Gizlilik Politikası
Özet
Kişisel verilerinizi GDPR ve KVKK uyarınca nasıl topladığımız, işlediğimiz ve paylaştığımız.
1. Özet
Bu Gizlilik Politikası; Flexton LLC tarafından işletilen Qoro platformunu kullanırken kişisel verilerinizin nasıl toplandığı, kullanıldığı, saklandığı ve paylaşıldığına ilişkin bilgileri açıklar. Bu politika, Türkiye'deki kullanıcılar için 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Ekonomik Alanı'ndaki kullanıcılar için Genel Veri Koruma Tüzüğü (GDPR) ile uyumludur. Özet olarak: Tenant hesap verilerini Tenant'ın sözleşmesel ilişkisi gereği işleriz; Son Kullanıcı sipariş verileri için Tenant Veri Sorumlusu, biz Veri İşleyen sıfatındayız; yurt dışı altyapı sağlayıcılarına (ödeme, veritabanı, barındırma) uygun güvenceler altında aktarım yaparız.
2. Veri Sorumlusu ve Temsilciler
Veri Sorumlusu (Data Controller):
Flexton LLC
7901 4th St N, Suite 300, St. Petersburg, FL 33702, United States
E-posta: hello@qoro.cc
Tenant sıfatıyla platformu kullanan işletmeler, Son Kullanıcılarının kişisel verileri için Veri Sorumlusu sıfatını taşır; Flexton, bu verileri Tenant adına işleyen Veri İşleyen (Processor) sıfatındadır. Detay: Veri İşleme Sözleşmesi.
3. Topladığımız Veri Kategorileri
3.1 Tenant Hesap Verisi
- Kimlik ve iletişim: Ad-soyad, e-posta, işletme unvanı, telefon (opsiyonel).
- Kimlik doğrulama: Hash'lenmiş şifre, iki faktörlü doğrulama cihaz bilgisi, pasaport (passkey) genel anahtarı.
- Finans: Abonelik planı, faturalama adresi, vergi kimlik numarası. Kart bilgileri Flexton sunucularında saklanmaz — ödeme işlemcisi tarafından tokenize edilir.
3.2 Tenant Veri (Platforma Yüklenen İçerik)
- Menü kategorileri, ürünler, fiyatlar, porsiyonlar, alerjen/diyet etiketleri
- Ürün görselleri ve videolar
- Masa/bölüm planı, QR kodları
- Personel (tenant_staff) kayıtları — ad, rol, PIN hash, davet e-postası
3.3 Son Kullanıcı (Müşteri) Verisi
- Sipariş içerikleri, masa bilgisi, sipariş notu, uygulanan kampanyalar.
- Oturum tanımlayıcısı (tarayıcı yerel belleği). Son Kullanıcıdan isim, telefon veya e-posta varsayılan olarak talep edilmez — ancak Tenant bu alanları opsiyonel olarak etkinleştirebilir.
- Opsiyonel: ürün beğenisi, yorumu, Google review yönlendirmesi tıklama sayısı.
3.4 Teknik ve Kullanım Verisi
- IP adresi (güvenlik logları, rate-limiting)
- Cihaz/tarayıcı bilgisi (User-Agent)
- Sayfa erişimleri, hata raporları (Sentry — yalnızca çerez onayı ile)
4. İşleme Amaçları ve Hukuki Sebepler
Veri işleme amaçlarımız ve her amacın KVKK Md. 5 / GDPR Art. 6 kapsamındaki hukuki sebebi:
- Hizmeti sağlamak (hesap, sipariş, ödeme): KVKK Md. 5/2-c (sözleşmenin ifası) / GDPR Art. 6(1)(b).
- Faturalama ve abonelik yönetimi: KVKK Md. 5/2-c (sözleşmenin ifası) ve Md. 5/2-a (yasal yükümlülük, vergi mevzuatı) / GDPR Art. 6(1)(b) + 6(1)(c).
- Güvenlik, dolandırıcılık önleme, sistem iyileştirme: KVKK Md. 5/2-f (meşru menfaat) / GDPR Art. 6(1)(f). IP ve User-Agent kaydı bu kapsamda tutulur.
- Pazarlama iletişimi, ürün duyuruları: KVKK Md. 5/1 (açık rıza) ve ETK Md. 6 (onay) / GDPR Art. 6(1)(a). Onboarding'de ayrı opt-in olarak alınır ve istendiği zaman geri çekilebilir.
- Analitik/performans çerezleri: Çerez banner'ında açık onay / GDPR Art. 6(1)(a) + ePrivacy Direktifi Md. 5(3).
- Yasal talep ve hak savunması: KVKK Md. 5/2-ç, e / GDPR Art. 6(1)(c), 6(1)(f).
5. Verilerin Aktarımı
5.1 Altyapı ve Alt İşleyenler
Hizmeti çalıştırmak için aşağıdaki altyapı sağlayıcılarını (alt işleyen) kullanırız. Tam liste ve sözleşme detayları için DPA Exhibit A: /legal/dpa.
- Barındırma ve uygulama sunucusu: ABD, AB-Batı edge bölgeleri (coğrafi olarak kullanıcıya en yakın veri merkezinde işlenir).
- Veritabanı ve kimlik doğrulama: AB-Batı (Frankfurt/İrlanda).
- Ödeme işleme: ABD/İrlanda merkezli PCI-DSS Level 1 sertifikalı altyapı.
- E-posta iletimi: AB-Batı.
- Hata izleme: AB-Batı (yalnızca çerez onayı ile aktif).
