KVKK Aydınlatma Metni
İşbu KVKK Aydınlatma Metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında, Stobio platformunu kullanan kişilerin kişisel verilerinin hangi amaçlarla işlendiği, kimlere aktarılabileceği, hangi hukuki sebeplere dayanıldığı ve ilgili kişilerin hakları hakkında bilgilendirme yapmak amacıyla hazırlanmıştır.
1. Veri Sorumlusu
İşbu metin kapsamında kişisel verileriniz, Türkiye'de yerleşik ferdi şirket (sole trader) olarak faaliyet gösteren Stobio sahibi Selman Kılınç tarafından veri sorumlusu sıfatıyla işlenmektedir. Bu metinde "Stobio", "biz" veya "tarafımız" ifadeleri aynı veri sorumlusunu ifade eder.
Veri sorumlusuna ilişkin tebligata esas iletişim bilgileri ve hak başvuruları için: support@stobio.com
Web sitesi: stobio.com
2. İşlenen Kişisel Veri Kategorileri
Stobio, Platform'un sunulması kapsamında aşağıdaki kişisel veri kategorilerini işler:
- Hesap verisi. E-posta adresi, hashlenmiş parola, hesap tanımlayıcısı ve (isteğe bağlı olarak) isim.
- Tenant konfigürasyon verisi. Mağaza alan adları, GA4 / Meta hedef kimlik bilgileri (rest'te şifrelenmiş olarak saklanır) ve Kullanıcı tarafından sağlanan yönlendirme konfigürasyonu.
- Olay (event) verisi. Kullanıcı adına Stobio üzerinden iletilen server-side event'ler. Gerektiğinde tanımlayıcılar (örn. e-posta, telefon numarası) üçüncü taraf hedeflere yönlendirilmeden önce hashlenir. Bu veri kategorisi bakımından veri sorumlusu sıfatı Kullanıcı'da kalır; Stobio, Kullanıcı'nın talimatları doğrultusunda veri işleyen olarak hareket eder.
- Ödemeye ilişkin veri. Yetkili Satıcı (Merchant of Record) sıfatıyla Paddle'dan alınan abonelik durumu ve işlem onayı meta verisi. Tam ödeme aracı bilgileri (kart numarası, IBAN vb.) Stobio sistemlerinde toplanmaz veya saklanmaz; bu bilgiler doğrudan Paddle tarafından işlenir.
- Teknik ve güvenlik verisi. IP adresi, oturum tanımlayıcıları, erişim zamanı, hata kayıtları ve Platform'un işletilmesi ve güvenliğinin sağlanması amacıyla tutulan denetim kayıtları.
- Destek yazışmaları. Destek talebi iletmeniz halinde mesaj içeriği dahil ilettiğiniz bilgiler.
Stobio, Kullanıcı'dan özel nitelikli kişisel veri talep etmemektedir. Kullanıcı'nın kendi isteğiyle destek mesajı, geri bildirim veya serbest metin alanları üzerinden kişisel veri paylaşması halinde, bu veriler ilgili talebin yanıtlanması amacıyla sınırlı olarak işlenir.
3. Kişisel Verilerin İşlenme Amaçları
- Kullanıcı hesabının oluşturulması.
- Kullanıcı'nın Platform'a giriş yapabilmesi.
- Platform hizmetlerinin sunulması.
- Kullanıcı ile gerekli durumlarda iletişim kurulması.
- Hesap güvenliğinin sağlanması.
- Yetkisiz erişimlerin ve kötüye kullanımın önlenmesi.
- Teknik hataların tespiti ve giderilmesi.
- Platform'un geliştirilmesi ve performansının ölçülmesi.
- Kullanıcı taleplerinin ve destek başvurularının yanıtlanması.
- Mevzuattan doğan yükümlülüklerin yerine getirilmesi.
- Hukuki uyuşmazlıkların önlenmesi veya çözülmesi.
4. Kişisel Veri İşlemenin Hukuki Sebepleri
Kişisel verileriniz KVKK madde 5 kapsamında aşağıdaki hukuki sebeplere dayanılarak işlenmektedir:
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması nedeniyle kişisel veri işlemenin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması.
E-posta adresiniz, hesap oluşturma, Platform'a erişim sağlama ve hizmetin sunulması için işlenmektedir. Bu nedenle e-posta adresinin işlenmesi temel olarak kullanım sözleşmesinin kurulması ve ifası hukuki sebebine dayanmaktadır.
