Veri İşleme Sözleşmesi

Sözleşme Tarihi: 3 Aralık 2025
Taraflar: Derin Vergi Uzmanı (Veri Sorumlusu) - Kullanıcı (Veri Sahibi)

🌐 YAYINLANMA GEREKLİLİĞİ

Bu Veri İşleme Sözleşmesi, platformumuzun web sitesinde (https://vergiuzmani.online) herkesin erişimine açık şekilde yayınlanmalıdır.

Erişim: Kullanıcılar bu sözleşmeye web sitesi alt bilgi (footer) menüsünden veya "Veri İşleme Sözleşmesi" bağlantısından kolayca ulaşabilmelidir.

1. Sözleşmenin Amacı ve Kapsamı

İşbu Veri İşleme Sözleşmesi ("Sözleşme"), 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve ilgili mevzuat uyarınca, Derin Vergi Uzmanı platformu üzerinden sunulan yapay zeka destekli vergi danışmanlığı hizmetleri kapsamında işlenen kişisel verilerin korunmasına ilişkin hak ve yükümlülükleri düzenlemektedir.

2. Tanımlar

| Terim | Açıklama | |-------|----------| | Veri Sorumlusu | Derin Vergi Uzmanı platformunu işleten kuruluş | | Veri Sahibi | Platform kullanıcısı (siz) | | Veri İşleyen | Veri Sorumlusu adına kişisel veri işleyen üçüncü taraflar (AI sağlayıcıları, bulut hizmetleri) | | Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi | | Özel Nitelikli Kişisel Veri | KVKK m.6 kapsamında sağlık verileri, mali bilgiler gibi hassas veriler | | KVKK | 6698 sayılı Kişisel Verilerin Korunması Kanunu | | VUK | 213 sayılı Vergi Usul Kanunu |

3. İşlenen Kişisel Veriler

3.1. Veri Kategorileri

| Kategori | Veri Türleri | Özel Nitelik | |----------|-------------|--------------| | Kimlik Bilgileri | Ad, soyad, TC kimlik no (opsiyonel) | Hayır | | İletişim Bilgileri | E-posta, telefon, adres | Hayır | | Finansal Bilgiler | Ödeme bilgileri, fatura, gelir-gider bilgileri | Evet | | Vergi Bilgileri | Vergi numarası, beyanname, mali durum | Evet | | Kullanım Verileri | Soru geçmişi, yüklenen belgeler, analiz sonuçları | Hayır | | Teknik Bilgiler | IP adresi, cihaz bilgisi, log kayıtları | Hayır |

ÖNEMLİ: Finansal ve vergi bilgileri özel nitelikli kişisel veri olarak kabul edilir ve KVKK m.6 kapsamında açık rızanız gereklidir.

3.2. Veri Toplama Yöntemleri

  • ✅ Web sitesi kayıt formu ve Google OAuth
  • ✅ Platform kullanımı (soru girişi, belge yükleme)
  • ✅ Ödeme işlemleri (Stripe, Iyzico, Paytr)
  • ✅ Otomatik sistemler (çerezler, analitik)
  • ✅ Müşteri iletişimi (e-posta, destek)

4. Veri İşleme Amaçları ve Hukuki Dayanakları

| Amaç | Hukuki Dayanak | KVKK Maddesi | |------|---------------|--------------| | Hizmet sunumu ve hesap yönetimi | Sözleşmenin ifası | m.5/2-c | | Ödeme ve faturalandırma | Sözleşmenin ifası | m.5/2-c | | AI analiz ve vergi danışmanlığı | Açık rıza | m.5/1, m.6/2 | | Yasal saklama yükümlülüğü | Hukuki yükümlülük | m.5/2-ç | | Platform güvenliği | Meşru menfaat | m.5/2-f | | Hizmet iyileştirme ve analitik | Açık rıza | m.5/1 |

4.1. Yasal Saklama Yükümlülüğü

VUK m.253 uyarınca, fatura ve mali belgeler 10 yıl süreyle saklanma zorunluluğu bulunmaktadır. Bu süre zarfında verileriniz yasal yükümlülük nedeniyle silinemez.

