Gizlilik politikası.
WAM Agents gizlilik politikasının uluslararası sürümü — Gürcistan tüzel kişiliğinin verilerinizi GDPR ve KVKK kapsamında nasıl işlediği, DeepSeek varsayılan model aktarımı dahil.
WAM Agents — Gizlilik Politikası
Bu, WAM Agents Gizlilik Politikası’nın uluslararası sürümüdür; Creem ödeme sayfası üzerinden abone olan Kullanıcılar için geçerlidir. Rus tüzel kişiliği üzerinden abone olan Kullanıcılar ayrı bir Gizlilik Politikası’na tabidir.
Veri sorumlusu: IE Artem Polyanskiy, Gürcistan (Küçük İşletme). Vergi No (s/n): 305603825. İletişim: support@magnets.tg.
Yürürlük tarihi: 16 Haziran 2026. Sürüm: 1.0 (uluslararası sürüm).
1. Biz kimiz
1.1. Bu Gizlilik Politikası, Gürcistan’da kayıtlı (Vergi No / s/n 305603825) IE Artem Polyanskiy’in (“Hizmet sağlayıcı”, “biz”), WAM Agents hizmetinin (“Hizmet”) kullanıcılarının kişisel verilerini nasıl işlediğini açıklar.
1.2. AB Genel Veri Koruma Tüzüğü (GDPR) açısından Hizmet sağlayıcı, aşağıda açıklanan kişisel verilerin veri sorumlusu olarak hareket eder. Türkiye’deki Kullanıcılar için Hizmet sağlayıcı, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) anlamında veri sorumlusu olarak hareket eder.
1.3. Bu Politika, Hizmet Şartları’nın ayrılmaz bir parçasını oluşturur ve orada belirlenen tanımları kullanır.
2. Kapsam
2.1. Bu Politika, Telegram (@wamagentsbot ve Kullanıcıya tahsis edilen kişisel bot) üzerinden erişilen WAM Agents Hizmetini ve Kullanıcının Aracısının çalıştığı yalıtılmış Konteyneri kapsar.
2.2. Kullanıcının bağlandığı üçüncü taraf hizmetlerini (örneğin Kullanıcının kendi LLM sağlayıcısı hesabı) kapsamaz; bunlar o üçüncü tarafların kendi gizlilik politikalarına tabidir.
3. İşlediğimiz kişisel veriler
3.1. Hesap ve kimlik verileri: Telegram kullanıcı tanımlayıcısı, Telegram kullanıcı adı, Telegram dil kodu ve tercih edilen arayüz dili.
3.2. İletişim verileri: Kullanıcının faturalandırma, makbuz veya destek için sağladığı e-posta adresi.
3.3. Kimlik bilgisi verileri: Bot Token (Telegram) ve kendi modeli planları için OAuth Token (ör. Anthropic); yalnızca Kullanıcı için Hizmeti işletmek amacıyla saklanır.
3.4. Ödeme verileri: Kullanıcının kart ve ödeme aracı verileri, Hizmet sağlayıcı tarafından değil, Kayıtlı Satıcı (Merchant of Record) sıfatıyla hareket eden Creem tarafından toplanır ve işlenir (Bölüm 7). Hizmet sağlayıcı, Creem’den yalnızca işlem tanımlayıcılarını, ödeme durumunu, Abonelik durumunu ve yinelenen tahsilat tanımlayıcılarını alır. Hizmet sağlayıcı, tam kart numaralarını veya CVV kodlarını işlemez veya saklamaz.
3.5. Rıza kayıtları: Kullanıcının Şartları kabul ettiği olgu, zaman ve metin sürümü ve — varsayılan model planı için — Kullanıcının Çin Halk Cumhuriyeti’ne sınır ötesi veri aktarımına açık rızasının olgu ve zamanı (Bölüm 6).
