Gizlilik ve Çerez Politikası
Son güncelleme: 30 Nisan 2026
Vakti.co, T CAB İç ve Dış Ticaret A.Ş. tarafından işletilen bir 3D baskı marketplace'idir. Bu politika; platformun teknik olarak hangi verileri topladığını, bu verilerin hangi üçüncü taraf hizmet sağlayıcılarla paylaşıldığını, çerez kullanımımızı ve bilgi güvenliği yaklaşımımızı özetler. KVKK kapsamındaki detaylı aydınlatma, haklarınız ve başvuru yolu için KVKK Aydınlatma Metni sayfamızı okuyunuz.
Veri Sorumlusu, VERBİS Kaydı ve İrtibat Kişisi
6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") anlamında veri sorumlusu, T CAB İç ve Dış Ticaret Anonim Şirketi'dir ("Vakti.co"). Şirketin unvanı, adres, MERSİS, vergi dairesi ve ETBİS bilgileri site footer'ında ve iletişim sayfasında yayınlanır. KVKK kapsamındaki tüm başvurular bu veri sorumlusuna yöneltilir.
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kayıt yükümlülüğü; yıllık çalışan sayısı, mali bilanço ve ana faaliyet alanı kriterleri çerçevesinde değerlendirilmektedir. Vakti.co, kayıt eşiklerine ulaşıldığında VERBİS'e kaydolacak; kayıt durumu, irtibat kişisi ve VERBİS sicil numarası bu sayfanın güncel sürümünde yayınlanacaktır. Mevcut durumda, KVKK başvurularını yönetmek üzere info@tcab.biz adresi resmi başvuru kanalı olarak hizmet verir.
1. Topladığımız Veriler, İşleme Amaçları ve Hukuki Sebepleri
KVKK m.10 uyarınca, kişisel verilerinizi aşağıdaki kategorilerde, belirtilen amaçlarla ve karşısında gösterilen hukuki sebebe dayanarak işlemekteyiz. Birden çok hukuki sebep ortak işleyen amaç kategorilerinde, ilgili işleme için en uygun ve en az müdahaleci sebep esas alınır.
- Kimlik ve hesap verileri (ad, soyad, e-posta, hash'lenmiş şifre, hesap rolü): üyeliğin oluşturulması ve yönetimi, kimlik doğrulama. Hukuki sebep: sözleşmenin kurulması ve ifası (KVKK m.5/2-c).
- Sipariş ve teslimat verileri (fatura/teslimat adresi, telefon, sipariş geçmişi): siparişin işlenmesi, kargo, fatura, iade ve müşteri hizmetleri süreçleri. Hukuki sebep: sözleşmenin ifası (m.5/2-c) ve ilgili yasal yükümlülükler (m.5/2-ç — Vergi Usul Kanunu, TTK).
- Ödeme işlem verileri (işlem referansı, ödeme durumu, taksit bilgisi): ödeme işleminin tamamlanması ve sahtekarlık tespiti. Kart numarası, CVV ve son kullanma tarihi gibi tam kart verileri tarafımızca saklanmaz; ödeme iyzico'nun PCI-DSS sertifikalı altyapısında gerçekleştirilir. Hukuki sebep: sözleşmenin ifası (m.5/2-c) ve meşru menfaat (m.5/2-f — fraud önleme).
- Yüklenen içerik (Creator ürün görselleri ve 3D model dosyaları; Custom Quote dosyaları, ölçü/parametreler): ürünün üretilmesi ve katalog yönetimi. Hukuki sebep: sözleşmenin ifası (m.5/2-c).
- Fatura ve mali veriler (T.C. kimlik veya VKN, fatura unvanı, vergi dairesi, vergi numarası): yasal e-fatura/ e-arşiv düzenlenmesi. Hukuki sebep: hukuki yükümlülük (m.5/2-ç — VUK, TTK; tüzel kişiler için 213 sayılı Kanun).
- Teknik veriler (IP, cihaz/tarayıcı, oturum kimliği, log kayıtları, hata izleri): bilgi güvenliği, dolandırıcılık tespiti, performans izleme ve sistem kayıtlarının yasaca öngörülen süreler boyunca tutulması. Hukuki sebep: meşru menfaat (m.5/2-f) ve hukuki yükümlülük (m.5/2-ç — 5651 sayılı Kanun uyarınca trafik bilgisi saklama).
