Gizlilik Politikası

MÜHLET Yazılım Anonim Şirketi ("MÜHLET", "biz") olarak gizliliğinize saygı duyarız. Bu Gizlilik Politikası, muhlet.com.tr, mobil uygulamalar ve tarayıcı eklentisi ("Hizmetler") aracılığıyla hangi kişisel verileri topladığımızı, nasıl kullandığımızı, kimlerle paylaştığımızı ve haklarınızı açıklar. Detaylı yasal bilgi için KVKK Aydınlatma Metni'ne bakınız.

Veri sorumlusu: MÜHLET Yazılım A.Ş. · İstanbul, Türkiye · kvkk@muhlet.com.tr · KEP: muhlet@hs01.kep.tr

1. Topladığımız veriler

• Hesap bilgileri: ad-soyad, e-posta adresi, telefon numarası, baro adı, baro sicil numarası, IBAN (faturalama için), profil fotoğrafı.
• Kimlik doğrulama: şifre hash'i (Argon2id ile geri çevrilemez), opsiyonel iki faktörlü kimlik doğrulama (TOTP) gizli anahtarı (şifreli), oturum token'ları.
• Kullanım verisi: oturum açma zamanı, IP adresi, tarayıcı/cihaz türü, ziyaret edilen sayfa, hata logları (Sentry üzerinden, IP anonimleştirilmiş).
• İçerik verisi: avukatın Hizmete eklediği müvekkil, dava, tebligat, süre, görev, duruşma verileri. Bu veriler avukat-müvekkil gizliliği kapsamındadır; MÜHLET bu veri türü için "veri işleyen" rolündedir, veri sorumlusu avukatın kendisidir.
• Bağlı dış hesap verileri: Bkz. §5 (Google), §6 (Microsoft) — opt-in bağlantı kurarsanız.

2. Kullanım amaçlarımız

• Hizmeti çalıştırmak (hesap oluşturma, oturum yönetimi, özellik sunma).
• Süre, duruşma ve görev bildirimleri (SMS, WhatsApp, e-posta, push, sesli arama).
• Faturalandırma, ödeme işleme, abonelik yönetimi.
• Güvenlik (kötü amaçlı erişim tespiti, audit log).
• Hizmet kalitesini iyileştirme (anonim/agregat analitik; bireysel takip yapılmaz).
• Yasal yükümlülüklere uyum (KVKK, vergi mevzuatı, mahkeme kararları).

3. Verilerinizi satmıyoruz

Kişisel verilerinizi reklamcılık, profil oluşturma, üçüncü taraf pazarlama veya satış amacıyla kesinlikle paylaşmıyoruz. Müvekkil verileriniz hiçbir koşulda eğitim verisi olarak AI modellerine verilmez.

4. Üçüncü taraf hizmet sağlayıcılar

Hizmeti sunabilmek için bazı verileri zorunlu kapsamda aşağıdaki işleyicilerle paylaşırız:

• SMS / WhatsApp: Twilio (telefon numarası + bildirim metni) — bildirim gönderimi için. ABD/AB sunucularında işlenir, gönderim sonrası 30 gün'de Twilio tarafından silinir.
• E-posta: Postmark (e-posta adresi + içerik) — işlemsel e-posta gönderimi.
• Ödeme: Stripe / iyzico (kart bilgilerinizi MÜHLET sunucularında saklamaz; tokenize edilmiş referans tutar).
• AI işleme: Anthropic (Claude) ve OpenAI (GPT) — tebligat özetleme + süre türü tespiti için. Bu sağlayıcılarla veri eğitimi opt-out anlaşmamız vardır (zero-retention API).
• Hata izleme: Sentry (IP anonimleştirilmiş, stack trace + hata mesajı).
• Bulut altyapı: AWS İstanbul (eu-central-1 / İstanbul region). Tüm müvekkil verisi Türkiye sınırları içinde tutulur (KVKK madde 9 uyumu).
• Bağlı dış hesaplar: Google, Microsoft (opt-in calendar entegrasyonu — bkz. §5, §6).

5. Google kullanıcı verilerinin kullanımı (Google API Services User Data Policy / Limited Use)

MÜHLET'in opt-in Google Takvim entegrasyonu, Google'ın API Services User Data Policy'ye, dahil olmak üzere Limited Use şartlarına tam uyumla işler.

5.1 Hangi Google verilerini istiyoruz

• https://www.googleapis.com/auth/calendar.events — sadece MÜHLET'in oluşturduğu takvim etkinliklerini okumak/yazmak için. Diğer (özel veya iş) etkinliklerinize dokunmuyoruz; sadece MÜHLET tarafından oluşturulan etkinlikler üzerinde işlem yapıyoruz.
• https://www.googleapis.com/auth/userinfo.email — hangi Google hesabını bağladığınızı UI'da göstermek için (örn. "avukat@gmail.com'a bağlısınız").

