Taslak metin: Bu metin sistem geliştirme sürecinin teknik taslağıdır. Canlı yayına çıkmadan önce hukuk danışmanı tarafından incelenip onaylanması gerekir.
1. Veri sorumlusu
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında veri sorumlusu sıfatıyla hareket eden taraf:
- Ad/Ünvan: Fikri KAHYA
- Faaliyet: Şahıs işletmesi (vergi mükellefiyeti altında)
- Vergi Dairesi: Akhisar Vergi Dairesi
- Vergi No: 4890945414
- Tebligat Adresi: [Akhisar/Manisa — hukuk danışmanı onayında netleşecek]
- İletişim: destek@dukonim.com
- VERBİS Kaydı: Değerlendirme aşamasında (muafiyet kapsamı muhasebeci ve hukuk danışmanı ile incelenmektedir)
2. Dukonim ne yapar?
Dukonim, esnaf ve mikro işletmelerin dijital vitrin sayfası oluşturup yayınlayabilmesi için yayın altyapısı sağlar. Mağaza sahibi ürünlerini/hizmetlerini dijital olarak sergiler; müşteriler bu sayfayı görür ve doğrudan satıcıya WhatsApp üzerinden iletişim kurar.
Dukonim pazaryeri değildir, ödeme aracısı değildir, teslimat hizmeti vermez, sipariş aracılığı yapmaz. Mağaza sahibi ile müşteri arasındaki ticari ilişki Dukonim'in tarafı değildir.
3. İşlenen kişisel veriler
Aşağıdaki veri kategorileri işlenebilir:
- Kimlik ve iletişim: ad, e-posta adresi, WhatsApp numarası
- Hesap ve mağaza: kullanıcı adı, şifre özeti (hash), mağaza kısa adı (slug), seçilen plan, mağaza içerikleri (logo, ürün adı, açıklama, fotoğraf)
- İşlem güvenliği: oturum açma kayıtları, IP adresi, tarayıcı bilgisi, güvenlik amaçlı işlem günlükleri
- Faturalandırma ve abonelik: abonelik durumu, deneme süresi, ödeme denemesi sonuçu, plan değişikliği geçmişi. (Kart bilgileri Dukonim'de saklanmaz; ödeme sağlayıcısı tarafından PCI-DSS standardına uygün şekilde işlenir.)
- İçerik güvenliği: yasaklı kelime tespit kayıtları, görsel güvenlik kontrol sonuçları, kullanıcı raporları, otomatik anomali tespit kayıtları
- İletişim kayıtları: destek e-postaları, sistem bildirimleri
4. İşleme amaçları ve hukuki dayanak
Kişisel veriler aşağıdaki amaçlarla, KVKK madde 5 ve 6 kapsamında uygün hukuki sebeplere dayanılarak işlenir:
- Hesap oluşturulması, mağaza yayını, oturum yönetimi — sözleşmenin ifası (Md. 5/2-c)
- Abonelik yönetimi ve ücretin tahsil edilmesi — sözleşmenin ifası (Md. 5/2-c)
- Kanunen zorunlu fatura, vergi ve mali kayıt tutma — hukuki yükümlülük (Md. 5/2-ç)
- Kötüye kullanımın önlenmesi, içerik moderasyonu, çocuk güvenliği taraması — meşru menfaat (Md. 5/2-f)
- Güvenlik tehdidi, dolandırıcılık, yasa dışı içerik tespiti — kanunun açıkça öngördüğü hal (Md. 5/2-ç) ve meşru menfaat (Md. 5/2-f)
- Mağaza sahibinin destek talepleri ve uyuşmazlık çözümü — meşru menfaat (Md. 5/2-f)
5. Sipariş ve ödeme verisi (özel açıklama)
Dukonim'in en temel pozisyonu: müşteri siparişleri Dukonim veritabanında tutulmaz. Müşteri ürünleri “Listeye Ekle” ile tarayıcı belleğine (localStorage) ekler; bu liste WhatsApp üzerinden doğrudan mağaza sahibine iletilir. Sipariş içeriği Dukonim sunucularına gönderilmez.
