GİZLİLİK POLİTİKASI VE ÇEREZ POLİTİKASI
Belge Numarası: 06 Yürürlük Tarihi: [Avukat onayından sonra] Versiyon: 1.0 (taslak)
Bu Politika, Atolyecim.app Platformu'nun ziyaretçi ve Kullanıcıların verilerini nasıl topladığını, işlediğini ve koruduğunu açıklar. Kullanım Koşulları (01 numaralı belge) ve KVKK Aydınlatma Metni (02 numaralı belge) ile birlikte değerlendirilmelidir.
BÖLÜM A — GİZLİLİK POLİTİKASI
A1. AMAÇ VE KAPSAM
Atolyecim, ziyaretçi ve Kullanıcıların gizliliğine saygı duyar, kişisel verileri KVKK, GDPR ve ilgili Türk mevzuatına uygun şekilde işler. Bu Politika özellikle aşağıdaki konuları açıklar:
- Atolyecim'in hangi kişisel verileri topladığı,
- Hangi amaçlarla işlendiği (KVKK Aydınlatma Metni ile birlikte),
- Üçüncü taraf servis sağlayıcılar,
- Güvenlik önlemleri,
- Kullanıcı kontrol mekanizmaları,
- Çerez politikası.
A2. TOPLANAN VERİLER
A2.1. Doğrudan Topladıklarımız
- Hesap açılışında: ad, e-posta, şifre (şifrelenmiş saklanır), kullanıcı tipi
- Profil oluştururken: yukarıdaki ek olarak ad-soyad, meslek bilgisi, iletişim, şehir
- Abonelik ödemesinde: kart bilgisi iyzico'ya iletilir (Platform kart saklamaz)
- Fatura için: vergi no, ticari unvan (kurumsal kullanıcı)
- Kullanıcı içeriği: profil fotoğrafı (yetişkin), atölye paketi, ilan, yorum, mesaj
A2.2. Otomatik Topladıklarımız
- IP adresi
- Tarayıcı türü ve sürümü, işletim sistemi
- Erişilen sayfalar, ziyaret tarihi ve süresi
- Yönlendiren URL
- Cihaz türü (mobil/masaüstü/tablet)
- Dil tercihi
A2.3. Çerez Verileri
Bkz. Bölüm B (Çerez Politikası).
A2.4. Topladıklarımıza Dahil Olmayanlar
Atolyecim aşağıdaki verileri işlemez:
- 18 yaş altı kişilere ait hiçbir kişisel veri,
- Çocuk fotoğrafı, video, ses kaydı, isim, sağlık verisi,
- Özel nitelikli veri (sağlık, siyasi görüş, din, cinsel yaşam vb.) — istisnası yoktur,
- Biyometrik veri.
A3. İŞLEME AMAÇLARI VE HUKUKİ SEBEPLERİ
Detaylı bilgi için bkz. 02 numaralı KVKK Aydınlatma Metni (Madde 3-4). Özetle:
- Platform hizmetinin sunulması (sözleşme gereği)
- Abonelik tahsilatı ve faturalandırma (sözleşme + hukuki yükümlülük)
- Yasal yükümlülükler (vergi, muhasebe, ETBİS)
- Güvenlik ve hata analizi (meşru menfaat)
- Pazarlama iletişimi (yalnızca açık rıza ile)
A4. ÜÇÜNCÜ TARAF SERVİS SAĞLAYICILAR
Platform'un çalışması için aşağıdaki servis sağlayıcılar kullanılır. Her biri Atolyecim'in veri işleyeni sıfatıyla hareket eder ve aralarında veri işleme sözleşmesi (DPA) mevcuttur.
| Servis | Sağlayıcı | Ülke | Amaç |
|---|---|---|---|
| Veri tabanı ve kimlik doğrulama | Supabase Inc. | ABD kuruluşu / AB bölgesi (Frankfurt) | Uygulama verisi, kullanıcı kimliği |
| Uygulama sunucusu | Hetzner Online GmbH | Almanya | Barındırma |
| CDN / DNS / güvenlik | Cloudflare Inc. | ABD kuruluşu / AB bölgesi | Hız, DDoS koruma |
| Ödeme hizmeti | iyzico Ödeme Hizmetleri A.Ş. | Türkiye | Abonelik tahsilatı |
| İşlemsel e-posta | Resend Inc. | ABD kuruluşu | Bildirim e-postaları |
| Hata izleme | [Sentry veya eşdeğer] | [ülke] | Uygulama kararlılığı |
| E-fatura / e-arşiv | [Sağlayıcı adı] | Türkiye | Yasal fatura |
| Analitik | [Tercih edilirse Plausible/Umami — kişisel veri değil] | [ülke] | Kullanım istatistikleri |
Atolyecim, yukarıdaki servis sağlayıcılar dışındaki üçüncü taraflarla kişisel veri paylaşmaz. İstisna: yasal yükümlülük hâlinde yetkili kamu kurumları.
