Gizlilik Politikası

1. Tanımlar ve Kapsam

Bu Gizlilik Politikası; Yemlee AI ("Yemlee", "biz", "şirket") tarafından işletilen yemlee.com alan adlı web sitesi ve mobil uygulamalar aracılığıyla sunulan hizmetler kapsamında kişisel verilerin işlenmesine ilişkin esasları düzenlemektedir.

İşbu politika; 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR – 2016/679) ve ilgili ikincil mevzuat çerçevesinde hazırlanmıştır.

Bu politikada geçen temel kavramlar aşağıdaki anlamları taşımaktadır:

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen tüzel kişi (Yemlee).
Veri İşleyen: Veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi (Kullanıcı).
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Platformumuzu kullanan her gerçek kişi bu politikayı okumuş ve içeriğini kabul etmiş sayılır. 18 yaşından küçük bireyler platformu yalnızca ebeveyn veya yasal vasi onayıyla kullanabilir.

2. Veri Sorumlusu

KVKK ve GDPR kapsamında veri sorumlusu sıfatını taşıyan şirketimize ait bilgiler aşağıdaki gibidir:

Bilgi	Detay
Ticari Unvan	Yemlee AI
Merkez Adresi	Kayseri Talas, Türkiye
E-posta	[email protected]
Web Sitesi	yemlee.com
VERBİS Kayıt Durumu	Kayıtlı

Kişisel verilerinize ilişkin her türlü başvuru, talep ve soru için yukarıdaki iletişim bilgilerini kullanabilirsiniz. Başvurular KVKK'nın 13. maddesi uyarınca en geç 30 gün içinde yanıtlanır.

3. Toplanan Kişisel Veriler

Yemlee, hizmetlerini sunabilmek amacıyla aşağıda belirtilen kişisel veri kategorilerini işlemektedir:

3.1. Doğrudan Tarafınızdan Aldığımız Veriler

Ad, soyad, kullanıcı adı ve şifre (kayıt sırasında)
E-posta adresi ve telefon numarası
Profil fotoğrafı (isteğe bağlı)
Haber tercihleri, takip ettiğiniz kategoriler, kaynaklar ve anahtar kelimeler
İletişim formlarında ilettiğiniz mesaj içerikleri
Abonelik ve ödeme bilgileri (premium üyeler için — kredi kartı bilgileri tarafımızca saklanmaz, ödeme altyapı sağlayıcısı üzerinden işlenir)

3.2. Otomatik Olarak Toplanan Veriler

IP adresi, tarayıcı türü ve sürümü, işletim sistemi
Ziyaret edilen sayfalar, tıklanan haberler, arama geçmişi
Oturum süresi, sayfa görüntüleme sayısı, tıklama akışı
Cihaz tanımlayıcıları (Device ID), ekran çözünürlüğü
Coğrafi konum (şehir düzeyinde, IP'ye dayalı — hassas konum bilgisi toplanmaz)
Yönlendiren URL (referrer) bilgisi

3.3. Üçüncü Taraflardan Alınan Veriler

Google, Apple veya diğer OAuth sağlayıcıları aracılığıyla giriş yapılması halinde; ad, e-posta ve profil fotoğrafı
Sosyal medya paylaşım eklentilerinden gelen etkileşim verileri (yalnızca istatistiksel, kişisel kimlik içermez)

4. Veri İşleme Amaçları

Toplanan kişisel veriler yalnızca aşağıdaki meşru amaçlar doğrultusunda işlenmektedir:

Kullanıcı hesabının oluşturulması, yönetimi ve kimlik doğrulama süreçleri
Yapay zeka destekli kişiselleştirilmiş haber akışının oluşturulması
Platform içi arama, filtreleme ve öneri motorlarının çalıştırılması
Kullanıcı deneyiminin iyileştirilmesine yönelik analiz ve raporlama
Teknik arıza, güvenlik ihlali ve hata tespiti
Yasal yükümlülüklerin yerine getirilmesi ve resmi makam taleplerine cevap verilmesi
Hizmet şartları ve kullanım politikalarının uygulanması
Açık rızanız olması halinde: e-posta bülteni ve bildirim gönderimi
Açık rızanız olması halinde: ilgi alanlarınıza uygun içerik ve reklam gösterimi
İstatistiksel araştırma ve yapay zeka modellerinin geliştirilmesi (anonim hale getirilerek)

Verileriniz hiçbir koşulda bu politikada belirtilenlerin dışında bir amaçla işlenmez; amaç dışı kullanım söz konusu olduğunda önceden bilgilendirme yapılır ve gerekli hallerde yeniden rıza alınır.

