KVKK Aydınlatma Metni

6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve AB Genel Veri Koruma Tüzüğü ("GDPR") uyarınca, kişisel verilerinizin işlenmesine ilişkin olarak aşağıdaki hususları bilgilerinize sunarız.

1. Veri Sorumlusu

Kişisel verileriniz veri sorumlusu sıfatıyla Codeck Yazılım A.Ş. ("Şirket", "imzala.org") tarafından aşağıda açıklanan kapsamda işlenebilecektir.

1.1 Veri Sorumlusu / Veri İşleyen İlişkisi

Platform Kullanıcıları, sözleşme tarafları ve imzacılar gibi üçüncü kişilerin kişisel verilerini Platform'a girdiklerinde, bu veriler bakımından KVKK kapsamında bağımsız Veri Sorumlusu statüsündedir. imzala.org bu verileri, Kullanıcı adına Veri İşleyen sıfatıyla işlemektedir.

2. İşlenen Kişisel Veri Kategorileri

Aşağıda işlenebilecek kişisel veri kategorileri detaylı şekilde listelenmiştir:

2.1 Kimlik Verileri

• Ad, soyad
• Doğum tarihi
• TC kimlik numarası (kurumsal faturalandırma ve fatura sözleşmesi tarafı tanımlama için, gerekli durumlarda)

2.2 İletişim Verileri

• E-posta adresi
• Telefon numarası
• Posta adresi (fatura için)

2.3 Hesap ve Kimlik Doğrulama Verileri

• Şifre (bcrypt hash, asla düz metin değil)
• Doğrulama kodları (OTP — 5 dakika içinde otomatik silinir)
• OAuth üçüncü taraf kimlikleri (Google / Facebook / Twitter — yalnızca dış kimlik doğrulayıcı tarafından sağlanan ID)
• Şifre sıfırlama tokenları (1 saat içinde otomatik silinir)
• Refresh / magic link tokenları (süre sonu sonrası otomatik silinir)

2.4 Sözleşme ve İmza Verileri

• Sözleşme metadatası (başlık, taraflar, tarih)
• İmza görseli (S3 referansı)
• Dijital imza hash (KMS imza)
• İmza zaman damgası (TÜBİTAK KAMU SM RFC 3161)
• İmza IP adresi, görüntüleme IP adresi
• İmza coğrafi konum verileri (yalnızca açık rıza ile)
• İmza cihaz bilgisi (tarayıcı user-agent)

2.5 Özel Nitelikli Kişisel Veriler — Biyometrik (KVKK m.6)

2.6 Ödeme Verileri

• Fatura bilgileri (ad, adres, vergi no — kurumsal müşteriler için)
• PayTR kullanıcı tokenı (paytr_utoken — kart numarası DEĞİLDİR)
• Ödeme geçmişi metadata

Önemli: Kart bilgileri (PAN, CVV, son kullanma) doğrudan PayTR tarafından PCI-DSS Level 1 standardında saklanır. imzala.org bu bilgileri görmez ve saklamaz.

2.7 İşlem Güvenliği Verileri

• IP adresi, son giriş IP'si
• Cihaz bilgisi ve tarayıcı sürümü
• Audit log (KMS, K8s, uygulama)
• Oturum bilgileri

2.8 Davranış ve Tercih Verileri

• Kullanıcı aktivite geçmişi (UserActivity)
• Bildirim tercihleri (UserPreferences)
• Pazarlama e-postaları opt-in durumu

2.9 Pazarlama ve Analitik Verileri (Çerez tabanlı, açık rıza ile)

• Çerez kimliği (cookie ID)
• Anonim kullanıcı kimliği (GA4 client ID, Clarity ID, Meta browser ID)
• Sayfa görüntülemeleri, tıklamalar
• Coğrafi konum (il/ülke seviyesinde)

Detay: Çerez Politikası

2.10 Bilgilendirilecek Kişiler (CC) Verileri

Kullanıcı, oluşturduğu sözleşmeye, imza sürecinden bilgilendirilmek üzere üçüncü kişilerin e-posta adreslerini ("Bilgilendirilecek Kişiler") ekleyebilir. Bu kişilere yalnızca sözleşmenin gönderim ve tamamlanma aşamalarında bilgilendirme e-postası iletilir; bu kişiler imza atmaz.

