Gizlilik Politikası / Privacy Notice
Sürüm 2.0-draft · 10 Mayıs 2026 / Version 2.0-draft · 10 May 2026
A. KVKK Aydınlatma Metni (Türkiye)
A.1 Veri Sorumlusu
ArchitectAPI AI Systems ("Şirket", "biz") olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında veri sorumlusu sıfatıyla kişisel verilerinizi aşağıda açıklanan amaç, hukuki sebep ve sürelerle işlemekteyiz. Şirket bilgileri için Künye sayfamıza bakın.
A.1.1 Veri Minimizasyonu İlkesi
ArchitectAPI "asgari veri" (data minimization) ilkesini benimser (KVKK m.4/2-ç): hizmetin sunulması için zorunlu olmayan hiçbir kişisel veri talep edilmez, toplanmaz veya saklanmaz. İsteğe bağlı alanlar (telefon, KEP, vergi numarası vb.) yalnızca Kullanıcı bunları aktif olarak girdiğinde işlenir; girilmediği durumda hizmet aynı şekilde sunulur. Saklama süreleri yasal zorunluluğun gerektirdiği asgari ile sınırlandırılmıştır (bkz. A.5).
A.2 İşlenen Kişisel Veriler
Zorunlu alanlar yıldız (*) ile işaretlenmiştir; diğerleri Kullanıcı tercihine bağlıdır.
- Kimlik: Firma unvanı*, ad-soyad (opsiyonel).
- İletişim: E-posta*, telefon (opsiyonel, sadece destek/SMS bildirimi için), fatura adresi (opsiyonel, fatura kesilirken).
- Hesap: Şifre (bcrypt hash, geri çevrilemez)*, abonelik durumu, plan, aktif modül seçimleri.
- Finansal: Vergi numarası (opsiyonel, sadece kurumsal fatura kesilirken), ödeme tarihi/tutarı. Kart numarası saklanmaz — PCI-DSS sertifikalı ödeme sağlayıcıya iletilir.
- Dijital iz (asgari): Oturum açma zamanı, IP adresinin son okteti maskeli (örn.
185.42.x.x) ve tarayıcı adı. Sayfa-bazlı tıklama izi, cihaz parmak izi ve tam IP toplanmaz. - Müşteri içeriği: Platform'a yüklediğiniz dokümanlar/içerikler — sadece sizin işlem yapmanız için saklanır, indekslenmez, model eğitiminde kullanılmaz.
A.3 Kişisel Verilerin İşlenme Amaçları ve Hukuki Sebepleri
| Amaç | İşlenen Veri | Hukuki Sebep (KVKK m.5) |
|---|---|---|
| Üyelik ve abonelik yönetimi | Hesap, iletişim | Sözleşmenin ifası (m.5/2-c) |
| Faturalama, ödeme | Finansal, kimlik | Sözleşmenin ifası + yasal yükümlülük (VUK) (m.5/2-a,c) |
| Müşteri desteği | İletişim, hesap, içerik | Sözleşmenin ifası (m.5/2-c) |
| Bilgi güvenliği, kötüye kullanım önleme | Dijital iz | Meşru menfaat (m.5/2-f) |
| Pazarlama iletişimi (newsletter, ürün duyurusu) | E-posta | Açık rıza (m.5/1) — opt-in |
| Web analitiği (Google Analytics) | Çerez, IP (anonim) | Açık rıza (cookie banner) |
| Yasal yükümlülük (VERBİS, KVKK Kurum, mahkeme) | İlgili veri | Hukuki yükümlülük (m.5/2-a) |
A.4 Verilerin Aktarılması (Yurt İçi / Yurt Dışı)
Yurt içi: Türkiye'de mukim alt işleyiciler (Iyzico, PayTR, Netgsm) sözleşmenin ifası kapsamında veri alabilir. Tam liste: Alt İşleyiciler.
