Kişisel Verilerin Korunması ve İşlenmesi Aydınlatma Metni

6698 sayılı KVKK uyarınca veri sorumlusu sıfatıyla hareket eden tüzel kişilik aşağıda belirtilmiştir. Aydınlatma metninde "Şirket" veya "Veri Sorumlusu" ifadeleri bu tüzel kişiliği ifade etmektedir. Veri Sorumlusu, T.C. Kültür ve Turizm Bakanlığı tarafından düzenlenen 6199 sayılı A Grubu Seyahat Acentası İşletme Belgesi ile Buranus Turizm Seyahat Acentası unvanı altında seyahat acentası faaliyetini yürütmektedir.

Veri Sorumlusu, sunulan hizmetin niteliği ve kapsamına bağlı olarak aşağıdaki kişisel veri kategorilerini işleyebilmektedir:

Yukarıda belirtilen kişisel veriler aşağıdaki amaçlarla işlenmektedir:

• Hizmetin ifası: Rezervasyon oluşturma, hizmeti fiilen sunacak taşıyıcıya rezervasyon bilgilerinin aktarılması, şoför ataması, uçuş takibi, hizmet sırasında iletişim ve operasyonel koordinasyon
• Sözleşme yükümlülüklerinin yerine getirilmesi: Mesafeli sözleşmenin kurulması, ödeme tahsilatı, faturalama, iade işlemleri
• Yasal yükümlülüklerin yerine getirilmesi: Vergi Usul Kanunu kapsamında faturalama, Karayolu Taşıma Yönetmeliği ve UETDS (Ulaştırma Elektronik Takip ve Denetim Sistemi) bildirimleri, KVKK ve diğer mevzuat çerçevesindeki yükümlülükler
• Müşteri ilişkileri yönetimi: Şikayet, talep, geri bildirim ve destek süreçlerinin yürütülmesi
• Bilgi güvenliği ve ihtilaf önleme: Audit (denetim) kayıtlarının tutulması, ödeme dolandırıcılığının önlenmesi, hesap güvenliğinin sağlanması, uyuşmazlıkların çözümünde elektronik delil oluşturulması
• Sistem ve hizmet kalitesinin iyileştirilmesi: İstatistiksel analiz, anonimleştirilmiş raporlama, hizmet kalitesinin ölçülmesi
• Ticari elektronik ileti gönderimi (yalnızca açık rıza vermeniz halinde): Kampanya, duyuru, promosyon ve özel teklif bildirimleri

Kişisel verileriniz, KVKK'nın 5. maddesinde belirtilen aşağıdaki hukuki sebeplere dayanılarak işlenmektedir:

• Sözleşmenin kurulması ve ifası (m.5/2-c): Hizmetin sunulması için sözleşmenin doğrudan ifası gerektiği veriler bu kapsamda işlenir.
• Hukuki yükümlülüğün yerine getirilmesi (m.5/2-ç): Vergi, ticari defter, UETDS ve diğer yasal yükümlülükler için gerekli veriler bu kapsamda işlenir.
• Bir hakkın tesisi, kullanılması veya korunması için zorunluluk (m.5/2-e): Uyuşmazlıklarda delil olarak kullanılabilecek kayıtlar bu kapsamda saklanır.
• Veri Sorumlusu'nun meşru menfaati (m.5/2-f): Hizmet kalitesini ölçme, dolandırıcılık önleme, güvenlik logları gibi işleme faaliyetleri bu kapsamda yürütülür (sizin temel hak ve özgürlüklerinize zarar vermemek kaydıyla).
• Açık rıza (m.5/1): Ticari elektronik ileti gönderimi yalnızca açık rızanız üzerine yapılır; rızanızı dilediğiniz zaman geri çekebilirsiniz.

