Bu Belge Hakkında
Bu Aydınlatma Metni, 6698 sayılı KVKK'nın 10. maddesi ve "Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ" kapsamındaki zorunlu bilgilendirme yükümlülüğü çerçevesinde hazırlanmış olup pilatesyap.com platformunu kullanan tüm gerçek kişi kullanıcılar için geçerlidir.
Veri Sorumlusunun Kimliği
6698 sayılı KVKK uyarınca veri sorumlusu sıfatını taşıyan kuruluş aşağıda tanımlanmaktadır. Kişisel verilerinizle ilgili tüm başvurularınızı bu kuruluşa yönlendirmeniz gerekmektedir:
Kişisel Verilerin İşlenme Amaçları
Kişisel verileriniz, aşağıda sıralanan meşru amaçların gerçekleştirilmesiyle sınırlı ve orantılı biçimde işlenmektedir. Amacın dışında herhangi bir işleme faaliyeti yürütülmemektedir:
Kimlik doğrulama
Platform üyeliği oluşturma, e-posta ve şifre ile kimlik doğrulama işlemlerinin gerçekleştirilmesi.
Hizmet sunumu
Stüdyo yönetim yazılımı kapsamındaki ders, öğrenci, eğitmen ve paket yönetimi hizmetlerinin sağlanması.
Faturalandırma
Abonelik işlemlerinin takibi, fatura oluşturulması ve ödeme süreçlerinin yönetilmesi.
Güvenli ödeme
Ödeme işlemlerinin PAYTR altyapısı üzerinden PCI-DSS uyumlu ve güvenli biçimde gerçekleştirilmesi.
Teknik destek
Kullanıcı destek taleplerinin alınması, takibi ve yanıtlanması.
Platform güvenliği
Yetkisiz erişimlerin önlenmesi, güvenlik tehditlerinin tespiti ve dolandırıcılık girişimlerine karşı koruma.
Hukuki yükümlülük
Vergi ve muhasebe kaydı tutma, yetkili kamu kuruluşlarına zorunlu raporlama ve bildirim yapılması.
Hizmet geliştirme
Platform kullanım istatistiklerinin derlenmesi, hizmet kalitesinin ölçülmesi ve iyileştirme çalışmaları.
Bildirimler
Abonelik yenileme hatırlatmaları, sistem duyuruları ve önemli değişikliklere ilişkin e-posta ile platform içi bildirim iletilmesi.
İşlenen Kişisel Veri Kategorileri
Platform üzerinde aşağıdaki kategorilerde kişisel veri işlenmektedir. Hangi verinin toplandığı, kullanıcının rolüne ve kullandığı özelliklere göre farklılık gösterir:
Kimlik Verileri
Ad ve soyad. Gerçek kişi olduğunuzu doğrulamak ve hesabınızı size özel tutmak amacıyla toplanır.
İletişim Verileri
E-posta adresi (zorunlu); telefon numarası (opsiyonel). E-posta adresi kimlik doğrulama, bildirim ve KVKK başvuru yanıtı için kullanılır.
Hesap Güvenlik Verileri
Kullanıcı adı olarak e-posta adresi ve bcrypt algoritmasıyla güvenli biçimde hash'lenmiş şifre. Şifrenizin düz metin hali hiçbir koşulda saklanmaz veya görüntülenmez.
Finansal Veriler
Seçilen abonelik planı adı ve süresi, ödeme tarihi, işlem referans numarası. Kart numarası, CVV/CVC ve IBAN gibi hassas ödeme bilgileri tarafımızca kesinlikle saklanmaz; bu bilgiler doğrudan PAYTR Ödeme Hizmetleri A.Ş.'nin PCI-DSS uyumlu altyapısında işlenir. Abonelik yenileme amacıyla PAYTR tarafından oluşturulan anonimleştirilmiş kart token bilgileri (utoken, ctoken) işlenmektedir; bu token'lar kart numarası içermez ve yalnızca PAYTR altyapısında anlam taşır.
Teknik Veriler
IP adresi, tarayıcı türü ve sürümü, işletim sistemi, oturum başlangıç/bitiş zamanı, ziyaret edilen sayfa yolları. Bu veriler platform güvenliği ve performans izleme amacıyla kullanılmakta; 90 gün sonra otomatik silinmektedir.
Hizmet Kullanım Verileri
Stüdyo yöneticisi tarafından platforma girilen ders kayıtları, öğrenci isimleri ve iletişim bilgileri, devam takip verileri ve paket bilgileri. Bu veriler, stüdyo yöneticisinin kendi müşteri ilişkileri kapsamında işlediği verilerdir.
