, rol, lisans sayısı | Söz. / MM | Hesap süresince + 3 yıl | RBAC uygulanır; erişimler periyodik gözden geçirilir. |
Faturalama & vergisel işlemler | e-fatura/e-arşiv oluşturma, iade/iptal | Fatura adresi, VKN/TCKN, vergi dairesi | Hük. / KO | 10 yıl | Mevzuat zorunlulukları önceliklidir; asgari alan ilkesi geçerli. |
Ödeme işlemleri | Kart tokenizasyonu, 3D Secure doğrulaması | Kart üzerindeki isim (varsa), PSP token, son 4 hane, 3D Secure sonucu | Söz. / Hük. | Ödeme kaydı süresince + 3 yıl | PAN/CVV saklanmaz; işleme PSP’de yürütülür. |
Güvenlik & sahtecilik önleme | Giriş / oturum güvenliği, anomali tespiti, WAF | IP, cihaz/parmak izi (hash), oturum ID, hata kayıtları | MM | 2 yıl | LIA dengesi yapılır; gereksiz profilleme yapılmaz. |
Destek ve iletişim | Talep yönetimi, hata/geri bildirim | Talep metni, iletişim bilgisi, ekler | Söz. / MM | 3 yıl | Gizli bilgi/PII içeren ekler maskelenir; erişimler sınırlıdır. |
Pazarlama / etkinlik bilgilendirme | E-posta/SMS kampanya, etkinlik daveti | İletişim bilgisi, tercih/izin kayıtları | Açık Rıza | İzin geri alınıncaya kadar + en çok 3 yıl inaktif | İYS kayıt/ret yönetimi; rıza her an geri alınabilir. |
Ürün/LLM kalite iyileştirme | Hata analizi, performans ölçümü, A/B | Anonimleştirilmiş içerik, kullanım istatistikleri | MM (anonim veriye dayalı) | 12 ay ham log → anonim istatistikler daha uzun | Ham PII kullanılmaz; PII-mask/çıkarma zorunlu. |
Uyuşmazlık/şikâyet yönetimi | Delil niteliğinde kayıtların saklanması | İşlem ve iletişim kayıtları | HTK / Söz. / Hük. | İlgili zamanaşımı süresince | Sadece gerekli kayıtlar saklanır; erişim denetimli. |
Yasal bildirim & resmi talepler | Yetkili mercilere cevap, raporlama | İlgili işlem ve kimlik verileri | KO / Hük. | Mevzuata göre | Talep kapsamı ile sınırlı paylaşım, kayıt altı. |
Acil durum/hayati menfaat | Güvenlik olayı, dolandırıcılık, sızıntı müdahalesi | Olay logları, gerekli iletişim verileri | HB | Olay çözümü + azami 2 yıl | Gereklilik ilkesi; kapsam ve süre sınırlandırılır. |
Not-1: “Meşru menfaat” (MM) dayanaklı işlemlerde Legitimate Interest Assessment (LIA) yapılır; temel hak ve özgürlükleriniz ağır basarsa alternatif (ör. rıza) değerlendirilir.
Not-2: LLM iyileştirmesinde yalnız anonim veri kullanılır; maskeleme başarısız ise eğitim setine dahil edilmez.
Not-3: Pazarlama iletişimleri 6563 sayılı ETK ve İYS süreçlerine tabidir; onay istendiği an geri alınabilir.
4.2 Amaç Değişikliği ve Uyum Adımları
Bir verinin işlenme amacı değişirse: (i) uyumlu amaç testi yapılır, (ii) gerekirse yeni hukuki dayanak tesis edilir, (iii) bilgilendirme ve/veya rıza yenileme yapılır, (iv) veri envanteri ve kayıtlar güncellenir.
4.3 Profil Oluşturma ve Otomatik Karar Verme
BaroBase, kullanıcılar üzerinde hukuki veya benzer şekilde önemli etkiler doğuran tamamen otomatik karar verme/profil oluşturmaya başvurmaz. Güvenlik anomali tespiti ve ürün analitiği insan gözetimi altında yürütülür.
