KVKK Aydınlatma Metni
Son Güncelleme: 26.05.2026
Yürürlük Tarihi: 26.05.2026
1) Veri Sorumlusu
- Veri sorumlusu: Odakio platformunu işleten gerçek kişi.
- İletişim: İletişim sayfası (ticket) veya support@odakio.com
Odakio, 13 yaş ve üzeri öğrencilerin bireysel çalışma düzenini desteklemek için tasarlanmıştır. Uygulama 13 yaş altındaki çocukları hedeflemez.
2) İşlenen Kişisel Veri Kategorileri
- Kimlik/hesap: kullanıcı adı, e-posta, parola özeti, hesap rolü, onay kayıtları.
- İletişim verileri: e-posta, destek başvuru bilgileri ve ticket iletişim kayıtları.
- İşlem güvenliği: HttpOnly erişim/yenileme çerezleri, CSRF token, IP, cihaz/oturum sinyalleri, risk skoru, güvenlik kayıtları.
- Kullanım kayıtları: istek logları, admin audit kayıtları, başarısız giriş kayıtları, ban kayıtları, kullanıcı işlem kayıtları.
- İletişim içerikleri: mesajlar, destek/ticket metinleri, şikayet içerikleri, okunma bilgileri, sohbet ve ticket ek dosyaları.
- Moderasyon kayıtları: şikayet kayıtları, kanıt kayıtları, moderasyon notları, otomatik risk sinyalleri ve gönderilmek istenen/engellenen riskli mesajlara ilişkin kayıtlar.
- Finans/ödeme: ödeme deneme kayıtları, abonelik durumları, fatura bilgileri (bazı alanlar şifreli/özet).
3) İşleme Amaçları ve Hukuki Sebepler (KVKK m.5)
| Veri kategorisi | Amaç | Hukuki sebep |
|---|---|---|
| Hesap ve oturum verileri | Üyelik oluşturma, oturum yönetimi, hesap güvenliği | Sözleşmenin ifası (m.5/2-c), veri sorumlusunun meşru menfaati (m.5/2-f) |
| Güvenlik/risk ve log verileri | Kötüye kullanım önleme, saldırı tespiti, delil oluşturma | Hukuki yükümlülük (m.5/2-ç), meşru menfaat (m.5/2-f) |
| Mesaj/ticket/ek dosya | İletişim, destek, mesajlaşma hizmetinin güvenli yürütülmesi, ticket süreçlerinin işletilmesi | Sözleşmenin ifası (m.5/2-c), hak tesisi/korunması (m.5/2-e) |
| Şikayet, moderasyon ve risk sinyalleri | Kullanıcı şikayetlerinin alınması ve sonuçlandırılması, kötüye kullanımın önlenmesi, platform güvenliği, uyuşmazlıkların çözümü | Meşru menfaat (m.5/2-f), hukuki yükümlülük (m.5/2-ç), hak tesisi/korunması (m.5/2-e) |
| Ödeme ve fatura verileri | Ödeme doğrulama, abonelik yönetimi, mali kayıt yükümlülükleri | Sözleşmenin ifası (m.5/2-c), hukuki yükümlülük (m.5/2-ç) |
Kişisel veriler; üyelik ve hizmet sunumu, mesajlaşma hizmetinin güvenli yürütülmesi, kullanıcı şikayetlerinin alınması ve sonuçlandırılması, ticket süreçlerinin yürütülmesi, savunma/yanıt alınması, kötüye kullanımın önlenmesi, platform güvenliği, hukuki yükümlülüklerin yerine getirilmesi, uyuşmazlıkların çözümü ve yetkili makam taleplerinin karşılanması için işlenebilir. Gerekli hallerde açık rıza dayanağına da başvurulabilir.
Şikayet incelemelerinde, kötüye kullanımın tespiti ve kullanıcı güvenliğinin sağlanması amacıyla, ilgili kullanıcının şikayet konusu olayla bağlantılı mesaj/ticket kayıtları ile yakın dönem güvenlik ve moderasyon sinyalleri şikayet/moderasyon süreciyle sınırlı ve ölçülü olarak değerlendirilebilir.
4) Özel Nitelikli Kişisel Veri (KVKK m.6)
Ürün akışlarında özel nitelikli veri işleme hedeflenmemektedir. Kullanıcıların mesaj/dosya/ticket alanlarına kendi iradeleriyle özel nitelikli veri girmemesi gerekir. Kullanıcının mesaj veya dosya içeriğine özel nitelikli veri eklemesi halinde platform bu içeriği öncelikle kullanıcı tarafından sağlanan içerik olarak işler; moderasyon, güvenlik, şikayet incelemesi veya hukuki yükümlülükler için gerekli ve sınırlı ölçüde inceleyebilir. Bu tür içeriklerde gereklilik, amaçla sınırlılık ve uygun güvenlik tedbirleri gözetilir; içerik kaldırılabilir, erişim kısıtlanabilir veya ilgili hesap hakkında işlem yapılabilir.
5) Kişisel Verilerin Toplanma Yöntemi
- Kullanıcının doğrudan beyanı (web sitesi, mobil uygulama, kayıt, profil, form, mesajlaşma alanı, şikayet formları, ticket sistemi, dosya yükleme alanları, ödeme adımı).
