istebu
Catering Firmaları Şirketler Pazar Yeri
EN Giriş Yap İnteraktif Demo ↗ Başlayın

KVKK Aydınlatma Metni

Son güncelleme: 6 Temmuz 2026 · Sürüm: 2026.07.06.1

istebu kullanıcıları ve web sitesi ziyaretçileri için kişisel verilerin işlenmesine ilişkin aydınlatma metni.

1. Veri sorumlusu

Veri sorumlusu POİEX TEKNOLOJİ LİMİTED ŞİRKETİ’dir. İletişim bilgileri Şirket Bilgileri sayfasında yer alır.

Verileriniz için veri sorumlusu kimdir?

istebu’yu kullanan kişilerin kişisel verileri bakımından da bağımsız veri sorumlusu POİEX’tir; bağlı olduğunuz organizasyon (işvereniniz, okulunuz vb.) değildir. POİEX, bu verilerin işlenme amaçlarını ve vasıtalarını KVKK Madde 3 kapsamında kendi adına belirler. Bağlı olduğunuz organizasyon istebu üzerinden ayrı bir hizmet ilişkisi yürütür ve yalnızca kendi süreçleri için kendi veri sorumlusu sıfatıyla hareket eder. Bu verilere ilişkin KVKK Madde 11 talepleri doğrudan POİEX’e iletilir; başvuru kanalı 7. bölümde yer alır.

2. Kişi grupları ve veri kategorileri

Kişi grubu Başlıca veri kategorileri
Web sitesi ziyaretçisi Dil tercihi, çerez tercihi, sayfa kullanımı, cihaz ve tarayıcı bilgileri, iletişim veya demo talebi içeriği.
Yönetici Ad, telefon, rol, organizasyon, yararlanıcı daveti, toplu sipariş, resmi unvan, VKN, vergi dairesi, fatura adresi, fatura kanıt bağlantısı, mutabakat/tahsilat referansı, fatura ve destek kayıtları.
Yararlanıcı Ad, telefon, organizasyon üyeliği, yemek seçimi, iptal, puan, geri bildirim (yemek değerlendirmesine eklenen, yemek firmasıyla paylaşılan isteğe bağlı serbest metin notu dâhil) ve uygulama içi görüş/öneriler (gönderildiği ekran, uygulama sürümü ve arayüz dili bilgisiyle).
Yemek hizmeti satıcısı yetkilisi Ad, telefon, yemek hizmeti satıcısı organizasyonu, menü, teslimat, mutfak, resmi unvan, VKN, vergi dairesi, fatura adresi, hakediş TR IBAN'ı, gıda işletme kayıt numarası ve doğrulama durumu, satıcının doğrulama belgeleri (vergi levhası ve gıda işletme kayıt belgesi; özel depolamada tutulur, organizasyonlara açılmaz), fatura kanıt bağlantısı, mutabakat/tahsilat/hakediş referansı ve fatura kayıtları.
Başvuru ve destek kişisi E-posta adresi, varsa ad, telefon, organizasyon, mesaj içeriği, KVKK talebi, doğrulama ve yanıt kayıtları.
Çocuk / öğrenci (veli aracılığıyla) Okul segmentindeki müşterilerde, hesabı bulunmayan ve yemeğini velisinin seçtiği çocuğun adı-soyadı, yemek seçimi, iptal ve puanı ile yemek değerlendirmesine eklenen isteğe bağlı serbest metin notu. Çocuğa ait sağlık, diyet veya alerji verisi işlenmez; alerjenler yalnızca yemeğe ait ürün bilgisidir, kişiye bağlı sağlık verisi değildir.
Veli Ad, telefon, organizasyon üyeliği ve velisi olduğu çocuk için yaptığı seçim/iptal/puanlama işlemleri (işlemi yapan hesap kaydı dâhil) ve bildirim için telefon numarası.
Davet edilen kullanıcı (aday) Okul veya şirketin onboarding için bildirdiği aday üyenin (okulda veli, şirkette çalışan) telefon numarası ile gönderilen davetin durumu. Davet yalnızca katılım bağlantısını (app.worknmeal.com/j/<kod>) iletmek için kullanılır; okul velilerinde bu akışta çocuğa ait hiçbir veri işlenmez.
İşyeri talebinde bulunan veli (aday) istebu'yu kendi işyerine getirmek için uygulama içinden iletişime geçen velinin telefon numarası, mesaj içeriği, işyeri adı, şehir, kaynak organizasyon bilgisi ve yanıt kayıtları. Çocuğa ait hiçbir veri bu akışta yer almaz.

