Gizlilik Politikası

Bu Gizlilik Politikası, vitrindeyim.com ("Vitrindeyim", "biz") tarafından işletilen vitrindeyim.com uygulaması ve bu uygulama üzerinden tenant'larımız tarafından yayına alınan kurumsal sitelere ({slug}.vitrindeyim.com veya tenant'a ait özel alan adı) erişen ziyaretçi, kullanıcı ve müşterilerin kişisel verilerinin işlenmesine ilişkin esasları açıklar.

Politika; 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK"), Avrupa Birliği Genel Veri Koruma Tüzüğü ("GDPR") ve yürürlükteki ikincil mevzuat ile uyumlu biçimde hazırlanmıştır. Veri sorumlusu sıfatıyla vitrindeyim.com sorumludur. Tenant ofislerin, kendi müşterilerinden topladıkları kişisel veriler bakımından bağımsız veri sorumlusu sıfatı bulunabilir; bu durumda söz konusu veriler için ofisin kendi aydınlatma metni geçerlidir.

Vitrindeyim aşağıdaki kategorilerde kişisel veri işler:

• Hesap bilgileri. Ad-soyad, e-posta, telefon numarası, parola hash'i, varsa profil görseli, ofis unvanı ve rol bilgisi.
• Ofis ve fatura bilgileri. Şirket unvanı, vergi dairesi, vergi/TC kimlik numarası, fatura adresi ve abonelik planı tercihleri.
• Ödeme bilgileri. Tahsilat tutarı, abonelik durumu, ödeme tarih ve referans numaraları. Tam kart numarası tarafımızda saklanmaz; ödemeler iyzico'nun PCI-DSS sertifikalı altyapısı üzerinden alınır. Kart bilgileri token olarak yalnızca iyzico bünyesinde tutulur.
• Ürün içeriği. Tenant ofislerin yüklediği ilan açıklamaları, fiyat, konum, görseller ve site özelleştirme tercihleri.
• Müşteri talepleri (lead'ler). Tenant sitelerden gelen iletişim formlarındaki ad-soyad, telefon, e-posta ve mesaj alanları. Bu veriler tenant ofisinin hesabına ait gelen kutusunda saklanır.
• Teknik veriler. IP adresi (hash'lenmiş biçimde), kullanıcı ajanı, sayfa görüntüleme zamanları, hata kayıtları ve performans ölçütleri.
• Çerez verileri. Oturum, tercih ve, kullanıcı onayı verirse, analitik amaçlı çerez tanımlayıcıları. Detaylar için Çerez Politikası.

Kişisel verileri yalnızca aşağıdaki amaçlar için işliyoruz:

• Hesap oluşturma, kimlik doğrulama ve oturum yönetimi.
• Hizmet sunumu, ilan yayını, müşteri talep yönetimi ve tenant sitelerin işletimi.
• Abonelik ücretlendirmesi, fatura düzenlenmesi, ödeme alınması ve muhasebe yükümlülüklerinin yerine getirilmesi.
• İşlemsel e-posta gönderimi: e-posta doğrulama, parola sıfırlama, ödeme bildirimi, yeni müşteri talebi bildirimi.
• Hizmet kalitesinin ölçülmesi, hata teşhisi, performans iyileştirmesi ve güvenlik izleme.
• Suistimal, dolandırıcılık ve hizmet şartları ihlallerinin tespiti, önlenmesi ve soruşturulması.
• Yasal yükümlülüklerimizin yerine getirilmesi ve resmi makam taleplerine yanıt verme.

Pazarlama amaçlı e-posta yalnızca açık rıza vermiş hesap sahiplerine gönderilir; her mesajda tek tıkla abonelikten çıkma seçeneği bulunur.

KVKK madde 5 ve 6 kapsamında veriler aşağıdaki hukuki sebeplere dayanılarak işlenir:

• Sözleşmenin kurulması ve ifası — hesap oluşturma, abonelik sözleşmesi, ödeme tahsilatı.
• Hukuki yükümlülük — vergi ve muhasebe mevzuatı, KVKK, 5651 sayılı Kanun kapsamındaki log saklama yükümlülükleri.
• Meşru menfaat — hizmet güvenliğini sağlama, hata teşhisi, suistimal önleme.
• Açık rıza — pazarlama iletişimi ve isteğe bağlı analitik çerezler.

Kişisel verileri yalnızca aşağıdaki kategorilerdeki üçüncü taraflarla, hizmetin sunulması için gerekli olduğu ölçüde paylaşırız.

Kişisel verileri reklam ağlarına, veri brokerlarına veya ticari değer karşılığında herhangi bir üçüncü tarafa satmayız ve kiralamayız.

