KVKK AYDINLATMA METNİ
Veri Sorumlusu: [Şirket unvanı] — atolyecim.app Adres: [Şirket adresi] VKN / MERSİS: [VKN] / [MERSİS] İletişim: [email protected]
Yürürlük Tarihi: [Avukat onayından sonra] Versiyon: 1.0 (taslak)
1. GİRİŞ
Bu Aydınlatma Metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında atolyecim.app Platformu ("Platform") tarafından sunulan hizmetler çerçevesinde, veri sorumlusu sıfatıyla [Şirket unvanı] ("Atolyecim") tarafından işlenen kişisel verilere ilişkin bilgilendirmeyi içerir.
Atolyecim, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun kapsamında Aracı Hizmet Sağlayıcı sıfatıyla faaliyet gösterir. Bu Metin'de kullanılan "Platform", "Kullanıcı", "Eğitmen", "Okul", "Veli" tanımları için Kullanım Koşulları'na (01 numaralı belge) bakınız.
Temel Prensibimiz — Minimalite: Atolyecim, kullanıcılarına verimli hizmet verebilmek için asgari düzeyde veri işler. İşlenmeyen veri güvenli veridir.
Çocuk Verisi İşlenmez: Atolyecim, 18 yaşından küçüklere ait hiçbir kişisel veri işlemez. Ayrıntı için bkz. Madde 9.
2. İŞLENEN KİŞİSEL VERİ KATEGORİLERİ
Aşağıdaki tablo, kullanıcı tipine göre işlenen veri kategorilerini özetler.
2.1. Eğitmen Kullanıcısı
| Kategori | Veri | Hukuki Sebep (KVKK m.5) |
|---|---|---|
| Kimlik | Ad, soyad, T.C. kimlik no (yalnızca iyzico faturalandırma için) | Sözleşme gereği, hukuki yükümlülük |
| İletişim | E-posta, telefon, şehir/ilçe | Sözleşme gereği |
| Mesleki | Branş, deneyim, özgeçmiş, sertifika, portfolio metni | Sözleşme gereği, meşru menfaat |
| Finansal | IBAN, vergi no (serbest meslek makbuzu için, opsiyonel) | Sözleşme gereği |
| Ödeme | Kart bilgileri — Atolyecim saklamaz, yalnızca iyzico aracılığıyla iletilir | — |
| Kullanım Log | Giriş tarihleri, IP, tarayıcı bilgisi, oturum kayıtları | Meşru menfaat (güvenlik) |
| İçerik | Profil fotoğrafı (yetişkin, kendi rızası), atölye paketi tanımları | Açık rıza, sözleşme gereği |
2.2. Okul Kullanıcısı
| Kategori | Veri | Hukuki Sebep |
|---|---|---|
| Kurumsal | Kurum unvanı, vergi no, ticaret sicil no, adres | Sözleşme gereği |
| Yetkili | Yetkili kişi ad-soyad, e-posta, telefon | Sözleşme gereği |
| Finansal | IBAN, vergi no | Sözleşme gereği |
| Ödeme | Kart bilgileri — Atolyecim saklamaz | — |
| Kullanım Log | Giriş tarihleri, IP, oturum | Meşru menfaat |
| İçerik | Kurumsal tanıtım metni, logo, iş ilanı içeriği | Sözleşme gereği |
2.3. Veli Kullanıcısı
| Kategori | Veri | Hukuki Sebep |
|---|---|---|
| Kimlik | Ad, soyad | Sözleşme gereği |
| İletişim | E-posta, telefon (opsiyonel), şehir/ilçe | Sözleşme gereği |
| Arama Tercihi | Kaydedilen eğitmenler, filtreler | Açık rıza |
| Ödeme | Veli Plus aboneliği için kart (iyzico üzerinden) | Sözleşme gereği |
| Kullanım Log | Giriş, IP, oturum | Meşru menfaat |
2.4. Ziyaretçi (Giriş Yapmamış)
- IP adresi, tarayıcı bilgisi, ziyaret edilen sayfalar, çerezler (Bkz. 06 numaralı Gizlilik/Çerez Politikası)
- Hukuki Sebep: Meşru menfaat (Platform güvenliği ve temel ölçümleme)
3. İŞLEME AMAÇLARI
Yukarıdaki kişisel veriler aşağıdaki amaçlarla işlenir:
a) Platform hizmetlerinin sunulması, hesap açılması ve yönetimi, b) Kullanıcı kimlik doğrulaması ve güvenlik kontrolü, c) Eğitmen-Okul-Veli arasında eşleştirme ve iletişim kanalının kurulması, d) Abonelik ücreti tahsilatı, faturalandırma ve muhasebe kayıtları, e) Yasal yükümlülüklerin yerine getirilmesi (vergi, elektronik ticaret, tüketici koruması mevzuatı), f) Kullanıcı talep ve şikâyetlerinin karşılanması, g) Platform'un iyileştirilmesi, hata analizi, kullanım istatistikleri (anonimleştirilmiş), h) Açık rıza alınmış olması koşuluyla, pazarlama iletişimleri ve haber bülteni.