3. İşleme amaçları

  • Kullanıcı hesabı oluşturmak, OTP ile giriş sağlamak ve oturumu güvenli tutmak.
  • Günlük yemek seçimi, headcount, teslimat, iptal ve toplu sipariş süreçlerini yürütmek.
  • Okul segmentindeki müşterilerde, velinin çocuğu adına yaptığı yemek seçimi, iptal ve puanlama süreçlerini yürütmek.
  • Okul veya şirketin bildirdiği aday üyelere (okulda veli, şirkette çalışan), hizmete katılabilmeleri için katılım bağlantısını bir defaya mahsus SMS ile iletmek (toplu davet).
  • Bağlı olduğunuz organizasyonun mevcut üyelerine (hesabı olan üyeler ve/veya çocuklara ait yararlanıcıların velileri), hizmetle ilgili operasyonel duyuruları (ör. ertesi gün yemekhanenin kapalı olması) toplu SMS ile iletmek; bu gönderimler yalnızca POİEX iç ekibi tarafından, otomatik olmadan yapılır ve denetim için kaydedilir.
  • Bir velinin uygulama içinden, istebu’yu kendi işyerine getirmek için kendi isteğiyle (WhatsApp üzerinden) başlattığı talebi yanıtlamak ve satış görüşmesini yürütmek.
  • Yemek hizmeti satıcısı ve organizasyon tarafındaki operasyonu, kalite ölçümünü ve destek taleplerini yönetmek; uygulama hakkında gönderilen görüş ve önerileri ürünü iyileştirmek için değerlendirmek.
  • Fatura, muhasebe, tahsilat, satıcı hakediş ödemesi, uyuşmazlık ve yasal kayıt yükümlülüklerini yerine getirmek.
  • Yemek hizmeti satıcısının gıda işletme kaydını (GGBS) ve vergi mükellefiyetini (GİB) aktif link, menü ataması ve hakediş öncesinde doğrulamak.
  • Görsel içerikleri yüklemek ve sunmak, veritabanı yedekleriyle hizmet sürekliliğini sağlamak.
  • Hata izleme, güvenlik, performans teşhisi, cron izleme ve yalnızca onay verilirse web analitiği yapmak.

4. Toplama yöntemi ve hukuki sebep

Veriler web sitesi, uygulama, OTP/SMS akışı, organizasyon/satıcı yönetici işlemleri, görsel yükleme akışı, destek yazışmaları, KVKK başvuruları, iş e-postası ve sistem kayıtları aracılığıyla elektronik ortamda toplanır. İşleme faaliyetleri; sözleşmenin kurulması veya ifası, sözleşme öncesi taleplerin yanıtlanması, hukuki yükümlülük, hizmet güvenliği ve müşteri desteği için meşru menfaat ve zorunlu olmayan çerezler için açık rıza sebeplerine dayanır. Okul veya şirket, hizmete dâhil edilecek aday üyelerin (okulda veli, şirkette çalışan) telefon numaralarını onboarding daveti için bize bildirebilir; bu numaralara yalnızca katılım bağlantısını içeren bir defaya mahsus davet SMS’i Vatansms üzerinden gönderilir ve gönderim, denetim ile yeniden deneme amacıyla kaydedilir. Ayrıca POİEX iç ekibi, bağlı olduğunuz organizasyonun mevcut üyelerine hizmetle ilgili operasyonel duyuruları zaman zaman toplu SMS ile iletebilir; alıcı listesi organizasyonun kendi üyelik/yararlanıcı kayıtlarından türetilir (telefon listesi dışarıdan girilmez), gönderim Vatansms üzerinden yapılır ve gönderilen mesaj ile gönderim durumu denetim amacıyla kaydedilir.

