Gizlilik Politikası ve KVKK Aydınlatma Metni
Bu Gizlilik Politikası ve Aydınlatma Metni (“Politika”), Bakdaulet Tashmanov'un Canly AI ticari unvanı altında, Türkiye Cumhuriyeti'nde şahıs işletmesi olarak faaliyet gösterdiği, ticari adresi Adnan Kahveci Mah. Büyükdere Cad. Beylikdüzü / İstanbul, Türkiye olan ve Vergi Kimlik No 8240839884 (Büyükçekmece Vergi Dairesi) ile kayıtlı veri sorumlusunun (“biz”, “bize” veya “bizim”), Canly AI platformunu (“Hizmet”), WhatsApp arayüzünü, web portalını ve ilgili tüm özellikleri kullandığınızda kişisel verilerinizi nasıl topladığını, kullandığını, sakladığını ve koruduğunu açıklamaktadır.
Bu Politika aşağıdaki mevzuat kapsamında hazırlanmıştır:
- Türkiye: 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ ve Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik ile Ocak 2025 tarihli Yurt Dışına Aktarım Kılavuzu.
- Avrupa Birliği: (AB) 2016/679 sayılı Tüzük (“GDPR”) ve 2 Ağustos 2026 tarihinden itibaren (AB) 2024/1689 sayılı Tüzük (“AB Yapay Zeka Yönetmeliği”).
- Türk E-Ticareti: 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve uygulama yönetmelikleri.
Hem KVKK hem de GDPR'ın aynı anda uygulanması durumunda daha katı olan gereklilik esas alınır.
1. Veri Sorumlusunun Kimliği ve Giriş
Veri Sorumlusu İletişim Bilgileri:
- E-posta: support@canlyai.com
- Posta adresi: Adnan Kahveci Mah. Büyükdere Cad. Beylikdüzü / İstanbul, Türkiye
- Veri Koruma Görevlisi: 2025 yılı KVKK değişiklikleri kapsamındaki VKG atama yükümlülüklerini takip etmekte olup işleme faaliyetlerimiz ilgili eşiklere ulaştığında VKG atayacağız. Mevcut veri koruma başvuruları yukarıdaki iletişim adresine yapılabilir.
2. Kapsam ve Uygulama Alanı
Bu Politika aşağıdaki kişilere uygulanır:
- Hesap oluşturarak Hizmeti kullanan kayıtlı satıcılar.
- Kayıt sırasında iletişim bilgileri sağlanan satıcı işletmelerinin yetkili temsilcileri.
- Canly AI ile satıcının bağlı WhatsApp numarası üzerinden iletişim kuran WhatsApp arayüzü son kullanıcıları.
Bu Politika, Hizmet üzerinden bağlantı verilen üçüncü taraf web sitelerine veya hizmetlere uygulanmaz. Herhangi bir üçüncü tarafa kişisel veri sağlamadan önce ilgili tarafın gizlilik politikasını incelemenizi öneririz.
3. Topladığımız Kişisel Veriler
Hizmeti sağlamak ve geliştirmek için gerekli asgari kişisel veriyi toplarız (veri minimizasyonu, KVKK Md. 4 / GDPR Md. 5(1)(c)).
3.1 Doğrudan Tarafınızdan Sağlanan Veriler
| Kategori | Örnekler |
|---|---|
| Kimlik verileri | Ad soyad, unvan |
| İletişim verileri | WhatsApp / cep telefonu numarası |
| Hesap kimlik bilgileri | Kimlik doğrulama token'ları (oturum tabanlı) |
| İşletme verileri | Trendyol Satıcı Kimliği, API anahtarı, API gizli anahtarı, mağaza adı |
Finansal ve ödeme verileri hakkında not: Banka hesabı bilgisi toplamıyor ve satıcı ödemelerini işlemiyoruz — ödeme mutabakatı tamamen Trendyol tarafından yürütülmektedir. Abonelik ödemeleri, BDDK lisanslı bir ödeme kuruluşu olan iyzico(iyzico Ödeme Hizmetleri A.Ş.) tarafından işlenmektedir. iyzico'dan yalnızca ödeme onay token'ı ve abonelik kademenizi alırız; kart numarası, CVV kodu veya banka hesabı bilgisi saklamayız.
