Cari Plus Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metni

0. AMAÇ, KAPSAM VE TANIMLAR

İşbu Aydınlatma Metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) m.10 kapsamında; Cari Plus ürününü (https://account.solviera.com.tr) kullanan kullanıcıların/temsilcilerin kişisel verilerinin hangi amaçlarla, hangi hukuki sebeplerle işlendiğini, kimlere aktarıldığını, saklama sürelerini ve haklarını açıklamak amacıyla hazırlanmıştır.

Bu metinde:

  • Veri Sorumlusu: Kişisel verilerin işleme amaç ve vasıtalarını belirleyen Solviera’dır.
  • İlgili Kişi: Kişisel verisi işlenen gerçek kişidir (müşteri yetkilisi/kullanıcı, fatura bilgisi gerçek kişi olan müşteriler vb.).
  • Müşteri Verisi / İçerik Verisi: Müşterinin Cari Plus’a yüklediği veya Cari Plus üzerinden işlediği; müşterinin kendi müşterilerine/çalışanlarına/3. kişilere ait veriler (ör. cari kartları, dokümanlar, e-postalar, takvim kayıtları vb.).

Önemli not (rol ayrımı): Cari Plus’ı kullanan kurumsal müşterinin sisteme yüklediği “Müşteri Verisi/İçerik Verisi” bakımından genellikle Müşteri “Veri Sorumlusu”, Solviera ise yalnızca hizmeti sunan “Veri İşleyen” konumundadır. Buna karşın Solviera; kendi sözleşme, faturalama, güvenlik ve hesap yönetimi süreçlerinde işlediği veriler bakımından Veri Sorumlusudur.

1. VERİ SORUMLUSUNUN KİMLİĞİ

KVKK uyarınca veri sorumlusu:

Solviera Teknoloji Yazılım ve Dijital Hizmetler Limited Şirketi (“Solviera” veya “Şirket”)

Adres: Kırcaali Mahallesi Kayalı Sokak No:34 Kat:3 D:307 Osmangazi/Bursa
Vergi No: 7730929703
E-posta: info@solviera.com.tr / info@cariplus.com.tr
Telefon: +90 224 334 1608

2. İLGİLİ KİŞİ GRUPLARI

Cari Plus kapsamında kişisel verileri işlenebilecek ilgili kişi grupları örnek olarak:

  • Müşteri yetkilileri / temsilcileri (kurumsal müşteri adına sözleşme, satın alma, ödeme, yönetim)
  • Kullanıcılar (Cari Plus’a giriş yapan çalışan/ekip üyeleri)
  • Bireysel müşteriler / şahıs şirketi sahipleri (doğrudan abonelik/faturalama ilişkisi varsa)
  • Destek talebi oluşturan kişiler (ticket/e-posta/telefon ile)

3. İŞLENEN KİŞİSEL VERİ KATEGORİLERİ

Cari Plus’a kayıt olmanız ve hizmeti kullanmanız sırasında; veri minimizasyonu ilkesine uygun olarak aşağıdaki veri kategorileri işlenebilir:

3.1. Kimlik ve Müşteri Tanıma Bilgileri

  • Ad, soyad
  • T.C. Kimlik Numarası (yalnızca bireysel müşteriler ve şahıs şirketleri için fatura düzenleme amacıyla)
  • VKN, ünvan (varsa)

3.2. İletişim Bilgileri

  • E-posta adresi, telefon numarası
  • Fatura/iş yeri adresi

3.3. Finans ve Ödeme Bilgileri

  • Abonelik paketi, fatura bilgileri, vergi dairesi/vergi numarası, ödeme geçmişi, tahsilat durumu
  • Kredi kartı verileri: Şirket sistemlerinde saklanmaz; ödeme işlemleri BDDK lisanslı ödeme hizmet sağlayıcı altyapısı üzerinden yürütülür.

3.4. Kullanım ve İşlem Güvenliği Bilgileri

  • IP adresi, cihaz/tarayıcı bilgisi (zorunlu ölçüde)
  • Sisteme giriş-çıkış (log) kayıtları, oturum hareketleri
  • Kullanıcı adı, şifre (şifreler geri döndürülemez şekilde güvenli yöntemlerle saklanır)
  • Yetkilendirme kayıtları, güvenlik olay kayıtları

3.5. Müşteri İşlem / Destek Bilgileri

  • Destek talepleri, görüşme/mesaj kayıtları, talep içerikleri
  • Şikâyet/geri bildirim kayıtları
  • Çağrı/iletişim yönetimi kapsamında tutulan kayıtlar (varsa)

3.6. Entegrasyon Verileri (SMTP ve OAuth)

  • Müşterinin talebiyle tanımladığı SMTP ayarları (sunucu adresi, port, gönderen e-posta, kimlik doğrulama bilgileri)
  • Kullanıcının izniyle bağlanan Google Calendar / Google Drive gibi hizmetlere ilişkin OAuth yetkilendirme anahtarları (token) ve entegrasyon ayarları
  • Entegrasyonların çalışma kayıtları (hata kayıtları vb.)