DriveToSky, kendi araç filosu olmayan, çoklu tedarikçili bir transfer pazaryeridir. Hizmetin fiili ifası bağımsız yetkili taşıyıcı firmalar tarafından gerçekleştirilir. Kişisel verileriniz, yukarıda belirtilen amaçlarla ve yalnızca gerekli olduğu ölçüde aşağıdaki taraflarla paylaşılabilir:

• Taşıyıcı / Hizmet İfa Eden Firmalar: Rezervasyonunuza aracılık edilen ve hizmeti fiilen sunacak bağımsız taşıyıcı firmaya, yalnızca hizmetin ifası için gerekli kimlik, iletişim, uçuş ve güzergah bilgileri aktarılır. Taşıyıcı, bu verileri yalnızca hizmetin ifası amacıyla işlemekle ve KVKK'ya uygun şekilde korumakla yükümlüdür.
• Ödeme Hizmeti Sağlayıcıları: Kart işlemlerinin tahsilatı için yetkili sanal POS sağlayıcıları (bankaların sanal POS sistemleri ve ödeme servis sağlayıcıları). Bu taraflar PCI DSS uyumlu olup, ödeme verilerinizi yalnızca işlem amacıyla işler.
• E-Fatura ve Muhasebe Servisleri: Gelir İdaresi Başkanlığı (GİB) onaylı e-fatura entegratörleri, faturalama yükümlülüğünün yerine getirilmesi amacıyla.
• İletişim Servisi Sağlayıcıları: E-posta sunucusu sağlayıcıları, SMS sağlayıcıları, WhatsApp Business altyapısı, push bildirim servisleri (iOS APNs, Android FCM). Yalnızca rezervasyona ilişkin bildirimlerin iletilmesi amacıyla.
• Bulut ve Altyapı Sağlayıcıları: Veri barındırma için kullanılan bulut sunucu sağlayıcıları, CDN (içerik dağıtım ağı), önbellek (cache) ve depolama servisleri. Veriler şifreli olarak saklanır.
• Harita, Konum ve Uçuş Veri Sağlayıcıları: Güzergah hesaplaması ve ETA tahmini için harita servisleri; uçuş takibi için DHMİ ve uçuş veri sağlayıcıları. Bu taraflara yalnızca zorunlu sorgu verisi (örn. uçuş numarası) aktarılır; ek kişisel veri aktarılmaz.
• Kamu Kurumları ve Yetkili Merciler: T.C. Ulaştırma Bakanlığı (UETDS sistemi üzerinden taşımacılık bildirimleri), Gelir İdaresi Başkanlığı (faturalama), mahkemeler, savcılıklar ve yetkili kamu kurumlarının yasal talepleri çerçevesinde.
• Hukuk ve Danışmanlık Hizmetleri: Yasal süreçlerin yürütülmesi ve haklarımızın korunması amacıyla avukat, denetçi ve mali müşavirler.

Hizmetin sürekliliği ve teknik altyapının gerekleri çerçevesinde bazı kişisel verileriniz, yurt dışında bulunan hizmet sağlayıcıların sunucularında işlenebilmektedir. Bu aktarımlar:

• AB ülkelerinde (özellikle Almanya'da) bulunan bulut altyapı sağlayıcılarına (veri barındırma, yedekleme, dosya depolama amacıyla),
• Küresel ölçekte hizmet veren CDN/DNS sağlayıcılarına (site güvenliği ve performansı için),
• Push bildirim ve uçuş veri sağlayıcılarına (mobil bildirim teslimi ve uçuş takibi için zorunlu sorgular için)

yapılmaktadır. Bu aktarımlar, KVKK'nın 9. maddesinde belirtilen koşullar çerçevesinde, yeterli koruma sağlayan ülkelere veya yeterli koruma taahhüdü içeren sözleşmesel güvencelerle gerçekleştirilmektedir. Veriler aktarım sırasında ve depolama anında şifrelidir.

