Gizlilik Politikası ve KVKK Aydınlatma Metni

1. Veri Sorumlusunun Kimliği

İşbu Gizlilik Politikası kapsamında Veri Sorumlusu, Twenty City Runners ("TCR", "Platform") topluluğudur. TCR, koşu sporunu yaygınlaştırmak amacıyla kurulmuş bir kulüp / topluluktur.

• İletişim e-postası: bilgi@tcr.org.tr
• Web sitesi: https://tcr.org.tr
• KVKK başvuru kanalı: İletişim sayfası ve yukarıdaki e-posta adresi

2. İşlenen Kişisel Veriler

Platformu kullanmanız sırasında aşağıdaki kişisel veri kategorileri işlenmektedir:

a) Kimlik ve İletişim Verileri

• Kullanıcı adı (rumuz)
• E-posta adresi
• İsteğe bağlı: ad-soyad, biyografi, profil fotoğrafı (avatar)

b) Güvenlik Verileri

• bcrypt algoritmasıyla geri döndürülemez şekilde özetlenmiş (hash) parola
• Oturum tokenları (JWT — bellek + httpOnly cookie)
• İki faktörlü kimlik doğrulama (2FA) gizli anahtarı (etkinleştirildiyse)

c) İşlem ve Etkileşim Verileri

• Forum gönderileri, yorumlar, beğeniler, kaydedilenler
• Özel mesajlar (yalnızca gönderen ve alıcı tarafından okunabilir, sunucuda saklanır)
• Platform içi bildirimler ve okuma kayıtları

d) Teknik ve Log Verileri (5651 sayılı Kanun gereği)

• IP adresi, tarayıcı/işletim sistemi bilgisi (User-Agent)
• Erişim tarihi, saat ve gerçekleştirilen işlemler
• İçerik gönderim ve giriş zamanları

e) Üçüncü Taraf Kimlik Doğrulama Verileri

Google ile giriş özelliğini kullanırsanız, Google tarafından bize iletilen e-posta adresiniz ve adınız işlenir. Google'ın bu kapsamda işlediği verilere ilişkin politika: policies.google.com/privacy

3. İşleme Amaçları ve Hukuki Sebepler

Kişisel verileriniz, KVKK'nın 5. ve 6. maddelerinde sayılan aşağıdaki hukuki sebeplere dayanılarak işlenmektedir:

a) Sözleşmenin kurulması ve ifası (KVKK m.5/2-c)

• Üyelik hesabınızın oluşturulması ve yönetilmesi
• Forum ve haberler hizmetlerinin sunulması
• Hesap güvenliği (giriş, parola sıfırlama, 2FA)

b) Hukuki yükümlülüğün yerine getirilmesi (KVKK m.5/2-ç)

• 5651 sayılı Kanun gereği 2 yıl boyunca trafik bilgilerinin saklanması
• Yetkili makamlardan gelen taleplerin yanıtlanması

c) Meşru menfaat (KVKK m.5/2-f)

• Platform güvenliği, dolandırıcılık ve kötüye kullanım tespiti
• Rate limiting, IP banlama, spam filtreleme
• Hizmet kalitesinin iyileştirilmesi

d) Açık rıza (KVKK m.5/1)

• Pazarlama amaçlı e-posta bildirimleri (haftalık bülten — ileride istediğiniz an iptal edebilirsiniz)
• İsteğe bağlı profil bilgileri (biyografi, avatar, sosyal medya bağlantıları)

4. Verilerin Aktarıldığı Taraflar ve Yurt Dışı Aktarım

Platform'un işletilmesi için aşağıdaki üçüncü taraf hizmet sağlayıcıları kullanılmaktadır. Bu sağlayıcıların büyük çoğunluğu sunucularını Avrupa Birliği veya Amerika Birleşik Devletleri'nde işlettiği için verileriniz yurt dışına aktarılmaktadır. Aktarım, KVKK'nın 2024 yılında güncellenen 9. maddesi çerçevesinde Standart Sözleşme Hükümleri (SCC) ve eşdeğer güvence mekanizmaları aracılığıyla yapılmaktadır.