• İşlenen veri: e-posta adresi, varsa ad; "gizli" işaretlenmemişse diğer taraflara görünür ad / e-posta.
• Hukuki sebep: sözleşmenin ifası (KVKK m.5/2-c) ve meşru menfaat (KVKK m.5/2-f).
• Sorumluluk: Bu kişileri ekleyen kullanıcı, eklemeye yetkili olduğunu beyan eder (uygulama içi onay). imzala.org veri işleyen sıfatıyla yalnızca iletimi gerçekleştirir.
• Alıcı hakları: Her bilgilendirme e-postasında bilgilendirmeyi durdurma (opt-out) bağlantısı ve bu aydınlatma metnine erişim sunulur. Opt-out talebi anında uygulanır.
• Saklama: Bilgilendirilecek Kişi kaydı ilgili sözleşmeyle birlikte saklanır; sözleşme silindiğinde otomatik silinir. Bağımsız saklama üst sınırı 3 yıldır (sonra otomatik anonimleştirme / silme).
• Aktarım: E-posta iletimi, mevcut DPA kapsamındaki alt-işleyen Mailgun (Frankfurt / AB) üzerinden gerçekleştirilir.

3. Kişisel Verilerin İşlenme Amaçları

• Hizmetlerimizin sunulması (e-imza, sözleşme yönetimi, zaman damgası)
• Sözleşmenin kurulması ve ifası
• Kullanıcı kimlik doğrulaması ve hesap yönetimi
• İmza sürecinin yasal geçerliliğini sağlama (audit trail)
• Yasal yükümlülüklerin yerine getirilmesi (TTK m.82, VUK m.253, 5070 sayılı kanun)
• Müşteri memnuniyeti, destek ve şikayet yönetimi
• Güvenlik, dolandırıcılık önleme ve audit
• Pazarlama faaliyetleri (yalnızca açık rıza ile)
• Site geliştirme ve analitik (anonim çerez verileri ile)

4. Toplama Yöntemleri ve Hukuki Sebep

4.1 Toplama Yöntemleri

• Hesap kayıt formu, profil bilgi formu
• OAuth üzerinden (Google / Facebook / Twitter API)
• İmza ekranı (el yazısı imza görseli — PNG bitmap; davranışsal biyometrik parametre toplanmaz)
• Ödeme webhook'ları (PayTR)
• Çerez ve analitik scriptleri (consent ile)

4.2 Hukuki Sebep (KVKK m.5 ve 6)

• Sözleşmenin kurulması veya ifası: Hesap, ödeme, hizmet sunma
• Hukuki yükümlülük: Fatura, vergi, audit log, ihtilaf çözümü
• Meşru menfaat: Dolandırıcılık önleme, audit, güvenlik
• Açık rıza: Pazarlama iletişimi, çerez tabanlı analitik / pazarlama

5. Kişisel Verilerin Aktarıldığı Taraflar

5.1 Yurt İçi Aktarımlar

• TÜBİTAK KAMU SM: Nitelikli zaman damgası hizmeti (RFC 3161)
• PayTR: Ödeme işlemleri (Türkiye, BDDK denetimli, PCI-DSS Level 1)
• NetGSM, Kobikom: SMS gönderimi (organizasyon bazlı seçim)
• Yetkili kamu kurumları: Yasal yükümlülükler kapsamında (mahkeme, KVKK Kurumu, vergi dairesi)

5.2 Yurt Dışı Aktarımlar

Yurt dışı aktarımlar yalnızca KVKK m.9 kapsamında, açık rıza veya Standart Sözleşme Maddeleri (SCC) ile yapılır:

• Hetzner Online GmbH (Almanya): Sunucu altyapısı ve veri depolama. Falkenstein veri merkezi, AB GDPR uyumlu, ISO 27001 sertifikalı. Tüm üretim verileriniz burada işlenir ve depolanır.
• Cloudflare (ABD): CDN, DNS, WAF ve DDoS koruması. EU-Home Region kullanılır, GDPR DPA imzalı.
• Mailgun (Almanya — EU sunucu): Transactional e-posta gönderimi. EU veri merkezi, GDPR DPA imzalı.
• Twilio (ABD): Uluslararası SMS (yalnızca seçili organizasyonlar için).
• GitHub (ABD): Kaynak kodu yönetimi (kullanıcı PII'si depolanmaz, yalnızca uygulama kodu).

