Gizlilik Politikası

İşbu Gizlilik Politikası, Nomosify markasıyla faaliyet gösteren platformun ("Platform") avukatlara, hukuk bürolarına ve şirket içi hukuk birimlerine sunduğu içtihat arama, sözleşme analizi ve dilekçe üretimi hizmetleri ("Hizmetler") kapsamında topladığı kişisel verilerin işlenmesine ilişkin esasları düzenler.

6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve Avrupa Birliği Genel Veri Koruma Tüzüğü ("GDPR") uyarınca veri sorumlusu sıfatı Nomosify'a aittir. Platforma yüklediğiniz müvekkil bilgileri ve dava dosyaları bakımından Nomosify, sizin talimatınız doğrultusunda hareket eden veri işleyen sıfatını taşır.

Hizmet sunumu için aşağıdaki veri kategorilerini, yalnızca ilgili amaçla sınırlı şekilde işliyoruz:

• Hesap ve kimlik verileri: ad-soyad, e-posta, baro/sicil bilgisi, kurum adı, telefon (opsiyonel).
• Kimlik doğrulama verileri: şifre özetleri (hash), SSO/IdP üzerinden iletilen kimlik talepleri, oturum jetonları.
• Kullanım verileri: arama sorguları, üretilen dilekçe taslakları, analiz edilen sözleşme metinleri, AI etkileşim geçmişi.
• Teknik veriler: IP adresi, tarayıcı/işletim sistemi bilgisi, oturum zaman damgaları, hata günlükleri.
• Ödeme verileri: fatura adı, vergi bilgisi, abonelik tipi. Kart bilgileri Nomosify sunucularında saklanmaz; PCI-DSS uyumlu ödeme sağlayıcısı tarafından işlenir.

Müvekkilinize ait olabilecek hassas içerikleri (sağlık verisi, ceza dosyaları vb.) Platforma yüklemeden önce gerekli aydınlatma yükümlülüklerini kendi pratiğinizde yerine getirdiğinizi varsayarız.

Kişisel verileri aşağıdaki amaçlarla ve hukuki sebeplere dayanarak işliyoruz:

• Hizmet sözleşmesinin kurulması ve ifası — KVKK m.5/2-c, GDPR m.6/1-b.
• Hukuki yükümlülüklerin yerine getirilmesi (faturalama, vergi, denetim) — KVKK m.5/2-ç, GDPR m.6/1-c.
• Platform güvenliği, dolandırıcılık önleme ve teknik destek — meşru menfaat.
• Pazarlama iletişimi — yalnızca açık rıza alınmak suretiyle.

Platform, içtihat eşleme, dilekçe üretimi ve sözleşme analizi için büyük dil modelleri (LLM) kullanır. Bu konuda kritik taahhütlerimiz şunlardır:

• Modelleri sizin verinizle eğitmiyoruz. Yüklediğiniz dosya, sorgu veya taslaklar; temel modellerin yeniden eğitilmesinde veya başka müşterilere sunulan önerilerin geliştirilmesinde kullanılmaz.
• Üçüncü taraf model sağlayıcılarıyla (örn. büyük LLM API'leri) zero-retention veya kısa saklamalı sözleşmeler uygulamaktayız.
• Hassas verileri kurum içinden çıkarmamayı tercih eden müşteriler için self-hosted / VPC dağıtım seçeneği sunulur.

Kişisel verilerinizi yalnızca aşağıdaki sınırlı senaryolarda paylaşırız:

• Altyapı sağlayıcıları: bulut sunucu (AB ve TR bölgeleri), veritabanı, günlükleme ve e-posta servisleri.
• Ödeme/faturalama sağlayıcıları: yalnızca abonelik yönetimi için gerekli minimum veri.
• Resmi makamlar: yetkili merci tarafından usulüne uygun talep gelmesi hâlinde, mevzuatın izin verdiği ölçüde.

Yurt dışına aktarım gerektiren durumlarda KVKK m.9 çerçevesinde ya açık rıza alınır ya da standart sözleşmesel taahhütler (SCC) uygulanır.

Veriler, işleme amacının gerektirdiği süre boyunca saklanır. Tipik süreler:

• Hesap verileri: hesap aktif olduğu sürece + 1 yıl arşiv.
• Fatura ve mali kayıtlar: VUK gereği 10 yıl.
• Sistem günlükleri: 90 gün.
• Dosya/dilekçe içerikleri: kullanıcı tarafından silinene veya hesap kapatılana kadar.

Verilerin gizliliği, bütünlüğü ve erişilebilirliği için endüstri standardı önlemler uygulanır:

• Aktarım sırasında TLS 1.2+ ve sunucularda AES-256 disk şifreleme.
• Rol bazlı erişim kontrolü ve en az yetki prensibi.
• SSO (Entra ID, Google Workspace, Keycloak) ve isteğe bağlı MFA.
• Düzenli sızma testleri ve bağımlılık güvenlik taramaları.
• İhlal halinde 72 saat içinde KVK Kurumu'na ve etkilenenlere bildirim.

KVKK m.11 ve GDPR m.15-22 çerçevesinde aşağıdaki haklara sahipsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme.
• İşlenen veriler ve aktarım hakkında bilgi talep etme.
• Eksik veya yanlış işlenen verilerin düzeltilmesini isteme.
• Silme, anonimleştirme ve unutulma hakkının kullanılmasını talep etme.
• Otomatik karar verme sonuçlarına itiraz etme.
• Verinin taşınabilirliği (GDPR bölgesi için).

Talepleriniz için [email protected] adresine yazabilirsiniz. En geç 30 gün içerisinde yanıt verilir.

Platform yalnızca oturum sürekliliği, güvenlik ve tercihlerinizin hatırlanması için gerekli teknik çerezleri kullanır. Pazarlama veya reklam çerezi kullanılmaz. Üçüncü taraf analitik kullandığımız ölçüde, kimliği tanımlayıcı veriler maskelenir.

Bu politikayı mevzuat değişiklikleri veya hizmet kapsamındaki güncellemeler nedeniyle revize edebiliriz. Önemli değişikliklerde kullanıcılara e-posta ile bildirim yapılır; her sürümün yürürlük tarihi sayfanın başında belirtilir.