Gizlilik Politikası
Son güncelleme: 18 Mayıs 2026 — Sürüm v2 (Pilot)
MHB Lean ("biz", "platform") fabrikalar için Kaizen / Lean yönetim hizmeti sunar. Bu Aydınlatma Metni KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu) m.10 + GDPR Art. 13 kapsamında kullanıcılarımızı (Patron, Çalışan, Kaizen Danışmanı) bilgilendirir: hangi verileri topladığımızı, neden işlediğimizi, kimlerle paylaştığımızı, ne kadar sakladığımızı ve haklarınızı nasıl kullanacağınızı açıklar.
1. Veri sorumlusu
- Ticari ünvan: MHB Lean (kuruluş aşaması — Almanya/Türkiye entity bilgisi v3 yayınında güncellenecek).
- İletişim: gizlilik@mhblean.com
- Veri Sorumlusu İrtibat Kişisi / DPO: Pilot fazda atama yapılmamıştır (VERBİS eşiği altı). 50K+ veri sahibi eşiği aşıldığında atama bilgisi bu sayfada yayınlanacak ve mevcut kullanıcılara bildirilecektir.
- VERBİS sicil: Pilot fazda eşik altı (yıllık ciro 25M TRY altı, çalışan 50 altı). Eşik aşımı durumunda kayıt yapılır ve duyurulur.
2. İşlediğimiz veriler ve hukuki sebep
KVKK m.5/6 ve GDPR Art. 6 kapsamında her veri kategorisi için işleme hukuki sebebimiz:
| Veri kategorisi | Amaç | Hukuki sebep (KVKK) |
|---|---|---|
| Kimlik (e-posta, ad-soyad, organizasyon) | Hesap oluşturma, oturum açma | m.5(2)/c — sözleşmenin ifası |
| İçerik (kaizen, asakai, mesajlar, fotoğraflar) | Hizmetin sunulması | m.5(2)/c — sözleşmenin ifası |
| AI sohbet + Sensei memory | Kaizen asistan, öneri üretimi | m.5(1) — açık rıza (Gemini transit) |
| Ses kaydı (asakai, sesli not) | Transkripsiyon ve özet | m.5(1) — açık rıza (opt-out) |
| Teknik veri (giriş kayıtları, hata logları, oturum kaydı*) | Güvenlik, hata tespiti | m.5(2)/f — meşru menfaat |
| Analitik (PostHog event) | Kullanım iyileştirme | m.5(1) — açık rıza (çerez bannerından red) |
| Ödeme (Stripe) | Abonelik tahsilatı | m.5(2)/c — sözleşmenin ifası |
* Oturum kaydı (Sentry Replay): hata anında, kullanıcı yazılarını maskeli olarak (her metin "•" ile değişir, medya gizlenir) Sentry'ye gönderilir. Asıl sebep hata tekrarlanabilirliğidir; PII içeriği görülmez. Detay aşağıda "Hizmet sağlayıcılar" bölümü.
3. Hizmet sağlayıcılar (alt-işleyiciler)
Verilerinizi şu üçüncü tarafları kullanarak işliyoruz. Her birinin DPA (Data Processing Addendum) sözleşmesi imzalanmıştır veya imza sürecindedir.
| Sağlayıcı | Amaç | Lokasyon | KVKK m.9 hukuki sebep |
|---|---|---|---|
| Vercel | Hosting + compute | ABD / Hindistan (bom1) | m.9(2)/a — açık rıza + standart sözleşme |
| Supabase | Veritabanı + auth + storage | Hindistan (ap-south-1, Mumbai) | m.9(2)/a — açık rıza + standart sözleşme |
| Sentry | Hata + oturum kaydı (maskeli) | Almanya / AB | m.9(1) — yeterli koruma (AB) |
| PostHog | Analitik (opt-out edilebilir) | Almanya / AB | m.9(1) — yeterli koruma (AB) |
| Resend | Transaksiyonel e-posta | ABD | m.9(2)/a — açık rıza + standart sözleşme |
| Google Gemini API | AI sohbet + özet + vision | ABD (paid mode) | m.9(2)/a — açık rıza |
| Stripe | Ödeme (canlı: ileride) | Almanya / AB / ABD | m.5(2)/c — sözleşmenin ifası |
| Telegram | Bot bildirimleri (opt-in) | BAE (Dubai) | m.9(2)/a — açık rıza |
Listede değişiklik olduğunda bu sayfa güncellenir ve aktif kullanıcılara e-posta ile bildirilir.
