KVKK Aydınlatma Metni
Son güncelleme 5 Mayıs 2026
10 DK OKUMA
Behoove Studio olarak, behoovestudio.com üzerinden topladığımız kişisel verileri Kişisel Verilerin Korunması Kanunu kapsamında işliyoruz. Bu metin veri sorumlusu kimliğimizi, hangi verileri hangi hukuki sebeple işlediğimizi, kimlerle paylaştığımızı ve KVKK md.11 kapsamındaki haklarınızı nasıl kullanabileceğinizi açıklar.
1. Veri Sorumlusunun Kimliği
Veri Sorumlusu: Behoove Studio (bundan sonra "Stüdyo", "biz" veya "bize"). İletişim: hello@behoovestudio.com. Stüdyo, İstanbul / Türkiye'de yerleşiktir ve bu web sitesi üzerinden işlenen tüm kişisel veriler bakımından KVKK md. 3/1-ı uyarınca veri sorumlusudur. Aynı işleme faaliyetleri bakımından GDPR md. 4(7) ve UK GDPR uyarınca data controller, CCPA / CPRA 1798.140(d) uyarınca business sıfatlarını taşırız.
GDPR md. 27 / UK GDPR md. 27 kapsamında AB veya Birleşik Krallık temsilcimiz bulunmamaktadır. AB ve Birleşik Krallık'taki kişisel verileri işlememiz arızi nitelikte, B2B karakterli ve yalnızca site analitiği ile hizmet talepleriyle sınırlıdır; md. 27 muafiyetinin uygulanabilir olduğunu değerlendirdik. Avukat onayı bu değerlendirmeyi teyit eder.
2. Bu Metnin Kapsamı
Bu metin, behoovestudio.com'u ziyaret ettiğinizde veya site üzerindeki iletişim ve randevu yüzeyleriyle etkileşime girdiğinizde kişisel verilerinizin nasıl toplandığını, kullanıldığını, saklandığını, paylaşıldığını ve korunduğunu açıklar. Yalnızca web sitesini kapsar. Bir proje başladıktan sonra müşteri ilişkisi ayrı sözleşmelerle yönetilir.
Hizmetlerimizi çocuklara yöneltmiyoruz. 16 yaş altındaki kişilerden bilerek kişisel veri toplamayız. Bir çocuğun bize veri ilettiğini düşünüyorsanız hello@behoovestudio.com adresine yazın; veriyi sileriz.
3. İşlenen Kişisel Veri Kategorileri
Kimlik ve iletişim verileri - iletişim formunu doldurduğunuzda veya Calendly üzerinden randevu aldığınızda paylaşmayı seçtiğiniz ad, e-posta adresi, şirket adı, isteğe bağlı proje açıklaması, isteğe bağlı bütçe aralığı.
İletişim içeriği - iletişim formu üzerinden ilettiğiniz mesaj metni ve varsa ekler.
Randevu meta verileri - Calendly üzerinden randevu aldığınızda toplanan tarih, saat dilimi ve katılımcı e-posta adresi.
Teknik ve kullanım verileri - IP adresi (saklama öncesi Google Analytics tarafından kısaltılarak anonimleştirilir), cihaz tipi, tarayıcı, işletim sistemi, ekran boyutu, yönlendirici URL, ziyaret edilen sayfalar, sayfada geçirilen süre, tıklama olayları. Yalnızca Analitik kategorisi için açık rıza verdiğinizde Google Analytics 4 aracılığıyla toplanır.
Davranışsal veriler - Microsoft Clarity üzerinden anonimleştirilmiş ısı haritaları ve oturum kayıtları. İleride eklenmesi planlanmıştır, bu metnin tarihi itibarıyla aktif değildir. Clarity etkinleştirilmeden önce bu metin ve çerez bandı güncellenecektir.
Barındırma telemetrisi - Framer barındırma altyapısı tarafından oluşturulan temel sunucu erişim günlükleri (IP, zaman damgası, istek yolu, yanıt kodu).
KVKK md. 6 anlamında özel nitelikli kişisel veri ve GDPR md. 9 anlamında special categories of personal data toplamayız. CCPA / CPRA 1798.140(ae) anlamında sensitive personal information toplamayız. GDPR md. 22 anlamında otomatik karar profiliyle hukuki sonuç doğuran bir işleme yapmayız.
4. Kişisel Verilerin Toplanma Yöntemi ve Hukuki Sebebi
Verileri doğrudan sizden (iletişim formu, Calendly, e-posta) ve otomatik yollarla (rıza verdiğiniz çerezler ve benzeri teknolojiler) toplarız. Liste satın almayız. Verdiğiniz veriyi dış veri komisyoncularıyla zenginleştirmeyiz.
Sitenin sürdürülmesi (zorunlu çerezler, barındırma, güvenlik günlükleri)
KVKK: md. 5/2-f meşru menfaat. GDPR / UK GDPR: Art. 6(1)(f) legitimate interest. ePrivacy: md. 5(3) "strictly necessary" istisnası. CCPA / CPRA: operate the service.
