Gizlilik Politikası

Veri Sorumlusu: Menu Points, {{LEGAL_NAME_TBD}}, {{REGISTERED_ADDRESS_TBD}}, İzmir, Türkiye. MERSİS: {{MERSIS_TBD}}. Vergi Dairesi / No: {{TAX_OFFICE_TBD}}.

VERBİS Kayıt Numarası: {{VERBIS_TBD}} (belirlenen eşiklerin altında kalınması hâlinde, yayınlamadan önce muafiyet gerekçesini buraya ekleyin).

Veri ile ilgili tüm başvurular için: hello@menupoints.com.tr. Yayına almadan önce bu adresi kvkk@menupoints.com.tr gibi özel bir adresle değiştirmenizi tavsiye ederiz.

KVKK Madde 13 — Başvuru Zorunluluğu: İlgili kişiler, Kişisel Verileri Koruma Kurulu'na başvurmadan önce veri sorumlusuna başvurmak zorundadır. Başvurunuzu e-posta yoluyla iletebilirsiniz; 30 takvim günü içinde yanıt verilecektir.

Bu Gizlilik Politikası aşağıdakiler için geçerlidir:

• menupoints.com.tr açılış sayfası ve tüm alt sayfaları
• Restoran personeli tarafından kullanılan Menu Points panosu
• Restoran misafirleri tarafından erişilen müşteriye yönelik QR menü sayfaları
• Bir restoran tarafından etkinleştirildiğinde Rezervasyon, Sıra Yönetimi ve Yapay Zeka Garson eklentileri

Temel tanımlar:

• Veri Sorumlusu: Kişisel verilerin işlenme amaç ve yöntemlerini belirleyen taraf. Menu Points; personel hesabı verileri ve ziyaretçi analitik verileri bakımından veri sorumlusudur.
• Veri İşleyen: Restoranların misafirlerinden topladığı kişisel veriler (rezervasyon adları, telefon numaraları vb.) söz konusu olduğunda Menu Points, veri işleyen olarak hareket eder. Bu verilerin veri sorumlusu ilgili restoran olup kendi gizlilik bildirimini yayımlamakla yükümlüdür.
• İlgili Kişi: Kişisel verisi işlenen, kimliği belirli ya da belirlenebilir gerçek kişi.
• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (KVKK Madde 3; GDPR Madde 4).

İlgili kişi gruplarına göre işlediğimiz kişisel veri kategorileri aşağıda belirtilmiştir:

a) Restoran personeli / hesap sahipleri

• Ad, soyad, e-posta adresi, hashlenmiş parola
• Restoran adı, adresi, logo, marka varlıkları, menü içerikleri
• Fatura bilgileri: abonelik planı, fatura adresi; kart bilgileri yalnızca {{PAYMENT_PROCESSOR_TBD}} tarafından işlenir (yalnızca son dört hane saklanır)
• IP adresi, cihaz türü, tarayıcı, oturum etkinlik kayıtları

b) Restoran misafirleri (QR menü ziyaretçileri)

• IP adresinden türetilen ülke/şehir bilgisi
• Cihaz türü, tarayıcı, işletim sistemi, görüntülenen sayfalar ve menü kalemleri, tarama zaman damgaları
• Hesap veya giriş gerekmez; rezervasyon eklentisi etkin değilse misafirlerden ad veya e-posta toplanmaz.

c) Rezervasyon ve sıra kullanıcıları (eklenti — veri sorumlusu: restoran)

• Ad soyad, telefon numarası, kişi sayısı, rezervasyon tarih ve saati
• Rezervasyon sırasında iletilen özel istekler veya notlar
• Bu eklentiyi etkinleştiren restoran, bu verilerin veri sorumlusudur; Menu Points yalnızca veri işleyen sıfatıyla hareket eder.

d) Açılış sayfası ziyaretçileri

• IP adresi, tarayıcı türü, işletim sistemi, yönlendirme URL'si
• Çerez verileri — ayrıntılar için Çerez Politikamıza bakınız

Kişisel veriler aşağıdaki amaçlarla işlenmektedir:

