Ana içeriğe geç
Muhasip

KVKK Aydınlatma Metni

Son güncelleme: 2026-04-28

1. Veri Sorumlusu

Muhasip ("Platform"), 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında veri sorumlusu sıfatıyla, kullanıcı bilgilerini aşağıda açıklanan amaçlarla işler.

2. İşlenen Kişisel Veriler

  • Kimlik bilgileri: Ad, soyad
  • İletişim bilgileri: E-posta, telefon, adres
  • Hesap bilgileri: Şifre (hash'li), oturum tokenları
  • Vakıf operasyon verileri: Sponsor/öğrenci kayıtları, ödeme geçmişi
  • İşlem güvenliği: IP adresi, tarayıcı bilgisi ve denetim kayıtları

3. İşleme Amaçları

  • Hizmetin sunulması ve sözleşmesel yükümlülüklerin yerine getirilmesi
  • Kurum yönetimi (sponsor-öğrenci takibi, ödeme kayıtları)
  • Faturalandırma ve mali işlemler
  • Yasal yükümlülüklerin yerine getirilmesi
  • Hizmet kalitesinin iyileştirilmesi (anonim analitik)

4. İşlemenin Hukuki Sebebi

  • KVKK madde 5/2/c — Sözleşmenin kurulması ve ifası
  • KVKK madde 5/2/ç — Veri sorumlusunun hukuki yükümlülüğü
  • KVKK madde 5/2/f — Meşru menfaat
  • Açık rıza (pazarlama amaçlı iletişim için)

5. Veri Aktarımı

Verileriniz, hizmetin sağlanması için aşağıdaki tedarikçilerle paylaşılabilir:

  • Supabase (veritabanı + kimlik doğrulama, AB sunucuları)
  • Vercel (web hosting, küresel CDN)
  • iyzico (ödeme işlemcisi, yalnız kart bilgileri — biz görmeyiz)
  • Resend / SendGrid (e-posta gönderimi)

5.1. Kurum Verilerinin Ayrı Tutulması ve Yetkili Erişim

STK 360 Anonim Şirketi tarafından işletilen Muhasip, çoklu kurum mimarisiyle çalışır. Her kurumun sponsor, öğrenci, bağışçı, kasa, cari, makbuz, belge, rapor ve ayar kayıtları ayrı kurum kimliği altında tutulur. Sistem, teknik seviyede kurum kapsamı ve yetki kontrolleri uygular; kullanıcılar yalnızca bağlı oldukları kurum ve rol kapsamında veriye erişebilir.

Destek erişimi gerektiğinde, destek ekibinin kurum paneline erişimi kurum yetkilisinin açık iznine ve süreli destek oturumuna bağlıdır. Bu erişim; arıza giderme, veri tutarlılığı kontrolü, kullanıcı yönlendirmesi ve destek talebi çözümü amaçlarıyla sınırlıdır. Süper yönetici erişimi platform güvenliği, lisans, faturalandırma, kötüye kullanım önleme ve sistem sürekliliği amacıyla ayrıca yetkilendirilmiş personel tarafından kullanılabilir.

5.2. Özel Nitelikli Veri ve Hassas Alanlar

Vakıf, dernek ve eğitim kurumlarının operasyonlarında sağlık notu, ihtiyaç sahipliği bilgisi, öğrenci/veli bilgisi, bağış tercihleri veya mali durum açıklamaları gibi hassas alanlar oluşabilir. Platform bu alanların girilmesini zorunlu kılmaz; kurum yöneticileri yalnızca gerekli, ölçülü ve mevzuata uygun bilgileri sisteme girmelidir. Açık rıza gerektiren süreçlerde rıza metni ve kayıt zamanı kurum tarafından ayrıca saklanmalıdır.

5.3. Denetim, Log ve Güvenlik Kayıtları

Muhasip; oturum açma, yetki değişikliği, kayıt oluşturma, düzenleme, silme, dışa aktarma, makbuz/fatura işlemleri ve destek oturumları gibi olayları denetim kayıtlarında saklayabilir. Bu kayıtlar güvenlik, uyuşmazlık çözümü, kötüye kullanım tespiti, yasal yükümlülük ve hizmet kalitesini artırma amaçlarıyla işlenir. Denetim kayıtlarında gereksiz kişisel veri tutulmaması için teknik maskeleme ve asgari veri ilkesi uygulanır.

