GİZLİLİK VE KVKK POLİTİKASI
Versiyon: 2.1 · Yürürlük: 27.05.2026 · (Pazarlama iletişimi, push broadcast, davet programı ve drip kampanya hükümleri eklenmiştir.)
1. Veri Sorumlusu
6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") uyarınca veri sorumlusu sıfatıyla işbu metni hazırlayan tüzel kişi:
| Ünvanı | Hukuk Defterim — Alptuğ Aybars Üçer (Şahıs İşletmesi) |
|---|---|
| Adres | [Açık adres] |
| MERSİS | [MERSİS] |
| Vergi Dairesi / No | [Vergi Dairesi] / [VKN] |
| KEP | [KEP adresi] |
| E-posta | iletisim@hukukdefterim.com · KVKK başvuruları: kvkk@hukukdefterim.com |
2. İşlenen Kişisel Veri Kategorileri
2.1. Üye (Avukat) Verileri:
- Kimlik: Ad, soyad, doğum tarihi; baro kimlik belgesi üzerinden OCR doğrulama süresince T.C. Kimlik No (kalıcı saklanmaz).
- İletişim: E-posta, telefon, adres.
- Mesleki: Baro, baro sicil no, TBB sicil no, TBB belge no, baro kart no, uzmanlık alanları.
- Hesap: Kullanıcı adı, bcrypt hashlenmiş parola, 2FA meta verisi, biyometrik tercih bayrağı (biyometrik veri cihazda kalır).
- İşlem Güvenliği: IP adresi, giriş zamanı, cihaz/tarayıcı bilgisi, oturum ve korelasyon kimliği.
- Finansal: Abonelik planı, fatura kayıtları, PayTR sipariş numarası, kart bin/last4 (kart numarası tam olarak işlenmez).
- Pazarlama (opsiyonel — açık rıza): E-bülten / duyuru / drip kampanya izni durumu (Granted/Withdrawn), izin verme tarihi (
MarketingConsentAt), geri çekme tarihi (MarketingConsentRevokedAt); push notification cihaz token kayıtları (FCM/APNs). - Doğum tarihi (opsiyonel): Üye'nin profilinde gönüllü olarak girdiği doğum günü; sadece yıllık doğum günü tebrik e-postası ile yıldönümü tebriği amacıyla kullanılır. Eksik bırakılabilir — diğer hizmetler etkilenmez.
- Davet (Referral) verileri: Üye'nin oluşturduğu davet kodu, kodu kullanan diğer Üye'nin kimliği, ödeme yaptığında kazanılan ödül ayı sayısı.
- Yaşam döngüsü maili (drip) durumu: Üye'nin kayıt tarihinden itibaren D3 / D7 / D14 / D30 günlerinde gönderilen rehber e-postaların son gönderim günü ve drip opt-out bayrağı.
- Onay log'u: Üye'nin hangi sözleşme versiyonunu hangi tarihte kabul ettiği, hangi rıza kategorisinde (TermsOfService / PrivacyPolicy / Marketing / AutoRenewal / CardStorage / DistanceSalesAgreement / PreliminaryInformation) hangi sürümle "Granted" ya da "Withdrawn" dediği — IP adresi, User-Agent ve kaynak platform (Web / Mobile / EmailUnsubscribeLink / ManagePage) ile birlikte append-only log olarak saklanır (
KvkkConsentstablosu).
2.2. Müvekkil ve Karşı Taraf Verileri (Üye tarafından girilen): Kimlik, iletişim, dava/dosya numarası, notlar, belgeler, finansal kayıtlar, hukuki belgeler. Bu veriler için Üye veri sorumlusu, HukukDefterim veri işleyen konumundadır (KVKK m. 12).
2.3. Sistem ve Kullanım Verileri: Cihaz kimliği (FCM/APNs token), uygulama sürümü, işletim sistemi, kullanım logları, hata raporları.