Faaliyet Başlıca veriler Hukuki sebep Alıcı grupları
Web sitesi ve çerez tercihleri Dil tercihi, çerez tercihi, sayfa kullanımı, cihaz ve tarayıcı bilgileri. Zorunlu çerezler için hizmetin çalışması ve meşru menfaat; Microsoft Clarity için açık rıza. Cloudflare, Microsoft Clarity.
Kimlik doğrulama ve oturum Telefon numarası, OTP denemeleri, refresh oturumu, güvenlik kayıtları. Sözleşmenin kurulması veya ifası ve hesap güvenliği için meşru menfaat. Hetzner, Cloudflare, Vatansms, Sentry.
Yemek operasyonu ve geri bildirim Ad, telefon, organizasyon, rol, yemek seçimi, toplu adet, teslim günü, puan, yorum ve uygulama içi görüş/öneriler. Sözleşmenin ifası ve hizmet kalitesi için meşru menfaat. Yöneticiler (kendi organizasyonlarının tüm operasyon verisi); yemek hizmeti satıcıları (kişi sayısı, menü atamaları, toplu sipariş, teslimat lokasyonu ve — yararlanıcının teslimat etiketinde kendi yemeğini bulabilmesi için — ad bilgisi: yararlanıcının adı ve soyadı, aynı ön adı taşıyan kişilerin kutularının teslimat sırasında karışmaması için. Telefon ve e-posta paylaşılmaz); Hetzner, Cloudflare, Sentry. Uygulama içi görüş/öneriler yöneticilere veya yemek hizmeti satıcılarına açılmaz; yalnızca POİEX iç operasyon ekibine iletilir (bildirim e-postası Google Workspace üzerinden; gerekirse dönüş yapılabilmesi için gönderenin adı ve telefon numarasıyla birlikte).
Veli aracılığıyla çocuk yemek koordinasyonu Çocuğun adı-soyadı, yemek seçimi, iptal, puan ve değerlendirme notu; velinin işlem kaydı ve bildirim için telefon numarası. Çocuğun kişisel verileri için velinin açık rızası (KVKK Madde 5/2); velinin kendi hesap verisi için sözleşmenin ifası ve hizmet operasyonu için meşru menfaat. Okul yöneticisi (operasyon); yemek hizmeti satıcısı (yalnızca diğer yemek yiyenlerle aynı asgari ad bilgisi); Hetzner, Cloudflare, Sentry.
Görsel yükleme Avatar, organizasyon logosu, yemek görseli, yükleyen kullanıcı, dosya türü ve boyutu. Sözleşmenin ifası ve hizmetin işletilmesi için meşru menfaat. Cloudflare R2, Hetzner, Cloudflare.
Fatura, tahsilat ve hakediş Organizasyon, resmi unvan, VKN, vergi dairesi, fatura adresi, satıcı hakedişi için TR IBAN, fatura dönemi, teslimat kaydı ve sipariş toplamları. Sözleşmenin ifası ve hukuki yükümlülük. Bağlı yemek hizmeti satıcısı (yalnızca yemek faturasını düzenlemek için müşteri organizasyonun fatura kimliği: resmi unvan, VKN, vergi dairesi, fatura adresi); muhasebe ve hukuk danışmanları, yetkili kamu kurumları, Paraşüt (e-fatura/muhasebe), Hetzner, Cloudflare, Sentry. Aracılık faturası ve tahsilat POİEX üzerinden yürütülür.
Destek, KVKK başvuruları ve iş e-postası E-posta adresi, varsa ad, telefon, organizasyon, mesaj içeriği, doğrulama ve yanıt kayıtları. Sözleşme öncesi talep, sözleşmenin ifası, hukuki yükümlülük ve müşteri desteği için meşru menfaat. Google Workspace, yetkili kamu kurumları, hukuk ve muhasebe danışmanları.
İşyeri talebi (WhatsApp) Telefon numarası, mesaj içeriği, işyeri adı, şehir, kaynak organizasyon ve yanıt kayıtları. İlgili kişinin kendi talebi üzerine sözleşme öncesi adımlar ve gelen satış taleplerini yanıtlamak için meşru menfaat (KVKK Madde 5/2-c ve 5/2-f). Veli iletişimi kendisi başlattığından açık rıza alınmaz; bu, istenmeyen ticari elektronik ileti olmadığından 6563 sayılı Kanun / İYS ön onay rejimi dışındadır. WhatsApp/Meta (mesaj iletimi; yurt dışı), POİEX satış ekibi.
Yedekleme ve teşhis Veritabanı kayıtları, cron ping zamanı ve durumu, request id, durum kodu, stack trace, yapılandırılmış loglar, maskelenmiş replay olayları. Hizmet sürekliliği, güvenlik ve hata teşhisi için meşru menfaat; saklanması zorunlu kayıtlar için hukuki yükümlülük. Cloudflare R2, Sentry, Healthchecks.io, Hetzner.

