QRestAI Gizlilik Politikası (Privacy Policy)
Yürürlük Tarihi: 2026-06-17 Sürüm: v1-2026-06 Operatör: [Yasal Şirket Unvanı] ("QRestAI", "biz", "bize", "bizim") Kayıtlı Adres: [Adres Yer Tutucu] Veri Koruma Sorumlusu: dpo@qrestai.com İletişim: legal@qrestai.com
1. Giriş
Bu Gizlilik Politikası, QRestAI'ın ("biz" / "şirket") kişisel verileri nasıl topladığını, işlediğini, saklandığını ve korunduğunu açıklar. Bu Politika:
- Türkiye: 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili tebliğlerle uyumludur.
- Avrupa Birliği: GDPR (Regulation (EU) 2016/679) ve ePrivacy Direktifi 2002/58/EC (Directive 2009/136/EC ile değiştirilmiş) ile uyumludur.
- Diğer Yargı Yetkileri: Uygulanabilir yerel veri koruma yasaları ile uyumludur.
Hesap oluşturarak veya QRestAI Hizmetini kullanarak, bu Politika'yı kabul edersiniz.
2. Verilerin Kontrolörü
2.1 Türkiye Müşterileri
- Veri Kontrolörü: [Yasal Şirket Unvanı]
- Adres: [Kayıtlı Adres]
- Vergi No / VKN: [VKN Yer Tutucu]
2.2 AB / Birleşik Krallık Müşterileri
- Veri Kontrolörü: [EU Şirket Unvanı / İrlanda A.Ş.]
- Kayıtlı Ofis: [Dublin Adresi Yer Tutucu]
- DPA (Data Processing Agreement): Müşterilere standart olarak sunulur (istek üzerine).
2.3 Veri İşleme Sorumlusu (Processor) — AI Sağlayıcıları
QRestAI, AI özelliklerinde (metin üretimi, görsel üretimi, video üretimi) aşağıdaki üçüncü taraf sağlayıcıları kullanır:
- Yapay zekâ hizmet sağlayıcıları (büyük dil modeli / görsel üretim) — kendi veri işleme şartlarına tabi
Müşteri, bu sağlayıcıların veri işleme pratikleri hakkında sağlayıcıların gizlilik politikalarını incelemekle sorumludur.
3. Toplanan Veriler
3.1 Doğrudan Toplanan Veriler
3.1.1 Hesap Oluşturma & Profil
- E-posta adresi
- Şifre (endüstri standardı, geri döndürülemez (tek yönlü) parola hash algoritması ile hash'lenmiş, şifresi açık tutulmaz)
- İşletme adı ve türü
- Yasal şirket adı (UNVAN)
- Vergi Kimlik Numarası (VKN) / Tax ID
- Bölge (Ülke, Şehir)
- Telefon numarası
- Adres (Kayıtlı işletme adresi)
- Ödeme bilgileri (kredi kartı son 4 hanesi — ödeme hizmeti sağlayıcısı tarafından tutulur)
3.1.2 Operasyonel Veri
- Menü İçeriği (kategori, ürün adı, fiyat, açıklama, fotoğraflar)
- Şube Bilgileri (ad, telefon, konum koordinatları — enlem/boylam)
- Ekip Üyeleri & Roller
- Sipariş Verisi (yapıldıysa — QR menüden alınan siparişler, müşteri adı, ürün, miktar)
- Muhasebe & Fatura Kayıtları (sadece Türkiye B2B müşterileri için)
3.1.3 AI Tarafından Üretilen Veriler
- Metin çıktıları (menü açıklamaları, başlıklar, SEO metinleri) — QRestAI'da saklanır
- Görsel çıktıları (AI-generated menü fotoğrafları) — QRestAI bulut depolamasında saklanır
- Video çıktıları — bulut tabanlı içerik dağıtım ağında (CDN) saklanır
