Gizlilik Politikası ve KVKK Aydınlatma Metni
Purp Dijital Medya Ajansı Limited Şirketi | Purvisor AI
Yürürlük Tarihi: 09.05.2026 | Versiyon: 2.0
İşbu Gizlilik Politikası ve KVKK Aydınlatma Metni (bundan sonra "Politika"), 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK"), KVKK ikincil mevzuatı ve uluslararası veri koruma standartları (GDPR vb.) çerçevesinde, Purp Dijital Medya Ajansı Limited Şirketi ("Şirket") tarafından Purvisor AI platformu ("Platform") aracılığıyla kişisel verilerinizin nasıl toplandığını, işlendiğini, saklandığını, aktarıldığını ve haklarınızı düzenler.
1. Veri Sorumlusu ve İrtibat Kişisi
KVKK m.3/1-(ı) uyarınca Veri Sorumlusu:
| Ticari Unvan | Purp Dijital Medya Ajansı Limited Şirketi |
| MERSİS Numarası | 0733120531000001 |
| Vergi Dairesi / No | Antalya Kurumlar Vergi Dairesi / 7331205310 |
| Adres | Altınkum Mah. Atatürk Bul. Erdem Apt. No: 146 İç Kapı No: 7 Konyaaltı / Antalya |
| Telefon | +90 242 606 11 53 |
| KEP | [KEP adresi atanacak] |
| E-Posta | [email protected] |
| Veri Sorumlusu İrtibat Kişisi | Emre Boztepe | [email protected] |
Şirket'in VERBİS kayıt süreci yürütülmektedir; tamamlandığında VERBİS kayıt numarası bu Politika'da güncellenecektir.
2. Politikanın Kapsamı ve Yaş Sınırı
Bu Politika, Platform'u kullanan hesap sahipleri ve Platform ile etkileşime giren ziyaretçilerin Şirket tarafından doğrudan toplanan kişisel verileri için geçerlidir.
Platform, 18 yaşını doldurmuş gerçek kişilere ve tüzel kişilere yöneliktir. Şirket, bilerek 18 yaşın altındaki kişilerden veri toplamaz. 18 yaşın altındaki bir kişiye ait verilerin işlendiği tespit edilirse, ilgili veriler yasal yükümlülükler saklı kalmak kaydıyla derhal silinir.
Önemli: Hesap sahibinin Platform üzerinden arama yapması amacıyla sisteme yüklediği üçüncü kişilere ait veriler bakımından Şirket "Veri İşleyen", hesap sahibi ise "Veri Sorumlusu" konumundadır. Bu konuda detaylı bilgi için Hüküm ve Koşullar Madde 10 ile Veri İşleyen Sözleşmesi (DPA) incelenmelidir.
3. İşlenen Kişisel Veri Kategorileri, Amaçlar ve Hukuki Dayanaklar
KVKK m.5 ve m.6 uyarınca aşağıdaki kişisel veri kategorileri, ilgili amaçlar ve hukuki dayanaklar çerçevesinde işlenir:
| Veri Kategorisi | Veri Türü | İşleme Amacı | Hukuki Dayanak |
|---|---|---|---|
| Kimlik ve İletişim | Ad-soyad, T.C./vergi numarası, adres, telefon, e-posta, şirket bilgisi | Hesap oluşturma, sözleşmenin ifası, faturalandırma, müşteri iletişimi | Sözleşmenin ifası (m.5/2-c); Hukuki yükümlülük (m.5/2-ç) |
| Hesap ve Yetkilendirme | Kullanıcı adı, şifre özet bilgisi, oturum verileri, API anahtarları | Hesap güvenliği, yetkilendirme, dolandırıcılığın önlenmesi | Sözleşmenin ifası (m.5/2-c); Meşru menfaat (m.5/2-f) |
| Platform İçi Kullanım | AI asistana yönlendirilen telefon numaraları, arama logları, kredi kullanımı, etkileşim geçmişi | Hizmetin sağlanması, kredi hesaplaması, hata ayıklama, performans analizi | Sözleşmenin ifası (m.5/2-c); Meşru menfaat (m.5/2-f) |
