DEVSEPET GİZLİLİK POLİTİKASI (PRIVACY POLICY)
Son Güncelleme Tarihi: 24.05.2026
BÖLÜM 1 – GİRİŞ VE KAPSAM
1.1. Politikanın Amacı
DevSepet olarak, ziyaretçilerimizin, üyelerimizin, alıcılarımızın ve satıcılarımızın kişisel verilerinin gizliliğine azami özen göstermekteyiz. İşbu Gizlilik Politikası, DevSepet platformunu (devsepet.net) kullandığınızda hangi kişisel verilerinizin toplandığını, bu verilerin hangi amaçlarla, hangi hukuki sebeplere dayanarak, kimlerle ve hangi koşullarda paylaşıldığını, verilerinizin nasıl korunduğunu, saklama sürelerinizi ve KVKK kapsamındaki haklarınızı açıklamaktadır.
1.2. Politikanın Kapsamı
Bu politika, DevSepet platformu üzerinden:
Alıcı / Kullanıcı olarak üye olan ve alışveriş yapan gerçek kişiler,
Satıcı olarak kayıtlı gerçek veya tüzel kişiler (tüzel kişi yetkililerinin kişisel verilerini de kapsar),
Platformu ziyaret eden (üye olmayan) kişiler
tarafından paylaşılan veya platform tarafından otomatik yollarla toplanan tüm kişisel verileri kapsar.
1.3. Politikanın Uygulayıcısı (Veri Sorumlusu)
Bu politika kapsamında veri sorumlusu:
DevSepet İşletmesi
Adres: Kırmızı Kuşak Sokak No:14, Kadıköy / İstanbul
Telefon: 0850 242 3828
E-posta: info@devsepet.net
Vergi Numarası: 7720417575
(Bundan sonra "DevSepet", "Platform", "biz", "bize" veya "bizim" olarak anılacaktır.)
1.4. Politikanın Bağlayıcılığı
Platformumuzu kullanarak veya üye olarak, işbu Gizlilik Politikası'nı okuduğunuzu, anladığınızı ve kabul ettiğinizi beyan edersiniz. Bu politikayı kabul etmiyorsanız, lütfen platformumuzu kullanmayınız.
BÖLÜM 2 – TOPLANAN KİŞİSEL VERİLER
2.1. Veri Kategorileri
DevSepet, aşağıdaki kategorilerde kişisel verilerinizi toplayabilir:
| Veri Kategorisi | İşlenen Veriler | Toplanma Kaynağı |
|---|---|---|
| Kimlik Bilgileri | Ad, soyad, TC kimlik numarası (gerektiğinde), doğum tarihi | Üyelik formu, kimlik doğrulama |
| İletişim Bilgileri | E-posta adresi, cep telefonu, fatura adresi, teslimat adresi | Üyelik formu, sipariş sırasında, adres defteri |
| İşlem Güvenliği | IP adresi, cihaz bilgileri, tarayıcı türü, işlem logları, oturum açma/kapama zamanları, parola (hash'lenmiş) | Otomatik loglama, çerezler |
| Alışveriş / İşlem Bilgileri | Sipariş geçmişi, sepet içeriği, iade bilgileri, cayma hakkı kullanımı, sıkça satın alınan ürünler | Sipariş işlemleri, iade süreçleri |
| Finans / Ödeme Bilgileri | Kredi kartı bilgileri (tokenize edilir ve saklanmaz), havale/EFT referans numarası, IBAN, bakiye | Ödeme işlemleri |
| Pazarlama / Tercihler | Kampanya tercihleri, tıklama davranışları, bildirim izinleri, e-posta açma/tıklama verileri, çerez tercihleri | Açık rıza ile, çerezler, e-posta servisi |
| Görsel / İşitsel Kayıtlar | Müşteri hizmetleri çağrılarına ilişkin ses kayıtları (onay alınarak) | Çağrı merkezi kayıtları |
| Hukuki İşlem Bilgileri | Mahkeme kararları, icra takipleri, savcılık yazışmaları, avukat görüşleri | Yasal süreçler, adli talepler |
2.2. Özel Nitelikli Kişisel Veriler
DevSepet, KVKK madde 6 kapsamında özel nitelikli kişisel verilerinizi (sağlık bilgileri, biyometrik veriler, genetik veriler, din, mezhep, sendika üyeliği, cinsel hayat, ceza mahkumiyeti vb.) açık rızanız olmadıkça işlemez. Zorunlu hallerde (örneğin sağlık ürünü satışı için ilaç kullanım bilgisi gerektiğinde) ayrıca açık rıza alınır.
