1. Veri sorumlusu
Bu Politika, dersora.com adresinden ve mobil arayüzlerden erişilebilen Dersora platformuna (bundan sonra "Platform") ilişkin gizlilik uygulamalarını düzenler. Veri sorumlusu sıfatıyla hareket eden işletme: Dersora Eğitim Teknolojileri (bundan sonra "Dersora" veya "biz"). İletişim: info@dersora.com.
Bu Politika 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), ilgili ikincil mevzuat, Türk Borçlar Kanunu, Türk Ticaret Kanunu, Vergi Usul Kanunu ve elektronik ticarete ilişkin mevzuat çerçevesinde hazırlanmıştır.
2. Toplanan kişisel veri kategorileri
- Kimlik: Ad-soyad, kurum adı, rol (kurum yöneticisi / koç / öğretmen / öğrenci / veli). Bireysel ödeme yapan kullanıcılardan ayrıca T.C. Kimlik No (iyzico alıcı doğrulaması + e-Arşiv fatura için; AES-256-GCM ile şifreli saklanır).
- İletişim: E-posta, telefon numarası.
- Hesap güvenliği: Hashlenmiş parola, iki adımlı doğrulama (2FA) kodları (geçici), oturum çerezleri, IP, tarayıcı/oturum bilgisi.
- Eğitim verileri: Ders programı, devamsızlık, ödev, sınav cevapları ve sonuçları, konu bazlı performans logları, çalışma süresi (Pomodoro), müfredat ilerleyişi.
- Finansal: Aidat planı, ödeme tarihleri, ödeme yöntemi etiketi (kart numarası saklanmaz), makbuz/fatura numaraları, iyzico ödeme işlem ID, paket ve tutar bilgisi. Kart bilgileri (numara, CVV, son kullanma) Dersora tarafında saklanmaz; tüm kart işlemleri PCI-DSS uyumlu iyzico altyapısında gerçekleşir.
- İletişim içerikleri: Platform içi mesajlar, ek dosyalar, AI tarafından üretilen veli raporları.
- Görsel: Profil fotoğrafı, kitap kapağı, sınav/ödev görselleri (AI analizi için; analiz sonrası kalıcı saklanmaz).
- Teknik ve denetim: Cihaz tipi, OS, hata logları, denetim kayıtları (kim, ne zaman, hangi işlemi).
Özel nitelikli kişisel veri (sağlık, biyometrik, din vb.) işlemiyoruz. İsteğe bağlı bio/açıklama alanlarına özel nitelikli veri girmemenizi öneririz.
3. İşleme amaçları ve hukuki sebepleri
| Amaç | KVKK md. 5/6 hukuki sebebi |
|---|---|
| Hesap oluşturma ve hizmetin sunulması | Sözleşmenin kurulması ve ifası |
| AI destekli rapor/analiz/quiz üretimi | Sözleşmenin ifası + meşru menfaat |
| Ödeme alma, faturalandırma, aidat takibi | Sözleşmenin ifası + kanuni yükümlülük |
| İletişim, destek, bildirim | Meşru menfaat (+ açık rıza pazarlama için) |
| Güvenlik, sahtecilik tespiti, denetim kayıtları | Meşru menfaat + kanuni yükümlülük |
| Yasal süreçlere uyum | Kanuni yükümlülük |
4. Erişim — verilerinizi kim görür
- Kurum yöneticisi: Kendi kurumundaki öğrenci/koç/veli verilerini.
- Koç/öğretmen: Sadece kendisine atanmış öğrencilerin verilerini.
- Öğrenci: Sadece kendi verilerini.
- Veli: Sadece çocuğuna ait verileri.
- Dersora ekibi: Yalnızca destek talebi açtığınızda, ilgili konuyla sınırlı, audit log altında.
Row-Level Security (RLS) ile bu izolasyon veri tabanı seviyesinde zorlanır.
5. Üçüncü taraf altyapı sağlayıcılar
Hizmetin sunulması için aşağıdaki altyapı hizmetlerini kullanıyoruz:
- Supabase — veri tabanı ve kimlik doğrulama (AB/ABD veri merkezleri).
- Netlify — web barındırma.
- Google Gemini API — yapay zeka üretimi (sınav/ödev içerikleri anonim olarak gönderilir, Google tarafından eğitim için saklanmaz).
- Resend — e-posta gönderimi.
- Upstash — rate limit cache.
