Gizlilik ve Kisisel Verilerin Korunmasi Politikasi

Son guncelleme: 20 Nisan 2026 · 6698 sayili KVKK uyumlu

1. Veri Sorumlusu

6698 sayili Kisisel Verilerin Korunmasi Kanunu ("KVKK") kapsaminda veri sorumlusu COSMOS AI'dir. Kisisel verileriniz asagida aciklanan amaclar ve hukuki sebepler cercevesinde islenmektedir.

Veri Sorumlusu: COSMOS AI
Iletisim: kvkk@cosmosai.systems

2. Toplanan Kisisel Veriler

KVKK madde 3/1-(d) uyarinca, kimliginizi belirli veya belirlenebilir kilmaya yarayan asagidaki veriler toplanmaktadir:

2.1 Kimlik ve Iletisim Verileri

  • Ad, soyad
  • E-posta adresi
  • Telefon numarasi (opsiyonel)
  • Sirket / organizasyon adi

2.2 Hesap ve Guvenlik Verileri

  • Sifre (hash'lenmis olarak saklanir, duz metin olarak asla tutulmaz)
  • Oturum tokenlari ve IP adresleri
  • Giris gecmisi ve cihaz bilgileri
  • Iki faktorlu dogrulama kayitlari

2.3 Kullanim ve Analitik Verileri

  • Platform ici gezinme verileri ve sayfa goruntulenmeleri
  • Ozellik kullanim istatistikleri
  • Hata raporlari ve performans metrikleri
  • Tarayici tipi, isletim sistemi ve ekran cozunurlugu

2.4 Isletme Verileri

  • CRM kayitlari (musteri, firsat, aktivite verileri)
  • Lojistik verileri (seferler, yukleme planlari, filo bilgileri)
  • Analitik raporlar ve dashboard yapilari
  • AI ile uretilmis icerikler ve analizler

3. Verilerin Isleme Amaci (KVKK Madde 5)

Kisisel verileriniz asagidaki amaclarla islenmektedir:

  • Sozlesmenin ifasi (m.5/2-c): Hesap olusturma, kimlik dogrulama ve platform hizmetlerinin sunulmasi.
  • Mesru menfaat (m.5/2-f): Platform guvenliginin saglanmasi, dolandiricilik onleme, hizmet kalitesinin artirilmasi.
  • Acik riza (m.5/1): Pazarlama iletisimleri, AI model egitimi icin anonimlestirilmis veri kullanimi, ucuncu taraf entegrasyonlari.
  • Hukuki yukumluluk (m.5/2-c): Yasal duzenleme ve resmi makam taleplerine uyum.

4. Verilerin Aktarilmasi (KVKK Madde 8 ve 9)

4.1 Yurt Ici Aktarim

Kisisel verileriniz asagidaki taraflarla paylasilabilir:

  • Hizmet saglayicilari: Bulut altyapi (sunucu, veritabani), e-posta gonderim ve analitik hizmetleri saglayan is ortaklari.
  • Is ortaklari: Entegrasyon ve eklenti saglayan ucuncu taraf yazilim firmalari.
  • Resmi makamlar: Mahkeme kararlari ve yasal zorunluluklar cercevesinde yetkili kurumlar.
  • Guvenlik partnerleri: Platform guvenligini saglamak amaciyla siber guvenlik firmalari.

4.2 Yurt Disi Aktarim (KVKK Madde 9)

Bulut altyapi hizmetleri nedeniyle verileriniz yurt disinda bulunan sunucularda islenebilir. Bu aktarimlar:

  • KVKK madde 9 kapsaminda acik rizaniz alinarak yapilir.
  • Yeterli koruma bulunan ulkelere veya taahhutname ile guvence saglanmis ulkelere yapilir.
  • Veri isleme sozlesmeleri (DPA) ile guvenlik standartlari garanti altina alinir.

5. AI ve Makine Ogrenimi icin Veri Kullanimi

  • Platform kullanim oruntuleri, hizmet kalitesini artirmak icin anonimlestirilmis ve kimliksizlestirilmis sekilde analiz edilebilir.
  • AI modeli egitiminde kullanilan veriler geri donulemez bicimde anonimlestirilir; hicbir bireyin kimligine ulasilamaz.
  • Isletme verileriniz (CRM, lojistik vb.) AI onerileri icin kullanilir ancak diger kullanicilarin modelleriyle paylasilmaz.
  • AI tabanli veri islemeden tamamen cikmak (opt-out) icin destek ekibimize basvurabilirsiniz.