3. İşleme Amaçları ve Hukuki Sebepleri (KVKK m. 5)
| Amaç | Hukuki Sebep |
|---|---|
| Üyelik oluşturma, oturum yönetimi | Sözleşmenin kurulması/ifası (m. 5/2-c) |
| Baro kimlik OCR doğrulaması | Meşru menfaat + açık rıza (m. 5/1 ve 5/2-f) |
| Abonelik, fatura, otomatik yenileme tahsilatı | Sözleşmenin ifası + yasal yükümlülük (VUK 213 — 10 yıl) |
| Kart bilgilerinin PayTR'da tokenize saklanması | Açık rıza (m. 5/1, m. 9) |
| Güvenlik, yetkisiz erişim önleme, log tutma | Meşru menfaat (m. 5/2-f) + 5651 SK |
| AI özelliklerinin çalıştırılması (Gemini) | Sözleşmenin ifası + açık rıza (yurt dışı aktarım) |
| Destek, hata giderme | Meşru menfaat |
| Pazarlama iletişimi (e-bülten / kampanya / duyuru / drip) | Açık rıza (KVKK m. 5/1) + ETK m. 6/1 — her zaman geri alınabilir, İYS uyumu (m. 4 EBİZ) |
| İşlemsel e-posta (hoş geldin, ödeme makbuzu, doğum günü tebriği, üyelik yıldönümü, drip rehber D3/D7/D14) | Sözleşmenin ifası + ETK m. 6/3 — onay aranmayan ileti |
| Push notification (tekil + admin yayın) | Sözleşmenin ifası (m. 5/2-c); pazarlama amaçlı broadcast için tarayıcı/uygulama izin onayı ETK m. 6 anlamında ön onay yerine geçer |
| Davet (Referral) programı | Sözleşmenin ifası — Üye gönüllü katılır, kod oluşturulduğunda işlenmeye başlar |
| Uyuşmazlık çözümü, hukuki süreçler | Hakkın tesisi/korunması (m. 5/2-e) |
4. Kart Bilgilerinin Saklanması ve Otomatik Yenileme
HukukDefterim, ALICI'nın açık rızası ile başlattığı otomatik yenileme aboneliği için ödeme sayfasında ayrı onay kutusu ile aşağıdaki rızayı alır:
- Kart bilgilerinin (bin/last4 ve PayTR token'ı), otomatik yenileme tahsilatları için PayTR Ödeme ve Elektronik Para Kuruluşu A.Ş. nezdinde PCI-DSS uyumlu olarak tokenize edilerek saklanması.
- HukukDefterim'in tam kart numarasını görmediği, saklamadığı ve işlemediği; yalnızca PayTR token'ı (sayısal bir anahtar) ile çalıştığı.
- Üye'nin rızasını her zaman kullanıcı panelinden "Kayıtlı Kartı Sil" seçeneği veya kvkk@hukukdefterim.com başvurusu ile geri çekebileceği.
- Rıza geri çekildiğinde otomatik yenilemenin durduğu ve abonelik içinde bulunulan dönemin sonunda Free plana indiği.
Bu rıza KVKK m. 5/1 ve m. 9 kapsamındadır; özgür iradeyle, belirli bir konuya ilişkin, bilgilendirmeye dayalı olarak alınır.
5. Kişisel Verilerin Aktarımı
5.1. Yurt İçi Aktarım:
- Hosting / barındırma sağlayıcı (Plesk Windows — Türkiye sunucusu): Veri barındırma.
- PayTR Ödeme ve Elektronik Para Kuruluşu A.Ş.: Abonelik tahsilatı ve otomatik yenileme için gerekli asgari veri (ad-soyad, e-posta, ödeme tutarı, sipariş kimliği, kart token'ı). Kart numarası HukukDefterim'e gelmez.
- E-arşiv fatura sağlayıcı: Fatura düzenleme.
- SMTP sağlayıcı: İşlemsel e-postalar.
- Resmî merciler: Yetkili kamu kurumlarının yazılı talebi üzerine, mevzuatın gerektirdiği ölçüde.
5.2. Yurt Dışı Aktarım — Açık Rıza ile (KVKK m. 9):
- Google LLC (Gemini API): AI özellikleri için Üye'nin sohbet girdisi, belge içeriği ve emsal arama sorgusu. Detay: Google Cloud DPA.
- Google LLC (Firebase Cloud Messaging — FCM): Android push bildirimleri için cihaz token'ı ve bildirim metni (içerik duyarlı müvekkil verisi gönderilmez).
- Apple Inc. (APNs): iOS push bildirimleri için cihaz token'ı ve bildirim metni.
- Cloudflare: Turnstile bot koruması ve CDN — IP adresi ve tarayıcı parmak izi.
5.3. Aktarılmayan Veriler: Müvekkil kimlik verisi, dava numarası ve belge içeriği hiçbir üçüncü kişiye pazarlama amacıyla aktarılmaz; Üye verileri satılmaz.
