1. Veri Sorumlusunun Kimliği
6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK" veya "Kanun") m.3/1-ı hükmü uyarınca kişisel verileriniz, aşağıda kimlik ve iletişim bilgileri verilen Step Yazılım Network Danışmanlık tarafından Veri Sorumlusu sıfatıyla işlenmektedir. İşbu Aydınlatma Metni, Veri Sorumlusu'nun işletmekte olduğu DijitalYük (dijitalyuk.com) dijital lojistik platformu ("Platform") kapsamında işlenen tüm kişisel veriler bakımından geçerlidir.
| Ticari Ünvan | Step Yazılım Network Danışmanlık |
|---|---|
| İşletme Türü | Şahıs İşletmesi (Gerçek Kişi Tacir) |
| Vergi Dairesi | Keçiören Vergi Dairesi Müdürlüğü |
| Vergi Kimlik No | 54943531992 |
| MERSİS No | Şahıs işletmesi olması nedeniyle zorunlu değildir (bulunmamaktadır). |
| Ticari Adres | Ankara / Keçiören |
| Telefon | +90 551 955 59 209 |
| E-posta (Resmi) | info@dijitalyuk.com |
| KEP Adresi | Kayıtlı Elektronik Posta (KEP) adresi bulunmamakta olup resmi yazışmalar için yukarıda belirtilen e-posta, iadeli taahhütlü posta veya noter kanalı kullanılır. |
| Platform / Alan Adı | dijitalyuk.com |
| Veri Sorumlusu Temsilcisi | info@dijitalyuk.com adresi üzerinden ulaşılabilir |
Bilgilendirme: KVKK m.10 uyarınca hazırlanmış işbu Aydınlatma Metni; kişisel verilerinizin hangi amaçla, hangi hukuki sebebe dayalı olarak işlendiği, kimlere ve hangi amaçla aktarılabileceği, toplama yöntemi ile Kanun'un 11'inci maddesinde sayılan haklarınız hakkında sizi bilgilendirmek üzere düzenlenmiştir.
2. Tanımlar
İşbu Aydınlatma Metni'nde geçen terimler, aksi belirtilmedikçe aşağıdaki anlamları taşır:
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (KVKK m.3/1-d).
- Özel Nitelikli Kişisel Veri: KVKK m.6 kapsamında; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek/vakıf/sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleri ile biyometrik ve genetik verileri.
- Veri İşleme: Kişisel veriler üzerinde gerçekleştirilen toplama, kaydetme, depolama, muhafaza, değiştirme, yeniden düzenleme, açıklama, aktarma, devralma, elde edilebilir hâle getirme, sınıflandırma, kullanmayı engelleme gibi her türlü işlem (KVKK m.3/1-e).
- Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza (KVKK m.3/1-a).
- Veri Sahibi (İlgili Kişi): Kişisel verisi işlenen gerçek kişi (KVKK m.3/1-ç).
- Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi (KVKK m.3/1-ı).
- Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi (KVKK m.3/1-h).
- Anonim Hâle Getirme: Kişisel verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
- Yük Sahibi (YS): Platform üzerinden yük ilanı veren gerçek veya tüzel kişi kullanıcı.
- Taşıyıcı (TS): Platform üzerinden yük taşımayı üstlenen gerçek veya tüzel kişi kullanıcı.
- Filo Yöneticisi / Sürücü: Taşıma faaliyeti kapsamında hareket eden profesyonel aktörler.
- Misafir Kullanıcı: Hesabı bulunmayan, public (token bazlı) profil, ilan, takip veya vitrin linki üzerinden ziyaret yapan kişi.
- Kurul: Kişisel Verileri Koruma Kurulu.
- Kurum: Kişisel Verileri Koruma Kurumu.
3. İşlenen Kişisel Veri Kategorileri
Platform kapsamında, sunulan hizmetin niteliğine ve kullanıcı tipine göre aşağıdaki kişisel veri kategorileri işlenebilir. Kategori örnekleri sınırlayıcı olmayıp açıklayıcı niteliktedir. Veri Sorumlusu, KVKK m.4/2 kapsamında amaçla bağlantılı, sınırlı ve ölçülü biçimde veri işleme ilkesine uygun hareket eder.
