GİZLİLİK SÖZLEŞMESİ VE KVKK AYDINLATMA METNİ
Yürürlük Tarihi: Nisan 2026 Son Güncelleme: Nisan 2026 Versiyon: 2.0 — Elite / KVKK + GDPR Uyumlu
Bu metin, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") m. 10'da belirtilen aydınlatma yükümlülüğü ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (R.G. 10/03/2018, Sayı: 30356) hükümlerine uygun olarak hazırlanmıştır. Bilgi toplumu hizmetleri bakımından 5651 sayılı Kanun ve AB Genel Veri Koruma Tüzüğü (GDPR — Reg. 2016/679) ile tutarlıdır.
1. VERİ SORUMLUSU
KVKK m. 3/1-ı uyarınca veri sorumlusu sıfatıyla işlem yapan kişi:
| Alan | Bilgi |
|---|---|
| Ticaret Unvanı | TABA TASARIM İNŞAAT ANONİM ŞİRKETİ |
| Marka | Extrais |
| Merkez | Şehit Şakir Elkovan Cad. No:3, Ataşehir / İstanbul |
| MERSİS | 0730036327100013 |
| VERBİS | Veri Sorumluları Sicil Bilgi Sistemi kaydımız mevzuat gereği tamamlanmıştır (KVKK m. 16; Veri Sorumluları Sicili Hakkında Yönetmelik — R.G. 30/12/2017, Sayı: 30286). |
| İrtibat Kişisi | Aydın Nazlı — KVKK İrtibat Yetkilisi |
| İrtibat E-posta | kvkk@extrais.com |
2. İŞLENEN KİŞİSEL VERİLERİNİZ VE KATEGORİLER
Kişisel Verileri Koruma Kurumu'nun Kişisel Veri Kategorileri Rehberi (Aralık 2019) uyarınca:
2.1 Kimlik Bilgisi
Ad, soyadı, doğum tarihi, TC Kimlik Numarası (yalnızca KYC sürecinde, MASAK uyumu için — bkz. Madde 3.3).
2.2 İletişim Bilgisi
E-posta, telefon, ikamet / tebligat adresi.
2.3 Kullanıcı İşlem Bilgisi
Hesap oturum kayıtları, tarayıcı / IP adresi, cihaz bilgisi, oturum açma süresi, tıklama akışı — 5651 sayılı Kanun m. 5 ve İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik uyarınca en az 6 ay, en çok 2 yıl saklanır.
2.4 Finans Bilgisi
Fatura bilgileri, IBAN, banka adı, işlem geçmişi. Kart numarası, CVC ve son kullanma tarihi Platform tarafından asla toplanmaz; BDDK lisanslı ödeme kuruluşunun PCI-DSS L1 ortamında tutulur.
2.5 Özel Nitelikli Kişisel Veri
KVKK m. 6 kapsamında yalnızca KYC sürecinde, zorunlu olduğunda ve açık rıza temeline dayalı olarak: kimlik belgesi fotoğrafı, ikametgâh belgesi. Sağlık verisi, biyometrik veri, ceza mahkûmiyeti verisi işlenmez.
2.6 Görsel / İşitsel Veri
Profil fotoğrafı, işe gönderilen ses / video kayıtları (varsa), proje çıktıları.
2.7 Pazarlama Verisi (yalnızca açık rızaya bağlı)
İlgi alanları, kampanya tıklamaları, özel teklif tercihleri — 6563 sayılı ETDHK m. 6 ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik (R.G. 04/01/2020, Sayı: 30998) uyarınca onay vermediğiniz sürece kullanılmaz; İleti Yönetim Sistemi (İYS) üzerinden her zaman iptal edebilirsiniz.
3. İŞLEME AMAÇLARI VE HUKUKİ SEBEPLER
KVKK m. 5 ve m. 6 çerçevesinde her işleme faaliyetinin açık bir hukuki sebebi vardır.
3.1 Sözleşmenin Kurulması / İfası — KVKK m. 5/2-c
- Hesap açılışı, kimlik doğrulama, iş ilanı / teklif akışı, mesajlaşma, hizmet paketi satışı için ödeme tahsilatı (iyzico / QNBPay / Payoneer üzerinden — Platform işveren-freelancer arası iş bedelini tutmaz veya emanetlemez), e-Arşiv fatura düzenlenmesi.
3.2 Hukuki Yükümlülük — KVKK m. 5/2-ç
- VUK m. 229-232 uyarınca fatura düzenleme; TTK m. 82 uyarınca ticarî defter saklama; 5651 sayılı Kanun m. 5 uyarınca IP / trafik logu tutma.
