Yasal

Gizlilik Politikası

Son güncelleme: 10 Mayıs 2026 · v2.8 · PDF Kaydet / Yazdır

Burak Hasköy ("Veri Sorumlusu"), kuryeai.com ve alt platformları (KuryeAI, RestoranAI, İzinciKuryeAI, AcilKuryeAI, QRMenuAI) üzerinden işlenen kişisel verileri, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve ilgili ikincil mevzuat hükümlerine uygun olarak işler. İşbu Gizlilik Politikası; işlenen veri kategorilerini, işleme amaçlarını, hukuki sebeplerini, aktarım alıcılarını, saklama sürelerini, güvenlik tedbirlerini ve ilgili kişinin KVKK md.11 kapsamındaki haklarını düzenler. Platformu kullanan her gerçek kişi işbu politika hükümlerine tabidir.

1. Veri Sorumlusu

Unvan	Burak Hasköy (Şahıs İşletmesi)
Vergi Dairesi / Vergi No	Çankaya Vergi Dairesi Müdürlüğü / 4580632882
İşe Başlama Tarihi	22/04/2026
ETBİS Site Kayıt No	8033996605 · Kayıt Tarihi: 27.04.2026 · T.C. Ticaret Bakanlığı Elektronik Ticaret Bilgi Sistemi (6563 sayılı E-Ticaret Kanunu md.3 ve E-Ticaret Yönetmeliği md.4 uyarınca tescil) · Doğrulama: etbis.ticaret.gov.tr
ANKESOB Esnaf Sicili	Sicil No: 474167 · İş Yeri Adı: KURYEAI TEKNOLOJİ · Belge No: 33542528 · Veriliş: 05.05.2026 · Geçerlilik: 05.11.2026 · NACE Faaliyet Kodları: 62.10.00 (Bilgisayar programlama) + 63.91.02 (Web arama portalı) · Ankara Esnaf ve Sanatkâr Sicil Müdürlüğü, 5362 sayılı Esnaf ve Sanatkârlar Meslek Kuruluşları Kanunu md.65 uyarınca tescil · Doğrulama: esbis.ticaret.gov.tr
KEP Adresi	burak.haskoy@hs01.kep.tr
Adres	Kızılırmak Mah. Dumlupınar Bulvarı YDA Center No:9 A3 Blok 5. Kat No: 158 Çankaya/Ankara
E-posta	info@kuryeai.com
Telefon	0 850 302 06 80
Web	www.kuryeai.com

2. Hangi Verileri Topluyoruz?

Detaylı veri kategorileri için KVKK Aydınlatma Metni'ni inceleyiniz. Özet olarak:

• Hesap bilgileri: Ad, e-posta, telefon, şifre (hashlenmiş)
• Profil bilgileri: Fotoğraf, işletme adı, adres, IBAN
• Kimlik bilgileri: TC kimlik numarası, adli sicil kaydı (kurye doğrulama — özel nitelikli, açık rızaya tabidir)
• Belge bilgileri: Ehliyet, SRC, P1, araç sigortası, ruhsat (kuryeler için)
• Konum: GPS (kurye hizmeti sırasında)
• İletişim içeriği: Chat mesajları, sesli/görüntülü arama
• Teknik veri: IP, tarayıcı, cihaz, log kayıtları
• Analitik/çerez verileri: Google Analytics kullanım istatistikleri, oturum çerezleri, tercih ayarları
• Push bildirim: Firebase Cloud Messaging (FCM) token, cihaz kimliği

3. Verileri Nasıl Kullanıyoruz?

• Kurye-işveren eşleştirme hizmetini sağlamak
• Hesabınızı oluşturmak ve yönetmek
• Ödeme ve fatura işlemlerini yürütmek
• Gerçek zamanlı teslimat takibi sunmak
• Müşteri desteği sağlamak
• Platform güvenliğini korumak
• Yasal yükümlülüklere uymak
• Hizmet kalitesini ölçmek (anonimleştirilmiş analitik)

4. İşlemenin Hukuki Dayanakları

Verileriniz KVKK madde 5/2 kapsamında aşağıdaki hukuki sebeplere dayanılarak işlenmektedir:

• Sözleşmenin ifası: Kurye eşleştirme, teslimat takibi, ödeme işlemleri
• Kanuni yükümlülük: 5651 sayılı Kanun (log tutma), 213 sayılı VUK (fatura/ödeme kayıtları), 6563 sayılı ETK
• Meşru menfaat: Hizmet güvenliği, dolandırıcılık önleme, platform kalitesinin ölçülmesi
• Hakkın tesisi, kullanılması veya korunması: Hukuki uyuşmazlıklarda savunma hakkı, alacak/borç ilişkisinin ispatı (KVKK md. 5/2-e)
• Açık rıza: TC kimlik/adli sicil gibi özel nitelikli veriler, pazarlama bildirimleri, konum takibi, yurt dışı veri aktarımı

Detaylı tablo için KVKK Aydınlatma Metni Madde 4'ü inceleyiniz.

