naftalan.health | Gizlilik Politikası

GİZLİLİK POLİTİKASI

naftalan.health Platformu

Son güncellenme: 06.06.2025 | Versiyon: 1.0

Alexandr Umanet | naftalan.health

Bu Gizlilik Politikası ("Politika"), Alexandr Umanet'in ("Operatör") naftalan.health platformunun ("Platform") ziyaretçi ve müşterilerinin kişisel verilerini nasıl topladığını, kullandığını, sakladığını ve koruduğunu belirtir.

Bu Politika, Genel Veri Koruma Tüzüğü (AB) 2016/679'a (GDPR) ve ayrıca İsrail'deki (Kişisel Verilerin Korunması Kanunu, 5741-1981) ve Türkiye'deki (6698 Sayılı Kişisel Verilerin Korunması Kanunu, KVKK) geçerli veri koruma mevzuatına uygun olarak uygulanmaktadır.

naftalan.health'e erişerek veya kullanarak, bu Politikayı okuduğunuzu, anladığınızı ve kabul ettiğinizi onaylarsınız. Şartlarını kabul etmiyorsanız, lütfen Platform'u kullanmayın.

1. Operatör Tanımlaması

Operatör	Alexandr Umanet
Platform	naftalan.health
E-posta	info@naftalan.health
Yer	Kişinev, Moldova Cumhuriyeti
Denetleyici Otorite (AB)	Ülkenizin veri koruma otoritesi — edpb.europa.eu/about-edpb/board/members_en
Denetleyici Otorite (İL)	Gizlilik Koruma Kurumu — gov.il/en/departments/the_privacy_protection_authority
Denetleyici Otorite (TR)	Kişisel Verileri Koruma Kurumu (KVKK) — kvkk.gov.tr

2. Tanımlar

Bu Politika'nın amaçları doğrultusunda, aşağıdaki terimler aşağıda belirtilen anlamlara sahiptir:

• "Kişisel veri" — kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (ad, doğum tarihi, telefon numarası, e-posta adresi, pasaport verileri, sağlık bilgileri vb.);

• "Operatör" / "Veri Sorumlusu" — kişisel verilerin işleme amaçlarını ve araçlarını belirleyen gerçek kişi olan Alexandr Umanet;

• "Kullanıcı" — ödeme yapmış olsun ya da olmasın, naftalan.health'e erişen veya onunla etkileşimde bulunan herhangi bir gerçek kişi;

• "Müşteri" — 150 € hizmet ücretini ödemiş ve Operatör ile Hizmet Sözleşmesi imzalamış bir Kullanıcı;

• "İşleme" — kişisel veriler üzerinde gerçekleştirilen her türlü işlem: toplama, kaydetme, saklama, değiştirme, çıkarma, kullanma, aktarma, silme vb.;

• "Hassas veri" — GDPR Madde 9 uyarınca özel korumadan faydalanan sağlık durumuna ilişkin veriler;

• "Çerez" — Kullanıcı Platform'u ziyaret ettiğinde Kullanıcının cihazında depolanan küçük bir veri dosyası.

3. Toplanan Veriler ve Toplama Amacı

3.1. Kullanıcı Tarafından Doğrudan Sağlanan Veriler

naftalan.health'i kullanırken, Operatör Kullanıcı tarafından doğrudan sağlanan aşağıdaki kişisel veri kategorilerini toplayabilir:

• Tam ad — kimlik tespiti ve hizmet koordinasyonu amaçları için;

• Doğum tarihi — Naftalan yağı terapisi için uygunluğu ve elverişliliği değerlendirmek için;

• İletişim telefon numarası — koordinasyon, planlama ve yerinde destek ile ilgili iletişim için;

• E-posta adresi — rezervasyon onayları, Hizmet Sözleşmesi ve ilgili seyahat bilgilerini göndermek için;

• Pasaport veya kimlik belgesi numarası, seri ve son kullanma tarihi — uçuş optimizasyonu ve sanatoryum erişim düzenlemeleri için gereklidir;

• Ödeme verileri — Stripe veya PayPal aracılığıyla çevrimiçi ödeme durumunda; Operatör kart veya ödeme hesap verilerini saklamaz;

• Sağlık geçmişi bilgileri — Kişiye özel tıbbi yönlendirme danışmanlığı sırasında (sözlü, e-posta veya mesajlaşma yoluyla) Müşteri tarafından gönüllü olarak paylaşılan, sanatoryum ve tedavi tavsiyesini kişiselleştirme amacı hariç. Bu, GDPR Madde 9 uyarınca hassas veri teşkil eder.

