Gizlilik Politikası
1. Giriş ve Veri Sorumlusu
İşbu Gizlilik Politikası, Evaste platformu ("Platform", "Biz", "Bizim") tarafından kişisel verilerin nasıl toplandığı, işlendiği, saklandığı, aktarıldığı ve korunduğunu açıklamaktadır.
Gizliliğiniz bizim için son derece önemlidir. Bir veri gizliliği ve rıza yönetimi platformu olarak, kişisel verilerin korunmasını en yüksek öncelik olarak kabul ediyoruz.
- Veri Sorumlusu: Evaste (Group Taiga bünyesinde)
- Adres: Levent, Istanbul, Turkey
- E-posta: privacy@evaste.co
- Web: https://evaste.co
- Telefon: +90 532 494 42 64
Avrupa Birliği'ndeki kullanıcılarımız için GDPR Madde 27 uyarınca atanmış veri koruma temsilcimiz: dpo@evaste.co
1.4. Kapsam
Bu Gizlilik Politikası aşağıdaki durumlarda geçerlidir:
- evaste.co web sitesini ziyaret ettiğinizde
- Platform'a kayıt olduğunuzda ve Hizmetlerimizi kullandığınızda
- Müşteri desteği ile iletişime geçtiğinizde
- Pazarlama iletişimlerimizi aldığınızda
Bu politika aşağıdaki mevzuata uygun olarak hazırlanmıştır:
- 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) - Türkiye
- Genel Veri Koruma Tüzüğü (GDPR) - Avrupa Birliği
- California Tüketici Gizliliği Yasası (CCPA) - ABD California
- 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun - Türkiye
2. İşlenen Kişisel Veri Kategorileri
2.1. Doğrudan Sağladığınız Veriler
| Veri Kategorisi | Veri Türleri |
|---|---|
| Kimlik Bilgileri | Ad, soyad, kullanıcı adı |
| İletişim Bilgileri | E-posta adresi, telefon numarası, adres |
| Hesap Bilgileri | Şifre (hash'lenmiş), hesap tercihleri |
| Ödeme Bilgileri | Fatura adresi, vergi numarası* |
| Şirket Bilgileri | Şirket adı, pozisyon, sektör |
| İletişim İçeriği | Destek talepleri, geri bildirimler |
* Kredi kartı bilgileri Evaste tarafından saklanmaz; güvenli ödeme sağlayıcımız (Stripe) tarafından işlenir.
2.2. Otomatik Toplanan Veriler
| Veri Kategorisi | Veri Türleri |
|---|---|
| Cihaz Bilgileri | IP adresi, tarayıcı türü, işletim sistemi |
| Kullanım Verileri | Sayfa görüntülemeleri, tıklamalar, oturum süresi |
| Konum Verileri | Ülke, şehir (IP tabanlı, yaklaşık) |
| Çerez Verileri | Oturum çerezleri, tercih çerezleri |
| Log Verileri | Erişim logları, hata logları, API çağrıları |
2.3. Üçüncü Taraflardan Elde Edilen Veriler
| Kaynak | Veri Türleri |
|---|---|
| Sosyal Giriş | Ad, e-posta, profil resmi (Google, LinkedIn) |
| Ödeme Sağlayıcıları | İşlem durumu, ödeme onayı |
| İş Ortakları | Referans bilgileri, kampanya verileri |
Evaste, KVKK Madde 6 ve GDPR Madde 9 kapsamındaki özel nitelikli kişisel verileri (irk, etnik köken, siyasi görüş, dini inanç, sağlık verileri, biyometrik veriler vb.) işlememektedir.
3. Veri İşleme Amaçları ve Hukuki Dayanaklar
| Amaç | KVKK Dayanağı | GDPR Dayanağı |
|---|---|---|
| Hizmet sunumu | Md. 5/2(c) | Md. 6/1(b) |
| Hesap oluşturma ve yönetimi | Md. 5/2(c) | Md. 6/1(b) |
| Ödeme işleme | Md. 5/2(c) | Md. 6/1(b) |
| Müşteri desteği | Md. 5/2(c) | Md. 6/1(b) |
| Hizmet iyileştirme | Md. 5/2(f) | Md. 6/1(f) |
| Güvenlik ve dolandırıcılık | Md. 5/2(f) | Md. 6/1(f) |
| Yasal yükümlülükler | Md. 5/2(c) | Md. 6/1(c) |
| Pazarlama (rıza ile) | Md. 5/1 | Md. 6/1(a) |
| Analitik ve istatistik | Md. 5/2(f) | Md. 6/1(f) |
Sözleşmenin İfası: Hizmetlerimizi sunmak ve sözleşmeden doğan yükümlülüklerimizi yerine getirmek için zorunlu olan veri işleme faaliyetleri.