Yurt dışı: KVKK md. 9 kapsamında, AB/ABD'de yerleşik bulut altyapısı ve AI sağlayıcıları (AWS-Frankfurt/Dublin, Google Gemini, Anthropic, Stripe, SendGrid) ile veri paylaşılır. Aktarımlar:
- Açık rıza (m.9/1) — modül aktivasyonunda alınan onay; ve/veya
- Yeterli koruma sağlanan ülke / Kurul izni / taahhütname (m.9/2-3) — gerektiğinde Standart Sözleşme Maddeleri (SCC) uygulanır.
Detaylar için Veri İşleme Sözleşmesi (DPA) Bölüm 9.
A.5 Saklama Süreleri (Asgari)
Saklama süreleri "veri minimizasyonu" ilkesi gereği yasal zorunluluğun gerektirdiği asgari süreye çekilmiştir. Hiçbir veri bu sürelerden uzun saklanmaz.
- Hesap verisi: hesap aktif + 30 gün sonra silinir/anonimleştirilir.
- Fatura/finansal kayıt: 10 yıl (VUK 253. madde — yasal zorunluluk).
- Sözleşme içerikleri: Kullanıcı silene kadar + 7 gün backup (Kullanıcı silindi anda kalıcı silmek için backup penceresi).
- TahsilatOS borçlu kayıtları: 5 yıl (TBK ortalama zamanaşımı; daha kısa süre yasal değil).
- Audit log (güvenlik): 2 yıl (KVKK güvenlik denetimi için asgari makul süre).
- Cookie tercih kaydı: 6 ay.
- Pazarlama izni: opt-out tarihinden sonra 12 ay (kanıt amacıyla — sonra silinir).
- Oturum/giriş kayıtları: 90 gün (güvenlik analizi tamamlandıktan sonra silinir).
A.6 Haklarınız (KVKK Madde 11)
Bilgi Talep Etme
Verilerinizin işlenip işlenmediğini, işleniyorsa amacını, kim ile paylaşıldığını öğrenme.
Düzeltme
Eksik/yanlış işlenmişse düzeltilmesini talep etme.
Silme / İmha
KVKK m.7 koşulları varsa silinmesini/yok edilmesini isteme.
Aktarım Bilgisi
Yurt içi/dışı aktarıldığı kişileri öğrenme.
Otomatik Karar İtiraz
Sadece otomatik analiz aleyhinize sonuç doğurmuşsa itiraz.
Tazminat
Hukuka aykırı işleme nedeniyle zarar görmüşseniz tazminat talep etme.
A.7 Başvuru
Haklarınızı kullanmak için support@architectapi.com adresine yazılı başvuru yapabilirsiniz. Başvurularınız 30 gün içinde ücretsiz yanıtlanır (yoğun talep halinde mevzuatın izin verdiği işlem ücreti uygulanabilir). Başvurunuz reddedilirse veya yanıtsız kalırsa Kişisel Verileri Koruma Kurumu (kvkk.gov.tr) önünde şikayet hakkınızı kullanabilirsiniz.
B. EU General Data Protection Regulation (GDPR) Notice
Articles 13/14 disclosure for data subjects in the European Economic Area.
B.1 Controller
ArchitectAPI AI Systems (Türkiye, address in Imprint) is the data controller for personal data described in this Notice.
EU Article 27 Representative: Not yet appointed (see Imprint). Until an EU Representative is designated, EEA data subjects may contact our Data Protection Officer at support@architectapi.com or their local supervisory authority directly.
B.2 Data We Collect (Article 13/14 categories)
Same categories as Section A.2 above (identity, contact, account, financial, digital footprint, customer content).
