Gizlilik Politikası

1. Giriş

ALB Grup Danışmanlık İletişim ve Satış Ticaret Limited Şirketi ("İyiYe") olarak, kullanıcılarımızın kişisel verilerinin korunmasına büyük önem vermekteyiz. İşbu Gizlilik Politikası; İyiYe mobil uygulaması ("Uygulama") ve https://iyiye.app web sitesi ("Web Sitesi") aracılığıyla toplanan kişisel verilerin hangi amaçlarla ve nasıl işlendiğini, kimlere ve hangi amaçlarla aktarılabileceğini, veri toplama yöntemlerini, hukuki sebeplerini ve kişisel verilerinize ilişkin haklarınızı açıklamaktadır.

İşbu Gizlilik Politikası, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK"), 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve ilgili ikincil mevzuat hükümleri çerçevesinde hazırlanmıştır.

2. Veri Sorumlusu

Kişisel verileriniz bakımından veri sorumlusu sıfatını taşıyan kuruluşa ait bilgiler aşağıdadır:

3. Toplanan Kişisel Veriler

İyiYe hizmetlerinin sunulabilmesi amacıyla aşağıdaki kategorilerdeki kişisel verileriniz işlenebilmektedir:

3.1. Doğrudan Sizden Toplanan Veriler

• Kimlik Bilgileri: Ad, soyad, profil fotoğrafı.
• İletişim Bilgileri: E-posta adresi, cep telefonu numarası.
• Hesap Bilgileri: E-posta adresi (kullanıcı kimliği olarak), şifre (bcrypt ile hashlenmiş olarak saklanır; açık metin olarak asla saklanmaz).
• Değerlendirme ve İçerik Verileri: Restoranlara ilişkin yorumlarınız, puanlamalarınız ve paylaştığınız fotoğraflar.

3.2. Otomatik Olarak Toplanan Veriler

• Cihaz Bilgileri: Cihaz türü, modeli, işletim sistemi ve sürümü, uygulama sürümü, benzersiz cihaz tanımlayıcıları.
• İşlem Güvenliği Verileri: IP adresi, oturum bilgileri, erişim tarihi ve saati, tarayıcı türü ve sürümü, sayfa görüntüleme verileri.
• Kullanım Verileri: Restoran görüntüleme geçmişi, fırsat görüntüleme ve kullanım bilgileri, arama sorguları, uygulama içi etkileşimler, video (Reels) izleme verileri.
• Konum Verileri: GPS koordinatları (yalnızca açık izninizle ve ön planda çalışırken; sürekli arka plan takibi yapılmaz). Konum verileriniz sunucularda kalıcı olarak saklanmaz, yalnızca yakın restoran önerisi için anlık olarak işlenir.

3.3. Üçüncü Taraflardan Elde Edilen Veriler

• Abonelik ve Ödeme Verileri: Apple App Store veya Google Play Store üzerinden gerçekleştirilen uygulama içi satın alma ve abonelik bilgileri RevenueCat aracılığıyla işlenir. Kredi kartı veya banka kartı bilgileriniz doğrudan tarafımızca toplanmaz veya saklanmaz; bu bilgiler yalnızca Apple ve Google platformları tarafından işlenir.
• Hata ve Performans Verileri: Uygulama çökme raporları, hata günlükleri ve performans metrikleri Sentry platformu aracılığıyla otomatik olarak toplanır.

4. Kişisel Verilerin İşlenme Amaçları

Toplanan kişisel verileriniz aşağıdaki amaçlarla işlenmektedir:

• Üyelik hesabınızın oluşturulması, kimlik doğrulaması ve hesap yönetimi,
• Telefon numarası doğrulaması (SMS ile tek kullanımlık şifre gönderimi),
• Restoran keşfi, fırsat gösterimi, rezervasyon ve fırsat kullanım hizmetlerinin sunulması,
• Konum bazlı restoran ve fırsat önerilerinin sağlanması,
• Premium abonelik ve uygulama içi satın alma işlemlerinin yürütülmesi,
• Müşteri destek taleplerinin karşılanması ve iletişim süreçlerinin yönetilmesi,
• Uygulama ve web sitesinin performansının izlenmesi, hataların tespiti ve teknik iyileştirmelerin yapılması,
• Kullanıcı deneyiminin kişiselleştirilmesi ve hizmet kalitesinin artırılması,
• İstatistiksel analizlerin yapılması (anonim ve toplu veriler üzerinden),
• İzniniz dahilinde kampanya, promosyon ve güncellemeler hakkında bilgilendirme yapılması (push bildirimi, e-posta),
• Bilgi güvenliği süreçlerinin yürütülmesi, kötüye kullanım ve dolandırıcılığın önlenmesi,
• Yasal yükümlülüklerimizin yerine getirilmesi, denetim ve raporlama,
• Hukuki uyuşmazlıkların çözümü ve hak tesisi.

