KVKK Aydınlatma Metni
Son güncelleme:
1. Metnin Amacı ve Kapsamı
1.1. Amaç
Bu Aydınlatma Metni, 1453 İstanbul Gıda San. ve Tic. Ltd. Şti. tarafından Marfin markası altında sunulan web sitesi, web uygulaması, mobil uygulama, abonelik, destek, ödeme, güvenlik ve bağlantılı hizmetler kapsamında kişisel verilerin nasıl işlendiği hakkında ilgili kişileri bilgilendirmek amacıyla hazırlanmıştır.
1.2. Kapsam
Bu metin özellikle aşağıdaki kişilerin Marfin’in kendi amaç ve vasıtalarını belirleyerek işlediği kişisel verileri kapsar:
- kurumsal müşteri adına hesap açan veya sözleşmeyi kabul eden kişiler,
- gerçek kişi tacirler, serbest meslek erbapları ve şahıs işletmesi sahipleri,
- müşterilerin ortakları, yöneticileri, temsilcileri ve irtibat kişileri,
- Marfin hesabına erişen yetkili kullanıcılar,
- potansiyel müşteriler ve teklif talep eden kişiler,
- destek, şikâyet veya bilgi talebi ileten kişiler,
- web sitesi ve uygulama ziyaretçileri,
- tedarikçi, iş ortağı ve hizmet sağlayıcıların temsilcileri,
- ticari iletiye izin veren kişiler.
1.3. Bu Metnin Kapsamadığı İşlemler
Aşağıdaki işlemler, niteliğine göre ayrı aydınlatma metni veya sözleşme gerektirebilir:
- çalışan ve stajyer adaylarının işe alım verileri,
- Marfin çalışanlarının özlük verileri,
- fiziksel ziyaretçi ve kamera kayıtları,
- müşteri referansı, logo kullanımı veya başarı hikâyesi faaliyetleri,
- bireysel tüketicilere yönelik gelecekte sunulabilecek hizmetler,
- müşterinin kendi veri sorumluluğunda Platforma aktardığı çalışan, müşteri, tedarikçi veya diğer üçüncü kişi verileri.
Bu işlemler devreye alındığında ilgili kişilere ayrıca uygun bilgilendirme yapılır.
2. Veri Sorumlusunun Kimliği
Kişisel verileriniz bakımından veri sorumlusu:
Ticari unvan: 1453 İstanbul Gıda San. ve Tic. Ltd. Şti.
Marka / uygulama adı: Marfin
MERSİS No: 0001192249400001
Vergi Kimlik No: 0011922494
Vergi Dairesi: İlyasbey Vergi Dairesi
Adres: Mevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A, Gebze/Kocaeli
Telefon: +90 (532) 420 66 35
Genel iletişim e-postası: info@marfin.com.tr
KVKK başvuru e-postası: info@marfin.com.tr
Web sitesi: https://www.marfin.com.tr
KEP adresi: [KEP ADRESİ VARSA EKLENECEKTİR]
Bu metinde 1453 İstanbul Gıda San. ve Tic. Ltd. Şti. kısaca “Marfin” olarak anılacaktır.
3. Marfin’in Veri Sorumlusu ve Veri İşleyen Rollerinin Ayrımı
3.1. Marfin’in Veri Sorumlusu Olduğu İşlemler
Marfin kural olarak aşağıdaki faaliyetlerde veri sorumlusu sıfatıyla hareket eder:
- hesap ve abonelik oluşturulması,
- müşterinin ve temsil yetkisinin doğrulanması,
- kullanıcı ve rol yönetimi,
- sözleşme kurulması ve elektronik kabul kayıtları,
- fiyatlandırma, faturalandırma ve tahsilat süreçleri,
- destek, talep ve şikâyet yönetimi,
- müşteri ilişkileri ve hizmet duyuruları,
- Platform güvenliği, loglama ve suistimal önleme,
- yasal yükümlülüklerin yerine getirilmesi,
- uyuşmazlıkların yürütülmesi,
- izin verilmiş ticari elektronik ileti ve pazarlama faaliyetleri,
- web sitesi ve uygulama analitiği,
- ürünün güvenli biçimde geliştirilmesi.
Bu Aydınlatma Metni esas olarak bu işlemleri açıklar.
3.2. Marfin’in Veri İşleyen Olduğu İşlemler
Kurumsal müşterilerin kendi çalışanları, müşterileri, tedarikçileri, cari hesapları, fatura muhatapları, iş ortakları veya diğer ilgili kişilere ait verileri Marfin Platformuna aktarması hâlinde:
- ilgili kurumsal müşteri kural olarak veri sorumlusu,
- Marfin ise müşterinin belgelenmiş talimatları doğrultusunda hareket eden veri işleyen
konumunda olabilir.
Bu kapsamdaki işleme faaliyetleri Marfin Veri İşleme Sözleşmesi (DPA) ile düzenlenir. İlgili kişilerin aydınlatılması, uygun hukuki sebebin belirlenmesi ve gerekli izinlerin alınması öncelikle ilgili müşterinin sorumluluğundadır.
3.3. Rolün Somut İşleme Göre Belirlenmesi
Kişisel veri koruma rolleri yalnızca sözleşmedeki adlandırmaya göre değil, somut işleme faaliyetinin amaç ve vasıtalarını fiilen hangi tarafın belirlediğine göre değerlendirilir.
4. İlgili Kişi Grupları
Marfin tarafından veri sorumlusu sıfatıyla kişisel verileri işlenebilecek ilgili kişi grupları şunlardır:
- Müşteriler: Gerçek kişi tacir, serbest meslek erbabı veya şahıs işletmesi sahibi kullanıcılar.
- Müşteri temsilcileri: Tüzel kişi müşterilerin ortak, yönetici, yetkili, çalışan, mali müşavir veya irtibat kişileri.
- Yetkili kullanıcılar: Müşteri hesabına erişim izni verilen kişiler.
- Potansiyel müşteriler: Demo, teklif, iletişim veya ürün bilgisi talep eden kişiler.
- Web ve uygulama ziyaretçileri: Marfin web sitesini, mobil uygulamasını veya herkese açık içeriklerini kullanan kişiler.
