QRMenu
Ana sayfaHome
Hukuki · KVKK

Gizlilik Politikası ve KVKK Aydınlatma Metni

Yürürlük tarihi: 9 Haziran 2026 · Son güncelleme: 9 Haziran 2026

Bu metin; QRMenu (aktifposqr.com, app.aktifposqr.com) hizmetini sunan veri sorumlusu sıfatıyla aşağıda kimliği belirtilen Şirket tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") başta olmak üzere ilgili mevzuat uyarınca, kişisel verilerinizin nasıl işlendiğini açıklayan aydınlatma metni ve gizlilik politikasıdır.

1.Veri Sorumlusunun Kimliği

Ünvan
AKTİF POS BARKOD YAZILIM BİLGİSAYAR ELEKTRONİK SİSTEMLERİ İTHALAT İHRACAT SANAYİ VE TİCARET LİMİTED ŞİRKETİ
MERSİS No
0042099365200001
Vergi Dairesi / No
Yakacık Vergi Dairesi / 0420993652
Adres
Orta Mah. Tiryaki Hasan Paşa Sk. No:2 Kat:4 D:18 Kartal / İstanbul
KVKK e-posta
kvkk@aktifposqr.com
KEP adresi
aktifposbarkodyazilim@hs01.kep.tr
VERBİS irtibat kişisi
Ebubekir Çağrı ŞEN

2.Kapsam

Bu metin; Platforma kayıt olan Kullanıcılar/Aboneler (ve yetkilileri), Platformu ziyaret edenler ve Şirketle iletişime geçen ilgili kişiler bakımından geçerlidir. Kullanıcının yayımladığı menüyü görüntüleyen misafirler için ayrıca 9. bölüme bakınız.

3.İşlenen Kişisel Veriler, Amaçlar, Hukuki Sebepler ve Saklama Süreleri

Aşağıdaki tablo; işlenen kişisel veri kategorilerini, işleme amaçlarını, KVKK m.5/m.6 kapsamındaki hukuki sebepleri, saklama sürelerini ve aktarılan tarafları özetler.

Veri kategorisi İşleme amacı Hukuki sebep (KVKK) Saklama süresi Aktarım
Kimlik & iletişim (ad-soyad, e-posta) Hesap oluşturma, e-posta doğrulama, oturum açma, bildirim gönderme m.5/2-(c) sözleşmenin kurulması/ifası Hesap aktif olduğu sürece; hesap silindiğinde silinir Cloudflare (e-posta gönderimi) — yurt dışı
İşlem güvenliği (parola özeti/hash, oturum/JWT, yenileme jetonu, IP adresi, erişim kayıtları, oluşturan IP, bot koruması verisi) Kimlik doğrulama, hesap ve sistem güvenliği, kötüye kullanımın önlenmesi, hız sınırlama, log tutma m.5/2-(ç) hukuki yükümlülük (5651 s. Kanun) ve m.5/2-(f) meşru menfaat Yenileme jetonu: süre + 7 gün. Erişim/güvenlik kayıtları: 1 yıl Cloudflare (altyapı/Turnstile bot koruması) — yurt dışı
Müşteri işlem & finans (abonelik durumu, ödeme/fatura referansları) Abonelik yönetimi, ödeme alma, faturalandırma, muhasebe ve yasal kayıt m.5/2-(c) sözleşme ve m.5/2-(ç) hukuki yükümlülük (VUK vb.) İlgili mevzuatta öngörülen süre (ör. VUK uyarınca 10 yıl) Paddle (kayıtlı satıcı) — yurt dışı. Kart verisi Şirkete iletilmez/saklanmaz.
İçerik verisi (menü, kategori, ürün, fiyat, duyuru, "hakkımızda", yüklenen görsel/logo) Hizmetin sunulması; menünün barındırılması, işlenmesi ve QR ile yayımlanması m.5/2-(c) sözleşme Hesap/menü aktif olduğu sürece; silmede 30 gün geri-alma penceresi sonrası kalıcı silinir Cloudflare R2 (görsel depolama) — yurt dışı
Yapay zekâ işleme verisi (menü fotoğrafı/metni, çeviri girdileri) Menü fotoğrafından metin çıkarma (OCR), otomatik çeviri m.5/2-(c) sözleşme; yurt dışı aktarım için m.9 (uygun güvence ve/veya gerekli hâllerde açık rıza) İçe aktarım kaynak görselleri 30 gün sonra otomatik silinir OpenAI (AI işleme) — yurt dışı
Talep & destek verisi (yazışma içeriği, talep/şikayet) Destek sağlama, talep ve şikayetlerin yönetimi, kanıt m.5/2-(c) sözleşme ve m.5/2-(f) meşru menfaat Talebin sonuçlanmasından sonra makul süre / zamanaşımı süresi Cloudflare (e-posta) — yurt dışı
Pazarlama/ticari ileti verisi (e-posta, izin tercihleri) — varsa Kampanya, duyuru ve ticari elektronik ileti gönderimi m.5/1 açık rıza (+ 6563 s. Kanun ve İYS kaydı) Rıza/izin geri alınana kadar Cloudflare (e-posta) — yurt dışı