5.3 Pazarlama ve Analitik Platformları (yalnızca çerez consent ile)

• Google Analytics 4 + Google Tag Manager: Site kullanım analitiği (anonim ID)
• Microsoft Clarity: Isı haritaları, oturum kayıtları (PII otomatik maskelenir)
• Meta Pixel (Facebook/Instagram): Tarayıcı tarafı reklam dönüşüm takibi
• Meta Conversions API (CAPI): Sunucu tarafı dönüşüm takibi. E-posta + telefon SHA-256 hashlenmiş aktarılır (ham PII değil)
• Google Ads + Enhanced Conversions: Reklam dönüşüm takibi. Enhanced Conversions kapsamında e-posta/telefon SHA-256 hashlenmiş aktarılır

5.4 Sunucu Tarafı Ölçüm Altyapısı (sGTM)

Pazarlama ve analitik trafiği önce kx7m2.imzala.org alt etki alanımız (Hetzner Almanya — AB-içi veri merkezi) üzerinden geçer, oradan Google Analytics 4 / Meta CAPI / Google Ads servislerine aktarılır. Tarayıcınız bu üçüncü taraflara doğrudan bağlanmaz; tüm aktarımlar sunucumuz tarafından denetlenerek (consent kontrolü, PII hashleme) yapılır. AB-içi transfer olduğundan KVKK m.9 ek güvence şartı gerekmez.

6. Kişisel Veri Sahibinin Hakları (KVKK m.11 / GDPR Art.15-22)

Aşağıdaki haklara sahipsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• İşlenmişse buna ilişkin bilgi talep etme (erişim hakkı)
• İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
• Eksik veya yanlış işlenmişse düzeltilmesini isteme
• Şartların ortadan kalkması halinde silinmesini veya yok edilmesini isteme (unutulma hakkı — GDPR Art.17)
• Verilerinizi yapılandırılmış ve makine okunabilir formatta indirme (taşınabilirlik — GDPR Art.20)
• Düzeltme veya silme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme
• Münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize sonuç doğmasına itiraz etme
• Kanuna aykırı işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme

6.1 Hesap Üzerinden Doğrudan Kullanılabilen Haklar

Aşağıdaki hakları hesap ayarlarınızdan doğrudan kullanabilirsiniz:

• Verilerinizi indirme: Hesap ayarları → Gizlilik → "Verilerimi indir" (JSON + ZIP, GDPR Art.20)
• Hesabımı sil: Hesap ayarları → "Hesabımı sil" — 24 saat e-posta onay + 30 gün geri alma süresi sonrasında kalıcı silme
• Pazarlama opt-out: Hesap ayarları → Bildirimler → Pazarlama e-postaları
• Çerez tercihi revoke: Sayfa altındaki "Çerez Ayarları" linki

7. Başvuru Yöntemi

KVKK kapsamındaki taleplerinizi aşağıdaki yöntemlerle iletebilirsiniz:

• E-posta: [email protected] veya [email protected]
• KEP üzerinden: [email protected]
• Posta: Codeck Yazılım A.Ş. — Maslak Mah. Aos 55. Sk. 42 Maslak No: 4 İç Kapı No: 556 Sarıyer / İstanbul

Başvurularınız en geç 30 gün içinde yanıtlanır (KVKK m.13). Başvurularınız ücretsizdir; ancak Kurum tarafından belirlenen tarife uygulanabilir.

8. Veri Güvenliği

8.1 Teknik Önlemler

• Şifreleme (transit): TLS 1.2 / 1.3 (Cloudflare + Let's Encrypt sertifikası)
• Şifreleme (off-site backup): AES-256 (rclone crypt, Hetzner Storage Box)
• Dijital imza: RSA-2048 (anahtar yönetim sistemi — KMS)
• Hash: SHA-256 (belge bütünlük doğrulaması)
• Zaman damgası: TÜBİTAK KAMU SM (RFC 3161 nitelikli)
• Erişim kontrolü: Rol tabanlı erişim (RBAC) + tüm yönetim panelleri için iki faktörlü kimlik doğrulama (MFA)
• Ağ güvenliği: Kubernetes NetworkPolicy ile namespace izolasyonu, Cloudflare WAF
• Antivirüs: Yüklenen dosyalar için ClamAV taraması
• Zafiyet taraması: Trivy ile sürekli (CI/CD entegrasyonlu)
• Audit log: 5 yıl saklama (uygulama + KMS + Kubernetes API)
• İzleme: 24/7 Prometheus + Grafana + Loki + GlitchTip

8.2 Operasyonel Önlemler

• Personel için yıllık güvenlik farkındalık eğitimi
• Kritik personel için NDA imzası
• 4 katmanlı yedekleme stratejisi (Velero + PostgreSQL dump + Proxmox VM snapshot + Hetzner Storage Box off-site mirror)
• Şifreli off-site yedek (AES-256, AB lokasyon)
• Düzenli felaket kurtarma tatbikatı (son test: Nisan 2026 — başarılı)
• İhlal yanıt prosedürü ve VERBİS bildirim şablonu

