← Tüm Yasal Belgeler

KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK) AYDINLATMA METNİ

BaroBase / SBVirtus Teknoloji A.Ş.

Son Güncelleme: 04.02.2026

1) Veri Sorumlusunun Kimliği

6698 sayılı KVKK uyarınca veri sorumlusu:

SBVirtus Teknoloji A.Ş. 

YEŞİLKÖY MAH. ATATÜRK CAD. EGS BUSİNESS PARK NO: 12 İÇ KAPI NO: 1 BAKIRKÖY/ İSTANBUL 34149

KEP: sbvirtusteknoloji@hs01.kep.tr 

İletişim (KVKK): privacy@barobase.com 

0) Terimler Sözlüğü (Tanımlar)

  • BaroBase / Hizmetler: SBVirtus Teknoloji A.Ş. tarafından sunulan BaroBase platformu ve platform kapsamındaki yazılım modülleri/özellikler.
  • Üye: BaroBase Hizmetleri’ne erişen ve Hizmetler’i Bireysel Profesyonel Hesap veya Firma Çalışanı Hesabı kapsamında kullanan gerçek kişi kullanıcı.
  • Uygun Kullanıcı: BaroBase’i mesleki amaçlarla kullanması öngörülen; avukatlar, stajyer avukatlar, hukuk müşavirleri, kurum içi hukukçular, hukuk departmanı çalışanları ve kurumsal hesap kapsamında bu kişilerin gözetimi altında çalışan yetkilendirilmiş personel.
  • Kurumsal Müşteri: BaroBase’i kurumsal hesap üzerinden kullanan hukuk bürosu/kurum (ve bu kuruma bağlı kullanıcılar).
  • Bireysel Üyelik (B2P-Profesyonel): Hizmetlerin, bir hukuk profesyoneli (avukat, stajyer avukat vb.) tarafından kendi mesleki faaliyetleri kapsamında, bireysel abonelik ile kullanımı.
  • Bireysel Profesyonel Hesap: Kendi adına kayıt olan, ad-soyad ve mesleki sicil/baro bilgileri veya BaroBase tarafından talep edilen benzeri mesleki doğrulama bilgileriyle doğrulanan, tek kişilik profesyonel kullanıcı hesabı. Faturanın bir şirket, hukuk bürosu, kurum veya üçüncü kişi adına düzenlenmesi, hesabın B2B/kurumsal ortak kullanım hesabına dönüştüğü anlamına gelmez.
  • Firma / Organizasyon Hesabı: Bir hukuk bürosu, şirket, kurum içi hukuk departmanı veya benzeri yapı adına oluşturulan; lisans/koltuk, kullanıcı daveti, rol, çalışma alanı ve faturalama süreçlerinin yönetildiği kurumsal hesap.
  • Firma Çalışanı Hesabı: Firma / Organizasyon Hesabı altında belirli bir gerçek kişiye tahsis edilen ve yalnızca o kişi tarafından kullanılabilen kullanıcı hesabı.
  • Fatura Profili: Fatura/e-arşiv/e-fatura düzenlenmesi ve tahsilat için kullanılan kişi veya kurum bilgileri. Fatura Profili, tek başına kullanıcı hakkı, yönetici yetkisi veya hesap paylaşımı hakkı doğurmaz.
  • Hesap Bütünlüğü ve Lisans Koruma Verileri: Hesap paylaşımı, lisans/koltuk ihlali, deneme suistimali, yetkisiz erişim, olağan dışı oturum davranışı ve yüksek maliyetli özelliklerin sözleşmeye aykırı kullanımının tespiti için işlenen oturum, cihaz, IP/ağ, tarayıcı, güvenilir cihaz, kullanım yoğunluğu, eşzamanlı erişim ve gelişmiş cihaz tutarlılığı sinyalleri.
  • Kurumsal Kullanım (B2B): Hizmetlerin kurumsal üyelik üzerinden kullanımı.
  • Kullanıcı İçeriği: Üye/Kurumsal Müşteri tarafından BaroBase’e yüklenen veya BaroBase üzerinde oluşturulan içerikler (dosya, dilekçe, dava evrakı, sohbet içerikleri, LLM’e gönderilen talep ve üretilen yanıtlar, müvekkil/üçüncü kişi verileri vb.).
  • Veri Sorumlusu / Veri İşleyen: KVKK kapsamında kişisel verilerin işleme amaç ve vasıtalarını belirleyen taraf Veri Sorumlusu; veri sorumlusunun talimatları doğrultusunda kişisel verileri işleyen taraf Veri İşleyendir.
  • İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
  • Kişisel Veri / Özel Nitelikli Kişisel Veri: KVKK’da tanımlanan kapsamda, kimliği belirli/belirlenebilir gerçek kişiye ilişkin her türlü bilgi / KVKK m.6 kapsamındaki özel nitelikli kişisel veriler.
  • LLM (Büyük Dil Modeli): Metin üretimi/analiz gibi amaçlarla kullanılan büyük dil modeli tabanlı yapay zekâ hizmetleri.
  • Prompt / Yanıt: LLM’e gönderilen talep (prompt) ve LLM tarafından üretilen çıktı (yanıt).
  • Opt-out (Devre Dışı Bırakma): Hesap/kurum ayarları üzerinden opsiyonel “anonim örnek ile iyileştirme/model geliştirme” kullanımının kapatılması.
  • Delil/Dosya/Görsel İstisnası: Platforma yüklenen dosyalar ve görseller ile “Delil İnceleme & Yorum” modülünde işlenen içeriklerin, varsayılan olarak opsiyonel iyileştirme kapsamı dışında tutulması yaklaşımı.
  • Teknik Kayıtlar (Log): Güvenlik, hata giderme, performans ölçümü ve işlem takibi gibi amaçlarla oluşan teknik kayıtlar.
  • Gecikme (Latency): Bir işlemin/isteğin sonuçlanma süresi (performans metriği).
  • Oran Sınırlama (Rate-limit): Suistimal önleme amacıyla istek/sorgu sayısının belirli sınırlarla kısıtlanması.
  • Dolandırıcılık/Suistimal (Fraud): Hesap ele geçirme, kötüye kullanım, yetkisiz erişim gibi suistimal türleri.
  • OTP (Tek Kullanımlık Şifre): Hesap güvenliği amacıyla SMS/e-posta ile iletilen tek kullanımlık doğrulama kodu.
  • MFA (Çok Faktörlü Kimlik Doğrulama) / SSO (Tek Oturum Açma): Hesap güvenliğini artırmaya yönelik kimlik doğrulama yöntemleri.
  • TLS: Veri aktarımı sırasında şifreli iletişimi sağlayan güvenlik protokolü.
  • Tokenizasyon: Kart verisi gibi hassas verilerin ödeme sağlayıcısı tarafından “token”a dönüştürülmesi (BaroBase sistemlerinde kart verisi tutulmaması).
  • KEP: Kayıtlı Elektronik Posta.
  • ETK / İYS: Ticari elektronik iletilere ilişkin mevzuat (Elektronik Ticaretin Düzenlenmesi Hakkında Kanun) ve İleti Yönetim Sistemi.
  • Standart Sözleşme-2 / Standart Sözleşme-3: KVKK m.9 kapsamında yurt dışına aktarımda Kurum tarafından yayımlanan standart sözleşme tipleri (Veri Sorumlusundan Veri İşleyene / Veri İşleyenden Veri İşleyene).