- Destek başvurusu sahipleri: Destek, bilgi, şikâyet, öneri veya güvenlik bildirimi ileten kişiler.
- Tedarikçi ve iş ortağı temsilcileri: Marfin’in hizmet aldığı veya iş birliği yaptığı kuruluşların gerçek kişi temsilcileri.
- Ticari ileti alıcıları: Ayrı ve geçerli bir izinle pazarlama iletisi almayı kabul eden kişiler.
- KVKK başvurusu sahipleri: Kişisel verilerine ilişkin haklarını kullanmak üzere Marfin’e başvuran kişiler ve temsilcileri.
5. İşlenen Kişisel Veri Kategorileri
Marfin, ilgili kişinin rolüne, kullanılan özelliğe ve kurulan ticari ilişkiye göre aşağıdaki kişisel veri kategorilerinin tamamını veya bir bölümünü işleyebilir.
5.1. Kimlik Verileri
- ad ve soyadı,
- kullanıcı adı,
- imza ve yetki bilgileri,
- doğum tarihi veya T.C. kimlik numarası gibi yalnızca mevzuat, faturalandırma, kimlik ya da temsil doğrulaması için gerekli olabilecek bilgiler,
- şirket yetkilisi veya temsilci sıfatı.
Marfin, T.C. kimlik numarası ve benzeri yüksek riskli kimlik verilerini yalnızca gerekli olduğu ölçüde talep eder.
5.2. İletişim Verileri
- e-posta adresi,
- telefon numarası,
- iş adresi,
- fatura adresi,
- tercih edilen iletişim kanalı,
- KEP adresi,
- destek ve bildirim iletişim bilgileri.
5.3. Müşteri İşlem ve Sözleşme Verileri
- müşteri ve hesap numarası,
- kayıt ve abonelik bilgileri,
- seçilen Paket,
- abonelik dönemi,
- deneme başlangıç ve bitiş tarihi,
- satın alma ve yenileme tercihleri,
- sözleşme sürümü ve kabul zamanı,
- elektronik onay kayıtları,
- paket değişiklikleri,
- iptal ve hesap kapanışı kayıtları,
- desteklenen veri dışa aktarım talepleri.
5.4. Şirket, Vergi ve Mesleki Bilgiler
- ticari unvan,
- vergi kimlik numarası,
- vergi dairesi,
- MERSİS ve ticaret sicili bilgileri,
- şirket türü,
- sektör ve faaliyet alanı,
- görev ve unvan,
- temsil ve imza yetkisi,
- mesleki iletişim bilgileri,
- mali müşavir veya danışman ilişkisi.
Tüzel kişiye ait bilgiler tek başına kişisel veri sayılmayabilir; ancak gerçek kişiyle ilişkilendirilebildiği ölçüde kişisel veri niteliği kazanabilir.
5.5. Finans ve Ödeme Verileri
- abonelik bedeli,
- tahsilat durumu,
- fatura ve dekont bilgileri,
- ödeme yöntemi,
- ödeme sağlayıcısının işlem referansı,
- maskelenmiş kart bilgisi,
- hata, iade ve ters ibraz kayıtları,
- tahsilat ve muhasebe kayıtları.
Tam kart numarası, güvenlik kodu ve benzeri hassas ödeme doğrulama verilerinin Marfin tarafından doğrudan saklanmaması hedeflenmektedir. Bu veriler yetkili ödeme hizmeti sağlayıcısının güvenli altyapısında işlenebilir.
5.6. İşlem Güvenliği Verileri
- IP adresi,
- oturum ve erişim zamanı,
- cihaz ve tarayıcı bilgileri,
- işletim sistemi,
- doğrulama kayıtları,
- başarısız giriş denemeleri,
- oturum belirteçleri,
- kullanıcı ve işlem logları,
- rol ve yetki değişiklikleri,
- güvenlik uyarıları,
- şüpheli işlem ve suistimal kayıtları,
- hata ve olay kayıtları.
5.7. Platform Kullanım ve Analitik Verileri
- kullanılan ekran ve özellikler,
- tıklama ve gezinme verileri,
- oturum süresi,
- performans ve hata verileri,
- dil ve bölge ayarları,
- cihaz tanımlayıcıları,
- çerez ve benzeri teknoloji verileri,
- kampanya veya yönlendirme kaynağı,
- ürün kullanım istatistikleri.
Zorunlu olmayan analitik veya pazarlama teknolojileri, uygulanabilir olduğu ölçüde kullanıcı tercihine veya gerekli onaya tabi tutulur.
5.8. Talep, Şikâyet ve İletişim Verileri
- destek talebi içeriği,
- e-posta ve mesaj yazışmaları,
- telefon veya toplantı notları,
- şikâyet ve geri bildirimler,
- yüklenen ekran görüntüsü veya belgeler,
- çözüm ve işlem geçmişi,
- memnuniyet değerlendirmeleri.
Sesli görüşme kaydı alınacaksa, kayıt başlamadan önce ayrıca bilgilendirme yapılır.
5.9. Pazarlama ve İletişim Tercihi Verileri
- e-posta, SMS, telefon, WhatsApp veya push bildirim izinleri,
- izin ve ret tarihi,
- iletişim kanalı tercihleri,
- kampanya etkileşimleri,
- bülten aboneliği,
- İleti Yönetim Sistemi kayıtları,
- çerez ve profilleme tercihleri.
Ticari ileti izni ile KVKK kapsamındaki açık rıza veya diğer hukuki sebepler birbirinden ayrı değerlendirilir.
5.10. Hukuki İşlem ve Uyum Verileri
- ihtar ve bildirim kayıtları,
- dava, icra, arabuluculuk ve uyuşmazlık bilgileri,
- resmî kurum yazışmaları,
- denetim ve inceleme kayıtları,
- hukuki talep ve savunma belgeleri,
- saklama ve imha kayıtları,
- KVKK başvuruları ve kimlik doğrulama bilgileri.