Kişisel veriler, belirtilen amaçların dışında hiçbir şekilde kullanılmaz.
4. VERİ İŞLEMENİN HUKUKİ SEBEPLERİ (KVKK m.5)
Atolyecim kişisel verileri aşağıdaki hukuki sebeplerden bir veya birkaçına dayanarak işler:
- Sözleşmenin kurulması veya ifası için gerekli olması (m.5/2-c): kayıt, profil, abonelik akışı.
- Hukuki yükümlülüğün yerine getirilmesi (m.5/2-ç): vergi, muhasebe, elektronik ticaret mevzuatı.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati (m.5/2-f): güvenlik, hata analizi, iyileştirme.
- Açık rıza (m.5/1): pazarlama iletişimi, opsiyonel özellikler.
Özel nitelikli kişisel veriler (sağlık, biyometrik vb.) işlenmez. Atolyecim, kullanıcılarından bu tür veri talep etmez ve yüklenmesine izin vermez.
5. KİŞİSEL VERİLERİN AKTARIMI
5.1. Yurt İçi Aktarım
Atolyecim, verileri aşağıdaki alıcı gruplarına aktarabilir:
- Ödeme hizmet sağlayıcısı: iyzico Ödeme Hizmetleri A.Ş. (yalnızca abonelik tahsilatı ve faturalandırma için)
- E-fatura/e-arşiv sağlayıcısı: [Sağlayıcı adı — avukat belirler]
- Muhasebe ve mali müşavirlik: [Mali müşavir unvanı]
- Yasal zorunluluk hâlinde: yetkili kamu kurum ve kuruluşları (mahkeme, savcılık, BTK vb.)
5.2. Yurt Dışı Aktarım
Atolyecim teknik altyapısı için aşağıdaki yurt dışı hizmet sağlayıcıları kullanır:
- Supabase Inc. (ABD merkezli, verilerin fiziksel depolandığı bölge: Frankfurt, Almanya — eu-central-1): veri tabanı ve kimlik doğrulama altyapısı
- Hetzner Online GmbH (Almanya): uygulama sunucusu barındırma
- Cloudflare Inc. (ABD merkezli, AB bölge opsiyonu aktif): CDN, DNS, DDoS koruma
- Resend Inc. (ABD merkezli): işlemsel e-posta teslimatı
Yurt dışı aktarım KVKK m.9 kapsamında açık rıza veya uygun güvencelerle (Standart Sözleşme Maddeleri, aktarım izin başvurusu) gerçekleştirilir.
5.3. Veri Sorumlusu — Veri İşleyen İlişkisi
Yukarıdaki üçüncü taraf servis sağlayıcılar, Atolyecim'in veri işleyeni sıfatıyla hareket eder. Bu servislerle yazılı veri işleme sözleşmeleri (DPA) imzalanmıştır.
Önemli Not: Okul Kullanıcısı, Platform üzerinden Velileri ve velilere ait bilgileri işlediğinde kendi başına veri sorumlusu sıfatıyla hareket eder. Atolyecim bu veriler için yalnızca teknik altyapı sağlar; işleme amaçlarını ve yöntemini Okul belirler.
6. SAKLAMA SÜRELERİ
| Veri Kategorisi | Saklama Süresi |
|---|---|
| Hesap bilgileri (aktif kullanıcı) | Hesap aktif olduğu sürece |
| Hesap bilgileri (kapatılmış) | Kapatma tarihinden itibaren 3 yıl (zamanaşımı ve olası uyuşmazlık için) |
| Fatura ve muhasebe kayıtları | 10 yıl (Vergi Usul Kanunu m.253) |
| İşlem ve ödeme logları | 10 yıl (Vergi Usul Kanunu, Elektronik Ticaret Kanunu) |
| Kullanıcı içerikleri (profil, ilan) | Yayından kaldırma sonrası 30 gün arşivde, sonra silinir |
| Mesajlaşma logları | 2 yıl (olası uyuşmazlık için) |
| Çerezler | Çerez türüne göre 30 gün — 2 yıl arası (Bkz. 06 numaralı belge) |
| Kullanım logları ve IP | 6 ay (güvenlik amaçlı) |
Saklama süresi dolan veriler, periyodik imha prosedürü ile güvenli şekilde silinir, yok edilir veya anonim hâle getirilir.
7. VERİ SAHİBİ HAKLARI (KVKK m.11)
Kişisel verisi işlenen her kullanıcı aşağıdaki haklara sahiptir:
a) Kişisel verilerinin işlenip işlenmediğini öğrenme, b) İşlendiyse buna ilişkin bilgi talep etme, c) İşleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içi / yurt dışı aktarım durumunda aktarılan üçüncü kişileri bilme, d) Eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme, e) Kanunda öngörülen şartlar çerçevesinde verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) kapsamındaki işlemlerin veri aktarıldığı üçüncü kişilere bildirilmesini isteme, g) Otomatik sistemlerle analiz edilmek suretiyle aleyhe bir sonucun ortaya çıkmasına itiraz etme, ğ) Kanuna aykırı işleme nedeniyle uğranılan zararın giderilmesini talep etme.
