Yürürlük tarihi: 10 Temmuz 2026 · Bu metnin Türkçe sürümü bağlayıcıdır.
Bu politika; CartaX hizmetini kullandığınızda hangi verilerin, hangi amaçlarla ve hangi hukuki dayanaklarla işlendiğini, kimlerle paylaşıldığını ve haklarınızı açıklar. Aşağıdaki Bölüm II, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") uyarınca aydınlatma metnidir; Avrupa Ekonomik Alanı/Birleşik Krallık'taki kullanıcılar için GDPR'a ilişkin ek bilgiler ilgili başlıklarda yer alır.
Temel ilkelerimiz: müşteri verisi müşterinindir ve yalnız hizmetin sunulması için işlenir; reklam amaçlı izleme yapılmaz; müşteri içeriği reklam, profilleme veya model eğitimi için kullanılmaz; kart verisi CartaX sistemlerinde tutulmaz.
Veri sorumlusu: [TİCARİ ÜNVAN] (vergi dairesi: [VERGİ DAİRESİ], vergi/MERSİS no: [VERGİ NO / MERSİS]), adres: [İŞLETME ADRESİ]. Başvuru kanalı: [email protected] · Web: işletme bilgileri.
| Kategori | Örnek veriler | Kaynak |
|---|---|---|
| Kimlik ve iletişim | Ad, soyad, e-posta adresi | Kimlik doğrulama sağlayıcısı (Clerk) üzerinden hesap açılışı |
| İşlem güvenliği | IP adresi, oturum/erişim logları, cihaz ve tarayıcı bilgisi | Hizmetin kullanımı sırasında otomatik olarak |
| Müşteri içeriği | Yüklenen jeouzamsal veriler (nokta bulutu, ortofoto, panorama, vektör), proje ve notlar | Sizin yüklemeniz/oluşturmanız — sizin adınıza işlenir |
| Ödeme ve fatura | Fatura ad/adres bilgisi, vergi no (kurumsal fatura), işlem kayıtları | Ödeme akışı — kart verisi İyzico tarafından işlenir, CartaX’ta tutulmaz |
| Destek kayıtları | Destek talepleri, yazışmalar, ekler | Destek kanallarına sizin ilettikleriniz |
| Amaç | Hukuki sebep (KVKK m.5 / GDPR m.6) |
|---|---|
| Hesabın oluşturulması, hizmetin sunulması, veri işleme hatlarının çalıştırılması, paylaşım özellikleri | Sözleşmenin kurulması ve ifası (m.5/2-c; GDPR 6/1-b) |
| Fatura düzenleme, vergi ve ticaret mevzuatına uyum, yetkili makam talepleri | Hukuki yükümlülüğün yerine getirilmesi (m.5/2-ç; GDPR 6/1-c) |
| Hizmet güvenliği, kötüye kullanımın ve sahteciliğin önlenmesi, hata giderme, hizmetin iyileştirilmesi | Meşru menfaat (m.5/2-f; GDPR 6/1-f) |
| İsteğe bağlı hata izleme (Sentry) ve isteğe bağlı arayüz tercih çerezleri | Açık rıza (m.5/1; GDPR 6/1-a) — dilediğiniz an geri alınabilir |
Hizmet, aşağıdaki alt hizmet sağlayıcıları kullanır; bu kapsamda kişisel verileriniz yurt dışına aktarılabilir:
| Sağlayıcı | Konum | Amaç | Aktarılan kategoriler |
|---|---|---|---|
| Clerk | ABD | Kimlik doğrulama ve oturum yönetimi | Kimlik, iletişim (ad, e-posta), işlem güvenliği |
| Supabase | AB/ABD | Veritabanı (hesap, proje ve uygulama kayıtları) | Kimlik, işlem güvenliği, uygulama verisi |
| Cloudflare | Küresel ağ | Altyapı, CDN, API ve nesne depolama (R2/Stream) | Müşteri içeriği, trafik/işlem güvenliği |
| Google Cloud | Belçika (AB) | Veri işleme hatları (nokta bulutu/ortofoto dönüştürme) | Müşteri içeriği (jeouzamsal veri) |
| Sentry | ABD | Hata kaydı (yalnız açık rızayla yüklenir) | Teknik hata bağlamı, cihaz/oturum meta verisi |
| Resend | ABD | İşlemsel e-posta gönderimi | E-posta adresi, bildirim içeriği |
| İyzico | Türkiye | Ödeme işleme (yurt dışı aktarım değildir) | Ödeme ve fatura bilgileri |
Yurt dışı aktarımlar; KVKK m.9 kapsamında açık rızanıza ve/veya Kişisel Verileri Koruma Kurulunca öngörülen güvencelere (standart sözleşme/taahhütname mekanizmaları) dayanılarak, sağlayıcılarla akdedilen veri işleme sözleşmeleri (DPA) ve standart sözleşme hükümleri (SCC) eşliğinde gerçekleştirilir. Hesap açılışında bu aktarımlara ilişkin bilgilendirme sunulur; aktarıma dayanak açık rıza gerektiğinde ayrıca alınır ve hizmetin rızaya bağlı olmayan kısımları rızaya şartlanmaz.
KVKK m.11 uyarınca:
GDPR kapsamındaki kullanıcılar ayrıca erişim, düzeltme, silme ("unutulma"), işlemenin kısıtlanması, veri taşınabilirliği ve itiraz haklarına (m.15–22) sahiptir.