5.11. Yapay Zekâ ve OCR Kullanım Verileri
Marfin’in yapay zekâ veya OCR özelliklerini kullanan hesaplarda, kullanım şekline göre:
- istem ve komut metinleri,
- kullanıcı tarafından seçilen kayıt veya rapor bağlamı,
- sisteme yüklenen belgeler,
- belge görüntüsü ve çıkarılan metin,
- AI tarafından üretilen yanıt, öneri veya sınıflandırma,
- model, sürüm ve işlem zamanı,
- güvenlik ve hata logları,
- kullanıcı geri bildirimi
işlenebilir.
Müşteri verisi içinde yer alan üçüncü kişi bilgileri bakımından Marfin’in rolü somut işleme göre ayrıca değerlendirilir ve DPA hükümleri uygulanabilir.
5.12. Görsel ve İşitsel Veriler
- profil görseli,
- destek kapsamında isteğe bağlı ekran kaydı,
- çevrim içi toplantı görüntüsü veya sesi,
- ürün tanıtımında kullanılmasına ayrıca izin verilen içerik.
Görüşme veya toplantı kaydı alınacaksa önceden bilgilendirme yapılır ve gerekli hukuki şartlar sağlanır.
6. Kişisel Verilerin İşlenme Amaçları ve Hukuki Sebepleri
Kişisel veriler, somut işlem bakımından uygulanabilir hukuki sebebe dayanılarak işlenir. Aşağıdaki tablo temel faaliyetleri özetler.
| İşleme faaliyeti / amaç | Başlıca veri kategorileri | Başlıca hukuki sebep |
|---|---|---|
| Hesap oluşturma, kullanıcı doğrulama ve aboneliği başlatma | Kimlik, iletişim, müşteri işlem, şirket ve mesleki veriler | Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması; hukuki yükümlülük |
| Kurumsal temsil ve yetki kontrolü | Kimlik, şirket, mesleki ve hukuki işlem verileri | Sözleşmenin kurulması veya ifası; bir hakkın tesisi, kullanılması veya korunması; meşru menfaat |
| 14 günlük ücretsiz denemenin yönetimi | İletişim, hesap, kullanım ve işlem verileri | Sözleşme öncesi talep ve sözleşmenin ifası; meşru menfaat |
| Paket, abonelik, fiyatlandırma ve yenileme yönetimi | Müşteri işlem, iletişim ve ödeme verileri | Sözleşmenin ifası; hukuki yükümlülük |
| Faturalandırma, muhasebe ve tahsilat | Kimlik, iletişim, vergi, finans ve ödeme verileri | Sözleşmenin ifası; kanunlarda açıkça öngörülme; hukuki yükümlülük |
| Ödeme sağlayıcısıyla işlem yürütme | İletişim, işlem ve sınırlı ödeme verileri | Sözleşmenin ifası; hukuki yükümlülük; bir hakkın tesisi, kullanılması veya korunması |
| Destek, talep ve şikâyetlerin yanıtlanması | Kimlik, iletişim, talep/şikâyet, kullanım ve işlem verileri | Sözleşmenin ifası; bir hakkın tesisi, kullanılması veya korunması; meşru menfaat |
| Hizmet duyuruları ve zorunlu operasyonel bildirimler | İletişim ve müşteri işlem verileri | Sözleşmenin ifası; hukuki yükümlülük; meşru menfaat |
| Hesap, Platform ve bilgi güvenliğinin sağlanması | İşlem güvenliği, kullanım ve log verileri | Hukuki yükümlülük; bir hakkın tesisi, kullanılması veya korunması; meşru menfaat |
| Dolandırıcılık, kötüye kullanım ve yetkisiz erişimin önlenmesi | İşlem güvenliği, ödeme, kullanım ve hukuki işlem verileri | Hukuki yükümlülük; meşru menfaat; bir hakkın tesisi, kullanılması veya korunması |
| Ürün performansının ölçülmesi ve hata giderme | Kullanım, analitik, cihaz ve hata verileri | Meşru menfaat; zorunlu olmayan teknoloji kullanımlarında gerektiğinde açık rıza |
| Ürün özelliklerinin geliştirilmesi | Kullanım istatistikleri, geri bildirimler ve mümkün olduğunda anonimleştirilmiş veriler | Meşru menfaat; ilgili özellik gerektiriyorsa açık rıza |
| AI veya OCR talebinin yerine getirilmesi | İstem, belge, işlem bağlamı, çıktı ve log verileri | Sözleşmenin ifası; müşterinin talimatı; gerekli hâllerde açık rıza |
| Yasal yükümlülüklerin yerine getirilmesi | Kimlik, iletişim, işlem, finans, güvenlik ve hukuki işlem verileri | Kanunlarda açıkça öngörülme; veri sorumlusunun hukuki yükümlülüğü |
| Dava, icra, arabuluculuk ve hukuki savunma | İlgili tüm gerekli veri kategorileri | Bir hakkın tesisi, kullanılması veya korunması; hukuki yükümlülük |
| KVKK başvurularının yanıtlanması | Kimlik, iletişim, başvuru ve doğrulama verileri | Hukuki yükümlülük; bir hakkın tesisi, kullanılması veya korunması |
| Ticari elektronik ileti gönderimi | İletişim, izin ve pazarlama verileri | Ayrı ticari ileti onayı; ilgili işleme göre açık rıza veya diğer geçerli hukuki sebep |
| Pazarlama analitiği, profilleme ve pazarlama çerezleri | Çerez, cihaz, analitik ve kampanya verileri | Gerekli olduğu ölçüde açık rıza |
| Müşteri referansı, logo veya başarı hikâyesi kullanımı | İletişim, görsel ve kurumsal referans verileri | Ayrı sözleşme veya açık izin; gerçek kişi verisi bakımından uygun hukuki sebep |
6.1. Meşru Menfaat Değerlendirmesi
Marfin, meşru menfaat hukuki sebebine dayandığında:
- işleme faaliyetinin amaç için gerekli olup olmadığını,
- daha az veri işleyen alternatif bulunup bulunmadığını,
- ilgili kişinin makul beklentilerini,
- verinin niteliğini ve işlemenin etkisini,
- uygulanabilecek teknik ve idari güvenceleri
değerlendirir. İlgili kişinin temel hak ve özgürlüklerine zarar veren bir işleme yalnızca Marfin’in ticari menfaati gerekçe gösterilerek devam edilmez.
