🚀 Dijital dönüşümünüze bugün başlayın! İlk 3 imza ücretsiz - Hemen deneyin!

KVKK Aydınlatma Metni

6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve AB Genel Veri Koruma Tüzüğü ("GDPR") uyarınca, kişisel verilerinizin işlenmesine ilişkin olarak aşağıdaki hususları bilgilerinize sunarız.

1. Veri Sorumlusu

Unvan: Codeck Yazılım Anonim Şirketi

Adres: Maslak Mah. Aos 55. Sk. 42 Maslak No: 4 İç Kapı No: 556 Sarıyer / İstanbul

VKN: 2111145165 — Maslak Vergi Dairesi

KEP Adresi: [email protected]

Telefon: +90 850 309 51 26

İrtibat Kişisi (KVKK / GDPR DPO): [email protected] veya [email protected]

Kişisel verileriniz veri sorumlusu sıfatıyla Codeck Yazılım A.Ş. ("Şirket", "imzala.org") tarafından aşağıda açıklanan kapsamda işlenebilecektir.

1.1 Veri Sorumlusu / Veri İşleyen İlişkisi

Platform Kullanıcıları, sözleşme tarafları ve imzacılar gibi üçüncü kişilerin kişisel verilerini Platform'a girdiklerinde, bu veriler bakımından KVKK kapsamında bağımsız Veri Sorumlusu statüsündedir. imzala.org bu verileri, Kullanıcı adına Veri İşleyen sıfatıyla işlemektedir.

Kullanıcıların Dikkatine

Platforma girdiğiniz sözleşme taraflarının (imzacıların) kişisel verileri bakımından siz Veri Sorumlusu, imzala.org ise Veri İşleyen konumundadır. Bu kişilere ait verilerin hukuka uygunluğundan ve KVKK m.10 uyarınca aydınlatılmasından münhasıran siz sorumlusunuz.

2. İşlenen Kişisel Veri Kategorileri

Aşağıda işlenebilecek kişisel veri kategorileri detaylı şekilde listelenmiştir:

2.1 Kimlik Verileri

  • Ad, soyad
  • Doğum tarihi
  • TC kimlik numarası (yalnızca biyometrik kimlik doğrulamasında, açık rıza ile)
  • NFC çipli kimlik kart bilgileri (yalnızca açık rıza ile)

2.2 İletişim Verileri

  • E-posta adresi
  • Telefon numarası
  • Posta adresi (fatura için)

2.3 Hesap ve Kimlik Doğrulama Verileri

  • Şifre (bcrypt hash, asla düz metin değil)
  • Doğrulama kodları (OTP — 5 dakika içinde otomatik silinir)
  • OAuth üçüncü taraf kimlikleri (Google / Facebook / Twitter — yalnızca dış kimlik doğrulayıcı tarafından sağlanan ID)
  • Şifre sıfırlama tokenları (1 saat içinde otomatik silinir)
  • Refresh / magic link tokenları (süre sonu sonrası otomatik silinir)

2.4 Sözleşme ve İmza Verileri

  • Sözleşme metadatası (başlık, taraflar, tarih)
  • İmza görseli (S3 referansı)
  • Dijital imza hash (KMS imza)
  • İmza zaman damgası (TÜBİTAK KAMU SM RFC 3161)
  • İmza IP adresi, görüntüleme IP adresi
  • İmza coğrafi konum verileri (yalnızca açık rıza ile)
  • İmza cihaz bilgisi (tarayıcı user-agent)

2.5 Özel Nitelikli Kişisel Veriler — Biyometrik (KVKK m.6)

Yalnızca açık rızanız ile toplanan veriler

  • Yüz tarama vektörü (face descriptor, S3 referansı)
  • Kimlik kart yüz vektörü (id_upload_face_descriptor)
  • NFC çip okuma sonucu (true/false) ve eşleşme skoru
  • El yazısı dinamikleri (basınç, hız, açı, koordinat — ISO/IEC 19794-7:2014)
  • Açık rıza onay zamanı (biometric_consent_at)

Bu veriler KVKK Madde 6 uyarınca özel nitelikli kişisel veridir, açık rıza vermezseniz toplanmaz. Saklama süresi: 1 yıl sonra otomatik anonimleştirilir.

