Gizlilik Politikası

Kişisel verileriniz, KVKK’nın 3. maddesinde tanımlanan ‘veri sorumlusu’ sıfatıyla, Türk hukukuna göre kurulmuş, İstanbul ili Beşiktaş ilçesinde yerleşik bir anonim şirket olan Topluyıldız Danışmanlık A.Ş. tarafından işlenmektedir.

Veri sorumlusunun resmî iletişim ve başvuru bilgileri şu şekildedir: elektronik posta adresi mtopluyildiz@gmail.com; açık adres Sinanpaşa Mahallesi, Süleyman Seba Caddesi, No: 6 İç Kapı No: 4, Beşiktaş / İstanbul; ticaret sicil bilgileri 0854121033400001 ve 282911-5 (İstanbul Ticaret Sicili Müdürlüğü); vergi bilgileri Beşiktaş Vergi Dairesi, 8541210334; elektronik tebligat adresi (UETS) 25878-54156-69813; telefon [telefon numarası]. Avrupa Birliği veri koruma mevzuatı bakımından, GDPR’nin 27. maddesi uyarınca Birlik içinde bir temsilci atanması gerektiği ölçüde, söz konusu Birlik temsilcisinin bilgisi [veri sorumlusu temsilcisi, varsa] olarak belirtilecektir. İşbu temsilcinin, KVKK ve VERBİS uygulaması bakımından söz konusu olabilecek veri sorumlusu temsilcisinden hukuken ayrı bir rol olduğu hususu saklıdır.

İşbu Politika kapsamındaki her türlü talep, soru ve başvuru, aşağıda Madde 12’de düzenlenen başvuru usulüne uygun olarak yukarıdaki iletişim kanalları üzerinden veri sorumlusuna iletilebilir.

İşbu Politika iki farklı bağlamı kapsamakta olup bu bağlamlar arasındaki ayrımın açıkça ortaya konulması ilgili kişilerin haklarını anlamaları bakımından önem taşır. Birinci bağlam, omnipotentlegal.ai adresindeki web sitesidir; bu site esas itibarıyla tanıtım ve bilgilendirme amacı taşıyan, ziyaretçilerden yalnızca ücretsiz deneme ve iletişim talebi için sınırlı veri toplayan bir mecradır. İkinci bağlam ise Omnilegal ürünüdür; bu ürün, hukuk bürolarının ve avukatların müvekkil kabulünden işin teslimine kadar uzanan çalışmalarını tek bir sistemde birleştiren, abonelik esasıyla sunulan bir yazılım hizmetidir.

Web sitesi bizatihi ödeme almamakta, hesap açmamakta ve müvekkil dosyalarını işlememektedir; ödeme, hesap oluşturma ve ürün içi işlemler, Topluyıldız Danışmanlık A.Ş. tarafından veya onun adına işletilen ürün kayıt akışı üzerinden gerçekleştirilir. Ürün tarafındaki kişisel veri işleme faaliyetlerinin ayrıntıları, bu Politikaya ek niteliğindeki KVKK Aydınlatma Metni ile, kurumsal müşterilerle akdedilen Veri İşleme Sözleşmesi’nde düzenlenmiştir.

Bu Politikada aksi açıkça belirtilmedikçe, web sitesi ziyaretçilerine ilişkin hükümler birinci bağlama, ürün kullanıcılarına ve onların müvekkil verilerine ilişkin hükümler ise ikinci bağlama atıf yapacak şekilde anlaşılmalıdır.

Web sitesi tarafında: ücretsiz deneme veya iletişim formunu doldurmanız hâlinde, tarafınızca sağlanan ad ve soyadı, iş elektronik posta adresi, bağlı bulunduğunuz büro veya kurum adı, mesleki rol veya unvan, ilgilenilen yargı alanları ve form içerisindeki serbest metin mesajı işlenir. Bu veriler, yalnızca talebinizin karşılanması ve sizinle iletişim kurulması amacıyla, Avrupa Birliği bölgesinin hedeflendiği bir altyapı (Supabase) üzerinde saklanır.

