Gizlilik Politikası
Gizlilik Politikası
Son güncelleme: 2026-05-22
Bu Gizlilik Politikası, Polikrami'de toplanan kişisel verilerin nasıl, neden, nerede işlendiğini detaylı şekilde açıklar. KVKK Aydınlatma Metni "hangi veri, kim tarafından" sorusunu cevaplar; bu sayfa ise "ne yöntemle korunur, ne kadar saklanır, nereye aktarılır" sorularını açar. Anlamadığınız bir nokta varsa yasal@polikrami.com'a yazabilirsiniz.
1. Kapsam
Bu politika, Polikrami web sitesini ziyaret eden, hesap açan, sipariş veren veya bültene abone olan herkesin kişisel verilerine uygulanır. 6698 sayılı KVKK, Türkiye'de ikamet edenler için ana referansımızdır; AB içinden ziyaret edenler için ayrıca GDPR (AB 2016/679 sayılı Tüzük) kapsamındaki haklar da geçerlidir.
2. Tanımlar
- Veri sorumlusu: Verilerinizin nasıl işleneceğine karar veren kuruluş — Polikrami (Yatgak Bilişim Tic. ve San. LTD. ŞTİ).
- Veri işleyen: Veri sorumlusu adına veri işleyen iş ortakları (ör. ödeme sağlayıcı, kargo şirketi).
- Kişisel veri: Sizi tanımlayan veya tanımlanabilir hâle getiren her tür bilgi.
- Özel nitelikli kişisel veri: Kanunun ekstra koruduğu hassas veriler (T.C. Kimlik No, sağlık, biyometri vb.).
- İşleme: Verinin toplanması, kaydedilmesi, saklanması, aktarılması, silinmesi gibi her işlem.
3. Topladığımız Veri Kategorileri ve Toplama Yöntemleri
3.1 Doğrudan sizin verdiğiniz veriler
- Üyelik formu: ad, soyad, e-posta, telefon, şifre (özetlenmiş şekilde saklanır).
- Sipariş formu: fatura ve teslimat adresi, T.C. Kimlik No (yalnızca fatura için), telefon.
- Profil ekranı (opsiyonel): doğum tarihi, profil fotoğrafı, biyografi.
- Yorum ve atölye formları: yorum metni, sanatçı bilgileri.
3.2 Otomatik toplanan teknik veriler
- IP adresi, tarayıcı türü, işletim sistemi (User Agent), oturum bilgileri.
- Sayfa görüntüleme zamanları (yalnızca çerez onayı verirseniz — Google Analytics).
- Hata kayıtları (yığın izi + IP) — yalnızca sistem hatası oluştuğunda.
3.3 Üçüncü kaynaklardan
- GeoNames (yurt dışı adres doğrulama) — posta kodu sorgusu için kullanıldığında geri dönen şehir/ilçe bilgisi.
- İş Bankası (ödeme) — ödemenin başarılı olup olmadığı bilgisi (kart bilgisi bize aktarılmaz).
4. Veri İşleme Amaçları ve Hukuki Dayanak
| Amaç | Hukuki Dayanak |
|---|---|
| Hesap oluşturma ve yönetimi | Sözleşme ifası — KVKK m.5/2-c, GDPR Art.6(1)(b) |
| Sipariş işleme ve teslimat | Sözleşme ifası — KVKK m.5/2-c, GDPR Art.6(1)(b) |
| E-Fatura/E-Arşiv (T.C. dahil) | Yasal yükümlülük — KVKK m.5/2-ç, GDPR Art.6(1)(c), VUK m.230 |
| Güvenlik logları, fraud tespit | Meşru menfaat — KVKK m.5/2-f, GDPR Art.6(1)(f) |
| Bülten gönderimi | Açık rıza — KVKK m.5/1, GDPR Art.6(1)(a) — çift onay sistemi |
| Doğum günü kutlaması | Açık rıza — KVKK m.5/1, GDPR Art.6(1)(a) |
| Google Analytics | Açık rıza (çerez onayı) — KVKK m.5/1, GDPR Art.6(1)(a) + ePrivacy |
| Yurt dışı veri aktarımı | Açık rıza — KVKK m.9 |
5. Saklama Süreleri
- Sipariş ve fatura kayıtları: 10 yıl (TTK m.82, VUK).
- Hesap bilgileri: Hesabınız aktif olduğu sürece + silme talebiniz üzerine en geç 30 gün.
- Erişim logları: 5651 sayılı kanun ve KVKK dengesiyle 1 yıl.
- Çerez: Türüne göre oturum süresi ile 2 yıl arası (detay Çerez Politikası).
- Bülten aboneliği: Aboneliğin iptaline kadar; iptal anında silinir.
- İletişim formu / KVKK başvurusu: Yanıt verme yükümlülüğümüz bittikten sonra 3 yıl (KVKK Kurulu rehber dokümanı tavsiyesi).
6. Veri Aktarımı
6.1 Yurt İçi Aktarımlar
- İş Bankası Sanal POS — ödeme işlemi için sipariş bilgileri (kart bilgisi banka tarafında).
- PTT Kargo (yakında) — kargo barkodu için ad, adres, telefon.
- GlitchTip — hata izleme, kendi sunucumuzda (Türkiye).
- Yatgak/Örütbağ.net — sistem e-postaları (3. taraf değil, kendi altyapımız).
6.2 Yurt Dışı Aktarımlar (KVKK m.9 + GDPR Art.44)
Aşağıdaki iş ortaklarımız Türkiye dışında sunucu işletmektedir. KVKK Kurulu yeterli koruma kararı vermediği için yurt dışı aktarım açık rızanıza bağlıdır. Bu rızayı kayıt formunda ve çerez tercih banner'ında alıyoruz.
