KVKK

Kişisel Verilerin Korunması Aydınlatma Metni

Son güncelleme: 16 Mart 2026

1. Veri Sorumlusu

Bu aydınlatma metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında veri sorumlusu sıfatıyla hareket eden Masatab Kıbrıs Ltd. (“Şirket”, “biz”) tarafından hazırlanmıştır. Şirket, Kuzey Kıbrıs Türk Cumhuriyeti mevzuatına göre kurulmuş olup, restoran teknolojileri alanında faaliyet göstermektedir.

2. İşlenen Kişisel Veriler ve Kategorileri

Platform üzerinden aşağıdaki kişisel veri kategorileri işlenebilmektedir:

  • Kimlik bilgileri: ad, soyad (yalnızca restoran yönetici ve personel hesapları için).
  • İletişim bilgileri: e-posta adresi, telefon numarası (hesap oluşturma ve bildirim amaçlı).
  • Hesap ve yetkilendirme bilgileri: şifre hash değeri, PIN hash değeri, rol ve tenant üyelik bilgisi.
  • İşlem bilgileri: sipariş detayları, ödeme tutarları, ödeme yöntemi tercihi, iade kayıtları.
  • Cihaz ve oturum bilgileri: cihaz tanımlayıcısı, masa numarası, oturum başlangıç/bitiş zamanları, dil tercihi.
  • Log ve analitik verileri: IP adresi, tarayıcı türü, erişim zamanı, sayfa görüntülenme istatistikleri (toplu ve anonim).

Tablet (kiosk) üzerinden sipariş veren son müşterilerden doğrudan kimlik veya iletişim bilgisi talep edilmez. Masa oturumu boyunca yalnızca sipariş içeriği, masa ve cihaz tanımlayıcısı işlenir.

3. Kişisel Verilerin İşlenme Amacı

  • Sipariş oluşturma, hazırlama ve teslimat süreçlerinin yürütülmesi
  • Ödeme işlemlerinin gerçekleştirilmesi ve mutabakat
  • Restoran yönetici ve personel hesaplarının oluşturulması, kimlik doğrulama ve yetkilendirme
  • Mutfak ekranı (KDS) ve yönetim paneli işlevlerinin sağlanması
  • Platform güvenliğinin temini, yetkisiz erişim girişimlerinin tespiti ve önlenmesi
  • Yasal yükümlülüklerin yerine getirilmesi (vergi, muhasebe vb.)
  • Hizmet kalitesinin ölçülmesi ve iyileştirilmesi (anonim istatistikler)
  • Teknik destek ve müşteri ilişkilerinin yönetimi

4. Kişisel Verilerin İşlenmesinin Hukuki Sebebi

Kişisel verileriniz aşağıdaki hukuki sebeplere dayanılarak işlenir:

  • Sözleşmenin kurulması ve ifası (hizmet sözleşmesi, abonelik)
  • Kanunlarda açıkça öngörülmesi (vergi mevzuatı, tüketici hakkı)
  • Veri sorumlusunun meşru menfaati (platform güvenliği, dolandırıcılık önleme, hizmet iyileştirme)
  • Açık rıza (yalnızca yukarıdaki sebeplerle karşılanamayan işlemler için)

5. Kişisel Verilerin Aktarılması

Toplanan kişisel veriler, aşağıdaki sınırlı durumlar dışında üçüncü kişilerle paylaşılmaz:

  • Altyapı sağlayıcıları: Bulut barındırma (Supabase/AWS), CDN ve izleme hizmetleri gibi teknik altyapı sağlayıcılarına, yalnızca hizmetin işletilmesi için gerekli olan asgari veri aktarılır. Bu sağlayıcılar veri işleme sözleşmeleri ile bağlı olup, verileri başka amaçlarla kullanamazlar.
  • Ödeme kuruluşları: Ödeme işlemlerinin gerçekleştirilmesi için ödeme hizmeti sağlayıcılarına (örneğin iyzico/Stripe) gerekli işlem verileri aktarılır. Kart bilgileri Masatab sunucularında saklanmaz.
  • Yasal zorunluluklar: Yetkili kamu kurum ve kuruluşlarına, yasal bir zorunluluk bulunması hâlinde ve yalnızca talep edilen kapsamda bilgi aktarımı yapılabilir.
  • Restoran işletmesi (tenant): Her restoran yalnızca kendi tenant'ına ait sipariş, ödeme ve personel verilerine erişebilir. Farklı tenant'lara ait verilere erişim teknik olarak engellenmiştir (row-level security).