Ürün tarafında: hesabınızın oluşturulması ve yönetilmesi kapsamında kimlik ve iletişim bilgileri ile abonelik ve faturalandırma bilgileri; ürünün kullanımı sırasında oluşan oturum, işlem ve denetim kaydı (log) niteliğindeki kullanım verileri işlenir. Avukatların ürün üzerinden işlediği müvekkil verileri bakımından ise, herhangi bir yapay zekâ modeline çağrı yapılmadan önce kişisel veriler maskelenir; modele yalnızca maskelenmiş metin iletilir, maskeleme anahtarı ve eşleştirme tablosu yargı yetkisi alanı dışına çıkmaz ve müvekkil verisi hiçbir modelin eğitiminde kullanılmaz.

Web sitesinin teknik işletimi sırasında, sınırlı sayıda zorunlu çerez ve gizlilik öncelikli analitik aracılığıyla bağlantı ve cihaz bilgisi gibi teknik veriler işlenebilir; bu hususlar ayrıntılı olarak Çerez Politikası’nda düzenlenmiştir. Şirket, üçüncü taraf reklam takipçisi kullanmamaktadır.

Şirket, web sitesi formları aracılığıyla özel nitelikli kişisel veri talep etmez. Form içindeki serbest metin alanına bu nitelikte veri girmemenizi önemle rica ederiz; girilmesi hâlinde söz konusu veriler, KVKK’nın 6. maddesindeki güvenceler çerçevesinde ve yalnızca talebinizin gereği ölçüsünde işlenir.

Web sitesi kapsamında kişisel veriler; ücretsiz deneme ve iletişim taleplerinizin alınması ve değerlendirilmesi, tarafınıza geri dönüş yapılması, ürün hakkında bilgi sunulması, web sitesinin güvenli ve işlevsel biçimde sunulması ile hukuki yükümlülüklerin yerine getirilmesi ve uyuşmazlık hâlinde hakların tesisi amaçlarıyla işlenir.

Ürün kapsamında kişisel veriler; aboneliğin ve hesabın oluşturulması, sürdürülmesi ve yönetilmesi, hizmetin sunulması ve iyileştirilmesi, faturalandırma ve tahsilat, hizmet güvenliğinin, bütünlüğünün ve denetlenebilirliğinin sağlanması, kötüye kullanımın önlenmesi ile yürürlükteki mevzuattan doğan yükümlülüklerin yerine getirilmesi amaçlarıyla işlenir.

Şirket, kişisel verileri yalnızca belirli, açık ve meşru amaçlarla, bu amaçlarla bağlantılı, sınırlı ve ölçülü olarak işler; amacın gerektirdiğinin ötesinde veri toplamaz ve işlemez.

Genel nitelikli kişisel verileriniz, KVKK’nın 5. maddesinde sayılan hukuki sebeplere dayanılarak işlenir. Buna göre işleme; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması nedeniyle gerekli olması (örneğin abonelik ilişkisi ve talep ettiğiniz deneme sürecinin yürütülmesi), veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması ile temel hak ve özgürlüklerinize zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için zorunlu olması hukuki sebeplerine dayanabilir.

İlgili kişinin temel hak ve özgürlüklerine üstünlük tanınmasını gerektiren hâllerde veya yukarıdaki sebeplerin uygulanamadığı durumlarda işleme, KVKK’nın 5. maddesinin birinci fıkrası uyarınca ilgili kişinin açık rızasına dayandırılır. Açık rızaya dayanan işlemelerde rızanızı her zaman geri alma hakkına sahipsiniz.

Özel nitelikli kişisel verilerin söz konusu olduğu istisnai hâllerde işleme, KVKK’nın 6. maddesi çerçevesinde ve kural olarak ilgili kişinin açık rızasına dayanılarak gerçekleştirilir. Avrupa Birliği’nde yerleşik veya GDPR kapsamına giren ilgili kişiler bakımından ise işleme, GDPR’nin 6. maddesinde sayılan hukuki sebeplere (özellikle sözleşmenin ifası, hukuki yükümlülük, meşru menfaat ve gerektiğinde açık rıza) ve özel nitelikli veriler için 9. maddesindeki güvencelere dayanır.