- Otomatik veya kısmen otomatik yöntemler (çerezler, API çağrıları, otomatik moderasyon sistemleri, log kayıtları, güvenlik/risk sinyalleri ve kullanıcı işlemleri).
- Ödeme/doğrulama servislerinden gelen işlem yanıtları.
6) Çerezler ve Benzeri Teknolojiler
| Ad | Amaç | Süre | Tip |
|---|---|---|---|
| token | Oturum erişimi | ~1 saat | Zorunlu (HttpOnly, SameSite=Lax) |
| refresh_token | Oturum yenileme | ~30 gün | Zorunlu (HttpOnly, path=/api/auth) |
| csrf_token | İstek sahteciliği koruması | ~2 saat | Zorunlu (SameSite=Lax) |
| ban_view | Kalıcı yasak ekranı doğrulaması | ~10 dk | Zorunlu |
7) Kişisel Verilerin Aktarılması
- Ödeme işlemlerinde ödeme hizmet sağlayıcılarına işlem için gerekli veriler aktarılabilir.
- Yasal zorunluluk halinde yetkili kamu kurumlarına aktarım yapılabilir.
- Hizmetin sunulması için barındırma, e-posta, güvenlik, ödeme ve teknik altyapı hizmet sağlayıcılarından destek alınabilir. Bu hizmet sağlayıcıların yurt dışında bulunması halinde, ilgili mevzuata uygun şekilde sınırlı veri aktarımı söz konusu olabilir.
- Yetkili ekipler, teknik hizmet sağlayıcılar ve moderasyon/şikayet süreciyle sınırlı olmak üzere ilgili taraflarla paylaşım yapılabilir.
- Şikayet edilen kullanıcıya, savunma ve değerlendirme süreci için gerekli kanıtlar sınırlı şekilde aktarılabilir; bu kapsam mesaj içerikleri, dosya ekleri, moderasyon sinyalleri veya ilgili ticket kayıtlarıyla sınırlı tutulabilir.
8) Saklama ve İmha Süreleri
- Veriler, hizmetin sunulması, güvenlik süreçleri ve yasal yükümlülükler doğrultusunda gerekli olduğu süre boyunca saklanır.
- Hesap silme talebi sonrası hesap 15 gün bekleme durumuna alınır; bu süre içinde ilgili kişi silme talebini iptal edebilir.
- 15 günlük sürenin sonunda hesap verileri, teknik akışa uygun olarak silinir veya anonimleştirilir.
- Mesajlaşma geçmişi bütünlüğü için karşı tarafta hesap sahibi gerektiğinde "Silinmiş kullanıcı" olarak gösterilebilir.
- Ödeme/mali kayıtlar ile hukuki uyuşmazlık ve güvenlik incelemeleri için gerekli sınırlı kayıtlar, ilgili mevzuattan doğan yükümlülükler kapsamında saklanabilir.
- Şikayet, ticket, moderasyon ve log kayıtları; şikayet süreci, platform güvenliği, uyuşmazlık çözümü ve yasal yükümlülükler için gerekli süre boyunca saklanabilir.
- Saklama amacı ortadan kalktığında veya yasal süreler dolduğunda silme, yok etme veya anonimleştirme yöntemleri uygulanabilir.
9) KVKK m.11 Kapsamındaki Haklarınız
- Kişisel veri işlenip işlenmediğini öğrenme, işlenmişse bilgi talep etme.
- İşleme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme.
- Yurt içinde/yurt dışında aktarıldığı üçüncü kişileri bilme.
- Eksik/yanlış işlenmişse düzeltilmesini isteme.
- KVKK koşulları oluşmuşsa silme/yok etme isteme.
- Otomatik analizlere itiraz etme ve zararın giderilmesini talep etme.
10) Başvuru Usulü
Başvurularınızı doğrulanabilir kimlik bilgileri ile İletişim sayfası (ticket) üzerinden veya support@odakio.com adresine e-posta ile iletebilirsiniz. Hesap silme süreci için ayrıca /delete-account sayfasındaki adımlar izlenebilir; silme talebi sonrası 15 günlük iptal hakkı uygulanır. Veri sorumlusu, başvuruyu mevzuattaki sürelerde sonuçlandırır.
11) Veri Güvenliği
Yetkisiz erişim, veri kaybı ve kötüye kullanım risklerine karşı teknik/idari tedbirler uygulanır. Örnek olarak; güvenli cookie ayarları, CSRF kontrolü, hız sınırı, risk bazlı trafik analizi, loglama ve kritik finans alanlarında şifreleme/özetleme yöntemleri kullanılmaktadır.
12) Veri İhlali Durumu
Olası bir kişisel veri ihlali halinde olay tespiti, etkilerin sınırlandırılması, kayıt altına alma ve gerekli durumlarda ilgili kişi/kurum bildirim süreçleri yürütülür.
13) Güncelleme
Bu metin teknik akışlar veya mevzuat değişikliklerine göre güncellenebilir. Güncel sürüm bu sayfada yayımlanır.