Edumetrika

KVKK · Aydınlatma

KVKK Aydınlatma Metni

Yürürlük: 21 Mayıs 2026 · Sürüm: 2026.05.1

Bu sayfa, 6698 sayılı Kanun Md. 10 kapsamında yalnız bilgilendirme metnidir. Açık rıza, KVKK Kurul Kararı 18.02.2026 / 2026/347 uyarınca ayrı bir belge ile alınmaktadır: /kvkk-acik-riza.

1. Veri sorumlusu ve veri işleyen

İşbu Aydınlatma Metni, Edumetrika platformu (“Platform”) üzerinden sunulan eğitim hizmetleri kapsamında işlenen kişisel verilere ilişkindir. Platform’un sözleşme yaptığı eğitim kurumu (okul/üniversite/işletmeci kurum) ilgili veriler bakımından veri sorumlusu, Edumetrika ise söz konusu kurumun talimatları doğrultusunda işleme faaliyetini yürüten veri işleyendir(KVKK Md. 3/1-ğ-h, Md. 12).

Edumetrika kendi adına işlediği destek ve operasyonel veriler (örn. sistem günlükleri, denetim kayıtları, kullanım istatistikleri) bakımından veri sorumlusu sıfatını taşır.

2. İşlenen kişisel veri kategorileri

  • Kimlik: ad, soyad, T.C. Kimlik No veya Yabancı Kimlik No (YKN), pasaport/yabancı kimlik (öğrenci için), doğum tarihi.
  • İletişim: kurumsal e-posta, telefon (öğretmen/personel için), veli iletişim bilgileri (reşit olmayan öğrenciler için, kurum sorumluluğunda).
  • Eğitim: öğrenim kademesi, sınıf/şube, program/ders, dönem, başarı kayıtları, ödev/sınav cevapları, geri bildirim.
  • İşlem güvenliği: IP adresi, oturum tarihçesi, tarayıcı/cihaz parmak izi, denetim olayları (girişler, izin değişiklikleri, toplu içe aktarımlar).
  • Pazarlama/davranışsal işlenmez: Edumetrika reklam veya üçüncü taraf izleme çerezi kullanmaz.
  • Özel nitelikli veriler: Sağlık, biyometrik veriler vb. işlenmez. Sesli kayıt (konuşma pratiği) ses kaydı niteliğinde olduğundan biyometrik veri sayılmaz; yalnızca açık rıza ile geçici işleme tabidir.

3. İşleme amaçları

  1. Eğitim hizmetinin sunulması, içeriklerin atanması, değerlendirilmesi.
  2. Yapay zekâ destekli içerik üretimi (öğretmen onayı sonrası yayımlanır).
  3. Konuşma pratiği için ses kaydının kısa süreli işlenmesi (açık rıza şartıyla).
  4. Hesap güvenliği, brute-force koruması, denetim kaydının tutulması (KVKK Md. 12).
  5. İstatistiksel raporlama (kurum/okul/sınıf düzeyinde, kimliksiz toplam).
  6. Mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi (örn. talep müzekkereleri).

4. Hukuki sebepler (Md. 5)

  • Md. 5/2-a — Kanunlarda açıkça öngörülmesi.
  • Md. 5/2-c — Sözleşmenin kurulması veya ifası için zorunlu olması (Kurum ile Edumetrika arasındaki sözleşme; Kurum ile öğrenci/öğretmen ilişkisi).
  • Md. 5/2-ç — Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi.
  • Md. 5/2-f — Veri sorumlusunun meşru menfaati (sistem güvenliği, dolandırıcılık önleme).
  • Md. 5/1 — Açık rıza (yapay zekâ işleme ve ses kaydı için, /kvkk-acik-riza üzerinden).

5. Toplama yöntemi

Kişisel veriler; Kurum tarafından sağlanan toplu içe aktarımlar (CSV/XLSX), kullanıcının Platform üzerinde gerçekleştirdiği oturum açma, içerik üretim/cevap akışları, ve oturum güvenliği için otomatik teknik veri toplama yoluyla işlenir. Veri minimizasyonu ilkesi gereği yalnızca belirtilen amaç için gerekli alanlar tutulur.

6. Aktarım

6.1. Yurt içi aktarım. Veriler, Kurum içindeki yetkili kişiler (örn. öğretmen kendi sınıfı, kurum yöneticisi kendi kurumu) ile sınırlı olarak paylaşılır.