3.2 Otomatik Olarak Toplanan Veriler
| Kategori | Örnekler |
|---|---|
| Kullanım verileri | Giriş yapma, WhatsApp mesaj zaman damgaları, erişilen özellikler, oturum süresi |
| Cihaz / bağlantı verileri | IP adresi, tarayıcı türü, işletim sistemi, cihaz tanımlayıcıları |
| Trendyol API verileri | Siparişler, uzlaşmalar, sevkiyatlar, ürün listeleri, kargo ücretleri — sağladığınız kimlik bilgileri ile Trendyol V2 API aracılığıyla adınıza alınmaktadır |
| Konuşma verileri | Twilio Programlanabilir Mesajlaşma üzerinden yönlendirilen WhatsApp mesaj içerikleri ve meta verileri |
3.3 Özel Nitelikli Kişisel Veriler
KVKK Md. 6 ve GDPR Md. 9 kapsamında özel nitelikli (“hassas”) kişisel verileri (ör. sağlık, din, biyometri) kasıtlı olarak toplamıyoruz. Bir WhatsApp mesajı aracılığıyla yanlışlıkla bu tür bir veri iletilmesi durumunda ilgili veri, yalnızca sorunuza yanıt verme amacıyla işlenecek ve herhangi bir saklama yapılmaksızın silinecektir.
4. İşlemenin Hukuki Dayanakları
4.1 KVKK Kapsamında (Md. 5 ve Md. 6)
| İşleme faaliyeti | Hukuki dayanak (KVKK) |
|---|---|
| Hesap oluşturma ve hizmet sunumu | Açık rıza (Md. 5/1) ve sözleşmenin ifası zorunluluğu (Md. 5/2-c) |
| Trendyol API veri alımı | Açık rıza + meşru menfaat (Md. 5/2-f) — hizmetin işletilmesi için zorunludur |
| WhatsApp mesaj işleme | Kayıt sırasında alınan açık rıza (Md. 5/1) |
| Güvenlik izleme ve dolandırıcılık önleme | Meşru menfaat (Md. 5/2-f) |
| Alt işleyicilere yurt dışı aktarım | Kurul tarafından yayımlanan standart sözleşme hükümleri ile yürütülen SCC'ler (2024 Yurt Dışına Aktarım Yönetmeliği, Md. 7) |
4.2 GDPR Kapsamında (Md. 6) — AB/AEA Veri Sahipleri İçin
| İşleme faaliyeti | Hukuki dayanak (GDPR) |
|---|---|
| Hizmet sunumu | Sözleşmenin ifası (Md. 6(1)(b)) |
| Güvenlik, dolandırıcılık önleme | Meşru menfaatler (Md. 6(1)(f)) — dahili olarak belgelenmiş denge testi |
| Pazarlama iletişimleri | Rıza (Md. 6(1)(a)) — her zaman serbestçe geri alınabilir |
| Yapay zeka tabanlı analitik ve öneriler | Meşru menfaatler (Md. 6(1)(f)) — LLM işleme konusunda EDPB Nisan 2025 rehberine uygun olarak tamamlanan LİA ile birlikte |
5. Kişisel Verilerinizi Nasıl Kullanıyoruz
Kişisel verileri aşağıdaki amaçlarla işliyoruz:
- Hizmet sunumu — Sipariş takibi, yeniden fiyatlandırma, finansal tahmin, kargo ücreti denetimi ve satıcı desteği dahil çok ajanlı yapay zeka ko-pilotunun çalıştırılması.
- Hesap yönetimi — Hesabınızın oluşturulması, yönetilmesi ve güvenliğinin sağlanması; oturum token'ları aracılığıyla kimlik doğrulama.
- WhatsApp iletişimi — Mesajlarınızın Twilio aracılığıyla uygun yapay zeka ajanına yönlendirilmesi ve yanıtların iletilmesi.
- Analitik ve geliştirme — Ajan doğruluğunu ve hizmet performansını artırmaya yönelik toplu, anonimleştirilmiş analitik.
