Yürürlük tarihi: Mayıs 2026 · Son güncelleme: Mayıs 2026 · Bu metin, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") Madde 10 ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında hazırlanmıştır.
1. Veri Sorumlusunun Kimliği
RYSTAT markası altında sunulan internet sitesi, müşteri paneli, sipariş süreçleri, destek hizmetleri ve ilgili tüm hizmetler bakımından KVKK kapsamında veri sorumlusu, RYSTAT markasının sahibi olan UNIFICS LIMITED'dir.
| Veri Sorumlusu Unvanı | UNIFICS LIMITED |
|---|---|
| Marka | RYSTAT |
| Kuruluş Yeri | Hong Kong Özel İdari Bölgesi, Çin Halk Cumhuriyeti |
| Şirket Tescil Numarası | A93175159 |
| Web Sitesi | rystat.com |
| KVKK Başvuru E-postası | privacy@rystat.com |
UNIFICS LIMITED, Türkiye'de yerleşik kişilerin kişisel verilerini işlediği ölçüde KVKK'ya tabi sayılmakta olup veri sahiplerinin kanun kapsamındaki haklarını kullanabilmesi için yukarıdaki kanallardan erişim mümkündür.
2. İşlenen Kişisel Veri Kategorileri
Kişisel Verilerin Korunması Kurumu tarafından yayımlanan VERBİS rehberi kapsamında, RYSTAT tarafından işlenen kişisel veri kategorileri aşağıdaki gibidir:
| Veri Kategorisi | Örnek Veri Türleri |
|---|---|
| Kimlik | Ad, soyad, T.C. kimlik numarası (yalnızca fatura zorunlu olduğunda), şirket unvanı, vergi numarası |
| İletişim | E-posta adresi, telefon numarası, fatura adresi, ülke bilgisi |
| Müşteri İşlem | Sipariş kayıtları, fatura geçmişi, hizmet kullanım kayıtları, ödeme geçmişi |
| İşlem Güvenliği | IP adresi, oturum logları, parola karması, MFA durumu, güvenlik olay kayıtları |
| Finans | Ödeme aracı son 4 hane, ödeme referansı, fatura tutarı, KDV durumu (CVV/PAN saklanmaz) |
| Pazarlama | Bülten tercihleri, kampanya etkileşim verileri (yalnızca açık rıza halinde) |
| Hukuki İşlem | Sözleşme dosyaları, hukuki yazışmalar, talep ve şikâyet kayıtları |
| Müşteri Hizmetleri | Destek bileti içerikleri, canlı destek görüşmeleri, telefon/e-posta yazışmaları |
Hosting, sanal sunucu ve e-posta hizmetlerinde, müşterinin kendi sistemlerine yüklediği son kullanıcı verileri bakımından RYSTAT, KVKK kapsamında veri işleyen sıfatıyla hareket eder; bu verilerin işlenme amacı ve hukuki sebebini belirleyen sorumluluk müşteriye aittir.
3. Kişisel Verilerin İşlenme Amaçları
Yukarıda sayılan kişisel veriler, KVKK Madde 4 ilkelerine uygun olarak ve aşağıda belirtilen amaçlarla işlenmektedir:
- Hesap oluşturma, kimlik doğrulama ve hizmet erişiminin sağlanması
- Sipariş yönetimi, hizmet aktivasyonu ve provizyon süreçleri
- Faturalandırma, tahsilat, muhasebe ve finansal raporlama yükümlülüklerinin yerine getirilmesi
- Vergi mevzuatı (KDV, gelir vergisi, kurumlar vergisi) ve elektronik fatura yükümlülüklerinin karşılanması
- Müşteri destek taleplerinin alınması, çözümlenmesi ve takip edilmesi
- Hizmet altyapısının güvenliğinin sağlanması, suistimalin tespiti, dolandırıcılık önleme ve olay müdahalesi
- Sözleşme ifası, sözleşmesel uyuşmazlıkların yönetilmesi ve hukuki taleplerin savunulması
- Yetkili kamu kurumlarının (Mahkeme, Cumhuriyet Savcılığı, KVKK Kurulu, BTK, MASAK vb.) talepleri çerçevesinde bilgi sağlanması
- Hizmet kalitesinin iyileştirilmesi, raporlama ve istatistiksel analiz (anonimleştirilmiş veya açık rıza ile)
- Açık rıza alındığı durumlarda pazarlama iletişimi, kampanya bilgilendirmesi ve memnuniyet anketleri
4. İşlemenin Hukuki Sebebi (KVKK Madde 5 ve 6)
Kişisel verileriniz KVKK Madde 5/2 kapsamında aşağıdaki hukuki sebeplere dayanılarak açık rıza aranmaksızın işlenebilir:
- Sözleşmenin kurulması veya ifası için doğrudan ilgili olmak (KVKK m.5/2-c) — hesap, sipariş, hizmet sunumu
- Hukuki yükümlülüğün yerine getirilmesi (KVKK m.5/2-ç) — vergi, e-fatura, muhasebe, log saklama
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması (KVKK m.5/2-e) — hukuki ihtilaflar
- Meşru menfaatler için zorunlu olması (KVKK m.5/2-f) — altyapı güvenliği, suistimal önleme
Pazarlama iletişimi, çerez tabanlı analitik ölçümleme ve özel nitelikli kişisel verilerin işlenmesi gibi haller için açık rızanız esas alınır (KVKK m.5/1, m.6).
