Tagora KVKK Aydınlatma Metni
Yürürlük Tarihi: 2026-07-05
Versiyon: 1.0
Veri Sorumlusu: Tagora Teknoloji [Ltd. Şti. / Kuruluş süreci — güncelleme yapılacak]
1. Veri Sorumlusunun Kimliği
6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında veri sorumlusu sıfatıyla hareket eden Tagora Teknoloji ("Tagora", "biz") olarak, sunduğumuz web sitesi ("tagora.com.tr", "tagora.link"), mobil uygulama ("Tagora") ve QR sticker platformu üzerinden ("Hizmet") edindiğimiz kişisel verilerinizi, KVKK ve ilgili mevzuata uygun şekilde işlemekteyiz.
İletişim Bilgileri
- E-posta:
kvkk@tagora.com.tr - Web:
https://tagora.com.tr - Adres: [Şirket kuruluşu tamamlandığında güncellenecek]
Bu Aydınlatma Metni; Tagora tarafından hangi kişisel verilerinizin, hangi amaçlarla ve hangi hukuki sebeplere dayanılarak işlendiği, kimlere aktarıldığı, ne kadar süreyle saklandığı ve KVKK m.11 kapsamındaki haklarınızı düzenlemektedir.
2. İşlenen Kişisel Veri Kategorileri
Hizmet kapsamında aşağıdaki kişisel veri kategorileri işlenmektedir:
2.1 Kimlik ve İletişim Verileri
- E-posta adresi
- Telefon numarası (opsiyonel, doğrulama için, şifrelenmiş)
- Ad-soyad (sadece kargo teslimatı için, sipariş verildiğinde)
- Görüntülenen ad / kullanıcı adı (kullanıcının kendi verdiği)
2.2 Müşteri İşlem Verileri
- Sipariş bilgileri (ürün, adet, tutar, tarih)
- Ödeme bilgileri (iyzico üzerinden işlenir, kart bilgileri Tagora sunucularında saklanmaz)
- Teslimat adresi
- Kargo takip numarası
2.3 Kullanım Verileri
- Sticker'lara verdiğiniz isim ve kullanım türü (araç, kapı, pet vb.)
- Sticker'ınıza gelen QR taramaları ve mesajlar
- Uygulama içi tercihleriniz (dil, bildirim ayarları vb.)
- KVKK açık rıza tarihi ve pazarlama izni durumu
2.4 İletişim İçeriği Verileri
- Sticker'ınızı tarayan üçüncü şahısların size gönderdiği anonim mesaj içerikleri
- Sizin bu mesajlara verdiğiniz cevaplar
- Rapor edilen içerikler ve şikayet detayları
2.5 Teknik Veriler
- IP adresi (hash'lenmiş formatta)
- Cihaz bilgisi (işletim sistemi, tarayıcı, uygulama versiyonu)
- Oturum tanımlayıcıları (session cookie, auth token)
- Sticker tarayan üçüncü kişiler için: geçici cihaz parmak izi (fingerprint hash — 24 saat sonra otomatik silinir)
2.6 İşitsel/Görsel Veriler (v1 sürümünde)
- Sesli iletişim özelliği kullanıldığında (maskeli/anonim) çağrı meta verileri; ses içeriği kaydedilmez.
3. Kişisel Verilerin İşlenme Amaçları
Kişisel verileriniz, aşağıdaki amaçlarla işlenmektedir:
a) Hizmet Sunumu
- Kullanıcı hesabınızın oluşturulması ve yönetilmesi
- Sticker sipariş ve teslimat süreçlerinin yürütülmesi
- Sticker sahibi olarak sizinle QR tarayan üçüncü kişiler arasında anonim iletişim kurulması
- Uygulama içi bildirimlerin (yeni mesaj, sipariş durumu) gönderilmesi
b) Yasal Yükümlülüklerin Yerine Getirilmesi
- Vergi kanunları gereği fatura bilgilerinin saklanması
- KVKK Md.16 gereği VERBİS bildirimi
- Yetkili kamu makamlarının hukuka uygun taleplerine cevap verilmesi
c) Güvenlik ve Kötüye Kullanımın Önlenmesi
- Şüpheli / kötü niyetli işlemlerin tespiti
- Spam, taciz, phishing içeriklerin engellenmesi
- Hesap güvenliğinizin korunması
d) Ürün Geliştirme ve İstatistiksel Analiz
- Hizmet kalitesinin izlenmesi ve iyileştirilmesi
- Anonim/toplu istatistikler ile ürün geliştirme
- Hata takibi (Sentry gibi araçlarla, kişisel veri hariç)
e) Pazarlama İletişimi (Açık Rızanız Halinde)
- Yeni özellik duyuruları
- Kampanya ve indirimlerin bildirilmesi
- Kullanıcı deneyimi geliştirme anketleri
4. İşleme Hukuki Sebepleri (KVKK m.5)
Kişisel verileriniz aşağıdaki hukuki sebeplere dayanılarak işlenmektedir:
| Hukuki Sebep | Uygulama |
|---|---|
| Sözleşmenin ifası (m.5/2-c) | Kullanıcı hesabı, sipariş, teslimat, iletişim özelliği |
| Kanuni yükümlülük (m.5/2-a) | Vergi kanunu, KVKK, e-fatura mevzuatı |
| Meşru menfaat (m.5/2-f) | Güvenlik, dolandırıcılık koruması, ürün geliştirme |
| Açık rıza (m.5/1) | Pazarlama iletişimi, profilleme, çerezler |
Kart ödeme bilgileri gibi özel nitelikli veya finansal veriler, ödeme sağlayıcı iyzico tarafından işlenir; Tagora bu verileri saklamaz.
