Gizlilik Politikası

Son güncelleme: 30 Haziran 2026

vv1-2026-06

QRestAI Gizlilik Politikası (Privacy Policy)

Yürürlük Tarihi: 2026-06-17 Sürüm: v1-2026-06 Operatör: [Yasal Şirket Unvanı] ("QRestAI", "biz", "bize", "bizim") Kayıtlı Adres: [Adres Yer Tutucu] Veri Koruma Sorumlusu: dpo@qrestai.com İletişim: legal@qrestai.com


1. Giriş

Bu Gizlilik Politikası, QRestAI'ın ("biz" / "şirket") kişisel verileri nasıl topladığını, işlediğini, saklandığını ve korunduğunu açıklar. Bu Politika:

  • Türkiye: 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili tebliğlerle uyumludur.
  • Avrupa Birliği: GDPR (Regulation (EU) 2016/679) ve ePrivacy Direktifi 2002/58/EC (Directive 2009/136/EC ile değiştirilmiş) ile uyumludur.
  • Diğer Yargı Yetkileri: Uygulanabilir yerel veri koruma yasaları ile uyumludur.

Hesap oluşturarak veya QRestAI Hizmetini kullanarak, bu Politika'yı kabul edersiniz.


2. Verilerin Kontrolörü

2.1 Türkiye Müşterileri

  • Veri Kontrolörü: [Yasal Şirket Unvanı]
  • Adres: [Kayıtlı Adres]
  • Vergi No / VKN: [VKN Yer Tutucu]

2.2 AB / Birleşik Krallık Müşterileri

  • Veri Kontrolörü: [EU Şirket Unvanı / İrlanda A.Ş.]
  • Kayıtlı Ofis: [Dublin Adresi Yer Tutucu]
  • DPA (Data Processing Agreement): Müşterilere standart olarak sunulur (istek üzerine).

2.3 Veri İşleme Sorumlusu (Processor) — AI Sağlayıcıları

QRestAI, AI özelliklerinde (metin üretimi, görsel üretimi, video üretimi) aşağıdaki üçüncü taraf sağlayıcıları kullanır:

  • Yapay zekâ hizmet sağlayıcıları (büyük dil modeli / görsel üretim) — kendi veri işleme şartlarına tabi

Müşteri, bu sağlayıcıların veri işleme pratikleri hakkında sağlayıcıların gizlilik politikalarını incelemekle sorumludur.


3. Toplanan Veriler

3.1 Doğrudan Toplanan Veriler

3.1.1 Hesap Oluşturma & Profil

  • E-posta adresi
  • Şifre (endüstri standardı, geri döndürülemez (tek yönlü) parola hash algoritması ile hash'lenmiş, şifresi açık tutulmaz)
  • İşletme adı ve türü
  • Yasal şirket adı (UNVAN)
  • Vergi Kimlik Numarası (VKN) / Tax ID
  • Bölge (Ülke, Şehir)
  • Telefon numarası
  • Adres (Kayıtlı işletme adresi)
  • Ödeme bilgileri (kredi kartı son 4 hanesi — ödeme hizmeti sağlayıcısı tarafından tutulur)

3.1.2 Operasyonel Veri

  • Menü İçeriği (kategori, ürün adı, fiyat, açıklama, fotoğraflar)
  • Şube Bilgileri (ad, telefon, konum koordinatları — enlem/boylam)
  • Ekip Üyeleri & Roller
  • Sipariş Verisi (yapıldıysa — QR menüden alınan siparişler, müşteri adı, ürün, miktar)
  • Muhasebe & Fatura Kayıtları (sadece Türkiye B2B müşterileri için)

3.1.3 AI Tarafından Üretilen Veriler

  • Metin çıktıları (menü açıklamaları, başlıklar, SEO metinleri) — QRestAI'da saklanır
  • Görsel çıktıları (AI-generated menü fotoğrafları) — QRestAI bulut depolamasında saklanır
  • Video çıktıları — bulut tabanlı içerik dağıtım ağında (CDN) saklanır

3.2 Otomatik Toplanan Veriler

3.2.1 Web Analitiği ve Oturum Yönetimi

  • IP Adresi
  • Cookie IDs (oturum takibi, tercihler)
  • User-Agent & Tarayıcı Bilgisi
  • Sayfaları ziyaret etme süresi ve sırası
  • Referrer URL'ler
  • Coğrafi Konum (IP tabanlı — şehir düzeyinde)

