Gizlilik & KVKK Aydınlatma Metni

Son güncelleme: 2026-04-27 · Versiyon 2.0

1. Veri Sorumlusu

Lexup (“Platform”), 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) kapsamında veri sorumlusu sıfatıyla hareket eder. Veri Koruma Sorumlusu (DPO) iletişim noktası: privacy@lexup.digital.

2. Toplanan Veriler

  • Kimlik: ad, soyad, baro sicil no, T.C. kimlik no (yalnızca müvekkil kaydı için), vergi no
  • İletişim: e-posta, telefon, KEP adresi, fiziki adres
  • Müvekkil bilgileri: avukatın girdiği ölçüde — kimlik + iletişim + dava bağlamı
  • Hukuki dosya verileri: dava kaydı, tarafları, dilekçe metni, tebligat, ara karar, içtihat atıfları
  • Mali veriler: avans, vekalet ücreti, masraf kalemleri, tahsilat tutarları (mutabakat için)
  • Sesli veriler: müvekkil görüşme kayıtları (avukat onayı ile), duruşma sonrası dikteler — Lexup tarafında saklanır ve self-host Whisper sunucusunda transkribe edilir; üçüncü taraf ses servisi kullanılmaz
  • Kullanım metrikleri: giriş zamanı, özellik kullanımı, audit log kayıtları (kim, ne zaman, hangi IP)
  • Çerezler: oturum cookie’si (zorunlu), tercih cookie’si (opsiyonel — Cookie Onay Bantı ile)

3. İşleme Amaçları (KVKK m.5)

  • Hizmetin sunulması ve sözleşmenin ifası
  • Hukuki yükümlülüklerin yerine getirilmesi (TTK m.82, Avukatlık Kanunu)
  • Meşru menfaat (güvenlik, dolandırıcılık önleme, audit log)
  • Açık rıza (sesli veriler, marketing iletişimi, üçüncü taraf entegrasyonlar)

Veriler hiçbir zaman AI eğitiminde kullanılmaz. Anthropic ve diğer sağlayıcılarla zero-retention sözleşmeli işleme anlaşmamız vardır.

4. Veri Aktarımı

Veriler birincil olarak Avrupa Birliği veri merkezlerinde (Supabase Frankfurt — eu-central-1) saklanır. AI çıkarımı için Anthropic (ABD) altyapısına şifreli kanal üzerinden gönderilir; sözleşme gereği bu veriler modele öğretilmez ve 30 gün içinde silinir. Yurtdışı aktarım için GDPR Art.46 Standart Sözleşmesel Maddeler (SCC) referans alınır.

Diğer tedarikçiler: Vercel (frontend hosting — global edge), Fly.io (backend — Frankfurt fra), Cloudflare (CDN). Hiçbiri Lexup içerik verisine yapılandırılmamış erişime sahip değildir.

5. UYAP / UETS / Chrome Eklenti Veri Akışı

  • Chrome eklentisi: avukatın UYAP oturumunda kendi yetkisiyle çalışır; eklenti e-imza, şifre veya KEP parolası saklamaz. Sadece tetikleme anında dava listesini Lexup’a gönderir (HTTPS).
  • UETS evrak forward: KEP üzerinden kuruma gelen tebligatlar avukatın yönlendirmesi ile Lexup’a iletilir. Lexup tebligat içeriğinden tarih çıkarımı yapar (LLM + regex hibrit) ve takvime taslak süre olarak düşer; avukat onaylamadan resmi süre işlememiş sayılır.
  • Ses kayıtları: müvekkil görüşmesi veya duruşma dikte sesleri avukatın açık rızası ve müvekkilin (varsa) bilgilendirilmesi koşuluyla kaydedilir. Self-host Whisper sunucusunda transkribe edilir, ham ses dosyası 90 gün sonra otomatik silinir; transkript 1 yıl saklanır.
  • İçtihat ve mevzuat scraping: Yargıtay/Danıştay/AYM/Resmi Gazete/Mevzuat Bilgi Sistemi gibi kamuya açık kaynaklardan toplanan kararlar kişisel veri kategorisinde değildir; mahkemenin ilan ettiği anonimleştirilmiş karar metinleridir.

6. EU AI Act ve Yapay Zeka Kullanımı

Lexup, EU AI Act (Regulation 2024/1689) Annex III(5)(c) kapsamında Yüksek-Risk AI Sistemi olarak konumlanmıştır. Bu çerçevede:

  • Tüm AI çıktıları taslak / öneri statüsündedir; avukatın açık onayı olmadan dilekçe finalize olmaz, süre takvime kesin düşmez.
  • Her AI çıktısının altında “Lexup AI tarafından üretildi · Avukat denetimi zorunlu” ibaresi (AiOutputBadge) ve “İnsan değerlendirmesi iste” linki vardır.
  • AI cevapları mevzuat ve içtihat atfı ile kaynaklandırılır; serbest üretim minimumda tutulur (anti-hallucination 4 katmanlı veri hiyerarşisi — compliance/AI_RISK_ASSESSMENT.md).
  • T.C. kimlik no ve vergi no, AI’a gönderilmeden önce mask'lenir.
  • Lexup hukuki tavsiye vermez; üretilen metinler yalnızca avukatın kullanımı için referans niteliğindedir (Avukatlık Kanunu m.35 uyumu).