• Hizmet sunumu: restoran hesaplarının oluşturulması ve yönetilmesi, QR kod oluşturma, menü sayfalarının yayınlanması, eklentilerin etkinleştirilmesi
• Analitik ve iyileştirme: restoran operatörlerine toplu menü görüntüleme ve etkileşim istatistikleri sunulması; platform özelliklerinin ve performansının geliştirilmesi
• Faturalama ve ödemeler: {{PAYMENT_PROCESSOR_TBD}} aracılığıyla abonelik ödemelerinin alınması, e-Arşiv/e-Fatura düzenlenmesi, iadelerin yönetilmesi
• Güvenlik ve dolandırıcılık önleme: kötüye kullanımın tespiti, hesapların korunması, hız sınırlama, yetkisiz erişimin engellenmesi
• Yasal yükümlülükler: KVKK, GDPR, Türk Ticaret Kanunu, Vergi Usul Kanunu ve diğer mevzuat kapsamındaki yükümlülüklerin yerine getirilmesi
• İletişim: işlem e-postaları (hesap onayı, parola sıfırlama, fatura makbuzları); pazarlama iletişimleri yalnızca önceden alınan açık rıza ve İYS kaydı ile gerçekleştirilir ({{IYS_STATUS_TBD}})
• Yapay Zeka Garson (etkin olduğunda): misafir tarafından yazılan metin istemlerinin {{LLM_PROVIDER_TBD}} aracılığıyla işlenerek otomatik menü önerileri üretilmesi — bkz. Bölüm 15

Kişisel veri işleme faaliyetlerimizde KVKK Madde 5/6 ile GDPR Madde 6 kapsamındaki aşağıdaki hukuki sebeplere dayanmaktayız:

• Sözleşmenin ifası (KVKK Md. 5/2-c, GDPR Md. 6/1-b): hesap yönetimi, hizmet sunumu ve faturalama için zorunlu işlemler
• Yasal yükümlülük (KVKK Md. 5/2-ç, GDPR Md. 6/1-c): vergi kayıtları, dolandırıcılığa karşı yükümlülükler, mahkeme kararlarına uyum
• Meşru menfaat (KVKK Md. 5/2-f, GDPR Md. 6/1-f): güvenlik izleme, platform analitiği ve dolandırıcılık önleme — ilgili kişilerin hak ve özgürlükleriyle dengelenerek uygulanmaktadır
• Açık rıza (KVKK Md. 5/1, GDPR Md. 6/1-a): pazarlama iletişimleri, zorunlu olmayan çerezler, 7499 sayılı Kanun sonrası yurt dışı aktarımlar ve özel nitelikli veri içerebilecek istemler için Yapay Zeka Garson işlemleri

Açık rıza; ayrı, belirli ve geri alınabilir bir irade beyanıdır. Bu koşulların kabulüyle birleştirilemez. Hizmetin yasal kullanımınızı etkilemeksizin her zaman geri alabilirsiniz.

Kişisel veriler aşağıdaki yollarla toplanmaktadır:

• Doğrudan sizden: kayıt ve katılım formları, hesap ayarları sayfaları, menü editörü, fatura formları, iletişim e-postaları ve destek talepleri
• Otomatik olarak: sunucu kayıtları, çerezler ve benzeri teknolojiler (bkz. Çerez Politikası), menü sayfasına yerleştirilmiş QR tarama analitiği, panodaki oturum etkinliği
• Üçüncü taraflardan: ödeme doğrulaması için {{PAYMENT_PROCESSOR_TBD}}; gelecekte sosyal giriş sağlayıcıları uygulanması durumunda
• Restoran operatörlerinden (işleyen sıfatıyla): restoranların eklenti aracılığıyla misafirleri hakkında girdiği rezervasyon ve sıra verileri

Kişisel veriler yalnızca zorunlu ölçüde ve gerekli veri işleme sözleşmeleri imzalanmış olarak paylaşılmaktadır. Mevcut alt işleyenlerimiz şunlardır:

• Barındırma sağlayıcısı: {{HOSTING_PROVIDER_TBD}} — platform, veritabanı ve dosya depolama altyapısı
• Ödeme işlemcisi: {{PAYMENT_PROCESSOR_TBD}} — faturalama, kart tokenizasyonu, PCI-DSS uyumu
• E-posta gönderim hizmeti: işlem e-postası sağlayıcısı (yayına almadan önce belirlenecek)
• Analitik platformu: TBD — anonimleştirilmiş, toplu kullanım verileri; IP anonimleştirme etkin
• Yapay zeka çıkarım hizmeti (Yapay Zeka Garson): {{LLM_PROVIDER_TBD}} — misafir istemleri bu sağlayıcıya iletilerek işlenir

Kişisel verileri üçüncü taraflara satmıyoruz. Açık rıza olmaksızın kişisel verileri reklamcılarla paylaşmıyoruz.

