Gizlilik Politikası ve Kişisel Verilerin Korunması Aydınlatma Metni
1. Biz kimiz
Jently (“Jently”, “biz”), Amerika Birleşik Devletleri Delaware eyaleti kanunlarına göre kurulmuş TECHERO LLC tarafından işletilen yapay zekâ destekli bir çağrı merkezi platformudur. Kayıtlı adres: 1111B S Governors Ave #21885, Dover, DE 19904, ABD. Platform https://jently.io adresinde sunulur ve işletmelerin (“Müşteri”) telefon çağrılarını yanıtlayan ve başlatan, randevu oluşturan, bilgi tabanından soruları yanıtlayan ve çağrıları insanlara aktaran yapay zekâ sesli asistanlar kurmasını sağlar.
Bu metin; genel gizlilik uygulamalarımızı açıklamak ve Türkiye'deki ilgili kişiler bakımından 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) m. 10 kapsamındaki aydınlatma yükümlülüğünü yerine getirmek amacıyla hazırlanmıştır. jently.io web sitesi, Jently paneli, API'lerimiz ve sesli asistan hizmetlerinin tamamı (“Hizmet”) için geçerlidir. Bu belge Türkçe ve İngilizce yayımlanır; çelişki hâlinde İngilizce metin esas alınır.
2. İki farklı rolümüz: veri sorumlusu ve veri işleyen
- Veri sorumlusu olarak — Müşterilerimize ve çalışanlarına ait hesap ve giriş bilgileri, faturalama bilgileri, destek yazışmaları ve site kullanım verileri bakımından veri sorumlusu biziz; bu veriler için doğrudan bu metin uygulanır.
- Veri işleyen olarak — Müşterinin yapay zekâ asistanını arayan veya asistan tarafından aranan kişilere (“Son Kullanıcı”) ait ses, telefon numarası ve kişisel bilgiler ile randevu bilgileri, yüklenen bilgi tabanı içerikleri ve takvim verileri bakımından veri sorumlusu Müşteridir; biz bu verileri yalnızca Müşterinin talimatları doğrultusunda, Müşteriyle aramızdaki sözleşme (veri işleme ek sözleşmesi dâhil) uyarınca işleriz. Son Kullanıcılar taleplerini öncelikle iletişim kurdukları işletmeye yöneltmelidir; işletmenin yanıt vermesine yardımcı oluruz.
3. İşlenen kişisel veriler
3.1 Hesap ve organizasyon verileri (veri sorumlusu sıfatıyla)
- Ad soyad, kurumsal e-posta, organizasyon adı, şifrelenmiş (hash) parola — parolalar asla düz metin saklanmaz — rol ve yetkiler;
- Oturum verileri (giriş zamanları, oturum belirteçleri), güvenlik olayları (başarısız girişler, hesap kilitleme).
3.2 Faturalama verileri (veri sorumlusu sıfatıyla)
- Abonelik planı, faturalar, kullanım kayıtları (çağrı dakikaları, ön ödemeli dakika paketleri, otomatik yüklemeler);
- Ödeme kartı bilgileri ödeme sağlayıcımız Stripe tarafından doğrudan alınır ve işlenir; kart numaralarını hiçbir zaman görmez ve saklamayız. Yalnızca Stripe müşteri tanımlayıcıları ve ödeme durumunu tutarız.
3.3 Platform içerikleri (veri işleyen sıfatıyla)
- Asistan yapılandırmaları, talimat metinleri (prompt), karşılama mesajları, akışlar;
- Müşterinin yüklediği bilgi tabanı belgeleri (aranabilir hâle getirilir);
- Özel araç ve entegrasyon yapılandırmaları — üçüncü taraf kimlik bilgileri şifreli saklanır.