3.2. Koordinasyon Sırasında Paylaşılan Veriler

E-posta (Zoho Mail), WhatsApp, Telegram ve telefon görüşmeleri aracılığıyla yürütülen koordinasyon süreci boyunca Müşteri, seyahat tercihleri, sağlık güncellemeleri, seyahat belgesi detayları ve lojistik bilgiler dahil olmak üzere seyahatiyle ilgili ek kişisel verileri paylaşabilir. Bu tür tüm veriler, Platform'un rezervasyon formu aracılığıyla toplanan verilerle aynı düzeyde korumayla ele alınır.

Müşteriye, mesajlaşma platformları aracılığıyla hassas finansal verileri (kart numaraları, bankacılık şifreleri) paylaşmaması tavsiye edilir. Ödeme yalnızca Stripe veya PayPal aracılığıyla işlenir.

3.3. Sağlık Verileri — Özel Kategori

Müşteri tarafından paylaşılan sağlık bilgileri, GDPR Madde 9 uyarınca özel kategori verileri teşkil eder ve en yüksek düzeyde korumadan faydalanır. Özel olarak şunlar için toplanır:

• Kişiselleştirilmiş tıbbi yönlendirme danışmanlığı sırasında, Naftalan yağı terapisi için uygunluğu değerlendirmek ve en uygun sanatoryum ve tedavi programını önermek;

• Sanatoryum tarafından tıbbi kabul amaçları için gerektiğinde.

Sağlık verilerini işlemenin yasal dayanağı, tıbbi yönlendirme danışmanlığı sırasında verilen Müşterinin açık rızasıdır. Sağlık verileri, ayrılan sanatoryum dışında üçüncü taraflarla asla paylaşılmaz ve yalnızca tıbbi kabul için gerekli olduğu ölçüde paylaşılır.

3.4. Otomatik Olarak Toplanan Veriler

naftalan.health'e erişirken, sistem Kullanıcıyı doğrudan tanımlamadan aşağıdaki teknik verileri otomatik olarak toplayabilir:

• Cihazın IP adresi;

• Tarayıcı türü ve sürümü;

• İşletim sistemi;

• Ziyaret edilen sayfalar ve oturum süresi;

• Trafik kaynağı (Platform'a nasıl ulaştınız);

• IP adresinden türetilen genel coğrafi konum (ülke / şehir düzeyi).

Bu veriler, bu Politika'nın 9. Bölümünde ayrıntılı olarak açıklanan trafik analiz araçları (Google Analytics) ve çerezler aracılığıyla toplanır.

4. İşlemenin Yasal Dayanağı

Operatör, GDPR uyarınca aşağıdaki yasal dayanaklara göre kişisel verileri işler:

Yasal Dayanak	Uygulama Kapsamı
Bir sözleşmenin yerine getirilmesi (Madde 6(1)(b))	Hizmet Sözleşmesinin imzalanması ve yerine getirilmesi için gerekli olan işlemler: rezervasyon, koordinasyon, sanatoryum yönlendirmesi, seyahat belgeleri.
Açık rıza (Madde 6(1)(a) + Madde 9(2)(a))	Sağlık verilerinin işlenmesi; pazarlama/analitik çerezlerinin etkinleştirilmesi; koordinasyon için mesajlaşma platformlarının kullanılması.
Yasal yükümlülük (Madde 6(1)(c))	Geçerli yasaya uygun olarak finansal ve mali kayıtların saklanması.
Meşru menfaat (Madde 6(1)(f))	Platform hizmetlerinin geliştirilmesi; sahtekarlığın önlenmesi; web trafiği analizi.