BÖLÜM 3 – KİŞİSEL VERİLERİN İŞLENME AMAÇLARI VE HUKUKİ SEBEPLERİ
3.1. İşleme Amaçları
Kişisel verileriniz aşağıdaki amaçlarla işlenmektedir:
| Amaç Grubu | Açıklama |
|---|---|
| Hesap ve üyelik yönetimi | Hesap oluşturma, oturum açma, kimlik doğrulama, şifre yenileme, hesap güvenliği |
| Sipariş ve teslimat | Sipariş alımı, stok kontrolü, kargo firması ile paylaşım (ad, adres, telefon), kargo takibi, teslimat onayı |
| Ödeme işlemleri | Kart doğrulama (3D Secure), tahsilat, iade, mutabakat, bakiye takibi |
| Müşteri hizmetleri | Şikayet, iade, değişim, bilgi talepleri, çağrı merkezi kayıtları, memnuniyet anketleri |
| Hukuki yükümlülükler | Vergi mevzuatı (fatura düzenleme), ticari defter tutma, adli taleplere yanıt, düzenleyici kurum bildirimleri |
| Güvenlik | Dolandırıcılık önleme, yetkisiz erişim tespiti, IP logu, anormallik tespiti, siber saldırı önleme |
| Pazarlama (açık rıza ile) | Kampanya e-postaları, SMS, push bildirimi, kişiselleştirilmiş öneriler, anketler, sadakat programları |
| Analiz ve iyileştirme | Platform performansı ölçümü, kullanıcı davranış analizi, hata tespiti, A/B testleri, ısı haritası |
| Yasal uyuşmazlık yönetimi | İcra takibi, dava süreçleri, arabuluculuk, avukatlık hizmetleri |
3.2. Hukuki Sebepler
Kişisel verileriniz, KVKK madde 5 ve 6'da belirtilen aşağıdaki hukuki sebeplere dayanılarak işlenir:
| İşleme Faaliyeti | Hukuki Sebep |
|---|---|
| Üyelik oluşturma, sipariş ve teslimat, ödeme | Sözleşmenin kurulması ve ifası (KVKK m.5/2-c) |
| Kimlik doğrulama, güvenlik logları, IP kaydı | Hukuki yükümlülük (5651, 6563 sayılı Kanun) – KVKK m.5/2-ç |
| Pazarlama, hedefleme, kişiselleştirilmiş öneriler | Açık rıza (KVKK m.5/1) |
| Dolandırıcılık önleme, platform iyileştirme, istatistik | Meşru menfaat (KVKK m.5/2-f) |
| Vergi ve fatura düzenleme | Hukuki yükümlülük (VUK, TTK) – KVKK m.5/2-ç |
| Çağrı merkezi ses kaydı (onay alınarak) | Açık rıza |
BÖLÜM 4 – KİŞİSEL VERİLERİN AKTARILMASI
4.1. Yurt İçi Aktarımlar
DevSepet, kişisel verilerinizi aşağıdaki üçüncü taraflarla, yasal zorunluluk veya açık rızanız çerçevesinde paylaşabilir:
| Alıcı Taraf | Paylaşılan Veriler | Paylaşım Amacı |
|---|---|---|
| Satıcı (platformdaki bağımsız satıcı) | Ad, soyad, adres, telefon, sipariş detayı | Sipariş teslimatı ve iade |
| Kargo firmaları | Ad, soyad, adres, telefon | Teslimat |
| Ödeme kuruluşu / Banka | Kart bilgileri (token), tutar, referans no | Ödeme işlemi |
| Yetkili kamu kurumları (MERNİS, vergi dairesi, BTK, mahkeme, savcılık, TÜBİTAK) | Talep edilen bilgiler (kimlik, IP, işlem kayıtları, adres) | Yasal yükümlülük |
| Bulut hosting / veri merkezi sağlayıcıları | Sistem logları, veritabanı yedekleri (şifrelenmiş) | Platform işletimi (veri işleyen) |
| E-posta ve SMS servis sağlayıcıları | E-posta adresi, telefon numarası | Bildirim ve pazarlama iletisi (açık rıza ile) |
| Hukuk büroları / icra daireleri | Gerekli bilgiler (borç, sözleşme ihlali, kimlik) | Hukuki takip |
| Analiz ve reklam şirketleri (Google, Meta, Hotjar vb.) | Anonimleştirilmiş veya rızaya dayalı veriler | Performans analizi, hedefleme (çerezler yoluyla) |
Önemli: DevSepet, kişisel verilerinizi hiçbir zaman izinsiz ticari amaçla satmaz, kiralamaz veya devretmez.
