Yemek Nerede YenirYemek Nerede Yenir
Yasal · Gizlilik

Gizlilik Politikası

Yemek Nerede Yenir hizmetlerini kullanırken kişisel verilerinizin nasıl işlendiğine ve korunduğuna dair uygulamalı politikamızdır.

Versiyon: v2.1
Son güncelleme: 17 Mayıs 2026

1. Genel Çerçeve

BOA MEDYA ANONİM ŞİRKETİ (“Yemek Nerede Yenir”, “YNY”, “Şirket”) olarak; kullanıcı gizliliği, hizmetimizin temel prensiplerinden biridir. Topluluk doğrulamalı restoran keşif platformumuz; restoran arama, rezervasyon, yorum, gizli müşteri raporları, YNY FIT puan kazanımı, YNY Token cüzdanı, AI destekli öneri, sürpriz yemek (Dine Roulette) ve QR ödeme akışları sunar.

Bu politika, KVKK ile uyumlu Aydınlatma Metni'ni tamamlayan, günlük kullanım pratiklerini açıklayan uygulamalı dokümandır.

2. Toplanan Verilerin Detayı

2.1. Hesap ve Kimlik

  • E-posta adresi, telefon numarası (e-posta opsiyonel; iki faktörlü doğrulamada SMS aktifse zorunlu)
  • Parola, Argon2id ile hash'lenerek saklanır; düz metin kayıt yok
  • Profil bilgileri: ad-soyad veya kullanıcı adı, doğum yılı (kategori olarak), şehir tercihi
  • OAuth / SSO bağlanırsa Google/Apple kimliği “sub” alanı

2.2. Konum

  • GPS koordinatları: tarayıcı/cihaz iznine bağlı. Yakınımdakiler, gizli müşteri check-in'i, YNY FIT mesafe ölçümü. Ham koordinat 90 gün, sonra agregat
  • IP konum: şehir düzeyinde, anti-fraud + tercih önerisi için
  • Şehir cookie'si (yny.preferred-city): siz seçtiniz ise; max 30 gün

2.3. Topluluk İçeriği

  • Yorumlar (yıldız, eksen puanları, açık metin), fotoğraflar
  • Gizli müşteri raporları (program katılımcısıysanız)
  • Tat profili cevapları (rıza vermişseniz)
  • Davet, favori, beğeni etkileşimleri

2.4. İşlem ve Ödeme

  • Rezervasyon kayıtları (tarih, kişi sayısı, not)
  • Voucher kullanım geçmişi
  • YNY Token bakiyesi ve hareket geçmişi
  • QR Ödeme işlem kimlikleri (sandbox/test); kart numarası asla bizde saklanmaz, ödeme kuruluşunun tokenize ettiği referans tutulur

2.5. Teknik ve Çerez

  • Tarayıcı çerezleri: oturum (session), tercih (theme, yny.preferred-city), analitik (yalnızca açık rıza)
  • Cihaz türü, ekran çözünürlüğü, OS sürümü (yığın analitik)
  • IP adresi (anti-fraud), oturum kimliği
  • Sayfa görüntüleme süreleri (anonim)

3. Verilerinizi Nasıl Kullanıyoruz

Verilerinizi yalnızca aşağıdaki amaçlarla kullanırız:

  • Hizmetin sunumu: Hesabınızı yönetmek, oturumunuzu açmak, rezervasyon ve ödeme işlemlerinizi gerçekleştirmek
  • Kişiselleştirme: Tat profilinize uygun restoran önermek, geçmiş etkileşimlerinizden öğrenmek (algoritmik karar itirazınız her zaman saklıdır — bkz. KVKK §6.8)
  • Doğrulama: Yorum/check-in için GPS doğrulaması; gizli müşteri raporlarının kalitesini kontrol
  • İletişim: Sistem bildirimleri (zorunlu — rezervasyon onayı, parola değişikliği) ve pazarlama bildirimleri (yalnızca açık rızayla, istediğiniz an iptal edilebilir)
  • Güvenlik: Anti-fraud, sahte yorum tespiti, brute-force koruması
  • İstatistik: Hizmet iyileştirme için anonimleştirilmiş/agregate analizler

Kullanmadığımız amaçlar:

  • Verinizi üçüncü şahıs reklam ağlarına satmak (Facebook/Google ads pixel kullanmayız)
  • Sigorta veya finans kurumlarına bireysel kullanıcı profili paylaşmak
  • GPS verinizi gerçek zamanlı olarak iş ortaklarına aktarmak

