DineezyDineezy

Gizlilik Politikası ve KVKK Aydınlatma Metni

Güncelleme tarihi: 10 Eylül 2025

Bu Gizlilik Politikası ve Aydınlatma Metni ("Politika"), [Şirket Unvanı]("Şirket" veya "Biz") tarafından sunulan Dineezy (QR Menü Platformu) ve ilişkili hizmetler kapsamında kişisel verilerin işlenmesine ilişkin usul ve esasları açıklar. Bu metin 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve ilgili ikincil mevzuat ile genel ilkeler doğrultusunda hazırlanmıştır. Avrupa Birliği’nden gelen veri sahipleri bakımından Genel Veri Koruma Tüzüğü ("GDPR") hükümleri de gözetilir.

1) Veri Sorumlusu ve İletişim

Veri sorumlusu: [Şirket Unvanı]
Adres: [Adres]
E-posta: [İletişim e-postası]
Telefon: [Telefon]

2) Kapsam ve Roller (Platform – Restoran – Ziyaretçi)

  • Platform yöneticileri/işletmecileri (hesap sahipleri) için veri sorumlusu genellikle Şirket’tir. Örn. yönetim paneline/login’e kaydolan kullanıcıların hesap verileri.
  • Restoran ziyaretçileri/QR menü kullanıcıları bakımından, ilgili restoran veri sorumlusu olabilir; Şirket, bu kapsamda çoğunlukla veri işleyen sıfatıyla teknik altyapıyı sağlar. (Restoranın kendi aydınlatma yükümlülüğü saklıdır.)

3) İşlenen Kişisel Veri Kategorileri

  • Hesap ve profil verileri (yönetici/işletme kullanıcıları için): e-posta adresi, ad, soyad, şifre (Supabase tarafından güvenli biçimde saklanır), tercihler (varsayılan dil/locale), bildirim tercihleri, telefon, kısa biyografi, avatar görseli (platform yapılandırmasına bağlı olarak herkese açık URLolabilir).
  • Kullanım/cihaz verileri: ziyaretçi tanımlayıcısı visitor_id (1 yıl), kullanıcı ajanı (User-Agent), dil kodu, görüntülenen sayfa/yol ve ürün/kategori görüntüleme olayları (ör.product_view_events, category_view_events), beğeni (product_likes) ve geri bildirim (customer_feedback) kayıtları.
  • İletişim formu verileri: ad, e-posta, konu, mesaj. Bu veriler genellikle e-posta ile iletilir ve sistemde kalıcı olarak saklanmayabilir (yapılandırmaya bağlıdır).
  • İçerik ve medya: restoran logoları, ürün görselleri vb. dosyalar Supabase Storage üzerinde saklanır ve genellikle genel (public) URL oluşturulur. Kamuya açık yüklemelerde kişisel veri içeren görselleri paylaşmaktan kaçınmanız önerilir.
  • Teknik günlükler ve güvenlik kayıtları: sistem hataları ve güvenlik olayları kapsamında IP adresi gibi teknik veriler işlenebilir.

4) Toplama Yöntemleri

  • Hesap ve form verileri: kullanıcı tarafından sağlanan formlar (kayıt, profil, iletişim, geri bildirim).
  • Çerezler ve benzer teknolojiler: oturum ve ziyaretçi tanımlayıcılarının tarayıcıya yerleştirilmesi.
  • Sunucu tarafı kaydı: istek başlıkları (ör. User-Agent), yönlendirme yolları.
  • E-posta iletileri: SMTP üzerinden doğrulama/şifre sıfırlama ve iletişim formları.

5) İşleme Amaçları ve Hukuki Sebepler

  • Hizmetin sağlanması ve sözleşmenin ifası (KVKK m.5/2-c; GDPR 6/1-b): hesap oluşturma ve yönetimi, giriş/çıkış, profil yönetimi, restoran ve menü içeriklerinin sunulması.
  • Meşru menfaatler (KVKK m.5/2-f; GDPR 6/1-f): ürün/kategori görüntüleme analitiği, performans ve güvenlik, kötüye kullanımın önlenmesi, ürün beğeni/geri bildirim işlevsellikleri.
  • Hukuki yükümlülüklerin yerine getirilmesi (KVKK m.5/2-ç): resmî makam taleplerine yanıt, uyuşmazlıkların giderilmesi.
  • Açık rıza (KVKK m.5/1; GDPR 6/1-a): yalnızca gerekli olduğunda ve spesifik amaçlarla. Pazarlama amaçlı e-posta/çerez kullanımımız bulunuyorsa ayrı onay alınacaktır.

6) Çerezler ve Benzer Teknolojiler

Platform, sadece hizmetin sağlanması için gerekli çerezleri kullanır; pazarlama/izleme çerezleri kullanılmaz. Tarayıcı ayarlarınızdan çerezleri yönetebilirsiniz. Devre dışı bırakmanız bazı işlevleri kısıtlayabilir.