8.3 Veri Saklama Lokasyonu

9. Saklama Süreleri

Veri Kategorisi	Süre	Yasal Dayanak
Sözleşme PDF, audit trail	10 yıl	TTK m.82
İmza, görüntüleme ve işlem IP adresi; trafik güvenlik logları	10 yıl	5070 sayılı Kanun, TTK m.82 — dijital imzanın inkâr edilemezliği ve delil bütünlüğü
Sözleşme metadatası	10 yıl	TTK m.82
İmza görseli	Hesap silimine kadar	Sözleşmenin ifası
Kullanıcı hesabı	Hesap silimine kadar (30 gün grace)	Sözleşmenin ifası
Audit log (uygulama + KMS + K8s)	5 yıl	ISO 27001, denetim ihtiyacı
Fatura ve ödeme kayıtları	10 yıl	VUK m.253
SMS gönderim logu	1 yıl	Operasyonel
Webhook delivery logu	90 gün	Operasyonel
Kullanıcı aktivite geçmişi	3 yıl	Meşru menfaat
OTP / refresh / magic link tokenı	Süre sonu sonrası anlık silme	Auth güvenliği
Çerez verileri	Maks 2 yıl (consent süresi kadar)	KVKK + ePrivacy
5651 sayılı kanun trafik logu	2 yıl	5651 sayılı Kanun
Bilgilendirilecek Kişiler (CC) kaydı — e-posta, varsa ad	Sözleşmeyle birlikte; bağımsız üst sınır 3 yıl	Sözleşmenin ifası, meşru menfaat

Saklama süresi sona eren veriler otomatik silme veya anonimleştirme prosedürü ile imha edilir. Silme talepleri 30 gün içinde işleme alınır.

10. Sertifikalar ve Uyumluluk

10.1 Sahip Olduğumuz Uyumluluklar

• 5070 sayılı Elektronik İmza Kanunu uyumlu altyapı (TÜBİTAK KAMU SM nitelikli zaman damgası ile)
• eIDAS 910/2014 Art.25 / 5070 m.4 — Basit Elektronik İmza (SES) altyapısı (kullanıcı imza görseli + sistem ticari sertifika + PAdES B-LTA + RFC 3161 zaman damgası); kimlik doğrulama (telefon OTP + TC Kimlik/NVI) açıkken Gelişmiş Elektronik İmza (AES, Art.26) niteliği kazanır
• KVKK Veri Sorumluları Sicili (VERBİS) kayıtlı veri sorumlusu
• GDPR uyumu — AB içinde (Hetzner Almanya) veri işleme, SCC ile yurt dışı aktarım
• PCI-DSS SAQ A kapsamı — kart bilgileri PayTR (PCI-DSS Level 1) tarafından işlenir, imzala.org tarafından saklanmaz

10.2 Yol Haritası (henüz alınmamış sertifikalar)

11. Veri İhlali Bildirimi

Kişisel verilerinizin güvenliğini etkileyebilecek bir ihlal durumunda:

• İhlal tespitinden itibaren 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildirim yapılır (KVKK m.12, GDPR Art.33)
• Risk değerlendirmesi sonucuna göre etkilenen kullanıcılar e-posta ile bilgilendirilir (GDPR Art.34)
• İhlalden etkilenen veri kategorileri, alınan önlemler ve önerilen aksiyonlar bildirilir
• İhlal yanıt prosedürümüz: 5 fazlı yanıt (containment, eradication, recovery, lessons learned, communication)

12. Çocukların Kişisel Verileri

Hizmetlerimiz 18 yaş altı bireylere yönelik değildir. 18 yaş altı bireylerden bilerek kişisel veri toplamayız. Ebeveyn veya vasi onayı olmadan çocuklardan veri toplandığını tespit etmemiz halinde, bu veriler derhal silinir.

13. Açık Rıza Geri Çekme

KVKK m.5/1-(a) kapsamında verdiğiniz açık rızayı istediğiniz zaman geri çekebilirsiniz:

• Pazarlama rızası: Hesap ayarları → Bildirimler → "Pazarlama e-postaları" toggle off, veya her e-postanın altındaki "abonelikten çık" linki.
• Çerez rızası: Sayfa altındaki "Çerez Ayarları" linki üzerinden tercihler tekrar düzenlenebilir.

Açık rıza geri çekildikten sonra, ilgili veri yalnızca başka bir hukuki sebep (sözleşmenin ifası, hukuki yükümlülük) varsa işlenmeye devam edebilir.

14. Politika Güncellemeleri

Bu aydınlatma metni, mevzuat değişiklikleri ve uygulama güncellemelerini yansıtmak amacıyla zaman zaman güncellenir. Önemli değişiklikler:

• Web sitesinde duyurulur
• Kayıtlı kullanıcılara e-posta ile bildirilir
• Önemli değişiklikler için yeni açık rıza istenebilir