istebu
Catering Firmaları Şirketler Pazar Yeri
EN Giriş Yap İnteraktif Demo ↗ Başlayın

Gizlilik Politikası

Son güncelleme: 6 Temmuz 2026 · Sürüm: 2026.07.06.1

istebu kişisel verileri hangi amaçlarla işlediğini, kimlerle paylaştığını ve hangi güvenlik yaklaşımını izlediğini açıklar.

1. Veri sorumlusu

istebu markası altında sunulan hizmetlerde veri sorumlusu POİEX TEKNOLOJİ LİMİTED ŞİRKETİ’dir. Şirket bilgileri ve iletişim kanalları Şirket Bilgileri sayfasında yer alır.

Verileriniz için veri sorumlusu kimdir?

istebu’yu kullanan kişilerin kişisel verileri bakımından da bağımsız veri sorumlusu POİEX’tir; bağlı olduğunuz organizasyon (işvereniniz, okulunuz vb.) değildir. POİEX, bu verilerin işlenme amaçlarını ve vasıtalarını KVKK Madde 3 kapsamında kendi adına belirler. Bağlı olduğunuz organizasyon istebu üzerinden ayrı bir hizmet ilişkisi yürütür ve yalnızca kendi süreçleri için kendi veri sorumlusu sıfatıyla hareket eder. Bu verilere ilişkin KVKK Madde 11 haklarınızı doğrudan POİEX’e karşı, kvkk@worknmeal.com adresinden kullanabilirsiniz.

2. İşlediğimiz başlıca veriler

  • Kimlik ve iletişim: ad, soyad, telefon numarası, e-posta, rol ve organizasyon bilgisi.
  • Hesap ve güvenlik: OTP giriş kayıtları, refresh oturumu, cihaz ve hata kayıtları.
  • Yemek operasyonu: menü seçimi, iptal, toplu adet, teslim günü, organizasyon ve yemek hizmeti satıcısı ilişkisi.
  • Geri bildirim: yemek puanı, yemek veya servis yorumu, isteğe bağlı serbest metin notu (yemek firmasıyla paylaşılır ve sizin geçmişinizde size geri gösterilir; yöneticilere gösterilmez; not metni sizi tanımlayabileceğinden bunu yazmadan önce bilgilendirilirsiniz), memnuniyet analitiği; uygulama içi geri bildirim formundan gönderilen görüş ve öneriler (gönderildiği ekran, uygulama sürümü ve arayüz dili bilgisiyle birlikte; gerekirse dönüş yapılabilmesi için adınız ve telefon numaranızla birlikte yalnızca POİEX iç ekibine iletilir).
  • Çocuk / öğrenci verisi (okul segmenti): velinin çocuğu adına yaptığı yemek seçimi, iptal, puan ve değerlendirme notu ile çocuğun adı-soyadı. Çocuğa ait sağlık, diyet veya alerji verisi işlenmez; alerjenler yalnızca yemeğe ait ürün bilgisidir.
  • Görsel içerik: kullanıcı avatarı, organizasyon logosu, yemek görseli, yükleyen kullanıcı ve dosya teknik bilgileri.
  • Fatura ve destek: resmi unvan, VKN, vergi dairesi, fatura adresi, satıcı hakedişi için TR IBAN, fatura dönemi, teslimat kaydı, fatura kanıt dosyası bağlantısı, mutabakat/tahsilat/hakediş referansları, destek talebi, KVKK başvuru içeriği ve yazışma kayıtları.
  • Yemek hizmeti satıcısı doğrulaması: gıda işletme kayıt numarası ve doğrulama durumu ile satıcının yüklediği iki doğrulama belgesi — vergi levhası ve gıda işletme kayıt belgesi (yemek hizmeti yetkisi ve vergi mükellefiyeti ön kontrolü için). Belgeler özel (private) nesne depolama alanında tutulur, yalnızca incelemeci tarafından kısa ömürlü bağlantılarla görülür; gıda işletme kayıt numarası gibi iç uyum verisidir ve organizasyonlara açılmaz.
  • İşyeri talebi: bir velinin istebu’yu kendi işyerine getirmek için uygulama içinden ilettiği talepte telefon numarası, mesaj içeriği, işyeri adı, şehir, kaynak organizasyon ve yanıt kayıtları. Bu akışta çocuğa ait veri yer almaz.
  • Web kullanımı: dil tercihi, çerez tercihi ve yalnızca onay verilirse Clarity analitik kayıtları.
  • Yedek ve teşhis: veritabanı yedeklerinde yer alan hizmet kayıtları, cron izleme kayıtları, request id, durum kodu, maskelenmiş oturum kaydı olayları, yapılandırılmış hata ve performans kayıtları.

