KVKK Aydınlatma Metni

> 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) madde 10 kapsamında hazırlanmıştır.
> Yürürlük tarihi: 30 Nisan 2026 · Versiyon: 1.0

1. Veri Sorumlusunun Kimliği

KVKK madde 3/1-(ı) uyarınca veri sorumlusu sıfatıyla bu metnin muhatabı Biyogaz Akademisi'dir. İletişim bilgileri aşağıdaki gibidir:

  • Tüzel kişi: Biyogaz Akademisi
  • E-posta (KVKK başvuruları): kvkk@biyogazakademisi.com
  • Genel iletişim: info@biyogazakademisi.com
  • Adres: İstanbul, Türkiye
  • Web adresi: https://biyogazakademisi.com

2. İşlenen Kişisel Veri Kategorileri

Biyogaz Akademisi platformu üzerinde aşağıdaki kişisel veri kategorileri toplanmakta ve işlenmektedir:

Kimlik ve iletişim verileri:

  • Ad, soyad, e-posta adresi

  • Kullanıcı adı ve hesap kimliği

  • Şifre (yalnızca bcrypt-hash biçiminde; düz metin tutulmaz)

İşlem ve oturum verileri:
  • Oturum çerezi (PHP session ID, oturum yönetimi için zorunlu)

  • Dil tercihi çerezi (TR/EN seçimi)

  • Çerez onay durumu (yerel localStorage'da tutulur, sunucuya iletilmez)

  • Giriş zamanı, son giriş IP adresi

Bağlantı ve cihaz verileri:
  • IP adresi (request_log tablosunda + ip_geolocation cache'inde)

  • Coğrafi konum bilgisi (IP üzerinden ülke/bölge düzeyinde; açık adres tespiti yapılmaz)

  • Tarayıcı türü ve sürümü, işletim sistemi, cihaz tipi (User-Agent başlığından çıkarsanır)

  • Otonom Sistem Numarası (ASN) ve internet servis sağlayıcısı

Kullanıcı içerik verileri:
  • Yazdığınız yorumlar ve yorum oyları

  • Kayıt ettiğiniz makaleler (yer imleri)

  • Profil bilgileri (biyografi, kurum, ORCID, fotoğraf — yalnızca yazar rolündeki kullanıcılar için)

Aktivite verileri:
  • Makale görüntüleme kayıtları (article_view_log; bot trafiği filtrelenir, IP 30 dakikalık dedupe ile anonim hash olarak saklanır)

  • Makale indirme logu (PDF/Word indirme zamanları)

  • Bülten abonelik durumu, onay tokeni, iptal tokeni

Güvenlik verileri:
  • İki adımlı doğrulama (TOTP) için şifrelenmiş anahtar — yalnızca kullanıcının kendi açık talebi sonrası saklanır

  • Şifre sıfırlama tokeni (15 dakika geçerli, tek kullanım)

  • Başarısız giriş denemesi sayacı (rate limit için)

3. İşleme Amaçları

Yukarıdaki kişisel veriler aşağıdaki amaçlarla işlenmektedir:

  • Hesap oluşturma ve yönetme: Kayıt, giriş, profil güncelleme, şifre yönetimi
  • İçerik sunma: Makale yayını, yorum sistemi, yer imi yönetimi, dil tercihi
  • Bülten gönderimi: Açık rıza ile abonelik, onay (double opt-in), abonelikten çıkış
  • Site güvenliği: Brute-force saldırı önleme (rate limit), oturum güvenliği, iki adımlı doğrulama
  • Yasal yükümlülüklerin yerine getirilmesi: Yetkili merciilerin talebi durumunda log kayıtları
  • İçerik kalitesi ölçümü: Anonim toplam istatistikler (sayfa görüntüleme, makale indirme)
  • Topluluk moderasyonu: Yorumların incelenmesi, spam ve kötü amaçlı içeriğin filtrelenmesi
  • Tesis ekibi iletişimi: Yazar başvuruları ve onay süreci
Pazarlama amaçlı kişisel veri işleme yapılmamaktadır. Site, üçüncü taraf reklam ağı kullanmamakta; herhangi bir reklam çerezi yerleştirmemektedir.

