Gizlilik Politikası

Son güncelleme: 16 Haziran 2026 Sürüm: 2026.06.17.1

Work&Meal kişisel verileri hangi amaçlarla işlediğini, kimlerle paylaştığını ve hangi güvenlik yaklaşımını izlediğini açıklar.

1. Veri sorumlusu

Work&Meal markası altında sunulan hizmetlerde veri sorumlusu POİEX TEKNOLOJİ LİMİTED ŞİRKETİ’dir. Şirket bilgileri ve iletişim kanalları Şirket Bilgileri sayfasında yer alır.

Çalışan verisi için veri sorumlusu kimdir?

Work&Meal’i kullanan şirket çalışanlarının kişisel verileri bakımından da bağımsız veri sorumlusu POİEX’tir; çalıştığınız şirket (işveren) değildir. POİEX, çalışan verilerinin işlenme amaçlarını ve vasıtalarını KVKK Madde 3 kapsamında kendi adına belirler. İşvereniniz Work&Meal üzerinden ayrı bir hizmet ilişkisi yürütür ve yalnızca kendi süreçleri için kendi veri sorumlusu sıfatıyla hareket eder. Çalışan verilerine ilişkin KVKK Madde 11 haklarınızı doğrudan POİEX’e karşı, kvkk@worknmeal.com adresinden kullanabilirsiniz.

2. İşlediğimiz başlıca veriler

  • Kimlik ve iletişim: ad, soyad, telefon numarası, e-posta, rol ve organizasyon bilgisi.
  • Hesap ve güvenlik: OTP giriş kayıtları, refresh oturumu, cihaz ve hata kayıtları.
  • Yemek operasyonu: menü seçimi, iptal, toplu adet, teslim günü, şirket ve yemek hizmeti satıcısı ilişkisi.
  • Geri bildirim: yemek puanı, yemek veya servis yorumu, isteğe bağlı serbest metin notu (yemek firmasıyla paylaşılır ve sizin geçmişinizde size geri gösterilir; şirket yöneticilerine gösterilmez; not metni sizi tanımlayabileceğinden bunu yazmadan önce bilgilendirilirsiniz), memnuniyet analitiği; uygulama içi geri bildirim formundan gönderilen görüş ve öneriler (gönderildiği ekran, uygulama sürümü ve arayüz dili bilgisiyle birlikte; gerekirse dönüş yapılabilmesi için adınız ve telefon numaranızla birlikte yalnızca POİEX iç ekibine iletilir).
  • Görsel içerik: kullanıcı avatarı, organizasyon logosu, yemek görseli, yükleyen kullanıcı ve dosya teknik bilgileri.
  • Fatura ve destek: resmi unvan, VKN, vergi dairesi, fatura adresi, satıcı hakedişi için TR IBAN, fatura dönemi, teslimat kaydı, fatura kanıt dosyası bağlantısı, mutabakat/tahsilat/hakediş referansları, destek talebi, KVKK başvuru içeriği ve yazışma kayıtları.
  • Yemek hizmeti satıcısı doğrulaması: gıda işletme kayıt numarası ve doğrulama durumu ile satıcının yüklediği iki doğrulama belgesi — vergi levhası ve gıda işletme kayıt belgesi (yemek hizmeti yetkisi ve vergi mükellefiyeti ön kontrolü için). Belgeler özel (private) nesne depolama alanında tutulur, yalnızca incelemeci tarafından kısa ömürlü bağlantılarla görülür; gıda işletme kayıt numarası gibi iç uyum verisidir ve şirketlere açılmaz.
  • Web kullanımı: dil tercihi, çerez tercihi ve yalnızca onay verilirse Clarity analitik kayıtları.
  • Yedek ve teşhis: veritabanı yedeklerinde yer alan hizmet kayıtları, cron izleme kayıtları, request id, durum kodu, maskelenmiş oturum kaydı olayları, yapılandırılmış hata ve performans kayıtları.

3. Amaçlar ve hukuki dayanak

Veriler; hesap açma, güvenli giriş, günlük yemek koordinasyonu, headcount, teslimat, faturalama, tahsilat, satıcı hakediş ödemesi, destek, hata izleme, hizmet kalitesi, görsel içerik sunumu, yedekleme, güvenlik ve yasal yükümlülükler için işlenir. Zorunlu çerezler hizmetin çalışması için kullanılır. Microsoft Clarity analitiği ve oturum kaydı gibi zorunlu olmayan çerezler yalnızca açık tercih verildiğinde çalıştırılır.

