Ana içeriğe atla
HesApp — restoran QR ödeme ve menü
Yasal

KVKK Aydınlatma Metni — HesApp ve Kişisel Verileriniz

HesApp olarak kişisel verilerinizin güvenliğine önem veriyoruz. Bu sayfa, 6698 sayılı KVKK kapsamında bilgilendirme yükümlülüğümüzün bir parçasıdır.

Ayrıntılı çerez kullanımı için Çerez Politikamızı inceleyebilirsiniz. Açık rıza metnimiz: Kişisel verilerin işlenmesine ilişkin açık rıza. Kullanıcı sözleşmesi: HesApp kullanıcı sözleşmesi. Tüm yasal metinler: Yasal evraklar. Sorularınız için iletişim veya SSSsayfalarımıza göz atabilirsiniz.

1. Giriş

HesApp olarak kişisel verilerinizin güvenliğine önem veriyoruz. İşbu Aydınlatma Metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında veri sorumlusu sıfatıyla kişisel verilerinizin hangi kapsamda işlendiği hakkında sizleri bilgilendirmek amacıyla hazırlanmıştır.

Bu metin; HesApp web sitesini ziyaret eden, demo talebinde bulunan, restoran ödeme sistemlerimizi kullanan, QR ile ödeme yapan, sipariş oluşturan, bizimle iletişime geçen veya hizmetlerimizden faydalanan gerçek ve tüzel kişileri kapsamaktadır.

Ayrıntılı çerez kullanımı hakkında bilgi almak için Çerez Politikamızı inceleyebilirsiniz.

2. Veri sorumlusu

İşbu aydınlatma metni kapsamında veri sorumlusu:

[TİCARİ UNVAN — şirket kurulunca güncellenecek]

Vergi dairesi: [VERGİ DAİRESİ — şirket kurulunca güncellenecek]

Vergi no: [VERGİ NUMARASI — şirket kurulunca güncellenecek]

MERSİS No: [MERSİS NUMARASI — şirket kurulunca güncellenecek]

Adres: [MERKEZ ADRES — şirket kurulunca güncellenecek]

KEP Adresi: [KEP ADRESİ — şirket kurulunca güncellenecek]

E-posta: destek@hesappturkey.com

Web sitesi: www.hesappturkey.com

bundan sonra “Şirket” veya “HesApp” olarak anılacaktır.

3. İşlenen kişisel veri kategorileri

HesApp tarafından aşağıdaki kategorilerde kişisel veriler işlenebilir:

Kimlik ve iletişim verileri

  • ad-soyad
  • işletme veya restoran adı
  • yetkili kişi bilgileri
  • telefon numarası
  • e-posta adresi

Müşteri işlem verileri

  • sipariş bilgileri
  • ödeme işlem durumu
  • işlem tutarı
  • masa/sipariş oturum bilgileri
  • bahşiş işlemleri
  • işlem zaman damgaları

Teknik ve kullanım verileri

  • IP adresi
  • cihaz bilgileri
  • işletim sistemi
  • tarayıcı türü
  • oturum kayıtları
  • hata kayıtları
  • QR oturum bilgileri
  • log kayıtları
  • ziyaret tarihi ve saati

Talep ve iletişim verileri

  • iletişim formlarında paylaştığınız bilgiler
  • destek talepleri
  • geri bildirimler
  • demo talepleri

4. Ödeme verileri ve kart bilgileri

HesApp, ödeme işlemleri sırasında kart numarası, kart son kullanma tarihi veya CVV/CVC güvenlik kodu gibi hassas ödeme verilerini kendi sistemlerinde saklamaz, depolamaz veya doğrudan işlemez.

Ödeme işlemleri, PCI-DSS uyumlu lisanslı ödeme kuruluşları ve ödeme altyapı sağlayıcıları (örneğin iyzico gibi iş ortakları) üzerinden güvenli şekilde gerçekleştirilmektedir.

Kart bilgilerinin işlenmesi ilgili ödeme kuruluşlarının kendi gizlilik politikaları ve güvenlik standartları kapsamında yürütülmektedir.

HesApp yalnızca:

  • ödeme sonucu,
  • işlem durumu,
  • işlem tutarı,
  • sipariş kimliği,
  • ödeme zaman bilgisi,
  • işlem referans numarası

gibi hizmetin çalışması için gerekli sınırlı işlem verilerini işleyebilir.