3.4 Çağrı ve ses verileri (veri işleyen sıfatıyla)
- Arayan/aranan telefon numaraları, çağrı zamanı, süresi, durumu ve teknik telemetri;
- Canlı çağrı sesi (konuşma tanıma için akış hâlinde işlenir; bkz. Bölüm 6);
- Çağrı dökümleri (transkript), yapay zekâ tarafından üretilen çağrı notları ve özetler, duygu analizi sonuçları;
- Çağrı ses kayıtları — yalnızca Müşteri kayıt özelliğini etkinleştirmişse ve geçerli rıza/bilgilendirme şartları sağlanmışsa (bkz. Bölüm 7). Ses kayıtları bazı ülkelerde hassas/biyometrik veri sayılabilir; gerekli bilgilendirme ve rızalardan Müşteri sorumludur;
- Çağrı sırasında toplanan randevu bilgileri (ör. ad, telefon, istenen tarih/saat);
- Rıza kayıtları (ör. Son Kullanıcının çağrı sırasında verdiği onay veya itiraz).
3.5 Google kullanıcı verileri (veri işleyen sıfatıyla)
Google API'leri üzerinden alınan tüm veriler için Bölüm 5 geçerlidir.
3.6 Teknik veriler (veri sorumlusu sıfatıyla)
- IP adresi, tarayıcı ve cihaz bilgileri, istek günlükleri, IP'den türetilen yaklaşık konum;
- Çerezler ve benzeri teknolojiler (bkz. Bölüm 13).
4. İşleme amaçları ve hukuki sebepler
| Amaç | Örnekler | Hukuki sebep (KVKK m. 5; GDPR ve diğer kanunlardaki eşdeğer dayanaklar) |
|---|---|---|
| Hizmetin sunulması | Asistanların çalıştırılması, çağrıların bağlanması, randevu oluşturma, takvim senkronizasyonu, transkript saklama | Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması (m. 5/2-c) |
| Faturalama ve muhasebe | Dakika ölçümü, faturalama, tahsilat, vergi kayıtları | Sözleşmenin ifası; hukuki yükümlülüğün yerine getirilmesi (m. 5/2-ç) |
| Güvenlik ve kötüye kullanımın önlenmesi | Kimlik doğrulama, hız sınırlama, dolandırıcılık tespiti, denetim kayıtları | Meşru menfaat (m. 5/2-f) |
| Destek ve iletişim | Taleplerin yanıtlanması, hizmet duyuruları, kritik bildirimler | Sözleşmenin ifası; meşru menfaat |
| Hizmetin iyileştirilmesi | Toplulaştırılmış, kimliksizleştirilmiş kullanım istatistikleri ve performans ölçümleri | Meşru menfaat (m. 5/2-f) |
| Hukuki yükümlülükler | Yetkili makamların hukuka uygun taleplerinin karşılanması, saklama yükümlülükleri | Hukuki yükümlülük (m. 5/2-ç); hakkın tesisi/korunması (m. 5/2-e) |
Kişisel verileri satmayız, bağlamlar-arası davranışsal reklamcılık için paylaşmayız ve üçüncü taraf reklamcılığı için kullanmayız.
5. Google kullanıcı verileri (Google API Hizmetleri)
Müşteri, Jently'ye bir Google Takvim bağladığında, Google kullanıcı verilerine Müşterinin açık OAuth onayıyla Google API'leri üzerinden erişiriz. Bu bölüm, Google API'lerinden alınan tüm veriler için geçerlidir.
5.1 Talep ettiğimiz kapsamlar ve nedenleri
| OAuth kapsamı | Ne sağlar | Neden gerekli |
|---|---|---|
calendar.readonly | Takvimlere ve etkinliklere salt okunur erişim (müsait/meşgul bilgisi dâhil) | Yapay zekâ asistanının mevcut etkinliklerle çakışmayan randevu saatleri önerebilmesi için bağlı takvimin müsaitliğini kontrol etmek |
calendar.events | Takvim etkinliklerini görüntüleme ve düzenleme | Asistanın Müşteri adına aldığı randevuları takvimde oluşturmak, güncellemek ve iptal etmek |
5.2 Nasıl kullanır, saklar ve koruruz
- Takvim verileri yalnızca yukarıda açıklanan randevu planlama özellikleri için kullanılır — müsaitlik kontrolü ve randevu etkinliklerinin yönetimi. Başka hiçbir amaçla kullanılmaz.
