Gizlilik Politikası ve Aydınlatma Metni

1. Veri Sorumlusu

İşbu Aydınlatma Metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve Avrupa Birliği Genel Veri Koruma Tüzüğü ("GDPR") kapsamında, Concept Ayvalık olarak kişisel verilerinizi nasıl işlediğimizi açıklamak amacıyla hazırlanmıştır.

Concept Ayvalık, Ayvalık adalarında özel motor yatla gerçekleştirilen, gastronomi odaklı günübirlik tur hizmeti sunan bir işletmedir. Misafirlerimizin gizliliğine ve kişisel verilerinin güvenliğine büyük önem veriyoruz.

1.1 Veri sorumlusu bilgileri

• Resmî unvan: [Kratos İnsan Kaynakları Danışmanlık ve Spor A.Ş.]
• Vergi dairesi / vergi numarası: [Ayvalık V.D. / 5890466591]
• Adres: [Mithatpaşa mahallesi, 15 Eylül Cad. No: 282/ Z01 10400 Ayvalık/BALIKESİR]
  E-posta: [info@conceptayvalik.com]
• Telefon: [+905326176361]

2. İşlenen Kişisel Veri Kategorileri

Rezervasyon talep formumuz ("Misafir talep formu") aracılığıyla aşağıdaki kişisel verileri işliyoruz. Bazı veriler zorunlu, bazıları isteğe bağlıdır.

Kimlik ve iletişim verileri:

• Ad ve soyad (zorunlu)
• E-posta adresi (zorunlu)
• Telefon numarası (isteğe bağlı; çoğunlukla WhatsApp üzerinden iletilir)

Tur ve işlem verileri:

• Tur tarihi (zorunlu)
• Seçilen paket (zorunlu)
• Misafir sayısı (zorunlu)
• Dil tercihi (isteğe bağlı)

Özel nitelikli kişisel veriler (yalnızca açık rızanızla):

• Alerji ve diyet bilgisi: Bu bilgi sağlık verisi niteliği taşıyabilir. Yalnızca tur günü sofra hizmetimizi güvenli ve uygun şekilde sunabilmek amacıyla, açık rızanıza istinaden işlenir.
• Çocuk bilgisi: Misafir grubunuzda küçük yaşta çocuk bulunması hâlinde, operasyonel güvenlik ve hizmet planlaması için, açık rızanıza istinaden işlenir.

Diğer veriler:

• Bizi nereden duyduğunuz bilgisi (isteğe bağlı; yalnızca toplu/anonim istatistik amacıyla)
• Misafir notu (serbest metin; içeriğini siz belirlersiniz)

Otomatik olarak işlenen teknik veriler:

• IP adresi: Form kötüye kullanımını önlemek (oran sınırlama) amacıyla yalnızca geçici olarak bellekte tutulur, kalıcı olarak kaydedilmez.
• Tarayıcı bilgisi (User-Agent): Kalıcı olarak saklanmaz.

> Önemli: Misafir notu alanına sağlık durumunuz veya diğer hassas bilgilerinizi yazmanızı zorunlu kılmıyoruz. Bu alana yalnızca paylaşmak istediğiniz bilgileri girmenizi rica ederiz.

3. İşleme Amaçları

Kişisel verilerinizi yalnızca aşağıdaki amaçlarla işliyoruz:

1. Rezervasyon talebinizi değerlendirmek (müsaitlik ve kapasite kontrolü)
2. WhatsApp veya e-posta üzerinden sizinle iletişim kurmak
3. Kapora alma sürecini başlatmak (tarafımızca iletilecek manuel ödeme linki ile)
4. Alerji ve diyet bilginizi mutfak ekibimize ileterek tur günü sofra hizmetinin kalitesini sağlamak
5. Toplu (anonim) operasyonel istatistik üretmek
6. Şikâyet ve taleplerinizi yönetmek

Kişisel verilerinizi reklam veya pazarlama amacıyla işlemiyoruz. E-posta bülteni göndermiyor, yeniden hedefleme (retargeting) yapmıyoruz.

4. Hukuki Dayanaklar

Kişisel verilerinizi aşağıdaki hukuki dayanaklara istinaden işliyoruz:

• Rezervasyon değerlendirme ve iletişim: Bir sözleşmenin kurulması veya ifası (KVKK m.5/2-c; GDPR Art. 6/1-b)
• Alerji, diyet ve çocuk bilgisi: Açık rızanız (KVKK m.6; GDPR Art. 9/2-a). Bu verileri formdaki ilgili onay kutusunu işaretlemeniz hâlinde işliyoruz; onayınızı dilediğiniz zaman geri çekebilirsiniz.
• Operasyonel istatistik: Meşru menfaat (KVKK m.5/2-f; GDPR Art. 6/1-f), yalnızca toplu/anonim düzeyde.
• Yasal yükümlülükler: Vergi ve ticaret mevzuatından doğan saklama yükümlülükleri (KVKK m.5/2-ç; GDPR Art. 6/1-c)