5. Saklama, Erişim ve Güvenlik
5.1 Saklama Süreleri ve Lokasyon
Lokasyon: Birincil barındırma Microsoft Azure Germany bölgesindedir. Bu kurulum KVKK m.9 kapsamında “yurt dışına aktarım” teşkil eder ve Bölüm 7.2.2’deki güvence/bildirim mekanizmaları uygulanır.
Felaket Kurtarma (DR) için “Germany North (Berlin)” kullanılır. Yedekler ve telemetri aynı AB (Almanya) coğrafi sınırları içindedir. Farklı ülke/bölge kullanımı yalnızca KVKK m.9 kapsamındaki güvenceler (ör. TR-SCC) sağlanırsa devreye alınır.
5.2 Erişim Kontrolü ve Güvenlik Tedbirleri
- Erişim yönetimi: RBAC + asgarî yetki; ayrı yönetici hesapları; kritik işlemlerde iki kişi kuralı/Onay (SoD).
- Kimlik doğrulama: Yönetici/kurumsal hesaplarda MFA/OTP zorunlu; parolalar Argon2id/bcrypt ile hash; kurumsal müşteriye SSO (SAML/OIDC) desteği.
- Şifreleme: Aktarımda TLS 1.2+, atıl veride AES-256; anahtarlar KMS/HSM ile yönetilir.
- Gizli değer yönetimi: Uygulama sırları vault ortamında; erişimler loglanır.
- Kayıt/izleme: Ayrıntılı audit log, WAF/IDS ve anomali tespiti; kritik olaylar İhlal Prosedürü uyarınca (Veri ihlallerinde Kurul’a “en kısa sürede ve **en geç 72 saat içinde**” bildirim yapılır; 72 saati aşan durumlarda gecikme gerekçesi açıklanır.) ele alınır.
- Zafiyet ve yama: Sürekli tarama, düzenli güncelleme; kritik bulgulara ivedi müdahale.
- Yedekleme/DR: Şifreli yedekler; tanımlı RPO/RTO; periyodik DR tatbikatı.
- Geliştirme güvenliği: Güvenli SDLC, kod inceleme, sızma testleri; üretim verisi testte kullanılmaz.
- DLP & minimizasyon: Gereksiz alan toplanmaz; yüklenen belgelerde otomatik PII maskeleme/engelleme katmanı.
6. Anonimleştirme ve Model Eğitimi
6.1 PII-Mask ve Pseudonimizasyon
- Kapsam (örnek PII): Ad-soyad, TCKN/VKN, baro/stajyer sicil no, telefon, e-posta, adres, IBAN, ödeme kartı tanımlayıcıları (son 4), doğum tarihi, UYAP/dosya referansları vb.
- Yöntem: Metin/dosyalarda (OCR dâhil) çok katmanlı tanıma + maskeleme/çıkarma (NER + kural tabanlı). Kullanıcının hizmet alabilmesi için yüklediği ham içerik, kullanıcının kendi erişimi için güvenli bir şekilde (örn. şifreli olarak) depolanır. Ancak bu ham içerikler, Şirket'in model iyileştirme, eğitim veya kalite setlerine asla dahil edilmez; bu amaçlar için yalnızca verinin anonimleştirilmiş sürümleri kullanılır.
- Pseudonim: Gerektiğinde kimlikten bağımsız pseudonim/kod üretilebilir; pseudonim veriler kişisel veridir ve bu politikaya tabidir.
6.2 Anonim Verinin Kullanımı (LLM İyileştirme)
- Kullanım alanları: Hata analizi, performans ölçümü, kalite skorlaması, özellik doğrulama/A-B.
- Teknikler: Toplulaştırma, tersine çevrilemez maskeleme, istatistiksel gürültü/örnekleme, eşikleme (k-anonymity benzeri).
- Sınırlar: Model iyileştirmesinde ham PII kullanılmaz; maskeleme başarısızsa kayıt eğitimden hariç tutulur.
- Şeffaflık notu: Yüksek hacimli anonim içerik kalite/iyileştirmede kullanılabilir; önemli değişikliklerde sürüm notu ile bilgilendirme yapılır.
- Açık Rıza: Model iyileştirmesi yalnız anonimleştirilmiş/geri döndürülemez veri ile yapılır; bu nedenle ayrıca açık rıza aranmamaktadır.
