KVKK Aydınlatma Metni — Invum POS Entegratör
Yürürlük tarihi: [LANSMAN TARİHİ — örn. 2026-07-01]
Son güncelleme: [TARİH]
1. Veri Sorumlusu
| Bilgi | İçerik |
|---|---|
| Veri sorumlusu | Cenk Akkaya — Invum |
| İletişim adresi | [İŞLETME ADRESİ — TODO] |
| E-posta | support@invum.com.tr |
| Web | https://invum.com.tr |
| KEP adresi | [KEP — TODO] |
| MERSİS no | [TODO] |
| Vergi kimlik no | [TODO] |
2. Hangi Kişisel Verileri İşliyoruz
2.1. Web Sitesi Ziyaretçileri (invum.com.tr)
- IP adresi (HTTP loglarında, 30 gün)
- User-Agent
- Çerez bilgileri (zorunlu çerezler + analytics çerezi — opt-in)
- İletişim formu girdileri: ad, soyad, e-posta, mesaj içeriği
2.2. Müşteriler (Lite kullanıcıları)
- Lite ürün ücretsiz olduğundan kullanım için kayıt gerekmez.
- WordPress.org üzerinden indiren kullanıcılar için herhangi bir kişisel veri tarafımızdan toplanmaz.
2.3. Pro Lisans Sahipleri
- E-posta adresi (lisans anahtarı + faturalama)
- Site URL'i (lisans aktivasyonu için)
- Site IP adresi (yalnızca aktivasyon anında, fraud önleme)
- Plugin sürümü, son heartbeat tarihi (otomatik update kanalı)
- Faturalama bilgileri: ad-soyad, T.C. kimlik no veya vergi kimlik no, fatura adresi
2.4. Destek Talebi Açanlar
- E-posta adresi, mesaj içeriği
- (Opsiyonel) tanı paketi: WordPress / WooCommerce / PHP sürümleri, plugin'in topladığı son 10 hata kaydı (hassas veri otomatik maskelenmiş)
2.5. Plugin'in Müşteri Sitesinde İşlediği Veriler
ÖNEMLİ: Müşterilerimizin web sitesinde plugin'imiz aşağıdaki verileri işler ancak bunların hiçbiri Invum'un sunucularına aktarılmaz:
- Sipariş bilgileri (WooCommerce DB'sinde)
- Ödeme transaction logları (
wp_invum_pos_transactionstablosunda — müşterinin DB'si) - Saklı kart token'ları (vault — yine müşterinin DB'si)
- Hassas alanlar (kart no, CVV) asla saklanmaz, doğrudan PSP'ye iletilir.
Bu veriler için veri sorumlusu plugin'i kullanan e-ticaret işletmesidir, biz değiliz. Müşterilerimiz kendi KVKK uyumluluklarını ayrıca yönetmekle yükümlüdür.
3. İşleme Amaçları ve Hukuki Sebepleri
| Amaç | İşlenen Veri | Hukuki Sebep (KVKK m.5) |
|---|---|---|
| Lisans satışı + faturalama | E-posta, fatura bilgileri | m.5/2/c (sözleşmenin kurulması ve ifası) |
| Lisans aktivasyonu + heartbeat | Site URL, IP (aktivasyonda), plugin version | m.5/2/c (sözleşme ifası) + m.5/2/f (meşru menfaat — fraud önleme) |
| Otomatik update kanalı | Plugin version, license key | m.5/2/c (sözleşme ifası) |
| Destek talebi yanıtlama | E-posta, mesaj içeriği, tanı paketi | m.5/2/c |
| Pazarlama e-postaları | E-posta | m.5/1 (açık rıza — opt-in) |
| Yasal yükümlülük (vergi/fatura) | Faturalama verileri | m.5/2/a (açıkça öngörülmesi) |
4. Verilerin Aktarılması
4.1. Yurt İçi Aktarım
- Hostinger Türkiye (web hostingi) — barındırma
- iyzico / PayTR / Param vb. (PSP) — müşterilerimizin Pro lisans satın alımında ödeme alımı
4.2. Yurt Dışı Aktarım
KVKK m.9 kapsamında, açık rızanız alınmadan yalnızca KVKK Kurulu tarafından "yeterli korumaya sahip ülke" listesine giren ya da taahhütname imzaladığımız veri işleyenlere aktarım yapılır:
| Veri İşleyen | Konum | Amaç | Korunma |
|---|---|---|---|
| Amazon Web Services (SES) | İrlanda (eu-north-1) | E-posta gönderimi (transactional) | AWS DPA + SCC (Standard Contractual Clauses) |
| ImprovMX | ABD | Mail forwarding (support@) | TLS + standart sözleşme |
| GitHub Inc. | ABD | Kod + lisans dağıtımı | GitHub DPA |
| Cloudflare (DNS) | Global | DNS hizmeti | Cloudflare DPA |
> Açık rıza gerektirmeyen aktarımlar: Yukarıdaki aktarımların tamamı sözleşme ifası kapsamındadır (m.9/2/a → m.5/2/c) — Pro lisansını satın aldığınızda aktivasyon ve update altyapısının çalışması için gerekli minimum aktarımdır.
