Gizlilik Politikası
Bu Gizlilik Politikası, Türkiye merkezli toplumsal etki platformu hangel'i işleten hangel AŞ ("hangel", "Şirket" veya "veri sorumlusu") tarafından sunulan acil kan talebi/eşleştirme, bireysel ve kurumsal bağış, gönüllülük ilanları, STK/dernek/vakıf profilleri, marka üyelikleri, öğrenci kulüpleri, affiliate bağış aktarımı ve etki/şeffaflık raporlama hizmetleri kapsamında işlenen kişisel verilerin nasıl toplandığını, kullanıldığını, aktarıldığını, saklandığını ve korunduğunu açıklamaktadır. hangel; 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK"), Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Regulation — GDPR (EU) 2016/679) ve Kaliforniya Tüketici Gizliliği Yasası (California Consumer Privacy Act — CCPA/CPRA) başta olmak üzere uygulanabilir veri koruma mevzuatına uyumu esas alır.
1. Veri Sorumlusu Kimliği ve İletişim
KVKK m.3/1-(ı) anlamında veri sorumlusu, hangel platformunu işleten hangel AŞ'dir. Kişisel verilerinizin işlenmesine ilişkin her türlü talep, soru ve başvurunuzu aşağıdaki kanallar üzerinden iletebilirsiniz:
- Türkiye'deki kişisel veri işleme faaliyetleri (KVKK) için: kvkk@hangel.org
- Avrupa Birliği / uluslararası veri sahipleri (GDPR) için: privacy@hangel.org veya dpo@hangel.org
Veri Sorumluları Sicili (VERBİS) kayıt numarası: [VERBİS-NO yer tutucu]. GDPR Art.27 anlamında AB temsilcisi ataması, veri sahibi kapsamı gerektirdiğinde yol haritasında yer almaktadır.
2. İşlenen Kişisel Veri Kategorileri
hangel, hizmetin niteliğine ve kullanıcının tercihlerine bağlı olarak aşağıdaki kişisel veri kategorilerini işler:
| Veri Kategorisi | Örnek Veriler |
|---|---|
| Kimlik | Ad, soyad, doğum tarihi, kullanıcı adı |
| İletişim | E-posta adresi, telefon numarası, adres |
| Konum | Acil kan eşleştirmesi için yaklaşık/anlık konum bilgisi |
| Özel nitelikli (sağlık) | Kan grubu — KVKK m.6 ve GDPR Art.9 anlamında sağlık verisidir |
| İşlem ve kullanım | Bağış geçmişi, ilan/başvuru kayıtları, gönüllülük etkinlikleri |
| Finansal | IBAN, ödeme/işlem bilgisi, bağış makbuzu verileri |
| Cihaz ve teknik | IP adresi, cihaz tanımlayıcıları, uygulama günlükleri, çerez verileri |
| Pazarlama | İletişim izinleri, kampanya etkileşimleri, tercihler |
3. İşleme Amaçları ve Hukuki Dayanak
KVKK m.4 uyarınca kişisel verileriniz hukuka ve dürüstlük kurallarına uygun, belirli, açık ve meşru amaçlarla, ölçülü ve güncel olarak işlenir. Her amaca karşılık gelen hukuki dayanak aşağıda gösterilmiştir:
| İşleme Amacı | Hukuki Dayanak (KVKK / GDPR) |
|---|---|
| Üyelik oluşturma ve hesap yönetimi | KVKK m.5/2-(c) sözleşmenin kurulması/ifası; GDPR Art.6(1)(b) |
| Acil kan talebi eşleştirmesi (kan grubu) | KVKK m.6/2 açık rıza; GDPR Art.9(2)(a) |
| Bağış işlemi ve makbuz düzenleme | KVKK m.5/2-(c) ve (ç) hukuki yükümlülük; GDPR Art.6(1)(b)(c) |
| Yasal yükümlülüklerin yerine getirilmesi (mali, MASAK) | KVKK m.5/2-(ç); GDPR Art.6(1)(c) |
| Platform güvenliği ve dolandırıcılığın önlenmesi | KVKK m.5/2-(f) meşru menfaat; GDPR Art.6(1)(f) |
| Pazarlama ve ticari elektronik ileti | KVKK m.5/1 açık rıza; GDPR Art.6(1)(a) |
4. Özel Nitelikli Veri (Kan Grubu)
Kan grubu bilgisi, KVKK m.6 ve GDPR Art.9 kapsamında özel nitelikli (sağlık) kişisel veridir. hangel bu veriyi yalnızca acil kan talebi/eşleştirme hizmetinin yerine getirilmesi amacıyla ve KVKK m.6/2 ile GDPR Art.9(2)(a) uyarınca açık rızanıza dayanarak işler. Kan grubu verisi, KVKK m.6'da öngörülen ek güvenlik tedbirleri (erişim kısıtlaması, şifreleme, yetki matrisi) ile korunur ve rızanızı her zaman geri çekebilirsiniz.