5. Kişisel Verilerin İşlenmesinin Hukuki Sebepleri

Kişisel verileriniz, KVKK'nın 5. maddesinde düzenlenen aşağıdaki hukuki sebeplere dayanılarak işlenmektedir:

• Açık rızanızın bulunması (m.5/1): Konum verileri, push bildirim izni, pazarlama iletişimleri.
• Sözleşmenin kurulması ve ifası için gerekli olması (m.5/2-c): Üyelik, abonelik, fırsat kullanımı ve rezervasyon işlemleri.
• Hukuki yükümlülüğümüzün yerine getirilmesi (m.5/2-ç): Yasal bildirim ve saklama yükümlülükleri, vergi mevzuatı.
• Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması (m.5/2-e): Hukuki süreçler ve uyuşmazlık çözümü.
• Meşru menfaatlerimiz için zorunlu olması (m.5/2-f): Hizmet iyileştirme, güvenlik, hata takibi, analitik.

6. Üçüncü Taraf Hizmet Sağlayıcılar

Hizmetlerimizin sunulması amacıyla aşağıdaki üçüncü taraf hizmet sağlayıcılarla çalışmaktayız. Bu hizmet sağlayıcılar, KVKK kapsamında "veri işleyen" sıfatıyla yalnızca belirtilen amaçlarla ve talimatlarımız doğrultusunda kişisel veri işlemektedir:

7. Kişisel Verilerin Paylaşımı ve Aktarımı

Kişisel verileriniz, yukarıda belirtilen amaçların gerçekleştirilmesi doğrultusunda ve KVKK'nın 8. ve 9. maddelerine uygun olarak aşağıdaki taraflarla paylaşılabilir:

7.1. Yurt İçi Aktarım

• Partner Restoranlar: Fırsat kullanımı ve rezervasyon doğrulaması için gerekli minimum düzeyde bilgi (adınız ve rezervasyon detaylarınız).
• İleti Merkezi: SMS OTP gönderimi için telefon numaranız.
• Yetkili Kamu Kurum ve Kuruluşları: Mevzuattan kaynaklanan yükümlülükler kapsamında, yasal talep halinde.

7.2. Yurt Dışı Aktarım

Hizmetlerimizin teknik altyapısı gereği, kişisel verileriniz KVKK'nın 9. maddesi kapsamında yurt dışındaki hizmet sağlayıcılara (Bölüm 6'da listelenmiştir) aktarılabilir. Bu aktarımlar; yeterli korumanın bulunduğu ülkelere, standart sözleşme hükümlerine veya açık rızanıza dayanılarak gerçekleştirilmektedir.

Detaylı bilgi için KVKK Aydınlatma Metni sayfamızı inceleyebilirsiniz.

8. Konum Verilerinin İşlenmesi

İyiYe, size yakın restoranları ve fırsatları gösterebilmek amacıyla konum verilerinizi işlemektedir. Konum verilerinizin işlenmesine ilişkin esaslar şu şekildedir:

• Konum veriniz yalnızca açık izninizle ve cihaz işletim sisteminizin izin mekanizması aracılığıyla toplanır.
• Yalnızca uygulama ön planda çalışırken konum verisi alınır; arka planda sürekli konum takibi yapılmaz.
• Konum veriniz sunucularda kalıcı olarak saklanmaz; yakın restoran önerileri ve mesafe hesaplamaları için anlık olarak işlenir.
• Konum iznini istediğiniz zaman cihaz ayarlarından geri alabilirsiniz. Bu durumda konum tabanlı öneriler devre dışı kalır, ancak uygulamanın diğer özellikleri kullanılmaya devam edilebilir.

9. Push Bildirimleri

İyiYe, yeni fırsatlar, indirimler, rezervasyon hatırlatmaları ve önemli güncellemeler hakkında sizi bilgilendirmek amacıyla push bildirimi gönderebilir.

• Push bildirimleri yalnızca açık izninizle gönderilir.
• Bildirim izni, uygulama ilk kurulumunda veya ayarlar bölümünden yönetilir.
• Push bildirim tokeniniz, bildirim gönderimi amacıyla güvenli şekilde saklanır.
• Bildirim tercihlerinizi istediğiniz zaman cihaz ayarlarından veya uygulama içi ayarlardan değiştirebilirsiniz.

10. Çocukların Gizliliği

İyiYe hizmetleri 18 yaşından küçük kişilere yönelik değildir. 18 yaşını doldurmamış kişilerin Uygulama'ya üye olması ve hizmetlerimizi kullanması yasaktır. 18 yaşından küçük bir kişiye ait kişisel verilerin toplandığının tespit edilmesi hâlinde, söz konusu veriler derhal silinecektir. Bu konuda bir bildiriminiz varsa destek@iyiye.app adresinden bizimle iletişime geçebilirsiniz.