6. Saklama Süreleri
| Veri Tipi | Süre | Dayanak |
|---|---|---|
| Üye hesap verileri | Üyelik süresi + 2 yıl | TBK m. 146 |
| Fatura ve mali kayıtlar | 10 yıl | VUK 213 |
| Güvenlik / erişim logları | 2 yıl | 5651 SK + meşru menfaat |
| Müvekkil verileri (hesap kapatınca) | 30 günlük dışa aktarma süresinin ardından silinir | Hakkın korunması |
| OCR doğrulama görüntüleri | Doğrulama sonrası anında silinir (sonuç bayrağı saklanır) | m. 5/2-c |
| Pazarlama izni kaydı | İzin geri alınana kadar | m. 5/1 |
| Onay log'u (sözleşme + KVKK + recurring) | Üyelik süresi + 10 yıl (ispat amacı) | Hakkın tesisi (m. 5/2-e) |
| Kart token'ı (PayTR) | Rıza geri çekilene veya kart silinene kadar | Açık rıza |
| Pazarlama izni kanıtı (KvkkConsents — "Marketing") | İzin geri alınsa dahi kanıt amacıyla 10 yıl | Hakkın tesisi (m. 5/2-e) + İYS denetim ispatı |
| Drip campaign durum kaydı | D30 tamamlandıktan sonra 1 yıl, ardından silinir | Meşru menfaat |
| Doğum tarihi | Üye silene veya hesap kapatana kadar | Sözleşmenin ifası + Üye'nin gönüllü beyanı |
| Davet (Referral) kodu ve istatistikleri | Üyelik süresi + 2 yıl (ispat ve kötüye kullanım kontrolü) | Meşru menfaat |
| Push cihaz token'ları (FCM/APNs) | Cihaz silinene veya 6 ay aktiflik olmayana kadar | Sözleşmenin ifası |
| EmailAnnouncementRecipient gönderim log'u | Gönderim tarihinden itibaren 2 yıl | Meşru menfaat + İYS şikâyet ispatı |
6/A. Pazarlama İletişimi, E-Bülten ve Yaşam Döngüsü Mailleri (Drip)
6/A.1. Açık Rıza: Üye'ye yalnızca açık rıza verdiği durumda; ürün duyurusu, bayram tebriği, e-bülten, kampanya ve "Pro'ya geçiş" içerikli D30 drip maili gibi ticari elektronik ileti (TEİ) gönderilir. Rıza, kayıt sırasında veya Hesap Ayarları → Pazarlama E-postaları bölümünde ayrı bir onay kutusu ile alınır; default kapalıdır.
6/A.2. Hukuki Dayanak: 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ("ETK") m. 6/1, Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik ve KVKK m. 5/1 (açık rıza). HukukDefterim, tüzel kişiliğin tescili sonrası İleti Yönetim Sistemi'ne (İYS) kaydolur ve gönderim onaylarını İYS üzerinden de senkronize eder.
6/A.3. Onay Aranmayan İletiler (ETK m. 6/3): Aşağıdaki iletiler ticari elektronik ileti sayılmaz veya istisna kapsamındadır; pazarlama izninden bağımsız olarak gönderilir:
- Üyelik kaydı sonrası hoş geldin maili,
- Şifre sıfırlama ve e-posta doğrulama linkleri,
- Ödeme makbuzu, fatura, başarısız tahsilat uyarısı, yenileme bildirimi,
- Hesap güvenlik uyarıları (yeni cihaz girişi, yetkisiz erişim denemesi),
- Sözleşme veya politika değişikliği bildirimleri,
- Üyelik yıldönümü ve doğum günü tebriği (sadece bilgi/teşekkür içerir, satış teklifi içermez),
- D3 / D7 / D14 ürün kullanım rehberi mailleri (yalnızca platformun mevcut özelliklerinin nasıl kullanılacağını anlatır — yeni satış teklifi içermez).
6/A.4. Drip Campaign (Yaşam Döngüsü): Üye'nin kayıt tarihinden itibaren D3, D7, D14 günlerinde ürün kullanım rehberi maili (transactional — onay aranmaz); D30 gününde Pro plana geçiş daveti içeren pazarlama maili gönderilir. D30 maili yalnızca açık rıza vermiş Üyelere ulaştırılır; rıza yoksa bu mail sırada atlanır. Üye'nin drip durumu UserDripStates tablosunda tutulur; "Abonelikten Çık" ile akış durdurulur.
