Gizlilik Politikası.

Bu politika; d-dat — data-driven ai technologies ("d-dat", "biz", "şirket") tarafından işletilen d-dat.com, app.d-dat.com ve d-dat ürünlerinin (d-lens, d-reach) kullanımı sırasında topladığımız kişisel verileri nasıl işlediğimizi anlatır.

Hem 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), hem AB Genel Veri Koruma Tüzüğü (GDPR), hem de Kaliforniya Tüketici Gizliliği Yasası (CCPA/CPRA) kapsamında geçerlidir.

---

// 01Veri Sorumlusu Kimliği

Ticari ünvan	DATA ANALYTICS TEKNOLOJİ REKLAM ANONİM ŞİRKETİ
Mersis no	0271-1964-6050-0001
Vergi dairesi / no	Maslak Vergi Dairesi · 2711964605
Adres	Maslak Mah. Eski Büyükdere Cad. No: 21 İç Kapı No: 1 Sarıyer / İstanbul
KEP adresi	mesut.sefizade@hs01.kep.tr
VERBİS durumu	Kayıt yükümlülüğümüz bulunmamaktadır
İlgili kişi başvurusu	info@d-dat.com
Genel iletişim	info@d-dat.com
Veri Koruma Sorumlusu	Mesut Şefizade · Kurucu — info@d-dat.com (Veri Koruma İletişim Noktası)

GDPR Madde 27 kapsamında AB temsilcisi atama süreci yürütülmektedir; atandığında bu sayfa güncellenecektir. CCPA kapsamında ABD iletişim noktası: info@d-dat.com.

// 02Bu Politika Kimleri Kapsar?

• Web sitelerimizi ziyaret eden herkes
• d-lens ücretsiz veya Pro hesabı oluşturanlar
• d-reach ücretsiz deneme veya ücretli hesap kullananlar
• B2B servis (reklam yönetimi) müşterilerimiz ve müşteri çalışanları
• İletişim formlarını dolduran, e-posta gönderen herkes
• LinkedIn, etkinlik veya satış görüşmelerinde bize bilgi veren kişiler

// 03Hangi Verileri Topluyoruz?

3.1 Sen bize doğrudan verirsen

Veri kategorisi	Örnekler	Nereden geliyor
Kimlik	Ad, soyad	İletişim formu, signup
İletişim	İş e-postası, telefon	İletişim formu, signup
İş bilgisi	Şirket adı, rol	Signup, satış görüşmesi
İçerik	Mesaj metni, soru	İletişim formu, e-posta
Hesap kimlik	Magic link doğrulama	d-lens / d-reach girişi
Ödeme	Fatura adı, vergi no, kart bilgisi son 4 hane	d-lens Pro / d-reach abonelik

3.2 Sen ürünü kullanırken otomatik oluşan veriler

Veri kategorisi	Örnekler
OAuth tokenları	Google Ads / Meta / TikTok / GA4 / Shopify hesabına bağlanmak için verdiğin read-only yetki anahtarları. Hesabında değişiklik yapamayız — token salt okunur.
Reklam hesabı verisi	Kampanya, ad group, keyword, dönüşüm, performans metrikleri. Sen sildiğinde veya yetkiyi kaldırdığında erişimimiz kesilir.
d-reach içerik	Yüklediğin müşteri listesi, gönderilen mesajlar, gelen yanıtlar, otomasyon akışları
Kullanım kayıtları	Hangi modülü açtın, hangi taramayı çalıştırdın, oturum süreleri
Cihaz / teknik	IP adresi, tarayıcı, işletim sistemi, dil, ekran çözünürlüğü
Çerezler	Bkz. Çerez Politikası

3.3 Üçüncü kaynaklardan

• Google, Meta, TikTok, LinkedIn: Reklam tıklamaları, dönüşüm verisi (sen onların hesabına yetki verdin)
• Ödeme sağlayıcı PayTR Ödeme ve Elektronik Para Hizmetleri A.Ş.: ödeme onay verisi
• Satış araçları: LinkedIn outreach, Apollo, vb. — sadece B2B iş kontağı seviyesinde

// 04Bu Verileri Neden İşliyoruz?

Her veri kategorisi için hukuki dayanak ve amaç belirtmek zorundayız. Aşağıdaki tablo bunu özetler.

