KVKK Aydınlatma Metni
Work&Meal kullanıcıları ve web sitesi ziyaretçileri için kişisel verilerin işlenmesine ilişkin aydınlatma metni.
1. Veri sorumlusu
Veri sorumlusu POİEX TEKNOLOJİ LİMİTED ŞİRKETİ’dir. İletişim bilgileri Şirket Bilgileri sayfasında yer alır.
Çalışan verisi için veri sorumlusu kimdir?
Work&Meal’i kullanan şirket çalışanlarının kişisel verileri bakımından da bağımsız veri sorumlusu POİEX’tir; çalıştığınız şirket (işveren) değildir. POİEX, çalışan verilerinin işlenme amaçlarını ve vasıtalarını KVKK Madde 3 kapsamında kendi adına belirler. İşvereniniz Work&Meal üzerinden ayrı bir hizmet ilişkisi yürütür ve yalnızca kendi süreçleri için kendi veri sorumlusu sıfatıyla hareket eder. Çalışan verilerine ilişkin KVKK Madde 11 talepleri doğrudan POİEX’e iletilir; başvuru kanalı 6. bölümde yer alır.
2. Kişi grupları ve veri kategorileri
| Kişi grubu | Başlıca veri kategorileri |
|---|---|
| Web sitesi ziyaretçisi | Dil tercihi, çerez tercihi, sayfa kullanımı, cihaz ve tarayıcı bilgileri, iletişim veya demo talebi içeriği. |
| Şirket admini | Ad, telefon, rol, şirket, çalışan daveti, toplu sipariş, resmi unvan, VKN, vergi dairesi, fatura adresi, fatura kanıt bağlantısı, mutabakat/tahsilat referansı, fatura ve destek kayıtları. |
| Çalışan | Ad, telefon, şirket üyeliği, yemek seçimi, iptal, puan, geri bildirim (yemek değerlendirmesine eklenen, yemek firmasıyla paylaşılan isteğe bağlı serbest metin notu dâhil) ve uygulama içi görüş/öneriler (gönderildiği ekran, uygulama sürümü ve arayüz dili bilgisiyle). |
| Yemek hizmeti satıcısı yetkilisi | Ad, telefon, yemek hizmeti satıcısı organizasyonu, menü, teslimat, mutfak, resmi unvan, VKN, vergi dairesi, fatura adresi, hakediş TR IBAN'ı, gıda işletme kayıt numarası ve doğrulama durumu, satıcının doğrulama belgeleri (vergi levhası ve gıda işletme kayıt belgesi; özel depolamada tutulur, şirketlere açılmaz), fatura kanıt bağlantısı, mutabakat/tahsilat/hakediş referansı ve fatura kayıtları. |
| Başvuru ve destek kişisi | E-posta adresi, varsa ad, telefon, organizasyon, mesaj içeriği, KVKK talebi, doğrulama ve yanıt kayıtları. |
3. İşleme amaçları
- Kullanıcı hesabı oluşturmak, OTP ile giriş sağlamak ve oturumu güvenli tutmak.
- Günlük yemek seçimi, headcount, teslimat, iptal ve toplu sipariş süreçlerini yürütmek.
- Yemek hizmeti satıcısı ve şirket tarafındaki operasyonu, kalite ölçümünü ve destek taleplerini yönetmek; uygulama hakkında gönderilen görüş ve önerileri ürünü iyileştirmek için değerlendirmek.
- Fatura, muhasebe, tahsilat, satıcı hakediş ödemesi, uyuşmazlık ve yasal kayıt yükümlülüklerini yerine getirmek.
- Yemek hizmeti satıcısının gıda işletme kaydını (GGBS) ve vergi mükellefiyetini (GİB) aktif link, menü ataması ve hakediş öncesinde doğrulamak.
- Görsel içerikleri yüklemek ve sunmak, veritabanı yedekleriyle hizmet sürekliliğini sağlamak.
- Hata izleme, güvenlik, performans teşhisi, cron izleme ve yalnızca onay verilirse web analitiği yapmak.
4. Toplama yöntemi ve hukuki sebep
Veriler web sitesi, uygulama, OTP/SMS akışı, şirket/satıcı admin işlemleri, görsel yükleme akışı, destek yazışmaları, KVKK başvuruları, iş e-postası ve sistem kayıtları aracılığıyla elektronik ortamda toplanır. İşleme faaliyetleri; sözleşmenin kurulması veya ifası, sözleşme öncesi taleplerin yanıtlanması, hukuki yükümlülük, hizmet güvenliği ve müşteri desteği için meşru menfaat ve zorunlu olmayan çerezler için açık rıza sebeplerine dayanır.
