KVKK Aydınlatma Metni

Veri Sorumlusu: Ranlio Yazılım Bilişim Sistemleri.

• İletişim e-postası: [email protected]
• Kötüye kullanım/güvenlik: [email protected]

Platform kullanım sürecinizde aşağıdaki kişisel verileriniz işlenebilir:

• Ad – Soyad
• Telefon numarası
• E-posta adresi
• Randevu tarih ve saat bilgileri
• Randevuya ilişkin hizmet türü ve içerik bilgileri
• Hizmetten yararlandığınız işletme bilgileri ile ilişkilendirilmiş veriler
• IP adresi, User-Agent ve tarayıcı bilgileri (teknik veriler, güvenlik için)
• Platform kullanım istatistikleri ve oturum kayıtları
• Ödeme bilgileri (yalnızca işletme müşterilerimiz için): Kart numarası, son kullanma tarihi ve CVV gibi hassas kart bilgileri Ranlio sunucularında saklanmaz; yalnızca PCI-DSS sertifikalı Stripe altyapısı tarafından işlenir. Ranlio yalnızca ödeme durumu, fatura/abonelik kimliği ve tutar gibi referans verileri saklar.

• Randevu oluşturma, doğrulama, yönetme ve hatırlatma hizmetlerinin sunulması
• Randevu bilgilerinin ilgili hizmet sağlayıcı işletme ve çalışanlarıyla paylaşılması
• Kullanıcı hesabı oluşturma ve hizmetten faydalanma süreçlerinin yürütülmesi
• Müşteri hizmetleri ve teknik destek sağlanması
• Hizmet kalitesinin artırılması, hata izleme ve istatistiksel analiz
• Yasal yükümlülüklerin yerine getirilmesi (faturalandırma, KVKK başvuruları, talep yanıtları)
• Platform ve kullanıcı güvenliğinin sağlanması (bot koruması, brute-force engelleme, anormal aktivite tespiti)

Verileriniz aşağıdaki hukuki sebeplerden bir veya birkaçına dayanılarak işlenir:

• m.5/2-c: Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması (randevu hizmetinin sunulması, abonelik tahsilatı)
• m.5/2-ç: Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi (faturalandırma, audit log, ihlal bildirim)
• m.5/2-f: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri (güvenlik, dolandırıcılık koruması, hata izleme)
• m.5/1 — Açık rıza: Pazarlama amaçlı veri işleme; 6563 sayılı ETK kapsamında ticari elektronik ileti gönderimi (ayrı onay).

Verileriniz, yalnızca aşağıdaki durumlarda ve hizmetin sunulması için gerekli ölçüde paylaşılır:

• Randevu aldığınız işletme ve çalışanları — Randevu sürecinin yönetilmesi için; çalışanlar yalnızca işletmenizdeki yetki kapsamında erişim sağlar.
• Stripe Payments Europe Ltd. (İrlanda/AB) — Abonelik tahsilat ve iadeler için; kart bilgileri Ranlio'ya aktarılmaz. stripe.com/tr/privacy
• Cloudflare Inc. (Global edge)— CDN, DDoS koruması ve Turnstile bot doğrulama; IP, User-Agent ve istek log'ları geçici olarak işlenir.
• Meta Platforms / WhatsApp Cloud API (İrlanda/ABD) — WhatsApp üzerinden randevu hatırlatma ve müşteri etkileşimi; yalnızca telefon numarası ve mesaj içeriği.
• Google LLC — Gemini API (AB/ABD) — AI destekli müşteri destek diyaloğu; chatbot sorularınız ve cevaplar Google'ın sunucularında işlenir. Bu işleme otomatik karar verme veya profilleme içermez (bkz. madde 10).
• Yetkili kamu kurumları ve yargı mercileri — Yasal yükümlülükler ve adli süreçler kapsamında.

Çoklu-işletme veri izolasyonu: Ranlio, müşteri verilerinizi her işletme için ayrı profil olarak yönetir; bir işletmenin yetkilisi başka bir işletmenin randevu/müşteri listesini göremez. Aynı e-posta ile birden fazla işletmeden randevu aldığınızda, kayıtlar farklı işletmelere izole erişimle saklanır.

Yurt dışı aktarımların hukuki dayanağı ve detayı için Yurt Dışı Veri Aktarımı; alt-işleyenlerin tam listesi için Alt-İşleyici Listesi sayfasına bakınız.