2) Kapsam ve Roller: “Veri Sorumlusu” ve “Veri İşleyen” Ayrımı

BaroBase, Hizmetler’in niteliğine göre iki farklı rolde hareket eder:

2.1. BaroBase’in Veri Sorumlusu olduğu veriler (Hesap & ilişki verileri)

Aşağıdaki süreçlerde BaroBase veri sorumlusudur:

  • Üyelik/kayıt, hesap yönetimi, kullanıcı yetkilendirme
  • Faturalama, ödeme ve muhasebe süreçleri
  • Bilgi güvenliği, log kayıtları, suistimal/ihlal tespiti
  • Destek/iletişim taleplerinin yönetimi

2.2. BaroBase’in Veri İşleyen olduğu veriler (Kullanıcı İçeriği – Kurumsal Kullanım (B2B) ve Bireysel Üyelik (B2P-Profesyonel))

Üyelerin veya kurumsal müşterilerin BaroBase’e yüklediği ya da BaroBase üzerinde oluşturduğu kullanıcı içeriği (dosya, dilekçe, dava evrakı, prompt/yanıt, müvekkil ve üçüncü kişi verileri vb.) bakımından BaroBase, ilgili hizmet akışı ve sözleşmesel ilişkiye göre kural olarak veri işleyen sıfatıyla hareket eder. Ancak güvenlik, suistimal/ihlal tespiti, yasal yükümlülüklerin yerine getirilmesi veya bir hakkın tesisi, kullanılması ya da korunması için zorunlu olan sınırlı işleme faaliyetleri bakımından BaroBase’in ayrı bir hukuki role dayanması gerekebilir.