3.2 Otomatik Toplanan Veriler
3.2.1 Web Analitiği ve Oturum Yönetimi
- IP Adresi
- Cookie IDs (oturum takibi, tercihler)
- User-Agent & Tarayıcı Bilgisi
- Sayfaları ziyaret etme süresi ve sırası
- Referrer URL'ler
- Coğrafi Konum (IP tabanlı — şehir düzeyinde)
3.2.2 Event Logging (olay/analitik kayıtları)
- Oturum açma/kapama olayları
- API çağrıları ve başarı/başarısızlık durumları
- AI işlem çağrıları (başlangıç, bitiş, hata kodu)
- Ödeme işlem olayları (başarı/başarısızlık)
- Sipariş olayları
3.2.3 Sistem Günlükleri
- Uygulama Hataları (stack trace'ler)
- Veritabanı Sorgusu Süreleri
- API Gecikme Metrikleri
3.3 Son Kullanıcı Verileri (Misafirler)
QR menüyü taradığında veya sipariş verdiğinde, aşağıdaki veriler toplanabilir:
- IP Adresi & Coğrafi Konum (şehir düzeyinde)
- Tarayıcı Bilgisi
- QR Kodun Hangi Veri Noktasından Tarandığı (konum / masası)
- Menü Görüntüleme Süresi ve Etkileşimler
- Sipariş Veriyse: Ad, Telefon Numarası, E-posta, Adres (teslimat varsa), Sipariş İçeriği
Müşteri, bu veriler için "Gizlilik Bildirim" sağlamakla sorumludur — QR menüsünde veya ödeme ekranında Son Kullanıcılara bu Politika'nın bir bağlantısını gösterilmelidir.
4. Veri İşleme Amacı
4.1 Temel Amaçlar (Hizmet Sunumu)
- Hesap oluşturma ve yönetim
- Abonelik planının sağlanması
- Menü içeriğinin tutulması ve yayınlanması
- Ödeme işleminin gerçekleştirilmesi ve fatura düzenlenmesi (Türkiye: e-Arşiv Fatura)
- AI özelliklerinin sunulması (yapay zekâ hizmet sağlayıcısı çağrıları)
- Teknik destek ve sorun giderme
4.2 Yasal Zorunluluğu Olan Amaçlar
- Türkiye: VUK (Vergi Usul Kanunu) uyarınca 5 yıl muhasebe kayıtlarının tutulması, e-Arşiv Fatura ve e-Adisyon gereksinimleri
- AB: GDPR Article 6(1)(b) — sözleşmenin yerine getirilmesi
- AB Tüketicileri: GDPR Article 6(1)(c) — yasal yükümlülüklere uyum (muhasebe, vergi)
4.3 Meşru Faydalar Amaçları
- Sistemin güvenliğini ve sahtekarlık'tan korunması
- Hizmet iyileştirmesi (toplu ve anonimleştirilmiş verilerle)
- İletişim (önemli güncellemeler, hesap uyarıları)
- Hukuki taleplere yanıt verme
4.4 Pazarlama Amaçları (Rıza Gerekli)
- E-posta yoluyla ürün güncellemeleri
- Ödeme promosyonları
- Yeni özellik daveti
Müşteri, pazarlama iletişiminden dilediği zaman çıkabilir (opt-out).
4.5 AI Model İyileştirmesi (Rıza Gerekli — Opt-Out Mevcuttur)
- QRestAI, AI sağlayıcılarıyla olan sözleşmelerine uygun olarak, toplu ve anonimleştirilmiş çıktı verilerini (menü açıklamaları, görsel üretimi pattern'leri) modelleri iyileştirmek için kullanabilir.
- Müşteri, Hesap Ayarları → "AI Modeli İyileştirmesine Katılmayı Reddet" seçeneğinden opt-out edebilir.
- Opt-out ederse, veriler hiç paylaşılmaz.
