KVKK Aydınlatma Metni

KVKK m.10 ve Aydınlatma Yükümlülüğü Tebliği uyarınca, işbu metin kapsamında işlenen kişisel veriler bakımından veri sorumlusu, Türk hukukuna göre kurulmuş, Beşiktaş, İstanbul, Türkiye’de yerleşik bir anonim şirket olan Topluyıldız Danışmanlık A.Ş.’dir (bundan sonra ‘Şirket’ veya ‘veri sorumlusu’ olarak anılacaktır). Şirket’in ticaret unvanı Topluyıldız Danışmanlık A.Ş. olup, sicil ve iletişim bilgileri aşağıda yer almaktadır: 282911-5 (İstanbul Ticaret Sicili Müdürlüğü), 0854121033400001, Sinanpaşa Mahallesi, Süleyman Seba Caddesi, No: 6 İç Kapı No: 4, Beşiktaş / İstanbul, 25878-54156-69813, [telefon numarası]. Şirket ile her türlü iletişim mtopluyildiz@gmail.com adresi üzerinden de sağlanabilir.

Veri sorumlusunun yurt içinde bir temsilcisi öngörüldüğü hâllerde temsilciye ilişkin bilgiler şu şekildedir: [veri sorumlusu temsilcisi, varsa]. İşbu Aydınlatma Metni, Şirket’in işlettiği omnipotentlegal.ai tanıtım ve bilgilendirme sitesi üzerinden toplanan veriler ile Omnilegal ürününün kullanımı sırasında işlenen veriler bakımından uygulanır.

Önemle belirtmek gerekir ki, bir avukatın veya hukuk bürosunun Omnilegal’i kullanırken sisteme girdiği müvekkil kişisel verileri bakımından veri sorumlusu, ilgili avukat veya hukuk bürosudur; Topluyıldız Danışmanlık A.Ş. bu veriler bakımından, taraflar arasında akdedilen Veri İşleme Sözleşmesi çerçevesinde yalnızca veri işleyen sıfatıyla ve veri sorumlusunun talimatları doğrultusunda hareket eder. Bu husus işbu metnin 11. ve 12. bölümlerinde ayrıntılı olarak açıklanmıştır.

Şirket, sunduğu hizmetin niteliği ve ilgili kişinin Omnilegal ile kurduğu ilişkinin kapsamına göre aşağıdaki kişisel veri kategorilerini işleyebilmektedir: kimlik verileri (ad, soyad ve gerektiğinde unvan ile mesleki sıfat); iletişim verileri (iş elektronik posta adresi, telefon numarası, çalışılan büro veya şirket bilgisi); mesleki deneyim verileri (rol, baro bilgisi, faaliyet gösterilen yargı çevreleri ve uzmanlık alanları); müşteri işlem ve hesap verileri (abonelik bilgileri, sipariş ve fatura kayıtları, ödeme ve checkout sürecine ilişkin işlem bilgileri); kullanım, işlem güvenliği ve log verileri (IP adresi, oturum kayıtları, erişim ve onay günlükleri, citation gate ve maskeleme adımlarına ilişkin denetim izleri).

Bunlara ek olarak, Omnilegal’in çalışma biçimi gereği, kullanıcı tarafından sisteme girilen içerik (müvekkil belgeleri, dava ve dosya bilgileri, yazışmalar ve hukuki metinler) işlenmektedir. Bu içerik, üçüncü kişilere ve özellikle müvekkillere ait kimlik, iletişim, hukuki uyuşmazlık ve nitelikleri itibarıyla KVKK m.6 kapsamında özel nitelikli kişisel veriler (örneğin sağlık, ceza mahkûmiyeti ve güvenlik tedbirleri, din veya üyelik bilgileri) içerebilir. Bu nedenle kullanıcı tarafından girilen içeriğe işbu metinde ve Veri İşleme Sözleşmesi’nde öngörülen özel güvence rejimi uygulanır.

