Tagora KVKK Aydınlatma Metni

Yürürlük Tarihi: 2026-07-05

Versiyon: 1.0

Veri Sorumlusu: Tagora Teknoloji [Ltd. Şti. / Kuruluş süreci — güncelleme yapılacak]


1. Veri Sorumlusunun Kimliği

6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında veri sorumlusu sıfatıyla hareket eden Tagora Teknoloji ("Tagora", "biz") olarak, sunduğumuz web sitesi ("tagora.com.tr", "tagora.link"), mobil uygulama ("Tagora") ve QR sticker platformu üzerinden ("Hizmet") edindiğimiz kişisel verilerinizi, KVKK ve ilgili mevzuata uygun şekilde işlemekteyiz.

İletişim Bilgileri

  • E-posta: kvkk@tagora.com.tr
  • Web: https://tagora.com.tr
  • Adres: [Şirket kuruluşu tamamlandığında güncellenecek]

Bu Aydınlatma Metni; Tagora tarafından hangi kişisel verilerinizin, hangi amaçlarla ve hangi hukuki sebeplere dayanılarak işlendiği, kimlere aktarıldığı, ne kadar süreyle saklandığı ve KVKK m.11 kapsamındaki haklarınızı düzenlemektedir.


2. İşlenen Kişisel Veri Kategorileri

Hizmet kapsamında aşağıdaki kişisel veri kategorileri işlenmektedir:

2.1 Kimlik ve İletişim Verileri

  • E-posta adresi
  • Telefon numarası (opsiyonel, doğrulama için, şifrelenmiş)
  • Ad-soyad (sadece kargo teslimatı için, sipariş verildiğinde)
  • Görüntülenen ad / kullanıcı adı (kullanıcının kendi verdiği)

2.2 Müşteri İşlem Verileri

  • Sipariş bilgileri (ürün, adet, tutar, tarih)
  • Ödeme bilgileri (iyzico üzerinden işlenir, kart bilgileri Tagora sunucularında saklanmaz)
  • Teslimat adresi
  • Kargo takip numarası

2.3 Kullanım Verileri

  • Sticker'lara verdiğiniz isim ve kullanım türü (araç, kapı, pet vb.)
  • Sticker'ınıza gelen QR taramaları ve mesajlar
  • Uygulama içi tercihleriniz (dil, bildirim ayarları vb.)
  • KVKK açık rıza tarihi ve pazarlama izni durumu

2.4 İletişim İçeriği Verileri

  • Sticker'ınızı tarayan üçüncü şahısların size gönderdiği anonim mesaj içerikleri
  • Sizin bu mesajlara verdiğiniz cevaplar
  • Rapor edilen içerikler ve şikayet detayları

2.5 Teknik Veriler

  • IP adresi (hash'lenmiş formatta)
  • Cihaz bilgisi (işletim sistemi, tarayıcı, uygulama versiyonu)
  • Oturum tanımlayıcıları (session cookie, auth token)
  • Sticker tarayan üçüncü kişiler için: geçici cihaz parmak izi (fingerprint hash — 24 saat sonra otomatik silinir)

2.6 İşitsel/Görsel Veriler (v1 sürümünde)

  • Sesli iletişim özelliği kullanıldığında (maskeli/anonim) çağrı meta verileri; ses içeriği kaydedilmez.

3. Kişisel Verilerin İşlenme Amaçları

Kişisel verileriniz, aşağıdaki amaçlarla işlenmektedir:

a) Hizmet Sunumu

  • Kullanıcı hesabınızın oluşturulması ve yönetilmesi
  • Sticker sipariş ve teslimat süreçlerinin yürütülmesi
  • Sticker sahibi olarak sizinle QR tarayan üçüncü kişiler arasında anonim iletişim kurulması
  • Uygulama içi bildirimlerin (yeni mesaj, sipariş durumu) gönderilmesi

b) Yasal Yükümlülüklerin Yerine Getirilmesi

  • Vergi kanunları gereği fatura bilgilerinin saklanması
  • KVKK Md.16 gereği VERBİS bildirimi
  • Yetkili kamu makamlarının hukuka uygun taleplerine cevap verilmesi

c) Güvenlik ve Kötüye Kullanımın Önlenmesi

  • Şüpheli / kötü niyetli işlemlerin tespiti
  • Spam, taciz, phishing içeriklerin engellenmesi
  • Hesap güvenliğinizin korunması

d) Ürün Geliştirme ve İstatistiksel Analiz

  • Hizmet kalitesinin izlenmesi ve iyileştirilmesi
  • Anonim/toplu istatistikler ile ürün geliştirme
  • Hata takibi (Sentry gibi araçlarla, kişisel veri hariç)

e) Pazarlama İletişimi (Açık Rızanız Halinde)

