Gizlilik Politikasi / Privacy Policy

Son guncelleme / Last updated: 10 Mayis 2026

KVKK 2026/347 ilke karari uyarinca: Bu metin aydinlatma metnidir. Acik riza beyani (cerez, pazarlama, AI islemesi, yurtdisi aktarim acik rizalari) urun akisinda ayribelge olarak alinir; bu sayfanin sonunda "okudum, kabul ediyorum" gibi bir onay bulunmaz.

1. Veri Sorumlusu (Data Controller)

Kutasia platformunun veri sorumlusu asagida iletisim bilgileri verilen tuzel/gercek kisidir. 6698 sayili Kisisel Verilerin Korunmasi Kanunu (KVKK) ve Avrupa Birligi Genel Veri Koruma Tuzugu (GDPR) kapsaminda kisisel verileriniz asagidaki esaslar cercevesinde islenmektedir.

Veri Sorumlusu: Kutasia
Genel iletisim: info@kutasia.com
Veri Koruma Sorumlusu (DPO): dpo@kutasia.com

2. Toplanan Veriler

Ad, soyad, e-posta adresi ve telefon numarasi (kayit sirasinda).
Isletme adi, sektor, adres ve iletisim bilgileri.
Instagram gonderi, yorum, direkt mesaj ve profil metrikleri (Instagram Graph API uzerinden, hesap baglama sirasinda).
Google Business yorumlari ve isletme konum bilgileri (Google Business Profile baglama sirasinda).
WhatsApp mesajlari (WhatsApp Business API entegrasyonu uzerinden).
Telefon arama kayitlari ve meta verileri (Twilio entegrasyonu uzerinden).
Musteri etkilesim verileri (mesajlar, yorumlar, degerlendirmeler) CRM islevleri icin.
Odeme bilgileri: Kredi karti bilgileri Kutasia sunucularinda SAKLANMAZ — Iyzico ve/veya Stripe tarafindan tokenize edilir. Yalnizca abonelik durumu ve fatura gecmisi saklanir.
Standart kullanim kayitlari (IP adresi, tarayici turu, ziyaret edilen sayfalar).

3. Veri Isleme Amaclari

Platform hizmetlerinin sunulmasi ve iyilestirilmesi.
Musteri iliskileri yonetimi (CRM) islevlerinin saglanmasi.
Sosyal medya hesaplarinin entegrasyonu ve yonetimi.
Yapay zeka destekli duygu analizi ve yanit onerileri.
Odeme islemlerinin gerceklestirilmesi ve abonelik yonetimi.
Bildirim ve iletisim (e-posta, WhatsApp ozet bildirimleri).
Analitik raporlama ve performans takibi.
Yasal yukumluluklerin yerine getirilmesi.

4. Instagram / Meta API Verileri

Kutasia, Instagram Graph API'yi Meta Platform Politikasi kapsaminda kullanir:

instagram_manage_messages: Bagli isletme hesabinin Direkt Mesajlarini okumak ve yanitlamak icin.
instagram_business_manage_messages: Instagram Business API uzerinden mesajlara erismek icin.
instagram_manage_comments: Isletme gonderilerindeki yorumlari okumak ve yanitlamak icin.
instagram_basic: Profil bilgileri ve medya iceriklerine erismek icin.
Erisim tokenlari depolamadan once AES-256-GCM ile sifrelenir ve ucuncu taraflarla paylasIlmaz.
Kullanicilar Instagram hesaplarini Ayarlar uzerinden istedikleri zaman baglantisini kesebilir; bu islem saklanan erisim tokenini derhal siler.

