Gizlilik Politikası

Son Güncelleme: 21 Mayıs 2026 — Versiyon 3.2

Bu politika, imzala.org platformunu (Codeck Yazılım Anonim Şirketi tarafından işletilen) kullandığınızda kişisel verilerinizin nasıl toplandığını, işlendiğini, saklandığını ve paylaşıldığını açıklar. KVKK, GDPR ve CCPA gerekliliklerine uygun olarak hazırlanmıştır.

Resmi KVKK Aydınlatma Metni için: /kvkk

1. Topladığımız Bilgiler

1.1 Doğrudan Sağladığınız Bilgiler

• Kimlik: Ad, soyad, doğum tarihi
• İletişim: E-posta, telefon, posta adresi
• Kurumsal: Şirket adı, vergi numarası, ticaret sicil bilgileri
• Hesap: Şifre (bcrypt hash, asla düz metin), profil fotoğrafı
• Sözleşme içerik ve tarafları: Yüklediğiniz belgeler, imzacı bilgileri, taraf rolleri
• Ödeme: Fatura adresi (kart bilgileri PayTR'da, bizde değil)

1.2 Üçüncü Taraf Kimlik Doğrulayıcılarından Gelen Bilgiler

• OAuth (Google / Facebook / Twitter): Bu sağlayıcıların API'sinden e-posta adresi, ad-soyad ve harici kimlik (third_party_id) bilgileri
• Bu sağlayıcıların kendi gizlilik politikalarına da tabi olursunuz

1.3 Özel Nitelikli Kişisel Veriler — Biyometrik veri TOPLAMIYORUZ

1.4 Otomatik Toplanan Teknik Veriler

• IP adresi (giriş, imza, görüntüleme)
• Coğrafi konum (yalnızca açık rıza ile, detaylı koordinat)
• Tarayıcı türü ve sürümü
• Cihaz bilgisi ve işletim sistemi
• Sayfa kullanım istatistikleri (anonim çerez consent ile)
• Audit log — uygulama, KMS imza, Kubernetes API olayları
• Oturum ve token bilgileri

1.5 Hesap Üzerinden Üreyen Davranış Verileri

• Kullanıcı aktivite geçmişi (UserActivity tablosu)
• Bildirim tercihleri
• Pazarlama opt-in durumu
• Webhook delivery log (yalnızca kurumsal kullanıcılar için)

1.6 Bilgilendirilecek Kişiler (CC) Verileri

Bir sözleşme oluştururken, imza atmayacak ancak süreçten haberdar olması gereken üçüncü kişilerin e-posta adreslerini ("Bilgilendirilecek Kişiler" / CC) ekleyebilirsiniz. Bu kişilere yalnızca sözleşmenin gönderim ve tamamlanma aşamalarında bilgilendirme e-postası iletilir.

• İşlenen veri: Bilgilendirilecek kişinin e-posta adresi ve varsa adı
• İşleme amacı / hukuki sebep: Sözleşmenin ifası (KVKK m.5/2-c) ve meşru menfaat (KVKK m.5/2-f)
• Yetki beyanı: Bu kişileri ekleyen kullanıcı, eklemeye yetkili olduğunu beyan eder; imzala.org yalnızca veri işleyen sıfatıyla iletimi gerçekleştirir
• Opt-out: Her bilgilendirme e-postasında bilgilendirmeyi durdurma (opt-out) bağlantısı sunulur; talep anında uygulanır
• Saklama: İlgili sözleşmeyle birlikte saklanır ve sözleşme silindiğinde otomatik silinir; bağımsız saklama üst sınırı 3 yıldır
• Aktarım: E-posta iletimi alt-işleyen Mailgun (Frankfurt / AB) üzerinden, mevcut DPA kapsamında gerçekleştirilir

2. Bilgileri Nasıl Kullanıyoruz

Topladığımız kişisel bilgiler aşağıdaki amaçlarla kullanılır:

• Hesabınızı yönetmek ve kimlik doğrulamak
• Sözleşme süreçlerinizi işlemek (oluşturma, gönderim, imzalama, arşivleme)
• Belgelere TÜBİTAK KAMU SM nitelikli zaman damgası eklemek
• Sözleşmenin yasal geçerliliği için kapsamlı audit trail oluşturmak
• İmzalanmış belgeleri ve bildirimleri taraflarınıza iletmek
• Faturalama ve ödeme işlemleri
• Müşteri destek talepleri ve şikayetler
• Güvenlik, dolandırıcılık önleme ve denetim
• Platformu geliştirme ve hata ayıklama (anonim, agregasyonlu veri)
• Pazarlama (yalnızca açık rıza vermişseniz)
• Yasal yükümlülüklerin yerine getirilmesi (TTK, VUK, KVKK, GDPR)

3. Bilgilerinizin Paylaşımı

Kişisel bilgilerinizi üçüncü şahıslara satmaz, takas etmez veya kiralamayız. Yalnızca hizmetin sunulması için zorunlu olan iş ortaklarımızla, sözleşme ile sınırlı kapsamda paylaşırız. Tüm 3rd party'lerle GDPR uyumlu Veri İşleme Sözleşmesi (DPA) imzalıdır.