5. Toplama Yöntemi ve Otomatik Karar/Profilleme
Kişisel veriler; hangel mobil uygulaması ve web sitesi üzerinden doğrudan sizden, çerez ve benzeri teknolojiler aracılığıyla otomatik yollarla ve hizmet sağlayıcılar üzerinden elde edilir. Acil kan eşleştirmesinde coğrafi yakınlık ve kan grubu uyumuna göre öncelik sıralaması yapılabilir; ancak bu işlem, GDPR Art.22 anlamında sizin üzerinizde hukuki sonuç doğuran veya benzer şekilde önemli etki üreten tamamen otomatik bir karar niteliği taşımaz. Bu tür bir karar gerektiğinde açık rızanız alınır ve insan müdahalesi talep etme hakkınız saklıdır.
6. Aktarım — Yurt İçi / Yurt Dışı
Kişisel verileriniz; yasal yükümlülükler, hizmetin ifası ve açık rızanız çerçevesinde yetkili kamu kurumlarına, ödeme kuruluşlarına ve hizmet sağlayıcılara KVKK m.8 uyarınca yurt içinde aktarılabilir. hangel altyapısı Google Cloud / Firebase (Firestore, Authentication, Storage) ve Apple hizmetlerini içerdiğinden veriler yurt dışında işlenebilir. Yurt dışı aktarımlar, 12 Mart 2024 tarihli 7499 sayılı Kanun (ilgili hükümler 1 Haziran 2024'te yürürlüğe girmiştir) ile yeniden düzenlenen KVKK m.9 uyarınca yeterlilik kararı, bunun yokluğunda standart sözleşme veya bağlayıcı şirket kuralları gibi uygun güvenceler ya da m.9'daki arızi haller çerçevesinde gerçekleştirilir. AB veri sahipleri için aktarımlar GDPR Art.44-49 ve Standart Sözleşme Maddeleri (SCC) ile güvence altına alınır.
7. Saklama Süreleri ve İmha
Kişisel veriler, işlendikleri amaç için gerekli olan süre boyunca ve ilgili mevzuatta öngörülen zamanaşımı/saklama süreleri kadar saklanır. Süre dolduğunda veya işleme şartları ortadan kalktığında veriler KVKK m.7 ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve GDPR Art.5(1)(e) uyarınca silinir, yok edilir veya anonim hale getirilir. Ayrıntı için Veri Saklama ve İmha Politikası'na bakınız.
8. İlgili Kişi / Veri Sahibi Hakları
KVKK m.11 uyarınca; verilerinizin işlenip işlenmediğini öğrenme, bilgi talep etme, amaca uygun kullanılıp kullanılmadığını öğrenme, yurt içinde/dışında aktarıldığı üçüncü kişileri bilme, eksik/yanlış işlenmişse düzeltilmesini, KVKK m.7 şartlarında silinmesini/yok edilmesini isteme, bu işlemlerin aktarıldığı üçüncü kişilere bildirilmesini isteme, münhasıran otomatik analize itiraz etme ve zarara uğramanız halinde tazminat talep etme haklarına sahipsiniz. AB veri sahipleri ayrıca GDPR Art.15-22 kapsamında erişim, düzeltme, silme (unutulma), işlemeyi kısıtlama, veri taşınabilirliği ve itiraz haklarını; Kaliforniya sakinleri CCPA §1798.100 ve devamı kapsamında bilme, silme, düzeltme ve satışı/paylaşımı reddetme (opt-out) haklarını kullanabilir.