| İşitsel ve İçerik | Görüşme ses kayıtları, transkriptler, kullanıcının sisteme girdiği komutlar | Hizmetin ifası, AI asistanın çağrıyı yürütmesi, kalite ve dolandırıcılık denetimi | Sözleşmenin ifası (m.5/2-c); Açık rıza (m.6/3) |
| Özel Nitelikli — Biyometrik | Ses izi (voiceprint) ve sesin biyometrik değerlendirmesi (gerçekleşirse) | Hizmetin ifası ve doğrulama | Açık rıza (m.6/3) |
| Finansal | Fatura bilgileri, ödeme tutarı, abonelik geçmişi (kart bilgisi saklanmaz) | Faturalandırma, muhasebe, vergi yükümlülükleri | Hukuki yükümlülük (m.5/2-ç) |
| Otomatik Toplanan | IP adresi, tarayıcı bilgisi, cihaz bilgisi, çerez verileri, log kayıtları | Güvenlik, performans optimizasyonu, dolandırıcılık tespiti, analitik | Meşru menfaat (m.5/2-f); Açık rıza (pazarlama çerezleri için) |
| KYC / AML | Kimlik teyit raporları, risk skoru, kara para aklamayı önleme verileri | Dolandırıcılık önleme, yasal zorunluluklar | Hukuki yükümlülük (m.5/2-ç); Meşru menfaat (m.5/2-f) |
4. Özel Nitelikli Kişisel Veri
Görüşme ses kayıtları ve elde edilebilecek ses izi (voiceprint), KVKK ve GDPR kapsamında "Özel Nitelikli / Biyometrik Veri" sayılabilir. Bu nedenle Şirket, biyometrik analiz amacıyla işleme gerçekleştirecekse Veri Sahibinden ayrı bir Açık Rıza Metni ile onay alır.
Açık rıza, geri alınabilir bir hak olup, Veri Sahibi dilediği zaman bu rızasını çekebilir. Rıza geri alındığında ileriye dönük işleme durur; geçmiş işleme hukuka uygun olmaya devam eder.
5. KYC (Müşterini Tanı) ve AML (Kara Para Aklamayı Önleme)
Şirket, platformun güvenliğini sağlamak, çalıntı kredi kartı ile yetkisiz harcamaları engellemek, dolandırıcılığı ve kara para aklamayı önlemek amacıyla; riskli gördüğü işlemlerde veya yüksek tutarlı alımlarda yetkili üçüncü taraf finans veya güvenlik sağlayıcılarından KYC ve AML raporları alabilir; bu amaçla işlenen kimlik doğrulama verileri, ilgili mevzuat çerçevesinde saklanır.
6. Kişisel Verilerin Paylaşımı
6.1. Yurt İçi Paylaşım
Kişisel verileriniz; iş ortakları (Iyzico ödeme altyapısı, e-fatura sağlayıcısı), hukuki yükümlülükler nedeniyle yetkili kamu kurum ve kuruluşları (Mahkeme, BTK, Vergi Daireleri, Ticaret Bakanlığı vb.), savunma hakkımızın korunması için avukatlar ve hukuk bürolarımız ile sınırlı olarak paylaşılır.
6.2. Yurtdışı Aktarım (KVKK m.9)
Hizmetin doğası gereği bazı veriler, kullanılan altyapı sağlayıcıları nedeniyle yurtdışına aktarılmaktadır. Mart 2024'te yürürlüğe giren KVKK m.9 değişikliği uyarınca yurtdışı aktarım, aşağıdaki çerçevelerden birine dayanılarak gerçekleştirilir:
- İlgili sağlayıcının yayımladığı Standart Sözleşme Maddeleri (SSM) veya Bağlayıcı Şirket Kuralları (BCR) çerçevesinde işletilen sözleşmesel koruma.
- Açık rıza temelli aktarım (uygulanabilir hallerde).
- Kanun'un m.9/6 hükmü uyarınca arızi aktarım istisnaları.