- Abonelik yönetimi — Aktif planınızın doğrulanması ve özelliklere erişim sağlanması. Ödeme işleme tamamen iyzico tarafından yürütülmekte olup tarafımızca saklanmamaktadır.
- Hukuki uyum — KVKK, GDPR kapsamındaki yükümlülüklerin yerine getirilmesi ve yasal resmi taleplere yanıt verilmesi.
- Güvenlik — Dolandırıcılık, kötüye kullanım ve yetkisiz erişimin tespiti ve önlenmesi.
- Müşteri desteği — Destek taleplerinize yanıt verilmesi.
Yukarıda belirtilen amaçlarla bağdaşmayan amaçlarla kişisel verilerinizi, yeni rıza veya yeni bir hukuki dayanak olmaksızın kullanmayacağız.
6. Otomatik Karar Alma ve Yapay Zeka İşleme
Hizmet, mağaza verilerinizi analiz etmek ve öneriler üretmek için büyük dil modelleri (LLM'ler) ve çok ajanlı yapay zeka kullanmaktadır. KVKK Md. 11(1)(g), GDPR Md. 22 ve AB Yapay Zeka Yönetmeliği'ne uyum kapsamında:
- Yasal açıdan bağlayıcı veya benzer şekilde önemli herhangi bir karar, insan incelemesi olmaksızın yalnızca otomatik araçlarla alınmaz. Tüm yapay zeka destekli işlemler (ör. yeniden fiyatlandırma, itiraz mektupları), gerçekleştirilmeden önce açık onayınızı gerektirir.
- Yapay zeka sistemi AB Yapay Zeka Yönetmeliği kapsamında sınırlı risk olarak sınıflandırılmaktadır. AB Yapay Zeka Yönetmeliği'nin 50. maddesindeki şeffaflık yükümlülüğüne uygun olarak (2 Ağustos 2026 tarihinden itibaren uygulanacak), bir yapay zeka sistemiyle etkileşimde olduğunuz her zaman açıkça bilgilendirileceksiniz.
- Herhangi bir otomatik öneriyi itiraz etme, insan incelemesi talep etme ve herhangi bir otomatik işlem onaylanmadan önce görüşünüzü bildirme hakkınız bulunmaktadır.
- AB Yapay Zeka Yönetmeliği'nin 4. maddesindeki yükümlülükleri karşılamak amacıyla (2 Şubat 2025 tarihinden itibaren yürürlükte) ekibimiz için yapay zeka okuryazarlığı belgeleri tutulmaktadır.
7. Veri Paylaşımı ve Alıcılar
Kişisel verileri yalnızca gerekli olduğu durumlarda ve sıkı bir şekilde kontrollü bir temelde paylaşırız.
7.1 Alt İşleyiciler (Veri İşleyenler)
| Alt işleyici | Amaç | Konum | Güvence |
|---|---|---|---|
| iyzico Ödeme Hizmetleri A.Ş. | Abonelik ödeme işleme | Türkiye | Aktarım yok (yurt içi); BDDK lisanslı ödeme kuruluşu |
| Twilio Inc. | WhatsApp mesajlaşma altyapısı | ABD | GDPR SCC'leri (Md. 46); KVKK SCC'ler hazırlanmaktadır |
| OpenAI, L.L.C. | Yapay zeka ajanları için LLM çıkarımı | ABD | GDPR SCC'leri (Md. 46); KVKK SCC'ler hazırlanmaktadır |
| Supabase, Inc. | RAG bilgi tabanı için vektör veritabanı | ABD/AB | GDPR SCC'leri (Md. 46); KVKK SCC'ler hazırlanmaktadır |
| Langfuse GmbH | Yapay zeka gözlemlenebilirliği ve izleme | AB (Almanya) | GDPR uyumlu (AEA içi); KVKK SCC'ler hazırlanmaktadır |
| Railway Corp. | Bulut barındırma ve dağıtım (AB bölgesi) | AB (Hollanda) | GDPR uyumlu (AEA içi); KVKK SCC'ler hazırlanmaktadır |
| PostgreSQL (Railway) | Konuşma geçmişi, kiracı meta verileri | AB (Hollanda) | GDPR uyumlu (AEA içi); KVKK SCC'ler hazırlanmaktadır |
| Redis (Railway) | İş kuyruğu, dağıtık kilitler | AB (Hollanda) | GDPR uyumlu (AEA içi); KVKK SCC'ler hazırlanmaktadır |
Tüm alt işleyicilerle Veri İşleme Sözleşmeleri (DPA) imzalama sürecindeyiz. Her DPA, alt işleyicilerin verilerinizi Hizmetin sağlanması dışında herhangi bir amaçla kullanmasını sözleşmesel olarak kısıtlar.
