Gizlilik Politikası ve KVKK Aydınlatma Metni
Son Güncelleme: 29 Mayıs 2026
1. Veri Sorumlusu
Hermex uygulamasının veri sorumlusu Hermex Tarım Teknolojileri A.Ş.‘dir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında veri sorumlusu olarak, kişisel verilerinizin güvenliği ve hukuka uygun şekilde işlenmesi konusunda azami özeni göstermekteyiz.
2. İşlenen Kişisel Veriler ve Kategorileri
Hermex platformunu kullanımınız sırasında aşağıdaki kişisel veri kategorileri işlenmektedir:
2.1. Kimlik ve İletişim Verileri
- Telefon numarası (kimlik doğrulama ve hesap güvenliği için)
- Ad ve soyad (profil görüntüleme, topluluk özellikleri)
- E-posta adresi (isteğe bağlı)
- Arkadaşlık kodu (HMX-XXXX formatında, sosyal özellikler için)
2.2. Konum ve Tarımsal Veriler
- Tarla sınır koordinatları (GPS lat/lng poligon köşe noktaları, en fazla 20 nokta)
- Tarla merkez koordinatı (hava durumu ve analiz hizmetleri için)
- Tarla alanı (metrekare cinsinden)
- Şehir ve ilçe bilgisi (bölgesel sohbet odaları ve hava durumu için)
- Mahsul türü ve ekim tarihi
- Sulama tipi, su kaynağı ve sulama sıklığı bilgileri
- Toprak sorunu işaretleri ve profil soru cevapları
2.3. Sağlık Verileri (Özel Nitelikli Kişisel Veri)
- Bitki hastalık analizi sonuçları (hastalık adı, şiddet, güven skoru)
- Hastalık fotoğrafları (çektiğiniz bitki fotoğrafları, max 10MB)
Not: Sağlık verileri KVKK m.6 kapsamında özel nitelikli kişisel veri olarak değerlendirilir ve yalnızca açık rızanız ile işlenir. İşleme için en üst düzey teknik ve idari tedbirler uygulanmaktadır.
2.4. Finansal Veriler
- Tarımsal gelir ve gider kayıtları
- İşlem kategorileri ve notlar
- Tarla bazlı maliyet takibi
2.5. Sosyal ve İletişim Verileri
- Sohbet odası mesajları (grup ve özel mesajlar)
- Arkadaşlık istekleri ve durumları
- Engelleme kayıtları
- Oda üyelikleri ve rolleri
- Oda katılma istekleri ve yanıtları
2.6. Teknik Veriler
- IP adresi (güvenlik ve rate limiting için)
- FCM (Firebase Cloud Messaging) push bildirim token'ı
- Cihaz bilgileri (push bildirim hedefleme için)
- JWT access ve refresh token'ları
- Uygulama kullanım istatistikleri (anonimleştirilmiş)
2.7. Analiz ve Uyarı Verileri
- AI analiz sonuçları (hastalık riski, sulama önerisi, hasat tahmini)
- Hava durumu ve iklim verileri (Open-Meteo, NASA POWER proxy'si üzerinden)
- Toprak verileri (SoilGrids proxy'si üzerinden)
- NDVI ve spektral indeksler (Sentinel Hub proxy'si üzerinden)
- Uyarı ve alert kayıtları
3. Veri Toplama Yöntemleri ve Hukuki Sebepler
| Veri Kategorisi | Toplama Yöntemi | Hukuki Sebep |
|---|---|---|
| Kimlik/İletişim | Kullanıcı girişi (telefon, profil) | KVKK m.5/2-c (Sözleşme ifası) |
| Konum/Tarımsal | Manuel giriş + cihaz GPS izni | KVKK m.5/2-c (Sözleşme ifası) |
| Sağlık (hastalık) | Kullanıcı fotoğraf yüklemesi | KVKK m.5/2-a (Açık rıza) |
| Finansal | Kullanıcı girişi | KVKK m.5/2-c (Sözleşme ifası) |
| Sosyal/İletişim | Platform kullanımı sırasında otomatik | KVKK m.5/2-c (Sözleşme ifası) |
| Teknik | Otomatik (HTTP istekleri, cihaz) | KVKK m.5/2-c (Sözleşme ifası) + m.5/2-f (Meşru menfaat) |
| Analiz/Uyarı | Harici API proxy'si üzerinden otomatik | KVKK m.5/2-c (Sözleşme ifası) |
4. Veri İşleme Amaçları
Kişisel verileriniz aşağıdaki amaçlarla işlenmektedir:
- Hesap oluşturma ve yönetimi: Telefon numarası ile kimlik doğrulama, JWT tabanlı oturum yönetimi, hesap güvenliği.