3.1 Altyapı ve Hosting

• Hetzner Online GmbH (Almanya): Birincil sunucu altyapısı ve veri depolama, Falkenstein veri merkezi (AB), ISO 27001 sertifikalı, GDPR DPA imzalı
• Hetzner Storage Box (Almanya): Off-site şifreli yedek (AES-256 client-side encryption)
• Cloudflare, Inc. (ABD): CDN, DNS, WAF, DDoS koruması — EU-Home Region tercih edilir, GDPR DPA + Standart Sözleşme Maddeleri (SCC) imzalı

3.2 İletişim

• Mailgun (Almanya — EU sunucu): E-posta gönderimi, EU veri merkezi, GDPR DPA imzalı
• NetGSM (Türkiye): SMS gönderimi (varsayılan)
• Kobikom (Türkiye): SMS gönderimi (organizasyon seçimine göre)
• Twilio (ABD): Uluslararası SMS (yalnızca seçili organizasyonlar için)

3.3 Ödeme ve Belge Servisleri

• PayTR (Türkiye): Ödeme işlemleri, BDDK denetimli, PCI-DSS Level 1 sertifikalı. Kart bilgileriniz doğrudan PayTR tarafından saklanır, imzala.org tarafından görüntülenmez ve saklanmaz.
• TÜBİTAK KAMU SM (Türkiye): Nitelikli zaman damgası hizmeti (RFC 3161). Belge hash değerleri zaman damgası alınması için iletilir; belge içeriği iletilmez.

3.4 Geliştirme ve İzleme Araçları

• GitHub (ABD): Kaynak kodu yönetimi (yalnızca kod, kullanıcı PII'si depolanmaz)

3.5 Pazarlama ve Analitik (yalnızca çerez consent ile)

• Google Tag Manager + Google Analytics 4: Site kullanım analitiği, anonim kullanıcı kimliği
• Microsoft Clarity: Isı haritaları ve oturum kayıtları (PII otomatik maskelenir)
• Meta Pixel (Facebook / Instagram): Tarayıcı tarafı reklam dönüşüm takibi
• Meta Conversions API (CAPI): Sunucu tarafı reklam dönüşüm takibi. E-posta ve telefon numaranız SHA-256 ile hashlenmiş olarak iletilir (ham veri değil) — eşleştirme oranı için. Ham PII Meta'ya kesinlikle gitmez.
• Google Ads + Enhanced Conversions: Reklam dönüşüm takibi. Enhanced Conversions kapsamında e-posta/telefonunuz SHA-256 ile hashlenmiş olarak Google Ads'e iletilir (ham PII değil).

3.5.1 Sunucu Tarafı Ölçüm (sGTM — kx7m2.imzala.org)

Pazarlama ölçüm trafiği önce bizim sunucumuz (kx7m2.imzala.org alt etki alanı, Hetzner Almanya veri merkezinde barındırılan Sunucu Tarafı Google Tag Manager) üzerinden geçer, sonra Google Analytics 4 / Meta CAPI / Google Ads servislerine aktarılır. Tarayıcınız reklam ve analitik sağlayıcılarına doğrudan bağlanmaz. Bu mimari:

• Veri akışı üzerinde tam kontrol — hangi bilginin paylaşıldığı sunucu tarafında denetlenir
• Çerez consent reddi durumunda hiçbir pazarlama event'i iletilmez (server-side enforcement)
• PII şifreleme/maskeleme sunucumuzda yapılır, asla ham veri 3. tarafa gitmez
• Hetzner AB üye ülkesinde — KVKK m.9 ve GDPR kapsamında AB-içi veri transferi (ek güvence gerekmez)

3.6 Yasal Zorunluluk Halinde Paylaşım

Yasalar gereği veya yasal anlaşmazlıklarda, yetkili kurumlara (mahkemeler, KVKK Kurumu, vergi dairesi vb.) bilgi sağlamak zorunda kalabiliriz. Bu durumlarda yalnızca ilgili talebin gerektirdiği veri sağlanır.