3. Amaçlar ve hukuki dayanak

Veriler; hesap açma, güvenli giriş, günlük yemek koordinasyonu, headcount, teslimat, faturalama, tahsilat, satıcı hakediş ödemesi, destek, hata izleme, hizmet kalitesi, görsel içerik sunumu, yedekleme, güvenlik ve yasal yükümlülükler için işlenir. Zorunlu çerezler hizmetin çalışması için kullanılır. Microsoft Clarity analitiği ve oturum kaydı gibi zorunlu olmayan çerezler yalnızca açık tercih verildiğinde çalıştırılır.

Genel hukuki dayanaklar; sözleşmenin kurulması veya ifası, sözleşme öncesi taleplerin yanıtlanması, hukuki yükümlülük, hizmet güvenliği ve müşteri desteği için meşru menfaat ve zorunlu olmayan analitik çerezler için açık rızadır.

Başlıca işlem grupları şu şekilde ayrılır: OTP ve oturum kayıtları hesap açma/güvenliği için sözleşme ve meşru menfaate; yemek seçimi, teslimat, headcount ve geri bildirim kayıtları hizmetin ifasına ve hizmet kalitesi meşru menfaatine; okul segmentinde velinin çocuğu adına yaptığı yemek koordinasyonu çocuğun kişisel verileri için velinin açık rızasına (KVKK Madde 5/2), velinin kendi hesap verisi için sözleşmenin ifası ve hizmet operasyonu meşru menfaatine; destek ve demo yazışmaları sözleşme öncesi talep, sözleşmenin ifası ve müşteri desteği meşru menfaatine; KVKK başvuru kayıtları hukuki yükümlülüğe; görsel yükleme, yedekleme ve hata teşhisi kayıtları hizmetin işletilmesi, güvenlik ve süreklilik meşru menfaatine dayanır.

