₺750 ve üzeri siparişlerde ücretsiz kargo

Akademi Kahve

Yasal

Gizlilik Politikası

Sürüm 2.0

Yürürlük: 20 Nisan 2026

Bu doküman, Akademi Kahve olarak kişisel verilerinizi nasıl ele aldığımızı açıklar. Kahve hazırlarken gösterdiğimiz özeni burada da göstermeye çalışıyoruz: neyi, neden topladığımızı; nerede sakladığımızı; ne kadar tuttuğumuzu ve her adımda kararı size bırakacak hangi hakları elinizde tuttuğumuzu.

Yasal çerçeve olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uygulanır. Türkiye dışından ziyaret edenler için AB Genel Veri Koruma Yönetmeliği (GDPR) hükümleri paralel şekilde işler. İki düzen farklı yerlerde farklı koruma sağladığında, sizin lehinize olan geçerli olur.

1. Veri Sorumlusu

Akademi Kahve, Fatih Mehmet Kaya adına kayıtlı bir şahıs işletmesidir. Bu nedenle veri sorumlunuz bir şirket değil, gerçek bir kişidir.

  • Fatih Mehmet Kaya · Akademi Kahve
  • Sultantepe Mah. Selmani Pak Cad. Ekşioğlu Apt. No: 63/H İç Kapı: 11, 34672 Üsküdar/İstanbul
  • Vergi Dairesi / No: Üsküdar · 5310806742
  • hello@academyroastery.com

2. İşlenen Veri Kategorileri

Yalnızca size iyi bir hizmet vermek için ihtiyaç duyduğumuz kadarını topluyoruz. Rastgele veya ileride işime yarar diye toplanan hiçbir şey yok.

  • Kimlik ve iletişim: ad, soyad, e-posta, telefon, teslimat ve fatura adresi.
  • Hesap: şifre (yalnızca kriptografik hash olarak saklanır), oturum tanımlayıcı, dil tercihi.
  • Sipariş: ürünler, adetler, fiyatlar, fatura kayıtları.
  • Ödeme referansı: işlem kimliği, tutar, sonuç. Kart bilgileri iyzico tarafından işlenir; bizde ne görünür ne saklanır.
  • İletişim: form veya e-posta yoluyla gönderdiğiniz mesajların içeriği.
  • Atölye kayıtları: seçilen atölye, tarih, özel istekler (ör. alerji).
  • Toptan başvuruları: işletme adı, temas kişisi, tahmini aylık hacim.
  • Ürün değerlendirmeleri: görünür ad, puan, metin. Doğrulama için e-posta adresi gizli tutulur.
  • Teknik: IP adresi (mümkün olduğunda anonimleştirilir), tarayıcı, cihaz, oturum tanımlayıcısı.

Her bir veri işleme faaliyetinin tam teknik envanteri docs/KVKK_VERI_ENVANTERI.md dosyasında versiyon kontrolünde tutulur. Özeti talep üzerine paylaşılır.

3. İşleme Amaçları ve Hukuki Sebepler

Her bir amaç için KVKK madde 5 ve GDPR madde 6 kapsamında ayrı bir hukuki sebep uygulanır. Tek bir genel gerekçe değil; her amacın sebebi kendisine aittir.

AmaçHukuki sebep
Hesap, sipariş, ödeme, teslimatSözleşmenin ifası (KVKK 5/2-c · GDPR 6/1-b)
Fatura, vergi kaydı, tüketici mevzuatıHukuki yükümlülük (KVKK 5/2-ç · GDPR 6/1-c)
Güvenlik, dolandırıcılık önleme, hata izlemeMeşru menfaat (KVKK 5/2-f · GDPR 6/1-f)
Bülten, analitik çerezler, ürün değerlendirmeleriAçık rıza (KVKK 5/1 · GDPR 6/1-a)
Müşteri desteği, soruları yanıtlamaMeşru menfaat (KVKK 5/2-f · GDPR 6/1-f)
Atölye kaydı, katılım, takip iletişimiSözleşmenin ifası (KVKK 5/2-c · GDPR 6/1-b)
B2B / toptan müşteri yönetimi (CRM)Meşru menfaat (KVKK 5/2-f · GDPR 6/1-f)
Abonelik yönetimi (düzenli teslimatlar)Sözleşmenin ifası (KVKK 5/2-c · GDPR 6/1-b)

4. Üçüncü Taraf Veri İşleyenler

Küçük ve özenli bir çevrimiçi dükkan işletmek, kısa bir güvenilir sağlayıcılar listesine yaslanmak demektir. Her biriyle bir veri işleme anlaşmamız var ve her biri yalnızca kendi rolü için gerekli veriye erişir.

