Gizlilik Politikası

Son Güncelleme: 28.02.2026

Yürürlük Tarihi: 28.02.2026

Özet

  • Bu metin, kodda mevcut akışlara göre hazırlanmıştır: çerez tabanlı hesap/auth, mesajlaşma-dosya, ödeme/abonelik, destek ve güvenlik logları.
  • Risk puanı (risk_score), failed login, ip ban ve rate-limit verileri güvenlik amacıyla işlenir.
  • Çerezlerde zorunlu güvenlik çerezleri vardır; analitik/reklam çerezi için aktif bir entegrasyon tespit edilmemiştir.
  • KVKK özel aydınlatma metni ayrıca KVKK Aydınlatma Metni sayfasında sunulur.

İçindekiler

1. Kapsam ve Veri Sorumlusu

Bu politika; web arayüzleri, /api/auth, /api/chat, /api/payment, /api/contact ve ilgili yönetimsel güvenlik/log süreçlerinde işlenen kişisel verileri kapsar.

  • Veri sorumlusu: Odakio platform işletmecisi.
  • E-posta: destek@Odakio.com
  • VARSAYIM: Ticari unvan/posta adresi/KEP bilgisi repoda yayınlı değil; canlıya çıkmadan burada açıkça yazılmalıdır.

2. İşlenen Veri Kategorileri

  • Hesap ve kimlik: kullanıcı adı, e-posta, parola hash, token_version, 2FA alanları.
  • Oturum/güvenlik: access/refresh token, csrf_token, IP, user-agent, failed_logins, request_logs, risk_score, ban kayıtları.
  • Mesajlaşma ve içerik: mesaj içeriği, konuşma metaverisi, okundu/reaksiyon bilgileri, dosya ekleri (görseller).
  • Ödeme/abonelik: payment_attempts, user_subscriptions, paket ve kupon kullanımı, fatura bilgileri.
  • Destek/iletişim: contact_messages ve e-posta destek yazışmaları.

Özel Nitelikli Veri Uyarısı

Mesaj/ilan/destek alanlarına sağlık, biyometrik, siyasi görüş gibi özel nitelikli verileri yüklemeyiniz.

Böyle bir içerik paylaşılırsa; hukuki yükümlülük, güvenlik veya moderasyon gerekçesiyle erişim kısıtlanabilir, içerik kaldırılabilir ve gerekirse yetkili mercilere bildirim yapılabilir.

3. İşleme Amaçları ve Hukuki Dayanak

KVKK md.5/6 Eşleştirme Tablosu

Veri Kategorisi Amaç Hukuki Sebep
Hesap verileri Üyelik oluşturma, oturum yönetimi KVKK md.5/2(c) sözleşmenin ifası
IP, log, failed_login, risk_score Suistimal önleme, ban/rate-limit, olay inceleme KVKK md.5/2(f) meşru menfaat, md.5/2(ç) hukuki yükümlülük
Mesaj ve dosya ekleri Mesajlaşma hizmetinin sağlanması, uyuşmazlık halinde kayıt inceleme KVKK md.5/2(c), md.5/2(f)
Ödeme/abonelik/fatura Ödeme alma, abonelik tanımlama, finansal kayıt KVKK md.5/2(c), md.5/2(ç)
Pazarlama izni verileri Kampanya/duyuru gönderimi (varsa) KVKK md.5/1 açık rıza

4. Çerezler ve Benzer Teknolojiler

Çerez Listesi (Kod Tabanında Tespit)

Ad Amaç Süre Bayraklar
token Erişim oturumu 1 saat HttpOnly, SameSite=Lax, Secure(prod)
refresh_token Oturum yenileme 30 gün HttpOnly, SameSite=Lax, Secure(prod), path=/api/auth
csrf_token CSRF doğrulaması 2 saat SameSite=Lax, Secure(prod), HttpOnly=false
ban_view Ban detay görüntüleme scope’u 10 dakika HttpOnly, SameSite=Lax, Secure(prod)

Tarayıcı Depolama

  • localStorage: user, userId, userEmail, isPremium, premiumExpiry, activePlanId, sidebarState, client_id, guestSavedListings (auth token tutulmaz).
  • sessionStorage: navigated_from_sidebar, Odakio_visited, leaderboard_visited.
  • Sınıflandırma: mevcut kullanım zorunlu/işlevsel kapsamındadır; analitik/reklam storage anahtarı tespit edilmemiştir.
  • Tercih merkezi: Kodda aktif bir cookie banner/tercih merkezi uygulanmamıştır.