3.7. Çerezler ve Benzeri Teknolojiler (varsa)

  • Oturumun sürdürülmesi ve güvenli giriş için zorunlu çerezler
  • Güvenlik amacıyla benzeri teknik tanımlayıcılar

Çerez/benzeri teknoloji kullanımı varsa ayrıca “Çerez Politikası” yayımlanması önerilir.

3.8. Özel Nitelikli Kişisel Veriler

Cari Plus, kural olarak özel nitelikli kişisel veri (sağlık, biyometrik vb.) işlemek üzere tasarlanmamıştır. Ancak müşteri, sisteme kendi iradesiyle böyle içerikler yüklerse; bu içeriklerin hukuka uygunluğundan Müşteri veri sorumlusu olarak sorumludur.

4. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Kişisel verileriniz KVKK m.4’teki ilkelere uygun olarak aşağıdaki amaçlarla işlenir:

4.1. Üyelik ve Hesap Yönetimi

  • Kullanıcı hesabının oluşturulması, yönetilmesi, doğrulanması
  • Cari Plus sistemine erişimin sağlanması ve yetkilendirme süreçleri
  • Kullanıcı rolleri/yetkileri, güvenli giriş süreçleri

4.2. Abonelik, Sözleşme ve Faturalandırma Süreçleri

  • Abonelik başlatma, yenileme, yükseltme/düşürme, iptal
  • Fatura düzenlenmesi, muhasebe kayıtlarının tutulması
  • Tahsilat/ödeme işlemlerinin yürütülmesi, mali yükümlülüklerin yerine getirilmesi

4.3. Ürün İşlevlerinin Sunulması

  • Cari Plus özelliklerinin sağlanması, yapılandırmaların saklanması
  • SMTP ile müşterinin kendi e-posta altyapısı üzerinden e-posta gönderiminin sağlanması
  • Google OAuth ile takvim senkronizasyonu (Google Calendar) ve dosya yönetimi (Google Drive) gibi entegrasyonların işletilmesi

4.4. Bilgi Güvenliği, Operasyonel Süreçler ve Süreklilik

  • Sistem güvenliğinin sağlanması, kötüye kullanımın tespiti/önlenmesi
  • Log yönetimi, siber güvenlik süreçleri, hata kayıtları ve olay yönetimi
  • Yedekleme, felaket kurtarma, iş sürekliliği süreçleri

4.5. Destek ve Müşteri İlişkileri Yönetimi

  • Teknik destek sağlanması, destek taleplerinin sonuçlandırılması
  • Hizmet kalitesinin artırılması, kullanıcı memnuniyeti süreçleri

4.6. Hukuki Süreçler ve Uyum

  • Mevzuattan doğan yükümlülüklerin yerine getirilmesi
  • Yetkili kurum taleplerinin yanıtlanması, uyuşmazlıkların yönetimi
  • Denetim süreçleri

5. HUKUKİ SEBEPLER (KVKK m.5 / m.6)

Kişisel verileriniz; işleme faaliyetinin niteliğine göre aşağıdaki hukuki sebeplere dayanılarak işlenir:

  • KVKK m.5/2-c: Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması (abonelik/hesap/faturalama).
  • KVKK m.5/2-ç: Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması (muhasebe/vergisel yükümlülükler, yetkili kurum talepleri).
  • KVKK m.5/2-f: Temel hak ve özgürlüklere zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için zorunlu olması (bilgi güvenliği, dolandırıcılık önleme, hizmet sürekliliği).
  • KVKK m.5/1 (Açık rıza): Entegrasyon gibi bazı işlemlerde, ilgili kişinin tercihine bağlı olarak açık rıza/aktif talep gerektiren haller (örn. Google hesabı bağlama, bazı yurt dışı aktarım senaryoları).

Özel nitelikli kişisel veri işlenmesi söz konusu olursa, ayrıca KVKK m.6 kapsamında gerekli şartlar uygulanır.

6. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ

Kişisel verileriniz tamamen elektronik ortamda aşağıdaki kanallardan toplanabilir:

  • Üyelik/kayıt formları ve hesap yönetim ekranları
  • Cari Plus uygulaması içi kullanım sırasında oluşan kayıtlar (loglar, işlem geçmişi)
  • Entegrasyon panelleri (SMTP / OAuth bağlantıları)
  • Destek kanalları (uygulama içi destek, e-posta, telefon)

7. KİŞİSEL VERİLERİN AKTARILMASI (YURT İÇİ / YURT DIŞI)

Kişisel verileriniz; KVKK ve ilgili mevzuata uygun şekilde, amaçla sınırlı ve gerekli olduğu ölçüde aktarılabilir.

7.1. Yurt İçi Aktarımlar (Alıcı Grupları)

  • Bulut sunucu / veri merkezi / barındırma hizmeti sağlayıcıları (yurt içi)
  • Ödeme hizmet sağlayıcıları (tahsilat süreçleri)
  • Muhasebe / mali müşavirlik süreçlerinde hizmet alınan taraflar
  • E-fatura/e-arşiv süreçlerinde entegratörler (varsa)
  • Hukuki uyuşmazlıklarda avukatlar/danışmanlar
  • Yetkili kamu kurum ve kuruluşları (yasal yükümlülük gereği)

7.2. Yurt Dışı Aktarımlar (Entegrasyonlar Nedeniyle)

Cari Plus’ta Google Calendar / Google Drive entegrasyonu ve müşterinin kendi tercih ettiği e-posta servisleri (SMTP) sebebiyle kişisel verileriniz yurt dışındaki hizmet sağlayıcıların altyapılarına iletilebilir/erişilebilir hâle gelebilir (ör. Google servisleri; müşterinin seçtiği e-posta altyapısının veri işleme lokasyonu).

Yurt dışına aktarım, KVKK’nın yurt dışı aktarım rejimine uygun şekilde; yeterlilik kararı bulunması veya uygun güvencelerin sağlanması gibi mekanizmalarla yürütülür. KVKK Kurumu, yurt dışı aktarımlarda kullanılacak standart sözleşme metinleri ve uygulamaya ilişkin dokümanları yayımlamıştır.

Uygulamada hangi mekanizmanın devreye girdiği; aktarımın niteliğine, alıcıya ve işleme senaryosuna göre değişebilir. Gerekli hallerde aktarım, ilgili kişinin açık rızasına veya mevzuatta öngörülen diğer uygun koşullara dayandırılabilir.

7.3. Entegrasyonlarda Aktarımın Niteliği (SMTP/OAuth)

  • SMTP: E-posta gönderimi, müşterinin tanımladığı SMTP sunucusu üzerinden gerçekleştirilir; gönderim sırasında ilgili veriler doğal olarak ilgili e-posta servis sağlayıcısına iletilir.
  • OAuth (Google): Kullanıcının izniyle verilen token’lar aracılığıyla takvim/dosya işlemleri yapılabilir; kullanıcı dilediği an Google bağlantısını iptal edebilir.

8. SAKLAMA VE İMHA SÜRELERİ

Kişisel verileriniz; işleme amacının gerektirdiği süre boyunca ve her hâlükârda ilgili mevzuatta öngörülen zamanaşımı/saklama süreleri kadar muhafaza edilir; süre sonunda KVKK ve ilgili ikincil düzenlemelere uygun şekilde silinir, yok edilir veya anonim hale getirilir.

Aşağıdaki süreler genel çerçeve olup somut olaya göre mevzuat gereği uzayabilir:

  • Üyelik/hesap verileri: Abonelik devam ettiği süre + makul süre (örn. olası uyuşmazlıklar için)
  • Fatura ve muhasebe kayıtları: İlgili vergi/mevzuat süreleri boyunca (uygulamada genellikle 10 yıl)
  • Log kayıtları / işlem güvenliği verileri: Bilgi güvenliği ve denetim ihtiyaçları için makul süre (örn. 1–2 yıl)
  • Destek kayıtları: Talebin kapanması sonrası makul süre (örn. 2–3 yıl)
  • OAuth token/entegrasyon kayıtları: Entegrasyon aktif olduğu süre; kullanıcı iptal ederse erişim kesilir, güvenli şekilde silme/anonimleştirme süreçleri uygulanır
  • Yedekler: Teknik gereklilik gereği sınırlı süre (örn. 30–90 gün) içerisinde döngüsel olarak silinebilir