7.2 Yurt Dışına Kişisel Veri Aktarımı — KVKK
Kişisel Verilerin Yurt Dışına Aktarılması Hakkında Yönetmelik (1 Eylül 2024 tarihinde yürürlüğe girmiştir) uyarınca, AB üyesi devletler (Hollanda, Almanya) ve ABD dahil olmak üzere Türkiye dışına yapılacak tüm kişisel veri aktarımları geçerli bir aktarım mekanizması gerektirmektedir. Şu anda Kişisel Verileri Koruma Kurumu (“Kurul”) tarafından yayımlanan standart sözleşme hükümleri (SCC) çerçevesinde her bir alt işleyicimizle standart sözleşme hükümleri imzalama sürecindeyiz. SCC'lerin imzalanmasının ardından her biri, yasanın gerektirdiği şekilde beş iş günü içinde Kurul'a bildirilecektir. Kurul tarafından yayımlanan SCC şablonunda herhangi bir değişiklik yapılmayacaktır. 2024 yönetmeliği kapsamında yurt dışı aktarımlar için rıza hukuki dayanak olarak kullanılmamaktadır.
7.3 Yetkililere Açıklama
Hukuki bir zorunluluk veya geçerli bir yasal süreç gerektirdiğinde yetkili kamu makamlarına (mahkemeler, vergi idareleri, kolluk kuvvetleri) kişisel veri açıklayabiliriz. Yasal olarak mümkün olduğu durumlarda, söz konusu açıklamadan önce sizi bilgilendiririz.
7.4 Kişisel Verilerin Satışı Yapılmaz
Kişisel verileri ticari amaçlarla üçüncü taraflara satmıyor, kiralamıyor veya devretmiyoruz.
8. Veri Saklama
KVKK Md. 7 ve GDPR Md. 5(1)(e) uyarınca kişisel verileri, toplandıkları amacın gerektirdiğinden daha uzun süre saklamayız.
| Veri kategorisi | Saklama süresi | Gerekçe |
|---|---|---|
| Hesap verileri (ad, telefon, işletme bilgileri) | Abonelik süresi + 5 yıl | Türk Ticaret Kanunu (TTK) Md. 82 — sözleşme kayıtları |
| Trendyol API verileri (siparişler, uzlaşmalar) | Abonelik süresi + 5 yıl | Türk Ticaret Kanunu (TTK) Md. 82 |
| WhatsApp konuşma verileri | Son mesajdan itibaren 2 yıl | Hizmet geliştirme ve uyuşmazlık çözümü |
| Güvenlik günlükleri | 2 yıl | Meşru menfaat |
| Pazarlama rıza kayıtları | Rızanın geri alınmasına kadar + 3 yıl | KVKK uygulama süresi |
Hesabın sonlandırılması durumunda kişisel veriler, yasal saklama yükümlülükleri gerektirmediği sürece 30 gün içinde anonimleştirilecek veya silinecektir.
9. Çerezler ve İzleme Teknolojileri
Web portalımız çerezler ve benzer teknolojiler kullanmaktadır. Özetle:
| Çerez türü | Amaç | Dayanak | Saklama süresi |
|---|---|---|---|
| Zorunlu | Kimlik doğrulama, güvenlik, yük dengeleme | Sözleşme / meşru menfaat | Oturum |
| İşlevsel | Dil tercihi, kontrol paneli ayarları | Rıza | 1 yıl |
| Analitik | Toplu kullanım istatistikleri | Rıza | 13 ay |
| Pazarlama | Hedefli içerik (uygulanabilirse) | Rıza | 6 ay |
Zorunlu olmayan çerezler yalnızca rızanızın alınmasının ardından yerleştirilir. Web portalının alt bölümündeki çerez tercih merkezi aracılığıyla rızanızı istediğiniz zaman geri alabilirsiniz.
