Yürürlük Tarihi: 30 Mart 2026
1. Giriş
Bu Gizlilik Politikası, LucyHQ, Inc. ("Şirket", "biz", "bizim") tarafından işletilen Vorden ("Platform", "Hizmet") aracılığıyla kişisel verilerinizin nasıl toplandığı, işlendiği, saklandığı ve korunduğunu açıklamaktadır.
Vorden, yapay zeka destekli ses, sohbet ve çok kanallı iletişim hizmetleri sunan bir platformdur. Platform; otomatik telefon görüşmeleri, canlı sohbet, WhatsApp, Telegram, SMS ve e-posta kanalları üzerinden işletmelere iletişim çözümleri sağlar.
Veri Sorumlusu: LucyHQ, Inc. 131 Continental Dr, Suite 305 Newark, DE 19713, ABD (Delaware eyaletinde kurulmuş bir C-Corp şirkettir)
Veri Koruma Sorumlusu (VKS / DPO): E-posta: dpo@vorden.ai
Bu Politika, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR — (AB) 2016/679 sayılı Tüzük) ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamındaki yükümlülüklerimiz çerçevesinde hazırlanmıştır.
2. Topladığımız Veriler
2.1 Kimlik ve İletişim Verileri
| Veri Türü | Örnekler |
|---|---|
| Kimlik bilgileri | Ad, soyad, kullanıcı adı |
| İletişim bilgileri | E-posta adresi, telefon numarası |
| Hesap bilgileri | Şirket adı, kiracı (tenant) kimliği, rol bilgisi |
2.2 İletişim Verileri
| Veri Türü | Örnekler |
|---|---|
| Arama kayıtları | Arama süresi, arama yönü, arama durumu |
| Ses kayıtları | Görüşme ses dosyaları (yapılandırma durumuna bağlı) |
| Transkriptler | Konuşmadan metne dönüştürülmüş içerikler |
| Sohbet geçmişi | Canlı sohbet, WhatsApp, Telegram ve SMS mesajları |
2.3 Teknik Veriler
| Veri Türü | Örnekler |
|---|---|
| Cihaz bilgileri | IP adresi, tarayıcı türü ve sürümü |
| Erişim bilgileri | İşletim sistemi, erişim zamanı |
| Çerez verileri | Oturum tanımlayıcıları, tercih çerezleri |
2.4 Kullanım Verileri
Platform üzerindeki etkileşimleriniz, özellik kullanım kalıpları, performans metrikleri ve hata raporları.
2.5 Ödeme Verileri
Ödeme işlemleri üçüncü taraf ödeme servis sağlayıcımız aracılığıyla gerçekleştirilir. Kredi kartı numaraları doğrudan sunucularımızda saklanmaz; bu veriler ödeme servis sağlayıcımız tarafından PCI DSS uyumlu şekilde işlenir. Yalnızca işlem referansları, fatura adresi ve abonelik durumu bilgileri sistemimizde tutulur.
3. Hukuki Dayanak
Kişisel verilerinizi aşağıdaki hukuki dayanaklara istinaden işlemekteyiz:
3.1 GDPR Madde 6 Kapsamında
| Hukuki Dayanak | Açıklama | GDPR Maddesi |
|---|---|---|
| Sözleşmenin ifası | Hizmet sunumu için gerekli işleme | Madde 6(1)(b) |
| Meşru menfaat | Platform güvenliği, dolandırıcılık önleme, hizmet iyileştirme | Madde 6(1)(f) |
| Açık rıza | Pazarlama iletişimleri, özel nitelikli veri işleme | Madde 6(1)(a) |
| Hukuki yükümlülük | Yasal yükümlülüklerin yerine getirilmesi | Madde 6(1)(c) |
3.2 KVKK Madde 5 Kapsamında
6698 sayılı KVKK'nin 5. maddesi gereğince kişisel verileriniz; sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmenin zorunlu olması ve açık rızanızın bulunması hallerinde işlenmektedir.