4.1 Atomik Veri — Amaç — Hukuki Sebep Eşleştirmesi

Veri Öğesi (atomik)	İşleme Amacı	Hukuki Sebep (KVKK md.5/6)
Ad, soyad	Kimlik yönetimi, hesap oluşturma, faturalama	md.5/2-c (sözleşmenin ifası)
E-posta adresi	Kimlik doğrulama, bildirim, başvuru kanalı	md.5/2-c + md.5/2-ç (hukuki yükümlülük)
Telefon numarası	İletişim, SMS doğrulama, acil müdahale	md.5/2-c + md.5/2-f (meşru menfaat)
Şifre (bcrypt hash)	Hesap güvenliği, kimlik doğrulama	md.5/2-c + md.5/2-ç
Profil fotoğrafı	Kurye-işveren güvenli tanışma	md.5/2-c
İşletme adı, adres, IBAN	Faturalama, ödeme işleme	md.5/2-ç (213 VUK) + md.5/2-c
T.C. kimlik numarası	Kurye yaş/kimlik doğrulama, işveren faturalama	md.6/2 açık rıza (özel nitelikli) + md.5/2-ç
Adli sicil kaydı	Kurye güvenilirlik kontrolü	md.6/2 açık rıza (özel nitelikli)
Sürücü belgesi	Mesleki yetkinlik doğrulama	md.5/2-c + md.5/2-ç
SRC / P1 belgesi	Ticari taşıma yetkisi doğrulama	md.5/2-ç (KTK)
Araç ruhsatı, zorunlu trafik sigortası	Araç uygunluk kontrolü	md.5/2-c + md.5/2-ç
Gerçek zamanlı konum (GPS — hizmet sırasında)	Eşleştirme, teslimat takibi	md.5/2-c + md.5/1 açık rıza
Chat metni (yazılı mesaj)	Kurye-işveren koordinasyonu	md.5/2-c
Sesli/görüntülü arama içeriği	Kurye-işveren koordinasyonu	md.5/2-c + md.5/1 açık rıza
Ödeme dekontu, fatura	Muhasebe, vergi yükümlülüğü	md.5/2-ç (213 VUK, TTK)
IP adresi	Trafik log, güvenlik	md.5/2-ç (5651) + md.5/2-f
Tarayıcı / cihaz parmak izi (user-agent)	Oturum güvenliği, anomali tespiti	md.5/2-f
Giriş/çıkış log'ları (auth timestamps)	Güvenlik denetimi, ihlal tespiti	md.5/2-ç (5651)
Oturum çerezi (Firebase Auth token)	Oturum yönetimi	md.5/2-c (zorunlu işlev)
Tercih çerezi (tema, dil — localStorage)	Kullanıcı tercihlerini koruma	md.5/2-f
Google Analytics anonim istatistik	Hizmet kalitesi ölçümü	md.5/1 açık rıza
FCM token (cihaz push kimliği)	Sipariş/sistem bildirimi iletimi	md.5/2-c + md.5/1 açık rıza
Pazarlama e-posta/push listesi	Kampanya ve tanıtım iletişimi	md.5/1 açık rıza (opt-in — İYS kayıtlı)
Performans skoru, ceza puanı	Eşleştirme önceliği, askıya alma kararı	md.5/2-f + md.5/2-c
Uyuşmazlık/savunma kayıtları (ilgili veriler)	Hukuki sürecin yürütülmesi	md.5/2-e (hakkın tesisi/kullanılması/korunması)

5. Özel Nitelikli Kişisel Veriler

KVKK madde 6 kapsamında, kurye doğrulama sürecinde işlenen TC kimlik numarası ve adli sicil kaydı özel nitelikli kişisel veri sayılmaktadır. Bu veriler:

• Yalnızca açık rızanız ile toplanır (Açık Rıza Metni'ni inceleyiniz)
• Yalnızca kimlik doğrulama amacıyla kullanılır, başka amaçla işlenmez
• Yalnızca yetkili platform yöneticileri tarafından görüntülenebilir
• Şifreli ortamda Google Firebase Firestore (europe-west1 — AB) üzerinde, users/{uid} dokümanının doc_* alanlarında base64 formatında saklanır
• Hesap silme talebinde kalıcı olarak imha edilir

6. Verileri Kimlerle Paylaşıyoruz?

Verilerinizi asla satmıyoruz. Bu kapsamda Burak Hasköy veri sorumlusu sıfatıyla hareket etmekte; aşağıda listelenen üçüncü taraflar ise veri işleyen olarak, veri sorumlusunun belirlediği amaç ve sözleşme hükümleri çerçevesinde verileri işlemektedir. Yalnızca şu durumlarda paylaşırız:

• İşverenler: Sipariş/talep sahibi işveren; kurye adı, fotoğrafı, konumu, iletişim bilgisi paylaşılır (hizmet için zorunlu)
• Kuryeler: Atanmış kuryeye işveren iletişim/adres bilgileri paylaşılır (hizmet için zorunlu)
• Altyapı Sağlayıcıları (hizmet kategorisine göre):
  • Veritabanı/Kimlik/Dosya: Google Firebase — Firestore, RTDB, Auth, Functions (EU-West1). Kimlik doğrulama ve mesleki yeterlilik belgeleri (TC, ehliyet, adli sicil, ikametgah, P1/SRC, araç sigortası) Firebase Firestore üzerinde users/{uid} dokümanında base64 formatında saklanır; Firebase Storage kullanılmaz.
  • Hosting ve CDN: Vercel Inc. (ABD — edge network)
  • Harita servisi: Leaflet kütüphanesi + OpenStreetMap tile sunucuları
  • Push bildirim: Firebase Cloud Messaging (Google)
  • Analitik: Google Analytics — anonimleştirilmiş, IP maskelemeli
  • İletişim yönlendirmesi: WhatsApp (Meta) — yalnızca iletişim formu redirect
  Tüm hizmet sağlayıcılarla veri işleme sözleşmeleri veya hizmet kullanım koşulları mevcuttur.
• Yetkili Kurumlar: Mahkeme kararı, savcılık talebi, kolluk kuvvetleri, vergi daireleri (yasal zorunluluk halinde)
• Hizmet Sağlayıcılar: Mali müşavir/muhasebe (vergi mevzuatı), avukat/hukuk danışmanı (hukuki uyuşmazlık durumunda)