Web sitesi, işlevselliğin sağlanması ve kullanım deneyiminin iyileştirilmesi amacıyla sınırlı sayıda çerez ve benzeri teknolojiler kullanabilir. Şirket, gizlilik öncelikli bir yaklaşım benimsemekte olup üçüncü taraf reklam takipçisi yerleştirmemekte ve ziyaretçileri reklam amacıyla profilleme yoluna gitmemektedir.

Kullanılan çerezlerin türleri, amaçları, saklama süreleri ve bunların yönetimine ilişkin tercihlerinizi kullanma yöntemleri, ayrı bir belge olan Çerez Politikası’nda ayrıntılı olarak açıklanmıştır. Zorunlu olmayan çerezler bakımından, ilgili mevzuatın gerektirdiği ölçüde açık rızanız esas alınır ve bu rızayı [çerez yönetim aracı] üzerinden dilediğiniz zaman geri alabilirsiniz.

Analitik faaliyetler, mümkün olduğunca toplulaştırılmış ve gizliliği koruyacak biçimde yürütülür; bu faaliyetlerin amacı, web sitesinin performansının ölçülmesi ve içeriğin iyileştirilmesidir.

Kişisel verileriniz, işbu Politikada belirtilen amaçlarla sınırlı olmak ve KVKK’nın 8. ve 9. maddelerindeki şartlara uyulmak kaydıyla aktarılabilir. Yurt içinde; barındırma, altyapı, ödeme, muhasebe ve benzeri hizmetleri sağlayan tedarikçilere, yetkili kamu kurum ve kuruluşlarına ve hukuki danışmanlara, hizmetin sunulması ve hukuki yükümlülüklerin yerine getirilmesi için gerekli olduğu ölçüde aktarım yapılabilir.

Yurt dışına aktarım bakımından, web sitesi formu verileri Avrupa Birliği bölgesinin hedeflendiği bir altyapı (Supabase) üzerinde saklanmakta olup bu husus bir yurt dışı aktarımı teşkil edebilir. Bu tür aktarımlar, KVKK’nın 2024 yılında yeniden düzenlenen 9. maddesi ve Yurt Dışına Kişisel Veri Aktarımı Hakkında Yönetmelik çerçevesinde; yeterlilik kararı bulunması, uygun güvencelerin (taraflar arası standart sözleşme, bağlayıcı şirket kuralları veya taahhütname) sağlanması ya da maddenin altıncı fıkrasındaki istisnai hâllerin varlığı gibi hukuki mekanizmalara dayanılarak gerçekleştirilir.

Avrupa Birliği’nde yerleşik veya GDPR kapsamına giren ilgili kişiler bakımından, üçüncü ülkelere yapılacak aktarımlar GDPR’nin V. Bölümü çerçevesinde, yeterlilik kararı veya uygun güvenceler temelinde yürütülür. Ürün tarafında, KVKK PII maskeleme tasarımı gereği, yapay zekâ modeline yapılan çağrılarda yalnızca maskelenmiş metin işlenir ve maskeleme anahtarı yargı yetkisi alanı dışına çıkarılmaz. Barındırma ve model sağlayıcılarına ilişkin güncel bilgiler [barındırma sağlayıcısı] ve [yapay zekâ model sağlayıcısı] olarak ilgili belgelerde belirtilir.

Kişisel verileriniz, işlendikleri amaç için gerekli olan süre boyunca ve her hâlde ilgili mevzuatta öngörülen azami süreler ile zamanaşımı süreleri dikkate alınarak saklanır. Saklama süresinin belirlenmesinde; işleme amacının devam edip etmediği, taraflar arasındaki ilişkinin sürmesi, kanunlarda öngörülen saklama yükümlülükleri ve olası bir hukuki uyuşmazlıkta delil teşkil etme ihtiyacı gibi kriterler esas alınır.