Müşteri ödemesi Dukonim üzerinden geçmez. Ödeme; mağaza sahibinin kendi seçtiği yöntemle (nakit, havale, kendi POS'u veya benzeri) doğrudan müşteri ile mağaza sahibi arasında gerçekleşir.
Tek istisna: Mağaza sahibinin Dukonim'e ödediği aylık abonelik ücreti. Bu ödeme Iyzico üzerinden tahsil edilir ve mali kayıtlar mevzuat gereği saklanır.
6. Üçüncü taraf hizmet sağlayıcıları
Dukonim, hizmet sunabilmek için aşağıdaki yetkilendirilmiş üçüncü taraf hizmet sağlayıcılarını kullanmaktadır. Veri paylaşımı yalnızca ilgili amaç için gerekli olan veri ile sınırlıdır.
| Sağlayıcı | Amaç | Lokasyon |
|---|---|---|
| Supabase | Veritabanı, kimlik doğrulama, depolama | AB (Frankfurt) |
| Vercel | Sunucu, içerik dağıtım ağı (CDN) | Küresel |
| Iyzico | Abonelik tahsilatı, kart işlemleri | Türkiye |
| Resend | E-posta bildirimi (sözleşmesel) | AB |
| Netgsm | SMS bildirimi (sözleşmesel) | Türkiye |
| Cloudflare | DNS, alan adı yönlendirme, bot koruma (Turnstile), e-posta yönlendirme | Küresel |
| Microsoft PhotoDNA | Yalnızca çocuk istismarı materyali tespiti için görsel parmak izi (hash) karşılaştırması | ABD |
| Plausible (opsiyonel) | Anonim ziyaret istatistiği — çerez kullanmaz, IP anonimleştirilir | AB |
Mağaza sahibi WhatsApp Business üzerinden iletişim kurduğu anda WhatsApp'ın kendi gizlilik politikası ve ev sahibi şirketin (Meta Platforms Ireland Limited) veri işleme kuralları uygulanır. Dukonim WhatsApp mesaj içeriklerine erişmez.
7. Yurt dışına veri aktarımı
Bazı hizmet sağlayıcıları (Vercel, Cloudflare, Microsoft PhotoDNA) sunucularını yurt dışında çalıştırmaktadır. KVKK'nın 2024 yılında yenilenen 9. maddesi kapsamında veri aktarımı, taraflar arasında imzalanan Standart Sözleşmeler veya KVK Kurulu tarafından onaylı taahhütnameler üzerinden gerçekleşir. İlgili sağlayıcıların Avrupa Komisyonu yeterlilik kararları ve veri koruma standartları (GDPR uyumu) ek güvence sağlar.
Mağaza sahibi, Dukonim'e kayıt olarak veri aktarımının bu yöntemle gerçekleşmesini kabul etmiş sayılır. Yurt dışı aktarımına itiraz hakkı saklıdır — bu durumda bazı özellikler kullanılamayabilir.
8. Saklama süreleri
| Veri kategorisi | Saklama süresi |
|---|---|
| Hesap ve mağaza içeriği | Hesap aktif olduğu süre + abonelik sonu/silme sonrası 30 gün |
| Faturalandırma ve mali kayıtlar | 10 yıl (213 sayılı Vergi Usul Kanunu) |
| İşlem güvenliği kayıtları (audit log) | 5 yıl |
| Kullanıcı raporları | Raporun çözüme bağlanmasından itibaren 2 yıl |
| Çocuk güvenliği tespit kayıtları | Yasal yükümlülük süresi boyunca (yetkili makam yönlendirmesi) |
| Veri silme talep kayıtları | Talep tamamlanma tarihinden itibaren 3 yıl (KVKK denetim amaçlı) |
Süre sonunda veriler anonimleştirilir veya geri dönüşsüz olarak silinir.
9. Otomatik içerik moderasyonu ve karar verme
Dukonim, hizmet kalitesi ve içerik güvenliği için bazı otomatik sistemler kullanır. Bu durum açıkça bildirilmek üzere aşağıda özetlenmiştir.
- Yasaklı kelime filtresi: Mağaza adı, açıklama, ürün adı/açıklamasında belirlenmiş ifadeler için otomatik tarama. Eşleşme durumunda ürün/mağaza otomatik olarak görünmez hale getirilir ve insan inceleme kuyruğuna düşer.
