KVKK rehberi

KVKK, 7 Nisan 2016'da yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu'dur. Kanunun m.3/1-(d)hükmüne göre "kişisel veri"; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi demektir. Yani sadece T.C. kimlik numarası değil; e-posta adresi, telefon, IP adresi, müşterinin sipariş geçmişi, hatta bir fotoğraf bile kişisel veridir. Kişiyi tek başına ya da başka bilgilerle eşleyerek tanımlanabilir kılan her şey kapsam içindedir.

KOBİ olarak senin için pratik anlamı şu: müşterinin adını, telefonunu, e-postasını bir Excel'e yazdığın anda veri sorumlusuoluyorsun. Veri sorumlusunun KVKK kapsamında somut yükümlülükleri var: aydınlatma yapmak (m.10), açık rıza almak (m.5/1), güvenlik tedbiri uygulamak (m.12), gerekiyorsa VERBİS'e kayıt olmak (m.16). Bu rehberin geri kalanı bunları tek tek anlatır.

Inora'yı kullandığında işlenen veriler dört kategoriye ayrılır. Her birini sade Türkçe ile açıkladık; teknik detay için /legal/kvkk sayfasındaki resmî aydınlatma metnine bak.

• Kimlik & oturum (auth)

  E-posta, ad, kullanıcı adı, parola hash'i, oturum çerezi. Hesabını açmak ve seni tanımak için zorunlu.

• Brief / prompt

  Yazdığın veya sesle söylediğin proje brief'i. AI ekibimize işlem yapması için iletilir; sözleşme ifası (KVKK m.5/2-c) kapsamındadır.

• Yüklediğin dosyalar

  Logo, ürün fotoğrafı, içerik metni, mevcut sitenden export. Sadece senin projende kullanılır; model eğitimine girmez.

• Sesli komut transkripti

  Mikrofona söylediklerin metne çevrilir, brief olarak işlenir. Ham ses kaydı kalıcı saklanmaz; transkript proje arşivinde durur.

Bu veriler veri işleyen sıfatıyla aşağıdaki teknik altyapı sağlayıcılarına aktarılır. Aktarım sözleşmesel güvencelere bağlıdır; KVKK m.8 ve m.9 koşullarına uyulur:

• Supabase

  Veritabanı + auth (EU)

• Vercel

  Hosting + CDN

• Anthropic

  AI model çağrıları

• Stripe

  Ödeme (sadece ödeme oturumu)

• DeepSeek

  Sesli transkript

Bu sağlayıcılar verini yalnızca Inora'nın talimatı doğrultusunda işler; kendi başlarına ticari amaçla kullanamaz. Yurt dışı aktarımlarda KVKK m.9 koşullarına uyulur, açık rıza gereken hallerde ayrıca rıza alınır.

Veri sahibi olarak KVKK m.11 sana 8 somut hak tanır. Inora bu haklara 30 gün içinde ücretsiz cevap vermek zorundadır (m.13). En sık kullanılanlar:

• Bilgi talep etme

  Hangi verilerimi işliyorsunuz, kimlere aktardınız, ne kadar saklayacaksınız? Sorabilirsin; biz cevaplamak zorundayız.

• Düzeltme & güncelleme

  Yanlış kayıtlı e-posta, eski telefon, hatalı ad — düzeltme isteyebilirsin. Üyelik panelinden çoğu alanı kendin de değiştirebilirsin.

• Silme / yok etme

  Hesabımı ve verilerimi tamamen silin diyebilirsin (m.7). Vergi mevzuatı gereği saklamak zorunda olduğumuz fatura kayıtları hariç tüm verin silinir veya anonimleştirilir.

• Otomatik karara itiraz

  Sadece bir algoritmanın çıkardığı sonucu beğenmedin? İnsan müdahalesi talep edip itiraz edebilirsin.

Inora'da brief verip site ürettiğinde, Wave 21-8 (W21-8) ile gelen KVKK kiti otomatik olarak projene enjekte edilir. Yani sen ekstra bir şey yapmadan, ürettiğin sitede:

• Aydınlatma metni (KVKK m.10): firma adın, e-postan ve işlediğin veri kategorilerine göre hazır metin /kvkk sayfasına basılır.
• Çerez politikası: zorunlu/işlevsel/analitik/pazarlama tablosu ile /cerez sayfası eklenir.
• Açık rıza banner'ı: sayfa altında Kabul Et / Reddet seçenekli bildirim bandı; tercih localStorage içinde kvkk_consent anahtarıyla saklanır.
• Footer ve nav linkleri: KVKK ve Çerez sayfalarına otomatik bağlantı, mevcut menüye yerleştirilir.

Bunu yapan modül src/lib/kvkkKit.ts içindeki injectKvkkKitIntoHtml(html, input) fonksiyonu. Brief verdiğinde Inora firma adını, iletişim e-postasını ve veri kategorilerini brief'ten çıkarır; sen ek bilgi vermek zorunda değilsin.