Amaç	Veri	KVKK dayanak	GDPR dayanak
Hizmeti vermek (signup, hesap, tarama, mesaj)	Kimlik, iletişim, hesap, OAuth, içerik	Sözleşmenin kurulması/ifası	Md. 6(1)(b) — sözleşme
Faturalandırma ve ödeme	Kimlik, ödeme	Kanuni yükümlülük + sözleşme	Md. 6(1)(b) ve (c)
İletişim formu cevabı, satış görüşmesi	Kimlik, iletişim, içerik	Meşru menfaat	Md. 6(1)(f)
Pazarlama e-postası, ürün duyurusu	İletişim	Açık rıza	Md. 6(1)(a) — rıza
Çerezlerle hedefleme reklamı	Çerez verisi	Açık rıza	Md. 6(1)(a) — rıza
Site analytics (anonimleştirilmiş)	Çerez, teknik	Meşru menfaat (KVKK Çerez Rehberi)	Md. 6(1)(f)
Güvenlik, dolandırıcılık önleme	Teknik, kullanım	Meşru menfaat	Md. 6(1)(f)
Hukuki yükümlülükler	Çeşitli	Kanuni yükümlülük	Md. 6(1)(c)

// 05d-lens Özelinde — OAuth ve Reklam Hesabı Verisi

d-lens, hesabını taramak için Google Ads, Meta, TikTok, GA4, Shopify gibi platformlara read-only (yalnızca okuma) yetkisiyle bağlanır.

Şunları yaparız

• Kampanya, ad group, keyword, dönüşüm metriklerini okuruz
• Hesap yapısı bilgisini analiz ederiz
• Bulguları AI ile yorumlar, sana aksiyon önerisi sunarız

Şunları yapmayız

• Hesabında değişiklik yapamayız — yetki seviyesi salt okunur
• Ödeme bilgilerine, müşteri listelerine veya kişisel müşteri kimlik verilerine erişmeyiz
• Verini AI modelinin eğitimi için kullanmayız — Google API Services User Data Policy'nin "Limited Use" kuralı gereği. Veriyi sadece sana hizmet üretmek için kullanırız.
• Veriyi üçüncü taraflara satmayız

Yetkiyi her an kaldırabilirsin

• Google: myaccount.google.com/permissions
• Meta: Ayarlar → İş Entegrasyonları
• TikTok: Ads Manager → Asset → App Authorization
• veya app.d-dat.com üzerinden tek tıkla

Yetki kaldırıldığında verilerin hizmet kayıtları haricinde 30 gün içinde silinir.

// 06d-reach Özelinde — Müşteri Listesi ve WhatsApp

Bu kısım önemli, dikkatle oku.

d-reach kullanıcısı olarak müşteri listeni (telefon numaraları, isimler, vb.) sisteme yükleyip mesaj gönderdiğinde:

• O liste senin müşterin — sen "veri sorumlusu"sun (controller)
• d-dat o veriyi senin adına işliyor — "veri işleyen"iz (processor)
• Yüklediğin kişilerden WhatsApp aracılığıyla iletişim için açık rıza almış olmalısın. Bu Meta'nın WhatsApp Business Politikası ve KVKK gereği.
• Açık rızası olmayan listeyi yüklemen yasaktır ve hesabının askıya alınmasına sebep olur.
• Ayrıntılı şartlar: bkz. Veri İşleme Sözleşmesi (DPA) ve Hizmet Şartları.

WhatsApp Business altyapısı Gupshup Inc. üzerinden Meta tarafından sağlanır. Mesajlar Meta sunucularından geçer.

// 07Verileri Kimlerle Paylaşırız?

Verilerini hiçbir koşulda satmayız. Aşağıdaki üç durumda paylaşırız:

7.1 Hizmet sağlayıcılarımız (alt-işleyenler)

Kategori	Sağlayıcı	Veri tipi	Lokasyon
Bulut altyapı / sunucu	AWS EMEA SARL	Tüm veriler (şifreli)	Frankfurt · AB
Veritabanı yönetimi	AWS RDS	Hesap, kullanım	Frankfurt · AB
E-posta gönderim	Mailchimp (Intuit Inc.)	İletişim	ABD
Ödeme işleme	PayTR A.Ş.	Ödeme	Türkiye
WhatsApp Business API	Gupshup Inc. + Meta	d-reach içerik	ABD / Hindistan / İrlanda
Analytics	Google (GA4)	Anonim kullanım	ABD / AB
Reklam ölçümleme	Meta, Google, LinkedIn	Çerez verisi	ABD / AB
Müşteri destek	Şirket içi araç (kendi AWS altyapımız)	İletişim, içerik	Frankfurt · AB

Tüm hizmet sağlayıcılarla veri işleme sözleşmesi (DPA) imzalı, KVKK Md. 12 ve GDPR Md. 28 gereği güvenlik yükümlülüklerine bağlıdırlar.

