Gizlilik Politikası

Kişisel verilerinizin işlenmesinden sorumlu veri sorumlusu HotelMaster Turizm Teknoloji A.Ş. ("HotelMaster", "biz") olup İstanbul, Türkiye'de faaliyet göstermektedir. E-posta: info@hotelmaster.com Web: hotelmaster.com AB/AEA'da ikamet eden kullanıcılar için: HotelMaster, 2016/679 Sayılı Genel Veri Koruma Tüzüğü (GDPR) kapsamında veri sorumlusu sıfatıyla hareket eder. Türkiye, Avrupa Komisyonu tarafından henüz yeterli koruma sağlayan ülke olarak tanınmamış olup AB kaynaklı veri aktarımları Madde 46 kapsamındaki uygun güvencelerle (Standart Sözleşme Maddeleri — SCC) gerçekleştirilmektedir.

Kimlik Verileri: Ad, soyad, doğum tarihi, T.C. kimlik numarası (yalnızca yasal zorunluluk halinde), pasaport numarası ve uyruk (uluslararası rezervasyonlar için). İletişim Verileri: E-posta adresi, telefon numarası, posta/fatura adresi. Rezervasyon ve Seyahat Verileri: Konaklama tarihleri, destinasyon, oda tipi, misafir listesi, özel talepler (erişilebilirlik gereksinimleri, diyet tercihleri vb.), uçuş/transfer bilgileri. Finansal Veriler: Ödeme türü (kredi kartı, banka kartı), fatura bilgisi, işlem kimliği ve iade kayıtları. Kart numarası, CVV ve son kullanma tarihi HotelMaster sunucularında saklanmaz; bu veriler PCI DSS uyumlu ödeme kuruluşu (PayTR / iyzico) tarafında tokenize edilir. Cihaz ve Teknik Veriler: IP adresi, tarayıcı türü ve sürümü, işletim sistemi, cihaz türü, ekran çözünürlüğü, bağlantı süresi. Kullanım Verileri: Ziyaret edilen sayfalar, tıklama ve arama geçmişi, filtre tercihleri, platform üzerinde geçirilen süre, dönüşüm hunisi verileri. Çerez ve İzleme Verileri: Oturum tanımlayıcıları, tercih çerezleri, analitik ve pazarlama çerezleri. Kimlik Doğrulama Verileri: OAuth sağlayıcılarından (Google, Apple) alınan erişim token'ları ve passkey (FIDO2) kimlik bilgileri.

Doğrudan Siz: Hesap oluşturma, rezervasyon, ödeme, form doldurma, müşteri hizmetlerine başvurma veya yorum yazma sırasında toplarız. Otomatik Olarak: Platform'u kullandığınızda teknik ve kullanım verileri otomatik olarak toplanır (çerezler, sunucu logları, analitik araçlar). Üçüncü Taraf Kaynaklardan: Google veya Apple ile sosyal giriş yaptığınızda bu platformların izin verdiği profil bilgilerini alırız. Tedarikçilerimizden rezervasyon teyidi veya değişiklik bildirimleri alınabilir.

Her işleme faaliyeti aşağıdaki hukuki dayanaklardan birine veya birkaçına dayanmaktadır: Sözleşmenin Kurulması veya İfası (KVKK m.5/2-c | GDPR m.6/1-b): Rezervasyon oluşturma, ödeme tahsilatı, iptal ve iade işlemleri, müşteri hizmetleri. Yasal Yükümlülük (KVKK m.5/2-ç | GDPR m.6/1-c): Vergi mevzuatı (VUK kapsamında 10 yıl), 5651 sayılı Kanun uyarınca internet log tutma (2 yıl), turizm mevzuatı bildirimleri, kara para aklamanın önlenmesine ilişkin düzenlemeler. Meşru Menfaat (KVKK m.5/2-f | GDPR m.6/1-f): Dolandırıcılık tespiti, platform güvenliği, hizmet kalitesi analizi, çalışma yapısının iyileştirilmesi. Bu çıkarlar, bireysel veri koruma haklarınızdan üstün değildir. Açık Rıza (KVKK m.5/1 | GDPR m.6/1-a): Pazarlama e-postaları, kişiselleştirilmiş kampanya önerileri ve pazarlama çerezleri. Bu rızanı dilediğin zaman geri alabilirsin; geri alma, önceki işlemlerin hukukiliğini etkilemez.