7. Aktarım, Yurt Dışı ve Alt İşleyenler
7.1 Yurt İçi Paylaşımlar
- E-fatura/e-arşiv entegratörü: faturalama için asgarî alıcı/vergi bilgileri.
- PSP (ödeme): token, maskeli kart tanımlayıcısı (örn. son 4) ve 3D Secure sonucu (PAN/CVV bizde yok).
- E-posta/SMS sağlayıcıları: OTP, bildirim; pazarlama yalnız rıza ile.
- Bulut/operasyon & analitik/hata izleme: barındırma, loglama, performans.
- Danışman/denetim/hukuk: mevzuat uyumu ve uyuşmazlık yönetimi.
Not: Paylaşımlar amaçla sınırlı, asgari veri ve sözleşmesel gizlilik/DPA hükümlerine tabidir.
7.2 Veri Yerleşimi ve Sınır Ötesi Aktarım Politikası
7.2.1 Varsayılan: AB/Almanya
Varsayılan üretim ve yedek lokasyonları AB/Almanya’dadır. Bu kurulum KVKK m.9 kapsamında yurt dışına aktarım teşkil eder ve “Standart Sözleşme (TR-SCC) + Kurum’a Bildirim” mekanizmalarıyla yürütülür. Üretim erişimleri RBAC, IP/VPN kısıtları ve denetim kayıtları ile sınırlandırılır.
7.2.2 AB Dışına Aktarım Gerekirse (şartlı şalter)
İş ihtiyacı gereği AB dışındaki hizmet sağlayıcılar kullanılacaksa veya veriler AB dışından erişilebilir hale gelecekse, aktarım KVKK m.9 uyarınca şu güvencelerle yapılır. Bu kapsamda, mümkün olduğu ölçüde KVKK m.9/2 kapsamındaki “KVKK Standart Sözleşme (TR-SCC)” mekanizması tercih edilir; bu mekanizmanın fiilen uygulanamadığı veya ilgili hizmet sağlayıcı ile standart sözleşme ilişkisi kurulamadığı sınırlı hallerde ise, ilgili işleme özel olarak KVKK m.9/1 kapsamındaki açık rıza istisnası kullanılabilir ve bu haller KVKK Aydınlatma Metni içerisinde ayrıca belirtilir:
(a) Uygun güvence: KVKK Standart Sözleşme (ilişkiye göre C2C/C2P) imzalanır.
(b) Bildirim: Standart sözleşme imzalarını takiben 5 iş günü içinde KVKK Kurumu’na bildirilir.
(c) Şeffaflık: Alıcı/alıcı grupları ve ülke/bölgeler açıkça belirtilir; güncel liste web sitemizde yayımlanır.
(d) Teknik/idarî tedbirler: TIA, şifreleme, KMS/HSM anahtar yönetimi (AB), RBAC, aktarım/erişim logları, minimizasyon, mümkün olan hallerde anonimleştirme.
7.3 Alt İşleyenler
- Kategoriler: Bulut/Barındırma, PSP, e-fatura entegratörü, e-posta/SMS, analitik/hata izleme, CDN/WAF, OTP/SSO.
- Değişiklik bildirimi: Liste güncellemeleri makul süre önce duyurulur; haklı itirazda makul alternatif sunulur veya ilgili işleme durdurulur.
- Aynı seviye koruma: Tüm alt işleyenlerle DPA + bilgi güvenliği yükümlülükleri ve denetim iş birliği hükmü bulunur.
7.4 Alıcı Kategorileri ve Örnek Sağlayıcılar (Yurt Dışı Dâhil)
Not (şeffaflık): Aşağıdaki liste örnek kategoriler ve sağlayıcılardır. Güncel ve bağlayıcı liste web sitemizde yayımlanır; yeni sağlayıcı devreye alınmadan önce 7.2.2’deki güvenceler uygulanır.
1) API Destekli Büyük Dil Modeli Sağlayıcıları
Örnek Taraflar: OpenAI, L.L.C. (ABD), Google LLC (ABD/AB).
Aktarılan Veriler: Kullanıcı içerikleri (kişisel veri içerebilir), prompt/yanıt metaverileri.
