Bu Gizlilik Politikası, Platform'un hangi kişisel verileri hangi amaçla topladığını, nasıl işlediğini ve sizin veri sahibi olarak haklarınızın neler olduğunu açıklar. Politika 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) çerçevesinde hazırlanmıştır.
1. Veri Sorumlusu
Platform Türkiye'de faaliyet gösteren bir dizin hizmetidir ve KVKK anlamında Veri Sorumlusu sıfatına sahiptir. Veri Sorumlusu olarak, kişisel verileri KVKK'nın 4. maddesinde belirtilen hukuka uygunluk, dürüstlük, doğruluk, belirli amaç, ölçülülük ve gerekli süre ilkelerine bağlı olarak işliyoruz.
Sözleşmeli bir Veri Koruma Görevlisi (DPO) atanmıştır. İletişim bilgileri İletişim bölümündedir.
2. Toplanan Veri Kategorileri
Hizmet niteliğimiz ve kapsamı gereği sınırlı ve amaca özgü veri topluyoruz:
2.1 Site Ziyaretçisi Verisi (Kullanıcı)
- IP adresi — sunucu log'larında yalnızca /24 maskesiyle (son oktet sıfırlanmış olarak) saklanır; spesifik haneye kadar takip yapılmaz
- Tarayıcı ve cihaz bilgisi — User-Agent string, ekran boyutu, dil ayarı; site performansını iyileştirmek için
- Ziyaret davranışı — hangi sayfaları görüntülediğiniz, ne kadar süre kaldığınız, tıklama örüntüleri (isimlendirilmemiş, anonim analiz)
- Analitik veri — Google Analytics 4 (istanbulmasoz.link için aktif; diğer kardeş alanlarda kapalı). Detay için Çerez Politikası.
2.2 İletişim Formu / Concierge Talebi Verisi
- İsim (takma ad kabul edilir)
- E-posta adresi
- Telefon numarası — WhatsApp iletişimi için (opsiyonel)
- Talep mesajı — concierge formundaki serbest metin
2.3 Profil Başvurusu Verisi (Terapist)
- Profesyonel isim
- Yaş, fiziksel özellikler (profil sayfasında yayınlanmak üzere)
- İletişim bilgileri (WhatsApp / Telegram)
- Profil fotoğrafları (yükleme sırasında EXIF/GPS meta verisi otomatik silinir)
- Kimlik doğrulama belgeleri (yalnızca onay sürecinde görülür, DB'ye kaydedilmez; onay sonrası silinir)
3. İşleme Hukuki Dayanakları
KVKK Madde 5 ve GDPR Madde 6 çerçevesinde aşağıdaki dayanaklara başvuruyoruz:
- Açık Rıza: Concierge formuna gönüllü göndereceğiniz bilgiler için (KVKK 5/1-a, GDPR 6/1-a)
- Sözleşmenin Kurulması ve İfası: Terapistler için profil başvuru sürecinde toplanan doğrulama verisi (KVKK 5/2-c, GDPR 6/1-b)
- Meşru Menfaat: Site güvenliği, istatistik, fraud tespiti, log kayıtları (KVKK 5/2-f, GDPR 6/1-f)
- Kanuni Yükümlülük: 5651 sayılı İnternet Kanunu gereği trafik kayıtlarının 6 ay süreyle tutulması (KVKK 5/2-ç, GDPR 6/1-c)
4. Saklama Süreleri
| Veri Kategorisi | Saklama Süresi | Dayanak |
|---|---|---|
| Nginx log (anonim IP) | 7 gün | OPSEC + güvenlik |
| fail2ban kayıtları | 14 gün | Güvenlik |
| Admin işlem denetim log'u | 30 gün | Denetim |
| DB yedekleri (GPG şifreli) | 14 gün | İş sürekliliği |
| Analitik veri (GA4) | 14 ay (GA varsayılanı) | Analiz |
| Profil onay belgeleri | Onay anında silinir | Minimum gereklilik |
| Profil yayın verisi | Profil aktif olduğu sürece | Sözleşme ifası |
| Concierge form kayıtları | 12 ay | Talep takibi |
5. Üçüncü Taraf Paylaşımı
Veri minimizasyonu ilkesiyle, üçüncü taraflarla mümkün olan en az paylaşımı yapıyoruz:
- Hosting Sağlayıcısı: Platform'un teknik altyapısı profesyonel bir VPS sağlayıcısında barındırılır. Sağlayıcı yalnızca sunucu hizmeti verir; veriye erişim düzeyleri asgari tutulur.