5. Aktarım

Kişisel veriler, hizmetin yürütülmesi için yöneticiler, yemek hizmeti satıcıları, barındırma ve güvenlik sağlayıcıları, nesne depolama ve yedekleme sağlayıcıları, iş e-postası sağlayıcısı, hata izleme, cron izleme, analitik, SMS, fatura, muhasebe, hukuk ve yetkili kamu kurumlarıyla sınırlı olarak paylaşılabilir. Başlıca teknik tedarikçiler Hetzner, Cloudflare, Cloudflare R2, Google Workspace, Sentry, Healthchecks.io, Microsoft Clarity, Vatansms, Paraşüt ve WhatsApp/Meta’dır. Güncel tam liste için bkz. Tedarikçi Listesi. Bu tedarikçilerin Vatansms ve Paraşüt dışındakiler Türkiye dışında bulunduğundan yurt dışı aktarım gerçekleşmektedir; Vatansms ve Paraşüt Türkiye yerleşiktir. KVKK Madde 9 kapsamındaki güvence mekanizmaları (Kurul’un uygun bulduğu ülke veya sektör kararı, Standart Sözleşme — imzayı izleyen 5 iş günü içinde Kurul’a bildirim — taahhütname veya bağlayıcı şirket kuralları) ilgili tedarikçiler bazında halen tamamlanma aşamasındadır. Yemek hizmeti satıcılarına yalnızca operasyon için gereken alt küme veri aktarılır: günlük kişi sayısı, menü atamaları, toplu sipariş kalemleri, teslimat lokasyonu ve teslimat etiketleri için yararlanıcının kendi yemeğini bulabilmesini sağlayan ad bilgisi. Etikette yararlanıcının adı ve soyadı gösterilir; böylece aynı ön adı taşıyan kişilerin kutuları teslimat sırasında karışmaz. Yararlanıcının telefon numarası ve e-posta adresi yemek hizmeti satıcılarıyla paylaşılmaz. Teslimat etiketindeki karekod (QR), yararlanıcının ilgili öğünün bilgi sayfasına erişmesini sağlayan tahmin edilemez tekil bir bağlantı içerir. Bu sayfa oturum açma gerektirmeden yalnızca bağlantıya sahip olan kişilerce (ör. etiketi fiziksel olarak görenler) açılabilir; kişisel veri olarak etikette zaten yazılı olandan fazlasını göstermez (ön ad, o güne ait yemek seçimi, yemek hizmeti satıcısının adı, tarih ve teslim saati) ve ayrıca yemeklere ait beyan edilmiş gıda bilgilerini (açıklama, alerjen, beslenme etiketi, özel uyarı ve enerji değeri — kişisel veri değil, ürün bilgisi) gösterir. Aynı sayfa, teslimattan sonraki 24 saat boyunca öğünün bir defaya mahsus puanlanmasına imkân verir; fiyat, telefon veya başka iletişim bilgisi içermez. Toplu sipariş edilen öğünlerin kutu etiketlerindeki karekod da aynı şekilde çalışır; bu sayfa herhangi bir yararlanıcı kimliği yerine yalnızca sipariş eden organizasyonun adını ve o günün yemeklerini gösterir ve oturum açmadan kutu başına bir defa puan vermeye imkân tanır. Toplu kutu puanı hiçbir kişiye bağlanmadığından kişisel veri içermez ve KVKK Madde 7 kapsamında silinecek bir kimlik bağı taşımaz. Doğrulaması tamamlanan yemek hizmeti satıcısının tanıtıcı bilgileri (ticaret unvanı ve VKN), 6563 sayılı Kanun ve E-Ticaret Yönetmeliği madde 5 kapsamında satıcı şeffaflık yükümlülüğü gereği pazaryerinde herkese açık olarak ve bağlı müşteri organizasyonlara uygulama içinde gösterilir; yemek hizmeti satıcısının gıda işletme kayıt numarası iç uyum verisi olarak kalır ve müşterilere açıklanmaz.