6.1 Yurt Dışı Veri Aktarımı

Aşağıdaki servisler AB dışında veri işleyebilmektedir:

• Vercel Inc. (ABD): Hosting ve CDN edge node'ları — KVKK md. 9 kapsamında standart sözleşme hükümleri (SCCs)
• Firebase Cloud Messaging (Google): Push bildirim altyapısı — global dağıtık yapı
• Google Analytics (Google): Anonim kullanım istatistikleri — IP anonimleştirme aktif
• WhatsApp (Meta — ABD/İrlanda): Yalnızca iletişim formu yönlendirmesi; platform içinden mesajlaşma yapılmaz
• OpenStreetMap (Vakıf — Birleşik Krallık) / Leaflet: Harita tile servisi; yalnızca görüntülenen harita alanı bilgisi gönderilir

KVKK madde 9 uyarınca yurt dışı veri aktarımı; (i) yeterli korumaya sahip ülkelere ilişkin Kurul kararları, (ii) standart sözleşme hükümleri (SCCs) veya (iii) açık rızanız kapsamında gerçekleştirilir. Platforma kayıt olurken bu aktarımlara ilişkin açık rıza onayınız alınmaktadır.

6.2 Servis — Rol — Aktarılan Veri — Amaç — Dayanak Matrisi

Servis / Sağlayıcı	Rol (KVKK md.3)	Lokasyon	Aktarılan Veri	Amaç	Dayanak (md.9)
Google Firebase (Firestore, RTDB, Auth, Cloud Functions, FCM, Remote Config, App Check)	Veri İşleyen	AB — Belçika (europe-west1)	Hesap, belge (Firestore base64), konum, chat, ödeme, özel nitelikli veriler	Veritabanı, kimlik, backend, bildirim	AB sınırları içi — md.9 uygulanmaz
Vercel Inc.	Veri İşleyen	ABD (edge network)	IP, tarayıcı, çerez, HTTP istekleri, statik içerik	Hosting ve CDN	md.9 — SCCs + md.5/1 açık rıza
Firebase Cloud Messaging (Google LLC)	Veri İşleyen	ABD / global dağıtık	FCM token, cihaz kimliği, bildirim metadatası	Push bildirim iletimi	md.9 — SCCs + md.5/1 açık rıza
Google Analytics (Google LLC)	Veri İşleyen	ABD	Anonimleştirilmiş IP, oturum kimliği, etkileşim olayı	Kullanım istatistiği	md.9 — SCCs + md.5/1 açık rıza (analitik çerez)
WhatsApp / Meta Platforms Ireland Ltd.	Bağımsız Veri Sorumlusu (yönlendirme sonrası)	İrlanda / ABD	Telefon numarası ve kullanıcının yazdığı mesaj metni	İletişim formu yönlendirmesi (yalnızca tıklama üzerine)	md.9 — md.5/1 açık rıza (kullanıcı tıklaması)
OpenStreetMap Foundation / Leaflet	Bağımsız Veri Sorumlusu (tile sunucusu)	Birleşik Krallık	IP, görüntülenen harita alanı koordinatı	Harita tile servisi	md.9 — md.5/2-f meşru menfaat + md.5/1 açık rıza
Open-Meteo	Bağımsız Veri Sorumlusu	AB (Almanya)	Yaklaşık konum koordinatı (şehir düzeyi)	Hava durumu widget'ı	AB — md.5/2-f meşru menfaat
TomTom N.V.	Veri İşleyen (TomTom Developer DPA)	Hollanda (AB) — Vercel sunucu tarafı proxy üzerinden; tarayıcıdan doğrudan bağlantı kurulmaz	Rota koordinatları (enlem/boylam), adres metni — kullanıcı IP adresi proxy tarafından maskelenir	Rota hesaplama, trafik bilgisi, geocoding (KuryeAI, RestoranAI, AcilKuryeAI, AdminAI panellerinde harita/navigasyon)	AB — md.5/2-c sözleşmenin ifası; TomTom N.V. AB/GDPR çerçevesi
OSRM Demo Server / HeiGIT	Veri İşleyen (kamu hizmeti)	Heidelberg, Almanya (AB)	İki GPS koordinatı (başlangıç–bitiş), IP adresi, user agent	AcilKuryeAI sürüş rotası ve mesafe hesaplama	AB — md.5/2-c sözleşmenin ifası; çerez yerleştirmez
Firebase Remote Config (Google LLC)	Veri İşleyen (Google DPA)	EU-West1 (Belçika)	Uygulama kimliği, Firebase kurulum ID	Bakım modu ve duyuru konfigürasyonu	AB içi — md.5/2-f meşru menfaat
Firebase App Check / reCAPTCHA Enterprise (Google LLC)	Veri İşleyen (Google DPA)	Google global / EU-West1	reCAPTCHA risk skoru, tarayıcı parmak izi (bot tespiti), uygulama kimliği	Firebase istek doğrulaması ve bot koruması	md.9/2 — SCCs; md.5/2-f meşru menfaat