3.3 MASAK Mevzuatı — KVKK m. 5/2-ç
- 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ve MASAK Tedbirler Yönetmeliği (R.G. 09/01/2008 ve tadilleri): kimlik tespiti, şüpheli işlem bildirimi, ödeme kuruluşu alt üye iş yeri onboarding'i. Bu kapsamda toplanan veriler 8 yıl saklanır (MASAK Yön. m. 10).
3.4 Meşru Menfaat — KVKK m. 5/2-f
- Dolandırıcılık önleme, hesap güvenliği, botnet / DDoS koruması, analitik.
- Her meşru menfaat işlemesi orantılılık testi sonrası uygulanır (Kurul'un 2022/72 sayılı kararı referans).
3.5 Açık Rıza — KVKK m. 5/1 ve m. 6/3
- Pazarlama iletişimi, çerez tercihleri (zorunlu olmayanlar), özel nitelikli veri işleme.
4. VERİLERİN AKTARILMASI
4.1 Yurt İçi Aktarım — KVKK m. 8
| Alıcı | Amaç | Hukuki Sebep |
|---|---|---|
| BDDK lisanslı ödeme kuruluşu | Ödeme tahsilatı, KYC, alt üye işyeri yönetimi | Sözleşmenin ifası |
| Bankalar | Havale, EFT, kart işlemleri | Sözleşmenin ifası |
| Muhasebe / Mali Müşavir | Fatura ve defter kayıtları | Hukuki yükümlülük |
| GİB (Gelir İdaresi Başkanlığı) | e-Fatura, beyanname | Hukuki yükümlülük |
| MASAK | Şüpheli işlem bildirimi | Hukuki yükümlülük |
| Mahkeme / Kolluk | Yargısal talep | Hukuki yükümlülük |
4.2 Yurt Dışı Aktarım — KVKK m. 9 (7499 sayılı Kanun ile değişik)
Platform'un bulut altyapısı kısmen yurt dışında bulunduğundan aşağıdaki aktarımlar yapılmaktadır:
| Alıcı (Bulut) | Ülke | Amaç | Hukuki Dayanak |
|---|---|---|---|
| Neon (PostgreSQL) | AB — İrlanda | Veri tabanı | Standart sözleşme (KVKK m. 9/6-b — 2024 değişik); sözleşmenin ifası |
| Cloudflare | ABD + AB | CDN, DDoS, R2 depolama | Standart sözleşme + teknik tedbirler |
| Google LLC | ABD | OAuth kimlik doğrulama | Açık rıza (Google ile giriş seçildiğinde) |
| Apple Inc. | ABD | Apple ile Giriş | Açık rıza (Apple ile giriş seçildiğinde) |
| OpenRouter | ABD | AI içerik üretimi | Açık rıza (AI özellikler kullanıldığında) |
| Hetzner Online GmbH | Almanya (AB) | Uygulama hosting | Sözleşmenin ifası + standart sözleşme |
| Yandex SMTP | Rusya | E-posta teslimi | Açık rıza / sözleşme ifası — alternatifi mevcut |
KVKK 7499 sayılı Kanun (R.G. 12/03/2024) ile m. 9, Kurul onaylı standart sözleşme veya taahhütname aktarımı mümkün kılmıştır. Extrais, Kurul'un 10/07/2024 tarihli ve 2024/XXXX sayılı kararıyla yayımlanan standart sözleşmeyi imzaladığı yurt dışı iş ortaklarına ilişkin sicili güncel tutmaktadır.
5. İLGİLİ KİŞİ OLARAK HAKLARINIZ — KVKK m. 11
Veri sorumlusuna başvurarak:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme,
- İşlenmişse buna ilişkin bilgi talep etme,
- İşlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde / yurt dışında aktarılan üçüncü kişileri bilme,
- Eksik / yanlış işlenmişse düzeltilmesini isteme,
- KVKK m. 7'de öngörülen şartlar çerçevesinde silinmesini / yok edilmesini / anonim hale getirilmesini isteme (bkz. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik — R.G. 28/10/2017, Sayı: 30224),
- 5. ve 6. bentler uyarınca yapılan işlemlerin, aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemlerle analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
- Kanuna aykırı işleme sebebiyle zarara uğramışsanız zararın giderilmesini talep etme
haklarına sahipsiniz.
5.1 Başvuru Yolu
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ (R.G. 10/03/2018, Sayı: 30356) uyarınca:
- Yazılı / ıslak imzalı: Şehit Şakir Elkovan Cad. No:3, Ataşehir / İstanbul adresine posta.
- Güvenli elektronik imza: kvkk@extrais.com adresine e-imzalı PDF.