  • iyzico Ödeme Hizmetleri A.Ş. · Ödeme altyapısı (bölge: Türkiye)
  • Vercel Inc. · Barındırma ve CDN (bölge: AB (Frankfurt))
  • Supabase Inc. · Oturum ve veri depolama (bölge: AB (Frankfurt))
  • Sanity.io · İçerik yönetimi (bölge: AB (İrlanda))
  • Functional Software, Inc. (Sentry) · Hata izleme (bölge: AB (Frankfurt))
  • Vercel Analytics · Anonim ziyaretçi ölçümü (bölge: AB)
  • Cloudflare, Inc. · Form bot koruması (Turnstile) (bölge: Global)

5. Yurt Dışı Aktarımlar

Veri işleyenlerimizin çoğu AB'de, bir kısmı ise ABD'dedir. Verilerinizi Türkiye dışına yalnızca sağlayıcının gerektirdiği durumlarda ve aşağıdaki güvencelerle aktarıyoruz:

  • Standart Sözleşme Hükümleri (SCC): Avrupa Komisyonu tarafından onaylanmış, AB dışındaki her işleyeniyle imzalanmıştır.
  • AB Yeterlilik Kararları: Avrupa Komisyonu tarafından eşdeğer koruma sağladığı onaylanan ülkeler için.
  • AB-ABD Veri Gizliliği Çerçevesi (DPF): ilgili ABD sağlayıcıları için.

Her bir veri işleyenimiz için uygulanan aktarım mekanizmasının tam listesini talep edebilirsiniz.

6. Saklama Süreleri

Veriyi, saklamak için net bir nedenimiz olduğu sürece tutuyoruz. Neden ortadan kalktığında veri de gider.

  • Sipariş ve fatura kayıtları: 10 yıl (VUK m.253).
  • Hesap verileri: hesap aktif olduğu sürece ve takiben 3 yıl.
  • İletişim kayıtları: son iletişimden itibaren 3 yıl.
  • Atölye kayıtları: atölye tarihinden 2 yıl sonrasına kadar.
  • Bülten onayı: iptal edilene kadar; iptal kaydı 5 yıl saklanır.
  • Güvenlik ve hata kayıtları: kaynağa göre 30–90 gün.
  • Çerez tercihleri: tarayıcınızda 1 yıl.

7. Veri Güvenliği Tedbirleri

KVKK m.12 ve GDPR m.32 kapsamında riskle orantılı teknik ve idari tedbirler uygularız. Temeller şunlar:

  • Aktarım sırasında şifreleme: TLS 1.3, HTTPS-only.
  • Şifre hash'lemesi: argon2id. Düz metin şifreler hiçbir yerde saklanmaz.
  • Satır seviyesi erişim denetimi: veritabanı kuralları her kullanıcının yalnızca kendi kayıtlarını okumasını sağlar.
  • Yönetici erişimi: iki faktörlü doğrulamalı kurumsal mail allow-list ile sınırlıdır.
  • Sağlık izlemesi: /api/health üzerinden sürekli kontroller ve saatlik dış smoke testleri.
  • Hız sınırlaması: giriş, ödeme callback'i ve form gönderimlerinde, kötüye kullanıma karşı.
  • İçerik Güvenlik Politikası: üçüncü taraf scriptleri denetlenmiş bir allow-list ile sınırlar.
  • Şifreli yedekler: günlük otomatik, 7 gün retention, sağlayıcı tarafından bölge içinde saklanır.

8. Çocukların Verileri

Ürün ve hizmetlerimiz yetişkinlere yöneliktir. 18 yaşın altındaki kişilerden bilerek veri toplamıyoruz. Bir çocuğun size ait olmayan veri gönderdiğini düşünüyorsanız aşağıdaki adresten bize ulaşın, kaydı sileriz.

9. Otomatik Karar Verme ve Profilleme

Size karşı hukuki sonuç doğuran veya benzer nitelikte önemli etkiler yaratan otomatik karar verme mekanizmaları kullanmıyoruz; sizi hedeflemek veya sınıflandırmak için profil oluşturmuyoruz. Bu durum bir gün değişirse bu metni güncelleriz ve gerekli yerlerde açık rızanızı isteriz.

