KVKK Uyumu
MevzuatRadar 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili Kurul kararlarını kod düzeyinde uygular. Bu sayfa veri sahibi, müşteri DPO/CSO ekipleri ve KVKK Bilgi ve İletişim Kurulu denetçileri için tek noktadan referans sağlar. Operasyonel akış (DSR queue, audit hash zinciri, retention purge cron) için Gizlilik Operasyonları ve subprocessor SCC detayı için DPA sayfalarına bakın.
Veri Sorumlusu (Yurtdışı)
| Alan | Bilgi |
|---|---|
| Yasal Unvan | Huzk Ltd |
| Tüzel Kişilik | Birleşik Krallık (UK) — Companies House |
| Şirket Numarası | 13052672 |
| VAT | 390582674 |
| Tescilli Adres | 86-90 Paul Street, London EC2A 4NE, United Kingdom |
| Telefon | +44 20 4572 3220 |
| Marka | Mevzuat Radar (Türkiye pazarına yönelik FinTech SaaS) |
| Veri Sorumlusu İrtibat | [email protected] |
| Aydınlatma | [email protected] (KVKK m.10) |
| Veri Sahibi Başvuruları | [email protected] (KVKK m.11) |
| KEP | sözleşme üzerinde paylaşılır |
KVKK m.16/2 — Yurtdışı Veri Sorumlusu Çerçevesi
Huzk Ltd Türkiye’de yerleşik değildir; ancak Türkiye’de bulunan veri sahiplerinin kişisel verilerini işlediği için KVKK kapsamındadır. KVKK m.16/2 ve Yurtdışında Yerleşik Veri Sorumlularının Sicile Kaydı hakkında Yönetmelik gereği:
- VERBİS sicili: Türkiye’de yerleşik bir tüzel kişi temsilci atanarak VERBİS’e kayıt başlatılması external/operator-owned süreçtir.
- TR Temsilcisi: Türkiye’de A.Ş tescili yapıldıktan sonra hem yurtdışı veri sorumlusu temsilciliği hem de yerel veri sorumlusu rolü Türkiye tüzel kişiliğine devredilebilir.
- Geçiş dönemi: TR tüzel kişiliği aktif olana kadar Huzk Ltd UK tüzel kişiliği fatura, banka ve sözleşme tarafı olarak görünür. Ürün, veri işleme ve kamu/finans mevzuatı kapsamı TR-only KVKK çerçevesinde yönetilir; TR temsilci/VERBİS süreci aktivasyon-ready olarak izlenir.
Bu sayfa, TR tüzel kişiliği ve VERBİS/temsilci aktivasyonu imzalı operasyon kanıtıyla tamamlandığında güncellenir.
İşlenen Kişisel Veri Kategorileri (ROPA Özeti)
| Kategori | Veri Türü | Hukuki Dayanak (KVKK m.5) |
|---|---|---|
| Kimlik | Ad, soyad | m.5/2-c (sözleşme ifası) |
| İletişim | E-posta, telefon (opsiyonel) | m.5/2-c, m.5/2-f (meşru menfaat) |
| Oturum | Magic link OTP, session id, IP, User-Agent | m.5/2-ç (hukuki yükümlülük), m.5/2-f |
| Tercih | Bildirim opt-in/out, dil, severity floor | KVKK m.5/1 (açık rıza) + 6563 sayılı Kanun (İYS) |
| Ödeme | Firma vergi no, fatura adresi, kart token (PCI SAQ-A) | m.5/2-c, m.5/2-a (kanun gereği) |
| Denetim çıktısı | Müşteri yüklediği belgeler, doğrulama raporları | m.5/2-c |
Özel nitelikli veri (m.6) işlenmez. Sağlık, biyometrik, ceza mahkumiyeti, inanç vb. kategoriler hizmet kapsamı dışındadır.
Veri Sahibi Hakları (KVKK m.11)
| Hak | Endpoint | SLA |
|---|---|---|
| Erişim | POST /api/v1/privacy/dsr kind=ACCESS | 30 gün (KVKK m.13/2), iç hedef 15 iş günü |
| Düzeltme | kind=RECTIFY | 30 gün |
| Silme/Yok etme | kind=DELETE | 30 gün |
| İşleme kısıtlama | kind=RESTRICT | Anında, hesap freeze |
| Veri taşınabilirliği | kind=EXPORT | Anlık JSON/CSV |
| İtiraz | kind=OBJECT | 30 gün, legal-basis review |
Authenticated kullanıcı için oturum + 2FA OTP yeterli. Yetkili olmayan başvurular (eski çalışan, üçüncü taraf) için TC kimlik + e-imza + müşteri admin onayı zorunludur. Detaylı doğrulama akışı: Gizlilik Operasyonları → DSR.
