Yasal
Son güncelleme: 10 Mayıs 2026 · v3.19 ·
İşbu Aydınlatma Metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("KVKK") 10. maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca; Burak Hasköy ("Platform Sahibi" / "Veri Sorumlusu") tarafından, KuryeAI, RestoranAI, İzinciKuryeAI, AcilKuryeAI ve QRMenuAI platformlarının ("Platform") kullanıcılarına yönelik olarak düzenlenmiştir. Metin; işlenen kişisel verilerin kategorilerini, işleme amaçlarını, hukuki sebeplerini, aktarım alıcılarını, saklama sürelerini, teknik ve idari tedbirleri ve KVKK md.11 kapsamındaki hakları bağlayıcı şekilde belirler.
İşbu aydınlatma metni, KVKK md.3/1-ı kapsamında veri sorumlusu sıfatını haiz aşağıdaki gerçek kişi tarafından düzenlenmiştir. Tüzel kişilik kuruluşu tamamlandığında tüm hak ve yükümlülükler KuryeAI'ye devredilecek ve aydınlatma metni güncellenecektir.
| Unvan | Burak Hasköy (Şahıs İşletmesi) |
|---|---|
| Vergi Dairesi / Vergi No | Çankaya Vergi Dairesi Müdürlüğü / 4580632882 |
| İşe Başlama Tarihi | 22/04/2026 |
| ETBİS Site Kayıt No | 8033996605 · Kayıt Tarihi: 27.04.2026 · T.C. Ticaret Bakanlığı Elektronik Ticaret Bilgi Sistemi (6563 sayılı E-Ticaret Kanunu md.3 ve E-Ticaret Yönetmeliği md.4 uyarınca tescil) · Doğrulama: etbis.ticaret.gov.tr |
| ANKESOB Esnaf Sicili | Sicil No: 474167 · İş Yeri Adı: KURYEAI TEKNOLOJİ · Belge No: 33542528 · Veriliş: 05.05.2026 · Geçerlilik: 05.11.2026 · NACE Faaliyet Kodları: 62.10.00 (Bilgisayar programlama) + 63.91.02 (Web arama portalı) · 5362 sayılı Esnaf ve Sanatkârlar Meslek Kuruluşları Kanunu md.65 uyarınca tescil · Doğrulama: esbis.ticaret.gov.tr |
| KEP Adresi | burak.haskoy@hs01.kep.tr |
| Adres | Kızılırmak Mah. Dumlupınar Bulvarı YDA Center No:9 A3 Blok 5. Kat No: 158 Çankaya/Ankara |
| E-posta | info@kuryeai.com |
| Telefon | 0 850 302 06 80 |
| Web | www.kuryeai.com |
Aydınlatma yükümlülüğü, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ md.4 uyarınca kişisel verilerin elde edilmesi sırasında ilgili kişiye yerine getirilir; bu metin, Platform'a kayıt ve/veya Platform'un herhangi bir hizmetinin kullanılması sırasında sunulur.
KVKK md.3/1-ı ve Veri Sorumluları Sicili Hakkında Yönetmelik md.11 kapsamında, Platform nezdinde kişisel veri işleme faaliyetleriyle ilgili ilgili kişilerin ve Kurul'un başvuru ve bilgi taleplerine yanıt vermek üzere İrtibat Kişisi atanmıştır:
| Ad Soyad | Burak Hasköy |
|---|---|
| Görev | Veri Sorumlusu / İrtibat Kişisi |
| E-posta | info@kuryeai.com (konu: "KVKK İrtibat") |
| Telefon | 0 850 302 06 80 |
Tüzel kişilik kuruluşu ve ilgili VERBIS kayıt süreci tamamlandığında ayrı bir irtibat kişisi atanması hâlinde bu bölüm güncellenir.
KVKK md.16 ve Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca veri sorumlularının, Kişisel Verileri Koruma Kurulu tarafından tutulan Veri Sorumluları Siciline (VERBIS) kaydolma yükümlülüğü bulunmaktadır. Kurul'un 19.07.2018 tarihli ve 2018/87 sayılı kararı ile; yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'nin altında olan gerçek ve tüzel kişi veri sorumluları ile ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar VERBIS kayıt yükümlülüğünden istisna tutulmuştur.
Bu çerçevede Platform'un mevcut VERBIS durumu:
Platformlarımız (KuryeAI, RestoranAI, İzinciKuryeAI, AcilKuryeAI, QRMenuAI) üzerinden aşağıdaki kişisel verileriniz toplanmakta ve işlenmektedir:
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ md.5/1-d uyarınca kişisel veri toplama yöntemlerimiz aşağıda sayılmıştır. Veriler; ilgili kişinin kendi beyanı, Platform kullanımı sırasındaki eylemleri, otomatik teknik araçlar ve yasal zorunluluklar kapsamında kısmen veya tamamen otomatik ya da bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla toplanır.
| Toplama Kanalı | Yöntem | Toplanan Veri Örneği |
|---|---|---|
| Web ve mobil kayıt formları | Kullanıcının kendi beyanı (manuel giriş) | Ad, soyad, e-posta, telefon, şifre, adres |
| Kimlik doğrulama belge yükleme | İlgili kişinin dosya yükleme eylemi (Firebase Storage) | TC kimlik kartı, ehliyet, SRC/P1, araç ruhsat/sigorta görüntüleri |
| Mobil uygulama — GPS sensörü | Cihaz sensörü (kullanıcı izniyle, arka plan/ön plan) | Enlem, boylam, hız, yön, zaman damgası (3 sn aralıklı) |
| Web/uygulama çerezleri ve yerel depolama | Otomatik — tarayıcı/uygulama ile | Oturum ID, tercih çerezi, analitik ID (Google Analytics) |
| Sunucu tarafı log kayıtları | Otomatik — istemci-sunucu iletişimi | IP adresi, user agent, istek zamanı, trafik log (5651) |
| Push bildirim servisi (FCM) | Otomatik — cihaz ve Firebase arasında token | FCM token, uygulama ID, cihaz tipi |
| Chat ve medya paylaşım modülü | Kullanıcının gönderme eylemi | Metin, görsel, sesli mesaj, konum paylaşımı |
| Sesli/görüntülü arama (WebRTC) | Kullanıcı talebi; uçtan uca P2P | Sinyal metadata (içerik sunucuda saklanmaz) |
| Ödeme/faturalama formu | Kullanıcı beyanı + banka dekontu yüklemesi | IBAN, banka adı, referans kodu, fatura bilgileri |
| Çağrı merkezi / destek talebi | Telefon görüşmesi, e-posta, platform içi ticket | Ad, iletişim, sorun açıklaması, ekran görüntüsü |
| API entegrasyonları (işveren/restoran ERP — planlanmış) | Sözleşmeli entegrasyon ile otomatik veri akışı (aktif olduğunda) | Sipariş bilgisi, kargo verisi, menü/ürün bilgisi |
| Yasal talep ve idari işlemler | Mahkeme/savcılık/kolluk kuvveti talebi | Yasa gereği sağlanan veri alt kümesi |
Toplama işlemi; kimi zaman tek işlem ile (ör. kayıt formu) kimi zaman hizmet boyunca sürekli (ör. GPS takibi aktif sipariş süresince) gerçekleşir. Tüm toplama işlemleri, bu metnin 5. bölümünde belirtilen hukuki sebeplere dayanır ve 4. bölümde belirtilen amaçlarla sınırlıdır.
Aşağıdaki matris; bu metnin 2. bölümünde sayılan her veri kategorisinin, hangi somut amaçla işlendiğini ve KVKK md.5/1, md.5/2 veya md.6/2'deki hangi hukuki sebebe dayandığını atomik düzeyde belirler. Tablo bağlayıcıdır; bu eşleşmenin dışında veri işleme yapılmaz.
