Gizlilik Politikası — Usherfly
Bu sayfa KVKK kapsamında Türkçe olarak hazırlanmıştır.
1. Giriş
Usherfly, kişisel verilerinin gizliliğini ciddiye alır. Bu Gizlilik Politikası, Usherfly platformunu kullandığında hangi kişisel verilerin toplandığını, nasıl işlendiğini, ne süreyle saklandığını ve haklarını nasıl kullanabileceğini açıklar. Bu politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında hazırlanmıştır. Ayrıca California Consumer Privacy Act (CCPA) kapsamındaki haklarını da bu belgede bulabilirsin (bkz. Bölüm 10).
İletişim: privacy@usherfly.io
1.1 Veri Sorumlusu ve Veri İşleyen Rolleri
Usherfly, işlediği veri türüne göre farklı rollerde hareket eder:
- Hesap verileri (e-posta, ad, organizasyon adı, şifre hash'i) için Usherfly veri sorumlusudur.
- Onboarding akış verileri (yüklenen belgeler, form yanıtları, e-imza verileri) için organizasyon (Organization Admin) veri sorumlusu, Usherfly veri işleyendir. Usherfly bu verileri yalnızca organizasyonun talimatları doğrultusunda işler.
Onboardee'ler için: Onboarding akışı içinde paylaştığın belge, form ve e-imza verilerine ilişkin haklarını (erişim, düzeltme, silme) önce seni davet eden organizasyona ilet. Usherfly, organizasyonun veri işleyeni olarak bu taleplere organizasyon adına destek olur. Rollerin ayrıntısı Veri İşleme Sözleşmesi belgesinde tanımlıdır.
Veri sorumlusu olarak yasal kuruluş: Truemium OÜ (Estonya Ticaret Sicil no. 17381638), tescilli adresi Paavli tn 5a/1, Põhja-Tallinna linnaosa, 10412 Tallinn, Estonya. İletişim: privacy@usherfly.io
2. Hangi Veriler Toplanır
| Veri Kategorisi | Örnekler | Kim İçin |
|---|---|---|
| Kimlik ve iletişim | Ad, soyad, e-posta | Tüm kullanıcılar |
| Hesap bilgileri | Şifre (hash'li), organizasyon adı | Organization Admin |
| Onboarding içerikleri | Yüklenen belgeler, formlar, e-imza verileri | Onboardee |
| Ödeme bilgileri | Fatura adresi (kart verisi Usherfly'de saklanmaz) | Ücretli plan |
| Oturum ve log verileri | IP, tarayıcı, ziyaret kayıtları | Tüm kullanıcılar |
2.3 Demo ve Satış Talebi Verileri
Usherfly web sitesi üzerinden demo veya iletişim formu dolduran ziyaretçilerin ad, e-posta, şirket adı ve mesaj içeriği verilerini yalnızca talebe yanıt verme amacıyla işleriz. Bu veriler, veri sorumlusu sıfatıyla Truemium OÜ (Estonya Ticaret Sicil no. 17381638, tescilli adresi Paavli tn 5a/1, Põhja-Tallinna linnaosa, 10412 Tallinn, Estonya) tarafından açık rıza (GDPR m.6/1-a; KVKK m.5/1) — demo formundaki onay kutusunu işaretleyerek verilir — kapsamında işlenir ve üçüncü taraflarla paylaşılmaz. Saklama süresi: talebe yanıt verilmesinden itibaren en fazla 12 ay. Silme talebi: privacy@usherfly.io.
3. Verilerin İşlenme Amaçları (KVKK)
Hesap oluşturma ve hizmet sunumu (sözleşmenin ifası), güvenlik (meşru menfaat), ürün analitik (meşru menfaat), e-posta bildirimleri (sözleşmenin ifası), pazarlama e-postaları (açık rıza), yasal yükümlülükler, anonim analitik (KVKK m. 28).
Ürün telemetrisi iki katmanda işlenir: tarayıcı tarafındaki analitik ve oturum kaydı yalnızca açık çerez rızanla çalışır; kayıt, aktivasyon, limit ve yükseltme gibi sunucu tarafı ürün olayları ise çerez kullanılmadan, takma adlı (pseudonim) olarak meşru menfaat / sözleşmenin ifası kapsamında işlenir (D-165).
4. Veri Saklama Süreleri
Kullanıcı profili ve belgeler aktif hesap süresince saklanır; silme talebi üzerine kalıcı olarak silinir (D-024). Etkinlik log'ları kullanıcı kimliği anonimleştirildikten sonra 3 yıl tutulur. Güvenlik log'ları en fazla 1 yıl saklanır.
