Aydınlatma Metni
1. Veri Sorumlusu
PratikYedek hizmetlerini sunan veri sorumlusu:
- Ticari unvan: Berhan Tecer (şahıs şirketi → tüzel kişi geçişi Faz 4 öncesi)
- KVKK irtibat: kvkk@pratikyedek.com
- Genel iletişim: destek@pratikyedek.com
- Web: https://pratikyedek.com
- VERBİS kayıt: Faz 4 (lansman) öncesi tamamlanır
2. Hangi kişisel verileriniz işlenir?
A. Kimlik ve iletişim verileri
- Ad, soyad, e-posta, cep telefonu
- Mali müşavirlik bürosu adı (mali müşavir paketi)
- VKN/TCKN (sadece mali müşavir + kurumsal paketinde)
- Adres (faturalama için)
B. Hesap güvenliği verileri
- Şifre bcrypt hash'i (plaintext SAKLANMAZ)
- 2FA TOTP secret (encrypted-at-rest)
- SMS OTP doğrulama kodları (bcrypt hash, 5 dk TTL)
- Oturum bilgileri (cookie + JWT)
C. Yedek dosya içeriği
- Yüklediğiniz dosyalar uçtan uca client-side şifrelenir (AES-256-GCM)
- Encryption key cihazınızda kalır; PratikYedek plaintext görmez
- Storage'da sadece şifrelenmiş binary blob saklanır
D. Kullanım ve audit log verileri
- IP adresi, User-Agent (30 gün)
- Oturum başlangıç/bitiş zamanı
- Yedek alma/restore zamanı, dosya boyutu (içerik DEĞİL, metadata)
- Hesap üzerinde yapılan değişiklikler (audit_log; KVKK § 12 — 7 yıl)
E. Faturalama verileri
- Plan tipi, abonelik durumu
- Ödeme yöntemi (PaynKolay; kart bilgisi PaynKolay'da, biz tutmayız)
- Kart son 4 hane (görüntüleme için)
- Fatura geçmişi (TTK m.82 + VUK — 10 yıl)
F. Mukellef verileri (mali müşavir paketinde)
- Mukellef VKN/TCKN, adı, e-postası
- Mukellef yedek dosya içeriği (uçtan uca şifrelenmiş)
- Mukellef audit log (denetim ve devir paketi için)
3. Verileriniz hangi amaçlarla işlenir?
| Amaç | Hukuki sebep (KVKK § 5) |
|---|---|
| Hesap oluşturma ve kullanıcı yönetimi | Sözleşmenin ifası — § 5/2-c |
| Bulut yedekleme hizmetinin sunulması | Sözleşmenin ifası — § 5/2-c |
| Faturalama ve abonelik yönetimi | Sözleşmenin ifası — § 5/2-c |
| TTK m.82 + VUK 10 yıl mali kayıt saklama | Yasal yükümlülük — § 5/2-a |
| Hata izleme ve teknik destek (GlitchTip self-hosted, VDS Türkiye) | Meşru menfaat — § 5/2-f |
| Pilot programının başarısının ölçülmesi | Açık rıza — § 5/1 |
| Pazarlama (lansman sonrası, yalnızca kayıtlı kullanıcılara) | Açık rıza — § 5/1 |
4. Verileriniz nereye, kimlere aktarılır?
A. Yurt içi alt-işleyenler
| Alt-işleyen | Hizmet | Aktarılan veri |
|---|---|---|
| GlitchTip self-hosted (sentry.pratikyedek.com — VDS Türkiye) | Hata izleme | Stack trace + request_id (PII scrub'lı) |
| Foriba (TR) | e-Arşiv fatura GİB iletimi | VKN, fatura içeriği |
| PaynKolay (TR) | Sanal POS / kredi kartı işlemi | Kart son 4 hane, tutar |
| Kobikom / NetGSM / Turkcell / TT Mesaj / Vodafone (TR) | SMS OTP | Cep telefonu, OTP gönderim zamanı |
| Cloudflare TR Edge | DNS, edge cache | IP, request log |
B. Yurt dışı alt-işleyenler (KVKK § 9 — açık rıza ile)
| Alt-işleyen | Hizmet | Aktarılan veri | Konum |
|---|---|---|---|
| Google (BYOS Drive — kullanıcı seçerse) | Bireysel kullanıcı kendi Drive'ına yedek | Şifrelenmiş binary blob | Çoklu |
| Microsoft (BYOS OneDrive — kullanıcı seçerse) | Bireysel kullanıcı kendi OneDrive'a yedek | Şifrelenmiş binary blob | AB |
Mali müşavir paketinde BYOS yasaktır — verileriniz Türkiye sınırlarında kalır.