3.2.2 Event Logging (olay/analitik kayıtları)

  • Oturum açma/kapama olayları
  • API çağrıları ve başarı/başarısızlık durumları
  • AI işlem çağrıları (başlangıç, bitiş, hata kodu)
  • Ödeme işlem olayları (başarı/başarısızlık)
  • Sipariş olayları

3.2.3 Sistem Günlükleri

  • Uygulama Hataları (stack trace'ler)
  • Veritabanı Sorgusu Süreleri
  • API Gecikme Metrikleri

3.3 Son Kullanıcı Verileri (Misafirler)

QR menüyü taradığında veya sipariş verdiğinde, aşağıdaki veriler toplanabilir:

  • IP Adresi & Coğrafi Konum (şehir düzeyinde)
  • Tarayıcı Bilgisi
  • QR Kodun Hangi Veri Noktasından Tarandığı (konum / masası)
  • Menü Görüntüleme Süresi ve Etkileşimler
  • Sipariş Veriyse: Ad, Telefon Numarası, E-posta, Adres (teslimat varsa), Sipariş İçeriği

Müşteri, bu veriler için "Gizlilik Bildirim" sağlamakla sorumludur — QR menüsünde veya ödeme ekranında Son Kullanıcılara bu Politika'nın bir bağlantısını gösterilmelidir.


4. Veri İşleme Amacı

4.1 Temel Amaçlar (Hizmet Sunumu)

  • Hesap oluşturma ve yönetim
  • Abonelik planının sağlanması
  • Menü içeriğinin tutulması ve yayınlanması
  • Ödeme işleminin gerçekleştirilmesi ve fatura düzenlenmesi (Türkiye: e-Arşiv Fatura)
  • AI özelliklerinin sunulması (yapay zekâ hizmet sağlayıcısı çağrıları)
  • Teknik destek ve sorun giderme

4.2 Yasal Zorunluluğu Olan Amaçlar

  • Türkiye: VUK (Vergi Usul Kanunu) uyarınca 5 yıl muhasebe kayıtlarının tutulması, e-Arşiv Fatura ve e-Adisyon gereksinimleri
  • AB: GDPR Article 6(1)(b) — sözleşmenin yerine getirilmesi
  • AB Tüketicileri: GDPR Article 6(1)(c) — yasal yükümlülüklere uyum (muhasebe, vergi)

4.3 Meşru Faydalar Amaçları

  • Sistemin güvenliğini ve sahtekarlık'tan korunması
  • Hizmet iyileştirmesi (toplu ve anonimleştirilmiş verilerle)
  • İletişim (önemli güncellemeler, hesap uyarıları)
  • Hukuki taleplere yanıt verme

4.4 Pazarlama Amaçları (Rıza Gerekli)

  • E-posta yoluyla ürün güncellemeleri
  • Ödeme promosyonları
  • Yeni özellik daveti

Müşteri, pazarlama iletişiminden dilediği zaman çıkabilir (opt-out).

4.5 AI Model İyileştirmesi (Rıza Gerekli — Opt-Out Mevcuttur)

  • QRestAI, AI sağlayıcılarıyla olan sözleşmelerine uygun olarak, toplu ve anonimleştirilmiş çıktı verilerini (menü açıklamaları, görsel üretimi pattern'leri) modelleri iyileştirmek için kullanabilir.
  • Müşteri, Hesap Ayarları → "AI Modeli İyileştirmesine Katılmayı Reddet" seçeneğinden opt-out edebilir.
  • Opt-out ederse, veriler hiç paylaşılmaz.

5. Yasal Dayanak (GDPR & KVKK Uyumu)

5.1 GDPR (AB Müşterileri)

AmaçYasal Dayanakİzin
Sözleşme yerine getirmeArt. 6(1)(b)Otomatik
Yasal yükümlülükler (vergi, muhasebe)Art. 6(1)(c)Otomatik
Meşru faydalar (güvenlik, dolandırıcılık, hizmet iyileştirmesi)Art. 6(1)(f)Otomatik
Pazarlama (e-posta)Art. 6(1)(a) RızaOpt-in
AI Model İyileştirmesiArt. 6(1)(a) RızaOpt-in (Hesap Ayarlarında)
Çocuk Konusu Kişisel Veriler (< 16 yaş — AB ülkeye bağlı)Art. 8 RızaEbeveyn Rızası (Uygulanabilir)