- Google Analytics 4 (yalnızca ana alan
istanbulmasoz.linkiçin): sayfa görüntüleme ve etkileşim istatistikleri. IP anonymization aktif. Data retention 14 ay. - IndexNow API (Bing, Yandex, Seznam): sitemap güncel URL bildirimi. Yalnızca URL paylaşılır; kullanıcı kimliği aktarılmaz.
- Let's Encrypt / ACME: SSL sertifikası doğrulaması (yalnızca domain name).
Platform hiçbir kişisel veriyi reklam ağı veya üçüncü taraf pazarlama firmasına satmaz, kiralamaz veya paylaşmaz.
6. Yurtdışı Aktarım
Google Analytics, IndexNow gibi bazı hizmetler verilerinizin Avrupa Birliği dışına aktarımını gerektirebilir. Bu aktarımlar:
- GDPR uygun ülkelere (Kanada, İsviçre, İngiltere vb.) veya
- Adequacy Decision kapsamındaki ülkelere ya da
- Standard Contractual Clauses (SCC) imzalı işleyicilere
yapılır. KVKK açısından yurtdışı aktarım 9. madde kapsamında açık rızaya bağlanmıştır.
7. Kullanıcı Hakları
KVKK Madde 11 ve GDPR Madde 15-22 çerçevesinde aşağıdaki haklara sahipsiniz:
- Erişim hakkı — hakkınızda işlenen kişisel verilere ulaşma
- Düzeltme hakkı — yanlış veya eksik verinin düzeltilmesini isteme
- Silme hakkı (unutulma) — kişisel verinizin silinmesini veya anonimleştirilmesini talep etme
- İşleme itiraz hakkı — meşru menfaate dayanan işlemeye karşı çıkma
- Aktarım kısıtlama hakkı — yurtdışı aktarımın durdurulmasını isteme
- Veri taşınabilirliği — kendinize ait verilerin yapılandırılmış bir formatta size veya başka bir veri sorumlusuna iletilmesi (GDPR Madde 20)
- Otomatik karar: Platform, kullanıcıları etkileyen profil onay süreci vb. kararlarında otomatik karar alma sistemi kullanmaz; tüm onaylar insan editör tarafından gözden geçirilir.
Bu hakları kullanmak için İletişim bölümündeki e-posta adresine başvurabilirsiniz. Talepleriniz 30 gün içinde yanıtlanır (KVKK); bazı durumlarda bu süre uzatılırsa tarafınıza bildirim yapılır.
8. Veri Güvenliği
Teknik ve idari güvenlik tedbirlerimiz arasında:
- HTTPS / TLS 1.2+ zorunlu şifreleme
- HSTS + CSP + X-Frame-Options + Permissions-Policy güvenlik başlıkları
- fail2ban ile brute-force koruması; nginx-level scanner IP bloğu
- SSH key-only erişim, root-password login kapalı
- GPG AES-256 şifreli günlük veritabanı yedekleri
- Fotograflarda EXIF/GPS/konum meta verisinin otomatik silinmesi
- Admin işlemlerin ayrı denetim log'u
- Düzenli güvenlik audit (OPSEC fingerprint check)
9. Çerezler
Çerezlerle ilgili ayrıntılı bilgi için Çerez Politikası dokümanına bakınız.
10. Çocuk Verileri
Platform 18 yaş ve üstü bireyler içindir. 18 yaş altı kullanıcılardan bilerek veri toplamayız; böyle bir durum tespit edilirse ilgili veri derhal silinir. 18 yaş altı bir kişinin Platform üzerinden profil oluşturduğu öğrenilirse profil askıya alınır ve tüm ilişkili veriler silinir.
11. Veri İhlali Bildirimi
Veri ihlali tespit edildiğinde:
- 72 saat içinde Kişisel Verileri Koruma Kurumu'na (KVKK) bildirim yapılır (KVKK 12. Madde)
- GDPR çerçevesinde ilgili Avrupa DPA otoritesine bildirim yapılır
- Yüksek risk oluşturan ihlallerde etkilenen kullanıcılara makul sürede doğrudan bildirim yapılır (KVKK, GDPR Madde 34)
12. İletişim
Veri sahibi haklarınızı kullanmak veya bu Politika hakkında soru sormak için:
- Platform iletişim kanalı: SSS sayfası üzerinden ulaşılabilir
- Yetkili makam: KVKK (www.kvkk.gov.tr)
Değişiklik Günlüğü · v1.0 — İlk yayın (19 Nisan 2026)