KVKK aydınlatma metni

Veri sorumlusu sıfatıyla; kişisel verileriniz, aşağıda kimliği yer alan tüzel/şahıs tarafından işlenmektedir.

Sipariş süreci kapsamında aşağıdaki kişisel veri kategorileri işlenmektedir:

• Kimlik verileri: ad, soyad, T.C. kimlik numarası (yalnızca e-Arşiv/e-Fatura kesimi için zorunludur)
• İletişim verileri: telefon numarası, e-posta adresi, teslimat ve fatura adresi
• Öğrenci verileri (çocuk verisi): öğrencinin adı, soyadı, okul ve sınıf bilgisi
• Sipariş verileri: sipariş numarası, sipariş içeriği, tutar, tarih, sipariş notu
• Mali veriler: vergi numarası, vergi dairesi (kurumsal fatura tercihinde), fatura no
• İşlem güvenliği verileri: IP adresi, oturum bilgileri, başarısız giriş kayıtları
• Ödeme verileri: yalnızca işlem referans numarası ve tutar saklanır; kart numarası, CVV ve son kullanma tarihi sistemimizde saklanmaz, lisanslı ödeme kuruluşuna (PCI-DSS uyumlu) doğrudan iletilir.

Sipariş süreci sırasında 18 yaş altındaki öğrencilere ait kişisel veriler (ad, soyad, sınıf, okul) işlenmektedir. Bu veriler yalnızca öğrencinin velisi/yasal temsilcisi tarafından, öğrenciye okul tedarik paketinin teslim edilmesi amacıyla, veli sıfatıyla verilen onay çerçevesinde işlenir.

Sipariş formunu dolduran kişi, öğrencinin velisi/yasal temsilcisi olduğunu ve KVKK kapsamında öğrenciye ait kişisel verilerin işlenmesi için yetkili olduğunu beyan eder. Çocuğun verileri yalnızca hizmetin ifası için gereken süre boyunca işlenir ve pazarlama amacıyla kullanılmaz.

• Sipariş ve ödeme süreçlerinin yürütülmesi
• Ürün/paket teslimat sürecinin planlanması ve gerçekleştirilmesi
• e-Arşiv ve e-Fatura kesimi ile yasal fatura yükümlülüklerinin yerine getirilmesi
• Müşteri ilişkileri yönetimi, sipariş takibi, iptal ve iade taleplerinin değerlendirilmesi
• İletişim faaliyetlerinin yürütülmesi (sipariş bildirimi, kargo bildirimi)
• Bilgi güvenliği süreçlerinin yürütülmesi (oturum, brute-force koruması, denetim izi)
• 6502, 6698, 213 sayılı kanunlar ve VUK gibi mevzuat kapsamındaki yükümlülüklerin yerine getirilmesi
• Tüketici şikâyetlerinin ve uyuşmazlıkların değerlendirilmesi

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması (m. 5/2-c) — sipariş ve teslimat süreci
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması (m. 5/2-ç) — fatura kesimi, mali kayıt
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için zorunlu olması (m. 5/2-f) — bilgi güvenliği, dolandırıcılık önleme
• Açık rıza (m. 5/1) — pazarlama amaçlı bildirimler ve veli olarak çocuğun verilerinin işlenmesi onayı

Kişisel verileriniz, yalnızca aşağıdaki amaçlarla ve sınırlı şekilde, KVKK m. 8 ve m. 9 kapsamında aktarılabilir:

• Ödeme hizmet sağlayıcısı (Iyzico Ödeme Hizmetleri A.Ş.) — ödeme işleminin gerçekleştirilmesi amacıyla
• e-Fatura entegratörü (KolayBi / Türkiye Bilimsel ve Teknolojik Araştırma Kurumu — GİB) — fatura kesimi amacıyla
• Kargo şirketi (Aras Kargo) — kargo teslimatı için yalnızca alıcı, telefon, adres bilgileri
• E-posta servisi (Resend) ve SMS servisi (Twilio) — bildirim iletimi için
• Yasal merci ve kamu kurumları — yasal yükümlülükler ya da mahkeme/savcılık talebi halinde
• Bulut altyapı sağlayıcıları (Vercel Inc., TiDB Cloud / PingCAP Inc.) — veri saklama ve sunum altyapısı; sunucular Avrupa Birliği (Frankfurt) bölgesinde konumlanmıştır.