5. QR kod güvenliği ve quishing riskine ilişkin bilgilendirme

HesApp, QR kod üzerinden menü görüntüleme, sipariş verme ve ödeme süreçlerinde kullanıcı güvenliğini önemser.

QR kodlar, kötü niyetli kişiler tarafından manipüle edilerek kullanıcıların sahte internet sitelerine yönlendirilmesine neden olabilir. Bu tür saldırılar “quishing” olarak adlandırılmaktadır.

Bu nedenle kullanıcıların:

  • QR kodun üzerinde sonradan yapıştırılmış farklı bir etiket olup olmadığını kontrol etmesi,
  • açılan sayfanın HesApp’ın resmi alan adı üzerinden çalıştığını doğrulaması,
  • şüpheli, bozuk veya farklı görünümlü ödeme ekranlarında işlem yapmaması,
  • kart veya ödeme bilgilerini yalnızca güvenli bağlantı üzerinden girmesi,
  • şüpheli durumlarda restoran yetkilisine veya HesApp’a bildirimde bulunması

önerilir.

HesApp; QR yönlendirme güvenliği, oturum doğrulama, ödeme işlem kontrolü, loglama ve yetkisiz erişimlerin önlenmesi amacıyla gerekli teknik ve idari tedbirleri uygulamaktadır.

6. Kişisel verilerin işlenme amaçları

Kişisel verileriniz aşağıdaki amaçlarla işlenebilir:

  • demo ve teklif süreçlerinin yürütülmesi
  • müşteri ilişkileri süreçlerinin yönetilmesi
  • restoran ödeme altyapısının sunulması
  • QR ile ödeme süreçlerinin yürütülmesi
  • sipariş ve ödeme işlemlerinin yönetilmesi
  • hesap bölüşme ve ödeme paylaşımı işlemlerinin gerçekleştirilmesi
  • teknik destek hizmetlerinin sunulması
  • bilgi güvenliği süreçlerinin yürütülmesi
  • sistem performansının izlenmesi
  • hata kayıtlarının analiz edilmesi
  • sahtecilik ve kötüye kullanımın önlenmesi
  • finans ve muhasebe süreçlerinin yürütülmesi
  • yasal yükümlülüklerin yerine getirilmesi
  • kullanıcı deneyiminin geliştirilmesi
  • hizmet kalitesinin artırılması
  • ticari iletişim faaliyetlerinin yürütülmesi

7. İşlem güvenliği ve dolandırıcılık önleme

HesApp; sistem güvenliğinin sağlanması, yetkisiz erişimlerin önlenmesi, dolandırıcılık faaliyetlerinin tespiti, kötüye kullanımın önlenmesi ve hizmet sürekliliğinin sağlanması amacıyla teknik güvenlik kayıtları tutabilir.

Bu kapsamda aşağıdaki veriler işlenebilir:

  • IP adresleri
  • cihaz ve tarayıcı bilgileri
  • oturum kayıtları
  • işlem logları
  • QR oturum bilgileri
  • hata kayıtları
  • ödeme işlem kayıtları
  • sistem güvenlik logları

Bu kayıtlar yalnızca güvenlik, denetim ve yasal yükümlülükler kapsamında kullanılmaktadır.

8. Kişisel verilerin hukuki sebepleri

Kişisel verileriniz KVKK’nın 5. ve 6. maddelerinde belirtilen hukuki sebeplere dayanılarak işlenmektedir.

Kimlik ve iletişim verileri

Kimlik ve iletişim verileri;

  • sözleşmenin kurulması ve ifası,
  • müşteri ilişkilerinin yürütülmesi,
  • iletişim faaliyetlerinin gerçekleştirilmesi

amaçlarıyla ve KVKK m.5/2-c ile m.5/2-f hukuki sebeplerine dayanılarak işlenebilir.

Müşteri işlem verileri

Sipariş, ödeme ve işlem verileri;

  • ödeme süreçlerinin yürütülmesi,
  • hizmetin sunulması,
  • finansal kayıtların tutulması,
  • hukuki yükümlülüklerin yerine getirilmesi

amaçlarıyla KVKK m.5/2-c ve m.5/2-ç kapsamında işlenebilir.

Teknik ve güvenlik verileri

IP adresi, oturum kayıtları, cihaz bilgileri ve güvenlik logları;

  • bilgi güvenliğinin sağlanması,
  • dolandırıcılık faaliyetlerinin önlenmesi,
  • sistem güvenliğinin korunması

amaçlarıyla KVKK m.5/2-f kapsamında işlenebilir.