6. Veri Saklama Suresi

  • Hesap verileri: Hesabiniz aktif oldugu surece + hesap kapatmadan sonra 30 gun.
  • Log ve guvenlik verileri: 2 yil.
  • Fatura ve odeme kayitlari: Yasal zorunluluk geregi 10 yil.
  • Anonimlestirilmis analitik veriler: Suresiz (kimlik bilgisi icermez).
  • Yedekleme verileri: Silme talebinden itibaren en gec 90 gun icinde tum yedeklerden kaldirilir.

7. Ilgili Kisi Haklari (KVKK Madde 11)

KVKK madde 11 uyarinca asagidaki haklara sahipsiniz:

  • Kisisel verilerinizin islenip islenmedigini ogrenme.
  • Kisisel verileriniz islenmisse buna iliskin bilgi talep etme.
  • Kisisel verilerin isleme amacini ve amacina uygun kullanilip kullanilmadigini ogrenme.
  • Yurt icinde veya yurt disinda kisisel verilerin aktarildigi ucuncu kisileri bilme.
  • Kisisel verilerin eksik veya yanlis islenmis olmasi halinde duzeltilmesini isteme.
  • KVKK madde 7 kapsaminda kisisel verilerin silinmesini veya yok edilmesini isteme.
  • Duzeltme ve silme islemlerinin, verilerin aktarildigi ucuncu kisilere bildirilmesini isteme.
  • Islenen verilerin otomatik sistemler vasitasiyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya cikmasina itiraz etme.
  • Kisisel verilerin kanuna aykiri olarak islenmesi sebebiyle zarara ugramaniz halinde zararin giderilmesini talep etme.

8. Cerez (Cookie) Politikasi

  • Zorunlu cerezler: Oturum yonetimi ve guvenlik icin gereklidir, devre disi birakilamaz.
  • Analitik cerezler: Platform kullanim istatistiklerini toplar, tercihinize gore devre disi birakilabilir.
  • Islevsel cerezler: Dil tercihi, tema gibi ayarlari hatirlar.

9. Veri Guvenligi Onlemleri

  • Tum veri transferleri TLS/SSL sifreleme ile korunur.
  • Hassas veriler veritabaninda AES-256 ile sifrelenir.
  • Duzenli guvenlik denetimleri ve penetrasyon testleri yapilir.
  • Erisim yetkileri en az yetki ilkesiyle sinirlandirilir.
  • 7/24 guvenlik izleme ve anormallik tespiti aktiftir.

10. Basvuru Yontemi

KVKK kapsamindaki haklarinizi kullanmak icin asagidaki kanallardan bize basvurabilirsiniz:

Basvurulariniz en gec 30 gun icinde ucretsiz olarak sonuclandirilir. Islemin ek maliyet gerektirmesi halinde Kisisel Verileri Koruma Kurulu tarafindan belirlenen ucret tarifesi uygulanabilir.

11. Google API Servisleri ve Gmail Entegrasyonu

COSMOS AI, isteginiz uzerine Gmail hesabinizla baglanti kurabilir ve Google API Servisleri araciligiyla mail verilerinize erisebilir. Bu bolum, Google API Services User Data Policy ve Limited Use gerekliliklerine uygun sekilde hazirlanmistir.

11.1 Kullanilan Google API Kapsamlari (Scopes)

  • gmail.readonly: Yalnizca gelen mail basliklarini ve icerigini okumak icin kullanilir. Mail gondermek, silmek veya degistirmek teknik olarak mumkun degildir.
  • userinfo.email / profile: Hesabinizi platform ici kullanici kaydiyla eslestirmek icin kullanilir.