- OAuth erişim ve yenileme belirteçleri (token) şifrelenmiş olarak saklanır ve üçüncü taraflarla asla paylaşılmaz.
- Özelliğin gerektirdiği asgari takvim verisini saklarız (ör. müsaitlik hesaplanırken meşgul zaman aralıkları ve oluşturduğumuz etkinliklerin tanımlayıcıları).
- Google kullanıcı verileri hiçbir zaman reklam için kullanılmaz, satılmaz ve yapay zekâ / makine öğrenimi modellerinin (kendi modellerimiz veya üçüncü taraf genel amaçlı modeller dâhil) eğitiminde kullanılmaz.
- İnsanlar Google kullanıcı verilerini okumaz; istisnalar: (a) Müşterinin açık izni (ör. destek talebi), (b) güvenlik veya kötüye kullanım incelemesi için zorunlu hâller, (c) kanunen zorunlu hâller.
- Google kullanıcı verileri yalnızca burada tarif edilen kullanıcıya dönük özelliklerin sağlanması veya iyileştirilmesi için gerekli olduğunda, hukuka uyum amacıyla veya önceden bildirimli birleşme/devralma kapsamında aktarılır.
5.3 Sınırlı Kullanım (Limited Use) beyanı
Jently'nin Google API'lerinden aldığı bilgileri kullanımı ve başka herhangi bir uygulamaya aktarımı, Sınırlı Kullanım (Limited Use) gereklilikleri dâhil olmak üzere Google API Hizmetleri Kullanıcı Verileri Politikası'na uygun olacaktır. (İngilizce aslı: “Jently's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.”)
5.4 Erişimin iptali ve Google verilerinin silinmesi
- Google Takvim bağlantısını dilediğiniz an Jently panelinden kesebilirsiniz (Ayarlar → Entegrasyonlar). Bağlantının kesilmesi, saklanan OAuth belirteçlerini siler.
- Jently'nin erişimini Google Hesabınızdan da iptal edebilirsiniz: myaccount.google.com/permissions.
- Bağlantı kesildiğinde veya hesap silindiğinde, saklanan Google kullanıcı verilerini — kanunen daha uzun saklama zorunlu olmadıkça — 30 gün içinde sileriz. Jently'nin kendi veritabanında oluşturulan randevu kayıtları (ad, telefon, saat) Müşterinin ticari kayıtlarıdır ve Bölüm 11'e göre saklanır. Google Takviminizde halihazırda oluşturulmuş etkinlikler sizin kontrolünüzde, takviminizde kalır.
6. Yapay zekâ işlemesi (konuşma tanıma, dil modelleri, ses sentezi)
Hizmetin çekirdeği bir yapay zekâ ses hattıdır. Çağrı sırasında: (a) çağrı sesi, canlı transkript üretmek üzere bir konuşma-tanıma (STT) sağlayıcısına akış hâlinde iletilir; (b) transkript, Müşterinin asistan yapılandırması ve ilgili bilgi tabanı alıntılarıyla birlikte, asistan yanıtını üretmek üzere bir büyük dil modeline (LLM) gönderilir; (c) yanıt metni bir ses sentezi (TTS) sağlayıcısı tarafından sese dönüştürülür. Transkriptler ayrıca duygu analizine tabi tutulabilir ve çağrı notu olarak özetlenebilir.
- Yapay zekâ sağlayıcılarımız, ticari API sözleşmeleri kapsamında alt-işleyen olarak hareket eder ve içerikleri yalnızca bize hizmet sunmak için işler.
- Eğitim yok: Müşteri veya Son Kullanıcı içeriklerini temel model eğitiminde kullanmayız; sağlayıcıların, bu içeriklerle model eğitmesini sözleşmeyle yasaklayan ticari API katmanlarını kullanırız.
- Sınırlı sağlayıcı saklaması: Yapay zekâ sağlayıcıları API girdi/çıktılarını en fazla kısa kötüye-kullanım-izleme pencereleri boyunca (tipik olarak en çok 30 gün) tutar ve ardından siler; sağlayıcının sunduğu yerlerde sıfır-saklama (zero-retention) yapılandırmaları kullanılır.
