KVKK Aydınlatma Metni
Bu aydınlatma metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) Madde 10 ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında, ASTRAL GAYRİMENKUL DANIŞMANLIK TİCARET LİMİTED ŞİRKETİ (“Şirket”, “Biz”) tarafından veri sorumlusu sıfatıyla hazırlanmıştır.
1. Veri Sorumlusu Bilgileri
Unvan: ASTRAL GAYRİMENKUL DANIŞMANLIK TİCARET LİMİTED ŞİRKETİ
Adres: Aksoy Mahallesi Girne Caddesi 36/3 Zemin Kat Karşıyaka/İZMİR
E-posta: kvkk@keybrox.com
KEP: astralgayrimenkuldanismanlik@hs01.kep.tr
Telefon: +90 505 869 00 81
VERBIS No: Başvuru süreci devam etmektedir.
2. İşlenen Kişisel Veriler
KeyBrox platformu üzerinden aşağıdaki kategorilerde kişisel veri işlenmektedir:
2.1. Kimlik Verileri
Ad, soyad, T.C. kimlik numarası (yalnızca sözleşme ve muhasebe işlemleri için), doğum tarihi, cinsiyet, profil fotoğrafı.
2.2. İletişim Verileri
Telefon numarası, e-posta adresi, iş adresi, WhatsApp iletişim bilgisi.
2.3. Lokasyon Verileri
GPS koordinatları (panik butonu, yer gösterme zabıtı, AR fiyat analizi), IP adresi tabanlı yaklaşık konum, mülk ziyaret lokasyonları.
2.4. Finansal Veriler
Komisyon tutarları, ciro bilgileri, paydaş bölüşüm oranları, fatura bilgileri (KDV dahil/hariç), ödeme geçmişi, banka hesap bilgileri (yalnızca muhasebe entegrasyonu aktif ofisler için).
2.5. Mesleki Veriler
Gayrimenkul danışmanlığı lisans bilgisi, ofis ataması, performans metrikleri (XP, rozet, asist zinciri, ciro liderlik sırası), gezdirme kayıtları, müşteri portföyü, ilan bilgileri.
2.6. Dijital İz Verileri
Oturum bilgileri (JWT token metadata), tarayıcı/cihaz bilgisi (user agent), uygulama kullanım istatistikleri, push bildirim abonelik kayıtları (OneSignal subscription ID), çerez verileri, IP adresi.
2.7. Görsel ve İşitsel Veriler
Profil fotoğrafı, sanal tur panoramik görselleri, yer gösterme zabıtındaki imza görseli (base64), arabuluculuk kanıtları (görsel, ses kaydı, ekran görüntüsü).
2.8. Özel Nitelikli Kişisel Veriler
Platform genelinde özel nitelikli kişisel veri (ırk, etnik köken, siyasi düşünce, felsefi inanç, sağlık verileri vb.) işlenmemektedir. Arabuluculuk sürecinde tarafların gönüllü olarak paylaştığı içerikte bu tür veriler yer alabilir; bu durumda KVKK Madde 6 kapsamındaki açık rıza mekanizması devreye girer.
3. Kişisel Verilerin İşlenme Amaçları
Kişisel verileriniz aşağıdaki amaçlarla işlenmektedir:
- Hizmet sunumu: Platform erişimi, CRM işlemleri, komisyon hesaplama, portföy eşleştirme, müşteri ilişkilerinin yönetimi.
- Sözleşmeden doğan yükümlülükler: Üyelik sözleşmesi, veri işleme sözleşmesi ve SLA taahhütlerinin yerine getirilmesi.
- Yasal zorunluluklar: Vergi mevzuatı (VUK), Türk Ticaret Kanunu, MASAK düzenleme, 6098 sayılı Türkiye Borçlar Kanunu gereklilikleri.
- Güvenlik: Panik butonu ile acil durum bildirimi, konum paylaşımı, eskalasyon zinciri; platform güvenlik denetimleri ve erişim kontrolleri.
