Gizlilik Politikası ve KVKK Aydınlatma
1. Veri Sorumlusu
İşbu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") m. 10 ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında veri sorumlusu sıfatıyla Meetverse tarafından hazırlanmıştır.
| Veri Sorumlusu | Meetverse |
| Vergi Dairesi / VKN | Yakacık V.D. / 9520868950 |
| Adres | Yakacık Çarşı Mahallesi, Akra Sokak No: 8/A, 34876 Kartal / İstanbul |
| Telefon | +90 (539) 946 62 58 |
| Veri Koruma E-posta | kvkk@meetverse.org |
| Genel İletişim | destek@meetverse.org |
Web ve mobil ortamda işlenen kişisel verileriniz, AB Genel Veri Koruma Tüzüğü ("GDPR") kapsamına giren süreçler bakımından AB hukukuna uyum gözetilerek de işlenir.
2. İşlenen Kişisel Veri Kategorileri
2.1. Kimlik Verileri
Ad, soyad, kullanıcı adı, doğum tarihi, cinsiyet, profil fotoğrafı.
2.2. İletişim Verileri
E-posta adresi, telefon numarası, fatura/teslimat adresi, ülke, IP üzerinden tespit edilen yaklaşık konum.
2.3. Hesap ve Güvenlik Verileri
Hash'lenmiş şifre, üyelik tarihi, oturum bilgileri (token, IP, user-agent), cihaz bilgisi (model, işletim sistemi, sürüm), push notification token (FCM), dil tercihi, uygulama sürümü, 5651 sk. m. 5 kapsamında trafik bilgileri.
2.4. Finansal Veriler
- Kart bilgileri: PCI-DSS sertifikalı PayTR / iyzico altyapısında saklanır; Meetverse açık kart numarası (PAN), son kullanma tarihi veya CVV bilgisini saklamaz.
- Saklı kart tercihi yalnızca ödeme kuruluşunun tokenizasyonu üzerinden tutulur.
- Fatura bilgileri (T.C. kimlik no veya vergi no, vergi dairesi, fatura adresi), ödeme geçmişi, iade kayıtları, BIN bilgisi, taksit bilgisi.
2.5. İşlem ve Kullanım Verileri
Görüntülenen etkinlikler, satın alınan biletler, favoriler, takip listeleri, arama ve filtre tercihleri, mesajlaşma içerikleri, yorum/değerlendirme kayıtları, ders ilerleme verisi.
2.6. İçerik Verileri
Üyenin Platforma yüklediği etkinlik bilgileri, görseller, videolar, ders içerikleri, sertifika talepleri, mesaj içerikleri, hikaye/story paylaşımları.
2.7. Konum Verileri
- Yaklaşık konum: IP adresi üzerinden tahmini şehir/ülke (varsayılan).
- Hassas konum: Yalnızca kullanıcının açık rızası ile, yakın etkinlik önerisi, harita üzerinde gösterim ve etkinlik yer doğrulaması için cihaz GPS'inden alınır. Ayar her zaman kapatılabilir.
2.8. Organizatör/Eğitmen Doğrulama (KYC) Verileri
- Gerçek kişi: T.C. kimlik no, kimlik belgesi görüntüsü, selfie/yüz doğrulama (Didit aracılığıyla), IBAN, vergi mükellefiyet bilgisi.
- Tüzel kişi: Ticaret sicil belgesi, vergi levhası, imza sirküleri, yetkilinin kimlik bilgileri.
2.9. Görüntülü Görüşme / Canlı Etkinlik Verileri
WebRTC üzerinden gerçekleştirilen görüşmelerde medya akışı uçtan uca (peer-to-peer) iletilir; sinyalleşme verileri (oda kimliği, ICE bilgileri) işlenir. Ses/görüntü kaydı yalnızca Organizatör tarafından açıkça başlatıldığında ve katılımcılara bildirildiğinde alınır.
2.10. Yapay Zekâ İşleme Verileri
Çeviri, transkripsiyon (OpenAI Whisper), içerik moderasyonu ve öneri sistemleri için kullanıcı içerikleri AI sağlayıcılarına iletilebilir. Bu işlemenin esasları m. 13'te ayrıca açıklanmıştır.
