KVKK Aydinlatma Metni
Bu aydinlatma metni, 6698 sayili Kisisel Verilerin Korunmasi Kanunu (“KVKK”) Madde 10 ve Aydinlatma Yukumlulugunun Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkinda Teblig kapsaminda, StartKey Teknoloji (“Sirket”, “Biz”) tarafindan veri sorumlusu sifatiyla hazilanmistir.
1. Veri Sorumlusu Bilgileri
Unvan: StartKey Teknoloji
Adres: Alsancak, Kıbrıs Sehitleri Cad. No:14/3, Konak/Izmir
E-posta: kvkk@startkeyastra.com
KEP: startkey@hs01.kep.tr
Telefon: +90 505 869 00 81
VERBIS No: Basvuru sureci devam etmektedir.
2. Islenen Kisisel Veriler
Astra platformu uzerinden asagidaki kategorilerde kisisel veri islenmektedir:
2.1. Kimlik Verileri
Ad, soyad, T.C. kimlik numarasi (yalnizca sozlesme ve muhasebe islemleri icin), dogum tarihi, cinsiyet, profil fotografi.
2.2. Iletisim Verileri
Telefon numarasi, e-posta adresi, is adresi, WhatsApp iletisim bilgisi.
2.3. Lokasyon Verileri
GPS koordinatlari (panik butonu, yer gosterme zabiti, AR fiyat analizi), IP adresi tabanli yaklasik konum, mulk ziyaret lokasyonlari.
2.4. Finansal Veriler
Komisyon tutarlari, ciro bilgileri, paydas bolusum oranlari, fatura bilgileri (KDV dahil/haric), odeme gecmisi, banka hesap bilgileri (yalnizca muhasebe entegrasyonu aktif ofisler icin).
2.5. Mesleki Veriler
Gayrimenkul danismanligi lisans bilgisi, ofis atamasi, performans metrikleri (XP, rozet, asist zinciri, ciro liderlik sirasi), gezdirme kayitlari, musteri portfoyu, ilan bilgileri.
2.6. Dijital Iz Verileri
Oturum bilgileri (JWT token metadata), tarayici/cihaz bilgisi (user agent), uygulama kullanim istatistikleri, push bildirim abonelik kayitlari (OneSignal subscription ID), cerez verileri, IP adresi.
2.7. Gorsel ve Isitsel Veriler
Profil fotografi, sanal tur panoramik gorselleri, yer gosterme zabitindaki imza gorseli (base64), arabuluculuk kanitlari (gorsel, ses kaydi, ekran goruntusu).
2.8. Ozel Nitelikli Kisisel Veriler
Platform genelinde ozel nitelikli kisisel veri (irk, etnik koken, siyasi dusunce, felsefi inanc, saglık verileri vb.) islenmemektedir. Arabuluculuk surecinde taraflarin gonullu olarak paylastigi icerikte bu tur veriler yer alabilir; bu durumda KVKK Madde 6 kapsamindaki acik riza mekanizmasi devreye girer.
3. Kisisel Verilerin Islenme Amaclari
Kisisel verileriniz asagidaki amaclarla islenmektedir:
- Hizmet sunumu: Platform erisimi, CRM islemleri, komisyon hesaplama, portfoy eslestirme, musteri iliskilerinin yonetimi.
- Sozlesmeden dogan yukumlulukler: Uyelik sozlesmesi, veri isleme sozlesmesi ve SLA taahhutlerinin yerine getirilmesi.
- Yasal zorunluluklar: Vergi mevzuati (VUK), Turk Ticaret Kanunu, MASAK duzenleme, 6098 sayili Turkiye Borçlar Kanunu gereklilikleri.
- Guvenlik: Panik butonu ile acil durum bildirimi, konum paylasimi, eskalasyon zinciri; platform guvenlik denetimleri ve erisim kontrolleri.
- Performans ve gamification: XP, rozet, asist zinciri, hedef carki, onur duvari, tebrik duvari gibi motivasyon modulleri icin veri isleme.