6.3 Veri Öğesi — Aktarım Hedefi Zinciri

Aşağıdaki tablo, atomik veri öğelerinin hangi üçüncü taraf altyapılara iletildiğini ve hangilerinin yurt dışına aktarılmadığını bağlayıcı biçimde gösterir:

Veri Öğesi	Aktarıldığı Servis	Yurt Dışı Aktarım
T.C. kimlik numarası, adli sicil kaydı	YALNIZCA Firebase (AB — europe-west1)	AKTARILMAZ (AB içi kalır)
Sürücü belgesi, SRC, P1, ruhsat, sigorta, ikametgah görüntüleri	YALNIZCA Firebase Firestore (AB — europe-west1; users/{uid} doc_* alanları, base64)	AKTARILMAZ (AB içi kalır)
Chat metni, sesli/görüntülü arama sinyali	YALNIZCA Firebase (AB — europe-west1)	AKTARILMAZ (AB içi kalır)
Ödeme dekontu, fatura, IBAN	YALNIZCA Firebase (AB — europe-west1)	AKTARILMAZ (AB içi kalır)
Gerçek zamanlı GPS konumu	Firebase (AB) + OpenStreetMap (UK, sadece tile istekleri için IP)	UK — md.5/1 açık rıza
IP adresi, çerez	Firebase (AB) + Vercel (ABD) + Google Analytics (ABD)	ABD — md.9 SCCs + md.5/1 açık rıza
FCM token ve push içeriği	Firebase Cloud Messaging (ABD / global)	ABD — md.9 SCCs + md.5/1 açık rıza
İletişim formu üzerinden WhatsApp yönlendirmesi	Meta (İrlanda / ABD) — kullanıcı tıklamasıyla	ABD/İrlanda — md.5/1 açık rıza
Hava durumu sorgusu (yaklaşık konum)	Open-Meteo (AB — Almanya)	AB içi — md.9 uygulanmaz
Rota koordinatları ve adres (navigasyon)	TomTom N.V. (Hollanda, AB) — Vercel proxy üzerinden	AB içi — kullanıcı IP maskelenerek; md.5/2-c sözleşme
AcilKuryeAI rota koordinatları	OSRM / HeiGIT (Almanya, AB)	AB içi — çerez yok; md.5/2-c sözleşme
Hesap şifresi (bcrypt hash)	YALNIZCA Firebase Auth (AB — europe-west1)	AKTARILMAZ

Kullanıcı, açık rızasını geri çekerek yurt dışı aktarım gerektiren özellikleri (analitik, push bildirim, WhatsApp yönlendirmesi) hesap ayarlarından devre dışı bırakabilir. Özel nitelikli veriler hiçbir koşulda AB dışına aktarılmaz.

7. Veriler Nerede Saklanıyor?

Verileriniz Google Firebase EU-West1 (Belçika) veri merkezinde saklanmaktadır. Avrupa Birliği veri koruma standartlarına tabidir. HTTPS/TLS şifreleme, Firebase Security Rules ve rol bazlı erişim kontrolü uygulanmaktadır.

8. Saklama Süreleri — Deterministik Model

Her veri öğesi için kesin azami süre belirlenmiştir. "Hesap aktif olduğu süre" ifadesi için üst sınır; kullanıcının son oturum açmasından itibaren 36 ay hareketsizlik halinde hesap pasife alınır ve aşağıdaki süreler işlemeye başlar. Beta dönem notu: Platform beta aşamasındadır; 36 ay inaktivite tespiti ve pasifleştirme süreci şu an destek ekibi tarafından manuel periyodik denetim ile yürütülür. Zamanlanmış (cron) otomatik pasifleştirme altyapısı, beta sonrası Cloud Functions v2 geçişi ile birlikte devreye alınacaktır.

Veri Öğesi	Azami Saklama Süresi	İmha Yöntemi	Dayanak
Ad-soyad, e-posta, telefon, profil fotoğrafı	Hesap kapatma/silme talebinden 30 gün sonra	Silme (Firestore document delete)	md.5/2-c
Şifre (bcrypt hash)	Hesap silinmesi anında	Kriptografik yok etme	md.5/2-c
T.C. kimlik numarası, adli sicil kaydı	Hesap silinmesinden 30 gün sonra (azami 6 yıl; iş ilişkisi sonrası zamanaşımı)	Kriptografik yok etme	md.6/2 + md.5/2-e
Sürücü belgesi, SRC, P1, ruhsat, sigorta, ikametgah görüntüleri	Hesap silinmesinden 30 gün sonra (azami 10 yıl)	Yok etme (Firestore alan silme — doc_* field delete)	md.5/2-c + md.5/2-e
Gerçek zamanlı GPS konumu	Vardiya/teslimat sonu + 30 gün (operasyonel denetim)	Silme (otomatik cron job)	md.5/2-c + md.5/1 açık rıza
Chat metni	Görev tamamlanmasından 12 ay sonra (uyuşmazlık halinde zamanaşımı kadar, azami 10 yıl)	Silme	md.5/2-c + md.5/2-e
Sesli/görüntülü arama sinyalleri (içerik kaydedilmez)	Oturum sonu — anında	Otomatik silme (RTDB ephemeral)	md.5/2-c
Ödeme dekontu, fatura, IBAN	10 yıl	Yok etme	213 VUK / TTK md.82
Ceza puanı, performans skoru	180 gün (rolling window); hesap silinmesinde 30 gün sonra	Silme (otomatik cron)	md.5/2-f
Giriş/çıkış log, IP, user-agent	2 yıl	Silme	5651 md.6
Oturum çerezi (Firebase Auth token)	1 saat (refresh token 30 gün)	Otomatik silme	md.5/2-c
Tercih çerezi (tema, dil)	Kullanıcı tarayıcısında 12 ay (localStorage)	Otomatik silme (tarayıcı)	md.5/2-f
Google Analytics verisi	26 ay (GA varsayılan üst sınır)	Anonimleştirme	md.5/1 açık rıza
FCM token	Hesap silinmesi veya uygulama silme ile anında	Silme	md.5/2-c + md.5/1 açık rıza
Pazarlama iletişim listesi	Rıza geri çekimine kadar; geri çekimden 3 iş günü sonra	Silme (İYS kaydı güncellenir)	md.5/1 açık rıza
Destek/şikâyet yazışmaları	Talep kapanışından 24 ay sonra	Silme	md.5/2-f + md.5/2-e
Uyuşmazlık/savunma kayıtları	Genel zamanaşımı süresi (TBK md.146 — 10 yıl)	Silme	md.5/2-e
Pasif hesap (36 ay hareketsizlik)	Manuel tespit + imha bildirimi sonrası 30 gün (beta dönem — cron altyapısı beta sonrası)	Silme / Anonimleştirme	md.4/2 (ölçülülük ilkesi)