5. İşleme Amaçları

naftalan.health aracılığıyla toplanan kişisel veriler, yalnızca aşağıdaki amaçlar için işlenir:

• Naftalan Health Navigator hizmeti için rezervasyonların işlenmesi ve yönetimi;

• Kişiselleştirilmiş tıbbi yönlendirme danışmanlığının yürütülmesi ve sanatoryum tavsiyesinin hazırlanması;

• Koordinasyon, planlama, belgeler ve yerinde destek ile ilgili Müşteri ile iletişim kurulması;

• Gerekli verilerin rezervasyon yapılan sanatoryuma ve uygun olduğunda, havayolları ve transfer operatörlerine iletilmesi (Bölüm 6'ya bakınız);

• Hizmet Sözleşmesinin düzenlenmesi ve ilgili belgelerin yönetilmesi;

• Stripe ve PayPal aracılığıyla ödemelerin işlenmesi;

• Platform içeriğinin kişiselleştirilmesi ve kullanıcı deneyiminin iyileştirilmesi;

• Platform trafiğinin ve kullanıcı davranışının analizi (Google Analytics);

• Yalnızca önceden rıza ile pazarlama iletişimi ve reklam yeniden hedeflemesi gönderilmesi;

• Anlaşmazlıkların çözümlenmesi ve şikayetlerin yönetimi;

• Operatörün yasal yükümlülüklerinin yerine getirilmesi.

6. Verilerin Üçüncü Taraflara Aktarılması

6.1. Rezervasyon Yapılan Sanatoryum

Müşterinin rezervasyonunu kesinleştirmek ve sözleşmeli hizmetlere erişimi sağlamak için Operatör, rezervasyon yapılan sanatoryuma tıbbi kabul ve konaklama için gerekli olan minimum verileri iletir: tam ad, doğum tarihi, iletişim telefon numarası ve sanatoryumun tıbbi protokolü gerektirdiğinde ilgili sağlık geçmişi bilgileri (Müşteri onayıyla).

Operatörün birlikte çalıştığı Azerbaycan, Naftalan'da faaliyet gösteren sanatoryumlar şunlardır:

• Sanatoryum Sehirli (Волшебный Нафталан), Naftalan, Azerbaycan;

• Sanatoryum Karvan, Naftalan, Azerbaycan;

• Sanatoryum Nur Naftalan, Naftalan, Azerbaycan;

• Sanatoryum Nafta, Naftalan, Azerbaycan;

• Sanatoryum Sun City, Naftalan, Azerbaycan;

• Sanatoryum Park Naftalan, Naftalan, Azerbaycan;

• Sanatoryum Chinar Health, Naftalan, Azerbaycan.

Yalnızca Müşterinin kalışı için onaylanan sanatoryum kendi verilerini alacaktır. Aktarım, sözleşme performansı temelinde yapılır ve yalnızca rezerve edilen hizmetlerin sağlanması için kesinlikle gerekli olan verilerle sınırlıdır. Her sanatoryum, iletilen verileri korumak ve bunları yalnızca Müşterinin kabulü ve bakımı için kullanmakla sözleşmeli olarak yükümlüdür.

Azerbaycan Cumhuriyeti'ne (GDPR kapsamında üçüncü bir ülke) yapılan veri aktarımları, sözleşme performansı (GDPR Madde 49(1)(b)) ve sağlık verilerinin söz konusu olduğu durumlarda Müşterinin açık rızası temelinde yapılır.

6.2. Havayolları ve Transfer Operatörleri

Operatör, koordinasyon hizmetinin bir parçası olarak uçuş optimizasyonu veya transfer düzenlemelerine yardımcı olduğunda, Müşterinin adı ve pasaport bilgileri, yalnızca Müşterinin rezervasyonunu yapmak veya onaylamak amacıyla ilgili havayolu veya transfer operatörüyle paylaşılabilir. Müşteri, veri iletiminden önce bu tür bir paylaşım hakkında bilgilendirilir.