- Müşteri hizmetleri verileri (e-posta yazışmaları, destek talepleri, çağrı kayıtları): talep ve şikayet yönetimi. Hukuki sebep: sözleşmenin ifası (m.5/2-c) ve hukuki yükümlülük (m.5/2-ç — TKHK ve MSY).
- Pazarlama ve etkileşim verileri (sayfa görüntüleme, etkileşim, kampanya performansı, açık oranı, dönüşüm): pazarlama analitikleri, ticari ileti gönderimi, yeniden hedefleme. Hukuki sebep: açık rıza (m.5/1) ve 6563 sayılı Kanun ile İYS düzenlemeleri çerçevesinde alınan onay.
1.1. Özel Nitelikli Kişisel Veri
Vakti.co, hizmet kapsamında kullanıcılardan KVKK m.6 anlamında özel nitelikli kişisel veri (sağlık, ırk, etnik köken, siyasi düşünce, din, mezhep, biyometrik/genetik veri, ceza mahkumiyeti vb.) bilerek toplamaz. Yüklenen 3D dosyalarınızda veya sipariş notlarınızda bu nitelikte veri bulunması halinde, bunları derhal asgariye indirir veya rızanız çerçevesinde işleriz.
1.2. Veri Toplama Yöntemleri
Veriler; (i) doğrudan tarafınızca site, hesap ve sipariş formları üzerinden, (ii) çerezler, log dosyaları ve analitik araçlar aracılığıyla otomatik olarak, (iii) ödeme/kargo/fatura entegratörleri gibi iş ortakları aracılığıyla yarı otomatik olarak toplanır.
2. Üçüncü Taraf Hizmet Sağlayıcılar ve Veri Aktarımları
Aşağıdaki hizmet sağlayıcılarla yalnızca amaçla sınırlı ve sözleşmesel gizlilik taahhütleri çerçevesinde veri paylaşılır. Yurt dışı aktarımlarında 10. başlıkta belirtilen rejim uygulanır.
| Sağlayıcı | Amaç | Konum | Hukuki Sebep |
|---|---|---|---|
| Supabase Inc. | Veritabanı, kimlik doğrulama, dosya depolama | Yurt dışı (AB/ABD) | m.5/2-c |
| Vercel Inc. | Barındırma, edge CDN, Vercel Analytics | Yurt dışı (ABD/AB) | m.5/2-c, m.5/2-f |
| iyzico Ödeme Hizmetleri A.Ş. | BDDK lisanslı ödeme hizmet sağlayıcısı | Yurt içi | m.5/2-c, m.5/2-f |
| Resend / SendGrid (Twilio) | İşlemsel e-posta gönderimi | Yurt dışı (ABD/AB) | m.5/2-c |
| Kargo firmaları (Yurtiçi/Aras/MNG vb.) | Sipariş teslimatı | Yurt içi | m.5/2-c |
| e-Fatura / e-Arşiv entegratörleri | Yasal e-belge düzenlenmesi | Yurt içi | m.5/2-ç (VUK) |
| Sentry (Functional Software, Inc.) | Hata izleme ve performans takibi | Yurt dışı (ABD/AB) | m.5/2-f |
| Google LLC (GA4 / GTM) | Anonimleştirilmiş analitik, etiket yönetimi | Yurt dışı (ABD/AB) | m.5/1 (açık rıza — analitik çerez) |
| Meta Platforms Ireland Ltd. (Facebook/Instagram Pixel) | Reklam ölçümleme ve yeniden hedefleme | Yurt dışı (AB/ABD) | m.5/1 (açık rıza — pazarlama çerezi) |
| TikTok Pte. Ltd. / TikTok Pixel | Reklam ölçümleme ve yeniden hedefleme | Yurt dışı (Singapur/AB) | m.5/1 (açık rıza — pazarlama çerezi) |
| Yetkili kamu kurumları (mahkeme, savcılık, idari otorite) | Mevzuattan kaynaklanan bilgi/belge talebi (5651, 6563, KVKK, CMK, VUK vb.) | Yurt içi | m.5/2-a, m.5/2-ç, m.8/2-a |
3. Çerezler
Kişisel Verileri Koruma Kurulu'nun 20.06.2022 tarih ve 2022/620 sayılı "Çerez Uygulamalarına İlişkin Rehber" çerçevesinde, çerezleri aşağıdaki gibi sınıflandırıyoruz. Zorunlu çerezler dışındaki tüm çerezler yalnızca onayınız sonrasında çalıştırılır; çerez bannerı, iki katmanlı bilgilendirme yapısına uygun olarak özet bilgi ve detaylı bilgilendirmeyi sunar.