3.6. Hizmet işletim meta verileri: zaman damgaları, komut türleri ve teşhis ile kötüye kullanım tespiti için kısa komut önizlemeleri (100 karakterle sınırlı) dahil olmak üzere Konteyner başına etkinlik logları. Hizmet sağlayıcı, komutların ve yanıtların tam metinlerini saklamaz.
3.7. Konteyner telemetrisi: CPU, bellek ve disk kullanımı, erişilebilirlik metrikleri ve Docker yaşam döngüsü olayları.
3.8. Aracı yapılandırması: Konteynerin yazılabilir çalışma alanına yerleştirilen politikalar, beceriler ve diğer yapılandırma yapıtları.
3.9. Mesaj içeriği. Kullanıcının Aracıya gönderdiği mesajların içeriği, Hizmeti gerçekleştirmek için aktarım sırasında işlenir. Kullanıcı, kendi takdirine bağlı olarak, kendisine ait veya üçüncü taraflara ait kişisel verileri Aracıya yerleştirebilir; varsayılan modelde bu içerik, Bölüm 6’da açıklandığı şekilde DeepSeek’e iletilir.
4. İşlemediğimiz veriler
4.1. Hizmet sağlayıcı, geçici aktarım ve madde 3.6’daki kısa meta veriler dışında, Kullanıcının diyaloglarının tam gövdelerini saklamaz.
4.2. Kendi modeli planları için, tam diyalog, Kullanıcının Konteynerinden Kullanıcının kendi OAuth Token’ı kullanılarak LLM sağlayıcısının API’sine akar ve o sağlayıcının gizlilik ve saklama politikalarına tabidir. Bu aktarım için Kullanıcı bağımsız bir veri sorumlusu olarak hareket eder; Hizmet sağlayıcı içeriğini belirlemez.
4.3. Hizmet sağlayıcı, tam banka kartı numaralarını, CVV kodlarını veya diğer hassas kart hamili verilerini işlemez (madde 3.4).
5. Amaçlar ve hukuki dayanaklar
5.1. Hizmet sağlayıcı, kişisel verileri aşağıdaki amaçlar ve aşağıdaki hukuki dayanaklarla işler (GDPR 6. madde; KVKK 5. ve 9. maddeler):
(a) Hizmeti sağlamak — Konteyner ve Aracının kaydı, tahsisi ve işletilmesi. Hukuki dayanak: bir sözleşmenin ifası (GDPR 6(1)(b)).
(b) Faturalandırma, Abonelik yönetimi, otomatik yenileme ve iadeler — Kayıtlı Satıcı olarak Creem aracılığıyla yürütülür. Hukuki dayanak: bir sözleşmenin ifası (6(1)(b)) ve bir hukuki yükümlülüğe uyum (6(1)(c)).
(c) Destek, olay müdahalesi, güvenlik izleme ve kötüye kullanımın önlenmesi. Hukuki dayanak: Hizmet sağlayıcının güvenli bir hizmet işletmedeki meşru menfaatleri (6(1)(f)).
(d) Varsayılan model için ÇHC’ye sınır ötesi aktarım (Bölüm 6). Hukuki dayanak: Kullanıcının açık rızası (6(1)(a)); bu rıza ayrıca 49(1)(a) kapsamındaki istisnayı ve KVKK 9. madde kapsamındaki açık rızayı (açık rıza) oluşturur.
(e) Hizmet sağlayıcının tabi olduğu vergi, muhasebe ve diğer yasal yükümlülüklere uyum. Hukuki dayanak: hukuki yükümlülük (6(1)(c)).
(f) Toplu, kimliksizleştirilmiş biçimde Hizmet iyileştirmesi. Hukuki dayanak: meşru menfaatler (6(1)(f)).
5.2. İşleme rızaya dayandığında, Kullanıcı rızayı istediği zaman geri çekebilir (Bölüm 10); geri çekme, geri çekmeden önce gerçekleştirilen işlemenin hukuka uygunluğunu etkilemez.