Hizmet Sunumu: Rezervasyon işlemlerinin oluşturulması, yönetilmesi ve onaylanması; ödeme tahsilatı; otel, tur ve transfer sağlayıcılarıyla koordinasyon. Müşteri Hizmetleri: Sorularınıza yanıt verme, şikayetlerin çözüme kavuşturulması, reservasyon değişikliği ve iptalleri. Güvenlik ve Dolandırıcılık Önleme: Şüpheli işlemlerin tespiti, hesap güvenliğinin sağlanması, kötüye kullanım takibi. Risk skorlaması otomatik karar almayı içerebilir; itiraz hakkınız saklıdır. Hizmet İyileştirme: Kullanım analizleri, A/B testleri, performans izleme, yeni özellik geliştirme. Pazarlama (yalnızca rıza ile): Kişiselleştirilmiş otel ve tur önerileri, indirim ve kampanya bildirimleri, bültenler. Her iletişim kanalının alt kısmındaki "abonelikten çık" bağlantısını kullanarak kolayca vazgeçebilirsiniz. Yasal Uyum: Vergi beyannameleri, resmi makam talepleri, dava süreçleri.

Kişisel verileriniz, aşağıdaki kategoriler dışında üçüncü kişilerle paylaşılmaz. Verileriniz hiçbir koşulda ticari amaçla satılmaz. Tedarikçiler (Otel, Tur, Transfer, Araç): Rezervasyonunuzun tamamlanabilmesi için zorunlu olan veriler (ad-soyad, konaklama tarihleri, özel talepler) paylaşılır. Ödeme Kuruluşları: PayTR Ödeme ve Elektronik Para Hizmetleri A.Ş. ve iyzico; yalnızca ödeme işleminin gerçekleştirilmesi amacıyla, PCI DSS uyumlu altyapı dahilinde. B2B Envanter Sağlayıcıları: RateHawk, Viator ve benzeri uluslararası sağlayıcılar; rezervasyon sorgulama ve teyidi için gerekli minimum veri. Yurt dışına aktarım söz konusu olduğunda KVKK m.9 ve GDPR m.46 kapsamındaki uygun güvenceler uygulanır. Teknik Altyapı Sağlayıcıları: E-posta gönderim servisi, bulut barındırma (sunucu), hata izleme (Sentry), analitik (Google Analytics). Bu sağlayıcılarla veri işleme sözleşmeleri (DPA) mevcuttur. Yetkili Kamu Kurumları: Mahkeme kararı, savcılık talebi veya yasal düzenleme gereği. HotelMaster, mümkün olan her durumda sizi önceden bilgilendirir. Grup Şirketleri: HotelMaster'ın iştirak veya grup şirketlerine, yalnızca iş süreçlerinin yürütülmesi amacıyla.

Bazı hizmet sağlayıcılarımız ve envanter ortaklarımız Türkiye dışında faaliyet göstermektedir. Bu aktarımlarda: AB/AEA kaynaklı veriler için: GDPR Madde 46 kapsamındaki Standart Sözleşme Maddeleri (SCC) uygulanır. Türkiye'deki kullanıcılar için: KVKK Madde 9 kapsamında açık rıza veya Kişisel Verileri Koruma Kurulu'nun belirlediği yeterli koruma şartları sağlanır. RateHawk (Rusya/Kıbrıs merkezli) ve Viator (TripAdvisor grubu, ABD) ile yapılan aktarımlarda KVKK ve GDPR kapsamındaki sözleşmesel güvenceler uygulanmaktadır.