3. Kişisel Verilerin İşlenme Amaçları
- Üyelik kayıt, kimlik doğrulama ve hesap yönetimi,
- Platform hizmetlerinin sunulması (etkinlik, rezervasyon, ödeme, mesajlaşma, görüntülü görüşme, transkripsiyon),
- Sözleşmesel ve yasal yükümlülüklerin yerine getirilmesi (faturalandırma, vergi, 5651 sk. log saklama),
- Müşteri destek ve şikayet yönetimi,
- Güvenlik, dolandırıcılık ve kötüye kullanım önleme,
- KYC süreçleri (Didit entegrasyonu),
- Hizmet kalitesinin ölçülmesi, istatistik ve analitik (Firebase, Sentry),
- Açık rıza ile pazarlama ve ticari elektronik ileti (6563 sk. + İYS),
- Kanuni yükümlülükler ve yetkili merci taleplerinin karşılanması.
4. İşlemenin Hukuki Sebepleri
KVKK m. 5/2 ve m. 6/3 kapsamında işleme dayanaklarımız:
| Hukuki Sebep | Örnek İşleme |
|---|---|
| Sözleşmenin kurulması veya ifası için zorunlu olması (m. 5/2-c) | Üyelik, rezervasyon, ödeme |
| Veri sorumlusunun hukuki yükümlülüğü (m. 5/2-ç) | Fatura, vergi mevzuatı, 5651 sk. log saklama, 6563 sk. |
| İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaat (m. 5/2-f) | Dolandırıcılık önleme, güvenlik, hizmet iyileştirme |
| Bir hakkın tesisi, kullanılması veya korunması (m. 5/2-e) | Uyuşmazlık çözümü, hukuki süreçler |
| Açık rıza (m. 5/1) | Pazarlama iletisi, hassas konum, AI destekli kişiselleştirme |
| Özel nitelikli veri için açık rıza (m. 6/2) | KYC kapsamında biyometrik veri (Didit) |
5. Kişisel Verilerin Aktarımı
5.1. Yurt İçi Aktarım (KVKK m. 8)
- Ödeme kuruluşları: PayTR Ödeme ve Elektronik Para Hizmetleri A.Ş. ve/veya iyzico Ödeme Hizmetleri A.Ş. — kart işlemleri, BKM Express, taksit, 3DSv2.
- E-fatura entegratörleri: Mevzuat kapsamında belirlenen yetkili özel entegratörler.
- Bulut hizmet sağlayıcıları: Yurt içi sertifikalı veri merkezleri (mümkün olduğunda).
- Hukuki danışmanlar, bağımsız denetçiler ve gerektiğinde yetkili kamu kurumları.
5.2. Yurt Dışı Aktarım (KVKK m. 9 — 10.07.2024 Yönetmeliği)
Aşağıdaki kategorilerde sınırlı veri yurt dışına aktarılmaktadır:
| Alıcı | Bulunduğu Ülke | Aktarım Amacı | Aktarım Mekanizması |
|---|---|---|---|
| AWS (S3, CloudFront, Secrets Manager) | ABD / İrlanda | Bulut altyapı, medya depolama, CDN | Standart Sözleşme + uygun teknik tedbirler |
| Google Firebase (FCM, Analytics, Crashlytics) | ABD / AB | Push bildirim, analitik | Standart Sözleşme |
| OpenAI / Whisper | ABD | Transkripsiyon, çeviri | Standart Sözleşme + veri minimizasyonu |
| Google Gemini | ABD / AB | İçerik üretimi, çeviri | Standart Sözleşme |
| Sentry | ABD / AB | Hata izleme | Standart Sözleşme |
| Apple Sign-In | ABD | SSO | Yeterli koruma sağlama taahhüdü |
| Google Sign-In | ABD | SSO | Standart Sözleşme |
10.07.2024 tarih ve 32598 sayılı Resmî Gazete'de yayımlanan "Yurt Dışına Kişisel Veri Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik" uyarınca; standart sözleşme Kuruma bildirilmiş; ayrıca veri sahibinin açık rızası gerekli yerlerde ayrıca alınmaktadır.