5. Hukuki Dayanak

Kişisel verilerinizi KVKK madde 5 ve GDPR madde 6 kapsamında aşağıdaki hukuki dayanaklar çerçevesinde işlemekteyiz:

İşleme Faaliyeti	Hukuki Dayanak
Hesap oluşturma ve kimlik doğrulama	Sözleşmenin ifası
Kişiselleştirilmiş haber akışı	Meşru menfaat / Açık rıza
Pazarlama iletişimleri	Açık rıza
Güvenlik ve hata takibi	Meşru menfaat
Yasal yükümlülüklerin yerine getirilmesi	Kanuni zorunluluk
Analiz ve istatistik	Meşru menfaat (anonim veri)
Ödeme işlemleri	Sözleşmenin ifası / Kanuni zorunluluk

6. Çerezler ve İzleme Teknolojileri

Yemlee, platformun işlevselliğini sağlamak ve kullanıcı deneyimini iyileştirmek amacıyla çerez (cookie) ve benzeri izleme teknolojilerinden yararlanmaktadır.

Kullandığımız çerez türleri:

Çerez Türü	Amaç	Süre
Zorunlu Çerezler	Oturum yönetimi, güvenlik, temel işlevler	Oturum süresi
Tercih Çerezleri	Şehir, dil, haber tercihleri	1 yıl
Analitik Çerezler	Sayfa görüntüleme, kullanım istatistikleri	6 ay
Pazarlama Çerezleri	İlgi alanına dayalı içerik ve reklam	90 gün

Zorunlu çerezler dışındakileri platformumuz ilk kullanımda sunulan onay paneli aracılığıyla kabul veya reddedebilirsiniz. Tarayıcı ayarlarınızdan çerezleri tamamen devre dışı bırakabilirsiniz; ancak bu durumda bazı platform işlevleri çalışmayabilir.

Üçüncü taraf analitik araçlar (Google Analytics 4, Plausible vb.) anonimleştirilmiş veri toplar; IP adresleri bu süreçte maskelenerek işlenir.

7. Üçüncü Taraflarla Veri Paylaşımı

Yemlee, kişisel verilerinizi kural olarak üçüncü taraflarla paylaşmaz. Aşağıdaki istisnai durumlar bu kuralın kapsamı dışındadır:

7.1. Hizmet Sağlayıcılar
Platform altyapısını işletmek amacıyla hizmet aldığımız üçüncü taraf tedarikçiler (sunucu/bulut hizmetleri, ödeme altyapısı, e-posta gönderim servisleri) ile veri işleme sözleşmesi (DPA) kapsamında sınırlı veri paylaşımı yapılabilir. Bu tedarikçiler verileri yalnızca talimatlarımız doğrultusunda ve belirtilen amaçlarla kullanır.

7.2. Yasal Zorunluluklar
Mahkeme kararı, savcılık talebi veya ilgili yasal düzenlemeler çerçevesinde yetkili kamu kurum ve kuruluşlarıyla zorunlu paylaşım yapılabilir. Bu tür paylaşımlar yalnızca yasal yükümlülüğün gerektirdiği ölçüde gerçekleştirilir.

7.3. Şirket Birleşme veya Devri
Şirketimizin kısmen veya tamamen devri, birleşme ya da satın alınması halinde kişisel verileriniz devralan tarafla paylaşılabilir. Bu durumda kullanıcılar önceden bilgilendirilir.

