TREYS KVKK Aydınlatma Metni

TREYS KVKK Aydınlatma Metni

İşbu Aydınlatma Metni, KC TEK ARGE Bilişim ve Eğitim Teknolojileri San. ve Tic. A.Ş. (“Şirket”) tarafından işletilen TREYS mobil uygulaması kapsamında işlenen kişisel verilere ilişkin olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) m.10 ve ilgili mevzuat uyarınca verilerin sahiplerini bilgilendirmek amacıyla hazırlanmıştır. Bu metinde, veri sorumlusu kimliği, işlenen veriler, işleme amaçları, aktarım bilgileri, toplanma yöntemi-hukuki sebep ve ilgili kişinin hakları açıklanmaktadır.

1. Veri Sorumlusunun Kimliği

KVKK uyarınca “Veri Sorumlusu”, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen tüzel kişidir. TREYS uygulaması kapsamında veri sorumlusu, KC TEK ARGE Bilişim ve Eğitim Teknolojileri Sanayi ve Ticaret A.Ş.’dir.

Adres: Rüzgarlıbahçe Mah. Kavak Sk. İmpa İş Merkezi No: 12, İç Kapı No: 2, Beykoz/İstanbul.İletişim: (Telefon: +90 ___ ; E-posta: ___@___.com)

2. İşlenen Kişisel Veriler ve İşleme Amaçları

TREYS uygulaması kapsamında Kullanıcılar ve velilerine ait çeşitli türde kişisel veriler işlenmektedir. Aşağıda işlenen veri kategorileri ve bunların işlenme amaçları belirtilmiştir:

Kimlik Bilgileri: Ad, soyad, doğum tarihi, öğrenci ise okul ve sınıf bilgisi, veli ise veli olduğunu gösteren bilgiler. Amaç: Kullanıcının sistemde tanınması, profil oluşturulması, Mentor eşleştirmesi yapılması, faturalandırma süreçlerinde doğru kişiye fatura düzenlenmesi.

İletişim Bilgileri: E-posta adresi, telefon numarası, adres (gerektiği hallerde). Amaç: Hesap doğrulaması, bildirim ve güncellemelerin iletilmesi, müşteri hizmetleri ve destek faaliyetlerinin yürütülmesi.

Eğitim Bilgileri: (Öğrenci kullanıcılar için) Okul adı, sınıf, ilgi alanları, hedefler gibi eğitimle ilgili paylaşılan veriler. Amaç: Mentorların öğrenciye uygun rehberlik verebilmesi, doğru eşleştirme ve tavsiyelerin sağlanması.

Ödeme Bilgileri: Satın alınan paket/abonelik türü, ödeme tutarı, ödeme zamanı, ödeme yöntemi; (kredi kartı ile ödeme halinde kartın ilk ve son dört hanesi, kart sahibi adı gibi sınırlı bilgiler – tam kart numarası ve CVV gibi veriler Şirket tarafından tutulmaz, ödeme kuruluşu tarafından alınır). Amaç: Kullanıcının ücretli hizmetlerinden faydalanabilmesi için ödeme işlemlerinin gerçekleştirilmesi, muhasebe kayıtlarının tutulması, faturalandırma.

İşlem Güvenliği Bilgileri: Kullanıcı ID’si, şifre (kriptografik olarak korunmuş), giriş çıkış logları, IP adresi, cihaz bilgisi, işletim sistemi ve uygulama versiyonu, kullanım tarihçesi. Amaç: Hesap güvenliğinin sağlanması, olası yetkisiz erişimlerin tespiti, sistem iyileştirmeleri ve hata ayıklama, kötüye kullanımın önlenmesi.

Görüşme ve Kullanım Verileri: Mentor randevu kayıtları (tarih, saat, süre, seçilen mentor bilgisi), görüşme notları (Kullanıcı veya Mentor’un kendi yaptığı notlar – platform sağlıyorsa), görüşme sırasında paylaşılan dokümanlar veya mesajlar (sohbet özelliği varsa), görüşmelerin sistem tarafından otomatik oluşturulan istatistikleri (görüşme sayısı, toplam süre vb.). Amaç: Hizmetin sunulması ve geliştirilmesi, kullanıcının kendi geçmişini görüntüleyebilmesi, ihtiyaç duyulduğunda anlaşmazlıkların çözümü için log tutulması.