Kişisel verileriniz, amaç ortadan kalktığında veya yasal saklama süresi dolduğunda silinir, yok edilir veya anonim hale getirilir. Vergi ve muhasebe kayıtları: 10 yıl (Vergi Usul Kanunu m.253). Rezervasyon ve sözleşme verileri: 10 yıl (Türk Borçlar Kanunu genel zamanaşımı). İnternet log kayıtları: 2 yıl (5651 sayılı Kanun). Pazarlama verileri: Rızanızı geri alana kadar, en fazla 2 yıl. Hesap verileri: Hesap silinene veya 3 yıl boyunca işlem yapılmayan hesaplarda. Müşteri hizmetleri yazışmaları: 3 yıl. Dolandırıcılık/güvenlik olayı kayıtları: 5 yıl. Hesabınızı sildiğinizde, yukarıdaki zorunlu yasal süreler dışındaki kişisel verileriniz 30 gün içinde silinir veya anonim hale getirilir.

Zorunlu Çerezler: Platform'un temel işlevleri için gereklidir (oturum yönetimi, güvenlik doğrulaması, sepet). Devre dışı bırakılamaz; rıza gerektirmez. Fonksiyonel Çerezler: Dil tercihi, para birimi ve arama filtresi gibi kişiselleştirme ayarlarını hatırlar. Devre dışı bırakılabilir; bazı özellikler etkilenebilir. Analitik Çerezler: Platform kullanım istatistiklerini toplar (Google Analytics 4). Veriler anonim veya takma adla işlenir. Tarayıcı eklentisi veya çerez tercihleri ile devre dışı bırakılabilir. Pazarlama Çerezleri: Kişiselleştirilmiş reklam ve öneriler için kullanılır. Yalnızca açık rızanızla etkinleştirilir; istediğiniz zaman çerez tercihleri panelinden devre dışı bırakılabilir. Çerez tercihleri için platform alt bilgisindeki "Çerez Ayarları" bağlantısını kullanabilir veya tarayıcınızın ayarlarından çerezleri yönetebilirsiniz.

Kişisel verilerinizin korunması için aşağıdaki teknik ve idari önlemler uygulanmaktadır: Transport Layer Security (TLS 1.2+): Tüm iletişim uçtan uca şifreli kanallar üzerinden gerçekleştirilir. Veri Şifreleme: Hassas veriler veritabanında AES-256 ile şifrelenir. PCI DSS Uyumluluğu: Ödeme bilgileri doğrudan HotelMaster sistemlerinden geçmez; tokenizasyon uygulanır. Erişim Kontrolü: Kişisel verilere yalnızca ilgili iş fonksiyonu kapsamında yetkilendirilmiş personel erişebilir; rol tabanlı erişim denetimi (RBAC) uygulanmaktadır. Güvenlik İzleme: Sentry ve özel log sistemleri aracılığıyla sürekli izleme yapılmaktadır. Düzenli Testler: Düzenli güvenlik değerlendirmeleri ve güvenlik açığı taramaları gerçekleştirilmektedir. Güvenlik İhlali Bildirimi: Kişisel verilerinizi etkileyen bir güvenlik ihlali tespit edilmesi durumunda KVKK mevzuatı ve GDPR Madde 33-34 uyarınca; Kişisel Verileri Koruma Kurumu'na 72 saat içinde, etkilenen bireyler ise makul süre içinde bilgilendirilecektir.

