Gizlilik Politikasi

Icindekiler

Veri sorumlusu kim?
Hangi kisisel verilerinizi isliyoruz?
Hangi amacla isliyoruz?
Hukuki dayanak
Yurt ici / yurt disi aktarim
Saklama suresi
Guvenlik onlemleri
KVKK kapsamindaki haklariniz
Cerezler
Politika degisiklikleri

1. Veri sorumlusu kim?

Muhlet.com (bundan sonra "Muhlet") adina hareket eden Muhlet Yazilim ("biz"), 6698 sayili Kisisel Verilerin Korunmasi Kanunu ("KVKK") kapsaminda kisisel verilerinizin veri sorumlusudur. Bu politika, hangi kisisel verileri, hangi amaclarla, hangi hukuki dayanakla isledigimizi seffaf olarak aciklar.

Iletisim: kvkk@muhlet.com

2. Hangi kisisel verilerinizi isliyoruz?

2.1 Sizin (kullanici / avukat) verileriniz

Kimlik: ad, soyad, baro sicil numarasi, e-posta, sifre hash'i (Argon2id), telefon (opsiyonel).
Calisma alani: baro adi, unvan (Av., Stj. Av.), buro bilgisi.
Oturum: giris zamani, IP adresi, tarayici parmagi (User-Agent), 2FA secret'i.
Kullanim: hangi tebligatlari okudugunuz, hangi dosyalara baktiginiz, audit log.

2.2 Mukkellerinizin / karsi taraf verileri (sizin sorumlulugunuzda)

Tebligat icerigi: mahkeme, dosya numarasi, taraflar, tebligat metni, ekleri (PDF).
Dosya verileri: dosya kayitlari, taraflar, safahat, notlar, belgeler.

Onemli: Mukvekkillerinizin verileri sizin tarafinizdan veya UETS sisteminden cekilen tebligatlardan toplanir. Bu verilerin veri sorumlusu siz (avukat / buro), Muhlet ise veri isleyendir. Veri isleme sozlesmemiz "Hizmet Sozlesmesi"nin ekidir.

3. Hangi amacla isliyoruz?

Tebligat takibinin otomatize edilmesi (UETS'ten cekim, sure hesabi, hatirlatma).
Dosya yonetimi, takvim, gorev, mukvekkil iletisimi.
Hesap guvenliginin saglanmasi (2FA, oturum kontrolu, brute-force koruma).
Hizmetin gelistirilmesi, hata ayiklamasi, kullanicilara destek verilmesi.
Yasal yukumluluklerimizin yerine getirilmesi (Vergi, KVKK Kurulu vs.).

4. Hukuki dayanak

Sozlesmenin ifasi (KVKK m.5/2-c): Hizmet sozlesmenizden dogan edimleri yerine getirmek.
Hukuki yukumluluk (KVKK m.5/2-c): Vergi mevzuati, audit log gibi sebeplerle veri saklama.
Mesru menfaat (KVKK m.5/2-f): Hizmetin guvenligi, brute-force koruma, dolandiriciliga karsi izleme.
Acik riza: Ticari elektronik ileti (pazarlama e-postasi); istediginiz zaman geri alabilirsiniz.

5. Yurt ici / yurt disi aktarim

Verileriniz Hetzner Online GmbH'in Almanya / Finlandiya veri merkezlerinde tutulur (KVKK m.9 - GDPR yeterli koruma kararli ulke). Kullandigimiz alt servisler:

Hetzner (sunucu) — Almanya / Finlandiya
OpenAI / Anthropic (AI ozetleme, opsiyonel) — ABD; sadece tebligat metni isleme amacliyla, kisisel veri minimize edilerek.
Postmark / Mailgun (e-posta) — AB / ABD.

Yurt disi aktarimlar icin GDPR uyumlu Standart Sozlesme Hukumleri (SCC) imzalanmistir.

6. Saklama suresi

Hesap aktif iken: tum veriler.
Hesap pasif edildikten sonra: 6 ay boyunca geri yukleme imkani; sonra tam silme.
Audit log + login log: 5 yil (KVKK Kurulu rehberi).
Tebligat arsivi: Avukatlik Kanunu m.39 uyarinca 10 yil (sizin yukumlulugunuz, biz size hizmet veririz).

Hesabinizi kapatmak ve verilerinizi silmek icin: kvkk@muhlet.com adresine yazabilirsiniz.

7. Guvenlik onlemleri

Tum trafik HTTPS uzerinden (TLS 1.3).
Veritabaninda hassas alanlar libsodium secretbox ile sifrelenmis (per-purpose subkey).
Sifreler Argon2id ile hash'lenir; hicbir zaman duz metin saklanmaz.
2FA destegi (TOTP); avukatlara siddetle onerilir.
Brute-force korumasi (15 dakikada 5 yanlis = lockout).
Audit log; her okuma/yazma kaydi kullanici + IP + zaman ile kayit edilir.
Multi-tenant izolasyon: her veritabani query'sine zorunlu tenant_id filtresi.
Yedekleme: gunluk Hetzner Storage Box backup, 30 gun retention.

8. KVKK kapsamindaki haklariniz

KVKK m.11 uyarinca:

Verilerinizin islenip islenmedigini ogrenme hakkina sahipsiniz.
Eksik / yanlis verilerin duzeltilmesini isteyebilirsiniz.
Verilerinizin silinmesini veya yok edilmesini talep edebilirsiniz (silme talep formu hesap sayfanizda mevcuttur).
Verilerinizin yurt disina aktariminda iptal hakki.
KVKK Kurulu'na sikayet hakki: kvkk.gov.tr.

9. Cerezler

Muhlet sadece zorunlu cerezler kullanir:

PHPSESSID — oturum cookie, HttpOnly + Secure + SameSite=Lax.
_token — CSRF koruma cookie, HttpOnly + Secure.

Pazarlama, analitik veya 3. taraf takip cerezi kullanmayiz. Google Analytics, Facebook Pixel, vb. yoktur.

10. Politika degisiklikleri

Bu politika ihtiyac halinde guncellenir. Onemli degisiklikler e-posta ile bildirilir, hesap acilisinda banner ile uyari verilir. Son guncellenme tarihi sayfanin ust kisminda yer alir.