Şirket’in tanıtım sitesi üzerinden toplanan veriler, yalnızca ücretsiz deneme ve iletişim talep formu kapsamında verilen ad, iş elektronik posta adresi, büro veya şirket adı, rol, ilgilenilen yargı çevreleri ve serbest metin mesajından ibarettir. Sitede üçüncü taraf reklam izleyicileri kullanılmaz ve gizliliğe öncelik veren bir analitik yaklaşımı benimsenir.

Kişisel veriler, KVKK m.4’te öngörülen genel ilkelere (hukuka ve dürüstlük kurallarına uygunluk; doğruluk ve güncellik; belirli, açık ve meşru amaçlarla işleme; amaçla bağlantılı, sınırlı ve ölçülü olma; mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza) uygun olarak işlenir.

İşleme amaçları başlıca şunlardır: ücretsiz deneme ve iletişim taleplerinin alınması, değerlendirilmesi ve sonuçlandırılması; Omnilegal abonelik hizmetinin kurulması, sunulması ve sürdürülmesi ile kullanıcı hesabının oluşturulması ve yönetimi; ödeme, checkout ve hesap tahsisi süreçlerinin Topluyıldız Danışmanlık A.Ş. tarafından veya onun adına yürütülmesi; sözleşmenin ifası, faturalandırma ve mali yükümlülüklerin yerine getirilmesi; hizmet kalitesinin, bilgi güvenliğinin ve sistem bütünlüğünün sağlanması, kötüye kullanımın önlenmesi ve denetim izlerinin tutulması; mevzuattan doğan hukuki yükümlülüklerin yerine getirilmesi ile yetkili kurum ve kuruluşların taleplerinin karşılanması; ve hukuki uyuşmazlıklarda hak tesisi, kullanılması veya korunması.

Şirket, kişisel verileri yalnızca işbu metinde belirtilen amaçlarla ve bu amaçların gerektirdiği ölçüde işler; amaç dışı işleme yapmaz. Roadmap kapsamında planlanan ya da isteğe bağlı olan işlevler (örneğin büro hafızası niteliğindeki firma-RAG, genişletilmiş KVKK paketleri veya AB veri ikametine ilişkin yedekleme), yalnızca devreye alındıklarında ve ilgili hukuki sebep mevcut olduğunda işleme konu edilir.

Kişisel verilerin işlenmesi, her bir amaç bakımından KVKK m.5/2’de sayılan işleme şartlarından en az birine dayandırılır. Abonelik hizmetinin kurulması, kullanıcı hesabının oluşturulması ve yönetimi, ödeme ve faturalandırma süreçlerinin yürütülmesi bakımından hukuki sebep, m.5/2-(c) uyarınca bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olmasıdır.

Mali, ticari ve hukuki kayıtların tutulması, saklanması ve yetkili mercilere bildirilmesi bakımından hukuki sebep, m.5/2-(a) uyarınca kanunlarda açıkça öngörülmesi ve m.5/2-(ç) uyarınca veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olmasıdır. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olduğu hâllerde m.5/2-(e); Şirket’in bilgi güvenliği, sistem bütünlüğü ve kötüye kullanımın önlenmesine yönelik meşru menfaatleri bakımından, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla m.5/2-(f) hukuki sebebine dayanılır.

Ücretsiz deneme ve iletişim formu kapsamında, talebin niteliği gereği, işleme öncelikle ilgili kişinin talebi üzerine kurulacak ilişkinin hazırlığı ve m.5/2-(f) kapsamındaki meşru menfaat çerçevesinde yürütülür; kanuni bir işleme şartının bulunmadığı durumlarda ise m.5/1 uyarınca ilgili kişinin açık rızası alınır. Kullanıcı tarafından sisteme girilen içerik özel nitelikli kişisel veri içerdiğinde, bu veriler bakımından veri sorumlusu sıfatı ilgili avukat veya hukuk bürosuna ait olduğundan, KVKK m.6’da öngörülen hukuki sebebin (kural olarak ilgili kişinin açık rızası veya m.6/3’te sayılan istisnalar) sağlanması ve aydınlatmanın yapılması yükümlülüğü veri sorumlusu sıfatındaki avukata veya hukuk bürosuna aittir; Şirket bu verileri yalnızca veri işleyen sıfatıyla ve maskeleme rejimine tabi olarak işler.