6.2. Yurt dışına aktarım. 6698 sayılı Kanun’un 9. maddesi ve 10.07.2024 tarihli Yönetmelik kapsamında, KVKK’nın belirlediği yeterli güvence mekanizmaları sağlanarak aşağıdaki yurt dışı alıcılara aktarım yapılabilir:

  • Hetzner Online GmbH (Almanya — AB üyesi) — sunucu/altyapı.
  • Cloudflare, Inc. (ABD) — DNS hizmeti (yalnız metadata). DNS-only modda kişisel veri içeren içerik aktarılmaz.
  • MiniMax (Çin) — yapay zekâ metin üretim ve değerlendirme hizmeti, yalnız açık rıza alınmış kullanıcılar için.

Yeterli güvence için Standart Sözleşmeler imzalanır ve KVKK Kurulu’nun dijital modülüne 5 iş günü içinde bildirilir.

7. Saklama süreleri

  • Denetim kayıtları (audit): 730 gün.
  • Davet kayıtları: süresi dolduktan sonra 30 gün.
  • Yapay zekâ kullanım kayıtları: 13 ay.
  • CSP ihlal raporları: 30 gün.
  • Eğitim verileri (ödev/cevap/not): Kurum’un veri envanteri ve mevzuat hükümlerine göre; ilişki sonlandığında imha takvimine alınır.
  • Kullanıcı hesabı: ilişki sonlandığında ve süresi dolduktan sonra silinir; arşivlenen değişmez denetim kayıtları KVKK Md. 12 kapsamında saklanır.

8. Reşit olmayan öğrenciler

Türk Medeni Kanunu uyarınca 18 yaşından küçük öğrencilerin kişisel verilerinin işlenmesi için rıza, velayet sahibi(ler) tarafından verilir. Ayırt etme gücüne sahip küçükler bakımından (orta-üst yaş grubu), KVKK Kurul Kararı 18.02.2026 / 2026/347’ye uygun olarak öğrenci ve veli birlikte rıza verir. Edumetrika rıza kayıtlarını veli kimliği ve veri sahibi kimliği ile birlikte tutar; aksi takdirde işleme başlatılmaz.

9. İlgili kişi hakları (Md. 11)

İlgili kişi, KVKK Md. 11 kapsamında veri sorumlusuna başvurarak:

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • İşlenmişse, buna ilişkin bilgi talep etme,
  • Verilerinin işlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde ve yurt dışında aktarıldığı üçüncü kişileri bilme,
  • Eksik/yanlış işlenmiş verilerin düzeltilmesini isteme,
  • Verilerin silinmesini veya yok edilmesini isteme,
  • Düzeltme/silme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • Münhasıran otomatik sistemlerle yapılan analiz sonucu aleyhine bir karara itiraz etme,
  • Kanuna aykırı işleme sebebiyle uğranan zararın giderilmesini talep etme.

10. Başvuru yöntemi (Md. 13 + Tebliğ)

İlgili kişi başvurularını Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun olarak iletebilir. Edumetrika işleyen sıfatıyla başvuruları 30 gün içinde ilgili Kurum (veri sorumlusu) ile birlikte değerlendirir. Çevrimiçi başvuru için: /dsar.

Başvurunun reddi, yetersiz yanıtlanması veya 30 gün içinde yanıtlanmaması hâlinde ilgili kişi 30 gün/60 gün süreleri içinde Kurul’a şikâyet hakkını kullanabilir (Md. 14).

11. Veri güvenliği önlemleri (Md. 12)

  • Verilerin satır düzeyinde izolasyonu (Row-Level Security) — kiracılar arası geçişe izin verilmez.
  • Aktarım sırasında TLS 1.2+, dinlenme sırasında disk şifreleme.
  • Çok kademeli kimlik doğrulama (TOTP/Passkey) işletmeci ve yüksek yetkili kurum rolleri için zorunlu.
  • Sıkı içerik güvenlik politikası (CSP — strict-dynamic + nonce + Trusted Types).
  • İçerik bütünlüğü için değişmez denetim günlüğü (append-only trigger).
  • Otomatik tehdit tespiti (per-IP/cross-IP burst, toplu silme alarmları).
  • Restic destek alımları + WAL arşivleme.
  • Yetkilendirme delegasyonu (en yüksek atanabilir rol, kurum yöneticisi düzeyindedir).

12. Değişiklik

Bu metin, mevzuat ve operasyonel değişikliklere göre güncellenebilir. Önemli değişiklikler, yeni sürüm tarihi ile birlikteconsent_records.notice_versionalanına yansıtılır ve ilgili kişiye Platform üzerinden bildirilir.