6. Varsayılan model (DeepSeek) ve ÇHC’ye aktarım
6.1. Varsayılan akış. Kullanıcı kendi modelini eklemediği sürece, Aracının hesaplamaları, Hizmet sağlayıcının paylaşımlı teknik anahtarı üzerinden Hangzhou DeepSeek Artificial Intelligence Co., Ltd. (“DeepSeek”) API’sine karşı gerçekleştirilir. Bu akış, verileri DeepSeek’in Çin Halk Cumhuriyeti (ÇHC)‘deki sunucularına iletir; burada veriler ÇHC yasaları uyarınca işlenir ve saklanır.
6.2. Aktarılan veriler. DeepSeek’e şunlar aktarılır: Aracının sistem ve kullanıcı mesajlarının içeriği, modelin yanıtlarının içeriği, istek meta verileri (zaman damgaları, model tanımlayıcısı, token sayıları) ve Konteynerden giden bağlantının ağ meta verileri (Hizmet sağlayıcının Almanya’daki barındırma altyapısının IP adresi). Hizmet sağlayıcı, bu isteklere doğrudan tanımlayıcılar (Telegram tanımlayıcısı, ad, e-posta) yerleştirmez; ancak Kullanıcı, mesaj içeriğinin kendi takdirine bağlı olarak Aracıya yerleştirilen kişisel verileri içerebileceğini kabul eder.
6.3. Yeterlilik yok; aktarımın hukuki dayanağı. ÇHC, Avrupa Komisyonu’ndan yeterlilik kararı almamıştır ve oradaki koruma düzeyi AB/AEA ve Türk hukuku kapsamındakinden önemli ölçüde farklıdır. Bu nedenle aktarım, bu açıklama sunulduktan sonra varsayılan model planına abone olunurken olumlu bir eylemle verilen Kullanıcının açık rızasına dayanarak gerçekleşir (GDPR 49(1)(a); KVKK 9. madde). Bu rıza olmadan varsayılan akış sağlanamaz. Kullanıcı rızayı istediği zaman geri çekebilir (madde 6.7).
6.4. DeepSeek’in işlemesi ve saklaması. DeepSeek’in kendi Kullanım Koşulları ve Gizlilik Politikası uyarınca: veriler ÇHC’deki sunucularda saklanır; saklama süresi, sabit bir takvim sınırı olmaksızın “gerekli olduğu sürece” olarak belirtilir; ve DeepSeek’in koşulları, iletilen girdileri ve çıktıları hizmetlerini sağlamak ve geliştirmek için ve Açık Platform Koşulları uyarınca modellerini eğitmek için kullanmasına izin verir. Bu koşullar DeepSeek tarafından belirlenir ve Hizmet sağlayıcı tarafından değiştirilemez; Hizmet sağlayıcı ayrıca DeepSeek tarafındaki silme zamanlamasını da kontrol etmez.
6.5. Kullanıcının farkında olması gereken düzenleyici bağlam:
(a) İtalya — Ocak 2025’te İtalyan otoritesi (Garante), veri koruma kaygıları nedeniyle DeepSeek uygulamasının İtalya’da dağıtımına kısıtlamalar getirdi.
(b) Almanya — 2025’te Berlin veri koruma görevlisi, DeepSeek’in ÇHC’ye aktarımlara ilişkin güvenceleri açıklamasıyla ilgili bir talebi Apple ve Google’a iletti.
(c) AB soruşturmaları — DeepSeek’e ilişkin resmi işlemler Fransa (CNIL), İrlanda (DPC), Belçika (APD) ve Hollanda (AP) otoriteleri tarafından duyuruldu.
(d) DeepSeek öz kısıtlaması — 8 Nisan 2026 itibarıyla DeepSeek, Amerika Birleşik Devletleri’nden doğrudan erişime ağ kısıtlamaları uygular.
(e) Yaptırımlar — bu Politikanın yürürlük tarihi itibarıyla DeepSeek, OFAC SDN listesinde, BIS Entity List’te veya AB kısıtlayıcı önlemleri kapsamında değildir. Düzenleyici ortam değişebilir ve Hizmet sağlayıcı önemli değişiklikleri bildirir.