2.6 Ödeme Verileri

  • Fatura bilgileri (ad, adres, vergi no — kurumsal müşteriler için)
  • PayTR kullanıcı tokenı (paytr_utoken — kart numarası DEĞİLDİR)
  • Ödeme geçmişi metadata

Önemli: Kart bilgileri (PAN, CVV, son kullanma) doğrudan PayTR tarafından PCI-DSS Level 1 standardında saklanır. imzala.org bu bilgileri görmez ve saklamaz.

2.7 İşlem Güvenliği Verileri

  • IP adresi, son giriş IP'si
  • Cihaz bilgisi ve tarayıcı sürümü
  • Audit log (KMS, K8s, uygulama)
  • Oturum bilgileri

2.8 Davranış ve Tercih Verileri

  • Kullanıcı aktivite geçmişi (UserActivity)
  • Bildirim tercihleri (UserPreferences)
  • Pazarlama e-postaları opt-in durumu

2.9 Pazarlama ve Analitik Verileri (Çerez tabanlı, açık rıza ile)

  • Çerez kimliği (cookie ID)
  • Anonim kullanıcı kimliği (GA4 client ID, Clarity ID, Meta browser ID)
  • Sayfa görüntülemeleri, tıklamalar
  • Coğrafi konum (il/ülke seviyesinde)

Detay: Çerez Politikası

3. Kişisel Verilerin İşlenme Amaçları

  • Hizmetlerimizin sunulması (e-imza, sözleşme yönetimi, zaman damgası)
  • Sözleşmenin kurulması ve ifası
  • Kullanıcı kimlik doğrulaması ve hesap yönetimi
  • İmza sürecinin yasal geçerliliğini sağlama (audit trail)
  • Yasal yükümlülüklerin yerine getirilmesi (TTK m.82, VUK m.253, 5070 sayılı kanun)
  • Müşteri memnuniyeti, destek ve şikayet yönetimi
  • Güvenlik, dolandırıcılık önleme ve audit
  • Pazarlama faaliyetleri (yalnızca açık rıza ile)
  • Site geliştirme ve analitik (anonim çerez verileri ile)

4. Toplama Yöntemleri ve Hukuki Sebep

4.1 Toplama Yöntemleri

  • Hesap kayıt formu, profil bilgi formu
  • OAuth üzerinden (Google / Facebook / Twitter API)
  • Mobil uygulama biyometrik kamera (yüz taraması)
  • Mobil uygulama NFC kart okuyucu
  • İmza ekranı (el yazısı dinamikleri)
  • Ödeme webhook'ları (PayTR)
  • Çerez ve analitik scriptleri (consent ile)

4.2 Hukuki Sebep (KVKK m.5 ve 6)

  • Sözleşmenin kurulması veya ifası: Hesap, ödeme, hizmet sunma
  • Hukuki yükümlülük: Fatura, vergi, audit log, ihtilaf çözümü
  • Meşru menfaat: Dolandırıcılık önleme, audit, güvenlik
  • Açık rıza (KVKK m.6): Biyometrik veri, pazarlama, çerez

5. Kişisel Verilerin Aktarıldığı Taraflar

5.1 Yurt İçi Aktarımlar

  • TÜBİTAK KAMU SM: Nitelikli zaman damgası hizmeti (RFC 3161)
  • PayTR: Ödeme işlemleri (Türkiye, BDDK denetimli, PCI-DSS Level 1)
  • NetGSM, Kobikom: SMS gönderimi (organizasyon bazlı seçim)
  • Yetkili kamu kurumları: Yasal yükümlülükler kapsamında (mahkeme, KVKK Kurumu, vergi dairesi)

