KVKK Aydınlatma Metni

2.1. Kimlik ve iletişim verileri

• Ad, soyad
• E-posta adresi
• Telefon numarası
• Doğum tarihi ve/veya 18+ yaş beyanı

2.2. Öğrenci profil verileri

• Hedef sınav bilgisi (YKS, KPSS, LGS, ALES, AGS vb.)
• Haftalık müsaitlik ve çalışma tercihi bilgileri
• Çalışma planı etkileşim verileri (günlük özet açılma, hatırlatma yanıtları)
• Platform içi davranış ve performans verileri (çözülen soru, doğru/yanlış oranı, başarı oranı)

2.3. Müşteri işlem verileri

• Satın alınan paket bilgisi, paket kapsamı, başlangıç/bitiş tarihleri
• Ödeme tutarı, ödeme tarihi, yenileme durumu
• İptal, iade ve değişiklik talepleri
• Destek talebi ve yazışma içerikleri

2.4. Finans ve ödeme verileri

• Ödeme işlem referansları (iyzico payment ID, conversation ID)
• Ödeme tarihi ve tutarı
• Fatura bilgileri

Önemli: Kart numaranız, CVC, kart sahibi adı gibi kart bilgileri NetNet sistemlerinde hiçbir şekilde saklanmaz. Ödeme işlemleri iyzico altyapısı üzerinden yapılır; kart bilgileri yalnızca iyzico tarafında tokenize edilmiş biçimde tutulur.

2.5. İşlem güvenliği verileri

• Oturum çerezleri ve JWT token'ları
• Giriş/çıkış kayıtları (tarih, oturum sürümü)
• IP adresi, tarayıcı ve cihaz bilgisi (güvenlik ve dolandırıcılık tespiti için)
• Hatalı giriş denemesi ve kötüye kullanım tespit kayıtları

2.6. Telegram entegrasyon verileri

• Telegram chat ID eşleşmesi
• Bot ile yapılan etkileşim kayıtları (plan mesajları, soru cevapları)

2.7. Onay ve denetim verileri

• Kullanım Koşulları, KVKK Aydınlatma, Mesafeli Satış, Ön Bilgilendirme ve diğer metinlerin onay kayıtları (tarih, IP, tarayıcı, metin sürümü, metin hash'i)
• Hesap silme, veri indirme, başvuru işlemlerinin denetim kayıtları
• Pazarlama izin/ret kayıtları

3.1. Sözleşmenin kurulması ve ifası

• Hesap oluşturma ve doğrulama
• Satın alınan paketi size sunma
• Yapay zekâ destekli çalışma planı oluşturma ve sürdürme
• Telegram üzerinden günlük hatırlatma ve koçluk akışı
• Soru pratiği ve performans takibi
• Destek taleplerine cevap verme

3.2. Yasal yükümlülüklerin yerine getirilmesi

• Vergi, ticaret ve tüketici mevzuatı gereği kayıt tutma
• Fatura düzenleme ve saklama
• Veri saklama ve imha süreçlerinin denetim altına alınması
• Resmi kurum taleplerine yanıt verme

3.3. Meşru menfaat

• Hizmet güvenliğinin sağlanması, dolandırıcılık tespiti
• Platform performansının izlenmesi ve iyileştirilmesi
• Teknik arızaların tespiti ve giderilmesi
• Kötüye kullanımın önlenmesi

3.4. Açık rıza

• Ticari elektronik ileti (pazarlama) gönderimi (yalnızca ayrıca onay vermeniz hâlinde)
• Opsiyonel çerezlerin kullanımı (analitik, pazarlama)

4.1. Toplama yöntemleri

• Web sitesi ve panel üzerindeki form gönderimleri
• Ödeme sağlayıcısından gelen geri bildirimler (callback)
• E-posta ve destek kanalı yazışmaları
• Telegram bot etkileşimleri
• Otomatik sistem kayıtları (oturum, güvenlik log'ları, çerezler)

4.2. Hukuki sebepler

KVKK md.5/2 çerçevesinde aşağıdaki sebeplerden biri veya birkaçı gerekçedir:

Platform özel nitelikli kişisel veri (sağlık, din, etnik köken, biyometrik, genetik vb.) işlememektedir.