B.3 Lawful Bases (Article 6)
| Purpose | Lawful basis |
|---|---|
| Account & subscription management | Art. 6(1)(b) — performance of contract |
| Payment processing & invoicing | Art. 6(1)(b) + 6(1)(c) — contract + legal obligation (VAT) |
| Customer support | Art. 6(1)(b) — contract |
| Security, fraud prevention | Art. 6(1)(f) — legitimate interest |
| Marketing communications | Art. 6(1)(a) — consent (opt-in) |
| Web analytics (Google Analytics) | Art. 6(1)(a) — cookie consent |
| Compliance with legal obligations | Art. 6(1)(c) — legal obligation |
For purposes based on legitimate interest (Art. 6(1)(f)), our balancing test is available on request; you have the right to object (Art. 21).
B.4 Special Category Data (Article 9)
We do not knowingly process special category data (health, biometric, ethnic origin, religious belief, trade-union membership, genetic, sexual orientation). If your customer use of the platform involves such data (e.g. a healthcare customer uploading patient files), Art. 9(2) requires your separate lawful basis and an addendum to the DPA — please contact support@architectapi.com first.
B.5 International Transfers (Chapter V)
Personal data is transferred to non-EEA countries (Türkiye, USA) using:
- Standard Contractual Clauses (Commission Implementing Decision (EU) 2021/914) — primarily Module 2 (controller-to-processor) with our sub-processors;
- EU-U.S. Data Privacy Framework for DPF-certified processors (e.g. Stripe, Google, Anthropic, where applicable);
- Transfer Impact Assessments (Schrems II) documented and made available on request.
Türkiye is not subject to an EU adequacy decision; transfers to our Türkiye operations rely on Art. 49(1)(b) (necessary for performance of contract) and on SCCs where applicable. A copy of executed SCCs is available on request to support@architectapi.com.
B.6 Retention
See Section A.5; durations apply identically. Where Turkish tax law requires longer retention than GDPR's storage-limitation principle would allow, the longer Turkish-law period applies for the specific records covered by that obligation only.
B.7 Your GDPR Rights (Articles 15–22)
Access (Art. 15)
Confirmation, copy of data, processing details.
Rectification (Art. 16)
Correct inaccurate or incomplete data.
Erasure (Art. 17)
"Right to be forgotten" where conditions are met.
Restriction (Art. 18)
Limit how we process your data.
Portability (Art. 20)
Receive your data in a structured machine-readable format (JSON/CSV).
Object (Art. 21)
Object to processing based on legitimate interest or for direct marketing.
Automated Decisions (Art. 22)
Not subject to solely automated decisions with legal effects without safeguards.
Withdraw Consent
For consent-based processing (Art. 7(3)), withdraw at any time without affecting prior lawful processing.
B.8 Exercising Your Rights / Lodging a Complaint
Email support@architectapi.com. We respond within one month (extensible by two further months for complex requests, with notice).
You have the right to lodge a complaint with a supervisory authority — typically the one in your EU country of residence. Find yours: edpb.europa.eu. Examples:
- Germany — local Land authority (e.g. BfDI, BlnBDI)
- Ireland — Data Protection Commission (dataprotection.ie)
- France — CNIL (cnil.fr)
- Netherlands — Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl)
C. UK General Data Protection Regulation (UK GDPR) Notice
Applies to data subjects in the United Kingdom. Largely mirrors EU GDPR; key differences below.
C.1 Controller & UK Representative
Controller: ArchitectAPI AI Systems (Türkiye). UK Article 27 Representative: Not yet appointed (see Imprint). UK data subjects may contact support@architectapi.com directly while a Representative is being appointed.
C.2 Lawful Bases & Rights
Lawful bases under UK GDPR Art. 6, special category rules (Art. 9), and your rights (Art. 15–22) mirror Section B above. The supervisory authority is the Information Commissioner's Office (ICO) — ico.org.uk.
C.3 International Transfers from UK
Transfers from the UK to third countries use:
- UK International Data Transfer Agreement (IDTA) (ICO version), or
- UK Addendum to the EU SCCs issued under Section 119A Data Protection Act 2018, or
- UK Extension to the EU-U.S. Data Privacy Framework for DPF-certified recipients.