Verileriniz hiçbir koşulda üçüncü taraflara satılmaz veya doğrudan pazarlama amacıyla paylaşılmaz. Yukarıdaki sağlayıcılar, sözleşmesel olarak yalnızca veri işleyen sıfatıyla, talimatlarımız doğrultusunda çalışır.

5. Veri Saklama Süreleri

• Üyelik verileri: Hesap aktif olduğu sürece + silinme talebinden sonra 30 gün (cayma süresi)
• Forum içeriği: Hesap silinse dahi anonimleştirilmiş şekilde topluluk arşivinde kalır
• Trafik kayıtları (IP, log): 5651 sayılı Kanun gereği 2 yıl
• Refresh token: 30 gün (sonrasında otomatik silinir)
• E-posta doğrulama / parola sıfırlama tokenları: 24 saat

6. Çerezler (Cookie Politikası)

Platform yalnızca işlevsel ve güvenlik amaçlı çerezler kullanmaktadır. Üçüncü taraf reklam veya pazarlama çerezleri kullanılmaz.

• Zorunlu çerezler: Oturum açma (httpOnly JWT refresh token), CSRF koruması, tema tercihi. Bu çerezler devre dışı bırakılırsa Platform çalışmaz.
• Performans/Tercih çerezleri: Karanlık/aydınlık tema tercihi (localStorage)
• Analitik çerezler: Yalnızca toplam ziyaretçi sayısı için anonim sayma; kişiselleştirilmiş veri toplanmaz

Tarayıcınızdan çerezleri yönetebilir veya silebilirsiniz. Detaylı bilgi için tarayıcı dokümantasyonuna başvurun.

7. Veri Güvenliği

Verilerinizin güvenliği için aldığımız teknik ve idari tedbirler:

• Tüm trafik HTTPS/TLS 1.3 ile şifrelenir
• Parolalar bcrypt ile geri döndürülemez şekilde hash'lenir (saltlı)
• Veritabanı erişimi yalnızca arka uç servis hesabıyla mümkündür (Supabase RLS)
• Rate limiting (saatte 100 istek/IP) ve CSRF koruması aktiftir
• İçerikler DOMPurify ile sanitize edilerek XSS saldırılarına karşı korunur
• İki faktörlü kimlik doğrulama (2FA — TOTP) opsiyonel olarak sunulmaktadır
• Sızıntı durumunda KVKK m.12/5 uyarınca 72 saat içinde Kurul'a bildirim yapılır

8. KVKK Kapsamındaki Haklarınız

KVKK'nın 11. maddesi uyarınca veri sahibi olarak aşağıdaki haklara sahipsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme
• Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme
• Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme
• KVKK m.7'de öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme
• Düzeltme/silme/imha işlemlerinin verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonuç çıkmasına itiraz etme
• Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme

Bu haklarınızı kullanmak için kimliğinizi tevsik edici belgelerle birlikte bilgi@tcr.org.tr adresine yazılı talebinizi iletebilir veya iletişim sayfası üzerinden bizimle iletişime geçebilirsiniz. Başvurularınız KVKK m.13 uyarınca en geç 30 gün içinde sonuçlandırılır.

9. Çocukların Verileri

Platform 18 yaş ve üzeri kullanıcılara yöneliktir. 18 yaşın altındaki kişilerden bilerek kişisel veri toplanmaz. Bir kullanıcının 18 yaşın altında olduğu tespit edilirse hesabı derhal kapatılır ve verileri silinir. 18 yaşın altındaki bir çocuğun bilgilerinin işlendiğine dair şüpheniz varsa lütfen yukarıdaki iletişim kanallarıyla bizi bilgilendirin.

10. Veri İhlali Bildirim Süreci

KVKK m.12/5 uyarınca, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durum en kısa sürede ve her halükarda 72 saat içinde ilgili veri sahibine ve Kişisel Verileri Koruma Kurulu'na bildirilir.

11. Değişiklikler

Bu Gizlilik Politikası mevzuat değişiklikleri ve Platform işlevsellikleri doğrultusunda güncellenebilir. Önemli değişiklikler kayıtlı e-posta adresinize bildirilir; küçük değişiklikler bu sayfada yayımlanır. Politika, yayın tarihinden itibaren geçerlidir.