K.V.K.K. Aydınlatma Metni

"Kişisel Verilerin Korunması Kanunu" Aydınlatma Metni

Son güncelleme tarihi: 19 Mayıs 2026  |  Sürüm: 2.0


Tanımlar

İşbu aydınlatma metninde geçen;

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel Verilerin Korunması Kanunu ("KVKK"): 7 Nisan 2016 tarihinde Resmi Gazete'de yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu'nu,

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına Kişisel Verileri işleyen gerçek veya tüzel kişiyi,

Veri Sorumlusu: Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,

İşleme: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.


Veri Sorumlusu

KVKK uyarınca WOX Teknoloji Yazılım Anonim Şirketi ("Şirket", "WOX Teknoloji") Veri Sorumlusu sıfatıyla hareket etmektedir.

İletişim Bilgileri:
Ünvan: WOX Teknoloji Yazılım Anonim Şirketi
Adres: 10032 Sok. No: 2 İTOB OSB Menderes / İZMİR
Telefon: 0 (850) 533 0 383
E-posta: [email protected]
KEP: [email protected]
Veri Koruma İletişim Noktası: [email protected]


İşlenen Kişisel Veri Kategorileri

Şirketimiz aşağıdaki kişisel veri kategorilerini işlemektedir:

  • Kimlik bilgileri: Ad, soyad, T.C. kimlik numarası (sözleşme/fatura için), doğum tarihi.
  • İletişim bilgileri: Telefon, e-posta, adres, KEP.
  • Müşteri işlem bilgileri: Sözleşme, fatura, ödeme kayıtları, talep ve şikayet kayıtları.
  • İşlem güvenliği bilgileri: IP adresi, oturum bilgisi, log kayıtları, parola/parola değişiklik bilgileri, cihaz tanımlayıcılar.
  • Hukuki işlem bilgileri: Adli makamlarla yazışmalar, dava dosyaları (varsa).
  • İletişim içeriği: TourMAX üzerinden WhatsApp/Instagram/Facebook aracılığıyla iletilen mesaj içerikleri (Veri İşleyen sıfatıyla — Müşteri Veri Sorumlusu'dur).
  • Pazarlama bilgileri: İletişim izinleri, açık rıza beyanları, kampanya tercihleri.

Kişisel Verilerin İşlenme Amacı

KVKK'nın 4., 5. ve 6. maddeleri uyarınca kişisel verileriniz;

• Hukuka ve dürüstlük kurallarına uygun,

• Doğru ve gerektiğinde güncel,

• Belirli, açık ve meşru amaçlar için,

• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü,

• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

kurallarına uygun bir şekilde aşağıdaki amaçlarla işlenmektedir:

  • Hizmet sözleşmelerinin kurulması ve ifası (TourMAX abonelik, lisans, destek hizmetleri).
  • Faturalandırma, ödeme tahsilatı, muhasebe ve mali raporlama.
  • Müşteri destek taleplerinin karşılanması, şikayet yönetimi.
  • Yasal yükümlülüklerin ifası (VUK, TTK, KVKK, e-Fatura, e-Arşiv mevzuatı, MASAK).
  • Sistem ve hizmet güvenliğinin sağlanması, suistimal ve dolandırıcılık tespiti.
  • İş geliştirme, ürün/hizmet iyileştirme, istatistiksel analiz (anonimleştirilmiş şekilde).
  • Açık rıza halinde pazarlama, kampanya bilgilendirmesi, bülten gönderimi.
  • Hukuki süreçlerin yönetilmesi, dava ve uyuşmazlık halinde delil oluşturulması.

Kişisel Verilerin Aktarımı

KVKK m.8 ve m.9 uyarınca, kişisel verileriniz aşağıdaki taraflara aktarılabilir:

Yurt İçi Aktarım:

  • Mali müşavir / yeminli mali müşavir / hukuk müşaviri (sözleşme gereği).
  • E-Fatura ve e-Arşiv entegratörü.
  • Ödeme kuruluşları (iyzico, Param, Stripe TR vb.).
  • SMS, e-posta, KEP gönderim sağlayıcıları.
  • Yetkili kamu kurum ve kuruluşları (yasal talep halinde).

Yurt Dışı Aktarım (Açık rıza ile veya KVKK m.9 istisnaları kapsamında):

  • Meta Platforms, Inc. (ABD): WhatsApp Business Cloud API, Instagram Graph API, Facebook Messenger entegrasyonu — TourMAX kullanıcılarınızın iletişim verileri.
  • Bulut altyapı sağlayıcıları (AB / Frankfurt): Sunucu, object storage, CDN.
  • Analitik sağlayıcıları: Google Analytics (ABD/AB) — açık rıza ile.

