Wholebeds

Gizlilik Politikası

Son güncelleme: 10 Mayıs 2026

Bu Gizlilik Politikası; BND Hospitality ("Wholebeds") olarak Wholebeds RevenueOS platformunu ("Hizmetler") kullanırken kişisel verilerinizi nasıl topladığımızı, işlediğimizi ve koruduğumuzu açıklar. Politika 6698 sayılı KVKK ve uygulanabilir olduğu ölçüde GDPR ile uyumludur.

1. Veri Sorumlusu

Platforma giriş yapan yetkili kullanıcılarınızın (admin, revenue manager vb.) kişisel verileri için BND Hospitality veri sorumlusudur. Hizmetler aracılığıyla işlediğiniz otel misafirinize ait kişisel verilerde ise siz veri sorumlusu, Wholebeds ise veri işleyen sıfatıyla hareket eder. Bu ilişki ayrıca Veri İşleme Sözleşmesi (DPA) ile düzenlenmiştir.

2. Topladığımız Bilgiler

  • Hesap bilgileri: ad, soyad, e-posta, kullanıcı adı, karma (hash) parola, rol, yetkili olduğunuz otel(ler).
  • Kullanım verileri: giriş zamanları, IP adresi, tarayıcı (user-agent), eylem kayıtları (audit log), başarısız giriş denemeleri.
  • Operasyonel veriler: doluluk, oda fiyatları, segmentasyon, forecast, pazar talebi, rezervasyon özetleri, OTA kamuya açık sayfalarından toplanan rakip fiyatları.
  • Opsiyonel entegrasyon verileri: e-posta sunucu kimlik bilgileri (şifrelenmiş), Google Drive token'ları, Twilio/WhatsApp kimlikleri, döviz kuru API anahtarları — yalnızca sizin adınıza veri çekmek için kullanılır.
  • Çerezler: kimlik doğrulama oturum çerezi ve CSRF token. Üçüncü taraf reklam veya takip çerezi kullanmıyoruz.

3. Verileri Nasıl Kullanırız?

  • Hizmetlerin sunulması, sürdürülmesi ve geliştirilmesi.
  • Kimlik doğrulama, rol/tenant izolasyonu, dolandırıcılık ve brute-force saldırılarının önlenmesi.
  • Otomatik gelir analitiği, forecast, öneri ve raporların üretimi.
  • Konfigüre ettiğiniz operasyonel bildirimlerin (günlük rapor, uyarı, parola sıfırlama) e-posta veya WhatsApp ile iletilmesi.
  • Yasal yükümlülüklere uyum ve resmi makam taleplerine yanıt verilmesi.

4. Hukuki Sebep (KVKK / GDPR)

İşleme aşağıdaki hukuki sebeplere dayanır: (a) sözleşmenin kurulması/ifası; (b) Hizmetlerin işletilmesi ve güvenliğindeki meşru menfaatimiz; (c) gerekli olduğu durumlarda açık rızanız (ör. WhatsApp bildirimleri, pazarlama iletileri); (d) KVKK ve diğer mevzuata uyum.

5. Veri Paylaşımı

Kişisel verileri satmayız. Verileri yalnızca aşağıdakilerle paylaşırız:

  • Veri işleme sözleşmesi imzalanmış altyapı sağlayıcıları (Türkiye/AB barındırma, Sentry hata izleme, uptime izleme).
  • Talep ettiğiniz bildirimleri iletmek için iletişim sağlayıcıları (SMTP, Twilio/WhatsApp).
  • Yasal zorunluluk olduğunda yetkili kamu kurumları.

6. Uluslararası Aktarımlar

Bazı alt işleyiciler (örn. Sentry DE, Google) verileri Avrupa Birliği içinde işleyebilir. Türkiye dışına aktarımlar; KVKK md. 9 kapsamında standart sözleşme hükümleri veya açık rızanız ile gerçekleştirilir.

7. Veri Saklama Süreleri

  • Hesap verisi: abonelik aktif olduğu sürece + fesihten sonra en fazla 12 ay.
  • Operasyonel veri (doluluk, fiyat, forecast): abonelik süresince saklanır; talep üzerine dışa aktarılır.
  • Audit / sistem günlükleri: 12 ay.
  • Yedekler: 7 günlük, 4 haftalık ve 12 aylık şifreli (GPG) snapshot rotasyonu.

8. Güvenlik

  • HTTPS / TLS 1.2+ ve HSTS her noktada zorunludur.
  • Bcrypt karma parolalar, opsiyonel TOTP MFA, 5 başarısız denemede hesap kilitlenmesi.
  • Uygulama katmanında tenant izolasyonu (IDOR koruması), CSRF token zorunluluğu.
  • Günlük şifreli yedekler ve haftalık geri yükleme testi.
  • PII redaksiyonu yapılmış Sentry hata izleme.

9. Haklarınız (KVKK Md. 11 / GDPR)

  • İşlediğimiz kişisel verilerinize erişim talep etme,
  • Yanlış verilerin düzeltilmesini isteme,
  • Yasal saklama yükümlülüklerimiz saklı kalmak üzere silinmesini ("unutulma hakkı") talep etme,
  • İşlemeye itiraz etme veya kısıtlama talep etme,
  • Verilerinizi taşınabilir formatta alma,
  • Açık rızaya dayalı işlemelerde rızanızı geri alma,
  • Kişisel Verileri Koruma Kurulu'na şikâyette bulunma.

Talepleriniz için: privacy@wholebeds.com — 30 gün içinde yanıt veririz.

10. Çerezler

Yalnızca Hizmetin çalışması için zorunlu çerezleri kullanırız: oturum çerezi (HttpOnly, Secure, SameSite=Lax) ve CSRF token. Analitik, reklam veya takip amaçlı üçüncü taraf çerezi kullanılmamaktadır.

11. Çocuklar

Hizmetler yetkili otel personelinin ticari kullanımına yöneliktir ve 18 yaş altı bireylere doğrudan sunulmaz.

12. Politikadaki Değişiklikler

Esaslı değişiklikleri yürürlüğe girmeden en az 30 gün önce kayıtlı e-posta adresinize bildiririz.

13. İletişim

Gizlilik soruları ve KVKK talepleri için:
BND Hospitality · İstanbul, Türkiye
E-posta: privacy@wholebeds.com