- iyzico Ödeme Hizmetleri A.Ş. — kart ile ödeme alma (Türkiye merkezli, BDDK lisanslı, PCI-DSS sertifikalı). Ödeme anında ad-soyad, e-posta, telefon, T.C. Kimlik No, paket bilgisi ve tutar iletilir; kart bilgileri yalnızca iyzico tarafında işlenir, Dersora'ya iletilmez.
Yurt dışı aktarımlar KVKK md. 9 uyarınca açık rıza veya yeterli güvenlik önlemleri çerçevesinde gerçekleşir. Bu hizmet sağlayıcılarla yapılan veri işleme sözleşmeleriyle ek koruma sağlanır.
Verilerinizi reklam veya pazarlama için üçüncü taraflara satmıyor, kiralamıyoruz.
6. Veri güvenliği
- Tüm trafik TLS 1.2+ ile şifrelenir.
- Parolalar tek yönlü hash (bcrypt) ile saklanır; düz metin parola tutmayız.
- Şifre sıfırlama / 2FA / e-posta doğrulama kodları SHA-256 hash ile saklanır.
- T.C. Kimlik No AES-256-GCM ile şifreli saklanır (authenticated encryption); şifreleme anahtarı uygulamadan ayrı yönetilir.
- Kart bilgileri (numara, CVV, son kullanma) Dersora tarafında saklanmaz; PCI-DSS uyumlu iyzico altyapısında işlenir.
- Veritabanı seviyesinde Row-Level Security; her kayıt sahibiyle filtrelenir.
- Service-role anahtarları yalnızca sunucu tarafında; istemciye sızdırılmaz.
- Kritik işlemler için denetim kaydı (audit log).
- Sızıntı tespit edilirse KVKK md. 12/5 uyarınca 72 saat içinde Kişisel Verileri Koruma Kurulu'na ve etkilenen kullanıcılara bildirim yapılır.
7. Saklama süreleri
- Hesap ve eğitim verileri: Aktif abonelik boyunca + iptalden sonra 180 gün (geri yükleme penceresi).
- Fatura, makbuz ve finansal kayıtlar: Vergi mevzuatı gereği 10 yıl.
- İletişim ve mesaj kayıtları: 3 yıl.
- Denetim ve güvenlik logları: 2 yıl.
- Doğrulama kodları, oturum tokenları: 10 dakika – 30 gün.
8. Çocukların verileri
Platform 13 yaşın altındaki çocuklara doğrudan hizmet vermez. 13-18 yaş öğrenci hesapları yalnızca veli veya kurum onayıyla açılır. Reşit olmayan kullanıcıların verilerinin işlenmesinde velinin açık rızası esastır; veli istediğinde silme/erişim talep edebilir.
9. KVKK kapsamındaki haklarınız (md. 11)
Kişisel veri sahibi olarak:
- Verilerinizin işlenip işlenmediğini öğrenme,
- İşlenmişse buna ilişkin bilgi talep etme,
- İşleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içi/dışı aktarıldığı üçüncü kişileri bilme,
- Eksik/yanlış işlenmişse düzeltilmesini isteme,
- Silinmesini veya yok edilmesini isteme,
- Düzeltme/silmenin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Otomatik sistemlerle analiz sonucu aleyhinize bir sonuç doğmasına itiraz etme,
- Kanuna aykırı işleme nedeniyle zarara uğrarsanız tazminat talep etme
haklarına sahipsiniz. Bu hakları kullanmak için:
- Hesabınızdaki Ayarlar → KVKK & Gizlilik bölümünden doğrudan veri indirme/silme talebi oluşturabilirsiniz,
- Veya info@dersora.com adresine kimliğinizi doğrulayan belgelerle yazabilirsiniz.
Başvurular en geç 30 gün içinde sonuçlandırılır.
10. Çerezler
Yalnızca hizmetin sunulması için gerekli oturum çerezlerini (auth tokenı, tema/dil tercihi) kullanırız. Üçüncü taraf izleme veya pazarlama çerezi kullanmıyoruz. Detay için Çerez Politikası sayfamıza bakın.
11. Politika güncellemeleri
Bu Politika güncellenebilir. Önemli değişiklikler e-posta veya platform içi bildirimle duyurulur. Sayfa başındaki "Son güncelleme" tarihi her güncellemede yenilenir.
12. İletişim ve şikayet
Gizlilik veya KVKK ile ilgili her türlü soru ve talep için: info@dersora.com
Talebinizin tatmin edici biçimde sonuçlandırılmadığını düşünürseniz Kişisel Verileri Koruma Kurumu'na (KVKK) şikayet başvurusunda bulunabilirsiniz.