- Yapay zekâ çıktıları hatalı olabilir; kritik bilgilerin doğrulanması Müşterinin sorumluluğundadır (bkz. Kullanım Koşulları).
7. Çağrı kayıtları ve rıza
- Çağrı ses kaydı, Müşteri etkinleştirmedikçe kapalıdır. Gelen çağrılar varsayılan olarak kaydedilmez.
- Ses kaydına ve otomatik (yapay zekâ) aramalara ilişkin kurallar ülkeden ülkeye ve ABD'de eyaletten eyalete değişir; kaydın anons edilmesini (veya iki taraflı rızayı), görüşülenin bir yapay zekâ ile konuştuğunun bildirilmesini veya önceden rıza alınmasını gerektirebilir. Kendi çağrılarına uygulanacak hukuka uygun anons/karşılama metinlerini yapılandırmak ve gerekli rızaları almak Müşterinin sorumluluğundadır; platform rıza kaydı ve anons araçları sunar.
- Çağrı sırasında rıza alındığında, Müşterinin uyumu ispatlayabilmesi için rıza kaydını (kim, ne zaman, neye onay verdi) saklarız.
8. Aktarım ve hizmet sağlayıcılar (alt-işleyenler)
Kişisel verileri yalnızca Hizmeti çalıştırmak için gerekli hizmet sağlayıcılarla, verinin kullanımını bize hizmet sunmakla sınırlayan sözleşmeler kapsamında paylaşırız. Güvenlik ve ticari gizlilik nedeniyle alt-işleyenlerimizi burada kategori bazında açıklıyoruz; Müşteriler güncel isimli alt-işleyen listesini (ve değişiklik bildirimlerini) [email protected] üzerinden veya veri işleme ek sözleşmesi kapsamında talep edebilir.
| Kategori | Amaç |
|---|---|
| Bulut altyapı ve depolama sağlayıcıları | Uygulama ve veritabanlarının barındırılması; çağrı kayıtları ile yüklenen belgelerin saklanması |
| İçerik dağıtımı, DNS ve güvenlik sağlayıcıları | CDN, DDoS koruması, uç güvenlik |
| Stripe (isimli — ödeme kuruluşu) | Ödeme işleme, faturalama |
| Google LLC (isimli — bkz. Bölüm 5) | Google Takvim API'si, yalnızca Müşteri bağladığında |
| Yapay zekâ hizmet sağlayıcıları (konuşma tanıma, dil modelleri, ses sentezi) | Çağrı sesinin metne çevrilmesi; asistan yanıtlarının ve bilgi araması gömmelerinin (embedding) üretilmesi; yanıtların sese dönüştürülmesi |
| Hata ve performans izleme sağlayıcıları | Teknik hata günlükleri ve tanılama |
| Lisanslı telekomünikasyon operatörleri | Çağrıların taşınması (numaralar, SIP trunk'lar) |
Ayrıca şu hâllerde aktarım yapabiliriz:
- kanunen veya bağlayıcı bir kararla zorunlu olduğunda yetkili makamlara;
- gizlilik yükümlülüğü altındaki profesyonel danışmanlara (avukat, denetçi);
- birleşme, devralma veya varlık satışı kapsamında — veri sorumlusu değişikliği önceden bildirilir;
- talimatınız veya açık rızanızla (ör. Müşterinin webhook/entegrasyon ile bağladığı üçüncü taraf araçlar — Müşterinin yapılandırdığı uç noktaya gönderilen veriler o üçüncü tarafın koşullarına tabidir).