4. Verilerinizi Nasıl Kullanıyoruz
Kişisel verilerinizi aşağıdaki amaçlarla işliyoruz:
- Hizmet sunumu: Platform özelliklerinin sağlanması, arama yönetimi, sohbet işlemleri ve çok kanallı iletişim hizmetleri
- Yapay zeka işleme: Konuşmadan metne dönüşüm (STT), metinden konuşmaya dönüşüm (TTS), doğal dil işleme (NLP) ve büyük dil modelleri (LLM) aracılığıyla zeki yanıt oluşturma
- Analitik: Hizmet kalitesi ölçümü, kullanım istatistikleri, performans izleme
- Güvenlik: Yetkisiz erişim tespiti, dolandırıcılık önleme, sistem bütünlüğünü koruma
- Faturalandırma: Abonelik yönetimi, ödeme işleme, fatura düzenleme
- Yasal uyumluluk: İlgili mevzuat kapsamındaki yükümlülüklerin yerine getirilmesi
5. Üçüncü Taraf Hizmet Sağlayıcılar
Vorden platformunu sunmak için, kişisel verileri adımıza aşağıdaki kategorilerde işleyen üçüncü taraf hizmet sağlayıcılarla çalışıyoruz:
- Bulut altyapısı ve yönetilen hizmetler (ağırlıklı olarak Avrupa Birliği içinde işleme)
- Yapay zeka ve dil modeli işleme (konuşmadan metne, metinden konuşmaya ve büyük dil modelleri dahil)
- Telefoni ve mesajlaşma (sesli aramalar, SMS, WhatsApp ve Telegram iletimi)
- Ödeme işleme (kart işleme ve abonelik faturalandırması)
- Operasyonel izleme (uygulama hata ve performans izleme)
Her sağlayıcı, Veri İşleme Sözleşmemizdeki koruma düzeyinden daha az koruyucu olmayan yazılı sözleşme yükümlülüklerine tabi olup GDPR Madde 28 ve KVKK gerekliliklerini karşılamaktadır. Alt veri işleyenlerin güncel listesi — adları, işleme konumları ve amaçları dahil — Alt Veri İşleyenler sayfamızda yayımlanmakta ve güncel tutulmaktadır. Veri Sorumluları, eklenti veya değişikliklere ilişkin önceden bildirim almak üzere bu sayfadan abone olabilir.
6. Uluslararası Veri Aktarımı
Platform altyapısı öncelikli olarak Avrupa Birliği içindeki veri merkezlerinde barındırılmaktadır. Bazı hizmet sağlayıcıları ABD'de veya diğer üçüncü ülkelerde bulunabilir.
AB'den ABD'ye veri aktarımlarında:
- Avrupa Komisyonu tarafından onaylanan Standart Sözleşme Maddeleri (Standard Contractual Clauses — SCCs) uygulanmaktadır.
- Aktarım etki değerlendirmesi (Transfer Impact Assessment — TIA) gerçekleştirilmektedir.
- Ek teknik ve organizasyonel güvenlik önlemleri alınmaktadır; bunlar arasında aktarım sırasında ve beklemedeki endüstri standardı şifreleme, erişim kontrolü ve veri minimizasyonu yer almaktadır.
KVKK kapsamında: Yurt dışına veri aktarımı, KVKK Madde 9 uyarınca yeterli korumanın bulunduğu ülkelere veya yeterli korumanın bulunmadığı durumlarda ilgili kişinin açık rızası ya da veri sorumlularının yeterli koruma taahhüt etmesi suretiyle gerçekleştirilmektedir.
7. Veri Saklama Süreleri
| Veri Kategorisi | Saklama Süresi |
|---|---|
| Arama kayıtları ve transkriptler | Varsayılan 90 gün (kiracı yapılandırmasına göre değişebilir) |
| Ses kayıtları | Varsayılan 90 gün (kiracı yapılandırmasına göre değişebilir) |
| Hesap verileri | Aktif abonelik süresi boyunca + fesihten sonra 30 gün |
| Ödeme kayıtları | Yasal saklama süresi (vergi mevzuatı gereği 10 yıl) |
| Sistem ve erişim logları | 12 ay sonra otomatik silinir |
| Sohbet geçmişi | Varsayılan 90 gün |
| Pazarlama verileri | Rızanın geri çekilmesine kadar |
Saklama süresi dolan veriler, güvenli bir şekilde silinir veya anonim hale getirilir.
8. Haklarınız
8.1 GDPR Kapsamındaki Haklarınız (Madde 15-22)
Avrupa Ekonomik Alanı (AEA) mukimi olarak aşağıdaki haklara sahipsiniz:
- Erişim hakkı (Madde 15): İşlemekte olduğumuz kişisel verilerinize ilişkin bilgi talep edebilirsiniz.
- Düzeltme hakkı (Madde 16): Yanlış veya eksik verilerinizin düzeltilmesini isteyebilirsiniz.
- Silme hakkı / Unutulma hakkı (Madde 17): Belirli koşullar altında kişisel verilerinizin silinmesini talep edebilirsiniz.
- İşlemenin kısıtlanması hakkı (Madde 18): Verilerinizin işlenmesinin kısıtlanmasını isteyebilirsiniz.
- Veri taşınabilirliği hakkı (Madde 20): Verilerinizi yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta alabilirsiniz.
- İtiraz hakkı (Madde 21): Meşru menfaate dayanan işleme faaliyetlerine itiraz edebilirsiniz.