Meşru Menfaat: Hizmetlerimizi iyileştirmek, güvenliği sağlamak ve iş operasyonlarımızı yürütmek için gerekli olan işleme faaliyetleri.
Yasal Yükümlülük: Vergi mevzuatı, ticaret hukuku ve diğer yasal düzenlemeler kapsamındaki yükümlülüklerimizi yerine getirmek için gerekli işleme faaliyetleri.
Açık Rıza: Pazarlama iletişimleri, çerez tercihleri ve diğer isteğe bağlı işleme faaliyetleri için alınan açık rızaya dayalı işleme.
4. Veri Saklama Süreleri
Kişisel verilerinizi işleme amacının gerektirdiği süre boyunca, sözleşmeden doğan yükümlülükler devam ettiği süreç ve yasal saklama süreleri boyunca saklamaktayız.
| Veri Kategorisi | Saklama Süresi |
|---|---|
| Hesap Bilgileri | Hesap aktif olduğu süreç + 3 yıl |
| İşlem Kayıtları | 10 yıl (Vergi mevzuatı) |
| Faturalar | 10 yıl (TTK) |
| Rıza Kayıtları | Rızanın geçerli olduğu süre + 5 yıl |
| Destek Kayıtları | 3 yıl |
| Log Verileri | 2 yıl |
| Analitik Veriler | 26 ay (anonimleştirilerek süresiz) |
| Pazarlama Tercihleri | Rıza geri çekilene kadar |
Hesabınızı kapattığınızda: Kişisel verileriniz 30 gün içinde silinir veya anonimleştirilir, yasal saklama yükümlülükleri kapsamındaki veriler ilgili süre sonuna kadar saklanır, yedeklerdeki veriler yedek rotasyonu çerçevesinde silinir (90 gün).
5. Veri Aktarımı ve Uluslararası Transfer
5.1. Yurtiçi Veri Aktarımı
| Alıcı Grubu | Aktarım Amacı |
|---|---|
| Grup Şirketleri | İş operasyonları, destek hizmetleri |
| Hizmet Sağlayıcıları | Teknik altyapı, ödeme işleme |
| Hukuk Danışmanları | Hukuki danışmanlık |
| Denetim Firmaları | Mali ve uyum denetimleri |
| Kamu Kurumları | Yasal yükümlülükler (mahkeme, vergi) |
5.2. Uluslararası Veri Transferi
Verileriniz, hizmetlerimizin sunulması için Avrupa Ekonomik Alanı (AEA) dışındaki ülkelere aktarılabilir. Bu durumda AB Komisyonu Yeterlilik Kararı, Standart Sözleşme Maddeleri (SCC), Bağlayıcı Şirket Kuralları (BCR) veya Açık Rıza mekanizmaları kullanılır.
Alt işverenlerimizin güncel listesi için: https://evaste.co/legal-center/sub-processors
6. Veri Güvenliği Tedbirleri
6.1. Teknik Tedbirler
- Şifreleme: Aktarım sırasında TLS 1.3, Depolama sırasında AES-256, Şifre saklama bcrypt/Argon2
- Erişim Kontrolü: Rol tabanlı erişim kontrolü (RBAC), Çok faktörlü kimlik doğrulama (MFA), En az yetki ilkesi
- Ağ Güvenliği: Güvenlik duvarı ve IDS/IPS, DDoS koruması, VPN ile uzaktan erişim
- Uygulama Güvenliği: Düzenli güvenlik taramaları, Penetrasyon testleri, Güvenli yazılım geliştirme yaşam döngüsü (SDLC)
6.2. Organizasyonel Tedbirler
- Gizlilik sözleşmeleri (tüm çalışanlar ve tedarikçiler)
- Düzenli güvenlik farkındalık eğitimleri
- Veri koruma etki değerlendirmeleri (DPIA)
- Olay müdahale planları
- İş sürekliliği ve felaket kurtarma planları
Evaste altyapısı ISO 27001 ve SOC 2 Type II standartlarına uyumludur.
6.4. Güvenlik İhlali Bildirimi: Kişisel veri ihlali tespit edilmesi halinde Kişisel Verileri Koruma Kurumu'na 72 saat içinde bildirim yapılır, yüksek risk durumunda ilgili kişilere derhal bildirilir.