5. Veri Aktarımları

5.1. Yurt İçi Aktarımlar

| Alıcı | Amaç | Dayanak | |-------|------|---------| | Ödeme Kuruluşları (Iyzico, Paytr) | Güvenli ödeme işlemleri | Sözleşme ifası | | Kamu Kurum ve Kuruluşları | Yasal yükümlülükler | Hukuki zorunluluk |

5.2. Yurt Dışı Aktarımlar (ÖNEMLİ)

AI Hizmet Sağlayıcıları - ABD:

| Şirket | Hizmet | Lokasyon | Güvence | |--------|---------|----------|---------| | OpenAI | GPT-5, GPT-5.1 modelleri | ABD | SCC, SOC 2, GDPR | | Google | Gemini-3-pro-preview | ABD | SCC, ISO 27001, GDPR | | Anthropic | Claude-Sonnet-4-5 | ABD | SCC, SOC 2, GDPR | | Groq | AI işleme altyapısı | ABD | SCC, GDPR |

Bulut Hizmet Sağlayıcıları:

| Şirket | Hizmet | Lokasyon | Güvence | |--------|---------|----------|---------| | Vercel | Frontend hosting | ABD | SCC, ISO 27001 | | Railway | Backend hosting | ABD | SCC, SOC 2 | | AWS | Veri depolama | ABD/EU | SCC, ISO 27001, GDPR |

Hukuki Dayanak: KVKK m.9 - Açık rızanız ile gerçekleştirilir

Güvence Mekanizmaları:

  • ✅ AB Standart Sözleşme Hükümleri (SCC)
  • ✅ Veri Koruma Değerlendirmesi (Data Protection Impact Assessment)
  • ✅ Uluslararası sertifikasyonlar (SOC 2 Type II, ISO 27001)
  • ✅ GDPR uyumluluk belgeleri
  • ✅ Şifreleme ve güvenlik protokolleri (TLS 1.3, AES-256)

6. Veri İşleyenler ile İlişki

6.1. Veri İşleme Sözleşmeleri

Tüm üçüncü taraf hizmet sağlayıcılarla yazılı veri işleme sözleşmeleri imzalanmıştır. Bu sözleşmeler şunları içerir:

  • ✅ Veri işleme amaç ve kapsamı
  • ✅ Veri güvenliği yükümlülükleri
  • ✅ Veri saklama ve imha prosedürleri
  • ✅ Alt yüklenici kullanımı kısıtlamaları
  • ✅ Denetim ve raporlama hakları
  • ✅ Veri ihlali bildirimi yükümlülüğü

6.2. Veri Sorumlusunun Kontrol ve Denetim Hakları

Veri Sorumlusu olarak, tüm Veri İşleyenlerin KVKK uyumluluğunu düzenli olarak denetleme hakkımız bulunmaktadır.

7. Veri Güvenliği Tedbirleri

7.1. Teknik Güvenlik Tedbirleri

| Tedbir | Açıklama | |--------|----------| | Şifreleme | TLS 1.3 (transit), AES-256 (rest) | | Kimlik Doğrulama | JWT, OAuth 2.0, multi-factor authentication | | Erişim Kontrolü | Role-based access control (RBAC) | | Ağ Güvenliği | Firewall, DDoS koruması, IDS/IPS | | Yedekleme | Günlük otomatik yedekleme, 30 gün saklama | | Güvenlik Testleri | Düzenli penetrasyon testleri ve zafiyet taramaları |

7.2. İdari Güvenlik Tedbirleri

  • ✅ Veri koruma politika ve prosedürleri
  • ✅ Çalışan gizlilik sözleşmeleri ve eğitimleri
  • ✅ Erişim log kayıtları ve düzenli denetim
  • ✅ Veri ihlali müdahale planı (Incident Response Plan)
  • ✅ Veri sorumlusu sicil kaydı (VERBIS)

7.3. Veri İhlali Yönetimi

Veri ihlali durumunda:

  • ⏱️ 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim
  • 📧 İlgili kullanıcılara derhal e-posta bildirimi
  • 📋 İhlal detayları, etkilenen veriler ve alınan tedbirlerin raporlanması

8. Veri Saklama ve İmha

8.1. Saklama Süreleri

| Veri Kategorisi | Süre | Hukuki Dayanak | |----------------|------|----------------| | Finansal ve fatura bilgileri | 10 yıl | VUK m.253 | | Hesap ve kimlik bilgileri | Aktif süre + 1 yıl | Sözleşme ilişkisi | | Soru ve analiz geçmişi | Aktif süre | Hizmet sunumu | | Log ve güvenlik kayıtları | 2 yıl | Bilgi güvenliği | | Pazarlama izinleri | İzin geri alınana kadar | Açık rıza |

8.2. İmha Yöntemleri

Saklama süresi dolan veya işlenme amacı ortadan kalkan kişisel veriler:

  • 🗑️ Silme: Veritabanından kalıcı silme
  • 🔥 Yok etme: Geri getirilemez şekilde imha
  • 🔒 Anonimleştirme: Kimlik bilgilerinin çıkarılması
  • 📦 Arşivleme: Yasal zorunluluk nedeniyle kısıtlı erişimle saklama