Amaç: Yapay zekâ destekli yanıtların üretilmesi ve hizmetin temel işlevlerinin sağlanması.
Hukuki Sebep / Aktarım Şartı: LLM tabanlı özellikler kapsamında girilen prompt ve içerikler, yalnızca “LLM Fonksiyonları İçin Açık Rıza Beyanı”nı onaylamanız hâlinde yurt dışında yerleşik LLM hizmet sağlayıcılarına aktarılır. Açık rızanızı, hesap ayarları üzerinden dilediğiniz zaman geri çekebilirsiniz; bu durumda LLM tabanlı özellikler hesabınızda devre dışı bırakılır, ancak hesabınız ve temel yönetim fonksiyonlarınız (panel, mevcut kayıtların erişimi vb.) çalışmaya devam eder. Tedarikçi DPA/OST dokümanları ilave sözleşmesel güvencedir.
2) Analitik, Performans ve Barındırma/Edge Hizmetleri
Örnek Taraflar: Microsoft Azure (Germany West Central / Frankfurt; DR: Germany North / Berlin), MongoDB Atlas (Azure Germany West Central), UpStash/Redis (AB).
Aktarılan Veriler: Barındırma, veritabanı ve işletim logları; kişisel veriler yalnız hizmetin ifası için zorunlu asgari düzeyde işlenir.
Hukuki Sebep / Aktarım Şartı: Hizmetin ifası (m.5/2-c). AB dışına aktarım gerekirse 7.2.2 uyarınca TR-SCC + bildirim.
3) Model Eğitimi İçin Altyapı/İşleme (Veri İşleyen olabilir)
Örnek Taraflar: Yurt içi/yurt dışı bulut sağlayıcıları.
Aktarılan Veriler: Anonimleştirilmiş ve/veya toplulaştırılmış kullanıcı içerikleri (ham kişisel veri içermez).
Amaç: Yapay zekâ modellerinin eğitimi ve kalite iyileştirme.
Hukuki Sebep / Aktarım Şartı: Meşru Menfaat (m.5/2f). Bu faaliyet, Bölüm 6 uyarınca tamamen anonimleştirilmiş veriler üzerinde gerçekleştirilir. Anonim veriler KVKK kapsamında kişisel veri sayılmadığından, model eğitimi için ayrıca bir açık rıza aranmaz.
4) Kanunen Yetkili Kamu Kurum ve Kuruluşları
Amaç: Yasal yükümlülüklerin yerine getirilmesi veya usulüne uygun talepler.
Hukuki Sebep: m.5/2(a) ve m.5/2(ç).
5) Hukuki Uyuşmazlıkların Çözümü İçin Yetkili Merciler
Amaç: Bir hakkın tesisi, kullanılması veya korunması; yargısal süreçler.
Hukuki Sebep: m.5/2(e).
8. İlgili Kişi Talepleri Yönetimi
8.1 Hesap Üzerinden İşlemler
- Profil & güvenlik: Profil bilgilerini güncelleme, şifre değiştirme, MFA/OTP ayarları, iletişim tercihleri.
- “Hesabımı Sil” talebi: Talep üzerine hesap kapatılır; mevzuatın zorunlu kıldığı kayıtlar (örn. fatura/defter kayıtları) saklama süresi bitinceye kadar tutulur, ardından silme/anonimleştirme yapılır.
- Veri talebi/çıktısı: Kimlik/iletişim, hesap ve kullanım bilgilerine ilişkin veri erişimi veya veri taşınabilirliği (uygunsa) sağlanır. Üçüncü kişilerin haklarını/ ticari sırları etkileyen kısımlar maskelenebilir.
8.2 KVKK m.11 Hakları
Veri sorumlusuna başvurarak:
- Kişisel verilerinizin işlenip işlenmediğini öğrenebilir, işlendi ise bilgi talep edebilirsiniz.
- Verilerin işlenme amaçlarını ve amacına uygun kullanılıp kullanılmadığını öğrenebilirsiniz.
- Verilerinizin aktarılmış olduğu üçüncü kişileri öğrenebilirsiniz (yurt içi/yurt dışı).