7.4. Anonimleştirilmiş Veriler
Hiçbir şekilde kişisel kimlik içermeyen, istatistiksel amaçlarla anonimleştirilmiş verileri araştırma ortakları ve reklam platformlarıyla paylaşabiliriz.

Verileriniz hiçbir koşulda üçüncü taraflara satılmaz, kiralanmaz veya ticarete konu edilmez.

8. Veri Saklama Süreleri

Kişisel verileriniz, işlenme amacının gerektirdiği süre boyunca ve yasal yükümlülükler kapsamında saklanır. Amacın ortadan kalkmasıyla veriler silinir, yok edilir veya anonim hale getirilir.

Veri Kategorisi	Saklama Süresi
Hesap ve kimlik bilgileri	Hesap aktif olduğu sürece + 3 yıl
İşlem ve ödeme kayıtları	10 yıl (Vergi Usul Kanunu)
Oturum ve erişim logları	2 yıl
Haber okuma ve arama geçmişi	12 ay (anonim hale getirilerek 36 ay)
Destek talepleri ve iletişim	5 yıl
Pazarlama onay kayıtları	İlgili onayın geçerlilik süresince + 3 yıl
Çerez verileri	Çerez türüne göre 30 gün – 1 yıl

Saklama süresi dolan veriler her ay periyodik olarak gerçekleştirilen imha süreçleriyle kalıcı olarak silinir. İmha tutanakları 3 yıl süreyle muhafaza edilir.

9. Güvenlik Tedbirleri

Kişisel verilerinizin yetkisiz erişim, değiştirme, ifşa veya imhaya karşı korunması için aşağıdaki teknik ve idari güvenlik önlemlerini uygulamaktayız:

Teknik Tedbirler:

Tüm veri iletişimi TLS 1.3 şifrelemesi ile korunmaktadır (HTTPS)
Şifreler ve hassas veriler AES-256 standardında şifrelenerek saklanır
Kullanıcı şifreleri bcrypt algoritmasıyla hashlenerek tutulur; düz metin olarak asla kaydedilmez
Güvenlik duvarı, DDoS koruma ve saldırı tespit sistemleri (IDS/IPS) aktif olarak çalıştırılmaktadır
İki faktörlü kimlik doğrulama (2FA) seçeneği sunulmaktadır
Elasticsearch ve veritabanı katmanlarına erişim yalnızca yetkili IP aralıklarından mümkündür
Düzenli penetrasyon testleri ve güvenlik denetimleri gerçekleştirilmektedir

İdari Tedbirler:

Kişisel verilere erişim, yalnızca görev tanımı gereği erişmesi zorunlu çalışanlarla sınırlandırılmıştır (need-to-know prensibi)
Tüm çalışanlar işe başlamadan önce gizlilik sözleşmesi imzalar ve KVKK eğitimi alır
Veri işleyen üçüncü taraflarla imzalanan sözleşmelerde güvenlik yükümlülükleri yer almaktadır
Veri ihlali durumunda KVKK'nın 12. maddesi uyarınca 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildirim yapılır

10. İlgili Kişi Hakları

KVKK'nın 11. maddesi ve GDPR'ın 15–22. maddeleri kapsamında aşağıdaki haklara sahipsiniz:

Bilgi Edinme: Kişisel verilerinizin işlenip işlenmediğini ve hangi verilerinizin işlendiğini öğrenme
Erişim: İşlenen verilerinize ve işleme amaçlarına ilişkin bilgi talep etme
Düzeltme: Yanlış veya eksik verilerin düzeltilmesini isteme
Silme (Unutulma): Yasal saklama yükümlülüğü bulunmayan verilerin silinmesini talep etme
Kısıtlama: Belirli koşullarda veri işlemenin kısıtlanmasını talep etme
İtiraz: Meşru menfaate dayalı veri işleme faaliyetlerine itiraz etme
Taşınabilirlik: Verilerinizi yapılandırılmış ve makine tarafından okunabilir formatta alma ve başka platforma aktarma
Rızayı Geri Alma: Rızaya dayalı işlemlerde rızanızı istediğiniz zaman geri çekme (geriye dönük etki doğurmaz)
Şikayet Hakkı: Kişisel Verileri Koruma Kurumu'na (kvkk.gov.tr) şikayette bulunma

Haklarınızı kullanmak için [email protected] adresine e-posta gönderebilir ya da kimliğinizi doğrulayarak yazılı başvuruda bulunabilirsiniz. Başvurular ücretsiz olarak en geç 30 gün içinde sonuçlandırılır; talebin karmaşıklığına bağlı olarak bu süre 60 güne uzatılabilir ve gerekçeli olarak bildirilir.