KVKK Kapsamındaki Haklar (Tüm Kullanıcılar — KVKK m.11): • Kişisel verilerinizin işlenip işlenmediğini öğrenme • İşlenmiş ise buna ilişkin bilgi talep etme • İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme • Yurt içinde veya dışında aktarıldığı üçüncü kişileri öğrenme • Eksik veya yanlış işlenmişse düzeltilmesini isteme • KVKK m.7 çerçevesinde silinmesini veya yok edilmesini isteme • Üçüncü kişilere yapılan düzeltme/silme işlemlerinin bildirilmesini isteme • Münhasıran otomatik sistemlerle analiz sonucu ortaya çıkan kararına itiraz etme • Kanuna aykırı işleme nedeniyle uğradığınız zararın giderilmesini talep etme GDPR Kapsamındaki Ek Haklar (AB/AEA'da İkamet Eden Kullanıcılar): • Erişim hakkı (m.15): İşlenen verilerinizin kopyasını talep edebilirsiniz. • Düzeltme hakkı (m.16): Yanlış verilerin düzeltilmesini isteyebilirsiniz. • Silme hakkı / "Unutulma hakkı" (m.17): Belirli koşullarda verilerinizin silinmesini talep edebilirsiniz. • İşlemenin kısıtlanması (m.18): Verilerinizin işlenmesini belirli koşullarda kısıtlatabilirsiniz. • Veri taşınabilirliği (m.20): Verilerinizin tarafınıza veya başka bir veri sorumlusuna yapılandırılmış formatta iletilmesini talep edebilirsiniz. • İtiraz hakkı (m.21): Meşru menfaate dayalı işlemlere itiraz edebilirsiniz. • Denetim otoritesine şikâyet: AB'deki yetkili Veri Koruma Otoritesi'ne (DPA) şikâyette bulunabilirsiniz. CCPA Kapsamındaki Haklar (Kaliforniya, ABD'de İkamet Eden Kullanıcılar): • Toplanan kişisel bilgileri öğrenme hakkı • Kişisel bilgilerin silinmesini talep etme hakkı • Kişisel bilgilerin "satışını" veya "paylaşımını" durdurma hakkı (HotelMaster verilerinizi satmamaktadır) • Doğru olmayan bilgilerin düzeltilmesini talep etme hakkı • Bu hakları kullandığınız için ayrımcılığa maruz kalmama hakkı Başvuru: Haklarınızı kullanmak için info@hotelmaster.com adresine, konu satırında "Veri Sahibi Başvurusu" belirterek e-posta gönderin. Başvurularınız 30 gün içinde yanıtlanır (GDPR kapsamında yasal süre 1 aydır; gerekirse 2 ay daha uzatılabilir).

Platform, 18 yaşın altındaki bireylere yönelik değildir. 18 yaşından küçük kullanıcılardan bilerek kişisel veri toplamıyoruz. 18 yaşından küçük bir kullanıcıya ait verilerin yanlışlıkla toplandığını fark etmemiz durumunda söz konusu verileri derhal sileriz. AB/AEA'da ikamet eden 16 yaşından küçük kullanıcılar için rıza, velayet hakkına sahip ebeveyn veya yasal vasi tarafından verilmeli ya da onaylanmalıdır (GDPR m.8). Bu konuda endişeniz varsa info@hotelmaster.com adresine bildirin.

Bu Gizlilik Politikasını gerektiğinde güncelleyebiliriz. Önemli değişiklikler, yürürlük tarihinden en az 30 gün önce kayıtlı e-posta adresinize bildirilir ve bu sayfada duyurulur. Kişisel verilerinize ilişkin talepler, sorular veya şikayetler için: E-posta: info@hotelmaster.com Türkiye'deki Denetim Otoritesi: Kişisel Verileri Koruma Kurumu (KVKK) Web: kvkk.gov.tr AB/AEA'daki Denetim Otoritesi: İkamet ettiğiniz AB üyesi ülkenin ulusal Veri Koruma Otoritesi. (DPA dizini: edpb.europa.eu/about-edpb/board/members_en) Bu politikanın güncel haline her zaman hotelmaster.com/privacy-policy adresinden ulaşabilirsiniz.