- Performans ve gamification: XP, rozet, asist zinciri, hedef çarkı, onur duvarı, tebrik duvarı gibi motivasyon modülleri için veri işleme.
- İletişim: Push bildirimler (OneSignal), e-posta bildirimleri, SMS (opsiyonel), uygulama içi mesajlaşma.
- Analiz ve raporlama: Ofis performans raporları, piyasa nabzı, bölge analizi, ciro liderlik tablosu, danışman performans değerlendirmesi.
- Uyuşmazlık çözümü: Arabuluculuk panosu, kanıt toplama, timeline oluşturma, broker kararı için veri işleme.
- Ürün geliştirme: Anonim kullanım istatistikleri ile platform iyileştirmesi (bireysel tanımlama yapılmaz).
- Pazarlama (açık rıza ile): Promosyon bildirimleri, yenilik duyuruları, memnuniyet anketleri. Yalnızca açık rıza veren kullanıcılar için uygulanır.
- Hukuki hakların korunması: Olası uyuşmazlıklarda delil olarak verilerin muhafazası.
4. Kişisel Verilerin İşlenmesinin Hukuki Sebepleri
KVKK Madde 5/2 kapsamında aşağıdaki hukuki sebepler uygulanır:
| Hukuki Sebep | Uygulama Alanı |
|---|---|
| Kanunlarda açıkça öngörülmesi (Md. 5/2-a) | VUK kapsamında muhasebe kayıtları, MASAK bildirimleri |
| Sözleşmenin kurulması/ifası (Md. 5/2-c) | Platform üyelik sözleşmesi, SaaS hizmet sözleşmesi |
| Hukuki yükümlülük (Md. 5/2-c) | Yasal saklama süreleri, devlet kurumlarına bildirimler |
| İlgili kişinin meşru menfaati (Md. 5/2-d) | Panik butonu - hayati tehlike halinde konum paylaşımı |
| Veri sorumlusunun meşru menfaati (Md. 5/2-f) | Güvenlik önlemleri, dolandırıcılık önleme, hizmet kalitesi |
| Açık rıza (Md. 5/1) | Pazarlama iletişimleri, opsiyonel analitik, konum izleme |
5. Kişisel Verilerin Toplanma Yöntemi
Kişisel verileriniz aşağıdaki kanallar aracılığıyla toplanmaktadır:
- Doğrudan: Platform kayıt formu, profil güncelleme, işlem girişi, gezdirme kaydı, arabuluculuk başvurusu.
- Otomatik: Çerezler, cihaz bilgisi, IP adresi, GPS (kullanıcının izin verdiği durumlarda), push bildirim abonelik kayıtları.
- Üçüncü taraf: Broker/ofis yöneticisi tarafından girilen danışman bilgileri, emlak ilan verisi, OneSignal bildirim metrikleri.
6. Kişisel Verilerin Aktarılması
6.1. Yurt İçi Aktarım
Kişisel veriler, KVKK Madde 8 kapsamında aşağıdaki taraflara aktarılabilir:
- Broker ofis yöneticisi: Multi-tenant yapısında her broker, kendi danışmanlarının performans ve işlem verilerine erişebilir (ortak veri sorumluluğu).
- Yetkili kamu kurumları: Mahkeme kararı, savcılık talebi veya yasal zorunluluk halinde (MASAK, Vergi Dairesi, SGK).
- İş ortakları: Ödeme sağlayıcıları (yalnızca fatura işleme amaçlı), SMS/e-posta sağlayıcıları.
