🐿️ KVKK Aydınlatma Metni
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) Madde 10 kapsamında aydınlatma yükümlülüğü gereği hazırlanmıştır.
⚠ 1.9.1 değişiklik: Anonim Engelleme Paylaşımı opt-in toggle ve 3+ cihaz topluluk eşiği özelliği tamamen kaldırıldı (manipülasyon yüzeyi). Sıradan son kullanıcı için artık veri toplama/işleme yoktur. Aşağıdaki metnin (A)/(B) ayrımı, eşik mekanizması, "Anonim Engelleme Paylaşımı kayıtları" bölümleri 1.9.1 öncesi sürümlere aittir; tam yenilenmiş metin sonraki sürümde yayınlanacaktır.
1. Veri Sorumlusu
Orvixa Bilişim Teknoloji Ticaret Ltd. Şti.
MERSİS: 0648177473300001
İstanbul / Türkiye
Bildirim ve başvurular için: morphaven@outlook.com
2. İşlenen Kişisel Veriler
Arayamaz iki katmanda çalışır:
(A) Cihazda kalan veriler — sunucuya gitmez:
- Engelleme kuralları (manuel girdiğiniz numaralar, kategoriler)
- Engellenmiş arama geçmişi (BlockedCallEntity)
- Rehber okuma izni varsa: yerel rehber bilgileri (CallScreening sırasında "tanınan kişi" tespiti için)
- Ayarlar ve tercihler (DataStore)
(B) Firma doğrulama yapan kullanıcılar için:
- İşletme adı (firma kaydında) veya ad/soyad (bireysel itirazda)
- Vergi numarası — yalnız tüzel kişi (firma) kayıtlarında. Bireysel itirazda T.C. kimlik numarası talep edilmez; SMS doğrulama numara sahipliğini kanıtlar.
- KEP adresi (opsiyonel)
- İletişim e-postası
- Doğrulanmış telefon numarası (NetGSM OTP ile); bir firma birden fazla numarayı doğrulayabilir.
- İşlem geçmişi ve denetim kayıtları (Audit Log)
- SMS taciz/spam şikayet bildirim verileri (istek IP adresi, şikayet zamanı ve ilişkili SMS bilgileri)
3. Verilerin İşlenme Amaçları
- Cihaz içinde spam çağrıları engellemek (KVKK Madde 5/2-f: meşru menfaat)
- Anonim Engelleme Paylaşımı ile dolandırıcı numaralara karşı topluluk koruması sağlamak (KVKK Madde 5/1: açık rıza — opt-in toggle, varsayılan kapalı)
- Bot/sahte oy saldırılarını tespit etmek (KVKK Madde 5/2-f: meşru menfaat)
- Firma doğrulama hizmetini sunmak (KVKK Madde 5/2-c: sözleşmenin ifası)
- Firma işlemleri ve admin aksiyonlarının güvenliğini ve şeffaflığını sağlamak amacıyla işlem geçmişi (Audit Log) tutulması (KVKK Madde 5/2-f: meşru menfaat)
- SMS tacizini, SMS bombing (kod bombardımanı) saldırılarını engellemek ve rate limit yönetimiyle sistem güvenliğini sağlamak amacıyla spam şikayet takibi (KVKK Madde 5/2-f: meşru menfaat)
- Yasal yükümlülükleri yerine getirmek (KVKK Madde 5/2-a)
4. Hukuki Sebepler
| Veri | Hukuki Sebep (KVKK Madde 5) |
| Cihaz içi engelleme kuralları | 5/2-f: Meşru menfaat (kullanıcı kendi cihazı) |
| Anonim Engelleme Paylaşımı kaydı | 5/1: Açık rıza (opt-in zorunlu) |
| Bot tespiti için cihaz hash'i | 5/2-f: Meşru menfaat (sistem güvenliği) |
| Firma doğrulama verileri | 5/2-c: Sözleşmenin ifası |
| İşlem geçmişi ve denetim kayıtları (Audit Log) | 5/2-f: Meşru menfaat (güvenlik ve şeffaflık) |
| Spam bildirim verileri (IP vb.) | 5/2-f: Meşru menfaat (sistem güvenliği ve saldırı önleme) |
5. Verilerin Saklama Süresi
- Cihaz içi veriler: kullanıcı sildikçe veya uygulama kaldırılınca yok olur.