Kişisel verileriniz, işlenme amacının gerektirdiği süre boyunca ve ilgili mevzuatta öngörülen asgari süreler boyunca saklanır. Saklama süreleri, veri kategorisine göre aşağıdaki gibidir:

Kişisel verileriniz aşağıdaki kanallar üzerinden toplanmaktadır:

• Web sitesi üzerinden rezervasyon, üyelik ve iletişim formlarına kendi beyanınızla girdiğiniz bilgiler
• Müşteri hizmetleri ile e-posta, telefon, canlı sohbet veya WhatsApp üzerinden yaptığınız iletişim
• Ödeme işlemlerinizden elde edilen finansal işlem verileri (maskelenmiş olarak)
• Sistem güvenliği için otomatik olarak toplanan teknik veriler (IP, çerez, oturum, log kayıtları)
• Yetkili kamu mercilerinin yasal talepleri çerçevesinde tarafımıza iletilen bilgiler

Veri Sorumlusu, kişisel verilerinizin güvenliğini sağlamak için KVKK m.12 kapsamında uygun teknik ve idari tedbirleri almaktadır:

• Verilerin aktarımı ve depolanması sırasında endüstri standardı şifreleme (TLS/HTTPS, AES-256)
• Şifrelerin tek yönlü kriptografik fonksiyonlarla (bcrypt vb.) saklanması
• Rol bazlı erişim kontrolü ve audit log altyapısı
• Düzenli yedekleme ve veri kayıp önleme prosedürleri
• Çalışanlar için gizlilik sözleşmeleri ve KVKK eğitimi
• Üçüncü taraf hizmet sağlayıcılarla veri işleme ve gizlilik sözleşmeleri
• Sistem ve uygulama düzeyinde periyodik güvenlik kontrolleri

Tüm bu önlemlere rağmen, internet üzerinden gerçekleştirilen veri iletiminde mutlak güvenlik garantisi verilemez. Şüpheli bir durumla karşılaşmanız halinde tarafımıza derhal bildirim yapmanızı rica ederiz.

KVKK'nın 11. maddesi uyarınca, Veri Sorumlusu'na başvurarak aşağıdaki haklarınızı kullanabilirsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• İşlenmişse buna ilişkin bilgi talep etme
• İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
• Eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme
• KVKK'da öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme
• Düzeltme, silme veya yok etme işlemlerinin verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme
• Kanuna aykırı işleme nedeniyle zarara uğramanız halinde zararın giderilmesini talep etme

Yukarıda belirtilen haklarınızı kullanmak için talebinizi:

• Yazılı olarak Veri Sorumlusu'nun yukarıda belirtilen adresine ıslak imzalı dilekçe ile,
• KEP (Kayıtlı Elektronik Posta) yoluyla [email protected] adresine güvenli elektronik imza ile,
• E-posta yoluyla [email protected] adresine, daha önce tarafımıza bildirilmiş ve sistemde kayıtlı e-posta adresinizden,
• Hesap sayfanız üzerinden sunulan başvuru formu aracılığıyla

iletebilirsiniz. Başvurunuzda kimlik bilgilerinizin doğrulanabilmesi için ad-soyad, T.C. kimlik / pasaport numarası, açık adres, talebin konusu ve varsa destekleyici belgeler yer almalıdır.

Başvurunuzun reddedilmesi, verdiğimiz cevabı yetersiz bulmanız veya yasal süre içinde yanıt verilmemesi hallerinde, cevabımızı öğrendiğiniz tarihten itibaren 30 gün ve her halükarda başvuru tarihinden itibaren 60 gün içinde Kişisel Verileri Koruma Kurulu'na şikayette bulunabilirsiniz.

Web sitemizde işlevsel, oturum, analitik ve (rızanız varsa) pazarlama amaçlı çerezler kullanılmaktadır. Çerezlerin türleri, amaçları ve saklama süreleri hakkında detaylı bilgi için Çerez Politikası sayfamızı inceleyebilir, tercihlerinizi çerez yönetim panelinden istediğiniz zaman değiştirebilirsiniz.

İşbu Aydınlatma Metni; yasal mevzuat değişiklikleri, veri işleme süreçlerindeki değişiklikler veya yeni hizmet ya da altyapı bileşenlerinin eklenmesi durumunda güncellenebilir. Güncel metin her zaman web sitemizde yayımlanır ve yapılan rezervasyonlar için onaylandığı tarihteki versiyon geçerli kalır. Önemli değişikliklerde tarafınıza ayrıca bildirim yapılır.