4. Veri Paylaşımı

Aşağıdaki sınırlı durumlarda ve sınırlı kapsamlarda paylaşım yaparız:

4.1. Altyapı Sağlayıcılar (İşleyen Sıfatıyla)

  • Cloudflare (CDN, image delivery, anti-DDoS): Sayfa servisinde kullanılır; kullanıcı içeriği depolanmaz
  • Hetzner / AWS (sunucu): Veritabanı ve uygulama host'u; AB sınırları içinde
  • Postmark (transactional e-posta): Yalnızca e-posta adresi ve mesaj içeriği
  • Outscraper (restoran bilgisi enrichment): Sadece public Google Maps verisinin alınması; kullanıcı verisi geçmez

4.2. Ödeme Kuruluşları

  • Multinet, Sodexo, Edenred, Setcard, Pluxee, Paye, Metropol
  • İyzico, PayTR (banka QR)
  • Kart numarası bize gelmez; PCI-DSS uyumlu tokenize edilmiş referans tutulur

4.3. Restoran Sahipleri

  • Rezervasyonunuz için yalnızca: ad-soyad, irtibat numarası, tarih, kişi sayısı, varsa not
  • Tat profiliniz, geçmiş yorumlarınız veya başka restoranlardaki etkileşiminiz asla paylaşılmaz

4.4. Yetkili Merciler

  • Mahkeme kararı, savcılık talebi, vergi yükümlülükleri veya KVK Kurulu kararları çerçevesinde, yasal sınırlar içinde
  • Talep mümkünse kullanıcıya bilgilendirme yapılır (mevzuat izin veriyorsa)

4.5. Anonimleştirilmiş Veri

  • Akademik araştırma, sigorta sektörü, gastronomi yayınları için yalnızca k-anonim toplulukla (en az 5 kullanıcılık grup) paylaşım yapılır
  • Bireysel kullanıcı asla tanımlanamaz

5. Güvenlik Tedbirleri

Verilerinizi korumak için aldığımız teknik ve idari tedbirler:

  • Şifreleme: Tüm trafik HTTPS/TLS 1.3 ile şifrelenir; veritabanı diskleri at-rest şifreli
  • Parola güvenliği: Argon2id (memory-hard) hash; düz metin saklama yok
  • JWT yönetimi: Access token kısa ömürlü (≤24 saat), revoke listesi kontrol edilir
  • Erişim kontrolü: Role-based + audit log; super_admin yetkili işlemler iz bırakır
  • Rate limiting + WAF: Cloudflare üzerinden DDoS, brute-force ve enumeration koruması
  • Yedekleme: Günlük şifreli yedekler; 30 gün retention; quarterly restore tatbikatı
  • İzleme: Anomaly detection (oturum dışı IP, çoklu başarısız giriş, beklenmeyen lokasyon)
  • Çalışan eğitimi: KVKK, gizlilik ve sosyal mühendislik eğitimleri (yıllık)

6. Çocuk Gizliliği

Platformumuz 13 yaş altı bireylere yönelik değildir. 13-18 yaş aralığında veli onayı zorunludur. 13 yaş altı bir hesap fark edersek derhal kapatır ve verileri imha ederiz.

7. Yurt Dışına Aktarım

Altyapı sağlayıcılarımızın bir kısmı (Cloudflare, Postmark) AB veya ABD merkezlidir. Aktarım için KVKK m.9 uyarınca:

  • KVK Kurulu tarafından yeterli koruma sağlandığı ilan edilen ülkelerle sınırlı tutulur; veya
  • Standart Sözleşme Hükümleri (SCC) imzalanır, taahhüt belgesi alınır

8. Çerezler ve Benzer Teknolojiler

Çerez türleri, süreleri ve yönetimi için detaylı bilgi: Çerez Politikası

9. Haklarınızı Kullanma

KVKK m.11 kapsamındaki haklarınızı kullanmak için:

  • Self-service: Hesabınızdaki iletişim formu üzerinden veri talebi gönderin — JSON arşivi indirme, düzeltme veya hesap silme
  • E-posta: [email protected]
  • Yazılı: Noter onaylı belge ile iletişim adresimize

Başvurularınız en geç 30 (otuz) gün içinde, ücretsiz sonuçlandırılır.

10. Politika Değişiklikleri

Bu politika güncellendiğinde sayfanın üst kısmında “Versiyon” ve “Son güncelleme” alanları güncellenir; önemli değişiklikler için kayıtlı e-posta adresinize bilgilendirme gönderilir.

11. İletişim

İşbu politika 14 Mayıs 2026 tarihinde güncellenmiştir.