01. Biz kimiz
Gurulu (Gurulu Bilişim, İstanbul, Türkiye tarafından işletilir) Gurulu marka adı altında managed SaaS analitik, identity ve attribution platformu sunar. Bu Gizlilik Politikası, Gurulu pazarlama sitesi, dashboard uygulaması, yayınladığımız SDK'lar ve işlettiğimiz destek kanalları üzerinden topladığımız veriler için geçerlidir.
Ödeme yapan müşteriler adına işlediğimiz veriler (Müşteri event verisi) için Gurulu data processor olarak hareket eder — controller / processor ayrımı için Veri İşleme Ekine bakın.
02. Topladığımız veriler
Dört kategori veri topluyoruz:
1. Hesap verisi — workspace adı, owner e-posta, billing contact, sign-in için kullanıldığında OAuth identifier'ları (Google / GitHub).
2. Authentication verisi — magic link token'ları, session cookie'leri, API key metadata'sı (key değeri rest'te hash'lenir).
3. Müşteri event verisi — SDK'lar, ingest API, server-side kütüphaneler veya agent / CLI / MCP kanallarından gelen event'ler. Bu veri müşteri-sahipli; processor olarak tutarız.
4. Service telemetry — Gurulu'nun kendisini çalıştırmamıza yardım eden error report, performance metrik ve product analytics. Consent ile yakalanır, Müşteri event verisine asla bağlanmaz.
03. Veriyi nasıl kullanıyoruz
Topladığımız veriyi şunlar için kullanırız:
• Ödediğiniz hizmeti sunmak — gönderdiğiniz event'leri depolar, dönüştürür ve sorgularız.
• Destek sağlamak — ticket'larınıza cevap verir, sorunları debug eder, backup'tan veri restore ederiz.
• Güvenliği korumak — abuse'u tespit eder, kötü aktörleri throttle eder, admin aksiyonlarını loglar, incident response çalıştırırız.
• Yasal yükümlülükleri yerine getirmek — tax raporlama, audit history, izin verildiğinde notice ile lawful disclosure.
• Ürünü iyileştirmek — dashboard'un kendisinin aggregate, anonimleştirilmiş kullanımı.
Müşteri event verisini third-party AI modellerini eğitmek için asla kullanmıyoruz. Müşteri event verisini explicit opt-in olmadan tenant'lar arası kombine etmiyoruz. Veriyi asla satmıyoruz.
04. Yasal dayanaklar (GDPR Madde 6)
Kişisel veriyi şu yasal dayanaklar altında işliyoruz:
• Sözleşme — kaydolduğunuz hizmeti sunmak için.
• Meşru menfaat — hizmeti güvende tutmak, fraud ve abuse'u önlemek, platformu sürdürülebilir işletmek için.
• Rıza (consent) — pazarlama e-postaları, pazarlama sitesinde opsiyonel analytics ve açıkça soran her özellik için.
• Yasal yükümlülük — tax kayıtları, audit log, regülatör disclosure.
Consent'i istediğiniz zaman geri çekebilirsiniz. Geri çekme, geri çekme öncesinde yapılan işleme operasyonlarının hukukiliğini etkilemez.
05. Haklarınız (GDPR Madde 15–22 / KVKK Madde 11)
Aşağıdaki hakları istediğiniz zaman kullanabilirsiniz:
• Erişim — hakkınızda tuttuğumuz kişisel verinin bir kopyasını alın.
• Düzeltme — yanlış veya eksik veriyi düzeltin.
• Silme — silme talep edin (backup için 30 gün grace ve audit log entry'leri için 7 yıllık legal hold'a tabi).
• Taşınabilirlik — verinizi makine-okunabilir formatta alın. Export SLA: 7 gün.
• Kısıtlama — bir dispute çözülürken işlemeyi duraklatın.
• İtiraz — meşru menfaate dayalı işlemeye itiraz edin.
• Consent geri çekme — herhangi bir consent-bazlı işleme için.
• Şikayet — denetim makamınıza (Türkiye'de KVKK Kurumu, EU'da ulusal DPA'nız).
Bu hakları kullanmak için [email protected] adresine e-posta atın. 30 gün içinde cevap veririz.
06. Consent modeli (GCM v2 hizalı)
Gurulu 4-kategori bir consent modeliyle gelir, Google Consent Mode v2 ve IAB TCF ruhuyla hizalı:
• Necessary — hizmet sunumu, güvenlik, billing. Disable edilemez.
• Analytics — product analytics, behavioral event, attribution.
• Marketing — advertising signal, conversion API, retargeting.
• Functional + Personalization — tercihler, öneriler, A/B test.
Ingest ettiğimiz her event bir consent_state snapshot taşır. Downstream destination'lar (CAPI, ad platform'ları) dispatch anında consent ile gate'lenir, ingestion anında değil, böylece geri çekilen consent paylaşımı anında durdurur.
07. Veri saklama
Saklama plan-bazlı ve workspace başına yapılandırılabilir:
• Free — event 6 ay, session replay 90 gün, derived insight 30 gün.
• Custom — workspace başına yapılandırılabilir, arşiv workspace’leri için süresize kadar.
Backup’lar 35 gün saklanır. Audit log entry’leri yasal hold gereksinimlerini (tax, regülatör disclosure) karşılamak için 7 yıl saklanır.
08. Sub-processor'lar
İmzalı DPA'lar altında şu sub-processor'ları kullanıyoruz:
• Hetzner Online GmbH (DE) — compute, storage, network. Falkenstein primary, Helsinki failover.
• Resend (NL / US sub-processor) — transactional e-mail (magic link, password reset, billing receipt).
• Stripe (EU müşterileri için IE) — billing ve payment. Faz 2'den itibaren aktif.
• Amazon Web Services (Bedrock Nova Lite, eu-central-1) — sadece AI fallback. Payload transit öncesi pseudonymize edilir.
Public bir sub-processor listesi tutuyoruz ve Müşteri event verisi işleyen yeni bir sub-processor eklemeden 30 gün önce müşterileri bilgilendiriyoruz.
09. Uluslararası transferler
Müşteri event verisi default olarak EU'da kalır — Hetzner Falkenstein primary, Helsinki failover. Explicit opt-in olmadan Müşteri event verisini EU dışına transfer etmiyoruz.
Bedrock Nova Lite (AI fallback) için, payload transit öncesi in-region pseudonymize edilir ve eu-central-1'de işlenir. AWS-internal kontrol düzlemini kapsamak için AWS ile Standart Sözleşme Maddeleri (SCC) yürürlüktedir.
10. Çocuklar
Gurulu işletmeler için tasarlanmıştır ve 16 yaş altı çocuklara yönelik değildir. Çocuklardan bilerek kişisel veri toplamıyoruz. Bir çocuğun bize kişisel veri sağladığına inanıyorsanız, [email protected] adresine e-posta atın, sileceğiz.
11. Değişiklikler ve iletişim
Ürün geliştikçe bu Gizlilik Politikasını güncelleyebiliriz. Esaslı değişiklikler yürürlüğe girmeden en az 30 gün önce workspace owner'larına e-posta ile duyurulur. Bu sayfanın üstündeki 'Son güncelleme' tarihi en son revizyonu yansıtır.
Sorular, şikayetler veya hak talepleri: [email protected]. 30 gün içinde, genellikle 3 iş günü içinde cevap veririz.