5. Kişisel Verilerin Aktarılması
5.1 Yurt İçi Aktarımlar (KVKK m.8)
Kişisel verileriniz, hizmetin sunulması ve yasal yükümlülüklerin karşılanması için aşağıdaki taraflara aktarılabilir:
- Türkiye'de yerleşik altyapı sağlayıcıları: cPanel/WHM hosting altyapısı (h1.rystat.com), SmarterMail e-posta altyapısı (m1.rystat.com)
- Vergi ve mali müşavirlik hizmet sağlayıcıları: Mali müşavir, e-fatura entegratörü
- Bankalar ve ödeme kuruluşları: Havale/EFT alıcı bankası, faktoring
- Yetkili kamu kurum ve kuruluşları: Mahkeme kararı, savcılık talebi, KVKK Kurulu, BTK, MASAK, GİB, Hazine ve Maliye Bakanlığı
- Hukuki danışmanlar ve denetçiler: Sözleşmesel uyuşmazlık ve denetim kapsamında
5.2 Yurt Dışına Aktarımlar (KVKK m.9)
Hizmetin teknik olarak sunulması için kişisel verileriniz aşağıdaki yurt dışı tedarikçilere aktarılmaktadır. KVKK Madde 9 kapsamında, bu aktarımlar (i) Kurul tarafından yeterli korumanın bulunduğunun ilan edildiği ülkeler, (ii) yeterli koruma bulunmaması halinde Kurul'un izni ile imzalanan standart sözleşme veya bağlayıcı kurumsal kurallar, ya da (iii) açık rıza dayanaklarına göre gerçekleştirilir:
| Alıcı / Hizmet | Ülke | Veri Türü | Hukuki Dayanak |
|---|---|---|---|
| Hetzner Online GmbH (sunucu altyapısı) | Almanya / Finlandiya | İşlem güvenliği, IP, sunucu logları | Standart sözleşme + GDPR yeterli koruma |
| Stripe Payments Europe Ltd. (ödeme) | İrlanda | Ad, e-posta, fatura adresi, ödeme referansı | Standart sözleşme + GDPR yeterli koruma |
| OnlineNIC Inc. (domain registrar) | Hong Kong / ABD | Domain WHOIS bilgisi, iletişim | Açık rıza + ICANN sözleşmesi gereği |
| Sentry / Loglama servisleri | ABD / AB | Hata kayıtları, oturum kimliği (anonimleştirilmiş) | Meşru menfaat + standart sözleşme |
| UNIFICS LIMITED (grup içi) | Hong Kong | Tüm kategoriler | Bağlı şirket veri akışı + kurumsal kurallar |
| Hangzhou DeepSeek Artificial Intelligence Co., Ltd. (AI Builder / AI asistan) | Çin Halk Cumhuriyeti | Kullanıcı promptu, içerik talimatları, konfigürasyon (kişisel veri içerebilir) | Açık rıza (KVKK m.9 + GDPR m.49(1)(a), Kullanım Koşulları Madde 13/A'nın kabulü ile) |
| Anthropic / OpenAI / Mistral (yedek AI sağlayıcıları) | ABD / Fransa-AB | Yedek dil modeli istekleri | Açık rıza + standart sözleşme (mümkün olduğunda) |
Yurt dışı aktarımlarda KVKK Madde 9'un öngördüğü güvenceler (standart sözleşme, taahhütname, açık rıza) sağlanmadan veri aktarımı yapılmaz. Aktarım yapılan ülkelerin kişisel veri koruma seviyeleri sürekli olarak izlenmektedir.
6. Kişisel Verilerin Toplanma Yöntemi
Kişisel verileriniz, otomatik veya kısmen otomatik yollarla aşağıdaki kanallardan elde edilmektedir:
- RYSTAT internet sitesi üzerindeki sipariş, kayıt, iletişim ve abone formları
- Müşteri panelinde gerçekleştirilen işlemler ve servis konfigürasyonları
- E-posta, canlı destek (chat), bilet sistemi (helpdesk) ve telefon görüşmeleri
- Ödeme süreçleri sırasında ödeme servis sağlayıcısından dönen veri
- Çerezler, log dosyaları ve benzer otomatik izleme teknolojileri
- Sözleşmesel ilişkiler kapsamında müşteri tarafından doğrudan iletilen belgeler
- Yetkili kamu kurum ve kuruluşlarının yasal talepleri
7. Saklama Süreleri
Kişisel verileriniz, işleme amacının gerektirdiği süre ile ilgili mevzuatta öngörülen asgari saklama süreleri dikkate alınarak saklanır. Saklama süresi sonunda veriler silinir, yok edilir veya anonim hale getirilir (KVKK m.7).
