Gizlilik Politikası

1. Kapsam ve Roller

Bu Gizlilik Politikası, RYSTAT markası altında sunulan internet sitesi, müşteri paneli, sipariş akışları, destek süreçleri ve ilişkili hizmetler kapsamında işlenen kişisel verileri açıklar.

Bu politika bakımından veri sorumlusu, hizmetleri RYSTAT markası altında sunan Unifics Limited'dir.

RYSTAT, hizmet türüne bağlı olarak bazı işlemlerde veri sorumlusu, bazı işlemlerde ise müşteri adına hareket eden veri işleyen veya alt işleyen sıfatıyla hareket edebilir. Müşteri, RYSTAT'ın veri işleyen veya alt işleyen olarak hareket ettiği durumlarda, işlenen verilerin veri sorumlusu olarak tüm yasal yükümlülüklerini yerine getirmekle sorumludur.

2. Toplanan Veri Kategorileri

2.1 Doğrudan sağladığınız veriler

• Ad, soyad, şirket unvanı, temsilci ve yetkili bilgileri
• E-posta adresi, telefon numarası, fatura ve sipariş bilgileri
• Hesap oluşturma, kimlik doğrulama ve güvenlik bilgileri
• Destek talepleri, satış görüşmeleri ve sözleşmesel yazışmalarda paylaştığınız içerikler
• Vergisel, ticari veya mevzuat gereği alınan belge ve kayıtlar

2.2 Otomatik toplanan veriler

• IP adresi, erişim logları, oturum kayıtları ve olay logları
• Tarayıcı, cihaz, istemci ve işletim sistemi bilgileri
• Panel kullanım geçmişi, hata kayıtları ve güvenlik sinyalleri
• Çerezler ve benzeri teknolojiler aracılığıyla toplanan tercihler ve kullanım bilgileri

2.3 Hizmet içeriği ve müşteri verileri

Hosting, sanal sunucu, e-posta veya ilişkili altyapı hizmetlerinde müşteriler kendi sistem ve veri kümeleri üzerinde esasen kontrol sahibidir. Bu veriler, hizmeti sunmak, güvenliği sağlamak, olay analizi yapmak ve destek vermek amacıyla sınırlı ölçüde işlenebilir. Müşteri, bu tür verilerin işlenmesi için gerekli tüm yasal dayanaklara sahip olduğunu ve RYSTAT'a bu verileri işleme yetkisi verdiğini kabul eder.

3. İşleme Amaçları ve Hukuki Sebepler

• Hesap oluşturma, hizmet aktivasyonu ve sipariş yönetimi
• Faturalandırma, tahsilat, muhasebe ve finans süreçleri
• Destek taleplerinin karşılanması ve teknik problemlerin çözülmesi
• Güvenlik, kötüye kullanımın önlenmesi, log analizi ve olay müdahalesi
• Mevzuatsal yükümlülüklerin yerine getirilmesi
• Açık rıza gereken hallerde pazarlama iletişimi ve analitik ölçümleme

İşleme faaliyetleri, sözleşmenin kurulması veya ifası, hukuki yükümlülük, meşru menfaat ve gerekli olduğu hallerde açık rıza gibi hukuki dayanaklara dayanır.

4. Verilerin Paylaşılması

Veriler, hizmetin sunulması için gerekli olduğu ölçüde aşağıdaki taraflarla paylaşılabilir:

• Altyapı, veri merkezi, ağ, CDN ve barındırma sağlayıcıları
• Ödeme, muhasebe, dolandırıcılık önleme ve faturalandırma servisleri
• Destek, güvenlik izleme, iletişim ve e-posta servisleri
• Yetkili kamu kurumları, düzenleyici merciler ve hukuken yetkili makamlar

Uygun olduğu durumlarda veri işleme sözleşmeleri, gizlilik yükümlülükleri ve hizmete özgü güvenlik tedbirleri uygulanır. RYSTAT, verilerin paylaşıldığı üçüncü tarafların veri koruma standartlarına uygunluğunu sağlamak için makul çabayı gösterir.