| Veri Kategorisi (Bkz. Bölüm 2) | Somut İşleme Amacı | Hukuki Sebep (KVKK Dayanağı) |
|---|---|---|
| Ad, soyad, e-posta, telefon (2.1, 2.2) | Hesap oluşturma, kimlik doğrulama, iletişim, tebligat | md.5/2-c sözleşmenin ifası |
| TC kimlik numarası (2.1) | Kurye/işveren kimlik doğrulaması, fatura düzenlenmesi | md.6/2 açık rıza (özel nitelikli) + md.5/2-a 213 VUK |
| TC kimlik kartı görüntüsü (2.1) | Kurye kimlik ve yaş (18+) doğrulaması | md.6/2 açık rıza |
| İşletme / teslimat adresi (2.2) | Sipariş teslimat noktası belirleme, rota optimizasyonu | md.5/2-c sözleşmenin ifası |
| Ehliyet, SRC/P1 belgesi, araç ruhsat ve sigorta (2.3) | Mesleki yeterlilik, sürücü ehliyeti ve trafik güvenliği kontrolü | md.5/2-a 4925/2918 sayılı Kanun + md.5/2-f meşru menfaat |
| Adli sicil kaydı (2.3) | Güvenilirlik ve suistimal önleme değerlendirmesi | md.6/2 açık rıza |
| Araç plakası ve fotoğrafları (2.3) | Teslimat aracı doğrulaması, kayıp/çalıntı kontrolü | md.5/2-f meşru menfaat |
| IBAN, banka hesap, ödeme geçmişi (2.4) | Kurye hakediş tahsisi, işveren tahsilatı, fatura düzenleme | md.5/2-c sözleşme + md.5/2-a 213 VUK md.253 / 6102 TTK md.82 |
| Gerçek zamanlı GPS konumu (2.5) | Aktif sipariş/vardiya boyunca teslimat takibi, müşteri bilgilendirme | md.5/2-c sözleşme ifası (aktif vardiya); arka planda konum için md.6/2 açık rıza |
| Teslimat noktası koordinatı (2.5) | Sipariş rotalaması ve teslimat doğrulaması | md.5/2-c sözleşme ifası |
| IP adresi, user agent, trafik logu (2.6) | 5651 sayılı Kanun kapsamında trafik log tutma, erişim kaydı | md.5/2-a 5651 sayılı Kanun |
| Oturum, giriş/çıkış kaydı (2.6) | Yetkisiz erişim ve dolandırıcılık önleme | md.5/2-f meşru menfaat |
| Çerez verileri — zorunlu (2.6) | Oturum sürekliliği, güvenlik | md.5/2-c sözleşme ifası |
| Çerez verileri — analitik / pazarlama (2.6) | Hizmet performans ölçümü, kişiye özel bildirim | md.6/2 açık rıza (çerez onayı) |
| Cihaz, işletim sistemi, FCM token (2.6) | Push bildirim gönderimi, uygulama uyumluluk kontrolü | md.5/2-c sözleşme ifası |
| Profil fotoğrafı, işletme logosu (2.7) | Platform içi kullanıcı ve işletme tanınırlığı | md.5/2-c sözleşme + md.6/2 açık rıza (biyometrik olmayan görsel) |
| Chat mesajları — metin/medya/konum (2.7) | Kurye–işveren/müşteri iletişimi, teslimat koordinasyonu, uyuşmazlık ispatı | md.5/2-c sözleşme + md.5/2-e hakkın tesisi |
| Sesli/görüntülü arama sinyal verisi (2.7) | WebRTC çağrı kurulumu; içerik uçtan uca şifreli, sunucuda tutulmaz | md.5/2-c sözleşme ifası |
| Yorum metni, puan/yıldız skoru, sıralama skoru, moderasyon kararı (2.8) | Hizmet kalitesi değerlendirmesi, platform güven ve şeffaflık sistemi, uyuşmazlık ispatı | md.5/2-c sözleşme ifası + md.5/2-f meşru menfaat (platform bütünlüğü) + md.5/2-e hakkın tesisi (itiraz/uyuşmazlık) |
| Pazarlama / ticari elektronik ileti tercihi | İYS onay/red kaydı, kampanya gönderimi | md.6/2 açık rıza + 6563 md.5 + 7416 md.9/A-B |
| Otomatik skorlama ve risk verisi | Dolandırıcılık, suistimal ve no-show tespiti | md.5/2-f meşru menfaat |
| Uyuşmazlık, şikâyet ve dava dosyası | Hakkın tesisi, kullanılması, korunması ve savunma | md.5/2-e hakkın tesisi + 6100 HMK |
Hukuki metin onay denetim kaydı — signup consent snapshot, beyanlar (18 yaş, vergi, iş güvenliği, SGK), client metadata (user agent, dil, saat dilimi, URL) (consentAuditLog) | KVKK md.10 hesap verilebilirlik kapsamında rıza ispatı; HMK md.193 delil sözleşmesi kapsamında onay ispat aracı; Platform'un yasal uyum taahhüdünün belgelenmesi; uyuşmazlık halinde hangi sözleşme metninin hangi versiyonuyla kabul edildiğinin ispatı | md.5/2-e hakkın tesisi (HMK md.193 + KVKK md.10 hesap verilebilirlik) + md.5/2-c sözleşme ifası |
Vardiya başı/bitişi yüz fotoğrafı (selfie) — İzinciKuryeAI vardiya doğrulama (arrivalSelfieData, departureSelfieData) | Eşleşmeli izinci kuryenin işletmeye fiilen geldiğini ve vardiyayı tamamladığını doğrulama; sahtecilik (no-show / başkası gitti / hiç gitmedi) önleme; uyuşmazlık halinde işveren/kuryeye tarafsız delil | md.6/2 açık rıza (yüz biyometriği) + md.5/2-c sözleşme ifası + md.5/2-f meşru menfaat (anti-fraud) + md.5/2-e hakkın tesisi (uyuşmazlık ispatı). Veri 30 gün sonra otomatik silinir; admin uyuşmazlık dosyası varsa anonimleştirilerek 6100 HMK md.117 ispat süresi kadar saklanır. |
Vardiya konum doğrulaması — kurye GPS koordinatı vardiya başı/bitişinde (kuryeArrivedLat/Lng, kuryeDepartedLat/Lng) | Selfie ile birlikte kuryenin gerçekten işletmede olduğunun çift faktörlü doğrulaması (haversine 200m); coğrafi sahtecilik tespiti | md.5/2-c sözleşme ifası + md.5/2-f meşru menfaat (anti-fraud) |
Acil Eşleşme Premium ücreti, kademeli iptal iadesi, makbuz/PDF metadata (acilEslesmeFee, cancelRefundPct/Tl/Tier, makbuz no) | İzinciKuryeAI ek hizmet ücretlendirmesi; iptal kademeli iade matrisi; makbuz/fatura düzenleme | md.5/2-c sözleşme + md.5/2-a 213 VUK md.253 (belge düzenleme) + 6502 md.48 / Mesafeli Sözleşmeler Yönetmeliği md.15 (iade) |
Vardiya hatırlatma + no-show ceza puanı + auto-complete metadata (reminder*Sent, cezaPuani, noShowProcessed, autoCompleted) | Vardiya öncesi T-4h/2h/1h/30m otomatik bildirim; T+30dk no-show otomatik ceza (50 puan); T+sure+4h çift onay yoksa otomatik kapanma | md.5/2-c sözleşme ifası (vardiya yükümlülüğü) + md.5/2-f meşru menfaat (platform güvenirliği) |
Bu matriste listelenmemiş hiçbir amaçla ve hukuki sebepten yoksun hiçbir şekilde kişisel veri işlenmez.
Bölüm 4'te her veri kategorisine atomik olarak atanan hukuki sebepler, aşağıdaki KVKK maddeleri kapsamında değerlendirilir:
Açık rızaya dayanan işleme faaliyetlerinde ilgili kişi rızasını her zaman ücretsiz olarak geri çekebilir. Geri çekme geçmişe etkili değildir; daha önce hukuka uygun gerçekleştirilen işlemelerin geçerliliğini etkilemez ve KVKK md.5/2'deki diğer hukuki sebeplere dayanan işlemelerin devamını engellemez.
