Gizlilik Politikası

1. Veri Sorumlusu

Veri Sorumlusu: Turlio — Türkiye'de mukim bir şahıs işletme tarafından işletilen çevrimiçi seyahat rezervasyon platformu.

İletişim: info@turlio.com

Şirket tüzel kişiliği kurulduğunda detaylı tescil bilgileri (ticaret unvanı, MERSİS numarası, KEP adresi, faaliyet adresi) bu sayfada güncellenecektir.

2. Toplanan Kişisel Veriler

Rezervasyon sürecinde aşağıdaki kişisel veriler toplanır:

• Ad ve soyad
• E-posta adresi
• Telefon numarası
• Konaklama bilgileri (otel adı, bölge)
• Rezervasyon detayları (tarih, kişi sayısı, ürün tercihleri)
• IP adresi ve cihaz bilgileri (güvenlik amaçlı)
• Çerez verileri (oturum kimliği, sepet içeriği)

Ödeme bilgileriniz (kredi/banka kartı numarası, CVV, son kullanma tarihi) Turlio sunucularında hiçbir şekilde saklanmaz veya iletilmez. Ödeme işlemleri tamamen PCI DSS Level 1 sertifikalı Stripe altyapısı tarafından doğrudan tarayıcınızdan Stripe sunucularına şifreli olarak işlenir.

3. Veri İşleme Amacı

Toplanan kişisel veriler yalnızca aşağıdaki amaçlarla işlenir:

• Rezervasyonlarınızı oluşturmak, onaylamak ve e-voucher göndermek
• Tur, transfer ve bilet hizmetlerini lisanslı tedarikçilerle organize etmek
• Müşteri destek talepleriniz için iletişim kurmak
• Yasal yükümlülükleri yerine getirmek (fatura kesimi, vergi raporlaması)
• Olası uyuşmazlıkların çözümünde kanıt sunmak
• Site güvenliğini sağlamak ve dolandırıcılığı önlemek

Kişisel bilgileriniz hiçbir koşulda üçüncü taraflara satılmaz, kiralanmaz veya pazarlama amacıyla paylaşılmaz.

4. Veri İşlemenin Hukuki Dayanağı

KVKK ve GDPR uyarınca veri işleme faaliyetlerimiz aşağıdaki hukuki sebeplere dayanır:

• Sözleşmenin kurulması ve ifası (KVKK m.5/2-c, GDPR Art. 6(1)(b)): Rezervasyon işlemlerinin gerçekleştirilmesi
• Yasal yükümlülüğün yerine getirilmesi (KVKK m.5/2-ç, GDPR Art. 6(1)(c)): Fatura saklama, vergi raporlaması
• Meşru menfaat (KVKK m.5/2-f, GDPR Art. 6(1)(f)): Hizmet kalitesinin artırılması, dolandırıcılığın önlenmesi
• Açık rıza (KVKK m.5/1, GDPR Art. 6(1)(a)): Pazarlama iletişimi için (opsiyonel, sadece izniniz ile)

5. Üçüncü Taraflarla Paylaşım

Kişisel verileriniz yalnızca rezervasyonunuzun gerçekleştirilmesi için zorunlu olan hizmet sağlayıcılarla paylaşılır. Paylaşılan veri, hizmetin sunulabilmesi için gerekli minimum düzeydedir (örn. ad, rezervasyon tarihi, otel bilgisi).

• Tur ve transfer operatörleri (Dubai ve BAE genelinde lisanslı tedarikçiler): Hizmetin yerine getirilmesi için ad, tarih, kişi sayısı, otel bilgisi
• Stripe (ödeme altyapısı, ABD merkezli, PCI DSS Level 1): Ödeme işlemleri
• SendGrid (e-posta gönderimi, ABD merkezli): Rezervasyon onayı, voucher
• Google Analytics (analitik, anonimleştirilmiş): Site kullanım istatistikleri
• Vercel (hosting, ABD merkezli): Site sunucu altyapısı
• Supabase (veritabanı, AB merkezli): Rezervasyon kaydı

6. Sınır Ötesi Veri Transferi

Bazı hizmet sağlayıcılarımız (Stripe, SendGrid, Vercel) Türkiye dışında konumlanmaktadır. Bu nedenle kişisel verileriniz, gerekli güvenlik önlemleri alınarak ve GDPR Standart Sözleşme Maddeleri (SCC) kapsamında, Amerika Birleşik Devletleri ve Avrupa Birliği üye ülkelerine aktarılabilir.

KVKK m.9 ve GDPR Bölüm V hükümleri uyarınca, aktarılan verilerin yeterli koruma altında olduğunu temin etmek için aşağıdaki önlemler alınmıştır:

• Tüm hizmet sağlayıcılarımızla Veri İşleme Sözleşmeleri (DPA) imzalanmıştır
• Veriler şifrelenmiş (TLS 1.3+) kanallar üzerinden iletilir
• Hizmet sağlayıcılarımız sertifikalı veri koruma standartlarına sahiptir (ISO 27001, SOC 2)

7. Veri Saklama Süresi

Kişisel verileriniz, işlenme amacının gerektirdiği süre boyunca saklanır:

• Rezervasyon ve fatura verileri: 5 yıl (Vergi Usul Kanunu m.253 gereğince)
• Müşteri destek yazışmaları: 2 yıl (Tüketicinin Korunması Hakkında Kanun gereğince)
• Pazarlama izin verileri: İzin geri alınana veya 3 yıl boyunca etkileşim olmayana kadar
• Site analitik verileri: 26 ay (Google Analytics standart)
• Çerezler: Çerez kategorisine göre oturum sonu ile 24 ay arası

Saklama süresi sona erdiğinde veriler otomatik olarak silinir veya kalıcı olarak anonimleştirilir.