C. Hangi durumlarda aktarım yapılmaz?
- Yedek dosya içeriği plaintext olarak (uçtan uca şifreleme)
- Pazarlama amaçlı 3. taraflara — kesinlikle yapılmaz
- AI eğitim verisi olarak — kesinlikle yapılmaz
5. Verileriniz nasıl korunur?
- Uçtan uca şifreleme: client-side AES-256-GCM; encryption key sadece cihazınızda
- Encryption-at-rest: LUKS dm-crypt (sunucu disk seviyesi)
- Encryption-in-transit: TLS 1.2+ (modern cipher suite)
- Erişim kontrolü: Row-Level Security (RLS) PostgreSQL; tenant izolasyonu
- Audit log: Tüm hassas işlemler 7 yıl saklanır (KVKK § 12)
- WAL+PITR: 5 dk hassasiyetli point-in-time recovery (Postgres 16; pg_receivewal aktif)
- Penetrasyon testi: Yıllık (Faz 4 öncesi ilk; bağımsız 3. taraf)
- VERBİS kaydı: Faz 4 öncesi
6. Saklama süreleri
| Veri kategorisi | Süre | Sebep |
|---|---|---|
| Hesap bilgileri | Hesap aktif olduğu sürece + 30 gün cooldown | KVKK § 7 silme talebi cooldown |
| Audit log | 7 yıl | KVKK § 12 + denetim erişimi |
| Mali kayıtlar (faturalama, mukellef) | 10 yıl | TTK m.82 + VUK |
| Hata logları (GlitchTip) | 90 gün | Self-hosted retention policy |
| IP adresi (request log) | 30 gün | KVKK orantılılık |
| SMS gönderim logları | 1 yıl | BTK düzenlemesi |
| Pilot feedback | Pilot bitiminden 1 yıl sonra anonimleştirilir | Pilot retro analizi |
7. KVKK § 11 — Haklarınız
kvkk@pratikyedek.com üzerinden veya KVKK Hak Başvuru Formu ile aşağıdaki haklarınızı talep edebilirsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- İşlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme
- Yurt içi/yurt dışı 3. kişileri öğrenme
- Eksik/yanlış işlenmiş verilerin düzeltilmesini isteme
- KVKK § 7 kapsamında silinmesini veya yok edilmesini isteme
- Düzeltme/silme işlemlerinin 3. taraflara bildirilmesini isteme
- Otomatik sistemlerle yapılan analiz sonucu aleyhine çıkan sonuca itiraz etme
- Zararını giderme talebinde bulunma
Yanıt süresi: 30 gün (KVKK § 13/2)
Silme talebi süreci: Talep alındıktan sonra 30 gün cooldown başlar (KVKK § 7); cooldown sonunda gerçek silme + Ed25519 imzalı silme sertifikası PDF. TTK m.82 + VUK 10 yıl yasal saklama gereken kayıtlar silinmez, ayrı encrypted archive'da tutulur.
8. Çocukların gizliliği
PratikYedek 18 yaş altı kullanıcılara hizmet vermez. 18 yaş altı kayıt tespit edilirse hesap derhal silinir; veliyle iletişime geçilir.
9. Aydınlatma Metni güncellemesi
Bu metin mevzuat veya hizmet değişiklikleri sebebiyle güncellenebilir. Güncelleme tarihinden 30 gün önce kayıtlı e-posta adresinize bildirim yapılır.
10. Çerez politikası
Detaylı bilgi: Çerez Politikası sayfası.