5. Kişisel Verilerin Aktarımı

Kişisel verileriniz, hizmetin sunulabilmesi için sınırlı sayıda alıcı grubuna aktarılabilir:

• Sanity.io: İçerik ve veri yönetim altyapımız (CMS). Rezervasyon talepleriniz bu platformda saklanır.
• Vercel: Web sitemizin barındırma (hosting) altyapısı.
• WhatsApp (Meta): Talebinizi gönderdikten sonra, kendi WhatsApp uygulamanız üzerinden bizimle iletişime geçmeniz için bir bağlantı oluşturulur. Bu mesajı siz kendiniz gönderirsiniz; veri, tarafımızca değil, sizin tarafınızdan iletilir.
• İleride (2027 tam sezon): Çevrimiçi ödeme alabilmek amacıyla Bókun (rezervasyon) ve Iyzico (ödeme) hizmet sağlayıcıları devreye alınacaktır. Bu hizmetler soft pilot döneminde devrede değildir.

Verilerinizi reklam şirketleriyle veya veri simsarlarıyla paylaşmıyoruz.

6. Yurt Dışına Aktarım

Kullandığımız altyapı sağlayıcıları nedeniyle kişisel verileriniz yurt dışında işlenebilir:

• Sanity Content Lake, verileri Avrupa Birliği (Frankfurt, eu-central-1) bölgesinde saklamaktadır. AB, GDPR kapsamında yeterli koruma düzeyine sahip bir bölgedir.
• Vercel altyapısı, tercihen AB (Frankfurt) bölgesinde yapılandırılmaktadır.
• WhatsApp/Meta aktarımı, yukarıda açıklandığı üzere sizin inisiyatifinizle gerçekleşir.

Yurt dışı aktarımlar, KVKK m.9 ve GDPR Bölüm V hükümlerine uygun olarak ve uygun güvencelerle (sağlayıcıların standart sözleşme hükümleri dâhil) gerçekleştirilir.

7. Saklama Süreleri

Kişisel verilerinizi yalnızca gerekli olduğu süre boyunca saklarız:

• Onaylanmış rezervasyonlar: Vergi Usul Kanunu kapsamındaki faturalama yükümlülükleri nedeniyle 5 yıl.
• Reddedilen veya iptal edilen talepler: Olası anlaşmazlıklara karşı 1 yıl.
• İletişime geçilmemiş / yeni talepler: 90 gün hareketsiz kaldığında silinir.
• Sağlık ve çocuk verisi: Yalnızca tur günü için gereklidir; tur tamamlandıktan sonra en geç 30 gün içinde silinir.
• Operasyon notları: İlgili talebin saklama süresine bağlıdır.

Sürelerin sonunda verileriniz silinir, yok edilir veya anonim hâle getirilir.

8. Veri Sahibi Olarak Haklarınız

KVKK m.11 ve GDPR Art. 15-22 uyarınca aşağıdaki haklara sahipsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• İşlenmişse buna ilişkin bilgi talep etme
• İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
• Eksik veya yanlış işlenmişse düzeltilmesini isteme
• Silinmesini veya yok edilmesini isteme
• İşlemeye itiraz etme ve işlemeyi kısıtlama
• Verilerinizin taşınabilirliğini talep etme (GDPR)
• Açık rızaya dayalı işlemelerde rızanızı geri çekme
• İşlemenin yalnızca otomatik sistemlerle analizi sonucunda aleyhinize bir sonucun ortaya çıkmasına itiraz etme

9. Başvuru Yolları

Haklarınızı kullanmak için bizimle aşağıdaki kanallardan iletişime geçebilirsiniz:

• E-posta: [info@conceptayvalik.com]
• KEP adresi: [...]
• Posta: [Ayvalık, Balıkesir — tam adres]

Başvurularınız en kısa sürede ve her hâlükârda KVKK'da öngörülen 30 günlük süre (GDPR kapsamında ilke olarak 1 ay) içinde sonuçlandırılır. Ayrıca, dilerseniz Kişisel Verileri Koruma Kurumu'na (KVKK) veya AB'de ilgili veri koruma denetim makamına şikâyette bulunabilirsiniz.

10. Çerezler

Web sitemizde sınırlı sayıda çerez kullanılmaktadır. Çerez kullanımına ilişkin ayrıntılı bilgi için Çerez Politikamızı inceleyebilirsiniz.

11. Otomatik Karar Verme ve Profilleme

Kişisel verileriniz üzerinde, sizi olumsuz etkileyecek nitelikte otomatik karar verme veya profilleme yapılmamaktadır. Tüm rezervasyon değerlendirmeleri operasyon ekibimiz tarafından elle yürütülür.

12. Güncelleme

Bu Aydınlatma Metni gerektiğinde güncellenebilir. Güncel sürüm her zaman web sitemizde yayımlanır.

• Sürüm: 1.0
• Yürürlük / güncelleme tarihi: [GG.AA.YYYY]