Özel Nitelikli Kişisel Veriler
Özel Nitelikli — KVKK md. 6Öğrenci profil sayfasına stüdyo yöneticisi tarafından girilebilen sağlık ve yaralanma notları. KVKK md. 6/2 kapsamında özel nitelikli kişisel veri sayılır; yalnızca ilgili kullanıcının açık rızasına dayalı olarak işlenir ve yalnızca ilgili stüdyo personelince görüntülenebilir.
Toplama Yöntemleri ve Hukuki Dayanaklar
Toplama Yöntemleri
Kişisel verileriniz aşağıdaki kanallar aracılığıyla otomatik ve/veya otomatik olmayan yollarla toplanmaktadır:
Kayıt formları
E-posta kayıt, stüdyo kaydı ve üyelik oluşturma formları
Uygulama içi işlemler
Platform kullanımı sırasında gerçekleştirilen işlemler ve veri girişleri
Ödeme ekranı
Abonelik satın alma ve yenileme işlemleri
Destek e-postaları
Kullanıcı desteğine yönlendirilen sorgu ve şikayet yazışmaları
Hukuki Dayanaklar
KVKK'nın 5. ve 6. maddeleri kapsamındaki işleme koşulları esas alınmaktadır. Her veri işleme faaliyeti, aşağıdaki hukuki dayanaklardan en az birine istinat eder:
Kişisel Verilerin Aktarılabileceği Taraflar
Kişisel verileriniz; açık rızanız, yasal zorunluluk veya hizmet ifası gerektirdiği durumlarda ve yalnızca belirtilen amaçlarla sınırlı olmak üzere aşağıdaki taraflarla paylaşılabilmektedir. Belirtilen durumlar dışında verileriniz hiçbir üçüncü tarafla paylaşılmaz, satılmaz ve kiralanmaz.
| Alıcı Taraf | Aktarım Amacı | Aktarılan Veri |
|---|---|---|
| PAYTR Ödeme Hizmetleri A.Ş. | Güvenli ödeme işlemi (PCI-DSS uyumlu) | Ad, e-posta adresi, işlem tutarı |
| Supabase Inc. | Veritabanı barındırma ve altyapı hizmetleri | Şifreli kullanıcı verileri (TLS aktarım + at-rest şifrelemesi) |
| Transactional e-posta sağlayıcısı | Sistem bildirimleri ve doğrulama e-postaları | Yalnızca e-posta adresi |
| Yetkili kamu kuruluşları | Yasal zorunluluk, mahkeme kararı veya resmi talep | İlgili usul çerçevesinde talep edilen minimum veri |
Veri Saklama Süreleri
Kişisel verileriniz, işlenme amacının ortadan kalkması veya yasal saklama yükümlülüğünün sona ermesiyle birlikte silinir, yok edilir ya da anonim hale getirilir. Aşağıdaki süreler asgari saklama sürelerini ifade etmektedir:
Veri Güvenliği
KVKK md. 12 uyarınca kişisel verilerin hukuka aykırı işlenmesini ve yetkisiz erişimi önlemek amacıyla aşağıdaki teknik ve idari güvenlik tedbirleri alınmaktadır:
Aktarım Şifreleme (TLS 1.2+)
Tüm istemci-sunucu iletişimi TLS 1.2 ve üzeri protokol ile şifrelenir. HTTP üzerinden gelen tüm istekler HTTPS'e otomatik yönlendirilir.
Bcrypt Parola Hashing
Kullanıcı şifreleri bcrypt algoritmasıyla (maliyet faktörü ≥ 10) hash'lenerek saklanır. Düz metin parola hiçbir sistemde tutulmaz veya loglanmaz.
RBAC + Satır Düzeyi Güvenlik
Rol tabanlı erişim kontrolü (RBAC) ile her kullanıcı yalnızca kendi yetkisi dahilindeki verilere ulaşabilir. PostgreSQL Satır Düzeyi Güvenlik (RLS) politikaları veritabanı katmanında ek güvence sağlar.
Denetim ve Sistem Logları
Kritik API işlemleri otomatik loglanır; anormal erişim örüntüleri izlenmektedir. Loglar 90 gün saklanır, ardından otomatik temizlenir.