5. Kişisel Verilerin Aktarıldığı Üçüncü Taraflar
Kişisel verileriniz, hizmet sunabilmek amacıyla aşağıdaki üçüncü taraflara aktarılmaktadır. Tüm aktarımlar KVKK m.8 ve m.9 hükümleri çerçevesinde gerçekleşir.
5.1 Yurt İçi Aktarımlar
| Alıcı | Amaç | Aktarılan Veriler |
|---|---|---|
| iyzico Ödeme Hizmetleri A.Ş. | Ödeme işlemleri | Sipariş tutarı, e-posta, IP |
| Aras Kargo / Sendeo / Yurtiçi Kargo | Teslimat | Ad-soyad, adres, telefon |
| Netgsm | Telefon OTP (v1) | Telefon numarası |
| Yetkili kamu makamları | Hukuki talep halinde | Yasal mecbur bırakılan kısıtlı bilgi |
5.2 Yurt Dışı Aktarımlar
Aşağıdaki hizmet sağlayıcıları ile yurt dışı aktarım gerçekleşmektedir. Tüm sağlayıcılar Avrupa Birliği yeterli koruma kararı kapsamında (AB veri yerleşimi) veya standart sözleşme maddeleri (SCC) ile korunmaktadır:
| Alıcı | Ülke | Amaç |
|---|---|---|
| Supabase Inc. | AB (Frankfurt) | Veritabanı barındırma, kimlik doğrulama |
| Vercel Inc. | AB (Frankfurt) | Web sitesi barındırma |
| Resend | AB / ABD | Transactional e-posta gönderimi |
| Cloudflare Inc. | Global CDN | DDoS koruma, önbellek |
| Sentry | AB / ABD | Hata izleme (kişisel veri hariç) |
| Twilio (v1) | ABD | Maskelenmiş sesli arama (premium) |
Yurt dışı aktarımlarımızın her biri KVKK m.9/1 hükmü kapsamında açık rızanız ile veya yeterli koruma kararı kapsamında gerçekleşmektedir.
6. Kişisel Verilerin Toplama Yöntemi
Kişisel verileriniz aşağıdaki yöntemlerle toplanmaktadır:
- Web sitesi ve mobil uygulama üzerinden sizin doğrudan sağladığınız bilgiler (kayıt, sipariş, mesaj)
- Otomatik toplama araçları (çerezler, oturum tanımlayıcıları)
- Sticker'ınızı tarayan üçüncü şahıslardan (anonim ziyaretçilerden) gelen mesajlar
- Ödeme sağlayıcı iyzico'dan işlem sonucu geri bildirimleri
- Kargo firmalarından teslimat durum güncellemeleri
7. Saklama Süreleri
Kişisel verileriniz, işleme amaçlarının gerektirdiği süre boyunca ve azami olarak aşağıdaki sürelerde saklanır:
| Veri Kategorisi | Saklama Süresi |
|---|---|
| Kullanıcı hesap bilgileri | Hesap aktif olduğu süre + 30 gün (silme talebi sonrası anonimleştirme) |
| Sipariş ve fatura bilgileri | 5 yıl (Vergi Usul Kanunu m.253) |
| Mesaj içerikleri (chat) | 90 gün (sonra otomatik soft-delete) |
| Cihaz parmak izi (fingerprint hash) | 24 saat (sonra otomatik null'lanır) |
| Scanner (ziyaretçi) session token'ı | 7 gün (sonra otomatik silinir) |
| Audit log kayıtları | 1 yıl |
| Pazarlama izin geçmişi | Rıza geri alınana kadar |
Süreler dolduğunda ilgili veriler otomatik olarak anonimleştirilir veya güvenli bir şekilde imha edilir.