Bir velinin uygulama içinden kendi işyeri için başlattığı iletişimde mesajlaşma WhatsApp/Meta altyapısı üzerinden iletilir; Meta Türkiye dışında yerleşik olduğundan bu da yurt dışı aktarımdır ve yukarıdaki KVKK Madde 9 güvence mekanizmaları bu sağlayıcı için de halen tamamlanma aşamasındadır. İletişimi veli kendisi başlattığından bu, istenmeyen ticari elektronik ileti değildir; bu akışta çocuğa ait hiçbir veri paylaşılmaz ve velinin pazarlama amacıyla yeniden mesajla aranması ayrı bir açık rızaya tabidir.

6. Saklama ve hesap silme

Saklama süreleri işleme amacına göre değişir; ayrıntılar için Gizlilik Politikası 6. maddesine bakınız. Hesabınızı uygulama içindeki “Hesabımı sil” akışı ile veya yazılı KVKK Madde 7 başvurunuzla silebilirsiniz.

Uygulama içindeki “Hesabımı sil” akışı hesabınızı derhal kapatır: oturumlarınız sonlandırılır, hesabınıza yeniden giriş yapılamaz, aktif üyelikleriniz sona erer, süresi gelmemiş yemek seçimleriniz iptal edilir ve telefon numaranız aynı numarayla yeniden kayıt olmanızı engellemeyecek şekilde hesaptan ayrılır. Kişisel verileriniz kapatma anında henüz yok edilmez; işlemlerin gerçekliğinin ispatı ile bir hakkın tesisi, kullanılması veya korunması amacıyla (KVKK Madde 5/2-e) erişime kapalı biçimde saklanır ve kapatmayı izleyen periyodik imha döngüsünde (en geç altı ay içinde) silinir veya anonim hâle getirilir. Yazılı KVKK Madde 7 başvurunuz üzerine ise silme işlemi en geç 30 gün içinde tamamlanır.