5.2 KVKK (Türkiye Müşterileri)

AmaçHukuki DayanakAçık Rıza
Sözleşme yerine getirmeKVKK Md. 5(2)(a)Gerekli değil
Yasal yükümlülükler (vergi, muhasebe, VUK)KVKK Md. 5(2)(c)Gerekli değil
Meşru faydalar (hizmet iyileştirmesi, güvenlik)KVKK Md. 5(2)(d)Gerekli değil
E-posta pazarlamasıKVKK Md. 6(1)(1) RızaAçık Rıza (Opt-in)
Özel Nitelikli Veriler (sağlık, cinsel yönelim vb. — varsa)KVKK Md. 6(1)(1) RızaAçık Rıza (Ayrı, Zorunlu)

6. Veri Paylaşımı

6.1 Müşteri Tarafından İzin Verilen Paylaşım

  • Ödeme Sağlayıcıları: ödeme hizmeti sağlayıcıları (uluslararası ve yurt içi)

    • Paylaşılan: E-posta, Şirket Adı, Ödeme Bilgileri (kredi kartı son 4 hanesi)
    • Amacı: Ödeme işleme ve dolandırıcılık önleme
    • DPA: Evet (PCI-DSS uyumlu)
  • Muhasebe Yetkilisi (Sadece Türkiye):

    • Varsa ve müşteri bildirmişse
    • Paylaşılan: Şirket adı, VKN, Fatura verileri
    • Amacı: Vergi beyanı

6.2 Yasal Olarak Zorunlu Paylaşım

  • Mahkeme Kararı / Savcılık Emri: Yasal talepte, tüm sözleşmelere uymak koşuluyla
  • Türkiye: Yetkili kamu kurum ve kuruluşları (mevzuat uyarınca yapılan talepler)
  • AB: GDPR Article 9 uyarınca sınırlandırılmış (ölüm, yaralanma vb. durumlar)
  • Finansal Denetim: Bağımsız denetçi, maliye müfettişleri (yasal talepte)

6.3 Hizmet Sağlayıcılar (Veri İşleyenler)

SağlayıcıVerilerAmaçYerDPA
Bulut tabanlı nesne depolama ve içerik dağıtım ağı (CDN) sağlayıcısıMenü görselleri, AI çıktılarıDepolama, CDNUSA / EU bölgelerEvet
Bulut tabanlı log ve analitik altyapı sağlayıcısı (Events)Oturum, API, ödeme olaylarıAnalitik, sistem izlemeUSAEvet
E-posta gönderim (transactional) sağlayıcısıE-posta (fatura, güncellemeler)E-posta gönderimiUSAEvet
Uygulama hata/çökme izleme sağlayıcısı (yalnızca yapılandırıldığında)Uygulama hataları, stack trace'lerHata izleme (yapılandırıldığında)USA / EUEvet
Yapay zekâ hizmet sağlayıcıları (büyük dil modeli / görsel üretim)Menü açıklamaları, prompt'larAI işlemeUSAEvet

Tüm DPA'lar sözleşmeyle kapsıyor ve GDPR Standard Contractual Clauses (SCC) ile uyumludur. Alıcılar bu Politikada kategori bazında belirtilmiştir; güncel alt-işleyici (alt veri işleyen) listesi talep üzerine ve/veya özel bir alt-işleyici/DPA sayfası aracılığıyla sağlanır.

6.4 Veriler Paylaşılmayan Alanlar

  • Kullanıcı adları & parolalar hiçbir üçüncü tarafa paylaşılmaz
  • Kredi kartı numaraları QRestAI'da tutulmaz (ödeme hizmeti sağlayıcısı tarafından tutulur)
  • Menü içeriği müşteri izni olmadan kopyalanmaz/satılmaz

7. Veri Saklama Süreleri

7.1 Türkiye Müşterileri

Veri TürüSaklama SüresiHukuki Dayanak
Hesap bilgileri (E-posta, Ad, Şifre)Abonelik sonuna kadar + 2 yılİcra ve İflas Kanunu, TTK
Menü İçeriğiAbonelik sonuna kadar (Müşteri silebilir)Sözleşme
Fatura & Muhasebe Kayıtları5 yılVUK Md. 253
İade & Geri Ödeme Kayıtları5 yılTicari Kanun
Ödeme İşlem Logs5 yılPCI-DSS, KKB ihtiyaçları
Oturum & Event Logs90 günSistem ihtiyaçları
AI çıktı arşivi (menü açıklamaları)2 yıl (müşteri tarafından silinebilir)Hesap yönetimi
Silinmiş Hesap Artık Verileri90 gün (dışa aktarım için) ardından silinirKVKK Md. 17