Genel hukuki dayanaklar; sözleşmenin kurulması veya ifası, sözleşme öncesi taleplerin yanıtlanması, hukuki yükümlülük, hizmet güvenliği ve müşteri desteği için meşru menfaat ve zorunlu olmayan analitik çerezler için açık rızadır.

Başlıca işlem grupları şu şekilde ayrılır: OTP ve oturum kayıtları hesap açma/güvenliği için sözleşme ve meşru menfaate; yemek seçimi, teslimat, headcount ve geri bildirim kayıtları hizmetin ifasına ve hizmet kalitesi meşru menfaatine; destek ve demo yazışmaları sözleşme öncesi talep, sözleşmenin ifası ve müşteri desteği meşru menfaatine; KVKK başvuru kayıtları hukuki yükümlülüğe; görsel yükleme, yedekleme ve hata teşhisi kayıtları hizmetin işletilmesi, güvenlik ve süreklilik meşru menfaatine dayanır.

4. Paylaşım ve tedarikçiler

Veriler, hizmetin çalışması için sınırlı olarak hosting, güvenlik, nesne depolama, veritabanı yedekleme, iş e-postası, hata izleme, cron izleme, SMS, analitik ve fatura/destek süreçlerinde kullanılan tedarikçilerle paylaşılabilir. Başlangıç kayıtlarımızda Hetzner, Cloudflare, Cloudflare R2, Google Workspace, Sentry, Healthchecks.io, Microsoft Clarity, Vatansms ve Paraşüt (e-fatura/muhasebe) yer alır. Güncel tam liste ve KVKK Madde 9 aktarım mekanizmaları için Tedarikçi Listesi sayfasına bakabilirsiniz. Şirket adminleri kendi şirketlerinin operasyon verilerine (kişi sayısı, çalışan seçimleri — her çalışanın o gün seçtiği yemekler dahil, fiyat hariç —, ad/telefon, fatura kayıtları) erişir. Yemek hizmeti satıcıları yalnızca üretim ve teslimat için gereken operasyon verisini görür: günlük kişi sayısı, menü atamaları, toplu sipariş kalemleri, teslimat lokasyonu ve çalışanın teslimat etiketinde kendi yemeğini bulabilmesini sağlayan asgari ad bilgisi. Etikette kural olarak yalnızca ön ad gösterilir; aynı teslimatta aynı ön adı taşıyan kişileri ayırt etmek gerektiğinde ön ada soyadın yalnızca ayırt etmeye yetecek en kısa kısmı eklenir (çoğu durumda tek harf; veri minimizasyonu). Çalışanın tam soyadı, telefon numarası ve e-posta adresi yemek hizmeti satıcılarıyla paylaşılmaz. Teslimat etiketindeki karekod (QR), çalışanın ilgili öğünün bilgi sayfasına erişmesini sağlayan tahmin edilemez tekil bir bağlantı içerir; sayfa oturum açma gerektirmeden yalnızca bağlantıya sahip olan kişilerce açılabilir, kişisel veri olarak etikette zaten yazılı olandan fazlasını göstermez (ön ad, o güne ait yemek seçimi, yemek hizmeti satıcısının adı, tarih ve teslim saati), ayrıca yemeklere ait beyan edilmiş gıda bilgilerini (açıklama, alerjen, beslenme etiketi, özel uyarı, enerji değeri — ürün bilgisi) gösterir ve teslimattan sonraki 24 saat boyunca öğünün bir defaya mahsus puanlanmasına imkân verir; fiyat, telefon veya başka iletişim bilgisi içermez. Toplu (toplu sipariş edilen) öğünlerin kutu etiketlerindeki karekod da aynı şekilde çalışır; bu sayfa herhangi bir çalışan kimliği yerine yalnızca sipariş eden şirketin adını ve o günün yemeklerini gösterir ve oturum açmadan kutu başına bir defa puan vermeye imkân tanır. Toplu kutu puanı hiçbir kişiye bağlanmadığından kişisel veri içermez ve silinecek bir kimlik bağı taşımaz. Yemek faturasını düzenleyebilmesi için, aktif olarak bağlı olduğu müşteri şirketin fatura kimliği (resmi unvan, VKN, vergi dairesi, fatura adresi) yemek hizmeti satıcısına açılır; aracılık faturası ve tahsilat POİEX üzerinden yürütülür. Doğrulaması tamamlanan yemek hizmeti satıcısının tanıtıcı bilgileri (ticaret unvanı ve VKN), 6563 sayılı Kanun ve E-Ticaret Yönetmeliği madde 5’teki satıcı şeffaflık yükümlülüğü gereği pazaryerinde herkese açık olarak ve bağlı müşteri şirketlere uygulama içinde gösterilir; yemek hizmeti satıcısının gıda işletme kayıt numarası iç uyum verisi olarak kalır ve müşterilere açıklanmaz.