Aktarım yapılan başlıca yurtdışı sağlayıcılar:
| Sağlayıcı | Hizmet | Lokasyon |
|---|---|---|
| OpenAI Inc. | Büyük dil modeli (LLM) | ABD |
| Deepgram Inc. | Konuşma tanıma (STT) | ABD |
| ElevenLabs Inc. | Konuşma sentezi (TTS) | ABD |
| Cartesia AI Inc. | Konuşma sentezi (yedek TTS) | ABD |
| Twilio Inc. | Telefon altyapısı (SIP) | ABD |
| LiveKit Inc. | Gerçek zamanlı ses iletişimi | ABD |
| Amazon Web Services, Inc. | Yönetilen veritabanı (RDS PostgreSQL) | Almanya (eu-central-1) |
| Cloudflare, Inc. | CDN, DDoS koruması, web analitiği, bot koruması | Global edge ağı (anycast) |
| Hetzner Online GmbH | Bulut sunucu altyapısı | Almanya |
| Google LLC (Workspace) | İşlem e-postaları (kullanıcı bildirimleri) | ABD / AB veri rezidansı |
Şirket, bu sağlayıcıların yayımladığı Standart Veri İşleme Sözleşmeleri (DPA) ve gizlilik taahhütleri kapsamında veri aktarımı gerçekleştirmekte; sağlayıcılarla doğrudan müzakere edilen ek sözleşme imzalanması mümkün olmadığı durumlarda, sağlayıcının yayımladığı genel çerçeve geçerli sayılmaktadır.
Verileriniz hiçbir koşulda satış, ticari kazanç veya pazarlama amacıyla üçüncü taraflara devredilmez.
7. Saklama Süreleri
Kişisel veriler, işleme amacının gerektirdiği süre boyunca veya ilgili mevzuat uyarınca öngörülen süreler kadar saklanır:
| Veri Türü | Saklama Süresi | Dayanak |
|---|---|---|
| Hesap iletişim verileri | Hesap aktif olduğu sürece + ilişki sona erdikten sonra 10 yıl | TBK zamanaşımı |
| Faturalandırma kayıtları | 10 yıl | TTK m.82, VUK |
| İnternet trafiği ve log kayıtları | En az 6 ay, en fazla 2 yıl | 5651 sayılı Kanun |
| Çağrı ses kayıtları ve transkriptler (kullanıcının kendi) | Hesap aktif olduğu sürece + iptal sonrası 30 gün | Şirket politikası |
| Üçüncü kişilere ait yüklenen veriler (numara, transkript) | Hesap iptali sonrası 30 gün içinde imha | Şirket politikası, m.7 |
| KYC / AML raporları | İşlemden sonra 8 yıl | MASAK düzenlemeleri |
| Çerez verileri | Çerez türüne göre değişken (Çerez Politikası) | Çerez Politikası |
Hesap iptali veya silme talebi sonrasında, sisteme yüklenmiş üçüncü kişi telefon numaraları, çağrı transkriptleri ve ses kayıtları 30 gün içinde geri döndürülemez şekilde sistemlerden silinir (imha edilir). Yasal saklama yükümlülüğüne tabi veriler, ilgili sürenin sonuna kadar erişimi sınırlandırılarak saklanır.
8. Veri Güvenliği Önlemleri
Şirket, KVKK m.12 uyarınca aşağıdaki teknik ve idari tedbirleri almıştır:
- Şifreleme: Kişisel veriler endüstri standardı şifreleme algoritmaları (TLS 1.2+ aktarım, AES-256 dinlenme) ile korunur.
- Erişim Kontrolü: İşleme yetkisi olan personele rol bazlı erişim verilir; düzenli olarak gözden geçirilir.
- Güvenlik İzleme: Sistem logları izlenir, anomali tespiti uygulanır.
- Yedekleme ve Felaket Kurtarma: Veriler düzenli olarak yedeklenir; felaket kurtarma planı bulunur.
- Personel Eğitimi: Personele KVKK ve veri güvenliği eğitimi verilir.