KVKK md.6 uyarınca adli sicil kaydı özel nitelikli kişisel veri olup yalnızca KVKK md.6/2 kapsamında ilgili kişinin açık rızası ile işlenir. TC kimlik numarası, Kurul kararları doğrultusunda genel nitelikli kişisel veri sayılmakla birlikte; bu metnin uygulamasında özel nitelikli veriler ile eş düzey güvenlik tedbirleriyle korunur. Özel nitelikli ve yüksek hassasiyetli verilere ilişkin bağlayıcı esaslar:
Kişisel verileriniz aşağıdaki durumlarda üçüncü taraflarla paylaşılabilir:
merchant_oid (sipariş no), e-posta, ad-soyad, telefon, IP, sepet kalemi (hizmet adı + tutar). Kart numarası, CVV ve son kullanma tarihi yalnızca sanal POS sağlayıcısının sistemlerinde işlenir; KuryeAI sistemine iletilmez ve saklanmaz. KVKK md.8/2-a (sözleşmenin ifası için zorunlu aktarım) dayanağıyla, Alıcı'nın "Kart ile Öde" yöntemini seçmesi durumunda yapılır. Yurt dışı aktarım yoktur. Sanal POS sağlayıcısı ile sözleşmeli veri işleme ilişkisi mevcut olup ilgili sağlayıcı Veri Sorumlusu sıfatıyla ödeme aracı / sahtekarlık önleme amaçlı olarak da bağımsız işleyebilir (BDDK ve MASAK yükümlülükleri).Platform teknik altyapısı Google Firebase (EU-West1, Belçika) üzerinde çalıştığından veriler birincil olarak Avrupa Birliği sınırları içinde tutulur. Ancak aşağıdaki hizmet sağlayıcıları nedeniyle sınırlı ölçüde yurt dışı aktarım gerçekleşebilir. KVKK md.9'un hukuki dayanakları ikiye ayrılır:
| Hizmet Sağlayıcı | Rol (KVKK) | Lokasyon | Aktarılan Veri Türü (atomik) | Aktarım Amacı | KVKK md.9 Dayanağı | Hukuki Güvence |
|---|---|---|---|---|---|---|
| Google Cloud — Firebase Authentication | Veri işleyen (sözleşmeli — Google DPA) | EU-West1 (Belçika) | E-posta, telefon, parola hash'i, UID | Kullanıcı kimlik doğrulaması, oturum yönetimi | md.9/2 — yeterli koruma + güvence | AB GDPR çerçevesi + Google DPA + SCCs |
| Google Cloud — Firestore / Realtime Database | Veri işleyen (sözleşmeli — Google DPA) | EU-West1 (Belçika) | Hesap profili, sipariş, chat metin kayıtları, kurye vardiya, ödeme durumu | Uygulama veritabanı, anlık senkronizasyon | md.9/2 — yeterli koruma + güvence | Google DPA + SCCs + Firestore şifreleme (at-rest/in-transit) |
| Google Cloud — Firebase Storage | Veri işleyen (sözleşmeli — Google DPA) | EU-West1 (Belçika) | Profil fotoğrafı, kimlik/ehliyet/SRC/P1/ruhsat görüntüleri, chat medyası | Dosya depolama, CDN sunumu | md.9/2 — yeterli koruma + güvence | Google DPA + SCCs + erişim kontrolü (Security Rules) |
| Google Cloud — Cloud Functions | Veri işleyen (sözleşmeli — Google DPA) | EU-West1 (Belçika) | Olay tetikleyici verisi (sipariş, bildirim, puan), UID | Sunucusuz iş mantığı yürütme | md.9/2 — yeterli koruma + güvence | Google DPA + SCCs |
| Google Analytics 4 | Müşterek veri sorumlusu (Google kendi amaçlarıyla da işleyebilir) | ABD (IP anonimleştirme aktif) | Anonim ziyaretçi ID, sayfa görüntüleme, cihaz tipi, tarayıcı sürümü | Kullanım istatistikleri, performans analizi | md.9/1 — açık rıza (çerez onay bandı) | Google SCCs + IP anonimleştirme + Google Analytics DPA |
| Firebase Cloud Messaging (FCM) | Veri işleyen (sözleşmeli) | Google küresel ağ | FCM token, bildirim yükü (başlık/içerik), uygulama paket ID | Push bildirim iletimi | md.9/2 — güvence (SCCs) | Google SCCs + DPA |
| Vercel Inc. | Veri işleyen (sözleşmeli — Vercel DPA) | ABD / AB edge | HTTP istek metadatası, IP adresi, user agent, talep yolu | Statik web barındırma, edge CDN, sertifika yönetimi | md.9/2 — güvence (SCCs) | Vercel DPA + SCCs + AB edge önceliği |
| WhatsApp / Meta Platforms | Bağımsız veri sorumlusu (kullanıcının WhatsApp'a aktarımı sonrası) | İrlanda / ABD | Kullanıcının kendi yazdığı mesaj, telefon numarası, WhatsApp profil verisi | "WhatsApp'tan destek/iletişim" butonu ile kullanıcının kendi eylemiyle iletişime geçmesi | md.9/1 — açık rıza (kullanıcı eylemi) | Kullanıcının iradesi; WhatsApp kendi gizlilik politikasına tabi; Platform yalnızca yönlendirici |
| Meta Platforms Ireland Ltd — WhatsApp Business Cloud API | Veri işleyen (sözleşmeli — Meta Business Terms) | İrlanda / ABD | Telefon numarası (E.164 formatında — rıza verilmiş kullanıcılara), gönderilen şablon mesaj içeriği (yeni ilan, kurye seçimi, eşleşme, iş tamamlama bildirimleri) | İzinciKuryeAI İşveren ve Kurye kullanıcılarına kritik operasyonel WhatsApp bildirimi gönderme (yalnızca açık rıza vermiş, telefon numarası SMS ile doğrulanmış kullanıcılar) | md.9/1 — açık rıza (kayıtta checkbox ile alınan açık rıza; whatsappConsent:true alanı Firestore'da saklanır) | Meta Business Terms + WhatsApp Business Policy; rıza geri çekildiğinde (whatsappConsent:false) gönderim durur; STOP keyword desteği Meta tarafından sağlanmaktadır |
| OpenStreetMap (OSMF) | Veri işleyen (tile sunumu, sözleşmesiz — kamu hizmeti) | Birleşik Krallık / AB | IP adresi, tile koordinat isteği (x/y/z) | Harita görselleştirme (teslimat takibi) | md.9/2 — güvence (OSMF Attribution + Privacy Policy) | OSMF Privacy Policy; kişisel profil verisi aktarılmaz |
| Resend Inc. | Veri işleyen (sözleşmeli — Resend DPA) | ABD (Delaware) — Cloud Functions sunucu tarafı; tarayıcıdan doğrudan bağlantı kurulmaz | E-posta adresi, alıcı adı-soyadı (transactional + bilgilendirme şablon değişkenleri), gönderilen e-posta içerik HTML, gönderim durum tag'leri (welcome, password reset, payment receipt, KVKK delete confirm vb.) | Transactional e-posta gönderimi (kayıt onayı, şifre sıfırlama, ödeme makbuzu, KVKK md.11 başvuru cevabı, izinci eşleşme bildirimi, fatura PDF iletimi) | md.9/2 — güvence (SCCs + Resend DPA) | Resend DPA + Standart Sözleşme Maddeleri; e-posta içeriği ve teslim metadata Resend altyapısında işlenir; kullanıcı opt-out (emailNotifications:false) yapabilir |
| ip-api.com (IP Geolocation) | Veri işleyen (sözleşmesiz — public stateless API) | Avustralya / ABD — yalnız AdminAI panel tarafı (admin'in baktığı IP'lerden ülke/şehir/org çekme) | IP adresi (admin'in incelediği kullanıcı IP'si) | Anti-fraud + güvenlik denetimi (admin panelinde şüpheli giriş analizi) | md.5/2-f meşru menfaat (anti-fraud) + md.9/2 — güvence (kullanıcı kimliği aktarılmaz, sadece IP) | Public API; kalıcı veri saklama yok; kullanıcı kimliği eşleştirme yapılmaz; rate limit 45 req/dk |
| api.ipify.org (IP Tespit) | Veri işleyen (sözleşmesiz — public stateless API) | ABD — frontend tarafı consent log için | IP adresi (kullanıcının kendi IP'si) | KVKK rıza kaydında (consentLog) kullanıcının IP'sinin tespiti — md.5/3 ispat zorunluluğu | md.5/2-f meşru menfaat (rıza ispatı) + md.9/2 — güvence (anonim public servis) | Anonim API; sadece "your IP" döner; kalıcı saklama yok |
| Open-Meteo | Veri işleyen (hava durumu API, sözleşmesiz kamu servisi) | AB (Almanya) | Yalnız koordinat (enlem/boylam) — kimlik bilgisi olmadan | Hava durumu widget'ı sorgusu | md.9/2 — yeterli koruma (AB) | Açık API; anonim sorgu; kullanıcı kimliği ile eşleştirme yapılmaz |
| TomTom N.V. | Veri işleyen (sözleşmeli — TomTom Developer DPA) | Hollanda (AB) — Vercel sunucu tarafı proxy üzerinden; tarayıcıdan doğrudan bağlantı kurulmaz | Rota koordinatları (enlem/boylam), adres metni — kullanıcı IP adresi proxy tarafından maskelenir, TomTom'a iletilmez | Rota hesaplama, trafik bilgisi, adres geocoding ve yola yapıştırma (KuryeAI, RestoranAI, AcilKuryeAI, AdminAI panellerinde harita/navigasyon) | md.9/2 — yeterli koruma (AB/GDPR çerçevesi) | TomTom N.V. AB merkezli + GDPR uyumlu DPA; proxy mimarisiyle kullanıcı kimliği TomTom'a iletilmez |
| OSRM Demo Server / HeiGIT | Veri işleyen (kamu hizmeti, sözleşmesiz) | Heidelberg, Almanya (AB) | İki GPS koordinatı (başlangıç–bitiş enlem/boylam), IP adresi, user agent | AcilKuryeAI talep formunda sürüş rotası ve mesafe hesaplama | md.9/2 — yeterli koruma (AB) | Stateless HTTP; çerez yerleştirmez; kişisel profil oluşturulmaz |
| Firebase Remote Config | Veri işleyen (sözleşmeli — Google DPA) | EU-West1 (Belçika) | Uygulama kimliği (app ID), Firebase kurulum ID | Bakım modu banner'ı ve duyuru metni için sunucu tarafı konfig çekme — IndexedDB'de 1 saat cache | md.9/2 — yeterli koruma + güvence | Google DPA + SCCs |
| Firebase App Check (reCAPTCHA Enterprise) | Veri işleyen (sözleşmeli — Google DPA) | Google global ağ / EU-West1 | reCAPTCHA risk skoru, tarayıcı parmak izi (bot tespiti), Firebase uygulama kimliği | Firebase istek doğrulaması — yetkisiz API erişimini önler; _GRECAPTCHA HTTP çerezi ve rc::* localStorage ile çalışır | md.9/2 — güvence (SCCs) | Google DPA + SCCs; Kurul Rehberi güvenlik çerezlerini rıza aranmadan kullanılabilir sayar (md.5/2-f meşru menfaat) |
| Anthropic PBC (Claude API) | Veri işleyen (sözleşmeli — Anthropic DPA + Zero Retention API) | ABD (San Francisco, CA) — Cloud Functions sunucu tarafı proxy üzerinden; tarayıcıdan doğrudan bağlantı kurulmaz | PII redakte edilmiş log özetleri (UID son 4 hane, IP /24 maskeli, e-posta domain only); doğrulama belgesi görüntüleri (Rıza 1 + Rıza 6 kapsamında); destek mesajı içeriği (gönderici kimliği maskeli); admin sorgusu metni | AI destekli hizmet iyileştirmeleri: log anomali tespiti (5651 + KVKK ihlal taraması), doğrulama belgesi vision OCR ön incelemesi (final karar her zaman insan admin tarafında — md.11/g uyumu), destek yanıt taslağı önerme, KVKK aylık uyum raporu üretimi, konuşma tabanlı admin asistanı (read-only Firestore tool use) | md.9/1 — açık rıza (Rıza 6) | Anthropic DPA + Standart Sözleşme Maddeleri (SCCs); Zero Retention API kontratı kapsamında ham veri 30 gün sonra silinir, KuryeAI verisi Anthropic model eğitiminde kullanılmaz; PII redaksiyon Cloud Function katmanında uygulanır (defense in depth); rıza varsayılan KAPALI (opt-in); panel toggle ile anlık geri çekilebilir |
Kişisel verileriniz hiçbir koşulda ticari amaçla üçüncü taraflara satılmaz, kiralanmaz veya pazarlama amacıyla paylaşılmaz. Yurt dışı aktarımına konu veriler; erişim kontrolü, şifreleme ve anonimleştirme teknikleriyle korunur. İlgili kişi, md.11 kapsamında aktarıldığı ülkeleri öğrenme ve açık rızaya dayanan aktarımlarda rızasını geri çekme hakkına sahiptir.