- Verileriniz eksik veya yanlış ise düzeltilmesini isteyebilirsiniz.
- Kanun ve ilgili mevzuata uygun işlenmiş olsa dahi, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde silinmesini/yok edilmesini isteyebilirsiniz.
- Düzeltme/silme/yok etme işlemlerinin, verilerinizin aktarıldığı üçüncü kişilere bildirilmesini talep edebilirsiniz.
- Verilerinizin münhasıran otomatik sistemlerle analiz edilmesi sonucu aleyhinize bir sonuç doğması hâlinde itiraz edebilirsiniz.
- Kişisel verilerinizin hukuka aykırı işlenmesi nedeniyle zarar görmeniz hâlinde tazminat talep edebilirsiniz.
8.3 Başvuru/Şikâyet Usulü ve Süreler
- E-posta: privacy@barobase.com
- Yazılı başvuru adresi: YEŞİLKÖY MAH. ATATÜRK CAD. EGS BUSİNESS PARK NO:12 İÇ KAPI NO: 1 BAKIRKÖY/ İSTANBUL
- Başvuruda bulunması gereken asgarî bilgiler: Ad-soyad, iletişim bilgileri, talep konusu ve dayandığı hak (m.11), kimlik doğrulamaya elverişli bilgi/belgeler; temsilci/vekâlet varsa yetki belgesi.
- Süre: Başvurular en kısa sürede ve en geç 30 gün içinde sonuçlandırılır. Gerekli hâllerde ek bilgi istenebilir. Kurul tarifesine göre maliyet gerektirirse ücret alınabilir.
- Şikâyet yolu: Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya 30 gün içinde cevap verilmemesi hâllerinde; cevabı öğrendiğiniz tarihten 30 gün içinde ve her hâlde başvuru tarihinden 60 gün içinde KVKK Kurulu’na şikâyette bulunabilirsiniz.
9. Uygunluk ve Politika Yönetimi
9.1 Politikanın Yayımı ve Sürümleme
Politika web sitemizde yayımlanır; değişiklikler versiyon/tarih ile duyurulur. Esaslı değişikliklerde kullanıcıya bildirim yapılır.
9.2 Yürürlük ve Revizyon
Politika 17.11.2025 tarihinde yürürlüğe girer. Önceki sürümler arşivlenir ve talep hâlinde erişime açılır.
9.3 IYS, VERBİS ve Mesleki Gizlilik Notları — Şirket Pozisyonu
- Avukat-müvekkil gizliliği ve meslek kuralları gözetilir.
- İçerik erişimleri RBAC ile sınırlandırılır; erişim logları tutulur.
- Destek ve operasyon ekiplerinin içerik erişimleri gereklilik esasına göre ve gizlilik yükümlülüğü altında gerçekleşir.
- LLM iyileştirmesinde ham kişisel veri kullanılmaz; yalnız anonimleştirilmiş veriler değerlendirilir.
VERBİS: Şirketimizin ana faaliyet konusu (Legal Tech yazılımı) KVKK m.6 kapsamında "özel nitelikli kişisel veri" işlenmesini içerdiğinden, çalışan sayısı veya mali bilanço muafiyetlerine bakılmaksızın VERBİS'e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt yükümlülüğümüz bulunmaktadır. Bu kapsamda VERBİS kaydımız tamamlanmış olup sicildeki bilgiler güncel tutulacaktır.
İndirim, kampanya ve benzeri tanıtım amaçlı telefon aramaları ve iletiler yalnızca 6563 sayılı ETK ve İYS süreçlerine uygun olarak alınmış açık ticari elektronik ileti onayına dayanır; buna karşılık, hesap güvenliği, mesleki doğrulama ve hizmet memnuniyeti amaçlı aramalar ticari elektronik ileti kapsamında değerlendirilmez ve hizmet/uygulama ilişkisi çerçevesinde yürütülür.
10. İletişim Kanalları
Adres: YEŞİLKÖY MAH. ATATÜRK CAD. EGS BUSİNESS PARK NO:12 İÇ KAPI NO: 1 BAKIRKÖY/ İSTANBUL
E-posta: info@barobase.com , privacy@barobase.com