6. Saklama Süreleri

  • Aktif hesaplar: hesap kapanana kadar
  • Kapatılan hesaplar: 30 gün geri alma penceresi, sonra silme
  • Mali kayıtlar: TTK madde 82 — 10 yıl
  • Denetim kayıtları: 1 yıl

6.1. Silme, Anonimleştirme ve Dışa Aktarım

Kullanıcı hesabının kapatılması veya veri silme talebi halinde, yasal saklama zorunluluğu bulunan mali ve resmi kayıtlar mevzuattaki süreler boyunca korunabilir. Bunun dışındaki kişisel veriler makul teknik süre içinde silinir, anonimleştirilir veya kurum operasyonunun gerektirdiği ölçüde ayrıştırılır. Kurum yöneticileri, KVKK kapsamındaki talepleri değerlendirirken yasal saklama yükümlülükleri ile veri sahibinin haklarını birlikte dikkate almalıdır.

Veri dışa aktarımı talep edildiğinde, sistem yalnızca yetkili kullanıcının erişebildiği kurum verisini üretir. Dışa aktarma işlemleri denetim kaydına alınır ve başka kurum verilerinin rapora karışmaması için kurum kapsamı kontrolleri uygulanır.

7. Haklarınız

KVKK madde 11 kapsamında aşağıdaki haklara sahipsiniz:

  • Verilerinizin işlenip işlenmediğini öğrenme
  • İşlenmişse bilgi talep etme
  • İşleme amacını ve uygun kullanılıp kullanılmadığını öğrenme
  • Yurt içi/dışı aktarılan üçüncü kişileri bilme
  • Eksik/yanlış işlenmişse düzeltilmesini isteme
  • Silinmesini veya yok edilmesini isteme
  • Otomatik analiz aleyhine itiraz etme
  • Zarara uğramışsanız tazminat isteme

8. İletişim

Haklarınızı kullanmak için: kvkk@muhasip.de

9. Başvuru Usulü ve Kimlik Doğrulama

STK 360 Anonim tarafından işletilen Muhasip platformunda KVKK başvuruları, başvuruyu yapan kişinin kimliğinin makul yöntemlerle doğrulanmasından sonra işleme alınır. Başvuru sahibinden yalnızca talebin sonuçlandırılması için gerekli bilgiler istenir; ek bilgi talebi, başvurunun güvenli şekilde yanıtlanması amacıyla sınırlı tutulur. Kurum adına yapılan başvurularda temsil yetkisini gösteren belge talep edilebilir.

10. Teknik ve İdari Tedbirler

Kişisel veriler çok kiracılı mimaride kurum bazlı ayrıştırılır. Veritabanı erişimi RLS politikaları, uygulama seviyesinde organization_id kapsamı, rol tabanlı yetkilendirme, denetim kayıtları, oturum zaman aşımı, güvenli çerezler ve yedekleme süreçleriyle korunur. Hassas işlemlerde destek erişimi ayrıca izin ve kayıt mekanizmasına bağlanır. Hizmet sağlayıcılarla yapılan veri işleme ilişkilerinde gizlilik ve güvenlik yükümlülükleri sözleşme altına alınır.

11. Özel Nitelikli Veriler

Platformun standart kullanımı özel nitelikli kişisel veri toplamayı amaçlamaz. Kurumların açıklama/not alanlarına sağlık, dini kanaat, biyometrik veri veya benzeri özel nitelikli veri girmemesi esastır. Zorunlu bir yardım veya eğitim sürecinde özel nitelikli veri işlenmesi gerekiyorsa açık rıza, saklama süresi, erişim yetkisi ve silme prosedürü kurum tarafından ayrıca belirlenmelidir.

12. Veri Minimizasyonu ve Silme

Muhasip, hizmetin amacıyla bağlantılı olmayan verilerin toplanmamasını hedefler. Kurum yöneticileri, sponsor, öğrenci, personel, makbuz ve muhasebe kayıtlarında gereksiz serbest metin kullanımından kaçınmalıdır. Yasal saklama yükümlülüğü bulunmayan veriler, hesap kapatma, kurum talebi veya veri sahibinin geçerli silme talebi üzerine güvenli şekilde silinir ya da anonim hale getirilir.

Not: Bu metin örnek niteliğindedir, hukuk danışmanı tarafından nihai versiyona dönüştürülmelidir.

İşlem yapılıyor...