Kişisel verileriniz, aşağıdaki tabloda her kategori için ayrı ayrı belirlenen azami sürelerle sınırlı olarak işlenir. Süre sonunda veriler Kişisel Veri Saklama ve İmha Politikası çerçevesinde silinir, yok edilir veya anonim hâle getirilir. Aktiflik kaybı sınırı: son giriş tarihinden itibaren kesintisiz 36 ay; bu süre dolan hesaplar tebligat edilebilir e-posta sonrası pasifleştirilir ve ilgili kategori süre üst sınırları işlemeye başlar. Beta dönem notu: Platform beta aşamasındadır; 36 ay inaktivite tespiti ve pasifleştirme süreci, şu an destek ekibi tarafından manuel periyodik denetim ile yürütülür. Otomatik zamanlanmış (cron) pasifleştirme altyapısı, beta sonrası Cloud Functions v2 geçişi ile birlikte devreye alınacaktır.
Saklama ve İmha Politikası atıfı: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik md.5 uyarınca Platform, kişisel veri işleme envanteri ile uyumlu Kişisel Veri Saklama ve İmha Politikası belgesini hazırlamıştır. Söz konusu iç politika; veri kategorileri, saklama ortamları, imha sebepleri, periyodik imha süreleri (6 ayda bir), kullanılan imha teknikleri (silme, yok etme, anonim hâle getirme) ve ilgili kişi/görev tanımlarını detaylı olarak düzenler. İlgili kişiler, md.11 kapsamında başvuru ile politikanın kendileriyle ilgili bölümleri hakkında bilgi talep edebilir. Aşağıdaki tablo bu politikanın özet ve dışa yönelik yansımasıdır:
| Veri Kategorisi | Azami Saklama Süresi | Başlangıç (Süre Tetikleyici) | İmha Yöntemi | Hukuki Dayanak |
|---|---|---|---|---|
| Hesap bilgileri (ad, e-posta, telefon) | Hesap silme talebinden itibaren 30 gün (yedekleme döngüsü) | Silme talebi veya 36 ay inaktivite | Firestore belge silme + yedekten 30 gün içinde kalıcı yok etme | md.5/2-c sözleşme ifası |
| TC kimlik numarası, kimlik kartı görüntüsü | Hesap silinmesinden itibaren 6 ay; açık rıza geri çekme hâlinde 30 gün | Belgenin yüklenme tarihi / rıza geri çekme tarihi | Storage dosyası kalıcı yok etme + Firestore alan silme | md.6/2 açık rıza + md.5/2-e hakkın tesisi |
| Adli sicil kaydı, SRC/P1 belgesi, ehliyet, araç ruhsat/sigorta | Hesap silinmesinden itibaren 5 yıl (belge geçerlilik süresi dolsa dahi) | Hesap silme veya 36 ay inaktivite | Storage dosyası kalıcı yok etme | md.6/2 açık rıza + md.5/2-e hakkın tesisi |
| Giriş/çıkış logları (auth_logs) — IP, user agent, timestamp | 2 yıl | Log oluşma anı | Otomatik TTL ile silme | md.5/2-a 5651 sayılı Kanun |
| Aktivite/denetim logları (audit_logs) | 2 yıl | Log oluşma anı | Otomatik TTL ile silme | md.5/2-a 5651 + md.5/2-f meşru menfaat |
| Ödeme kayıtları, fatura, IBAN, kazanç bilgileri | 10 yıl | Fatura düzenleme tarihi | Arşiv saklama; süre sonunda kalıcı silme | 213 VUK md.253 + 6102 TTK md.82 |
| Chat/mesajlaşma içerikleri (metin, sesli, görsel, konum paylaşımı) | Eşleşme/sipariş kapanışından itibaren 1 yıl; uyuşmazlık hâlinde kesin çözüme kadar | Eşleşme/sipariş kapanışı | Firestore belge silme + Storage medya yok etme | md.5/2-c sözleşme + md.5/2-e hakkın tesisi |
| Sesli/görüntülü arama sinyal verisi (WebRTC metadatası) | Arama bitişinden itibaren 24 saat | Arama bitişi | Otomatik silme (içerik sunucuda saklanmaz, uçtan uca) | md.5/2-c sözleşme |
| GPS konum verisi — gerçek zamanlı nokta | Aktif sipariş/vardiya süresince (azami 24 saat) | Konum kaydı oluşma anı | RTDB otomatik silme; vardiya kapanınca kalıcı yok etme | md.5/2-c sözleşme ifası |
| GPS rota özeti (başlangıç-bitiş-km) | 90 gün | Vardiya/sipariş bitişi | Otomatik silme (özet veri de bu süre sonunda yok edilir) | md.5/2-f meşru menfaat |
| FCM push bildirim token'ı | Token yenilenene kadar veya azami 90 gün inaktif ise | Token oluşma tarihi | Firestore alan silme | md.5/2-c sözleşme |
| Pazarlama/ticari elektronik ileti onay/red kayıtları | Onayın geri çekilmesinden itibaren 3 yıl | Onay veya red tarihi | Arşivden kalıcı silme | 6563 md.5 + 7416 md.9/A-B İYS |
| Destek/şikâyet yazışmaları (ticket) | Ticket kapanışından itibaren 3 yıl | Ticket kapanışı | Firestore belge silme | md.5/2-f meşru menfaat + 6502 tüketici süreleri |
| Uyuşmazlık/savunma, arabuluculuk ve dava evrakı | Uyuşmazlığın kesinleşen kararından itibaren 10 yıl | Karar kesinleşme tarihi | Güvenli arşivden kalıcı silme | md.5/2-e + 6098 TBK md.146 + 6100 HMK |
| Ceza/puan ve disiplin kayıtları (kurye skor geçmişi) | Kaydın oluşmasından itibaren 2 yıl; itiraz hâlinde çözüme kadar | Kayıt oluşma tarihi | Firestore belge silme | md.5/2-f meşru menfaat + sözleşme |
| Değerlendirme ve puanlama verileri (yorum, puan, sıralama skoru, moderasyon kararı) (2.8) | Hesap silinmesine kadar veya hesap kapatma/silinme talebinden itibaren 30 gün; uyuşmazlık hâlinde kesin çözüme kadar | Değerlendirmenin oluşturulma tarihi veya hesap silme talebi | Firestore belge silme (yorum metni + puan alanı); anonim istatistik özeti silinmez | md.5/2-c sözleşme + md.5/2-e hakkın tesisi + md.28 (anonim özet) |
Hukuki metin onay denetim kaydı (consentAuditLog) — kabul edilen metinlerin versiyonları, kabul/red durumları, beyanlar (18 yaş, vergi, iş güvenliği, SGK), tarayıcı bilgisi (user agent), dil, saat dilimi, kayıt URL'i | Hesap aktif olduğu süre boyunca + hesap silinmesinden itibaren 10 yıl | Kayıt (signup) anı — immutable, silme ve güncelleme teknik olarak engellenmiştir (Firestore rules) | Firestore subcollection silme; yasal saklama süresi dolunca kalıcı yok etme | md.5/2-e hakkın tesisi (HMK md.193 delil sözleşmesi + KVKK md.10 hesap verilebilirlik) + md.5/2-c sözleşme ifası; TBK md.146 (10 yıl sözleşmesel alacak zamanaşımı) |
| Çerez verileri — zorunlu | Oturum sonu | Çerez yerleştirme tarihi | Tarayıcı tarafı otomatik silme | md.5/2-c sözleşme ifası |
| Çerez verileri — analitik | 26 ay | Çerez yerleştirme tarihi | Süre sonu otomatik silme + manuel onay iptali ile silme | md.6/2 açık rıza |
| Çerez verileri — pazarlama | 13 ay | Çerez yerleştirme tarihi | Süre sonu otomatik silme + manuel onay iptali ile silme | md.6/2 açık rıza |
| Anonimleştirilmiş istatistikler | Süresiz (KVKK kapsamı dışı) | — | İmha yok — md.28 kapsamı dışı | md.28 anonim veri |
Saklama süresi dolan veriler, Kişisel Veri Saklama ve İmha Politikası çerçevesinde 6 aylık periyodik imha döngüsü içinde silinir, yok edilir veya anonim hâle getirilir. Beta dönem notu: Platform beta aşamasında olduğundan periyodik imha süreci şu an destek ekibi tarafından manuel olarak yürütülmekte ve her döngü denetim izi (audit trail) ile kayıt altına alınmaktadır. Chat/mesajlaşma içerikleri ve FCM token süreleri gibi kategori bazlı otomatik imha işleri için zamanlanmış (cron) altyapı, beta sonrası Cloud Functions v2 geçişi ile birlikte devreye alınacaktır. Bu süre zarfında ilgili kişilerin md.11 kapsamındaki silme talepleri, 30 gün içinde manuel süreçle yerine getirilir.