8. Veri Sahibinin Hakları (KVKK m.11)
KVKK m.11 uyarınca kişisel verilerinizle ilgili aşağıdaki haklara sahipsiniz:
- Öğrenme: Kişisel verilerinizin işlenip işlenmediğini öğrenme
- Bilgi Talep Etme: Verileriniz işleniyorsa buna ilişkin bilgi talep etme
- Amaç Öğrenme: İşleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt İçi/Dışı Aktarım: Verilerinizin aktarıldığı üçüncü kişileri öğrenme
- Düzeltme: Eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme
- Silme/Yok Etme: KVKK m.7 çerçevesinde silme, yok etme veya anonim hale getirilmesini isteme
- Aktarım Bildirimi: Yapılan düzeltme, silme ve yok etme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
- İtiraz: Otomatik sistemler ile analiz edilerek aleyhinize bir sonuç ortaya çıkmasına itiraz etme
- Zararın Giderilmesi: Kanuna aykırı işleme sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme
Haklarınızı Nasıl Kullanabilirsiniz?
Yukarıdaki haklarınızı kullanmak için:
a) Uygulama İçi Self-Servis:
- Mobil uygulama → Profil → KVKK & Verim → Verimi indir (JSON export)
- Mobil uygulama → Profil → KVKK & Verim → Hesabımı sil (anonimleştirme, sticker'ları retire)
- Web dashboard → Profil → KVKK menüsünden aynı işlemler
b) Yazılı Başvuru:
- E-posta:
kvkk@tagora.com.tradresine kimliğinizi doğrulayacak bilgilerle - İmzalı yazılı başvuru (posta veya elden teslim)
Talebiniz en geç 30 gün içinde ücretsiz olarak cevaplanır. Ancak KVKK Kurulu tarafından ücret öngörüldüğü durumlarda ücret talep edilebilir.
Cevabımızdan memnun kalmazsanız veya cevap alamazsanız Kişisel Verileri Koruma Kurulu'na (kvkk.gov.tr) şikayette bulunabilirsiniz.
9. Veri Güvenliği Önlemleri
Kişisel verilerinizin güvenliği için aldığımız teknik ve idari önlemler:
Teknik Önlemler
- Tüm veriler AB (Frankfurt) yerleşimli sunucularda tutulur
- İletişim: HTTPS (TLS 1.3) ile şifrelidir
- Depolama: PostgreSQL kolon bazlı şifreleme (
pgp_sym_encrypt) - Şifreler:
bcryptile hash'lenir, düz metin saklanmaz - Row-Level Security (RLS) tüm veritabanı erişimlerinde uygulanır
- Uygulama katmanında rol tabanlı yetkilendirme
- Chat mesajlarında uçtan uca şifreleme yol haritasında (v1)
- Otomatik güvenlik denetleme (Sentry, uptime monitoring)
İdari Önlemler
- KVKK farkındalık eğitimi
- Veri işleme envanteri ve düzenli gözden geçirme
- Kısıtlı erişim politikası (yalnızca gerekli personel)
- Alt işleyenlerle Veri İşleyici Sözleşmesi (DPA)
- Veri ihlali müdahale planı (72 saat KVKK bildirimi)
10. Çocukların Gizliliği
Tagora, 13 yaşın altındaki çocuklardan bilerek kişisel veri toplamaz. 13-18 yaş arasındaki kullanıcılar veli/vasi izniyle hizmeti kullanabilir. Çocuğunuza ait bir kaydın var olduğunu düşünüyorsanız lütfen kvkk@tagora.com.tr üzerinden bize bildirin, ilgili kayıt en geç 7 gün içinde silinir.
11. Değişiklikler
Bu Aydınlatma Metni'ni ürün, mevzuat veya iş süreçlerimizdeki değişikliklere bağlı olarak güncelleyebiliriz. Önemli değişikliklerde e-posta veya uygulama içi bildirim ile sizi bilgilendireceğiz. Güncel versiyon her zaman tagora.com.tr/kvkk adresinde yayınlanır.
Versiyon geçmişi:
- v1.0 — 2026-07-05 — İlk versiyon
12. İletişim
KVKK'ya ilişkin tüm sorular ve talepler için:
- E-posta:
kvkk@tagora.com.tr - Yazılı başvuru adresi: [Şirket kuruluşu sonrası güncellenecek]
Bu metin bilgilendirme amaçlıdır. Kişisel verilerinizle ilgili haklarınız KVKK'da açıkça düzenlenmiştir; hukuki bir sorun için avukatınıza danışmanız önerilir.