Gizlilik Politikası
Son Güncelleme: 26.05.2026
Yürürlük Tarihi: 26.05.2026
Özet
- Bu metin, mevcut ürün akışlarına göre hazırlanmıştır.
- Hesap güvenliği için oturum doğrulama, kötüye kullanım önleme ve kayıt inceleme süreçleri uygulanır.
- Şikayet, mesaj güvenliği, moderasyon, kanıt paylaşımı ve ticket süreçlerinde veriler amaçla sınırlı olarak işlenebilir.
- Çerezler ve tarayıcı depolaması; oturum yönetimi, güvenlik ve hizmetin çalışması amacıyla kullanılabilir.
- KVKK kapsamındaki aydınlatma metni ayrıca KVKK Aydınlatma Metni sayfasında sunulur.
İçindekiler
- 1. Kapsam ve Veri Sorumlusu
- 2. İşlenen Veri Kategorileri
- 3. İşleme Amaçları ve Hukuki Dayanak
- 3.1 Mesaj ve İçerik Güvenliği
- 3.2 Şikayet ve Ticket Süreci
- 4. Çerezler ve Benzer Teknolojiler
- 5. Üçüncü Taraflar ve Veri Aktarımı
- 5.1 Kanıtların Taraflarla Paylaşılması
- 6. Saklama ve Silme
- 6.1 Saklama Süresi
- 7. Veri Güvenliği
- 8. KVKK/GDPR Kapsamındaki Haklar
- 9. İletişim
- 10. Yürürlük ve Güncelleme
1. Kapsam ve Veri Sorumlusu
Bu politika; web arayüzleri, /api/auth, /api/chat, /api/payment, /api/contact ve ilgili yönetimsel güvenlik/log süreçlerinde işlenen kişisel verileri kapsar.
Odakio, 13 yaş ve üzeri öğrencilerin bireysel çalışma düzenini desteklemek için tasarlanmıştır. Uygulama 13 yaş altındaki çocukları hedeflemez.
- Veri sorumlusu: Odakio platform işletmecisi.
- İletişim kanalı: İletişim sayfası (ticket) veya support@odakio.com
2. İşlenen Veri Kategorileri
- Hesap ve kimlik: kullanıcı adı, e-posta, parola hash, token_version, 2FA alanları.
- İletişim bilgileri: e-posta, destek/ticket iletişim bilgileri ve başvuru kanalı bilgileri.
- Oturum/güvenlik: access/refresh token, csrf_token, IP, user-agent, failed_logins, request_logs, risk_score, ban kayıtları, güvenlik kayıtları ve kullanıcı aksiyonları.
- Mesajlaşma ve içerik: mesaj içerikleri, konuşma metaverisi, okundu/reaksiyon bilgileri, dosya ekleri, gönderilmek istenen veya güvenlik nedeniyle engellenen riskli mesajlara ilişkin kayıtlar.
- Ticket, şikayet ve moderasyon: ticket içerikleri, şikayet kayıtları, moderasyon notları, otomatik risk sinyalleri, kanıt kayıtları, bildirim kayıtları ve ilgili işlem logları.
- Ödeme/abonelik: payment_attempts, user_subscriptions, paket ve kupon kullanımı, fatura bilgileri.
- Destek/iletişim: contact_messages ve e-posta destek yazışmaları.
Özel Nitelikli Veri Uyarısı
Mesaj/ilan/destek alanlarına sağlık, biyometrik, siyasi görüş gibi özel nitelikli verileri yüklemeyiniz.
Böyle bir içerik paylaşılırsa; hukuki yükümlülük, güvenlik veya moderasyon gerekçesiyle erişim kısıtlanabilir, içerik kaldırılabilir ve gerekirse yetkili mercilere bildirim yapılabilir.
3. İşleme Amaçları ve Hukuki Dayanak
Veriler; platform güvenliği, kullanıcı güvenliği, kötüye kullanımın önlenmesi, şikayetlerin incelenmesi, destek/ticket sürecinin yürütülmesi, savunma/yanıt alınması, hukuki yükümlülüklerin yerine getirilmesi, uyuşmazlıkların çözümü, hizmet kalitesinin artırılması ve yetkili makam taleplerinin karşılanması amacıyla işlenebilir.
