HepsiTenis

KVKK Aydınlatma Metni

Kişisel verilerinizin veri sorumlusu sıfatıyla nasıl işlendiğine dair KVKK m.10 aydınlatması.

Sürüm 1 · Güncelleme: 2026-05-29

İşbu Aydınlatma Metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 10. maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca, veri sorumlusu sıfatıyla HepsiTenis tarafından hazırlanmıştır.

1. Veri Sorumlusunun Kimliği

  • Veri Sorumlusu: [Ticari Unvan — yönetimden doldurulacak] (HepsiTenis)
  • Adres: [Açık Adres — yönetimden doldurulacak]
  • MERSİS No: [MERSİS No]  ·  Vergi No: [Vergi/TC Kimlik No]
  • E-posta: kvkk@hepsitenis.com  ·  KEP: [KEP Adresi]
  • VERBİS: [VERBİS Kayıt No]

2. İşlenen Kişisel Veri Kategorileri

Platformumuzu (web sitesi ile iOS ve Android mobil uygulamaları) kullanımınız kapsamında aşağıdaki kişisel veriler işlenmektedir:

  • Kimlik ve İletişim: ad, soyad, e-posta, telefon, profil fotoğrafı, dil/saat dilimi tercihi.
  • Profil/Üyelik: doğum tarihi, cinsiyet, adres, acil durumda aranacak kişi, oyun seviyesi, üyelik notları (isteğe bağlı).
  • İşlem Güvenliği: IP adresi, IP tabanlı konum (şehir/ülke), cihaz ve tarayıcı bilgisi, giriş tarihleri, başarısız giriş denemeleri, oturum/cihaz kayıtları.
  • Anlık Bildirim (isteğe bağlı): yalnızca siz etkinleştirirseniz, cihazınıza anlık (push) bildirim iletmek için tarayıcı/cihaz push aboneliğiniz (endpoint adresi ve şifreleme anahtarları). İstediğiniz an kapatabilirsiniz.
  • Müşteri İşlem: rezervasyon geçmişi, ders/kort kullanımı, talep ve şikâyet kayıtları.
  • Finansal: abonelik/işlem tutarı ve durumu, fatura bilgileri. (Kart bilgileri tarafımızca saklanmaz; lisanslı ödeme kuruluşunca işlenir.)
  • Pazarlama: ticari elektronik ileti izni ve izin geçmişi, çerez tercihleri.

3. Kişisel Verilerin İşlenme Amaçları

  • Üyelik kaydının oluşturulması, kimlik doğrulama ve hesap yönetimi,
  • Kort/ders rezervasyonu ve kulüp hizmetlerinin sunulması,
  • Hesabınızın güvenliğinin sağlanması, yetkisiz/şüpheli erişimin tespiti ve önlenmesi, yeni cihaz/giriş bildirimlerinin yapılması,
  • Talep ve şikâyetlerin yanıtlanması, sizinle iletişim kurulması,
  • Yasal yükümlülüklerin yerine getirilmesi ve hukuki süreçlerin yürütülmesi,
  • Açık rızanız bulunması hâlinde kampanya/duyuru amaçlı ticari elektronik ileti gönderimi.

4. Kişisel Verilerin İşlenmesinin Hukuki Sebepleri

Kişisel verileriniz, KVKK m.5/2 kapsamında aşağıdaki hukuki sebeplere dayanılarak işlenir:

  • Sözleşmenin kurulması/ifası (m.5/2-c): üyelik ve rezervasyon hizmetleri.
  • Hukuki yükümlülük (m.5/2-ç): mali mevzuat (VUK/TTK) ve 5651 sayılı Kanun kapsamındaki kayıtlar.
  • Meşru menfaat (m.5/2-f): hesap güvenliği, dolandırıcılık önleme, hizmet iyileştirme.
  • Açık rıza (m.5/1): isteğe bağlı profil verileri ve ticari elektronik ileti.

Reşit olmayan (çocuk) üyeler ve veli rızası: Reşit olmayan öğrencilerin kaydı, hesabı yöneten velinin/yasal temsilcinin açık rızasıyla yapılır. Veli, çocuk adına hesabı yönetir ve tüm sorumluluğu üstlenir; çocuğun kişisel verilerinin işlenmesine ilişkin onay veli tarafından verilir ve ispatlanabilir biçimde (veli kimliği, yakınlık, tarih, IP) kaydedilir. Reşit olmayan üyelere ticari elektronik ileti/pazarlama gönderilmez. Velinin tercihine bağlı olarak 13–17 yaş arası çocuklara kendi e-postası ve şifresiyle giriş imkânı tanınabilir; bu durumda dahi hukuki sorumluluk ve açık rıza velide kalmaya devam eder. Açık rıza ve velilik beyanı daima velinin kendisinden alınır (kulüp yöneticisi veya üçüncü kişi veli adına rıza veremez): yeni veli için etkinleştirme, hâlihazırda kayıtlı bir üyenin veli yapılması hâlinde ise ayrı bir onay bağlantısı gönderilir. Veli bu bağlantıda 18 yaşından büyük (reşit) olduğunu, verdiği bilgilerin doğru olduğunu ve çocuğun yasal velisi/temsilcisi olduğunu beyan eder ve Veli/Yasal Temsilci Muvafakat ve Taahhütnamesi’ni onaylar; veli beyanını verene kadar çocuk —giriş yapabilse dahi— hiçbir işlem (rezervasyon vb.) yapamaz. Çocuk 18 yaşını (erginlik) doldurduğunda, veli isteğe bağlı olarak hesabı çocuğa devredebilir; bu "bağımsızlaştırma" işlemiyle birlikte kişi kendi açık rızasını verir ve hesabın tüm sorumluluğu kendisine geçer.

