Bu politika, Zedinga Retention Suite ("Hizmet") müşteri verilerinin nasıl toplandığını, işlendiğini, saklandığını ve paylaşıldığını açıklar. KVKK ve GDPR Art. 13/14 zorunluluklarına uygun olarak hazırlanmıştır.
1. Veri Sorumlusu
Zedinga [şirket tipi, ticari sicil no, adres]
- e-posta: contact@zedinga.com
- DPO/KVKK temsilcisi: [isim ve iletişim]
2. İşlenen Kişisel Veri Kategorileri
Hizmet üç farklı kişi grubunun verilerini işler:
2.1. Mağaza sahibi (Müşteri / Veri Sorumlusu)
- İsim, e-posta, mağaza adı, mağaza domain'i
- Shopify access token (offline) — Hizmet'in çalışması için zorunlu
- Faturalandırma bilgisi (Shopify Billing API üzerinden, biz kart bilgisini görmeyiz)
2.2. Mağazanın müşterileri (Son kullanıcı)
Shopify'dan bize gelen veriler:
- İsim, e-posta, telefon (varsa)
- Sipariş geçmişi (sipariş ID, ürünler, tutar, tarih)
- Adres bilgisi (kargo için, biz aktif kullanmayız)
- Marketing consent durumu
Bizim tarafımızdan üretilen veriler:
- Loyalty puan ledger'ı (sipariş başına +N puan, tarih, kaynak)
- Tier seviyesi (Bronze/Silver/Gold/Platinum)
- E-posta gönderim geçmişi (her e-posta için status: sent/skipped/failed/bounced)
- E-posta tercihleri (welcome, review_request, cart_abandoned, vip_upgrade toggle)
- Yorum içerikleri ve fotoğrafları (mağaza sahibi gösterirse)
2.3. Site ziyaretçileri (zedinga.com)
- IP adresi (sadece güvenlik logları için, 30 gün)
- Cookie verisi (zorunlu authentication cookies + analytics cookies — bkz. Bölüm 9)
- Analytics: Google Analytics 4 — IP adresleri Google sunucularında in-memory işlenir ve loglanmaz; persistent client identifier olarak hashed cookie kullanılır. Toplu trafik metriklerini ölçmek için yasal dayanak meşru menfaat (GDPR Art. 6(1)(f)) ve KVKK md. 5/2(f); reklam, remarketing veya cross-site profilleme yapılmaz. AB ziyaretçileri için GA4 yalnızca cookie banner üzerinden açık rıza alındıktan sonra yüklenir (consent-before-load).
3. İşleme Amacı ve Yasal Dayanak (GDPR Art. 6)
| Amaç | Yasal dayanak |
|---|---|
| Mağaza ile sözleşme yürütülmesi (Hizmet sunumu) | Sözleşmenin ifası — Art. 6(1)(b) |
| Mağaza müşterilerine e-posta gönderimi | Mağaza sahibi tarafından alınan rıza — Art. 6(1)(a) |
| Loyalty puan hesaplama, tier yönetimi | Sözleşmenin ifası — Art. 6(1)(b) |
| Sahtekarlık önleme, security logs | Meşru menfaat — Art. 6(1)(f) |
| Yasal yükümlülük (KVKK, vergi) | Yasal yükümlülük — Art. 6(1)(c) |
E-posta gönderiminde rıza yokluğu durumunda Hizmet otomatik gönderimi reddeder (marketing_consent_off skip).
4. Saklama Süreleri
| Veri tipi | Süre |
|---|---|
| Aktif mağaza ile ilgili tüm veriler | Mağaza ile sözleşme süresi boyunca |
| Mağaza fesih sonrası — kişisel veriler | 60 gün (geri alma penceresi) |
| Loyalty ledger — fesih sonrası | Customer-identifying alanlar 60 gün içinde silinir; customer_id null olarak anonimleştirilmiş ledger satırları yasal saklama süresi (10 yıl, TR vergi mevzuatı; AB üye devlet eşdeğerleri) boyunca tutulur — audit/denetim zinciri için |
| GDPR audit log | 5 yıl (denetim zorunluluğu) |
| E-posta suppression list (hard bounce / spam complaint) | Belirsiz süre — meşru menfaat (Art. 6(1)(f)) ve diğer veri sahiplerinin Art. 21 itiraz hakkını koruma. Override: kullanıcı yeni bir merchant'ta açık rıza gösterirse suppression manuel olarak kaldırılır (contact@zedinga.com). |
| Server logs | 30 gün |
5. Üçüncü Taraflarla Paylaşım
Hizmet aşağıdaki sub-processor'lar (alt-işleyen) ile çalışır:
| Sub-processor | Amaç | Konum |
|---|---|---|
| Vercel Inc. | Compute hosting | US (Frankfurt available) |
| Supabase Inc. | Postgres database | EU (Frankfurt) |
| Inngest Inc. | Workflow orchestration | US |
| Resend, Inc. | E-posta delivery | US |
| Shopify Inc. | Auth, webhook, billing | US/CA |
| Anthropic, PBC | LLM-tabanlı yorum moderasyonu (Pro plan opt-in) — yorum metni, başlığı ve müşteri e-postası Claude Haiku modeline iletilir; sonuç (verdict + reason) review_moderation_results tablosuna yazılır, raw response retain edilmez (yalnız diagnostics: model id, response id, stop reason, token sayıları) | US |
| Sentry GmbH | Hata izleme (PII-scrubbed) — sunucu tarafında oluşan hatalar; src/lib/sentry-scrub.tse-posta/customer-id/IP/Authorization header'ı yakalanmadan önce redact eder | US (EU host opt available) |
Sınır ötesi veri aktarımları:ABD'ye aktarımda Standart Sözleşme Maddeleri (SCC) kullanılır. Schrems II kararı doğrultusunda EDPB Recommendations 01/2020 kapsamında Transfer Impact Assessment (TIA) yapılmıştır; teknik tedbirler olarak transit ve at-rest encryption, provider'ın anahtar yönetimine sahip olmadığı tasarım (uygulanabilir yerlerde) uygulanır. Shopify'ın kendi DPA'sı (shopify.com/legal/dpa) mağaza tarafından doğrudan kabul edilmiştir.