- Tarımsal alan yönetimi ve izleme: Tarla tanımlama, alan hesaplama, konum bazlı hava durumu ve analiz hizmetleri.
- AI destekli bitki sağlığı analizi: 10 epidemiyolojik hastalık modeli, 4 zararlı modeli, toprak ve iklim verileriyle entegre analiz.
- Hava durumu tahmini ve tarımsal uyarılar: Don riski, ısı stresi, sulama, hastalık ve rüzgar uyarıları.
- Sulama, gübreleme ve hasat optimizasyonu: FAO-56 bazlı ET0 hesaplaması, Kc değerleri, GDD hesaplaması.
- Çiftçi-to-çiftçi iletişim: Bölgesel sohbet odaları, özel mesajlaşma, arkadaşlık sistemi.
- Bildirim ve alarm sistemi: Push bildirimler (HIGH/CRITICAL uyarılar), realtime sohbet bildirimleri.
- Finansal takip ve raporlama: Gelir-gider kaydı, kârlılık analizi, PDF rapor oluşturma.
- Hizmet kalitesi iyileştirme: Hata izleme (Sentry), performans analizi, kullanım istatistikleri (anonimleştirilmiş).
- Güvenlik ve dolandırıcılık önleme: Rate limiting, brute-force koruması, audit log kayıtları.
- Yasal yükümlülüklerin yerine getirilmesi: Vergi mevzuatına uygun finans kayıt saklama, yasal taleplere yanıt.
5. Üçüncü Taraflarla Paylaşım
Kişisel verileriniz, hizmet sağlayıcılarımızla yalnızca hizmetin gerektirdiği ölçüde ve sözleşmesel güvenceler altında paylaşılmaktadır. Verileriniz asla pazarlama amacıyla üçüncü taraflarla paylaşılmaz.
| Hizmet Sağlayıcı | Paylaşılan Veri | Amaç |
|---|---|---|
| Aiven (Finlandiya/Almanya) | Tüm sistem verileri | PostgreSQL ve Redis/Valkey barındırma |
| Google Cloud (ABD) | Analiz metinleri (koordinatsız, anonimleştirilmiş) | Google Generative Language API (Gemma) ile AI analiz özeti |
| Twilio (ABD) | Telefon numarası | SMS OTP doğrulama kodu gönderimi |
| Kindwise (Slovenya) | Bitki hastalık fotoğrafı, mahsul türü | Fotoğraf tabanlı bitki hastalığı analizi |
| Sentinel Hub (Avusturya) | Tarla koordinatları (bounding box) | Sentinel-2 uydu NDVI ve spektral indeks verileri |
| Firebase / Google (ABD) | FCM token, cihaz bilgisi (opsiyonel) | Push bildirim gönderimi, çökme raporlama (opsiyonel) |
| Sentry (ABD) | Hata logları, stack trace, kullanıcı ID (anonim) | Uygulama stabilitesi ve hata izleme |
| Open-Meteo (İsviçre) | Tarla koordinatları | Hava durumu tahmini (ücretsiz, backend proxy üzerinden) |
Önemli: Open-Meteo, NASA POWER, SoilGrids, OpenTopoData ve OpenStreetMap gibi ücretsiz kamu veri kaynaklarına yönelik istekler backend sunucumuz üzerinden proxy'lenir. Cihazınızdan doğrudan bu servislere istek gönderilmez.
6. Yurt Dışına Veri Aktarımı
KVKK m.9 uyarınca, kişisel verileriniz yurt dışına aktarılmadan önce gerekli güvenceler sağlanmaktadır. Aşağıdaki tablo yurt dışı aktarımlarını özetlemektedir:
| Alıcı Ülke | Hizmet Sağlayıcı | Güvence Mekanizması |
|---|---|---|
| Finlandiya / Almanya (AB) | Aiven | AB üyesi ülke — yeterli koruma kararı (KVKK m.9/1) |
| Avusturya (AB) | Sentinel Hub (Copernicus) | AB üyesi ülke — yeterli koruma kararı (KVKK m.9/1) |
| Slovenya (AB) | Kindwise | AB üyesi ülke — yeterli koruma kararı (KVKK m.9/1) |
| ABD | Google Cloud, Twilio, Sentry, Firebase | KVKK Kurulu tarafından onaylanmış Standart Sözleşme Maddeleri (SCCs) ve açık rıza |
ABD'ye yapılan aktarımlarda, KVKK Kurulu'nun 10 Temmuz 2024 tarihli kararı uyarınca onaylanmış Standart Sözleşme Maddeleri (SCCs) kullanılmakta ve aktarım Kurula 5 iş günü içinde bildirilmektedir.
