KVKK Aydınlatma Metni

1. Veri Sorumlusu

Kişisel verileriniz, veri sorumlusu sıfatıyla [ŞİRKET TİCARİ UNVANI] (bundan sonra "Neyersin" olarak anılacaktır) tarafından aşağıda açıklanan kapsamda işlenmektedir.

2. İşlenen Kişisel Veri Kategorileri

Neyersin aşağıdaki kişisel veri kategorilerini işler:

• Kimlik & İletişim Verileri: ad, soyad, e-posta, telefon numarası, işletme unvanı
• Hesap Verileri: kullanıcı adı, şifre özeti (argon2id), rol (owner/manager/staff), oturum kimliği (JWT)
• İşletme Verileri: restoran adı, adres, şube bilgileri, menü içeriği, ürün fotoğrafları, çalışma saatleri
• Ödeme Verileri: abonelik seviyesi, fatura bilgileri ([ÖDEME SAĞLAYICI ADI] üzerinden işlenir, kredi kartı bilgisi Neyersin sunucularında tutulmaz)
• Kullanım & İstatistik Verileri: QR tarama olayları (cihaz tipi, dil, yönlendirme kaynağı), menü görüntüleme, anonim oturum kimliği
• Teknik Veriler: IP adresi, tarayıcı User-Agent bilgisi, hata günlükleri

3. Kişisel Verilerin İşlenme Amaçları

Yukarıdaki veriler aşağıdaki amaçlarla işlenir:

1. Neyersin hizmetinin sunulması (hesap oluşturma, QR menü yayını, istatistik raporları)
2. Abonelik ve fatura yönetimi
3. Hizmet kalitesinin iyileştirilmesi, hata tespiti ve çözümü
4. Yasal yükümlülüklerin yerine getirilmesi (Vergi Usul Kanunu, Türk Ticaret Kanunu, KVKK)
5. Güvenlik, kötüye kullanımın önlenmesi, dolandırıcılık tespiti
6. Açık rızanız varsa: pazarlama ve bilgilendirme iletişimi (ürün güncellemeleri, kampanyalar)

4. Kişisel Verilerin Aktarılması

Neyersin, kişisel verilerinizi yurt dışına aktarmaz. Tüm veriler Türkiye'de barındırılan altyapıda ([RADORE VEYA MUADİL TR VERİ MERKEZİ], İstanbul) saklanır.

Yalnızca aşağıdaki kategorilerde sınırlı aktarım yapılabilir:

• Barındırma sağlayıcısı (Türkiye'de kurulu): sunucu işletimi için zorunlu
• Ödeme hizmet sağlayıcısı ([ÖDEME SAĞLAYICI ADI]): yalnızca ödeme işlemleri için, BDDK denetimli
• Yetkili kamu kurumları: mevzuat gereği talep halinde (mahkeme kararı, savcılık talebi)

Verilerinizi reklam ağlarına, veri simsarlarına veya pazarlama amaçlı üçüncü taraflara satmıyor ve aktarmıyoruz.

5. Toplama Yöntemi ve Hukuki Sebep

Kişisel verileriniz aşağıdaki kanallardan toplanır:

• Web sitesi kayıt formu (/dashboard/register)
• Hesap yönetimi panelinden girilen işletme bilgileri
• QR menü tarama olaylarından otomatik toplanan teknik veriler
• E-posta ve iletişim formu üzerinden gönderilen bilgiler

İşlemenin hukuki sebepleri KVKK Madde 5 uyarınca:

• Sözleşmenin kurulması veya ifası (Md. 5/2-c): hizmetin sağlanması için zorunlu veriler
• Hukuki yükümlülük (Md. 5/2-ç): fatura, vergi kayıtları
• Meşru menfaat (Md. 5/2-f): güvenlik, kötüye kullanımın önlenmesi, anonim istatistik
• Açık rıza (Md. 5/1): pazarlama iletişimi ve isteğe bağlı çerezler

6. Saklama Süresi

• Hesap verileri: hesabın aktif olduğu süre boyunca, hesap silindikten sonra en fazla 2 yıl (sistem kurtarma + yasal uyum)
• Fatura ve ödeme kayıtları: Vergi Usul Kanunu uyarınca 10 yıl
• QR tarama istatistikleri: 24 ay (sonrasında anonim hale getirilir veya silinir)
• Sunucu günlükleri: 90 gün
• Pazarlama izni: izin geri çekilene kadar

7. Veri Güvenliği

Neyersin aşağıdaki teknik ve idari önlemleri uygular:

• Şifreleme: TLS 1.3 zorunlu, istirahatte veri şifrelemesi sunucu diskinde
• Parola depolama: argon2id ile hash'lenir; düz metin parola saklanmaz
• Rol bazlı erişim kontrolü (RBAC): owner / manager / staff seviyeleri
• Rate limiting & hesap kilitleme: 5 başarısız deneme sonrası geçici kilit
• Denetim kayıtları: kritik işlemler (ödeme, tenant ayarları) loglanır
• Altyapı: TR-hosted, KVKK uyumlu veri merkezi, düzenli yedekleme

8. İlgili Kişinin Hakları (KVKK Madde 11)

Veri sahibi olarak KVKK Md. 11 uyarınca aşağıdaki haklara sahipsiniz:

1. Kişisel verinizin işlenip işlenmediğini öğrenme
2. İşlenmişse buna ilişkin bilgi talep etme
3. İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
4. Yurt içinde ve yurt dışında aktarıldığı üçüncü kişileri bilme
5. Eksik veya yanlış işlenmişse düzeltilmesini isteme
6. KVKK ve ilgili mevzuat çerçevesinde silinmesini veya yok edilmesini isteme
7. Düzeltme, silme veya yok etme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
8. İşlenen verilerin münhasıran otomatik sistemlerle analiz edilmesi sonucu aleyhinize bir sonuç doğmasına itiraz etme
9. Kanuna aykırı işleme sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme
10. Açık rızayı her zaman geri çekme
11. Taşınabilir formatta veri alımını talep etme (veri taşınabilirliği)

9. Başvuru Yöntemi

KVKK Md. 11 kapsamındaki haklarınızı kullanmak için bize şu kanallardan ulaşabilirsiniz:

• E-posta: kvkk@neyersin.tr (kimliğinizi doğrulayan bilgiler ile)
• Posta: Yukarıdaki tebligat adresine ıslak imzalı dilekçe
• KEP: [KAYITLI ELEKTRONİK POSTA ADRESİ]

Başvurular en geç 30 gün içinde ücretsiz olarak yanıtlanır (işlemin ayrıca maliyet gerektirmesi halinde Kurulun belirlediği tarife üzerinden ücret talep edilebilir).

Başvurunuzun reddedilmesi, verdiğimiz yanıtın yetersiz bulunması veya süresinde cevap verilmemesi hâlinde Kişisel Verileri Koruma Kurulu'na şikâyette bulunma hakkınız saklıdır.

10. Değişiklikler

Bu aydınlatma metni, mevzuat veya hizmet değişikliklerine göre güncellenebilir. Güncel sürüm her zaman bu sayfada yayınlanır; önemli değişikliklerde kayıtlı e-posta adresinize bildirim gönderilir.