4. Veri Güvenliği

4.1 Teknik Önlemler

• TLS 1.2 / 1.3: Cloudflare + Let's Encrypt, uçtan uca şifreli iletişim
• AES-256: Off-site yedeklerde client-side şifreleme (rclone crypt)
• RSA-2048: Dijital imza için anahtar yönetim sistemi (KMS)
• SHA-256: Hash algoritması (belge bütünlüğü)
• İki faktörlü kimlik doğrulama (MFA): Tüm yönetim panellerinde zorunlu
• Rol tabanlı erişim kontrolü (RBAC): Kullanıcı ve operatör seviyesinde
• Ağ izolasyonu: Kubernetes NetworkPolicy ile namespace bazında izolasyon
• Web Application Firewall (WAF): Cloudflare
• Antivirüs: Yüklenen dosyalar için ClamAV taraması
• Zafiyet taraması: Trivy ile sürekli (CI/CD entegre)
• 24/7 izleme: Prometheus + Grafana + Loki + GlitchTip

4.2 Operasyonel Önlemler

• Personel için yıllık güvenlik farkındalık eğitimi
• Kritik personel için NDA ve gizlilik sözleşmeleri
• Erişim hakları periyodik gözden geçirilir (3 ayda bir)
• Düzenli felaket kurtarma tatbikatı (son test: Nisan 2026 — başarılı)
• Yapılandırılmış incident response prosedürü (5 fazlı yanıt)
• Kanıtlanmış 4 katmanlı yedekleme: Velero (Kubernetes) + PostgreSQL dump + Proxmox VM snapshot + Hetzner Storage Box (off-site, AES-256 şifreli)
• Yedek bütünlüğü ve audit trail (9 Mayıs 2026): Her yedek dosyası için SHA-256 hash + TÜBİTAK KAMUnet RFC 3161 trusted timestamp audit log'a kaydedilir. Audit log forever retention. KVKK m.12 (veri güvenliği) + m.16 (kayıt tutma) + eIDAS Art. 41 + ISO 27001 A.12.3.1 maddelerine uygun süreçler.

Kullanıcılarımızın güçlü şifre kullanmasını ve hesap ayarlarından iki faktörlü kimlik doğrulamayı etkinleştirmesini öneririz.

5. Veri Saklama Lokasyonları

6. Sertifikalar ve Uyumluluk Yol Haritası

6.1 Mevcut Uyumluluklar

• 5070 sayılı Elektronik İmza Kanunu — TÜBİTAK KAMU SM nitelikli zaman damgası altyapısı
• eIDAS 910/2014 Art.25 / 5070 m.4 — Basit Elektronik İmza (SES) altyapısı (kullanıcı imza görseli + sistem ticari sertifika + PAdES B-LTA + RFC 3161 zaman damgası); kimlik doğrulama (telefon OTP + TC Kimlik/NVI) açıkken Gelişmiş Elektronik İmza (AES, Art.26) niteliği kazanır
• KVKK Veri Sorumluları Sicil Sistemi (VERBİS) kayıtlı veri sorumlusu
• GDPR uyumlu — AB içinde (Hetzner Almanya) veri işleme + SCC Modül 2 (Controller-to-Processor) ile yurt dışı aktarım
• PCI-DSS SAQ A kapsamı — kart bilgileri PayTR (PCI-DSS Level 1) tarafından işlenir

6.2 Sertifikasyon Yol Haritası

7. Kullanıcı Hakları

7.1 KVKK m.11 / GDPR Art.15-22 Hakları

• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• İşlenmişse buna ilişkin bilgi talep etme (erişim hakkı)
• İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
• Aktarıldığı üçüncü kişileri bilme
• Eksik veya yanlış işlenmişse düzeltilmesini isteme
• Şartların ortadan kalkması halinde silinmesini veya yok edilmesini isteme — unutulma hakkı
• Verilerinizi yapılandırılmış ve makine okunabilir formatta indirme — taşınabilirlik hakkı
• Düzeltme/silme işlemlerinin üçüncü kişilere bildirilmesini isteme
• Otomatik karar verme süreçlerine itiraz etme
• Kanuna aykırı işlenme sebebiyle zarar tazmini
• Pazarlama opt-out

7.2 Hesap Üzerinden Doğrudan Kullanılabilen Haklar

Aşağıdaki hakları hesabınızdan tek tıkla kullanabilirsiniz:

• Verilerimi indir (Hesap → Gizlilik) — JSON + ZIP olarak tüm kullanıcı verisi indirilir (GDPR Art.20 taşınabilirlik)
• Hesabımı sil (Hesap → Gizlilik) — 24 saat e-posta onay → 30 gün geri alma süresi → kalıcı silme. Yasal saklama zorunlu olan veriler (sözleşme metadatası, fatura) anonimleştirilir.
• Pazarlama opt-out (Hesap → Bildirimler) — Tüm pazarlama e-postalarından çık
• Çerez tercihleri (sayfa altı "Çerez Ayarları" linki)

7.3 California Tüketici Hakları (CCPA / CPRA)

Kaliforniya sakinleri için ek haklar:

• Bilme hakkı — toplanan kişisel veri kategorileri
• Erişim hakkı — verilerinizin kopyası
• Silme hakkı
• Düzeltme hakkı (CPRA)
• Hassas kişisel bilginin kullanımını sınırlama hakkı (CPRA)
• Kişisel bilgi satışına itiraz / opt-out

7.4 Başvuru Yöntemi

• E-posta: [email protected] veya [email protected]
• KEP: [email protected]
• Posta: Codeck Yazılım A.Ş. — Maslak Mah. Aos 55. Sk. 42 Maslak No: 4 İç Kapı No: 556 Sarıyer / İstanbul

Başvurularınız 30 gün içinde yanıtlanır.

