Worklas

Kişisel Verilerin Korunması Aydınlatma Metni

Yürürlük: 29 Nisan 2026 · Sürüm: 1.0

İşbu aydınlatma metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("KVKK") 10. maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında, veri sorumlusu sıfatıyla HaRezm Yazılım ve Danışmanlık A.Ş. tarafından hazırlanmıştır.

1. Veri Sorumlusunun Kimliği

  • Unvan: HaRezm Yazılım ve Danışmanlık A.Ş.
  • MERSİS: 0000000000000000
  • Adres: Maslak Mah. Büyükdere Cad. No: XX Sarıyer / İstanbul
  • Telefon: +90 (XXX) XXX XX XX
  • KEP: harezm@hs01.kep.tr
  • İrtibat: kvkk@harezm.net

2. İşlenen Kişisel Veri Kategorileri

Sıfatınıza göre tarafınıza ait aşağıdaki kişisel veri kategorileri işlenebilir:

A) Web sitesi ziyaretçileri / demo talep edenler

  • Kimlik (ad, soyad)
  • İletişim (e-posta, telefon, şirket adı)
  • İşlem güvenliği (IP, log kayıtları, çerez verileri)
  • Pazarlama tercihleri

B) Müşteri yetkilileri ve hesap kullanıcıları

  • Kimlik ve iletişim bilgileri
  • Hesap bilgileri (hashlenmiş şifre, oturum çerezleri)
  • Finansal bilgiler (fatura, tahsilat geçmişi)
  • Müşteri işlem (kullanım logları, destek talepleri)

C) Müşterilerimizin çalışanlarına ait veriler (veri işleyen sıfatımızla)

Bu veriler için veri sorumlusu çalışanın bağlı olduğu işverendir; biz yalnızca veri işleyen rolündeyiz. Bu veri kategorileri:

  • Kimlik ve iletişim bilgileri (T.C. Kimlik No, doğum tarihi, adres dahil)
  • Özlük (SGK no, meslek kodu, iş başlangıç-çıkış)
  • Mali (maaş, banka, bordro)
  • Konum (PDKS giriş-çıkış noktaları)
  • Eğitim, performans ve disiplin kayıtları
  • Özel nitelikli veriler (kan grubu, sağlık raporları — yalnızca işverenin açık rıza temini ile)

3. Kişisel Verilerin İşlenme Amacı

Verileriniz aşağıdaki amaçlarla işlenmektedir:

  • Sözleşme sürecinin yürütülmesi ve hizmetin sağlanması
  • Faturalandırma, tahsilat ve mali süreçler
  • Yasal yükümlülüklerin (SGK, vergi, İŞKUR, KBS, KVKK) yerine getirilmesi
  • Hizmet kalitesinin ölçülmesi ve geliştirilmesi
  • Bilgi ve fiziksel güvenliğin sağlanması (log, denetim izi)
  • Reklam ve pazarlama (yalnızca açık rıza ile)
  • Şikayet ve önerilerin değerlendirilmesi

4. Kişisel Verilerin Toplanma Yöntemi ve Hukuki Sebebi

Kişisel verileriniz; web sitemiz formları, e-posta, telefon, sözleşme imzalanması, platform kullanımı, çerezler ve KVKK Madde 5 ve 6'da belirtilen aşağıdaki hukuki sebeplere dayalı olarak toplanmakta ve otomatik / kısmen otomatik yöntemlerle işlenmektedir:

  • Sözleşmenin kurulması ve ifası için gerekli olması (m.5/2-c)
  • Hukuki yükümlülüğün yerine getirilmesi (m.5/2-ç)
  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması (m.5/2-e)
  • Temel hak ve özgürlüklerinize zarar vermemek kaydıyla meşru menfaat (m.5/2-f)
  • Açık rıza (özellikle pazarlama ve özel nitelikli veriler için, m.5/1, m.6/2)

5. Kişisel Verilerin Aktarıldığı Taraflar

Kişisel verileriniz aşağıdaki taraflara, KVKK m.8 ve m.9 kapsamında aktarılabilir:

  • Bulut altyapı sağlayıcıları — Supabase, Vercel (Avrupa Birliği (Frankfurt, Almanya — Supabase Cloud))
  • İletişim altyapısı sağlayıcıları — Resend (e-posta), Netgsm (SMS)
  • Ödeme altyapısı — İyzico
  • Yapay zeka asistan — Anthropic (sadece anonimleştirilmiş sorgu)
  • Yasal otoriteler — KVKK, Cumhuriyet Savcılığı, SGK, vb. (yalnızca yasal talep halinde)
  • Mali müşavir / hukuk müşaviri — sözleşme ve hukuki süreç gereği

Yurt dışına aktarım, yeterli korumayı sağlayan ülkeler ve standart sözleşme hükümleri çerçevesinde gerçekleştirilmektedir.