7. Veri Sahibi Hakları
7.1. KVKK Kapsamındaki Haklarınız (Madde 11)
- Bilgi Edinme Hakkı: Kişisel verilerinizin işlenip işlenmediğini öğrenme hakkı
- Bilgi Talep Hakkı: İşlenmişse buna ilişkin bilgi talep etme hakkı
- İşleme Amacını Öğrenme: Kişisel verilerinizin işlenme amacını öğrenme hakkı
- Aktarım Bilgisi: Yurtiçi veya yurtdışında aktarıldığı üçüncü kişileri bilme hakkı
- Düzeltme Hakkı: Eksik veya yanlış işlenmişse düzeltilmesini isteme hakkı
- Silme/Yok Etme Hakkı: KVKK Madde 7 kapsamında silinmesini veya yok edilmesini isteme hakkı
- Otomatik İşleme İtiraz: Otomatik sistemler vasıtasıyla aleyhinize bir sonucun ortaya çıkmasına itiraz hakkı
- Zararın Giderilmesi: Kanuna aykırı işleme sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme hakkı
7.2. GDPR Kapsamındaki Ek Haklarınız
- Veri Taşınabilirliği Hakkı (Madde 20): Verilerinizi yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta alma hakkı
- İşlemenin Kısıtlanması Hakkı (Madde 18): Belirli koşullarda işlemenin kısıtlanmasını talep etme hakkı
- Denetim Otoritesine Şikayet Hakkı (Madde 77): İlgili veri koruma otoritesine şikayette bulunma hakkı
Haklarınızı kullanmak için: privacy@evaste.co adresine e-posta gönderebilir veya Platform üzerinden Hesap Ayarları > Gizlilik > Veri Talebi bölümünü kullanabilirsiniz.
Yanıt Süreleri: KVKK için 30 gün, GDPR için 1 ay (+2 ay karmaşık talepler için uzatılabilir)
8. Otomatik Karar Alma ve Profilleme
Evaste, tamamen otomatik işlemeye dayalı, hukuki sonuçlar doğuran veya sizi önemli ölçüde etkileyen kararlar almamaktadır (GDPR Madde 22).
Aşağıdaki amaçlarla sınırlı profilleme yapılmaktadır:
- Hizmet önerileri (kullanım kalıplarına göre)
- Güvenlik (anormal aktivite tespiti)
- Analitik (anonim kullanım istatistikleri)
Bu faaliyetler hukuki sonuçlar doğurmamakta ve size önemli ölçüde etki etmemektedir. Otomatik işleme dayalı kararlar alındığını düşünüyorsanız insan müdahalesi talep edebilir, görüşünüzü ifade edebilir veya karara itiraz edebilirsiniz.
9. Çocukların Gizliliği
Evaste hizmetleri 18 yaşının altındaki kişilere yönelik değildir. 16 yaşının altındaki kişilerden (GDPR) veya 13 yaşının altındaki kişilerden (COPPA) bilerek kişisel veri toplamayız.
18 yaşının altında bir kişiye ait veri topladığımızı fark edersek verileri derhal siler, hesabı kapatırız ve ebeveyn veya vasisine bildirimde bulunuruz.
Çocuğunuzun Evaste'ye veri sağladığını düşünüyorsanız, lütfen privacy@evaste.co adresine başvurun.
10. Üçüncü Taraf Bağlantıları
10.1. Harici Bağlantılar
Platform'umuz üçüncü taraf web sitelerine bağlantılar içerebilir. Bu bağlantılar yalnızca kolaylık sağlamak amacıyla sunulmaktadır.
10.2. Sorumluluk Reddi
Evaste:
- Üçüncü taraf sitelerinin gizlilik uygulamalarından sorumlu değildir
- Bu sitelerin içeriklerini kontrol etmemektedir
- Bu sitelerin güvenliğini garanti etmemektedir
Bu siteleri ziyaret etmeden önce ilgili gizlilik politikalarını incelemenizi öneririz.
10.3. Sosyal Medya Özellikleri
Platform'umuz sosyal medya butonları içerebilir (LinkedIn, Twitter vb.). Bu özellikler ilgili sosyal medya platformlarının gizlilik politikalarına tabidir.
11. California Tüketici Hakları (CCPA)
11.1. Kapsam
Bu bölüm, California eyaletinde ikamet eden tüketicilere ("California Tüketicileri") California Tüketici Gizliliği Yasası (CCPA) kapsamında tanınan ek hakları açıklamaktadır.