Not: İşlemsel e-postalar (e-posta doğrulama, sistem bildirimleri) sözleşmenin ifası kapsamındadır; pazarlama amaçlı ticari elektronik iletiler ise ayrıca açık rıza ve İleti Yönetim Sistemi (İYS) kaydı gerektirir.

4.Kişisel Verilerin Toplanma Yöntemi

Kişisel verileriniz; Platforma kayıt, giriş ve kullanım sırasında doldurduğunuz formlar, yüklediğiniz içerikler, Hizmetin işleyişi sırasında otomatik üretilen kayıtlar (log, IP, oturum) ve bizimle kurduğunuz iletişim aracılığıyla; elektronik ortamda, tamamen veya kısmen otomatik yollarla toplanır.

5.Çerezler ve Benzeri Teknolojiler

Platform, çalışması için gerekli (zorunlu) teknolojiler kullanır:

  • Oturum/kimlik doğrulama: Panel, oturumunuzu sürdürmek için tarayıcınızın yerel depolama alanında (localStorage) kimlik jetonları (JWT) saklar. Bu, Hizmetin çalışması için zorunludur.
  • Güvenlik ve bot koruması: Cloudflare ve Turnstile, kötü amaçlı/otomatik trafiği ayırt etmek için güvenlik amaçlı çerez/teknolojiler kullanabilir.
  • Pazarlama/analitik çerezler: Eklenmesi hâlinde, açık rızanıza tabi olarak kullanılır ve bu metin güncellenir.

6.Kişisel Verilerin Aktarıldığı Taraflar

Kişisel verileriniz, yukarıdaki amaçlarla sınırlı olarak ve KVKK m.8 ve m.9 çerçevesinde aşağıdaki taraflara aktarılabilir:

  • Cloudflare, Inc. (ABD) — barındırma/CDN, görsel depolama (R2), e-posta gönderimi, bot koruması (Turnstile).
  • OpenAI (ABD/İrlanda) — yapay zekâ destekli çeviri ve menü fotoğrafı işleme (OCR).
  • Paddle (kayıtlı satıcı; Birleşik Krallık/AB) — ödeme ve faturalandırma.
  • Barındırma/altyapı sağlayıcısı — uygulama sunucusu ve veritabanı Hetzner Online GmbH (Almanya) üzerinde barındırılmaktadır.
  • Yetkili kamu kurum ve kuruluşları — yalnızca hukuki yükümlülük ve talep hâlinde.