Web sitesi formu aracılığıyla iletilen veriler, talebinizin değerlendirilmesi ve bununla bağlantılı iletişimin tamamlanması için gerekli olan süre boyunca; ürün tarafındaki hesap ve kullanım verileri ise abonelik ilişkisi süresince ve sona ermesinin ardından mevzuattan doğan yükümlülüklerin gerektirdiği süre boyunca saklanır.

Saklama süresinin sona ermesi veya işleme amacının ortadan kalkması hâlinde kişisel verileriniz, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik çerçevesinde, ilk periyodik imha döneminde silinir, yok edilir veya anonim hâle getirilir.

Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı erişilmesini önlemek ile verilerin muhafazasını sağlamak amacıyla, KVKK’nın 12. maddesi uyarınca uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri alır.

Bu kapsamda alınan teknik tedbirler arasında, verilerin aktarım sırasında ve durağan hâlde şifrelenmesi (katalogda AES-256-GCM olarak tanımlanan şifreleme), her bir dosya veya konu bazında ayrıştırma (per-matter izolasyon) ile onay, kaynak doğrulama ve maskeleme adımlarını kapsayan bir denetim izinin tutulması yer alır. İdari tedbirler ise erişimin yetki esasına bağlanması, gizlilik yükümlülükleri ve düzenli gözden geçirme süreçlerini içerir.

Avukatlık mesleğinin gereği olarak, ürün, 1136 sayılı Avukatlık Kanunu’nun 36. maddesindeki sır saklama yükümlülüğünü destekleyecek biçimde tasarlanmıştır; nihai okuma, karar ve imza her hâlde insan avukatta kalır ve maskeleme adımının başarısız olması hâlinde akış, veri sızıntısını önlemek amacıyla durdurulur.

Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde Şirket, KVKK’nın 12. maddesinin beşinci fıkrası ve Kişisel Verileri Koruma Kurulu’nun ilgili kararları (özellikle 24.01.2019 tarihli ve 2019/10 sayılı Karar) uyarınca, durumu en kısa sürede ve makul gecikme olmaksızın, Kurul’un yerleşik uygulamasında esas alınan yetmiş iki saatlik süreyi aşmayacak biçimde Kurul’a bildirir; etkilenen ilgili kişiler de uygun yöntemlerle bilgilendirilir.

Avrupa Birliği veri koruma mevzuatı kapsamına giren ilgili kişiler bakımından, kişisel veri ihlalleri GDPR’nin 33. ve 34. maddeleri çerçevesinde, kural olarak ihlalin farkına varılmasından itibaren yetmiş iki saat içinde yetkili denetim makamına bildirilir; yüksek risk taşıyan hâllerde ilgili kişilere de bildirim yapılır.

KVKK’nın 11. maddesi uyarınca, veri sorumlusuna başvurarak kendinizle ilgili olarak şu haklara sahipsiniz: kişisel verinizin işlenip işlenmediğini öğrenme; işlenmişse buna ilişkin bilgi talep etme; işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme; yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme; eksik veya yanlış işlenmişse düzeltilmesini isteme; KVKK’nın 7. maddesindeki şartlar çerçevesinde silinmesini veya yok edilmesini isteme; düzeltme, silme ve yok etme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme; verilerin münhasıran otomatik sistemlerle analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme ve verilerin kanuna aykırı işlenmesi nedeniyle zarara uğramanız hâlinde zararın giderilmesini talep etme.

Avrupa Birliği’nde yerleşik veya GDPR kapsamına giren ilgili kişiler, ek olarak GDPR’nin tanıdığı erişim, düzeltme, silme (unutulma), işlemenin kısıtlanması, veri taşınabilirliği ve işlemeye itiraz haklarına da sahiptir. Açık rızaya dayanan işlemelerde rıza her zaman geri alınabilir; ancak geri alma, geri alma tarihine kadar gerçekleştirilen işlemelerin hukukiliğini etkilemez.