| Kategori | Örnek | Saklama Süresi | Onay |
|---|---|---|---|
| Zorunlu (oturum, sepet, güvenlik, CSRF) | vakti_session, sb-* (Supabase auth) | Oturum / 30 gün | Aranmaz (KVKK m.5/2-c) |
| İşlevsel (dil, tema, tercih) | locale, theme, cookie_consent | 1 yıl | Aranmaz (m.5/2-f) |
| Analitik | _ga, _ga_*, gtm | 2 yıl | Açık rıza |
| Pazarlama / Yeniden Hedefleme | _fbp, fr (Meta), ttclid (TikTok) | 3-13 ay | Açık rıza |
| Hata / Performans (Sentry) | sentryReplaySession | Oturum / 30 gün | Açık rıza |
Çerez tercihlerinizi site üzerindeki çerez bannerı veya footer'da yer alan "Çerez Tercihleri" bağlantısı üzerinden dilediğiniz zaman değiştirebilir, tarayıcı ayarlarınızdan da çerezleri reddedebilirsiniz. Verdiğiniz onayı aynı kolaylıkla geri çekebilirsiniz; onay geri çekildiğinde, geri çekme tarihinden önceki işlemenin hukuka uygunluğu etkilenmez. Reddetmeniz halinde sitenin bazı işlevleri çalışmayabilir.
4. Veri Güvenliği
- Bağlantılar TLS (HTTPS) üzerinden şifrelenir; ödeme sayfaları 3D Secure ile korunur.
- Şifreler tek yönlü karma (hash) fonksiyonlarıyla saklanır; açık metin şifre tutulmaz.
- Roller ve yetkiler "en az ayrıcalık" ilkesiyle atanır; veritabanı seviyesinde Row-Level Security uygulanır.
- Yükleme boyutu/biçim doğrulamaları, dolandırıcılık tespiti ve log izleme aktiftir.
Olası bir veri ihlali halinde KVKK m.12/5 uyarınca Kişisel Verileri Koruma Kurulu'na ve ilgili kişilere makul sürede bildirim yapılacaktır.
5. Veri Saklama Süreleri
Kişisel verileriniz, ilgili amaç ortadan kalktığında veya azami yasal süreler dolduğunda KVKK m.7 ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik gereği silinir, yok edilir veya anonim hale getirilir. Özetle:
| Veri Kategorisi | Saklama Süresi | Yasal Dayanak |
|---|---|---|
| Hesap ve kimlik verileri | Hesap aktif olduğu sürece + sözleşme zamanaşımı (10 yıl) | TBK m.146, sözleşmenin ifası |
| Sipariş, fatura ve mali kayıtlar | 10 yıl | VUK m.253; TTK m.82 |
| Tüketici şikayet/talep yazışmaları | 3 yıl + uyuşmazlık zamanaşımı | TKHK ve genel zamanaşımı |
| Ödeme işlem referansları | 10 yıl | VUK; bankacılık mevzuatı |
| Trafik bilgileri / log kayıtları | Asgari 6 ay - azami 2 yıl | 5651 sayılı Kanun |
| Çerez verileri | Çerez tablosunda belirtilen süreler | İlgili çerez kategorisi (rıza/m.5/2-f) |
| Pazarlama verileri | Onayınız geri çekilene veya 1 yıl boyunca etkileşim olmayana kadar | 6563; KVKK açık rıza |
| Custom Quote 3D dosyaları | Üretim tamamlandıktan sonra 90 gün | Üretim ifasının teyidi (m.5/2-c) |
Hesabınızı silmeniz halinde, yasal saklama yükümlülüğü olmayan veriler silinir; yasal saklama yükümlülüğü olan veriler süresi dolana kadar kısıtlı erişimle saklanır ve süre sonunda imha edilir. Detay ve azami süre tablosu için KVKK Aydınlatma Metni.