6.6. İki taraflı VİS yok. Yürürlük tarihi itibarıyla DeepSeek, standart bir veri işleme sözleşmesi yayımlamamaktadır; ilişki, DeepSeek’in güncel hâlleriyle Kullanım Koşulları ve Açık Platform Koşulları’na dayanır. İki taraflı bir veri işleme sözleşmesi (VİS) akdedilirse Hizmet sağlayıcı bu Politikayı ve Alt İşleyenler sayfasını güncelleyecektir.
6.7. Aktarımdan nasıl kaçınılır. Kullanıcı istediği zaman: (a) /claude komutu aracılığıyla kendi modelini ekleyerek trafiği kendi hesabı altında seçtiği sağlayıcıya (ör. ABD’deki Anthropic) yönlendirebilir; veya (b) madde 6.3’teki rızayı geri çekebilir — bu durumda varsayılan akış sona erer ve Kullanıcı ya bir kendi modeli planına geçer ya da İade ve İptal politikası uyarınca orantılı (pro-rata) iade ile Aboneliği iptal eder. Hizmet sağlayıcı, Kullanıcının varsayılan modelde çalışan bir Aracıya üçüncü tarafların kişisel verilerini veya özel nitelikli verileri yerleştirmemesini önerir.
7. Uluslararası aktarımlar ve alt işleyenler
7.1. Hizmet sağlayıcı, aşağıdaki işleyenleri ve alıcıları görevlendirir:
| Alıcı | Rol | Konum |
|---|---|---|
| Creem (Armitage Labs OÜ) | Kayıtlı Satıcı — ödeme işleme, fatura belgeleri, vergi tahsilatı ve ödemesi | Estonya (AB/AEA) |
| Hetzner Online GmbH | Konteynerlerin ve Aracı çalışma ortamının barındırılması | Almanya (AB/AEA) |
| Telegram FZ-LLC | Telegram Bot API aracılığıyla mesaj taşıma | BAE |
| Deepgram, Inc. | Ses, audio ve video mesajları için konuşmadan metne çevirme | ABD |
| Hangzhou DeepSeek Artificial Intelligence Co., Ltd. | Varsayılan model çıkarımı (Bölüm 6) | ÇHC |
| Anthropic PBC | Kullanıcının kendi OAuth Token’ı aracılığıyla kendi modeli (Claude) çıkarımı; Kullanıcı bu akış için bağımsız veri sorumlusudur | ABD |
7.2. Aktarım mekanizmaları. AB/AEA içindeki alıcılara (Creem, Hetzner) yapılan aktarımlar bir aktarım mekanizması gerektirmez. AB/AEA dışındaki alıcılar için: DeepSeek’e (ÇHC) aktarım, Kullanıcının açık rızasına dayanır (Bölüm 6); Telegram’a (BAE) ve Deepgram’a (ABD) aktarımlar, Kullanıcı tarafından talep edilen sözleşmenin ifası için gereklidir (GDPR 49(1)(b)) ve geçerli olduğu yerde uygun güvencelerle kapsanır. Türkiye’deki Kullanıcılar için yurt dışına aktarımlar, KVKK 9. madde uyarınca açık rıza esasına göre yapılır. Güncel alt işleyenler listesi Alt İşleyenler sayfasında yayımlanır.
8. Saklama
8.1. Hesap verileri ve Konteyner yapılandırması, Abonelik süresince saklanır.
8.2. İptalde (/cancel), Konteyner verileri Konteyner devre dışı bırakıldığında imha edilir.
8.3. Hesap silmede (/delete), Kullanıcıyla ilişkili tüm kayıtlar Hizmet sağlayıcının sistemlerinden kaldırılır; şunlar hariç: (a) geçerli Gürcistan yasası uyarınca saklanması zorunlu olan muhasebe ve vergi verileri; (b) güvenlik olaylarını soruşturmak için gereken sınırlı log kayıtları — en fazla 90 gün; ve (c) geri döndürülemez şekilde anonimleştirilmiş veriler.