4. Hukuki Sebepler

KVKK madde 5 ve madde 6 uyarınca işleme faaliyetleri aşağıdaki hukuki sebeplerden bir veya birkaçına dayanmaktadır:

İşleme FaaliyetiHukuki Sebep
Hesap oluşturma, giriş, profil yönetimiSözleşmenin kurulması ve ifası (m. 5/2-(c))
Şifre güvenliği, oturum yönetimiVeri sorumlusunun meşru menfaati (m. 5/2-(f))
Bülten kayıt ve gönderimiAçık rıza (m. 5/1)
Yorum yayını, yer imiSözleşmenin ifası (m. 5/2-(c))
Brute-force koruması, log tutmaMeşru menfaat (m. 5/2-(f)) ve yasal yükümlülük (m. 5/2-(a))
İki adımlı doğrulama (TOTP)Açık rıza (m. 5/1, kullanıcı isteğe bağlı etkinleştirir)
IP geolokasyon (ülke düzeyinde)Meşru menfaat — site güvenliği ve coğrafi içerik dağılımı analizi (m. 5/2-(f))

5. Veri Toplama Yöntemleri

Kişisel veriler aşağıdaki yöntemlerle toplanmaktadır:

  • Doğrudan kullanıcı tarafından girilen veriler: Kayıt formu, giriş formu, profil güncellemesi, yorum gönderme, bülten kayıt formu
  • Otomatik teknik veriler: HTTP başlıkları (IP, User-Agent, Referer), oturum çerezleri, dil tercihi çerezi
  • Üçüncü taraf hizmet aracılığıyla: Yalnızca ipinfo.io servisi IP-üzerinden ülke/ASN tespiti için kullanılmakta; bu servise yalnızca IP adresi gönderilmekte, kullanıcı kimlik bilgisi paylaşılmamaktadır
Site Google Analytics, Facebook Pixel, Hotjar gibi üçüncü taraf izleme araçlarını kullanmamaktadır. Tipografi (Source Serif 4, Inter Tight) self-hosted olarak servis edilmekte, Google Fonts CDN çağrısı yapılmamaktadır.

6. Kişisel Verilerin Aktarımı

KVKK madde 8 ve madde 9 kapsamında kişisel verileriniz üçüncü kişilere aktarılmamaktadır. Yalnızca aşağıdaki istisnalar geçerlidir:

  • Yetkili kamu kurum ve kuruluşları: Yargı makamlarının veya KVKK Kurulu'nun yasal taleplerinin karşılanması durumunda
  • Hizmet sağlayıcı (ipinfo.io): IP-coğrafi konum eşleme için yalnızca IP adresi paylaşılır; ABD merkezli ipinfo Inc. ile veri işleyici sözleşmesi çerçevesinde
  • Yurtdışına aktarım: Yukarıdaki tek istisna dışında yurtdışına aktarım yapılmamaktadır

7. Saklama Süreleri

Kişisel veriler işleme amacı ortadan kalktığında veya yasal saklama süresi sona erdiğinde silinir, yok edilir veya anonim hâle getirilir:

Veri KategorisiSaklama Süresi
Hesap bilgileri (e-posta, ad, profil)Hesap aktif olduğu süre + 3 yıl (yasal zamanaşımı için)
Şifre hashŞifre değişikliğinde derhal güncellenir; eski hash saklanmaz
Oturum çereziTarayıcı kapanınca veya 7 gün sonra (uzun süreli oturum)
YorumlarHesap aktif olduğu sürece + makale arşivde kaldığı sürece
IP adresi (request_log)12 ay
IP geolokasyon cache90 gün (anonim, kullanıcıyla bağı yok)
Makale görüntüleme logu24 ay (IP hash'lenmiş halde)
Bülten kayıt verisiAboneliğin iptal edildiği tarihe kadar + 6 ay (yasal kanıt için)
Şifre sıfırlama tokeni15 dakika (kullanılmazsa otomatik silinir)
Başarısız giriş sayacı24 saat
2FA gizli anahtarıKullanıcı 2FA'yı devre dışı bırakana kadar