7.2 AB / Birleşik Krallık Müşterileri (GDPR)

Veri TürüSaklama SüresiGDPR Dayanak
Hesap bilgileriAbonelik sonuna kadar + 3 yılArt. 17 (Silme Hakkı) + reglatory
Menü İçeriğiAbonelik sonuna kadarArt. 17 (müşteri silebilir)
Muhasebe Kayıtları7 yılEU Yönergesi 2006/112/EC (VAT)
Event Logs13 ayGDPR Art. 32 (güvenlik günlükleri)
Ödeme Verisi (ödeme hizmeti sağlayıcısı)7 yılPCI DSS, EU Payments Directive
Silinmiş Hesap Verileri30 gün (silme talebinden sonra)GDPR Art. 17(3) + kullanıcı hakları

7.3 Diğer Yargı Yetkileri

  • Yerel vergi/muhasebe: İlgili yargı yetkisinin gerekli süreleri takip edilir
  • Varsayılan: Türkiye tablosu (5 yıl muhasebe) + AB tablosu (7 yıl VAT) genel olarak uygulanır

8. Veri Koruma & Güvenlik

8.1 Teknik Korunma

  • Şifreleme: AES-256 (in transit: TLS 1.3)
  • Veritabanı: şifrelenmiş (at-rest) veritabanları
  • Parolalar: endüstri standardı, geri döndürülemez (tek yönlü) parola hash algoritması — plaintext asla tutulmaz
  • 2FA: TOTP (Time-based One-Time Password) kullanıcılara sunulur (admin/Türkiye uylu)

8.2 Operasyonel Korunma

  • Erişim kontrolü: Role-Based Access Control (RBAC)
  • Yönetici: Sadece platform-admin ve support staff
  • Müşteri verileri: Organizasyon bazlı tenant isolation
  • Backup: Günlük otomatik şifrelenmiş (at-rest) veritabanı yedekleri (7 gün tutulur; yıllık arşiv 3 yıl)
  • Antivirus & Intrusion Detection: Güvenlik duvarı (WAF) ve saldırı tespit/önleme sistemleri + altyapı sağlayıcısının güvenlik kontrolleri

8.3 İşletme Sorumluluğu

  • Veri Sızıntısı Bildirimi: 24-48 saat içinde DPA / etkilenen kişi (GDPR Madde 33, KVKK Madde 12)
  • Denetim Günlükleri: Tüm yönetim işlemleri kaydedilir
  • Sicil Sayısı: [Güvenlik Sertifikaları / ISO 27001 Başvurusu — yer tutucu]

9. Kullanıcı Hakları (GDPR & KVKK)

9.1 Türkiye (KVKK Madde 11-12)

Kullanıcılar aşağıdaki haklara sahiptir:

HakAçıklamaTalepte Süre
Erişim HakkıKendisi hakkında işlenen verileri bilme30 gün
Düzeltme HakkıHatalı/eksik verileri düzeltme30 gün
Silme Hakkı (Unutulma)Verilerinin silinmesini isteme30 gün
İşleme KısıtlanmasıBelirli işlemlere karşı itiraz30 gün
Taşınabilirlik HakkıVerilerini başka sağlayıcıya aktarma30 gün
Açık Rıza Geri ÇekmePazarlama rızasından vazgeçmeAnında (sipariş)
Karara Karşı İtirazOtomatik karar alma / profiling'e itiraz30 gün

Talep Yöntemi: dpo@qrestai.com veya Hesap Ayarları → "Veri Tarafı Hakları" (bölüm Panelinde linkli)

9.2 AB (GDPR Madde 15-22)

HakAçıklamaGDPR Madde
Erişim HakkıKendi verilerini almaArt. 15
DüzeltmeYanlış verileri düzeltmeArt. 16
Silme (Unutulma)Verilerini silinmesini istemeArt. 17
İşleme KısıtlanmasıBelirli amaçlara işlemeyi durdurmaArt. 18
TaşınabilirlikYapılandırılmış, yaygın format'ta veri almaArt. 20
İtirazMeşru faydalar bazlı işlemeye itirazArt. 21
Profiling'e Karşı KorumaTamamen otomatik karar alma'ya itirazArt. 22
Çocuk Hakları16 yaş altı müşterilerin ebeveyn onayıArt. 8

Talep Yöntemi: dpo@qrestai.com veya Uygulamada Portal (varsa)


10. Çocuk Koruma

10.1 Türkiye

  • QRestAI; 18 yaş altı kişilerin hesap açmasına izin vermez
  • Kasıtlı olarak 18 yaş altının verisi toplandıysa, derhal silinir
  • Veli/Kayyım onayı istenebilir