11.2. Toplanan Bilgi Kategorileri
Son 12 ayda topladığımız kişisel bilgi kategorileri:
| Kategori | Örnekler |
|---|---|
| Tanımlayıcılar | Ad, e-posta, IP adresi |
| Ticari Bilgiler | Satın alma geçmişi, abonelik bilgileri |
| Internet Aktivitesi | Tarama geçmişi, etkileşim verileri |
| Coğrafi Konum | IP tabanlı yaklaşık konum |
| Profesyonel Bilgiler | Şirket adı, pozisyon |
| Çıkarımlar | Tercih profilleri |
11.3. California Tüketici Hakları
- Bilgi Edinme Hakkı (Right to Know): Son 12 ayda toplanan, kullanılan, paylaşılan veya satılan kişisel bilgiler hakkında bilgi talep etme hakkı.
- Silme Hakkı (Right to Delete): Kişisel bilgilerinizin silinmesini talep etme hakkı (yasal istisnalar saklı kalmak kaydıyla).
- Satıştan Vazgeçme Hakkı (Right to Opt-Out): ÖNEMLİ: Evaste, kişisel bilgilerinizi CCPA tanımındaki anlamda "satmamaktadır".
- Ayrımcılık Yasağı (Right to Non-Discrimination): Gizlilik haklarınızı kullanmanız nedeniyle ayrımcılığa maruz kalmama hakkı.
11.4. Yetkili Temsilci
California'da ikamet ediyorsanız, haklarınızı kullanmak için yetkili bir temsilci atayabilirsiniz. Yetkili temsilcinin yazılı izin belgesi sunması, kimliğini doğrulaması ve sizin adınıza hareket etme yetkisini kanıtlaması gerekmektedir.
11.5. Başvuru Yontemi
California hakları için başvuru: E-posta: privacy@evaste.co, Konu: "CCPA Request - [Hak Türü]"
Yanıt süresi: 45 gün (karmaşık talepler için +45 gün uzatılabilir)
11.6. Doğrulama Süreci
Talebinizi işleme almadan önce kimliğinizi doğrulamamız gerekmektedir:
- Hesap sahibiyseniz: Hesap üzerinden giriş yaparak doğrulama
- Hesabınız yoksa: En az 2-3 veri noktası ile eşleştirme
11.7. "Kişisel Bilgilerimi Satmayın"
Evaste, CCPA tanımındaki "satış" faaliyeti yürütmemektedir. Ancak, tercihlerinizi yönetmek için: E-posta: privacy@evaste.co, Konu: "Do Not Sell My Personal Information"
12. Politika Değişiklikleri
12.1. Güncelleme Hakkı
Evaste, işbu Gizlilik Politikasını herhangi bir zamanda güncelleme hakkını saklı tutar. Değişiklikler:
- "Son Güncelleme" tarihi ile belirtilir
- Önemli değişiklikler e-posta ile bildirilir
- Platform üzerinde duyurulur
12.2. Önemli Değişiklikler
Aşağıdaki değişiklikler "önemli" kabul edilir:
- Toplanan veri kategorilerinde değişiklik
- Yeni işleme amaçları
- Yeni üçüncü taraf paylasimlar
- Haklarınızı etkileyen değişiklikler
12.3. Bildirim Süresi
Önemli değişiklikler yürürlük tarihinden en az 30 gün önce bildirilir.
12.4. Değişikliğin Kabulü
Bildirimden sonra Hizmetleri kullanmaya devam etmeniz, güncellenmiş politikayı kabul ettiğiniz anlamına gelir. Kabul etmiyorsanız, hesabınızı kapatabilirsiniz.
13. İletişim Bilgileri
Veri Sorumlusu: Evaste (Group Taiga)
- Adres: Levent, Istanbul, Turkey
- E-posta: privacy@evaste.co
- Web: https://evaste.co
- Telefon: +90 532 494 42 64
- Gizlilik Sorumlusu: dpo@evaste.co
Denetim Otoriteleri:
- Türkiye: Kişisel Verileri Koruma Kurumu (KVKK) - https://kvkk.gov.tr
- Avrupa Birliği: İlgili AB üye ülkesi veri koruma otoritesi
- California: California Attorney General - https://oag.ca.gov/privacy
İşbu Gizlilik Politikası 12 Ocak 2026 tarihinde yürürlüğe girmiştir.