Bu liste değişirse bu sayfada güncellenir; mevcut sub-processor'lar için DPA URL'leri talep üzerine contact@zedinga.com adresinden paylaşılır. Üçüncü taraflar verilerinizi yalnızca bizim talimatımızla işler; satılmaz, reklam için paylaşılmaz.
6. Veri Sahibi Hakları (GDPR Art. 15-22 / KVKK md. 11)
- Erişim hakkı (Art. 15): Veri sahibi talepleri Inngest workflow ile asenkron işlenir; sürenin yasal üst sınırı 30 gündür (KVKK md. 13/2 ve GDPR Art. 12(3)). Mağaza müşterileri taleplerini önce ilgili mağazaya iletir; mağaza Shopify
customers/data_requestwebhook'u üzerinden bize iletir, sonuç JSON formatında Storage bucket'a yazılır. - Düzeltme hakkı (Art. 16): Yanlış veri için düzeltme talebi gönderebilirsiniz.
- Silme hakkı / unutulma (Art. 17): Kişisel veriniz anonymize edilir; loyalty ledger'da
customer_idnull'a çevrilir, ledger zinciri korunur. - İşlemenin sınırlandırılması (Art. 18): Belirli e-posta akışlarını (welcome, review_request, vb.) preference center üzerinden kapatabilirsiniz.
- Taşınabilirlik (Art. 20): Tüm verileriniz makine-okunabilir JSON formatında verilir.
- İtiraz (Art. 21): Marketing e-postalarına her zaman tek-tıkla unsubscribe edebilirsiniz (RFC 8058).
Talepler için: contact@zedinga.com
7. Otomatik Karar Verme ve Profilleme
Hizmet iki tür otomatik işlem yapar:
(a) E-posta gönderim/skip kararı — 6 deterministik kapıya dayanır (suppression, consent, idempotency, cooldown, spending cap, render). Profilleme içermez.
(b) Loyalty tier sınıflandırması— Müşterinin toplam puanına göre deterministik kurallarla Bronze/Silver/Gold/Platinum tier'ına atanır. Bu işlem GDPR Art. 4(4) anlamında profilleme olarak değerlendirilir; ancak yasal sonuç doğurmaz veya benzer şekilde önemli etki yaratmaz; yalnızca pazarlama iletişiminin sıklığını/içeriğini etkiler ve GDPR Art. 22 kapsamına girmez. Veri sahibi tier hesaplamasına dahil edilmemeyi tercih ederse preference center üzerinden loyalty modülünü tamamen kapatabilir (Art. 21 itiraz hakkı).
LLM-bazlı veya makine öğrenmesi tabanlı scoring/skoring yoktur; tüm kararlar açık ve denetlenebilir kurallara dayanır.
8. Güvenlik Önlemleri
- Encryption at rest: Supabase Postgres default AES-256
- Encryption in transit: TLS 1.3 zorunlu, HSTS headers
- Multi-tenant isolation: Postgres Row Level Security (her tabloda zorunlu
store_idfilter, application-layer üstü) - Access control: Service-role token sadece server-side fonksiyonlardan, anon key tüm sorgularda RLS-bound
- Audit logging: GDPR operasyonları (data_request, customer_redact, shop_redact) ayrı tabloya kaydedilir
- Incident response: Veri ihlali tespit edilirse KVK Kurulu'nun 24.01.2019 tarihli ve 2019/10 sayılı kararı uyarınca 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildirilir; AB veri sahipleri için GDPR Art. 33 uyarınca yetkili AB DPA'larına 72 saat içinde bildirim yapılır.
9. Cookie Kullanımı
zedinga.com (pazarlama sitesi):
- Zorunlu cookies: authentication, oturum yönetimi
- Analytics cookies: Google Analytics 4 (anonim IP, reklam ID'si yok) — AB ziyaretçileri için cookie banner üzerinden onay alınır (ePrivacy Direktifi ve KVKK Aydınlatma Yükümlülüğü gereği)
- Reklam veya tracking cookies: yoktur
Shopify Admin'e gömülü uygulama (Hizmet):Shopify'ın kendi authentication mekanizması kullanılır (App Bridge); Hizmet ek cookie set etmez, analytics çalıştırmaz.
10. Çocuk Verisi
Hizmet 18 yaşından küçüklere yönelik değildir. Bilinçli olarak küçük yaştaki kişilerden veri toplamayız.
11. Politika Değişiklikleri
Bu politikayı güncellediğimizde "Son güncelleme" tarihi değişir. Materyal değişiklikler e-posta yoluyla bildirilir.
12. Şikayet Hakkı
- Türkiye'de: Kişisel Verileri Koruma Kurumu (KVKK) — kvkk.gov.tr
- AB'de: Bulunduğunuz ülkenin Veri Koruma Otoritesi
İletişim: contact@zedinga.com — yanıtlama süresi en fazla 30 gün.