5. Kişisel Verilerin Toplanma Yöntemi

Kişisel verileriniz; kayıt/üyelik formları, kulüp kayıt formu, profil ve ayar ekranları, rezervasyon ve iletişim/destek kanalları ile web ve mobil uygulamalar üzerinden elektronik ortamda otomatik ve kısmen otomatik yollarla toplanır.

6. Kişisel Verilerin Aktarılması ve Üçüncü Taraf Hizmet Sağlayıcılar

Hizmetin sunulması, devamlılığı ve güvenliği için kişisel verileriniz, işleme amacıyla sınırlı olarak KVKK m.8 ve m.9 çerçevesinde aşağıdaki taraflarla paylaşılabilir:

  • Üyesi olduğunuz kulüp ve ilgili antrenör — rezervasyon ve ders hizmetlerinin yürütülmesi için,
  • Yetkili kamu kurum ve kuruluşları — yalnızca yasal talep hâlinde,
  • Mali müşavir ve hukuk danışmanları — yasal ve mali yükümlülükler için,
  • Veri işleyen / alt-işleyen hizmet sağlayıcıları — yalnızca bizim adımıza, talimatımızla ve sözleşmesel gizlilik/veri işleme güvenceleriyle:
KategoriÖrnek Sağlayıcı(lar)Amaç
Barındırma & yedeklemeSunucu/hosting sağlayıcısı, Cloudflare R2Verilerin barındırılması ve yedeklenmesi
Anlık bildirim (push)Apple (APNs), Google / Firebase Cloud MessagingWeb ve mobil uygulama bildirimleri
SMS / doğrulamaSMS sağlayıcısı (ör. Netgsm, Twilio)Güvenlik ve doğrulama (OTP) kodları
E-posta gönderimiE-posta/SMTP altyapı sağlayıcısıİşlemsel ve (izinli) bilgilendirme e-postaları
Ödeme & abonelikLisanslı ödeme kuruluşları (ör. iyzico, PayTR), Apple App Store, Google Play, RevenueCatÖdeme alımı, abonelik ve uygulama içi satın alma yönetimi
Analitik (rıza ile)Web analitik sağlayıcısıKullanım istatistikleri ve hizmet iyileştirme
Hata/performans izlemeSentryHata tespiti, kararlılık ve güvenlik

Kart bilgileri: Kredi/banka kartı bilgileriniz Platform tarafından saklanmaz; yalnızca yukarıdaki lisanslı ödeme kuruluşları ve uygulama mağazaları tarafından, kendi güvenlik standartları (PCI-DSS vb.) kapsamında işlenir.

Yurt dışına aktarım: Bu sağlayıcıların bir kısmı (ör. Apple, Google/Firebase, Twilio, RevenueCat, Sentry, Cloudflare) yurt dışında bulunabilir. Bu hâlde aktarım, KVKK m.9 (yeterli korumalı ülke / uygun güvence ya da açık rıza) ve GDPR Bölüm V (SCC vb.) çerçevesinde yapılır.

İç erişim — yetkili personel ve sistem yöneticileri: Yukarıdaki üçüncü tarafların yanı sıra kişisel verilerinize HepsiTenis bünyesindeki yetkili personel ve sistem yöneticilerimiz de erişebilir. Bu bir üçüncü tarafa aktarım değildir; veri sorumlusu içinde, yalnızca hizmetin sunulması ve sürdürülmesi, teknik destek, hesap ve sistem güvenliği, dolandırıcılığın önlenmesi ve hukuki yükümlülüklerin yerine getirilmesi amaçlarıyla ve gereken ölçüde gerçekleşir. Yetkili personelimiz gizlilik yükümlülüğü altındadır. Yöneticilerimizin, destek ve denetim amacıyla bir kulübün yönetim paneline veya bir antrenörün paneline "yönetici görünümü" ile erişmesi dâhil olmak üzere bu tür erişimler ve kritik işlemler denetim (audit) kayıtlarıyla loglanır; böylece kimin, ne zaman, hangi işleme eriştiği izlenebilir ve hesap verebilirlik ilkesi (KVKK m.12) ile veri güvenliği sağlanır.