Alt Veri İşleyici Listesi
| Alt veri işleyici | Hizmet | Veri Yerleşimi | Aktarım Mekanizması |
|---|---|---|---|
| Hetzner Online GmbH | Compute, Postgres, MinIO | Falkenstein, DE | KVKK m.9/1 — AB Komisyon yeterlilik kararı |
| Cloudflare, Inc. | CDN, WAF, edge cache, DNS | EU/Global | SCC §4.2 (KVKK m.9/2-a) |
| Resend, Inc. | Transactional e-posta | EU | SCC §4.2 |
| Netgsm Bilişim Tek. A.Ş. | SMS (opsiyonel) | Türkiye | KVKK m.9/1 (TR sınırı) |
| OpenAI Ireland Ltd. | Yapay zekâ işleme (mevzuat özeti) | AB/Norveç | SCC §4.2, Egemen Veri Güvenliği |
| Stripe, Inc. | Ödeme tahsilatı | EU/US | SCC §4.2, PCI SAQ-A |
| DorukCloud | Türkiye sınırlı worker | Türkiye | KVKK m.9/1 |
Alt veri işleyici değişikliği 30 gün önceden müşteriye bildirilir; itiraz hakkı saklıdır. Tam SCC ve veri işleyici sözleşmesi dokümantasyonu için DPA sayfasına bakın.
Saklama Süreleri (KVKK m.7 + TTK m.82 + VUK m.253)
| Veri Türü | Aktif Süre | Post-termination | Yasal Dayanak |
|---|---|---|---|
| Kullanıcı profili | Aktif abonelik | 180 gün grace | Sözleşme |
| Kimlik doğrulama kaydı | 1 yıl | 5 yıl denetim | KVKK m.5/2-ç + iç ENT-03 |
| Abone e-postası (AES-256-GCM) | Aktif | Abonelikten çıkış sonrası 90 gün → hash + veri temizleme | KVKK m.7/1 |
| Denetim kaydı (hash zincirli) | 7 yıl | 7 yıl | TTK m.82 |
| Bildirim opt-out kayıtları | Sürekli | 30 gün | İYS (6563 sayılı Kanun) uyumu |
| Mevzuat içeriği | Kalıcı (kamuya açık) | Kalıcı | Meşru menfaat |
| Ödeme/fatura | 10 yıl | 10 yıl | VUK m.253 |
Otomatik silme cron’ları gece 03:00 Europe/Istanbul’da çalışır
(log-retention-archival.scheduler, kvkk-status-retention.cron).
Veri Güvenliği Tedbirleri (KVKK m.12)
| Tedbir | Uygulama |
|---|---|
| Aktarımda şifreleme | TLS 1.3 zorunlu, HSTS ve güvenli aktarım politikası |
| Saklamada şifreleme | Bileşen bazlı saklama şifrelemesi; disk/volume encryption, S3/SSE veya envelope encryption; hassas alanlarda uygulama-katmanı AES-256-GCM |
| Erişim kontrolü | Magic link OTP only (parola yok), 2FA, RBAC, 4-eye onay (kritik silmeler) |
| Denetim kaydı değişmezliği | PostgreSQL trigger UPDATE/DELETE reddi, SHA-256 hash zinciri |
| Sızıntı testi | DAST ZAP nightly, CodeQL surrogate guard, supply-chain SBOM |
| Yedekleme | Hetzner S3 günlük 03:00 UTC, çeyrekte bir geri dönüş denemesi |
| Kişisel veri maskeleme | Yapay zekâ girdisi öncesi maskeleme (pii-redactor.util), iç AI-02 kontrolü |
Veri İhlali Bildirimi (KVKK m.12/5 + Tebliğ 24 Ocak 2019)
| Kanal | SLA |
|---|---|
| KVKK Kurul (yüksek risk) | 72 saat (Tebliğ) |
| Müşteri DPO | 72 saat (DPA gereği) |
| İlgili veri sahipleri | Yüksek risk durumunda, gecikmesiz |
Bildirim formatı: SecOps post-mortem template (sebep, etki, kapsam,
mitigasyon, zaman çizelgesi). İlk 24 saat içinde ön bildirim, 72 saat
içinde tam rapor. KVKK Kurul ihlal bildirimi için resmi e-posta:
[email protected] ve
formuna kvkk.gov.tr üzerinden erişilir.
KVKK Kurul İletişim ve Şikayet
Veri sahibi MevzuatRadar’a (Huzk Ltd) yapılan başvurunun reddi, eksik kalması veya 30 gün içinde yanıtlanmaması halinde Kişisel Verileri Koruma Kurulu’na başvurabilir:
- Kurum: T.C. Kişisel Verileri Koruma Kurumu (KVKK)
- Adres: Nasuh Akar Mahallesi 1407. Sokak No:4, 06520 Çankaya / Ankara
- Telefon: +90 312 216 50 00
- Bilgi Danışma Hattı: ALO 198 (ücretsiz)
- Web: kvkk.gov.tr
- Şikayet Modülü: sikayet.kvkk.gov.tr
- Veri İhlali Bildirimi: [email protected]
- VERBİS: verbis.kvkk.gov.tr — başvuru formları posta, kargo veya KEP ile
Operasyon Kanıtları
- Restore drill script’i staging/local hedef dışına çıkmaz; çeyrekte bir Hetzner S3 yedekten restore tatbikatı yapılır.
- Incident tabletop script’i P0-P3 senaryolarını ve 72 saat bildirim penceresini denetler.
- Audit hash chain verify her gece 03:30’da çalışır; kopukluk durumunda tier-4 alarm.
- CI gate: subscriber-data-leak guard, audit-chain-integrity guard, KVKK retention cron testi her PR’da merge için zorunlu.