- Anonim Engelleme Paylaşımı kayıtları: cihaz hash'i anonim tutulur (kullanıcıyla ilişkilendirilemez, geri çevrilemez).
- Firma doğrulama: kullanıcı silinceye kadar; talep edildiğinde 30 gün içinde silinir.
- OTP kodları: 10 dakika sonra Redis'ten otomatik silinir.
- İşlem geçmişi ve denetim kayıtları (Audit Log): Güvenlik ve denetim amacıyla işlem tarihinden itibaren 180 gün süreyle saklanır ve otomatik silinir.
- SMS taciz şikayet kayıtları (Spam Reports): IP adresi ve şikayet bilgileri, SMS tacizini önlemek ve rate limit yönetimi sağlamak amacıyla 180 gün saklanır ve otomatik silinir.
- Backend logları: 30 gün journalctl rotation.
6. Üçüncü Kişilere Aktarım
- NetGSM (Türkiye): SMS doğrulama kodlarının iletilmesi için — sadece telefon numarası + kod metni.
- iyzico (Türkiye): Firma abonelik ödemelerinin işlenmesi için — sadece ödeme bilgisi (kart bilgisi sunucumuza gelmez).
- Google (Yurt Dışı): Play Integrity API ile bot doğrulama — anonim cihaz attestation token. Kullanıcı kimliği gönderilmez.
- Anthropic (Yurt Dışı): Yapay zeka ile firma doğrulama çapraz kontrolü (AI review) yapılması amacıyla, sadece işletmeye ait kamuya açık bilgiler (firma adı, vergi numarası ve telefon numarası) iletilir. Kişisel veriler aktarılmamaktadır.
- Antares (Türkiye, Plesk): Backend sunucu barındırma — kayıtlı veriler veri merkezinde.
Yurt dışı aktarım sadece Google Play Integrity ile (anonim hash'li veri) ve Anthropic ile (sadece kamuya açık ticari işletme bilgileri) gerçekleşir; kişisel veri içermez.
7. KVKK Madde 11 — Haklarınız
Aşağıdaki haklarınızı kullanmak için morphaven@outlook.com adresine yazabilirsiniz:
- Kişisel verinizin işlenip işlenmediğini öğrenme
- İşlenen veriniz hakkında bilgi talep etme
- İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde veya yurt dışında verinizin aktarıldığı üçüncü kişileri öğrenme
- Eksik veya yanlış işlenmişse düzeltilmesini isteme
- KVKK Madde 7 kapsamında silinmesini veya yok edilmesini isteme
- Otomatik sistemler aracılığıyla analiz edilmesi sonucunda ortaya çıkan sonuçlara itiraz etme
- Verilerin kanuna aykırı işlenmesi sebebiyle zarara uğramışsanız zararın giderilmesini talep etme
Başvurularınız 30 gün içinde ücretsiz olarak yanıtlanır (KVKK Madde 13/2).
Hızlı silme — Anonim Engelleme Paylaşımı kayıtları: Uygulamada Ayarlar → Gizlilik → "Geçmiş Paylaşımlarımı Sunucudan Sil" düğmesi cihazınıza bağlı tüm anonim engelleme kayıtlarını e-posta beklemeden anında siler. Etkilenen numaraların topluluk sayacı yeniden hesaplanır.
8. Otomatik Karar Alma
Sistem otomatik olarak:
- Aynı cihazda 3+ farklı hesap görüldüğünde cihazı "flag" olarak işaretler — bu admin manuel inceleme kuyruğuna girer, kayıtlar otomatik silinmez.
- 3+ farklı cihaz aynı numarayı engellediğinde numara iOS Call Directory için "spam" olarak işaretlenir — bu istatistiksel bir görünürlük eşiğidir, kullanıcı hakkında karar alınmaz.
Otomatik kararlar sonucunda mağdur olduğunu düşünen kullanıcılar morphaven@outlook.com ile iletişime geçebilir veya firma portalı üzerinden itiraz edebilir.