Kurumsal kullanımda (B2B), kullanıcı içeriği bakımından veri sorumlusu kural olarak kurumsal müşteridir. Bireysel profesyonel kullanımda (B2P), içeriği sisteme yükleyen veya oluşturan uygun kullanıcı, ilgili içerik üzerindeki hukuki dayanağın kurulması ve gerekli aydınlatma/yetkilendirme süreçlerinden sorumludur. Bireysel Profesyonel Hesaplarda faturanın bir şirket, hukuk bürosu, kurum veya üçüncü kişi adına düzenlenmesi, Kullanıcı İçeriği bakımından veri sorumluluğu rolünü kendiliğinden değiştirmez ve hesabı Firma / Organizasyon Hesabı haline getirmez. Bu durumda hesap, kayıtlı Hesap Sahibi tarafından kullanılan B2P hesabı olarak kalır; kullanıcı içeriği bakımından gerekli hukuki dayanak, aydınlatma ve yetkilendirme süreçlerinden kural olarak ilgili Bireysel Profesyonel Hesap Sahibi sorumludur. Kurumsal çalışma alanı, çoklu kullanıcı yönetimi, çalışan hesabı ve organizasyonel görünürlük süreçleri yalnızca Firma / Organizasyon Hesabı kapsamında uygulanır.

Kullanıcı İçeriği bakımından “veri sorumlusu”:

(i) Bireysel üyeliklerde: İçeriği BaroBase’e giren/yükleyen Üye (Uygun Kullanıcı),

(ii) Kurumsal üyeliklerde: İçeriği BaroBase’e giren/yükleyen kullanıcıların bağlı olduğu kurumsal müşteri (hukuk bürosu/kurum) veri sorumlusudur.

Bu kapsamda, ilgili içerik üzerinde hukuki sebebin kurulması, aydınlatma yükümlülüğünün yerine getirilmesi ve gerekli yetkilendirmelerin temini veri sorumlusunun sorumluluğundadır.

Bilgi güvenliği, suistimal/ihlal tespiti, hukuki zorunluluk hallerinde… içerik üzerinde sınırlı inceleme yapılabilir; bu işlemler güvenlik ve uyum amaçlıdır. Bu istisnai hallerde gerçekleştirilen sınırlı incelemeler, yalnızca bilgi güvenliği ve hukuki uyum amaçlarıyla ve ölçülülük ilkesine uygun biçimde yapılır.

Bireysel Profesyonel Hesap sahipleri bakımından kullanıcı içeriğine ilişkin veri işleme ilişkisi, ayrıca Bireysel Profesyonel Veri İşleme Eki kapsamında düzenlenebilir. Bu Ek, aydınlatma metninin yerine geçmez; B2P kullanıcının veri sorumlusu olarak BaroBase’e verdiği veri işleme talimatlarını ve BaroBase’in veri işleyen sıfatıyla hareket ettiği kullanıcı içeriği süreçlerini sözleşmesel olarak düzenler.

3) İşlenen Kişisel Veri Kategorileri

Hizmetleri kullanımınıza göre aşağıdaki veriler işlenebilir:

3.1. Hesap/üyelik verileri

  • Ad-soyad, e-posta, telefon, kullanıcı rolü/yetki bilgileri
  • Kurumsal hesaplarda: firma/büro adı, kullanıcı yönetimi bilgileri
  • Kullanıcı rolü/yetki bilgileri, mesleki doğrulama bilgileri (baro bilgisi, baro sicil numarası ve/veya benzeri meslek doğrulama kayıtları)

3.2. Finans ve faturalama verileri

  • Fatura bilgileri, vergi kimlik numarası (VKN) ve mevzuat gereği gerekli olması halinde T.C. kimlik numarası (TCKN) gibi bilgiler
  • Ödeme süreçlerinde kart verileri BaroBase sistemlerinde tutulmaz; ödeme hizmet sağlayıcısı tarafından işlenir/tokenize edilir. 