8. KVKK Madde 11 — Veri Sahibi Hakları

Kanun'un 11. maddesi uyarınca kullanıcı olarak aşağıdaki haklara sahipsiniz:

  1. Kişisel verilerinizin işlenip işlenmediğini öğrenme
  2. İşlenmişse buna ilişkin bilgi talep etme
  3. Verilerin işlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme
  4. Yurt içi veya yurt dışında verilerin aktarıldığı üçüncü tarafları öğrenme
  5. Verilerin eksik veya yanlış işlenmiş olması durumunda düzeltilmesini isteme
  6. Yasal şartlar çerçevesinde verilerin silinmesini veya yok edilmesini isteme
  7. Yapılan düzeltme, silme veya yok etme işleminin verilerin aktarıldığı üçüncü taraflara bildirilmesini isteme
  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme
  9. Verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme

9. Başvuru Yolları

Yukarıdaki haklarınızı kullanmak için aşağıdaki yöntemlerden biriyle başvurabilirsiniz:

  • E-posta ile: kvkk@biyogazakademisi.com adresine kimliğinizi tevsik edici belgelerle birlikte talep gönderme
  • Yazılı olarak: Biyogaz Akademisi · KVKK Başvurusu · İstanbul, Türkiye adresine iadeli taahhütlü posta ile
  • Hesap üzerinden: Giriş yaptıktan sonra Dashboard → Hesap Ayarları → Veri Talebi seçeneğiyle (yakında devreye alınacaktır)
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca başvurularınız en geç 30 gün içinde yanıtlanır. Başvurunuzun reddi, verilen yanıtın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâlinde Kişisel Verileri Koruma Kurulu'na şikâyet yolu açıktır.

10. Güvenlik Önlemleri

Veri sorumlusu sıfatıyla aşağıdaki teknik ve idari önlemler alınmaktadır:

  • Şifre güvenliği: Bcrypt cost 12 ile hash'leme; düz metin saklanmaz
  • Oturum güvenliği: HttpOnly + Secure çerezler, CSRF token koruması
  • İki adımlı doğrulama (TOTP): Tüm hesaplara açık, RFC 6238 uyumlu
  • Brute-force koruması: 15 dakikada 5 başarısız giriş sonrası geçici kilit
  • Veri yedekleme: Günlük otomatik yedekleme, 30 gün retention
  • Ağ güvenliği: Tüm trafik HTTPS (TLS 1.2+) üzerinden, HSTS başlığı aktif
  • Veri minimizasyonu: Yalnızca işleme amacı için gerekli olan veriler toplanır

11. Çerez Politikası

Site aşağıdaki çerez kategorilerini kullanır:

  • Zorunlu çerezler (rıza gerekmez): Oturum çerezi (PHP session), CSRF token, dil tercihi
  • İşlevsel çerezler (rıza gerekmez): Çerez onay durumu (yalnızca localStorage'da tutulur)
  • Analitik veya pazarlama çerezleri: Yerleştirilmez
Çerez tercihiniz site sayfasının altında belirir; "Reddet" seçimi durumunda dahi yalnızca zorunlu çerezler aktif kalır.

12. Güncelleme

Bu Aydınlatma Metni veri işleme süreçlerindeki değişikliklere bağlı olarak güncellenebilir. Önemli değişikliklerde kayıtlı kullanıcılara e-posta ile bilgilendirme yapılacaktır. Güncel sürüm her zaman bu sayfada yayımlanır.

---

İlgili dokümanlar: Gizlilik Politikası · Kullanım Şartları · İletişim