Gizlilik ve Bilgi Güvenliği Politikası
1. AMAÇ, KAPSAM VE HUKUKİ DAYANAK
1.1 Amaç
İşbu Gizlilik ve Bilgi Güvenliği Politikası (“Politika”), Archmir Teknoloji A.Ş. (“Archmir”, “Şirket” veya “Biz”) tarafından sunulan yapay zeka tabanlı araç hasar tespit API hizmetleri, web sitesi ve ilgili tüm dijital hizmetlerin (“Hizmetler”) kullanımı kapsamında işlenen kişisel verilerin; 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) ve ilgili ikincil mevzuata uygun şekilde işlenmesini, saklanmasını, korunmasını ve güvenliğinin sağlanmasını amaçlamaktadır.
1.2 Kapsam
Bu Politika;
- Archmir ile sözleşme imzalayan kurumsal müşterileri (sigorta şirketleri, filo yönetim şirketleri, araç kiralama firmaları, servisler vb.),
- Müşterilerimizin yetkili kullanıcılarını (eksperler, operasyon ekipleri vb.),
- Archmir’in web sitesi ve API’lerini kullanan tüm gerçek kişileri,
- Archmir’in iş ortakları, tedarikçileri ve ziyaretçilerini
kapsar.
1.3 Hukuki Dayanak
Kişisel veriler, başta KVKK m.5 ve m.6 hükümleri olmak üzere ilgili mevzuat çerçevesinde; bir sözleşmenin kurulması veya ifası, hukuki yükümlülüklerin yerine getirilmesi, bir hakkın tesisi, kullanılması veya korunması, meşru menfaatlerimiz veya açık rıza hukuki sebeplerinden biri veya birkaçı kapsamında işlenmektedir.
2. TANIMLAR VE ROLLER
2.1 Tanımlar
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
- Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, sağlık bilgisi, biyometrik veri vb. gibi nitelikli veriler.
- Veri Sorumlusu: Kişisel verilerin işleme amaç ve vasıtalarını belirleyen gerçek veya tüzel kişi.
- Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi.
- Müşteri: Archmir ile Hizmet Sözleşmesi imzalayan tüzel kişi (sigorta şirketi, filo kiralama şirketi vb.).
- Müşteri Verisi: Müşteri tarafından Hizmetlere yüklenen her türlü görüntü, video, metin, log ve meta veri.
2.2 Archmir’in Rolü
Archmir; kendi çalışanları, tedarikçileri ve kurumsal iş süreçlerine ilişkin kişisel veriler bakımından “Veri Sorumlusu”, Müşteriler tarafından Archmir API’lerine yüklenen görseller ve ilgili sigorta/hizmet operasyonu verileri bakımından ise kural olarak “Veri İşleyen” konumundadır. Archmir, Müşteri Verilerini modellerini eğitmek ve iyileştirmek için kullanmak istediği ölçüde, bu veriler anonimleştirilmiş ve kimliği belirlenebilir kişiyle ilişkilendirilemeyecek hale getirildikten sonra, bu anonim veriler üzerinde kendi adına Veri Sorumlusu sıfatıyla işlem yapar.
3. İŞLENEN VERİ KATEGORİLERİ
Archmir tarafından aşağıdaki veri kategorileri işlenebilir:
3.1 Kurumsal Müşteri Verisi
- Firma unvanı, vergi numarası, MERSİS numarası,
- Yetkili kişi ad soyad bilgileri, görev/pozisyon,
- Kurumsal e-posta adresleri, telefon numaraları,
- Sözleşme ve fatura bilgileri, API anahtarları, müşteri ID’leri.
Hukuki Dayanak: Sözleşmenin kurulması veya ifası (KVKK m.5/2-c), hukuki yükümlülük (m.5/2-ç).
3.2 Görsel Araç Verisi
- Araç dış gövde fotoğrafları, videoları, hasar bölgesi görüntüleri,
- Hasar öncesi/sonrası kıyaslamaya konu görseller.
Hukuki Dayanak: Sözleşmenin ifası, meşru menfaat (KVKK m.5/2-f), hukuki yükümlülükler.
3.3 Araç Meta Verisi
- Şasi numarası (VIN),
- Plaka bilgisi (işlenmeden önce),
- Lokasyon (GPS koordinatları),
- Tarih/saat damgası, dosya referans numaraları.
3.4 Kullanım ve Log Verileri
- API istek logları, IP adresleri,
- Cihaz ve tarayıcı bilgileri (User-Agent),
- Hata kayıtları, güvenlik logları,
- Kimlik doğrulama ve oturum açma/kapatma logları.
Hukuki Dayanak: Veri güvenliğinin sağlanması, meşru menfaat (KVKK m.5/2-f).
3.5 Biyometrik Veriler Hakkında Önemli Not
Archmir’in yapay zeka modelleri yalnızca araç hasarlarını tespit etmek üzere tasarlanmış olup insan yüzlerini veya kimlik tespitine elverişli biyometrik verileri analiz etme amacı yoktur. Sistem mimarisi gereği: Yüklenen görüntülerde yer alan insan yüzleri ve plakalar, gerekli görülen diğer kişisel veriler görüntü, kalıcı olarak depolanmadan önce otomatik olarak tespit edilir ve maskeleme/buzlama (blurring) yoluyla geri döndürülemez biçimde anonimleştirilir.
4. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
4.1 Hizmetin Sunulması ve İş Süreçlerinin Yürütülmesi
- Hasar tespit analizi ve skorlaması,
- Onarım/değişim önerisi ve tahmini maliyet hesaplanması,
- Dosya bazlı rapor üretimi ve müşteriye sunulması,
- Müşteri hesabının yönetimi, entegrasyonların sağlanması.
4.2 Yapay Zeka Modellerinin Geliştirilmesi (Ar-Ge)
- Sadece anonimleştirilmiş ve kimliği belirlenemeyen görsellerin kullanılması,
- Hasar tespit algoritmalarının doğruluğunu arttırmak,
- Yeni hasar tiplerini öğrenmek,
- Model performansını (precision/recall, F1 vb.) optimize etmek.
Anonim hale gelen veri, KVKK anlamında kişisel veri olmaktan çıktığı için KVKK kapsamı dışındadır. Archmir’in Ar-Ge süreçlerinde bu anonim veriler üzerinde veri sorumlusu sıfatıyla tasarrufta bulunma hakkı saklıdır.
4.3 Güvenlik ve Dolandırıcılık Önleme
- API’ye yönelik anormal veya şüpheli isteklerin tespiti,
- Deneme/yanılma yoluyla claim_id tahmini vb. yetkisiz erişim girişimlerinin engellenmesi,
- Manipüle edilmiş görsellerin (deepfake hasar, sahte fotoğraf vb.) tespiti,
- Kimlik doğrulama ve erişim kontrolü işlemlerinin yürütülmesi.
4.4 Yasal Yükümlülüklerin Yerine Getirilmesi
- Düzenleyici kurumların taleplerinin karşılanması,
- Uyuşmazlık ve dava süreçlerinde delil niteliği taşıyan log ve kayıtların saklanması,
- Mali ve muhasebe yükümlülüklerinin yerine getirilmesi.
5. VERİ AKTARIMI VE ÜÇÜNCÜ TARAFLAR
5.1 Yurt İçi Aktarım
Kişisel veriler, KVKK m.8’e uygun olarak aşağıdaki alıcı gruplarına aktarılabilmektedir:
- Hizmet Sağlayıcılar / Veri İşleyenler: Bulut depolama hizmeti, güvenlik altyapısı sağlayıcıları, log/monitoring hizmetleri.
- Müşterilerimiz: Hasar dosyaları ve analiz çıktıları ilgili sigorta şirketi veya eksperlere sunulur.
- Yetkili Kurum ve Kuruluşlar: Yasal talep halinde veri aktarımı yapılabilir.
5.2 Yurt Dışına Aktarım
Archmir, veri merkezlerini yurt dışında konumlandırdığı ölçüde KVKK m.9 uyarınca; güvenli ülkeler, açık rıza veya uygun taahhütnameler çerçevesinde hareket eder. Müşteriler, veri yerleşimi tercihlerini bildirebilir.
6. TEKNİK VE İDARİ GÜVENLİK TEDBİRLERİ
- Şifreleme: Aktarımda TLS 1.2/1.3, depolamada AES-256.
- Erişim Kontrolü: RBAC, Least Privilege, MFA, güçlü parola politikaları.
- Ağ Güvenliği: Güvenlik duvarları, WAF, düzenli zafiyet taramaları, IDS/IPS.
- Sızma Testleri: Periyodik penetrasyon testleri.
- Anonimleştirme: Veri girişinde plaka ve yüz maskeleme.
- İdari: Gizlilik taahhütnameleri, KVKK eğitimleri, olay müdahale prosedürleri.
7. VERİ SAKLAMA SÜRELERİ VE İMHA
- İşlem Verileri: Sözleşme süresince ve genel zamanaşımı (10 yıl) boyunca saklanır.
- Anonim Eğitim Verileri: Süresiz olarak saklanabilir.
- Loglar: Yasal yükümlülükler dikkate alınarak saklanır.
Saklama süresi dolan veriler silinir, yok edilir veya geri döndürülemez şekilde anonimleştirilir.
8. İLGİLİ KİŞİ HAKLARI VE BAŞVURU
KVKK m.11 uyarınca ilgili kişiler; bilgi talep etme, düzeltme, silme, itiraz etme ve zararın giderilmesini talep etme haklarına sahiptir. Başvurular [email protected] adresine iletilebilir.
9. OTOMATİK KARAR VERME VE “HUMAN-IN-THE-LOOP”
Archmir Hizmetleri karar destek sistemleridir. Çıktılar nihai ve bağlayıcı değildir; son karar insan operatöre aittir. Güven skoru eşikleri kullanılması tavsiye edilir.
10. ÇEREZLER
Kullanıcı deneyimi ve güvenlik için çerezler kullanılabilir. Detaylar Çerez Politikası ile duyurulacaktır.
11. POLİTİKANIN GÜNCELLENMESİ
Archmir politikayı güncelleyebilir. Güncel versiyon her zaman web sitesinde yayınlanır.
12. İLETİŞİM
Archmir Teknoloji A.Ş.
E-posta: [email protected]
Web: https://archmir.com
13. YASAL UYARI
Bu Politika bilgilendirme amaçlıdır; tam uyum için bağımsız hukuk danışmanlığı tavsiye edilir.
Yürürlük Tarihi: 09 Aralık 2025 / Versiyon: 2.0