6. Saklama Süreleri
| Veri Kategorisi | Saklama Süresi | Hukuki Dayanak |
|---|---|---|
| Üyelik bilgileri | Üyelik aktif olduğu sürece + 3 yıl | TBK m. 146 |
| Finansal kayıt, fatura | 10 yıl | VUK m. 253, TTK m. 82 |
| Ödeme işlem kayıtları | 10 yıl | VUK + 6493 sk. |
| Müşteri destek ve şikayet kayıtları | 3 yıl | TBK genel zamanaşımı |
| Trafik / erişim logları | 2 yıl (min.) | 5651 sk. m. 5/3 |
| KYC ve doğrulama belgeleri | Üyelik sonlanmasından 10 yıl | MASAK + sözleşmesel ispat |
| Açık rıza ile işlenen pazarlama verileri | Rıza geri alınana kadar | KVKK + 6563 sk. |
| Çerez verileri | Her çerez için ayrı, max 13 ay | ePrivacy / EDPB rehberi |
| Hesap silindikten sonra anonimleştirilmiş veriler | Süresiz (anonim) | — |
7. İlgili Kişinin Hakları (KVKK m. 11)
Veri sahibi olarak şu haklara sahipsiniz:
- Kişisel verinizin işlenip işlenmediğini öğrenme,
- İşlenmişse buna ilişkin bilgi talep etme,
- İşleme amacını ve amacına uygun kullanıp kullanılmadığını öğrenme,
- Yurt içinde / yurt dışında aktarıldığı üçüncü kişileri bilme,
- Eksik veya yanlış işlenmiş verinin düzeltilmesini isteme,
- KVKK m. 7'de öngörülen şartlar çerçevesinde silinmesini / yok edilmesini isteme,
- Düzeltme veya silme işlemlerinin verinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Otomatik sistemler aracılığıyla analiz edilmesi suretiyle aleyhe sonuç doğan duruma itiraz etme,
- Kanuna aykırı işleme sebebiyle zarara uğramanız halinde tazminat talep etme.
7.1. Başvuru Yolu
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca başvuru:
- E-posta: kvkk@meetverse.org (sistemde kayıtlı e-postanızdan)
- Posta: Yakacık Çarşı Mahallesi, Akra Sokak No: 8/A, 34876 Kartal / İstanbul (ıslak imzalı)
- Şahsen veya noter kanalıyla yukarıdaki adrese.
Başvuruda; ad-soyad, T.C. kimlik no (yabancılar için pasaport/uyruk), tebligata esas adres veya e-posta, talep konusu açıkça yer almalıdır.
Başvurunuz, talebin niteliğine göre en geç 30 gün içinde ücretsiz olarak sonuçlandırılır. İşlemin ayrıca bir maliyet gerektirmesi halinde KVKK Tebliği'ndeki ücret tarifesi uygulanır.
Talebin Meetverse tarafından reddedilmesi, verilen yanıtın yetersiz bulunması veya 30 gün içinde yanıt verilmemesi halinde Kişisel Verileri Koruma Kurulu'na şikayet hakkınız mevcuttur (KVKK m. 14).
8. Çerez Politikası (Web)
| Çerez Türü | Amaç | Rıza Gerektirir mi? |
|---|---|---|
| Zorunlu çerezler | Oturum yönetimi, güvenlik, CSRF | Hayır |
| Performans/analitik çerezler | Ziyaret istatistikleri (Google Analytics vb.) | Evet (rıza bannerı) |
| Fonksiyonel çerezler | Dil/tema tercihi | Evet |
| Pazarlama çerezleri | Hedefli reklam, retargeting | Evet (açık rıza) |
Çerez tercihlerinizi her zaman site footer'ındaki "Çerez Tercihleri" bağlantısından veya tarayıcı ayarlarınızdan yönetebilirsiniz.
9. Mobil Uygulama Veri İşleme
9.1. App Tracking Transparency (iOS)
iOS 14.5+ cihazlarda IDFA için açık onay istenir. Onay verilmezse yalnızca anonim, toplulaştırılmış ölçüm yapılır. iOS Ayarlar > Gizlilik ve Güvenlik > İzleme üzerinden istenildiği zaman değiştirilebilir.
9.2. Apple App Privacy (App Store) — Beyan Edilen Kategoriler
Kimlik (e-posta, ad, kullanıcı adı, fotoğraf), İletişim (e-posta, telefon), Kullanıcı İçeriği (mesaj, fotoğraf, etkinlik içeriği), Tanımlayıcılar (kullanıcı/cihaz ID), Kullanım Verileri, Tanılama (çökme/performans), Satın Alma.
9.3. Google Play Data Safety (Android) — Beyan Edilen Amaçlar
Uygulama işlevselliği, hesap yönetimi, geliştirici iletişimi, reklam/pazarlama (rıza ile), analiz, dolandırıcılık önleme.