Başvuru: taleplerinizi [email protected] adresine, kimliğinizi tespite elverişli bilgilerle iletebilirsiniz (Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'e uygun olarak). Başvurular en geç 30 gün içinde ücretsiz sonuçlandırılır. Sonuçtan memnun kalmazsanız Kişisel Verileri Koruma Kurulu'na (AEA'da iseniz yerleşik olduğunuz ülkenin denetim otoritesine) şikâyette bulunabilirsiniz.
CartaX, 18 yaş altındaki kişilere yönelik değildir ve bilerek 18 yaş altı kişilerden veri toplamaz. Böyle bir işleme tespit edilirse ilgili hesap ve veriler silinir.
Çerez ve benzeri teknolojilere ilişkin ayrıntılar Çerez Politikası'nda açıklanmıştır. Özet: yalnız hizmetin çalışması için zorunlu çerezler onaysız kullanılır; reklam/pazarlama çerezi kullanılmaz; isteğe bağlı hata izleme yalnız açık rızayla çalışır.
Bu metin; ürün, alt işleyici seti veya mevzuat değiştikçe güncellenir. Esaslı değişiklikler e-posta veya uygulama içi bildirimle duyurulur; yürürlük tarihi sayfanın üstünde gösterilir.
Effective date: July 10, 2026 · English translation is provided for convenience; in case of any discrepancy, the Turkish version prevails.
This policy explains which data is processed when you use CartaX, for which purposes and on which legal bases, with whom it is shared, and your rights. Part II is the disclosure notice required by the Turkish Personal Data Protection Law No. 6698 ("KVKK"); additional GDPR information for users in the EEA/UK is included under the relevant headings.
Our core principles: customer data belongs to the customer and is processed only to provide the service; no advertising tracking; customer content is never used for advertising, profiling or model training; card data is never stored on CartaX systems.
Data controller: [TİCARİ ÜNVAN] (tax office: [VERGİ DAİRESİ], tax/MERSİS no: [VERGİ NO / MERSİS]), address: [İŞLETME ADRESİ]. Contact: [email protected] · company information.
| Category | Examples | Source |
|---|---|---|
| Identity and contact | Name, surname, e-mail address | Account creation via the authentication provider (Clerk) |
| Security data | IP address, session/access logs, device and browser information | Collected automatically during use |
| Customer content | Uploaded geospatial data (point clouds, orthophotos, panoramas, vectors), projects and notes | Uploaded/created by you — processed on your behalf |
| Payment and invoicing | Billing name/address, tax number (corporate invoices), transaction records | Checkout flow — card data is processed by İyzico and never stored by CartaX |
| Support records | Support requests, correspondence, attachments | Provided by you via support channels |
| Purpose | Legal basis (KVKK art. 5 / GDPR art. 6) |
|---|---|
| Account creation, provision of the service, running processing pipelines, sharing features | Performance of a contract (KVKK 5/2-c; GDPR 6(1)(b)) |
| Invoicing, compliance with tax and commercial law, lawful requests by authorities | Legal obligation (KVKK 5/2-ç; GDPR 6(1)(c)) |
| Service security, abuse and fraud prevention, debugging, service improvement | Legitimate interest (KVKK 5/2-f; GDPR 6(1)(f)) |
| Optional error tracking (Sentry) and optional interface-preference cookies | Explicit consent (KVKK 5/1; GDPR 6(1)(a)) — withdrawable at any time |
The service relies on the following sub-processors, which may involve transfers abroad:
| Provider | Location | Purpose | Categories transferred |
|---|---|---|---|
| Clerk | USA | Authentication and session management | Identity, contact (name, e-mail), security logs |
| Supabase | EU/USA | Database (account, project and application records) | Identity, security logs, application data |
| Cloudflare | Global network | Infrastructure, CDN, API and object storage (R2/Stream) | Customer content, traffic/security data |
| Google Cloud | Belgium (EU) | Data processing pipelines (point cloud/orthophoto conversion) | Customer content (geospatial data) |
| Sentry | USA | Error tracking (loaded only with explicit consent) | Technical error context, device/session metadata |
| Resend | USA | Transactional e-mail delivery | E-mail address, notification content |
| İyzico | Türkiye | Payment processing (not an international transfer) | Payment and invoice details |
Transfers are carried out under KVKK art. 9 on the basis of explicit consent and/or the safeguards recognized by the Turkish DPA (standard contract/undertaking mechanisms), together with data processing agreements (DPAs) and standard contractual clauses (SCCs) concluded with the providers. For GDPR purposes, transfers rely on SCCs and, where applicable, adequacy mechanisms such as the EU–US Data Privacy Framework.
You may request information on whether your data is processed, ask for access, rectification, erasure or destruction, request notification of these operations to third parties, object to results produced exclusively by automated analysis, and claim compensation for damages caused by unlawful processing. EEA/UK users additionally have the rights of access, rectification, erasure ("right to be forgotten"), restriction of processing, data portability and objection under GDPR arts. 15–22.
Applications: send your request with identifying information to [email protected]. Requests are answered free of charge within 30 days at the latest. You may lodge a complaint with the Turkish Personal Data Protection Board or, in the EEA, with your local supervisory authority.
CartaX is not directed at persons under 18 and does not knowingly collect their data; any such account and data will be deleted upon detection.
Details are set out in the Cookie Policy. In short: only cookies strictly necessary for the service are used without consent; no advertising/marketing cookies; optional error tracking runs only with explicit consent.
This notice is updated as the product, the sub-processor set or legislation changes. Material changes are announced by e-mail or in-app notice; the effective date is shown at the top of the page.