Kişisel veriler; omnipotentlegal.ai üzerindeki ücretsiz deneme ve iletişim formu, ürün kayıt (sign-up) ve checkout akışları, kullanıcı hesabı üzerinden gerçekleştirilen işlemler ve Omnilegal’in kullanımı sırasında otomatik olarak üretilen log ve işlem güvenliği kayıtları aracılığıyla, kısmen otomatik ve otomatik yollarla toplanır. Kullanıcı tarafından sisteme yüklenen veya girilen içerik ise doğrudan ilgili kullanıcının fiili üzerine elde edilir.

Bu toplama faaliyetinin hukuki sebebi, işbu metnin 4. bölümünde her amaç için ayrı ayrı belirtilen KVKK m.5/2 işleme şartlarıdır. Tanıtım sitesi üzerinden toplanan form verileri Supabase altyapısı kullanılarak ve AB bölgesi hedeflenerek saklanır; sitede üçüncü taraf reklam izleyicisi bulunmaz.

Kişisel veriler, işbu metinde belirtilen amaçların gerçekleştirilmesi için gerekli olduğu ölçüde ve KVKK m.8’de öngörülen şartlara uygun olarak yurt içinde aktarılabilir. Yurt içi alıcı grupları başlıca şunlardır: barındırma ve altyapı hizmeti sağlayıcıları ([barındırma sağlayıcısı]); ödeme, checkout ve hesap tahsis süreçlerini Şirket adına yürüten hizmet sağlayıcılar; mali müşavirlik, denetim ve hukuki danışmanlık hizmeti veren tedarikçiler; ve hukuken yetkili kamu kurum ve kuruluşları ile adli merciler.

Bu aktarımlar, yalnızca aktarımı gerekli kılan amaçla sınırlı olarak ve aktarılan tarafların gerekli teknik ve idari tedbirleri almasını sağlayan sözleşmesel güvenceler altında gerçekleştirilir. Hizmet sağlayıcılar, yalnızca Şirket’in talimatları doğrultusunda ve hizmetin gerektirdiği ölçüde kişisel verilere erişebilir.

Omnilegal’in yapay zekâ işlevlerinin sunulabilmesi ve barındırma altyapısının işletilebilmesi amacıyla, sınırlı kişisel veriler yurt dışına aktarılabilir. Bu kapsamdaki başlıca yurt dışı alıcılar, yapay zekâ model hizmeti sağlayıcısı ([yapay zekâ model sağlayıcısı]) ile barındırma hizmeti sağlayıcılarıdır. Yurt dışı aktarım, KVKK m.9’un 2024 yılında yürürlüğe giren değişikliği ve Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik çerçevesinde yapılır.

Bu çerçevede aktarım sırasıyla şu mekanizmalara dayanır: Kişisel Verileri Koruma Kurulu’nca ilan edilen yeterlilik kararı bulunan ülkelere aktarım; yeterlilik kararının bulunmadığı hâllerde, KVKK m.9/3’te sayılan uygun güvencelerden birinin (Kurul onayına tabi standart sözleşme, taahhütname veya bağlayıcı şirket kuralları) sağlanması; bunların da bulunmadığı istisnai hâllerde ise KVKK m.9/6’da öngörülen arızi durumlar ile gerektiğinde ilgili kişinin açık rızasının alınması. Standart sözleşme yolunun kullanıldığı hâllerde, ilgili sözleşme mevzuatın öngördüğü süre içinde Kurum’a bildirilir.

Önemle vurgulanır ki, Omnilegal’in kişisel veri maskeleme mimarisi gereği, bir yapay zekâ modeline yapılan çağrıdan önce kişisel veriler maskelenir ve modele yalnızca maskelenmiş metin iletilir; maskeleme anahtarı veya eşleştirme tablosu yurt dışına çıkarılmaz ve yargı çevresinin dışına aktarılmaz. Bu güvenceler işbu metnin 12. bölümünde ayrıntılı olarak açıklanmıştır.