8.1 İmha Yöntemleri

Saklama süresi dolan veriler, Kişisel Veri Saklama ve İmha Politikası kapsamında günlük/haftalık otomatik cron işleri (GPS vardiya sonu temizlik, auth_logs / audit_logs TTL, ceza puanı rolling window vb.) ile 6 ayda bir manuel envanter denetimi birleşiminde aşağıdaki yöntemlerden uygun olanı kullanılarak ortadan kaldırılır:

• Silme: Verinin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz hâle getirilmesi (Firestore document delete veya alan silme — FieldValue.delete()).
• Yok etme: Verinin hiç kimse tarafından erişilemez ve geri getirilemez hâle getirilmesi (kriptografik imha, overwrite, fiziksel medya için güvenli yok etme).
• Anonimleştirme: Verinin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hâle getirilmesi (istatistiksel raporlama amacıyla).

İmha işlemleri log'lanır ve denetim izi (audit trail) olarak saklanır. Kullanıcı talebi üzerine yapılan silme işlemleri 30 gün içinde sonuçlandırılır. Beta dönem notu: Chat 12 ay auto-cleanup ve kategori bazlı toplu periyodik imha için zamanlanmış (cron) altyapı, beta sonrası Cloud Functions v2 geçişi ile devreye alınacaktır; bu süre zarfında ilgili kategoriler için saklama sürelerine uyum, destek ekibinin manuel periyodik denetimi ile sağlanır.

9. Çerezler

Platform, aşağıdaki amaçlarla çerez ve benzer teknolojiler kullanmaktadır:

• Zorunlu çerezler: Oturum yönetimi, Firebase Auth token (işlev için zorunlu)
• Analitik çerezler: Google Analytics — anonimleştirilmiş kullanım istatistikleri (açık rızaya tabidir)
• Tercih çerezleri: Tema seçimi (localStorage — sunucuya gönderilmez)

Ayrıntılar için Çerez Politikamızı inceleyiniz.

10. Veri Güvenliği ve İhlal Bildirimi

Kişisel verilerinizin güvenliği için HTTPS/TLS şifreleme, Firebase Security Rules, rol bazlı erişim kontrolü (RBAC), admin hesaplarında çok faktörlü kimlik doğrulama (MFA) ve Content Security Policy (CSP) uygulanmaktadır.

Veri ihlali yönetimi üç aşamalı olarak yürütülür:

• 1. Tespit: Otomatik güvenlik izleme sistemleri (Firebase App Check, Security Rules denial log'ları, anomaly detection) veya manuel bildirim yoluyla ihlal tespit edilir.
• 2. Değerlendirme: Tespit edilen olayın kişisel veri ihlali niteliği taşıyıp taşımadığı, etkilenen kişi sayısı, veri kategorisi ve olası riskler değerlendirilir (azami 24 saat).
• 3. Bildirim:
  • Kişisel Verileri Koruma Kurulu'na: KVKK md. 12/5 uyarınca en geç 72 saat içinde (Tebliğ formatında — ihlal türü, etkilenen veri kategorileri, kişi sayısı, alınan önlemler).
  • Etkilenen kullanıcılara: Makul sürede (genellikle 72 saat içinde) platform içi bildirim veya e-posta yoluyla. Bildirim; ihlalin türünü, etkilenen veri kategorilerini, olası sonuçlarını, alınmış ve alınacak önlemleri ve iletişim kanallarını içerir.

11. Otomatik Kararlar ve Yapay Zeka

Platform, hizmet sunumu için sınırlı kapsamda otomatik karar verme mekanizmaları kullanmaktadır:

• Otomatik eşleştirme: Konum, müsaitlik ve performans verileri kullanılarak sipariş-kurye eşleştirmesi. Kullanıcı etkisi: Hangi siparişin hangi kuryeye atanacağının belirlenmesi; atanmayan kuryeler için gelir kaybı olasılığı.
• Otomatik ceza puanı: No-show, iptal gibi durumlarda sistem tarafından otomatik ceza puanı atanması (180 günlük pencere, 30 günde -5 puan azalma ile). Kullanıcı etkisi: Eşleştirme önceliğinde düşüş, belirli eşik aşıldığında askıya alma.
• Otomatik askıya alma: Ceza puanı 100'ü aştığında hesabın sistem tarafından askıya alınması. Kullanıcı etkisi: Platforma erişim kaybı, aktif sipariş/kazanç kaybı.
• Dolandırıcılık tespiti: Şüpheli aktivite analizi (giriş anomalileri, konum tutarsızlıkları). Kullanıcı etkisi: Hesap geçici olarak donabilir, ek doğrulama talep edilebilir.

