KVKK Aydınlatma Metni
6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve EU 2016/679 Genel Veri Koruma Tüzüğü ("GDPR") uyarınca veri sorumlusu sıfatıyla bilgilendirme:
1. Veri Sorumlusu
NoventisLab Ltd. UK Companies House No. 17168303 Birleşik Krallık E-posta: legal@noventislab.com
2. İşlenen Kişisel Veri Kategorileri
| Veri Kategorisi | Veri Türü | Toplama Yöntemi |
|---|---|---|
| Kimlik bilgisi | Ad, soyad | Kayıt formu |
| İletişim | E-posta adresi | Kayıt formu |
| Müşteri işlem | Şifre özeti (bcrypt hash), hesap durumu, abonelik durumu | Sistem otomasyonu |
| İşlem güvenliği | IP adresi, tarayıcı bilgisi (User-Agent), oturum çerezleri, audit log | Sunucu logları |
| Pazarlama (opsiyonel) | Pazarlama izni, gönderilen e-posta etkileşimleri | Açık rıza ile |
| Finansal (varsa) | Stripe müşteri ID, fatura geçmişi | Yenileme ödemesi sırasında |
| Teknik kullanım | Disk / bant genişliği kullanımı, site sayısı, son giriş zamanı | Sistem otomasyonu |
Şifrenin kendisi saklanmaz — yalnızca tek yönlü bcrypt hash. Kart bilgisi NoventisLab'de tutulmaz — Stripe Inc. tarafından saklanır.
3. İşleme Amaçları ve Hukuki Sebep
| Amaç | Hukuki Sebep (KVKK m.5 / GDPR Art. 6) |
|---|---|
| Hesap oluşturma ve hizmet sunumu | Sözleşmenin kurulması ve ifası (m.5/2-c) |
| Yasal yükümlülüklere uyum (defter tutma, denetim, mahkeme talebi) | Hukuki yükümlülük (m.5/2-ç) |
| Hizmet güvenliği (kötüye kullanım tespiti, abuse log) | Meşru menfaat (m.5/2-f) |
| Yenileme ödemesi tahsilatı | Sözleşmenin ifası (m.5/2-c) |
| Pazarlama e-postaları | Açık rıza (m.5/1) — opsiyonel |
| İstatistik / analitik | Anonimleştirilmiş veri üzerinden işlenir |
4. Saklama Süreleri
- Aktif hesap: Hesap silinene kadar.
- Hesap kapanışı sonrası: İstemde bulunulmazsa 30 gün sonra silme; hukuki yükümlülük varsa 10 yıla kadar (Türk Ticaret Kanunu m.82).
- Audit log / güvenlik logları: 1 yıl.
- Fatura ve ödeme kayıtları: Vergi mevzuatı gereği 10 yıl.
- Pazarlama izni: İptal edilene kadar.
5. Verilerinizin Aktarıldığı Üçüncü Taraflar
Aşağıdaki veri işleyenler ile veri paylaşılır (her biri kendi sözleşme ve gizlilik politikasına tabidir):
| Hizmet | Amaç | Konum | DPA |
|---|---|---|---|
| Hostinger International Ltd. | Hosting altyapı (LT) | Litvanya / AB | Var |
| Stripe Inc. | Ödeme işleme | ABD (DPF onaylı) | Var |
| Resend (Resend, Inc.) | İşlemsel e-posta | ABD | Var |
| Contabo GmbH | Panel sunucu (DE) | Almanya | Var |
| Vercel Inc. (varsa) | Edge CDN | Global | Var |
Yurt dışına aktarım: Yukarıdaki sağlayıcılardan bazıları AB / Birleşik Krallık dışında veri işler. Standart Sözleşme Maddeleri (SCC) ve EU-US Data Privacy Framework (DPF) uyarınca koruma sağlanmıştır.
6. Toplama Yöntemi
Veriler; web sitesi formları, panel kullanımı, sunucu logları, üçüncü taraf entegrasyonların (Stripe webhook'ları, Hostinger API yanıtları) otomatik veri akışı yoluyla fiziksel temas olmaksızın elektronik ortamda toplanır.
7. İlgili Kişi Hakları (KVKK m.11 / GDPR Art. 15-22)
Veri sahibi olarak şu haklara sahipsiniz:
- Bilgi alma: Verilerinizin işlenip işlenmediğini öğrenme.
- Erişim: İşlenen verilerin kopyasını talep etme.
- Düzeltme: Yanlış veya eksik verilerin düzeltilmesini isteme.
- Silme / unutulma hakkı: Verilerinizin silinmesini talep etme (hukuki saklama yükümlülüğü saklı).
- İşlemenin kısıtlanması: Belirli işlemleri durdurma.
- Veri taşınabilirliği: Yapılandırılmış, makine okunabilir formatta veri alma (GDPR Art. 20).
- İtiraz: Meşru menfaat veya pazarlama amaçlı işlemeye itiraz.
- Otomatik karara itiraz: Algoritmik kararlara karşı insan müdahalesi talep etme.
- Açık rızayı geri alma: Pazarlama e-postaları için verdiğiniz rızayı her e-postanın altındaki linkten veya legal@noventislab.com adresinden geri alabilirsiniz.
8. Başvuru Yöntemi
KVKK m.11 / GDPR kapsamındaki haklarınızı kullanmak için:
- E-posta: legal@noventislab.com
- Konu: "KVKK / GDPR Veri Sahibi Talebi"
- İçerik: Talebin niteliği (örn. silme, erişim) + kimliğinizi doğrulayan bilgi.
Yanıt süresi: En geç 30 gün (uzatma gerekirse 2 ay).
Yanıtın yetersiz olduğunu düşünüyorsanız:
- Türkiye: Kişisel Verileri Koruma Kurulu'na şikâyet (kvkk.gov.tr).
- AB: Yerel veri koruma otoritenize şikâyet.
- Birleşik Krallık: ICO (ico.org.uk).
9. Çerez Politikası
Hizmet, oturum yönetimi için gerekli çerezler kullanır
(authjs.session-token, NEXT_LOCALE, authjs.csrf-token). Pazarlama
veya analitik amaçlı üçüncü taraf çerez kullanılmaz.
10. Çocukların Verisi
Hizmet 18 yaş altı kullanıcılara yönelik değildir. 18 yaş altı kişilerden bilerek veri toplamayız. Ebeveyn / vasi tespit ederse legal@noventislab.com adresine bildirebilir; veri derhal silinir.
11. Güvenlik Önlemleri
- TLS 1.3 ile şifreli iletişim (HTTPS).
- Bcrypt 12 round ile şifre özeti.
- HttpOnly + Secure cookies (oturum çalınmasına karşı).
- DB ve uygulama sunucu firewall'ları.
- Düzenli güvenlik güncellemeleri.
- Audit log ile tüm hassas işlemlerin izi.
12. Veri İhlali Bildirimi
Veri ihlali tespiti halinde 72 saat içinde ilgili otoritelere (KVKK, ICO, ilgili AB otoritesi) ve etkilenen veri sahiplerine bildirim yaparız.
Bu aydınlatma metni, sürümünüzü güncellediğimizde yeniden onayınıza sunulacaktır.