KVKK Aydınlatma Metni

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca, crmFEX (“Şirket”) tarafından, veri sorumlusu sıfatıyla kişisel verilerinizin aşağıda açıklanan kapsamda işleneceğini bilgilerinize sunarız.

1. Veri Sorumlusu

• Veri Sorumlusu: Yasin Özkasapoğlu — İstanbul
• İletişim: [email protected]

2. İşlenen Kişisel Veriler

• Kimlik: ad, soyad
• İletişim: e-posta, telefon, adres
• Müşteri işlem: abonelik planı, ödeme kayıtları, fatura bilgileri
• İşlem güvenliği: IP adresi, kullanıcı oturum bilgileri, log kayıtları
• Pazarlama: yalnızca açık rıza vermeniz halinde işlenir

3. Kişisel Verilerin İşlenme Amaçları

• Hizmet sözleşmesinin kurulması ve ifa edilmesi
• Üyelik kaydı ve oturum yönetimi
• Faturalandırma, ödeme tahsilatı ve muhasebe
• Yasal saklama yükümlülüklerinin yerine getirilmesi (vergi mevzuatı)
• Müşteri desteği ve şikayet yönetimi
• Sistem güvenliği ve dolandırıcılığın önlenmesi
• Açık rıza ile pazarlama iletişimi

4. İşlemenin Hukuki Sebepleri (KVKK m.5)

• Sözleşmenin kurulması veya ifası için zorunlu olması (m.5/2-c)
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi (m.5/2-ç)
• Veri sorumlusunun meşru menfaati (m.5/2-f)
• İlgili kişinin açık rızası (yalnızca pazarlama amaçlı işlemler için)

5. Verilerin Aktarıldığı Taraflar

• Microsoft Azure (İrlanda & Hollanda): bulut altyapısı (yurt dışı aktarım)
• Cloudflare: CDN ve güvenlik hizmetleri
• Stripe / iyzico: ödeme hizmeti sağlayıcısı
• Nilvera: e-Fatura entegrasyonu (yalnızca tercih ederseniz)
• Yetkili kamu kurum ve kuruluşları: mevzuatın gerektirdiği hallerde

Verileriniz reklam ağlarına veya üçüncü taraflara satış amaçlı aktarılmaz.

6. Yurt Dışına Aktarım

Hizmet altyapımız Microsoft Azure’un AB veri merkezlerinde (Kuzey ve Batı Avrupa) bulunmaktadır. KVKK m.9 kapsamında, hizmetin sunulması için gerekli olan bu aktarım, kayıtlı veri işleyenler ile akdedilmiş veri işleme sözleşmeleri çerçevesinde gerçekleştirilir.

7. Saklama Süreleri

• Aktif hesap verisi: hesap aktif olduğu sürece
• Hesap silindikten sonra: 30 gün koruma süresi, akabinde silinir
• Fatura ve muhasebe kayıtları: vergi mevzuatı gereği 10 yıl
• Sunucu log kayıtları: 30 gün

8. Haklarınız (KVKK m.11)

Kişisel verilerinizle ilgili her zaman aşağıdaki haklara sahipsiniz:

• Kişisel verinizin işlenip işlenmediğini öğrenme
• İşlenmişse buna ilişkin bilgi talep etme
• İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde / yurt dışında aktarıldığı tarafları bilme
• Eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme
• KVKK m.7 kapsamında silinmesini veya yok edilmesini isteme
• İşlenen verilerin münhasıran otomatik sistemler ile analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme
• Kanuna aykırı işleme nedeniyle uğranılan zararın giderilmesini talep etme

Başvurularınızı [email protected] adresine yazılı olarak iletebilirsiniz. En geç 30 gün içinde ücretsiz cevap verilir.

9. Veri Güvenliği

Kişisel verilerinizin güvenliği için aşağıdaki teknik ve idari önlemler alınmıştır:

• Tüm trafikte HTTPS / TLS 1.2+ zorunluluğu
• Veritabanı seviyesinde “at rest” şifreleme
• Şifrelerin Argon2id ile özetlenmesi
• Çoklu kiracılı (multi-tenant) izolasyon: her müşterinin verisi PostgreSQL satır seviyesi güvenlik ile yalıtılır
• API anahtarları ve OAuth secret’ları Azure Key Vault’ta saklanır
• Düzenli yedekleme (7 gün rolling)

10. Değişiklikler

Bu metin gerekli görüldüğünde güncellenebilir. Güncel sürüm her zaman bu sayfada yayımlanır.