Görsel/İşitsel Veriler: Not: Kural olarak TREYS görüşmeleri kayıt altına alınmamaktadır. Ancak Kullanıcı’nın talebi ve açık rızası ile kayıt hizmeti kullanılırsa, o oturuma ait video ve ses kaydı işlenir. Bu durumda kayıtlar şifreli ve güvenli biçimde saklanır. Amaç: Kayıt hizmetini talep eden kullanıcıların, görüşmelerini daha sonra tekrar izleyebilmelerini sağlamak.

Yukarıdaki veriler, şu amaçlarla işlenmektedir: (i) Platformun ve hizmetlerin sağlanması, işletilmesi ve kullanıcıların Mentorlarla buluşturulması; (ii) Kullanıcı hesaplarının oluşturulması ve yönetimi; (iii) Randevu planlama, hatırlatma bildirimleri gönderme ve görüşme organizasyonu; (iv) Ödeme işlemlerinin gerçekleştirilmesi ve abonelik yönetimi; (v) Müşteri ilişkileri yönetimi, kullanıcı şikayet ve taleplerinin değerlendirilmesi; (vi) Hizmet kalitesinin artırılması amacıyla uygulamanın kullanımının analiz edilmesi, yeni özelliklerin geliştirilmesi; (vii) Kullanıcının izni halinde pazarlama iletişimleri gönderilmesi; (viii) Şirket’in hukuki yükümlülüklerinin yerine getirilmesi (ör. mali denetimler, mevzuata uyum, mahkeme kararlarına cevap verme gibi).

3. Kişisel Verilerin Toplanma Yöntemi ve Hukuki Sebepleri

Kişisel verileriniz, TREYS mobil uygulaması ve ilişkili dijital platformlar aracılığıyla elektronik ortamda toplanmaktadır. Örneğin, uygulamada üyelik formunu doldurduğunuzda, profil bilgilerinizi girdiğinizde, platform üzerindeki işlemlerinizi gerçekleştirdiğinizde (randevu alma, mesaj gönderme, ödeme yapma gibi) veya müşteri hizmetleriyle iletişime geçtiğinizde paylaştığınız veriler doğrudan sizden toplanır. Ayrıca, uygulamayı kullanımınız sırasında otomatik olarak bazı teknik veriler toplanabilir (çerezler ve benzeri takip teknolojileri aracılığıyla cihaz ve kullanım bilgilerinin elde edilmesi gibi).

Verileriniz aşağıdaki hukuki sebeplere dayanarak işlenmektedir:

Sözleşmenin kurulması ve ifası için gerekli olma (KVKK m.5/2-c): Kullanıcı ile Şirket arasında akdedilen Kullanım Sözleşmesi’nin ifası kapsamında, hizmetlerin sunulabilmesi için gerekli olan veriler işlenmektedir. Örneğin, mentor görüşmesinin gerçekleştirilebilmesi için ad-soyad bilgilerinizin ve randevu bilgilerinizin Mentor ile paylaşılması, ücretli hizmetlerde ödeme bilgilerinizin işlenmesi bu kapsamdadır. Bu gibi işlemler, açık rıza olmaksızın kanunen mümkün ve gereklidir.

Kanunlarda açıkça öngörülme (KVKK m.5/2-a) & Hukuki yükümlülüğün yerine getirilmesi (m.5/2-ç): Şirket’in tabi olduğu yasal mevzuat uyarınca (örneğin vergi mevzuatı, ticari defter tutma yükümlülükleri, tüketici mevzuatı) bazı verileri işlemesi ve saklaması gerekebilmektedir. Faturalandırma için kimlik ve fatura bilgilerinin tutulması, resmi mercilere yasal bildirimlerin yapılması gibi işlemler bu hukuki sebebe dayanır.