5.1. Yurt içi aktarımlar

• iyzico Ödeme ve Elektronik Para Kuruluşu A.Ş. — Ödeme işlemleri, ödeme güvenliği
• SMS sağlayıcı — Telefon doğrulama ve iki faktörlü kimlik doğrulama
• Resmi kurumlar — Yasal yükümlülük çerçevesinde talep edilirse

5.2. Yurt dışı aktarımlar

Aşağıdaki hizmet sağlayıcılar yurt dışında konumlanmıştır:

• Supabase Inc. — Veritabanı ve uygulama altyapısı barındırma
• Vercel Inc. (ABD) — Uygulama barındırma ve edge network
• E-posta sağlayıcı — Transaksiyonel ve bilgilendirme e-postaları
• Telegram — Bot üzerinden koçluk akışı (kullanıcı Telegram hesabıyla eşleşme yaptığında)

Yurt dışı aktarımlar KVKK md.9 çerçevesinde; sözleşmesel güvenceler, veri işleme sözleşmeleri ve açık rıza alındığı hâllerde yasal olarak gerçekleştirilir. Kayıt sırasında sunulan aydınlatma metninin kabulü ile bu aktarımlar için bilgilendirildiğiniz teyit edilir; aktarımlara açık rıza gerektiği durumlarda ayrıca onayınız istenir.

NetNet; kişisel verilerinizi pazarlama amacıyla üçüncü şirketlere satmaz.

8.1. Başvuru kanalları

8.2. Başvuru yanıt süresi

Başvurularınız en geç 30 güniçinde değerlendirilip sonuçlandırılır (KVKK md.13/2). Başvuru ücretsizdir; ancak talep edilen işlemin ayrıca bir maliyeti olması hâlinde Kurul'un belirlediği tarifedeki ücret tahsil edilebilir.

8.3. Kurul'a şikayet

Başvurunuzun reddedilmesi, yetersiz bulunması veya süresinde cevaplanmaması hâlinde, Kişisel Verileri Koruma Kurulu'na şikayet edebilirsiniz:

• Web: kvkk.gov.tr
• Şikayet süresi:NetNet'in cevabını öğrendiğiniz tarihten itibaren 30 gün, her hâlde başvuru tarihinden itibaren 60 gün

9.1. Teknik tedbirler

• Şifreleme: TLS/HTTPS ile tüm iletişim; şifreler kriptografik hash (argon2/bcrypt) ile saklanır
• Veritabanı erişim kontrolü: Row Level Security (RLS) ile satır bazında yetkilendirme
• Kart bilgisi saklanmaz; yalnızca iyzico tarafında tokenize referans tutulur
• İki faktörlü doğrulama: kritik işlemlerde (hesap silme, abonelik iptali, veri değişikliği) e-posta + SMS OTP
• Oturum versiyonlama (`sv`): şifre değişikliği veya "tüm cihazlardan çıkış" işleminde tüm aktif oturumlar anında geçersiz kılınır
• Ödeme yanıtları sanitize edilerek saklanır (kart token, CVC gibi hassas alanlar temizlenir)
• Rate limiting ve brute force koruması
• Yedekleme ve olay kurtarma prosedürleri

9.2. İdari tedbirler

• Erişim kontrol ve ayrıcalıklı hesap yönetimi
• Admin işlemlerinin denetim günlüğüne alınması (`admin_islem_loglari`)
• Veri saklama ve imha politikası — kaynak kod deposunda: docs/DATA_RETENTION_AND_LOGS.md
• Olay müdahale planı: docs/INCIDENT_RESPONSE.md
• Ters ibraz ve uyuşmazlık süreçleri: docs/CHARGEBACK_ILK_TEPKI.md

9.3. Veri ihlali bildirimi

KVKK md.12/5 gereği, kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi hâlinde 72 saat içindeKurul'a ve ilgili kişilere bildirim yapılır.