6. Çocukların Verileri
Platform 18 yaş ve üzeri kullanıcılara yöneliktir. 18 yaş altı kullanıcılardan bilerek kişisel veri toplamayız. 18 yaşından küçük bir kullanıcının veri paylaştığını düşünüyorsanız info@tcab.biz adresi üzerinden bize ulaşın; ilgili verileri siliyoruz.
7. KVKK m.11 Kapsamındaki Haklarınız
KVKK m.11 uyarınca, kişisel verisi işlenen ilgili kişi olarak Veri Sorumlusu'na başvurarak aşağıdaki haklarınızı kullanabilirsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme;
- Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme;
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme;
- Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme;
- Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme;
- KVKK m.7'de öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme;
- Düzeltme, silme ve yok etme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme;
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonuç ortaya çıkmasına itiraz etme;
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme.
8. Başvuru Yöntemleri ve Süreler
KVKK m.13 ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca başvurularınızı aşağıdaki yöntemlerden biriyle Veri Sorumlusu'na iletebilirsiniz. Başvurularınızda ad-soyad, T.C. kimlik no (yabancılar için pasaport/uyruk), tebligat adresi, e-posta, telefon ve talebinizin konusu açık şekilde yer almalıdır.
- E-posta ile (sistemde kayıtlı adresten): info@tcab.biz adresine, sistemde tanımlı e-postanız üzerinden başvuru.
- Güvenli elektronik imzalı / mobil imzalı e-posta: 5070 sayılı Kanun anlamında güvenli elektronik imza ile imzalanan başvuru, info@tcab.biz adresine iletilebilir.
- Islak imzalı dilekçe ile fiziki teslim/posta: Kimliği teyit edici belge ile birlikte, footer'da yayınlanan şirket adresine iadeli taahhütlü posta veya noter aracılığıyla.
- KEP adresi: Kayıtlı elektronik posta adresinizden tarafımıza ileteceğiniz başvurular kabul edilir; güncel KEP adresi sözleşme/destek e-postaları üzerinden talep edildiğinde paylaşılır.
Veri Sorumlusu, talebinizi niteliğine göre en geç 30 gün içinde ücretsiz olarak sonuçlandırır. İşlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifeye göre ücret talep edilebilir. Talebinizin reddi, yetersiz cevap veya süresinde cevapsız kalması halinde, cevabı öğrendiğiniz tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kişisel Verileri Koruma Kurulu'na şikâyette bulunma hakkınız saklıdır (KVKK m.14).
9. Otomatik Karar Verme ve Profilleme
Vakti.co; sahtekarlık tespiti, ödeme risk skorlaması ve kişiselleştirilmiş ürün önerileri gibi sınırlı amaçlarla otomatik analitik teknikler kullanabilir. Bu işleme münhasıran otomatik sistem aracılığıyla aleyhinize bir sonuç doğurur ise (örneğin ödemenizin reddi) KVKK m.11/(g) uyarınca itiraz etme hakkınız bulunmaktadır. Otomatik kararla ilgili itirazlarınız insan denetimine alınır.
10. Yurt Dışına Aktarım (KVKK m.9 — Mart 2024 sonrası rejim)
7499 sayılı Kanun ile 12.03.2024 tarihinde değişen KVKK m.9 uyarınca kişisel verileriniz yurt dışına yalnızca aşağıdaki gerekçelerden biri var ise aktarılır:
- Aktarım yapılacak ülke, sektör veya uluslararası kuruluş hakkında Kurul tarafından yeterlilik kararı bulunması;
- Yeterlilik kararı yokken, m.9/2-b'de sayılan uygun güvencelerden birinin (uluslararası sözleşme, taraflar arası standart sözleşme, bağlayıcı şirket kuralları, yazılı taahhütname) sağlanması;
- m.9/3 ve m.9/6'da düzenlenen istisnai hallerin (açık rıza, sözleşmenin ifası için zorunluluk, kamu yararı, hayati menfaatlerin korunması, hukuki yükümlülük, hukuki taleplerin tespiti, fiili imkânsızlık) bulunması.