A5. YURT DIŞI AKTARIM
Supabase ve Cloudflare gibi uluslararası altyapı sağlayıcılar nedeniyle verilerin bir kısmı (özellikle veri tabanı kayıtları) Almanya'da (AB bölgesi) depolanır. Yurt dışı aktarım KVKK m.9 çerçevesinde açık rıza veya uygun güvenceler (Standart Sözleşme Maddeleri, Komisyon Onayı) ile gerçekleşir.
A6. SAKLAMA SÜRELERİ
Detay için bkz. 02 numaralı KVKK Aydınlatma Metni Madde 6. Özet:
- Aktif hesap: hesap kapatılana kadar
- Kapatılmış hesap: 3 yıl (zamanaşımı için)
- Fatura/muhasebe: 10 yıl (VUK)
- Mesajlaşma: 2 yıl
- Kullanım log: 6 ay
A7. KULLANICI HAKLARI VE KONTROL
A7.1. KVKK m.11 Hakları
Kullanıcı, bilgi alma, düzeltme, silme, itiraz, zarar tazmini haklarına sahiptir (Bkz. 02 numaralı belge Madde 7-8).
A7.2. Hesap İçi Kontroller
Kullanıcı, hesap ayarları üzerinden:
- Profil bilgilerini düzeltme,
- Pazarlama e-posta tercihlerini yönetme,
- Hesabını kapatma imkânına sahiptir.
A7.3. Veri Taşınabilirliği
Kullanıcı kendi verilerinin makine okunabilir formatta kopyasını talep edebilir (KVKK kapsamında Aydınlatma Metni ile uyumlu biçimde).
A8. GÜVENLİK
- TLS/HTTPS ile iletim şifrelemesi
- Parolalar bcrypt/argon2 algoritmasıyla karma olarak saklanır
- Cloudflare WAF ile web uygulaması güvenliği
- Supabase RLS (Row Level Security) ile veri izolasyonu
- Sistem log'u ve yetki erişim matrisi
- Yedekleme (şifreli, coğrafi olarak ayrı)
- Periyodik güvenlik taraması
- Çalışan gizlilik sözleşmeleri ve eğitim
A9. VERİ İHLALİ BİLDİRİM
Atolyecim, ciddi bir veri ihlali yaşaması hâlinde KVK Kurumu'na 72 saat içinde bildirim yapar ve ihlalden etkilenen kullanıcıları en kısa sürede elektronik yoldan bilgilendirir.
A10. ÇOCUKLARA İLİŞKİN
Atolyecim 18 yaş altı kişilere ait veri işlemez. 18 yaş altı kullanıcı kayıt olamaz. Detaylı bilgi için KVKK Aydınlatma Metni Madde 9 ve İçerik Kuralları (07 numaralı belge) Madde 3'e bakınız.
A11. DEĞİŞİKLİKLER
Bu Politika, mevzuat veya servis değişiklikleri nedeniyle güncellenebilir. Esaslı değişiklikler kullanıcıya e-posta ile duyurulur.
BÖLÜM B — ÇEREZ POLİTİKASI
B1. ÇEREZ NEDİR?
Çerez (cookie), bir internet sitesi ziyaret edildiğinde cihaza kaydedilen küçük metin dosyalarıdır. Çerezler, sitenin düzgün çalışması, kullanıcı deneyimi ve güvenlik için kullanılır.
B2. ATOLYECİM HANGİ ÇEREZLERİ KULLANIR?