Kişisel verilerinizin güvenliği için aşağıdaki teknik ve idari tedbirler alınmaktadır:
KVKK md.11/1-g uyarınca ilgili kişi, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkına sahiptir. Platform, aşağıdaki tabloda listelenen kararları kısmen veya tamamen otomatik algoritmalar ile verir; profilleme yalnızca bu tabloda belirtilen amaçlarla ve bu amaçlarla sınırlı olarak uygulanır, Platform dışı reklam/pazarlama amacıyla profilleme yapılmaz.
| Otomatik Karar / Profilleme | Kullanılan Veri Girdileri | Kullanıcı Üzerindeki Etki | İnsan Müdahalesi |
|---|---|---|---|
| Kurye–sipariş/talep eşleştirme | Konum, müsaitlik, geçmiş puan, kapasite, yol uygunluğu | Siparişin kurye havuzundaki hangi kuryeye ilk önerileceğini belirler; kurye kabul/ret hakkına sahiptir | Kısmi — kurye kabul/ret; işveren son onay |
| Risk skoru ve anomali tespiti | IP/cihaz parmak izi, giriş davranışı, işlem sıklığı, ödeme kalıbı | Yüksek risk tespit edilirse hesap geçici dondurulur, işlem limiti uygulanır | Tam — askıya alma otomatik tetiklenir, kaldırma manuel inceleme sonucu |
| Kurye performans puanı ve ceza puanı | Zamanında teslim, iptal oranı, şikâyet sayısı, no-show kaydı | Eşik altı puan; yeni sipariş önceliği düşüşü, belirli kampanyalara erişim kısıtı, geçici havuz kısıtı | Kısmi — eşik kuralları otomatik; disiplin itirazı manuel |
| Ödeme/tahsilat doğrulama | Banka/EFT referans eşleşmesi, tutar, zaman | Ödeme otomatik onay/red sinyali üretir; son onay admin tarafından verilir | Tam insan onayı — admin nihai kararı verir |
Platform dışı profilleme yasağı: Kişisel veriler; Platform dışındaki reklam ağları, veri komisyonculuğu (data brokerage) veya üçüncü taraf pazarlama/profilleme amaçları için kullanılamaz, satılamaz, paylaşılamaz.
Bu kararlara karşı aşağıdaki 7 adımlı itiraz prosedürü uygulanır:
KVKK md.12/5 ve Kişisel Verileri Koruma Kurulu'nun 24.01.2019 tarihli ve 2019/10 sayılı kararı uyarınca, Platform kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edildiğini öğrenmesi hâlinde aşağıdaki 3 aşamalı süreci işletir:
Veri ihlali bildirimleri ve alınan önlemler, iç denetim dosyasında saklanır ve ilgili kişinin talebi hâlinde özetlenmiş şekilde kendisine sunulur.
Platform 18 yaşın altındaki kişilere yönelik hizmet sunmaz. Kullanıcı hesabı oluşturulabilmesi için 18 yaşını doldurmuş olmak gerekir; bu şart Firestore güvenlik kuralları ile sunucu tarafında zorunlu tutulur. Çocukların Platform'u kullanmasını önlemek amacıyla aşağıdaki 4 kontrol mekanizması uygulanır:
18 yaşından küçük bir bireye ait kişisel verinin Platform'a ulaştığı tespit edilirse; veri, tespit tarihinden itibaren en geç 30 gün içinde silinir ve varsa velisine/yasal temsilcisine bildirilir.
KVKK md.11 kapsamında ilgili kişi olarak aşağıdaki haklara sahipsiniz:
Açık rızanın geri çekilmesi: Açık rızaya dayanan veri işlemelerde (pazarlama iletisi, arka planda konum takibi, özel nitelikli belge işlemeleri, çerez tercihleri) rızanızı istediğiniz zaman ücretsiz olarak geri çekebilirsiniz. Rızanın geri çekilmesi geçmişe etkili değildir; rıza geri çekilmeden önce hukuka uygun olarak gerçekleştirilmiş işleme faaliyetlerinin geçerliliğini etkilemez ve kanuni yükümlülükler ile sözleşmenin ifası kapsamındaki işlemelerin devamına engel olmaz. Rıza geri çekme talebi, talebin alınmasından itibaren en geç 7 iş günü içinde sisteme yansıtılır.
Yukarıdaki haklarınızı kullanmak için, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'in 5. maddesi uyarınca başvurunuzda aşağıdaki bilgilerin yer alması zorunludur:
Başvuru aşağıdaki yöntemlerle yapılabilir:
Başvurunuz, talebin niteliğine göre en kısa sürede ve her hâlükârda en geç 30 gün içinde ücretsiz olarak sonuçlandırılır. İşlemin ayrıca bir maliyet gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret talep edilebilir. Başvurunun reddedilmesi, verilen yanıtın yetersiz bulunması veya süresinde yanıt verilmemesi hâllerinde; ilgili kişi yanıtı öğrendiği tarihten itibaren 30 ve her hâlde başvuru tarihinden itibaren 60 gün içinde Kişisel Verileri Koruma Kurulu'na (kvkk.gov.tr) şikâyet hakkını kullanabilir. Kurul'a şikâyet öncesi Platform'a başvuru yolu tüketilmiş olmalıdır.
İşbu Aydınlatma Metni, yasal düzenlemeler, Kurul kararları, içtihat veya hizmet değişiklikleri doğrultusunda Platform tarafından tek taraflı olarak güncellenebilir. Güncel versiyona her zaman www.kuryeai.com/kvkk adresinden ulaşabilirsiniz. Önemli değişiklikler, yürürlüğe girmeden önce Platform içi bildirim ve/veya kayıtlı e-posta adresine gönderilecek mesaj ile duyurulur. Aydınlatma Metni'nin güncellenen versiyonu, sayfa başında yer alan "Son güncelleme" tarihi itibarıyla yürürlüğe girer.