3.3. İşlem güvenliği verileri

  • IP adresi, yaklaşık ülke/şehir/bölge bilgisi, ASN/ISP, VPN/proxy/Tor veya veri merkezi kaynaklı ağ risk göstergeleri,cihaz türü, işletim sistemi, tarayıcı türü/sürümü, kullanıcı aracısı bilgisi, ekran ve cihaz özellikleri, zaman dilimi, dil tercihleri, oturum açma, oturum yenileme, oturum sonlandırma, başarısız giriş denemeleri, eş zamanlı oturum kayıtları, güvenilir cihaz kayıtları, cihaz hatırlama belirteçleri, oturum/cihaz ilişkilendirme kayıtları, güvenlik logları, hata kayıtları, oran sınırlama ve anomali tespit kayıtları.

3.4. Kullanım, Performans, Hesap Bütünlüğü ve Lisans Koruma Verileri

Hizmetlerin güvenliğini, sürekliliğini, maliyet dengesini ve sözleşmeye uygun kullanımını sağlamak amacıyla; hangi özelliğin ne sıklıkla kullanıldığı, arama/işlem sayıları, başarı oranları, token/kota kullanımı, sayfa/belge analiz limitlerine ilişkin veriler, gecikme (latency), hata oranları, yüksek maliyetli özellik kullanım yoğunluğu, eşzamanlı kullanım kayıtları, cihaz/oturum ilişkisi, deneme üyeliği kullanım paternleri ve benzeri kullanım ve performans metrikleri işlenebilir.

BaroBase ayrıca hesap paylaşımı, tek hesapla çok kişi kullanımı, lisans/koltuk sınırı ihlali, deneme üyeliği suistimali, yetkisiz erişim, hesap ele geçirme, bot/otomasyon kullanımı ve olağan dışı oturum davranışlarının tespiti amacıyla cihaz ve tarayıcı tutarlılığı sinyallerini işleyebilir. Bu kapsamda, gerekli ve ölçülü olduğu hallerde Canvas render karakteristikleri, WebGL vendor/renderer/grafik işleme karakteristikleri, AudioContext veya benzeri ses işleme karakteristikleri, font render/ölçüm farklılıkları ve tarayıcı-cihaz konfigürasyonundan türetilen teknik tutarlılık göstergileri kullanılabilir.

Bu sinyallerden türetilen cihaz/oturum tanımlayıcıları anonim veri olarak değil, ilgili hesap veya oturumla ilişkilendirilebildikleri ölçüde kişisel veri olarak değerlendirilir. BaroBase, teknik olarak mümkün olduğu ölçüde ham teknik sinyalleri kalıcı olarak saklamak yerine takma adlı tanımlayıcılar, özet/hash değerleri, güvenlik puanları veya risk göstergeleri kullanır. Bu veriler reklamcılık veya davranışsal pazarlama amacıyla kullanılmaz.

3.5. Kullanıcı içeriği (dosya/prompt/çıktı)

  • Yüklenen/oluşturulan metinler, evraklar, dava dosyası içerikleri, LLM’e gönderilen talep (prompt) ve üretilen yanıtlar
  • Bu içerikler niteliği gereği özel nitelikli kişisel veri içerebilir (sağlık, ceza mahkûmiyeti vb.). Bu içeriklerin hukuki dayanağının kurulması ve minimizasyonu, veri sorumlusu olan müşterinin sorumluluğundadır.
  • Kullanıcı içeriği bakımından veri sorumlusu, içeriği sisteme yükleyen/oluşturan Üye (Bireysel Profesyonel Hesap sahibi) veya kurumsal müşteridir. Veri sorumlusu; zorunlu olmadıkça özel nitelikli verileri sisteme yüklememeli, yüklemek zorundaysa asgari veri ilkesiyle hareket etmeli ve ilgili içerik için gerekli hukuki zemini kurmalıdır. BaroBase, bu içerikleri veri işleyen sıfatıyla; hizmetin sunulması, güvenlik, destek, hata giderme ve hukuki yükümlülüklerin yerine getirilmesi amaçlarıyla işler.

4) Veri İşleme Amaçları ve Hukuki Sebepler

Kişisel verileriniz aşağıdaki amaçlarla işlenir:

  • Sözleşmenin kurulması/ifası (KVKK m.5/2-c): üyelik oluşturma, hizmetin sunulması, abonelik/erişim yönetimi, destek sağlanması
  • Hukuki yükümlülük (m.5/2-ç) ve kanunda öngörülme (m.5/2-a): faturalama, muhasebe, yasal saklama yükümlülükleri
  • Meşru menfaat (m.5/2-f): bilgi güvenliği, kötüye kullanımın önlenmesi, ürün güvenilirliğinin sağlanması ve geliştirilmesi (ölçülülük ilkesine uygun)
  • Bir hakkın tesisi/kullanılması/korunması (m.5/2-e): uyuşmazlık ve denetim süreçleri

Ticari elektronik ileti/pazarlama yalnızca gerekli izinler (ETK/İYS) kapsamında yürütülür.