5. Yasal Dayanak (GDPR & KVKK Uyumu)
5.1 GDPR (AB Müşterileri)
| Amaç | Yasal Dayanak | İzin |
|---|---|---|
| Sözleşme yerine getirme | Art. 6(1)(b) | Otomatik |
| Yasal yükümlülükler (vergi, muhasebe) | Art. 6(1)(c) | Otomatik |
| Meşru faydalar (güvenlik, dolandırıcılık, hizmet iyileştirmesi) | Art. 6(1)(f) | Otomatik |
| Pazarlama (e-posta) | Art. 6(1)(a) Rıza | Opt-in |
| AI Model İyileştirmesi | Art. 6(1)(a) Rıza | Opt-in (Hesap Ayarlarında) |
| Çocuk Konusu Kişisel Veriler (< 16 yaş — AB ülkeye bağlı) | Art. 8 Rıza | Ebeveyn Rızası (Uygulanabilir) |
5.2 KVKK (Türkiye Müşterileri)
| Amaç | Hukuki Dayanak | Açık Rıza |
|---|---|---|
| Sözleşme yerine getirme | KVKK Md. 5(2)(a) | Gerekli değil |
| Yasal yükümlülükler (vergi, muhasebe, VUK) | KVKK Md. 5(2)(c) | Gerekli değil |
| Meşru faydalar (hizmet iyileştirmesi, güvenlik) | KVKK Md. 5(2)(d) | Gerekli değil |
| E-posta pazarlaması | KVKK Md. 6(1)(1) Rıza | Açık Rıza (Opt-in) |
| Özel Nitelikli Veriler (sağlık, cinsel yönelim vb. — varsa) | KVKK Md. 6(1)(1) Rıza | Açık Rıza (Ayrı, Zorunlu) |
6. Veri Paylaşımı
6.1 Müşteri Tarafından İzin Verilen Paylaşım
-
Ödeme Sağlayıcıları: ödeme hizmeti sağlayıcıları (uluslararası ve yurt içi)
- Paylaşılan: E-posta, Şirket Adı, Ödeme Bilgileri (kredi kartı son 4 hanesi)
- Amacı: Ödeme işleme ve dolandırıcılık önleme
- DPA: Evet (PCI-DSS uyumlu)
-
Muhasebe Yetkilisi (Sadece Türkiye):
- Varsa ve müşteri bildirmişse
- Paylaşılan: Şirket adı, VKN, Fatura verileri
- Amacı: Vergi beyanı
6.2 Yasal Olarak Zorunlu Paylaşım
- Mahkeme Kararı / Savcılık Emri: Yasal talepte, tüm sözleşmelere uymak koşuluyla
- Türkiye: Yetkili kamu kurum ve kuruluşları (mevzuat uyarınca yapılan talepler)
- AB: GDPR Article 9 uyarınca sınırlandırılmış (ölüm, yaralanma vb. durumlar)
- Finansal Denetim: Bağımsız denetçi, maliye müfettişleri (yasal talepte)
6.3 Hizmet Sağlayıcılar (Veri İşleyenler)
| Sağlayıcı | Veriler | Amaç | Yer | DPA |
|---|---|---|---|---|
| Bulut tabanlı nesne depolama ve içerik dağıtım ağı (CDN) sağlayıcısı | Menü görselleri, AI çıktıları | Depolama, CDN | USA / EU bölgeler | Evet |
| Bulut tabanlı log ve analitik altyapı sağlayıcısı (Events) | Oturum, API, ödeme olayları | Analitik, sistem izleme | USA | Evet |
| E-posta gönderim (transactional) sağlayıcısı | E-posta (fatura, güncellemeler) | E-posta gönderimi | USA | Evet |
| Uygulama hata/çökme izleme sağlayıcısı (yalnızca yapılandırıldığında) | Uygulama hataları, stack trace'ler | Hata izleme (yapılandırıldığında) | USA / EU | Evet |
| Yapay zekâ hizmet sağlayıcıları (büyük dil modeli / görsel üretim) | Menü açıklamaları, prompt'lar | AI işleme | USA | Evet |
Tüm DPA'lar sözleşmeyle kapsıyor ve GDPR Standard Contractual Clauses (SCC) ile uyumludur. Alıcılar bu Politikada kategori bazında belirtilmiştir; güncel alt-işleyici (alt veri işleyen) listesi talep üzerine ve/veya özel bir alt-işleyici/DPA sayfası aracılığıyla sağlanır.
