UYAP Eklentisi Gizlilik Politikası

1. Hangi kişisel verilerinizi işliyoruz?

Lexara UYAP Chrome Eklentisi'ni kullandığınızda aşağıdaki kişisel verileriniz Lexara tarafından işlenir:

A. Avukat hesap bilgileri

• Ad, soyad
• E-posta adresi
• Telefon (opsiyonel)
• Baro kayıt numarası
• Şifre (yalnızca Argon2/bcrypt hash, ham metin saklanmaz)

B. Kullanım verisi

• Hangi tarihlerde Lexara'ya giriş yaptığınız
• UYAP dosyalarınızın esas/karar numarası ve mahkeme tipi (taraf isimleri saklanmaz)
• Hangi dilekçe taslaklarını ürettiğiniz

C. Müvekkil verisi (önemli)

Lexara müvekkil verisi SAKLAMAZ.UYAP'tan çektiğiniz evraklar (PDF/UDF) yalnızca kendi tarayıcınızın yerel deposunda (IndexedDB) durur. Lexara sunucularına gönderilmez.

F1 emsal öneri için: dosyanızın tarafları + mahkeme tipi + kısa konu bilgisi, anonimleştirme katmanından geçirildikten sonra (TC/IBAN/telefon/email/plaka ve kişi/kurum/yer isimleri token'lara çevrildikten sonra) DeepSeek AI API'sına gönderilir. Ham veri yurt dışına aktarılmaz.

2. Hangi amaçla işliyoruz?

• UYAP entegrasyonu ile hukuki içtihat arama (F1) ve dilekçe doldurma (F5) hizmeti
• Hesabınızın güvenliği (Passkey + hash chain audit log)
• Yasal yükümlülükler (KVKK m.7, VUK vergi mevzuatı)
• Hizmet kalitesi (hata raporu, performans metrikleri)

3. Hukuki dayanak

• KVKK m.5/2(c) — Sözleşmenin kurulması ve ifası
• KVKK m.5/2(e) — Hukuki yükümlülük
• KVKK m.5/2(f) — Meşru menfaat (sistem güvenliği, hata teşhisi)

4. Kime aktarıyoruz?

• Yurt içi: Hetzner Türkiye (sunucu, AB GDPR güvencesi), Resend (e-posta)
• Yurt dışı: DeepSeek AI (Çin) — yalnızca anonimleştirilmiş metin gönderilir. Bu nedenle KVKK m.28 anonim veri istisnası kapsamında, m.9 yurt dışı aktarımı uygulanmaz.
• Adli/idari makamlar (yasal talep durumunda)

5. Saklama süresi

• Aktif hesap: hesabınız aktif olduğu sürece
• Silme talebi sonrası: 30 gün grace period + hard delete
• Audit log: KVKK m.7 retention 7 yıl (hash chain ile bütünlüğü korunur, kullanıcı kimliği soft-anonymize)
• Vergi/mali kayıtlar: 5 yıl (VUK m.253)

6. Haklarınız (KVKK m.11)

Aşağıdaki haklarınızı kvkk@lexara.com.tr adresine yazabilir veya hesap ayarlarınızdan doğrudan kullanabilirsiniz:

• Erişim: hakkınızdaki tüm verileri JSON olarak indirme (GET /api/v1/dsr/me/data-export)
• Düzeltme: yanlış/eksik veriyi güncelleme
• Silme: hesabınız + tüm veri (DELETE /api/v1/dsr/me, 30 gün grace)
• Taşıma: standart formatta export, başka sisteme aktarma
• İtiraz: AI işleme itirazı — DeepSeek bypass, deterministic search kalır (POST /api/v1/dsr/me/ai-objection)

7. Veri güvenliği önlemleri

• TLS 1.3 (https://lexara.com.tr)
• Argon2/bcrypt şifre hash
• Hash chain audit log — tampering-resistant, KVKK denetçisi için bağımsız verify_chain.py doğrulama aracı
• Passkey (WebAuthn) ikinci faktör
• Anonimleştirme katmanı (regex + BERT NER) — yurt dışı gönderim öncesi
• HMAC bağlı extension installation (anti-tampering)
• Hetzner LUKS disk encryption
• Yıllık güvenlik denetimi (Lostar pentest)

8. Cookie ve takip

Lexara web sayfası yalnızca teknik (oturum) cookie kullanır. Üçüncü taraf izleme yoktur (Google Analytics, Facebook Pixel vs. yok).

Chrome Eklenti chrome.cookies API'sini kullanmaz— UYAP veya başka site cookie'lerine erişimi yoktur.

9. Veri Sorumlusu İletişim

• Veri Sorumlusu: Lexara — Batuhan Şenavcı
• E-posta: kvkk@lexara.com.tr
• Web: lexara.com.tr
• VERBİS:Muaf (KVKK Kurul Kararı 2018/87 — çalışan sayısı < 50, bilanço < ₺25M, özel nitelikli veri yok)

10. Güncellemeler

Bu metin yıllık ve/veya yasa/uygulamada önemli değişiklik durumunda güncellenir. Son sürüm her zaman bu adreste yayınlanır: lexara.com.tr/uyap-eklenti/gizlilik.