Pazarlama ve ticari iletişim verileri

Ticari elektronik ileti süreçleri kapsamında işlenen veriler, ilgili kişinin açık rızasına dayanılarak işlenmektedir.

9. Kişisel verilerin aktarılması

Kişisel verileriniz aşağıdaki taraflarla sınırlı ve gerekli ölçüde paylaşılabilir:

  • ödeme kuruluşları
  • bankalar
  • teknik altyapı sağlayıcıları
  • barındırma hizmeti sağlayıcıları
  • e-posta hizmet sağlayıcıları
  • bulut servis sağlayıcıları
  • hukuk, mali müşavirlik ve denetim danışmanları
  • yetkili kamu kurum ve kuruluşları

Aktarımlar yalnızca hizmetin sunulması ve yasal yükümlülüklerin yerine getirilmesi amacıyla yapılmaktadır.

10. Yurt dışına veri aktarımı

HesApp’ın kullandığı bazı teknik altyapı, bulut, hata takip, e-posta, analitik veya güvenlik hizmet sağlayıcılarının sunucuları yurt dışında bulunabilir.

Bu kapsamda kişisel veriler;

  • bulut altyapısı,
  • sistem güvenliği,
  • hata takibi,
  • analitik,
  • e-posta hizmetleri

gibi amaçlarla yurt dışındaki hizmet sağlayıcılar tarafından işlenebilir veya aktarılabilir.

Yurt dışı veri aktarımı süreçlerinde KVKK’nın 9. maddesinde öngörülen güvenlik ve hukuki şartlara uygun hareket edilmektedir.

Gerekli durumlarda Kurul tarafından yayımlanan standart sözleşmeler, taahhütnameler veya mevzuatta belirtilen diğer uygun aktarım mekanizmaları kullanılabilir.

Standart sözleşme kullanılan durumlarda ilgili bildirim süreçleri mevzuata uygun şekilde yürütülmektedir.

11. Çerezler ve analitik teknolojiler

Web sitemizde kullanıcı deneyimini geliştirmek, sistem performansını analiz etmek ve güvenlik süreçlerini yürütmek amacıyla çerezler ve benzeri teknolojiler kullanılabilir.

Çerez kullanımı hakkında ayrıntılı bilgiye Çerez Politikası üzerinden ulaşabilirsiniz.

Web sitemizde kullanılan analitik ve performans araçları kapsamında anonim veya sınırlı teknik veriler işlenebilir.

12. Ticari elektronik ileti

Açık rızanız bulunması hâlinde; ürün güncellemeleri, kampanyalar, hizmet duyuruları ve pazarlama içerikli elektronik iletiler tarafınıza gönderilebilir.

İletişim tercihlerinizi dilediğiniz zaman değiştirebilir veya ticari ileti almayı reddedebilirsiniz.

Ticari elektronik ileti süreçleri ilgili mevzuat ve İleti Yönetim Sistemi (İYS) kuralları kapsamında yürütülmektedir.

Ödeme güvenliği, giriş doğrulaması veya işlem onayı amacıyla gönderilen SMS doğrulama kodları; ticari elektronik ileti onayı veya pazarlama izni olarak değerlendirilmemektedir.

Pazarlama faaliyetleri için gerekli olması hâlinde ayrıca açık onay alınmaktadır.

Ticari ileti için ayrı onay kutusu metnine Ticari elektronik ileti onay metni üzerinden ulaşabilirsiniz.

13. Veri güvenliği tedbirleri

HesApp, kişisel verilerin hukuka aykırı erişimlere, kayıplara ve kötüye kullanıma karşı korunması amacıyla gerekli teknik ve idari tedbirleri almaktadır.

Bu kapsamda örnek olarak:

  • rol bazlı erişim kontrolü
  • oturum güvenliği
  • şifreleme yöntemleri
  • güvenli sunucu altyapıları
  • loglama sistemleri
  • güvenlik duvarları
  • erişim kısıtlamaları
  • düzenli yazılım güncellemeleri
  • veri minimizasyonu prensipleri

uygulanmaktadır.

14. Restoran işletmeleri ile veri işleme ilişkisi

HesApp altyapısını kullanan restoran işletmeleri, kendi müşterilerine ilişkin kişisel veriler bakımından ayrıca veri sorumlusu sıfatına sahip olabilir.