6.4 Veriler Paylaşılmayan Alanlar
- Kullanıcı adları & parolalar hiçbir üçüncü tarafa paylaşılmaz
- Kredi kartı numaraları QRestAI'da tutulmaz (ödeme hizmeti sağlayıcısı tarafından tutulur)
- Menü içeriği müşteri izni olmadan kopyalanmaz/satılmaz
7. Veri Saklama Süreleri
7.1 Türkiye Müşterileri
| Veri Türü | Saklama Süresi | Hukuki Dayanak |
|---|---|---|
| Hesap bilgileri (E-posta, Ad, Şifre) | Abonelik sonuna kadar + 2 yıl | İcra ve İflas Kanunu, TTK |
| Menü İçeriği | Abonelik sonuna kadar (Müşteri silebilir) | Sözleşme |
| Fatura & Muhasebe Kayıtları | 5 yıl | VUK Md. 253 |
| İade & Geri Ödeme Kayıtları | 5 yıl | Ticari Kanun |
| Ödeme İşlem Logs | 5 yıl | PCI-DSS, KKB ihtiyaçları |
| Oturum & Event Logs | 90 gün | Sistem ihtiyaçları |
| AI çıktı arşivi (menü açıklamaları) | 2 yıl (müşteri tarafından silinebilir) | Hesap yönetimi |
| Silinmiş Hesap Artık Verileri | 90 gün (dışa aktarım için) ardından silinir | KVKK Md. 17 |
7.2 AB / Birleşik Krallık Müşterileri (GDPR)
| Veri Türü | Saklama Süresi | GDPR Dayanak |
|---|---|---|
| Hesap bilgileri | Abonelik sonuna kadar + 3 yıl | Art. 17 (Silme Hakkı) + reglatory |
| Menü İçeriği | Abonelik sonuna kadar | Art. 17 (müşteri silebilir) |
| Muhasebe Kayıtları | 7 yıl | EU Yönergesi 2006/112/EC (VAT) |
| Event Logs | 13 ay | GDPR Art. 32 (güvenlik günlükleri) |
| Ödeme Verisi (ödeme hizmeti sağlayıcısı) | 7 yıl | PCI DSS, EU Payments Directive |
| Silinmiş Hesap Verileri | 30 gün (silme talebinden sonra) | GDPR Art. 17(3) + kullanıcı hakları |
7.3 Diğer Yargı Yetkileri
- Yerel vergi/muhasebe: İlgili yargı yetkisinin gerekli süreleri takip edilir
- Varsayılan: Türkiye tablosu (5 yıl muhasebe) + AB tablosu (7 yıl VAT) genel olarak uygulanır
8. Veri Koruma & Güvenlik
8.1 Teknik Korunma
- Şifreleme: AES-256 (in transit: TLS 1.3)
- Veritabanı: şifrelenmiş (at-rest) veritabanları
- Parolalar: endüstri standardı, geri döndürülemez (tek yönlü) parola hash algoritması — plaintext asla tutulmaz
- 2FA: TOTP (Time-based One-Time Password) kullanıcılara sunulur (admin/Türkiye uylu)
8.2 Operasyonel Korunma
- Erişim kontrolü: Role-Based Access Control (RBAC)
- Yönetici: Sadece platform-admin ve support staff
- Müşteri verileri: Organizasyon bazlı tenant isolation
- Backup: Günlük otomatik şifrelenmiş (at-rest) veritabanı yedekleri (7 gün tutulur; yıllık arşiv 3 yıl)
- Antivirus & Intrusion Detection: Güvenlik duvarı (WAF) ve saldırı tespit/önleme sistemleri + altyapı sağlayıcısının güvenlik kontrolleri
8.3 İşletme Sorumluluğu
- Veri Sızıntısı Bildirimi: 24-48 saat içinde DPA / etkilenen kişi (GDPR Madde 33, KVKK Madde 12)
- Denetim Günlükleri: Tüm yönetim işlemleri kaydedilir
- Sicil Sayısı: [Güvenlik Sertifikaları / ISO 27001 Başvurusu — yer tutucu]