• Randevu kayıtları: 3 yıl (TBK m.146 zamanaşımı savunması için)
• Müşteri iletişim verileri: Son randevudan itibaren 1 yıl (sonra anonimleştirilir)
• Aktivite ve oturum log'ları: 1 yıl (sonra özet halinde arşive alınır)
• Başarısız giriş denemeleri: 90 gün (brute-force koruma için)
• JWT kara liste (logout edilen oturumlar): Token süresinin sonuna kadar
• Ödeme/fatura kayıtları: Vergi Usul Kanunu m.253 uyarınca 5 yıl
• OTP doğrulama kodları: Yalnızca Redis bellek içinde, 5 dakika; veritabanına yazılmaz

Saklama süresi sona eren veriler otomatik retention süreçleri ile anonimleştirilir veya imha edilir.

Verilerinizin güvenliği için aşağıdaki teknik ve idari önlemler alınmıştır:

• Taşıma şifrelemesi: Tüm trafik TLS 1.2/1.3 üzerinden, HSTS preload ile zorunlu HTTPS.
• Şifre güvenliği:Şifreler bcrypt (cost=12) ile saltlanarak hash'lenir; düz metin asla saklanmaz.
• Oturum yönetimi: HttpOnly + Secure + SameSite=Lax çerezler; sunucu tarafında JWT JTI kara listesi (Redis) ile gerçek logout (revoke).
• Çok-katmanlı CSRF koruması: İmzalı double-submit token + SameSite.
• Rate-limiting: Giriş, randevu alma ve AI chatbot uçları için ayrı limitler (brute-force ve abuse engeli).
• Bot ve spam koruması: Cloudflare Turnstile, kritik form akışlarında.
• Origin lock:Üretim sunucularına yalnızca Cloudflare üzerinden erişilebilir (origin IP CIDR'leri firewall ile sınırlandırılmıştır).
• OTP politikası: Doğrulama kodları yalnızca Redis bellek içinde, 5 dakika TTL ile saklanır; veritabanında kalıcı iz bırakmaz.
• Çoklu-işletme izolasyon: Tüm sorgularda companyId filtresi zorunlu; müşteri profilleri global tutulur ancak işletme bazlı izolasyon (CCP modeli) ile sızıntı önlenir.
• Veri ihracı maskeleme:“Verilerimi indir” akışında Stripe kimlikleri sadece ilk 4 / son 4 karakter olarak gösterilir.
• Audit kayıt: Kritik işlemler (login, şifre değişimi, müşteri silme, veri ihracı, ödeme olayları) ayrı audit log tablolarında tutulur.
• İçerik Güvenlik Politikası (CSP): XSS ve script enjeksiyonuna karşı sıkı CSP başlıkları aktif.

KVKK m.11 uyarınca aşağıdaki haklara sahipsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• İşlenmişse buna ilişkin bilgi talep etme
• İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
• Eksik veya yanlış işlenmişse düzeltilmesini isteme
• Silinmesini veya yok edilmesini isteme
• Düzeltme/silme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme
• Münhasıran otomatik sistemlerle analiz edilmesi sonucu aleyhinize bir sonuç çıkmasına itiraz etme
• Kanuna aykırı işleme nedeniyle zarara uğramışsanız zararın giderilmesini talep etme

Ranlio, 16 yaşın altındaki kişilerden bilerek kişisel veri toplamaz. Platform kayıt ve randevu akışlarında, kullanıcının 16 yaşın üzerinde olduğunu beyan etmesi şartı aranır. 16 yaş altı bir kullanıcının veli/vasi rızası olmaksızın platforma kayıt yapmaması gerekir; veli/vasi tarafından kayıt yapıldığı durumda işlem, veli/vasinin sorumluluğundadır.

16 yaş altı bir kişiye ait kişisel verinin işlendiğini tespit etmemiz halinde, veriler en kısa sürede silinir. 16 yaş altı bir kullanıcının verisinin tarafımızca işlendiğine dair şüpheniz varsa [email protected] adresine bildiriniz.

Ranlio, kişisel verilerinizi münhasıran otomatik sistemler aracılığıyla analiz ederek aleyhinize sonuç doğuracak otomatik karar verme veya profilleme süreci yürütmez.

AI destekli müşteri destek diyaloğunda Google Gemini kullanılır; bu kullanım yalnızca doğal dilde soru/cevap içindir, müşteri profili oluşturmaz ve hizmet erişiminizi etkilemez. Sohbet geçmişi 1 saat boyunca Redis bellek içinde tutulur, sonra silinir; veritabanına kalıcı yazılmaz.

• E-posta (genel): [email protected]
• E-posta (güvenlik/kötüye kullanım): [email protected]

Bu metnin önemli güncellemelerinde kayıtlı e-posta adresinize en az 7 gün önceden bildirim yapılır. Yürürlük tarihinden önce metni inceleyebilir, kabul etmediğiniz durumda hesabınızı silebilirsiniz.

Aydınlatma metnindeki versiyonu ve yürürlük tarihini sayfanın üst kısmında her zaman görebilirsiniz.