Pazarlama, kampanya, bülten veya ticari elektronik ileti gönderimi yapılması halinde, bu faaliyet ayrıca açık rızanıza veya ilgili mevzuatta öngörülen diğer hukuki şartlara tabi olacaktır.
5. Kişisel Verilerin Toplanma Yöntemleri
- Platform'a üye olmanız.
- Giriş yapmanız.
- Platform'u kullanmanız.
- Destek veya iletişim talepleri iletmeniz.
- Sistem güvenliği ve log kayıtlarının otomatik olarak oluşturulması.
6. Kişisel Verilerin Aktarılması
Kişisel verileriniz, yukarıda belirtilen amaçlarla sınırlı olmak üzere aşağıdaki kişi veya kuruluşlarla paylaşılabilir:
- Barındırma ve veritabanı hizmet sağlayıcıları.
- Altyapı, güvenlik, bakım ve teknik destek sağlayıcıları.
- E-posta gönderim veya bildirim hizmet sağlayıcıları.
- Ödeme ve fatura altyapısı sağlayıcıları.
- Yetkili kamu kurum ve kuruluşları.
- Hukuki danışmanlar, denetçiler ve hizmet alınan diğer profesyonel danışmanlar.
- Mevzuatın izin verdiği veya zorunlu kıldığı diğer kişi ve kuruluşlar.
6.1. Hizmet Sağlayıcı (Alt İşleyen) Envanteri
Stobio, Platform'un sunulması için aşağıdaki hizmet sağlayıcılardan yararlanmaktadır. Her bir sağlayıcı, Stobio'nun talimatları doğrultusunda ve kendi yayımladığı veri işleme şartları (DPA) çerçevesinde veri işleyen sıfatıyla hareket eder.
| Sağlayıcı | İşlenen Veri Kategorisi | İşleme Amacı | Region |
|---|---|---|---|
| Neon | Hesap bilgileri, e-posta, oturum/log, abonelik ve ödeme kayıtları, kullanım metrikleri | PostgreSQL veritabanı barındırma | Frankfurt / AB |
| Bunny.net | Statik içerik dağıtımı, API container'ları, edge log | Web ve API barındırma, içerik dağıtımı | AB edge |
| Mailjet | E-posta adresi, gönderim meta verisi (zaman, durum, açılma/teslim) | İşlemsel e-posta gönderimi | AB |
| Paddle | Ödeme akışına ilişkin müşteri ve fatura bilgileri; abonelik durumu ve işlem onayı meta verisi | Ödeme işlemleri, KDV/satış vergisi tahsilatı ve faturalama (Merchant of Record / Yetkili Satıcı sıfatıyla) | ABD / Birleşik Krallık |
| GitHub (GHCR) | API container imajları (kişisel veri içermez) | Container imaj barındırma | AB / ABD |
| Sentry | Hata kayıtları, istisna stack trace'leri, ilgili istek meta verisi | Uygulama hata takibi ve teşhis telemetrisi | AB / ABD |
| BetterStack | Servis erişilebilirlik durumu ve olay bildirim meta verisi | Uptime izleme ve olay uyarıları | AB |
Sub-processor listesi güncellendikçe bu Aydınlatma Metni güncellenir. Sub-processor değişikliği veri işleme amaç ve kapsamını esaslı şekilde etkilediği takdirde Kullanıcı, kayıtlı e-posta adresi aracılığıyla bilgilendirilir.
Kişisel verileriniz üçüncü kişilerle ticari amaçlarla satılmaz, kiralanmaz veya paylaşılmaz.
7. Yurt Dışına Veri Aktarımı
Stobio, Platform'un veritabanı, içerik dağıtımı, e-posta gönderimi ve uygulama barındırma hizmetleri kapsamında yurt dışında yerleşik hizmet sağlayıcılardan yararlanmaktadır. Bölüm 6.1'de yer alan envanter, hangi verilerin hangi sağlayıcı tarafından işlenebileceğini özetlemektedir.
Veritabanı (Neon). Hesap bilgileri, e-posta adresi, oturum/log kayıtları, abonelik ve kullanım metrikleri Neon tarafından PostgreSQL veritabanı altyapısında işlenmektedir. Stobio Neon projesini Frankfurt/Almanya (AB) region'ında yapılandırmıştır. Neon, müşteri verilerinin müşteri tarafından seçilen region'da saklandığını, verileri müşteri talimatları doğrultusunda veri işleyen sıfatıyla işlediğini, Data Processing Addendum (DPA) sunduğunu, GDPR kapsamında Standard Contractual Clauses (SCC) ve benzeri sınır ötesi aktarım mekanizmalarını desteklediğini, ayrıca SOC 2 Type II, ISO/IEC 27001 ve ISO/IEC 27701 sertifikalarına ilişkin dokümantasyon sağladığını belirtmektedir.