4. Saklama süresi
- Hesap profili + içerik: hesap aktif olduğu sürece (silme talebinde 30 gün içinde).
- AI sohbet geçmişi: 90 gün (otomatik cron silme).
- Snap video (operatör görüntüsü): 90 gün.
- Sensei memory: pinned olmayan satırlar 180 gün.
- Hata logları (Sentry): 90 gün (Sentry varsayılan).
- Analitik event (PostHog): 7 yıl (PostHog varsayılan, GDPR silme talebi ile kısaltılır).
- Transaksiyonel e-posta (Resend): 30 gün log.
- Audit log (super-admin): yasal yükümlülük gereği (önerilen 2 yıl, sonra IP/UA hash silinir).
- Yedek (Supabase PITR): 7 gün (Pro plan 14 gün).
5. Haklarınız (KVKK m.11 + GDPR Art. 15-22)
- Erişim hakkı: İşlenen verilerinize /ayarlar/genel/veri sayfasından makine-okunabilir JSON formatında erişebilirsiniz.
- Düzeltme hakkı: Profil bilgilerinizi /ayarlar/genel üzerinden düzeltebilirsiniz.
- Silme hakkı (Right to be Forgotten): /ayarlar/genel/veri "Hesabımı sil" — 30 gün soft-delete bekleme süresi sonrası hard delete.
- Açık rıza geri çekme: /ayarlar/gizlilik üzerinden her kategori için ayrı geri çekme. Çerez bannerına da geri dönülebilir.
- İtiraz hakkı: AI profillemeye (Sensei memory) /ayarlar/sensei üzerinden itiraz edebilirsiniz.
- Veri taşınabilirliği (GDPR Art. 20): JSON export (yukarıda).
- Şikayet hakkı: KVKK Kurumu (kvkk.gov.tr) veya ilgili AB üye devleti DPA'sına şikâyet hakkı.
Talepler için: gizlilik@mhblean.com — 30 gün içinde yanıtlanır (KVKK m.13).
6. Güvenlik
Tüm bağlantılar TLS şifreli. Veritabanında satır seviyesi izolasyon (RLS) ile organizasyonlar birbirinin verisini göremez. API key'leri sunucuda; tarayıcıya asla açık edilmez. Point-in-time recovery 7 gün geriye kadar açık. Fotoğraflarda EXIF/GPS metadata sunucu tarafında otomatik silinir. Sentry oturum kaydı "maskAllText" ile yazılı içerik gönderilmez.
7. Çerezler
Zorunlu çerezler — Oturum (Supabase auth), tema, dil tercihi. Opt-out yok; hizmetin işlemesi için gerekli.
Analitik çerezler (PostHog) — Çerez banneri "Reddet" ile durdurulur (runtime opt_out_capturing + reset).
Reklam çerezi yok. Cross-site tracking yapmıyoruz.
8. Özel nitelikli veri uyarısı
KVKK m.6 (özel nitelikli kişisel veri): sağlık, sendika, inanç, etnik köken, ceza mahkumiyeti gibi veriler özel nitelikli kabul edilir. Kaizen serbest text alanlarında bu tür bilgileri paylaşmamanızı rica ederiz. Patron paneli pattern detection ile uyarır; yine de operatörün yazdığı içeriğin sorumluluğu kullanıcıya aittir.
9. Versiyon ve değişiklikler
Bu Aydınlatma Metni'nin majör versiyon değişikliği halinde aktif kullanıcılarımıza uygulama içi bildirim + e-posta ile haberdar ederiz; major versiyonda yeniden onam (re-acceptance) modal'ı görüntülenir. Şu anki versiyon: v2 (2026-05-18).
10. İletişim
Sorularınız için: gizlilik@mhblean.com. Veri Sorumlusu İrtibat Kişisi atandığında bu sayfada güncellenir.