Not: Kit standart bir taslaktır. Avukat görüşü almadan kritik bir endüstride (sağlık, finans, çocuğa yönelik hizmet) kullanmadan önce hukuk danışmanına gözden geçirtmen önerilir.

generateKvkkKit(input) fonksiyonu, brief'inden aldığı bilgilerle aşağıdaki dört parçayı içeren bir kit döndürür:

Projene eklemek için iki yol var:

• Otomatik (önerilen): Brief verirken "KVKK uyumu lazım" dediğinde Inora kit'i ZIP'in içine ekler — hiçbir şey yapmana gerek kalmaz.
• Manuel (Wave 25+): User panelinde gelecek olan "KVKK kiti indir" butonuyla firma bilgilerini girip metinleri ZIP olarak indirebilir, mevcut sitenize yapıştırabilirsin.

Açık rıza (KVKK m.3/1-a); belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyleaçıklanan onaydır. "Üye ol" butonuna bastı diye otomatik rıza vermiş sayılmaz. Geçerli rıza için üç şart aranır: belirli + bilgilendirilmiş + özgür irade.

Pratikte rızayı şu şekilde almalısın:

Inora'nın consentBanner bileşeni Kabul ve Reddet butonlarını eşit görünürlükte sunar; bu ayar KVKK Kurulu rehberine uygundur. Kendi sitenize farklı bir banner koyacaksanız bu prensibi koruyun.

KVKK Kurulu'nun Haziran 2022 tarihli Çerez Uygulamaları Rehberi, çerezleri amaca göre dörde ayırır. Her kategorinin hukuki dayanağı farklı:

• Zorunlu çerezler

  Açık rıza GEREKMEZ

  KVKK m.5/2-(f): veri sorumlusunun meşru menfaati

  Oturum çerezi, CSRF token, yük dengeleme. Bunlar olmazsa site çalışmaz; engellersen giriş yapamazsın.

• İşlevsel çerezler

  Açık rıza GEREKLİ

  KVKK m.5/1: açık rıza

  Dil tercihi, koyu mod, son açılan proje. Reddedersen site çalışır ama tercihlerin hatırlanmaz.

• Analitik çerezler

  Açık rıza GEREKLİ

  KVKK m.5/1: açık rıza

  Plausible, Vercel Analytics, Core Web Vitals. Kullanım istatistiği toplar; tanımlama yapmaz.

• Pazarlama / hedefleme çerezleri

  Açık rıza GEREKLİ

  KVKK m.5/1: açık rıza

  Google Ads, Meta Pixel, TikTok Pixel. Reklam ağına davranış profili gönderir. Inora bu kategoriyi varsayılan kullanmaz.

Sitenin ilk açılışında banner'da Reddet en az Kabul Etkadar görünür olmalı; KVKK Kurulu'nun Ocak 2023 kararında, Reddet seçeneğini gizleyen siteler için para cezası kesildi.

KVKK m.7'ye göre verileri amacı ortadan kalktığında silmek, yok etmek veya anonim hale getirmek zorundasın. Ne kadar tutacağını "Saklama ve İmha Politikası" ile yazılı olarak belirlemen gerekir.

Süre dolduğunda altı aylık periyodik imhayapman gerekir (Yönetmelik m.11). Inora ile yaptığın projede bu süreyi takip etmek için takvimine hatırlatma koy ya da basit bir veritabanı script'i çalıştır.

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), KVKK m.16 gereği tutulan kamu sicilidir. Verilerini hangi amaçla işlediğini, kime aktardığını ve ne kadar sakladığını bu sicile yazmak bazı veri sorumluları için zorunlu (verbis.kvkk.gov.tr).

KVKK Kurulu'nun güncel kararları çerçevesinde kayıt yükümlüsü olanlar:

• Yıllık çalışan sayısı 50'den fazla veya yıllık mali bilanço toplamı 100 milyon TL'den fazla olan gerçek/tüzel kişi veri sorumluları.
• Çalışan sayısı 50 altı + bilanço 100M TL altı olsa bile, ana faaliyet konusu özel nitelikli kişisel veri işlemek olanlar (sağlık, biyometri, ceza mahkûmiyeti vb.).
• Kamu kurumları ve yurt dışında yerleşik veri sorumluları (eşik aranmaz).

KVKK m.18 idari para cezalarını her yıl yeniden değerleme oranına göre günceller. Aşağıdaki tutarlar 2025 yılıiçin geçerli (KVKK Kurulu'nun 2024 yeniden değerleme tebliğine göre):

Cezalar, ihlalin ağırlığına göre alt-üst sınır arasında belirlenir. Tek bir veri ihlali (data breach) bildirimini geciktirmek bile yüz binlerce TL'ye mal olabilir. KVKK Kurulu son iki yılda açık rıza eksikliği ve yurt dışı aktarımı en sık ceza kestiği başlıklar.

Pratik koruma: aydınlatma metnini görünür yap, açık rızayı ayrı checkbox ile al, sızıntı olursa 72 saat içinde KVKK Kurulu'na bildir (Kurulun 24.01.2019 tarihli kararı).

Inora, hizmetlerini KVKK'ya uygun şekilde sunar. Resmî dokümanlar her zaman güncel tutulur; aşağıdaki bağlantılar seni doğrudan veri sorumlusu metinlerimize götürür:

KVKK ile ilgili her türlü soru, talep, itiraz veya veri sahibi başvurusu için /legal/iletisim sayfasındaki KVKK başvuru formunu kullan ya da privacy@heyinora.com adresine yaz. 30 gün içinde ücretsiz cevap garantilidir.