6/A.5. Tek-Tıkla Abonelikten Çıkma (ETK m. 6/2): Her pazarlama mailinin alt kısmında, HMAC-SHA256 imzalı opak token içeren "Aboneliğimi İptal Et" bağlantısı bulunur. Bağlantıya tıklandığında 1 yıl geçerli token doğrulanır, izin "Withdrawn" olarak append-only log'a yazılır, bekleyen tüm pazarlama maili kuyruğu durdurulur, drip akışı sonlandırılır. Üye, giriş yapmadan da bu işlemi gerçekleştirebilir.
6/A.6. Saklama: Pazarlama gönderim kayıtları (EmailAnnouncementRecipients) İYS şikâyeti olması ihtimaline karşı 2 yıl saklanır. Bunlar; alıcı e-posta snapshot'ı, gönderim durumu (Pending/Sent/Failed/Bounced/Unsubscribed/Skipped), gönderim/açılma/iptal zamanları ve hata mesajından ibarettir.
6/B. Push Notification Yayını (Web + Mobile)
6/B.1. Push bildirimi göndermek için kullanıcının tarayıcısında Notifications API permission veya mobil uygulamada UNUserNotificationCenter / NotificationManager izni vermiş olması gerekir. Bu izin, ETK m. 6 anlamında ön onay yerine geçer; izin geri alınınca push gönderimi otomatik durur.
6/B.2. İşlemsel Push: Duruşma hatırlatması, ödeme bildirimi, yeni tevkil görevi, sistem güvenlik uyarıları gibi hizmet kapsamındaki bildirimler — pazarlama izninden bağımsız gönderilir.
6/B.3. Yayın (Broadcast) Push: Bayram tebriği, ürün duyurusu, kritik kesinti bilgisi gibi içerikler admin paneli üzerinden tüm cihazlara (veya filtrelenmiş alt kümeye — örn. sadece Pro abonelere) gönderilebilir. Yayın içeriği müvekkil verisi içermez. Yayın frekansı haftada en fazla 1 mesaj ile sınırlandırılmıştır (operasyonel disiplin).
6/B.4. Cihaz Token'ı: FCM (Android) ve APNs (iOS) cihaz token'ları, kullanıcı uygulamayı sildiğinde veya 6 ay aktif olmadığında "inactive" işaretlenir; bir sonraki dispatch'te listeden düşülür.
6/C. Davet (Referral) Programı
6/C.1. Veriler: Üye sistemde benzersiz bir davet kodu oluşturduğunda, kodu kullanan ikinci Üye'nin kimliği (UserId) ve ilk Pro ödemesini yaptığı tarih UserActiveSubscriptions.ReferralCodeUsed ve ReferredByUserId alanlarında tutulur. Davet eden ile davet edilen arasında başka bir kişisel veri paylaşımı yapılmaz — davet eden, davet edilenin e-postasını, telefonunu veya kimliğini göremez; yalnızca "X kişi kodumu kullandı, Y kişi ödeme yaptı" istatistiğini görür.
6/C.2. Ödül: Davet edilenin ilk Pro ödemesi yapılır yapılmaz davet edenin aktif aboneliği +1 ay uzar; lifetime/sınırsız üyelerde ödül kredi sayacına eklenir. İdempotent SQL guard ile çift ödül engellenir.
6/C.3. Kötüye Kullanım: Kendi kendine davet, çoklu hesap, sahte e-posta veya bot ile yapılan davetler tespit edildiğinde davet kodu iptal edilir, kazanılmış ödüller geri alınır. Üye, davet edilenin doğrudan tanıdığı / iletişimde bulunduğu bir avukat olduğunu beyan eder.
6/C.4. Bilgilendirme: Davet edilen Üye, kayıt esnasında kullandığı davet kodunun davet eden Üye'ye ödül kazandıracağını /Subscription sayfasında görür; bu sözleşmenin tarafı olduğunu kabul etmiş sayılır.
7. Yapay Zekâ Kullanımı (Gemini)
- AI özelliklerini kullanmadan önce açık rıza alınır; CRM, dava takibi ve finans modülleri AI'sız da çalışır.
- İstekler Google'a anonim kimlik ile iletilir, ancak gönderilen belge içeriği kimlik bilgisi barındırıyorsa yine aktarılmış olur — bu sebeple müvekkil adı, T.C. kimliği gibi tanımlayıcı verilerin AI'ya göndermeden önce redakte edilmesi tavsiye edilir.