| Veri Kategorisi | Alt Grup / Örnekler |
|---|---|
| Kimlik | Ad, soyad, T.C. kimlik numarası (yalnızca sözleşme tarafı ise ve L3 doğrulama için), doğum tarihi (gerektiğinde), imza örneği. |
| İletişim | E-posta adresi, cep telefonu numarası, KEP adresi (varsa), ikamet/iş yeri adresi, il/ilçe/semt/mahalle bilgisi. |
| Müşteri / Üyelik | Kullanıcı adı, üyelik tarihi, hesap türü (bireysel/kurumsal), profil türü (yük sahibi/taşıyıcı/her ikisi), oturum/giriş kayıtları, tercih ve ayar bilgileri (tema, yoğunluk, dil, başlangıç sayfası). |
| Kurumsal | Şirket ünvanı, vergi dairesi ve vergi kimlik numarası, ticaret sicil numarası (varsa), MERSİS no (varsa), şirket adresi, KEP, yetkili kişi adı ve ünvanı. |
| Mesleki Yeterlilik | SRC belge numarası, sürücü ehliyet sınıfı ve tarihi, Ulaştırma Bakanlığı K/L/R belgesi bilgileri, araç ruhsatı, dorse ruhsatı, zorunlu mali sorumluluk ve (varsa) kasko bilgileri. |
| Finansal | Teklif tutarı, sözleşme bedeli, ödeme niyeti. Platform hâlihazırda ödeme altyapısı işletmemekte olduğundan banka/IBAN/kart bilgisi Platform tarafından talep edilmez ve saklanmaz. |
| Konum | Yükleme/teslimat noktası koordinatları, taşıma sırasında araçtan alınan GPS verileri (kullanıcı/sürücü izniyle), harita üzerinde seçilen pin konumları, IP adresinden türetilen yaklaşık lokasyon. |
| Görsel ve İşitsel Kayıtlar | Profil fotoğrafı, araç/dorse ve belge fotoğrafları, yükleme/teslim süreç fotoğrafları, irsaliye ve teslim tutanağı görselleri, mesaj kutusu üzerinden paylaşılan dosya/ses/fotoğraflar. |
| İşlem Güvenliği | IP adresi, tarayıcı bilgisi (user-agent), oturum çerezleri, giriş/çıkış tarihleri, başarısız giriş denemeleri, iki faktörlü doğrulama kayıtları, JWT ve CSRF token'ları. |
| İletişim Kayıtları | Platform içi mesajlaşma içerikleri, destek talepleri, şikâyet ve geri bildirimler, sistemce gönderilen bildirim ve e-postaların meta verileri (tarih, durum). |
| Özlük / Referans | Kullanıcıların puan ortalaması, karşılıklı değerlendirmeler (yazan ve alan), tamamlanan iş sayısı, güvenilirlik/şikâyet geçmişi, audit log kayıtları. |
| Hukuki İşlem | Yetkili makamlardan gelen talepler, resmi yazışmalar, uyuşmazlık dosyaları, tebligat kayıtları. |
| Pazarlama | Açık rızaya ve İleti Yönetim Sistemi (İYS) kaydına bağlı olarak: haber bülteni aboneliği, ilgi alanı/tercih profili, kampanya/tanıtım iletişim onayları. Platform şu an ticari elektronik ileti göndermemektedir. |
| Özel Nitelikli (Sınırlı) | Yalnızca L3 Kimlik doğrulama kapsamında, açık rızaya bağlı olarak kimlik belgesi görseli (T.C. kimlik kartı, ehliyet). Din/kan grubu/sabıka gibi haneler işlenmez; kullanıcıya bu haneleri maskeleme talimatı verilir. |
4. İşleme Amaçları
Kişisel verileriniz, KVKK'nın 4, 5 ve 6'ncı maddelerinde belirtilen genel ilkelere (hukuka ve dürüstlük kurallarına uygunluk; doğru ve güncel olma; belirli, açık ve meşru amaçlar için işleme; amaçla bağlantılı, sınırlı ve ölçülü olma; ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza) uygun olarak, aşağıda sayılan amaçlar kapsamında işlenir:
4.1. Hizmet Sunumuna İlişkin Amaçlar
- Üyelik hesabının oluşturulması, kimliğin doğrulanması ve hesap güvenliğinin sağlanması,
- Yük ilanlarının yayınlanması, taşıyıcılar tarafından görüntülenmesi ve teklif süreçlerinin yürütülmesi,
- Sözleşme kurulumu, karşılıklı onay, dijital imza yerine geçen onay kayıtlarının oluşturulması,
- Taşıma sürecinin takibi (yola çıkış, yükleme, transit, teslimat) ve durum güncellemelerinin her iki tarafa iletilmesi,
- Bildirim, mesajlaşma ve iş akışı uyarılarının gönderilmesi,
- Filo yönetimi, sürücü ataması, araç ve dorse envanterinin tutulması,
- Token bazlı public paylaşım linklerinin üretilmesi ve yayımlanması (bkz. m.10).
4.2. Yasal Yükümlülüklerin Yerine Getirilmesi
- 4925 s. Karayolu Taşıma Kanunu ve Karayolu Taşıma Yönetmeliği uyarınca meslekî yeterlilik belgelerinin doğrulanması,
- 5651 s. Kanun ve ikincil mevzuatı uyarınca trafik kayıtlarının ve IP verilerinin saklanması,
- 213 s. Vergi Usul Kanunu, 6102 s. TTK, 6502 s. TKHK ve sair mevzuat gereği tutulması zorunlu kayıtların oluşturulması,
- Mahkeme, Cumhuriyet Başsavcılığı, kolluk kuvvetleri, düzenleyici ve denetleyici kurumların hukuka uygun taleplerinin karşılanması,
- Kişisel Verileri Koruma Kurulu ve ilgili kurumlara yapılacak bildirim ve raporlamaların hazırlanması,
- Gerekliliği doğduğunda VERBİS'e (Veri Sorumluları Sicili) kayıt ve güncelleme yükümlülüğünün yerine getirilmesi.
4.3. Güvenlik ve Dolandırıcılık Önleme
- Sahte hesap, çoklu hesap ve kimlik hırsızlığına karşı önlemlerin alınması,
- Sistem güvenliği, log takibi, siber saldırı tespit ve önleme,
- Şüpheli işlem tespiti ve risk skorlama faaliyetleri,
- Olası uyuşmazlıklarda delil niteliğinde kayıtların saklanması,
- Rate-limit, captcha, fail2ban, JWT oturum iptali gibi güvenlik kontrollerinin uygulanması.
4.4. Kullanıcı Deneyiminin İyileştirilmesi
- Platform performansının izlenmesi ve geliştirilmesi,
- Kullanıcı tercihlerine göre içerik ve ayar uyarlanması (tema/yoğunluk/dil),
- Hata takibi ve anonim istatistik üretimi.
4.5. İletişim ve Destek
- Destek taleplerinin yanıtlanması,
- Şikâyet ve geri bildirim yönetimi,
- Hesap bildirim, duyuru ve zorunlu işlem iletilerinin gönderilmesi (ticari elektronik ileti NİTELİĞİNDE DEĞİLDİR).
4.6. Açık Rızaya Tabi Amaçlar
- Ticari elektronik ileti (SMS, e-posta, push) gönderimi — etkinleştirilmesi hâlinde İYS kaydı yapılır,
- Kampanya, kullanıcı anketi ve pazarlama faaliyetleri,
- Özel nitelikli kişisel verilerin işlenmesi (yalnızca açık rızaya veya kanunda öngörülen istisnalara dayalı olarak),
- Gelişmiş konum izleme (taşıma harici sürelerde),
- Kullanıcı tercih profilinin çerez/lokalStorage bazlı oluşturulması.