Amaçlar ve Hukuki Sebepler:

Üyelik açma / hesap oluşturma / giriş yönetimi / hesap işlemleri

KVKK m.5/2-c (sözleşmenin kurulması/ifası)

Abonelik, erişim yetkilendirme ve paket/kota limitlerinin (token, sayfa vb.) yönetimi ile takibi

KVKK m.5/2-c (sözleşmenin kurulması/ifası)

Ödeme alma / faturalama / e-arşiv/e-fatura süreçleri

KVKK m.5/2-a ve m.5/2-ç (kanunda öngörülme + hukuki yükümlülük)

Müşteri destek (e-posta/canlı destek ve benzeri destek kanalları)

KVKK m.5/2-c (sözleşme)

Güvenlik, hesap bütünlüğü ve lisans koruma: hesap paylaşımı, tek hesapla çok kişi kullanımı, lisans/koltuk sınırı ihlali, deneme üyeliği suistimali, yetkisiz erişim, hesap ele geçirme, bot/otomasyon kullanımı, oran sınırlama, olağan dışı oturum/cihaz davranışı ve yüksek maliyetli özelliklerin sözleşmeye aykırı kullanımının tespiti ve önlenmesi.

KVKK m.5/2-c (sözleşmenin kurulması/ifası), m.5/2-f (meşru menfaat), gerekli hallerde m.5/2-e (bir hakkın tesisi/kullanılması/korunması) ve m.5/2-ç (hukuki yükümlülük)

Ürün geliştirme, hizmet kalitesi ve performans metrikleri: Platform kullanım yoğunluğu, özellik bazlı kullanım, hata oranları, gecikme, token/kota kullanımı ve sistem performansı gibi birinci taraf operasyonel metriklerin ölçülmesi ve iyileştirme amacıyla değerlendirilmesi.

KVKK m.5/2-f (meşru menfaat – ölçülülük ve veri minimizasyonu ilkelerine uygun)

Uyuşmazlık/denetim süreçleri

KVKK m.5/2-e

Yasal taleplere cevap (mahkeme/kurum)

KVKK m.5/2-ç

Ticari elektronik ileti (pazarlama)

ETK/İYS kapsamında gerekli izin mevcutsa KVKK m.5/1 (açık rıza) / ilgili mevzuat çerçevesi

5) Kişisel Verilerin Toplanma Yöntemi

Kişisel veriler; kayıt formları, platform içi kullanım, destek kanalları, güvenlik logları, çerez/benzeri teknolojiler ve entegrasyonlar aracılığıyla otomatik veya kısmen otomatik yöntemlerle toplanabilir. 

Çerezlerin kullanımına ilişkin detaylar Çerez Politikası’nda yer almaktadır.

6) Kişisel Verilerin Aktarılması (Yurt içi / Yurt dışı)

6.1. Yurt içi alıcı grupları

  • Ödeme hizmet sağlayıcıları
  • E-fatura/e-arşiv entegratörleri
  • E-posta/SMS sağlayıcıları (tek kullanımlık şifre (OTP) / bildirim)
  • Bilgi teknolojileri / siber güvenlik tedarikçileri (altyapı, izleme, log yönetimi, güvenlik hizmetleri)
  • Hukuki, mali ve vergisel danışmanlar ile bağımsız denetçiler (sır saklama ve/veya gizlilik yükümlülüğü altında)

Bu aktarımlar;

(i) ödeme tahsilatı/iadeler ve finansal mutabakatın yürütülmesi,

(ii) e-fatura/e-arşiv süreçlerinin mevzuata uygun yürütülmesi ve saklama yükümlülüklerinin yerine getirilmesi,

(iii) hesap güvenliği (OTP) ve hizmet bildirimlerinin iletilmesi amaçlarıyla sınırlı olarak yapılır.

Yurt içi aktarımlar, KVKK m.5/2-c (sözleşmenin kurulması/ifası) ve gerekli hallerde KVKK m.5/2-ç ve m.5/2-a (hukuki yükümlülük/kanunda öngörülme) hukuki sebeplerine dayanır.