10. Pazarlama İletişimleri

Bülteni yalnızca opt-in kutusunu işaretledikten ve doğrulama e-postamızdaki bağlantıya tıklayarak adresinizi onayladıktan sonra göndeririz. İşaret yoksa, e-posta yok.

Dilediğiniz an, her pazarlama e-postasının altındaki "abonelikten çık" bağlantısına tıklayarak rızanızı geri çekebilirsiniz. Abonelik iptali anında onaylanır; onayın geri çekildiğini kanıtlamak için yalnızca 5 yıllık bir kayıt tutulur.

İşlemsel e-postalar (sipariş onayı, atölye hatırlatması) pazarlama sayılmaz; sipariş ettiğiniz hizmetin parçasıdır ve hizmeti iptal etmeden kapatılamaz.

11. Haklarınız

KVKK m.11 ve GDPR m.15–22 kapsamında şu haklara sahipsiniz:

  • kişisel verilerinizin işlenip işlenmediğini öğrenme;
  • işleme hakkında bilgi talep etme;
  • işleme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme;
  • verilerin aktarıldığı üçüncü tarafları öğrenme;
  • düzeltilmesini, silinmesini veya anonim hale getirilmesini isteme;
  • verilerinizi taşınabilir bir formatta talep etme (yalnızca GDPR);
  • otomatik kararlara itiraz etme;
  • hukuka aykırı işlemeden doğan zararın giderilmesini isteme;
  • açık rızanızı dilediğiniz an geri çekme;
  • denetim otoritesine şikayette bulunma (bkz. 15. bölüm).

12. Başvuru Prosedürü

En kolay yol, şu adrese yazmak: hello@academyroastery.com. Konu satırına "Veri talebi" yazın; kim olduğunuzu, ne istediğinizi, talebin hangi hesap veya siparişle ilgili olduğunu belirtin. 30 gün içinde yanıtlıyoruz.

Kişisel Verileri Koruma Kurumu'nun Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'inin 5. maddesine göre resmî başvurular ayrıca şu yollarla yapılabilir:

  • Yukarıdaki adrese elden veya posta ile teslim edilen ıslak imzalı yazılı başvuru;
  • Yukarıdaki e-posta adresine güvenli elektronik imza (e-imza) ile;
  • Aynı e-posta adresine mobil imza ile;
  • Daha önce sistemimizde kayıtlı ve daha önce iletişim kurduğunuz e-posta adresiniz üzerinden.

Başvurular ücretsizdir. Olağandışı emek gerektiren bir taleple karşılaşırsak, Kurumun yayınladığı tarife uygulanabilir; herhangi bir ücret talebinde bulunmadan önce sizi bilgilendiririz.

13. Veri İhlali Bildirimi

Bir veri ihlali yaşanırsa KVKK m.12/5 ve GDPR m.33–34 hükümlerini uygularız:

  • Fark ettiğimiz andan itibaren 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildirim yaparız;
  • İhlal yüksek risk taşıyorsa etkilenen kişileri e-posta ve gerektiğinde /durum sayfasındaki duyuru aracılığıyla gecikmeksizin bilgilendiririz.
  • Her ihlal, yapılan bildirim ve alınan önlem iç ihlal kayıt defterimize işlenir.

14. Çerezler

Çerezler ayrı bir metinde ayrıntılı olarak açıklanmıştır: Çerez Politikası. Zorunlu çerezler sitenin çalışması içindir; analitik çerezler yalnızca banner üzerinden rıza verdiğinizde yerleştirilir.

15. Denetim Otoritesi

Verilerinizin bu metinle uyumlu şekilde işlenmediğini düşünüyorsanız şu makamlara şikayette bulunabilirsiniz:

  • Kişisel Verileri Koruma Kurumu (KVKK): kvkk.gov.tr
  • AB/AEA sakinleri için: kendi ülkenizdeki Veri Koruma Otoritesi: edpb.europa.eu

Sorunu önce biz çözmek isteriz; doğrudan bize yazmanız genelde herkesin vaktini kazandırır.

16. Bu Metin Değiştiğinde

Bu metnin sürümü 2.0, yürürlük tarihi 20 Nisan 2026. Esaslı bir değişiklik olduğunda (yeni bir işleyen, yeni bir amaç, saklama süresinde değişiklik), yeni sürüm burada yayınlanır, sürüm numarası güncellenir ve gerektiğinde yeniden açık rıza alınır. Küçük metin düzenlemeleri sürüm numarasını değiştirmez.

Önceki sürümler bu siteyi çalıştıran kod deposunun versiyon geçmişinde saklanır; talep üzerine paylaşılır.