11. Veri Güvenliği

Kişisel verilerinizin güvenliğini sağlamak için aşağıdaki teknik ve idari tedbirleri uygulamaktayız:

• Tüm veri iletimi SSL/TLS şifreleme protokolü ile korunmaktadır.
• Kullanıcı şifreleri bcrypt algoritması ile hashlenmiş olarak saklanmakta olup açık metin şifre kesinlikle tutulmamaktadır.
• Veritabanı seviyesinde Row Level Security (RLS) politikaları uygulanarak her kullanıcının yalnızca kendi verilerine erişimi sağlanmaktadır.
• API isteklerinde oran sınırlama (rate limiting) uygulanarak kötüye kullanım engellenmektedir.
• SMS OTP gönderimlerinde IP ve kullanıcı bazlı hız sınırlamaları mevcuttur.
• Düzenli güvenlik taramaları, güncellemeler ve erişim kontrolü denetimleri yapılmaktadır.
• Çalışanlar ve iş ortakları, kişisel verilerin korunması konusunda bilgilendirilmektedir.

Her ne kadar endüstri standardı güvenlik önlemleri uygulansada, internet üzerinden gerçekleştirilen hiçbir veri iletiminin veya elektronik depolamanın %100 güvenli olduğu garanti edilemez.

12. Veri Saklama Süreleri

Kişisel verileriniz, işlenme amacının gerektirdiği süre boyunca saklanmaktadır. İşleme amacı ortadan kalktığında ve yasal saklama yükümlülüğü bulunmadığında, verileriniz silinir, yok edilir veya anonim hâle getirilir. Başlıca saklama süreleri:

• Hesap ve profil verileri: Üyelik süresince ve hesap silinmesinden itibaren 3 yıl.
• İşlem güvenliği ve log kayıtları: 5651 sayılı Kanun uyarınca 2 yıl.
• Abonelik ve ödeme kayıtları: İlgili vergi ve ticaret mevzuatı uyarınca 10 yıl.
• Konum verileri: Anlık işlenir, kalıcı olarak saklanmaz.
• Pazarlama verileri ve push token: Rıza geri çekilene veya üyelik sonlanana kadar.

13. Kişisel Veri İhlali Bildirimi

Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, KVKK'nın 12. maddesinin 5. fıkrası uyarınca, durumu en kısa sürede ilgili kişilere ve Kişisel Verileri Koruma Kurulu'na bildiririz. İhlalin kapsamı, etkilenen veri türleri, alınan ve alınacak tedbirler hakkında açık ve anlaşılır şekilde bilgilendirme yapılır.

14. Kişisel Verilerinize İlişkin Haklarınız

KVKK'nın 11. maddesi uyarınca aşağıdaki haklara sahipsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme,
• Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
• İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
• Eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme,
• KVKK'nın 7. maddesi çerçevesinde silinmesini veya yok edilmesini isteme,
• Düzeltme ve silme işlemlerinin aktarılan üçüncü kişilere bildirilmesini isteme,
• Münhasıran otomatik sistemlerle analiz sonucu aleyhinize bir sonuç çıkmasına itiraz etme,
• Kanuna aykırı işleme nedeniyle zarara uğramanız hâlinde zararın giderilmesini talep etme.

Haklarınızı kullanmak için destek@iyiye.app adresine başvurabilirsiniz. Detaylı başvuru yöntemleri için KVKK Aydınlatma Metni sayfamızı inceleyebilirsiniz.

15. Çerezler

Web sitemizde çeşitli çerezler kullanılmaktadır. Çerezlerin türleri, amaçları, saklama süreleri ve yönetim yöntemleri hakkında detaylı bilgi için Çerez Politikası sayfamızı ziyaret ediniz. Mobil uygulamamız çerez kullanmamakta olup bunun yerine cihaz tanımlayıcıları ve yerel depolama mekanizmaları kullanılmaktadır.

16. Üçüncü Taraf Bağlantıları

Uygulamamız ve web sitemiz, üçüncü taraf web sitelerine veya hizmetlere bağlantılar içerebilir (restoran web siteleri, sosyal medya platformları vb.). Bu üçüncü taraf sitelerin gizlilik uygulamalarından sorumlu değiliz. Bu bağlantılara eriştiğinizde ilgili platformların gizlilik politikalarını incelemenizi tavsiye ederiz.

17. Gizlilik Politikası Değişiklikleri

İşbu Gizlilik Politikası'nı zaman zaman güncelleyebiliriz. Önemli değişiklikler olması hâlinde, kayıtlı e-posta adresinize veya uygulama içi bildirim yoluyla bilgilendirme yapılacaktır. Güncellenmiş politika, bu sayfada yayımlanacak ve "Son güncelleme" tarihi değiştirilecektir. Gizlilik Politikası'nı düzenli olarak incelemenizi tavsiye ederiz. Değişikliklerden sonra hizmeti kullanmaya devam etmeniz, güncellenmiş Gizlilik Politikası'nı kabul ettiğiniz anlamına gelir.

18. İletişim

Gizlilik Politikası veya kişisel verilerinizin işlenmesine ilişkin her türlü soru, görüş ve talepleriniz için: