QRbug
Giriş yapBaşla

Gizlilik Politikası ve KVKK Aydınlatma Metni

Son güncelleme: 29 Nisan 2026 Yürürlük tarihi: 29 Nisan 2026

İşbu metin, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") Madde 10 kapsamında Veri Sorumlusu'nun aydınlatma yükümlülüğünü yerine getirmek üzere hazırlanmıştır. Aşağıda QRbug'ın hangi kişisel verileri, hangi amaçla, hangi hukuki sebebe dayanarak işlediği ve KVKK kapsamında haklarınızı nasıl kullanabileceğiniz açıklanmıştır.

1. Veri Sorumlusu

UnvanMavipiksel İnternet Çözümleri ve Bilgisayar Sistemleri Ltd. Şti.
AdresÇınar Mahallesi 5003/3 Sokak No:3 Daire:319 Tokatlı Plaza Bornova / İZMİR
MERSIS No0613022730300018
Vergi Dairesi / NoHasan Tahsin V.D. — 6130227303
VERBİSKVKK ve VERBİS Hakkında Yönetmelik kapsamında belirlenen yıllık çalışan sayısı ve mali bilanço toplamı eşiklerinin altında olduğumuzdan VERBİS kayıt yükümlülüğüne tabi değiliz. Eşiklerin değişmesi halinde gerekli kayıt yapılacaktır.
KVKK iletişim[email protected]

2. İşlenen Kişisel Veri Kategorileri

QRbug, Hizmet'i sunabilmek için aşağıdaki kişisel veri kategorilerini işlemektedir:

2.1. Hesap ve Üyelik Verileri

  • Ad-soyad (opsiyonel)
  • E-posta adresi
  • Şifre (bcrypt ile geri çevrilemez şekilde hash'lenir; düz metin olarak saklanmaz)
  • Hesap oluşturma ve son giriş tarihleri
  • Profil resmi (yüklerseniz)

2.2. Ödeme ve Faturalandırma Verileri

  • Fatura adı / unvan, vergi numarası, fatura adresi
  • Ödeme sağlayıcıdan dönen tahsilat referansı (Stripe / iyzico ID'si)
  • Kart numarası, CVV ve son kullanma tarihi QRbug sunucularında saklanmaz — bu veriler doğrudan PCI-DSS sertifikalı ödeme sağlayıcılarına iletilir.

2.3. İçerik ve Hizmet Verileri

  • Oluşturduğunuz QR kodlar (hedef URL, etiket, ayarlar)
  • Yüklediğiniz görseller, PDF'ler ve diğer dosyalar
  • QR menü ve sipariş içerikleri (varsa)
  • QR kod tasarım tercihleri

2.4. Tarama (Scan) Analitik Verileri

  • QR kod tarama zamanı
  • IP adresi → SHA-256 ile hash'lenerek saklanır (ham IP adresi tutulmaz)
  • Tarayıcı, işletim sistemi ve cihaz türü (User-Agent'tan çıkarılır)
  • Yaklaşık konum (ülke / şehir; GPS hassasiyetinde değil)
  • Yönlendirici URL (referrer)

2.5. Çerez ve Oturum Verileri

  • Oturum çerezi (NextAuth.js)
  • CSRF koruma çerezi
  • Dil tercihi çerezi (locale)
  • Pazarlama çerezleri (yalnızca açık rıza ile — Madde 5)

2.6. İletişim Verileri

3. Kişisel Verilerin İşlenme Amaçları

Amaçİlgili Veri Kategorisi
Hesap oluşturma ve kimlik doğrulama2.1
Hizmet'in sunulması (QR oluşturma, dinamik yönlendirme, menü)2.1, 2.3
Faturalandırma, tahsilat ve mali yükümlülüklerin yerine getirilmesi2.1, 2.2
Tarama analitikleri ve raporlama (Kullanıcı'nın kendi QR'ları için)2.4
Hizmet kalitesinin iyileştirilmesi (anonim agregat)2.4, 2.5
Yasal yükümlülüklerin yerine getirilmesi (Vergi, MASAK, vb.)2.1, 2.2
Müşteri destek ve şikayet yönetimi2.1, 2.6
Pazarlama iletileri (yalnızca açık rıza ile)2.1, 2.5
Hizmet'in güvenliğinin sağlanması (rate limit, abuse prevention)2.1, 2.4, 2.5

4. İşlemenin Hukuki Sebebi (KVKK Madde 5)

QRbug, kişisel verilerinizi aşağıdaki hukuki sebeplerden bir veya birkaçına dayanarak işler:

Hukuki SebepUygulama Alanı
Sözleşmenin kurulması ve ifası (Madde 5/2-c)Hesap oluşturma, Hizmet sunumu, faturalandırma
Hukuki yükümlülük (Madde 5/2-ç)Vergi mevzuatı, ticaret mevzuatı, MASAK
Bir hakkın tesisi/kullanılması/korunması (Madde 5/2-e)Uyuşmazlık ve dava süreçleri
Meşru menfaat (Madde 5/2-f)Hizmet'in güvenliği, abuse prevention, dolandırıcılık önleme
Açık rıza (Madde 5/1)Pazarlama iletileri, isteğe bağlı çerezler, profil resmi

5. Çerezler ve Takip Teknolojileri

5.1. Zorunlu Çerezler (açık rıza gerektirmez)

  • Oturum çerezi (NextAuth.js): Giriş yapmış kullanıcıyı tanımak için
  • CSRF token: Form gönderim güvenliği için
  • Dil tercih çerezi (next-intl): Seçtiğiniz dili hatırlamak için

5.2. İsteğe Bağlı Çerezler (açık rıza gerektirir)

  • Analitik çerezler (PostHog): Hizmet kullanım istatistikleri için
  • Hata izleme çerezleri (Sentry): Hata olaylarını eşleştirmek için
  • Pazarlama çerezleri: Reklam kişiselleştirmesi için (varsa)

İlk ziyaretinizde gösterilen çerez bildirim banner'ı üzerinden tercihlerinizi yönetebilirsiniz. Tercihlerinizi sonradan tarayıcı ayarlarınızdan veya Hesap panelinizden değiştirebilirsiniz.

6. Kişisel Verilerin Aktarılması

6.1. Yurt İçi Aktarım (KVKK Madde 8)

  • iyzico Ödeme Hizmetleri A.Ş. — Türkiye yerleşik müşteriler için ödeme tahsilatı
  • Mali müşavir / SMMM — yasal yükümlülüklerin yerine getirilmesi
  • Yetkili kamu kurum ve kuruluşları — yasal talep halinde

6.2. Yurt Dışı Aktarım (KVKK Madde 9)

KVKK Madde 9 gereği yurt dışına veri aktarımı, kural olarak açık rızanızla, istisnai olarak Madde 9/2'deki şartların gerçekleşmesi halinde yapılabilir. QRbug, aşağıdaki yurt dışı işleyenlere veri aktarmaktadır:

İşleyenYerAktarılan VeriHukuki Sebep
Stripe Inc.ABDÖdeme verileri (uluslararası kullanıcı)Sözleşmenin ifası + açık rıza
Cloudflare Inc.ABD/EUİçerik ve görseller (R2 storage)Sözleşmenin ifası
ResendABDE-posta gönderimi (transactional)Sözleşmenin ifası
Neon Inc.ABD/EUHesap ve içerik veritabanıSözleşmenin ifası
SentryABDHata izleme (anonim)Meşru menfaat
PostHogABD/EUAnalitik (yalnızca rıza ile)Açık rıza

Yukarıdaki sağlayıcılar ile standart sözleşme hükümleri ve / veya veri işleme sözleşmeleri (DPA) akdedilmiştir. Hesap oluştururken bu aktarımlara açık rıza vermiş sayılırsınız; rızanızı her zaman geri çekebilirsiniz (Madde 11.6).

7. Saklama Süresi

VeriSaklama SüresiSebep
Hesap verileriHesap aktif olduğu sürece + silme talebinden itibaren 30 günKVKK Madde 7
Fatura ve tahsilat verileri10 yılVergi Usul Kanunu Madde 253, Türk Ticaret Kanunu Madde 82
QR ve içerik verileriHesap aktif olduğu süreceSözleşmenin ifası
Tarama analitikleri (hash'lenmiş IP)12 ayHizmet iyileştirmesi; süre sonunda otomatik silinir
Destek e-posta yazışmaları3 yılTüketici uyuşmazlıkları zamanaşımı
Pazarlama izinleri ve geçmişiİzin geri çekilene kadar + 3 yılİspat yükümlülüğü

Saklama süresinin sonunda kişisel veriler silinir, yok edilir veya anonim hale getirilir (KVKK Madde 7).