6.2. Açık Rızanın Ayrı Alınması
Açık rıza gereken durumlarda:
- aydınlatma ile açık rıza metni ayrılır,
- hizmet için zorunlu olmayan işlemlerde rıza hizmet şartı hâline getirilmez,
- farklı amaçlar için mümkün olduğunca ayrı tercihler sunulur,
- rıza ispatlanabilir şekilde kaydedilir,
- kişi rızasını ileriye etkili olarak geri çekebilir.
Açık rızanın geri çekilmesi, geri çekme tarihinden önce hukuka uygun yapılan işlemleri kendiliğinden hukuka aykırı hâle getirmez.
7. Kişisel Verilerin Toplanma Yöntemleri
Kişisel veriler aşağıdaki otomatik, kısmen otomatik veya veri kayıt sisteminin parçası olan otomatik olmayan yöntemlerle toplanabilir:
- web sitesi ve mobil uygulama kayıt formları,
- hesap, deneme ve abonelik ekranları,
- elektronik sözleşme ve onay kutuları,
- uygulama içindeki kullanıcı işlemleri,
- destek talebi, canlı destek veya mesajlaşma alanları,
- e-posta, telefon, WhatsApp ve çevrim içi toplantılar,
- teklif, sipariş ve faturalandırma süreçleri,
- ödeme hizmeti sağlayıcısından gelen işlem sonuçları,
- şirket yetkilisi veya işveren tarafından sağlanan kullanıcı bilgileri,
- banka, e-dönüşüm, pazaryeri veya diğer entegrasyonlardan gelen teknik kayıtlar,
- çerezler, SDK’lar, loglar ve benzeri teknolojiler,
- güvenlik, hata izleme ve performans sistemleri,
- kamuya açık ticaret sicili veya resmî kayıtlar,
- yetkili kamu kurumları ve adli makamlar,
- iş ortakları ve hizmet sağlayıcılar,
- ilgili kişinin Marfin’e doğrudan ilettiği belgeler.
Kişisel veriler, toplandıkları anda veya uygulanabilir mevzuatın izin verdiği uygun zamanda ilgili kişiye sunulan aydınlatma metni kapsamında işlenir.
8. Kişisel Verilerin Aktarılması
Kişisel verileriniz, amaçla bağlantılı, sınırlı ve ölçülü olmak kaydıyla aşağıdaki alıcı gruplarına aktarılabilir.
8.1. Hizmet Sağlayıcılar
- bulut barındırma ve veritabanı sağlayıcıları,
- içerik dağıtım ağı ve siber güvenlik sağlayıcıları,
- e-posta ve iletişim altyapısı sağlayıcıları,
- ödeme hizmeti sağlayıcıları,
- muhasebe, fatura ve finansal operasyon hizmetleri,
- hata izleme, loglama ve performans sağlayıcıları,
- analitik ve tercih yönetimi araçları,
- müşteri destek ve mesajlaşma altyapıları,
- yapay zekâ ve OCR sağlayıcıları,
- e-dönüşüm, banka, açık bankacılık ve pazaryeri entegrasyon sağlayıcıları,
- yedekleme, iş sürekliliği ve teknik operasyon tedarikçileri.
8.2. Profesyonel Danışmanlar
- avukatlar,
- mali müşavirler ve yeminli mali müşavirler,
- denetçiler,
- bilgi güvenliği ve teknik danışmanlar,
- sigorta ve risk yönetimi danışmanları.
Bu aktarımlar yalnızca ilgili hizmetin yürütülmesi ve gizlilik yükümlülükleri kapsamında yapılır.
8.3. Yetkili Kurum ve Kuruluşlar
Kişisel veriler:
- mahkemeler,
- savcılıklar,
- kolluk birimleri,
- vergi ve sosyal güvenlik makamları,
- Kişisel Verileri Koruma Kurumu,
- Gelir İdaresi Başkanlığı,
- diğer düzenleyici ve denetleyici kurumlar
gibi yetkili makamlara, hukuki yükümlülük veya usulüne uygun talep bulunması hâlinde aktarılabilir.
8.4. Müşteri Organizasyonu İçindeki Aktarımlar
Bir Yetkili Kullanıcının hesap içindeki işlemleri ve profil bilgileri, müşterinin hesap yöneticileri veya rol bazında yetkili diğer kullanıcıları tarafından görülebilir.
Kurumsal müşteri, kendi hesabındaki rol ve erişim yetkilerini yönetmekle yükümlüdür.
8.5. Şirket Birleşmesi veya İşlem Süreci
Bir birleşme, bölünme, hisse veya varlık devri, yatırım, yeniden yapılandırma ya da benzeri kurumsal işlem gündeme gelirse gerekli kişisel veriler:
- gizlilik yükümlülüğü altındaki potansiyel yatırımcı veya alıcılara,
- danışmanlara,
- finans kuruluşlarına,
- yetkili mercilere
hukuka uygun amaç ve kapsamla sınırlı olarak aktarılabilir.
9. Yurt Dışına Kişisel Veri Aktarımı
9.1. Muhtemel Yurt Dışı Veri Akışları
Marfin’in planlanan veya gelecekte kullanılabilecek teknik altyapısı nedeniyle kişisel veriler Türkiye dışında bulunan sunuculara veya hizmet sağlayıcılara aktarılabilir. Bu kapsamda özellikle:
- Supabase Avrupa Birliği bölgesi veya güncel bulut/veritabanı sağlayıcısı,
- Cloudflare veya güncel CDN ve güvenlik sağlayıcısı,
- OpenAI, Anthropic veya güncel kurumsal yapay zekâ sağlayıcısı,
- e-posta, analitik, hata izleme ve performans sağlayıcıları,
- uluslararası e-dönüşüm, banka veya pazaryeri bağlantıları
yurt dışı veri akışına yol açabilir.