5.2 Yurt Dışı Aktarımlar

Yurt dışı aktarımlar yalnızca KVKK m.9 kapsamında, açık rıza veya Standart Sözleşme Maddeleri (SCC) ile yapılır:

  • Hetzner Online GmbH (Almanya): Sunucu altyapısı ve veri depolama. Falkenstein veri merkezi, AB GDPR uyumlu, ISO 27001 sertifikalı. Tüm üretim verileriniz burada işlenir ve depolanır.
  • Cloudflare (ABD): CDN, DNS, WAF ve DDoS koruması. EU-Home Region kullanılır, GDPR DPA imzalı.
  • Mailgun (Almanya — EU sunucu): Transactional e-posta gönderimi. EU veri merkezi, GDPR DPA imzalı.
  • Twilio (ABD): Uluslararası SMS (yalnızca seçili organizasyonlar için).
  • GitHub (ABD): Kaynak kodu yönetimi (kullanıcı PII'si depolanmaz, yalnızca uygulama kodu).

5.3 Pazarlama ve Analitik Platformları (yalnızca çerez consent ile)

  • Google Analytics 4 + Google Tag Manager: Site kullanım analitiği (anonim ID)
  • Microsoft Clarity: Isı haritaları, oturum kayıtları (PII otomatik maskelenir)
  • Meta Pixel (Facebook/Instagram): Reklam dönüşüm takibi
  • Google Ads: Reklam dönüşüm takibi

Yurt Dışı Veri Aktarımı Güvenceleri

Yurt dışına aktarılan verileriniz, AB Genel Veri Koruma Tüzüğü (GDPR) standartlarında korunmakta, üçüncü taraflarla Standart Sözleşme Maddeleri (SCC) Modül 2 (Controller-to-Processor) imzalanmaktadır.

Üretim verileriniz AB içinde (Almanya) bulunan Hetzner Falkenstein veri merkezinde tutulmaktadır.

6. Kişisel Veri Sahibinin Hakları (KVKK m.11 / GDPR Art.15-22)

Aşağıdaki haklara sahipsiniz:

  • Kişisel verilerinizin işlenip işlenmediğini öğrenme
  • İşlenmişse buna ilişkin bilgi talep etme (erişim hakkı)
  • İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
  • Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
  • Eksik veya yanlış işlenmişse düzeltilmesini isteme
  • Şartların ortadan kalkması halinde silinmesini veya yok edilmesini isteme (unutulma hakkı — GDPR Art.17)
  • Verilerinizi yapılandırılmış ve makine okunabilir formatta indirme (taşınabilirlik — GDPR Art.20)
  • Düzeltme veya silme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme
  • Münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize sonuç doğmasına itiraz etme
  • Kanuna aykırı işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme

6.1 Hesap Üzerinden Doğrudan Kullanılabilen Haklar

Aşağıdaki hakları hesap ayarlarınızdan doğrudan kullanabilirsiniz:

  • Verilerinizi indirme: Hesap ayarları → Gizlilik → "Verilerimi indir" (JSON + ZIP, GDPR Art.20)
  • Hesabımı sil: Hesap ayarları → "Hesabımı sil" — 24 saat e-posta onay + 30 gün geri alma süresi sonrasında kalıcı silme
  • Pazarlama opt-out: Hesap ayarları → Bildirimler → Pazarlama e-postaları
  • Çerez tercihi revoke: Sayfa altındaki "Çerez Ayarları" linki
  • Biyometrik açık rıza geri çekme: Mobil uygulama → Profil → Biyometrik veriler → "Verilerimi sil"

7. Başvuru Yöntemi

KVKK kapsamındaki taleplerinizi aşağıdaki yöntemlerle iletebilirsiniz:

Başvurularınız en geç 30 gün içinde yanıtlanır (KVKK m.13). Başvurularınız ücretsizdir; ancak Kurum tarafından belirlenen tarife uygulanabilir.