- Iletisim: Push bildirimler (OneSignal), e-posta bildirimleri, SMS (opsiyonel), uygulama ici mesajlasma.
- Analiz ve raporlama: Ofis performans raporlari, piyasa nabzi, bolge analizi, ciro liderlik tablosu, danisman performans degerlendirmesi.
- Uyusmazlık cozumu: Arabuluculuk panosu, kanit toplama, timeline olusturma, broker karari icin veri isleme.
- Urun gelistirme: Anonim kullanim istatistikleri ile platform iyilestirmesi (bireysel tanimlama yapilmaz).
- Pazarlama (acik riza ile): Promosyon bildirimleri, yenilik duyurulari, memnuniyet anketleri. Yalnizca acik riza veren kullanicilar icin uygulanir.
- Hukuki hakların korunmasi: Olasi uyusmazliklarda delil olarak verilerin muhafazasi.
4. Kisisel Verilerin Islenmesinin Hukuki Sebepleri
KVKK Madde 5/2 kapsaminda asagidaki hukuki sebepler uygulanır:
| Hukuki Sebep | Uygulama Alani |
|---|---|
| Kanunlarda acikca ongorulmesi (Md. 5/2-a) | VUK kapsaminda muhasebe kayitlari, MASAK bildirimleri |
| Sozlesmenin kurulmasi/ifasi (Md. 5/2-c) | Platform uyelik sozlesmesi, SaaS hizmet sozlesmesi |
| Hukuki yukumluluk (Md. 5/2-c) | Yasal saklama sureleri, devlet kurumlarina bildirimler |
| Ilgili kisinin meşru menfaati (Md. 5/2-d) | Panik butonu - hayati tehlike halinde konum paylasimi |
| Veri sorumlusunun mesru menfaati (Md. 5/2-f) | Guvenlik onlemleri, dolandiricilik onleme, hizmet kalitesi |
| Acik riza (Md. 5/1) | Pazarlama iletisimleri, opsiyonel analitik, konum izleme |
5. Kisisel Verilerin Toplanma Yontemi
Kisisel verileriniz asagidaki kanallar araciligiyla toplanmaktadir:
- Dogrudan: Platform kayit formu, profil guncelleme, islem girisi, gezdirme kaydi, arabuluculuk basvurusu.
- Otomatik: Cerezler, cihaz bilgisi, IP adresi, GPS (kullanicinin izin verdigi durumlarda), push bildirim abonelik kayitlari.
- Ucuncu taraf: Broker/ofis yoneticisi tarafindan girilen danisman bilgileri, WP-Residence ilan verisi, OneSignal bildirim metrikleri.
6. Kisisel Verilerin Aktarilmasi
6.1. Yurt Ici Aktarim
Kisisel veriler, KVKK Madde 8 kapsaminda asagidaki taraflara aktarilabilir:
- Broker ofis yoneticisi: Multi-tenant yapisinda her broker, kendi danismanlarinin performans ve islem verilerine erisebilir (ortak veri sorumlulugu).
- Yetkili kamu kurumlari: Mahkeme karari, savcilik talebi veya yasal zorunluluk halinde (MASAK, Vergi Dairesi, SGK).
- Is ortaklari: Odeme saglayicilari (yalnizca fatura isleme amacli), SMS/e-posta saglayicilari.
6.2. Yurt Disi Aktarim
KVKK Madde 9 kapsaminda, asagidaki teknik altyapi saglayicilarina veri aktarimi yapilmaktadir:
| Saglayici | Ulke | Amac | Koruma Onlemi |
|---|---|---|---|
| Vercel Inc. | ABD | Frontend hosting, edge computing | AB Standart Sozlesme Maddeleri (SCC) |
| OneSignal Inc. | ABD | Push bildirim altyapisi | AB Standart Sozlesme Maddeleri (SCC) |
| OpenAI Inc. | ABD | AI Asistan (GPT-4o) | Veri isleme sozlesmesi + SCC + anonimizasyon |
| Google LLC (Firebase) | ABD/AB | Push bildirim (FCM), analitik | AB Standart Sozlesme Maddeleri (SCC) |
| Hostinger International | Litvanya (AB) | WordPress backend hosting | AB GDPR uyumlu (yeterli koruma kararı) |
Yurt disi veri aktarimlarinda KVKK Madde 9'da belirtilen yeterli koruma sartlarinin saglanmasi icin Avrupa Birligi Standart Sozlesme Maddeleri (Standard Contractual Clauses) ve ek teknik onlemler (sifreleme, pseudonimizasyon) uygulanmaktadir.