9. Kullanıcı Hakları (GDPR & KVKK)
9.1 Türkiye (KVKK Madde 11-12)
Kullanıcılar aşağıdaki haklara sahiptir:
| Hak | Açıklama | Talepte Süre |
|---|---|---|
| Erişim Hakkı | Kendisi hakkında işlenen verileri bilme | 30 gün |
| Düzeltme Hakkı | Hatalı/eksik verileri düzeltme | 30 gün |
| Silme Hakkı (Unutulma) | Verilerinin silinmesini isteme | 30 gün |
| İşleme Kısıtlanması | Belirli işlemlere karşı itiraz | 30 gün |
| Taşınabilirlik Hakkı | Verilerini başka sağlayıcıya aktarma | 30 gün |
| Açık Rıza Geri Çekme | Pazarlama rızasından vazgeçme | Anında (sipariş) |
| Karara Karşı İtiraz | Otomatik karar alma / profiling'e itiraz | 30 gün |
Talep Yöntemi: dpo@qrestai.com veya Hesap Ayarları → "Veri Tarafı Hakları" (bölüm Panelinde linkli)
9.2 AB (GDPR Madde 15-22)
| Hak | Açıklama | GDPR Madde |
|---|---|---|
| Erişim Hakkı | Kendi verilerini alma | Art. 15 |
| Düzeltme | Yanlış verileri düzeltme | Art. 16 |
| Silme (Unutulma) | Verilerini silinmesini isteme | Art. 17 |
| İşleme Kısıtlanması | Belirli amaçlara işlemeyi durdurma | Art. 18 |
| Taşınabilirlik | Yapılandırılmış, yaygın format'ta veri alma | Art. 20 |
| İtiraz | Meşru faydalar bazlı işlemeye itiraz | Art. 21 |
| Profiling'e Karşı Koruma | Tamamen otomatik karar alma'ya itiraz | Art. 22 |
| Çocuk Hakları | 16 yaş altı müşterilerin ebeveyn onayı | Art. 8 |
Talep Yöntemi: dpo@qrestai.com veya Uygulamada Portal (varsa)
10. Çocuk Koruma
10.1 Türkiye
- QRestAI; 18 yaş altı kişilerin hesap açmasına izin vermez
- Kasıtlı olarak 18 yaş altının verisi toplandıysa, derhal silinir
- Veli/Kayyım onayı istenebilir
10.2 AB (GDPR)
- 16 yaş üstü: Kendi rızasıyla hesap açabilir
- 16 yaş altı: Ebeveyn/Vasi rızası zorunlu (GDPR Article 8)
- EU üye devletleri farklı yaşlar belirleyebilir (bazıları 13 yaş)
- QRestAI, 13 yaş altı hesapları desteklemez
11. Uluslararası Veri Transferleri
11.1 Türkiye → Dışarı
- Hizmet sağlayıcıları: bulut tabanlı nesne depolama ve içerik dağıtım ağı (CDN) sağlayıcısı (USA/EU), bulut tabanlı log ve analitik altyapı sağlayıcısı (USA), yapay zekâ hizmet sağlayıcıları (büyük dil modeli / görsel üretim) (USA) ve e-posta gönderim (transactional) sağlayıcısı kullanılır
- Hukuki Dayanak: KVKK Md. 9 (Yurtdışına Aktarım Şartları)
- Koşul: Hedef ülkenin Kişisel Verileri Koruma Kurulu tarafından "yeterli" kabul edilmesi VEYA standart sözleşmeler (DPA ile SCC)
11.2 AB Dışarı
- Standard Contractual Clauses (SCC) — GDPR Article 46(2)(c) uyarınca imzalı
- TRN (Transfer Risk Mitigation) Talimat — bulut sağlayıcıların GDPR uyumu: içerik dağıtım ağı (CDN) sağlayıcısının EU bölge seçeneği mevcuttur
- Schrems II Uyumu — USA veri işlemesi: işin başından itibaren sözleşmelerle uyumludur
Müşteri, verilerin Amerika'da işlenmesi riski konusunda haberdar olmalıdır.