Bu hakların kullanılması, talebin niteliğine göre bazı hâllerde, hizmetin sunulabilmesi için zorunlu olan asgari işlemelerin sürdürülmesi gerekliliğiyle dengelenebilir; böyle bir durumda Şirket, talebin neden kısmen karşılanabildiğini gerekçeli olarak açıklar.

İlgili kişiler, KVKK’nın 13. maddesi ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca, yukarıda Madde 11’de sayılan haklara ilişkin taleplerini, kimliklerini tevsik edici bilgilerle birlikte yazılı olarak veya Kurul’un belirlediği diğer yöntemlerle veri sorumlusuna iletebilir. Başvuru, açık adresimize yazılı olarak, elektronik tebligat adresi (UETS) (25878-54156-69813) yoluyla veya daha önce Şirkete bildirdiğiniz ve sistemimizde kayıtlı bulunan elektronik posta adresinizden mtopluyildiz@gmail.com adresine iletilerek yapılabilir.

Veri sorumlusu, başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve her hâlde başvurunun kendisine ulaştığı tarihten itibaren otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak işlemin ayrıca bir maliyet gerektirmesi hâlinde, Kurul’ca belirlenen tarifedeki ücret alınabilir.

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi hâllerinde ilgili kişi, cevabı öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunma hakkına sahiptir.

Omnilegal ürünü ve omnipotentlegal.ai web sitesi, avukatlara ve hukuk bürolarına yönelik mesleki bir hizmettir ve çocuklara yönelik değildir. Şirket, web sitesi formları aracılığıyla bilerek çocuklara ait kişisel veri toplamaz.

Bir çocuğa ait kişisel verinin rızası gereken hâllerde gerekli izin alınmaksızın işlendiğinin tespit edilmesi durumunda, söz konusu veriler ilgili mevzuat çerçevesinde gecikmeksizin silinir veya yok edilir. Bir çocuğa ait verinin tarafımıza iletildiğini düşünüyorsanız Madde 1’deki iletişim kanalları üzerinden bizimle iletişime geçmenizi rica ederiz.

Şirket, işbu Gizlilik Politikası’nı, mevzuattaki değişiklikler, hizmetlerdeki gelişmeler veya işleme faaliyetlerindeki güncellemeler doğrultusunda dilediği zaman güncelleme hakkını saklı tutar. Güncel metin, yürürlük tarihi ile birlikte web sitesinde yayımlanır.

Esaslı değişiklikler hâlinde, mevzuatın gerektirdiği ölçüde ilgili kişiler uygun yöntemlerle ayrıca bilgilendirilir veya gerekiyorsa yeniden açık rızaları alınır. Politikanın başında yer alan ‘Son güncelleme’ tarihi, metnin en güncel hâlinin yürürlük tarihini gösterir.

Gizliliğe ve kişisel verilerin korunmasına ilişkin her türlü soru, talep ve şikâyetinizi, öncelikle Madde 1’de belirtilen iletişim kanalları üzerinden veri sorumlusuna iletebilirsiniz. Şirket, başvurularınızı içtenlikle ve mevzuatın öngördüğü süreler içinde değerlendirmeyi taahhüt eder.

İlgili kişiler, KVKK kapsamındaki taleplerine ilişkin olarak Türkiye’de Kişisel Verileri Koruma Kurumu’na şikâyette bulunma hakkına sahiptir. Avrupa Birliği’nde yerleşik veya GDPR kapsamına giren ilgili kişiler ise, mutad meskenlerinin, iş yerlerinin veya ihlalin gerçekleştiği yerin bulunduğu üye devletteki yetkili veri koruma denetim makamına şikâyette bulunabilirler.

İşbu Politika; ürüne özgü KVKK Aydınlatma Metni, Çerez Politikası ve kurumsal müşterilerle akdedilen Veri İşleme Sözleşmesi ile birlikte bir bütün oluşturur ve bu belgelere yapılan atıflarla tamamlanır. Belgeler arasında bir çelişki bulunması hâlinde, ilgili işleme bağlamına en özgü olan belge öncelikli olarak uygulanır.