Bu aydınlatma metni, Snapmenu dijital QR menü platformunun üyelik, restoran yönetim paneli, public menü, AI çeviri, QR kod, analitik, çerez ve üçüncü taraf servis mimarisi dikkate alınarak hazırlanmıştır.
6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel verileriniz, aşağıda kimlik bilgileri bulunan veri sorumlusu tarafından, ilgili mevzuata ve işbu aydınlatma metninde açıklanan amaçlara uygun şekilde işlenmektedir.
Snapmenu; restoran, kafe, otel ve benzeri işletmelerin QR kod ile erişilebilen dijital menüler oluşturmasını sağlayan bir platformdur. Platform; kayıt ve giriş ekranları, Supabase tabanlı kimlik doğrulama, restoran dashboard alanı, kategori/ürün yönetimi, görsel yükleme, public menü sayfası, AI çeviri aracı, QR kod üretim bağlantıları ve analitik/performans ölçüm bileşenlerinden oluşur.
Bu metin; işletme hesabı açan kullanıcıları, dashboard yetkililerini, public menü ziyaretçilerini ve veri sorumlusuna başvuru yapan ilgili kişileri kapsar. Public menü sayfaları hesap oluşturmadan ziyaret edilebilir; dashboard kullanımı ise üyelik ve kimlik doğrulama gerektirir.
Platform mimarisi ve mevcut kod akışları dikkate alındığında aşağıdaki veri kategorileri işlenmektedir. Her kategori, hizmetin gerçek işleyişindeki toplama noktasıyla birlikte gösterilmiştir.
Veriler: Kullanıcı ID bilgisi, kullanıcı adı, e-posta adresi, rol bilgisi, hesap onay durumu, abonelik planı, plan bitiş tarihi ve hesap oluşturma/güncelleme kayıtları.
Kaynak: Kayıt formu, giriş ekranı, Supabase Auth, profiles tablosu ve yönetici paneli üzerinden toplanır.
Veriler: Şifre doğrulama verileri, oturum tokenları, erişim/yenileme kayıtları, admin işlem logları, hedef kullanıcı ID bilgisi, işlem türü, işlem açıklaması, tarih-saat ve teknik güvenlik kayıtları.
Kaynak: Supabase Auth, tarayıcı oturum depolaması, admin dashboard işlemleri, hosting ve servis sağlayıcı teknik logları üzerinden oluşur.
Veriler: Restoran adı, slug, restoran açıklaması, logo, konsept/slogan alanları, telefon numarası, adres/konum bilgisi, çalışma saatleri, aktiflik ve onay bilgileri.
Kaynak: Restoran dashboard profil formları ve yönetici onay/plan yönetimi ekranları üzerinden kullanıcı tarafından girilir.
Veriler: Kategori adları, ürün adları, ürün açıklamaları, fiyatlar, para birimi, stok durumu, etiketler, ürün görselleri, restoran logosu, görsel public URL bilgileri, sıralama ve çeviri alanları.
Kaynak: Kategori/ürün yönetimi, görsel yükleme alanları, Supabase Storage ve public menü yayınlama akışı üzerinden işlenir.
Veriler: Ziyaret edilen public menü URL bilgisi, tarayıcı dili, cihaz/tarayıcı türü, referrer, yaklaşık konum, IP adresi, kullanıcı ajanı, dil tercihi, menü dil önerisi cookie bilgisi ve yerel depolama tercihleri.
Kaynak: Public menü sayfaları, Vercel Analytics, Google Fonts/Maps teknik istekleri, QR kod servis istekleri, navigator.language, cookie ve localStorage üzerinden oluşur.
Veriler: Çeviri talebine konu kategori adları, ürün adları, ürün açıklamaları, ürün etiketleri, hedef dil kodları ve çeviri çıktıları.
Kaynak: Dashboard AI Çeviri sekmesi, /api/translate endpoint akışı ve Google Gemini API entegrasyonu üzerinden işlenir.
Veriler: Kullanıcının destek kanallarına ilettiği e-posta, talep, şikayet, hata bildirimi, abonelik/plan talebi ve başvuru içerikleri.
Kaynak: E-posta bağlantıları, destek iletişimi ve veri sorumlusunun kullanacağı başvuru kanalları üzerinden toplanır.
Veriler: Kullanıcı ID bilgisi, e-posta, onay türü, kabul/ret bilgisi, onay metni, onay versiyonu, IP adresi, user-agent bilgisi, kanal bilgisi ve kayıt zamanı.
Kaynak: Kayıt ekranındaki kullanım koşulları/gizlilik/KVKK kabulü ve ticari elektronik ileti onayı, /api/consent endpoint akışı ve consent_logs tablosu üzerinden kaydedilir.
Kişisel verileriniz; elektronik ortamda, otomatik veya kısmen otomatik yollarla, doğrudan kullanıcı tarafından girilen bilgilerden ve platform kullanımı sırasında oluşan teknik kayıtlardan elde edilir.