Yürürlükteki mevzuat gereğince Türk mahkemeleri, KVKK Kurulu veya diğer kamu makamlarına veri ifşa edebiliriz.

Menu Points Türkiye'de (İzmir) kurulu bir şirkettir. Bazı alt işleyenler Türkiye ve AB/AEA dışında sunucu işletmektedir. Tüm yurt dışı aktarımlar aşağıdaki çerçevede gerçekleştirilmektedir:

KVKK — 7499 Sayılı Kanun (Mart 2024'ten itibaren yürürlükte): aktarımlar (a) KVKK Kurulu'nun yeterlilik kararına, (b) Kurul onaylı standart sözleşme maddelerine veya (c) bağlayıcı şirket kurallarına dayanmaktadır. Bu mekanizmaların hiçbirinin uygulanamadığı hâllerde aktarımdan önce ilgili kişinin açık rızası alınmaktadır.

GDPR Madde 46: AB/AEA'da ikamet eden ilgili kişilerin verilerinin üçüncü ülkelerdeki işleyenlere aktarılması, Avrupa Komisyonu onaylı Standart Sözleşme Maddelerine (SCC) dayanmaktadır.

Bilinen aktarım hedefleri:

• {{HOSTING_PROVIDER_TBD}} — {{HOSTING_LOCATION_TBD}} konumundaki sunucular; aktarım mekanizması: {{HOSTING_TRANSFER_MECHANISM_TBD}}
• {{LLM_PROVIDER_TBD}} (Yapay Zeka Garson) — {{LLM_LOCATION_TBD}} konumundaki sunucular; aktarım mekanizması: {{LLM_TRANSFER_MECHANISM_TBD}}

Sınır ötesi özellikleri etkinleştirmeden veya AB'deki ilgili kişilerin verilerini toplamadan önce aktarım mekanizması ayrıntılarını tamamlayınız.

Kişisel veriler yalnızca toplandığı amaç için gerekli olduğu süre boyunca saklanmaktadır:

• Hesap verileri (restoran personeli): aktif hesap süresi boyunca ve hesabın kapatılmasından itibaren 3 yıl (TTK Madde 82)
• Fatura kayıtları: 10 yıl (VUK Madde 253)
• Misafir QR analitiği: 12 ay sonra toplu ve anonim hâle getirilir; ham IP kayıtları 90 gün içinde silinir
• Rezervasyon ve sıra verileri: rezervasyon tarihinden itibaren 12 ay sonra silinir; yasal bir zorunluluk yoksa daha erken silinmesi talep edilebilir
• Çerez onay kayıtları: rızanın verildiği tarihten itibaren 3 yıl
• İlgili kişi başvuru yazışmaları: sonuçlandırma tarihinden itibaren 3 yıl
• Güvenlik ve erişim kayıtları: 90 gün
• Yapay Zeka Garson istem verileri: aktif oturum dışında saklanmaz; yanıt iletildikten sonra istem verisi depolanmaz

Saklama süresi dolan kişisel veriler, sektör standartlarına uygun yöntemlerle güvenli biçimde silinir veya geri dönüşümsüz olarak anonimleştirilir.