5. Uluslararası Veri Aktarımları

Hizmetlerin niteliğine, seçilen lokasyona veya kullanılan alt işleyenlere bağlı olarak veriler Avrupa Ekonomik Alanı dışına aktarılabilir veya bu bölgelerden erişilebilir olabilir. Böyle durumlarda uygulanabilir veri koruma mevzuatına uygun ek güvenceler kullanılır.

• Yeterlilik kararı bulunan ülkelere aktarım
• Standart sözleşme hükümleri veya eşdeğer sözleşmesel korumalar
• Teknik ve idari güvenlik tedbirleri ile desteklenen sınırlı erişim modeli

Müşteri, bu tür uluslararası veri aktarımlarına onay verdiğini kabul eder.

6. Saklama Süreleri

Veriler; toplama amacının gerektirdiği süre boyunca, ilgili yasal saklama süreleri ve uyuşmazlık yönetimi dikkate alınarak saklanır. Saklama gerekliliği sona erdiğinde veriler silinir, yok edilir veya anonim hale getirilir. Müşteri, kendi verilerinin yedeklenmesi ve saklanması konusunda birincil sorumluluğa sahiptir.

7. Veri Sahibi Hakları

• Hakkınızda hangi verilerin işlendiğini öğrenme
• Eksik veya yanlış verilerin düzeltilmesini isteme
• Belirli koşullarda silme, yok etme veya işlemeyi kısıtlama talep etme
• İtiraz etme ve veri taşınabilirliği talebinde bulunma
• Uygulanabilir olduğu ölçüde denetim makamına şikâyette bulunma

8. Güvenlik Tedbirleri

RYSTAT, risk temelli güvenlik yaklaşımı benimser ve erişim kontrolü, ayrıcalık yönetimi, ağ güvenliği, şifreleme, olay izleme, loglama ve süreç bazlı denetimler gibi uygun teknik ve idari tedbirler uygular.

8/A. Pazarlama İletişimi İçin Açık Rıza (KVKK m.5 + GDPR Art.6(1)(a))

RYSTAT'ın pazarlama amaçlı elektronik iletişimleri (ürün duyuruları, kampanya bildirimleri, blog güncellemeleri, etkinlik daveti vb.) yalnızca kullanıcının önceden açık ve özgür iradesi ile verdiği opt-in onayı kapsamında gönderilir. Hizmet sözleşmesinin akdedilmiş olması veya fatura/destek ile ilgili işlemsel (transactional) e-postaların alınması, pazarlama onayı anlamına gelmez.

8/A.1 Yasal Dayanak

• KVKK m.5(1): Kişisel verilerin pazarlama amacıyla işlenmesi için açık rıza zorunludur (KVKK m.5(2) istisnaları pazarlamayı kapsamaz).
• GDPR Art. 6(1)(a): Pazarlama amacıyla veri işleme için spesifik, bilgilendirilmiş ve açık onay (consent) gereklidir.
• 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun m.6: Ticari elektronik ileti gönderimi için alıcının önceden onayı şarttır; kabul İYS (Ticari Elektronik İleti Yönetim Sistemi) üzerinde kayıtlanır.
• EU/UK PECR (Privacy and Electronic Communications Regulations): Direkt pazarlama iletişimleri için "soft opt-in" istisnası sınırlıdır; özgün ürün dışı promosyonlar açık onayı gerektirir.

8/A.2 Onay Verme ve Geri Çekme

Kullanıcı pazarlama onayını /panel/profile (Gizlilik sekmesi) sayfasındaki "Pazarlama İletişimi" geçişiyle verebilir veya geri çekebilir. Her pazarlama e-postası, alt kısmında tek-tıklamalı "Aboneliği iptal et" (unsubscribe) bağlantısı içerir; bu bağlantı tıklandığında onay anında ileriye yönelik olarak iptal edilir. Onayın geri çekilmesi geçmişte yapılmış işlemleri etkilemez ve hizmet sözleşmesini etkilemez.

8/A.3 İşlemsel ve Pazarlama İletişimi Ayrımı

Aşağıdaki iletişimler işlemsel niteliktedir ve pazarlama onayından bağımsız olarak gönderilir: fatura/ödeme bildirimleri, hesap güvenlik uyarıları, hizmet kesintisi bildirimi, sözleşme/legal güncelleme bildirimi, destek bilet yanıtları. Bu iletişimler hizmet ifası kapsamında zorunludur (GDPR Art. 6(1)(b) — sözleşmenin ifası).