5.2 Bu verilerle ne yapıyoruz

• MÜHLET'teki süre, duruşma ve görev etkinliklerinizi Google Takvim'e yazarız.
• Süre değiştiğinde (örn. ertelendi/tamamlandı) Google Takvim etkinliğini güncelleriz.
• Etkinliği MÜHLET'te silerseniz, Google Takvim'deki kopyasını da sileriz (idempotent reconciliation).
• Bağlantınızı koparırsanız, OAuth refresh token'ınızı sunucumuzdan silinir; ileride yeni etkinlik yazmayız (mevcut yazılmış etkinlikler Google Takvim'de kalır; isterseniz oradan manuel silersiniz).

5.3 Limited Use beyanı

MÜHLET'in Google API'den aldığı bilgilerin kullanımı ve aktarımı, Google API'si kullanıcı verilerine yönelik Limited Use şartları dahil olmak üzere Google API Services User Data Policy'ye uyacaktır. Spesifik olarak:

• Sadece kullanıcıya yönelik özellikler için kullanırız. Google Takvim verilerinizi yalnızca MÜHLET içinde size geri görüntülemek ve sizin oluşturduğunuz süre / duruşma etkinliklerini takviminize yazmak için kullanırız.
• Üçüncü taraflara aktarmayız. Google verileriniz reklam, satış, pazarlama veya kredi değerlendirme amaçlı hiçbir üçüncü tarafa verilmez.
• İnsan personelimiz okumaz. Sistem mühendislerimiz Google takvim içeriğinize erişemez. İstisnalar yalnızca: (a) kullanıcının açıkça destek talebi oluşturup spesifik bir konu için izin vermesi, (b) güvenlik amaçlı incelemeler, (c) yasal zorunluluk, (d) tamamen anonimleştirilmiş istatistik için.
• Reklam için kullanmayız. MÜHLET reklam göstermez; Google verilerinizi herhangi bir reklam sisteminde kesinlikle kullanmayız.

5.4 Google verilerinizi nasıl koruyoruz

• OAuth access ve refresh token'ları sunucuda AES-256-GCM ile şifrelenerek tutulur.
• Tüm iletişim TLS 1.3 üzerinde.
• Token'lara erişim sadece servis sürecinden — operatör erişimi audit log'a düşer.
• İzinsiz erişim tespit edildiğinde token'ı revoke ederiz ve sizi e-posta ile bilgilendiririz.

5.5 Google bağlantınızı nasıl kaldırırsınız

• MÜHLET'ten: Ayarlar → Takvim sayfasından "Sil" butonu — refresh token siliniyor + ileri sync durur.
• Google'dan: myaccount.google.com/permissions → "MÜHLET" → Access kaldır.

6. Microsoft kullanıcı verilerinin kullanımı

Microsoft Outlook entegrasyonu (opt-in) aynı prensipleri takip eder: Calendars.ReadWrite + User.Read scope'ları, yalnız MÜHLET'in oluşturduğu etkinliklere müdahale, satılmaz/3.taraflarla paylaşılmaz/insan personel okumaz/reklam için kullanılmaz. Bağlantı kaldırma: myaccount.microsoft.com → Apps & services.

7. Veri saklama süreleri

• Aktif hesap: hesabı silene veya 24 ay inaktif kalana kadar.
• Audit log: 5 yıl (KVKK madde 12 yükümlülüğü için).
• Fatura kayıtları: 10 yıl (vergi mevzuatı VUK 253).
• Hesap silme talebinden sonra: anonimleştirme 30 gün, kalıcı silme 90 gün.
• Google/Microsoft OAuth token: bağlantı silinince hemen, hesap silinince 24 saat içinde.

8. Veri konumu ve sınır ötesi aktarım

Tüm müvekkil verisi AWS İstanbul (Türkiye) bölgesinde tutulur. SMS (Twilio), e-posta (Postmark), AI (Anthropic/OpenAI) işleme için sınır ötesi aktarım sözleşmesi (Standard Contractual Clauses) imzalanmıştır.

9. Çocuk verisi

MÜHLET 18 yaş altı kullanıcılara hizmet vermez. 18 yaş altı bilgi tespit edersek hesabı kapatırız ve veriyi silinir.

10. Cookie kullanımı

Detay için Çerez Politikası. Özetle: sadece oturum cookie'si (zorunlu) ve isteğe bağlı tercih cookie'leri kullanırız. Reklam cookie'si veya 3.taraf izleme cookie'si KULLANMIYORUZ.

11. Haklarınız (KVKK madde 11)

Veri sahibi olarak verilerinize erişme, düzeltme, silme, işleme itiraz etme, taşınabilirlik ve şikayet hakkınız vardır. Talepleriniz için: kvkk@muhlet.com.tr · KEP: muhlet@hs01.kep.tr · KVKK Aydınlatma Metni: /kvkk-aydinlatma-metni.

12. Değişiklikler

Bu politikada önemli değişiklik olursa e-posta ile bildirir, sürüm/yürürlük tarihini güncelleriz. Geçmiş sürümler erişilebilir tutulur.

13. İletişim

Sorular: kvkk@muhlet.com.tr · Güvenlik açığı: security@muhlet.com.tr · Veri sorumlusu adresi: MÜHLET Yazılım Anonim Şirketi, İstanbul, Türkiye.