| Faaliyet | Başlıca veriler | Hukuki sebep | Alıcı grupları |
|---|---|---|---|
| Web sitesi ve çerez tercihleri | Dil tercihi, çerez tercihi, sayfa kullanımı, cihaz ve tarayıcı bilgileri. | Zorunlu çerezler için hizmetin çalışması ve meşru menfaat; Microsoft Clarity için açık rıza. | Cloudflare, Microsoft Clarity. |
| Kimlik doğrulama ve oturum | Telefon numarası, OTP denemeleri, refresh oturumu, güvenlik kayıtları. | Sözleşmenin kurulması veya ifası ve hesap güvenliği için meşru menfaat. | Hetzner, Cloudflare, Vatansms, Sentry. |
| Yemek operasyonu ve geri bildirim | Ad, telefon, organizasyon, rol, yemek seçimi, toplu adet, teslim günü, puan, yorum ve uygulama içi görüş/öneriler. | Sözleşmenin ifası ve hizmet kalitesi için meşru menfaat. | Şirket adminleri (kendi şirketlerinin tüm operasyon verisi); yemek hizmeti satıcıları (kişi sayısı, menü atamaları, toplu sipariş, teslimat lokasyonu ve — çalışanın teslimat etiketinde kendi yemeğini bulabilmesi için — asgari ad bilgisi: yalnızca ön ad, aynı teslimatta aynı ön adı taşıyan kişileri ayırt etmek gerektiğinde soyadın ayırt etmeye yetecek en kısa kısmı (çoğu durumda tek harf). Tam soyad, telefon ve e-posta paylaşılmaz); Hetzner, Cloudflare, Sentry. Uygulama içi görüş/öneriler şirket adminlerine veya yemek hizmeti satıcılarına açılmaz; yalnızca POİEX iç operasyon ekibine iletilir (bildirim e-postası Google Workspace üzerinden; gerekirse dönüş yapılabilmesi için gönderenin adı ve telefon numarasıyla birlikte). |
| Görsel yükleme | Avatar, organizasyon logosu, yemek görseli, yükleyen kullanıcı, dosya türü ve boyutu. | Sözleşmenin ifası ve hizmetin işletilmesi için meşru menfaat. | Cloudflare R2, Hetzner, Cloudflare. |
| Fatura, tahsilat ve hakediş | Organizasyon, resmi unvan, VKN, vergi dairesi, fatura adresi, satıcı hakedişi için TR IBAN, fatura dönemi, teslimat kaydı ve sipariş toplamları. | Sözleşmenin ifası ve hukuki yükümlülük. | Bağlı yemek hizmeti satıcısı (yalnızca yemek faturasını düzenlemek için müşteri şirketin fatura kimliği: resmi unvan, VKN, vergi dairesi, fatura adresi); muhasebe ve hukuk danışmanları, yetkili kamu kurumları, Paraşüt (e-fatura/muhasebe), Hetzner, Cloudflare, Sentry. Aracılık faturası ve tahsilat POİEX üzerinden yürütülür. |
| Destek, KVKK başvuruları ve iş e-postası | E-posta adresi, varsa ad, telefon, organizasyon, mesaj içeriği, doğrulama ve yanıt kayıtları. | Sözleşme öncesi talep, sözleşmenin ifası, hukuki yükümlülük ve müşteri desteği için meşru menfaat. | Google Workspace, yetkili kamu kurumları, hukuk ve muhasebe danışmanları. |
| Yedekleme ve teşhis | Veritabanı kayıtları, cron ping zamanı ve durumu, request id, durum kodu, stack trace, yapılandırılmış loglar, maskelenmiş replay olayları. | Hizmet sürekliliği, güvenlik ve hata teşhisi için meşru menfaat; saklanması zorunlu kayıtlar için hukuki yükümlülük. | Cloudflare R2, Sentry, Healthchecks.io, Hetzner. |
5. Aktarım
Kişisel veriler, hizmetin yürütülmesi için şirket adminleri, yemek hizmeti satıcıları, barındırma ve güvenlik sağlayıcıları, nesne depolama ve yedekleme sağlayıcıları, iş e-postası sağlayıcısı, hata izleme, cron izleme, analitik, SMS, fatura, muhasebe, hukuk ve yetkili kamu kurumlarıyla sınırlı olarak paylaşılabilir. Başlıca teknik tedarikçiler Hetzner, Cloudflare, Cloudflare R2, Google Workspace, Sentry, Healthchecks.io, Microsoft Clarity, Vatansms ve Paraşüt’tür. Güncel tam liste için bkz. Tedarikçi Listesi. Bu tedarikçilerin Vatansms ve Paraşüt dışındakiler Türkiye dışında bulunduğundan yurt dışı aktarım gerçekleşmektedir; Vatansms ve Paraşüt Türkiye yerleşiktir. KVKK Madde 9 kapsamındaki güvence mekanizmaları (Kurul’un uygun bulduğu ülke veya sektör