6.3. Teknik Servis Sağlayıcıları

Operatör, veri işlemcisi olarak veri işleyebilen aşağıdaki üçüncü taraf teknik hizmet sağlayıcılarını kullanır:

• Lovable — naftalan.health'in çalıştığı barındırma platformu. Veriler bu sağlayıcının sunucularında depolanabilir. Kullanıcılar, altyapı ayrıntıları için Lovable'ın gizlilik politikasını incelemeye teşvik edilir;

• Zoho Corporation (Zoho Mail) — müşteri iletişimi için kullanılan e-posta hizmeti. Veriler Zoho'nun gizlilik politikasına uygun olarak işlenir: zoho.com/privacy.html. Zoho GDPR uyumludur ve AB veri barındırma seçenekleri sunar;

• Meta Platforms Inc. (WhatsApp) — koordinasyon sırasında kullanılan mesajlaşma platformu. WhatsApp aracılığıyla paylaşılan Müşteri verileri Meta'nın gizlilik politikasına tabidir: whatsapp.com/legal/privacy-policy;

• Telegram Messenger Inc. (Telegram) — koordinasyon sırasında kullanılan mesajlaşma platformu. Telegram'ın gizlilik politikasına tabidir: telegram.org/privacy;

• Google LLC (Google Analytics) — web trafiği analiz aracı. Veriler, Standart Sözleşme Maddeleri uyarınca AB dışındaki Google sunucularına aktarılabilir. IP anonimleştirme etkindir. Bakınız: policies.google.com/privacy;

• Stripe Payments Europe Ltd (Stripe) — ödeme işleme. Bakınız: stripe.com/privacy;

• PayPal (Europe) S.à r.l. et Cie, S.C.A. (PayPal) — ödeme işleme. Bakınız: paypal.com/webapps/mpp/ua/privacy-full.

Operatör, Kullanıcıların kişisel verilerini kendi ticari amaçları için üçüncü taraflara satmaz, kiralamaz veya başka bir şekilde ticari olarak aktarmaz.

6.4. Kamu Yetkilileri

Operatör, aşağıdaki durumlarda kişisel verileri yetkili makamlara (kolluk kuvvetleri, mahkemeler, denetleyici makamlar) açıklayabilir:

• Yasal taleplere (çağrılar, mahkeme emirleri, düzenleyici talepler) yanıt olarak;

• Açıklamanın Operatörün meşru hak ve menfaatlerini korumak için gerekli olduğu durumlarda;

• Sahtekarlık veya yasa dışı faaliyetlerden şüphelenmek için makul nedenlerin bulunduğu durumlarda.

7. Veri Saklama Süreleri

Operatör, kişisel verileri aşağıda belirtilen süreler boyunca saklar, ardından silinir veya geri döndürülemez şekilde anonimleştirilir:

Veri Kategorisi	Saklama Süresi
Rezervasyon formu verileri ve Hizmet Sözleşmesi	Müşterinin sanatoryumdan dönüş tarihinden itibaren 2 yıl
Ödeme kayıtları ve mali belgeler	Geçerli yasaların gerektirdiği şekilde (minimum 5 yıl)
Danışmanlık sırasında paylaşılan sağlık verileri	Danışmanlık tarihinden itibaren 2 yıl, sonra silinir
Koordinasyon yazışmaları (e-posta, mesajlaşma)	Müşterinin dönüş tarihinden itibaren 2 yıl
Teknik veriler (günlükler, IP, analitik)	Maks. 26 ay (Google Analytics politikasına göre)
Pazarlama onayı kayıtları	Rıza geri çekilene kadar, sonra 30 gün içinde silinir

Saklama süresi sona erdiğinde, geçerli yasa tarafından daha uzun bir saklama süresi gerekmedikçe veriler silinir veya anonimleştirilir.