C.4 Direct Marketing — PECR
Where the Privacy and Electronic Communications Regulations (PECR) apply, we obtain prior consent for unsolicited marketing emails to UK individuals (the "soft opt-in" exemption applies to existing customers for similar products).
D. California Consumer Privacy Act (CCPA / CPRA) Notice
For California residents. Last 12-month disclosure required by Cal. Civ. Code § 1798.130.
D.1 "Do Not Sell or Share My Personal Information"
We do not sell personal information for monetary consideration. We do not share personal information for cross-context behavioral advertising. There is therefore no "Do Not Sell or Share" link required, but you may still submit an opt-out request via support@architectapi.com for completeness.
D.2 Categories of Personal Information Collected (last 12 months)
| Category (Cal. Civ. Code § 1798.140) | Collected? | Source | Purpose |
|---|---|---|---|
| A. Identifiers (name, email, IP) | Yes | Directly from you, web logs | Account, support, security |
| B. Customer records (Cal. Civ. Code § 1798.80) | Yes | From you | Billing, contract |
| C. Protected classifications (age, race, etc.) | No | — | — |
| D. Commercial information (purchase history) | Yes | From transactions | Billing, support |
| E. Biometric information | No | — | — |
| F. Internet/network activity | Yes | Cookies, web logs | Analytics (with consent), security |
| G. Geolocation (precise) | No | — | — |
| H. Sensory data (audio, video) | No | — | — |
| I. Professional/employment | Yes | From you (company name, role) | B2B context |
| J. Education | No | — | — |
| K. Inferences from above | No | — | — |
| L. Sensitive PI (CPRA: SSN, precise geo, race, religion, health, sexual orientation, login credentials) | Login credentials only (hashed) | From you | Authentication only — not used for inference |
D.3 Your CCPA / CPRA Rights
Right to Know
What personal info we collect, sources, purposes, recipients.
Right to Delete
Request deletion of your personal info, subject to legal-retention exceptions.
Right to Correct
Request correction of inaccurate personal info.
Right to Opt-Out
Of "sale" or "sharing" — n/a here as we don't do either.
Right to Limit Use of Sensitive PI
Restrict use of sensitive PI to that necessary to provide service.
Right to Non-Discrimination
We will not deny service or charge differently for exercising your rights.
D.4 Submitting a Verifiable Consumer Request
Email support@architectapi.com with subject line CCPA Request — [Your Name]. We verify identity by matching the request email with the email of record on your account; for non-account holders, additional verification may be required. We respond within 45 days (extensible by 45 days with notice). Authorized agents may submit on your behalf with a written authorization.
D.5 Financial Incentive Disclosure
We do not offer financial incentives in exchange for personal information.
D.6 Shine the Light (California Civil Code § 1798.83)
We do not share personal information with third parties for their direct marketing purposes.
E. Çocukların Gizliliği / Children's Privacy
E.1 Age Restrictions / Yaş Sınırları
- Türkiye (KVKK): Hizmetimiz 18 yaş ve üzeri profesyoneller / işletmeler için tasarlanmıştır. 18 yaş altı bireylerden bilerek veri toplamayız. (Türk Medeni Kanunu m.10 — reşitlik 18 yaş)
- EU GDPR Art. 8: Information society services require consent of a parent/guardian for children under 16 (member states may lower to 13). We do not target our services at children.
- UK GDPR + Age Appropriate Design Code (ICO): ICO's "Children's Code" applies to services likely accessed by children. Our service is B2B and not directed at children under 18.
- USA — COPPA (Children's Online Privacy Protection Act): We do not knowingly collect personal information from children under 13. If we learn we have, we will promptly delete it.
E.2 Reporting / Bildirim
If you believe a child has provided personal information to us / Çocuğunuzun bize kişisel veri verdiğini düşünüyorsanız: support@architectapi.com · Konu: Children's Privacy. We will investigate and delete within 30 days.