4.2. Yurt Dışı Aktarımlar
DevSepet, kişisel verilerinizi yalnızca aşağıdaki durumlarda yurt dışına aktarır:
| Aktarım Yapılan Ülke / Şirket | Veri Kategorisi | Aktarım Sebebi | Hukuki Dayanak |
|---|---|---|---|
| Google LLC (ABD) | Anonimleştirilmiş kullanıcı davranışları, IP (kısmen) | Google Analytics, Google Ads | Açık rıza (çerez paneli) + Yeterli Koruma (ABD için Standart Sözleşme Maddeleri) |
| Meta Platforms Inc. (ABD) | Anonimleştirilmiş dönüşüm verileri | Facebook Pixel (reklam ölçümü) | Açık rıza (çerez paneli) |
| Hotjar Ltd. (İrlanda / AB) | Isı haritası, kullanıcı oturum kayıtları (anonim) | Kullanıcı deneyimi analizi | Açık rıza (çerez paneli) + Yeterli Koruma (AB ülkeleri) |
Yurt dışı aktarımlar için KVKK m.9 uyarınca:
Yeterli korumanın bulunduğu ülkelere (AB ülkeleri, İsviçre, Andorra vb.) aktarımda açık rıza alınır.
Yeterli korumanın bulunmadığı ülkelere (ABD dahil) aktarımda, açık rıza + standart sözleşme maddeleri uygulanır.
BÖLÜM 5 – ÇEREZLER (COOKIES)
DevSepet platformunda, deneyiminizi iyileştirmek, güvenlik sağlamak ve pazarlama faaliyetleri yürütmek amacıyla çerezler kullanılmaktadır.
Çerezler hakkında detaylı bilgiye, DevSepet Çerez Politikası'ndan ulaşabilirsiniz. Çerez türleri, amaçları, saklama süreleri ve yönetim yöntemleri bu politikada ayrıntılı olarak açıklanmıştır.
Özet olarak çerez türlerimiz:
| Çerez Türü | Zorunlu mu? | Amaç |
|---|---|---|
| Zorunlu Çerezler | Evet (rıza gerekmez) | Platformun temel işlevleri (oturum, sepet, güvenlik) |
| Performans / Analiz Çerezleri | Hayır (rıza gerekir) | Kullanım istatistikleri (Google Analytics, Hotjar) |
| İşlevsellik Çerezleri | Hayır (rıza gerekir) | Kullanıcı tercihleri (dil, tema) |
| Hedefleme / Reklam Çerezleri | Hayır (rıza gerekir) | Kişiselleştirilmiş reklamlar (Facebook, Google Ads) |
Çerez tercihlerinizi, platformu ilk ziyaretinizde çıkan panelden veya tarayıcı ayarlarınızdan her zaman değiştirebilirsiniz.
BÖLÜM 6 – KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
6.1. Saklama Süreleri
Kişisel verileriniz, işleme amacının ortadan kalktığı veya yasal saklama süresinin dolduğu tarihten itibaren en geç 1 yıl içinde silinir, yok edilir veya anonim hale getirilir.
| Veri Türü | Saklama Süresi | Dayanak |
|---|---|---|
| Fatura ve ticari defter kayıtları | 10 yıl | Vergi Usul Kanunu m.253 |
| Sipariş ve işlem logları | 2 yıl | E-Ticaret Yönetmeliği |
| İşlem güvenliği kayıtları (IP, log) | 2 yıl | 5651 sayılı Kanun |
| Açık rızaya dayalı pazarlama verileri | Rıza geri alınıncaya kadar, en fazla 5 yıl | 6563 sayılı Kanun |
| Çağrı merkezi ses kayıtları | 1 yıl (aksi kararlaştırılmazsa) | Meşru menfaat |
| Sözleşme metni (üyelik, satıcı sözleşmesi) | Sözleşme sona erdikten sonra 10 yıl | TBK m.146 (10 yıllık zamanaşımı) |
| Alıcı verileri (Satıcı tarafından) | Teslimattan sonra 6 ay - 2 yıl | Meşru menfaat / TKHK |
6.2. Veri İmha Yöntemleri
Saklama sürelerinin dolması halinde verileriniz aşağıdaki yöntemlerle imha edilir:
| Veri Türü | İmha Yöntemi |
|---|---|
| Dijital veriler (veritabanı, log, yedek) | Güvenli silme yazılımları ile üzerine 7 kez rastgele veri yazma (DoD 5220.22-M standardı) |
| Fiziksel belgeler (kağıt fatura, sözleşme) | Parçalama (shredding) veya yakma |
| Manyetik ortamlar (sabit disk, USB) | Fiziksel imha (kırma, öğütme) veya mıknatıslama (degaussing) |
6.3. Anonimleştirme
Veriler, hiçbir şekilde kimlikle ilişkilendirilemeyecek hale getirildiğinde (örneğin sadece şehir bazında istatistik, ad ve adres silinmiş) bu veriler artık kişisel veri sayılmaz ve saklanabilir.
