EVRAKTAN — KVKK AYDINLATMA METNİ (md.10)
v1 TASLAK — AVUKAT ONAYI BEKLİYOR
Sürüm: v1.0.0-draft · Tarih: 2026-05-24
1. VERİ SORUMLUSUNUN KİMLİĞİ
6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") md.10 uyarınca veri sorumlusu sıfatıyla işlem yapan tüzel kişi aşağıdadır:
- Unvan: HANTECH GROUP TEKNOLOJİ TİCARET LİMİTED ŞİRKETİ
- Adres: Söğütözü Mah. 2182 Sk. No:6B İç Kapı No:4 Çankaya/Ankara
- MERSİS No: 0457150465500001
- VERBİS Sicil No: VERBİS sicil bilgisi uygulanabilirlik değerlendirmesine göre güncellenecektir
- KEP: KEP adresi oluşturulunca güncellenecektir
- E-posta: kvkk@evraktan.com
- Web: https://evraktan.com
İşbu metin; Platform'u ziyaret eden, kayıt olan, kullanan, demo talep eden, blog/yardım merkezi içeriklerini görüntüleyen tüm gerçek kişi veri sahiplerine hitap eder.
Veri Sorumlusu — Veri İşleyen Ayrımı:
EVRAKTAN; kendi kullanıcı verisi (kayıt, fatura, destek yazışmaları, çerez, pazarlama izinleri) bakımından veri sorumlusu, müşterinin (ABONE) yüklediği mükellef belgelerinde bulunan kişisel veriler bakımından ise veri işleyen sıfatıyla hareket eder. İşbu Aydınlatma Metni, EVRAKTAN'ın veri sorumlusu olduğu işlemleri kapsar.
2. İŞLENEN KİŞİSEL VERİ KATEGORİLERİ
| Kategori | Örnek Veriler |
|---|---|
| Kimlik | Ad, soyad, unvan, T.C. kimlik no (yalnızca fatura/sözleşme zorunluluğunda), MERSİS no |
| İletişim | E-posta, telefon, KEP, şirket adresi |
| Müşteri İşlem | Hesap kayıt tarihi, oturum geçmişi, abonelik bilgileri, satın alma geçmişi, fatura |
| Finans | Fatura kayıtları, ödeme yöntemi (kart bilgisi değil; kart bilgisi 3. taraf ödeme entegratöründe tokenize edilir), banka IBAN (gerektiğinde) |
| İşlem Güvenliği | Kullanıcı adı, şifre özeti (hash), MFA kodları (geçici), IP adresi, tarayıcı bilgisi, oturum çerezleri, denetim (audit) logları |
| Pazarlama | E-posta açma/tıklama davranışı, çerez bazlı kullanım analitiği (yalnızca onay verilmişse) |
| Hukuki İşlem | Sözleşme, açık rıza beyanları, KVKK başvurusu yazışmaları |
| Müşteri Destek Yazışmaları | E-posta, chat, çağrı kayıt notları (çağrı kaydı yapılmaz) |
Özel nitelikli kişisel veri (sağlık, biyometrik, dini inanç vb.) işlenmez. Müşterinin yüklediği belgelerde özel nitelikli veri bulunması halinde, bu veriler veri işleyen sıfatıyla işlenir ve DPA hükümlerine tabidir.
3. İŞLEME AMAÇLARI
Kişisel verileriniz aşağıdaki amaçlarla işlenir (KVKK md.5/2 ve md.6/3 hukuki sebepleri):
- Sözleşme ifası — Hesap oluşturma, abonelik yönetimi, fatura kesimi, teknik destek
- Kanuni yükümlülük — VUK md.253 (5 yıl defter/fatura saklama), TTK, BTK, KVKK
- Meşru menfaat — Dolandırıcılık önleme, sistem güvenliği, audit log tutma, hizmet iyileştirme
- Açık rıza — Pazarlama amaçlı e-posta/SMS, çerez bazlı analitik (zorunlu olmayanlar)
- Talep ve şikayetlerin değerlendirilmesi
- İstatistiksel analiz (anonimleştirilmiş)
4. KİŞİSEL VERİLERİN AKTARIMI
4.1. Yurt İçi Aktarım
| Alıcı | Amaç | Hukuki Sebep |
|---|---|---|
| Yetkili kamu kurumları (GİB, KVKK Kurulu, Mahkemeler) | Kanuni talep | KVKK md.5/2-a, md.8/2-a |
| Bankalar / Ödeme kuruluşları (örn. İyzico, PayTR) | Ödeme tahsilatı | Sözleşme ifası |
| E-fatura entegratörü | Fatura kesimi | Sözleşme + VUK |
| SMS / e-posta servis sağlayıcısı (yurt içi kısım) | İşlemsel bildirim | Sözleşme ifası |
| Bağımsız denetim kuruluşları | Mali denetim | Kanuni yükümlülük |
4.2. Yurt Dışı Aktarım
EVRAKTAN; teknik altyapı sağlayıcılarını yurt dışı bulut hizmetlerinden alır. Bu nedenle aşağıdaki aktarımlar gerçekleşir:
| Alıcı | Konum | Hizmet | Aktarımın Hukuki Sebebi |
|---|---|---|---|
| Vercel Inc. | ABD | Web uygulama hosting (edge + serverless) | KVKK md.9/2 — açık rıza ve/veya taahhütname (Veri Sorumlusu — İşleyen sözleşmesi) |
| Supabase Inc. | AB (Frankfurt) | Veritabanı (PostgreSQL), Auth, Storage | KVKK md.9 — yeterli korumayı haiz ülke (AB) |
| OpenAI, LLC | ABD | AI dil modeli (belge analizi, soru-yanıt) | KVKK md.9/2 — açık rıza + sözleşmeye dayalı |
| Google Cloud (GCP) | AB (Belçika, Hollanda) | OCR / Document AI | KVKK md.9 — AB |
| Anthropic, PBC | ABD | AI dil modeli alternatifi | KVKK md.9/2 — açık rıza + sözleşmeye dayalı |
| Resend | ABD | İşlemsel e-posta | KVKK md.9/2 |
| Upstash | AB (Frankfurt) / küresel edge | Önbellek (Redis), rate-limit | KVKK md.9 |
| Sentry | ABD | Hata izleme (uygulama logları) | KVKK md.9/2 — meşru menfaat |
| Cloudflare | Küresel | CDN, DDoS koruma | KVKK md.9 |
Tüm yurt dışı aktarımlar TLS 1.3 ile şifrelidir; veriler depolanırken AES-256 ile şifrelenir. Aktarım yapılan ülke yeterli korumaya sahip değilse, KVKK md.9/2-b kapsamında yazılı taahhütname ve/veya açık rıza alınır. AB içinde yapılan aktarımlar GDPR çerçevesinde "uygun güvenceler" altındadır (SCC).
5. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMİ
- Platform üzerindeki kayıt, demo, iletişim formları
- Çerezler ve benzeri teknolojiler (yalnızca onay verilen kategoriler)
- Müşteri destek kanalları (e-posta, chat)
- API entegrasyonları (müşterinin kendi sisteminden Platform'a aktarım)
- Üçüncü taraf entegratörler (ödeme, e-fatura, KEP)
Toplama; otomatik (API/web formu) veya kısmen otomatik (manuel kayıt) yöntemlerle yapılır.
6. SAKLAMA SÜRESİ
| Veri Türü | Saklama Süresi | Hukuki Dayanak |
|---|---|---|
| Fatura, defter ve buna ilişkin belgeler | 5 yıl | VUK md.253 |
| Sözleşme ve ticari yazışma | 10 yıl | TBK md.146 |
| Üyelik / kullanıcı hesabı verisi | Üyelik aktif olduğu sürece + 3 yıl (zamanaşımı) | TBK + meşru menfaat |
| Audit log / güvenlik logları | 2 yıl | 5651 sk. + meşru menfaat |
| Pazarlama izni ve iletim kanıtı | Onay süresi + 3 yıl | ETKK + ispat yükümlülüğü |
| Destek yazışmaları | 3 yıl | Meşru menfaat |
| Çerez | Çerez türüne göre 24 saat – 12 ay | Onay tabanlı |
Saklama süresi dolduğunda veriler anonimleştirilir veya kalıcı olarak silinir (KVKK md.7).
7. VERİ SAHİBİNİN HAKLARI (KVKK md.11)
Veri sahibi olarak aşağıdaki haklara sahipsiniz:
- Kişisel verinizin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- İşleme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
- Eksik veya yanlış işlenmesi halinde düzeltilmesini isteme
- KVKK md.7'de öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme
- (5) ve (6) bentleri uyarınca yapılan işlemlerin, aktarıldığı üçüncü kişilere bildirilmesini isteme
- Münhasıran otomatik sistemlerle analiz edilmek suretiyle aleyhinize bir sonuç ortaya çıkmasına itiraz etme
- Kanuna aykırı işlenme nedeniyle zarara uğramanız halinde tazminat talep etme
8. BAŞVURU YÖNTEMİ
KVKK md.13 uyarınca haklarınızı kullanmak için "Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ"e uygun olarak aşağıdaki kanallardan başvurabilirsiniz:
| Kanal | Adres |
|---|---|
| KEP | KEP adresi oluşturulunca güncellenecektir |
| E-posta (kayıtlı/güvenli) | kvkk@evraktan.com |
| Yazılı (noter / iadeli taahhütlü posta) | Söğütözü Mah. 2182 Sk. No:6B İç Kapı No:4 Çankaya/Ankara |
| Online Form | https://evraktan.com/kvkk/basvuru |
Başvuruda aşağıdakiler bulunmalıdır:
- Ad-soyad, T.C. kimlik no (Türk vatandaşları), pasaport no (yabancılar)
- Tebligat adresi, telefon, e-posta
- Talep konusu
- Kimliği doğrulayan resmi belge örneği
Başvuru, en geç 30 gün içinde ücretsiz olarak sonuçlandırılır. Talebin niteliği işlem maliyeti gerektiriyorsa, KVKK Kurulu'nun belirlediği tarife üzerinden ücret talep edilebilir.
9. ÇEREZ POLİTİKASI
EVRAKTAN; Platform'da zorunlu, performans/analitik ve pazarlama kategorilerinde çerezler kullanır. Detaylı bilgi ve onay/red yönetimi için Çerez Politikası sayfasını inceleyebilirsiniz.
- Zorunlu çerezler: Oturum yönetimi, güvenlik (onay gerekmez — meşru menfaat)
- Analitik çerezler: Kullanım istatistikleri (onaya tabidir)
- Pazarlama çerezleri: Hedefli içerik / yeniden pazarlama (açık rıza şarttır)
10. DEĞİŞİKLİKLER
EVRAKTAN; işbu Aydınlatma Metni'ni mevzuata ve hizmet kapsamına bağlı olarak güncelleyebilir. Esaslı değişiklikler en az 15 gün önceden veri sahiplerine elektronik posta ile bildirilir; güncel sürüm her zaman https://evraktan.com/kvkk adresinde yayımlanır.
Son güncelleme: 2026-05-24 — v1.0.0-draft
Bu doküman v1 TASLAK statüsündedir ve şirket avukatınca onaylanmadan bağlayıcı değildir.