- Müşteri hesabı ve hizmet kayıtları: hesap aktif olduğu süre + sözleşme sona erdikten sonra 3 yıl
- Faturalandırma ve muhasebe kayıtları: 10 yıl (Vergi Usul Kanunu m.253, Türk Ticaret Kanunu m.82)
- Güvenlik logları: 30 gün – 12 ay (log türüne göre)
- İnternet erişim logları: en az 2 yıl (5651 sayılı Kanun, İnternet Yönetmeliği m.8)
- Hukuki ihtilaf dosyaları: ihtilafın çözümü + zamanaşımı süresi
- Pazarlama izinleri: rızanın geri alınmasına kadar
8. Veri Sahibinin Hakları (KVKK Madde 11)
KVKK Madde 11 kapsamında veri sahibi olarak aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- Kişisel verilerinizin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme
- Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme
- KVKK Madde 7 çerçevesinde silinmesini, yok edilmesini veya anonim hale getirilmesini isteme
- Düzeltme, silme ve yok etme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
- İşlenen verilerin münhasıran otomatik sistemlerle analiz edilmesi suretiyle aleyhinize bir sonuç ortaya çıkmasına itiraz etme
- Kanuna aykırı işleme nedeniyle zarara uğramanız halinde zararın giderilmesini talep etme
9. Başvuru Yöntemi
Yukarıda sayılan haklarınızı kullanmak için, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca aşağıdaki yöntemlerle başvuruda bulunabilirsiniz:
- E-posta: privacy@rystat.com adresine yazılı talep
- KEP: Sistemimiz aktif edildiğinde duyurulacaktır; talep üzerine güncel KEP adresi paylaşılır
- Yazılı başvuru: Türkiye irtibat ofisi adresine ıslak imzalı dilekçe
Başvurunuzda kimlik bilgilerinizin (ad, soyad, T.C. kimlik veya pasaport numarası), tebligata esas adresin, talebinize konu hakkın ve talebinizin açıkça belirtilmesi gerekmektedir. Kimlik doğrulaması gerektiren başvurularda ek bilgi talep edilebilir. Başvurularınız KVKK Madde 13/2 kapsamında en geç 30 gün içinde sonuçlandırılır. Başvurunun KVKK Kurulu tarafından belirlenen ücret tarifesine tabi olduğu durumlarda yalnızca ilgili tarife uygulanır.
Başvurunuzun reddedilmesi, verdiğimiz cevabın yetersiz bulunması veya 30 günlük süre içinde cevap verilmemesi halinde Kişisel Verileri Koruma Kurulu'na şikayet etme hakkınız saklıdır (KVKK m.14).
10. Güvenlik Tedbirleri
RYSTAT, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek ile muhafazasını sağlamak amacıyla KVKK Madde 12 kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alır. Bu kapsamda asgari olarak şunlar uygulanır:
- Erişim kontrolü, ayrıcalık yönetimi ve rol bazlı yetkilendirme (RBAC)
- İki faktörlü kimlik doğrulama (MFA/TOTP) seçenekleri
- Aktarım sırasında TLS 1.2+ ile şifreleme; saklamada disk düzeyi şifreleme
- Hassas verilerin (cPanel/FTP credentials, ödeme tokenları) AES-256-GCM ile şifrelenmesi
- Düzenli güvenlik olay izleme, log analizi ve olay müdahale prosedürleri
- Personel için gizlilik taahhüdü, KVKK eğitimi ve yetkilendirme
- Düzenli yedekleme, iş sürekliliği ve felaket kurtarma planları
- Tedarikçilerle veri işleme sözleşmeleri ve denetim hakkı
11. Güncellemeler
Bu Aydınlatma Metni, mevzuat değişiklikleri, hizmetlerimizin kapsamındaki güncellemeler veya yeni alt işleyenlerin eklenmesi gibi durumlarda zaman zaman güncellenebilir. Esaslı değişiklikler, internet sitemiz üzerinden ve uygun olduğu hallerde kayıtlı iletişim kanalları aracılığıyla duyurulur. Güncel sürüm her zaman /legal/kvkk adresinden erişilebilir durumdadır.
12. İlişkili Belgeler
Bu Aydınlatma Metni, aşağıdaki kamuya açık belgelerle birlikte değerlendirilmelidir:
- Gizlilik Politikası — GDPR/KVKK ortak çerçeve
- Veri İşleme Sözleşmesi (DPA) — Kurumsal müşteriler için veri işleyen rolü
- Alt İşleyenler Listesi — Yurt dışı aktarım yapılan tedarikçiler
- Çerez Politikası — Çerez kategorileri ve rıza yönetimi
- Kullanım Koşulları — Genel sözleşmesel çerçeve