  • visitor_id (1 yıl, birinci taraf): Beğeni, geri bildirim ve basit kullanım analizlerinin aynı tarayıcıyla ilişkilendirilmesi için kullanılır. Bazı bağlamlarda HTTP-Only olarak, bazı bağlamlarda istemci tarafından erişilebilir şekilde ayarlanabilir.
  • selectedRestaurantId (1 yıl, birinci taraf, HTTP-Only): Yönetici arayüzünde seçili restoranın hatırlanması için kullanılır.
  • Oturum/kimlik doğrulama çerezleri: Supabase tarafından oturumun sürdürülmesi için gerekli çerezler ayarlanabilir.

Cloudflare Turnstile (Spam ve Bot Koruması)

İletişim formu ve benzeri etkileşimli alanları spam ve botlara karşı korumak içinCloudflare Turnstile kullanırız. Turnstile, ziyaretçinin gerçek kişi olup olmadığını anlamak için tarayıcı ve cihaz özelliklerinden türetilen sınırlı teknik verileri (ör. IP adresi, kullanıcı ajanı, tarayıcı parmak izi sinyalleri) işler. Bu veriler yalnızca güvenlik amacıyla ve kötüye kullanımı önlemek için kullanılır; reklam amacıyla profil oluşturma veya yeniden hedefleme yapılmaz.

  • Hukuki sebep: meşru menfaat (KVKK m.5/2-f; GDPR 6/1-f) — platform güvenliği ve kötüye kullanımın önlenmesi.
  • Token yapısı: Turnstile tokenları kısa ömürlüdür (yaklaşık 5 dakika) ve yalnızca bir kez doğrulanabilir. Token, sunucu tarafında (siteverify) doğrulanır ve uygulamamızda kalıcı olarak saklanmaz.
  • Üçüncü taraf: Cloudflare, Turnstile kapsamında veri işleyebilir ve veriler yurt dışına aktarılabilir. Ayrıntılar için Cloudflare’ın Turnstile Privacy Addendum belgesine bakınız.

7) Alıcılar, Yurt İçi/Yurt Dışı Aktarımlar

  • Barındırma, veritabanı ve depolama: Supabase (veritabanı, dosya depolama).
  • E-posta hizmeti: SMTP sağlayıcınız (örn. hosting sağlayıcısı veya üçüncü taraf e-posta hizmeti).
  • Diğer teknik sağlayıcılar: güvenlik ve loglama amaçlı hizmetler (varsa).

Veriler hizmetlerin konumuna bağlı olarak yurt dışına aktarılabilir (KVKK m.9). Uygun koruma tedbirleri (ör. standart sözleşme maddeleri) sağlanır veya gerekli hallerde açık rızanız alınır. Bölge/konum tercihleriniz doğrultusunda Supabase proje bölgesi belirlenebilir.

8) Saklama Süreleri

  • Hesap/profil verileri: hesap aktif olduğu sürece ve kapanışı sonrası en fazla 3 yıl.
  • visitor_id çerezi: 12 ay.
  • Beğeni/geri bildirim kayıtları: siz sildiğiniz veya restoran sahibi sildiği ana kadar; en fazla 2 yıl.
  • İletişim formu e-postaları: en fazla 12 ay (operasyonel ihtiyaçlara göre).
  • Teknik günlükler: en fazla 12 ay.

9) Güvenlik

Verileriniz TLS ile iletilir, rol tabanlı erişim ve satır düzeyi güvenlik (RLS) politikaları uygulanır. Şifreler Supabase tarafından güvenli biçimde saklanır. Genel (public) dosya URL’leri olan görseller herkese erişilebilir olabilir; kişisel verilerinizi içeren görselleri genel olarak yayımlamaktan kaçınınız.

10) KVKK ve (uygulanırsa) GDPR Kapsamındaki Haklarınız

  • Veri işlenip işlenmediğini öğrenme, bilgi talep etme,
  • Eksik veya yanlış işlenen verilerin düzeltilmesini isteme,
  • İşleme amaçlarının ortadan kalkması halinde silinmesini veya yok edilmesini isteme,
  • İşlemenin sınırlandırılmasını talep etme ve itiraz etme,
  • (GDPR) Verilerin taşınabilirliği hakkı,
  • KVKK uyarınca KVK Kurumu’na şikâyet hakkı.

Başvurularınızı [İletişim e-postası] adresine iletebilirsiniz. Başvurular KVKK’da öngörülen süreler içinde sonuçlandırılır.

11) Çocukların Verileri

Hizmetler çocuklara yönelik değildir. 13 yaş altındaki kişilerden bilerek veri toplamayız. Ebeveyn/veli iseniz ve çocuğunuza ait verilerin işlendiğini düşünüyorsanız bizimle iletişime geçiniz.

12) Politika Değişiklikleri

Politika zaman zaman güncellenebilir. En güncel sürüm bu sayfada yayımlanır ve yayımlandığı tarihte yürürlüğe girer.

13) İletişim

Sorularınız için: [İletişim e-postası]

Not: Bu metin, yazılımınızın mevcut veri işleme pratiklerine dayanan bir şablondur ve hukuki danışmanlık teşkil etmez. Nihai sorumluluk işletmeciye aittir. Gerekirse şirket unvanı/adres/iletişim ve saklama sürelerini kendi ihtiyaçlarınıza göre uyarlayınız.