Gizlilik Politikası

Sizin verdikleriniz:

• Hesap: Ad, soyad, e-posta, şifre (hash'lenir)
• Şirket: Unvan, vergi no, vergi dairesi, adres
• Ödeme: Plan, abonelik tutarı, fatura kayıtları (kart bilgisi PayTR/Paddle'da, bize gelmez)
• İçerik: Sisteme yüklediğiniz müşteri, fatura, ürün, mesaj verileri

Otomatik toplanan:

• IP adresi, tarayıcı türü, işletim sistemi, ekran çözünürlüğü
• Oturum kayıtları, giriş zamanları, hangi sayfalara eriştiğiniz
• Audit log (kritik işlemler için)
• API çağrı kayıtları (rate limit ve abuse tespiti için)
• IP-bazlı yaklaşık ülke tespiti (dil ve para birimi varsayılanları için)

3. taraflardan alınanlar:

• Telegram/WhatsApp Bot API üzerinden gönderdiğiniz mesajların metadatası
• Ödeme sağlayıcılarından alınan abonelik durumu (PayTR)
• Anti-fraud servislerinden risk skoru (gerektiğinde)

• Hizmeti sağlamak ve sürdürmek
• Hesabınızı yönetmek, abonelik döngüsünü işletmek
• Sizinle iletişim kurmak (işlemsel e-postalar, destek talepleri)
• AI asistan (Simge) komutlarını işlemek
• E-belge entegrasyonlarını GİB'e iletmek (sizin talebinizle)
• Abuse, fraud, güvenlik ihlallerini tespit etmek
• Hizmeti iyileştirmek (anonim/toplu analitik; bireysel davranış izleme yapmayız)
• Yasal yükümlülükleri yerine getirmek (vergi, KVKK, mahkeme kararı)
• Açık rızanız varsa: ürün haberleri, eğitim içerikleri, pazarlama iletişimi

Yapmadığımız şeyler: Verinizi satmıyoruz, pazarlama amacıyla 3. taraflarla paylaşmıyoruz, AI model eğitimi için kullanmıyoruz, profilleme yaparak kararlar almıyoruz.

omnirago.com aşağıdaki çerez türlerini kullanır:

• Zorunlu çerezler (rıza gerektirmez, KVKK md.5/2-c): Oturum (login), CSRF koruma, dil tercihi
• Tercih çerezleri: Para birimi, tema, görüntüleme dili — kullanım deneyimini iyileştirir
• Analitik çerezler: Anonim ziyaret istatistikleri, hata izleme (Sentry). Hiç kişisel veri içermez.
• Üçüncü taraf çerezler: Crisp Chat (destek widget'ı — sadece aktive ettiyseniz), PayTR (ödeme), Telegram (auth widget). Bu çerezleri ilgili sağlayıcı yönetir.

Pazarlama / 3. parti reklam çerezi kullanılmaz. Çerezleri tarayıcı ayarlarınızdan istediğiniz zaman silebilir veya engelleyebilirsiniz; ancak zorunlu çerezler engellenirse hizmet düzgün çalışmayabilir.

Hizmetin sunumu için zorunlu olan ölçüde aşağıdaki kategorilerle paylaşılır:

• Altyapı sağlayıcıları: Marka Host (TR), Neon DB (AB)
• Ödeme: PayTR (TR — TRY), Paddle (USD/EUR Merchant of Record)
• E-posta: Resend (ABD)
• Mesajlaşma: Telegram FZ-LLC (BAE), Meta Platforms Inc. (ABD)
• AI/LLM: DeepSeek (Çin), Anthropic (ABD), Groq (ABD)
• Hata izleme: Sentry Inc. (ABD/AB)
• Destek widget: Crisp (Fransa) — kullanıyorsa
• Yasal merciler: Mahkeme kararı, KVKK Kurumu, GİB
• İş ortakları: Mali müşavir/hukuk müşaviri (gizlilik sözleşmesi altında, talep halinde)

Verinizi asla satmayız. Pazarlama amacıyla 3. taraflarla paylaşmayız. Tüm 3. taraf sağlayıcılarla Veri İşleyici Sözleşmesi (DPA) veya eşdeğer korumalar uygulanır.