9.2. Hukuki Aktarım Mekanizması
Yurt dışına veri aktarımı, somut aktarım bakımından yürürlükteki mevzuatta öngörülen şartlardan uygun olanına dayanılarak gerçekleştirilir. Bu mekanizmalar, uygulanabilir olduğu ölçüde:
- yeterlilik kararı,
- standart sözleşme,
- bağlayıcı şirket kuralları,
- uygun güvenceler içeren ve gerekli izne tabi taahhütname,
- kanunda sınırlı olarak düzenlenen arızi aktarım hâlleri,
- yürürlükteki mevzuatın izin verdiği diğer aktarım mekanizmaları
olabilir.
9.3. Güncel Listenin Yayımlanması
Üretimde kullanılan sağlayıcı, işleme ülkesi veya bölgesi, veri kategorileri ve aktarım mekanizması:
- Alt İşleyenler Listesi,
- Yurt Dışına Veri Aktarım Eki,
- gerekli olduğu ölçüde bu Aydınlatma Metni
üzerinden açıklanır.
9.4. Yayın Öncesi Zorunlu Doğrulama
Bu taslak yayımlanmadan önce her yurt dışı aktarım için:
- veri ihracatçısı ve veri ithalatçısı rolleri,
- aktarım kategorileri,
- işleme amaçları,
- barındırma bölgesi,
- alt işleyen zinciri,
- saklama ve silme ayarları,
- standart sözleşme veya diğer hukuki mekanizma,
- gerekli bildirim ve kayıt süreçleri
teknik ve hukuki olarak tamamlanmalıdır.
10. Ödeme İşlemleri ve Kart Verileri
10.1. Ödeme Altyapısı
Marfin abonelik ödemelerinde yetkili bir ödeme hizmeti sağlayıcısının altyapısından yararlanabilir. Planlanan sağlayıcı İyzico olup üretim öncesinde güncel sağlayıcı doğrulanacaktır.
10.2. Kart Bilgilerinin İşlenmesi
Ödeme ekranında girilen:
- tam kart numarası,
- kart güvenlik kodu,
- kartın son kullanma tarihi,
- güçlü müşteri kimlik doğrulama verileri
kural olarak ödeme hizmeti sağlayıcısının güvenli sistemlerinde işlenir. Marfin’in bu bilgileri doğrudan saklamaması hedeflenmektedir.
Marfin’e ödeme sağlayıcısından aşağıdaki sınırlı bilgiler dönebilir:
- ödeme sonucu,
- işlem ve sipariş referansı,
- maskelenmiş kart bilgisi,
- kart türü veya banka bilgisi,
- taksit ve tutar,
- hata veya ret kodu,
- token veya saklı kart referansı.
10.3. Tekrarlayan Ödeme
Otomatik yenileme veya tekrarlayan ödeme yalnızca müşterinin ayrıca bilgilendirilerek verdiği açık satın alma ve yenileme tercihi doğrultusunda işletilir.
14 günlük ücretsiz deneme:
- kredi kartı verilmesini zorunlu kılmaz,
- kendiliğinden ücretli aboneliğe dönüşmez,
- müşteri ücretli Pakete açıkça geçmedikçe tahsilat başlatmaz.
11. Yapay Zekâ ve OCR Özellikleri
11.1. İşlenen Veriler
Yapay zekâ veya OCR özelliği kullanıldığında, talebin yerine getirilmesi için:
- istem ve sorular,
- seçilen rapor veya finansal kayıt bağlamı,
- yüklenen dosya ve belge görüntüleri,
- OCR ile çıkarılan metin ve alanlar,
- üretilen analiz, öneri ve yanıtlar,
- güvenlik, hata ve işlem logları
işlenebilir ve gerekli olduğu ölçüde ilgili kurumsal teknoloji sağlayıcısına aktarılabilir.
11.2. Veri Minimizasyonu
Kullanıcılar, AI veya OCR alanlarına yalnızca işlem için gerekli verileri girmelidir. Özellikle zorunlu olmadığı sürece:
- özel nitelikli kişisel veri,
- parola ve erişim anahtarı,
- tam kart bilgisi,
- gereksiz kimlik belgesi,
- hukuki yetki bulunmayan üçüncü kişi verisi,
- ticari sır niteliğinde gereksiz bilgi
girilmemelidir.
11.3. Model Eğitiminde Kullanım
Marfin, mümkün olduğu ölçüde müşteri verilerinin genel model eğitiminde kullanılmasını engelleyen kurumsal veya API planlarını ve ayarlarını tercih eder.
Bununla birlikte üretimde kullanılacak her sağlayıcı için aşağıdakiler kesinleştirilmeden mutlak bir garanti verilmez:
- sağlayıcının güncel sözleşme hükümleri,
- veri saklama süresi,
- insan incelemesi ihtimali,
- model eğitim ayarı,
- kötüye kullanım izleme süreci,
- alt işleyenleri,
- işleme bölgesi.
Güncel durum AI Veri İşleme Politikası ve Alt İşleyenler Listesi içinde açıklanır.
11.4. AI Çıktılarının Niteliği
AI ve OCR çıktıları:
- olasılıksal olabilir,
- yanlış, eksik veya güncel olmayan bilgi içerebilir,
- kaynak belgeyle uyuşmayabilir,
- uzman görüşünün yerini tutmaz.
Kullanıcı, finansal, vergisel, hukuki veya ticari sonuç doğuran işlemlerden önce çıktıları kontrol etmeli ve gerekli uzman doğrulamasını almalıdır.
12. Çerezler, Analitik ve Benzeri Teknolojiler
Marfin web sitesi ve uygulamalarında:
- zorunlu çerezler,
- oturum ve güvenlik teknolojileri,
- tercih ve işlevsellik çerezleri,
- performans ve analitik araçları,
- hata izleme SDK’ları,
- pazarlama ve kampanya teknolojileri
kullanılabilir.
Zorunlu olmayan çerez ve benzeri teknolojiler, uygulanabilir olduğu ölçüde kullanıcı tercihi veya gerekli onay alınmadan çalıştırılmaz.
Aşağıdaki bilgiler üretim ortamı kurulunca ayrı Çerez Politikası ve tercih yönetim panelinde kesinleştirilecektir:
- çerez veya SDK adı,
- sağlayıcı,
- amacı,
- birinci veya üçüncü taraf niteliği,
- saklama süresi,
- işlenen veri kategorileri,
- yurt dışı aktarım durumu,
- hukuki sebep,
- tercih ve geri çekme yöntemi.