  • Yeni özellik duyuruları
  • Kampanya ve indirimlerin bildirilmesi
  • Kullanıcı deneyimi geliştirme anketleri

4. İşleme Hukuki Sebepleri (KVKK m.5)

Kişisel verileriniz aşağıdaki hukuki sebeplere dayanılarak işlenmektedir:

Hukuki SebepUygulama
Sözleşmenin ifası (m.5/2-c)Kullanıcı hesabı, sipariş, teslimat, iletişim özelliği
Kanuni yükümlülük (m.5/2-a)Vergi kanunu, KVKK, e-fatura mevzuatı
Meşru menfaat (m.5/2-f)Güvenlik, dolandırıcılık koruması, ürün geliştirme
Açık rıza (m.5/1)Pazarlama iletişimi, profilleme, çerezler

Kart ödeme bilgileri gibi özel nitelikli veya finansal veriler, ödeme sağlayıcı iyzico tarafından işlenir; Tagora bu verileri saklamaz.


5. Kişisel Verilerin Aktarıldığı Üçüncü Taraflar

Kişisel verileriniz, hizmet sunabilmek amacıyla aşağıdaki üçüncü taraflara aktarılmaktadır. Tüm aktarımlar KVKK m.8 ve m.9 hükümleri çerçevesinde gerçekleşir.

5.1 Yurt İçi Aktarımlar

AlıcıAmaçAktarılan Veriler
iyzico Ödeme Hizmetleri A.Ş.Ödeme işlemleriSipariş tutarı, e-posta, IP
Aras Kargo / Sendeo / Yurtiçi KargoTeslimatAd-soyad, adres, telefon
NetgsmTelefon OTP (v1)Telefon numarası
Yetkili kamu makamlarıHukuki talep halindeYasal mecbur bırakılan kısıtlı bilgi

5.2 Yurt Dışı Aktarımlar

Aşağıdaki hizmet sağlayıcıları ile yurt dışı aktarım gerçekleşmektedir. Tüm sağlayıcılar Avrupa Birliği yeterli koruma kararı kapsamında (AB veri yerleşimi) veya standart sözleşme maddeleri (SCC) ile korunmaktadır:

AlıcıÜlkeAmaç
Supabase Inc.AB (Frankfurt)Veritabanı barındırma, kimlik doğrulama
Vercel Inc.AB (Frankfurt)Web sitesi barındırma
ResendAB / ABDTransactional e-posta gönderimi
Cloudflare Inc.Global CDNDDoS koruma, önbellek
SentryAB / ABDHata izleme (kişisel veri hariç)
Twilio (v1)ABDMaskelenmiş sesli arama (premium)

Yurt dışı aktarımlarımızın her biri KVKK m.9/1 hükmü kapsamında açık rızanız ile veya yeterli koruma kararı kapsamında gerçekleşmektedir.


6. Kişisel Verilerin Toplama Yöntemi

Kişisel verileriniz aşağıdaki yöntemlerle toplanmaktadır:

  • Web sitesi ve mobil uygulama üzerinden sizin doğrudan sağladığınız bilgiler (kayıt, sipariş, mesaj)
  • Otomatik toplama araçları (çerezler, oturum tanımlayıcıları)
  • Sticker'ınızı tarayan üçüncü şahıslardan (anonim ziyaretçilerden) gelen mesajlar
  • Ödeme sağlayıcı iyzico'dan işlem sonucu geri bildirimleri
  • Kargo firmalarından teslimat durum güncellemeleri

7. Saklama Süreleri

Kişisel verileriniz, işleme amaçlarının gerektirdiği süre boyunca ve azami olarak aşağıdaki sürelerde saklanır:

Veri KategorisiSaklama Süresi
Kullanıcı hesap bilgileriHesap aktif olduğu süre + 30 gün (silme talebi sonrası anonimleştirme)
Sipariş ve fatura bilgileri5 yıl (Vergi Usul Kanunu m.253)
Mesaj içerikleri (chat)90 gün (sonra otomatik soft-delete)
Cihaz parmak izi (fingerprint hash)24 saat (sonra otomatik null'lanır)
Scanner (ziyaretçi) session token'ı7 gün (sonra otomatik silinir)
Audit log kayıtları1 yıl
Pazarlama izin geçmişiRıza geri alınana kadar

Süreler dolduğunda ilgili veriler otomatik olarak anonimleştirilir veya güvenli bir şekilde imha edilir.


