Gizlilik Politikası ve KVKK Aydınlatma Metni

Kişisel Verilerin Korunması Kanunu (6698 sayılı KVKK) ve Genel Veri Koruma Tüzüğü (GDPR) kapsamında bilgilendirme

Son güncelleme: Mayıs 2026
Bu metin; taşıma operasyonlarının yürütülmesi amacıyla işlediğimiz kişisel verilere ilişkin olarak, veri sahiplerini KVKK ve GDPR gereksinimleri doğrultusunda aydınlatmak amacıyla hazırlanmıştır. İşlenen kişisel veriler, aşağıda açıklanan amaçlar ve hukuki sebepler çerçevesinde, güçlü teknik ve idari tedbirlerle korunmaktadır.

KVKK madde 10 uyarınca, kişisel verileriniz aşağıda kimliği belirtilen veri sorumlusu tarafından işlenmektedir:

ÜnvanBATISAN TASIMACILIK, TURİZM, GIDA, TİCARET VE PAZARLAMA LİMİTED ŞİRKETİ
AdresBozköy Mh. Sanayi caddesi No 27 Aliağa - İzmir, Aliağa/İzmir
MERSİS No0150007145800012
Ticaret Sicil No78431
Vergi Dairesi / NoHasan Tahsin / 1500071458
Telefon0232 6251923
E-postamuhasebe@bati-san.com
KEP Adresi[KEP Adresi]

Sistemimizde, ilgili kişi gruplarına ait aşağıdaki kişisel veri kategorileri işlenmektedir:

  • Sistem kullanıcıları: ad-soyad, e-posta, telefon, giriş kayıtları, iki adımlı doğrulama durumu.
  • Şoförler (taşeron ve filo): ad-soyad, T.C. kimlik numarası, ehliyet sınıfı/numarası, SRC belge bilgileri, iletişim bilgileri, işe giriş/çıkış ve izin bilgileri.
  • Müşteriler: ünvan/ad-soyad, T.C. kimlik veya vergi numarası, adres, telefon, e-posta, yetkili kişi iletişim bilgileri.
  • Taşeronlar ve tedarikçiler: ünvan, T.C. kimlik/vergi numarası, yetki belgesi bilgileri, adres ve iletişim bilgileri.
  • Sefer/yükleme ilgilileri: yükleme ve boşaltma yetkilisi ad ve telefon bilgileri, adresler.

Veri kategorileri:

Kimlik İletişim Mesleki belge (ehliyet/SRC/yetki belgesi) İstihdam Finans (fatura/ödeme) İşlem güvenliği (IP, log kayıtları) Özel nitelikli — Sağlık (psikoteknik/sağlık raporu)

Özel nitelikli kişisel veriler (örn. sürücülerin psikoteknik/sağlık belgeleri) KVKK madde 6 ve GDPR madde 9 kapsamında ek koruma altındadır ve yalnızca yasal zorunluluk veya açık rıza halinde işlenir.

  • Taşıma ve filo operasyonlarının planlanması, yürütülmesi ve takibi,
  • Müşteri, taşeron ve tedarikçilerle sözleşmesel ilişkilerin kurulması ve ifası,
  • Mevzuattan doğan yükümlülüklerin yerine getirilmesi (taşıma, karayolu, vergi ve ticaret mevzuatı),
  • Araç, dorse ve sürücü belgelerinin (taşıt kartı, fenni muayene, sigorta, ehliyet, SRC, psikoteknik) geçerlilik takibi,
  • Faturalama, tahsilat ve ödeme süreçlerinin yürütülmesi,
  • Bilgi güvenliğinin sağlanması, yetkisiz erişimin önlenmesi ve denetim izlerinin tutulması.

Kişisel verileriniz, KVKK madde 5-6 ve GDPR madde 6/9'da düzenlenen aşağıdaki hukuki sebeplere dayanılarak işlenir:

  • Sözleşmenin kurulması veya ifası (KVKK m.5/2-c — GDPR Art.6/1-b),
  • Hukuki yükümlülüğün yerine getirilmesi (KVKK m.5/2-ç — GDPR Art.6/1-c),
  • Bir hakkın tesisi, kullanılması veya korunması (KVKK m.5/2-e),
  • Veri sorumlusunun meşru menfaati (KVKK m.5/2-f — GDPR Art.6/1-f),
  • Açık rıza — özellikle özel nitelikli sağlık verileri için (KVKK m.6 — GDPR Art.9/2-a).

Kişisel verileriniz, yalnızca işbu metinde belirtilen amaçlarla sınırlı ve mevzuata uygun olarak aktarılabilir:

  • Yetkili kamu kurum ve kuruluşları (yasal talep veya yükümlülük halinde),
  • Mali müşavir, denetçi ve hukuk danışmanları (yükümlülüklerin yerine getirilmesi amacıyla),
  • Hizmet sağlayıcılar — yalnızca gerekli ölçüde ve gizlilik taahhüdü altında (örn. e-posta/SMS bildirim altyapısı).

Kişisel verileriniz, açık rızanız veya KVKK/GDPR'da öngörülen uygun güvenceler bulunmadıkça yurt dışına aktarılmaz. Verileriniz pazarlama amacıyla üçüncü taraflara satılmaz veya kiralanmaz.