7. Multi-Tenant Veri Sorumlulugu Yapisi
Onemli: Astra platformu multi-tenant (cok kiracili) bir SaaS yapisindadir. Bu kapsamda veri sorumlulugu asagidaki sekilde paylasılır:
- StartKey Teknoloji (Platform Isleten):Teknik altyapi, veri guvenligi, yedekleme, erisim kontrolu ve platform genelindeki veri isleme sureclerinden sorumludur. KVKK kapsaminda “Veri Isleyen” (Data Processor) konumundadir.
- Broker Ofisler (Kiracılar):Kendi sanal ofislerindeki danismanlarin ve musterilerin kisisel verilerinin islenmesinden birincil derecede sorumludur. KVKK kapsaminda “Veri Sorumlusu” (Data Controller) konumundadirlar.
- Ortak Veri Sorumlulugu:Platform genelindeki gamification verileri (leaderboard, XP, onur duvari), arabuluculuk surecinde birlestirilen kanit verileri ve ofisler arasi eslestirme islemlerinde StartKey Teknoloji ve ilgili broker ofis “Ortak Veri Sorumlulari” (Joint Data Controllers) olarak hareket eder. Bu durumda taraflar arasi sorumluluk dagılımı Veri Isleme Sozlesmesi ile belirlenmistir.
8. Veri Saklama Sureleri
| Veri Kategorisi | Saklama Suresi | Hukuki Dayanak |
|---|---|---|
| Finansal veriler (komisyon, fatura) | 10 yil | VUK Madde 253 |
| Sozlesme ve uyelik kayitlari | Sozlesme suresi + 10 yil | TBK Madde 146 (genel zamanaşimi) |
| Islem kayitlari | 10 yil | TTK Madde 82 |
| Performans verileri (XP, rozet) | Uyelik suresi + 1 yil | Mesru menfaat |
| Gezdirme ve zabit kayitlari | 5 yil | Hukuki ispat amaci |
| Arabuluculuk dosyalari | Karar tarihinden itibaren 5 yil | Hukuki ispat amaci |
| Pazarlama iletisim kayitlari | Riza geri cekilene kadar | Acik riza |
| Log ve erisim kayitlari | 2 yil | 5651 sayili Kanun |
| Cerez verileri | Maksimum 13 ay | ePrivacy yonergesi |
| Panik butonu olay kayitlari | 3 yil | Guvenlik ve hukuki ispat |
Saklama suresi dolan kisisel veriler, periyodik imha sureci kapsaminda (6 aylik periyotlarla) silinir, yok edilir veya anonimlestirilir.
9. Ilgili Kisinin Haklari
KVKK Madde 11 uyarinca, kisisel verileri islenen ilgili kisiler asagidaki haklara sahiptir:
- Kisisel verilerin islenip islenmedigini ogrenme
- Kisisel verileri islenmisse buna iliskin bilgi talep etme
- Kisisel verilerin islenme amacini ve bunlarin amacina uygun kullanilip kullanilmadigini ogrenme
- Yurt icinde veya yurt disinda kisisel verilerin aktarildigi ucuncu kisileri bilme
- Kisisel verilerin eksik veya yanlis islenmis olmasi halinde bunlarin duzeltilmesini isteme
- KVKK Madde 7 kapsaminda kisisel verilerin silinmesini veya yok edilmesini isteme
- Duzeltme ve silme islemlerinin, kisisel verilerin aktarildigi ucuncu kisilere bildirilmesini isteme
- Islenen verilerin munhasiran otomatik sistemler vasitasiyla analiz edilmesi suretiyle kisi aleyhine bir sonucun ortaya cikmasina itiraz etme
- Kisisel verilerin kanuna aykiri olarak islenmesi sebebiyle zarara ugramasi halinde zararin giderilmesini talep etme