5. Hukuki Sebepler
Kişisel verileriniz aşağıda sayılan hukuki sebeplerden en az biri kapsamında işlenir (KVKK m.5/2 ve m.6/3):
| Hukuki Sebep (Madde) | Uygulama Alanı |
|---|---|
| Kanunda açıkça öngörülmesi (m.5/2-a) | 5651 s. K. kapsamında log tutulması; Karayolu Taşıma Yönetmeliği kapsamında belge kontrolü; VUK, TTK kapsamında kayıt tutma. |
| Fiili imkânsızlık (m.5/2-b) | Rızasını açıklayamayacak durumda olan ilgili kişinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu işlemler (ör. acil durum olay kaydı). |
| Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması (m.5/2-c) | Üyelik sözleşmesi, Kullanım Koşulları ve taşıma sözleşmesinin akdedilmesi; karşılıklı yükümlülüklerin yürütülmesi. |
| Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi (m.5/2-ç) | Vergi, ticaret, sosyal güvenlik mevzuatı uyarınca kayıt yükümlülüğü; yetkili makamların taleplerinin karşılanması; Kurul'a bildirim. |
| İlgili kişinin kendisi tarafından alenileştirilmesi (m.5/2-d) | Kullanıcının kendi rızası ile public profile/listings paylaşması. |
| Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması (m.5/2-e) | Uyuşmazlık yönetimi, alacak/borç takibi, hukuki süreçlerin yürütülmesi, delil saklama. |
| Meşru menfaat (m.5/2-f) | Dolandırıcılık önleme, güvenlik izleme, hizmet iyileştirme, anonim istatistik, teknik altyapı analizi. |
| Açık rıza (m.5/1 ve m.6/2) | Ticari elektronik ileti, pazarlama profillemesi, özel nitelikli verilerin işlenmesi, gelişmiş konum izleme. |
6. Master Matris — Kategori × Amaç × Hukuki Sebep × Süre
Aşağıdaki tablo, işlenen veri kategorileri ile bunların işleme amaçları, hukuki sebebi ve saklama süresini tek bakışta özetler. Tablonun amacı hesap verebilirlik ve şeffaflıktır; birden fazla hukuki sebep aynı anda uygulanabilir.
| Kategori | Başlıca Amaç | Hukuki Sebep | Saklama Süresi |
|---|---|---|---|
| Kimlik | Üyelik, sözleşme ifası, kimlik doğrulama | m.5/2-c, m.5/2-ç, m.5/2-e | Hesap aktif + 10 yıl (TBK m.146) |
| İletişim | Bildirim, mesajlaşma, tebligat | m.5/2-c, m.5/2-f | Hesap aktif + 10 yıl |
| Müşteri / Üyelik | Platform hizmetlerinin yürütülmesi | m.5/2-c, m.5/2-f | Hesap aktif + 10 yıl |
| Kurumsal | Sözleşme tarafı olarak tanıtım, fatura/irsaliye şartları | m.5/2-ç (VUK, TTK) | 10 yıl (TTK m.82) |
| Mesleki Yeterlilik | Karayolu Taşıma Yönetmeliği gereği doğrulama | m.5/2-a, m.5/2-ç | Hesap aktif + 10 yıl |
| Finansal | Teklif tutarı kaydı, sözleşme bedeli | m.5/2-c | 10 yıl |
| Konum (GPS) | Taşıma takibi, geofence kontrol | m.5/2-c, m.5/2-f (taşıma dışı için açık rıza) | Taşıma + 6 ay, sonra anonim |
| Görsel / İşitsel | Yükleme-teslim delili, profil/avatar | m.5/2-c, m.5/2-e | Taşıma + 10 yıl (delil) |
| İşlem Güvenliği (IP, Log) | Siber güvenlik, yasal trafik kaydı | m.5/2-a (5651), m.5/2-f | 1 yıl asgari – 2 yıl azami |
| İletişim Kayıtları (Mesaj) | Sözleşme ifası, uyuşmazlık delili | m.5/2-c, m.5/2-e | Taşıma + 2 yıl |
| Özlük / Referans (Puan) | Platform güvenirliği, reputasyon | m.5/2-f (meşru menfaat) | Hesap aktif + 5 yıl |
| Hukuki İşlem | Yasal süreçlerin yürütülmesi | m.5/2-ç, m.5/2-e | Süreç + 10 yıl |
| Pazarlama | Ticari elektronik ileti (etkinleşirse) | Açık rıza (m.5/1) | Rıza geri alınana + 3 yıl (6563 s. K.) |
| Özel Nitelikli (Kimlik Belgesi) | L3 doğrulama — Güvenilir Kullanıcı rozeti | Açık rıza (m.6/2) | Onay/red + 5 yıl |
| Çerez / Tercih | Oturum, kullanıcı deneyimi, güvenlik | m.5/2-c, m.5/2-f; işlevsel için açık rıza | Türe göre (bkz. Çerez Politikası) |
7. Toplama Yöntem ve Kaynakları
Kişisel verileriniz, KVKK'nın 5'inci ve 6'ncı maddelerinde belirtilen hukuki sebeplere dayalı olarak, hem otomatik hem de otomatik olmayan yöntemlerle aşağıdaki kaynaklardan toplanır:
- Doğrudan sizden (birinci kaynak): Üyelik kayıt formu, profil güncelleme, ilan ve teklif oluşturma, mesajlaşma, destek talepleri, dosya/foto yüklemeleri.
- Oturum ve kullanım izlerinden (otomatik): Tarayıcı üzerinden otomatik olarak (IP, user-agent, çerez, oturum kayıtları, sayfa ziyaret verisi, JWT ve CSRF token'ları).
- Sosyal giriş sağlayıcılarından: Google OAuth 2.0 aracılığıyla ad-soyad, e-posta, profil fotoğrafı URL'si (yalnızca Google kullanıcısının yetkilendirmesiyle).