9.4. Kullanılan Üçüncü Parti SDK ve Servisler
| Servis | Sağlayıcı | Amaç | Veri |
|---|---|---|---|
| Firebase Cloud Messaging | Push bildirim | Cihaz token, kullanıcı ID | |
| Firebase Analytics / Crashlytics | Kullanım analizi, çökme | Anonim olay, cihaz, stack trace | |
| Sentry | Sentry | Hata izleme | Stack trace, kullanıcı ID |
| PayTR / iyzico | PayTR / iyzico | Ödeme altyapısı (PCI-DSS) | Kart bilgisi, BIN, IP |
| AWS S3 / CloudFront | Amazon | Medya depolama / dağıtım | Kullanıcı içeriği, ID |
| OpenAI / Whisper | OpenAI | Transkripsiyon, çeviri | İçerik (gerekirse anonim) |
| Google Gemini | İçerik / çeviri | İçerik (gerekirse anonim) | |
| Didit | Didit | KYC kimlik doğrulama | Kimlik belgesi, biyometrik |
| Google Sign-In | SSO | E-posta, ad | |
| Apple Sign-In | Apple | SSO | E-posta (relay), ad |
| react-native-webrtc | WebRTC | Görüntülü görüşme (P2P) | Medya akışı, ICE |
9.5. Hesap Silme Kolaylığı (Apple 5.1.1(v) / Google Play)
- Uygulama içi yol: Profil > Ayarlar > Hesabımı Sil
- Web:
https://meetverse.org/hesap-sil - Silme süresi: 30 gün (yasal saklama yükümlülüğüne tabi veriler hariç)
- İşlem geri alınamaz.
9.6. Apple Sign-In E-posta Relay
Apple Sign-In ile gelen kullanıcılar Apple'ın atadığı relay e-posta sağlayabilir; tercih kullanıcıya aittir ve KVKK kapsamında saygı gösterilir.
9.7. Çocuklara Yönelik Uygulama Değildir
Meetverse 18 yaş ve üzerine yöneliktir; 13 yaş altından bilerek veri toplanmaz (COPPA uyumu). Tespit halinde hesap kapatılır ve veriler silinir.
10. Yapay Zekâ ve Otomatik Karar Verme
- AI destekli öneri sistemleri, sıralama, içerik moderasyonu ve transkripsiyon profilleme niteliği taşıyabilir.
- Yalnızca otomatik sistemlerle alınan ve aleyhinize hukuki sonuç doğuran kararlara KVKK m. 11/1-g uyarınca itiraz edebilirsiniz. Önemli kararlar (hesap kapatma, iade reddi vb.) insan denetimi ile sonuçlandırılır.
- AI servislerine iletilen veriler, hizmetin niteliği gerektirdiği oranda minimum seviyede tutulur; mümkün olan yerde anonimleştirilir.
11. Veri Güvenliği
Aldığımız teknik ve idari tedbirler (KVKK m. 12):
- Aktarımda: TLS 1.2+ şifreleme, HSTS,
- Depolamada: AES-256, alan bazlı şifreleme, parolaların bcrypt ile saklanması,
- Erişim: Rol bazlı yetkilendirme (RBAC), iki faktörlü doğrulama, en az yetki ilkesi,
- Loglama: Audit log, anomali tespiti, IP rate limiting,
- Operasyon: Düzenli sızma testleri, güvenlik açığı taraması, yedekleme ve felaket kurtarma (DR), gizlilik etki değerlendirmesi (DPIA), üçüncü parti risk denetimi,
- İnsan: Çalışan ve hizmet sağlayıcı gizlilik sözleşmeleri, periyodik farkındalık eğitimleri.
12. Veri İhlali Bildirimi
KVKK m. 12/5 ve Kurul kararı uyarınca ciddi bir veri ihlali tespiti halinde en kısa sürede ve en geç 72 saat içinde Kurum'a, etkilenen ilgili kişilere ise ulaşılabilir en hızlı yolla bildirim yapılır.
13. Çocuklar
Platform 18+ kişilere yöneliktir. 18 yaş altı kullanıcılar veli onayı ile katılabilir; aksi tespit edilen hesaplar derhal kapatılır ve veriler silinir.
14. Politika Değişiklikleri
Bu Politika güncellenebilir. Esaslı değişiklikler en az 30 gün önceden e-posta ve uygulama içi bildirim ile duyurulur. Güncel sürüm her zaman https://meetverse.org/gizlilik adresinde yayınlanır.
15. İletişim
- KVKK Talepleri: kvkk@meetverse.org
- Genel Destek: destek@meetverse.org
- Telefon: +90 (539) 946 62 58
- Adres: Yakacık Çarşı Mahallesi, Akra Sokak No: 8/A, 34876 Kartal / İstanbul