7.Yurt Dışına Aktarım (KVKK m.9)

Uygulama sunucusu/veritabanı ile yukarıda sayılan hizmet sağlayıcılar (Cloudflare, OpenAI, Paddle) yurt dışında bulunduğundan, kişisel verileriniz yurt dışına aktarılmaktadır. 1 Haziran 2024 itibarıyla yürürlükteki KVKK m.9 uyarınca yurt dışına aktarım sırasıyla:

  1. Aktarımın yapılacağı ülke/sektör/kuruluş hakkında Kurulca verilmiş bir yeterlilik kararı bulunması hâlinde,
  2. Yeterlilik kararı yoksa, tarafların yazılı taahhüdü ve Kurul izni dâhil uygun güvencelerden birinin (Kurulca ilan edilen standart sözleşme, bağlayıcı şirket kuralları vb.) sağlanması hâlinde,
  3. Bunların sağlanamadığı, arızi nitelikteki hâllerde KVKK m.9/6'daki istisnalara (sözleşmenin ifası için zorunluluk, hakkın tesisi/korunması vb.) veya muhtemel riskler konusunda bilgilendirilmeniz kaydıyla açık rızanıza dayanılarak

gerçekleştirilir. Şirket, bu aktarımlar için uygun güvencelerin sağlanması ve gerekli hâllerde açık rızanızın alınması da dâhil olmak üzere mevzuata uygun yöntemleri uygular.

8.İlgili Kişinin Hakları (KVKK m.11)

KVKK m.11 uyarınca veri sorumlusuna başvurarak kişisel verilerinize ilişkin şu haklara sahipsiniz:

  • Kişisel verinizin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme;
  • İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme;
  • Yurt içinde/yurt dışında aktarıldığı üçüncü kişileri bilme;
  • Eksik veya yanlış işlenmişse düzeltilmesini isteme;
  • KVKK m.7'deki şartlar çerçevesinde silinmesini veya yok edilmesini isteme;
  • Düzeltme/silme/yok etme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme;
  • Münhasıran otomatik sistemlerle analiz sonucu aleyhinize bir sonucun ortaya çıkmasına itiraz etme;
  • Kanuna aykırı işleme sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.

9.Başvuru Usulü

Haklarınıza ilişkin taleplerinizi, "Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ" uyarınca aşağıdaki yollarla iletebilirsiniz:

  • Islak imzalı dilekçe ile yukarıdaki adrese şahsen veya noter aracılığıyla;
  • KEP adresimize (aktifposbarkodyazilim@hs01.kep.tr), güvenli elektronik imza veya mobil imza ile;
  • Sistemimizde kayıtlı ve tarafınızca daha önce bildirilen e-posta adresinizden kvkk@aktifposqr.com adresine.

Başvurunuzda ad-soyad, başvuru yazılıysa imza, T.C. kimlik/uyruk bilgisi, tebligata esas adres ve talep konusu yer almalıdır. Başvurularınız en geç 30 gün içinde sonuçlandırılır. İşlem ayrı bir maliyet gerektirmiyorsa ücret alınmaz; Kurulca belirlenen tarifedeki ücret istisnası saklıdır. Başvurunuzun reddi veya yetersiz bulunması hâlinde Kişisel Verileri Koruma Kurulu'na şikâyette bulunma hakkınız vardır.

10.Menü Misafirleri (Son Kullanıcılar)

Kullanıcının (restoran/işletmenin) yayımladığı menüyü görüntüleyen misafirler bakımından, menüde yer alan içerikten ve misafirlerden topladığı kişisel verilerden ilgili işletme kendi veri sorumlusu sıfatıyla sorumludur. Şirket, menünün teknik olarak sunulabilmesi (içerik dağıtımı, güvenlik, kötüye kullanımın önlenmesi) için sınırlı teknik verileri (ör. IP adresi, erişim kayıtları) veri işleyen/altyapı sağlayıcı rolüyle işler.

11.Veri Güvenliği

Şirket, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek ile muhafazasını sağlamak amacıyla uygun teknik ve idari tedbirleri alır; bunlar arasında aktarımda TLS/HTTPS şifrelemesi, parolaların geri döndürülemez biçimde özetlenmesi (hash), jeton tabanlı kimlik doğrulama, yetkiye dayalı erişim kontrolü, depolama erişim politikaları, veri minimizasyonu ve belirlenen saklama süreleri sonunda silme/yok etme yer alır.