10. Haklarinizi Nasil Kullanabilirsiniz?
KVKK Madde 13 uyarinca, yukarida sayilan haklarinizi kullanmak icin asagidaki yontemlerden birini tercih edebilirsiniz:
10.1. Basvuru Yontemleri
| Yontem | Adres | Konu Baslangi |
|---|---|---|
| Yazili Basvuru | Alsancak, Kibris Sehitleri Cad. No:14/3, Konak/Izmir | “KVKK Bilgi Talebi” |
| KEP (Kayitli Elektronik Posta) | startkey@hs01.kep.tr | “KVKK Bilgi Talebi” |
| E-posta (guveli elektronik imzali) | kvkk@startkeyastra.com | “KVKK Bilgi Talebi” |
| Uygulama ici (Hesabim > Veri Talebi) | app.startkeyastra.com/m?m=hesabim | Otomatik form |
10.2. Basvuru Sureci
- Basvuruda kimlik dogrulama yapilir (T.C. kimlik fotokopisi veya platform kimlik dogrulama).
- Basvurular en gec 30 gun icinde ucretsiz olarak yanitlanır (KVKK Madde 13/2).
- Islemin ayrica bir maliyeti gerektirmesi halinde, Kisisel Verileri Koruma Kurulu tarafindan belirlenen tarifedeki ucret alinabilir.
- Talebinizin reddi halinde, kararin tebliginden itibaren 30 gun icinde Kisisel Verileri Koruma Kurulu'na sikayet hakkina sahipsiniz.
11. Veri Guvenligi Onlemleri
Kisisel verilerinizin korunmasi icin asagidaki teknik ve idari onlemler uygulanmaktadir:
11.1. Teknik Onlemler
- TLS 1.3 ile veri aktariminda sifreleme
- AES-256-GCM ile oturum cerez sifrelemesi
- Veritabani duzeyinde sifreleme (encryption at rest)
- JWT (JSON Web Token) tabanli kimlik dogrulama
- Rol bazli erisim kontrolu (RBAC) — broker, danisman, admin
- Guclu sifre politikasi ve oturum zaman asimi (15 dk access, 30 gun refresh)
- DDoS korumasi (Cloudflare)
- Gunluk otomatik yedekleme (7 gun saklama)
- Guvenlik acigi taramasi (periyodik)
11.2. Idari Onlemler
- Calisanlara KVKK farkindalik egitimi
- Gizlilik sozlesmesi (tum personel)
- Veri isleme envanteri (VERBIS siniflandirmasi)
- Veri ihlali mudelale plani (72 saat bildirim)
- Erisim yetkilendirme matrisi (minimum veri ilkesi)
- Periyodik ic denetim (6 ayda bir)
12. Cerez Politikasi
Cerez kullanimi hakkinda detayli bilgi icin Cerez Politikasi sayfamizi inceleyebilirsiniz.
13. Aydinlatma Metninde Degisiklikler
Isbu aydinlatma metni, yasal duzenlemeler ve platform gelisimleri dogrultusunda guncellenebilir. Onemli degisikliklerde platform ici bildirim ve/veya e-posta ile bilgilendirileceksiniz. Guncellenmis metin, yayinlanma tarihinden itibaren gecerlidir.
14. Kisisel Verileri Koruma Kurulu Iletisim
Kisisel Verileri Koruma Kurumu
Nasuh Akar Mah. Ziyabey Cad. 1407. Sok. No:4, 06520 Cankaya/Ankara
Telefon: +90 312 216 50 50
Web: www.kvkk.gov.tr