11.2 Verilerin Kullanim Amaci

  • Nakliye fiyat teklifleri, RFQ (Request for Quotation) ve tasiyici iletisimlerini otomatik tespit etmek ve panele yansitmak.
  • Cevaplanmamis mail taleplerini SLA takibi icin listelemek.
  • Mail icerikleri, anonimlestirilmis piyasa sinyali olarak fiyatlandirma motoruna beslenir; taraf kimlikleri (gonderici/alici adresi, sirket adi) bu aktarim oncesi geri donulemez sekilde maskelenir.

11.3 Limited Use Taahhudu

Gmail entegrasyonu araciligiyla elde edilen kullanici verilerinin kullanimi, Google API Services User Data Policy'ye ve Limited Use sartlarina tabidir:

  • Gmail verileri reklam gosterimi icin kullanilmaz ve reklamveren taraflara satilmaz.
  • Gmail icerikleri genel amacli AI/LLM egitiminde kullanilmaz. Yalnizca sizin organizasyonunuz icinde, sizin icin sunulan hizmetin islenmesinde kullanilir.
  • Mail icerigine insan gozu ile erisim yasaktir. Istisnalar: (a) acikca izin verdiginiz destek talebiniz, (b) guvenlik/kotuye kullanim sorusturmasi, (c) hukuki zorunluluk, (d) verinin toplanmis ve anonimlestirilmis halde is zekasi icin kullanimi.
  • Gmail verileri ucuncu taraflara devredilmez; istisna yalnizca yukarida sayilan durumlardir.

11.4 Saklama ve Silme

  • OAuth erisim ve yenileme tokenleri, veritabaninda pgsodium AEAD simetrik sifreleme ile saklanir.
  • Mail ham govdesi (body) en fazla 90 gun saklanir; bu sureden sonra otomatik olarak silinir. Yalnizca ozetlenmis sinyaller (fiyat, rota, tarih vb.) kalir.
  • Baglantinizi istediginiz zaman Mail Asistani > Baglantiyi Kaldir ile veya Google Hesabim > Baglantili Uygulamalar ekraninda COSMOS AI erisimini iptal ederek kesebilirsiniz. Iptal sonrasi sakli tokenler 24 saat icinde silinir.

11.5 Guvenlik

  • Tum Google API cagrilari TLS 1.2+ ile sifreli kanal uzerinden yapilir.
  • Tokenler yalnizca sunucu tarafinda tutulur; kullanici tarayicisina veya ucuncu tarafa aktarilmaz.
  • Veritabani erisimi satir-duzeyi guvenlik (RLS) ile kisitlanmistir; her organizasyon yalnizca kendi mail verilerini gorur.

Bu bolum Microsoft Outlook (Microsoft Graph API) ve IMAP baglanti yontemleri icin de benzer sartlarla gecerlidir.

12. Politika Degisiklikleri

Bu politika degistirilebilir. Onemli degisiklikler platform ici bildirim ve/veya e-posta yoluyla duyurulur. Guncellenmis politikayi kullanmaya devam etmeniz, degisiklikleri kabul ettiginiz anlamina gelir.

İşlenen Veri Kategorileri (Tüm Ürünler)

  • CRM: kontak bilgileri, deal değerleri, satış aktivite logları
  • Email Intake (Mail Asistanı): mail metadata, gövde (90g şifreli), çıkarılan freight verisi
  • Pricing (Freight): yük talepleri, fiyat tahminleri, piyasa sinyalleri
  • Marketing (Canva): tasarım dosyaları, OAuth tokenları
  • Octopus (Doküman Analizi): yüklenen sözleşme metinleri, AI çıktıları
  • Logistics: rota geçmişi, araç bilgileri, container hesaplamaları
  • AI Interactions: chat geçmişi, AI önerileri (org-scoped)

Alt İşleyenler (Sub-Processors)

KVKK Madde 8 + GDPR Article 28(2) uyarınca:

Alt İşleyenGörevLokasyon
Anthropic PBCAI işlemeABD
Supabase IncDB + authFrankfurt, AB
Resend IncEmail gönderimiABD
Hetzner GmbHHostingAlmanya, AB
Google Cloud (Pub/Sub)Mail bildirim kuyruğuAB
Canva Pty LtdMarketing tasarımAvustralya
Stripe IncÖdemeİrlanda, AB

Çerez Politikası

Detaylı çerez politikamız ileriki bir sürümde yayınlanacaktır.

English version: /en/gizlilik