9. Uluslararası aktarımlar (KVKK m. 9 dâhil)
Verinin işlendiği yer bileşene göre değişir: çağrı ses kayıtları ve Hizmete yüklenen belgeler Türkiye'de saklanır (AWS İstanbul); uygulama ve veritabanları Avrupa Birliği'nde barındırılır; yapay zekâ hizmet sağlayıcılarımız ve bazı diğer sağlayıcılar verileri ABD'de işler; TECHERO LLC'nin kendisi ABD'de yerleşiktir. Sınır ötesi aktarımların kısıtlandığı hâllerde, ilgili hukukun izin verdiği güvencelere dayanır ve Müşterilerimizin kendi uyumunu destekleriz:
- AB/AEA (GDPR): alt-işleyenlerimizle Standart Sözleşme Maddeleri (uygulanabildiği ölçüde Birleşik Krallık/İsviçre ekleri) ve talep üzerine Müşterilerle veri işleme ek sözleşmesi;
- Türkiye (KVKK m. 9): Türkiye'de yerleşik Müşteriler için veri işleme ek sözleşmemiz, bize ve alt-işleyenlerimize yapılacak aktarımlar bakımından KVKK m. 9 standart sözleşme mekanizmasını destekler; başka bir mekanizmanın uygulanamadığı hâllerde aktarım, Müşterinin ilgili kişiden aldığı açık rızaya dayanır;
- diğer uygulanabilir kanunlardaki eşdeğer mekanizmalar.
10. Veri güvenliği
- Tüm trafikte aktarım sırasında şifreleme (TLS 1.2+); kimlik bilgileri, OAuth belirteçleri ve entegrasyon sırları için beklemede şifreleme (AES-256-GCM);
- Parolalar bcrypt ile özetlenir; tekrarlanan başarısız girişlerde hesap kilitleme; oturum sınırları;
- Katı kiracı (tenant) izolasyonu — her veri erişimi, sahibi olan organizasyonla sınırlandırılır;
- Rol tabanlı erişim, asgari yetki ilkesi, denetim günlükleri, hız sınırlama;
- Sürekli izleme ve periyodik güvenlik değerlendirmeleri.
Hiçbir sistem kusursuz güvenli değildir. Kişiler bakımından risk doğurması muhtemel bir veri ihlalini öğrenmemiz hâlinde; GDPR m. 33–34, KVKK m. 12 ve ABD eyalet ihlal bildirim kanunları dâhil uygulanabilir hukukun gerektirdiği şekilde yetkili makamlara ve etkilenenlere bildirim yaparız.
11. Saklama süreleri
- Hesap verileri: hesap açık olduğu sürece; hesabın kapatılmasından itibaren 90 gün içinde silinir veya geri döndürülemez şekilde anonimleştirilir (yedek kopyalar ilave 35 gün içinde temizlenir).
- Fatura ve muhasebe kayıtları: uygulanabilir vergi ve ticaret mevzuatının gerektirdiği süreler boyunca (tipik olarak 7–10 yıl).
- Çağrı dökümleri, notlar, ses kayıtları, randevular: Müşteri hesabı aktif olduğu sürece, Müşterinin yapılandırma ve silme işlemlerine tabi olarak saklanır; hesapla birlikte yukarıdaki gibi silinir.
- Rıza kayıtları: uyumun ispatı için gerekli olduğu sürece ve yasal zamanaşımı süreleri boyunca.
- Google kullanıcı verileri: bkz. Bölüm 5.4.
- Teknik günlükler: güvenlik incelemeleri için daha uzun süre gerekmedikçe genellikle 90 gün.
12. Gizlilik haklarınız
Haklarınız, bulunduğunuz yere ve işlemeye uygulanan hukuka göre değişir. Jently'yi kullanan bir işletmenin Son Kullanıcısıysanız, talebinizi verilerinizin sorumlusu olan o işletmeye yönlendirebiliriz ve yanıtlamasında kendisine yardımcı oluruz.
12.1 Türkiye (KVKK m. 11)
Kişisel verilerinizin işlenip işlenmediğini öğrenme; işlenmişse bilgi talep etme; amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme; yurt içinde/yurt dışında aktarıldığı üçüncü kişileri bilme; eksik veya yanlış işlenmişse düzeltilmesini isteme; KVKK m. 7 çerçevesinde silinmesini/yok edilmesini isteme; bu işlemlerin aktarılan üçüncü kişilere bildirilmesini isteme; münhasıran otomatik sistemlerle analiz sonucu aleyhe çıkan sonuçlara itiraz etme; kanuna aykırı işleme nedeniyle uğranan zararın giderilmesini talep etme. Başvurular en geç 30 gün içinde ücretsiz sonuçlandırılır. Kişisel Verileri Koruma Kurulu'na şikâyet hakkınız saklıdır: kvkk.gov.tr.