7.2 Hukuki yükümlülük

Mahkeme kararı, savcılık talebi veya kanun gereği bilgi paylaşmak zorunda kaldığımızda. Bunu mümkün olduğunda sana bildiririz (yasak değilse).

7.3 Şirket dönüşümü

Şirket birleşmesi, satışı veya yeniden yapılanması durumunda yeni şirkete devredilebilir — sana önceden bildiririz.

// 08Yurt Dışına Veri Aktarımı

İstanbul'da yerleşik bir şirketiz. Ancak hizmet altyapımızın bir kısmı (AWS, Google Cloud, vb.) yurt dışında. KVKK Md. 9 ve GDPR Bölüm V gereği:

Aktarım	Nereye	Hangi koruma mekanizması
AB ülkeleri	İrlanda, Almanya, Hollanda	GDPR yeterlilik (KVKK aynı koruma seviyesi kabul ediyor)
ABD	Bulut sağlayıcılarımız	EU-US Data Privacy Framework (DPF) sertifikalı sağlayıcılar + KVKK Standart Sözleşme + GDPR Standard Contractual Clauses
Diğer	—	KVKK Md. 9/4 — açık rıza veya zorunluluk durumları

KVKK Mart 2024 değişiklikleri sonrası Standart Sözleşme mekanizmasını kullanıyoruz; ilgili sözleşmeler 5 iş günü içinde Kuruma bildiriliyor.

// 09Verilerini Ne Kadar Süre Saklarız?

Veri	Saklama süresi	Dayanak
Aktif hesap verisi	Hesap aktif olduğu sürece	Sözleşme
Kapatılan hesap	30 gün (geri yükleme penceresi) → silinir	Sözleşme
Faturalandırma kayıtları	10 yıl	Vergi Usul Kanunu, Türk Ticaret Kanunu
İletişim formu mesajları	2 yıl	Meşru menfaat
Pazarlama listesi (rıza ile)	Rıza geri çekilene kadar	Rıza
Sunucu logları	6 ay	Güvenlik
Yedekler	90 gün rotasyon	Operasyonel
Anonimleştirilmiş istatistik	Süresiz	Anonim, KVKK kapsamı dışında

Saklama süresi sonunda veri silinir veya geri döndürülemez şekilde anonimleştirilir.

// 10Haklarınız

10.1 KVKK Madde 11 — İlgili Kişi Hakları

KVKK kapsamında her ilgili kişi şu haklara sahiptir:

1. Kişisel verisinin işlenip işlenmediğini öğrenme
2. İşleniyorsa buna ilişkin bilgi talep etme
3. İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
4. Yurt içi / yurt dışı aktarılan üçüncü kişileri bilme
5. Eksik veya yanlış işlenmişse düzeltilmesini isteme
6. KVKK Md. 7'deki koşullar çerçevesinde silinmesini veya yok edilmesini isteme
7. Yapılan düzeltme, silme, yok etme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme
8. Otomatik analiz sonucu aleyhinize bir sonuç çıkmışsa buna itiraz etme
9. Hukuka aykırı işleme nedeniyle zarara uğradıysanız zararın giderilmesini talep etme

10.2 GDPR — AB sakinleri için ek haklar

• Erişim hakkı (Md. 15)
• Düzeltme hakkı (Md. 16)
• Silme hakkı / unutulma hakkı (Md. 17)
• İşlemeyi sınırlama hakkı (Md. 18)
• Veri taşınabilirliği hakkı (Md. 20) — verini makinece okunabilir formatta talep edebilirsin
• İtiraz hakkı (Md. 21)
• Otomatik karar verme süreçlerine tabi olmama hakkı (Md. 22)
• Denetim makamına şikayet hakkı — kendi ülkenin veri koruma otoritesine