13. Otomatik İşleme ve İnsan Kontrolü
Marfin; belge alanı çıkarımı, işlem sınıflandırması, nakit akış tahmini, kârlılık analizi, risk veya anomali tespiti ve benzeri otomatik araçlar sunabilir.
Mevcut ürün planında:
- AI ve OCR çıktılarının kullanıcı tarafından kontrol edilmesi,
- nihai muhasebe, vergi, ödeme veya ticari kararın kullanıcı tarafından verilmesi,
- yalnızca otomatik işleme dayanarak kişi hakkında hukuki sonuç doğuran nihai karar verilmemesi
hedeflenmektedir.
Bu yaklaşımı değiştiren bir özellik devreye alınırsa:
- otomatik kararın mantığı,
- muhtemel sonuçları,
- insan müdahalesi talep etme yöntemi,
- itiraz ve düzeltme seçenekleri
ayrıca açıklanır.
14. Özel Nitelikli Kişisel Veriler
Marfin, kendi veri sorumluluğundaki hesap ve abonelik süreçlerinde özel nitelikli kişisel veri toplamayı kural olarak amaçlamaz.
Kullanıcılar, zorunlu ve hukuka uygun olmadığı sürece destek, AI, OCR veya belge yükleme alanlarına:
- sağlık verisi,
- biyometrik veya genetik veri,
- ceza mahkûmiyeti ve güvenlik tedbiri bilgisi,
- din, mezhep veya inanç bilgisi,
- siyasi düşünce,
- dernek, vakıf veya sendika üyeliği,
- cinsel hayata ilişkin bilgi,
- mevzuatta özel nitelikli sayılan diğer veriler
yüklememelidir.
Müşterinin kendi veri sorumluluğunda özel nitelikli veri işlemesi gereken durumlarda:
- geçerli işleme şartını belirlemesi,
- gerekli ek güvenlik tedbirlerini alması,
- erişimi sınırlandırması,
- veri minimizasyonu uygulaması,
- Marfin’in ilgili özelliğinin bu veri için uygunluğunu değerlendirmesi
gerekir.
15. Saklama, Hesap Kapanışı ve İmha
15.1. Genel İlke
Kişisel veriler:
- ilgili işleme amacı için gerekli süre,
- sözleşme ilişkisi,
- yasal saklama yükümlülüğü,
- zamanaşımı ve hak düşürücü süreler,
- uyuşmazlık veya denetim ihtiyacı,
- bilgi güvenliği gereksinimi
dikkate alınarak saklanır.
Süre sona erdiğinde veriler mevzuata uygun yöntemlerle silinir, yok edilir veya anonim hâle getirilir.
15.2. Planlanan Saklama Yaklaşımı
| Veri / kayıt grubu | Planlanan saklama yaklaşımı |
|---|---|
| Hesap ve kullanıcı profili | Hesap aktif olduğu süre boyunca; sonrasında yasal yükümlülük ve uyuşmazlık süreleri ölçüsünde |
| Sözleşme ve elektronik kabul kayıtları | Sözleşme süresi ve ilgili yasal saklama / zamanaşımı süreleri boyunca |
| Fatura, tahsilat ve ticari kayıtlar | Vergi ve ticaret mevzuatındaki uygulanabilir yasal süreler boyunca |
| Destek ve şikâyet kayıtları | [SAKLAMA SÜRESİ BİLGİSİ TAMAMLANACAK] |
| Güvenlik ve erişim logları | [SAKLAMA SÜRESİ BİLGİSİ TAMAMLANACAK] |
| AI istemleri, çıktıları ve AI işlem logları | [SAKLAMA VE AYAR BİLGİSİ TAMAMLANACAK] |
| Analitik ve çerez verileri | Gerçek çerez/SDK envanterindeki süreler boyunca |
| Ticari ileti izin ve ret kayıtları | İzin ilişkisi ve ilgili ispat yükümlülüğü boyunca |
| KVKK başvuru kayıtları | Başvuru ve olası uyuşmazlık süreçlerinin gerektirdiği süre boyunca |
| Yedekler | Planlanan normal yedek döngüsünde 30 gün; üretim öncesi doğrulanacaktır |
15.3. Hesap Kapanışı Sonrası Erişim
Aboneliğin sona ermesi veya hesabın kapanması hâlinde, hukuki veya güvenlik engeli bulunmadıkça müşteriye:
- altmış (60) gün boyunca verilerine erişme veya dışa aktarma imkânı sağlanır,
- veriler teknik olarak desteklenen formatlarda indirilebilir,
- 60 gün sonunda mevzuat gereği saklanması zorunlu olmayan veriler silinir, yok edilir veya anonim hâle getirilir,
- yasal olarak saklanması gereken kayıtlar yalnızca ilgili amaçla ve süreyle sınırlı tutulur,
- yedek kopyalar normal 30 günlük yedek döngüsü içinde silinir.
15.4. Veri Dışa Aktarma Formatları
Desteklenen formatlar ürün geliştikçe belirlenebilir. Planlanan formatlar:
- CSV,
- XLSX,
- PDF,
- JSON,
- XML,
- teknik olarak desteklenen diğer formatlardır.
Kesin formatlar ve özellik bazlı kapsam [BİLGİ TAMAMLANACAK] olarak işaretlenmiştir.
15.5. Ayrıntılı Politika
Saklama süreleri, periyodik imha, silme, yok etme, anonimleştirme ve sorumluluklar ayrıca Veri Saklama ve İmha Politikası ile düzenlenir.
16. Bilgi Güvenliği
Marfin, işlenen verinin niteliği, işleme amacı, teknik imkânlar ve risk seviyesiyle uyumlu idari ve teknik tedbirler almayı hedefler.