Kişisel verileriniz; KVKK m.5 ve gerektiğinde m.6 hükümleri kapsamında, aşağıdaki amaç ve hukuki sebeplerle işlenmektedir. Açık rıza gerektiren süreçler, hizmetin zorunlu işleyişinden ayrı şekilde ele alınır.
KVKK m.5/2(c) sözleşmenin kurulması veya ifası; m.5/2(f) meşru menfaat.
KVKK m.5/2(c) hizmetin ifası; kullanıcı tarafından yayına alınan alanlar için kullanıcının yayınlama talimatı.
KVKK m.5/2(c) sözleşmenin ifası; m.5/2(e) bir hakkın tesisi, kullanılması veya korunması.
KVKK m.5/2(f) meşru menfaat; gerekli hallerde m.5/2(ç) hukuki yükümlülük.
KVKK m.5/2(c) talep edilen hizmetin ifası; yurt dışı aktarım varsa KVKK m.9 kapsamında yeterlilik kararı veya uygun güvence, özellikle standart sözleşme/bağlayıcı şirket kuralları/taahhütname mekanizmaları.
KVKK m.5/2(f) meşru menfaat; zorunlu olmayan pazarlama/profilleme çerezleri eklenirse açık rıza.
KVKK m.5/2(ç) hukuki yükümlülük; m.5/2(e) bir hakkın tesisi, kullanılması veya korunması.
KVKK m.5/1 açık rıza ve 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun kapsamında ticari ileti onayı.
KVKK m.5/2(e) bir hakkın tesisi, kullanılması veya korunması; ticari ileti için açık rıza.
Kişisel verileriniz; hizmetin kurulması, sunulması, güvenliği, sürekliliği, dosya saklama, kimlik doğrulama, AI çeviri, analitik ölçüm, QR kod üretimi ve hukuki yükümlülüklerin yerine getirilmesi amaçlarıyla sınırlı olarak aşağıdaki alıcı gruplarına aktarılabilir.
Aktarılan veri: Auth hesap verileri, kullanıcı profili, restoran ve menü kayıtları, görseller, public storage URL bilgileri, oturum ve teknik güvenlik kayıtları.
Amaç: Kimlik doğrulama, veritabanı hizmeti, dosya depolama, API erişimi, yedekleme, güvenlik ve hizmet sürekliliği.
Aktarım niteliği: Proje bölgesi ve alt işleyen yapısına bağlı olarak yurt dışı aktarım söz konusu olabilir. Supabase tarafından yayımlanan DPA/SCC mekanizması dikkate alınır; KVKK m.9 bakımından Kurum standart sözleşmesi veya diğer uygun güvence şartlarının fiilen imzalanıp bildirilmesi ayrıca operasyonel kontrol konusudur.
Aktarılan veri: Sayfa görüntüleme, URL bilgisi, referrer, yaklaşık coğrafi bilgi, cihaz, işletim sistemi, tarayıcı ve teknik istek verileri.
Amaç: Site performansının ölçülmesi, trafik analizinin yapılması, güvenlik ve hizmet sürekliliği.
Aktarım niteliği: Küresel altyapı sebebiyle yurt dışı aktarım ihtimali bulunur. Vercel DPA/SCC hükümleri, kullanılan plan ve sözleşme koşulları kapsamında değerlendirilir; KVKK m.9 için uygun güvence dokümantasyonunun fiilen tamamlanıp tamamlanmadığı ayrıca kontrol edilir.
Aktarılan veri: Google Fonts için IP/teknik istek verileri; Google Gemini API için çevrilecek menü metinleri ve hedef dil kodları; Google Maps yönlendirmesinde adres/konum sorgusu.
Amaç: Font dosyalarının sunulması, AI çeviri hizmetinin sağlanması ve ziyaretçinin harita uygulamasına yönlendirilmesi.
Aktarım niteliği: Yurt dışı aktarım niteliğindedir. Google Cloud/Gemini sözleşme koşullarındaki veri işleme eki ve SCC hükümleri dikkate alınır; KVKK m.9 kapsamında ayrıca uygun güvence değerlendirmesi yapılır.
Aktarılan veri: QR kod üretimi sırasında public menü URL bilgisi, IP adresi, referrer, user-agent, işletim sistemi/tarayıcı bilgisi ve istek zamanı gibi teknik veriler.
Amaç: Public menü URL bilgisi için QR kod görselinin oluşturulması ve indirilmesi.
Aktarım niteliği: AB merkezli üçüncü taraf servis üzerinden yurt dışı aktarım niteliğindedir. Bu servis kritik altyapı olarak zorunlu değilse, uzun vadede QR kod üretiminin kendi sunucu tarafı altyapısına taşınması aktarım yüzeyini azaltan daha temiz bir çözüm olarak değerlendirilir.
Aktarılan veri: Talep veya uyuşmazlığın kapsamıyla sınırlı hesap, işlem, iletişim, log, restoran ve menü verileri.
Amaç: Hukuki yükümlülüklerin yerine getirilmesi, resmi taleplerin karşılanması ve hakların korunması.
Aktarım niteliği: Talebin niteliğine göre yurt içi veya mevzuatın öngördüğü sınırlı aktarım.