12. Üçüncü Taraf Hizmetleri
12.1 Müşteri Sağlayıcıları
- Fotoğraf CDN: Müşteri-sağlanan fotoğraf URL'leri (örn. Unsplash, Cloudinary) — bu sağlayıcıların şartları geçerli
- Ödeme Bağlantısı: Müşteri kendi ödeme sistemini bağlarsa (varsa), o sistemin şartları geçerli
12.2 QRestAI Seçmiş Hizmetleri
Tümü GDPR/KVKK uyumlu DPA'lar imzalıdır.
13. Gizlilik Politikasında Değişiklik
13.1. QRestAI bu Politika'yı güncelleyebilir. Önemli değişiklikler 30 gün önceden e-posta ile bildirilir.
13.2. Değişiklik tarihinden sonra Hizmet kullanmaya devam etmek, yeni Politika'yı kabul etmek anlamına gelir.
13.3. GDPR Madde 13(2)(c) uyarınca yeniden rıza gerekiyorsa (örn. yeni AI sağlayıcı), müşteriler açık olarak sorulacak.
14. Bize Ulaşın
14.1 Genel Sorular
- E-posta: legal@qrestai.com
- Portal: Hesap Ayarları → "Destek"
14.2 Veri Tarafı Hakları / Gizlilik Talepleri
- DPO (Data Protection Officer): dpo@qrestai.com
- Talep Türü: Erişim, Silme, İtiraz, Taşınabilirlik vb.
- Cevap Süresi: 30 gün (GDPR/KVKK)
14.3 Veri Sızıntısı İleme / Güvenlik Sorunu
- E-posta: security@qrestai.com
- Acil: +[Telefon Yer Tutucu] (saatlik irtibat)
14.4 Şikayet / Denetim Makamlarına Başvuru
Türkiye:
- Kişisel Verileri Koruma Kurumu (KVKK)
- Adres: [Adres Yer Tutucu]
- Web: https://www.kvkk.gov.tr/
- Şikayet Formu: https://www.kvkk.gov.tr/Icerik/3666/Sikayetim
AB Üye Devletleri:
- İlgili Ülkenin Veri Koruma Makamı
- Örnek (Almanya): Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
- Örnek (Fransa): Commission Nationale de l'Informatique et des Libertés (CNIL)
- GDPR Article 77 uyarınca doğrudan başvuru hakkı (mahkemeye gitmeden)
Birleşik Krallık:
- Information Commissioner's Office (ICO)
- Web: https://ico.org.uk/make-a-complaint/
15. Tanımlar
- Veri Kontrolörü: Verilerin işlenme amacını ve araçlarını belirleyen kişi/kuruluş (QRestAI bu roles'de)
- Veri İşleyeni: Kontrolörü'nün talimatıyla verileri işleyen kişi/kuruluş (bulut altyapı sağlayıcısı, yapay zekâ hizmet sağlayıcısı vb.)
- Kişisel Veri: Belirlenmiş veya belirlenebilir doğal kişiye ilişkin her türlü bilgi
- İşleme: Toplama, kaydetme, değiştirme, kullanma, paylaşma, silme vb. her işlem
- Rıza: Özgür, belirli, bilgilendirilmiş ve açık onay
- Meşru Faydalar: İşlemenin kontrol kişisinin veya üçüncü tarafların haklı çıkarlarına hizmet ettiği durum
Son Güncelleme: 2026-06-17 Sürüm: v1-2026-06