10. Veri Güvenliği
Kişisel verileri korumak için uygun teknik ve organizasyonel önlemler (TOÖ) uyguluyoruz:
- Durağan ve iletim sırasında şifreleme (TLS 1.3, AES-256)
- Token tabanlı kimlik doğrulama — oturum token'ları kısa ömürlüdür ve çıkış yapılmasıyla geçersiz hale gelir
- Çok kiracılı izolasyon — her satıcının verileri, tüm sorgularda `seller_id` ile mantıksal olarak ayrılmış ve kapsamlandırılmıştır
- Erişim kontrolleri — rol tabanlı erişim; en az ayrıcalık ilkesi
- Dağıtık Redis kilitleri — hassas işlemlerin yinelenen işlenmesini önler
- Düzenli güvenlik değerlendirmeleri
Kişisel Veri İhlali Bildirimi: Kişisel veri ihlali yaşanması durumunda ihlalden haberdar olduğumuz andan itibaren 72 saat içinde Kişisel Verileri Koruma Kurumu'na ve etkilenen veri sahiplerine gecikmeksizin bildirim yaparız.
11. Veri Sahibi Olarak Haklarınız
11.1 KVKK Kapsamındaki Haklar (Md. 11)
Kişisel verilerinizin işlenip işlenmediğini öğrenme, bilgi talep etme, işlenme amacını öğrenme, verilerin aktarıldığı üçüncü kişileri bilme, eksik/yanlış verilerin düzeltilmesini isteme, verilerin silinmesini talep etme ve aleyhinize olan otomatik sonuçlara itiraz etme ile zarar durumunda tazminat talep etme haklarına sahipsiniz.
11.2 GDPR Kapsamındaki Haklar (Md. 15–22) — AB/AEA Veri Sahipleri İçin
Erişim, düzeltme, silme (“unutulma hakkı”), işlemeyi kısıtlama, veri taşınabilirliği, itiraz ve otomatik kararlara tabi tutulmama haklarına sahipsiniz.
11.3 Haklarınızı Nasıl Kullanırsınız
Başvurunuzu support@canlyai.com adresine gönderebilirsiniz. Talebinize 30 gün içinde (KVKK kapsamında gecikmeksizin ve 30 gün içinde) ücretsiz olarak yanıt vereceğiz.
11.4 Şikâyet Hakkı
- Türkiye: Kişisel Verileri Koruma Kurumu'na (www.kvkk.gov.tr) şikâyette bulunabilirsiniz.
- AB/AEA: İkamet ettiğiniz üye devletin denetim makamına şikâyette bulunabilirsiniz.
12. Çocukların Gizliliği
Hizmet, kayıtlı işletme operatörleri (Trendyol satıcıları) tarafından kullanılmak üzere tasarlanmış olup 18 yaşın altındaki çocuklara yönelik değildir. Küçük yaştaki kişilerden yanlışlıkla veri topladığımıza inanıyorsanız lütfen derhal support@canlyai.com adresinden bizimle iletişime geçin.
13. Bu Politikada Yapılacak Değişiklikler
Hukuki değişiklikleri, uygulamalarımızı veya Hizmeti yansıtmak amacıyla bu Politikayı periyodik olarak güncelleyebiliriz. Önemli değişikliklerde değişiklik yürürlüğe girmeden en az 30 gün önce WhatsApp veya web portalı üzerinden sizi bilgilendiririz.
14. Yönetim Hukuku ve Yargı Yetkisi
Bu Politika, Türkiye Cumhuriyeti hukuku ile yönetilir. Veri koruma konusundaki uyuşmazlıklar öncelikle Kişisel Verileri Koruma Kurumu'na sunulur.
15. Bize Ulaşın
Bakdaulet Tashmanov (Canly AI adına faaliyet gösteren)
Adnan Kahveci Mah. Büyükdere Cad. Beylikdüzü / İstanbul, Türkiye
E-posta: support@canlyai.com
Telefon: +90 552 599 68 14