- Sözleşme karşı taraflarından: Karşı tarafın paylaşmayı onayladığı bilgiler çerçevesinde (ör. taşıyıcının sürücü/araç bilgilerini Platform üzerinden yük sahibiyle paylaşması).
- Kamuya açık kaynaklardan: Ticaret sicili, vergi levhası sorgulama, SRC doğrulama servisleri gibi kamu kaynakları (hukuki zorunluluk hâllerinde).
- Yetkili makamlardan: Mahkeme/savcılık/kolluk talepleri ile gelen hukuka uygun bildirimler.
- Misafir kullanıcılardan (guest): Public paylaşım linkleri üzerinden yapılan ziyaret ve teklif (guest offer) kayıtları — yalnızca kullanıcının kendisinin girdiği ad, telefon, tutar, not bilgileri.
8. Kişisel Verilerin Aktarılması
Kişisel verileriniz yalnızca aşağıda sayılan alıcı gruplarına, açıklanan amaçlar ve hukuki sebepler dahilinde ve gerekli teknik-idari tedbirler alınarak aktarılabilir (KVKK m.8):
| Alıcı Grubu | Aktarım Amacı | Hukuki Sebep |
|---|---|---|
| Sözleşme tarafları (karşı taraf YS/TS) | Teklif değerlendirme, iletişim, sözleşme kurulumu, teslim takibi. | m.5/2-c |
| Filo yöneticisi ve atanmış sürücü | İş ataması, taşıma sürecinin yürütülmesi. | m.5/2-c, m.5/2-f |
| Barındırma / altyapı hizmet sağlayıcıları | Sunucu hizmeti, yedekleme, CDN, güvenlik (yurt içi veri merkezi). | m.5/2-f |
| E-posta altyapısı | Sistem e-postalarının iletilmesi (Gmail SMTP / Google Workspace). | m.5/2-c, açık rıza (pazarlama iletileri) |
| Harita ve konum servisleri | Rota hesaplama, harita görüntüleme (OpenStreetMap / CartoDB karo sunucuları). | m.5/2-f |
| Kimlik doğrulama sağlayıcıları | Google OAuth 2.0 ile sosyal giriş. | Açık rıza / m.5/2-c |
| Hukuk müşavirleri, denetçiler, mali müşavirler | Hukuki süreçler, uyum denetimi, yasal kayıt tutma. | m.5/2-ç, m.5/2-e |
| Yetkili kamu kurum ve kuruluşları | Mahkeme, savcılık, kolluk, Kurul, mali kurumların hukuka uygun talepleri. | m.5/2-a, m.5/2-ç |
| Misafir kullanıcılar (public linkler üzerinden) | Token bazlı anonim görüntüleme. | m.5/2-d (ilgili kişinin alenileştirmesi) |
Önemli: Platform, kişisel verilerinizi hiçbir şekilde satmaz, kiralamaz veya pazarlama amacıyla üçüncü kişilere açık rızanız olmaksızın aktarmaz. Platform içi mesajlaşmada telefon numarası paylaşımı sistem tarafından otomatik olarak engellenmektedir.
9. Yurt Dışına Aktarım
Kanun'un 9'uncu maddesi ve 07/03/2024 tarihli 7499 s. Kanun ile getirilen değişiklikler uyarınca, kişisel verilerin yurt dışına aktarılması için; (i) Kurul tarafından ilan edilen yeterli korumaya sahip ülke durumu, (ii) yeterli korumanın bulunmadığı hâllerde bağlayıcı şirket kuralları, standart sözleşme veya taahhütname, (iii) Kanun'un 5 ve 6'ncı maddelerinde sayılan işleme şartlarından birinin bulunması gerekir.
Platform, temel sunucu ve veri tabanı altyapısını Türkiye Cumhuriyeti sınırları içindeki veri merkezlerinde barındırmaktadır. Aşağıdaki teknoloji hizmetlerinden yararlanılması hâlinde, sınırlı kapsamda yurt dışı aktarım söz konusu olabilir:
| Hizmet | Yerleşik | Aktarılan Veri | Dayanak |
|---|---|---|---|
| Google LLC (OAuth / Gmail SMTP) | ABD | E-posta, ad-soyad, profil foto URL'si; gönderilen e-posta içeriği | Açık rıza / m.5/2-c |
| CartoDB (Carto) | ABD / AB | Harita görüntüleme sırasında koordinat aralığı; kimlik aktarılmaz | m.5/2-f |
| OpenStreetMap Foundation | Birleşik Krallık | IP + harita karosu isteği (kullanıcı kimliği yok) | m.5/2-f |
| unpkg.com (Cloudflare) | Küresel (CDN) | Kütüphane isteği sırasında IP adresi | m.5/2-f |
| Google Fonts | ABD | Font isteği sırasında IP + user-agent | m.5/2-f |
Aktarım; (i) açık rızanıza, (ii) sözleşmenin ifası zorunluluğuna veya (iii) hukuki yükümlülüğün yerine getirilmesine dayalı olarak yapılır. Açık rızanızı istediğiniz zaman geri alabilirsiniz; bu durum geçmişte yapılan aktarımların hukuka uygunluğunu etkilemez (bkz. m.12 Açık Rıza).