10.2 AB (GDPR)

  • 16 yaş üstü: Kendi rızasıyla hesap açabilir
  • 16 yaş altı: Ebeveyn/Vasi rızası zorunlu (GDPR Article 8)
  • EU üye devletleri farklı yaşlar belirleyebilir (bazıları 13 yaş)
  • QRestAI, 13 yaş altı hesapları desteklemez

11. Uluslararası Veri Transferleri

11.1 Türkiye → Dışarı

  • Hizmet sağlayıcıları: bulut tabanlı nesne depolama ve içerik dağıtım ağı (CDN) sağlayıcısı (USA/EU), bulut tabanlı log ve analitik altyapı sağlayıcısı (USA), yapay zekâ hizmet sağlayıcıları (büyük dil modeli / görsel üretim) (USA) ve e-posta gönderim (transactional) sağlayıcısı kullanılır
  • Hukuki Dayanak: KVKK Md. 9 (Yurtdışına Aktarım Şartları)
  • Koşul: Hedef ülkenin Kişisel Verileri Koruma Kurulu tarafından "yeterli" kabul edilmesi VEYA standart sözleşmeler (DPA ile SCC)

11.2 AB Dışarı

  • Standard Contractual Clauses (SCC) — GDPR Article 46(2)(c) uyarınca imzalı
  • TRN (Transfer Risk Mitigation) Talimat — bulut sağlayıcıların GDPR uyumu: içerik dağıtım ağı (CDN) sağlayıcısının EU bölge seçeneği mevcuttur
  • Schrems II Uyumu — USA veri işlemesi: işin başından itibaren sözleşmelerle uyumludur

Müşteri, verilerin Amerika'da işlenmesi riski konusunda haberdar olmalıdır.


12. Üçüncü Taraf Hizmetleri

12.1 Müşteri Sağlayıcıları

  • Fotoğraf CDN: Müşteri-sağlanan fotoğraf URL'leri (örn. Unsplash, Cloudinary) — bu sağlayıcıların şartları geçerli
  • Ödeme Bağlantısı: Müşteri kendi ödeme sistemini bağlarsa (varsa), o sistemin şartları geçerli

12.2 QRestAI Seçmiş Hizmetleri

Tümü GDPR/KVKK uyumlu DPA'lar imzalıdır.


13. Gizlilik Politikasında Değişiklik

13.1. QRestAI bu Politika'yı güncelleyebilir. Önemli değişiklikler 30 gün önceden e-posta ile bildirilir.

13.2. Değişiklik tarihinden sonra Hizmet kullanmaya devam etmek, yeni Politika'yı kabul etmek anlamına gelir.

13.3. GDPR Madde 13(2)(c) uyarınca yeniden rıza gerekiyorsa (örn. yeni AI sağlayıcı), müşteriler açık olarak sorulacak.


14. Bize Ulaşın

14.1 Genel Sorular

14.2 Veri Tarafı Hakları / Gizlilik Talepleri

  • DPO (Data Protection Officer): dpo@qrestai.com
  • Talep Türü: Erişim, Silme, İtiraz, Taşınabilirlik vb.
  • Cevap Süresi: 30 gün (GDPR/KVKK)

14.3 Veri Sızıntısı İleme / Güvenlik Sorunu

14.4 Şikayet / Denetim Makamlarına Başvuru

Türkiye:

AB Üye Devletleri:

  • İlgili Ülkenin Veri Koruma Makamı
    • Örnek (Almanya): Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
    • Örnek (Fransa): Commission Nationale de l'Informatique et des Libertés (CNIL)
  • GDPR Article 77 uyarınca doğrudan başvuru hakkı (mahkemeye gitmeden)

Birleşik Krallık:


15. Tanımlar

  • Veri Kontrolörü: Verilerin işlenme amacını ve araçlarını belirleyen kişi/kuruluş (QRestAI bu roles'de)
  • Veri İşleyeni: Kontrolörü'nün talimatıyla verileri işleyen kişi/kuruluş (bulut altyapı sağlayıcısı, yapay zekâ hizmet sağlayıcısı vb.)
  • Kişisel Veri: Belirlenmiş veya belirlenebilir doğal kişiye ilişkin her türlü bilgi
  • İşleme: Toplama, kaydetme, değiştirme, kullanma, paylaşma, silme vb. her işlem
  • Rıza: Özgür, belirli, bilgilendirilmiş ve açık onay
  • Meşru Faydalar: İşlemenin kontrol kişisinin veya üçüncü tarafların haklı çıkarlarına hizmet ettiği durum

Son Güncelleme: 2026-06-17 Sürüm: v1-2026-06