- Üçüncü Taraf Denetimi: Veri işleyen iş ortaklarının güvenlik standartları periyodik olarak değerlendirilir.
9. Veri İhlali Bildirim Süreci
Veri ihlali yaşanması halinde Şirket, KVKK m.12/5 uyarınca en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirimde bulunur. İhlalden etkilenen Veri Sahiplerine de en kısa sürede e-posta ve / veya kullanıcı paneli üzerinden bilgilendirme yapılır.
10. Otomatik Karar Verme ve Profilleme
Platform, dolandırıcılık tespiti, risk skorlaması ve hizmet kalitesi optimizasyonu amacıyla bazı otomatik analizler gerçekleştirebilir. Bu analizler, hukuki açıdan önemli sonuçlar doğuran tek başına otomatik karar verme niteliğinde değildir; tüm kritik kararlar insan denetimine tabi tutulur.
KVKK m.11/(g) uyarınca Veri Sahibi, kişisel verilerin münhasıran otomatik sistemlerle analiz edilmesi sonucunda kendi aleyhine bir sonuç çıkmasına itiraz edebilir.
11. Çerezler (Cookies)
Platform, kullanıcı deneyimini iyileştirmek, performansı ölçmek ve gerekli durumlarda pazarlama analizi yapmak için çerezler kullanır. Çerez türleri, amaçları ve yönetimi hakkında ayrıntılı bilgi için ayrı Çerez Politikası belgemizi inceleyiniz.
12. Veri Sahibinin Hakları (KVKK Madde 11)
Kanun'un 11. maddesi uyarınca her Veri Sahibi, Şirket'e başvurarak aşağıdaki haklarını kullanabilir:
- Kişisel verilerinin işlenip işlenmediğini öğrenme.
- İşlenmişse buna ilişkin bilgi talep etme.
- İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme.
- Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme.
- Eksik veya yanlış işlenmiş ise düzeltilmesini talep etme.
- KVKK m.7'de öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini talep etme.
- Düzeltme, silme ve yok etme işlemlerinin, verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme.
- Münhasıran otomatik sistemler vasıtasıyla analiz edilmesi sonucu aleyhe sonuç çıkmasına itiraz etme.
- Kanun'a aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
13. Başvuru Yöntemleri
Veri Sahibi, KVKK m.13 ve "Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ" uyarınca aşağıdaki yollardan biri ile başvurabilir:
- KEP Adresi: [KEP adresi atanacak]
- Yazılı Başvuru (ıslak imzalı): Altınkum Mah. Atatürk Bul. Erdem Apt. No: 146 İç Kapı No: 7 Konyaaltı / Antalya
- Sistemde Kayıtlı E-Posta: Hesap oluşturma sırasında bildirdiğiniz e-posta adresinden [email protected] adresine
- Mobil İmza / E-İmza: Yukarıdaki adreslere e-imzalı belge ile
Başvuruda; ad-soyad, T.C. kimlik / vergi numarası, adres, varsa elektronik tebligat adresi ve talep konusu açıkça belirtilmelidir.
Şirket, başvuruyu en geç 30 (otuz) gün içinde sonuçlandırır. Başvurular kural olarak ücretsizdir; ancak işlem ayrıca bir maliyet gerektiriyorsa Kurul tarafından belirlenen tarifeden ücret alınabilir.
14. Politikanın Güncellenmesi
Şirket, bu Politika'yı zaman zaman güncelleyebilir. Önemli değişiklikler 30 (otuz) gün öncesinden e-posta ve / veya kullanıcı paneli üzerinden duyurulur. Politika'nın güncel versiyonu daima purvisor.ai/legal/privacy adresinde yayında tutulur.
15. Yürürlük
İşbu Politika, 09.05.2026 tarihinde yürürlüğe girmiş olup, versiyon 2.0 olarak yayımlanmıştır.
Bu metin bilgilendirme amaçlıdır. Final hukuki onay için yetkili bir avukat tarafından gözden geçirilmesi tavsiye edilir.