10. Public Paylaşım Linkleri (Token Bazlı)
Platform, kullanıcı tercihine bağlı olarak aşağıdaki token bazlı oturumsuz (public) paylaşım mekanizmalarını sunar. Bu linkler rastgele üretilmiş tekil ("UNIQUE") token içerir; linki elinde bulunduran herkes ilgili içeriğe erişebilir. Link üretimi ve dağıtımı sorumluluğu kullanıcıya aittir.
| Link | İçerik | Paylaşılan Veri | Gizlenen Veri |
|---|---|---|---|
/track/{token} |
Taşıma canlı takip | Rota hattı, durum (yolda/teslim), yaklaşık konum | Taraf adları tam, telefon, e-posta, sözleşme bedeli, plaka (maskelenir) |
/post/{token} |
Vitrin post | Post başlığı, açıklama, görsel, yazar adı | Telefon, e-posta, IBAN, adres |
/profil/{token} |
Kullanıcı public profil | Ad / firma ünvanı, şehir, puan, kamu ilanlar, vitrin, yorumlar | Telefon (tercihe bağlı), e-posta, T.C. kimlik, vergi no, açık adres |
/ilan/{token} |
Public ilan görüntüleme | İlan detayları, yaklaşık konum, yük tipi, tonaj | İlan sahibi telefon, e-posta, T.C. bilgisi; takipçi-özel ilanlarda içerik 404 |
Rıza ve geri alma: Kullanıcı, /settings > Gizlilik bölümünden:
- Public profil erişimini devre dışı bırakabilir (
public_profile_enabled=false), - Public profilde telefon maskesini değiştirebilir (
show_phone_on_profile), - Misafir teklif (guest offer) kabulünü kapatabilir (
guest_offers_enabled=false), - Token'ı yenileyerek eski linkleri anında geçersiz kılabilir (rotate).
KVKK m.5/2-d dayanağı: Kullanıcı, public linki kendi iradesiyle paylaştığında "ilgili kişinin kendisi tarafından alenileştirilmiş veri" kapsamına girmesi nedeniyle, bu veriler bakımından açık rıza aranmaz. Bununla birlikte aleniyetin amacıyla bağlantılı kullanım gerekliliği (m.5/2-d gerekçesi) korunur.
11. Otomatik Karar Verme ve Profilleme
KVKK m.11/1-g uyarınca, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkınız bulunmaktadır. Platform; kullanıcı aleyhine münhasıran otomatik nihai karar üreten bir sistem işletmemektedir. Aşağıdaki otomatik işlemler karar destek / hizmet sunumu amaçlıdır; nihai karar her zaman insan gözetiminde alınır:
| İşlem | Amaç | İnsan Gözetimi | İtiraz |
|---|---|---|---|
| Yakınlık bazlı ilan-taşıyıcı eşleştirme | Uygun kullanıcıya bildirim göndermek | Hayır (bildirim tetiklemesi), ancak kullanıcı ilanı kabul etmek zorunda değildir. | Bildirim tercihlerinden kapatılabilir |
| Dönüş yükü önerileri (IF-1) | TS'ye 150 km yarıçapta uygun ilanları önermek | Kullanıcı öneriyi kabul/ret özgür iradesi ile yapar | Her öneri ayrı ayrı dismiss edilebilir |
| Rate-limit ve flood koruma | Güvenlik — ör. 5 dk aynı bildirim filtresi | Kural-tabanlı, anormallikte admin incelemesi açılır | Admin moderasyon itiraz kanalı |
| Sahte hesap tespiti | Çoklu hesap / anormal davranış tespiti | Otomatik işaretleme, nihai askıya alma admin onayı ile | Hesabın askıya alınmasına itiraz prosedürü (bkz. Kullanım Koşulları) |
| Puan ortalaması hesabı | Karşılıklı değerlendirmeden kullanıcı puanı türetmek | Aritmetik ortalama, anormal incelenir | Spam/kötüye kullanım puanları ihbar üzerine admin tarafından kaldırılır |
| Bildirim tetikleme | Event bazlı (ör. yeni teklif) otomatik iletişim | Kural-tabanlı | Bildirim tercihleri ile olay başına kapatılabilir |
Reklamcılık temelli profilleme yapılmaz. Kullanıcı aleyhine hukuki sonuç üreten (ör. kredi skorlama, otomatik hesap kapatma) münhasıran otomatik karar mekanizması işletilmemektedir.
12. Açık Rıza ve Geri Alma
Kanun'un 5/1 ve 6/2 maddeleri uyarınca aşağıdaki işlemler için ayrı açık rıza alınır:
- Ticari elektronik ileti gönderimi: 6563 s. K. ve İYS uyumu kapsamında ayrıca onay bandı ile alınır. Pazarlama iletileri şu an devre dışıdır.
- Özel nitelikli kişisel veri işleme: L3 kimlik doğrulaması için yüklenen kimlik belgesi görselleri. Açık rıza drawer'ında onay kutusu gösterilir.
- Gelişmiş konum izleme: Aktif taşıma dışında konum toplama yapılmaz; gerekirse ayrı açık rıza alınır.
- Analitik/Pazarlama çerezleri: Çerez rıza bandından ayrı onay alınır; varsayılan reddedilmiştir.
- Yurt dışına aktarım (yeterli korumanın bulunmadığı hâllerde): Açık rıza veya taahhütname çerçevesinde.
12.1. Rızanın Geri Alınması
Verdiğiniz açık rızayı dilediğiniz zaman, ücretsiz ve ek bir gerekçe göstermeksizin geri alabilirsiniz. Geri alma;
/settings> Bildirimler / Gizlilik bölümündeki toggle'lar üzerinden,- Çerez rıza bandı / tercih merkezinden (Çerez Politikası),
- E-posta ile info@dijitalyuk.com adresine "Rızamı geri alıyorum" konulu başvuru ile
yapılır. Geri alma ileriye etkilidir; geri alınma tarihinden önce rızanıza dayalı olarak yapılan işlemlerin hukuka uygunluğunu etkilemez. Rıza geri alındıktan sonra, veri işleme için başka bir hukuki sebep bulunması hâlinde (ör. mevzuattan kaynaklı saklama yükümlülüğü) veri saklanmaya devam edebilir; bu durumda hangi verinin hangi sebeple tutulduğu sorulabilir.