- Rızanın geri çekilmesi: Rızaya dayanan işleme faaliyetlerinde, rızanızı herhangi bir zamanda geri çekebilirsiniz. Geri çekme, geri çekme öncesi gerçekleştirilen işlemenin hukuka uygunluğunu etkilemez.
- Denetim makamına şikayet hakkı: Kişisel verilerinizin işlenmesiyle ilgili bir şikayet için yetkili veri koruma otoritesine (Denetim Makamına) başvurabilirsiniz.
8.2 KVKK Kapsamındaki Haklarınız (Madde 11)
Türkiye'de mukim ilgili kişiler olarak 6698 sayılı KVKK'nin 11. maddesi uyarınca aşağıdaki haklara sahipsiniz:
- Kişisel verinizin işlenip işlenmediğini öğrenme
- Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme
- Kişisel verilerinizin işleniş amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme
- Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme
- KVKK Madde 7 çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme
- Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme
Haklarınızı kullanmak için: dpo@vorden.ai adresine e-posta gönderebilir veya Platform içindeki hesap ayarlarınızdan talepte bulunabilirsiniz. Talepleriniz en geç 30 gün içinde yanıtlanacaktır.
9. Otomatik Karar Verme
Vorden, yapay zeka destekli işlemlerde otomatik karar verme mekanizmaları kullanmaktadır. Bunlar şu şekilde işler:
- Doğal dil işleme (NLP): Gelen mesaj ve aramaların içeriğinin analizi
- Otomatik yönlendirme: Aramaların ve sohbetlerin uygun temsilcilere veya botlara yönlendirilmesi
- Duygu analizi: İletişim içeriklerinin duygu tonunun değerlendirilmesi
- Otomatik yanıt oluşturma: LLM modelleri aracılığıyla yanıt üretimi
GDPR Madde 22 uyarınca, yalnızca otomatik işlemeye dayanan ve sizin üzerinizde hukuki sonuç doğuran veya sizi önemli ölçüde etkileyen kararlar söz konusu olduğunda, talep üzerine insan denetimi talep etme hakkınız bulunmaktadır.
10. Güvenlik Önlemleri
Kişisel verilerinizi korumak için aşağıdaki teknik ve organizasyonel önlemleri uygulamaktayız:
- Şifreleme: Kişisel verilerin beklemede ve aktarım sırasında endüstri standardı yöntemlerle şifrelenmesi
- Kimlik doğrulama: Güvenli oturum tabanlı kimlik doğrulama, kısa ömürlü erişim tokenleri ve çok faktörlü kimlik doğrulama (MFA)
- Erişim kontrolü: Rol tabanlı erişim kontrolü, en az yetki ilkesi ve periyodik erişim gözden geçirmeleri
- Kiracı izolasyonu: Uygulama ve veritabanı katmanlarında mantıksal kiracı ayrımı
- İzleme: Kişisel veri temizleme (scrubbing) etkin olarak uygulama izleme, denetim günlükleri ve anormallik tespiti
- Yedekleme: AB veri merkezlerinde düzenli şifrelenmiş yedekler
- Olay müdahalesi: Tanımlanmış olay müdahale prosedürü, 72 saat içinde bildirim
11. Çocukların Gizliliği
Vorden, 16 yaşından küçük çocuklara yönelik değildir ve bilerek 16 yaşından küçük bireylerin kişisel verilerini toplamaz. Eğer 16 yaşından küçük bir çocuğa ait kişisel verilerin toplandığını fark edersek, bu verileri derhal silmek için gerekli adımları atacağız.
Bir çocuğun kişisel verilerini bizimle paylaştığını düşünüyorsanız, lütfen dpo@vorden.ai adresiyle iletişime geçin.
12. Değişiklikler
Bu Gizlilik Politikası'nı zaman zaman güncelleyebiliriz. Önemli değişiklikler yapılması halinde:
- Platform üzerindeki kontrol panelinizde (dashboard) bildirim yayınlanacaktır.
- Kayıtlı e-posta adresinize bilgilendirme gönderilecektir.
- Güncel politika https://vorden.ai adresinde yayınlanacaktır.
Değişikliklerin yürürlüğe girmesinden sonra Platformu kullanmaya devam etmeniz, güncellenmiş Gizlilik Politikası'nı kabul ettiğiniz anlamına gelir.
13. İletişim
Gizlilik uygulamalarımız veya kişisel verilerinizin işlenmesiyle ilgili sorularınız için:
Veri Koruma Sorumlusu (VKS / DPO): E-posta: dpo@vorden.ai
Genel Hukuki İletişim: E-posta: legal@vorden.ai
Posta Adresi: LucyHQ, Inc. 131 Continental Dr, Suite 305 Newark, DE 19713, ABD
Web Sitesi: https://vorden.ai
Bu Gizlilik Politikası 30 Mart 2026 tarihinde yürürlüğe girmiştir.