7. Haklarınız (KVKK m.11 + GDPR Art.15-22)

Aşağıdaki haklara sahipsiniz:

  • Kişisel verilerinizin işlenip işlenmediğini öğrenme
  • İşlenmişse buna ilişkin bilgi talep etme (erişim hakkı)
  • İşleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
  • Yurt içinde / dışında aktarıldığı üçüncü kişileri bilme
  • Eksik veya yanlış işlenmişse düzeltilmesini isteme (rectification — Art.16)
  • Silinmesini veya yok edilmesini isteme (erasure / right to be forgotten — Art.17)
  • Veri taşınabilirliği — yapılandırılmış formatta dışa aktarım (Art.20)
  • İşlemenin kısıtlanmasını isteme (Art.18)
  • İtiraz hakkı (Art.21)
  • Otomatik karar vermeye konu olmama (Art.22) — Lexup avukat onayı zorunlu kılar

Bu hakları self-service olarak şu sayfadan kullanabilirsiniz: /ayarlar/hesap — verilerinizi indirin, hesabınızı silin, onaylarınızı görüntüleyin.

Doğrudan iletişim: privacy@lexup.digital. KVKK’nun belirlediği 30 gün yanıt süresine uyulur. KVKK Kurumu’na şikayet hakkınız da saklıdır.

8. Saklama Süreleri

VeriSüreYasal dayanak
Hesap (User)Aktif + silme talebi sonrası 30 gün geri alKVKK m.11/e
Dava ve dilekçe (Case, Document)10 yılTTK m.82, Avukatlık Kanunu
Müvekkil görüşmesi transkripti1 yılMeşru menfaat
Ham ses dosyası90 günVeri minimizasyonu (Art.5/c)
AI sohbet (chat_messages)90 günVeri minimizasyonu
Audit log2 yılKVKK m.12 ihlal tespiti
Mali kayıt (ledger)10 yılVUK m.253, TTK m.82

Detay: compliance/DATA_RETENTION.md

9. Teknik ve İdari Güvenlik Önlemleri

  • Şifreleme: tüm veri akışı TLS 1.3 + HSTS preload (2 yıl); veri tabanı disk-AES-256 (Supabase) + uygulama katmanında AES-256-GCM PII şifreleme (T.C. kimlik no, vergi no, adres, transkript)
  • Erişim kontrolü: firmId scope’u uygulamada zorunlu; Faz 3 ile DB seviyesinde Row Level Security (RLS) defansif katman
  • HTTP güvenliği: CSP strict, X-Frame-Options DENY, Permissions-Policy disabled, COOP/CORP/COEP same-origin
  • Rate limiting: 3 katman throttler (10sn/20, 60sn/60, 1sa/600); auth endpoint’leri ek katı limit
  • Audit log: her hassas erişim (oku, sil, export) IP + UA ile kayıt altında
  • Olay müdahale: 60 dk triage + 72 saat KVKK Kurumu bildirim SOP (compliance/INCIDENT_RESPONSE.md)
  • İnsan denetimi: hassas işlemlerde (hesap silme, veri export) audit log + çoklu doğrulama

10. Sertifikasyon Yol Haritası

Lexup, sektörel en iyi uygulamalara erişim için şu yol haritasını takip eder:

  • ISO/IEC 27001 (Bilgi Güvenliği Yönetim Sistemi): dokümantasyon hazır, 2026 Q4 hedefli iç denetim, 2027 Q2 hedef bağımsız sertifikasyon
  • ISO/IEC 42001 (AI Yönetim Sistemi): 2027 Q2 hedef, EU AI Act Madde 17 ile entegre
  • EU AI Act Madde 43 uygunluk değerlendirmesi: 2026 Ağustos kritik tarih (Yüksek-risk yükümlülüğü) — bağımsız değerlendirici ile devam
  • VERBİS kaydı: KVKK Kurumu Veri Sorumluları Sicili — 2026 Q3 tamamlanacak
  • SOC 2 Type I: ABD/AB kurumsal müşteri talebi olursa açılır (Vanta/Drata otomasyonu ile)

Tüm compliance dokümantasyonu (DPIA, Threat Model, AI Risk Assessment, Asset Inventory, Risk Register) GitHub repo’sunda compliance/ klasörü altında saydamdır.

11. Çocukların Kişisel Verileri

Lexup yalnızca avukatların ve onların yetkili temsilcilerinin kullanımına yöneliktir; 18 yaş altı kullanıcı kabul edilmez. Avukat tarafından bir davanın küçük tarafı (örn. velayet) verisi girildiğinde KVKK m.6 (özel nitelikli veri) ve Çocuk Hakları Sözleşmesi çerçevesinde işlenir; sadece davanın görülmesi amacıyla.

12. Aydınlatma Metni Güncellemeleri

Bu metin önemli bir değişiklik halinde versiyon numarası ve tarih güncellenerek yayınlanır. Kullanıcıya e-posta ile bildirim yapılır ve gerekiyorsa yeni onay (consent) talep edilir. Geçmiş versiyonlar GitHub commit history’sinde erişilebilirdir.

Bu metin KVKK m.10 (aydınlatma yükümlülüğü), GDPR Art.13-14 ve EU AI Act Art.13 (transparency) kapsamında hazırlanmıştır. Yorum farkları halinde Türkçe metin esastır; Türk hukuku uygulanır, yetkili mahkeme İstanbul Anadolu mahkemeleridir.

Lexup — Avukatlar için Yapay Zekâ Destekli Hukuk Operasyon Platformu