8. Çerezler

imzala.org, platform deneyiminizi geliştirmek için çerezler ve benzer izleme teknolojileri kullanır. İlk ziyaretinizde size çerez consent banner'ı gösterilir.

8.1 Çerez Türleri

• Zorunlu çerezler: Web sitesinin temel işlevi (oturum, güvenlik, dil tercihi)
• Performans / analitik çerezler: GA4, Microsoft Clarity (anonim site kullanım istatistikleri)
• Pazarlama çerezleri: Meta Pixel, Google Ads (yalnızca consent ile aktif)

Detaylı liste, cookie ID, süre ve sağlayıcı bilgileri için: Çerez Politikası

Çerez tercihlerinizi istediğiniz zaman değiştirebilirsiniz: sayfa altındaki "Çerez Ayarları" linki veya tarayıcı ayarlarınız üzerinden.

9. Uluslararası Veri Aktarımları

Üretim verileriniz AB içinde (Hetzner Almanya) bulunmaktadır. Yurt dışı aktarımları yalnızca aşağıdaki durumlarda gerçekleşir ve yasal güvenceler altındadır:

• AB içine aktarım (Hetzner DE, Mailgun EU sunucu): GDPR kapsamında ek güvence gerekmez
• ABD'ye aktarım (Cloudflare, Twilio, GitHub): Standart Sözleşme Maddeleri (SCC) Modül 2 imzalı
• Türkiye'ye aktarım (PayTR, NetGSM, Kobikom, TÜBİTAK KAMU SM): KVKK m.9 kapsamında, yurt içi sayılır

10. Saklama Süreleri

Veri Kategorisi	Saklama Süresi	Yasal Dayanak
Sözleşme PDF, audit trail, metadata	10 yıl	TTK m.82
İmza, görüntüleme ve işlem IP adresi; trafik güvenlik logları	10 yıl	5070 sayılı Kanun, TTK m.82 — dijital imzanın inkâr edilemezliği ve delil bütünlüğü
İmza görseli	Hesap silimine kadar	Sözleşmenin ifası
Kullanıcı hesabı	Hesap silimine kadar (30 gün grace)	Sözleşmenin ifası
Audit log	5 yıl	Denetim, ISO 27001
Fatura ve ödeme	10 yıl	VUK m.253
SMS gönderim logu	1 yıl	Operasyonel
Webhook delivery logu	90 gün	Operasyonel
Kullanıcı aktivite	3 yıl	Meşru menfaat
OTP / refresh / magic link tokenları	Süre sonu sonrası anlık silme	Auth güvenliği
Çerez verileri	Maks 2 yıl	KVKK + ePrivacy
5651 sayılı kanun trafik logu	2 yıl	5651 sayılı Kanun

10.1 Veri İmha Politikası

• Saklama süresi sona eren veriler otomatik olarak silinir veya anonimleştirilir
• Silme talepleri 30 gün içinde sonuçlandırılır
• Yedek sistemlerden de tam temizleme yapılır (rotasyon dönemi sonunda)
• İmha işlemleri loglanır ve denetim kayıtlarına eklenir

11. Çocukların Gizliliği

Hizmetimiz 18 yaş altı bireylere yönelik değildir. 18 yaş altındaki kişilerden bilerek kişisel bilgi toplamayız. Tespit etmemiz halinde bu veriler derhal silinir.

12. Veri İhlali Bildirimi

• İhlal tespitinden itibaren 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildirim (KVKK m.12, GDPR Art.33)
• Risk değerlendirmesine göre etkilenen kullanıcılara e-posta bildirimi (GDPR Art.34)
• İhlalden etkilenen veri kategorileri, alınan önlemler ve önerilen aksiyonlar açıklanır

13. Politika Güncellemeleri

Bu Gizlilik Politikası, mevzuat değişiklikleri ve uygulama güncellemelerini yansıtmak için periyodik olarak güncellenir.

• Önemli değişiklikler web sitemizde duyurulur
• Kayıtlı kullanıcılara e-posta ile bildirilir
• Önemli değişiklikler için yeni açık rıza istenebilir
• Politika değişikliği sonrası kullanmaya devam etmeniz, güncellenmiş politikayı kabul ettiğiniz anlamına gelir

14. İletişim Bilgileri