4. Paylaşım ve tedarikçiler

Veriler, hizmetin çalışması için sınırlı olarak hosting, güvenlik, nesne depolama, veritabanı yedekleme, iş e-postası, hata izleme, cron izleme, SMS, analitik ve fatura/destek süreçlerinde kullanılan tedarikçilerle paylaşılabilir. Başlangıç kayıtlarımızda Hetzner, Cloudflare, Cloudflare R2, Google Workspace, Sentry, Healthchecks.io, Microsoft Clarity, Vatansms, Paraşüt (e-fatura/muhasebe) ve WhatsApp/Meta yer alır. Güncel tam liste ve KVKK Madde 9 aktarım mekanizmaları için Tedarikçi Listesi sayfasına bakabilirsiniz. Yöneticiler kendi organizasyonlarının operasyon verilerine (kişi sayısı, yararlanıcı seçimleri — her yararlanıcının o gün seçtiği yemekler dahil, fiyat hariç —, ad/telefon, fatura kayıtları) erişir. Yemek hizmeti satıcıları yalnızca üretim ve teslimat için gereken operasyon verisini görür: günlük kişi sayısı, menü atamaları, toplu sipariş kalemleri, teslimat lokasyonu ve yararlanıcının teslimat etiketinde kendi yemeğini bulabilmesini sağlayan ad bilgisi. Etikette yararlanıcının adı ve soyadı gösterilir; böylece aynı ön adı taşıyan kişilerin kutuları teslimat sırasında karışmaz. Yararlanıcının telefon numarası ve e-posta adresi yemek hizmeti satıcılarıyla paylaşılmaz. Teslimat etiketindeki karekod (QR), yararlanıcının ilgili öğünün bilgi sayfasına erişmesini sağlayan tahmin edilemez tekil bir bağlantı içerir; sayfa oturum açma gerektirmeden yalnızca bağlantıya sahip olan kişilerce açılabilir, kişisel veri olarak etikette zaten yazılı olandan fazlasını göstermez (ön ad, o güne ait yemek seçimi, yemek hizmeti satıcısının adı, tarih ve teslim saati), ayrıca yemeklere ait beyan edilmiş gıda bilgilerini (açıklama, alerjen, beslenme etiketi, özel uyarı, enerji değeri — ürün bilgisi) gösterir ve teslimattan sonraki 24 saat boyunca öğünün bir defaya mahsus puanlanmasına imkân verir; fiyat, telefon veya başka iletişim bilgisi içermez. Toplu (toplu sipariş edilen) öğünlerin kutu etiketlerindeki karekod da aynı şekilde çalışır; bu sayfa herhangi bir yararlanıcı kimliği yerine yalnızca sipariş eden organizasyonun adını ve o günün yemeklerini gösterir ve oturum açmadan kutu başına bir defa puan vermeye imkân tanır. Toplu kutu puanı hiçbir kişiye bağlanmadığından kişisel veri içermez ve silinecek bir kimlik bağı taşımaz. Yemek faturasını düzenleyebilmesi için, aktif olarak bağlı olduğu müşteri organizasyonun fatura kimliği (resmi unvan, VKN, vergi dairesi, fatura adresi) yemek hizmeti satıcısına açılır; aracılık faturası ve tahsilat POİEX üzerinden yürütülür. Doğrulaması tamamlanan yemek hizmeti satıcısının tanıtıcı bilgileri (ticaret unvanı ve VKN), 6563 sayılı Kanun ve E-Ticaret Yönetmeliği madde 5’teki satıcı şeffaflık yükümlülüğü gereği pazaryerinde herkese açık olarak ve bağlı müşteri organizasyonlara uygulama içinde gösterilir; yemek hizmeti satıcısının gıda işletme kayıt numarası iç uyum verisi olarak kalır ve müşterilere açıklanmaz.

Bir velinin uygulama içinden kendi işyeri için ilettiği talepte, gönderdiği hazır mesaj WhatsApp/Meta altyapısı üzerinden iletilir (yurt dışı aktarım). Hukuki dayanak; ilgili kişinin kendi talebi üzerine sözleşme öncesi adımlar ve gelen satış taleplerini yanıtlamak için meşru menfaattir (KVKK Madde 5/2-c ve 5/2-f). İletişimi veli kendisi başlattığından açık rıza alınmaz, istenmeyen ticari elektronik ileti söz konusu değildir ve bu akışta çocuğa ait veri paylaşılmaz; velinin pazarlama amacıyla yeniden mesajla aranması ayrı bir açık rızaya tabidir.

5. Yurt dışına aktarım

Altyapı, depolama, iş e-postası, izleme, analitik ve mesajlaşma tedarikçilerimizin bir kısmı Türkiye dışında hizmet verir. Bu nedenle kişisel veriler başta Almanya, ABD, Letonya ve İrlanda olmak üzere ilgili tedarikçinin bulunduğu ülkeye aktarılır. KVKK Madde 9 kapsamındaki güvence mekanizmaları (Kurul’un uygun bulduğu ülke veya sektör kararı, Standart Sözleşme — imzayı izleyen 5 iş günü içinde Kurul’a bildirim — taahhütname veya bağlayıcı şirket kuralları) ilgili tedarikçiler bazında halen tamamlanma aşamasındadır. Mekanizmalar tamamlandıkça bu metin ve şirket kayıtları güncellenecektir.

