KVKK Aydınlatma Metni

Son güncelleme: 7 Mayıs 2026

1. Veri Sorumlusu

6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında veri sorumlusu sıfatıyla, Zero Core Studio LLC ("ZipOrder", "biz") tarafından kişisel verileriniz aşağıda açıklandığı şekilde işlenmektedir.

2. İşlenen Kişisel Verileriniz

Kimlik ve iletişim verileri: e-posta adresi, dil tercihi, opsiyonel olarak girdiğiniz işletme adı.
Müşteri/işlem verileri: yüklediğiniz dosyalar üzerinden çıkarılan ürünler, oluşturduğunuz siparişler, kataloglar, sipariş paylaşım bağlantıları ve bunların görüntülenme sayıları.
Üçüncü kişilere ilişkin veriler: yayınladığınız kataloglarda paylaştığınız iletişim bilgileri ve müşterilerinizin sipariş formuna girdiği isim, iletişim ve (müşteri tercih ederse) opsiyonel teslimat adresi (yalnızca tedarikçi olarak size iletilmesi amacıyla işlenir). Adres alanı zorunlu değildir; müşteri bunu boş bırakıp teslimatı WhatsApp üzerinden ayarlayabilir.
Teknik veriler: hata kayıtları, IP adresi, oturum belirteçleri, AI işlem maliyet/token bilgileri.

3. Kişisel Verilerin İşlenme Amaçları

Hizmetin sunulması, sürdürülmesi ve geliştirilmesi.
İşlemsel e-postaların gönderilmesi (giriş bağlantısı, yeni sipariş bildirimi, veri dışa aktarımı talebi).
Sözleşmenin ifası ve hesap güvenliğinin sağlanması.
Kötüye kullanımın ve sahteciliğin önlenmesi (oran sınırlama).
Yasal yükümlülüklerin yerine getirilmesi.

4. İşlemenin Hukuki Sebebi

Kişisel verileriniz KVKK m. 5 ve m. 6 uyarınca; (i) sözleşmenin kurulması veya ifası için zorunlu olması, (ii) hukuki yükümlülüklerimizin yerine getirilebilmesi, (iii) bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, (iv) temel hak ve özgürlüklerinize zarar vermemek kaydıyla meşru menfaatlerimiz için veri işlemenin zorunlu olması ve (v) gerektiği hallerde açık rızanızla işlenmektedir.

5. Aktarılan Taraflar ve Aktarım Amacı

Kişisel verileriniz, aşağıda sayılan teknik altyapı sağlayıcılarına, yalnızca hizmetin sunulabilmesi amacıyla ve gerektiği ölçüde aktarılmaktadır:

Supabase (AB / İrlanda) — kimlik doğrulama, e-posta dağıtımı
Railway (AB) — uygulama barındırma, veritabanı, önbellek
Cloudflare R2 (AB yargı yetkisi) — geçici dosya depolama
Google AI Studio (Gemini API) — AI ile veri çıkarımı
Resend — işlemsel e-posta dağıtımı
Expo (650 Industries) — mobil cihazlara push bildirim dağıtımı
RevenueCat — abonelik makbuzları ve App Store / Play Store ile veritabanımız arasındaki durum senkronizasyonu
Sentry (Functional Software, Inc.) — hata izleme; kişisel veriler iletilmeden önce maskelenir
Google (Firebase Analytics + Google Analytics 4) — anonim ürün analitiği, yalnızca açık kullanıcı onayından sonra
Iyzico (iyzi Ödeme ve Elektronik Para Hiz. A.Ş.) — yalnızca tedarikçi açıkça etkinleştirirse kart ödemesi yürütülür. Kart bilgileri (kart numarası, CVV) ZipOrder'a ulaşmaz; doğrudan Iyzico'nun barındırdığı ödeme sayfasında işlenir. ZipOrder yalnızca sipariş tutarı, para birimi ve ödeme durumu olaylarını saklar.
Stripe (Stripe Payments Europe Ltd.) — yalnızca tedarikçi açıkça etkinleştirirse uluslararası kart ödemesi yürütülür (yurt dışı müşteriler için). Kart bilgileri ZipOrder'a ulaşmaz; Stripe'ın PCI-DSS Level 1 sertifikalı ödeme sayfasında işlenir. ZipOrder yalnızca sipariş tutarı, para birimi ve ödeme durumu olaylarını saklar.

Tam liste — her tedarikçinin veri kapsamı, bölgesi ve sözleşmesi — Alt İşleyiciler sayfamızda yer almaktadır.

Yurt dışına aktarımlar, KVKK m. 9 uyarınca açık rıza veya yeterli koruma sağlayan ülkelere aktarım hükümlerine dayanılarak gerçekleştirilmektedir.

6. Saklama Süreleri

Kaynak dosyalar (yüklediğiniz katalog görselleri, PDF/Excel): yüklemeden sonra azami 72 saat içinde otomatik olarak silinir.
Müşteri kişisel verileri (sipariş bazında) — ad, e-posta, telefon, teslimat adresi, konum koordinatları: siparişten 30 gün sonra otomatik olarak anonimleştirilir; sipariş kaydı (ürün, tutar, durum) anonim biçimde saklanmaya devam eder.
Sipariş/katalog paylaşım bağlantıları: 30 gün sonra otomatik olarak süresi dolar; süresi dolan bağlantılar 404 döner.
Pasifleştirilmiş kataloglar: abonelik bittikten 30 gün sonra yumuşak silinir (link kaybolur), 120 gün sonra tamamen silinir.
Telefon doğrulama bilgileri: doğrulanan E.164 numarası hesap aktif olduğu sürece saklanır; tek kullanımlık OTP kodları Twilio tarafında 10 dakika içinde sona erer ve bizim veritabanımızda hiç saklanmaz.
Oturum açma kayıtları (SignInLog): KVKK denetim izi gereği 13 ay saklanır; sonrasında otomatik olarak silinir.
Şikayet (abuse report) kayıtları + idari işlem (AdminAction) kayıtları: yasal denetim ve hesap geri kazanım amacıyla süresiz saklanır. Hesap silinse bile bu kayıtlar referans olarak korunur (KVKK m. 10 / 13).
Hesap verileri: hesabınız aktif olduğu sürece. Hesap silindiğinde (KVKK m. 7) tüm veriler kalıcı olarak silinir veya anonimleştirilir; SignInLog / AdminAction kayıtları yukarıdaki istisna kapsamında saklanır.

7. KVKK Madde 11 Kapsamındaki Haklarınız

İlgili kişi olarak şu haklara sahipsiniz:

Kişisel verilerinizin işlenip işlenmediğini öğrenme
İşlenmişse buna ilişkin bilgi talep etme
İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme
Eksik veya yanlış işlenmesi halinde düzeltilmesini isteme
KVKK m. 7'de öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme
Düzeltme ve silme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
Otomatik sistemlerle yapılan analizler sonucu aleyhinize çıkan sonuca itiraz etme
Kanuna aykırı işleme nedeniyle zarara uğramanız halinde zararın giderilmesini talep etme

8. Başvuru Yöntemi

KVKK m. 11 kapsamındaki taleplerinizi legal@ziporder.io adresine elektronik posta ile veya yazılı olarak iletebilirsiniz. Talebiniz en geç 30 gün içinde ücretsiz olarak sonuçlandırılır. Cevaplanmaması halinde Kişisel Verileri Koruma Kurulu'na şikayette bulunma hakkınız saklıdır.

Bu metin, KVKK m. 10 ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında hazırlanmıştır.