İçerik dağıtımı ve uygulama barındırma (Bunny.net). Statik içerik (web arayüzü, görseller) ile API uygulama container'ları Bunny.net üzerinden barındırılmaktadır. Bunny.net'in merkezi Slovenya'da bulunmakta olup uygulama container'ları AB region'ında çalışacak şekilde yapılandırılmıştır. CDN katmanı, ziyaretçilere coğrafi olarak en yakın edge sunucusu üzerinden içerik sunabileceği için bağlantı meta verisi (IP adresi, istek zamanı, talep edilen URL) AB dışındaki bir edge'de geçici olarak işlenebilir. Bunny.net, yayımladığı GDPR ve DPA dokümanları kapsamında veri işleyen sıfatıyla hareket etmektedir.
E-posta gönderimi (Mailjet). Hesap doğrulama, parola sıfırlama, bilgilendirme ve fatura iletimi gibi işlemsel e-postalar Mailjet aracılığıyla gönderilmektedir. Mailjet (Sinch grubu), AB içinde yerleşik bir hizmet sağlayıcıdır; kullanıcı e-posta adresleri ve gönderim meta verileri Mailjet'in AB altyapısında işlenmektedir. Mailjet, GDPR uyumlu DPA sunmakta ve veri işleyen sıfatıyla hareket etmektedir.
Ödeme ve fatura altyapısı (Paddle). Platform üzerinden ödeme alındığında, ödeme akışı Paddle tarafından Merchant of Record (Yetkili Satıcı) sıfatıyla işlenmektedir. Paddle, ödeme işlemi, KDV/satış vergisi tahsilatı ve faturalama yükümlülüklerini kendi adına üstlenmektedir; bu kapsamda ödeme akışına ilişkin müşteri ve fatura bilgileri ile abonelik durumu meta verisi Paddle tarafından işlenir. Tam kart bilgileri (kart numarası, IBAN vb.) Stobio sistemlerinde tutulmamakta, doğrudan Paddle tarafından işlenmektedir; Stobio bu bilgilere erişmemektedir. Paddle, Birleşik Krallık ve ABD'de yerleşik şirketler aracılığıyla hizmet sunmakta olup, Paddle'a yönelik aktarım KVKK madde 9 kapsamında yurt dışı aktarım niteliği taşımaktadır. Bu aktarım, KVKK ve ilgili ikincil mevzuatta öngörülen şartlar çerçevesinde (gerektiği ölçüde taahhütname, standart sözleşme veya Kurul onayı gibi uygun güvenceler dahil) gerçekleştirilir; Paddle'ın kullanım koşulları ve gizlilik politikası paddle.com/legal adresinde yayımlanmıştır.
Container imaj barındırma (GitHub / GHCR). API uygulama container imajları GitHub Container Registry üzerinde barındırılmaktadır. Bu imajlar yalnızca uygulama kodunu içermekte olup kişisel veri içermemektedir.
Hata takibi (Sentry). Platform üzerinde oluşan hatalara ilişkin istisna stack trace'leri, ilgili istek meta verisi ve uygulama bağlamı, hata tespiti ve teşhis amacıyla Sentry'ye iletilebilir. Bu kapsamda iletilen veri içinde, hatayı tetikleyen oturuma ait kullanıcı tanımlayıcısı veya teknik telemetri bulunabilir. Sentry, yayımladığı veri işleme şartları (DPA) kapsamında veri işleyen sıfatıyla hareket eder; Stobio tanımlayıcı verileri en aza indirecek şekilde yapılandırma yapar.
Uptime izleme (BetterStack). Platform'un erişilebilirlik durumu ve olay (incident) bildirimleri BetterStack üzerinden izlenir. Bu kapsamda işlenen veri esas olarak teknik servis metriklerinden oluşur; Kullanıcı içerik verisi BetterStack'a aktarılmaz.
Bu nedenle kişisel verileriniz, KVKK madde 9 kapsamında yurt dışına aktarım teşkil edebilecek şekilde işlenebilir. Stobio, yurt dışına kişisel veri aktarımı bakımından KVKK ve ilgili ikincil mevzuatta öngörülen şartlara uygun hareket etmeyi, gerekli olması halinde uygun güvenceleri, standart sözleşmeleri, Kurum bildirimlerini veya mevzuatta öngörülen diğer mekanizmaları değerlendirmeyi taahhüt eder.
