Gizlilik Politikası

1. Veri Sorumlusu / Veri İşleyen Statüsü

**Hizmet sağlayıcı**: [ŞİRKET TAM ÜNVANI] — UAE Mainland Trade License No. [LICENSE_NO], adres: [TESCİLLİ MERKEZ ADRESİ, DUBAI, UAE]. İletişim: legal@klyrix-support.com.

**Statü ayrımı (KRİTİK):** Hizmetin doğası gereği iki farklı veri ilişkisi vardır:

• **B2B müşteri verileri için**: Klyrix yalnızca Veri İşleyendir (Processor). B2B müşteri (tenant), kendi son-kullanıcılarının verilerinden tek başına Veri Sorumlusudur (Controller). Klyrix, müşterinin talimatları doğrultusunda altyapı sağlar.
• **Klyrix hesap sahibi verileri için**: Klyrix, kullanıcının kayıt/oturum/faturalandırma verilerinin Veri Sorumlusudur.
• Tenant'ın son-kullanıcısı, herhangi bir hak talebini öncelikle tenant'a yöneltir; Klyrix yalnızca tenant'ın yazılı talimatı doğrultusunda hareket eder.

2. Topladığımız Veriler

Hizmeti sunmak için aşağıdaki veri kategorileri işlenir:

• Kimlik bilgileri: ad, soyad, kullanıcı adı, e-posta adresi
• İletişim bilgileri: telefon numarası, mesajlaşma platformu kimliği (entegrasyon kullanılırsa)
• Teknik veriler: IP adresi (kısa süreli, güvenlik amaçlı), tarayıcı/cihaz parmak izi (oturum sürekliliği)
• Destek verileri: gönderilen mesajlar, yüklenen dosyalar, oluşturulan talepler
• Kullanım verileri: AI etkileşim metrikleri (token sayımı, oturum süresi) — faturalandırma şeffaflığı için

3. Veri İşleme Amaçları + Hukuki Dayanak

UAE PDPL Article 5 ve (AB kullanıcıları için) GDPR Article 6 kapsamında veriler aşağıdaki hukuki dayanaklarla işlenir:

• Sözleşmenin ifası: hizmet sunumu (PDPL Art. 5(1)(c) / GDPR Art. 6(1)(b))
• Yasal yükümlülük: vergi ve düzenleyici saklama (PDPL Art. 5(1)(d) / GDPR Art. 6(1)(c))
• Meşru menfaat: güvenlik, dolandırıcılığın önlenmesi, hizmet iyileştirme (PDPL Art. 5(1)(e) / GDPR Art. 6(1)(f))
• Açık rıza: pazarlama iletişimi (PDPL Art. 6 / GDPR Art. 6(1)(a)) — istediğiniz zaman geri çekilebilir

4. Veri Saklama Süreleri

Tenant başına özelleştirilmiş retention politikası uygulanır (7-7300 gün aralığı). UAE PDPL Article 19 ve GDPR Article 5(1)(e) doğrultusunda amaç sınırlandırılmıştır. Varsayılan süreler:

• Destek talepleri (support_tickets): 730 gün
• Sohbet kayıtları (chat_messages): 90 gün
• Audit log: 730 gün (append-only — düzenleyici denetim için)
• GDPR/PDPL veri sahibi talepleri: kalıcı (audit gereksinim)

5. Veri Aktarımı + Üçüncü Taraf İşleyiciler

Hizmet sunumu için aşağıdaki işleyicilerle veri paylaşılır. Her biriyle Veri İşleme Sözleşmesi (DPA) imzalıdır:

• Supabase (veritabanı + depolama + auth) — AB bölgesi
• Vercel (hosting + CDN) — global edge
• Stripe (ödeme işleme) — DPA + PCI DSS Level 1
• Anthropic + OpenAI (AI model API) — model çıktıları
• VAPI + ElevenLabs (sesli asistan, opsiyonel)
• Postmark + SMTP (e-posta gönderimi)

5.1 Uluslararası Veri Transferi

Hizmet sağlayıcılarımız UAE, AB ve ABD'de yerleşiktir. Uluslararası aktarımlar aşağıdaki güvenceler altında yapılır:

• UAE PDPL Article 22: yeterli koruma sağlayan ülkelere veya açık rıza ile aktarım
• GDPR Article 44-49 (AB kullanıcıları): Standard Contractual Clauses (SCC, 2021/914 sayılı Karar)
• ABD aktarımlarında EU-US Data Privacy Framework (DPF) sertifikalı sağlayıcılar tercih edilir
• Tüm işleyicilerle imzalı DPA + teknik/idari güvenlik tedbirleri (encryption at rest + in transit)

5.2 AI Modellerinin Eğitimi

Hizmet sunumu için kullanılan AI sağlayıcılarına (Anthropic, OpenAI vb.) iletilen veriler, model eğitimi amacıyla KULLANILMAZ. Kullandığımız tüm AI sağlayıcılarla 'zero data retention' veya 'no training' opsiyonu aktive edilmiştir:

• Anthropic API: Commercial Terms uyarınca model eğitimine girmez
• OpenAI API: API Data Usage Policies uyarınca model eğitimine girmez (varsayılan 30 gün abuse-monitoring sonra silinir)
• VAPI / ElevenLabs: ses kayıtları sadece işleme amaçlıdır
• Tenant tarafından açık rıza verilmedikçe hiçbir destek mesajı AI eğitimine girmez

5.3 Veri İşleme Sözleşmesi (DPA — B2B Müşteriler)

B2B müşteriler için (UAE PDPL Article 26 + GDPR Article 28 uyumlu) standart DPA mevcuttur. DPA, Klyrix'in Veri İşleyen sıfatıyla yükümlülüklerini tanımlar. Talep için: legal@klyrix-support.com adresine başvurunuz; standart şablon 5 iş günü içinde paylaşılır.