12.Çocukların Verileri

Hizmet, işletmelere yönelik olup 18 yaşından küçüklerin kullanımına yönelik değildir ve bilerek çocuklardan kişisel veri toplamaz.

13.Değişiklikler ve Yürürlük

Bu metin, mevzuattaki veya işleme faaliyetlerindeki değişikliklere göre güncellenebilir. Güncel sürüm bu sayfada yayımlanır ve yukarıda belirtilen yürürlük tarihinde geçerlidir. Esaslı değişiklikler uygun yöntemlerle bildirilir.

Legal · Data Protection

Privacy Policy & KVKK Data Protection Notice

Effective date: 9 June 2026 · Last updated: 9 June 2026

This notice explains how the Company identified below — as data controller of the QRMenu service (aktifposqr.com, app.aktifposqr.com) — processes your personal data under Law No. 6698 on the Protection of Personal Data ("KVKK") and related legislation. This English text is provided for information; the Turkish version prevails in case of conflict.

1.Identity of the Data Controller

Legal name
AKTİF POS BARKOD YAZILIM BİLGİSAYAR ELEKTRONİK SİSTEMLERİ İTHALAT İHRACAT SANAYİ VE TİCARET LİMİTED ŞİRKETİ
MERSIS No
0042099365200001
Tax office / No
Yakacık Tax Office / 0420993652
Address
Orta Mah. Tiryaki Hasan Paşa Sk. No:2 Kat:4 D:18 Kartal / İstanbul, Türkiye
Data-protection e-mail
kvkk@aktifposqr.com
Registered e-mail (KEP)
aktifposbarkodyazilim@hs01.kep.tr

2.Scope

This notice applies to Users/Subscribers (and their representatives) who register for the Platform, visitors, and people who contact the Company. For guests who view a published menu, see section 9.

3.Data Processed, Purposes, Legal Bases & Retention

The table below summarises the categories of personal data, processing purposes, legal bases under KVKK art. 5/6, retention periods and recipients.

Data category Purpose Legal basis (KVKK) Retention Transfer
Identity & contact (name, e-mail) Account creation, e-mail verification, sign-in, notifications art. 5/2-(c) necessary for the contract While the account is active; deleted when the account is deleted Cloudflare (e-mail) — abroad
Transaction security (password hash, session/JWT, refresh token, IP, access logs, creator IP, bot-protection data) Authentication, account and system security, abuse prevention, rate limiting, logging art. 5/2-(ç) legal obligation (Law 5651) and 5/2-(f) legitimate interest Refresh token: term + 7 days. Access/security logs: 1 year Cloudflare (infra / Turnstile) — abroad
Customer transaction & finance (subscription status, payment/invoice references) Subscription management, payment, invoicing, accounting and legal records art. 5/2-(c) contract and 5/2-(ç) legal obligation (Tax Procedure Law, etc.) Statutory period (e.g. 10 years under Tax Procedure Law) Paddle (Merchant of Record) — abroad. Card data is not shared with the Company.
Content data (menu, categories, products, prices, announcements, "about", uploaded images/logos) Providing the Service; hosting, processing and publishing the menu via QR art. 5/2-(c) contract While the account/menu is active; permanently deleted after a 30-day recovery window on deletion Cloudflare R2 (image storage) — abroad
AI processing data (menu photo/text, translation inputs) Text extraction from menu photos (OCR), automatic translation art. 5/2-(c) contract; for cross-border transfer, art. 9 (appropriate safeguards and/or explicit consent where required) Import source images auto-deleted after 30 days OpenAI (AI processing) — abroad
Support & request data (correspondence, request/complaint) Providing support, handling requests and complaints, evidence art. 5/2-(c) contract and 5/2-(f) legitimate interest Reasonable period / limitation period after resolution Cloudflare (e-mail) — abroad
Marketing / commercial-message data (e-mail, consent preferences) — if any Campaigns, announcements and commercial electronic messages art. 5/1 explicit consent (+ Law 6563 and İYS registration) Until consent is withdrawn Cloudflare (e-mail) — abroad

Note: transactional e-mails (verification, system notices) fall under contract performance; marketing commercial electronic messages additionally require explicit consent and registration with the Message Management System (İYS).