- Platform üzerinden: Hesap > Ayarlar > KVKK Başvuru Formu.
Başvurular 30 gün içinde ücretsiz olarak sonuçlandırılır (Tebliğ m. 6). Kurul'un belirlediği tarife dışı durumlarda sembolik ücret alınabilir.
5.2 Kurula Şikayet
Veri sorumlusunun cevabını yetersiz bulur veya 30 gün içinde cevap alamazsanız; KVKK m. 14 uyarınca cevabı öğrendiğiniz veya süre geçişinden itibaren 30 gün içinde Kişisel Verileri Koruma Kurulu'na şikayet edebilirsiniz.
6. SAKLAMA SÜRELERİ
| Veri Kategorisi | Süre | Dayanak |
|---|---|---|
| Hesap kimlik ve iletişim | Hesap aktif + 10 yıl | TTK m. 82; TBK m. 146 |
| Ödeme / fatura / muhasebe | 10 yıl | VUK m. 253; TTK m. 82 |
| IP / trafik logu | 2 yıl | 5651 sayılı Kanun m. 5 |
| KYC / MASAK kayıtları | 8 yıl | MASAK Yön. m. 10 |
| Pazarlama açık rızası | Rıza geri çekilene kadar | ETDHK m. 6 |
| Çerez (zorunlu olmayan) | 13 ay | KVKK Çerez Rehberi 2022 |
| Uyuşmazlık / dispute | 10 yıl | TBK m. 146 |
| Hesap kapatıldıktan sonra anonimleştirme | 90 gün | KVKK m. 7; Silme Yön. m. 11 |
Saklama süresi sona erdiğinde verileriniz Silme Yönetmeliği m. 8–11 uyarınca silinir, yok edilir veya anonim hale getirilir.
7. VERİ GÜVENLİĞİ — KVKK m. 12
- Aktarım şifrelemesi: TLS 1.3 zorunlu; tüm HTTP trafiği HSTS ile korunur.
- Saklama şifrelemesi: Parolalar PBKDF2-SHA256 100.000 iterasyon; hassas alanlar AES-256.
- Erişim yönetimi: Rol bazlı yetkilendirme, 2FA destekli admin panel, audit log.
- İhlal bildirimi: Kurul'a 72 saat içinde (KVKK m. 12/5 ve Kurul'un 2019/10 sayılı kararı).
- Bulut güvenliği: SOC 2 Type II + ISO 27001 sertifikalı sağlayıcılar.
8. ÇEREZ POLİTİKASI KISALTMASI
Detaylı çerez kullanımı için bkz. Çerez Politikası. Özet:
- Zorunlu çerezler: oturum, CSRF token, güvenlik. İşleme dayanağı: meşru menfaat.
- İşlevsel çerezler: dil / tema tercihi. Dayanak: meşru menfaat.
- Analitik çerezler: anonim metrik. Dayanak: açık rıza.
- Pazarlama çerezleri: yeniden hedefleme. Dayanak: açık rıza.
KVKK'nın Çerez Uygulamaları Hakkında Rehberi (Haziran 2022) çerçevesinde açık rızaya tâbi çerezler, ilk ziyarette sunulan Çerez Banner'ı üzerinden kategori bazında seçilebilir.
9. REŞİT OLMAYANLAR
Platform, 18 yaşını doldurmamış kişilerin kişisel verilerini bilerek toplamaz. Bir çocuğun verisinin ebeveyn rızası olmaksızın işlendiğini fark edersek derhâl silinir. Bu durumlar kvkk@extrais.com adresine bildirilebilir.
10. DEĞİŞİKLİKLER
Bu metin, mevzuat değişiklikleri ve iş gereklilikleri ışığında güncellenebilir. Önemli değişiklikler yürürlük tarihinden en az 15 gün önce e-posta + hesap içi bildirim ile duyurulur. Güncel sürüm her zaman https://extrais.com/tr/legal/privacy adresinde yer alır.
11. İLETİŞİM
- Veri Sorumlusu: TABA TASARIM İNŞAAT A.Ş.
- KVKK İrtibat: kvkk@extrais.com
- Genel Destek: support@extrais.com
- KVKK Kurul Başvuru: https://www.kvkk.gov.tr/
_Bu aydınlatma metni, veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmekle birlikte; açık rıza gerektiren işleme faaliyetleri için ayrıca Açık Rıza Metni sunulur. Açık rıza vermeniz, bu aydınlatma metninin okunmuş ve anlaşılmış olmasını beyanla birliktedir (KVKK m. 3/1-a, m. 5/1)._
TABA TASARIM İNŞAAT A.Ş. Şehit Şakir Elkovan Cad. No:3, Ataşehir / İstanbul