5. Ucuncu Taraf Paylasimlari

Verileriniz asagidaki hizmet saglayicilari ile hizmet sunumu amacli paylasabilir:

Meta (Instagram, WhatsApp) — Sosyal medya entegrasyonu ve mesajlasma.
Google — Kimlik dogrulama (OAuth) ve Google Business Profile entegrasyonu.
Twilio — Telefon arama yonetimi.
Iyzico / Stripe — Odeme islemleri (kredi karti bilgileri yalnizca bu saglayicilarda saklanir).
Resend — E-posta bildirimleri.
OpenAI / Anthropic — Yapay zeka destekli analiz ve oneriler (anonimlestirilmis veri ile, API tarafinda model egitimi opt-out aktif).
Hostinger International Ltd. (AS47583, merkez: Litvanya, AB) — Uygulama, Postgres veritabani ve dosya depolama Vilnius (Litvanya) konumundaki VPS uzerinde self-hosted (sunucu hostname: srv1150632.hstgr.cloud). Tum veri AB toprag'inda kalir.

Verileriniz hicbir kosulda reklam amaciyla ucuncu taraflara satilmaz veya paylasIlmaz.

6. Cerezler (Cookies)

Oturum cerezi (NextAuth) — Giris durumunuzu korumak icin zorunlu cerez. Oturum kapatildiginda sona erer.
Dil tercihi — Sectiginiz dili hatirlamak icin yerel depolama kullanilir.
Tema tercihi — Acik/koyu tema secimini hatirlamak icin yerel depolama kullanilir.

Kutasia ucuncu taraf izleme cerezleri veya reklam cerezleri kullanmaz.

7. Veri Saklama Suresi

Kisisel verileriniz hesabiniz aktif oldugu surece saklanir.
Hesap kapatma talebi uzerine tum veriler 30 gun icinde kalici olarak silinir.
Yasal zorunluluklar geregi bazi veriler (fatura bilgileri gibi) yasal saklama suresi boyunca muhafaza edilebilir.
Anonim istatistiksel veriler suresiz olarak saklanabilir.

8. Veri Guvenligi

Veriler Vilnius (Litvanya, AB) konumundaki Hostinger VPS uzerinde self-hosted PostgreSQL'de saklanir.
OAuth tokenlari ve hassas alanlar AES-256-GCM sifreleme ile depolanir.
Tum veri aktarimi TLS 1.2+ ile korunur.
Guvenlik basliklari (CSP, HSTS, X-Frame-Options) aktiftir.
Erisim kontrolu rol tabanli yetkilendirme (RBAC) ile saglanir; tenant izolasyonu zorunludur.
Veri silme ve veri disa aktarma uclari oncesinde kimlik dogrulamasi (oturum + e-posta onayi) zorunludur.
Otomatik gunluk yedekler sifrelidir; yedeklerin saklama suresi 30 gundur.

9. Kullanici Haklari (KVKK Madde 11)

6698 sayili KVKK'nin 11. maddesi uyarinca asagidaki haklara sahipsiniz:

Kisisel verilerinizin islenip islenmedigini ogrenme.
Islenmisse buna iliskin bilgi talep etme.
Isleme amacini ve amacina uygun kullanilip kullanilmadigini ogrenme.
Yurt ici veya yurt disinda aktarildig ucuncu kisileri bilme.
Eksik veya yanlis islenmisse duzeltilmesini isteme.
KVKK'nin 7. maddesinde ongowulen sartlar cercevesinde silinmesini veya yok edilmesini isteme.
Duzeltme, silme veya yok etme islemlerinin aktarildi ucuncu kisilere bildirilmesini isteme.
Islenen verilerin munhasiran otomatik sistemler vasitasiyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya cikmasina itiraz etme.
Kanuna aykiri olarak islenmesi sebebiyle zarara ugramaniz halinde zararin giderilmesini talep etme.

Bu haklarinizi kullanmak icin info@kutasia.com adresine basvurabilirsiniz. Basvurular en gec 30 gun icinde yanitlanir.

10. Veri Tasinabilirligi

Talep uzerine kisisel verileriniz yaygin kullanilan, makine tarafindan okunabilir bir formatta (JSON/CSV) tarafiniza teslim edilir.

