KVKK Aydınlatma Metni — Çift 66
⚠️ Bu metin bir TASLAK ŞABLONDUR, hukuki danışmanlık değildir. Yayına almadan önce KVKK/bilişim hukuku alanında uzman bir avukat tarafından gözden geçirilip onaylanmalıdır.
Son güncelleme: {{YURURLUK_TARIHI}} · Sürüm: v0.1-taslak
Bu Aydınlatma Metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("KVKK") 10. maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca, veri sorumlusu sıfatıyla Metis Bilişim Yazılım Danışmanlık Eğt. ve Yay. Hiz. Tic. Ltd. Şti. ("Yayıncı", "Şirket", "biz") tarafından, Çift 66 çevrimiçi kart oyunu hizmetinin ("Hizmet") kullanıcılarına ("ilgili kişi", "siz") kişisel verilerinin işlenmesine ilişkin olarak bilgilendirme amacıyla hazırlanmıştır.
Çift 66; sanal puanlı, ücretsiz beta aşamasında, geleneksel Türk kart oyununu çevrimiçi olarak sunan bir hizmettir. Gerçek para kumarı değildir. Hizmet, web (https://cift66.com) ve Telegram Mini App üzerinden sunulur. Bu metin, [Çift 66 Gizlilik Politikası] ile birlikte değerlendirilmelidir; iki belge birbirinden farklı olmakla birlikte birbiriyle tutarlıdır. Belgeler arasında çelişki hâlinde, çerez konularında Çerez Politikası, diğer kişisel veri işleme konularında KVKK Aydınlatma Metni esas alınır.
[AVUKAT NOTU: Hizmetin "kumar" niteliği taşımadığı vurgusunun, 7258 sayılı Kanun ve ilgili mevzuat açısından sanal puan/ücretsiz beta modeliyle uyumu teyit edilmelidir.]
1. Veri Sorumlusunun Kimliği
KVKK m.10 uyarınca, kişisel verileriniz; veri sorumlusu olarak aşağıda bilgileri yer alan Metis Bilişim Yazılım Danışmanlık Eğt. ve Yay. Hiz. Tic. Ltd. Şti. tarafından işlenmektedir:
| Bilgi | Değer |
|---|---|
| Veri sorumlusu (unvan) | Metis Bilişim Yazılım Danışmanlık Eğt. ve Yay. Hiz. Tic. Ltd. Şti. |
| Adres | Prof. Dr. Ahmet Taner Kışlalı Mah. 2861. Cad. No: 23A/25, Çankaya/Ankara |
| MERSİS No | {{MERSIS_NO}} |
| KEP adresi | {{KEP_ADRESI}} |
| E-posta (başvuru/destek) | support@cift66.com |
| Web | https://cift66.com |
| VERBİS kayıt durumu | {{VERBIS_KAYIT_DURUMU}} |
[AVUKAT NOTU: Şirketin VERBİS'e kayıt yükümlülüğü olup olmadığı (çalışan sayısı/yıllık mali bilanço eşikleri ve istisnalar açısından) değerlendirilmeli; kayıt zorunluysa {{VERBIS_KAYIT_DURUMU}} alanı kayıt numarası ile doldurulmalıdır. Veri sorumlusunun yurt dışında temsilci atama yükümlülüğü bu yapı için söz konusu değilse not düşülmesi; bir temsilci/irtibat kişisi atanmışsa kimlik bilgilerinin bu bölüme eklenmesi gerekir.]
2. İşlenen Kişisel Veri Kategorileri
Hizmeti kullanım şeklinize (giriş yönteminiz ve verdiğiniz açık rızalar dâhil) bağlı olarak aşağıdaki kişisel veri kategorileri işlenebilir:
2.1. Kimlik ve İletişim Verileri
- Google ile giriş yaptığınızda: ad-soyad, e-posta adresi, profil fotoğrafı, Google hesap kimliği (
sub). - Telegram ile giriş yaptığınızda: Telegram kullanıcı kimliği, ad, kullanıcı adı (@username), profil fotoğrafı. (Telegram
initDataverisi HMAC ile doğrulanır.) - Görünen ad / takma ad (nickname).
- Misafir (guest) girişte anonim bir oturum oluşturulur; bu yöntemde kimlik/profil verisi toplanmaz; ancak her kullanıcıda olduğu gibi IP, user-agent ve oturum çerezi işlenir.
2.2. İşlem Güvenliği / Teknik Veriler
- IP adresi.
- Cihaz ve tarayıcı bilgisi (user-agent).
- Birinci taraf oturum çerezi (Lucia "auth_session") ve oturum/CSRF güvenlik verileri.