6. Saklama

Saklama süreleri işleme amacına göre değişir: oturum çerezleri 7 gün, çerez tercihleri 6 ay, dil tercihi 1 yıl, hata/oturum teşhis kayıtları 90 gün, Clarity analitik verileri 13 ay, özel yedekler 30 günlük rotasyonla, cron izleme kayıtları hizmet hesabı aktif olduğu sürece ve sağlayıcı yedeklerinde 2 aya kadar, destek kayıtları ve uygulama içi görüş/öneriler aktif müşteri dönemi artı 2 yıl, işyeri talebi (WhatsApp) kayıtları 1 yıl, fatura ve hukuki kayıtlar 10 yıl saklanır. Görsel içerikler değiştirilene, silinene veya hizmet ilişkisi için artık gerekli olmayana kadar tutulur. Bir uyuşmazlık, güvenlik olayı veya yasal yükümlülük varsa ilgili kayıtlar gerekli süre boyunca saklanabilir. Yukarıdaki süreler, ilgili verinin saklandığı saklama sürelerini gösterir; uygulama içindeki kişisel kayıtlar hizmet ilişkisi ve yasal saklama yükümlülükleri kapsamında tutulur ve bu yükümlülük sona erdiğinde veya hesabınızı sildiğinizde 7. maddede açıklanan takvimle kaldırılır.

7. Hesap silme ve sonrasında saklanan veriler

Uygulamadaki “Hesabımı sil” akışını başlattığınızda hesabınız derhal kapatılır: oturumlarınız sonlandırılır, hesabınıza yeniden giriş yapılamaz, aktif üyelikleriniz sona erer, süresi gelmemiş yemek seçimleriniz iptal edilir ve telefon numaranız aynı numarayla yeniden kayıt olmanızı engellemeyecek şekilde hesaptan ayrılır (uygulama içindeki kayıt anonim bir değerle değiştirilir).

Kapatma anında kişisel verileriniz henüz yok edilmez: adınız, profil görseliniz (depolama alanındaki görsel dosyası dahil), telefon numarası kaydınız, onay kayıtlarınızdaki teknik veriler (IP adresi, cihaz bilgisi), size gönderilen SMS içerik kayıtları ve yemek değerlendirmelerinize eklediğiniz serbest metin notları; işlemlerin gerçekliğinin ispatı ile bir hakkın tesisi, kullanılması veya korunması amacıyla (KVKK Madde 5/2-e) erişime kapalı biçimde saklanmaya devam eder. Bu veriler, kapatmayı izleyen periyodik imha döngüsünde (en geç altı ay içinde) silinir veya anonim hâle getirilir. Verilerinizin daha erken yok edilmesini isterseniz, kvkk@worknmeal.com adresine yapacağınız KVKK Madde 7 başvurusu üzerine silme işlemi en geç 30 gün içinde tamamlanır.

Silme işlendiğinde (başvuru üzerine veya periyodik imha döngüsünde): adınız, telefon numaranız, profil görseliniz ve onay kayıtlarınızdaki teknik veriler sistemden silinir; yemek kayıtlarındaki yemek öznesi (eater) adınız da çıkarılır. Uygulama hakkında gönderdiğiniz serbest metin görüş ve öneriler, ürünü iyileştirmek amacıyla saklanmaya devam eder; silme ile birlikte kimlik bağı koparılır (görüşün hesabınızla bağlantısı kaldırılır), metnin kendisi korunur. Yemek değerlendirmesine eklediğiniz serbest metin notunun içeriği temizlenir; değerlendirme kaydının kendisi silinmez, yapılandırılmış yıldız puanıyla birlikte kimlik bağı koparılarak anonim biçimde saklanmaya devam eder.

Geçmiş yemek seçimleriniz, toplu siparişleriniz, puanlamalarınız ve faturalandırmaya konu kayıtlarınız, silme işlendiğinde kimlik bağlantısı koparılarak — Vergi Usul Kanunu Madde 253 ve Türk Borçlar Kanunu Madde 146 uyarınca — yasal saklama süresince anonim hâlde tutulmaya devam eder. Bu kayıtlar geçmişe yönelik kişi bazlı görüntülerde “Anonim Kullanıcı” olarak görünür; toplam fatura, headcount ve kalite analitiği gibi toplu görüntülerde değişiklik olmaz. Onay kayıtlarınızın varlığı ve tarihi denetim amacıyla saklanmaya devam eder; kişisel bilgiler silinir.