8/B. Yapay Zekâ Sağlayıcılarına Veri Aktarımı (KVKK m.9 + GDPR Art.28 ve 49)

RYSTAT, AI Site Builder, AI Assistant ve AI içerik üretimi gibi yapay zekâ destekli özellikler kullanıldığında, kullanıcının promptları ve girdi verilerini aşağıdaki dört üçüncü taraf AI sağlayıcısına aktarabilir:

8/B.1 Aktarılan Veri Kategorileri

• Kullanıcının AI özelliklerine girdiği serbest metin promptlar (talep, soru, içerik talimatı)
• Konfigürasyon parametreleri: sektör, hedef kitle, dil, ton, üslup tercihleri
• Üretim bağlamı: sayfa açıklamaları, içerik şablon adı, marka adı (kullanıcı tarafından girildiyse)
• NOT: Kullanıcının panel hesap bilgileri (e-posta, ad, fatura adresi) AI sağlayıcılarına aktarılmaz.

8/B.2 Yurt Dışı Aktarım Mekanizması

• KVKK m.9: Türkiye'den yurt dışına kişisel veri aktarımı için açık rıza alınır. Bu rıza /panel/profile (Gizlilik sekmesi) sayfasındaki AI özellikleri toggle'ı ile granüler şekilde temin edilir.
• GDPR Art. 49(1)(a) — Derogation for explicit consent: Yeterlik kararı bulunmayan DeepSeek (PRC) sağlayıcısına yapılan aktarım, kullanıcının özel olarak bilgilendirildikten sonra verdiği açık rızaya dayanır.
• GDPR Art. 46(2)(c) — Standard Contractual Clauses (SCC): US (Anthropic, OpenAI) sağlayıcıları ile EU SCC + EU-US DPF birlikte uygulanır.
• Schrems II / EDPB Recommendation 01/2020: DeepSeek (PRC) için Transfer Impact Assessment (TIA) yapılır; talep üzerine legal@rystat.com adresinden temin edilebilir.

8/B.3 Açık Rızanın Geri Çekilmesi

Kullanıcı, /panel/profile (Gizlilik sekmesi) sayfasındaki AI özellikleri toggle'ını kapatarak açık rızasını anında geri çekebilir. Geri çekme ileriye yönelik etki gösterir; geri çekmeden önce gerçekleşen aktarımları geçersiz kılmaz (KVKK m.7; GDPR Art. 7(3)). Yeni bir AI sağlayıcısı eklenirse re-consent (yeniden onay) tetiklenir.

8/B.4 No-Train ve Saklama

RYSTAT, AI sağlayıcılarıyla yaptığı sözleşmelerde "no-train" (verilerin model eğitiminde kullanılmaması) maddesi için makul ticari çaba gösterir. Sağlayıcı tarafında prompt verilerinin saklama süresi sağlayıcı politikalarına tabidir: Anthropic ve OpenAI için "zero-retention" (sıfır saklama) modu mümkün olduğunda etkinleştirilir. Detaylı sağlayıcı karşılaştırması için AI Sağlayıcı Açıklaması sayfasına bakınız.

9. Güncellemeler

Bu politika zaman zaman güncellenebilir. Esaslı değişiklikler uygun olduğu ölçüde site üzerinden veya kayıtlı iletişim kanalları aracılığıyla duyurulur. Hizmetlerin güncellenmiş metin sonrasında kullanılmaya devam edilmesi, güncel şartların kabulü anlamına gelir.

10. Öncelik ve Çatışma

Bu metin ile başka bir sözleşme belgesi arasında çelişki olması halinde, aşağıda belirtilen öncelik sırası geçerli olacaktır:

1. İmzalı kurumsal sözleşme, sipariş formu veya teklif eki
2. Ürüne özel hizmet şartları
3. Acceptable Use Policy (AUP)
4. Hizmet Seviyesi Taahhüdü (SLA)
5. Data Processing Agreement (DPA) (yalnızca veri işleme konularında)
6. Kullanım Koşulları
7. Bu Gizlilik Politikası
8. İade Politikası
9. Kamusal açıklama metinleri (örn. Alt İşleyen Çerçevesi)