KVKK Madde 11 kapsamında aşağıdaki haklara sahipsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme
• İşlemenin amacını ve verilerin bu amaca uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
• Eksik veya yanlış işlenmiş kişisel verilerin düzeltilmesini isteme
• İşleme koşullarının ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme
• Yapılan düzeltme veya silme işleminin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini talep etme
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranması hâlinde zararın giderilmesini talep etme

AB/AEA'da ikamet eden ilgili kişiler GDPR kapsamında ek olarak şu haklara sahiptir:

• Veri taşınabilirliği (Madde 20): verilerinizi yapılandırılmış ve makine tarafından okunabilir biçimde alma
• İşlemenin kısıtlanması (Madde 18): belirli koşullarda işlemenin duraklatılmasını talep etme
• İtiraz (Madde 21): meşru menfaate veya doğrudan pazarlamaya dayalı işlemeye itiraz etme
• Otomatik karar verme (Madde 22): yalnızca otomatik işlemeye dayalı ve önemli hukuki sonuçlar doğuran kararlara tabi tutulmama
• Rızanın geri alınması (Madde 7): rızanın geri alınmasından önceki işlemlerin hukuka uygunluğunu etkilemeksizin rızayı her zaman geri alma

Bölüm 10'da belirtilen haklarınızdan herhangi birini kullanmak için hello@menupoints.com.tr adresine aşağıdaki bilgileri içeren bir e-posta gönderin:

• Adınız, soyadınız ve hesabınızdaki e-posta adresi (ya da misafire ait verilerde, ilgili verinin tespit edilmesine yetecek yeterli bilgi)
• Kullanmak istediğiniz hak ve ilgili veriye ilişkin açık bir açıklama
• Kimliğinizi doğrulamak amacıyla gerekli görülen hâllerde geçerli bir kimlik belgesi

Yanıt süresi: Başvurunuzu 5 iş günü içinde teyit edecek, 30 takvim günü içinde sonuçlandıracağız (KVKK Madde 13; GDPR Madde 12). Karmaşık talepler GDPR kapsamında ek 60 gün daha uzatılabilir (bilgilendirme yapılır).

KVKK Madde 13 — Zorunlu ön başvuru: İlgili kişiler, KVKK Kurulu'na şikâyette bulunmadan önce veri sorumlusuna başvurmak zorundadır. Başvurunuz reddedilirse veya 30 gün içinde yanıtlanmazsa, cevabı aldıktan itibaren ya da başvurudan itibaren en geç 60 gün içinde Kurul'a şikâyette bulunabilirsiniz.

Standart başvurular için herhangi bir ücret talep edilmemektedir. Açıkça temelsiz veya aşırı nitelikteki başvurularda makul bir idari ücret uygulanabilir (GDPR Madde 12/5).

Veri koruma haklarınızın yeterince karşılanmadığı kanısına varırsanız, bize başvurduktan sonra ilgili denetim makamına şikâyette bulunabilirsiniz:

• Türkiye — KVKK Kurulu: Kişisel Verileri Koruma Kurumu. Adres: Nasuh Akar Mah. Ziyabey Cad. No: 1407 Balgat / Ankara. Web: www.kvkk.gov.tr
• AB/AEA'da ikamet edenler: Yerel Veri Koruma Otoriteniz. AB DPA'larının tam listesi için: edpb.europa.eu

Sorunlarınızı resmî başvuru olmaksızın hızla çözebilmek için önce doğrudan bizimle iletişime geçmenizi tavsiye ederiz.

KVKK Madde 12 uyarınca, kişisel verileri yetkisiz erişim, kazara kayıp, imha veya değiştirmeye karşı korumak amacıyla uygun teknik ve idari güvenlik tedbirlerini uyguluyoruz:

• İletimde şifreleme: tarayıcı ile sunucularımız arasında iletilen tüm veriler için TLS 1.2 ve üzeri
• Beklemede şifreleme: hassas veri alanları veritabanı katmanında şifrelenmektedir
• Erişim kontrolü: rol tabanlı izin sistemi; personel yalnızca görevi için gerekli verilere erişebilir (en az ayrıcalık ilkesi)
• Parola güvenliği: parolalar bcrypt veya eşdeğer bir algoritmayla hashlenerek saklanır, düz metin olarak depolanmaz
• Düzenli güvenlik incelemeleri: periyodik güvenlik açığı değerlendirmesi ve penetrasyon testleri
• Olay müdahalesi: kişisel veri ihlali durumunda haberdar olduğumuzdan itibaren 72 saat içinde KVKK Kurulu'na bildirim yapılır; ilgili kişiler yasal zorunluluk varsa gecikmeksizin bilgilendirilir

Menu Points 18 yaşın altındaki bireylere yönelik değildir ve onlardan bilerek kişisel veri toplamaz. Platform, restoran işletmecileri ve yetişkin tüketiciler için tasarlanmıştır.