Gizlilik Politikası
1. Giriş ve Veri Sorumlusu
İşbu Gizlilik Politikası, Evaste platformu ("Platform", "Biz", "Bizim") tarafından kişisel verilerin nasıl toplandığı, işlendiği, saklandığı, aktarıldığı ve korunduğunu açıklamaktadır.
Gizliliğiniz bizim için son derece önemlidir. Bir veri gizliliği ve rıza yönetimi platformu olarak, kişisel verilerin korunmasını en yüksek öncelik olarak kabul ediyoruz.
- Veri Sorumlusu: Evaste (Group Taiga bünyesinde)
- Adres: Levent, Istanbul, Turkey
- E-posta: privacy@evaste.co
- Web: https://evaste.co
- Telefon: +90 532 494 42 64
Avrupa Birliği'ndeki kullanıcılarımız için GDPR Madde 27 uyarınca atanmış veri koruma temsilcimiz: dpo@evaste.co
1.4. Kapsam
Bu Gizlilik Politikası aşağıdaki durumlarda geçerlidir:
- evaste.co web sitesini ziyaret ettiğinizde
- Platform'a kayıt olduğunuzda ve Hizmetlerimizi kullandığınızda
- Müşteri desteği ile iletişime geçtiğinizde
- Pazarlama iletişimlerimizi aldığınızda
Bu politika aşağıdaki mevzuata uygun olarak hazırlanmıştır:
- 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) - Türkiye
- Genel Veri Koruma Tüzüğü (GDPR) - Avrupa Birliği
- California Tüketici Gizliliği Yasası (CCPA) - ABD California
- 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun - Türkiye
2. İşlenen Kişisel Veri Kategorileri
2.1. Doğrudan Sağladığınız Veriler
| Veri Kategorisi | Veri Türleri |
|---|---|
| Kimlik Bilgileri | Ad, soyad, kullanıcı adı |
| İletişim Bilgileri | E-posta adresi, telefon numarası, adres |
| Hesap Bilgileri | Şifre (hash'lenmiş), hesap tercihleri |
| Ödeme Bilgileri | Fatura adresi, vergi numarası* |
| Şirket Bilgileri | Şirket adı, pozisyon, sektör |
| İletişim İçeriği | Destek talepleri, geri bildirimler |
* Kredi kartı bilgileri Evaste tarafından saklanmaz; güvenli ödeme sağlayıcımız (Stripe) tarafından işlenir.
2.2. Otomatik Toplanan Veriler
| Veri Kategorisi | Veri Türleri |
|---|---|
| Cihaz Bilgileri | IP adresi, tarayıcı türü, işletim sistemi |
| Kullanım Verileri | Sayfa görüntülemeleri, tıklamalar, oturum süresi |
| Konum Verileri | Ülke, şehir (IP tabanlı, yaklaşık) |
| Çerez Verileri | Oturum çerezleri, tercih çerezleri |
| Log Verileri | Erişim logları, hata logları, API çağrıları |
2.3. Üçüncü Taraflardan Elde Edilen Veriler
| Kaynak | Veri Türleri |
|---|---|
| Sosyal Giriş | Ad, e-posta, profil resmi (Google, LinkedIn) |
| Ödeme Sağlayıcıları | İşlem durumu, ödeme onayı |
| İş Ortakları | Referans bilgileri, kampanya verileri |
Evaste, KVKK Madde 6 ve GDPR Madde 9 kapsamındaki özel nitelikli kişisel verileri (irk, etnik köken, siyasi görüş, dini inanç, sağlık verileri, biyometrik veriler vb.) işlememektedir.
3. Veri İşleme Amaçları ve Hukuki Dayanaklar
| Amaç | KVKK Dayanağı | GDPR Dayanağı |
|---|---|---|
| Hizmet sunumu | Md. 5/2(c) | Md. 6/1(b) |
| Hesap oluşturma ve yönetimi | Md. 5/2(c) | Md. 6/1(b) |
| Ödeme işleme | Md. 5/2(c) | Md. 6/1(b) |
| Müşteri desteği | Md. 5/2(c) | Md. 6/1(b) |
| Hizmet iyileştirme | Md. 5/2(f) | Md. 6/1(f) |
| Güvenlik ve dolandırıcılık | Md. 5/2(f) | Md. 6/1(f) |
| Yasal yükümlülükler | Md. 5/2(c) | Md. 6/1(c) |
| Pazarlama (rıza ile) | Md. 5/1 | Md. 6/1(a) |
| Analitik ve istatistik | Md. 5/2(f) | Md. 6/1(f) |
Sözleşmenin İfası: Hizmetlerimizi sunmak ve sözleşmeden doğan yükümlülüklerimizi yerine getirmek için zorunlu olan veri işleme faaliyetleri.