- Coolify (hosting, TR + AB) — site ve veritabanı sunucuları.
- Anthropic Claude (yapay zeka, ABD) — ürün/kategori metni üretimi. Kişisel veri Anthropic'e gönderilmez.
- GeoNames (adres doğrulama, ABD) — yalnızca yurt dışı posta kodu sorgulanır.
- Google Analytics (istatistik, ABD) — IP anonimleştirilerek, yalnızca çerez onayı verdiyseniz.
AB'den ziyaret eden kullanıcılar için GDPR Art.46'daki Standard Contractual Clauses (SCC) mekanizmasına dayanıyoruz; Anthropic ve Google'ın güncel SCC'leri imzalı olarak iş ortağı sözleşmelerimizde mevcuttur.
7. Veri Güvenliği Tedbirleri
Kişisel verilerinizin yetkisiz erişim, kayıp veya değişiklikten korunması için aldığımız teknik ve idari tedbirler:
- HTTPS şifreleme: Site ile aranızdaki tüm iletişim TLS 1.2+ ile şifrelenir.
- Şifre hash: Şifreniz sha1+salt ile geri çevrilemez şekilde özetlenir; açık şifre hiçbir yerde saklanmaz.
- Yetkilendirme: Yalnızca işi gereken personel ilgili veriye erişebilir; rol bazlı izinler tutulur.
- Sunucu güvenliği: Düzenli güncelleme, güvenlik duvarı, hata izleme (GlitchTip).
- Yedekleme: Veritabanı düzenli olarak şifreli yedeklenir.
- Veri minimizasyonu: Yalnızca gereken kadar veri toplarız; gereksiz alanları formlardan kaldırırız.
- Veri ihlali bildirimi: Olası bir ihlal durumunda KVKK Kurulu'na 72 saat içinde bildirim yaparız (KVKK m.12).
8. Sizin Haklarınız ve Başvuru
Kişisel verilerinize ilişkin KVKK m.11 hakları (öğrenme, düzeltme, silme, itiraz, tazminat vb.) ve GDPR Art.15-22 hakları (erişim, düzeltme, silme/unutulma, kısıtlama, taşınabilirlik, itiraz, otomatik karar itirazı) sizde mahfuzdur.
Başvuru kanalları:
- E-posta: yasal@polikrami.com
- Posta: Atatürk Mah. Hatice Beyaztaş Cad. Bahar APT. No: 7/A Merkez, Tunceli
- İleride: KVKK Başvuru Formu sayfamız üzerinden online
Yanıt süresi: en geç 30 gün. İhtiyaç halinde 30 gün daha uzatılabilir, uzatma sebebini size bildiririz.
Şikâyet hakkı: Yanıttan memnun değilseniz KVKK Kurumu'na veya AB'de ikamet ediyorsanız ilgili ülkenin Veri Koruma Otoritesi (DPA)'sına başvurabilirsiniz.
9. Çerezler
Sitede 3 tür çerez kullanırız:
- Zorunlu çerezler: Sitenin çalışması için şart (OCSESSID, pk_consent). Onay gerekmez.
- İşlevsel çerezler: Rahatınız için (dil, para birimi, tema). Genelde kalıcı tercihler.
- Analitik çerezler: Google Analytics (_ga, _ga_*, _gid). Yalnızca açık rızanızla aktif olur.
Tüm çerez detayları için Çerez Politikası sayfamıza bakın. Çerez tercihinizi sayfanın altındaki "Çerez Tercihlerim" linkinden istediğiniz zaman güncelleyebilirsiniz.
10. Çocuk Gizliliği
Polikrami üyeliği 18 yaş ve üzeri için açıktır. 18 yaşının altındaki kişilerin sitede hesap açmaması veya sipariş vermemesi gerekir. Bir çocuğun verilerinin sistemimizde bulunduğunu fark ettiğimizde:
- Hesabı derhal kapatırız.
- Yasal saklama yükümlülüğü olmayan verileri sileriz.
- Varsa veliye veya yasal temsilciye bilgi veririz.
AB'den ziyaret eden kullanıcılar için bilgi: GDPR Art.8 çocuk yaş sınırı üye devletlerde değişir (DE 16, FR 15, NL 16). Polikrami politikası tüm AB ziyaretçileri için 18+ olarak belirlenmiştir; daha yüksek koruma sağlanır.
11. Politika Değişiklikleri
Bu Gizlilik Politikası, mevzuat değişiklikleri veya hizmet kapsamımızın evrilmesi sebebiyle güncellenebilir. Önemli değişiklikleri:
- Bu sayfanın "Son güncelleme" tarihini değiştirerek,
- Bültenimize aboneyseniz e-posta ile,
- Üye girişi sırasında popup bildirimi ile,
size duyururuz. Eski sürümlere ihtiyaç duyarsanız yasal@polikrami.com adresinden talep edebilirsiniz; sürüm geçmişini iç kayıtlarımızda tutuyoruz.
12. İletişim
Veri Sorumlusu: Yatgak Bilişim Teknolojileri Tic. ve San. LTD. ŞTİ — Tunceli Şubesi
Adres: Atatürk Mah. Hatice Beyaztaş Cad. Bahar APT. No: 7/A Merkez, Tunceli, Türkiye
Telefon: +90 501 633 98 45
KVKK Başvuru: yasal@polikrami.com
Genel İletişim: bilgi@polikrami.com
Polikrami'ye güvenip veri paylaştığınız için teşekkür ederiz. Tezgâhımızda dürüstlük en önemli aletimizdir.
Bu metin hukuki danışman onayından geçmemiştir; tereddütte iletişim: yasal@polikrami.com