Türk medeni hukukuna göre, küçüklerin kişisel verilerinin işlenmesi için veli veya vasi onayı gereklidir. GDPR Madde 8 uyarınca dijital hizmetler için rıza yaşı 16'dır (bazı AB üye devletlerinde daha düşük olabilir).

Bir çocuğun uygun onay olmaksızın Menu Points'e kişisel veri sağladığını düşünüyorsanız, lütfen derhal hello@menupoints.com.tr adresine başvurun; ilgili veriyi inceleyip hemen sileceğiz.

Bir restoran tarafından etkinleştirildiğinde Yapay Zeka Garson eklentisi, misafir tarafından yazılan metin istemlerini (örn. menü kalemleri hakkında sorular, diyet tercihleri, alerji sorguları) {{LLM_PROVIDER_TBD}} tarafından işletilen bir büyük dil modeli aracılığıyla işleyerek otomatik menü önerileri üretir.

GDPR Madde 22 uyarınca bu işlem otomatik veri işleme kapsamında değerlendirilmektedir. Ancak Yapay Zeka Garson yalnızca öneri sunar; nihai kararı (sipariş verme, yemek seçimi) her zaman misafirin kendisi alır. Yapay zeka çıktıları; bireyler üzerinde hukuki veya benzer nitelikte önemli sonuçlar doğuran kararlar için kullanılmaz.

Misafir istemleri özel nitelikli kişisel veri içerebilir (diyet kısıtlamaları, alerjiler, dinî gıda uygulamaları). Bu durumda, misafir oturumu için Yapay Zeka Garson işlemini etkinleştirmeden önce misafirin açık rızası alınmaktadır. Bu veriler aktif oturum dışında saklanmaz.

Yapay Zeka Garson eklentisi müşterilere sunulmadan önce bir Veri Koruma Etki Değerlendirmesi (DPIA) hazırlanmakta ve belgelenmektedir.

Yapay Zeka Garson'u etkinleştiren restoranlar, kendi veri sorumlusu yükümlülükleriyle uyumlu biçimde misafirlerini otomatik işleme özelliği hakkında bilgilendirmekle yükümlüdür.

Bu Gizlilik Politikasını uygulamalarımızdaki, yasal gereksinimlerdeki veya ürün özelliklerindeki değişiklikleri yansıtmak amacıyla zaman zaman güncelleyebiliriz. Önemli değişiklikler yapıldığında:

• Bu sayfanın üst kısmındaki "Son Güncellenme" tarihini güncelleriz
• Kayıtlı restoran operatörlerini değişiklikler yürürlüğe girmeden en az 30 gün önce e-posta ile bilgilendiririz
• Aynı süre boyunca Menu Points panosunda belirgin bir bildirim yayımlarız

Güncellenmiş politikanın yürürlük tarihinden sonra hizmeti kullanmaya devam etmek, değişikliklerin kabul edildiği anlamına gelir. Güncellenmiş politikayı kabul etmiyorsanız, hizmeti kullanmayı bırakarak hesabınızın kapatılması ve verilerinizin silinmesi için bizimle iletişime geçebilirsiniz.

Gizlilikle ilgili tüm sorularınız, ilgili kişi başvurularınız veya şikâyetleriniz için:

• E-posta: hello@menupoints.com.tr (önerimiz: kvkk@menupoints.com.tr)
• Posta adresi: Menu Points, {{REGISTERED_ADDRESS_TBD}}, İzmir, Türkiye
• Veri Sorumlusu Temsilcisi: {{DATA_OFFICER_TBD}} (VERBİS kaydından önce atanacak isim)

Tüm başvurulara 5 iş günü içinde yanıt vermeyi hedefliyoruz.

Bu Gizlilik Politikası hem Türkçe hem de İngilizce olarak yayımlanmaktadır. KVKK ve Türk hukuku açısından bağlayıcı metin Türkçe versiyondur. İngilizce versiyon yalnızca bilgi amaçlı olarak sunulmaktadır.

İki versiyon arasında herhangi bir tutarsızlık, muğlaklık veya çelişki olması hâlinde Türkçe versiyon esas alınacaktır.