8. Veri Güvenliği

QRbug, kişisel verilerinizi korumak için aşağıdaki teknik ve idari tedbirleri almıştır:

  • TLS 1.2+ ile uçtan uca şifreleme
  • Şifrelerin bcrypt (geri çevrilemez) ile hash'lenmesi
  • Veritabanı erişiminin rol bazlı sınırlandırılması (RBAC)
  • IP adreslerinin SHA-256 hash'lenerek saklanması (ham IP tutulmaz)
  • Düzenli yedekleme ve felaket kurtarma planı
  • Gizlilik anlaşmaları imzalı çalışan ve hizmet sağlayıcılar
  • Düzenli sızma testi ve güvenlik denetimi
  • En az ayrıcalık ilkesine göre erişim yönetimi

9. Çocukların Gizliliği

Hizmet, 16 yaşından küçük çocuklara yönelik değildir. 16 yaşından küçük olduğunu öğrendiğimiz bir kullanıcının verisi tespit edilirse, hesap ve veriler derhal silinir. 16 yaşından küçük çocukların ebeveynleri, çocuklarının verisinin işlendiğinden şüphelenirse [email protected]'a yazarak silinmesini talep edebilir.

10. KVKK Madde 11 Kapsamındaki Haklarınız

KVKK Madde 11 uyarınca aşağıdaki haklara sahipsiniz:

  1. Bilgi alma: Kişisel verinizin işlenip işlenmediğini öğrenme.
  2. Bilgi talebi: İşlenmişse buna ilişkin bilgi talep etme.
  3. Amaç bilgisi: Verinin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme.
  4. Aktarım bilgisi: Verinin yurt içi/yurt dışında kimlere aktarıldığını öğrenme.
  5. Düzeltme: Eksik / yanlış işlenmiş verinin düzeltilmesini isteme.
  6. Silme / yok etme: KVKK Madde 7'deki şartlar çerçevesinde verinin silinmesini veya yok edilmesini isteme.
  7. Bildirim: Madde 5 ve 6'daki işlemlerin verilerin aktarıldığı 3. taraflara bildirilmesini isteme.
  8. İtiraz: Otomatik sistemlerle yapılan analize itiraz etme.
  9. Tazminat: KVKK'ya aykırı işleme nedeniyle uğradığınız zararın giderilmesini isteme.

11. Haklarınızı Nasıl Kullanırsınız (KVKK Madde 13)

11.1. Başvuru Kanalları

  • E-posta (önerilen): [email protected]
  • Yazılı başvuru: Mavipiksel İnternet Çözümleri ve Bilgisayar Sistemleri Ltd. Şti., Çınar Mahallesi 5003/3 Sokak No:3 Daire:319 Tokatlı Plaza Bornova / İZMİR

11.2. Başvuruda Yer Alması Gerekenler

KVKK Madde 13 ve "Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ" uyarınca:

  • Ad-soyad ve imza (yazılı başvuru için)
  • T.C. kimlik numarası (Türk vatandaşları için) veya pasaport numarası
  • Tebligat veya iş yeri adresi
  • E-posta, telefon ve faks (varsa)
  • Talep konusu ve gerekçesi

11.3. Yanıt Süresi

Başvurunuza, niteliğine göre en geç 30 gün içinde ücretsiz olarak yanıt verilir. Talebin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret talep edilebilir.

11.4. Reddi Halinde Şikayet

Talebiniz reddedilir, eksik yanıt verilir veya 30 gün içinde yanıt alınmazsa Kişisel Verileri Koruma Kurulu'na (KVKK) şikayet hakkınız saklıdır:

11.5. Hesap Üzerinden Self-Servis

Aşağıdaki haklarınızı Hesap panelinizden doğrudan kullanabilirsiniz:

  • Veri ihracı (taşınabilirlik): Hesap > Ayarlar > "Verilerimi İndir" — kişisel verilerinizin tamamı JSON formatında indirilir.
  • Hesap silme: Hesap > Ayarlar > "Hesabı Sil" — soft-delete + 30 gün sonra kalıcı silme.

11.6. Açık Rızanın Geri Çekilmesi

Pazarlama iletileri, isteğe bağlı çerezler veya yurt dışı aktarım için verdiğiniz açık rızayı her zaman geri çekebilirsiniz:

  • E-posta tercihleri: Her e-postanın altındaki "Aboneliği iptal et" linki
  • Çerez tercihleri: Tarayıcı çerez ayarları veya Hesap > Çerez Tercihleri
  • Tüm rızaları geri çekme: [email protected] adresine yazarak

12. Politika Değişiklikleri

QRbug, işbu Gizlilik Politikası'nı zaman zaman güncelleme hakkını saklı tutar. Önemli değişiklikler 30 gün öncesinden Hesap'ınıza kayıtlı e-posta adresine bildirilir. Politikanın güncel versiyonu daima qrbug.com/privacy adresinde yayınlanır.

13. İletişim

  • KVKK ve veri başvuruları: [email protected]
  • Müşteri destek: [email protected]
  • Posta adresi: Mavipiksel İnternet Çözümleri ve Bilgisayar Sistemleri Ltd. Şti., Çınar Mahallesi 5003/3 Sokak No:3 Daire:319 Tokatlı Plaza Bornova / İZMİR