- Hata ve teşhis (diagnostic) kayıtları (Sentry üzerinden; bu kayıtlar IP adresi içerebilir).
2.3. Oyun / Hizmet Kullanım Verileri
- Maç skorları, kazanma/kaybetme bilgisi, toplam puan.
- Oyun geçmişi ve tekrar kayıtları (replays — veritabanı ve Cloudflare R2 depolamada saklanır).
2.4. Analitik Veriler (YALNIZCA AÇIK RIZA SONRASI)
- PostHog analitik olayları (sayfa görüntüleme, oyun hunisi/akış olayları).
- Bu veriler takma adlı (pseudonymous), kişisel veri içerebilen olup yalnızca çerez/rıza bannerında açık rızanız alındıktan sonra toplanır; varsayılan olarak KAPALIDIR. Rıza vermezseniz analitik veri hiç gönderilmez.
[AVUKAT NOTU: Sentry hata kayıtlarının IP içerebilmesi nedeniyle bu işlemenin "meşru menfaat" mi yoksa "sözleşmenin ifası" temelinde mi yürütüleceği netleştirilmeli; gerekiyorsa Sentry tarafında IP maskeleme/PII scrubbing yapılandırması belgelenmelidir. Özel nitelikli kişisel veri (KVKK m.6) toplanmadığı teyit edilmelidir.]
3. Kişisel Verilerin İşlenme Amaçları
Yukarıdaki kişisel verileriniz, aşağıdaki amaçlarla işlenmektedir:
- Üyelik, oturum ve kimlik doğrulama süreçlerinin yürütülmesi (Google/Telegram/misafir giriş, oturum yönetimi).
- Hizmetin sunulması: oyun hizmetinin sağlanması, eşleştirme, skor/istatistik hesaplama ve gösterimi, oyun geçmişi ve tekrar kayıtlarının tutulması.
- Güvenlik ve kötüye kullanımın önlenmesi: hile, bot/otomasyon, dolandırıcılık ve kötüye kullanımın tespiti ve engellenmesi, hizmetin teknik bütünlüğünün korunması, hata ayıklama (debugging).
- (Yalnızca açık rıza ile) ürün analitiği ve iyileştirme: kullanım eğilimlerinin anlaşılması, ürün ve kullanıcı deneyiminin geliştirilmesi.
- Yasal yükümlülüklerin yerine getirilmesi: ilgili mevzuattan ve yetkili kurum/kuruluşların taleplerinden doğan yükümlülüklerin karşılanması.
4. Kişisel Verilerin Aktarıldığı Taraflar ve Aktarım Amacı
Kişisel verileriniz, yukarıdaki amaçların gerçekleştirilmesiyle sınırlı olarak ve KVKK m.8 ve m.9 hükümleri çerçevesinde aşağıdaki alıcı gruplarına aktarılabilir.
4.1. Yurt İçi / Genel Aktarımlar
- Yetkili kamu kurum ve kuruluşları: hukuki yükümlülük kapsamında ve yalnızca talep edilmesi hâlinde, ilgili mevzuatın öngördüğü sınırlar dâhilinde.
4.2. Yurt Dışına Aktarım (Hizmet ve Barındırma Sağlayıcıları)
Hizmetin teknik altyapısı yurt dışında (ağırlıkla AB) konumlanmış sağlayıcılar üzerinden çalıştığından, kişisel verileriniz aşağıdaki sağlayıcılara yurt dışına aktarılmaktadır:
| Sağlayıcı | Konum | Aktarım amacı / işlenen veri | KVKK m.9 aktarım dayanağı |
|---|---|---|---|
| Hetzner | Almanya (AB) | Uygulama (api), oyun sunucusu (game-server) ve PostgreSQL veritabanı barındırma | Sözleşmenin ifası + uygun güvence ({{AKTARIM_GUVENCESI}}) |
| Vercel | (AB/ABD altyapısı) | Web ön yüzünün barındırılması | Sözleşmenin ifası + uygun güvence ({{AKTARIM_GUVENCESI}}) |
| Cloudflare | (Küresel CDN) | DNS/CDN ve R2 depolama (tekrar kayıtları dâhil) | Sözleşmenin ifası + uygun güvence ({{AKTARIM_GUVENCESI}}) |
| (ABD) | Google OAuth ile kimlik doğrulama | Sözleşmenin ifası + uygun güvence ({{AKTARIM_GUVENCESI}}) | |
| Telegram | (Küresel) | Telegram ile giriş / kimlik doğrulama | Sözleşmenin ifası + uygun güvence ({{AKTARIM_GUVENCESI}}) |
| PostHog | AB (eu.posthog.com) | Ürün analitiği (yalnızca açık rıza ile) | Açık rıza (analitik) |
| Sentry | {{SENTRY_BOLGE}} | Hata izleme / teşhis | Sözleşmenin ifası + uygun güvence ({{AKTARIM_GUVENCESI}}) |
Hetzner, Vercel, Cloudflare, Google, Telegram ve Sentry'ye yapılan aktarımlar Hizmet'in çalışması için zorunlu olup açık rızaya bağlı değildir; bu aktarımlar sözleşmenin ifası ve uygun güvence ({{AKTARIM_GUVENCESI}}) temelinde gerçekleştirilir. Yalnızca analitik aktarımı (PostHog) açık rızaya bağlıdır ve yalnızca rızanız hâlinde yapılır.