B2.1. Zorunlu Çerezler (onay gerektirmez)
Platform'un çalışması için vazgeçilmez olan çerezlerdir.
| Çerez | Amaç | Süre |
|---|---|---|
sb-access-token |
Supabase oturum yönetimi | Oturum + 1 saat |
sb-refresh-token |
Oturum yenileme | 7 gün |
cf_clearance |
Cloudflare güvenlik doğrulaması | 30 dakika - 24 saat |
consent |
Çerez onay tercihi | 6 ay |
csrf_token |
CSRF koruması | Oturum |
B2.2. Tercih Çerezleri (onay gerektirmez — Platform'un kendi hizmet tercihi)
| Çerez | Amaç | Süre |
|---|---|---|
locale |
Dil tercihi | 1 yıl |
theme |
Görünüm tercihi | 1 yıl |
B2.3. Analitik Çerezler (açık onay gerektirir)
Kullanıcı deneyimini iyileştirmek amacıyla anonimleştirilmiş kullanım verisi toplanır. Atolyecim, IP maskelemeli, kullanıcı izlemesiz analitik araçları tercih eder (ör. Plausible, Umami).
| Çerez/İz | Amaç | Süre |
|---|---|---|
| [plausible_session_id] | Oturum istatistiği (kişisel veri içermez) | 30 dakika |
B2.4. Pazarlama Çerezleri
Atolyecim şu anda üçüncü taraf pazarlama çerezi kullanmamaktadır (Google Ads, Meta Pixel vb.). İleride kullanılması hâlinde açık rıza alınarak eklenir ve bu politikada güncellenir.
B3. ÇEREZ ONAYI
B3.1. İlk Ziyarette Banner
Kullanıcı Platform'u ilk kez ziyaret ettiğinde bir çerez onay banner'ı görünür. Kullanıcı üç seçenekten birini seçer:
- Tümünü kabul et (tüm çerezler aktif)
- Zorunlu olanlara izin ver (yalnızca zorunlu + tercih)
- Tercihi özelleştir (kategori bazında seçim)
B3.2. Tercih Değişikliği
Kullanıcı istediği zaman çerez tercihlerini değiştirebilir. Site alt kısmındaki "Çerez Tercihleri" bağlantısı üzerinden yeniden seçim yapılabilir.
B3.3. Tarayıcı Kontrolü
Çerezler tarayıcı ayarlarından da yönetilebilir/silinebilir. Ancak zorunlu çerezlerin devre dışı bırakılması Platform'un çalışmasını olumsuz etkileyebilir (ör. oturum açılamaz).
B4. ÜÇÜNCÜ TARAF ÇEREZLER
B4.1. Cloudflare
Platform altyapısı Cloudflare üzerinden geçtiği için Cloudflare güvenlik çerezleri (ör. cf_clearance) istemciye gönderilebilir. Bu çerezler Cloudflare'in güvenlik tespitleri için kullanılır.
B4.2. iyzico
Ödeme sayfasına yönlendirildiğinde iyzico'nun kendi çerezleri yüklenir. Ödeme sayfasının davranışı iyzico'nun gizlilik politikasına tabidir: https://www.iyzico.com/gizlilik
B4.3. Video Yerleştirme
Platform'da varsa üçüncü taraf video (ör. YouTube yerleştirmeleri), ilgili sağlayıcının çerez politikası geçerlidir. Atolyecim mümkün olduğunca "privacy-enhanced mode" kullanır.
B5. ÇEREZLERİ SİLME
Kullanıcı mevcut çerezleri tarayıcı ayarlarından silebilir:
- Chrome: Ayarlar → Gizlilik ve güvenlik → Çerezler ve diğer site verileri
- Firefox: Ayarlar → Gizlilik ve Güvenlik → Çerezler ve Site Verisi
- Safari: Tercihler → Gizlilik → Çerezleri ve Site Verilerini Yönet
- Edge: Ayarlar → Çerezler ve site izinleri
B6. DEĞİŞİKLİK
Bu Çerez Politikası güncel tutulur. Yeni bir çerez veya üçüncü taraf entegrasyonu eklenmesi hâlinde politika güncellenir ve kullanıcı yeniden bilgilendirilir (onay gerektiren kategoriler için yeniden onay alınır).
B7. İLETİŞİM
- Genel gizlilik soruları: [email protected]
- KVKK başvuruları: [email protected]
- KEP: [Şirket KEP adresi]
Bu belge Atolyecim.app için hukuki taslaktır. Avukat incelemesi ve onayı olmadan yürürlüğe konulmamalıdır. Çerez listesi teknik ekip tarafından son kullanım durumuna göre revize edilecektir.