9. VERİ GÜVENLİĞİNE İLİŞKİN TEKNİK VE İDARİ TEDBİRLER

Solviera, KVKK m.12 kapsamında kişisel verilerin hukuka aykırı işlenmesini/erişilmesini önlemek ve muhafazasını sağlamak amacıyla; risk bazlı yaklaşımla teknik ve idari tedbirler uygular. Örnek olarak:

  • Yetki matrisi ve rol bazlı erişim kontrolü
  • Güvenli kimlik doğrulama, güçlü parola politikaları
  • Loglama, izleme, saldırı tespit/önleme yaklaşımları
  • Veri aktarımında şifreleme (uygun olan hallerde), güvenli protokoller
  • Yedekleme ve felaket kurtarma süreçleri
  • Personel gizlilik yükümlülükleri ve erişim kısıtlamaları
  • Tedarikçi/alt yüklenici seçiminde güvenlik ve KVKK uyum değerlendirmeleri

10. GOOGLE API HİZMETLERİ KULLANIMI VE “LIMITED USE” GEREKSİNİMLERİ

Cari Plus’ın Google API’lerinden (Calendar, Drive vb.) aldığı/verdiği erişimler; Google API Services User Data Policy ve “Limited Use” gereksinimlerine tabidir.

Bu kapsamda:

  • Google OAuth aracılığıyla erişilen veriler, yalnızca kullanıcıya Cari Plus içindeki ilgili özellikleri sunmak amacıyla işlenir (örn. takvim senkronizasyonu, dosya ekleme/yönetme).
  • Google kullanıcı verileri reklam amaçlı kullanılmaz, satılmaz ve kullanıcı talimatı dışında üçüncü kişilere aktarılmaz.
  • Kullanıcı, Google bağlantısını Cari Plus üzerinden veya Google hesap izinlerinden dilediği an kaldırabilir; kaldırma sonrası veri akışı durur.

11. İLGİLİ KİŞİ OLARAK HAKLARINIZ (KVKK m.11)

KVKK m.11 uyarınca; kişisel verilerinizin işlenip işlenmediğini öğrenme, işlenmişse bilgi talep etme, işleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde/yurt dışında aktarıldığı üçüncü kişileri bilme, eksik/yanlış işlenmişse düzeltilmesini isteme, KVKK’daki şartlar çerçevesinde silinmesini/yok edilmesini isteme, yapılan işlemlerin aktarıldığı üçüncü kişilere bildirilmesini isteme, otomatik sistemler ile analiz sonucu aleyhe bir sonucun ortaya çıkmasına itiraz etme ve zararın giderilmesini talep etme haklarına sahipsiniz.

12. BAŞVURU YÖNTEMİ

KVKK kapsamındaki taleplerinizi:

iletebilirsiniz.

Başvurunuzda; ad-soyad, TCKN (varsa), tebligata esas adres/iletişim bilgisi, talep konusu ve varsa talebi destekleyen bilgi/belgelerin bulunması, sürecin hızlı yürütülmesini sağlar.

Talepleriniz, niteliğine göre en kısa sürede ve en geç 30 gün içinde sonuçlandırılır. Mevzuatın izin verdiği durumlarda ücret talep edilebilecek haller saklıdır.

13. GÜNCELLEMELER

İşbu Aydınlatma Metni; mevzuat, ürün özellikleri ve süreçlerimizdeki değişikliklere göre güncellenebilir. Güncel metin, Cari Plus üzerinden/website üzerinden yayımlanır.

14. İLETİŞİM

Solviera Teknoloji Yazılım ve Dijital Hizmetler Limited Şirketi

Adres: Kırcaali Mahallesi Kayalı Sokak No:34 Kat:3 D:307 Osmangazi/Bursa
E-Posta: info@solviera.com.tr / info@cariplus.com.tr
Telefon: +90 224 334 1608

Blog & Makaleler

Güncel Haberler & İçerikler

Tüm Yazıları Gör →
Ön Muhasebe Nedir? Yapay Zeka ile İşletmenizi Nasıl Büyütürsünüz?

Ön Muhasebe Nedir? Yapay Zeka ile İşletmenizi Nasıl Büyütürsünüz?

09 Mar 2026 Devamını Oku →
e-Fatura ile e-Arşiv Fatura Arasındaki Farklar Nelerdir?

e-Fatura ile e-Arşiv Fatura Arasındaki Farklar Nelerdir?

09 Mar 2026 Devamını Oku →
Bulut Tabanlı Ön Muhasebe Programı Seçerken Dikkat Etmeniz Gereken 5 Şey

Bulut Tabanlı Ön Muhasebe Programı Seçerken Dikkat Etmeniz Gereken 5 Şey

09 Mar 2026 Devamını Oku →