5. Verilerin Aktarıldığı Taraflar
AWS (eu-central-1, Frankfurt) — depolama ve işleme; Paddle Billing — ödeme işleme; transactional email provider — bildirimler; PostHog (AB veri bölgesi — eu.i.posthog.com) — ürün analitiği ve rızaya bağlı, maskelenmiş oturum kayıtları; Sentry — hata takibi; Anthropic (Claude), OpenAI — yapay zeka ile onboarding akışı üretimi (yöneticilere bu alanlara onboardee kişisel verisi eklememeleri yönünde talimat verilir; açıklama ve bağlam geçici olarak işlenir ve Usherfly tarafından kalıcı saklanmaz; isteğe bağlı rol bilgisi ise akış üretim denetim kayıtlarında tutulabilir) — Amerika Birleşik Devletleri, aktarım Standart Sözleşme Maddeleri (SCC) kapsamında (yürürlük teyidi beklemede); Google (OAuth / Workspace) — giriş kimliği doğrulama (ad, e-posta, Google hesap kimliği) — Amerika Birleşik Devletleri; SMS sağlayıcıları (Twilio, İletimerkezi) — işlemsel onboarding mesajları ve onaya bağlı (opt-in) pazarlama mesajlarının kısa mesaj (SMS) ile iletimi (telefon numarası, mesaj içeriği) — bölge / aktarım mekanizması go-live öncesinde netleşecek, GDPR uyumlu güvence sağlanacaktır; WhatsApp sağlayıcısı (planlanıyor) — işlemsel onboarding mesajları ve onaya bağlı (opt-in) pazarlama mesajlarının WhatsApp ile iletimi (telefon numarası, mesaj içeriği) — sağlayıcı seçimi go-live öncesinde netleşecektir. Verileri satmıyoruz, kiralamıyoruz veya reklam amaçlı üçüncü taraflarla paylaşmıyoruz. Güncel alt işlemci listesi: Alt İşlemci Listesi.
6. Veri Güvenliği
Aktarımda ve depolamada şifreleme, erişim kontrolü, düzenli güvenlik denetimleri uygulanır. Güvenlik ihlali durumunda yasal yükümlülükler çerçevesinde bildirim yapılır.
7. KVKK Kapsamındaki Hakların
Bilgi edinme, erişim, düzeltme, silme (unutulma), işlemenin kısıtlanması, itiraz, zarar tazminatı ve aktarım bilgisi haklarına sahipsin. Talep yöntemi: privacy@usherfly.io veya hesap ayarları (30 gün içinde yanıt). Denetim otoritesi: KVKK — kvkk.gov.tr.
8. Çerezler
Analitik çerezler ve oturum kaydı (session replay) yalnızca çerez bannerında vereceğin açık rızayla etkinleşir; "yalnızca zorunlu" seçiminde analitik çerez kullanılmaz. Ayrıntılar için bkz. Çerez Politikası.
9. Uluslararası Veri Aktarımı
Birincil depolama ve işleme AWS eu-central-1 (Frankfurt) bölgesinde gerçekleşir (D-116); bu bölge GDPR uyumluluk standartlarını karşılamaktadır. ABD'ye iki kategoride aktarım söz konusudur: yapay zeka akışı üretimi (Anthropic, OpenAI) — yöneticinin yazdığı akış açıklaması, rol ve bağlam alanlarındaki metin geçici olarak aktarılır; yöneticilere bu alanlara onboardee kişisel verisi eklememeleri yönünde talimat verilir; açıklama ve bağlam geçici olarak işlenir ve Usherfly tarafından kalıcı saklanmaz; isteğe bağlı rol bilgisi ise akış üretim denetim kayıtlarında tutulabilir — ve Google OAuth ile giriş (kullanıcının giriş sırasında verdiği rızaya dayanır). Her iki aktarım da Standart Sözleşme Maddeleri (SCC) kapsamında yapılır (yürürlük teyidi beklemede). Ayrıntılar için bkz. alt işlemci listesi ve Bölüm 5.
10. CCPA — California Kullanıcıları
California'da ikamet ediyorsan bilme/erişim, silme ve satışa itiraz (opt-out) haklarına sahipsin. Usherfly kişisel verileri satmaz. Talep: privacy@usherfly.io (45 gün içinde yanıt). Denetim: CPPA — cppa.ca.gov.
11. Politika Değişiklikleri
Önemli değişikliklerde e-posta ile önceden bildirim yapılır.
12. İletişim
Gizlilik soruları: privacy@usherfly.io