Kişisel verileriniz, hiçbir surette reklam, profilleme veya üçüncü taraf pazarlama amaçlı olarak satılmaz, kiralanmaz veya paylaşılmaz.

6. Veri Güvenliği Önlemleri

  • Tüm veri iletişimi TLS/HTTPS şifreleme ile korunur.
  • Şifreler ve PIN kodları tek yönlü hash algoritması ile saklanır; düz metin olarak tutulmaz.
  • Veritabanı düzeyinde row-level security (RLS) politikaları ile tenant izolasyonu sağlanır.
  • Rol tabanlı erişim kontrolü (RBAC) ile her kullanıcı yalnızca yetkili olduğu işlemleri gerçekleştirebilir.
  • API erişimlerinde hız sınırlandırma (rate limiting) uygulanır.
  • Oturum süresi sınırlı tutulur; etkinlik olmayan oturumlar otomatik sonlandırılır.
  • Sistem hata ve erişim kayıtları düzenli olarak izlenir.

7. Verilerin Saklanma Süresi

Kişisel verileriniz, işlenme amacının gerektirdiği süre boyunca ve ilgili mevzuatın belirlediği asgari saklama süreleri dâhilinde muhafaza edilir. Saklama süresi sona eren, işleme amacı ortadan kalkan veya ilgili kişinin talebi üzerine silinen veriler, kanuni zorunluluklar saklı kalmak kaydıyla geri döndürülmez biçimde imha edilir veya anonim hâle getirilir.

  • Sipariş ve ödeme kayıtları: ilgili vergi mevzuatı gereği en az 5 yıl
  • Hesap bilgileri: hesap aktif olduğu sürece ve kapatma talebinden itibaren en geç 6 ay
  • Log kayıtları: en fazla 2 yıl
  • Tablet oturum verileri: oturum kapanmasıyla birlikte anonim istatistik haricinde silinir

8. Çerezler ve Benzer Teknolojiler

Platform, oturum yönetimi ve güvenlik amacıyla teknik olarak zorunlu çerezler kullanmaktadır. Analitik veya reklam amaçlı üçüncü taraf çerezleri kullanılmamaktadır. Tablet kiosk modunda yalnızca oturum kimlik bilgisi geçici olarak saklanır ve oturum sonunda temizlenir.

9. İlgili Kişi Olarak Haklarınız

KVKK'nın 11. maddesi uyarınca aşağıdaki haklara sahipsiniz:

  • Kişisel verilerinizin işlenip işlenmediğini öğrenme
  • Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme
  • Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
  • Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme
  • Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
  • KVKK'nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme
  • Düzeltme ve silme işlemlerinin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme
  • İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme
  • Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme

10. Başvuru Yöntemi

Yukarıdaki haklarınıza ilişkin taleplerinizi aşağıdaki yöntemlerle iletebilirsiniz:

  • E-posta: kvkk@masatab.com adresine kimliğinizi teyit edici bilgilerle birlikte yazılı başvuru
  • Posta: Şirket merkezimize iadeli taahhütlü mektup yoluyla

Başvurular en geç 30 gün içinde ücretsiz olarak sonuçlandırılır. İşlemin ayrıca bir maliyet gerektirmesi hâlinde Kişisel Verileri Koruma Kurulu tarafından belirlenen tarife uygulanabilir.

11. Multi-Tenant Yapı ve Restoran Sorumluluğu

Masatab, multi-tenant bir SaaS platformudur. Her restoran işletmesi (“tenant”) kendi müşterilerine ve personeline ait verilerin işlenmesinde müstakilen veri sorumlusu konumundadır. Masatab, restoran tenant'larına teknik altyapı sağlayıcısı ve veri işleyen sıfatıyla hizmet vermekte olup:

  • Tenant verileri teknik olarak birbirinden izole edilmiştir (row-level security).
  • Masatab, bir tenant'a ait verileri diğer tenant'larla veya üçüncü kişilerle paylaşmaz.
  • Restoranın kendi müşterilerine yönelik KVKK aydınlatma yükümlülükleri ilgili restoran işletmesinin sorumluluğundadır.

12. Değişiklikler

Bu aydınlatma metni, yasal düzenlemeler veya platform değişiklikleri doğrultusunda güncellenebilir. Güncellenen metin bu sayfada yayımlanır ve önemli değişiklikler kayıtlı kullanıcılara e-posta ile bildirilir.

Ana sayfaya dönTablet girişine dön