6. Veri Sahibi Hakları

UAE PDPL Article 13-20 ve GDPR Article 15-22 kapsamında aşağıdaki haklara sahipsiniz:

• Erişim hakkı (Article 13 PDPL / Article 15 GDPR) — verilerinizin kopyasını talep etme
• Düzeltme hakkı — yanlış veriyi düzelttirme
• Silme hakkı (Right to be forgotten — Article 15 PDPL / Article 17 GDPR)
• İşlemenin sınırlanmasını isteme
• Veri taşınabilirliği (Article 16 PDPL / Article 20 GDPR)
• İtiraz hakkı (otomatik karar verme sistemlerine — Article 17 PDPL / Article 22 GDPR)
• Açık rızayı geri çekme (gelecek işleme için)

7. Self-Service Veri İndirme ve Silme

Hesap sahibiyseniz: Backoffice → Genel Ayarlar → Verilerim'den verilerinizi indirebilir veya hesabınızı anonimleştirebilirsiniz. İndirme bağlantısı 24 saat geçerlidir.

Anonimleştirme kişisel verilerinizi (e-posta, ad, telefon) maskeler; ancak append-only audit kayıtları yasal yükümlülük gereği korunur. Hard delete yalnızca düzenleyici merci kararı ile uygulanır.

B2B tenant son-kullanıcıları talebini öncelikle tenant'a iletmelidir; Klyrix yalnızca tenant'ın yazılı talimatı ile işlem yapar.

8. Güvenlik Önlemleri

OWASP ASVS Level 2 self-check uygulanmıştır. Teknik + idari önlemler:

• AES-256 ile durağan veri şifreleme + Vault entegrasyonu
• TLS 1.2+ ile aktarım şifreleme, HSTS preload
• Multi-Factor Authentication (TOTP) — super_admin için zorunlu
• Append-only audit log + SHA-256 hash zinciri
• Row-Level Security ile tenant izolasyonu
• Per-tenant rate limiting

9. Çocukların Verileri

Hizmet 18 yaşından küçükleri hedeflemez; bilerek çocuk verisi toplamayız. UAE PDPL Article 6(3) ve GDPR Article 8 uyumludur. 18 yaşından küçük birinin verisinin iletildiğini düşünüyorsanız legal@klyrix-support.com adresine ulaşın.

10. Veri İşleyen Statüsü + Sorumluluk Dağılımı

B2B tenant'lar Klyrix'i kendi müşterilerinin verilerini işlemek için kullanırlar. Bu mimaride sorumluluk şu şekilde dağılır:

• **Tenant (Müşteri) = Veri Sorumlusu**: Son-kullanıcılarına karşı tüm aydınlatma, rıza alma, hak talep yanıtlama, ihlal bildirimi yükümlülükleri tenant'a aittir.
• **Klyrix = Veri İşleyen**: Sadece tenant'ın yazılı talimatları doğrultusunda işler. Tenant'ın son-kullanıcılarına karşı doğrudan sorumluluğu yoktur.
• Tenant, hizmeti kullanarak kendi yargı bölgesinde geçerli tüm veri koruma yasalarına uyum sağlamakla yükümlü olduğunu beyan eder.
• Tenant, son-kullanıcılarına ilişkin geçerli rıza ve aydınlatma yükümlülüklerini yerine getirdiğini Klyrix'e karşı garanti eder; aksi halde doğacak tüm zararı tazmin eder (indemnify) (bkz. Kullanım Koşulları §8).

11. Şikayet Kanalları + Düzenleyici Merciler

Veri sahibi haklarınızı kullanmak veya şikayette bulunmak için öncelikle legal@klyrix-support.com adresine başvurunuz. Yanıt süresi 30 gündür.

Çözüme ulaşılamazsa düzenleyici mercilere başvurabilirsiniz:

• UAE: UAE Data Office (sosyal hizmetler kapsamında PDPO işlevi görür)
• AB: kendi ülkenizdeki Veri Koruma Otoritesi (DPA) — örn. Almanya BfDI, Fransa CNIL
• Türkiye'den kullanıcılar: UAE PDPL hizmet yetkili hukukudur; tüketici niteliğindeyseniz ek olarak Tüketici Hakem Heyeti'ne başvuru hakkınız saklıdır

12. Politika Değişiklikleri

Bu politika gerektiğinde güncellenir. Önemli değişiklikler aktif kullanıcılara e-posta veya backoffice bildirimi ile en az 14 gün önce duyurulur. Güncellenmiş politika yayınlandığı anda yürürlüğe girer.

13. Geçerli Dil

Bu Politika İngilizce hazırlanmıştır (controlling version). Türkçe, Almanca, Arapça çeviriler bilgilendirme amaçlıdır. Çelişki halinde İngilizce metin geçerlidir.