8. BAŞVURU YOLU
Yukarıdaki haklarınızı kullanmak için:
- E-posta: [email protected] (kayıtlı e-posta adresinizden gönderilirse elektronik kimlik doğrulama kabul edilir)
- KEP: [Şirket KEP adresi]
- Posta: [Şirket adresi], "KVKK Başvurusu" ibaresiyle, noter onaylı imza ile
Başvurunuz en geç 30 gün içinde yanıtlanır. Başvurunun reddedilmesi, verilen yanıtın yetersiz bulunması veya süresinde yanıt verilmemesi hâllerinde Kişisel Verileri Koruma Kurulu'na şikâyet başvurusunda bulunabilirsiniz.
Başvuru ücretsizdir; ancak işlem ek maliyet gerektiriyorsa Kurul tarafından belirlenen tarife uygulanır.
9. ÇOCUKLARA AİT KİŞİSEL VERİLER (ÖZEL HÜKÜM)
Atolyecim 18 yaşından küçüklere ait hiçbir kişisel veri işlemez.
9.1. Yasak Kapsamı
Aşağıdakiler Platform üzerinden yüklenemez, saklanamaz, aktarılamaz:
- Çocukların ad-soyad, doğum tarihi (yaş aralığı dışı), kimlik numarası, okul numarası
- Çocukların fotoğraf, video, ses kaydı
- Çocukların sağlık bilgisi, alerji, ilaç, özel bakım bilgisi
- Çocukların adres, iletişim bilgisi, ev telefonu
- Çocukları doğrudan tanımlayabilecek her türlü bilgi
9.2. Sadece İzin Verilen Alan
Atölye/kurs tanımında yalnızca yaş aralığı ve katılımcı sayısı yer alabilir (ör. "4-6 yaş grubu için, 8 kişilik"). Bu bilgi somut çocuğa dair değil, hizmet tanımına ilişkindir.
9.3. Bireysel Çocuğa İlişkin Veri Akışı
Çocuğun katılım bilgisi, sağlık durumu, özel ihtiyaçları gibi konular Platform üzerinden değil, doğrudan Okul/Eğitmen ile Veli arasında paylaşılır. Atolyecim bu veri akışının tarafı değildir, bu verileri görmez ve işlemez.
9.4. İhlal Hâlinde
Bir kullanıcının çocuğa ait veri yüklediği tespit edildiğinde:
- İlgili içerik derhal kaldırılır,
- Veri yerel cihaz ve yedeklerden güvenli şekilde silinir,
- Yükleyen kullanıcının hesabı askıya alınır veya kapatılır,
- Gerektiğinde KVK Kurumu'na veri ihlal bildirimi (72 saat içinde) yapılır.
9.5. Veli Sorumluluğu
Veli, Platform üzerinden çocuğuna ilişkin veri yüklememe yükümlülüğünü kabul eder. Yüklenen veriden doğacak her türlü hukuki sorumluluk Veli'ye aittir; Platform'a rücu edilemez.
10. VERİ GÜVENLİĞİ
Atolyecim, kişisel verilerin güvenliği için aşağıdaki tedbirleri alır:
- Teknik: TLS şifreli iletim (HTTPS), veritabanında hassas alan şifrelemesi, şifreler için bcrypt/argon2 karma, düzenli güvenlik taraması, güncelleme, sınırlı yönetici erişim, yedekleme (şifreli), Cloudflare WAF.
- İdari: Çalışan gizlilik sözleşmeleri, erişim yetki matrisi, eğitim, ihlal müdahale prosedürü, periyodik imha.
- Veri İşleyen Kontrolü: Üçüncü taraf servis sağlayıcılarla yazılı veri işleme sözleşmeleri (DPA).
11. OTOMATİK KARAR VERME VE PROFİLLEME
Atolyecim, kullanıcı hakkında aleyhe hukuki sonuç doğuracak otomatik karar verme süreci işletmez. Arama sıralaması ve öneri algoritmaları yalnızca kullanıcı deneyimini iyileştirmek için çalışır ve hukuki sonuç doğurmaz.
12. METİNDE DEĞİŞİKLİK
Bu Aydınlatma Metni güncellenebilir. Esaslı değişiklikler kayıtlı e-postanıza önceden bildirilir. Her güncelleme Platform'da yeni versiyonla yayımlanır.
13. İLETİŞİM
- Veri Sorumlusu: [Şirket unvanı]
- KVKK Başvuru: [email protected]
- KEP: [KEP]
- Posta: [Adres]
- KVK Kurum: kvkk.gov.tr
Bu belge Atolyecim.app için hukuki taslaktır. Avukat incelemesi ve onayı olmadan yürürlüğe konulmamalıdır. VERBİS kaydı durumu ve nihai yer tutucular avukat tarafından doldurulacaktır.