12.2 AB/AEA ve Birleşik Krallık (GDPR)
Erişim, düzeltme, silme, kısıtlama, taşınabilirlik ve itiraz hakları ile rızayı geri çekme ve denetim makamına şikâyet hakkına sahipsiniz. Bir ay içinde yanıt veririz.
12.3 Amerika Birleşik Devletleri (eyalet gizlilik kanunları)
Size bir ABD eyalet gizlilik kanunu uygulanıyorsa; bilme/erişme, düzeltme, silme ve taşınabilir kopya alma ile satış, bağlamlar-arası davranışsal reklam için paylaşım ve belirli profilleme işlemlerinden çıkma (opt-out) haklarına sahip olabilirsiniz. Kişisel bilgileri satmayız ve bağlamlar-arası davranışsal reklamcılık için paylaşmayız. Haklarınızı kullandığınız için ayrımcılık yapmayız; hukukun izin verdiği yerlerde yetkili temsilci kullanabilirsiniz.
Bu hakları kullanmak için [email protected] adresine başvurun. Talebiniz üzerinde işlem yapmadan önce kimliğinizi doğrulamamız gerekebilir.
13. Çerezler
| Çerez / depolama | Amaç | Tür |
|---|---|---|
| Kimlik doğrulama oturumu | Oturumunuzun güvenli biçimde açık tutulması | Kesinlikle gerekli |
i18n_redirected | Dil tercihinizin hatırlanması | Tercih |
| Tema tercihi | Açık/koyu mod tercihinin hatırlanması | Tercih |
Üçüncü taraf reklam veya siteler arası izleme çerezi kullanmıyoruz. İleride analitik çerezler kullanılırsa bu metin güncellenir ve gerektiğinde onayınız istenir.
14. Çocuklar
Hizmet bir işletme aracıdır ve 16 yaş altı çocuklara (ABD COPPA anlamında 13 yaş altına) yönelik değildir. Çocuklardan bilerek veri toplamayız. Bir yapay zekâ asistanının arayanın yaşını her zaman tespit edemeyeceği dikkate alınmalıdır; asistanları küçükleri ilgilendiren bağlamlarda kullanan Müşteriler, hukuka uygunluktan kendileri sorumludur.
15. Değişiklikler
Bu metni zaman zaman güncelleyebiliriz. Esaslı değişiklikler, yürürlüğe girmeden en az 15 gün önce panel veya e-posta yoluyla bildirilir. En üstteki “Son güncelleme” tarihi güncel sürümü gösterir. Önceki sürümler talep üzerine sunulur.
16. İletişim ve başvuru usulü
TECHERO LLC (Jently platformunun işleticisi)
1111B S Governors Ave #21885, Dover, DE 19904, ABD
Gizlilik/KVKK başvuruları: [email protected]
Genel destek: [email protected]
KVKK m. 13 kapsamındaki başvurunuzu; yukarıdaki posta adresine yazılı olarak veya sistemimizde kayıtlı e-posta adresiniz üzerinden [email protected] adresine iletebilirsiniz. Başvuruda ad, soyad, başvuru yazılıysa imza, T.C. kimlik numarası (yabancılar için pasaport numarası), tebligata esas adres, varsa bildirime esas e-posta/telefon ve talep konusu yer almalıdır.
Bu belge Türkçe ve İngilizce olarak yayımlanmıştır; çelişki hâlinde İngilizce metin esas alınır. Türkçe metin, Türkiye'deki ilgili kişilere yönelik KVKK aydınlatma yükümlülüğünün yerine getirilmesi ve bilgilendirme amacıyla sunulmaktadır. Google API politikaları bakımından Bölüm 5.3'ün İngilizce aslı geçerlidir.