Resmi makamların kanuna uygun talepleri (mahkeme kararı, BTK, savcılık) söz konusu olduğunda gerekli verileri yalnızca talebin kapsamı kadarıyla paylaşırız ve mevzuat izin verdiği sürece kullanıcıyı bilgilendiririz.

Veriler aşağıdaki tablodaki sürelerle saklanır:

• Aktif hesap verileri — hesap silinene kadar.
• Hesap silindikten sonra kişisel veriler — 30 gün içinde anonimleştirilir veya silinir.
• Faturalar ve muhasebe kayıtları — Vergi Usul Kanunu uyarınca 10 yıl.
• Erişim ve işlem log'ları — 5651 sayılı Kanun uyarınca 6 ay ile 2 yıl arası, ardından otomatik silinir.
• Yedekler — şifrelenmiş yedekler 30 gün döner; yedek silme talebi yedek rotasyonu tamamlandığında etkili olur.
• Pazarlama izin kayıtları — izin geri alındıktan sonra dahi, ispat yükümlülüğü için 3 yıl.

Verilerinizi korumak için endüstri standardı önlemler uygularız:

• Tüm trafiğin TLS 1.2+ ile şifrelenmesi.
• Veritabanı şifreleri için bcrypt hash; oturum jetonlarının HttpOnly çerezlerde saklanması.
• Sızma denemelerine karşı oran sınırlama ve CSRF korumaları.
• İdari paneline erişimde aktif organizasyon kapsamlandırması; çapraz tenant erişimini engelleyen sunucu tarafı kontroller.
• Şifrelenmiş günlük yedek; ayrı bölgede saklanan haftalık tam yedek.
• Üçüncü taraf ödeme altyapısı (iyzico) — PCI-DSS Seviye 1.

Mutlak güvenlik garantisi verilemez. Bir veri ihlali tespit edilirse, etkilenen kullanıcıları ve Kişisel Verileri Koruma Kurulu'nu en geç 72 saat içinde bilgilendiririz.

Vitrindeyim, kurumsal e-posta gönderimi için ABD merkezli Postmark, CDN ve nesne depolama için Cloudflare ve uygulama barındırması için Almanya / Finlandiya merkezli Hetzner ile çalışır. Bu nedenle bazı veriler, yukarıdaki Paylaşım tablosunda listelenen kategoriler ölçüsünde yurt dışında işlenebilir.

KVKK madde 9 kapsamında bu aktarımlar; yeterli korumayı bulunan ülkelere yapılan aktarım esasları veya açık rızanız ile sözleşmesel güvencelere (Standart Sözleşme Maddeleri) dayanılarak gerçekleştirilir.

KVKK madde 11 kapsamında aşağıdaki haklara sahipsiniz:

• Kişisel veri işlenip işlenmediğini öğrenme;
• İşlenmişse buna ilişkin bilgi talep etme;
• İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme;
• Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme;
• Eksik veya yanlış işlenmesi hâlinde düzeltilmesini isteme;
• Şartların ortadan kalkması hâlinde silinmesini veya yok edilmesini isteme;
• Otomatik sistemler aracılığıyla yapılan analiz sonucunda aleyhinize çıkan bir sonuca itiraz etme;
• Kanuna aykırı işleme sebebiyle zarara uğramışsanız zararın giderilmesini talep etme.

Bu haklara ilişkin başvurularınızı kvkk@vitrindeyim.com adresine e-posta ile ya da anil.alpay@hs09.kep.tr KEP adresine gönderebilirsiniz. Başvurular, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamındaki bilgileri içermelidir ve azami 30 gün içinde yanıtlanır.

Vitrindeyim bir işletme-işletme (B2B) hizmettir ve 18 yaşın altındaki kullanıcılar için tasarlanmamıştır. 18 yaşın altındaki bir kişiden bilerek kişisel veri toplamayız. Çocuğunuzun bize veri sağladığını düşünüyorsanız kvkk@vitrindeyim.com adresinden bize ulaşın; verileri en kısa sürede silelim.

Bu politikayı zaman zaman güncelleyebiliriz. Esaslı değişiklikler hesap sahibi kullanıcılara e-posta ile veya panel içi bildirimle duyurulur; sayfa üst kısmındaki "Yürürlük tarihi" güncellenir. Geriye dönük etkili değişiklikleri ancak hukuki zorunluluk hâlinde uygularız.

Veri sorumlusu: vitrindeyim.com

• Adres: Muhittin Mahallesi, Gelincik Sokak No: 17, Çorlu / Tekirdağ
• MERSİS No: TBD-0000-0000-0000
• KEP: anil.alpay@hs09.kep.tr
• E-posta: kvkk@vitrindeyim.com