9. Başvuru ve Şikâyet Mercii
Haklarınıza ilişkin başvurularınızı kvkk@hangel.org (TR) veya privacy@hangel.org (AB/uluslararası) adresine iletebilirsiniz. Başvurularınız KVKK m.13 uyarınca en geç 30 gün içinde sonuçlandırılır. Yanıttan tatmin olmamanız halinde Kişisel Verileri Koruma Kurulu'na (KVKK m.14) şikâyette bulunabilir; AB veri sahipleri yetkili denetim makamına (GDPR Art.77) başvurabilirsiniz.
10. Veri Güvenliği Tedbirleri
hangel, KVKK m.12 ve GDPR Art.32 uyarınca verilerin hukuka aykırı işlenmesini ve erişimi önlemek için uygun teknik ve idari tedbirleri uygular: aktarımda ve dinlenmede (in-transit/at-rest) şifreleme, erişim yetki matrisi ve en az yetki ilkesi, çok faktörlü kimlik doğrulama, günlük kaydı ve izleme, gizlilik sözleşmeleri ve düzenli farkındalık eğitimleridir. hangel, bilgi güvenliği yönetiminde uluslararası iyi uygulamaları (örneğin ISO/IEC 27001:2022 kontrol çerçevesi ve OWASP güvenlik prensipleri) referans almayı ve bağımsız sızma testlerini düzenli hale getirmeyi yol haritasında hedeflemektedir; bu husus bir mevcut sertifikasyon beyanı değildir. Kan grubu gibi özel nitelikli veriler için KVKK m.6 uyarınca ek güvenlik katmanları uygulanır. Veri ihlali halinde KVKK m.12/5 ve Kurul kararı 2019/10 (en geç 72 saat) ile GDPR Art.33-34 uyarınca yetkili makamlara ve gerektiğinde ilgili kişilere bildirim yapılır; ayrıntılar Veri İhlali Bildirim Prosedürü'nde düzenlenmiştir.
11. Çerezler
hangel; oturum yönetimi, güvenlik, performans ölçümü ve tercihlerin hatırlanması amacıyla çerez ve benzeri teknolojiler kullanır. Zorunlu olmayan çerezler için onayınız alınır (GDPR ve ePrivacy Direktifi 2002/58/EC). Ayrıntılar ayrı Çerez Politikası'nda düzenlenmiştir.
12. Çocukların Verileri
hangel hizmetleri esas olarak yetişkinlere yöneliktir. Reşit olmayan kullanıcıların kişisel verileri, ancak yürürlükteki mevzuatın izin verdiği ölçüde ve gerektiğinde veli/vasi onayıyla işlenir (GDPR Art.8 çocuk rızası ve ABD COPPA — 15 U.S.C. §6501 ve devamı çerçevesinde). hangel, bir çocuğa ait verinin uygun onay olmaksızın işlendiğini tespit ederse, bu veriyi gecikmeksizin imha eder.
13. Değişiklik ve Yürürlük
hangel bu Gizlilik Politikası'nı mevzuat değişiklikleri veya hizmet kapsamındaki güncellemeler doğrultusunda revize edebilir. Güncel metin platform üzerinden yayımlandığı tarihte yürürlüğe girer; esaslı değişikliklerde kullanıcılar uygun kanallarla (uygulama içi bildirim veya e-posta) bilgilendirilir. Bu Politika, hangel'in KVKK Aydınlatma Metni, Açık Rıza Metni, Veri Saklama ve İmha Politikası, Kullanıcı Hakları Politikası ve Çerez Politikası ile bütünlük içinde uygulanır.
Bu metin bilgilendirme amaçlıdır ve bağlayıcı nihai hukuki görüş niteliği taşımaz; yürürlük öncesi yetkili hukuk danışmanlığı önerilir.