13. Saklama ve İmha Süreleri
Kişisel verileriniz, ilgili mevzuatta öngörülen süre kadar; böyle bir süre öngörülmemişse işleme amacının gerektirdiği süre kadar saklanır. Süre bitiminde veriler, Kişisel Veri Saklama ve İmha Politikamız çerçevesinde silinir, yok edilir veya anonim hâle getirilir (KVKK m.7, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik).
| Veri Kategorisi | Saklama Süresi | Hukuki Dayanak |
|---|---|---|
| Üyelik / hesap verileri | Hesap aktif + 10 yıl | TBK m.146 (zamanaşımı) |
| Sözleşme ve taşıma kayıtları | Sözleşme sona ermesinden + 10 yıl | TBK, TTK m.82, VUK m.253 |
| Elektronik trafik / log kayıtları | 1 yıl asgari – 2 yıl azami | 5651 s. K. ve Yönetmelik |
| Ticari elektronik ileti onayları | Onay geri alma + 3 yıl | 6563 s. K., İYS |
| Vergi ve mali kayıtlar | İşlem + 10 yıl | TTK m.82, VUK m.253 |
| İşe alım ve özlük kayıtları (personel) | İlişki sonu + 10 yıl | TBK, İş K. |
| Mesajlaşma içerikleri | Taşıma/sözleşme + 2 yıl | İspat ve uyuşmazlık |
| GPS / konum verileri | Taşıma süresi + 6 ay | Hizmet sunumu, delil |
| Destek talepleri | Çözüm + 3 yıl | Meşru menfaat |
| Audit log kayıtları (admin aksiyonlar) | 5 yıl | Meşru menfaat, hesap verebilirlik |
| Kimlik belgesi görseli (L3) | Onay/red + 5 yıl | Açık rıza + delil |
| Misafir teklif (guest_offers) | 90 gün | Meşru menfaat + veri minimizasyonu |
| Çerezler | Türe göre | Bkz. Çerez Politikası |
13.1. İmha Yöntemleri
- Silme: Dijital ortamda veriye erişim engellenecek şekilde silinir (SQL DELETE + audit); soft-delete uygulanan kayıtlar periyodik cron ile hard-delete edilir.
- Yok etme: Fiziki ortamda geri dönüşü olmayacak biçimde imha edilir (öğütme, yakma).
- Anonim hâle getirme: Veri, kimliği belirlenemeyecek şekilde agregasyon ve maskeleme ile anonim hâle getirilir; istatistiksel rapor amacıyla kullanılabilir.
14. Alınan Güvenlik Tedbirleri
Kişisel verilerinizin hukuka aykırı işlenmesini ve erişilmesini önlemek, muhafazalarını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbir alınmaktadır (KVKK m.12). Kurul'un yayımladığı Kişisel Veri Güvenliği Rehberi esas alınır.
14.1. Teknik Tedbirler
- Uçtan uca TLS 1.2+ şifreli iletişim (HTTPS, Let's Encrypt otomatik yenileme),
- HTTP Strict Transport Security (HSTS), CSP, X-Frame-Options, X-Content-Type-Options güvenlik başlıkları,
- Parolaların BCRYPT algoritması ile cost=12 hash'lenmesi (ham parola hiçbir zaman saklanmaz),
- JWT tabanlı oturum token'larının 64-hex random gizli anahtar ile HS256 imzalanması,
- Rol ve yetki bazlı erişim kontrolü (RBAC), yönetici işlemlerinin audit_logs tablosuna yazılması,
- Güvenlik duvarı (UFW), IP bazlı rate-limit, fail2ban ve giriş denemesi kilitleme (5 başarısız deneme → 15 dk kilit),
- Otomatik günlük yedekleme (mysqldump.gz + uploads.tar.gz, 30 gün saklama) ve felaket kurtarma planı,
- Prepared statement (PDO), input validasyonu, XSS koruması (çıktı kaçırma — htmlspecialchars),
- CSRF koruması (JWT Bearer mekanizması),
- Dosya yükleme: MIME kontrolü, boyut sınırı, uzantı whitelist, yükleme dizini doğrudan execute yasağı,
- OPcache, preload ve Redis ile güvenli önbellek,
- Sunucu işletim sistemi ve yazılım bileşenlerinin düzenli güvenlik güncellemeleri,
- Erişim günlüklerinin merkezi toplanması ve periyodik incelenmesi.
14.2. İdari Tedbirler
- Kişisel veri işleme envanteri ve veri eşleme çalışmalarının yapılması,
- Platform personeline KVKK bilgilendirmesi ve gizlilik taahhütnameleri,
- Tedarikçi/veri işleyenlerle veri işleme sözleşmeleri imzalanması,
- Kişisel Veri Saklama ve İmha Politikası ile İhlal Yönetim Prosedürü'nün uygulanması,
- "En az ayrıcalık" (least privilege) ilkesi — sadece görevi gerektiren kadar yetki,
- Yeni modül ve özelliklerde veri koruma etki değerlendirmesi (DPIA benzeri kontrol).
15. Veri İhlali Bildirim Prosedürü
KVKK m.12/5 uyarınca, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Veri Sorumlusu bu durumu en kısa sürede ilgili kişiye ve Kişisel Verileri Koruma Kurulu'na bildirir. Kişisel Veri İhlali Bildirim Tebliği gereğince bu süre 72 saatten geç olamaz (Kurul'a bildirim).
15.1. İhlal Prosedürü
- Tespit (T+0): Monitoring sistemi, kullanıcı ihbarı, iç denetim veya log analizi ile ihlal tespit edilir.
- Sınırlama (T+0 – T+2 saat): Saldırı vektörü kapatılır, erişim anahtarları rotate edilir, ilgili servisler izole edilir.
- Etki Analizi (T+0 – T+24 saat): Etkilenen veri kategorisi, kullanıcı sayısı, potansiyel zarar, veri sorumlusu/işleyen sorumluluğu değerlendirilir.
- Kurul Bildirimi (≤ 72 saat): Kurul'un duyurduğu Kişisel Veri İhlal Bildirim Formu doldurularak Kurul'a iletilir.
- İlgili Kişi Bildirimi: Veri sahiplerine (ve kayıtlı tebligat adreslerine) ihlalin niteliği, muhtemel sonuçları ve almaları gereken tedbirler anlaşılır dilde bildirilir.