Meşru menfaat (KVKK m.5/2-f): Şirket’in hizmetlerini iyileştirmesi, kullanıcı memnuniyetini artırması, platform güvenliğini sağlaması gibi meşru menfaatleri kapsamında, temel hak ve özgürlüklerinize zarar vermemek kaydıyla bazı veriler işlenebilir. Örneğin, sahte hesapların tespiti için log kayıtlarının incelenmesi, sistem güvenliği için IP ve cihaz bilgilerinin işlenmesi veya yeni özellikler geliştirmek üzere kullanıcı davranışlarının anonimleştirilerek analiz edilmesi meşru menfaat kapsamında değerlendirilebilir.

Açık rıza (KVKK m.5/1 ve m.9): Yukarıdaki hukuki sebeplerin kapsamına girmeyen ve veri sahibinin tercihe bağlı durumlarında, verileriniz ancak açık rızanız ile işlenir. Özellikle kişisel verilerinizin yurt dışındaki sunuculara aktarılması (bkz. Madde 4) ve isteğe bağlı görüşme kayıtlarının alınması konularında açık rıza alınmaktadır. Ayrıca, eğer ileride pazarlama/iletişim onayı istenirse, bu da ancak açık rızanızla yapılan bir işlemdir. Açık rızanızı vermemeniz, temel hizmetlerin sunulmasına engel teşkil etmeyecektir; ancak belirli opsiyonel özelliklerden (örneğin, görüşme kaydının tutulması) yararlanamayabilirsiniz.

4. Kişisel Verilerin Aktarılması

Şirket, kişisel verilerinizi yalnızca işbu Aydınlatma Metni’nde belirtilen amaçlar doğrultusunda ve KVKK’nın 8. ve 9. maddelerine uygun olarak üçüncü taraflara aktarır.

Yurt İçi Aktarımlar:

Verileriniz, hizmetin ifası için iş birliği yapılan Mentorlar ile paylaşılabilir (bkz. yukarıda “İşlenen Kişisel Veriler” bölümü – örneğin ad, okul bilgisi gibi veriler görüşme öncesi mentora sağlanır). Mentorlar, 3. taraf konumunda bağımsız veri alıcıları olup, paylaşılan bu verileri yalnızca size hizmet vermek amacıyla kullanmakla yükümlüdürler.

Ödeme işlemleri için anlaşmalı olduğumuz ödeme kuruluşları (banka, elektronik ödeme hizmet sağlayıcıları) ile finansal verileriniz paylaşılır. Bu kuruluşlar, 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri Kanunu ve ilgili mevzuat gereği veri sorumlusu olarak kendi yükümlülükleri kapsamında verilerinizi işler.

Hukuki yükümlülüklerin yerine getirilmesi amacıyla, ilgili resmi kurumlar ve makamlar ile (mahkemeler, icra daireleri, denetleyici kurumlar gibi) talep halinde veya yasal zorunluluk gereği veri paylaşımı yapılabilir.

Yurt Dışına Aktarım:

TREYS hizmetleri kapsamında toplanan veriler, Şirket’in kullandığı bulut altyapısı nedeniyle yurt dışındaki sunucularda saklanmaktadır. Özellikle Amazon Web Services (AWS) hizmeti kullanılmakta olup, verileriniz yurt dışına aktarılabilir. KVKK’nın 9. maddesi uyarınca, kişisel verilerin yurt dışına aktarımı için ilgili ülkenin yeterli korumaya sahip olması veya Türkiye’deki Veri Koruma Kurumu’ndan gerekli izinlerin alınması ya da veri sahibinin açık rızasının bulunması gerekmektedir. Henüz ülkelere ilişkin yeterli koruma kararı bulunmadığından, Şirket yurt dışı aktarım faaliyetlerinde açık rıza hukuki sebebine dayanmaktadır. Bu kapsamda, Kullanıcı’dan uygulamaya kayıt sürecinde veya ilk veri girişi anında verilerinin yurt dışına aktarımı konusunda açık rıza talep edilmektedir. Kullanıcı açık rıza vermediği takdirde, veriler yurt dışındaki sunucularda tutulmayacak olup hizmetin bazı fonksiyonlarının sunulmasında kısıtlamalar olabilir.