Bazı hizmet sağlayıcıları (Anthropic, DeepSeek, Sentry, Resend vb.) yurt dışında konumlanmıştır. Veri aktarımı KVKK md.9 ve GDPR Chapter V kapsamında, hizmet sunumunun zorunlu unsuru olarak ve şifreli bağlantılar üzerinden yapılır.

Hukuki dayanaklar:

• Sözleşmenin ifası için zorunluluk (KVKK md.9/6, GDPR Art.49/1-b)
• Açık rıza (md.9/1, Art.49/1-a)
• Hizmet sağlayıcılarla imzalanan SCC (Standard Contractual Clauses) ve eşdeğer korumalar

Yeterli korumanın bulunmadığı ülkelere yapılan aktarımlarda KVKK Kurulu izni veya md.9/6'da öngörülen istisnalar uygulanır.

Teknik:

• TLS 1.2+ ile uçtan uca şifreli bağlantılar
• Şifreler argon2 ile hash'lenir, asla düz metin saklanmaz
• API key'ler argon2 hash, sadece prefix saklanır
• Çok kiracılı mimaride mantıksal veri izolasyonu (her sorgu companyId filtreli)
• Telegram webhook'larda secret_token doğrulaması
• Per-IP ve per-API-key rate limit
• Audit log — kritik mutation'lar izlenebilir
• Sentry ile hata izleme (PII filtreli)
• Düzenli güvenlik yamaları ve bağımlılık taraması

İdari:

• Çalışan gizlilik sözleşmeleri
• En az ayrıcalık prensibi (least privilege)
• Erişim yetkilendirme matrisi
• Güvenlik olayı müdahale prosedürü

Tüm önlemlere rağmen internet ortamında %100 güvenlik teorik olarak mümkün değildir. Bir veri ihlali tespit edildiğinde 72 saat içinde KVKK Kurulu'na ve etkilenen veri sahiplerine bildirim yapılır (KVKK md.12/5).

• Aktif hesap verisi: Hizmet süresince
• Mali kayıtlar: VUK md.253-256 uyarınca 10 yıl
• Sözleşme/ticari kayıtlar: TTK md.82 uyarınca 10 yıl
• Audit log: 12 ay
• Oturum / IP log: 6 ay (5651 sayılı Kanun)
• WhatsApp / Telegram mesaj geçmişi: 90 gün
• Pazarlama rızası: Geri çekilene kadar
• Veri silme talebi: 30 gün içinde fiilen silinir

Omnirago 18 yaşın altındakilere yönelik bir hizmet değildir. 18 yaşından küçük olduğunu fark ettiğimiz hesapları kapatır, mevcut verileri sileriz. 18 yaş altı bir çocuğunuzun verisinin işlendiğini düşünüyorsanız lütfen kvkk@omnirago.com adresinden bize bildiriniz.

Bu Politikayı yasal düzenlemeler veya iş süreçlerimizdeki değişiklikler doğrultusunda güncelleyebiliriz. Önemli değişiklikler 30 gün önceden e-posta veya panel içi bildirim ile duyurulur. Son güncelleme tarihi sayfanın başında yer alır. Değişikliği kabul etmiyorsanız aboneliğinizi yürürlük tarihinden önce iptal edebilirsiniz.

KVKK md.11 / GDPR Art.15-22 kapsamında erişim, düzeltme, silme, taşıma, işlemeye itiraz ve şikayet haklarınız vardır. Bu hakları kullanmak için:

• Panel içi: Ayarlar → Verilerimi Sil (30 günlük geri alma süresiyle)
• E-posta: kvkk@omnirago.com
• Şikayet yetkili kurum: Türkiye için KVKK Kurumu; AB'de yerel veri koruma kurumu

Talepleriniz en geç 30 gün içinde ücretsiz olarak sonuçlandırılır. Detaylı haklar listesi için KVKK Aydınlatma Metni'ne bakınız.