[AVUKAT NOTU: her sağlayıcı için m.9 dayanağı (Kurul yeterlilik kararı / standart sözleşme / BCR / istisna) seçilmeli; açık rıza yalnızca arızi yoldur.]
[AVUKAT NOTU: 2024 KVKK m.9 değişiklikleri uyarınca yurt dışına aktarım için hukuki dayanak (Kurul'un yeterlilik kararı / standart sözleşme / bağlayıcı şirket kuralları-BCR / istisnalar) sağlayıcı bazında değerlendirilmeli ve seçilen güvence mekanizması bu metne yansıtılmalıdır. Standart sözleşme kullanılacaksa Kurul'a bildirim yükümlülüğü; Vercel/Cloudflare/Google/Sentry'nin somut veri lokasyonları (AB/ABD) ve her birinin DPA'leri teyit edilmelidir. Telegram'ın veri lokasyonu/güvencesi ayrıca incelenmelidir.]
5. Kişisel Verilerin Toplanma Yöntemi ve Hukuki Sebebi
5.1. Toplama Yöntemi
Kişisel verileriniz; web sitesi (https://cift66.com) ve Telegram Mini App üzerinden, elektronik ortamda otomatik ve kısmen otomatik yollarla toplanır. Veriler; giriş/kimlik doğrulama işlemleriniz (Google OAuth, Telegram initData, misafir oturum), oyunu kullanımınız, oturum/güvenlik çerezleri ile sunucu ve hata izleme kayıtları aracılığıyla elde edilir.
5.2. Hukuki Sebep (KVKK m.5)
Kişisel verileriniz, KVKK m.5'te düzenlenen aşağıdaki hukuki sebeplere dayanılarak işlenir:
| İşleme | KVKK m.5 hukuki sebebi |
|---|---|
| Oyun hizmetinin sunulması, oturum/kimlik doğrulama, skor/istatistik | Sözleşmenin ifası (m.5/2-c) |
| Güvenlik, hile/dolandırıcılık ve kötüye kullanımın önlenmesi | Meşru menfaat (m.5/2-f) |
| Hata izleme / teşhis ve hata ayıklama (Sentry — güvenlik/hata ayıklama) | Meşru menfaat (m.5/2-f) |
| Yasal taleplerin karşılanması | Hukuki yükümlülük (m.5/2-ç) |
| Analitik çerezler ve ürün analitiği (PostHog) | Açık rıza (m.5/1) |
Sentry üzerinden yürütülen hata izleme/teşhis ve hata ayıklama işlemesi, Hizmet'in teknik bütünlüğünün ve güvenliğinin korunması amacıyla meşru menfaat hukuki sebebine dayanır; bu sağlayıcıya yurt dışı aktarımın m.9 dayanağı için bkz. §4.2. Sentry'nin işleme bölgesi: {{SENTRY_BOLGE}}.
Açık rızaya dayalı işlemeler için rızanızı dilediğiniz zaman geri çekebilirsiniz; geri çekme, geri çekme anına kadar yürütülen işlemenin hukuka uygunluğunu etkilemez.
[AVUKAT NOTU: KVKK m.6 kapsamında özel nitelikli kişisel veri işlenmediği esas alınmıştır; teyit edilmelidir. "Meşru menfaat" dayanağı için menfaat dengesi (LIA) testi belgelenmelidir.]
[AVUKAT NOTU: Sentry IP masking/PII scrubbing (sendDefaultPii=false) doğrulanmalı; menfaat dengesi (LIA) testi belgelenmeli.]
6. Kişisel Verilerin Saklanma Süresi
Kişisel verileriniz, işleme amacının gerektirdiği süre boyunca ve ilgili mevzuatta öngörülen zamanaşımı/saklama süreleri saklı kalmak kaydıyla muhafaza edilir:
- Hesap/profil verileri: hesabınız aktif olduğu sürece ve silme talebinize kadar.
- Teknik/güvenlik logları: {{LOG_SAKLAMA}}.