Meşru Menfaat: Hizmetlerimizi iyileştirmek, güvenliği sağlamak ve iş operasyonlarımızı yürütmek için gerekli olan işleme faaliyetleri.
Yasal Yükümlülük: Vergi mevzuatı, ticaret hukuku ve diğer yasal düzenlemeler kapsamındaki yükümlülüklerimizi yerine getirmek için gerekli işleme faaliyetleri.
Açık Rıza: Pazarlama iletişimleri, çerez tercihleri ve diğer isteğe bağlı işleme faaliyetleri için alınan açık rızaya dayalı işleme.
4. Veri Saklama Süreleri
Kişisel verilerinizi işleme amacının gerektirdiği süre boyunca, sözleşmeden doğan yükümlülükler devam ettiği süreç ve yasal saklama süreleri boyunca saklamaktayız.
| Veri Kategorisi | Saklama Süresi |
|---|---|
| Hesap Bilgileri | Hesap aktif olduğu süreç + 3 yıl |
| İşlem Kayıtları | 10 yıl (Vergi mevzuatı) |
| Faturalar | 10 yıl (TTK) |
| Rıza Kayıtları | Rızanın geçerli olduğu süre + 5 yıl |
| Destek Kayıtları | 3 yıl |
| Log Verileri | 2 yıl |
| Analitik Veriler | 26 ay (anonimleştirilerek süresiz) |
| Pazarlama Tercihleri | Rıza geri çekilene kadar |
Hesabınızı kapattığınızda: Kişisel verileriniz 30 gün içinde silinir veya anonimleştirilir, yasal saklama yükümlülükleri kapsamındaki veriler ilgili süre sonuna kadar saklanır, yedeklerdeki veriler yedek rotasyonu çerçevesinde silinir (90 gün).
5. Veri Aktarımı ve Uluslararası Transfer
5.1. Yurtiçi Veri Aktarımı
| Alıcı Grubu | Aktarım Amacı |
|---|---|
| Grup Şirketleri | İş operasyonları, destek hizmetleri |
| Hizmet Sağlayıcıları | Teknik altyapı, ödeme işleme |
| Hukuk Danışmanları | Hukuki danışmanlık |
| Denetim Firmaları | Mali ve uyum denetimleri |
| Kamu Kurumları | Yasal yükümlülükler (mahkeme, vergi) |
5.2. Uluslararası Veri Transferi
Verileriniz, hizmetlerimizin sunulması için Avrupa Ekonomik Alanı (AEA) dışındaki ülkelere aktarılabilir. Bu durumda AB Komisyonu Yeterlilik Kararı, Standart Sözleşme Maddeleri (SCC), Bağlayıcı Şirket Kuralları (BCR) veya Açık Rıza mekanizmaları kullanılır.
Alt işverenlerimizin güncel listesi için: https://evaste.co/legal-center/sub-processors
6. Veri Güvenliği Tedbirleri
6.1. Teknik Tedbirler
- Şifreleme: Aktarım sırasında TLS 1.3, Depolama sırasında AES-256, Şifre saklama bcrypt/Argon2
- Erişim Kontrolü: Rol tabanlı erişim kontrolü (RBAC), Çok faktörlü kimlik doğrulama (MFA), En az yetki ilkesi
- Ağ Güvenliği: Güvenlik duvarı ve IDS/IPS, DDoS koruması, VPN ile uzaktan erişim
- Uygulama Güvenliği: Düzenli güvenlik taramaları, Penetrasyon testleri, Güvenli yazılım geliştirme yaşam döngüsü (SDLC)
6.2. Organizasyonel Tedbirler
- Gizlilik sözleşmeleri (tüm çalışanlar ve tedarikçiler)
- Düzenli güvenlik farkındalık eğitimleri
- Veri koruma etki değerlendirmeleri (DPIA)
- Olay müdahale planları
- İş sürekliliği ve felaket kurtarma planları
Evaste altyapısı ISO 27001 ve SOC 2 Type II standartlarına uyumludur.
6.4. Güvenlik İhlali Bildirimi: Kişisel veri ihlali tespit edilmesi halinde Kişisel Verileri Koruma Kurumu'na 72 saat içinde bildirim yapılır, yüksek risk durumunda ilgili kişilere derhal bildirilir.