6.2. Yurt Dışı Aktarım
KVKK Madde 9 kapsamında, aşağıdaki teknik altyapı sağlayıcılarına veri aktarımı yapılmaktadır:
| Sağlayıcı | Ülke | Amaç | Koruma Önlemi |
|---|---|---|---|
| Vercel Inc. | ABD | Frontend hosting, edge computing | AB Standart Sözleşme Maddeleri (SCC) |
| OneSignal Inc. | ABD | Push bildirim altyapısı | AB Standart Sözleşme Maddeleri (SCC) |
| OpenAI Inc. | ABD | AI Asistan (GPT-4o) | Veri işleme sözleşmesi + SCC + anonimizasyon |
| Google LLC (Firebase) | ABD/AB | Push bildirim (FCM), analitik | AB Standart Sözleşme Maddeleri (SCC) |
| Hostinger International | Litvanya (AB) | Backend hosting | AB GDPR uyumlu (yeterli koruma kararı) |
Yurt dışı veri aktarımlarında KVKK Madde 9'da belirtilen yeterli koruma şartlarının sağlanması için Avrupa Birliği Standart Sözleşme Maddeleri (Standard Contractual Clauses) ve ek teknik önlemler (şifreleme, pseudonimizasyon) uygulanmaktadır.
7. Multi-Tenant Veri Sorumluluğu Yapısı
Önemli: KeyBrox platformu multi-tenant (çok kiracılı) bir SaaS yapısındadır. Bu kapsamda veri sorumluluğu aşağıdaki şekilde paylaşılır:
- ASTRAL GAYRİMENKUL DANIŞMANLIK TİCARET LİMİTED ŞİRKETİ (Platform İşleten):Teknik altyapı, veri güvenliği, yedekleme, erişim kontrolü ve platform genelindeki veri işleme süreçlerinden sorumludur. KVKK kapsamında “Veri İşleyen” (Data Processor) konumundadır.
- Broker Ofisler (Kiracılar):Kendi sanal ofislerindeki danışmanların ve müşterilerin kişisel verilerinin işlenmesinden birincil derecede sorumludur. KVKK kapsamında “Veri Sorumlusu” (Data Controller) konumundadırlar.
- Ortak Veri Sorumluluğu:Platform genelindeki gamification verileri (leaderboard, XP, onur duvarı), arabuluculuk sürecinde birleştirilen kanıt verileri ve ofisler arası eşleştirme işlemlerinde ASTRAL GAYRİMENKUL DANIŞMANLIK TİCARET LİMİTED ŞİRKETİ ve ilgili broker ofis “Ortak Veri Sorumluları” (Joint Data Controllers) olarak hareket eder. Bu durumda taraflar arası sorumluluk dağılımı Veri İşleme Sözleşmesi ile belirlenmiştir.
8. Veri Saklama Süreleri
| Veri Kategorisi | Saklama Süresi | Hukuki Dayanak |
|---|---|---|
| Finansal veriler (komisyon, fatura) | 10 yıl | VUK Madde 253 |
| Sözleşme ve üyelik kayıtları | Sözleşme süresi + 10 yıl | TBK Madde 146 (genel zamanaşımı) |
| İşlem kayıtları | 10 yıl | TTK Madde 82 |
| Performans verileri (XP, rozet) | Üyelik süresi + 1 yıl | Meşru menfaat |
| Gezdirme ve zabit kayıtları | 5 yıl | Hukuki ispat amacı |
| Arabuluculuk dosyaları | Karar tarihinden itibaren 5 yıl | Hukuki ispat amacı |
| Pazarlama iletişim kayıtları | Rıza geri çekilene kadar | Açık rıza |
| Log ve erişim kayıtları | 2 yıl | 5651 sayılı Kanun |
| Çerez verileri | Maksimum 13 ay | ePrivacy yönergesi |
| Panik butonu olay kayıtları | 3 yıl | Güvenlik ve hukuki ispat |
Saklama süresi dolan kişisel veriler, periyodik imha süreci kapsamında (6 aylık periyotlarla) silinir, yok edilir veya anonimleştirilir.
