Kişisel Verilerin Korunması Aydınlatma Metni

Versiyon:
v1.0 (taslak)
Son güncelleme:
2026-05-23
Yürürlük tarihi:
2026-05-23

1. Veri Sorumlusu

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca, kişisel verileriniz veri sorumlusu sıfatıyla Joviante tarafından, aşağıda açıklanan kapsamda işlenecektir.

  • Hizmet sahibi: Joviante (Exludio / SweedAI iş birimi)
  • İletişim: kvkk@joviante.com
  • Web adresi: https://joviante.com

2. İşlenen Kişisel Veri Kategorileri

Aşağıdaki kişisel veri kategorileri Joviante üzerinde işlenmektedir:

2.1 Hesap sahibi (organizatör) verileri

  • Kimlik: ad, soyad
  • İletişim: e-posta adresi, telefon numarası (isteğe bağlı)
  • Hesap güvenliği: bcrypt ile şifrelenmiş parola (parola plain text saklanmaz)
  • İşlem: oturum açma tarihi, son kullanım IP adresi (audit log)

2.2 Davet edilen kişi (misafir) verileri

  • Kimlik: ad, soyad
  • İletişim: telefon numarası, e-posta (isteğe bağlı)
  • RSVP yanıtı: katılım durumu (evet/hayır/belki), yanındaki kişi sayısı, mesaj

2.3 Görsel veri (fotoğraflar)

  • Etkinlikte çekilen ve yüklenen fotoğraflar
  • Fotoğrafların yüklenme zamanı ve yükleyen kullanıcı bilgisi
  • Fotoğraf saklama süresi: etkinlik bitiş tarihinden itibaren 1 yıl

2.4 Ödeme verileri

  • Ödeme tutarı, paket türü, ödeme zamanı
  • Kart bilgileri (kart numarası, CVV) Joviante sistemlerinde HİÇ saklanmaz. Bu veriler ödeme hizmet sağlayıcımız İyzico tarafından PCI DSS standartlarına uygun olarak işlenir.

3. Kişisel Verilerin İşlenme Amaçları

Kişisel verileriniz aşağıdaki amaçlarla işlenmektedir:

  • Hizmet sunumu ve hesap yönetimi (etkinlik oluşturma, davet gönderme)
  • RSVP toplama ve gerçek zamanlı katılım takibi
  • Fotoğraf yükleme ve etkinlik bazında arşivleme
  • Ödeme işlemleri ve fatura
  • Kullanıcı destek talepleri
  • Yasal yükümlülüklerin yerine getirilmesi (KVKK, vergi mevzuatı, audit)
  • Güvenlik ve dolandırıcılık önleme (rate limit, anomali tespiti)

4. Kişisel Verilerin İşlenmesinin Hukuki Sebepleri (KVKK Md. 5)

Veri kategorisiHukuki sebep
Hesap sahibi temel verileriSözleşmenin kurulması ve ifası (Md. 5/2-c)
Misafir RSVP verileriAçık rıza (Md. 5/1)
FotoğraflarAçık rıza (Md. 5/1) — yükleme sırasında alınır
Ödeme verileriSözleşmenin ifası + yasal yükümlülük (Md. 5/2-c, ç)
Audit logVeri sorumlusunun meşru menfaati (Md. 5/2-f) + yasal yükümlülük

5. Kişisel Verilerin Aktarıldığı Taraflar

Kişisel verileriniz, hizmetin sunulması için aşağıdaki sınırlı taraflara aktarılmaktadır:

  • Cloudflare R2 (depolama): Fotoğraflar Cloudflare R2 servisinde şifrelenmiş olarak saklanır. Cloudflare Privacy
  • İyzico (ödeme): Ödeme işlemleri PCI DSS sertifikalı ödeme hizmet sağlayıcımız tarafından işlenir. İyzico Gizlilik
  • Resend.com (e-posta): İşlemsel e-postalar (doğrulama, davet, fatura) için Data Processing Agreement (DPA) kapsamında veri işleyici olarak Resend.com kullanılır.
  • Yasal makamlar: Yasal zorunluluk halinde yetkili merciler (savcılık, mahkeme, KVKK Kurumu) ile paylaşılabilir.