  • Kişisel veriler, ilgili mevzuatta öngörülen süreler (örn. ticaret ve vergi mevzuatı gereği genellikle 10 yıl) ve işleme amacının gerektirdiği süre boyunca saklanır.
  • Süre dolduğunda veya işleme amacı ortadan kalktığında veriler silinir, yok edilir veya anonim hale getirilir.
  • Sistemde kalıcı silme yerine güvenli "yumuşak silme" (soft delete) uygulanır; kayıtlar aktif erişimden çıkarılır ve imha politikası kapsamında ele alınır.
  • Sistem ve güvenlik logları sınırlı bir süre (dosya bazlı loglar için 30 gün) tutulur.

KVKK madde 12 ve GDPR madde 32 kapsamında, kişisel verilerinizi korumak için uygulanan başlıca tedbirler:

Şifreleme (AES-256-GCM): T.C. kimlik, ehliyet/SRC, vergi numarası, telefon, e-posta ve adres gibi hassas veriler veritabanında şifreli saklanır.
Loglarda maskeleme: Kayıtlara kişisel veri açık metin yazılmaz; tek yönlü HMAC-SHA256 takma değerler kullanılır.
Değiştirilemez denetim izi: Kritik güvenlik olayları (giriş, şifre değişimi, yetki değişimi) ayrı bir güvenlik denetim kaydında tutulur.
Rol bazlı erişim: Her kullanıcı yalnızca yetkili olduğu verilere erişebilir.
İki adımlı doğrulama (2FA): Hesaplar için TOTP tabanlı ikinci doğrulama desteği.
Güçlü parola politikası: Karmaşıklık, 90 günde bir yenileme ve eski parola tekrarının engellenmesi.
Hesap kilitleme: Çok sayıda başarısız girişte hesap geçici olarak kilitlenir.
Oturum zaman aşımı: Hareketsiz oturumlar otomatik sonlandırılır.
İstek hız sınırlama: Kaba kuvvet ve kötüye kullanım girişimlerine karşı koruma.
Güvenli iletişim: HTTPS/HSTS zorunluluğu ve güvenlik başlıkları (CSP, X-Frame-Options vb.).
CSRF koruması: Tüm form işlemlerinde sahtecilik önleme jetonu.
Dosya bütünlüğü: Yüklenen belgelerin SHA-256 ile bütünlük doğrulaması.

KVKK madde 11 ve GDPR madde 15-22 kapsamında aşağıdaki haklara sahipsiniz:

  • Kişisel verilerinizin işlenip işlenmediğini öğrenme ve buna ilişkin bilgi talep etme / erişme,
  • İşlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde/yurt dışında aktarıldığı üçüncü kişileri bilme,
  • Eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme,
  • Şartların oluşması halinde silinmesini / yok edilmesini (unutulma hakkı) isteme,
  • İşlemeye itiraz etme ve verilerinizin taşınabilirliğini (GDPR) talep etme,
  • Verdiğiniz açık rızayı geri çekme,
  • İşleme nedeniyle zarara uğramanız halinde zararın giderilmesini talep etme.

Yukarıdaki haklarınıza ilişkin taleplerinizi, kimliğinizi tevsik edici bilgilerle birlikte aşağıdaki kanallardan iletebilirsiniz:

  • E-posta: muhasebe@bati-san.com
  • KEP: [KEP Adresi]
  • Posta: Bozköy Mh. Sanayi caddesi No 27 Aliağa - İzmir, Aliağa/İzmir

Başvurularınız, talebin niteliğine göre en kısa sürede ve en geç KVKK kapsamında 30 gün (GDPR kapsamında 1 ay) içinde sonuçlandırılır. Talebinizin reddi halinde Kişisel Verileri Koruma Kurulu'na (GDPR için yetkili denetim makamına) şikâyette bulunma hakkınız saklıdır.

Uygulama, yalnızca hizmetin çalışması için zorunlu (teknik) çerezler kullanır:

  • Oturum ve kimlik doğrulama çerezleri (giriş yapmış kullanıcının tanınması),
  • Güvenlik (CSRF/sahtecilik önleme) çerezleri.

Bu çerezler HttpOnly, Secure ve SameSite=Strict olarak yapılandırılmıştır. Pazarlama, profilleme veya üçüncü taraf izleme/analitik çerezi kullanılmaz.

Avrupa Birliği'nde bulunan veri sahipleri için GDPR hükümleri uygulanır. İşleme, GDPR madde 6 (ve özel nitelikli veriler için madde 9) kapsamındaki hukuki dayanaklara göre yürütülür; veri sahipleri erişim, düzeltme, silme, kısıtlama, itiraz ve veri taşınabilirliği haklarını kullanabilir. Kişisel veriler, yeterlilik kararı veya uygun güvenceler (örn. standart sözleşme maddeleri) bulunmadıkça AB dışına aktarılmaz. Veri sahipleri, yetkili denetim makamına (Data Protection Authority) şikâyette bulunma hakkına sahiptir.

İşbu Gizlilik Politikası, mevzuat değişiklikleri veya iş süreçlerindeki güncellemeler doğrultusunda revize edilebilir. Güncel sürüm her zaman bu sayfada yayımlanır. Sorularınız için muhasebe@bati-san.com adresinden bize ulaşabilirsiniz.

Bu metin bilgilendirme amaçlıdır ve genel bir çerçeve sunar. Nihai yürürlük öncesinde, kuruma özgü süreçler bakımından bir hukuk danışmanı tarafından gözden geçirilmesi önerilir.