Stobio tarafından KVKK madde 9 kapsamında standart sözleşme veya başka bir uygun güvence mekanizması tamamlandığında, bu Aydınlatma Metni ilgili mekanizmayı açıkça yansıtacak şekilde güncellenir.
8. Kişisel Verilerin Saklama Süresi
Kişisel verileriniz, işlenme amaçlarının gerektirdiği süre boyunca ve ilgili mevzuatta öngörülen zamanaşımı, saklama ve ispat yükümlülükleri dikkate alınarak saklanır.
- Hesap verisi. Hesabınız aktif olduğu sürece ve hesabın kapatılmasından sonra altı (6) aya kadar saklanır; mevzuat daha uzun bir süre gerektirdiği hâllerde bu süre uygulanır.
- Olay (event) verisi. Hesabınız aktif olduğu ve hizmetin sunulması için gerekli olduğu sürece saklanır; hesabın kapatılması veya talebiniz hâlinde silinir, yok edilir veya anonim hale getirilir.
- Ödeme ve fatura kayıtları. İlgili vergi ve muhasebe mevzuatının gerektirdiği süre boyunca (tipik olarak 10 yıla kadar) saklanır.
- Güvenlik kayıtları (log). Güvenlik olaylarının tespiti ve incelenmesi için gerekli makul süre boyunca saklanır.
- Destek talepleri, talebin sonuçlandırılması ve olası uyuşmazlıkların yönetimi için gerekli süre boyunca saklanır.
Saklama süresi sona erdiğinde kişisel verileriniz silinir, yok edilir veya anonim hale getirilir.
9. Veri Güvenliği
Stobio, kişisel verilerinizin güvenliğini sağlamak amacıyla makul teknik ve idari tedbirleri alır:
- Yetkisiz erişimlerin sınırlandırılması.
- Güçlü kimlik doğrulama ve erişim kontrolü.
- Veritabanı erişimlerinin sınırlandırılması.
- Şifreleme ve güvenli bağlantı yöntemleri.
- Loglama ve güvenlik takibi.
- Yedekleme ve geri yükleme süreçleri.
- Hizmet sağlayıcı seçiminde güvenlik kriterlerinin gözetilmesi.
Bununla birlikte, internet üzerinden veri iletiminin tamamen risksiz olduğu garanti edilemez.
10. İlgili Kişinin Hakları
KVKK madde 11 kapsamında aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme.
- Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme.
- Kişisel verilerinizin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme.
- Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme.
- Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde düzeltilmesini isteme.
- KVKK'da öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme.
- Düzeltme, silme veya yok etme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme.
- İşlenen verilerin münhasıran otomatik sistemler aracılığıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme.
- Kişisel verilerinizin kanuna aykırı işlenmesi nedeniyle zarara uğramanız halinde zararın giderilmesini talep etme.
11. Çocuklara İlişkin Politika
Platform çocuklara yönelik değildir. Stobio, 16 yaşın altındaki kişilerden bilerek kişisel veri toplamaz. Bir çocuğa ait kişisel verinin Platform üzerinden tarafımıza iletildiğinden şüpheleniyorsanız lütfen support@stobio.com üzerinden bizimle iletişime geçin; gerekli işlemler ivedilikle gerçekleştirilecektir.
12. Başvuru Yöntemi
KVKK kapsamındaki haklarınızı kullanmak için support@stobio.com üzerinden bize başvurabilirsiniz. Tebligat veya posta yoluyla başvuru talep ediyorsanız tebligat adresi aynı e-posta kanalı üzerinden tarafınıza bildirilecektir.
Başvurunuzda adınız, soyadınız, talebiniz ve sizinle iletişime geçebileceğimiz bilgileri belirtmeniz gerekir. Stobio şu an yalnızca e-posta adresiyle hesap oluşturduğu için, başvuruların hesabınızla ilişkili e-posta adresi üzerinden yapılması kimlik doğrulama açısından önemlidir.
Başvurularınız, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde sonuçlandırılır.
13. Değişiklikler
Bu Aydınlatma Metni, Platform'daki değişiklikler, veri işleme faaliyetlerinin güncellenmesi veya mevzuat değişiklikleri nedeniyle zaman zaman güncellenebilir. Güncel metin Platform üzerinden yayımlanır. Önemli değişiklikler Kullanıcı'ya Platform üzerinden veya kayıtlı e-posta adresi aracılığıyla bildirilebilir.