Yurt dışı aktarımlar, KVKK Kurulu'nca onaylanmış Standart Sözleşmeler ya da açık rızanız çerçevesinde gerçekleşir. GDPR kapsamında Standard Contractual Clauses (SCC) uygulanır.


Kişisel Verilerin Toplanma Yöntemi ve Hukuki Sebebi

Kişisel verileriniz; web sitemiz, TourMAX uygulama arayüzü, mobil arayüzler, e-posta, telefon, faks, KEP, sosyal medya hesapları (yorum/mesajlar), iletişim formları, sözleşme süreçleri ve fatura işlemleri kanalıyla, otomatik veya otomatik olmayan yollarla toplanmaktadır.

Toplanan veriler aşağıdaki hukuki sebeplere dayanılarak işlenir:

  • Açık rıza (KVKK m.5/1) — pazarlama iletileri, çerezler, yurt dışı veri aktarımı.
  • Sözleşmenin kurulması veya ifası (KVKK m.5/2-c) — abonelik, fatura, hizmet sunumu.
  • Hukuki yükümlülüğün yerine getirilmesi (KVKK m.5/2-ç) — Vergi, KVKK, ticari mevzuat.
  • Bir hakkın tesisi, kullanılması veya korunması (KVKK m.5/2-e) — hukuki ihtilaf, alacak takibi.
  • Veri sorumlusunun meşru menfaati (KVKK m.5/2-f) — bilgi güvenliği, suistimal tespiti.

Kişisel Veri Sahibinin Hakları

KVKK'nın 11. maddesi uyarınca herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel verilerinin işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) KVKK 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.


Başvuru Yöntemi

"Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ" uyarınca aşağıdaki yollardan biriyle başvurabilirsiniz:

  • E-posta (sistemde kayıtlı e-posta adresinizden): [email protected]
  • KEP üzerinden: [email protected]
  • Yazılı (ıslak imzalı): 10032 Sok. No: 2 İTOB OSB Menderes / İZMİR adresine kimlik fotokopisi ile birlikte iadeli taahhütlü posta.
  • Noter aracılığıyla.

Başvurunuz en geç 30 gün içinde sonuçlandırılır. Başvuru ücretsizdir; ancak işlem ek bir maliyet gerektiriyorsa KVKK Kurulu'nca belirlenen tarife uygulanır.

Başvurunuzun reddedilmesi, cevabın yetersiz bulunması veya 30 gün içinde cevap verilmemesi halinde KVKK Kurulu'na şikayette bulunma hakkınız bulunmaktadır: www.kvkk.gov.tr


Veri Güvenliği

Şirketimiz, kişisel verilerinizin güvenliği için aşağıdaki teknik ve idari önlemleri almaktadır:

  • TLS 1.2+ şifreli iletişim, AES-256-GCM ile hassas alan şifrelemesi.
  • İki faktörlü kimlik doğrulama (2FA), rol bazlı erişim kontrolü, audit log.
  • Webhook ve API iletişiminde HMAC SHA-256 imza doğrulama.
  • Düzenli güvenlik denetimi, sızma testi, zafiyet taraması.
  • Personele yıllık KVKK ve bilgi güvenliği eğitimi.
  • Veri ihlali halinde KVKK Kurulu'na 72 saat içinde bildirim prosedürü.

Veri Saklama Süreleri

Kişisel veriler işleme amacının gerektirdiği süre boyunca ve aşağıdaki yasal saklama yükümlülükleri çerçevesinde saklanır:

  • Sözleşme ve fatura verileri: 10 yıl (TTK m.82, VUK m.253).
  • Çerez ve log kayıtları: 6 ay – 24 ay (türüne göre).
  • Pazarlama izinleri: Geri çekilene kadar; sonrasında kanıt amacıyla 3 yıl.
  • WhatsApp/IG/FB mesaj içerikleri: Varsayılan 3 yıl (Müşteri ayarına göre değişebilir).
  • Audit log kayıtları: 5 yıl.

Saklama süresi sona erdiğinde veriler güvenli şekilde silinir, yok edilir veya anonim hale getirilir.


Politika Güncellemeleri

İşbu Aydınlatma Metni, mevzuat değişiklikleri ve hizmet kapsamımızın değişmesi halinde güncellenebilir. Güncel sürüm her zaman bu sayfada yayında olacaktır. Esaslı değişikliklerde kayıtlı e-posta adresinize bildirim yapılacaktır.



Bu Aydınlatma Metni 19 Mayıs 2026 tarihinde yayınlanmıştır ve aynı tarih itibarıyla yürürlüğe girmiştir.