KVKK Aydınlatma Metni

Veri Sorumlusu: Portavix.AI (Ömer N. Turan — şahıs şirketi olarak işletilmektedir).

İletişim: kvkk@portavix.ai

Posta adresi başvuruları için: kvkk@portavix.ai adresine yazıldığında resmî tebligat adresi paylaşılır.

Kimlik verileri: ad, soyad (kullanıcı kendisi girer; KEP/MERNİS sorgusu yapılmaz).

İletişim verileri: e-posta adresi, isteğe bağlı olarak verilen Telegram chat ID'si ve WhatsApp telefon numarası.

Müşteri işlem verileri: kullanıcının elle veya CSV ile girdiği portföy hesapları, işlemler, holdinglerin enstrüman/miktar/maliyet bilgileri.

Finansal veriler: faturalandırma kayıtları (aktif plan, ödeme tutarı, dönem). Kart numarası, son kullanma tarihi ve CVV gibi ödeme aracı verileri Portavix.AI'ya hiç ulaşmaz; bunlar yalnızca BDDK lisanslı ödeme kuruluşu İyzico'nun PCI-DSS sistemlerinde işlenir.

İşlem güvenliği verileri: parola özetleri (Argon2id), oturum jetonu özetleri (SHA-256), bağlantı IP adresi (kısa süreli güvenlik denetimi için), kullanıcı ajanı, giriş zamanları, hata izleme log'ları (Sentry).

Kullanıcı içeriği: karar günlüğü (intents), yatırım tezi notları (theses), yatırım politikası (IPS), serbest metin notlar.

Pazarlama/iletişim onayları: yalnızca kullanıcı pazarlama amaçlı e-posta almayı seçtiğinde açık rıza olarak işlenir.

Hizmet sözleşmesinin kurulması ve ifası (KVKK m.5/2-c): hesap oluşturma, oturum yönetimi, portföy verisinin saklanması, brifing üretimi, abonelik faturalandırması.

Hukukî yükümlülüğün yerine getirilmesi (KVKK m.5/2-ç): VUK uyarınca faturalandırma kayıtlarının saklanması, KVKK uyarınca veri sahibi başvurularının yanıtlanması, BDDK ve SPK düzenlemelerine uyum.

Veri sorumlusunun meşru menfaati (KVKK m.5/2-f): hizmetin güvenliğini sağlamak, kötüye kullanımı önlemek, hata izleme ve operasyonel iyileştirme.

Açık rıza (KVKK m.5/1): isteğe bağlı pazarlama e-postaları, isteğe bağlı sesli brifing özelliği, isteğe bağlı WhatsApp bildirimleri, isteğe bağlı paylaşım bağlantıları.

Hizmet'in işletilmesi için aşağıdaki yurt dışı veri işleyenler kullanılır. Aktarımlar KVKK madde 9 çerçevesinde, açık rıza (açık rıza onay kutusu ile alınır) veya KVKK'nın izin verdiği güvenli ülke listesi/yeterli koruma kararı/standart sözleşme şartları gerekçeleri ile gerçekleştirilir.

DeepSeek (LLM çıkarım — Singapur / Hong Kong / Çin Halk Cumhuriyeti): kullanıcının girdiği portföy ve haber verisi LLM çıkarımı için aktarılır. DeepSeek modelinin eğitimi için kullanılmayacağı sözleşme şartı altına alınmıştır.

Sentry (hata izleme — AB / Almanya): yalnızca anonimleştirilmiş hata log'ları aktarılır; PII'yi log'lardan temizleyen sunucu tarafı scrubber kullanılır.

Postmark veya Resend (transactional e-posta — ABD / AB): yalnızca e-posta gönderimi için gerekli adres + mesaj içeriği aktarılır.

Backblaze B2 (yedek — ABD): PostgreSQL yedekleri AES-256 ile sunucu tarafında şifrelenip aktarılır; Backblaze anahtarları görüntüleyemez.

ElevenLabs veya OpenAI (sesli brifing — ABD): yalnızca kullanıcı sesli brifing özelliğini açtığında ve yalnızca o günün brifing metni TTS sentezi için aktarılır.

Twilio veya Meta WhatsApp Business (bildirim — ABD): yalnızca kullanıcı WhatsApp'a bildirim almayı seçtiğinde, yalnızca bildirim metni ve telefon numarası aktarılır.

Telegram (bildirim — global / Dubai): yalnızca kullanıcı Telegram bildirimi seçtiğinde, yalnızca bildirim metni ve chat ID aktarılır.

İyzico (ödeme — Türkiye, yurt içi): kart bilgileri yalnızca İyzico'da işlenir; Portavix.AI yalnızca ödeme sonucunu ve fatura numarasını alır.

Veriler; kullanıcının kendi rızasıyla web arayüzü, Telegram botu, WhatsApp ve e-posta üzerinden iletilen bilgiler aracılığıyla elektronik ortamda toplanır. Üçüncü kişilerden (broker, banka, kredi bürosu vb.) veri çekilmez.

Hukukî sebepler: KVKK m.5/2-c (sözleşmenin ifası), KVKK m.5/2-ç (hukukî yükümlülük), KVKK m.5/2-f (meşru menfaat) ve isteğe bağlı özellikler için KVKK m.5/1 (açık rıza).

Hesap verileri: hesap aktif olduğu süre + hesap silme talebinden itibaren 30 gün.

Faturalandırma kayıtları: Vergi Usul Kanunu uyarınca 5 yıl.

Güvenlik log'ları (giriş, IP): 12 ay; süre sonunda otomatik silinir.

Hata izleme log'ları (Sentry): 90 gün rolling retention.

Yedekler (Backblaze B2): 30 gün sıcak retention + 90 gün cold (Glacier sınıfı) retention; ondan sonra otomatik silme.

Kişisel verilerinizin işlenip işlenmediğini öğrenme, işlendi ise buna ilişkin bilgi talep etme, işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme.

Yurt içinde veya dışında aktarıldığı üçüncü kişileri bilme.

Eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme.

KVKK madde 7'de öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme; bu işlemin verinin aktarıldığı üçüncü kişilere bildirilmesini isteme.

İşlenmiş verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi sonucu aleyhinize bir sonuç doğmasına itiraz etme.

Kanuna aykırı işleme sebebiyle uğradığınız zararın giderilmesini talep etme.

Haklarınızı kullanmak için kvkk@portavix.ai adresine, kimliğinizi doğrulayan ve talebinizi açıkça belirten bir e-posta gönderebilirsiniz. Alternatif olarak, oturum açtığınızda Ayarlar → Veri Hakları panelinden tek tıkla erişme, silme veya dışa aktarma talebi başlatabilirsiniz.

KVKK madde 13 uyarınca, başvurularınız niteliğine göre en kısa sürede ve her hâlükârda en geç 30 takvim günü içinde sonuçlandırılır. KVK Kurulu'na şikâyet için kvkk.gov.tr adresinden bilgi alabilirsiniz.