Velinin çocuğu adına yaptığı yemek seçimi, puan ve değerlendirme kayıtları zamana bağlı olarak otomatik silinmez; hizmet ilişkisi boyunca saklanır. Çocuk kayıttan çıkarıldığında veya çocuğun tek velisi hesabını kapattığında, çocuğun kaydı kapatılır: listelerden düşer ve süresi gelmemiş ileri tarihli siparişleri iptal edilir. Çocuğun kimlik bilgisi bu anda yok edilmez; yukarıdaki takvimle (periyodik imha döngüsünde en geç altı ay içinde veya velinin KVKK Madde 7 başvurusu üzerine en geç 30 gün içinde) kayıtlardan çıkarılarak yerinde anonimleştirilir. Faturaya konu geçmiş kayıtlar silinmez, anonim biçimde saklanmaya devam eder. Bir veli yalnızca organizasyondan ayrıldığında (hesabını silmeden) ise yalnızca çocuğun süresi gelmemiş ileri tarihli siparişleri iptal edilir (müşteri faturalandırılmasın diye); çocuk kayıtlı kaldığı sürece kimlik bilgisi korunur. Çocuğun verisine ilişkin KVKK haklarını veli kullanır. Veli iki sıfatla hareket eder: kendi hesap verisi sözleşmenin ifası ve hizmet operasyonu meşru menfaatine, çocuğun verisi ise velinin açık rızasına (KVKK Madde 5/2) dayanır. Bu açık rızayı dilediğiniz zaman geri çekebilirsiniz: çocuğu uygulamadan çıkararak ya da kvkk@worknmeal.com adresine yazarak. Geri çekildiğinde çocuk için gelecekteki seçimler durdurulur ve kimlik bilgisi aynı takvimle anonimleştirilir; çocuğun varsa diğer velisinin ayrı rızası bundan etkilenmez.

Yalnızca bir organizasyonun tek aktif yöneticisiyseniz, hesap silme talebiniz bu organizasyon için başka bir yönetici belirleyene kadar reddedilebilir. Bu, KVKK Madde 7 hakkınızın reddi değil; diğer kullanıcıların hizmete erişimini korumaya yönelik bir ön gerekliliktir.

istebu’yu organizasyonunuzun sözleşmesi sona erdikten sonra da tek başınıza kullanmaya devam edebilir, hesabınızı istediğiniz zaman silebilir veya başka bir organizasyonla aynı telefonla yeniden katılabilirsiniz.

8. Haklarınız

KVKK kapsamındaki haklarınızı kullanmak veya gizlilik soruları için kvkk@worknmeal.com adresinden bize ulaşabilirsiniz.

istebu

İşyeri yemeğinin yeni tanımı

Ankara, Türkiye

Mobil uygulamalar · Yakında
App Store'dan indir
Google Play'den indir

Ürün

  • Nasıl Çalışır
  • Neden Şimdi
  • Rakamlar
  • İnteraktif Demo

Çözümler

  • Catering Firmaları
  • Şirketler
  • Pazar Yeri

Şirket

  • İletişim
  • SSS
  • Gizlilik Politikası
  • Kullanım Koşulları
  • KVKK Aydınlatma Metni
  • Çerez Politikası
  • Tedarikçi Listesi
  • Şirket Bilgileri

© 2026 istebu. Tüm hakları saklıdır.

EN merhaba@worknmeal.com v2026.07.06.38
Çerez tercihleri

Zorunlu çerezler siteyi çalıştırır. İsteğe bağlı analitik çerezler yalnızca kabul ederseniz Microsoft Clarity ile kullanım verisi ve oturum kaydı toplar. Hata izleme aracı Sentry, meşru menfaate dayanır ve bu tercihten etkilenmez.

Ayrıntılar Çerez Politikası sayfasındadır. Çerez Politikası