Verilerinizin aktarılabileceği yurt dışındaki hizmet sağlayıcılar şunlardır:

Amazon Web Services, Inc. (AWS): Kişisel verileriniz, güvenli bir altyapı sağladığı için AWS’nin yurtdışındaki sunucularında depolanabilir. AWS, Şirket ile yaptığı sözleşme gereği verilerinizi yalnızca depolama ve bulut hizmeti sağlama amaçlarıyla işlemekle yükümlüdür; kendi amaçları için kullanamaz.

................

5. Veri Saklama Süreleri

Şirket, kişisel verilerinizi ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza eder.

Kullanıcı hesabınız aktif olduğu sürece temel üyelik bilgileri saklanacaktır. Hesabın silinmesi veya hizmetin sona ermesi halinde, veriler kural olarak silinecek veya anonim hale getirilecektir. Ancak, yasal yükümlülükler gereği tutulması gereken veriler (örneğin mali kayıtlar, log kayıtları) ilgili mevzuatta belirtilen süreler boyunca saklanmaya devam edebilir.

Randevu ve görüşme kayıtları (metin bazlı veriler, takvim geçmişi vb.), kullanıcı hesabı açık kaldığı müddetçe veya kullanım amacı ortadan kalkıncaya dek saklanır. Kullanıcı talep ederse bu veriler silinebilir, ancak bu durumda geçmiş görüşme bilgilerine erişim imkanı olmayacağı konusunda kullanıcı bilgilidir.

Açık rıza ile alınan görüşme video kayıtları, kullanıcının daha sonra izleyebilmesi için makul bir süre boyunca saklanır. Bu sürenin sonunda, eğer kullanıcı tarafından daha uzun saklanması yönünde bir talep yoksa kayıtlar silinir veya anonimleştirilir. Kullanıcı, daha erken bir tarihte kaydın silinmesini isterse Şirket’e başvurarak silinmesini talep edebilir.

Kullanıcı hesabının silinmesi sonrasında, Şirket anonim istatistiksel verileri tutmaya devam edebilir (örneğin toplam kaç görüşme yapıldığı gibi, kişisel olarak sizi tanımlamayan veriler).

6. İlgili Kişinin Hakları

KVKK’nın 11. maddesi uyarınca, kişisel veri sahibi olarak kullanıcılar aşağıdaki haklara sahiptir (ilgili maddede öngörülen istisnalara tabi olmak kaydıyla):

Kişisel verilerinizin işlenip işlenmediğini öğrenme,

Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,

Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,

Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya anonim hâle getirilmesini isteme,

Yukarıdaki iki madde uyarınca yapılan işlemlerin (düzeltme ve silme) verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,

İşlenen verilerinizin münhasıran otomatik sistemler ile analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,

Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarar uğramanız hâlinde zararın giderilmesini talep etme.

Bu haklarınıza ilişkin taleplerinizi, KVKK ve ilgili mevzuat uyarınca, veri sorumlusu sıfatıyla KC TEK ARGE Bilişim ve Eğitim Teknolojileri A.Ş.’ye iletebilirsiniz. Başvurunuzu, Şirket’in adresine yazılı dilekçe göndererek veya (varsa) Şirket’e ait kayıtlı elektronik posta (KEP) adresine güvenli elektronik imzalı bir e-posta göndererek yapabilirsiniz. Ayrıca, Kişisel Verileri Koruma Kurumu tarafından belirlenen diğer başvuru yöntemleri (örn. başvuru formu kullanımı) duyurulduğu takdirde, bu yöntemler de kabul edilebilir olacaktır.

Başvurunuzda, talebinizi açık ve anlaşılır bir şekilde belirtmeniz, kimlik ve adres bilgilerinizi eklemeniz gerekmektedir. Şirket, başvurunuzun kendisine ulaşmasından itibaren en geç 30 gün içinde, talebinizin niteliğine göre ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret alınabilir.

Kişisel verilerinizin işlenmesiyle ilgili daha detaylı bilgi için bu Aydınlatma Metni’ni ve uygulama içerisindeki Gizlilik Politikasını inceleyebilir, ayrıca dilediğiniz zaman bizimle iletişime geçerek sorularınızı yöneltebilirsiniz.