Veri Sorumlusu
Dersora Eğitim Teknolojileri (bundan sonra "Dersora") sıfatıyla, KVKK m.3/1-(ı) uyarınca veri sorumlusu olarak hareket etmekteyiz.
İletişim: info@dersora.com
Bu Aydınlatma Metni, Dersora platformunu (web ve mobil arayüzler) kullanan tüm gerçek kişi veri sahiplerini kapsar: kurum yöneticileri, koçlar/öğretmenler, öğrenciler ve veliler.
1. İşlenen kişisel veri kategorileri
Kimlik ve iletişim
- Ad, soyad, rol (kurum yöneticisi / koç / öğretmen / öğrenci / veli)
- E-posta, telefon numarası
- Kurum adı, sınıf, akademik seviye (gerektiğinde)
- T.C. Kimlik No:
- Bireysel ödeme yapan kullanıcılardan (koç/öğrenci) ödeme alıcısı doğrulaması ve e-Arşiv fatura için bir kerelik alınır
- Hesabınızda AES-256-GCM ile şifrelenmiş olarak saklanır; düz metin olarak depolanmaz
- Sonraki ödemelerde tekrar sorulmaz; talep ederseniz silinebilir
Hesap güvenliği
- Hash'lenmiş parola (bcrypt; düz metin saklanmaz)
- İki adımlı doğrulama (2FA) kodları (geçici, hash'li)
- Oturum çerezleri, IP adresi, tarayıcı/oturum bilgisi
Eğitim ve performans
- Ders programı, devamsızlık, yoklama kayıtları
- Ödev tamamlama, sınav cevapları ve net ortalamaları
- Konu bazlı performans logları, müfredat ilerleme
- Çalışma süresi (Pomodoro)
- AI tarafından üretilen analiz, rapor ve veli mesajları
Finansal
- Aidat planı, taksit vade tarihleri, ödeme tarihi
- Ödeme yöntemi etiketi (nakit / havale / kart) — kart numarası saklanmaz
- Fatura ve makbuz numaraları
- İBAN (yalnızca kurum yöneticisi için, ödeme almak amacıyla)
- Iyzico ödeme kayıtları: işlem ID, tutar, paket adı, ödeme durumu. Kart bilgileri (numara, CVV, son kullanma) Dersora tarafında saklanmaz — tüm kart işlemleri PCI-DSS uyumlu iyzico altyapısında gerçekleşir
İletişim içerikleri
- Platform içi mesajlar, ek dosyalar
- Sesli mesaj kayıtları (öğrenci–koç ileti̇şi̇mi̇)
Görsel
- Profil fotoğrafı, kitap kapağı yüklemeleri
- Sınav/ödev görselleri (AI analizi için yüklenir, analiz sonrası kalıcı saklanmaz)
Teknik ve denetim
- Cihaz tipi, işletim sistemi, hata logları
- Denetim kayıtları (kim, ne zaman, hangi işlemi)
Özel nitelikli kişisel veri (sağlık, biyometrik, din, ırk, cinsel hayat vb.) işlemiyoruz.
2. İşleme amaçları
- Hesap oluşturma ve hizmetin sunulması (öğrenci/koç/veli panelleri)
- Ders, ödev, sınav, devamsızlık yönetimi
- AI destekli rapor, analiz, günlük quiz ve plan üretimi (yalnızca ilgili kullanıcının verisiyle)
- Aidat takibi, fatura ve makbuz oluşturulması
- İletişim, bildirim ve müşteri destek faaliyetleri
- Hesap güvenliği, saldırı ve sahtecilik tespiti
- Yasal yükümlülüklerin yerine getirilmesi (vergi, KVKK)
- Hizmet kalitesinin iyileştirilmesi (yalnızca anonim, toplu istatistik)
3. Hukuki sebepler (KVKK md. 5/6)
| Hukuki Sebep | Örnek |
|---|---|
| Açık rıza | Pazarlama amaçlı iletişim, opsiyonel veri paylaşımı |
| Sözleşmenin kurulması ve ifası | Hesap açma, ders programı yönetimi, ödeme alma |
| Hukuki yükümlülük | Fatura/makbuz saklama, mahkeme talebi |
| Meşru menfaat | Güvenlik logları, sahtecilik önleme, hizmet iyileştirme |
| İlgili kişinin temel hak ve özgürlüklerine zarar vermemek şartıyla zorunlu işleme | Hata logları, denetim kaydı |