6.2. Yurt dışına aktarım: Google Cloud + LLM (Gemini/Vertex AI)

BaroBase, Hizmetler kapsamında bulut altyapısı ve belirli LLM tabanlı özellikler için Google Cloud / Vertex AI altyapısından yararlanabilir. Bu kapsamda bazı kişisel veriler ve kullanıcı içeriği Türkiye dışında bulunan sistemlerde işlenebilir.

Bu tür yurt dışı aktarımlar, KVKK m.9 kapsamında geçerli hukuki aktarım mekanizmalarına dayanılarak gerçekleştirilir. Mevcut durumda Google ile akdedilmiş ve Kişisel Verileri Koruma Kurulu'na bildirimi yapılmış Standart Sözleşme Tip 2 (Veri Sorumlusundan Veri İşleyene) ve Standart Sözleşme Tip 3 (Veri İşleyenden Veri İşleyene) dahil uygun güvence mekanizmaları kullanılmaktadır. Bu mekanizmaların hangisinin uygulanacağı, ilgili aktarım senaryosuna göre belirlenir: BaroBase'in veri sorumlusu sıfatıyla hareket ettiği aktarımlarda Tip 2, veri işleyen sıfatıyla hareket ettiği aktarımlarda Tip 3 uygulanır.

BaroBase, mümkün olduğu ölçüde veri işleme faaliyetlerini Avrupa bölgesi / AEA içinde yürütmeyi hedefleyen konfigürasyonlar uygular; ancak altyapı işleyişi, hizmet sürekliliği, performans, güvenlik veya teknik gereklilikler nedeniyle Avrupa / AEA dışındaki bölgelerde işleme gerçekleşebilir. BaroBase, bu hallerde veri minimizasyonu ve uygun konfigürasyon tedbirlerini uygulamayı hedefler.

BaroBase halihazırda çerezler aracılığıyla yurt dışına aktarım gerektiren Google Analytics, LinkedIn Insight, reklam pikseli, yeniden hedefleme veya benzeri üçüncü taraf analitik/pazarlama teknolojileri kullanmamaktadır. Bu tür teknolojilerin ileride kullanılmaya başlanması halinde, ilgili kullanım Çerez Politikası’nda açıklanır ve gerekli açık rıza/tercih mekanizması uygulanmadan etkinleştirilmez. Bu tür teknolojilerin ileride kullanılmaya başlanması halinde, ilgili kullanım Çerez Politikası’nda açıklanır ve gerekli açık rıza/tercih mekanizması uygulanmadan etkinleştirilmez.

7) Anonimleştirme ve Model Geliştirme Tercihi

BaroBase, kullanıcı içeriğini kural olarak talep edilen işlemi gerçekleştirmek, ilgili çıktıyı üretmek ve Hizmetler’i sunmak amacıyla işler. BaroBase, ham kullanıcı içeriğini, müvekkil dosyalarını, dava evrakını, delilleri, promptları, çıktıları veya yüklenen belgeleri üçüncü taraf modellerin genel eğitimi amacıyla paylaşmaz veya kullandırmaz.

BaroBase, hizmet kalitesini, güvenliği, hata giderme süreçlerini, sistem performansını, arama altyapısını ve ürün işleyişini geliştirmek amacıyla kullanım metrikleri, teknik kayıtlar, hata oranları, gecikme, token/kota kullanımı, özellik bazlı kullanım yoğunluğu ve benzeri operasyonel verileri işleyebilir.

Ham kullanıcı içeriği, müvekkil dosyaları, dava evrakı, deliller, yüklenen belgeler, promptlar, çıktılar, embedding/veri temsilleri veya içerik bağlantılı verilerin model geliştirme veya benzeri opsiyonel iyileştirme amaçlı kullanımı varsayılan olarak kapalıdır. Bu tür kullanım yalnızca ilgili hesap, kullanıcı veya kurum tarafından bu amaçla açıkça etkinleştirilmişse uygulanabilir.

Anonimleştirilmiş veriler, ancak KVKK anlamında kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirildikleri ölçüde kişisel veri niteliği taşımayabilir. Takma adlı, hashlenmiş, toplulaştırılmış, kimliksizleştirilmiş veya yeniden tanımlama riski azaltılmış veriler, somut teknik ve hukuki değerlendirmeye göre kişisel veri niteliğini koruyabilir. BaroBase, bu tür verileri ilgili kişiyle ilişkilendirilebilir oldukları ölçüde kişisel veri olarak değerlendirir.