6. KVKK Madde 11 Kapsamındaki Haklarınız

İlgili kişi olarak aşağıdaki haklara sahipsiniz:

  1. Kişisel verinizin işlenip işlenmediğini öğrenme
  2. İşlendiyse buna ilişkin bilgi talep etme
  3. İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
  4. Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme
  5. Eksik veya yanlış işlenmişse düzeltilmesini isteme
  6. KVKK m.7'de öngörülen şartlar çerçevesinde silinmesini / yok edilmesini isteme
  7. Düzeltme / silme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme
  8. Otomatik sistemlerle yapılan analiz sonucu aleyhinize bir sonuç çıkmasına itiraz etme
  9. Hukuka aykırı işleme sebebiyle zarara uğramışsanız zararın giderilmesini talep etme

Bu haklarınızı kullanmak için KVKK Başvuru Formu'nu doldurarak ya da yazılı dilekçe ile Maslak Mah. Büyükdere Cad. No: XX Sarıyer / İstanbul adresine veya harezm@hs01.kep.tr KEP adresine başvurabilirsiniz. Başvurularınız en geç 30 gün içinde ücretsiz sonuçlandırılacaktır.

7. Açık Rıza Gerektiren Veri İşleme Faaliyetleri

Aşağıdaki işleme faaliyetleri için açık rızanız ayrıca alınacaktır:

  • Ticari elektronik ileti gönderimi (kampanya, bülten)
  • Özel nitelikli kişisel verilerin işlenmesi (sağlık, biyometrik vb.)
  • Çerez tabanlı analitik ve pazarlama
  • AI Asistan kullanımı (8. madde — yurt dışındaki LLM sağlayıcılara veri aktarımı)

Verdiğiniz açık rızayı dilediğiniz zaman kvkk@harezm.net adresine bildirimle geri çekebilirsiniz.

8. AI Asistan Özelliği — Yurt Dışı Veri Aktarımı

Sistem içerisindeki AI Asistan özelliğini kullandığınızda, sorularınız ve size ait verilerinizin bir kısmı (aşağıdaki kapsamda) işveren tarafından seçilen üçüncü taraf yapay zeka servisine (örn. OpenAI, Anthropic, OpenRouter, Mistral AI, Google Gemini) iletilir. Bu işleme, KVKK madde 9 anlamında yurt dışına veri aktarımı niteliğindedir ve açık rızanız alınmadan gerçekleştirilmez.

8.1. AI Asistan'a aktarılan veri kategorileri

  • Ad-soyad, departman, pozisyon
  • Şube bilgisi, işe giriş tarihi, kıdem yılı
  • İzin bakiyesi ve izin talepleri (gün sayısı, tarih, sebep)
  • Devam kayıtları istatistiği (geç kalma sayısı, çalışma saati)
  • Bordro durum bilgisi (imzalı/imzasız — tutar bilgisi aktarılmaz)
  • Avans talepleri (tutar, sebep, taksit sayısı, durumu)
  • Kullanıcının chat sırasında yazdığı serbest metin

8.2. AI Asistan'a aktarılmayan veri kategorileri

  • TC kimlik numarası
  • IBAN, banka hesap bilgileri
  • Telefon numarası, e-posta adresi, ev adresi
  • Doğum tarihi
  • Bordro brüt/net ücret tutarları
  • Sicil/personel kodu
  • Parolalar (hiçbir koşulda)

8.3. Veri aktarılan ülkeler ve servis sağlayıcılar

İşveren tarafından seçilen sağlayıcıya göre değişir. Yaygın sağlayıcıların konumu:

  • Mistral AI: Fransa (AB — GDPR yeterli koruma)
  • OpenAI, Anthropic, OpenRouter, Groq, Google Gemini: Amerika Birleşik Devletleri
  • DeepSeek: Çin Halk Cumhuriyeti

Sağlayıcıların büyük çoğunluğu API üzerinden gönderilen verileri 30 gün boyunca saklar ve model eğitimi için kullanmaz. Google Gemini'nin ücretsiz katmanı verileri eğitim için kullanır — bu nedenle ücretli katman tercih edilir. Sağlayıcının kendi gizlilik politikası uygulanır.

8.4. Aktif güvenlik önlemleri

  • Veri minimizasyonu: Sadece sorunuza cevap için gerekli olan veri aktarılır
  • Yetki kontrolü: Çalışan yalnızca kendi verisine, yönetici kendi org birimi/şirketi kapsamındaki verilere erişebilir
  • Audit log: Her AI etkileşimi (kim, ne sordu, hangi tool çağrıldı) sistemde kayıt altına alınır
  • API key şifreleme: Sağlayıcı erişim anahtarı AES-256-GCM ile şifrelenmiş saklanır
  • TLS: Tüm bağlantılar TLS 1.3 üzerinden şifreli iletilir

8.5. Açık rıza geri çekimi

AI Asistan kullanımına verdiğiniz açık rızayı dilediğiniz zaman geri çekebilirsiniz. Rıza geri çekildiğinde AI Asistan özelliği sizin için devre dışı kalır; önceki etkileşim kayıtları KVKK madde 7 ve madde 11 kapsamındaki haklarınızı kullanmanız halinde silinir. Rıza geri çekimi için Profilim → AI İzni bölümünü kullanabilir veya kvkk@harezm.net adresine yazabilirsiniz.