- Düzeltici Tedbir: Kök neden analizi, güvenlik iyileştirmesi, prosedür güncellemesi yapılır ve belgelenir.
- Dokümantasyon: İhlal ve alınan tedbirler Veri İhlali Kayıt Defteri'ne işlenir.
İhbar kanalı: Güvenlik açığı veya veri ihlali şüphesi olan kullanıcılar info@dijitalyuk.com adresine "Güvenlik İhbarı" konulu ileti ile bildirimde bulunabilir. İhbarlar gizli tutulur; iyi niyetli ihbarcılara karşı yaptırım uygulanmaz.
16. Çerezler ve Takip Teknolojileri
Platform; hizmetlerin sunumu, oturum yönetimi, güvenlik ve kullanıcı tercihlerinin hatırlanması amacıyla çerezler ve benzer teknolojiler kullanmaktadır. Çerezlerin türleri, kullanım amaçları, saklama süreleri, yönetimi, reddetme sonuçları ve çerez rıza mekanizması hakkında ayrıntılı bilgi için lütfen Çerez Politikası sayfamızı inceleyin.
Platform parmak izi (fingerprinting) veya cihaz ötesi profil (cross-device profiling) yapmamaktadır.
17. Çocukların Kişisel Verileri
Platform, 18 yaşından küçük kişilerin hizmetlerine yönelik değildir. Üyelik için asgari yaş 18'dir. TMK m.16 uyarınca mümeyyiz küçüklerin bazı işlemleri yapabilmesi mümkün olmakla birlikte, Platform kapsamındaki taşıma sözleşmelerinin kurulması tam ehliyeti gerektirmektedir. Reşit olmadığı anlaşılan kullanıcıların hesapları derhal kapatılır ve kişisel verileri KVKK m.7 çerçevesinde silinir.
Çocuğa ait olduğu bilinen ya da anlaşılan verinin yanlışlıkla işlenmesi hâlinde, derhal info@dijitalyuk.com adresine bildirim yapılması rica olunur; veri en kısa sürede silinir ve veli/vasi bilgilendirilir.
18. Özel Nitelikli Kişisel Veriler
Platform, kural olarak özel nitelikli kişisel veri işlememeyi taahhüt eder. Ancak aşağıdaki sınırlı hâllerde, KVKK m.6 uyarınca açık rızanıza veya kanunda öngörülen istisnalara dayalı olarak özel nitelikli veri işlenebilir:
- T.C. kimlik kartı / ehliyet fotoğrafı: Yalnızca L3 hesap/belge doğrulaması ve sözleşmenin ifası amacıyla, açık rızaya bağlı olarak. Din, kan grubu, sabıka kaydı gibi haneler kullanılmaz; kullanıcıya bu alanların kapatılması rica edilir.
- Mesleki yeterlilik sağlık raporu: Yalnızca belgenin meta-bilgileri (geçerlilik tarihi) dikkate alınır; sağlık detayları işlenmez.
- Biyometrik / genetik veri: Platform bu tür veriler işlememektedir.
Özel nitelikli veri için Kurul tarafından belirlenen ek güvenlik tedbirleri uygulanır: ayrı erişim log'u, şifreli saklama, rol ayrıştırma, özel erişim loglaması.
19. Veri Sahibinin Hakları (KVKK m.11)
Kanun'un 11'inci maddesi uyarınca veri sahibi olarak Veri Sorumlusu'na başvurarak aşağıdaki haklarınızı kullanabilirsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme,
- Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- KVKK m.7'de öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- 5 ve 6 no.lu bentlerdeki işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemlerle analiz edilmesi sonucu aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
- Kanuna aykırı işleme sebebiyle uğradığınız zararın giderilmesini talep etme,
- Açık rızaya dayalı işlemelerde rızayı her zaman geri alma (geri alma ileriye etkili),
- (Uygulanabilir olduğu ölçüde) Veri taşınabilirliği — sağladığınız verilerin yapılandırılmış, yaygın formatta size veya başka bir veri sorumlusuna aktarılmasını talep etme.
Pratik kolaylık: Platform, hesap ayarları bölümünde (/settings) kişisel verilerinizin JSON formatında kopyasını indirme (export), hesabı dondurma ve kalıcı olarak silme seçeneklerini self-servis biçiminde sunar.
20. Başvuru Yöntemi ve Usulü
Yukarıda sayılan haklarınıza ilişkin taleplerinizi, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'de belirtilen usule uygun olarak aşağıdaki kanallarla iletebilirsiniz:
- E-posta (sistemde kayıtlı adresinizden): info@dijitalyuk.com
- Mobil imzalı / güvenli elektronik imzalı e-posta: Yukarıdaki adrese.
- Noter kanalıyla yazılı tebligat: Step Yazılım Network Danışmanlık, Ankara / Keçiören adresine.
- İadeli taahhütlü posta: Yukarıdaki ticari adrese.
Başvuruda ad-soyad (tüzel kişilerde şirket ünvanı ve yetkili adı), T.C. kimlik numarası (yabancılar için uyruk ve pasaport numarası), tebligat adresi (e-posta veya fiziki), talep konusu ve kullanılmak istenen hakkın açıkça belirtilmesi gerekir. Kimlik doğrulama amacıyla ek bilgi istenebilir.
Talebiniz, niteliğine göre en geç 30 (otuz) gün içinde, kural olarak ücretsiz sonuçlandırılır. İşlemin ayrıca bir maliyet gerektirmesi hâlinde, Kurul tarafından belirlenen tarifedeki ücret alınabilir (2025 tarifesi: A4 başına 1 TL, CD/DVD 2 TL vb. — yürürlükteki tarifeye göre güncellenir). Talebiniz reddedilirse ret gerekçeleri yazılı olarak bildirilir; ret kararına karşı 30 gün içinde Kurul'a şikâyet hakkınız saklıdır (Kurul şikâyet süresi: cevabın öğrenildiği tarihten itibaren 30 gün ve her hâlde başvuru tarihinden itibaren 60 gün).