Vakti.co; üst tabloda yer alan yurt dışı sağlayıcılarla, sözleşmenin ifası (m.5/2-c) ve meşru menfaat (m.5/2-f) hukuki sebepleri ile, Kişisel Verileri Koruma Kurulu tarafından yayınlanan veya yayınlanacak standart sözleşme metinlerine ve sağlayıcıların sunduğu sözleşmesel güvencelere (DPA, SCC vb.) dayanarak aktarım yapar. Açık rıza gerektiren işlemelerde (özellikle pazarlama çerezleri ve ticari elektronik ileti) ilgili kanal üzerinden ayrıca rızanız talep edilir; rızanızı vermemeniz, temel hizmetlerden yararlanmanıza engel oluşturmaz.
10.A. Resmi Otoritelere Aktarım
Mahkemeler, savcılıklar, kolluk birimleri ve idari otoritelerden gelen yasal taleplere KVKK m.5/2-a (kanunlarda açıkça öngörülme), m.5/2-ç (hukuki yükümlülük), m.8/2-a (yurt içi aktarım istisnası) ve ilgili özel mevzuat (5651, CMK, VUK, TKHK, vb.) çerçevesinde cevap verilir. Bu tür aktarımlar, mevzuatın izin verdiği ölçüde ilgili kişilere bildirilir.
10.B. AB'de İkamet Eden Kullanıcılar (GDPR Etkileşimi)
AB üyesi ülkelerde ikamet eden kullanıcılar; bu politikadaki KVKK haklarına ek olarak, ürün ve hizmetlerimizi AB'den kullandıkları ölçüde GDPR m.15-22 kapsamındaki erişim, düzeltme, silme, kısıtlama, veri taşınabilirliği ve itiraz haklarını kullanabilir. Talep ve şikayetler için info@tcab.biz adresine başvurabilir; ayrıca AB içinde ikamet edilen ülkenin veri koruma otoritesine de şikayette bulunabilirsiniz.
10.C. Ticari Elektronik İleti (6563 / İYS)
6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve Ticari Elektronik İleti Yönetmeliği uyarınca, e-posta, SMS ve aramalarla ticari elektronik ileti gönderebilmemiz için açık rızanız esastır. Vermiş olduğunuz onaylar İleti Yönetim Sistemi ("İYS") üzerinden saklanır ve kaydedilir. İletilerimizin sonundaki "ret" bağlantısı, İYS web sitesi (iys.org.tr) veya doğrudan info@tcab.biz üzerinden onayınızı dilediğiniz zaman geri çekebilirsiniz; geri çekme talebiniz en geç 3 iş günü içinde uygulanır.
Mevcut bir alışveriş ilişkisi kapsamında, kendi ürün veya hizmetlerimize ilişkin değişiklik, kullanım ve bakım amaçlı bilgi içeren e-postalar, ileti yönetim sistemi onayına tabi olmayan "ticari nitelik taşımayan iletiler" sayılır.
11. Veri İhlali Bildirimi
Olası bir veri ihlali tespit edildiğinde, KVKK m.12/5 ve Kişisel Verileri Koruma Kurulu'nun 24.01.2019 tarih ve 2019/10 sayılı kararı uyarınca en kısa sürede ve en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapılır; ihlalden etkilenen ilgili kişilere de makul süre içinde bilgi verilir.
12. Politikada Değişiklikler
Bu politika mevzuat değişiklikleri veya hizmet değişiklikleri nedeniyle güncellenebilir. Güncel sürüm daima bu sayfada yer alır ve üst bölümdeki tarih bilgisi yenilenir.
İletişim
Gizlilik ile ilgili her türlü sorunuz için info@tcab.biz adresine yazabilirsiniz. Şirket adres, MERSİS ve ETBİS bilgileri site footer'ında yer alır.