BÖLÜM 7 – VERİ GÜVENLİĞİ
7.1. Teknik Güvenlik Önlemleri
DevSepet, kişisel verilerinizin güvenliğini sağlamak için aşağıdaki teknik tedbirleri almaktadır:
| Tedbir | Açıklama |
|---|---|
| SSL / TLS Şifreleme | Tüm veri iletimi (web ve API) 256-bit SSL/TLS şifreleme ile korunur. |
| Veritabanı Şifreleme | Hassas veriler (parola hash, token, kişisel veriler) veritabanında AES-256 ile şifrelenir. |
| Erişim Loglama | Tüm erişimler (yönetici, satıcı, kullanıcı) loglanır ve en az 2 yıl saklanır. |
| Güvenlik Duvarı (WAF) | Web uygulaması güvenlik duvarı ile saldırılar (SQL injection, XSS, CSRF) engellenir. |
| DDoS Koruma | Dağıtık hizmet engelleme saldırılarına karşı koruma sağlanır. |
| Düzenli Güvenlik Testleri | Yılda en az 2 kez penetrasyon testi ve zafiyet taraması yapılır. |
| Yedekleme | Veriler günlük olarak şifrelenmiş yedeklenir, yedekler coğrafi olarak ayrı lokasyonlarda saklanır. |
| 3D Secure | Kredi kartı ödemelerinde 3D Secure doğrulaması zorunludur. |
7.2. İdari Güvenlik Önlemleri
| Tedbir | Açıklama |
|---|---|
| Personel Eğitimi | Tüm çalışanlar KVKK ve veri güvenliği konularında yılda en az 2 kez eğitilir. |
| Gizlilik Sözleşmeleri | Tüm çalışanlar ve hizmet sağlayıcılar gizlilik sözleşmesi imzalar. |
| Erişim Yetkisi Kısıtlaması | Çalışanların verilere erişimi "ihtiyaç duyma prensibi" ile sınırlandırılır. |
| Disiplin Yaptırımları | Veri güvenliği ihlali yapan çalışanlara disiplin yaptırımı uygulanır (uyarıdan işten çıkarmaya kadar). |
| Bağımsız Denetim | Yılda en az 1 kez bağımsız dış denetim yapılır. |
7.3. Veri İhlali Yönetimi
Bir veri ihlali (hack, kayıp, yetkisiz erişim) tespit edilmesi halinde:
Derhal müdahale: İhlalin kaynağı tespit edilir, sistem kapatılır veya izole edilir.
Bildirim: İhlal, tespit edildikten sonra 72 saat içinde KVKK'ya bildirilir (KVKK m.12). Etkilenen kişiler, gecikmeksizin bilgilendirilir.
Dokümantasyon: Tüm ihlal süreci (zaman, etkilenen veriler, alınan önlemler) raporlanır.
Önlem: Aynı ihlalin tekrarını önlemek için gerekli teknik ve idari tedbirler alınır.