Delil inceleme modülü ile yüklenen ham dosya ve görseller gibi belirli içerik türlerine ilişkin ek iyileştirme süreçleri, yalnızca BaroBase tarafından bu amaçla ayrıca sunulmuş ve ilgili hesap/kurum tarafından etkinleştirilmişse uygulanır. Tercih değişikliklerinin sistemlere yansıması makul bir uygulama süresine tabi olabilir.

8) Saklama Süreleri

Veriler, ilgili mevzuatta öngörülen veya işleme amacı için gerekli süre kadar saklanır; süre sonunda silme/yok etme/anonimleştirme yapılır.

8.1. Kullanıcı içeriği (chat/prompt/yanıt/dosya/taslak)

Kullanıcı içeriği, ilgili hizmet özelliği kapsamında kullanıcı hesabına bağlı olarak saklanabilir. Kullanıcı tarafından içerik silindiğinde, içerik hesap üzerinde erişilemez hâle getirilebilir. Teknik, güvenlik, yedekleme, hata giderme, hukuki yükümlülük veya uyuşmazlık yönetimi sebepleriyle bazı kayıtların sistemlerde sınırlı bir süre daha tutulması mümkündür. Kişisel verilerin saklama, silme ve anonimleştirme süreçleri; işleme amacı, mevzuat ve teknik gereklilikler çerçevesinde yürütülür.

8.2. LLM teknik kayıtları / işlem kayıtları

LLM çağrıları ve hizmet kullanımıyla ilişkili teknik kayıtlar; güvenlik, hata giderme, performans izleme, suistimal önleme ve hizmet sürekliliği amaçlarıyla gerekli süre boyunca saklanabilir. Ürün içi silme işlemi, kullanıcı erişiminin kaldırılması sonucunu doğurabilir; ancak güvenlik, denetim ve sistem bütünlüğü gerekçeleriyle bazı teknik kayıtlar daha uzun süre saklanabilir.

8.3. İşlem güvenliği, hesap bütünlüğü ve lisans koruma kayıtları

IP, oturum, cihaz, tarayıcı, güvenilir cihaz, eşzamanlı erişim, cihaz/hesap ilişkilendirme, takma adlı cihaz/oturum tanımlayıcıları, güvenlik logları, anomali tespit kayıtları ve benzeri hesap bütünlüğü kayıtları; bilgi güvenliğinin sağlanması, hesap paylaşımı ve lisans ihlallerinin önlenmesi, olay incelemesi, sistem bütünlüğünün korunması, deneme suistimalinin önlenmesi ve gerektiğinde bir hakkın tesisi, kullanılması veya korunması amaçlarıyla saklanabilir.

Genel uygulama olarak:

(a) oturum çerezleri ve geçici oturum kayıtları oturum süresince veya teknik olarak gerekli kısa süre boyunca,

(b) güvenilir cihaz / cihaz hatırlama kayıtları kural olarak 180 güne kadar,

(c) takma adlı cihaz/oturum tanımlayıcıları ve cihaz-hesap ilişki kayıtları kural olarak 12 aya kadar,

(d) güvenlik, anomali, suistimal ve olay inceleme logları kural olarak 24 aya kadar,

(e) teyit edilmiş ihlal, suistimal, ödeme uyuşmazlığı, lisans ihlali veya hukuki süreç kayıtları ise ilgili uyuşmazlık, yasal saklama veya hakkın korunması için gerekli süre boyunca saklanabilir.

Ham gelişmiş teknik sinyaller, teknik olarak mümkün olduğu ölçüde kalıcı olarak saklanmaz; takma adlı, özetlenmiş veya hashlenmiş değerlere dönüştürülerek kullanılır.

8.4. Destek kayıtları

Destek taleplerine ilişkin e-posta, canlı destek ve benzeri kayıtlar; talebin sonuçlandırılması, hizmet kalitesinin takibi, uyuşmazlık yönetimi ve denetim ihtiyaçları kapsamında, ilgili mevzuatta öngörülen veya bu amaçlar için gerekli olan azami süre boyunca saklanabilir.

8.5. Finans ve faturalama

Fatura, muhasebe ve ödeme süreçlerine ilişkin kayıtlar, ilgili mali ve ticari mevzuatta öngörülen saklama süreleri boyunca saklanır.