5. Yurt dışına aktarım

Altyapı, depolama, iş e-postası, izleme ve analitik tedarikçilerimizin bir kısmı Türkiye dışında hizmet verir. Bu nedenle kişisel veriler başta Almanya, ABD ve Letonya olmak üzere ilgili tedarikçinin bulunduğu ülkeye aktarılır. KVKK Madde 9 kapsamındaki güvence mekanizmaları (Kurul’un uygun bulduğu ülke veya sektör kararı, Standart Sözleşme — imzayı izleyen 5 iş günü içinde Kurul’a bildirim — taahhütname veya bağlayıcı şirket kuralları) ilgili tedarikçiler bazında halen tamamlanma aşamasındadır. Mekanizmalar tamamlandıkça bu metin ve şirket kayıtları güncellenecektir.

6. Saklama

Saklama süreleri işleme amacına göre değişir: oturum çerezleri 7 gün, çerez tercihleri 6 ay, dil tercihi 1 yıl, hata/oturum teşhis kayıtları 90 gün, Clarity analitik verileri 13 ay, özel yedekler 30 günlük rotasyonla, cron izleme kayıtları hizmet hesabı aktif olduğu sürece ve sağlayıcı yedeklerinde 2 aya kadar, destek kayıtları ve uygulama içi görüş/öneriler aktif müşteri dönemi artı 2 yıl, fatura ve hukuki kayıtlar 10 yıl saklanır. Görsel içerikler değiştirilene, silinene veya hizmet ilişkisi için artık gerekli olmayana kadar tutulur. Bir uyuşmazlık, güvenlik olayı veya yasal yükümlülük varsa ilgili kayıtlar gerekli süre boyunca saklanabilir.

7. Hesap silme ve sonrasında saklanan veriler

Uygulamadaki “Hesabımı sil” akışı veya KVKK Madde 7 başvurunuz üzerine; adınız, telefon numaranız, profil görseliniz ve onay kayıtlarınızdaki teknik veriler (IP adresi, cihaz bilgisi) sistemden silinir, oturumlarınız sonlandırılır ve aktif üyelikleriniz kapatılır. Telefon numaranız aynı numarayla yeniden kayıt olmanızı engellemeyecek şekilde anonim bir değerle değiştirilir. Uygulama hakkında gönderdiğiniz serbest metin görüş ve öneriler, metin sizi tanımlayabileceği için anonimleştirilmez; hesap silme ile birlikte tamamen silinir.

Geçmiş yemek seçimleriniz, toplu siparişleriniz, puanlamalarınız ve faturalandırmaya konu kayıtlarınız, kimlik bağlantısı koparılarak — Vergi Usul Kanunu Madde 253 ve Türk Borçlar Kanunu Madde 146 uyarınca — yasal saklama süresince anonim hâlde tutulmaya devam eder. Bu kayıtlar geçmişe yönelik kişi bazlı görüntülerde “Anonim Kullanıcı” olarak görünür; toplam fatura, headcount ve kalite analitiği gibi toplu görüntülerde değişiklik olmaz. Onay kayıtlarınızın varlığı ve tarihi denetim amacıyla saklanmaya devam eder; kişisel bilgiler silinir.

Work&Meal’i şirketinizin sözleşmesi sona erdikten sonra da tek başınıza kullanmaya devam edebilir, hesabınızı istediğiniz zaman silebilir veya başka bir şirketle aynı telefonla yeniden katılabilirsiniz.

8. Haklarınız

KVKK kapsamındaki haklarınızı kullanmak veya gizlilik soruları için kvkk@worknmeal.com adresinden bize ulaşabilirsiniz.