11. Veri Silme

Hesabinizi ve iliskili tum verilerinizi uygulama icinden dogrudan silebilirsiniz: Ayarlar > Gizlilik ve Veriler > Hesabi Sil. Alternatif olarak info@kutasia.com adresine e-posta gondererek de talep edebilirsiniz. Detayli talimatlar /data-deletion sayfasindadir. Instagram tokenlari, musteri profilleri, mesajlar ve analitik verileri dahil tum veriler 30 gun icinde kalici olarak silinir.

12. AB Kullanicilari Icin Ek Haklar (GDPR/DSGVO)

Avrupa Birligi veya Avrupa Ekonomik Alani icinde ikamet eden kullanicilar icin Genel Veri Koruma Tuzugu (GDPR / DSGVO) kapsaminda asagidaki ek haklar gecerlidir:

Erisim hakki (Art. 15): Islenen verilerinize erisim talep etme.
Duzeltme hakki (Art. 16): Yanlis veya eksik verilerin duzeltilmesini isteme.
Silme / unutulma hakki (Art. 17): Verilerinizin kalici silinmesini isteme.
Isleme kisitlama hakki (Art. 18): Belirli kosullarda isleme kisitlamasi talep etme.
Veri tasinabilirligi (Art. 20): Verilerinizi makine tarafindan okunabilir formatta (JSON) alma — Ayarlar > Gizlilik sayfasindan.
Itiraz hakki (Art. 21): Mesru menfaat veya kamu yararina dayali islemeye itiraz etme.
Denetim otoritesine sikayet: Ulkenizin veri koruma otoritesine sikayette bulunma hakki.

Bu haklari kullanmak icin dpo@kutasia.com adresine basvurabilirsiniz. Talepler 30 gun icinde yanitlanir.

Veri Aktarimi:Verileriniz Vilnius (Litvanya, AB) konumundaki Hostinger VPS'te (srv1150632.hstgr.cloud) saklanir; boylece AB/AEA sinirlari icinde kalir. Bazi alt isleyiciler (OpenAI, Anthropic, Twilio, Stripe) ABD merkezlidir; bu aktarimlar oncelikle EU-US Data Privacy Framework (DPF) yeterlilik karari kapsaminda, sertifikasyon yoksa SCC (Standard Contractual Clauses, EU 2021/914) ve Transfer Etki Degerlendirmesi (TIA) ile gerceklestirilir.

13. Yapay Zeka Islemesi ve Yurtdisi Aktarim

Kutasia, musteri iletisimlerinin ozetlenmesi, duygu analizi ve yanit onerileri icin OpenAI'nin yapay zeka modellerini kullanir. Bu islem kapsaminda:

Islenen veriler OpenAI tarafindan model egitimi icin KULLANILMAZ (API istemci ayarimizla kapatilmistir).
Istekler TLS 1.2+ ile sifrelenir; OpenAI kisa sureli loglama disinda veriyi saklamaz.
OpenAI ABD merkezlidir; aktarim AB Standart Sozlesme Hukumleri (SCC) ve ek guvenlik tedbirleri ile yapilir.
AB/KVKK kullanicilari icin anonim olmayan kisisel veri aktarilmasi gereken islemler (ornegin guest profili ad-soyadi) kullanicinin acik izni olmadan gerceklestirilmez.

14. Uygulama Ici Gizlilik Haklari

Asagidaki uclar uzerinden haklarinizi uygulama icinden dogrudan kullanabilirsiniz:

GET /api/privacy/export — Tenant'iniza bagli tum verileri JSON olarak indirin.
POST /api/privacy/delete — Magic string onayi ile hesabinizi soft-delete edin (30 gun grace).
POST /api/privacy/consent — Cerez ve diger onay kayitlarini guncelleyin.
POST /api/settings/integrations/:id/disconnect — Bir kanalin baglantisini kesip token'i iptal edin.

Alternatif olarak Ayarlar > Gizlilik ve Verilersayfasindaki butonlari kullanabilirsiniz.

15. Iletisim

Kutasia — Genel: info@kutasia.com — Veri Koruma Sorumlusu: dpo@kutasia.com
Operasyonel iletisim: hasan.doenmez@dallmer.de — Hesap sahibi: drhasanhd@gmail.com