8.4. Yedekler, en fazla 30 günlük bir döngüde rotasyona tabi tutulur.
8.5. DeepSeek tarafı. Varsayılan model kapsamında DeepSeek’e aktarılan verilerin saklanması ve silinmesi, DeepSeek’in Gizlilik Politikası tarafından belirlenir (madde 6.4) ve Hizmet sağlayıcı tarafından kontrol edilmez.
9. Güvenlik
9.1. Hizmet sağlayıcı, riskle orantılı teknik ve organizasyonel önlemler uygular; bunlar arasında: (a) Kullanıcı başına Konteyner yalıtımı (cap_drop: ALL, read_only: true, no-new-privileges: true, tmpfs bağlı ana dizin, root olmayan yürütme ile Linux namespace’leri); (b) yabancı altyapıda birim şifreleme (LUKS veya eşdeğeri); (c) en az ayrıcalık ilkesine göre erişim kontrolü; (d) taşıma şifrelemesi (TLS); (e) izleme, log rotasyonu ve olay müdahalesi; ve (f) yürütme katmanında kullanıcı tanımlayıcılarının takma adlaştırılması yer alır.
9.2. Bot Token ve OAuth Token gizli olarak ele alınır. Kullanıcı, herhangi bir şüpheli ihlalde bunları (BotFather veya LLM sağlayıcısı aracılığıyla) iptal etmekten sorumlu olmaya devam eder.
10. Haklarınız
10.1. Geçerli yasaya tabi olarak Kullanıcı şu haklara sahiptir: (a) kişisel verilerine erişim; (b) yanlış verileri düzeltme; (c) verileri silme (“unutulma hakkı”); (d) işlemeyi kısıtlama veya işlemeye itiraz etme; (e) veri taşınabilirliği; ve (f) rızayı — varsayılan model için ÇHC aktarımına verilen rıza dahil — istediği zaman geri çekme.
10.2. Kullanıcı, yalnızca otomatik araçlarla alınan, hukuki veya benzer şekilde önemli etkiler doğuran kararlara tabi değildir (Bölüm 11).
10.3. Talepler support@magnets.tg adresine veya @wamagentsbot aracılığıyla yapılır. Hizmet sağlayıcı, gereksiz gecikme olmaksızın ve her halükârda bir ay içinde yanıt verir; bu süre yasanın izin verdiği yerde uzatılabilir.
10.4. Şikâyetler. AB/AEA’daki bir Kullanıcı, yerel denetim makamına şikâyette bulunabilir. Türkiye’deki bir Kullanıcı, Kişisel Verileri Koruma Kurumu’na başvurabilir.
11. Otomatik karar verme
11.1. Hizmet sağlayıcı, Kullanıcının kişisel verilerini, insan müdahalesi olmaksızın hukuki veya benzer şekilde önemli etkiler doğuran otomatik kararlar almak için kullanmaz. Aracı eylemleri, Kullanıcının kontrolü altında gerçekleştirilir (Şartlar, Bölüm 7).
12. Çocuklar
12.1. Hizmet, 16 yaşın altındaki kişilere yönelik değildir. Hizmet sağlayıcı, 16 yaşın altındaki bir kişinin Hizmeti kullandığını öğrenirse, saklanması yasa gereği zorunlu olmadıkça ilgili kişisel veriler silinir.
13. Bu Politikadaki değişiklikler
13.1. Hizmet sağlayıcı bu Politikayı güncelleyebilir. Önemli değişikliklerin bildirimi, yürürlük tarihinden en az 30 gün önce @wamagentsbot aracılığıyla, e-posta yoluyla veya ürün içi duyuruyla yapılır (Şartlar, Bölüm 15).
14. İletişim
14.1. Veri sorumlusu: IE Artem Polyanskiy, Gürcistan (Küçük İşletme), Vergi No (s/n) 305603825. Veri koruma sorularınız için: support@magnets.tg.