9. Veri Sahibinin Hakları (KVKK m.11)

9.1. Bilgi Alma Hakları

Veri sahibi olarak aşağıdaki haklara sahipsiniz:

  • ✅ Kişisel verilerinizin işlenip işlenmediğini öğrenme
  • ✅ İşlenmişse buna ilişkin bilgi talep etme
  • ✅ İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
  • ✅ Yurt içi/dışı aktarıldığı üçüncü kişileri bilme

9.2. Düzeltme ve Silme Hakları

  • ✅ Eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme
  • ✅ KVKK m.7 şartları çerçevesinde silinmesini veya yok edilmesini isteme
  • ✅ Düzeltme/silme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme

9.3. İtiraz ve Tazminat Hakları

  • ✅ Otomatik sistemlerle yapılan analizlere itiraz etme
  • ✅ Kanuna aykırı işleme nedeniyle zararın giderilmesini talep etme

9.4. Hak Kullanım Prosedürü

Başvuru Kanalları:

  • 📧 E-posta: bilgi@markadanismanlik.net
  • 💻 Platform: Hesap ayarları > Veri taleplerim

Değerlendirme Süresi: 30 gün

Başvuru Gereksinimleri:

  • Kimlik teyidi (TC kimlik kartı fotokopisi veya e-Devlet)
  • Talep konusunun açık belirtilmesi

10. Açık Rıza Beyanı

İşbu sözleşmeyi kabul ederek, aşağıdaki hususlara açık rıza verdiğinizi beyan edersiniz:

10.1. Genel Rıza

  • ✅ Kişisel verilerimin yukarıda belirtilen amaçlarla işlenmesine
  • ✅ Yurt içi üçüncü taraflara aktarılmasına
  • ✅ Platformun normal işleyişi için gerekli veri işleme faaliyetlerine

10.2. Özel Nitelikli Veri Rızası (KVKK m.6)

  • Finansal ve vergi bilgilerimin AI analiz sistemlerine aktarılmasına
  • ✅ Vergi danışmanlığı hizmeti için mali durumuma ilişkin verilerin işlenmesine

10.3. Yurt Dışı Aktarım Rızası (KVKK m.9)

  • ABD merkezli AI sağlayıcılarına (OpenAI, Google, Anthropic, Groq) veri aktarımına
  • Yurt dışı bulut hizmetlerinde (Vercel, Railway, AWS) veri depolanmasına
  • ✅ AB Standart Sözleşme Hükümleri çerçevesinde uluslararası veri transferine

10.4. Rıza Geri Alma Hakkı

Açık rızanızı istediğiniz zaman geri alabilirsiniz:

  • 📧 bilgi@markadanismanlik.net adresine e-posta göndererek
  • 💻 Hesap ayarları > Gizlilik tercihleri üzerinden

Önemli: Rıza geri alma durumunda, hizmetin sunulması mümkün olmayabilir. Ancak yasal saklama yükümlülüğü olan veriler (VUK m.253 - 10 yıl) geri alma talebine rağmen saklanmaya devam edilecektir.

11. Sözleşme Değişiklikleri

Bu sözleşme, yasal düzenlemeler ve operasyonel gereksinimler doğrultusunda güncellenebilir.

Bildirim: Önemli değişiklikler e-posta ile ve platform üzerinde duyuru ile bildirilecektir.

Yürürlük: Değişiklikler bildirim tarihinden itibaren 15 gün sonra yürürlüğe girer.

12. Uygulanacak Hukuk ve Yetkili Mahkeme

İşbu sözleşmeden doğabilecek uyuşmazlıklarda Türkiye Cumhuriyeti kanunları uygulanır.

Yetkili Mahkeme: İstanbul Mahkemeleri ve İcra Daireleri

Şikayet Makamı: Kişisel Verileri Koruma Kurumu (kvkk@kvkk.gov.tr)

13. İletişim Bilgileri

Veri Sorumlusu: Derin Vergi Uzmanı

E-posta: bilgi@markadanismanlik.net
Web: https://vergiuzmani.online

KVKK Başvuru: bilgi@markadanismanlik.net

Onay Beyanı

Derin Vergi Uzmanı platformunu kullanarak, işbu Veri İşleme Sözleşmesini okuduğunuzu, anladığınızı ve kabul ettiğinizi beyan edersiniz.

Sözleşme Tarihi: 3 Aralık 2025
Son Güncelleme: 3 Aralık 2025

Ek Bilgi Kaynakları:

  • KVKK Metni: https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698
  • KVKK Kurumu: https://www.kvkk.gov.tr
  • VUK m.253: https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=213