Bu tedbirler, üretim sisteminde mevcut olduğu ve doğrulandığı ölçüde şunları içerebilir:
- rol ve yetki yönetimi,
- e-posta doğrulaması,
- güçlü parola politikası,
- iki aşamalı doğrulama,
- oturum ve erişim kontrolü,
- loglama ve güvenlik izleme,
- veri aktarım güvenliği,
- yedekleme ve geri yükleme,
- çalışan ve tedarikçi erişim sınırlamaları,
- gizlilik yükümlülükleri,
- zafiyet ve olay yönetimi,
- güvenli yazılım geliştirme uygulamaları,
- veri minimizasyonu ve maskeleme,
- alt işleyen güvenliği değerlendirmesi.
Teknik olarak doğrulanmayan bir şifreleme standardı, sertifika, kesintisizlik oranı, RPO/RTO değeri veya sıfır veri kaybı garantisi bu metinle taahhüt edilmez.
Kişisel veri ihlali şüphesinde olay:
- kayıt altına alınır,
- kapsam ve etki bakımından değerlendirilir,
- gerekli teknik önlemler alınır,
- ilgili veri sorumluları bilgilendirilir,
- yasal bildirim yükümlülükleri değerlendirilir,
- delil ve loglar korunur.
17. İlgili Kişinin Hakları
İlgili kişiler, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. maddesi kapsamında veri sorumlusuna başvurarak:
- kişisel verilerinin işlenip işlenmediğini öğrenme,
- kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- kişisel verilerin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
- kişisel verilerin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
- kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme,
- kanuni şartları oluştuğunda kişisel verilerin silinmesini veya yok edilmesini isteme,
- düzeltme, silme veya yok etme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- işlenen verilerin münhasıran otomatik sistemler aracılığıyla analiz edilmesi sonucu kişinin aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- kişisel verilerin kanuna aykırı işlenmesi nedeniyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir.
Bir talebin yerine getirilmesi, ilgili hakkın kanuni şartlarının somut olayda oluşmasına ve Marfin’in tabi olduğu saklama veya diğer hukuki yükümlülüklere bağlıdır.
18. Veri Sorumlusuna Başvuru Yöntemi
18.1. Başvuruda Bulunması Gereken Bilgiler
Başvuruda mümkün olduğunca aşağıdaki bilgiler bulunmalıdır:
- ad ve soyadı,
- başvuru yazılı ise imza,
- Türkiye Cumhuriyeti vatandaşı için T.C. kimlik numarası; yabancı için uyruğu, pasaport numarası veya varsa kimlik numarası,
- tebligata esas yerleşim yeri veya iş yeri adresi,
- bildirime esas e-posta adresi, telefon ve varsa faks numarası,
- talebin konusu ve açıklaması,
- talebi destekleyen bilgi ve belgeler,
- başvuru sahibiyle eşleştirme yapılmasını sağlayacak müşteri veya kullanıcı bilgisi,
- tercih edilen yanıt yöntemi.
Marfin, başvurunun güvenli biçimde sonuçlandırılması amacıyla talebin niteliğiyle orantılı ek kimlik veya yetki doğrulaması isteyebilir.
18.2. Başvuru Kanalları
Başvurular aşağıdaki yöntemlerle iletilebilir:
A. Yazılı başvuru
Adres:
1453 İstanbul Gıda San. ve Tic. Ltd. Şti.
Mevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A
Gebze/Kocaeli
Zarf üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılması önerilir.
B. KEP üzerinden başvuru
KEP adresi: [KEP ADRESİ VARSA EKLENECEKTİR]
C. Güvenli elektronik imza veya mobil imza
Güvenli elektronik imza veya mobil imza kullanılarak hazırlanmış başvuru, Marfin’in ilan edeceği elektronik başvuru kanalına gönderilebilir.
Elektronik başvuru adresi: [BİLGİ TAMAMLANACAK]
D. Daha önce bildirilen ve sistemde kayıtlı e-posta adresi
Başvuru sahibi tarafından Marfin’e daha önce bildirilen ve sistemlerde kayıtlı e-posta adresi kullanılarak:
adresine başvuru yapılabilir.
E-posta konu satırına “KVKK İlgili Kişi Başvurusu” yazılması önerilir.
E. Gelecekte oluşturulabilecek başvuru formu
Marfin tarafından yayımlanacak İlgili Kişi Başvuru Formu veya uygulama içi güvenli başvuru ekranı da kullanılabilir.
18.3. Başvurunun Yanıtlanması
Marfin, usulüne uygun başvuruları talebin niteliğine göre mümkün olan en kısa sürede ve en geç kanuni süre içinde sonuçlandırır.
Başvurular kural olarak ücretsizdir. İşlemin ayrıca bir maliyet gerektirmesi hâlinde, yürürlükteki mevzuatta belirlenen tarife uygulanabilir.
Yanıt:
- yazılı olarak,
- elektronik ortamda,
- başvuru sahibinin tercih ettiği ve güvenli olduğu değerlendirilen diğer yöntemle
iletilebilir.
18.4. Başvurunun Reddedilebileceği veya Sınırlandırılabileceği Durumlar
Talep, özellikle aşağıdaki hâllerde gerekçesi açıklanarak reddedilebilir veya kanuni sınırlar içinde kısmen karşılanabilir:
- başvuru sahibinin kimliğinin doğrulanamaması,
- başvurunun başka kişilerin hak ve özgürlüklerini ihlal etmesi,
- talep edilen verinin yasal olarak saklanmasının zorunlu olması,
- talebin Marfin’in veri sorumlusu olmadığı bir işleme ilişkin olması,
- talebin mevzuatta öngörülen istisna kapsamında kalması,
- talebin açıkça kötüye kullanım niteliğinde veya ölçüsüz olması.
Marfin’in veri işleyen olduğu bir başvuru alınırsa, başvuru uygun olduğu ölçüde ilgili veri sorumlusu müşteriye yönlendirilebilir veya başvuru sahibine veri sorumlusuna başvurması için bilgi verilebilir.
19. Temsilci veya Veli Aracılığıyla Başvuru
Başvurunun ilgili kişi yerine temsilci tarafından yapılması hâlinde:
- özel yetki içeren vekâletname,
- velayet veya vesayet belgesi,
- tüzel kişi temsil yetkisi belgesi,
- gerekli kimlik doğrulama belgeleri
talep edilebilir.