8. Veri Güvenliği

8.1 Teknik Önlemler

  • Şifreleme (transit): TLS 1.2 / 1.3 (Cloudflare + Let's Encrypt sertifikası)
  • Şifreleme (off-site backup): AES-256 (rclone crypt, Hetzner Storage Box)
  • Dijital imza: RSA-2048 (anahtar yönetim sistemi — KMS)
  • Hash: SHA-256 (belge bütünlük doğrulaması)
  • Biyometrik veri formatı: ISO/IEC 19794-7:2014
  • Zaman damgası: TÜBİTAK KAMU SM (RFC 3161 nitelikli)
  • Erişim kontrolü: Rol tabanlı erişim (RBAC) + tüm yönetim panelleri için iki faktörlü kimlik doğrulama (MFA)
  • Ağ güvenliği: Kubernetes NetworkPolicy ile namespace izolasyonu, Cloudflare WAF
  • Antivirüs: Yüklenen dosyalar için ClamAV taraması
  • Zafiyet taraması: Trivy ile sürekli (CI/CD entegrasyonlu)
  • Audit log: 5 yıl saklama (uygulama + KMS + Kubernetes API)
  • İzleme: 24/7 Prometheus + Grafana + Loki + GlitchTip

8.2 Operasyonel Önlemler

  • Personel için yıllık güvenlik farkındalık eğitimi
  • Kritik personel için NDA imzası
  • 4 katmanlı yedekleme stratejisi (Velero + PostgreSQL dump + Proxmox VM snapshot + Hetzner Storage Box off-site mirror)
  • Şifreli off-site yedek (AES-256, AB lokasyon)
  • Düzenli felaket kurtarma tatbikatı (son test: Nisan 2026 — başarılı)
  • İhlal yanıt prosedürü ve VERBİS bildirim şablonu

8.3 Veri Saklama Lokasyonu

Üretim verileriniz AB içindedir

  • Birincil veri merkezi: Hetzner Online GmbH — Falkenstein, Almanya (AB)
  • Off-site şifreli yedek: Hetzner Storage Box (AB lokasyon, AES-256 client-side şifrelenmiş)
  • CDN / edge: Cloudflare global ağ (EU-Home Region tercih edilir)

Veri merkezi seçimimiz GDPR uyumluluğu ve AB veri egemenliği için yapılmıştır.

9. Saklama Süreleri

Veri Kategorisi Süre Yasal Dayanak
Sözleşme PDF, audit trail 10 yıl TTK m.82
Sözleşme metadatası 10 yıl TTK m.82
Biyometrik veri (yüz vektörü, NFC, el yazısı dinamikleri) 1 yıl (sonra otomatik anonimize) KVKK m.6 — minimum saklama esası
İmza görseli Hesap silimine kadar Sözleşmenin ifası
Kullanıcı hesabı Hesap silimine kadar (30 gün grace) Sözleşmenin ifası
Audit log (uygulama + KMS + K8s) 5 yıl ISO 27001, denetim ihtiyacı
Fatura ve ödeme kayıtları 10 yıl VUK m.253
SMS gönderim logu 1 yıl Operasyonel
Webhook delivery logu 90 gün Operasyonel
Kullanıcı aktivite geçmişi 3 yıl Meşru menfaat
OTP / refresh / magic link tokenı Süre sonu sonrası anlık silme Auth güvenliği
Çerez verileri Maks 2 yıl (consent süresi kadar) KVKK + ePrivacy
5651 sayılı kanun trafik logu 2 yıl 5651 sayılı Kanun

Saklama süresi sona eren veriler otomatik silme veya anonimleştirme prosedürü ile imha edilir. Silme talepleri 30 gün içinde işleme alınır.