21. Başvuru Formu (Ek-1)
Aşağıdaki şablon, başvurunuzda kullanabileceğiniz asgari bilgileri içerir; sayfadan kopyalayarak e-postanıza yapıştırabilirsiniz.
───────────────────────────────────────────────────────────── VERİ SAHİBİ BAŞVURU FORMU (KVKK m.11 / m.13) ───────────────────────────────────────────────────────────── Konu: KVKK Kapsamında Bilgi Talebi / Hak Kullanım Başvurusu Alıcı: Step Yazılım Network Danışmanlık E-posta: info@dijitalyuk.com Adres : Ankara / Keçiören BAŞVURAN KİŞİ BİLGİLERİ Ad Soyad : ....................................... T.C. Kimlik No : ....................................... (Yabancılar için uyruk + pasaport no: .................) Firma / Ünvan : (tüzel kişi ise) ....................... Yetkili (tüzel) : ....................................... Tebligat E-posta: ....................................... Tebligat Adresi : ....................................... Telefon : ....................................... VERİ SAHİBİ İLGİSİ (uygunları işaretleyin) [ ] Üye / Kullanıcı Kullanıcı adı/ID: ......... [ ] Misafir kullanıcı (public linkten) [ ] İş ortağı / Tedarikçi [ ] Eski üye Hesap kapanma tarihi: ..... [ ] Diğer Açıklama: ................. TALEP KONUSU (m.11'den bir veya birden fazlasını işaretleyin) [ ] Verilerimin işlenip işlenmediğini öğrenmek istiyorum. [ ] İşlenmişse buna ilişkin bilgi talep ediyorum. [ ] İşleme amacını öğrenmek istiyorum. [ ] Aktarıldığı üçüncü kişileri öğrenmek istiyorum. [ ] Düzeltilmesini istiyorum (eksik/yanlış olan: .........). [ ] Silinmesini / yok edilmesini istiyorum. [ ] Yapılan işlemlerin aktarılan taraflara bildirilmesini istiyorum. [ ] Otomatik sistemle aleyhime ortaya çıkan sonuca itiraz ediyorum. [ ] Kanuna aykırı işlemeden kaynaklı zararımın giderilmesini istiyorum. [ ] Açık rızamı geri alıyorum (konu: .......................). [ ] Verilerimin taşınabilir formatta tarafıma/başka sorumluya aktarılmasını istiyorum. TALEBİNİZİN AÇIKLAMASI ................................................................. ................................................................. ................................................................. EKLER (varsa) [ ] Kimlik belgesi kopyası (noter onaylı / ıslak imzalı) [ ] Yetki belgesi (tüzel kişi adına başvuruda) [ ] Önceki yazışma örnekleri [ ] Diğer: ............... TEBLİĞE / CEVABA TERCİH ETTİĞİM USUL [ ] E-posta adresime yanıt verilmesini istiyorum. [ ] İadeli taahhütlü posta ile yazılı cevap istiyorum. Tarih : ..../..../........ İmza : ....................................... ─────────────────────────────────────────────────────────────
22. VERBİS Kaydı Durumu
Veri Sorumluları Sicili Hakkında Yönetmelik m.5 ve Kurul'un muafiyet kararları uyarınca, aşağıdaki kriterlerden en az birini sağlayan veri sorumluları VERBİS'e (Veri Sorumluları Sicili Bilgi Sistemi) kayıt yükümlülüğündedir:
- Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 100 milyon Türk lirasından yüksek gerçek/tüzel kişi veri sorumluları,
- Yurt dışında yerleşik gerçek/tüzel kişi veri sorumluları,
- Ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları.
Step Yazılım Network Danışmanlık işletmesi şu an yukarıda sayılan eşiklerin altında bulunmakta olup, ana faaliyet konusu özel nitelikli kişisel veri işleme değildir. Bu nedenle hâlihazırda VERBİS kayıt yükümlülüğü yoktur ve kayıt bulunmamaktadır. Yükümlülüğün doğması hâlinde gerekli kayıt işlemleri yapılacak ve bu bölüm güncellenecektir.
VERBİS'e kayıtlı veri sorumluları için Kişisel Veri Saklama ve İmha Politikası hazırlama zorunluluğu vardır. Step Yazılım Network Danışmanlık, ilgili Yönetmeliğin genel bilgi güvenliği ilkeleri çerçevesinde bu politikayı iç kullanım dokümanı olarak tutmakta ve talep üzerine veri sahiplerine özet olarak paylaşmaktadır.
23. Politika Değişiklikleri
İşbu Aydınlatma Metni, mevzuat değişiklikleri, hizmet kapsamının güncellenmesi veya veri işleme süreçlerindeki yenilikler nedeniyle zaman zaman güncellenebilir. Güncel metin her zaman bu sayfada yayınlanır; sayfanın üstünde yürürlük tarihi ve sürüm numarası yer alır. Esaslı (materyal) değişikliklerde kayıtlı kullanıcılarımıza hesap içi bildirim ve/veya e-posta yoluyla ayrıca bilgilendirme yapılır; gerekirse yeniden açık rıza alınır.
24. İletişim
Kişisel verilerinizle ilgili her türlü soru, talep ve başvuru için bize aşağıdaki kanaldan ulaşabilirsiniz:
| Veri Sorumlusu | Step Yazılım Network Danışmanlık |
|---|---|
| Adres | Ankara / Keçiören |
| E-posta | info@dijitalyuk.com |
| Telefon | +90 551 955 59 209 |
| Web | https://dijitalyuk.com |
| Kurul (Üst Makam) | kvkk.gov.tr |
İşbu Aydınlatma Metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ikincil mevzuatı (Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ, Veri Sorumluları Sicili Hakkında Yönetmelik, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik, Kişisel Veri İhlali Bildirim Tebliği) çerçevesinde hazırlanmıştır. Hukuki tavsiye niteliğinde olmayıp, özel durumlarınız için bağımsız hukuki danışmanlık alınması önerilir.