4.How Data Is Collected

Your data is collected electronically, by fully or partly automated means, through the forms you complete during registration, sign-in and use, the content you upload, records generated automatically during operation (logs, IP, sessions) and your communications with us.

5.Cookies & Similar Technologies

  • Session/authentication: the dashboard stores authentication tokens (JWT) in your browser's local storage to keep you signed in. This is strictly necessary for the Service to work.
  • Security & bot protection: Cloudflare and Turnstile may use security cookies/technologies to distinguish malicious/automated traffic.
  • Marketing/analytics cookies: if added, they will be used subject to your explicit consent and this notice will be updated.

6.Recipients

  • Cloudflare, Inc. (USA) — hosting/CDN, image storage (R2), e-mail delivery, bot protection (Turnstile).
  • OpenAI (USA/Ireland) — AI translation and menu-photo processing (OCR).
  • Paddle (Merchant of Record; UK/EU) — payments and invoicing.
  • Hosting/infrastructure provider — the application server and database are hosted on Hetzner Online GmbH (Germany).
  • Competent public authorities — only where legally required.

7.Cross-Border Transfer (KVKK art. 9)

Because the application server/database and the providers above (Cloudflare, OpenAI, Paddle) are located abroad, your data is transferred internationally. Under KVKK art. 9 (in force since 1 June 2024), such transfers are made, in order of priority: (1) where the Board has issued an adequacy decision; (2) otherwise, where one of the appropriate safeguards (the Board's standard contract, binding corporate rules, undertaking with Board permission, etc.) is provided; (3) in occasional cases where neither is possible, on the basis of the exceptions in art. 9/6 or your explicit consent after being informed of the likely risks. The Company applies lawful methods, including appropriate safeguards and obtaining your explicit consent where required.

8.Your Rights (KVKK art. 11)

Under KVKK art. 11 you have the right to: learn whether your data is processed and request information; learn the purpose and whether it is used accordingly; know third parties to whom it is transferred at home or abroad; request correction of incomplete/incorrect data; request erasure/destruction under art. 7; request that correction/erasure be notified to recipients; object to results produced solely by automated analysis; and claim compensation for damages from unlawful processing.

9.How to Apply

You may submit requests under the "Communiqué on the Procedures and Principles of Application to the Data Controller" by: a wet-signed petition to the address above; our KEP address (aktifposbarkodyazilim@hs01.kep.tr) with secure/mobile electronic signature; or from the e-mail address registered in our system to kvkk@aktifposqr.com. Requests are answered within 30 days, free of charge unless a fee in the Board's tariff applies. If your request is rejected or found insufficient, you may complain to the Personal Data Protection Board.

10.Menu Guests (End Users)

For guests viewing a menu published by a User (restaurant/business), that business is the data controller of the menu content and of any personal data it collects from guests. The Company processes limited technical data (e.g. IP, access logs) as an infrastructure provider/processor to deliver the menu (content delivery, security, abuse prevention).

11.Data Security

The Company applies appropriate technical and organisational measures, including TLS/HTTPS encryption in transit, irreversible hashing of passwords, token-based authentication, role-based access control, storage access policies, data minimisation and deletion/destruction at the end of defined retention periods.

12.Children's Data

The Service is intended for businesses, is not directed at under-18s, and does not knowingly collect personal data from children.

13.Changes & Effect

This notice may be updated to reflect changes in law or processing. The current version is published on this page and is effective as of the date stated above; material changes are notified appropriately.