| Versiyon | Yürürlük Tarihi | Değişiklik Özeti |
|---|---|---|
| v3.6 | 23 Nisan 2026 | WhatsApp Business Cloud API entegrasyonu — Bölüm 7.2 yurt dışı aktarım tablosuna "Meta Platforms Ireland Ltd — WhatsApp Business Cloud API" satırı eklendi. Aktarılan veri: telefon numarası (E.164) + şablon mesaj içeriği; yalnızca açık rıza vermiş ve SMS ile doğrulanmış kullanıcılar; hukuki dayanak md.9/1 açık rıza (whatsappConsent:true Firestore kaydı); rıza geri çekildiğinde gönderim otomatik durur. |
| v3.19 (güncel) | 10 Mayıs 2026 | Yeni Koleksiyonlar Tanımı (Round 6.2 sec audit B3+K12) + Pazarlama Pikseli Altyapı Beyanı: (1) Madde 4 (Veri Kategorisi × Amaç × Hukuki Sebep matrisi) ve Madde 8 (Saklama Süreleri) tablolarına eklenen koleksiyonlar: landing_chat_logs (landing chatbot soru-cevap logları, 90 gün TTL — KVKK md.5/2-f meşru menfaat: bot kalitesi izleme, destek iyileştirme, içerik moderasyonu; Firestore TTL policy 10.05.2026 aktif), client_errors (browser tarafı global JS hata yakalama — error-tracker.js, 30 gün TTL — KVKK md.5/2-f meşru menfaat: operasyonel güvenlik, regression tespit; PII otomatik maskeli), admin_ai_calls ve ai_log_reports (Anthropic Claude API çağrıları + log analiz raporları — immutable audit trail, 7 yıl saklama — VUK md.253 + KVKK md.4/2-a denetim). (2) Madde 1 — Veri Sorumlusu İletişim ek satırı (KVKK md.10 şeffaflık çapraz uyum): "Aktif Pazarlama Pikseli kullanılmaması — gelecekte aktivasyon ayrı açık rıza ile yapılacak ve önceden duyurulacaktır" beyanı (Çerez Politikası v2.29 paralel). (3) Madde 11 (İlgili Kişi Hakları) — self-service kapsamlı veri indirme (exportUserData Cloud Function) ve hesap silme talebi (requestAccountDeletion) eklendi: kullanıcı KVKK md.11/(b)(c)(e) haklarını panel arayüzünden tek tık ile kullanabilir; talepler kvkkRequests koleksiyonuna düşer + admin alert tetiklenir. (4) Aktarım tablosu (Madde 7.1) — Vercel Inc., Hostinger International Ltd, GitHub Inc. (yönetici araçları, son kullanıcı verisi aktarmaz) eklendi. Yeni rıza tetiklenmez (Kurul 2021/§5.2 — esaslı değişiklik eşiği altı; pazarlama pikseli aktivasyonu ayrı duyuru ile esaslı kabul edilir). v3.18 "(güncel)" etiketi v3.19'a devredildi. |
| v3.18 | 10 Mayıs 2026 | Veri Sorumlusu İletişim Telefonu Güncellendi: Veri sorumlusu / satıcı / hizmet sağlayıcı iletişim bölümlerinde geçen telefon numarası, kişisel cep numarasından kurumsal sabit hatta (Netgsm İletişim ve Bilgi Teknolojileri A.Ş. tarifesi "Standart T-1" ön ödemeli, 0 850 302 06 80, Hizmet Numarası 08503020680, e-Devlet Başvuru No 260510095329938, Sözleşme Tarihi 10.05.2026) güncellenmiştir. Veri kategorileri, işleme amaçları, hukuki dayanaklar (KVKK md.5/6 ve ilgili özel kanunlar) ve saklama süreleri değişmemiştir; yalnızca veri sorumlusu / satıcı tarafının yasal iletişim kanalında bir hat (kurumsal sabit telefon) eklenmiştir. KVKK md.10 şeffaflık ve md.4/2-a dürüstlük ilkesi gereği güncelleme yansıtılmıştır; ayrıca Mesafeli Sözleşmeler Yönetmeliği md.5/(1)/(b) (satıcının açık unvanı, MERSİS/vergi numarası, açık adresi, telefonu ve elektronik iletişim bilgileri) gereği satıcı kimlik verilerinin gerçek ve doğrulanabilir tutulması yükümlülüğü karşılanmıştır. Yeni veri toplama, 3. taraf entegrasyon, çerez davranışı veya yurt dışı aktarım değişikliği yoktur; daha önce verilen açık rızalar geçerliliğini korur, yeniden rıza tetiklenmez (Kurul Rehberi 2021/§5.2 esaslı değişiklik eşiğine girmez). v3.17 "(güncel)" etiketi v3.18'ye devredildi. |
| v3.17 | 07 Mayıs 2026 | Marka İsimsiz Sağlayıcı Tanımı (Madde 7.1 — Yurt İçi Aktarım): Madde 7.1 Yurt İçi Aktarım listesinde önceki sürümlerde marka adıyla yer verilen iki sağlayıcı (ödeme kuruluşu ve e-Belge entegratörü) hizmet kategorisi bazlı genel ifadelere dönüştürülmüştür: (i) ödeme kuruluşu satırı "Sanal POS hizmet sağlayıcısı (T.C. — BDDK lisanslı ödeme kuruluşu, PCI-DSS Level 1 sertifikalı)" olarak; (ii) e-Belge entegratörü satırı "e-Fatura/e-Arşiv entegrasyon uygulaması (T.C. yerleşik özel entegratör; Gelir İdaresi Başkanlığı yetkilendirmeli e-Belge sağlayıcısı)" olarak yazılmıştır. Marka isimsiz tanımlama, ileride sağlayıcı değişikliği halinde KVKK Aydınlatma Metni'nde teknik düzeltme zorunluluğunu ortadan kaldırmaktadır; aktarılan veri kategorileri, hukuki dayanaklar (md.5/2-a + md.8/2-a + md.7/3 istisna), saklama süresi (213 VUK md.253 — 10 yıl) ve yurt dışı aktarımın bulunmaması özellikleri aynen korunmuştur. KVKK md.10 şeffaflık ilkesi karşılanmaya devam etmekte; ilgili kişi başvurusu halinde aktarımın yapıldığı somut sağlayıcının kim olduğu Madde 11 başvuru kanalları üzerinden 30 gün içinde bildirilir (KVKK md.13/2). Yeni veri toplama, 3. taraf entegrasyon, çerez davranışı veya yurt dışı aktarım değişikliği yoktur — yalnızca ifade biçimi sadeleştirmesidir; bu nedenle daha önce verilen açık rızalar geçerliliğini korur, yeniden rıza tetiklenmez (Kurul Rehberi 2021/§5.2 esaslı değişiklik eşiğine girmez). Çerez Politikası v2.23 → v2.24 ile aynı tarihte (07.05.2026) çapraz uyum sağlanmıştır. v3.16 "(güncel)" etiketi v3.17'ye devredildi. |
| v3.16 | 06 Mayıs 2026 | İzinciKuryeAI Uygulama Memnuniyet Anketi Eklendi — Madde 4 (Veri Kategorisi × Amaç × Hukuki Sebep matrisi) genişletildi: İşveren ve izinci kurye panellerinde, eşleşme tamamlandıktan sonra uygulamanın kullanım deneyimini değerlendirmek üzere isteğe bağlı bir memnuniyet anketi sunulmaya başlanmıştır. Anket cevapları yeni Firestore koleksiyonu izinciAnketler/{id} içinde tutulur ve şu veri kategorilerini içerir: (i) Yıldız puanlamaları (genel memnuniyet, kullanım kolaylığı, hız — her biri 1–5), (ii) NPS (Net Promoter Score) tavsiye skoru (0–10), (iii) Tekrar kullanım niyeti (evet/hayır), (iv) Açık metin yorum (opsiyonel, max 500 karakter), (v) Talep referansı, kullanıcı UID'si ve kullanıcı tipi (işveren/kurye), (vi) Oluşturulma zaman damgası. Hukuki sebepler: md.5/2-c sözleşmenin kurulması ve ifası (eşleşme hizmetinin iyileştirilmesi sözleşmesel bağlam), md.5/2-f meşru menfaat (hizmet kalitesinin ölçülmesi ve iyileştirilmesi), md.5/2-a açıkça öngörülmesi (6502 md.6 ayıplı hizmet sorumluluğu çerçevesinde memnuniyet ölçümü). Saklama süresi: anket cevapları toplam 36 ay saklanır; sonrasında anonimleştirilerek istatistiksel raporlama için sınırsız tutulabilir (anonim verisi KVKK kapsamı dışındadır). Aktarım: anket verileri yalnızca AdminAI panelinde Veri Sorumlusu tarafından görüntülenir; üçüncü taraf veya yurt dışı aktarım yoktur. Anket katılımı tamamen isteğe bağlıdır; kullanıcı modalı kapatabilir, "Atla" diyebilir veya yorum alanını boş bırakabilir; bu durum platformdaki diğer haklarını hiçbir biçimde etkilemez (KVKK md.4/2-d özen ilkesi). Yeni özellik üçüncü taraf entegrasyonu, çerez veya yurt dışı aktarım gerektirmediği için Çerez Politikası ve Açık Rıza Metni sürüm bump'ı tetiklenmemiştir; cookie-banner.js VERSION sabitliği korunmuştur. v3.15 "(güncel)" etiketi v3.16'ya devredildi. |