7. Veri Saklama Süreleri
Kişisel verileriniz aşağıdaki süreler boyunca saklanmaktadır:
| Veri Türü | Saklama Süresi | Gerekçe |
|---|---|---|
| Hesap verileri (telefon, profil) | Hesap kapatılana kadar + 3 yıl | Sözleşme yükümlülüğü + yasal saklama |
| Tarla verileri ve koordinatları | Hesap kapatılana kadar + 1 yıl | Sözleşme yükümlülüğü |
| Analiz sonuçları | 2 yıl | Hizmet kalitesi ve trend analizi |
| Finansal kayıtlar | 10 yıl | Vergi Usul Kanunu ve ilgili mevzuat |
| Hastalık fotoğrafları ve analizleri | Hesap kapatılana kadar | Sözleşme yükümlülüğü (kullanıcı talebi üzerine silinir) |
| Sohbet mesajları | Hesap kapatılana kadar | Sözleşme yükümlülüğü |
| Log ve audit kayıtları | 6 ay | Güvenlik ve olay müdahale |
| OTP kodları | En fazla 15 dakika | İşlem güvenliği |
| Redis cache verileri | 30 dk — 7 gün (veri türüne göre) | Performans optimizasyonu |
| Bildirim geçmişi | 90 gün | Hizmet kalitesi |
Saklama süresi dolan veriler silinir, yok edilir veya anonimleştirilir. Anonimleştirilmiş veriler istatistiksel amaçlarla kullanılabilir.
8. Veri Güvenliği Önlemleri
8.1. Teknik Tedbirler
- TLS 1.3: Tüm veri iletişimi uçtan uca şifrelenmiş olarak gerçekleşir.
- AES-256-GCM: Telefon numarası, isim, e-posta ve FCM token'ları deterministik/rastgele şifreleme ile PostgreSQL'de saklanır.
- SQLCipher: Mobil cihazdaki yerel veritabanı 256-bit şifreleme ile korunur; şifreleme anahtarı FlutterSecureStorage'da tutulur.
- bcrypt: OTP kodları ve refresh token hash'leri bcrypt ile saklanır.
- JWT HS256: Access token 15 dakika, refresh token 30 gün geçerlilik süresine sahiptir; refresh token rotasyonu uygulanır.
- Rate Limiting: OTP gönderimi (telefon başına 3/15dk, IP başına 5/saat), brute-force koruması (3 deneme/30dk).
- Helmet ve CORS: API güvenlik başlıkları ve cross-origin kısıtlamaları.
- Input Validasyonu: Tüm kullanıcı girişleri class-validator ile doğrulanır ve sanitize edilir.
- Path Traversal Koruması: Dosya erişimlerinde normalize ve prefix kontrolü.
- SSRF Savunması: Harici URL çağrılarında protokol kontrolü, private IP reddi, DNS validasyonu, redirect limiti (max 3).
8.2. İdari Tedbirler
- Erişim kontrol matrisi (sadece yetkili personel veritabanına erişebilir)
- Personel gizlilik taahhütnamesi
- Düzenli güvenlik denetimleri ve penetrasyon testleri
- Veri ihlali müdahale ve bildirim planı (72 saat içinde KVKK'ya bildirim)
- Yıllık personel KVKK ve veri güvenliği eğitimi
9. Veri Sahibi Hakları (KVKK m.11)
KVKK m.11 uyarınca aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme — Veri kayıt sistemimizde verilerinizin bulunup bulunmadığını talep edebilirsiniz.
- İşlenmişse bilgi talep etme — Hangi verilerinizin, ne amaçla, hangi yöntemle işlendiğini öğrenebilirsiniz.
- İşleme amacını ve amaca uygunluğunu öğrenme — Verilerinizin kullanım amaçlarını ve bu amaçlara uygunluğunu denetleyebilirsiniz.
- Yurt içi/yurt dışı aktarım alıcılarını bilme — Verilerinizin kimlerle paylaşıldığını öğrenebilirsiniz.
- Eksik/yanlış verilerin düzeltilmesini isteme — Profil bilgilerinizdeki hataları düzeltebilirsiniz.
- Silme veya yok edilmesini isteme (“unutulma hakkı”) — Hukuki sebep kalktığında verilerinizin silinmesini talep edebilirsiniz.
- Aktarım bildirimi — Düzeltme veya silme işleminin üçüncü taraflara bildirilmesini isteyebilirsiniz.
- İşlemeye itiraz etme — Meşru menfaat temelindeki işlemelere itiraz edebilirsiniz.
- Zararın giderilmesini talep etme — Kanuna aykırı işlemeden doğan zararınızın tazmin edilmesini isteyebilirsiniz.
Haklarınızı Nasıl Kullanırsınız?