11. Çocukların Gizliliği

Yemlee hizmetleri 18 yaşın altındaki bireylere yönelik tasarlanmamıştır ve bu bireylerden bilerek kişisel veri toplanmamaktadır.

18 yaşından küçük bir kullanıcının verilerinin sistemimizde bulunduğunu fark ettiğimizde, ilgili veriler derhal ve kalıcı olarak silinir. Ebeveyn veya yasal vasi olarak bu durumu fark ederseniz [email protected] adresiyle bizimle iletişime geçebilirsiniz.

Türk hukuku kapsamında reşit olmayanların platformu kullanabilmesi ebeveyn veya yasal vasi onayına tabidir.

12. Yurt Dışı Veri Aktarımı

Kullandığımız bazı üçüncü taraf hizmet sağlayıcıları (bulut altyapısı, analitik araçlar vb.) Türkiye dışında sunucu işletebilmektedir. Bu durumlarda KVKK'nın 9. maddesi kapsamında aşağıdaki güvencelerden en az biri sağlanmaktadır:

Kurul tarafından yeterli koruma sağladığı ilan edilen ülkelere aktarım
Veri sorumluları arasında imzalanan standart sözleşme hükümleri (SCCs)
Bağlayıcı şirket kuralları (BCRs)
İlgili kişinin açık rızası

Kişisel verilerinizin aktarıldığı ülkeler ve sağlanan güvenceler hakkında ayrıntılı bilgi almak için bizimle iletişime geçebilirsiniz.

13. Politika Değişiklikleri

İşbu Gizlilik Politikası, yasal düzenlemelerdeki değişiklikler, platform güncellemeleri veya iş süreçlerindeki gelişmeler doğrultusunda zaman zaman güncellenebilir.

Yapılan değişiklikler aşağıdaki yollarla duyurulur:

Platform ana sayfasında belirgin bir bildirim yayınlanması
Kayıtlı kullanıcılara e-posta ile bilgilendirme gönderilmesi
Bu sayfanın üst kısmındaki "Son güncelleme" tarihinin yenilenmesi

Önemli değişiklikler söz konusu olduğunda yürürlüğe girmeden en az 30 gün önce bildirim yapılır. Değişiklikler yürürlüğe girdikten sonra platformu kullanmaya devam etmeniz, güncellenmiş politikayı kabul ettiğiniz anlamına gelir.

Politikanın önceki sürümlerine talep halinde e-posta yoluyla ulaşabilirsiniz.

14. İletişim ve Başvuru

Bu Gizlilik Politikası hakkında sorularınız, kişisel verilerinize ilişkin talepleriniz veya bir endişeniz olması halinde aşağıdaki kanallar üzerinden bizimle iletişime geçebilirsiniz:

Kanal	Bilgi
KVKK / Gizlilik E-posta	[email protected]
Genel Destek	[email protected]
Posta Adresi	Yemlee AI, Kayseri Talas, Türkiye
Resmi Başvuru	Islak imzalı başvurular kayıtlı posta ile yapılabilir

Başvurularınızda kimliğinizi doğrulayabilecek belgeler (T.C. kimlik fotokopisi veya pasaport) ve talep konusunu açıkça belirtmeniz, sürecin hızlıca tamamlanmasına yardımcı olacaktır.

Gizlilik Ekibimize Ulaşın

Kişisel verilerinizle ilgili tüm talepleriniz için gizlilik ekibimiz her zaman yanınızdadır.

[email protected]