8. Veri Sahibinin Hakları (KVKK m.11)

KVKK m.11 uyarınca kişisel verilerinizle ilgili aşağıdaki haklara sahipsiniz:

  1. Öğrenme: Kişisel verilerinizin işlenip işlenmediğini öğrenme
  2. Bilgi Talep Etme: Verileriniz işleniyorsa buna ilişkin bilgi talep etme
  3. Amaç Öğrenme: İşleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
  4. Yurt İçi/Dışı Aktarım: Verilerinizin aktarıldığı üçüncü kişileri öğrenme
  5. Düzeltme: Eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme
  6. Silme/Yok Etme: KVKK m.7 çerçevesinde silme, yok etme veya anonim hale getirilmesini isteme
  7. Aktarım Bildirimi: Yapılan düzeltme, silme ve yok etme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
  8. İtiraz: Otomatik sistemler ile analiz edilerek aleyhinize bir sonuç ortaya çıkmasına itiraz etme
  9. Zararın Giderilmesi: Kanuna aykırı işleme sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme

Haklarınızı Nasıl Kullanabilirsiniz?

Yukarıdaki haklarınızı kullanmak için:

a) Uygulama İçi Self-Servis:

  • Mobil uygulama → Profil → KVKK & Verim → Verimi indir (JSON export)
  • Mobil uygulama → Profil → KVKK & Verim → Hesabımı sil (anonimleştirme, sticker'ları retire)
  • Web dashboard → Profil → KVKK menüsünden aynı işlemler

b) Yazılı Başvuru:

  • E-posta: kvkk@tagora.com.tr adresine kimliğinizi doğrulayacak bilgilerle
  • İmzalı yazılı başvuru (posta veya elden teslim)

Talebiniz en geç 30 gün içinde ücretsiz olarak cevaplanır. Ancak KVKK Kurulu tarafından ücret öngörüldüğü durumlarda ücret talep edilebilir.

Cevabımızdan memnun kalmazsanız veya cevap alamazsanız Kişisel Verileri Koruma Kurulu'na (kvkk.gov.tr) şikayette bulunabilirsiniz.


9. Veri Güvenliği Önlemleri

Kişisel verilerinizin güvenliği için aldığımız teknik ve idari önlemler:

Teknik Önlemler

  • Tüm veriler AB (Frankfurt) yerleşimli sunucularda tutulur
  • İletişim: HTTPS (TLS 1.3) ile şifrelidir
  • Depolama: PostgreSQL kolon bazlı şifreleme (pgp_sym_encrypt)
  • Şifreler: bcrypt ile hash'lenir, düz metin saklanmaz
  • Row-Level Security (RLS) tüm veritabanı erişimlerinde uygulanır
  • Uygulama katmanında rol tabanlı yetkilendirme
  • Chat mesajlarında uçtan uca şifreleme yol haritasında (v1)
  • Otomatik güvenlik denetleme (Sentry, uptime monitoring)

İdari Önlemler

  • KVKK farkındalık eğitimi
  • Veri işleme envanteri ve düzenli gözden geçirme
  • Kısıtlı erişim politikası (yalnızca gerekli personel)
  • Alt işleyenlerle Veri İşleyici Sözleşmesi (DPA)
  • Veri ihlali müdahale planı (72 saat KVKK bildirimi)

10. Çocukların Gizliliği

Tagora, 13 yaşın altındaki çocuklardan bilerek kişisel veri toplamaz. 13-18 yaş arasındaki kullanıcılar veli/vasi izniyle hizmeti kullanabilir. Çocuğunuza ait bir kaydın var olduğunu düşünüyorsanız lütfen kvkk@tagora.com.tr üzerinden bize bildirin, ilgili kayıt en geç 7 gün içinde silinir.


11. Değişiklikler

Bu Aydınlatma Metni'ni ürün, mevzuat veya iş süreçlerimizdeki değişikliklere bağlı olarak güncelleyebiliriz. Önemli değişikliklerde e-posta veya uygulama içi bildirim ile sizi bilgilendireceğiz. Güncel versiyon her zaman tagora.com.tr/kvkk adresinde yayınlanır.

Versiyon geçmişi:

  • v1.0 — 2026-07-05 — İlk versiyon

12. İletişim

KVKK'ya ilişkin tüm sorular ve talepler için:

  • E-posta: kvkk@tagora.com.tr
  • Yazılı başvuru adresi: [Şirket kuruluşu sonrası güncellenecek]

Bu metin bilgilendirme amaçlıdır. Kişisel verilerinizle ilgili haklarınız KVKK'da açıkça düzenlenmiştir; hukuki bir sorun için avukatınıza danışmanız önerilir.