Velinin çocuğu adına yaptığı yemek seçimi, puan ve değerlendirme kayıtları zamana bağlı olarak otomatik silinmez; hizmet ilişkisi boyunca saklanır. Çocuk kayıttan çıkarıldığında veya çocuğun tek velisi hesabını kapattığında, çocuğun kaydı kapatılır (listelerden düşer, süresi gelmemiş siparişleri iptal edilir); çocuğun kimlik bilgisi yukarıdaki takvimle (periyodik imha döngüsünde veya velinin KVKK Madde 7 başvurusu üzerine) kayıtlardan çıkarılarak yerinde anonimleştirilir. Faturaya konu geçmiş kayıtlar silinmez, anonim biçimde saklanmaya devam eder. Bir veli yalnızca organizasyondan ayrıldığında (hesabını silmeden) ise yalnızca çocuğun süresi gelmemiş ileri tarihli siparişleri iptal edilir (müşteri faturalandırılmasın diye); çocuk kayıtlı kaldığı sürece kimlik bilgisi korunur. Çocuğun verisine ilişkin KVKK haklarını veli kullanır.

Silme işlendiğinde adınız, telefon numaranız, profil görseliniz (depolama alanındaki görsel dosyası dahil) ve onay kayıtlarınızdaki kişisel veriler (IP adresi, cihaz bilgisi) silinir; yemek kayıtlarındaki yemek öznesi (eater) adınız da çıkarılır. Geçmiş yemek seçimleri, toplu siparişler, puanlamalar ve faturalandırmaya konu kayıtlar, kimlik bağlantısı koparılarak Vergi Usul Kanunu Madde 253 ve Türk Borçlar Kanunu Madde 146 uyarınca yasal saklama süresince anonim hâlde tutulur. Uygulama hakkında gönderdiğiniz serbest metin görüş ve öneriler, ürünü iyileştirmek amacıyla saklanır; silme işlendiğinde kimlik bağı koparılır (görüşün hesabınızla bağlantısı kaldırılır), metnin kendisi korunur. Yemek değerlendirmesine eklediğiniz serbest metin notunun içeriği silme işlendiğinde temizlenir; değerlendirme kaydının kendisi silinmez, yapılandırılmış yıldız puanıyla birlikte kimlik bağı koparılarak anonim biçimde saklanmaya devam eder. Onay kayıtlarınızın varlığı ve tarihi denetim amacıyla saklanır; kişisel bilgileri silinir.

Yalnızca bir organizasyonun tek aktif yöneticisiyseniz, hesap silme talebiniz bu organizasyon için başka bir yönetici belirleyene kadar reddedilebilir. Bu, KVKK Madde 7 hakkınızın reddi değil; diğer kullanıcıların hizmete erişimini korumaya yönelik bir ön gerekliliktir.

7. KVKK madde 11 hakları

KVKK madde 11 kapsamındaki bilgi alma, düzeltme, silme/yok etme, aktarılan üçüncü kişilere bildirim, itiraz ve zarar giderimi taleplerinizi kvkk@worknmeal.com adresine iletebilirsiniz. Bilgi alma ve veri taşınabilirliği hakkınızı uygulama içinden “Verilerimi indir” akışıyla doğrudan kullanabilirsiniz.

istebu

İşyeri yemeğinin yeni tanımı

Ankara, Türkiye

Mobil uygulamalar · Yakında
App Store'dan indir
Google Play'den indir

Ürün

  • Nasıl Çalışır
  • Neden Şimdi
  • Rakamlar
  • İnteraktif Demo

Çözümler

  • Catering Firmaları
  • Şirketler
  • Pazar Yeri

Şirket

  • İletişim
  • SSS
  • Gizlilik Politikası
  • Kullanım Koşulları
  • KVKK Aydınlatma Metni
  • Çerez Politikası
  • Tedarikçi Listesi
  • Şirket Bilgileri

© 2026 istebu. Tüm hakları saklıdır.

EN merhaba@worknmeal.com v2026.07.06.38
Çerez tercihleri

Zorunlu çerezler siteyi çalıştırır. İsteğe bağlı analitik çerezler yalnızca kabul ederseniz Microsoft Clarity ile kullanım verisi ve oturum kaydı toplar. Hata izleme aracı Sentry, meşru menfaate dayanır ve bu tercihten etkilenmez.

Ayrıntılar Çerez Politikası sayfasındadır. Çerez Politikası