← Ana sayfa

KVKK Aydınlatma Metni

Son güncelleme: 2026-05-02

6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") uyarınca, KFinans kullanıcılarına ait kişisel verilerin işlenmesine ilişkin aşağıdaki bilgilendirme yapılır.

1. Veri Sorumlusu

Mayotek("KFinans" uygulamasının operatörü), KVKK kapsamında veri sorumlusu sıfatıyla hareket eder.

  • Ticari ad: [TİCARİ ÜNVAN]
  • İletişim e-postası: kvkk@kfinans.app
  • KEP adresi: [KEP_ADRESI]
  • Adres: [TEBLİGAT_ADRESİ]

2. İşlenen Kişisel Veriler

Hesap oluşturma ve hizmet sunumu için aşağıdaki veriler işlenir:

  • Kimlik: e-posta adresi, şifre (bcrypt hash), risk profili
  • Finansal:şifrelenmiş borsa API anahtarları (Fernet), kayıtlı blockchain cüzdan adresleri, TEFAS/hisse/BES holdingleri, haftalık portföy snapshot'ları
  • İşlem: giriş kayıtları, IP adresi, kullanıcı ajanı (User-Agent), uygulama içi etkinlik logları
  • Türev veri: AI tavsiye motoru tarafından üretilen içerikler

Özel nitelikli kişisel veri (sağlık, biyometrik vb.) işlenmez.

3. İşleme Amaçları ve Yasal Zemin

  • Hesap oluşturma, kimlik doğrulama, e-posta doğrulama — sözleşme ifası (KVKK m.5/2-c)
  • Portföy verisi toplama, snapshot oluşturma ve görüntüleme — sözleşme ifası (m.5/2-c)
  • Borsa API anahtarları üzerinden bakiye okuma — sözleşme ifası (m.5/2-c); kullanıcı entegrasyonu kendi tercihi ile ekler
  • AI tabanlı bilgilendirici içerik üretimi — sözleşme ifası (m.5/2-c); bağlayıcı yatırım danışmanlığı niteliği taşımaz
  • Yurt dışı sağlayıcılara veri aktarımı (Anthropic, Resend — ABD) — açık rıza (KVKK m.9), kayıt sırasında ayrı kutuda alınır
  • Güvenlik denetimi, sahtecilik önleme, log saklama — meşru menfaat (m.5/2-f, 5651 sayılı Kanun)
  • Hizmet kalitesini iyileştirme, anonim analitik — meşru menfaat

4. Aktarım

Veriler aşağıdaki üçüncü taraflara, hizmetin gerektirdiği ölçüde aktarılır:

  • Anthropic (ABD): AI tavsiye üretimi için anonim portföy özeti (Claude API). Gerçek e-posta veya kimlik aktarılmaz.
  • Resend (ABD): e-posta doğrulama bağlantısının teslimatı için e-posta adresi.
  • Bulut altyapı sağlayıcıları (AB/Türkiye): barındırma için.
  • iyzico (Türkiye): kredi paketi satın alma akışı eklendiğinde ödeme işleme için.

Yurt dışına aktarımlar KVKK m.9 kapsamında, Kurul tarafından belirlenen güvenli ülkelere veya yeterli koruma taahhüdü içeren standart sözleşme maddeleri ile yapılır.

5. Saklama Süreleri

  • Hesap verisi (e-posta, holdingler, snapshot'lar): hesap silinene + 30 gün cayma süresi
  • Şifrelenmiş borsa API anahtarları: hesap silindiğinde derhal SİLİNİR
  • Erişim logları, IP, User-Agent: 1-2 yıl (5651 sayılı Kanun yasal arşiv)
  • Ödeme/fatura kayıtları: 10 yıl (TTK m.82, VUK m.253)

6. Haklarınız (KVKK m.11)

Veri sahibi olarak şu haklara sahipsiniz:

  • Kişisel verilerinizin işlenip işlenmediğini öğrenme
  • İşlenmişse buna ilişkin bilgi talep etme
  • İşleme amacını ve kullanım uygunluğunu öğrenme
  • Yurt içi / yurt dışı aktarım yapılan üçüncü tarafları bilme
  • Eksik / yanlış işlenmiş verilerin düzeltilmesini isteme
  • KVKK m.7 koşullarında silinmesini veya yok edilmesini isteme
  • Otomatik analiz sonucunun aleyhinize bir sonuç doğurmasına itiraz etme
  • Hukuka aykırı işleme nedeniyle zarara uğramışsanız tazminat isteme

Başvurularınızı Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğuyarınca aşağıdaki kanallardan birini kullanarak iletebilirsiniz:

  • E-posta (kayıtlı adresinizden): kvkk@kfinans.app
  • KEP (Kayıtlı Elektronik Posta) adresinden veri sorumlusu KEP'imize: [KEP_ADRESI]
  • Güvenli elektronik imza ile imzalanmış belge ile e-posta yoluyla
  • Yazılı (ıslak imzalı) başvuru — yukarıdaki tebligat adresine elden veya noter aracılığıyla

KVKK m.13 uyarınca başvurunuza en geç 30 gün içinde ücretsiz yanıt verilir (işlemin ek maliyet doğurması halinde Kurul tarifesi uygulanır).

7. Veri Güvenliği

Aşağıdaki teknik ve idari tedbirler alınır:

  • Şifre hash'leme (bcrypt), borsa anahtarları için Fernet simetrik şifreleme
  • HTTPS / TLS zorunluluğu, JWT tabanlı kimlik doğrulama, oturum iptal mekanizması (token blacklist)
  • Rate limiting (login, register, refresh endpoint'leri için)
  • Veri tabanı erişim kontrolü, en az yetki ilkesi
  • Düzenli yedekleme ve felaket kurtarma planı

8. Veri İhlali Bildirimi

KVKK m.12/5 uyarınca olası bir veri ihlali tespit edildiğinde, en kısa sürede ve en geç 72 saatiçinde Kişisel Verileri Koruma Kurulu'na bildirim yapılır. Etkilenen veri sahiplerine de gecikmeksizin (ihlalin niteliği ve riski gözetilerek) bilgi verilir.

9. VERBİS Kaydı

Mayotek, KVKK Kurulu'nun belirlediği eşikleri (yıllık çalışan sayısı 50+, mali bilanço 25M ₺+, özel nitelikli veri ana faaliyet) aşmadığı için Veri Sorumluları Sicili (VERBİS) kayıt yükümlülüğü bulunmamaktadır. Eşikler aşıldığında veya gönüllü olarak kayıt yapıldığında bu metin güncellenecektir.