5. Üçüncü Taraflar ve Veri Aktarımı

  • PayTR: web ödeme token/iframe akışı (ödeme tutarı, sipariş referansı, IP, e-posta).
  • Apple/Google: mobil abonelik doğrulama bildirimleri.
  • E-posta sağlayıcısı (nodemailer): şifre sıfırlama ve destek e-postaları.
  • Socket/Redis altyapısı: gerçek zamanlı mesajlaşma, online durum ve bildirim.
  • Yetkili kamu kurumları: hukuki yükümlülük ve resmi talep halinde.

Yurtdışı aktarım ihtimali kullanılan sağlayıcıların sunucu konumuna bağlıdır. Aktarım, KVKK’nın 9. maddesi kapsamında uygun aktarım mekanizması (açık rıza ve/veya Kurulca öngörülen güvenceler, sözleşmesel ve teknik tedbirler) ile yapılır.

6. Saklama ve Silme

  • Mesaj içeriği: 180 gün sonunda içerik NULL yapılarak soft-delete (otomatik cron; env ile değiştirilebilir).
  • Soft-delete ek dosyalar: 30 gün sonunda fiziksel dosya + DB kaydı silinir (env ile değiştirilebilir).
  • Güvenlik logları: request_logs, failed_logins ve admin_audit kayıtları için günlük çalışan retention temizliği vardır; varsayılan saklama 365 gündür (env ile değiştirilebilir).
  • Çerezler: token 1 saat, refresh_token 30 gün, csrf_token 2 saat, ban_view 10 dakika.
  • Fatura/ödeme kayıtları: yasal yükümlülük ve zamanaşımı süreleri boyunca.
  • VARSAYIM: contact_messages için öneri, talebin kapanmasından itibaren 24 ay.

7. Veri Güvenliği

  • JWT tabanlı auth + refresh rotasyonu, CSRF doğrulaması, rate limit ve webhook guard uygulanır.
  • Admin oturumlarında JWT içindeki oturum id + token hash eşleşmesi aranır; üretimde user-agent ve IP bağlama kontrolleri uygulanır.
  • Parolalar hashlenir; ödeme/fatura içinde TCKN ve vergi no şifreli + hashli saklanır.
  • Ban/risk_score/failed_login ile kötüye kullanım tespiti yapılır.

Kişisel veri ihlali şüphesinde olay izolasyonu, log inceleme, erişim kısıtlama ve etki azaltma adımları uygulanır. Mevzuat kapsamına giren durumlarda Kurum ve ilgili kişilere kanuni sürelerde bildirim yapılır.

8. KVKK/GDPR Kapsamındaki Haklar

İlgili kişi; veriye erişim, düzeltme, silme, işleme itiraz, aktarım bilgisi talebi ve zararın giderilmesi gibi haklarını kullanabilir.

  • Başvuru kanalı: destek@Odakio.com ve İletişim sayfası.
  • Kimlik doğrulama: hesap doğrulaması için ek bilgi/belge istenebilir.
  • Yanıt süresi: KVKK başvuruları kural olarak 30 gün içinde sonuçlandırılır.
  • Ücret: İlk cevap ücretsizdir; ek maliyet halinde mevzuata uygun ücret talep edilebilir.
  • Şikayet: Başvuru sonucu yetersizse Kişisel Verileri Koruma Kurumu’na şikayet hakkı saklıdır.

9. İletişim

10. Yürürlük ve Güncelleme

Bu metin yayımlandığı tarihte yürürlüğe girer. Üründe yeni veri akışı (ör. analitik/reklam çerezi, yeni 3. taraf aktarım) devreye alınırsa metin güncellenir.

Hizmet kullanım kuralları için Kullanım Şartları sayfasını inceleyin.