Haklarınızı kullanmak için aşağıdaki yöntemlerden birini tercih edebilirsiniz:
- E-posta: kvkk@hermextarim.com
- Uygulama içi: Profil > Gizlilik Ayarları
- Yazılı dilekçe: Kayıtlı elektronik posta (KEP) veya noter kanalıyla
Başvurunuz 30 gün içinde yanıtlanacaktır. Talebinizin reddedilmesi durumunda gerekçeli yanıt alırsınız ve 30 gün içinde KVKK Kurulu'na şikayet hakkınız saklıdır.
10. Çerez Politikası
Web sitemizde ve mobil uygulamamızda çerezler ve benzeri teknolojiler kullanılmaktadır. KVKK Kurul Kararı 2022/1358 uyarınca çerez kullanımına ilişkin bilgilendirme aşağıdadır:
10.1. Zorunlu Çerezler
Uygulamanın temel işlevlerini yerine getirmesi için gerekli çerezlerdir. Bu çerezler devre dışı bırakılamaz. Örneğin: oturum yönetimi, güvenlik token'ları, CSRF koruması.
10.2. Analitik Çerezler
Uygulama performansını ve kullanım istatistiklerini anlamak için anonimleştirilmiş veri toplayan çerezlerdir. Bu çerezler için açık rızanız gerekir. Google Analytics ve Sentry kullanılabilir.
10.3. Çerez Yönetimi
Tarayıcı ayarlarınızdan çerezleri yönetebilir, silebilir veya çerez kullanımını tamamen devre dışı bırakabilirsiniz. Mobil uygulamada çerez ayarları uygulama içi Gizlilik Ayarları menüsünden yönetilebilir.
11. Açık Rıza ve Granüler İzinler
KVKK Kurul Kararı 2026/347 uyarınca, aydınlatma metni ile açık rıza metni ayrıdır. Aşağıdaki işlemler için granüler ve isteğe bağlı açık rızalar alınmaktadır:
Pazarlama İletişimi
E-posta, SMS ve push bildirim kanalları üzerinden kampanya, indirim ve yeni özellikler hakkında ticari iletişim.
Hassas Konum Bilgisi
Tarla yönetimi ve hava durumu analizleri için GPS konum verisinin işlenmesi. (Konum izni vermezseniz manuel koordinat girişi yapabilirsiniz.)
Kişiselleştirilmiş İçerik
İlgi alanlarınıza ve kullanım alışkanlıklarınıza göre kişiselleştirilmiş içerik gösterilmesi.
Yurt Dışı Veri Aktarımı
Kişisel verilerinizin ABD ve diğer üçüncü ülkelerdeki hizmet sağlayıcılara aktarılması.
Anonim Araştırma Verileri
Anonimleştirilmiş verilerinizin tarımsal araştırma ve istatistik amacıyla kullanılması.
Bu rızalar isteğe bağlıdır; vermemeniz durumunda uygulamanın temel işlevlerini kullanmaya devam edebilirsiniz. Rızalarınızı istediğiniz zaman uygulama içi Gizlilik Ayarları'ndan veya kvkk@hermextarim.com adresinden geri çekebilirsiniz.
12. Çocukların Gizliliği
Hermex, 18 yaş altı kullanıcıların platformu veli gözetiminde kullanmasını önerir. 13 yaş altı çocukların bilerek kişisel verisini toplamamaktayız. 13 yaş altı bir çocuğun verisinin toplandığını fark edersek, bu verileri derhal sileriz.
13. Veri İhlali Bildirimi
Kişisel verilerinizin güvenliğini ihlal eden bir olay meydana gelmesi durumunda, KVKK m.12/5 uyarınca olayı öğrenmemizden itibaren en geç 72 saat içinde KVKK Kurulu'na bildirimde bulunulacaktır. Yüksek risk oluşturan ihlallerde, ilgili kişilere makul sürede bireysel bildirim yapılacaktır.
14. Politika Değişiklikleri
Bu Gizlilik Politikası, KVKK ve ilgili mevzuat hükümlerindeki değişiklikler doğrultusunda güncellenebilir. Önemli değişikliklerde, uygulama içi bildirim ve kayıtlı e-posta adresinize bilgilendirme yapılacaktır. Politikanın güncel versiyonu her zaman web sitemizde ve uygulamamızda yayınlanmaktadır. Son güncelleme tarihi sayfanın başında belirtilmektedir.
15. İletişim
Bu Gizlilik Politikası ve kişisel verilerinizin işlenmesine ilişkin tüm sorularınız için bize ulaşabilirsiniz:
Bu politika bilgilendirme amaçlıdır ve hukuki danışmanlık yerine geçmez. Özellikle sağlık verisi işleme, AI önerilerinin hukuki sorumluluğu ve yurt dışı veri aktarımı konularında uzman görüşü önerilmektedir.