11.1 İtiraz, İnsan Müdahalesi ve Sonuç Sorgulama Prosedürü

KVKK md.11/h kapsamında ilgili kişinin, "münhasıran otomatik sistemlerle analiz edilmesi suretiyle aleyhine çıkan sonuca itiraz etme" hakkı aşağıdaki prosedürel adımlarla işletilir:

1. Bildirim hakkı: Olumsuz otomatik karar (askıya alma, ceza puanı, dolandırıcılık işareti, eşleştirme reddi) kullanıcıya platform içi bildirim ve e-posta ile gerekçesi, dayanak veri öğeleri ve süresi belirtilerek iletilir — karar anından itibaren en geç 24 saat içinde.
2. İtiraz süresi: Kullanıcı, bildirim tarihinden itibaren 14 gün içinde info@kuryeai.com adresine "Otomatik Karar İtirazı" konulu başvuru gönderir. Başvuruya olay detayı, varsa GPS/konum delili, görsel kanıt, tanık ifadesi eklenebilir.
3. İnsan müdahalesi talebi: Kullanıcı, kararın yetkili bir platform yöneticisi tarafından manuel olarak yeniden değerlendirilmesini açıkça talep edebilir. Manuel inceleme; kararı veren algoritmadan bağımsız bir personel tarafından yapılır.
4. Sonuç sorgulama: Kullanıcı, kararın dayandığı veri girdilerini, uygulanan kural setini ve sonuç mantığını Madde 12'deki haklar kapsamında talep edebilir; Platform, ticari sır teşkil etmeyen algoritmik faktörleri açıklamakla yükümlüdür.
5. Yanıt süresi: Platform itirazı en geç 7 gün içinde karara bağlar ve sonucu gerekçeli biçimde kullanıcıya yazılı olarak bildirir. Haklı bulunan itirazlarda ceza/askıya alma iptal edilir, kaybedilen süre veya gelire ilişkin uygun telafi değerlendirilir.
6. Bekletme hükmü: İtiraz incelemesi süresince, hayati güvenlik veya dolandırıcılık gerekçesi yoksa, askıya alma geçici olarak kaldırılabilir. 100 ceza puanını aştıran itirazlarda askıya alma geçerliliğini korur, ancak itirazın haklı bulunması halinde geriye etkili olarak kaldırılır.
7. Üst başvuru: Manuel inceleme sonucuna da itiraz eden kullanıcı, Kişisel Verileri Koruma Kurulu'na (kvkk.gov.tr) veya görevli Tüketici Hakem Heyeti'ne başvurabilir.

Yapay Zeka ve Veri Kullanımı: Platform adında "AI" ifadesi bulunmakla birlikte, kişisel verileriniz yapay zeka veya makine öğrenmesi modellerinin eğitiminde kullanılmaz. Platform üzerinde "AI" olarak adlandırılan özellikler (akıllı eşleştirme, rota optimizasyonu, performans skoru) klasik algoritmik hesaplamalarla çalışmakta olup, harici yapay zeka servisleri (OpenAI, Anthropic, Google Gemini vb.) ile kullanıcı verisi paylaşılmamaktadır. İstatistiksel analizler yalnızca anonimleştirilmiş ve toplu (aggregated) veri üzerinden yapılır.

12. Haklarınız

KVKK madde 11 kapsamında aşağıdaki haklara sahipsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme
• İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında verilerinizin aktarıldığı üçüncü kişileri bilme
• Verilerinizin eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme
• KVKK madde 7 çerçevesinde verilerinizin silinmesini veya yok edilmesini isteme
• Düzeltme ve silme işlemlerinin verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme
• Münhasıran otomatik sistemlerle analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme
• Kanuna aykırı işlenmesi sebebiyle zarara uğramanız hâlinde tazminat talep etme

Ayrıca KVKK madde 5/1 kapsamında, açık rızaya dayalı veri işleme faaliyetleri için verdiğiniz açık rızayı her zaman geri çekebilirsiniz. Rıza geri çekme, geri çekim tarihinden itibaren ileriye dönük olarak sonuç doğurur; geçmişte yapılan işlemleri etkilemez.

Bu haklarınızı kullanmak için:

• E-posta: info@kuryeai.com — konu: "KVKK Başvurusu"
• Yazılı başvuru: Kızılırmak Mah. Dumlupınar Bulvarı YDA Center No:9 A3 Blok 5. Kat No: 158 Çankaya/Ankara — ıslak imzalı dilekçe
• Platform üzerinden: Ayarlar > Hesap > "Verilerimi İndir" veya "Hesabımı Sil"

Başvurular en geç 30 gün içinde ücretsiz yanıtlanır.

Başvurunuzun sonucunu yetersiz bulmanız hâlinde, Kişisel Verileri Koruma Kurumu'na (kvkk.gov.tr) şikâyette bulunma hakkınız saklıdır.

