Gizlilik Politikası ve KVKK Aydınlatma Metni

1. Veri Sorumlusu

Bu web sitesinin veri sorumlusu Oğuzhan Sert'tir (gerçek kişi, İstanbul, Türkiye). Kişisel verilerinizle ilgili her türlü soru, talep ve şikâyet için info@oguzhansert.dev adresinden iletişime geçebilirsiniz. KVKK md. 3/1-ı kapsamında veri sorumlusu olarak hareket etmekteyim.

2. Topladığımız Veri Kategorileri

Bu site çoğunlukla pasif bir portföy + blog yüzeyidir; kayıt formu, yorum sistemi veya bülten aboneliği yoktur. Toplanan veriler aşağıdaki dar kategorilere düşer:

Ziyaretçi tarafı (sizin tarayıcınızda)

• NEXT_LOCALE çerezi — dil tercihinizi 1 yıl saklar.
• cookie-notice-ack localStorage anahtarı — çerez bildirimini kapattığınızı kaydeder; sunucuya gönderilmez.

Yönetici tarafı (yalnızca operatör için)

• admin-token çerezi — operatörün yönetici paneline kimlik doğrulaması (24 saat TTL).
• admin_otps tablosu — yönetici e-postası (düz metin, küçük harfe normalize), 6 haneli kodun SHA-256 hash'i, başarısız deneme sayacı (max 5), IP adresi, tarayıcı user-agent (10 dk TTL).
• admin_sessions tablosu — oturum tokenının SHA-256 hash'i, IP, user-agent, son aktivite zaman damgası, iptal zaman damgası (24 saat TTL).
• audit_log tablosu — yönetici işlem kayıtları (90 gün TTL). /api/admin/email üzerinden gönderilen giden e-postalarda alıcı adresi ve en fazla 100 karakterlik gövde önizlemesi de bu tabloya yazılır.

Üçüncü taraf

• Cloudflare uç sunucuları kendi gizlilik politikası kapsamında bağlantı meta verilerini (IP, talep zamanı) tutar — bkz. cloudflare.com/privacypolicy.

Cihazınıza hiçbir analitik, reklam veya üçüncü taraf takip çerezi yerleştirilmez.

3. İşleme Amaçları ve Hukuki Sebepler (KVKK md. 5)

| Veri Kategorisi | Amaç | Hukuki Sebep | |---|---|---| | NEXT_LOCALE | Dil tercihinin doğru sunulması | KVKK 5/2-f (meşru menfaat) | | cookie-notice-ack | Çerez bildirimi tekrarının önlenmesi | KVKK 5/2-f (meşru menfaat) | | admin-token + admin_sessions + admin_otps | Yönetici hesabının korunması | KVKK 5/2-c (sözleşmenin ifası) + 5/2-f (meşru menfaat) | | audit_log | Yönetici işlemlerinin denetlenebilmesi, KVKK md. 12 güvenlik tedbiri | KVKK 5/2-ç (yasal yükümlülük) | | Cloudflare bağlantı meta verisi | Sitenin teknik dağıtımı, DDoS koruması | KVKK 5/2-c + 5/2-f | | Resend / Google Gemini (yalnızca operatör eylemleri) | Yönetici OTP e-postası, yönetici metin iyileştirme | KVKK 5/2-c + 9/1; GDPR 49(1)(b) |

4. Veri Saklama Süreleri (KVKK md. 7 + GDPR Art. 5(1)(e))

• admin_otps → 10 dakika (TTL üzerine cron silme)
• admin_sessions → 24 saat (revoke edilirse anlık silme; cron purge revoked-or-expired tüm satırları temizler)
• audit_log → 90 gün (cron silme)
• NEXT_LOCALE → 1 yıl (tarayıcı kontrolünde)
• admin-token → 24 saat (tarayıcı kontrolünde)
• cookie-notice-ack → süresiz (tarayıcı kontrolünde, kullanıcı temizleyebilir)

Cron silme /api/admin/cron/purge üzerinden günlük tetiklenir.

5. Yurt Dışı Aktarım ve Veri İşleyenler

| İşleyen | Kategori | Konum | Güvenceler | |---|---|---|---| | Supabase (kendi VPS'imizde) | İçerik depolama | Hostinger VPS, AB | Self-hosted, JWT auth, RLS | | Cloudflare | CDN + DDoS | Anycast, ABD HQ | KVKK 9/1 (sözleşme); SCC | | Resend Inc. | Operatör e-postası | ABD | Yalnızca operatöre OTP gider; ziyaretçi e-postası gönderilmez | | Google Gemini API | Operatör metin iyileştirme | ABD | Yalnızca operatörün kendi yazdığı metin gönderilir; ziyaretçi verisi gönderilmez |

Sentry hata izleme şu anda devre dışıdır; operatör ileride etkinleştirirse, etkinleştirmeden önce bu bildirim güncellenecektir.

6. Haklarınız (KVKK md. 11 + GDPR md. 15-22)

(a) Kişisel verilerinizin işlenip işlenmediğini öğrenme, (b) İşlenmişse buna ilişkin bilgi talep etme, (c) İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, (ç) Yurt içinde / yurt dışında aktarıldığı üçüncü kişileri bilme, (d) Eksik / yanlış işlenmişse düzeltilmesini isteme, (e) KVKK md. 7 koşulları çerçevesinde silinmesini / yok edilmesini isteme (unutulma hakkı), (f) (d) ve (e) bentleri uyarınca yapılan işlemlerin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, (g) Otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme, (h) Kanuna aykırı işleme nedeniyle zarara uğramanız hâlinde zararın giderilmesini talep etme.

GDPR kapsamında ayrıca veri taşınabilirliği (Art. 20) ve yetkili denetim makamına şikayet (Art. 77) hakkınız bulunur.

7. İletişim Kanalı

Yukarıdaki haklarınızdan birini kullanmak için info@oguzhansert.dev adresine "Gizlilik Talebi" konusuyla e-posta gönderin. Talepler en geç 30 gün içinde ücretsiz yanıtlanır. KVKK Kurulu'na şikayet için: kvkk.gov.tr.

8. Politika Güncellemeleri

Bu metin değiştirildiğinde başlıktaki "Son güncelleme" tarihi yenilenir. Önemli değişikliklerde bildirim, ana sayfada üstte gösterilen bir banner ile yapılır.