8. Veri Güvenliği

Veri güvenliğinizi sağlamak için aşağıdaki teknik ve idari önlemler alınmıştır:

• Tüm site trafiği 256-bit SSL/TLS şifreleme ile korunur
• HSTS (HTTP Strict Transport Security) aktiftir
• Ödeme işlemleri PCI DSS Level 1 sertifikalı Stripe üzerinden gerçekleştirilir
• Veritabanı erişimi Row Level Security (RLS) ile sınırlandırılmıştır
• Yönetici erişimi iki faktörlü kimlik doğrulama (2FA) ile korunur
• Düzenli güvenlik denetimleri ve yedekleme prosedürleri uygulanır

9. Kullanıcı Hakları

KVKK m.11 ve GDPR Bölüm III hükümleri uyarınca sahip olduğunuz haklar:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• İşlenmişse buna ilişkin bilgi talep etme
• İşleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında verilerinizin aktarıldığı üçüncü kişileri bilme
• Eksik veya yanlış işlenen verilerinizin düzeltilmesini isteme
• KVKK ve ilgili mevzuat çerçevesinde verilerinizin silinmesini veya yok edilmesini isteme (unutulma hakkı)
• Düzeltme, silme ve yok etme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
• İşlenen verilerin otomatik sistemler ile analiz edilmesi sonucu aleyhinize çıkan sonuca itiraz etme
• Verilerin kanuna aykırı işlenmesi nedeniyle zarara uğramanız halinde tazminat talep etme
• Veri taşınabilirliği (GDPR Art. 20): Verilerinizin yapılandırılmış formatta bir kopyasını alma
• İşlemeye itiraz (GDPR Art. 21): Meşru menfaate dayalı işlemeye itiraz etme

Bu haklarınızı kullanmak için info@turlio.com adresinden başvurabilirsiniz. Başvurularınız en geç 30 gün içinde ücretsiz olarak yanıtlanır (KVKK m.13, GDPR Art. 12).

10. Çerezler ve İzleme Teknolojileri

Sitemiz, kullanıcı deneyimini iyileştirmek için aşağıdaki çerez kategorilerini kullanır:

• Zorunlu çerezler (rıza gerektirmez): Oturum kimliği, sepet içeriği, çerez tercih kaydı. Site fonksiyonelliği için gereklidir.
• Analitik çerezler (rıza gerektirir): Google Analytics ile anonim site kullanım analizi
• Pazarlama çerezleri (rıza gerektirir): Meta Pixel ile reklam etkinliği ölçümü

Çerez tercihinizi sayfa altındaki çerez bildirimi üzerinden veya tarayıcı ayarlarınızdan dilediğiniz zaman değiştirebilirsiniz.

11. 18 Yaş Altı Verileri

Hizmetlerimiz 18 yaş ve üstü bireylere yöneliktir. Bilerek 18 yaş altı çocuklardan kişisel veri toplamayız. 18 yaş altı bir çocuğun verisini ebeveyn/vasi izni olmaksızın gönderildiğini fark ettiğimizde, bu veri en kısa sürede silinir.

Ebeveyn/vasi olarak, çocuğunuza ait olduğunu düşündüğünüz bir veriyi fark ederseniz info@turlio.com adresinden bize bildirmenizi rica ederiz.

Rezervasyon sürecinde çocuk yolcular için sadece ad ve yaş bilgisi (ücretlendirme amacıyla) toplanır; ebeveyn/vasi sözleşmenin tarafıdır.

12. Veri Sızıntısı Bildirimi

KVKK m.12/5 ve GDPR Art. 33-34 hükümleri uyarınca, kişisel verilerinizin yetkisiz kişilerce ele geçirildiğinin tespit edilmesi durumunda:

• 72 saat içinde Kişisel Verileri Koruma Kurulu'na (KVKK) bildirim yapılır
• Sızıntıdan etkilenen kullanıcılara en kısa sürede e-posta yoluyla bilgilendirme yapılır
• Olası riskler ve alınması gereken önlemler şeffaf şekilde paylaşılır

13. Değişiklikler

Bu Gizlilik Politikası zaman zaman güncellenebilir. Önemli değişikliklerde sitemizde bilgilendirme yapılır ve son güncelleme tarihi belirtilir. Bu sayfayı periyodik olarak kontrol etmenizi öneririz.

14. İletişim

Gizlilik politikamız hakkında sorularınız, talepleriniz ve şikayetleriniz için:

• E-posta: info@turlio.com
• WhatsApp: 7/24 destek hattı

Yetkili Veri Koruma Kurumları:

• Türkiye: Kişisel Verileri Koruma Kurumu (KVKK) — kvkk.gov.tr
• AB: Yerel Veri Koruma Otoritesi (DPA)
• BAE: UAE Data Office