KVKK md.5/6 Eşleştirme Tablosu
| Veri Kategorisi | Amaç | Hukuki Sebep |
|---|---|---|
| Hesap verileri | Üyelik oluşturma, oturum yönetimi | KVKK md.5/2(c) sözleşmenin ifası |
| IP, log, failed_login, risk_score | Suistimal önleme, ban/rate-limit, olay inceleme | KVKK md.5/2(f) meşru menfaat, md.5/2(ç) hukuki yükümlülük |
| Mesaj ve dosya ekleri | Mesajlaşma hizmetinin sağlanması, uyuşmazlık halinde kayıt inceleme | KVKK md.5/2(c), md.5/2(f) |
| Ödeme/abonelik/fatura | Ödeme alma, abonelik tanımlama, finansal kayıt | KVKK md.5/2(c), md.5/2(ç) |
| Pazarlama izni verileri | Kampanya/duyuru gönderimi (varsa) | KVKK md.5/1 açık rıza |
3.1 Mesaj ve İçerik Güvenliği
Mesajlar; spam, taciz, dolandırıcılık, IBAN/telefon paylaşımı, tehdit, yasa dışı yönlendirme veya uygunsuz içerik risklerine karşı otomatik veya yetkili kişiler tarafından manuel olarak incelenebilir. Risk düzeyine göre bazı mesajlara ilişkin log, kategori, redakte edilmiş önizleme veya güvenlik sinyali tutulabilir; düşük seviyeli uyarılarda kayıt tutulmaması mümkündür. Yüksek riskli mesajlar gönderilmeden engellenebilir.
3.2 Şikayet ve Ticket Süreci
Kullanıcı veya mesaj şikayeti halinde otomatik ticket açılabilir. Şikayetçi kendi ticket'ı üzerinden süreci takip edebilir; gerekli hallerde şikayet edilen kullanıcıya ayrı ticket/konuşma açılabilir, bildirim gönderilebilir ve savunma/yanıt alınabilir. Şikayetçi ve şikayet edilen kullanıcıya ait ilgili kayıtlar; şikayet edilen mesaj, ilgili konuşma geçmişi, tarafların gönderdiği, göndermek isteyip sistemce engellenen veya riskli olmasına rağmen gönderilen mesajlar, son 24 saat içindeki diğer kullanıcılarla mesajlaşma sinyalleri, önceki sonuçlanmış şikayetler, dosya ekleri, ticket yanıtları ve otomatik moderasyon sinyalleriyle birlikte yetkili ekip tarafından değerlendirilebilir.
4. Çerezler ve Benzer Teknolojiler
Çerez Listesi (Kod Tabanında Tespit)
| Ad | Amaç | Süre | Bayraklar |
|---|---|---|---|
| token | Erişim oturumu | 1 saat | HttpOnly, SameSite=Lax, Secure(prod) |
| refresh_token | Oturum yenileme | 30 gün | HttpOnly, SameSite=Lax, Secure(prod), path=/api/auth |
| csrf_token | CSRF doğrulaması | 2 saat | SameSite=Lax, Secure(prod), HttpOnly=false |
| ban_view | Ban detay görüntüleme scope’u | 10 dakika | HttpOnly, SameSite=Lax, Secure(prod) |
Tarayıcı Depolama
- localStorage: hesap önbelleği, plan/arayüz durumu ve bazı oturum yardımcı verileri için kullanılabilir.
- sessionStorage: oturum süresince gerekli geçici veriler için kullanılır.
- Çerezler: güvenlik ve oturum yönetimi amacıyla kullanılabilir.
- Not: Tarayıcı ayarları bazı depolama özelliklerini etkileyebilir; bu durumda hizmetin bazı bölümleri beklenen şekilde çalışmayabilir.
5. Üçüncü Taraflar ve Veri Aktarımı
- Ödeme hizmetleri: ödeme işlemlerinin yürütülmesi için ilgili ödeme sağlayıcıları kullanılabilir.
- Mobil platform doğrulama servisleri: mobil abonelik/doğrulama akışlarında ilgili platform servisleri kullanılabilir.
- E-posta hizmeti: şifre işlemleri ve destek bildirimleri kapsamında e-posta gönderimi yapılabilir.
- Yetkili kurumlar: hukuki yükümlülük veya resmi talep halinde veri paylaşımı yapılabilir.
- Yetkili ekipler ve ilgili taraflar: şikayet/moderasyon sürecinin gerektirdiği ölçüde yetkili ekipler ve süreçle ilgili taraflarla sınırlı paylaşım yapılabilir.
Yurtdışı aktarım ihtimali kullanılan sağlayıcıların sunucu konumuna bağlıdır. Aktarım, KVKK’nın 9. maddesi kapsamında uygun aktarım mekanizması (açık rıza ve/veya Kurulca öngörülen güvenceler, sözleşmesel ve teknik tedbirler) ile yapılır.
5.1 Kanıtların Taraflarla Paylaşılması
Şikayet sürecinin yürütülmesi ve savunma/yanıt alınabilmesi için gerekli ve sınırlı kanıtlar şikayet edilen kullanıcıyla paylaşılabilir. Bu kanıtlar mesaj içerikleri, dosya ekleri, moderasyon sinyalleri, geçmiş ticket kayıtları veya ilgili konuşma parçaları olabilir; paylaşım süreçle ilgili bilgilerle sınırlı tutulur.
6. Saklama ve Silme
- Saklama yaklaşımı: veriler, hizmetin sunulması, güvenlik süreçleri ve yasal yükümlülükler doğrultusunda gerekli olduğu süre boyunca saklanır.
- Hesap silme akışı: kullanıcı hesabını ayarlardan veya /delete-account sayfasındaki adımlarla silme talebine açabilir; talep sonrası hesap 15 gün bekleme durumuna alınır.
- İptal hakkı: 15 günlük süre içinde kullanıcı silme talebini iptal ederek hesabını yeniden aktif hale getirebilir.
- Silme/anonimleştirme: bekleme süresi sonunda hesap verileri ürün akışlarına uygun şekilde silinir veya anonimleştirilir; mesajlaşma geçmişindeki karşı taraf görünümü gerektiğinde "Silinmiş kullanıcı" olarak korunabilir.
- Sınırlı saklama: ödeme/mali kayıtlar ile güvenlik veya yasal yükümlülük kapsamındaki bazı kayıtlar mevzuat gereği sınırlı süre daha saklanabilir.
- İstemci tarafı depolama: kullanıcı oturumu sonlandırıldığında veya hesap durumu değiştiğinde ilgili önbellek verileri temizlenebilir.
6.1 Saklama Süresi
Şikayet, ticket, moderasyon, güvenlik ve log kayıtları; şikayet süreci, platform güvenliği, uyuşmazlık çözümü ve yasal yükümlülükler için gerekli süre boyunca saklanabilir. Saklama amacı ortadan kalktığında veya yasal süreler dolduğunda veriler silinebilir, anonimleştirilebilir veya imha edilebilir.
7. Veri Güvenliği
- JWT tabanlı auth + refresh rotasyonu, CSRF doğrulaması, rate limit ve webhook guard uygulanır.
- Admin oturumlarında JWT içindeki oturum id + token hash eşleşmesi aranır; üretimde user-agent ve IP bağlama kontrolleri uygulanır.
- Parolalar hashlenir; ödeme/fatura içinde TCKN ve vergi no şifreli + hashli saklanır.
- Ban/risk_score/failed_login ile kötüye kullanım tespiti yapılır.
Kişisel veri ihlali şüphesinde olay izolasyonu, log inceleme, erişim kısıtlama ve etki azaltma adımları uygulanır. Mevzuat kapsamına giren durumlarda Kurum ve ilgili kişilere kanuni sürelerde bildirim yapılır.
8. KVKK/GDPR Kapsamındaki Haklar
İlgili kişi; veriye erişim, düzeltme, silme, işleme itiraz, aktarım bilgisi talebi ve zararın giderilmesi gibi haklarını kullanabilir.
- Başvuru kanalı: İletişim sayfası (ticket) veya support@odakio.com.
- Hesap silme başvurusu: uygulama içi hesap silme adımlarına ek olarak /delete-account sayfasındaki yönlendirmeler kullanılabilir.
- Kimlik doğrulama: hesap doğrulaması için ek bilgi/belge istenebilir.
- Yanıt süresi: KVKK başvuruları kural olarak 30 gün içinde sonuçlandırılır.
- Ücret: İlk cevap ücretsizdir; ek maliyet halinde mevzuata uygun ücret talep edilebilir.
- Şikayet: Başvuru sonucu yetersizse Kişisel Verileri Koruma Kurumu’na şikayet hakkı saklıdır.
9. İletişim
- Form: İletişim sayfası (ticket)
- E-posta: support@odakio.com
- Veri sorumlusu: Odakio platformunu işleten tüzel/gerçek kişi bilgileri güncel iletişim kanalında paylaşılır.
10. Yürürlük ve Güncelleme
Bu metin yayımlandığı tarihte yürürlüğe girer. Üründe yeni veri akışı (ör. analitik/reklam çerezi, yeni 3. taraf aktarım) devreye alınırsa metin güncellenir.
Hizmet kullanım kuralları için Kullanım Şartları sayfasını inceleyin.