4. Aktarım — verileriniz kime gider?
Yurt içi
- Kurum yöneticisi: kendi kurumundaki öğrenci/koç/veli verisi
- Koç: kendisine atanmış öğrencilerin verisi
- Veli: kendi çocuğunun verisi
- iyzico Ödeme Hizmetleri A.Ş. (Türkiye merkezli, PCI-DSS sertifikalı, BDDK lisanslı ödeme kuruluşu) — yalnızca ödeme alma anında: ad-soyad, e-posta, telefon, T.C. Kimlik No, paket bilgisi, tutar
- Yasal merciler (mahkeme, savcılık, vergi idaresi) — resmi talep üzerine
Yurt dışı (KVKK md. 9)
Aşağıdaki altyapı sağlayıcılarına aktarım yapılır:
- Supabase (veri tabanı + auth, AB/ABD veri merkezleri)
- Netlify (web barındırma)
- Google Gemini API — AI üretimi için; içerikler eğitim için saklanmaz
- Resend (e-posta gönderimi)
- Upstash (rate limit cache)
Bu hizmet sağlayıcılarla yapılan veri işleme sözleşmeleri ile veri korumasının yeterli düzeyde olması sağlanır. Verileriniz reklam veya pazarlama için satılmaz, kiralanmaz.
5. Toplama yöntemi
Kişisel verileriniz; dersora.com web sitesi, mobil arayüzler, e-posta ve müşteri destek kanalları aracılığıyla otomatik veya yarı-otomatik yöntemlerle toplanır.
6. Saklama süreleri
- Hesap ve eğitim verileri: Aktif abonelik boyunca + iptalden sonra 180 gün
- T.C. Kimlik No: Hesap aktif olduğu sürece (şifreli). Kullanıcı dilediği zaman Ayarlar üzerinden veya info@dersora.com’a yazarak sildirebilir
- Faturalandırma kayıtları: Vergi Usul Kanunu m.253 uyarınca 10 yıl
- Mesaj kayıtları: 3 yıl
- Denetim/güvenlik logları: 2 yıl
- Doğrulama kodları (e-posta, 2FA): 10 dakika – 24 saat
- Şifre sıfırlama tokenları: 1 saat
7. Veri güvenliği
- TLS 1.2+ şifreleme — tüm trafik şifrelidir
- Parolalar tek yönlü bcrypt hash; düz metin saklanmaz
- 2FA / şifre sıfırlama tokenları SHA-256 ile hash'lenir
- T.C. Kimlik No AES-256-GCM ile şifreli saklanır (authenticated encryption); şifreleme anahtarı uygulamadan ayrı yönetilir
- Kart bilgileri Dersora tarafında saklanmaz — iyzico PCI-DSS altyapısında işlenir
- Row-Level Security ile her kayıt veri tabanı seviyesinde izole
- Service-role anahtarları yalnızca sunucu tarafında
- Denetim kaydı (audit log) ile kritik işlemler izlenir
- Sızıntı durumunda KVKK md. 12/5 uyarınca 72 saat içinde Kurul'a ve etkilenen kişilere bildirim
8. KVKK md. 11 kapsamındaki haklarınız
Veri sahibi olarak aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- İşleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içi/yurt dışı aktarılan üçüncü kişileri bilme
- Eksik/yanlış işlenmişse düzeltme isteme
- KVKK m.7 koşullarında silme veya yok etme isteme
- Düzeltme/silme/yok etme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme
- Otomatik sistem analizi sonucu aleyhinize sonuç doğmasına itiraz etme
- Kanuna aykırı işleme nedeniyle uğradığınız zararın giderilmesini talep etme
Hakkınızı kullanmak için
- Hesabınıza giriş yapın → Ayarlar → KVKK & Gizlilik bölümünden:
- Tüm verilerinizi JSON formatında indirebilir (export)
- Hesap silme talebi açabilirsiniz (geri dönüş penceresi sonunda kalıcı silme)
- Bekleyen silme talebini iptal edebilirsiniz
- Veya yazılı başvuru için: info@dersora.com (kimliğinizi doğrulayan belge ile)
Talepleriniz KVKK md. 13 uyarınca en geç 30 gün içinde sonuçlandırılır.
9. Çocukların verileri
Platform 13 yaş altı çocuklara doğrudan hizmet vermez. 13-18 yaş arası öğrenci hesapları yalnızca veli veya bağlı olduğu kurumun onayı ile açılır. Reşit olmayan kullanıcılar için veli, KVKK m.11 haklarını kullanma yetkisine sahiptir.
10. Şikayet
Talebinizin yeterli düzeyde sonuçlandırılmadığını düşünüyorsanız, KVKK m.14 uyarınca Kişisel Verileri Koruma Kurulu'na şikayette bulunabilirsiniz. Kurul, başvurularınızı incelemekle yetkilidir.
11. Aydınlatma metnindeki değişiklikler
Mevzuattaki değişiklikler veya hizmet kapsamındaki güncellemelerden ötürü bu metin değiştirilebilir. Önemli değişiklikler e-posta veya platform içi bildirimle duyurulur. Sayfa başındaki "Son güncelleme" tarihi her güncellemede yenilenir.