Gizlilik Sözleşmesi ve KVKK Aydınlatma Metni

1. Veri Sorumlusu

Bu uygulama (“webdesiz” veya “biz”) 6698 sayılı Kişisel Verilerin Korunması Kanunu ( “KVKK”) kapsamında veri sorumlusudur. İletişim için: gizlilik@webdesiz.com.

2. İşlenen Kişisel Veriler

2.1 Kayıt sırasında topladığımız veriler

• Ad-soyad, e-posta adresi, şifre (bcrypt hash, ham hali asla saklanmaz)
• İşletme adı, vergi numarası ve vergi dairesi (fatura için, opsiyonel)
• Telefon numarası (opsiyonel — bildirimler için)

2.2 Meta entegrasyonu sırasında işlenen veriler

Facebook ile Bağlan veya manuel token bağlama işlemi sonrasında Meta'dan aşağıdaki verileri alır ve işleriz:

• Meta kullanıcı ID'niz, reklam hesabı ID'leri, hesap adı, para birimi
• Reklam erişim token'ı (AES-256-GCM ile şifrelenmiş olarak saklanır)
• Kampanya, reklam seti, reklam ID'leri, isimleri ve durumları
• Reklam performans metrikleri: gösterim, tıklama, dönüşüm, harcama, ROAS, CPM, CPC
• Lead form yanıtları (yalnızca açıkça izin verdiğiniz formlardan)

2.3 Otomatik olarak toplanan veriler

• Giriş zamanı, IP adresi, user agent (güvenlik audit log'u)
• Uygulama kullanım istatistikleri (anonim)

3. İşleme Amaçları

• Hizmet sağlamak: reklam yönetim panelini çalıştırmak, raporlar üretmek
• AI destekli reklam metni ve görsel üretimi (OpenAI'ye anonim prompt gönderilir)
• Otomasyon kuralları çalıştırmak (kullanıcı tanımlı)
• Faturalama ve abonelik yönetimi (Stripe üzerinden)
• Güvenlik, dolandırıcılık önleme, hata izleme
• Yasal yükümlülüklere uyum (KVKK, vergi mevzuatı)

4. Veri İşlemenin Hukuki Sebebi

• Sözleşmenin kurulması ve ifası (KVKK m. 5/2-c)
• Hukuki yükümlülüklerin yerine getirilmesi (KVKK m. 5/2-ç)
• Meşru menfaat (KVKK m. 5/2-f) — güvenlik, ürün iyileştirme
• Açık rıza (KVKK m. 5/1) — pazarlama iletişimi, AI ile metin/görsel üretimi

5. Veri Aktarımı — Üçüncü Taraflar

Hizmeti sağlamak için aşağıdaki süreçlerde veri aktarımı yapılır:

• Meta Platforms, Inc. (Facebook/Instagram) — reklam hesaplarınıza erişim için, sadece sizin yetkilendirdiğiniz scope'lar kapsamında
• OpenAI, Inc. — AI metin ve görsel üretimi için (prompt'lar anonim, kişisel veri içermez)
• Stripe, Inc. — abonelik ve faturalama (kart bilgisi sizin Stripe'ta saklanır, bize iletilmez)
• Resend — transactional e-posta gönderimi (kayıt onayı, parola sıfırlama)
• DigitalOcean / Cloudflare — barındırma ve içerik dağıtım

Verileriniz hiçbir koşulda satılmaz, reklam amaçlı paylaşılmaz.

6. Veri Saklama Süresi

• Hesap aktif olduğu sürece
• Hesap silindikten sonra: 30 gün içinde tamamen silinir (yasal saklama gereği hariç)
• Audit log'lar: 2 yıl (KVKK güvenlik gereği)
• Fatura ve mali kayıtlar: 10 yıl (vergi mevzuatı gereği)

7. KVKK Madde 11 Kapsamında Haklarınız

Aşağıdaki haklara sahipsiniz ve uygulama üzerinden veya e-posta ile kullanabilirsiniz:

• Verilerinizin işlenip işlenmediğini öğrenme
• İşlenmişse buna ilişkin bilgi talep etme
• İşleme amacını ve verilerinizin uygun kullanılıp kullanılmadığını öğrenme
• Eksik / yanlış verilerin düzeltilmesini isteme — Ayarlar → Profil
• Verilerinizin silinmesini veya yok edilmesini isteme — Veri Silme Talebi
• Verilerinizi makine tarafından okunabilir formatta indirme — Ayarlar → Güvenlik → Verilerimi indir
• İşlemenin sınırlandırılmasını isteme
• Otomatik sistemlerle alınan kararlara itiraz etme — örn. otomasyon kuralları
• Verilerin kanuna aykırı işlenmesi nedeniyle uğrayacağınız zararın giderilmesini isteme

8. Güvenlik Önlemleri

• Tüm bağlantılar HTTPS / TLS 1.2+ üzerinden
• Veritabanı diskte şifreli, Meta erişim token'ları AES-256-GCM
• Şifreler bcrypt (cost factor 12)
• JWT refresh token rotation + reuse detection
• Düzenli güvenlik denetimi ve bağımlılık güncellemeleri
• Erişim kontrolü: rol bazlı yetkilendirme (RBAC)

9. Çerez Kullanımı

Yalnızca zorunlu çerezler kullanırız: oturum açma, CSRF koruması, tercih ayarları. Reklam veya analitik amaçlı 3. taraf çerez kullanmıyoruz.

10. İletişim

KVKK kapsamındaki haklarınızı kullanmak veya gizlilikle ilgili sorularınız için: gizlilik@webdesiz.com