5.2 Yurt Dışı Aktarım Güvenceleri
Türkiye'deki kullanıcıların kişisel verileri, KVKK Md. 9 kapsamında açık rıza veya uygun güvence ile (taahhütname/yurt dışı aktarım sözleşmesi) aktarılır. Avrupa Ekonomik Alanı kullanıcıları için GDPR Art. 46 uyarınca Standart Sözleşme Hükümleri (SCC) 2021/914 uygulanır.
6. Saklama Süreleri
- Hesap aktif: Hesap aktif olduğu sürece saklanır.
- Hesap kapatma sonrası: 30 gün salt-okunur export penceresi, ardından silme.
- Yasal fatura saklama: 10 yıl (Vergi Usul Kanunu, ABD IRS) — anonimleştirilerek arşivde.
- Güvenlik ve denetim logları: 90 gün ile 1 yıl arası, türüne göre.
- E-posta pazarlama listesi: Opt-out'a kadar; opt-out sonrası yeniden eklenmeme kaydı için hash saklanır (unsubscribe suppression list).
7. Haklarınız
KVKK Md. 11 ve GDPR Art. 15-22 kapsamında aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme
- İşlenmişse, işlemenin amacı ve hangi amaçlara uygun kullanıldığını öğrenme
- Yurt içinde/dışında aktarıldığı üçüncü kişileri bilme
- Eksik/yanlış işlenmiş verilerin düzeltilmesini talep etme
- Silinmesini veya yok edilmesini talep etme (KVKK Md. 7 / GDPR Art. 17 “right to be forgotten”)
- İşlemenin kısıtlanmasını talep etme (GDPR Art. 18)
- Veri taşınabilirliği — yapılandırılmış, yaygın kullanılan, makine okunabilir formatta veri alma (GDPR Art. 20)
- Otomatik karar alma ve profillendirmeye itiraz etme (GDPR Art. 22)
- Zararın giderilmesini talep etme
- Denetim otoritesine şikâyet etme (KVKK Kurulu / ilgili AB DPA)
8. Başvuru Yöntemi
Haklarınızı kullanmak için hello@qoro.cc adresine yazılı başvuru gönderebilirsiniz. KVKK Md. 13 gereği ayrıca KEP (Kayıtlı Elektronik Posta) veya ıslak imzalı dilekçe ile fiziksel adresimize başvuru hakkınız saklıdır. Başvurular ücretsizdir; aşırı tekrar halinde makul bir ücret alınabilir. Başvurularınız en geç 30 gün (KVKK) / 1 ay (GDPR, karmaşık talepler için 2 ay uzatma hakkı ile) içinde sonuçlandırılır.
Kimlik doğrulama için ek bilgi talep edebiliriz. Hesap sahibi ise platform içi self-service silme/export akışı da kullanılabilir (roadmap — Blok G-II ile gelir).
9. Güvenlik Önlemleri
Uyguladığımız başlıca teknik ve idari tedbirler:
- Şifreleme: Depoda (at rest) AES-256, iletimde (in transit) TLS 1.2+.
- Row-Level Security (RLS): Veritabanı seviyesinde tenant_id bazlı yalıtım; bir Tenant'ın verisine başka bir Tenant erişemez.
- Erişim kontrolü: Çalışanlar için en az ayrıcalık prensibi, zorunlu iki faktörlü doğrulama, denetim logları.
- Parolalar: bcrypt/argon2 hash; açık metin parola saklanmaz.
- Yedekleme: Günlük otomatik yedekleme, felaket kurtarma test planı.
- Altyapı izleme: 7/24 anomali/güvenlik alarm sistemi; rate limiting, bot savunması (Cloudflare Turnstile).
- Gizlilik tasarımı: Veri toplama minimumda tutulur; gereksiz alan talep edilmez.
10. Çocukların Verisi
Qoro platformu 13 yaşın altındaki kişilere yönelik bir hizmet değildir. ABD COPPA ve KVKK 13 yaş sınırları kapsamında, 13 yaşın altındaki bir çocuğa ait kişisel veri bilerek toplanmaz. 13 yaşından küçük bir kişiye ait veri topladığımızı fark edersek derhal sileriz. Tenant sıfatıyla Qoro kullanan işletmelerin menüsünü açan Son Kullanıcı çocuksa, veri toplama Tenant'ın iş akışıyla sınırlıdır ve Tenant'ın sorumluluğundadır.
11. Veri İhlali Bildirimi
Kişisel veri ihlali durumunda, KVKK Kurulu'na ve GDPR Art. 33 uyarınca ilgili denetim otoritesine en geç 72 saat içinde bildirim yapılır. Yüksek riskli ihlallerde etkilenen kullanıcılar doğrudan bilgilendirilir (GDPR Art. 34 / KVKK Md. 12/5). Dahili veri ihlali runbook'u: (internal — docs/incidents/data-breach-runbook.md).
12. Değişiklikler
Bu politikayı güncelleme hakkımız saklıdır. Önemli değişikliklerde (material change) kullanıcılara e-posta ve platform içi bildirim ile en az 30 gün önceden duyuru yapılır. Sürüm her sayfanın üstündeki rozette görünür; sürüm geçmişi sonraki önemli revizyon ile birlikte yayımlanır.
13. Dil ve Bağlayıcı Metin
Bu politika Türkçe ve İngilizce olarak yayımlanmıştır. Türkiye'de mukim kullanıcılar için bağlayıcı metin Türkçedir; diğer ülkelerde bağlayıcı metin İngilizcedir. Diğer dillerdeki çeviriler yalnızca anlaşılabilirlik amaçlıdır.
14. İletişim
Veri koruma ile ilgili sorularınız için: hello@qoro.cc
Flexton LLC, 7901 4th St N, Suite 300, St. Petersburg, FL 33702, United States.