HesApp; sipariş, ödeme ve müşteri deneyimi süreçlerinin teknik olarak yürütülmesi amacıyla ilgili işletmelere yazılım altyapısı sunmaktadır.

İşletmelere özgü veri işleme süreçleri, ilgili restoranın kendi aydınlatma metinleri ve politikalarına tabi olabilir.

15. Aydınlatma ve açık rıza ayrımı

İşbu metin, KVKK kapsamında bilgilendirme amacıyla hazırlanmış bir aydınlatma metnidir.

Bu sayfada sunulan içerik, ilgili kişiyi bilgilendirme amacı taşır; tek başına sözleşme niteliği taşımaz. Ticari elektronik ileti, pazarlama çerezleri veya mevzuat gereği açık rıza gerektiren veri işleme faaliyetleri bu metinden bağımsız olarak ayrı formlarda veya açık rıza metni kapsamında yönetilir.

15.1. QR masa girişi (son kullanıcı)

Restoran masasında QR kod ile menü, sipariş veya ödeme akışına giren son kullanıcılar için; KVKK aydınlatmasının okunduğuna dair onay ile sipariş/ödeme/oturum hizmeti kapsamında kişisel veri işlenmesine ilişkin açık rıza, QR giriş ekranındaki ayrı kutucuklarla alınır (sürüm: 20.05.2026). Bu onaylar oturum kayıtlarında denetim amacıyla saklanabilir; ayrıntılar Çerez Politikası ve teknik log kayıtlarında açıklanır.

Pazarlama web sitesinde yalnızca bilgilendirme metni okunması; QR akışındaki zorunlu onayların yerine geçmez.

16. Çocuklara ait veriler

Hizmetlerimiz doğrudan 18 yaş altı bireylere yönelik değildir.

Bilinçli olarak çocuklara ait kişisel veri toplanmamaktadır.

17. Kişisel verilerin saklama süresi

Kişisel verileriniz, işleme amacının gerektirdiği süre boyunca ve ilgili mevzuatta öngörülen saklama süreleri kapsamında muhafaza edilir.

Süre sonunda veriler:

  • silinir,
  • yok edilir veya
  • anonim hale getirilir.

Örnek olarak:

  • demo ve iletişim kayıtları en fazla 2 yıl,
  • finansal kayıtlar ilgili mevzuat süresince,
  • güvenlik logları ise sistem güvenliği gereklilikleri kapsamında belirli sürelerle saklanabilir.

18. İlgili kişinin hakları

KVKK’nın 11. maddesi kapsamında aşağıdaki haklara sahipsiniz:

  • kişisel verilerinizin işlenip işlenmediğini öğrenme
  • işlenmişse buna ilişkin bilgi talep etme
  • işlenme amacını öğrenme
  • verilerin amacına uygun kullanılıp kullanılmadığını öğrenme
  • aktarıldığı üçüncü kişileri öğrenme
  • eksik veya yanlış işlenmişse düzeltilmesini isteme
  • silinmesini veya yok edilmesini isteme
  • yapılan işlemlerin üçüncü kişilere bildirilmesini isteme
  • otomatik sistemler ile analiz sonucu ortaya çıkan sonuçlara itiraz etme
  • zarara uğramanız hâlinde tazminat talep etme

19. Başvuru yöntemi

KVKK kapsamındaki taleplerinizi aşağıdaki iletişim adresi üzerinden iletebilirsiniz:

E-posta: destek@hesappturkey.com

Başvurularınız ilgili mevzuatta belirtilen süreler içerisinde değerlendirilerek sonuçlandırılacaktır.

Şirket, gerekli durumlarda kimlik doğrulama amacıyla ek bilgi veya belge talep edebilir.

Başvuruların;

  • ad-soyad,
  • iletişim bilgileri,
  • talep konusu,
  • kimlik doğrulamaya ilişkin gerekli bilgiler

içermesi gerekebilir.

Yazdırılabilir başvuru formu: Kişisel veri sahibi başvuru formu (PDF olarak kaydet)

20. Güncellemeler

HesApp, işbu Aydınlatma Metni üzerinde mevzuat değişiklikleri veya hizmet kapsamındaki güncellemeler doğrultusunda değişiklik yapma hakkını saklı tutar.

Güncel metin her zaman web sitemiz üzerinden yayımlanır.

Son güncelleme

Bu metin en son 20 Mayıs 2026 tarihinde yayımlanmıştır.