Aydınlatma metni ile açık rıza beyanı ayrı hukuki işlemlerdir. Aşağıdaki rızalar, kayıt veya ilgili özellik kullanımında ayrı onay kutuları ile alınmalı; onay tarihi, saat, kanal, metin versiyonu ve ispat kayıtları tutulmalıdır.
Kişisel veriler, aşağıdaki saklama süreleri ve ölçütleri dikkate alınarak muhafaza edilir. Süre sonunda veriler silinir, yok edilir veya anonim hale getirilir; devam eden hukuki yükümlülük, resmi talep ya da uyuşmazlık bulunması halinde yalnızca ilgili dosya ile sınırlı kayıt ayrıştırılarak saklanabilir.
Süre/ölçüt: Hesap aktif olduğu sürece; hesabın kapanması veya hizmet ilişkisinin sona ermesinden sonra uyuşmazlık ve ispat riskleri için en fazla 10 yıl.
Not: E-posta, kullanıcı adı, rol, onay durumu, plan bilgisi ve Supabase Auth kayıtları bu kapsamdadır.
Süre/ölçüt: Restoran hesabı aktif olduğu ve içerik public menüde yayımlandığı sürece; kullanıcı silme talebi veya hesabın kapanması sonrasında canlı sistemden makul teknik süre içinde, yedeklerden ise en geç 180 gün içinde.
Not: Mevzuat veya uyuşmazlık sebebiyle saklanması gereken kayıtlar ayrıca ayrılabilir.
Süre/ölçüt: Kayıt tarihinden itibaren kural olarak 2 yıl; güvenlik olayı, kötüye kullanım veya hukuki uyuşmazlık bulunması halinde ilgili dosya kapanana ve genel zamanaşımı süresi dolana kadar, en fazla 10 yıl.
Not: Yetki değişiklikleri, plan atamaları ve denetim amaçlı işlem kayıtları bu kapsamdadır.
Süre/ölçüt: Hesap aktif olduğu sürece ve sonrasında ispat yükümlülüğü için en fazla 10 yıl; ticari elektronik ileti onay kayıtları onayın geçerliliğinin sona erdiği tarihten, diğer ticari ileti kayıtları kayıt tarihinden itibaren 3 yıl.
Not: consent_logs tablosundaki metin versiyonu, IP, user-agent, kanal ve kabul/ret kayıtları bu kapsamdadır.
Süre/ölçüt: Talebin kapanmasından itibaren 3 yıl; hukuki uyuşmazlık veya resmi başvuru varsa ilgili süreç ve zamanaşımı süresi boyunca, en fazla 10 yıl.
Not: KVKK başvuruları ve destek yazışmaları bu kapsamdadır.
Süre/ölçüt: Çeviri çıktısı menü içeriği olarak kaydedildiyse ilgili menü kaydı silinene kadar; API sağlayıcısı tarafındaki geçici işlem kayıtları sağlayıcının veri işleme koşullarına tabidir.
Not: Çeviri alanlarına gereksiz kişisel veri veya özel nitelikli veri girilmemelidir.
Süre/ölçüt: lang_prompted cookie için 30 gün; localStorage tercihleri kullanıcı tarayıcıdan silene kadar; Vercel Analytics kayıtları sağlayıcı saklama politikası uyarınca toplulaştırılmış olarak.
Not: Davranışsal reklam çerezi tespit edilmemiştir.
Tarayıcıda tutulan dil, tema, oturum ve çerez/localStorage kayıtları kullanıcı tarafından tarayıcı ayarlarından silinebilir. Mevzuat gereği saklanması gereken kayıtlar, zorunlu saklama süresi dolmadan tamamen silinmeyebilir.
Veri sorumlusu; yetkisiz erişimin önlenmesi, hesap güvenliği, rol bazlı erişim, veritabanı ve dosya güvenliği, admin işlem logları, erişim denetimi ve tedarikçi güvenliği için makul teknik ve idari tedbirleri uygular. Kullanıcı, güçlü şifre kullanmak ve hesabını üçüncü kişilerle paylaşmamakla yükümlüdür.
Platformda zorunlu oturum saklama, dil tercihi, tema/renk tercihi, teknik istek ve toplulaştırılmış analitik ölçüm amaçlı çerez veya çerez benzeri teknolojiler kullanılabilir. Kod incelemesinde davranışsal reklam veya üçüncü taraf pazarlama çerezi tespit edilmemiştir.
KVKK kapsamındaki aşağıdaki haklara sahipsiniz. Taleplerinizi ahmetmithat025@gmail.com e-posta adresi üzerinden veri sorumlusu Ahmet Mithat Kotan'a iletebilirsiniz. Başvurular, talebin niteliğine göre en geç 30 gün içinde sonuçlandırılır.
Başvuru kanalı şu aşamada e-posta olarak belirlenmiştir. Veri sorumlusu, ihtiyaç halinde posta, elden başvuru veya noter gibi ek başvuru kanallarını ayrıca duyurabilir.