Çocuklara yönelik bir B2C hizmet sunulması hâlinde, yaş doğrulama, veli izni ve çocuklara uygun ayrı aydınlatma süreçleri oluşturulur. Marfin’in mevcut Platformu ticari veya mesleki amaçlarla hareket eden kullanıcılara yöneliktir.
20. Metindeki Değişiklikler
Marfin:
- mevzuat değişikliği,
- ürün ve özellik değişikliği,
- yeni entegrasyon veya hizmet sağlayıcısı,
- veri akışında esaslı değişiklik,
- saklama veya güvenlik yaklaşımındaki değişiklik
nedeniyle bu Aydınlatma Metnini güncelleyebilir.
Yeni sürümde:
- sürüm numarası,
- son güncelleme tarihi,
- yürürlük tarihi,
- esaslı değişiklik özeti
gösterilir.
Esaslı değişiklikler, uygulanabilir olduğu ölçüde hesap içi bildirim, e-posta veya web sitesi üzerinden duyurulur. Yeni bir açık rıza gerektiren işleme yalnızca eski metnin güncellenmesine dayanılarak başlanmaz; gerekli yeni tercih ayrıca alınır.
21. İletişim
Kişisel verilerin işlenmesine ilişkin soru, görüş ve başvurular için:
1453 İstanbul Gıda San. ve Tic. Ltd. Şti.
Mevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A, Gebze/Kocaeli
Telefon: +90 (532) 420 66 35
E-posta: info@marfin.com.tr
Web: https://www.marfin.com.tr
KEP: [KEP ADRESİ VARSA EKLENECEKTİR]
22. Yayın Öncesi Tamamlanacak Alanlar
Bu bölüm yayımlanan son kullanıcı metninden kaldırılmalı; aşağıdaki maddeler ürün, teknik ve hukuk ekipleri tarafından tamamlanmalıdır.
22.1. Kurumsal ve Başvuru Bilgileri
- KEP adresi kesinleştirildi.
- Ayrı bir KVKK başvuru e-postası gerekip gerekmediği değerlendirildi.
- Elektronik imza ve mobil imza başvuru adresi belirlendi.
- İlgili Kişi Başvuru Formu yayımlandı.
- VERBİS kayıt yükümlülüğü ve sicil bilgisi değerlendirildi.
- Veri sorumlusu irtibat kişisi veya temsilcisi bilgileri gerekiyorsa eklendi.
22.2. Veri Envanteri
- Gerçek veri kategorileri ürün ekranlarıyla karşılaştırıldı.
- T.C. kimlik numarası ve doğum tarihi gerçekten toplanıyor mu doğrulandı.
- Destek kayıtlarında ses veya ekran kaydı bulunup bulunmadığı doğrulandı.
- Mobil uygulama izinleri ve SDK’lar envantere eklendi.
- AI ve OCR özelliklerinin gönderdiği gerçek alanlar belirlendi.
- Özel nitelikli veri işleme ihtiyacı ve tedbirleri değerlendirildi.
- Tam otomatik karar veya profilleme bulunup bulunmadığı doğrulandı.
22.3. Hizmet Sağlayıcılar ve Aktarımlar
- Supabase üretim bölgesi ve sözleşme tarafı doğrulandı.
- Cloudflare ürünleri ve işlenen veri kategorileri doğrulandı.
- İyzico veya güncel ödeme sağlayıcısı kesinleştirildi.
- Zoho veya güncel e-posta/SMTP sağlayıcısı kesinleştirildi.
- OpenAI ve Anthropic üretim planları, saklama ayarları ve eğitim politikaları doğrulandı.
- Analitik, hata izleme ve performans araçları belirlendi.
- E-dönüşüm entegratörü belirlendi.
- Banka/açık bankacılık sağlayıcısı belirlendi.
- Pazaryeri entegrasyonları belirlendi.
- Alt İşleyenler Listesi tamamlandı.
- Yurt Dışına Veri Aktarım Eki tamamlandı.
- Her aktarım için standart sözleşme veya diğer geçerli mekanizma tamamlandı.
- Gerekli Kurum bildirimleri ve kayıtları yapıldı.
22.4. Saklama ve İmha
- Destek kayıtlarının saklama süresi belirlendi.
- Güvenlik ve işlem loglarının saklama süresi belirlendi.
- AI istem ve çıktı kayıtlarının Marfin’de saklama süresi belirlendi.
- Üçüncü taraf AI sağlayıcılarının saklama süresi belirlendi.
- Çerez ve SDK süreleri gerçek envantere işlendi.
- Günlük yedekleme ve 30 günlük yedek döngüsü teknik olarak doğrulandı.
- 60 günlük hesap kapanışı ve veri dışa aktarım akışı üründe test edildi.
- Veri Saklama ve İmha Politikasıyla süreler eşleştirildi.
22.5. Onay ve Yayın
- B2B Kullanıcı ve Abonelik Sözleşmesiyle terminoloji kontrol edildi.
- DPA ile veri sorumlusu/veri işleyen rolleri kontrol edildi.
- Gizlilik Politikasıyla kullanıcı dostu açıklamalar eşleştirildi.
- Çerez Politikası ve tercih paneliyle tutarlılık kontrol edildi.
- Açık Rıza ve Ticari Elektronik İleti Onayı ayrı tutuldu.
- Hukukçu incelemesi tamamlandı.
- Teknik ekip doğrulaması tamamlandı.
- Yürürlük tarihi eklendi.
- Taslak uyarısı ve bu kontrol listesi yayımlanan sürümden kaldırıldı.
Belge Sonu
Bu belge, Marfin Hukuki Dokümantasyon Projesi kapsamında hazırlanmıştır.
Sonraki bağlantılı belgeler:
- Gizlilik Politikası
- Çerez Politikası
- Açık Rıza ve Ticari İleti Onayı
- Veri İşleme Sözleşmesi (DPA)
- Veri Saklama ve İmha Politikası
- İlgili Kişi Başvuru Formu
- Alt İşleyenler Listesi
- Yurt Dışına Veri Aktarım Eki
- AI Veri İşleme Politikası