9. İlgili Kişinin Hakları
KVKK Madde 11 uyarınca, kişisel verileri işlenen ilgili kişiler aşağıdaki haklara sahiptir:
- Kişisel verilerin işlenip işlenmediğini öğrenme
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
- Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme
- KVKK Madde 7 kapsamında kişisel verilerin silinmesini veya yok edilmesini isteme
- Düzeltme ve silme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişi aleyhine bir sonucun ortaya çıkmasına itiraz etme
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme
10. Haklarınızı Nasıl Kullanabilirsiniz?
KVKK Madde 13 uyarınca, yukarıda sayılan haklarınızı kullanmak için aşağıdaki yöntemlerden birini tercih edebilirsiniz:
10.1. Başvuru Yöntemleri
| Yöntem | Adres | Konu Başlangı |
|---|---|---|
| Yazılı Başvuru | Alsancak, Kıbrıs Şehitleri Cad. No:14/3, Konak/İzmir | “KVKK Bilgi Talebi” |
| KEP (Kayıtlı Elektronik Posta) | astralgayrimenkuldanismanlik@hs01.kep.tr | “KVKK Bilgi Talebi” |
| E-posta (güvenli elektronik imzalı) | kvkk@keybrox.com | “KVKK Bilgi Talebi” |
| Uygulama içi (Hesabım > Veri Talebi) | keybrox.com/app?m=hesabim | Otomatik form |
10.2. Başvuru Süreci
- Başvuruda kimlik doğrulama yapılır (T.C. kimlik fotokopisi veya platform kimlik doğrulama).
- Başvurular en geç 30 gün içinde ücretsiz olarak yanıtlanır (KVKK Madde 13/2).
- İşlemin ayrıca bir maliyeti gerektirmesi halinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret alınabilir.
- Talebinizin reddi halinde, kararın tebliğinden itibaren 30 gün içinde Kişisel Verileri Koruma Kurulu'na şikayet hakkına sahipsiniz.
11. Veri Güvenliği Önlemleri
Kişisel verilerinizin korunması için aşağıdaki teknik ve idari önlemler uygulanmaktadır:
11.1. Teknik Önlemler
- TLS 1.3 ile veri aktarımında şifreleme
- AES-256-GCM ile oturum çerez şifrelemesi
- Veritabanı düzeyinde şifreleme (encryption at rest)
- JWT (JSON Web Token) tabanlı kimlik doğrulama
- Rol bazlı erişim kontrolü (RBAC) — broker, danışman, admin
- Güçlü şifre politikası ve oturum zaman aşımı (15 dk access, 30 gün refresh)
- DDoS koruması (Cloudflare)
- Günlük otomatik yedekleme (7 gün saklama)
- Güvenlik açığı taraması (periyodik)
11.2. İdari Önlemler
- Çalışanlara KVKK farkındalık eğitimi
- Gizlilik sözleşmesi (tüm personel)
- Veri işleme envanteri (VERBIS sınıflandırması)
- Veri ihlali müdahale planı (72 saat bildirim)
- Erişim yetkilendirme matrisi (minimum veri ilkesi)
- Periyodik iç denetim (6 ayda bir)
12. Çerez Politikası
Çerez kullanımı hakkında detaylı bilgi için Çerez Politikası sayfamızı inceleyebilirsiniz.
13. Aydınlatma Metninde Değişiklikler
İşbu aydınlatma metni, yasal düzenlemeler ve platform gelişimleri doğrultusunda güncellenebilir. Önemli değişikliklerde platform içi bildirim ve/veya e-posta ile bilgilendirileceksiniz. Güncellenmiş metin, yayınlanma tarihinden itibaren geçerlidir.
14. Kişisel Verileri Koruma Kurulu İletişim
Kişisel Verileri Koruma Kurumu
Nasuh Akar Mah. Ziyabey Cad. 1407. Sok. No:4, 06520 Çankaya/Ankara
Telefon: +90 312 216 50 50
Web: www.kvkk.gov.tr