Kişisel veriler, işlendikleri amaç için gerekli olan süre boyunca ve her hâlde ilgili mevzuatta öngörülen asgari saklama süreleri ile zamanaşımı süreleri gözetilerek saklanır. Sözleşme ilişkisi kapsamında işlenen kimlik, iletişim, hesap ve müşteri işlem verileri, abonelik ilişkisinin sona ermesini takiben, doğabilecek hukuki uyuşmazlıklar ve ispat yükümlülükleri ile mali ve ticari mevzuattan kaynaklanan saklama yükümlülükleri (örneğin Türk Ticaret Kanunu ve Vergi Usul Kanunu uyarınca öngörülen süreler) dikkate alınarak muhafaza edilir.

Ücretsiz deneme ve iletişim formu kapsamında toplanan veriler, talebin sonuçlandırılması ve sonrasında makul bir takip süresi için saklanır; bu sürenin sonunda silinir, yok edilir veya anonim hâle getirilir. Log ve işlem güvenliği kayıtları, ilgili mevzuatın öngördüğü süreler ile bilgi güvenliği gereklilikleri çerçevesinde tutulur.

Sürelerin sona ermesi hâlinde kişisel veriler, Şirket’in Kişisel Veri Saklama ve İmha Politikası ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik uyarınca, periyodik imha süreçleri çerçevesinde resen veya ilgili kişinin talebi üzerine silinir, yok edilir ya da anonim hâle getirilir.

KVKK m.11 uyarınca, ilgili kişi olarak veri sorumlusuna başvurarak kendinizle ilgili olarak şu haklara sahipsiniz: kişisel verilerinizin işlenip işlenmediğini öğrenme; işlenmişse buna ilişkin bilgi talep etme; işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme; yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme.

Bunlara ek olarak; kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme; KVKK ve ilgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme; düzeltme, silme ve yok etme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme; işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme; ve kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme haklarına sahipsiniz.

Bu haklar, Şirket’in veri sorumlusu sıfatıyla işlediği veriler bakımından doğrudan Şirket’e karşı kullanılır. Avukat veya hukuk bürosunun müvekkiline ait olup Omnilegal üzerinden işlenen veriler bakımından ise veri sorumlusu ilgili avukat veya hukuk bürosu olduğundan, m.11 haklarına ilişkin başvurular kural olarak söz konusu veri sorumlusuna yöneltilir; Şirket bu hâllerde veri işleyen sıfatıyla ilgili veri sorumlusuna gerekli desteği sağlar.

İlgili kişiler, KVKK m.13 ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca, işbu metnin 9. bölümünde sayılan haklarına ilişkin taleplerini Şirket’e iletebilir. Başvuru; ilgili kişinin kimliğini tevsik eden bilgilerle birlikte, yazılı olarak veya Kurul tarafından belirlenen diğer yöntemlerle (kayıtlı elektronik posta adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından Şirket’e daha önce bildirilen ve sistemde kayıtlı bulunan elektronik posta adresi kullanılmak suretiyle) yapılabilir.

Başvurular; Sinanpaşa Mahallesi, Süleyman Seba Caddesi, No: 6 İç Kapı No: 4, Beşiktaş / İstanbul adresine yazılı olarak, 25878-54156-69813 elektronik tebligat adresine (UETS) ya da mtopluyildiz@gmail.com elektronik posta adresine iletilebilir. Başvuruda; ad, soyad ve başvuru yazılı ise imza, varsa Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, tebligata esas adres, varsa bildirime esas elektronik posta adresi ile talep konusunun bulunması zorunludur.