- Çıktılar yardımcı niteliktedir; profesyonel hukuki değerlendirmenin yerine geçmez.
- Google, kurumsal Gemini API üzerinden gönderilen istekleri varsayılan olarak model eğitiminde kullanmaz (Google Cloud DPA).
- Rıza her zaman hesap ayarlarından geri alınabilir.
8. Alınan Teknik ve İdari Tedbirler (KVKK m. 12)
Teknik: bcrypt parola hash'i; JWT + refresh token rotasyonu; 2FA; mobilde SQLCipher AES-256; TLS 1.2+ ve sertifika pinning; anti-CSRF token; XSS koruması; rate limit (login/register/parola sıfırlama); RowVersion optimistic concurrency; korelasyon kimliği ile audit log; Cloudflare Turnstile bot koruması.
İdari: Personel ile gizlilik sözleşmesi, en az yetki prensibi, veri ihlali müdahale planı (KVKK Kurul'a 72 saat içinde bildirim), periyodik güvenlik denetimi, tedarikçi KVKK uyum değerlendirmesi.
9. Veri Sahibi Hakları (KVKK m. 11)
Veri sahibi olarak aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme,
- İşlenmişse bilgi talep etme,
- İşleme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içi/dışı aktarıldığı üçüncü kişileri bilme,
- Eksik veya yanlış işlenmişse düzeltilmesini isteme,
- Şartları varsa silinmesini veya yok edilmesini isteme,
- Düzeltme / silme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Otomatik analiz nedeniyle aleyhe sonuca itiraz etme,
- Kanuna aykırı işleme nedeniyle zararın giderilmesini talep etme.
Başvuru Yolu: Bu hakları kullanmak için kvkk@hukukdefterim.com e-posta adresine veya [KEP adresi] KEP adresine, kimliğinizi ispat edici belgeyle başvurabilirsiniz. Sonuç en geç 30 gün içinde ücretsiz olarak iletilir (10 sayfayı aşan yazılı cevaplarda sayfa başı maliyet alınabilir). Başvuru tatmin edici bulunmazsa Kişisel Verileri Koruma Kurulu'na şikâyet hakkı saklıdır.
10. Çerezler ve Yerel Depolama (localStorage)
| Kategori | Tür | Amaç | Saklama | Rıza? |
|---|---|---|---|---|
| Zorunlu | HTTP Cookie | Oturum (.AspNetCore.Identity), anti-CSRF (__RequestVerificationToken), çerez tercihi (CookieConsent) | Oturum / 1 yıl | Gerekmez (m. 5/2-c) |
| İşlevsel | HTTP Cookie | Tema (theme), dil tercihi (language), onboarding redirect flag (hd_onboarded) | 1 yıl | Gerekmez (meşru menfaat) |
| İşlevsel | localStorage | Ürün tanıtım turunun tamamlandı bilgisi (hd_onboard_tour_done), form taslakları (hd_form_draft_*) | Üye silene kadar | Gerekmez — yalnızca tarayıcıda kalır, sunucuya gönderilmez |
| Web Push | Service Worker | Browser Notifications API endpoint (web push abonelik bilgisi) | İzin geri alınana kadar | Browser native izin (ETK m. 6 ön onay yerine geçer) |
| İstatistik | Sunucu logu | IP, User-Agent, sayfa trafiği (kişiselleştirme yapılmaz, anonimleştirilmiş) | 2 yıl (5651 SK) | Gerekmez (meşru menfaat) |
| Pazarlama / Tracking | — | Kullanılmaz. Google Analytics, Facebook Pixel, Hotjar vb. üçüncü taraf izleyici çerez yoktur. | — | — |
localStorage anahtarları yalnızca tarayıcınızda kalır ve sunucuya gönderilmez. Tarayıcı ayarlarından tüm çerezleri ve site verilerini silebilir veya engelleyebilirsiniz. Detay için Çerez Politikası metnine bakınız.
11. Reşit Olmayanlar
Platform yalnızca avukatlık ruhsatı sahibi 18 yaşından büyük kişilere yöneliktir; çocuklara ait kişisel veri bilerek işlenmez.
12. Değişiklikler
Bu metin mevzuat ve platform gelişmelerine göre güncellenebilir. Önemli değişiklikler en az 30 gün önce Üye'ye e-posta ile bildirilir. Güncel versiyon her zaman /privacy adresinde yayınlanır.
İlgili belgeler: