Gizlilik Politikası
Son güncelleme: 1 Temmuz 2025
1. Veri Sorumlusu
Bu politika, ChoBank / isleyis.com tarafından işletilen chobank.isleyis.complatformuna ilişkin kişisel veri işleme faaliyetlerini açıklamaktadır. ChoBank, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında "veri sorumlusu" sıfatını taşımaktadır.
İletişim: destek@chobank.isleyis.com
2. Toplanan Kişisel Veriler
Platformu kullanımınıza bağlı olarak aşağıdaki kişisel veriler işlenebilir:
2.1 Hesap Verileri
- Ad ve soyadı
- E-posta adresi
- Kullanıcı adı
- Profil fotoğrafı (Google OAuth ile giriş yapılıyorsa Google profil resmi)
- Şifre (bcrypt ile karma hâlde saklanır; düz metin şifre hiçbir zaman kaydedilmez)
- E-posta doğrulama durumu ve tarihi
2.2 Anket ve Yanıt Verileri
- Oluşturduğunuz anket içerikleri (başlık, sorular, seçenekler)
- Doldurduğunuz anketlere verdiğiniz yanıtlar
- Yanıt oturumuna ait cihaz türü (mobil, tablet, masaüstü)
- Oturum başlangıç ve tamamlanma zamanları
2.3 Kullanım Verileri
- IP adresi (güvenlik amacıyla karma şeklinde işlenir, ham IP kaydedilmez)
- Tarayıcı türü ve işletim sistemi (User-Agent)
- Ziyaret edilen sayfalar ve işlem zamanları
- Puan ve rozet etkinlikleri
2.4 Google OAuth ile Giriş
Google hesabınızla giriş yaptığınızda; Google tarafından sağlanan adınız, e-posta adresiniz ve profil fotoğrafı URL'si platformumuza aktarılır. Google'ın bu verileri nasıl işlediği için Google Gizlilik İlkesi'ni inceleyebilirsiniz.
3. Verilerin İşlenme Amaçları ve Hukuki Dayanakları
| Amaç | Hukuki Dayanak |
|---|---|
| Hesap oluşturma ve kimlik doğrulama | Sözleşmenin ifası (KVKK Md. 5/2-c; GDPR Md. 6/1/b) |
| Anket oluşturma ve yanıtlama hizmeti | Sözleşmenin ifası |
| E-posta bildirimleri (doğrulama, şifre sıfırlama) | Sözleşmenin ifası |
| Güvenlik, sahtekârlık önleme ve sistem bütünlüğü | Meşru menfaat (KVKK Md. 5/2-f; GDPR Md. 6/1/f) |
| Analitik ve hizmet geliştirme | Meşru menfaat |
| Yasal yükümlülüklerin yerine getirilmesi | Hukuki yükümlülük (KVKK Md. 5/2-ç; GDPR Md. 6/1/c) |
| Pazarlama ve ürün iletişimi (yalnızca açık rıza ile) | Açık rıza (KVKK Md. 5/1; GDPR Md. 6/1/a) |
4. Veri Aktarımları
Kişisel verileriniz, aşağıdaki altyapı ve hizmet sağlayıcılarıyla paylaşılmaktadır. Söz konusu aktarımlar, AB Standart Sözleşme Maddeleri (SCCs) ve KVKK'nın 9. maddesi uyarınca gerekli güvenlik tedbirleri alınarak gerçekleştirilmektedir:
| Tedarikçi | Konum | Amaç |
|---|---|---|
| Neon Inc. | ABD | Sunucusuz PostgreSQL veritabanı |
| Vercel Inc. | ABD | Uygulama barındırma ve CDN |
| Cloudflare Inc. | ABD | DDoS koruması ve DNS |
| Google LLC | ABD | Google OAuth kimlik doğrulama |
| ZeptoMail (Zoho) | Hindistan / AB | İşlemsel e-posta gönderimi |
Üçüncü taraflarla kişisel verilerin satışını, kiralanmasını veya ticari amaçla paylaşımını gerçekleştirmemekteyiz.
5. Veri Saklama Süreleri
| Veri Kategorisi | Saklama Süresi |
|---|---|
| Hesap verileri | Hesap silinene kadar veya 3 yıllık etkisizlik sonrası |
| Anket ve yanıt verileri | Anket silinene kadar |
| E-posta doğrulama token'ları | 24 saat |
| Şifre sıfırlama token'ları | 1 saat |
| Oturum verileri (JWT) | 30 gün |
| Güvenlik ve erişim günlükleri | 90 gün |
| Fatura ve ödeme kayıtları | 5 yıl (vergi mevzuatı) |
6. Güvenlik Tedbirleri
Kişisel verilerinizin güvenliğini sağlamak için aşağıdaki teknik ve idari tedbirler uygulanmaktadır:
- Tüm bağlantılarda TLS 1.2+ şifreleme
- Şifreler bcrypt (cost factor ≥ 12) ile karma hâlde saklanır
- JWT oturumları rotasyonlu imzalanır ve süresi dolduğunda geçersiz kılınır
- Veritabanı erişimi izole edilmiş bağlantı havuzlarıyla sınırlandırılmıştır
- CSRF koruması tüm form işlemleri için etkinleştirilmiştir
- Cloudflare ile DDoS ve bot trafiği filtreleme
- IP adresleri karma (hash) biçiminde işlenir; ham hâlde saklanmaz
7. Kullanıcı Hakları
Uygulanabilir mevzuat kapsamında aşağıdaki haklarınız bulunmaktadır:
7.1 KVKK (Türkiye) – Madde 11 Hakları
- Kişisel verilerinizin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- İşlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
- Eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme
- Silme veya yok edilmesini isteme
- Düzeltme/silme işlemlerinin aktarılan üçüncü kişilere bildirilmesini isteme
- Otomatik sistemler aracılığıyla analiz edilmesi sonucu aleyhine ortaya çıkan sonuca itiraz
- Zarara uğraması hâlinde zararın giderilmesini talep etme
7.2 GDPR / UK GDPR (AB ve Birleşik Krallık) – Maddeler 15-22
- Md. 15 – Erişim hakkı
- Md. 16 – Düzeltme hakkı
- Md. 17 – Silme hakkı ("unutulma hakkı")
- Md. 18 – İşlemeyi kısıtlama hakkı
- Md. 20 – Veri taşınabilirliği hakkı
- Md. 21 – İtiraz hakkı (meşru menfaat veya profil oluşturmaya)
- Md. 22 – Otomatik bireysel karar almaya itiraz hakkı
7.3 CCPA / CPRA (California, ABD)
- Toplanan kişisel bilgilerin kategorilerini ve amaçlarını bilme hakkı
- Kişisel bilgilerin silinmesini talep etme hakkı
- Kişisel bilgilerin satışının veya paylaşımının durdurulmasını talep etme hakkı
- Haklarını kullandığı için ayrımcılığa uğramaması hakkı
7.4 LGPD (Brezilya)
Brezilya Genel Veri Koruma Kanunu (Lei Geral de Proteção de Dados) Madde 18 uyarınca erişim, düzeltme, silme, taşınabilirlik ve onay geri alma haklarına sahipsiniz.
7.5 PIPEDA (Kanada)
Kanada Kişisel Bilgilerin Korunması ve Elektronik Belgeler Kanunu kapsamında kişisel bilgilerinize erişim ve hatalı bilgilerin düzeltilmesini talep etme hakkınız bulunmaktadır.
Tüm bu haklarınızı kullanmak için destek@chobank.isleyis.com adresine e-posta gönderebilirsiniz. Talebiniz, kimliğiniz doğrulandıktan sonra yasal süreler içinde (KVKK: 30 gün, GDPR: 1 ay) karşılanacaktır.
8. Çerezler
Çerez kullanımımıza ilişkin ayrıntılı bilgi için Çerez Politikamızı inceleyebilirsiniz.
9. Küçüklerin Gizliliği
ChoBank, 18 yaş altı bireylere yönelik değildir ve 18 yaş altındaki kişilerden bilerek kişisel veri toplamaz. 18 yaş altında olduğunuzu düşündüğümüz bir kullanıcıya ait hesap bildirilirse söz konusu hesap derhal kapatılır ve veriler silinir.
10. Politika Değişiklikleri
Bu politikayı zaman zaman güncelleyebiliriz. Güncellenmiş versiyon bu sayfada yayımlandığı tarih itibarıyla yürürlüğe girer. Önemli değişiklikler kayıtlı kullanıcılara e-posta ile bildirilir.
11. Şikâyet ve İletişim
Veri işleme uygulamalarımıza ilişkin endişelerinizi öncelikle bizimle paylaşmanızı rica ederiz:
ChoBank / isleyis.com
E-posta: destek@chobank.isleyis.com
Yanıtımızla tatmin olmadığınız takdirde Türkiye Kişisel Verileri Koruma Kurulu (KVKK), yetkili AB denetim makamı (SA) veya California Gizlilik Koruma Ajansı (CPPA) gibi ilgili yetkili makamlara şikâyette bulunma hakkınız saklıdır.