- Tekrar kayıtları (replays): {{REPLAY_SAKLAMA}}.
- Analitik veriler: {{ANALITIK_SAKLAMA}}.
Saklama süresinin sona ermesi veya işleme amacının ortadan kalkması hâlinde kişisel verileriniz silinir, yok edilir veya anonim hâle getirilir.
[AVUKAT NOTU: Saklama süreleri, Şirket'in Saklama ve İmha Politikası ile uyumlu olmalı ve somut sürelerle (gün/ay/yıl) doldurulmalıdır.]
7. İlgili Kişinin Hakları (KVKK m.11)
KVKK m.11 uyarınca, veri sorumlusuna başvurarak kişisel verilerinizle ilgili aşağıdaki haklara sahipsiniz:
- Kişisel verinizin işlenip işlenmediğini öğrenme,
- Kişisel veriniz işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- KVKK m.7'de öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
- (5) ve (6) bentleri uyarınca yapılan işlemlerin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.
8. Başvuru Usulü
KVKK m.13 ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca, m.11'deki haklarınıza ilişkin taleplerinizi aşağıdaki yöntemlerle veri sorumlusuna iletebilirsiniz:
- E-posta: support@cift66.com
- KEP / yazılı başvuru: {{KEP_ADRESI}} adresine güvenli elektronik imzalı/KEP iletisi ile veya Prof. Dr. Ahmet Taner Kışlalı Mah. 2861. Cad. No: 23A/25, Çankaya/Ankara adresine ıslak imzalı yazılı dilekçe ile.
Başvurunuzda; ad-soyad, başvuru yazılı ise imza, T.C. kimlik numarası (veya yabancılar için pasaport/kimlik numarası), tebligata esas adres, varsa bildirime esas e-posta/telefon ile talep konusunun bulunması gerekir. Talebiniz, niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandırılır. İşlemin ayrıca bir maliyet gerektirmesi hâlinde Kurul'ca belirlenen tarifedeki ücret alınabilir.
Başvurunuzun reddedilmesi, verilen yanıtın yetersiz bulunması veya süresinde yanıt verilmemesi hâlinde; öğrenme tarihinden itibaren 30 (otuz) ve her hâlde başvuru tarihinden itibaren 60 (altmış) gün içinde Kişisel Verileri Koruma Kurulu'na şikâyette bulunma hakkınız saklıdır.
[AVUKAT NOTU: Başvuruda kimlik doğrulama yöntemi (özellikle yalnızca e-posta/oyun hesabı ile giriş yapan kullanıcılar için) belirlenmeli; başvuru sahibinin gerçek hak sahibi olduğunun teyidi için izlenecek süreç netleştirilmelidir.]
9. Çerezler
Hizmette kullanılan çerezler ve benzeri teknolojiler hakkında ayrıntılı bilgi [Çerez Politikası]'nda yer alır. Özetle:
- Zorunlu çerezler (rıza gerekmez): "auth_session" (Lucia — birinci taraf, oturum/kimlik doğrulama) ve CSRF/oturum güvenliği çerezleri. Bu çerezler hizmetin çalışması için gereklidir.
- Analitik çerezler (rıza gerekir): PostHog çerezleri ("ph_*"). Yalnızca rıza bannerında onay vermeniz hâlinde yüklenir; reddederseniz yüklenmez.
- Reklam çerezi: Beta aşamasında kullanılmamaktadır.
10. Çocuklara İlişkin Hüküm
Hizmet, asgari {{YAS_SINIRI}} yaşından küçük kişilere yönelik değildir ve bu yaşın altındaki kişilerden bilerek kişisel veri toplanmaz. Yaş sınırının altında olduğunuzu tespit etmemiz hâlinde ilgili hesap ve veriler silinir.
[AVUKAT NOTU: Hizmet gerçek para kumarı olmamakla birlikte, KVKK ve çocukların korunmasına ilişkin mevzuat açısından uygun yaş eşiğinin (öneri: 18+ ya da en az 13+) ve gerekiyorsa ebeveyn/veli rızası mekanizmasının netleştirilmesi gerekir.]
11. Aydınlatma Metnindeki Değişiklikler
Bu Aydınlatma Metni, mevzuattaki değişiklikler veya Hizmet'teki güncellemeler doğrultusunda revize edilebilir. Güncel sürüm her zaman https://cift66.com üzerinden yayımlanır; yürürlük tarihi ve sürüm bilgisi belgenin başında belirtilir.
Bu belge, [Çift 66 Gizlilik Politikası] ve [Kullanım Koşulları] ile birlikte değerlendirilmelidir.
⚠️ Bu belge bir TASLAKTIR; yayına alınmadan önce uzman hukuki görüş gerektirir.