- Çocuk güvenliği tespiti (PhotoDNA): Yüklenen görseller Microsoft PhotoDNA hizmetinde bilinen çocuk istismarı materyali veritabanı ile karşılaştırılır. Pozitif tespit durumunda görsel reddedilir, hesap askıya alınır ve yetkili makamlara bildirim yapılır (aşağıdaki madde 10).
- Çoklu rapor otomasyonu: 24 saat içinde 3 ve üzeri rapor alan içerik otomatik olarak görünmez hale getirilir ve insan incelemesine alınır.
- Anomali tespiti: Kısa sürede çok sayıda ürün eklenmesi, tekrarlı yasaklı kelime denemeleri gibi anormal davranışlar otomatik tespit edilir ve admin tarafından incelenir.
- Ödeme/abonelik durumu otomasyonu: Başarısız tahsilat sonrasında belirlenen takvime göre (gün 0/1/3/7/14) hatırlatma gönderilir; sürenin sonunda mağaza geçici olarak yayından kaldırılabilir veya abonelik iptal edilebilir.
Önemli: Yukarıdaki otomasyonların hiçbiri tek başına kalıcı yaptırım uygulamaz. PhotoDNA pozitif tespiti hariç, tüm otomatik kararlar insan incelemesine açıktır. Mağaza sahibi otomatik karara karşı destek@dukonim.com üzerinden itiraz edebilir.
10. Çocuk güvenliği — yasal yükümlülük
Çocuk istismarı materyali (Child Sexual Abuse Material – CSAM) tespiti durumunda Dukonim, 5237 sayılı Türk Ceza Kanunu'nun 226. maddesi kapsamında derhal Cumhuriyet Savcılığı'na ve yetkili uluslararası organizasyonlara (örn. NCMEC) bildirim yapmakla yükümlüdür. Bu işlem KVKK madde 5/2-ç “kanunun açıkça öngördüğü hal” kapsamında olup ayrıca açık rıza alınmasını gerektirmez.
Microsoft PhotoDNA hizmeti yalnızca görsellerin matematiksel parmak izi (perceptual hash) karşılaştırması yapar; görsel içerik paylaşılmaz.
11. Veri ihlali bildirimi
Dukonim, kişisel verilerin yetkisiz erişim, ifşa, değişiklik veya imhasına yol açan bir güvenlik ihlali tespit ederse KVKK madde 12/5 uyarınca:
- İhlali öğrendiği tarihten itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapılır.
- Etkilenen mağaza sahiplerine durumun mahiyeti, etkileri ve alınan tedbirler hakkında uygün en kısa sürede e-posta yoluyla bilgi verilir.
- İhlalin tekrarını önlemek için teknik ve idari tedbirler güncellenir.
12. KVKK madde 11 — haklarınız
Veri sahibi olarak KVKK'nın 11. maddesi kapsamında şu haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- İşleme amacını ve amaca uygün kullanılıp kullanılmadığını öğrenme
- Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
- Eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme
- KVKK madde 7'de öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme
- Düzeltme, silme veya yok etme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme
- Otomatik sistemlerle analiz edilmesi suretiyle aleyhinize bir sonuç ortaya çıkmasına itiraz etme
- Kanuna aykırı işlenme sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme
13. Başvuru yöntemi
Yukarıdaki hakları kullanmak için destek@dukonim.comadresine yazılı talebinizi iletebilirsiniz. Talebinizde kimlik bilgilerinizi, kullandığınız hesap e-postasını ve talep konunuzu açıkça belirtmeniz işlemi hızlandırır. Veri silme talepleri için ayrıca veri silme talep formu kullanılabilir.
Başvurular Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında 30 gün içinde sonuçlandırılır. Hukuken silinemeyen veriler (örn. fatura kayıtları) için durum gerekçeli olarak bildirilir.
14. Yürürlük ve güncellemeler
Bu aydınlatma metni Dukonim'in hizmet kapsamında değişiklik olduğunda güncellenir. Güncel sürüm her zaman bu sayfada yayınlanır ve “son güncelleme” tarihi sayfa başında yer alır. Önemli değişiklikler kayıtlı e-posta adresinize bildirilir.