8. Kullanıcı Hakları

GDPR (ve İsrail ve Türk yasalarındaki eşdeğer hükümler) uyarınca, Kullanıcılar kişisel verileriyle ilgili aşağıdaki haklara sahiptir:

• Erişim hakkı — işlemenin onayını alma ve verilerinin bir kopyasını alma hakkı;

• Düzeltme hakkı — yanlış veya eksik verilerin düzeltilmesini talep etme hakkı;

• Silme hakkı ("unutulma hakkı") — verilerin toplandığı amaç için artık gerekli olmadığında veya rıza geri çekildiğinde, yasal saklama yükümlülükleri saklı kalmak kaydıyla verilerin silinmesini talep etme hakkı;

• İşlemeyi kısıtlama hakkı — belirli durumlarda işlemenin sınırlandırılmasını talep etme hakkı;

• Veri taşınabilirliği hakkı — verileri yapılandırılmış, yaygın olarak kullanılan, makine tarafından okunabilir bir formatta alma hakkı;

• İtiraz hakkı — doğrudan pazarlama amaçları için veya Operatörün meşru menfaati temelinde işlenmeye itiraz etme hakkı;

• Rızayı geri çekme hakkı — herhangi bir zamanda, geri çekmeden önce gerçekleştirilen işlemenin yasallığını etkilemeden;

• Şikayette bulunma hakkı — ikamet ettiğiniz ülkedeki yetkili denetleyici makama (makam iletişim bilgileri için Bölüm 1'e bakınız).

Bu haklardan herhangi birini kullanmak için lütfen info@naftalan.health adresine yazılı bir talep gönderin. Operatör, talebin alınmasından itibaren 30 takvim günü içinde yanıt verecektir.

9. Çerezler ve İzleme Teknolojileri

9.1. Çerezler Nedir

Çerezler, naftalan.health'i ziyaret ettiğinizde Kullanıcının cihazında depolanan küçük veri dosyalarıdır. Platform'un tercihleri hatırlamasını, trafiği analiz etmesini ve gezinme deneyimini optimize etmesini sağlarlar.

9.2. Kullanılan Çerez Türleri

• Kesinlikle gerekli çerezler — temel Platform işlevselliği için gereklidir (oturum, güvenlik, rıza depolama). Devre dışı bırakılamaz;

• Analitik çerezler (Google Analytics) — Kullanıcıların Platform ile nasıl etkileşim kurduğuna dair anonim bilgiler toplar. Google LLC tarafından veri işlemcisi olarak işlenir;

• Pazarlama ve yeniden hedefleme çerezleri (Meta/Facebook Pixel) — Platform'u daha önce ziyaret eden Kullanıcılara ilgili reklamları görüntülemek için kullanılır. Yalnızca Kullanıcı onayıyla etkinleştirilir;

• Ödeme çerezleri (Stripe, PayPal) — dolandırıcılığı önleme ve güvenli işlem yönetimi için ödeme süreci sırasında ayarlanır. Sözleşmenin yerine getirilmesi için gereklidir.

Kullanılan tüm çerezlerin, sağlayıcılarının, sürelerinin ve yasal dayanaklarının tam ayrıntıları, ayrı Çerez Politikası'nda sunulmaktadır: naftalan.health/cookies-policy.

9.3. Çerezleri Yönetme

Kullanıcılar çerez tercihlerini şunlar aracılığıyla yönetebilir:

• naftalan.health'i ilk ziyaretinde gösterilen çerez onay başlığı;

• Web sitesi altbilgisindeki "Çerez Ayarları" bağlantısı;

• Tarayıcı güvenlik veya gizlilik ayarları.

Not: Kesinlikle gerekli çerezleri devre dışı bırakmak, rezervasyon yapma ve ödeme tamamlama yeteneği dahil olmak üzere naftalan.health'in doğru çalışmasını etkileyebilir.