Şirket, başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve her hâlde başvurunun Şirket’e ulaştığı tarihten itibaren en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırır. Ancak işlemin ayrıca bir maliyet gerektirmesi hâlinde, Kurul’ca belirlenen tarifedeki ücret alınabilir. Talebin reddedilmesi, verilen yanıtın yetersiz bulunması veya süresinde yanıt verilmemesi hâlinde ilgili kişi, yanıtı öğrendiği tarihten itibaren otuz (30) ve her hâlde başvuru tarihinden itibaren altmış (60) gün içinde Kurul’a şikâyette bulunma hakkına sahiptir.

Omnilegal, avukatların ve hukuk bürolarının çalışmalarını müvekkil kabulünden teslimata kadar tek bir sistemde birleştiren bir hukuk yapay zekâ işletim sistemidir. Bir avukat veya hukuk bürosu, kendi müvekkillerine ait kişisel verileri Omnilegal’e girdiğinde, bu veriler bakımından veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen ilgili avukat veya hukuk bürosudur.

Bu hâlde Topluyıldız Danışmanlık A.Ş., söz konusu müvekkil verileri bakımından veri sorumlusu değil, KVKK m.12 anlamında veri işleyen sıfatını taşır ve verileri yalnızca taraflar arasında akdedilen Veri İşleme Sözleşmesi (DPA) çerçevesinde, veri sorumlusunun yazılı talimatları doğrultusunda ve hizmetin sunulması için gerekli olan ölçüde işler. Veri güvenliğine ilişkin teknik ve idari tedbirlere yönelik yükümlülükler, anılan sözleşmede taraflar arasında açıkça paylaştırılmıştır.

Buna göre, müvekkillere yönelik aydınlatma yükümlülüğünün yerine getirilmesi, gerektiğinde açık rıza veya KVKK m.6 kapsamındaki diğer hukuki sebeplerin sağlanması ve müvekkillerin m.11 haklarına ilişkin başvuruların karşılanması, esas itibarıyla veri sorumlusu sıfatındaki avukata veya hukuk bürosuna aittir. Şirket, veri işleyen sıfatıyla bu yükümlülüklerin yerine getirilmesinde veri sorumlusuna makul desteği sağlar.

Omnilegal’in mimarisi, müvekkil verilerinin korunmasını yapısal güvencelerle destekler. Bir yapay zekâ modeline herhangi bir çağrı yapılmadan önce kişisel veriler maskelenir ve modele yalnızca maskelenmiş metin iletilir; model hiçbir aşamada maskelenmemiş kişisel veriye erişmez. Maskeleme işlemine ilişkin anahtar veya eşleştirme tablosu yargı çevresinin dışına çıkarılmaz ve yurt dışına aktarılmaz.

Müvekkil verileri ve kullanıcı tarafından sisteme girilen içerik, herhangi bir yapay zekâ modelinin eğitilmesi amacıyla kullanılmaz. Maskeleme adımının başarısız olması hâlinde ilgili akış, veri sızıntısını önlemek amacıyla devam ettirilmek yerine durdurulur. Şirket ayrıca, aktarım ve saklama sırasında şifreleme uygular, dosya bazında izolasyon sağlar ve onay, atıf (citation) ile maskeleme adımlarına ilişkin bir denetim izi tutar.

Bu güvencelere ek olarak, her atfın kaynağına kadar denetlendiği citation gate işletilir; doğrulanamayan hususlar uydurulmak yerine doğrulama için işaretlenir. 1136 sayılı Avukatlık Kanunu’nun 36. maddesi uyarınca son okuma, karar ve imza her hâlde insan avukata aittir; sistem, avukatın muhakemesinin yerine geçmeyecek biçimde yapılandırılmıştır. Yapay zekâ avukata yardımcı olur; avukatın yerini almaz ve kendiliğinden hukuki tavsiye vermez.

Şirket, mevzuatta meydana gelebilecek değişiklikler ile Kurul karar ve düzenlemeleri doğrultusunda işbu Aydınlatma Metni’nde güncelleme yapma hakkını saklı tutar. Güncel metin, omnipotentlegal.ai üzerinden yayımlandığı tarihte yürürlüğe girer. İlgili kişilerin, haklarını etkileyen esaslı değişikliklerden uygun yöntemlerle haberdar edilmesi esastır.