Üçüncü taraflarla pazarlama amaçlı veri paylaşımı YAPILMAMAKTADIR.

6. Yurtdışına Veri Aktarımı

Cloudflare R2 ve Resend.com gibi hizmetler kullanıldığı için, kişisel verileriniz KVKK Md. 9 kapsamında yurtdışına aktarılabilir. Bu aktarım, ilgili hizmet sağlayıcılarının imzaladığı Data Processing Agreement (DPA) kapsamında ve KVKK Md. 9/2-b uyarınca yeterli güvenceleri içeren taahhütnameler ile yapılmaktadır.

7. Kişisel Verilerin Saklama Süreleri

Veri kategorisiSaklama süresi
Hesap verileriHesap aktif olduğu sürece + hesap silindikten 30 gün sonra anonimize
RSVP verileriEtkinlik bitiş tarihinden itibaren 1 yıl
FotoğraflarEtkinlik bitiş tarihinden itibaren 1 yıl (sonra otomatik silinir)
Ödeme kayıtları (fatura)10 yıl (Vergi Usul Kanunu Md. 253)
Audit log10 yıl (KVKK uyum + yasal sorumluluk)
Açık rıza kayıtlarıRıza geri alınana kadar + 10 yıl ispat

8. Veri Sahibinin Hakları (KVKK Md. 11)

Veri sahibi olarak KVKK Md. 11 kapsamında aşağıdaki haklara sahipsiniz:

  • Kişisel verilerinizin işlenip işlenmediğini öğrenme
  • İşlenmişse buna ilişkin bilgi talep etme
  • İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
  • Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
  • Eksik veya yanlış işlenmişse düzeltilmesini isteme
  • KVKK Md. 7 kapsamında silinmesini veya yok edilmesini isteme
  • Aktarılan üçüncü kişilere bildirilmesini isteme
  • Otomatik sistemlerle analiz edilmek suretiyle aleyhinize bir sonuç çıkmasına itiraz etme
  • Kanuna aykırı işleme sebebiyle zarara uğramışsanız tazminat talep etme

Bu haklarınızı kullanmak için GET /api/v1/me/data (erişim), DELETE /api/v1/me/data (silme) ve GET /api/v1/me/data/export (taşıma) endpoint'leri ile self-service olarak işlem yapabilir veya kvkk@joviante.com adresine talep gönderebilirsiniz. Başvurular en geç 30 gün içinde yanıtlanır.

9. Veri Güvenliği

Kişisel verilerinizin güvenliği için aşağıdaki teknik ve idari tedbirler alınır:

  • TLS 1.3 ile uçtan uca şifreleme
  • Parolalar bcrypt cost 12+ ile hash'lenir (plain text saklanmaz)
  • JWT tabanlı oturum yönetimi (15 dakika access + 7 gün refresh rotation)
  • Veritabanı şifrelemesi (encryption at rest)
  • Audit log immutable HMAC chain ile bütünlük korunur
  • Log'larda PII otomatik redact edilir (Pino redact paths)
  • Çoklu faktör doğrulama (2FA — V2)
  • Penetration test (S11 ve yıllık)

10. Veri İhlali Bildirimi

KVKK Md. 12/5 uyarınca, kişisel verilerinizin yasa dışı yollarla başkaları tarafından elde edildiğinin tespit edilmesi halinde, en kısa sürede ve 72 saat içinde KVKK Kurumu'na ve etkilenen veri sahiplerine bildirim yapılır.

11. Başvuru

Veri sahibi haklarını kullanmak için aşağıdaki kanallar üzerinden başvurulabilir:

  • E-posta: kvkk@joviante.com
  • Self-service (oturum açılı): Profil > KVKK Hakları

Başvurularda kimlik tespiti yapılır ve KVKK Kurumu'nun belirlediği esaslar çerçevesinde işlem gerçekleştirilir.

12. Değişiklikler

Bu aydınlatma metni gerektiğinde güncellenebilir. Önemli değişikliklerde (KVKK kapsamı genişlemesi, yeni veri kategorisi eklenmesi, yeni veri aktarım tarafı) kullanıcılara e-posta ile bildirim yapılır ve hesabınızda yeniden onay istenir.