| v3.15 | 05 Mayıs 2026 | Anthropic PBC (ABD) AI Destekli Hizmet İyileştirmeleri Eklendi — Madde 7 (Yurt Dışı Aktarım) + Madde 4 (Veri Kategorisi × Amaç × Hukuki Sebep) güncellendi: KuryeAI platformuna 5 sprint AI entegrasyonu (log anomali tespiti, doğrulama belgesi vision OCR ön incelemesi, müşteri destek mesajı yanıt taslağı önerme, KVKK aylık uyum raporu üretimi, konuşma tabanlı admin asistanı) için yeni veri işleyen Anthropic PBC (San Francisco, ABD) eklendi. Madde 7 Yurt Dışı Aktarım tablosuna yeni satır: rol "Veri işleyen", lokasyon "ABD", hukuki dayanak md.9/1 açık rıza (Açık Rıza Metni Rıza 6), güvence "Anthropic DPA + Standart Sözleşme Maddeleri (SCCs) + Zero Retention API kontratı (ham veri 30 gün sonra silinir, KuryeAI verisi Anthropic model eğitiminde kullanılmaz) + Cloud Function tarafında PII redaksiyon (UID son 4 hane, IP /24, e-posta domain only)". KVKK md.11/g otomatik karar verme yasağı uyumu: doğrulama OCR'da Claude yalnızca ön inceleme önerisi verir, final karar her zaman insan admin tarafındadır. Rıza varsayılan KAPALI (opt-in); panel toggle ile anlık geri çekme aktif. Yeni rıza kategorisi olduğu için mevcut kullanıcılardan AI özelliklerinin ilk kez tetiklenmesi anında yeniden açık rıza alınır (Kurul Rehberi 2021/§5.2 esaslı değişiklik eşiği geçildi). Açık Rıza Metni v3.4 + Çerez Politikası v2.24 ile çapraz uyum. Cookie banner VERSION yenilenmedi (yeni çerez davranışı yok, mevcut çerez rızaları geçerli). v3.14 "(güncel)" etiketi v3.15'e devredildi. |
| v3.14 | 05 Mayıs 2026 | ANKESOB Esnaf Sicili Tescili (Madde 1 — Veri Sorumlusu): Ankara Esnaf ve Sanatkârlar Odaları Birliği tarafından düzenlenen Esnaf ve Sanatkâr Sicil Tasdiknamesi (Belge No: 33542528) alındı; 5362 sayılı Esnaf ve Sanatkârlar Meslek Kuruluşları Kanunu md.65 kapsamında esnaf sicili tutma yükümlülüğü yerine getirildi. Veri Sorumlusu Bilgileri tablosuna Sicil No: 474167, İş Yeri Adı KURYEAI TEKNOLOJİ, NACE Faaliyet Kodları (62.10.00 Bilgisayar programlama + 63.91.02 Web arama portalı), 05.05.2026 veriliş, 05.11.2026 geçerlilik ve resmi doğrulama URL'i (esbis.ticaret.gov.tr) satırı eklendi. KVKK md.10 şeffaflık ilkesi (veri sorumlusu kimliğinin tam ve doğrulanabilir ilanı) ve KVKK md.4/2-a dürüstlük ilkesi (kod-belge tutarlılığı) gereği zorunludur. Mesafeli Satış Sözleşmesi v3.10, Hizmet Sözleşmesi v5.10, Çerez Politikası v2.23, Açık Rıza v3.3, Kullanım Koşulları v2.8, İade Politikası v1.5, Gizlilik Politikası v2.7 ile aynı tarihte (05.05.2026) çapraz uyum sağlandı. Yeni veri toplama, 3. taraf entegrasyon, permission veya çerez davranışı değişikliği yoktur — yalnızca veri sorumlusu kimlik metadata zenginleştirmesidir; bu nedenle daha önce verilen açık rızaların yeniden alınması gerekli değildir (Kurul Rehberi 2021/§5.2 — esaslı değişiklik eşiğine girmez). v3.13 "(güncel)" etiketi v3.14'e devredildi. |
| v3.13 | 02 Mayıs 2026 | İzinciKuryeAI Vardiya Doğrulama + Premium Hizmetler — Madde 4 (Veri Kategorisi × Amaç × Hukuki Sebep matrisi) genişletildi: (1) Vardiya başı/bitişi yüz fotoğrafı (selfie) — eşleşmiş izinci kuryenin işletmeye fiilen geldiğini ve vardiyayı tamamladığını doğrulama amaçlı; KVKK md.6/2 açık rıza (yüz biyometriği) + md.5/2-c sözleşme + md.5/2-f anti-fraud meşru menfaat + md.5/2-e uyuşmazlık ispatı dayanak; veri 30 gün sonra otomatik silinir, uyuşmazlık dosyası varsa anonimleştirilerek 6100 HMK md.117 ispat süresi kadar saklanır. (2) Vardiya konum doğrulaması (kuryeArrivedLat/Lng + kuryeDepartedLat/Lng) — selfie ile birlikte haversine 200m geofence çift faktörlü kontrol; md.5/2-c sözleşme + md.5/2-f meşru menfaat. (3) Acil Eşleşme Premium ücreti + kademeli iptal iadesi + makbuz/PDF metadata — md.5/2-c sözleşme + md.5/2-a 213 VUK md.253 + 6502 md.48 / Mesafeli Sözleşmeler Yönetmeliği md.15. (4) Vardiya hatırlatma + no-show ceza puanı + auto-complete metadata (reminder*Sent, cezaPuani, noShowProcessed, autoCompleted) — md.5/2-c sözleşme + md.5/2-f platform güvenirliği. Yeni veri kategorileri Açık Rıza Metni v3.2'ye de eklendi (yüz biyometriği için ayrı seçimli rıza). v3.12 "(güncel)" etiketi v3.13'e devredildi. |
| v3.12 | 27 Nisan 2026 | Sadeleştirme — gereksiz teknik detay temizliği: Madde 1 Veri Sorumlusu tablosundaki KEP Adresi satırından PTT şubesi (Yenimahalle Müdürlüğü/Ankara), hesap numarası (152494945), açılış tarihi (27.04.2026) ve "Limited şirket geçişinde tüzel kişi KEP eklenir" gelecek-zaman beyanı kaldırıldı; KEP adresi başlığa zaten 6102 sayılı TTK md.18/3 atfı yerleştirildiğinden geçerlilik dayanağı korundu. Madde 11 Başvuru Kanalları listesinde aynı KEP teknik detayları kaldırıldı. Yargı/Hakem Heyeti gerektirirse PTT kendi sisteminden KEP adresi sahibi/şube/hesap no bilgisini doğrulayabildiğinden bu detaylar kullanıcıyı bağlayan bilgi değildir. v3.11 "(güncel)" etiketi v3.12'ye devredildi. |
| v3.11 | 27 Nisan 2026 | ETBİS Kaydı Tamamlandı (Madde 1 — Veri Sorumlusu): T.C. Ticaret Bakanlığı Elektronik Ticaret Bilgi Sistemi tescili tamamlandı (6563 sayılı E-Ticaret Kanunu md.3 + E-Ticaret Yönetmeliği md.4 zorunluluğu yerine getirildi). Veri Sorumlusu Bilgileri tablosuna ETBİS Site Kayıt No: 8033996605, kayıt tarihi 27.04.2026 ve resmi doğrulama URL'i (etbis.ticaret.gov.tr) satırı eklendi. Bu eklenti, KVKK md.10 şeffaflık ilkesi (veri sorumlusu kimliğinin tam ve doğrulanabilir olarak ilan edilmesi) ve KVKK md.4/2-a dürüstlük ilkesi (kod ve hukuki belge tutarlılığı) gereği zorunludur. Kayıt bilgileri ayrıca tüm landing sayfalarının footer'ında "ETBİS'e Kayıtlıdır" bandı + yatırımcı sunumunun "Resmi Belgeler" galerisinde resmi PDF görseli ile gösterilmektedir; tüketici tek tıkla bakanlık portalında kaydı doğrulayabilir. Yeni veri toplama, 3. taraf entegrasyon, permission veya çerez davranışı değişikliği yoktur — yalnızca veri sorumlusu kimlik metadata zenginleştirmesidir; bu nedenle Çerez Politikası yeniden rıza tetiklemez (cookie-banner.js VERSION sabitliği korundu). v3.10 "(güncel)" etiketi v3.11'e devredildi. |
| v3.10 | 27 Nisan 2026 | KEP adresi kesinleşti (Madde 1 — Veri Sorumlusu): Geçici/önerilen kuryeai@hs01.kep.tr adresi PTT tarafından "tüzel kişilik henüz kurulmadığı için marka adına KEP açılamaz" gerekçesiyle kabul edilmedi. Kesin tahsis: burak.haskoy@hs01.kep.tr (PTT KEP, Hesap No: 152494945, Açılış: 27.04.2026, PTT Yenimahalle Müdürlüğü/Ankara). 25.08.2011 tarihli Resmi Gazete'de yayımlanan KEP Sistemine İlişkin Usul ve Esaslar Hakkında Yönetmelik md.10 — gerçek kişi KEP olarak şahıs işletmesi adına da resmi yasal tebligat için tam geçerlidir. Limited şirket kuruluşunun ardından tüzel kişi KEP adresi ek olarak açılacak ve işbu Madde'ye işlenecektir. |
| v3.9 | 26 Nisan 2026 | e-Fatura/e-Arşiv Entegrasyonu (Madde 7.1 — Yurt İçi Aktarım): e-Fatura/e-Arşiv entegrasyon uygulaması (T.C. yerleşik özel entegratör; GİB yetkilendirmeli e-Belge sağlayıcısı) yurt içi aktarım listesine eklendi. 213 sayılı VUK md.231 fatura kesim zorunluluğu için: ad-soyad/unvan, VKN/TCKN, vergi dairesi, e-posta, telefon, fatura kalemi, tutar (KDV ayrıştırmalı), ödeme tarihi/yöntemi aktarılır. Aktarım eşleşme/abonelik onaylandıktan sonra yapılır (eşleşme: iş tamamlandığında; abonelik: ödeme + 7 gün sonra). KVKK md.5/2-a (VUK kanun zorunluluğu) + md.8/2-a (sözleşmenin ifası). Yurt dışı aktarım yoktur (entegrasyon uygulaması T.C. merkezli). Saklama süresi 213 VUK md.253 — 10 yıl (rıza geri çekmeyle kısaltılamaz, KVKK md.7/3 istisna). |