7. Saklama Süresi, Silme ve Anonimleştirme

Kişisel verileriniz yalnızca işleme amacının gerektirdiği süre boyunca ve ilgili mevzuatın öngördüğü asgari sürelerle saklanır. Başlıca süreler şunlardır:

  • Hesap ve profil verileri: üyeliğiniz aktif olduğu sürece saklanır. Hesabınızı sildiğinizde (veya sildirdiğinizde), e-posta/telefon/adres ve profil bilgileriniz anında silinir; yasal olarak saklanması zorunlu bir kaydınız yoksa hesabınız tümüyle silinir. Hakkınızda saklanması yasal olarak gerekmeyen hiçbir veri tutulmaz.
  • Rezervasyon / ders ve işlem kayıtları: Bir kulüple aranızda doğabilecek uyuşmazlıkta (ör. "bu derslerin yapıldığı/yapılmadığı") kanıt sunabilmemiz için, hesabınızı silseniz dahi ad-soyadınız ile rezervasyon/ders ve ödeme kayıtlarınız meşru menfaat ve zamanaşımı kapsamında (TBK m.146 — 10 yıl) saklanır; bu sürenin sonunda ad-soyad dahil tümüyle imha edilir.
  • Mali kayıtlar (fatura, ödeme): Vergi Usul Kanunu uyarınca 5 yıl ve Türk Ticaret Kanunu uyarınca 10 yıl gibi yasal sürelerle saklanır. Bu kayıtların saklanması yasal bir yükümlülüktür ve silme talebinizden bağımsızdır; süre sonunda imha edilir.
  • İşlem/denetim, güvenlik ve gönderim kayıtları: Hesabınızın ve platformun güvenliğini sağlamak ve hukuki ispat amacıyla; sisteme giriş ve IP kayıtları, kritik işlemlerin denetim (audit) kayıtları ve size gönderilen bilgilendirme e-postalarının gönderim kayıtları tutulur. Bu kayıtlar hem sizi hem bizi olası bir uyuşmazlık veya haksız iddiaya karşı korur (ör. "bilgilendirilmedim", "ben onaylamadım", "bu işlemi ben yapmadım"); meşru menfaat ve 5651 sayılı Kanun kapsamında, mevzuatın öngördüğü süre boyunca saklanır.
  • Rıza ve onay ispatı: Verdiğiniz açık rıza, çerez tercihleri ve yasal belge onaylarının ispatı için onay tarihi ve IP adresi gibi kayıtlar, ilgili mevzuat (KVKK/ETK) kapsamında saklanır.
  • Anonim hâle getirilen veriler: sizi artık tanımlamadığından kişisel veri sayılmaz ve istatistik/raporlama amacıyla süre sınırı olmaksızın tutulabilir.

Silme veya anonimleştirme talebinizde; yalnızca yasal saklama yükümlülüğü bulunan kayıtlar (ör. faturalar) bu yükümlülük süresince saklanır, kalan kişisel verileriniz silinir veya geri döndürülemez biçimde anonim hâle getirilir. Hesabınızı sildikten sonra dilediğiniz zaman aynı e-posta ile yeni ve temiz bir hesap açabilirsiniz; önceki hesabınıza ait veriler (rezervasyon, profil vb.) yeni hesabınıza taşınmaz. Ayrıntılı saklama ve imha süreleri Kişisel Veri Saklama ve İmha Politikamızda yer alır.

8. İlgili Kişi Olarak Haklarınız (KVKK m.11)

Kişisel verilerinizle ilgili olarak; verilerinizin işlenip işlenmediğini öğrenme, işlenmişse bilgi talep etme, işlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme, aktarıldığı üçüncü kişileri bilme, eksik/yanlış işlenmişse düzeltilmesini, KVKK’ya aykırı işlenmişse silinmesini/yok edilmesini isteme, bu işlemlerin aktarıldığı kişilere bildirilmesini isteme, münhasıran otomatik sistemlerle analiz sonucu aleyhinize bir sonuç doğmasına itiraz etme ve zarara uğramanız hâlinde tazminat talep etme haklarına sahipsiniz.

9. Başvuru Yöntemi

Haklarınızı kullanmak için taleplerinizi kvkk@hepsitenis.com adresine iletebilirsiniz. Başvurularınız en kısa sürede ve her hâlükârda en geç 30 gün içinde sonuçlandırılır. Erişim talebinde, hakkınızda tuttuğumuz kişisel verilerin bir kopyası tarafınıza sunulur; silme talebinde ise yasal saklama yükümlülüğü bulunanlar dışındaki verileriniz silinir veya anonim hâle getirilir.

10. Çerezler

Web sitemizde kullanılan çerezlere ilişkin ayrıntılar Çerez Politikası’nda açıklanmıştır.

11. Güncellemeler

Bu Aydınlatma Metni, mevzuat veya hizmetlerimizdeki değişikliklere göre güncellenebilir. Önemli değişiklikler, yürürlüğe girmeden önce e-posta ve/veya Platform üzerinden bildirilir.

Bu belge Türkçe ve İngilizce sunulmaktadır; çelişki hâlinde Türkçe metin esas alınır.