Ödeme Güvenliği (PCI-DSS)
Kart bilgileri yalnızca PAYTR'nun PCI-DSS uyumlu altyapısında işlenir; tarafımızda herhangi bir kart verisi bulunmaz veya saklanmaz.
Yedekleme ve İş Sürekliliği
Supabase altyapısında anlık yedekleme ve nokta-zamanlı kurtarma (PITR) özelliği etkindir. Olağanüstü durum kurtarma prosedürleri tanımlıdır.
Veri İhlali Bildirimi
Kişisel verilerin yetkisiz erişim, ifşa, değiştirme veya imhaya yol açan bir güvenlik ihlaline maruz kalması durumunda aşağıdaki prosedür uygulanır:
72 saat içinde
KVKK md. 12/5 uyarınca Kişisel Verileri Koruma Kurulu'na bildirim yapılır.
Gecikmeksizin
İhlalden etkilenen kişilerin hak ve özgürlüklerini önemli ölçüde etkileyen durumlarda, ilgili kişilere yazılı (e-posta) bildirim yapılır.
İhlal sonrası
İhlal kapsamı ve etkilenen veri kategorileri raporlanır, ihlale yol açan açığın kapanması için teknik önlem alınır.
KVKK Madde 11 Kapsamındaki Haklarınız
6698 sayılı KVKK'nın 11. maddesi uyarınca kişisel verileriniz üzerinde ilgili kişi sıfatıyla aşağıdaki haklara sahipsiniz. Bu hakların kullanımı herhangi bir ücrete tabi değildir:
Bilgi edinme hakkı
Kişisel verilerinizin tarafımızca işlenip işlenmediğini öğrenme
Detaylı bilgi talep hakkı
İşlenmişse; işlenmenin amacı, kategorisi, aktarılan taraflar ve saklama süresi hakkında bilgi talep etme
Amaç öğrenme ve denetim hakkı
Verilerin işlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme
Aktarım bilgisi hakkı
Verilerin yurt içi ve/veya yurt dışındaki üçüncü kişilere aktarılıp aktarılmadığını ve kimlerle paylaşıldığını öğrenme
Düzeltme hakkı
Eksik, yanlış veya güncel olmayan kişisel verilerin düzeltilmesini talep etme
Silme / yok etme hakkı
KVKK md. 7 kapsamındaki koşulların varlığı halinde kişisel verilerin silinmesini veya yok edilmesini talep etme
Bildirim talep hakkı
(e) ve (f) bentleri kapsamında yapılan düzeltme veya silme işleminin, verilerin aktarıldığı üçüncü kişilere de bildirilmesini talep etme
Otomatik işlemeye itiraz hakkı
Münhasıran otomatik sistemlerle gerçekleştirilen işlemenin aleyhinize sonuç doğurması durumunda bu karara itiraz etme
Tazminat talep hakkı
Kanuna aykırı işleme nedeniyle uğradığınız zararın tazmin edilmesini talep etme
Başvuru Yöntemi
Yukarıda sayılan haklarınızı kullanmak için kvkk@pilatesyap.com adresine "KVKK Başvurusu" konu başlığıyla e-posta gönderin. Alternatif olarak yazılı başvuru da kabul edilmektedir.
Başvuruyu hazırlayın
E-postanıza şunları ekleyin: ad, soyad — platforma kayıtlı e-posta adresiniz — kullanmak istediğiniz hak (a–ı arası)ve açık talebiniz.
Kimlik doğrulama
Başvurunuzu platforma kayıtlı e-posta adresinizden yapmanız, kimlik doğrulama sürecini hızlandırır. Gerektiğinde ek kimlik belgesi talep edilebilir.
30 gün içinde yanıt
KVKK md. 13 uyarınca başvurunuz en geç 30 takvim günü içinde sonuçlandırılır. Talebin reddedilmesi durumunda gerekçesi yazılı olarak bildirilir.
Politika Değişiklikleri
Bu aydınlatma metni, mevzuat değişiklikleri veya platform hizmetlerinin güncellenmesi durumunda revize edilebilir. Önemli değişiklikler için kayıtlı e-posta adresinize bildirim gönderilir ve sayfanın üst kısmındaki "Son güncelleme" tarihi güncellenir.
Güncel aydınlatma metnine dilediğiniz zaman pilatesyap.com/kvkk adresinden erişebilirsiniz.
KVKK Başvurusunda Bulunun
Kişisel verilerinizle ilgili haklarınızı kullanmak için KVKK başvuru e-posta adresimize yazabilirsiniz.
✉️ kvkk@pilatesyap.com