| v3.8 | 25 Nisan 2026 | Sanal POS (Madde 7.1 — Yurt İçi Aktarım): Sanal POS hizmet sağlayıcısı (T.C. — BDDK lisanslı ödeme kuruluşu, PCI-DSS Level 1 sertifikalı) yurt içi aktarım listesine eklendi. Aktarılan veri: tutar, sipariş no, e-posta, ad-soyad, telefon, IP, sepet kalemi. Kart numarası, CVV ve son kullanma tarihi yalnızca sanal POS sağlayıcısında işlenir; KuryeAI sistemine iletilmez ve saklanmaz — bu veri kategorisi işleme envanterinde yer almaz. Hukuki dayanak: md.8/2-a (sözleşmenin ifası için zorunlu aktarım). Aktarım yalnızca Alıcı "Kart ile Öde" yöntemini seçtiğinde yapılır; Banka Havalesi/EFT/FAST yöntemini seçen Alıcılar için sanal POS sağlayıcısına veri aktarılmaz. Yurt dışı aktarım yoktur (sağlayıcı T.C. merkezli). |
| v3.7 | 25 Nisan 2026 | KEP adresi (Veri Sorumlusu Bilgileri tablosu + Madde 11 başvuru kanalları): Placeholder "[Kurumsal KEP alımı sonrası güncellenecektir]" yerine kuryeai@hs01.kep.tr (PTT KEP, başvuru no: 7577623665684, 25.04.2026) eklendi. KVKK md.13/(1) başvuru kanalları kapsamında veri sahipleri haklarını (md.11) artık KEP üzerinden de yasal güvenceli olarak iletebilir. Aktivasyon 30 gün içinde, kesin atanan adres farklılaşırsa güncellenir. |
| v3.5 | 23 Nisan 2026 | Şahıs işletmesi mükellefiyet kaydı tamamlandı: Vergi Dairesi / Vergi No alanları güncellendi (Çankaya VD / 4580632882), işe başlama tarihi 22/04/2026 eklendi, MERSİS ve Ticaret Sicil satırları kaldırıldı (şahıs işletmesinde geçerli değil), "kuruluş aşamasında" ifadeleri kaldırıldı. |
| v3.4 | Nisan 2026 | Runtime tutarlılık — immutable consentAuditLog altyapısı belgeye yansıtıldı (Kod→Belge yükümlülüğü, KVKK md.4/2-a dürüstlük): (1) Bölüm 4 atomik matris — yeni satır: "Hukuki metin onay denetim kaydı (consentAuditLog)" kategorisi eklendi; amaç KVKK md.10 hesap verilebilirlik + HMK md.193 delil sözleşmesi kapsamında rıza ispatı; dayanak md.5/2-e hakkın tesisi + md.5/2-c sözleşme ifası. (2) Bölüm 8 saklama tablosu — yeni satır: users/{uid}/consentAuditLog subcollection — kabul edilen metinlerin versiyonları + kabul/red + beyanlar + client metadata; hesap aktif süresi + silme sonrası 10 yıl saklama (TBK md.146); immutable (Firestore rules ile silme/güncelleme teknik engeli). |
| v3.3 | Nisan 2026 | Sektör karşılaştırmalı hukuki analiz — belge-sözleşme tutarlılık güncellemesi (KVKK md.4/2-a): Bölüm 2.8 (YENİ) — Değerlendirme ve Puanlama Verileri kategorisi eklendi (yorum metni, yıldız/puan skoru, sıralama skoru, moderasyon kararı). Bölüm 4 atomik matris — 2.8 verilerini kapsayan yeni satır eklendi (md.5/2-c + md.5/2-f + md.5/2-e dayanakları). Bölüm 8 saklama tablosu — Değerlendirme/puanlama verileri için hesap silme + 30 gün saklama, anonim istatistik özeti md.28 kapsamında muaf tutuldu. |
| v3.2 | Nisan 2026 | Runtime denetimi — belge-kod tutarlılık rötuşları (KVKK md.4/2-a dürüstlük): (1) Bölüm 8 — 36 ay inaktif hesap pasifleştirme: belge otomatik süreçten söz ediyordu, kod tabanında zamanlanmış (cron) altyapı henüz yok; "beta dönem notu — destek ekibi tarafından manuel periyodik denetim, cron altyapısı Cloud Functions v2 geçişi ile devreye alınacak" ifadesiyle gerçek durum yansıtıldı. (2) Bölüm 8 — periyodik imha döngüsü: "6 ayda bir otomatik olarak silinir" iddiası, beta dönem gerçeğine uygun olarak "destek ekibi tarafından manuel" + "chat/FCM kategori bazlı cron altyapısı beta sonrası devreye alınacak" şeklinde netleştirildi; md.11 silme talepleri 30 gün manuel SLA'sı korundu. (3) Bölüm 9 — SRI (Subresource Integrity) hash kontrolleri satırı kaldırıldı: kod tabanında CDN script'lerine integrity attribute uygulanmamış; belge iddiasını kaldırıp gerçek tedbir setine indirildi (SRI implementasyonu, Phase 11+ CSP unsafe-inline kaldırma iş paketi ile birlikte planlanmaktadır). |
| v3.1 | Nisan 2026 | Runtime denetimi — Bölüm 7.2 (Yurt Dışı Aktarım) ve Bölüm 9 (Güvenlik) bütünlük rötuşları (KVKK md.4/2-a dürüstlük): (1) TomTom N.V. (Hollanda, AB) satırı eklendi — KuryeAI, RestoranAI, AcilKuryeAI ve AdminAI panellerinde rota, trafik, geocoding için sunucu tarafı proxy üzerinden aktif olarak kullanılıyordu ancak aktarım tablosunda yer almıyordu; KVKK md.4/2-a dürüstlük ihlali. md.9/2 AB yeterli koruma dayanağı ile eklendi. (2) OSRM Demo Server / HeiGIT (Almanya, AB) satırı eklendi — AcilKuryeAI'da rota hesaplama için kullanılıyor; çerez politikası v2.13'te eklenmiş ancak KVKK tablosunda yoktu. (3) Firebase Remote Config ve Firebase App Check (reCAPTCHA Enterprise) satırları eklendi — kod tabanında aktif olarak kullanılıyor; md.5/2-f meşru menfaat ve Google DPA güvencesiyle belgelendi. (4) Bölüm 9 güvenlik tedbirlerinde MFA ifadesi düzeltildi: "Çok faktörlü kimlik doğrulama (MFA) — admin hesapları" ifadesi yanlıştı; gerçekte admin giriş sayfasında reCAPTCHA Enterprise bot koruması uygulanıyor (şifre + bot tespiti). Doğru ifadeyle güncellendi. Artık Bölüm 7.2 tüm aktif harici servis çağrılarını kapsamaktadır. |
| v3.0 | Nisan 2026 | Hukuk Birimi 7 madde analizi uygulaması: veri kategorisi × amaç × hukuki sebep atomik matrisi (Bölüm 4), kısa/bağlayıcı hukuki sebep tanımları (Bölüm 5), yurt dışı tablosunda Google servislerinin atomize aktarılan veri türü ve rol netleştirmesi (veri işleyen / müşterek veri sorumlusu), saklama tablosuna "İmha Yöntemi" sütunu + belirsiz sürelerin kesinleştirilmesi, otomatik karar tablosuna "Kullanıcı Etkisi" + "İnsan Müdahalesi" sütunları + Platform dışı profilleme yasağı, özel nitelikli veri güvenlik detayları, mikro çelişki temizliği. |
| v2.0 | Nisan 2026 | Enterprise/hukukçu seviyesine çıkarma: irtibat kişisi, VERBIS durumu, toplama yöntemleri, md.5/2 tam eşleşme, md.9/1 ve md.9/2 ayrımı, yurt dışı 7-servis matrisi, deterministik saklama tablosu, otomatik kararlar + 7 adımlı itiraz, veri ihlali 72 saat, çocukların gizliliği, rıza geri çekme, Başvuru Usul Tebliği md.5 atıfı, KVKK Kurul şikâyet yolu, dil/yorum klozu. |
| v1.0 | Ocak 2026 | İlk yayınlama — temel KVKK aydınlatma metni. |
Önceki versiyonlara erişim için info@kuryeai.com adresinden "KVKK Metni Önceki Versiyon Talebi" konusuyla başvurulabilir; talep 7 iş günü içinde PDF olarak yanıtlanır.
İşbu Aydınlatma Metni'nin bağlayıcı dili Türkçedir. Metnin herhangi bir yabancı dile çevirisi yalnızca kolaylık amaçlıdır ve resmi nitelik taşımaz. Türkçe metin ile herhangi bir çeviri arasında farklılık, çelişki veya yorum boşluğu bulunması hâlinde Türkçe metin esas alınır ve yalnızca Türkçe metin geçerli kabul edilir. Aydınlatma Metni'nden doğan uyuşmazlıklarda 6698 sayılı KVKK, ilgili ikincil mevzuat ile KVKK Kurulu kararları esas alınır; Kişisel Verileri Koruma Kurulu'nun yetkisi saklıdır ve genel mahkemelerin görev ve yetkisi Türkiye Cumhuriyeti hukukuna tabidir.
İletişim: info@kuryeai.com | 0 850 302 06 80 | Kızılırmak Mah. Dumlupınar Bulvarı YDA Center No:9 A3 Blok 5. Kat No: 158 Çankaya/Ankara