10. Sertifikalar ve Uyumluluk

10.1 Sahip Olduğumuz Uyumluluklar

  • 5070 sayılı Elektronik İmza Kanunu uyumlu altyapı (TÜBİTAK KAMU SM nitelikli zaman damgası ile)
  • KVKK Veri Sorumluları Sicili (VERBİS) kayıtlı veri sorumlusu
  • ISO/IEC 19794-7:2014 biyometrik veri formatı uyumlu
  • GDPR uyumu — AB içinde (Hetzner Almanya) veri işleme, SCC ile yurt dışı aktarım
  • PCI-DSS SAQ A kapsamı — kart bilgileri PayTR (PCI-DSS Level 1) tarafından işlenir, imzala.org tarafından saklanmaz

10.2 Yol Haritası (henüz alınmamış sertifikalar)

Aşağıdaki sertifikalar şu an itibariyle alınmamış olup, hedef tarihlerde sertifikasyon süreçleri başlatılacaktır.

  • ISO 9001:2015 Kalite Yönetim Sistemi — Hedef: 2026 Q3
  • ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi — Hedef: 2027 Q1
  • SOC 2 Type II — Hedef: 2027 Q4

Mevcut altyapımız bu sertifikaların gerektirdiği teknik ve operasyonel kontrollerin önemli bölümünü zaten karşılamaktadır; sertifikasyon süreçleri formal denetim ve dokümantasyon kapsamındadır.

11. Veri İhlali Bildirimi

Kişisel verilerinizin güvenliğini etkileyebilecek bir ihlal durumunda:

  • İhlal tespitinden itibaren 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildirim yapılır (KVKK m.12, GDPR Art.33)
  • Risk değerlendirmesi sonucuna göre etkilenen kullanıcılar e-posta ile bilgilendirilir (GDPR Art.34)
  • İhlalden etkilenen veri kategorileri, alınan önlemler ve önerilen aksiyonlar bildirilir
  • İhlal yanıt prosedürümüz: 5 fazlı yanıt (containment, eradication, recovery, lessons learned, communication)

12. Çocukların Kişisel Verileri

Hizmetlerimiz 18 yaş altı bireylere yönelik değildir. 18 yaş altı bireylerden bilerek kişisel veri toplamayız. Ebeveyn veya vasi onayı olmadan çocuklardan veri toplandığını tespit etmemiz halinde, bu veriler derhal silinir.

13. Açık Rıza Geri Çekme

KVKK m.6 ve m.5/2-(a) kapsamında verdiğiniz açık rızayı istediğiniz zaman geri çekebilirsiniz:

  • Biyometrik veri rızası: Mobil uygulama → Profil → Biyometrik veriler → "Rızamı geri çek ve verilerimi sil" — geri çekme anında ilgili veriler silinir.
  • Pazarlama rızası: Hesap ayarları → Bildirimler → "Pazarlama e-postaları" toggle off, veya her e-postanın altındaki "abonelikten çık" linki.
  • Çerez rızası: Sayfa altındaki "Çerez Ayarları" linki üzerinden tercihler tekrar düzenlenebilir.

Açık rıza geri çekildikten sonra, ilgili veri yalnızca başka bir hukuki sebep (sözleşmenin ifası, hukuki yükümlülük) varsa işlenmeye devam edebilir.

14. Politika Güncellemeleri

Bu aydınlatma metni, mevzuat değişiklikleri ve uygulama güncellemelerini yansıtmak amacıyla zaman zaman güncellenir. Önemli değişiklikler:

  • Web sitesinde duyurulur
  • Kayıtlı kullanıcılara e-posta ile bildirilir
  • Önemli değişiklikler için yeni açık rıza istenebilir

Son güncelleme: 29 Nisan 2026

Versiyon: 3.0

Bu metin, 6698 sayılı Kişisel Verilerin Korunması Kanunu, AB Genel Veri Koruma Tüzüğü (GDPR) ve ilgili ikincil mevzuat uyarınca hazırlanmıştır.

Demo Talep Et

15 dakikalık ücretsiz demo ile imzala.org'un kurumunuza nasıl uyduğunu birlikte görelim.

E-posta veya telefondan en az birini doldurun.