Yurt dışına aktarım, ilgili sağlayıcının KVKK m. 9 kapsamında sunduğu güvence çerçevesinde gerçekleşir. Yurt dışına aktarımın açık rıza ile gerçekleştiği durumlarda ayrıca onay alınır.

• Sipariş ve fatura verileri: VUK ve TTK gereği 10 (on) yıl
• KVKK aydınlatma kayıtları ve denetim izi (system_logs): 5 (beş) yıl
• İletişim ve pazarlama amaçlı veriler: açık rızanın geri çekilmesine kadar veya en fazla 3 yıl
• Başarısız giriş ve oturum güvenlik kayıtları: en fazla 1 yıl
• İptal/iade kayıtları: kayıt tarihinden itibaren 10 (on) yıl

Saklama süresi sona eren veriler ilk imha periyodunda silinir, yok edilir veya anonim hale getirilir.

Veri sahibi olarak, KVKK'nın 11. maddesi uyarınca aşağıdaki haklara sahipsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• İşlenmişse buna ilişkin bilgi talep etme
• İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
• Eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme
• KVKK'da öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme
• Düzeltme, silme ve yok etme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
• Otomatik sistemler ile analiz edilmesi sonucu aleyhinize bir sonuç çıkmasına itiraz etme
• Hukuka aykırı işleme nedeniyle zarara uğramanız hâlinde zararın giderilmesini talep etme

KVKK m. 13 uyarınca yukarıdaki haklarınıza ilişkin taleplerinizi, kimlik tespiti yapılabilecek bir şekilde aşağıdaki yollardan biriyle iletebilirsiniz:

• E-posta: kvkk@okultedarigim.com (kayıtlı e-posta adresinizden)
• Yazılı başvuru: [Tam Adres — Mahalle, Cadde, No, İlçe, İl, Posta Kodu]
• Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında

Başvurunuz; KVKK m. 13/2 uyarınca en geç 30 (otuz) gün içinde sonuçlandırılır. Başvurunuza verilen yanıttan tatmin olmamanız hâlinde KVKK Kuruluna şikayet hakkınız bulunmaktadır (kvkk.gov.tr).

Kişisel verilerinizin hukuka aykırı işlenmesini, erişilmesini ve kaybolmasını önlemek için aşağıdaki teknik ve idari tedbirler uygulanmaktadır:

• TLS 1.2+ şifreli iletişim, HSTS politikası
• Şifrelerin tek yönlü kriptografik özetleme (bcrypt) ile saklanması
• Yetkili erişim kontrolü ve oturum güvenliği (httpOnly, secure, sameSite çerez politikaları)
• Brute-force koruması ve hız sınırı (rate limiting)
• Veritabanı yedekleme (TiDB Cloud otomatik günlük yedek)
• Üçüncü taraf taşeronlarla veri işleyici sözleşmeleri
• Çalışan farkındalık ve gizlilik yükümlülükleri

Sitemizde yalnızca oturum çerezleri (admin/müdür girişi içintoken,mudur_token) kullanılmaktadır. Üçüncü taraf izleme/pazarlama çerezi yerleştirilmez, analytics aracı kullanılmaz. Oturum çerezleri yalnızca giriş yapan kullanıcılar için ve KVKK m.5/2-c (sözleşmenin ifası) hukuki sebebiyle kurulur.

Bu aydınlatma metni, mevzuat değişiklikleri ve hizmet kapsamımızdaki gelişmeler doğrultusunda güncellenebilir. Güncel sürüm her zaman bu sayfada yayımlanır.