5. Saklama Süreleri
| Veri Kategorisi | Süre | Sebep |
|---|---|---|
| Faturalama verileri | 10 yıl | Vergi Usul Kanunu m.253 |
| Lisans + heartbeat verileri | Lisansın aktif olduğu süre + 2 yıl | İhtilaf çözümü |
| HTTP erişim logları | 30 gün | KVKK + 5651 sayılı Kanun |
| İletişim formu mesajları | 2 yıl | İhtilaf çözümü |
| Pazarlama listesi | Aboneliği iptal edene kadar | Açık rıza geri alınana kadar |
| Tanı paketleri (destek talepleri) | 90 gün | Hata analizi sonrası silinir |
6. Veri Sahibi Hakları (KVKK m.11)
Aşağıdaki haklarınız bulunmaktadır:
a. Kişisel verilerinizin işlenip işlenmediğini öğrenme,
b. Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
c. İşleme amacı ve amacına uygun kullanılıp kullanılmadığını öğrenme,
ç. Yurt içinde veya yurt dışında aktarıldığı 3. kişileri bilme,
d. Eksik veya yanlış işlenmişse düzeltilmesini isteme,
e. KVKK m.7 çerçevesinde silinmesini veya yok edilmesini isteme,
f. Düzeltme/silme/yok etme işlemlerinin aktarıldığı 3. kişilere bildirilmesini isteme,
g. Otomatik sistemlerce analiz edilerek aleyhinize bir sonuç doğmasına itiraz etme,
ğ. Kanuna aykırı işleme nedeniyle zarara uğramışsanız tazminat talep etme.
7. Başvuru Yöntemi
KVKK m.13 ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca:
- E-posta: support@invum.com.tr (kayıtlı e-posta sahipliği teyit edildikten sonra)
- KEP: [KEP — TODO]
- Posta: [İŞLETME ADRESİ — TODO]
- Form: invum.com.tr/iletisim (KVKK kategorisi)
Yanıt süresi: 30 gün (KVKK m.13/2). Talep ücretsiz olarak ele alınır; ancak işlem ek bir maliyet gerektiriyorsa Kurul tarafından belirlenen tarifeye göre ücret alınır.
8. Çerez Politikası
Web sitemizde aşağıdaki çerez kategorileri kullanılır:
- Zorunlu çerezler: Oturum yönetimi, güvenlik (CSRF). Kapatılırsa site işlevsiz hale gelir.
- Performans çerezleri (opsiyonel): Web analytics — kullanıcı sayfada hangi tıklamaları yapıyor. Opt-in.
- Pazarlama çerezleri: Şu anda kullanılmıyor.
Çerez tercihlerinizi tarayıcı ayarlarından veya sayfa altındaki "Çerez Tercihleri" bağlantısından yönetebilirsiniz.
9. Değişiklikler
Bu metin gerektiğinde güncellenir. Önemli değişiklikler için kayıtlı e-posta adresinize bildirim gönderilir; site üzerinden de güncel sürüm her zaman bu adreste yayınlanır.
Son güncelleme: [TARİH]
Sürüm: 0.1 (taslak — avukat onayı bekliyor)