7. Veri Sahibi Hakları
7.1. KVKK Kapsamındaki Haklarınız (Madde 11)
- Bilgi Edinme Hakkı: Kişisel verilerinizin işlenip işlenmediğini öğrenme hakkı
- Bilgi Talep Hakkı: İşlenmişse buna ilişkin bilgi talep etme hakkı
- İşleme Amacını Öğrenme: Kişisel verilerinizin işlenme amacını öğrenme hakkı
- Aktarım Bilgisi: Yurtiçi veya yurtdışında aktarıldığı üçüncü kişileri bilme hakkı
- Düzeltme Hakkı: Eksik veya yanlış işlenmişse düzeltilmesini isteme hakkı
- Silme/Yok Etme Hakkı: KVKK Madde 7 kapsamında silinmesini veya yok edilmesini isteme hakkı
- Otomatik İşleme İtiraz: Otomatik sistemler vasıtasıyla aleyhinize bir sonucun ortaya çıkmasına itiraz hakkı
- Zararın Giderilmesi: Kanuna aykırı işleme sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme hakkı
7.2. GDPR Kapsamındaki Ek Haklarınız
- Veri Taşınabilirliği Hakkı (Madde 20): Verilerinizi yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta alma hakkı
- İşlemenin Kısıtlanması Hakkı (Madde 18): Belirli koşullarda işlemenin kısıtlanmasını talep etme hakkı
- Denetim Otoritesine Şikayet Hakkı (Madde 77): İlgili veri koruma otoritesine şikayette bulunma hakkı
Haklarınızı kullanmak için: privacy@evaste.co adresine e-posta gönderebilir veya Platform üzerinden Hesap Ayarları > Gizlilik > Veri Talebi bölümünü kullanabilirsiniz.
Yanıt Süreleri: KVKK için 30 gün, GDPR için 1 ay (+2 ay karmaşık talepler için uzatılabilir)
8. Otomatik Karar Alma ve Profilleme
Evaste, tamamen otomatik işlemeye dayalı, hukuki sonuçlar doğuran veya sizi önemli ölçüde etkileyen kararlar almamaktadır (GDPR Madde 22).
Aşağıdaki amaçlarla sınırlı profilleme yapılmaktadır:
- Hizmet önerileri (kullanım kalıplarına göre)
- Güvenlik (anormal aktivite tespiti)
- Analitik (anonim kullanım istatistikleri)
Bu faaliyetler hukuki sonuçlar doğurmamakta ve size önemli ölçüde etki etmemektedir. Otomatik işleme dayalı kararlar alındığını düşünüyorsanız insan müdahalesi talep edebilir, görüşünüzü ifade edebilir veya karara itiraz edebilirsiniz.
9. Çocukların Gizliliği
Evaste hizmetleri 18 yaşının altındaki kişilere yönelik değildir. 16 yaşının altındaki kişilerden (GDPR) veya 13 yaşının altındaki kişilerden (COPPA) bilerek kişisel veri toplamayız.
18 yaşının altında bir kişiye ait veri topladığımızı fark edersek verileri derhal siler, hesabı kapatırız ve ebeveyn veya vasisine bildirimde bulunuruz.
Çocuğunuzun Evaste'ye veri sağladığını düşünüyorsanız, lütfen privacy@evaste.co adresine başvurun.
10. Üçüncü Taraf Bağlantıları
10.1. Harici Bağlantılar
Platform'umuz üçüncü taraf web sitelerine bağlantılar içerebilir. Bu bağlantılar yalnızca kolaylık sağlamak amacıyla sunulmaktadır.
10.2. Sorumluluk Reddi
Evaste:
- Üçüncü taraf sitelerinin gizlilik uygulamalarından sorumlu değildir
- Bu sitelerin içeriklerini kontrol etmemektedir
- Bu sitelerin güvenliğini garanti etmemektedir
Bu siteleri ziyaret etmeden önce ilgili gizlilik politikalarını incelemenizi öneririz.
10.3. Sosyal Medya Özellikleri
Platform'umuz sosyal medya butonları içerebilir (LinkedIn, Twitter vb.). Bu özellikler ilgili sosyal medya platformlarının gizlilik politikalarına tabidir.
11. California Tüketici Hakları (CCPA)
11.1. Kapsam
Bu bölüm, California eyaletinde ikamet eden tüketicilere ("California Tüketicileri") California Tüketici Gizliliği Yasası (CCPA) kapsamında tanınan ek hakları açıklamaktadır.