10.3 CCPA / CPRA — Kaliforniya sakinleri için ek haklar

• Right to Know — hakkında topladığımız veriyi öğrenme hakkı
• Right to Delete — verinin silinmesini isteme hakkı
• Right to Correct — yanlış verinin düzeltilmesini isteme hakkı
• Right to Opt-Out of Sale/Sharing — verinin satılmasına/paylaşılmasına itiraz. Verini satmıyoruz, ama hedefli reklam çerezleri "sharing" sayılabilir; çerez bannerından devre dışı bırakabilirsin.
• Right to Limit Use of Sensitive Personal Information
• Right to Non-Discrimination — bu hakları kullandığın için seni dışlayamayız

10.4 Hakkını Nasıl Kullanırsın?

• E-posta: info@d-dat.com (Türkiye + global)
• Yazılı başvuru: Maslak Mah. Eski Büyükdere Cad. No: 21 İç Kapı No: 1 Sarıyer / İstanbul
• KEP: mesut.sefizade@hs01.kep.tr
• Başvuru formu: /ilgili-kisi-basvuru-formu

KVKK kapsamındaki başvurulara 30 gün, GDPR başvurularına 1 ay içinde cevap veriyoruz. Başvuruda kimlik doğrulaması yapabiliriz.

// 11Veri Güvenliği

KVKK Md. 12 ve GDPR Md. 32 gereği aldığımız önlemler:

• Şifreleme: Aktarımda TLS 1.3, depolamada AES-256
• Erişim kontrolü: Rol bazlı, en az yetki ilkesi (least privilege)
• OAuth tokenları: Ayrı keyvault'ta şifreli, hiçbir çalışan ham token görmez
• Loglama ve izleme: Şüpheli erişim alarmı 7/24
• Güvenlik testleri: Yıllık penetrasyon testi, sürekli açıklık taraması
• Personel: KVKK eğitimi zorunlu, gizlilik taahhütnamesi imzalı
• Yedekleme: Şifrelenmiş, 90 gün rotasyon

// 12Veri İhlali Bildirimi

Bir veri ihlali yaşandığında:

• GDPR Md. 33 gereği denetim makamına 72 saat içinde bildiririz
• KVKK Md. 12/5 gereği KVK Kurulu'na ve etkilenen ilgili kişilere en kısa sürede ve makul gerekçe halinde 72 saat içinde bildiririz
• Yüksek riskli ihlallerde sana doğrudan e-posta ile haber veririz

// 13Çocukların Verisi

d-dat ürünleri yetişkinlere ve işletmelere yöneliktir. 16 yaşın altındaki kişilere bilerek hizmet vermeyiz. Kaliforniya'da CCPA kapsamında 16 yaş altı verisinin satılması/paylaşılması için açık opt-in zorunlu — bu hiçbir koşulda yapılmaz.

// 14Otomatik Karar Verme ve Profilleme

d-lens AI ile reklam hesabını analiz ederek öneri çıkarır. Bu öneriler:

• Sana sunulur — son karar senindir
• Otomatik olarak hesabında değişiklik yapmaz
• Hukuki sonuç doğurmaz

Yani GDPR Md. 22 anlamında "yalnızca otomatik işleme dayanan ve hukuki etki doğuran karar" niteliğinde değildir. İstersen incelemeye itiraz edebilir, manuel görüşme talep edebilirsin.

// 15Bu Politikadaki Değişiklikler

Bu politikayı güncelleyebiliriz. Önemli değişikliklerde:

• E-posta ile bildirim göndeririz (kullanıcılarımıza)
• Web sitesinin üst banner'ında 14 gün boyunca bildirim koyarız
• Yürürlük tarihi her zaman en üstte yazar

Geçmiş sürümler info@d-dat.com adresinden istenebilir.

// 16İletişim

KVKK / Veri koruma	info@d-dat.com
Genel	info@d-dat.com
DPO (Veri Koruma Sorumlusu)	Mesut Şefizade · Kurucu — info@d-dat.com
Posta	Maslak Mah. Eski Büyükdere Cad. No: 21 İç Kapı No: 1 Sarıyer / İstanbul
KEP	mesut.sefizade@hs01.kep.tr

Yetkili denetim makamları

• Türkiye: Kişisel Verileri Koruma Kurumu — www.kvkk.gov.tr
• AB: Yerleşik olduğun ülkenin veri koruma otoritesi
• ABD/CA: California Attorney General — oag.ca.gov/privacy