10. Veri Güvenliği

Operatör, kişisel verileri kayıp, yetkisiz erişim, ifşa, değiştirme veya yıkıma karşı korumak için uygun teknik ve organizasyonel önlemleri uygular. Uygulamadaki önlemler şunları içerir:

• HTTPS/SSL aracılığıyla şifrelenmiş bağlantılar (naftalan.health üzerinde aktif SSL sertifikası);

• Kişisel verilere erişim, yalnızca Operatör ve gerektiğinde, veri işleme yükümlülükleri altında hareket eden sözleşmeli hizmet sağlayıcılarla sınırlıdır;

• Ödeme kartı verileri Operatör tarafından saklanmaz — tüm işlemler Stripe ve PayPal'ın güvenli altyapısı aracılığıyla işlenir;

• Koordinasyon sırasında paylaşılan sağlık verileri, Zoho Mail'de Operatör ile sınırlı erişimle saklanır;

• WhatsApp ve Telegram'daki koordinasyon yazışmaları, bu platformlar tarafından sağlanan uçtan uca şifrelemeye tabidir.

Hiçbir dijital platform mutlak güvenlik garantisi veremese de, Operatör riskleri en aza indirmek için tüm makul adımları atar. Kullanıcıları etkileyen kişisel veri ihlali durumunda Operatör, GDPR Madde 33'e ve geçerli yasaya uygun olarak yetkili denetleyici makamı ve etkilenen Kullanıcıları bilgilendirecektir.

11. Üçüncü Taraf Web Sitelerine Bağlantılar

naftalan.health, yalnızca bilgilendirme amaçlı olarak üçüncü taraf web sitelerine (havayolları, sanatoryumlar, seyahat otoriteleri vb.) köprüler içerebilir. Bu Gizlilik Politikası, üçüncü taraf siteler için geçerli değildir. Operatör, bu sitelerin gizlilik uygulamalarından sorumlu değildir. Kullanıcılar, ziyaret ettikleri herhangi bir üçüncü taraf sitenin gizlilik politikalarını incelemeye teşvik edilir.

12. Küçükleri İlgilendiren Veriler

naftalan.health, 18 yaşın altındaki kişilere yönelik değildir. Operatör, küçüklerden bilerek kişisel veri toplamaz. Bir rezervasyonun Müşteri ile birlikte seyahat eden bir küçüğü içermesi durumunda, Müşteri (ebeveyn veya yasal vasi olarak), küçüğün kimlik verilerini kesinlikle seyahat yapılandırma ve koordinasyon amaçları için sağlar. Operatör, küçüklerin verilerini başka hiçbir amaçla işlemez.

13. Bu Gizlilik Politikasındaki Güncellemeler

Operatör, mevzuat, teknik veya operasyonel değişikliklere yanıt olarak bu Gizlilik Politikasını herhangi bir zamanda güncelleme hakkını saklı tutar. Güncel versiyon, naftalan.health/privacy-policy adresinde yürürlük tarihi belirtilerek yayınlanacaktır.

Kullanıcıların haklarını etkileyen önemli değişiklikler için Operatör, mümkün olan durumlarda Kullanıcıları Platform aracılığıyla veya e-posta yoluyla bilgilendirmek için makul çabayı gösterecektir. Değişikliklerin yayınlanmasından sonra naftalan.health'in sürekli kullanımı, revize edilmiş Politikanın kabul edildiği anlamına gelir.

14. İletişim Bilgileri

Kişisel verilerin işlenmesiyle ilgili herhangi bir soru, talep veya şikayet için Kullanıcılar Operatör ile aşağıdaki şekilde iletişime geçebilirler:

Operatör	Alexandr Umanet
E-posta	info@naftalan.health
Platform	naftalan.health
Gizlilik Politikası	naftalan.health/privacy-policy
Çerez Politikası	naftalan.health/cookies-policy
Denetleyici Otorite (AB)	edpb.europa.eu/about-edpb/board/members_en
Denetleyici Otorite (İL)	gov.il/en/departments/the_privacy_protection_authority
Denetleyici Otorite (TR)	kvkk.gov.tr

Bu Gizlilik Politikası 06.06.2025 tarihinden itibaren geçerlidir — Versiyon 1.0

© 2025 Alexandr Umanet. Tüm hakları saklıdır.

© 2025 Alexandr Umanet | naftalan.health | Tüm hakları saklıdır.