kararı, Standart Sözleşme — imzayı izleyen 5 iş günü içinde Kurul’a bildirim — taahhütname veya bağlayıcı şirket kuralları) ilgili tedarikçiler bazında halen tamamlanma aşamasındadır. Yemek hizmeti satıcılarına yalnızca operasyon için gereken alt küme veri aktarılır: günlük kişi sayısı, menü atamaları, toplu sipariş kalemleri, teslimat lokasyonu ve teslimat etiketleri için çalışanın kendi yemeğini bulabilmesini sağlayan asgari ad bilgisi. Etikette kural olarak yalnızca ön ad gösterilir; aynı teslimatta aynı ön adı taşıyan kişileri ayırt etmek gerektiğinde ön ada soyadın yalnızca ayırt etmeye yetecek en kısa kısmı eklenir (çoğu durumda tek harf; veri minimizasyonu). Çalışanın tam soyadı, telefon numarası ve e-posta adresi yemek hizmeti satıcılarıyla paylaşılmaz. Teslimat etiketindeki karekod (QR), çalışanın ilgili öğünün bilgi sayfasına erişmesini sağlayan tahmin edilemez tekil bir bağlantı içerir. Bu sayfa oturum açma gerektirmeden yalnızca bağlantıya sahip olan kişilerce (ör. etiketi fiziksel olarak görenler) açılabilir; kişisel veri olarak etikette zaten yazılı olandan fazlasını göstermez (ön ad, o güne ait yemek seçimi, yemek hizmeti satıcısının adı, tarih ve teslim saati) ve ayrıca yemeklere ait beyan edilmiş gıda bilgilerini (açıklama, alerjen, beslenme etiketi, özel uyarı ve enerji değeri — kişisel veri değil, ürün bilgisi) gösterir. Aynı sayfa, teslimattan sonraki 24 saat boyunca öğünün bir defaya mahsus puanlanmasına imkân verir; fiyat, telefon veya başka iletişim bilgisi içermez. Toplu sipariş edilen öğünlerin kutu etiketlerindeki karekod da aynı şekilde çalışır; bu sayfa herhangi bir çalışan kimliği yerine yalnızca sipariş eden şirketin adını ve o günün yemeklerini gösterir ve oturum açmadan kutu başına bir defa puan vermeye imkân tanır. Toplu kutu puanı hiçbir kişiye bağlanmadığından kişisel veri içermez ve KVKK Madde 7 kapsamında silinecek bir kimlik bağı taşımaz. Doğrulaması tamamlanan yemek hizmeti satıcısının tanıtıcı bilgileri (ticaret unvanı ve VKN), 6563 sayılı Kanun ve E-Ticaret Yönetmeliği madde 5 kapsamında satıcı şeffaflık yükümlülüğü gereği pazaryerinde herkese açık olarak ve bağlı müşteri şirketlere uygulama içinde gösterilir; yemek hizmeti satıcısının gıda işletme kayıt numarası iç uyum verisi olarak kalır ve müşterilere açıklanmaz.
6. Saklama ve hesap silme
Saklama süreleri işleme amacına göre değişir; ayrıntılar için Gizlilik Politikası 6. maddesine bakınız. Hesabınızı uygulama içindeki “Hesabımı sil” akışı ile veya yazılı KVKK Madde 7 başvurunuzla silebilirsiniz.
Hesap silindiğinde adınız, telefon numaranız, profil görseliniz ve onay kayıtlarınızdaki kişisel veriler (IP adresi, cihaz bilgisi) silinir; aktif üyelikleriniz sonlandırılır ve süresi gelmemiş yemek seçimleriniz iptal edilir. Geçmiş yemek seçimleri, toplu siparişler, puanlamalar ve faturalandırmaya konu kayıtlar, kimlik bağlantısı koparılarak Vergi Usul Kanunu Madde 253 ve Türk Borçlar Kanunu Madde 146 uyarınca yasal saklama süresince anonim hâlde tutulur. Onay kayıtlarınızın varlığı ve tarihi denetim amacıyla saklanır; kişisel bilgileri silinir.
Yalnızca bir organizasyonun tek aktif yöneticisiyseniz, hesap silme talebiniz bu organizasyon için başka bir yönetici belirleyene kadar reddedilebilir. Bu, KVKK Madde 7 hakkınızın reddi değil; diğer kullanıcıların hizmete erişimini korumaya yönelik bir ön gerekliliktir.
7. KVKK madde 11 hakları
KVKK madde 11 kapsamındaki bilgi alma, düzeltme, silme/yok etme, aktarılan üçüncü kişilere bildirim, itiraz ve zarar giderimi taleplerinizi kvkk@worknmeal.com adresine iletebilirsiniz. Bilgi alma ve veri taşınabilirliği hakkınızı uygulama içinden “Verilerimi indir” akışıyla doğrudan kullanabilirsiniz.