11.2. Toplanan Bilgi Kategorileri
Son 12 ayda topladığımız kişisel bilgi kategorileri:
| Kategori | Örnekler |
|---|---|
| Tanımlayıcılar | Ad, e-posta, IP adresi |
| Ticari Bilgiler | Satın alma geçmişi, abonelik bilgileri |
| Internet Aktivitesi | Tarama geçmişi, etkileşim verileri |
| Coğrafi Konum | IP tabanlı yaklaşık konum |
| Profesyonel Bilgiler | Şirket adı, pozisyon |
| Çıkarımlar | Tercih profilleri |
11.3. California Tüketici Hakları
- Bilgi Edinme Hakkı (Right to Know): Son 12 ayda toplanan, kullanılan, paylaşılan veya satılan kişisel bilgiler hakkında bilgi talep etme hakkı.
- Silme Hakkı (Right to Delete): Kişisel bilgilerinizin silinmesini talep etme hakkı (yasal istisnalar saklı kalmak kaydıyla).
- Satıştan Vazgeçme Hakkı (Right to Opt-Out): ÖNEMLİ: Evaste, kişisel bilgilerinizi CCPA tanımındaki anlamda "satmamaktadır".
- Ayrımcılık Yasağı (Right to Non-Discrimination): Gizlilik haklarınızı kullanmanız nedeniyle ayrımcılığa maruz kalmama hakkı.
11.4. Yetkili Temsilci
California'da ikamet ediyorsanız, haklarınızı kullanmak için yetkili bir temsilci atayabilirsiniz. Yetkili temsilcinin yazılı izin belgesi sunması, kimliğini doğrulaması ve sizin adınıza hareket etme yetkisini kanıtlaması gerekmektedir.
11.5. Başvuru Yontemi
California hakları için başvuru: E-posta: privacy@evaste.co, Konu: "CCPA Request - [Hak Türü]"
Yanıt süresi: 45 gün (karmaşık talepler için +45 gün uzatılabilir)
11.6. Doğrulama Süreci
Talebinizi işleme almadan önce kimliğinizi doğrulamamız gerekmektedir:
- Hesap sahibiyseniz: Hesap üzerinden giriş yaparak doğrulama
- Hesabınız yoksa: En az 2-3 veri noktası ile eşleştirme
11.7. "Kişisel Bilgilerimi Satmayın"
Evaste, CCPA tanımındaki "satış" faaliyeti yürütmemektedir. Ancak, tercihlerinizi yönetmek için: E-posta: privacy@evaste.co, Konu: "Do Not Sell My Personal Information"
12. Politika Değişiklikleri
12.1. Güncelleme Hakkı
Evaste, işbu Gizlilik Politikasını herhangi bir zamanda güncelleme hakkını saklı tutar. Değişiklikler:
- "Son Güncelleme" tarihi ile belirtilir
- Önemli değişiklikler e-posta ile bildirilir
- Platform üzerinde duyurulur
12.2. Önemli Değişiklikler
Aşağıdaki değişiklikler "önemli" kabul edilir:
- Toplanan veri kategorilerinde değişiklik
- Yeni işleme amaçları
- Yeni üçüncü taraf paylasimlar
- Haklarınızı etkileyen değişiklikler
12.3. Bildirim Süresi
Önemli değişiklikler yürürlük tarihinden en az 30 gün önce bildirilir.
12.4. Değişikliğin Kabulü
Bildirimden sonra Hizmetleri kullanmaya devam etmeniz, güncellenmiş politikayı kabul ettiğiniz anlamına gelir. Kabul etmiyorsanız, hesabınızı kapatabilirsiniz.
13. İletişim Bilgileri
Veri Sorumlusu: Evaste (Group Taiga)
- Adres: Levent, Istanbul, Turkey
- E-posta: privacy@evaste.co
- Web: https://evaste.co
- Telefon: +90 532 494 42 64
- Gizlilik Sorumlusu: dpo@evaste.co
Denetim Otoriteleri:
- Türkiye: Kişisel Verileri Koruma Kurumu (KVKK) - https://kvkk.gov.tr
- Avrupa Birliği: İlgili AB üye ülkesi veri koruma otoritesi
- California: California Attorney General - https://oag.ca.gov/privacy
İşbu Gizlilik Politikası 12 Ocak 2026 tarihinde yürürlüğe girmiştir.