BÖLÜM 8 – KVKK KAPSAMINDA HAKLARINIZ
8.1. Haklarınız (KVKK Madde 11)
KVKK madde 11 uyarınca, veri sorumlusuna başvurarak aşağıdaki hakları kullanabilirsiniz:
| No | Hak |
|---|---|
| 1 | Kişisel verilerinizin işlenip işlenmediğini öğrenme |
| 2 | İşlenmişse buna ilişkin bilgi talep etme |
| 3 | İşleme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme |
| 4 | Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme |
| 5 | Eksik veya yanlış işlenmişse düzeltilmesini isteme |
| 6 | KVKK madde 7 şartları çerçevesinde silinmesini / yok edilmesini / anonimleştirilmesini isteme |
| 7 | Aktarmaların durdurulmasını isteme |
| 8 | İşlemenin yalnızca otomatik sistemlerle yapılması halinde aleyhe bir sonuçla karşılaşmanız durumunda itiraz etme |
| 9 | Kanuna aykırı işleme nedeniyle zarar görmeniz halinde tazminat talep etme |
8.2. Haklarınızı Kullanma Yöntemi
Aşağıdaki kanallardan biriyle yazılı olarak veya KVKK'nın öngördüğü diğer yöntemlerle başvuru yapabilirsiniz:
| Kanal | Bilgi |
|---|---|
| Islak imzalı dilekçe | Kırmızı Kuşak Sokak No:14, Kadıköy / İstanbul |
| E-posta | info@devsepet.net (güvenli elektronik imza veya mobil imza ile) |
| KEP (Kayıtlı Elektronik Posta) | devsepet@hs01.kep.tr (varsa) |
Başvurunuzda mutlaka:
Adınız, soyadınız, TC kimlik numaranız (veya tüzel kişi ise vergi numaranız)
Platformdaki üyelik e-posta adresiniz
Talep ettiğiniz hakkın açıkça belirtilmesi (örneğin: "KVKK m.11/1-c uyarınca işleme amacını öğrenmek istiyorum")
Varsa ek belgeler (kimlik fotokopisi, taleple ilgili destekleyici bilgi)
8.3. Yanıt Süresi ve Ücret
| Kalem | Açıklama |
|---|---|
| Yanıt süresi | En geç 30 (otuz) gün |
| Ücret | Başvurular ücretsizdir. Ancak işlemin ayrıca bir maliyet gerektirmesi halinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret alınabilir (2026 yılı için azami 100 TL). |
| Ret veya yetersiz yanıt | KVKK m.14 uyarınca Kişisel Verileri Koruma Kurulu'na şikayette bulunabilirsiniz (60 gün içinde). |
BÖLÜM 9 – ÇOCUKLARIN GİZLİLİĞİ
9.1. DevSepet platformu 18 yaş altı çocukların kullanımına yönelik değildir. 18 yaşından küçükler ancak yasal temsilcilerinin onayı ve denetiminde üye olabilir.
9.2. 18 yaşından küçük bir kullanıcının rızası olmadan (veya yasal temsilci onayı olmadan) kişisel verilerini topladığımızı fark edersek, bu verileri derhal sileriz.
9.3. Ebeveynler veya yasal temsilciler, çocuklarının verilerinin işlendiğini düşünüyorsa, info@devsepet.net adresinden bize ulaşabilir.
BÖLÜM 10 – ÜÇÜNCÜ TARAF BAĞLANTILARI
Platformumuz, üçüncü taraflara ait web sitelerine (örneğin satıcıların kendi siteleri, ödeme kuruluşları, reklam ağları) bağlantılar içerebilir. Bu bağlantılara tıkladığınızda, üçüncü taraf sitelerin kendi gizlilik politikaları geçerli olur. DevSepet, bu sitelerin gizlilik uygulamalarından sorumlu değildir. Lütfen her siteyi ziyaret etmeden önce gizlilik politikalarını okuyunuz.
BÖLÜM 11 – DEĞİŞİKLİKLER VE GÜNCELLEMELER
11.1. DevSepet, işbu Gizlilik Politikası'nı yasal düzenlemelerdeki değişiklikler, KVKK Kurulu kararları, teknolojik gelişmeler veya platform işleyişindeki güncellemeler nedeniyle 30 gün önceden platformda duyurmak ve kayıtlı e-posta adresinize bildirim göndermek suretiyle değiştirebilir.
11.2. Değişiklik tarihinden sonra platformu kullanmaya devam etmeniz, yeni politikayı kabul ettiğiniz anlamına gelir.
11.3. Değişiklikleri kabul etmiyorsanız, üyeliğinizi sonlandırabilir ve verilerinizin silinmesini talep edebilirsiniz.
11.4. Güncel Gizlilik Politikası'na her zaman devsepet.net/gizlilik-politikasi adresinden ulaşabilirsiniz.
11.5. Bu politika en son 24.05.2026 tarihinde güncellenmiştir.
BÖLÜM 12 – İLETİŞİM
Gizlilik Politikamız hakkında sorularınız, şikayetleriniz veya KVKK kapsamındaki haklarınızı kullanmak için bize aşağıdaki kanallardan ulaşabilirsiniz:
| Kanal | Bilgi |
|---|---|
| Adres | Kırmızı Kuşak Sokak No:14, Kadıköy / İstanbul |
| E-posta | info@devsepet.net |
| Telefon | 0850 242 3828 |
| Vergi No | 7720417575 |
KVKK Başvuru ve Şikayet Birimi (Veri Sorumlusu Temsilcisi):
[Varsa atanmış kişinin adı, e-posta adresi]
(Şu an için başvurular doğrudan info@devsepet.net adresine yapılmalıdır.)
DevSepet İşletmesi
Son Güncelleme: 24.05.2026