13. Çocukların Gizliliği

Platformumuz 18 yaş altı bireylere yönelik değildir ve bilerek 18 yaş altından veri toplanmaz. Bu kapsamda uygulanan kontrol mekanizmaları:

• Kayıt sırasında beyan: Kullanıcı kayıt formunda 18 yaşını doldurduğunu beyan etmek zorundadır (onay kutusu).
• TC kimlik doğrulaması: Kurye kayıtlarında TC kimlik numarası üzerinden yaş doğrulaması yapılır; 18 yaş altı başvurular sistem tarafından otomatik reddedilir (Firestore güvenlik kuralları ile server-side engellenir).
• İşveren kayıtları: İşveren/işletme hesaplarında fatura/vergi bilgisi zorunluluğu çocuk kullanımını pratik olarak engeller.
• Yanlışlıkla kayıt tespiti: 18 yaş altı bir kullanıcının kayıt olduğu tespit edilirse hesap derhal dondurulur; veriler en geç 7 gün içinde kalıcı olarak yok edilir; varsa ebeveyn/veli bilgilendirilir.

18 yaş altı bir kullanıcıdan veri toplandığını düşünüyorsanız info@kuryeai.com adresine bildirin.

14. Açık Rıza Mekanizması

Aşağıdaki işlemler açık rızanıza tabidir; bunlar için kayıt sırasında veya ilgili işlem anında ayrı onay kutuları aracılığıyla onayınız alınır:

• Kayıt sırasında: KVKK aydınlatma metni, kullanım koşulları ve açık rıza metni için ayrı checkbox'lar (ön işaretli değildir)
• Özel nitelikli veriler: TC kimlik numarası ve adli sicil kaydı yüklenirken ek onay kutusu
• Konum takibi: Kurye paneline giriş sırasında tarayıcı/cihaz konum izni + platform içi onay
• Yurt dışı aktarım: Firebase, Vercel, Google Analytics, FCM, WhatsApp, OpenStreetMap servislerine aktarım için kayıt sırasında açık rıza
• Pazarlama bildirimleri: E-posta/push pazarlama iletişimleri için ayrıca onay (varsayılan olarak kapalı)

Verdiğiniz açık rızayı, Ayarlar > Hesap > Rıza Yönetimi bölümünden ya da info@kuryeai.com adresine başvurarak her zaman geri çekebilirsiniz (bkz. Bölüm 12). Rıza geri çekimi ileriye dönük sonuç doğurur; geçmiş işlemleri etkilemez.

15. Değişiklikler

Bu politikayı zaman zaman güncelleyebiliriz. Önemli değişikliklerde platform üzerinden bildirim yaparız. Güncel versiyon her zaman bu sayfada yayınlanır.