8.6. Hesap verileri (üyelik/kayıt)

Hesabın kapatılması veya sözleşme ilişkisinin sona ermesi halinde, üyelik ve hesap verileri; ilgili mevzuat, güvenlik gereklilikleri, teknik gereklilikler ve olası uyuşmazlık süreçleri dikkate alınarak gerekli olduğu ölçüde sınırlı bir süre daha saklanabilir; ardından silme, yok etme veya anonimleştirme süreçleri uygulanır. Silme işlemleri, teknik gereklilikler nedeniyle yedek ve benzeri sistemlerde gecikmeli tamamlanabilir.

9) Veri Güvenliği

BaroBase; erişim kontrolü, şifreleme, kayıt ve izleme, yetki yönetimi, zafiyet yönetimi ve idari/teknik tedbirlerle kişisel verilerin güvenliğini sağlar. 

Uygulanan başlıca tedbirler:

  1. Şifreleme: Veri aktarımında TLS (şifreli iletişim); depolamada disk/veritabanı seviyesinde şifreleme.
  2. Erişim ve yetkilendirme: Rol tabanlı yetki, en az ayrıcalık ilkesi, erişim kayıtlarının tutulması; uygun hallerde MFA (çok faktörlü kimlik doğrulama)/SSO (tek oturum açma).
  3. İzleme/olay yönetimi: Güvenlik izleme, uyarı ve anomali tespiti mekanizmaları.
  4. Zafiyet ve yama yönetimi: Zafiyet taramaları, güvenlik güncellemeleri/patch (yama) süreçleri.
  5. Yedekleme/iş sürekliliği: Bulut altyapısının sunduğu replikasyon, erişilebilirlik ve iş sürekliliği mekanizmalarından yararlanılabilir. Yedekleme ve kurtarma süreçlerinin kapsamı, teknik mimari, güvenlik gereklilikleri ve hizmetin niteliğine göre belirlenir.
  6. Personel erişimi (kural/istisna): Kullanıcı içeriğine insan erişimi kural olarak sınırlıdır; yalnızca destek talebi, güvenlik olayı incelemesi veya hukuki zorunluluk gibi istisnai hallerde, yetkili ve sınırlı personel tarafından erişim sağlanabilir; bu erişimler kayıt altına alınır.

10) İlgili Kişi Hakları (KVKK m.11)

KVKK m.11 kapsamındaki haklarınızı (erişim, düzeltme, silme, aktarılan üçüncü kişileri öğrenme, itiraz vb.) kullanabilirsiniz. 

Rol ayrımı gereği (Kullanıcı İçeriği): BaroBase’in veri işleyen olduğu kullanıcı içeriği kapsamında KVKK m.11 taleplerinin asıl muhatabı, kullanıcı içeriği bakımından veri sorumlusu olan Üye (Bireysel Profesyonel Hesap sahibi) veya kurumsal müşteridir. BaroBase’e bu kapsamda gelen talepler, uygun olduğu ölçüde veri sorumlusuna yönlendirilebilir.

BaroBase’in veri sorumlusu olarak hareket ettiği hesap, üyelik, faturalama, güvenlik, log ve destek süreçlerine ilişkin talepler bakımından başvurular doğrudan BaroBase tarafından değerlendirilir. Kullanıcı içeriği bakımından BaroBase’in veri işleyen olarak hareket ettiği hallerde ise, talebin niteliğine göre ilgili veri sorumlusuna yönlendirme yapılabilir veya veri sorumlusu ile koordineli hareket edilebilir.

11) Başvuru

Taleplerinizi Tebliğ’e uygun şekilde:

  • privacy@barobase.com e-posta adresinden,
  • sbvirtusteknoloji@hs01.kep.tr KEP adresinden iletebilirsiniz. 

Başvurular kural olarak en geç 30 gün içinde sonuçlandırılır. 

Kurula Şikâyet Hakkı: Başvurunuzun reddedilmesi, verilen cevabın yetersiz bulunması veya başvurunuza 30 gün içinde cevap verilmemesi hâlinde, KVKK m.14 uyarınca Kişisel Verileri Koruma Kurulu’na şikâyet yoluna başvurabilirsiniz. Veri sorumlusunun cevap vermesi hâlinde cevap tarihinden itibaren 30 gün içinde; hiç cevap vermemesi hâlinde ise başvuru tarihinden itibaren 60 gün içinde Kurula şikâyet hakkı kullanılabilir.