15.1 Versiyon Bilgisi ve Değişiklik Geçmişi

Versiyon	Yürürlük Tarihi	Değişiklik Özeti
v2.2	23 Nisan 2026	Mükellefiyet kaydı tamamlandı: Vergi Dairesi/No eklendi (Çankaya VD / 4580632882), işe başlama tarihi 22/04/2026 eklendi, MERSİS ve "kuruluş aşamasında" ifadeleri kaldırıldı.
v2.8 (güncel)	10 Mayıs 2026	Veri Sorumlusu İletişim Telefonu Güncellendi: Veri sorumlusu / satıcı / hizmet sağlayıcı iletişim bölümlerinde geçen telefon numarası, kişisel cep numarasından kurumsal sabit hatta (Netgsm İletişim ve Bilgi Teknolojileri A.Ş. tarifesi "Standart T-1" ön ödemeli, 0 850 302 06 80, Hizmet Numarası 08503020680, e-Devlet Başvuru No 260510095329938, Sözleşme Tarihi 10.05.2026) güncellenmiştir. Veri kategorileri, işleme amaçları, hukuki dayanaklar (KVKK md.5/6 ve ilgili özel kanunlar) ve saklama süreleri değişmemiştir; yalnızca veri sorumlusu / satıcı tarafının yasal iletişim kanalında bir hat (kurumsal sabit telefon) eklenmiştir. KVKK md.10 şeffaflık ve md.4/2-a dürüstlük ilkesi gereği güncelleme yansıtılmıştır; ayrıca Mesafeli Sözleşmeler Yönetmeliği md.5/(1)/(b) (satıcının açık unvanı, MERSİS/vergi numarası, açık adresi, telefonu ve elektronik iletişim bilgileri) gereği satıcı kimlik verilerinin gerçek ve doğrulanabilir tutulması yükümlülüğü karşılanmıştır. Yeni veri toplama, 3. taraf entegrasyon, çerez davranışı veya yurt dışı aktarım değişikliği yoktur; daha önce verilen açık rızalar geçerliliğini korur, yeniden rıza tetiklenmez (Kurul Rehberi 2021/§5.2 esaslı değişiklik eşiğine girmez). v2.7 "(güncel)" etiketi v2.8'ye devredildi.
v2.7	05 Mayıs 2026	ANKESOB Esnaf Sicili Tescili (Madde 1 — Veri Sorumlusu): Ankara Esnaf ve Sanatkârlar Odaları Birliği Esnaf ve Sanatkâr Sicil Tasdiknamesi (Belge No: 33542528) alındı; 5362 sayılı Esnaf ve Sanatkârlar Meslek Kuruluşları Kanunu md.65 yükümlülüğü yerine getirildi. Veri Sorumlusu Bilgileri tablosuna Sicil No: 474167, İş Yeri Adı KURYEAI TEKNOLOJİ, NACE Faaliyet Kodları (62.10.00 + 63.91.02), 05.05.2026 veriliş, 05.11.2026 geçerlilik ve resmi doğrulama URL'i (esbis.ticaret.gov.tr) satırı eklendi. KVKK md.10 şeffaflık ilkesi (veri sorumlusu kimliğinin tam ve doğrulanabilir ilanı) ile çapraz uyum. KVKK Aydınlatma v3.14, Çerez Politikası v2.23 ve diğer 6 hukuki belge ile aynı tarihte (05.05.2026) çapraz senkron. Yeni veri toplama, 3. taraf entegrasyon, permission veya çerez davranışı değişikliği yoktur — yalnızca veri sorumlusu kimlik metadata zenginleştirmesidir. v2.6 "(güncel)" etiketi v2.7'ye devredildi.
v2.6	27 Nisan 2026	Sadeleştirme — gereksiz teknik detay temizliği: Madde 1 Veri Sorumlusu tablosundaki KEP Adresi satırından PTT şubesi, hesap no, açılış tarihi ve Limited şirket gelecek-zaman beyanı kaldırıldı. KEP adresi tek başına 6102 sayılı TTK md.18/3 ve KEP Yönetmeliği md.10 uyarınca geçerli tebligat adresidir; PTT kendi sisteminden adres sahibi doğrulamasını otomatik yapabilir. v2.5 "(güncel)" etiketi v2.6'ya devredildi.
v2.5	27 Nisan 2026	ETBİS Kaydı Tamamlandı (Madde 1 — Veri Sorumlusu): T.C. Ticaret Bakanlığı Elektronik Ticaret Bilgi Sistemi tescili tamamlandı (6563 sayılı E-Ticaret Kanunu md.3 + E-Ticaret Yönetmeliği md.4 zorunluluğu yerine getirildi). Veri Sorumlusu Bilgileri tablosuna ETBİS Site Kayıt No: 8033996605, kayıt tarihi 27.04.2026 ve resmi doğrulama URL'i (etbis.ticaret.gov.tr) satırı eklendi. KVKK md.10 şeffaflık ilkesi (veri sorumlusu kimliğinin tam ve doğrulanabilir ilanı) ve KVKK md.4/2-a dürüstlük ilkesi (kod-belge tutarlılığı) gereği zorunludur. KVKK Aydınlatma v3.11 + Çerez Politikası v2.22 + diğer 5 hukuki belge ile çapraz uyum sağlandı (hepsi 27.04.2026 tarihinde senkron). Yeni veri toplama, 3. taraf entegrasyon, permission veya çerez davranışı değişikliği yoktur — yalnızca veri sorumlusu kimlik metadata zenginleştirmesidir. v2.4 "(güncel)" etiketi v2.5'e devredildi.
v2.4	27 Nisan 2026	KEP adresi kesinleşti (Veri Sorumlusu Bilgileri): Geçici kuryeai@hs01.kep.tr PTT tarafından "marka adına KEP açma için tüzel kişilik şartı" gerekçesiyle reddedildi. Kesin tahsis: burak.haskoy@hs01.kep.tr (PTT KEP, Hesap No: 152494945, Açılış: 27.04.2026, PTT Yenimahalle Müdürlüğü/Ankara). KEP Yönetmeliği md.10 — gerçek kişi KEP olarak şahıs işletmesi adına da yasal tebligat için tam geçerlidir. Limited şirket kuruluşunda tüzel kişi KEP eklenir.
v2.3	25 Nisan 2026	KEP adresi (Veri Sorumlusu Bilgileri): kuryeai@hs01.kep.tr (PTT KEP, başvuru no: 7577623665684, 25.04.2026) eklendi. KVKK ve TTK md.18/3 uyumlu yasal tebligat kanalı.
v2.1	Nisan 2026	Runtime denetimi — belge-kod tutarlılık rötuşları (KVKK md.4/2-a dürüstlük): (1) Bölüm 8 — 36 ay inaktivite: "otomatik pasifleştirme" iddiası beta dönem gerçeğine uygun "manuel periyodik denetim + cron altyapısı Cloud Functions v2 geçişi ile" olarak netleştirildi. Saklama tablosunda "Pasif hesap" satırı da aynı şekilde güncellendi. (2) Bölüm 8.1 — periyodik imha: "6 aylık periyodik imha süreçleri" ifadesi, kod tabanındaki gerçek cron setine uygun olarak "günlük/haftalık otomatik cron işleri (GPS, auth_logs, ceza puanı) + 6 ayda bir manuel envanter denetimi" şeklinde netleştirildi. Chat 12 ay auto-cleanup ve kategori bazlı toplu cron için beta sonrası taahhüt notu eklendi. (3) Versiyon tarihçesi tablosu eklendi.
v2.0	Nisan 2026	Saklama ortamı düzeltmesi — Firebase Storage iddiası kaldırıldı, belgeler gerçekte Firestore doc_* base64 alanlarında saklandığı için tüm referanslar "Firestore alan silme / FieldValue.delete()" olarak güncellendi.
v1.0	Ocak 2026	İlk yayınlama — temel gizlilik politikası metni.

Önceki versiyonlara erişim için info@kuryeai.com adresinden "Gizlilik Politikası Önceki Versiyon Talebi" konusuyla başvurulabilir; talep 7 iş günü içinde PDF olarak yanıtlanır.

İletişim: info@kuryeai.com | 0 850 302 06 80 | Kızılırmak Mah. Dumlupınar Bulvarı YDA Center No:9 A3 Blok 5. Kat No: 158 Çankaya/Ankara