İletişim formu ve Calendly taleplerine yanıt
KVKK: md. 5/2-c sözleşme öncesi tedbir, md. 5/2-f meşru menfaat. GDPR / UK GDPR: Art. 6(1)(b), Art. 6(1)(f). ePrivacy: yok (çerez yok). CCPA / CPRA: respond to consumer requests.
Sözleşmeli müşteri yazışmaları
KVKK: md. 5/2-c sözleşme. GDPR / UK GDPR: Art. 6(1)(b) contract. CCPA / CPRA: perform the contract.
Site analitiği (Google Analytics 4)
KVKK: md. 5/1 açık rıza. GDPR / UK GDPR: Art. 6(1)(a) consent. ePrivacy: md. 5(3) consent. CCPA / CPRA: service improvement (satış / paylaşım yok).
Isı haritası ve oturum kaydı (Clarity, planlandı)
KVKK: md. 5/1 açık rıza. GDPR / UK GDPR: Art. 6(1)(a) consent. ePrivacy: md. 5(3) consent. CCPA / CPRA: service improvement.
Onay kayıtlarının tutulması (Cookie Script log)
KVKK: md. 5/2-a kanunen açıkça öngörülmesi, md. 5/2-f. GDPR / UK GDPR: Art. 6(1)(c), Art. 6(1)(f). ePrivacy: md. 5(3) zorunlu. CCPA / CPRA: compliance.
Açık rızanızı dilediğiniz zaman geri çekebilirsiniz. Geri çekme, geri çekme öncesi yapılan işlemenin hukukiliğini etkilemez.
5. Çerezler
Çerez detayları ve çerez başına liste için /cookie-policy sayfasına bakınız. Özet: zorunlu çerezler tüm rejimler altında rıza aranmaksızın atanır. Analitik çerezler (_ga, _ga_QJYSK3HBTH; planlanan _clck, _clsk, MUID) yalnızca Cookie Script bandında Analitik kategorisine açık rıza verdiğinizde atanır. Reklam çerezleri bugün için kullanılmamaktadır. Reklam etiketi eklenmeden önce bu metin ve çerez bandı güncellenecektir.
6. Verilerinizi Paylaştığımız Üçüncü Taraflar
Kişisel verileri yalnızca aşağıdaki veri işleyenlerle paylaşırız. Her biri yazılı veri işleme sözleşmesiyle, GDPR md. 28 sözleşme güvenceleriyle ve gerektiğinde uluslararası aktarım için Standart Sözleşme Hükümleriyle (SCC) bağlıdır. Kişisel veri satmıyoruz. Kişisel veriyi CPRA 1798.140(ah) anlamında çapraz-bağlamlı davranışsal reklam için paylaşmıyoruz.
Google LLC - Google Analytics 4
Amaç: site analitiği. Konum: ABD. Aktarım: EU-US Data Privacy Framework; SCC; Türkiye ziyaretçileri için KVKK md. 9 açık rıza.
Calendly LLC
Amaç: randevu yönetimi. Konum: ABD. Aktarım: EU-US DPF; SCC; Türkiye ziyaretçileri için KVKK md. 9 açık rıza.
Framer B.V.
Amaç: barındırma ve CDN. Konum: Hollanda merkez; CDN edge'leri global. Aktarım: birincil işleme AEA içinde; AEA dışı edge için SCC.
Cookie Script (CookieScript UAB)
Amaç: onay bandı ve onay günlüğü. Konum: Litvanya (AB). Aktarım: AEA içi; UK adequacy kararı; Türkiye ziyaretçileri için KVKK md. 9 açık rıza.
Microsoft Corporation - Clarity (planlandı, aktif değil)
Amaç: ısı haritası ve oturum kaydı. Konum: ABD. Aktarım: EU-US DPF; SCC; Türkiye ziyaretçileri için KVKK md. 9 açık rıza.
İleride eklenmesi planlanan ve eklenmeden önce bu metnin güncelleneceği araçlar: Google Tag Manager (ABD); Meta Pixel (yalnızca ücretli Meta reklamları başlarsa); LinkedIn Insight Tag (yalnızca ücretli LinkedIn reklamları başlarsa).
7. Yurt Dışına Aktarım
Stüdyo Türkiye'dedir. Veri işleyenlerimizin bir kısmı ABD'dedir. Kullandığımız güvenceler aşağıdadır.
Türkiye ziyaretçileri (KVKK md. 9): Türkiye dışındaki veri işleyenler için aktarım, Cookie Script bandı üzerinden alınan açık rızanıza ve her veri işleyenin yayımladığı standart sözleşme hükümlerine dayanır. Türkiye'nin KVKK md. 9 kapsamında "güvenli ülkeler" listesi henüz yayımlanmadığı için bugün için işleyen hukuki sebep açık rızadır.
AB / AEA ziyaretçileri (GDPR Bölüm V): Sertifikalı veri işleyenler için EU-US Data Privacy Framework; aksi halde 2021 tarihli Standart Sözleşme Hükümleri ve transfer etki değerlendirmesi.
Birleşik Krallık ziyaretçileri (UK GDPR): aynı çerçeve; gerektiğinde UK International Data Transfer Addendum eklenir.
California sakinleri (CCPA / CPRA): yasanın sınır ötesi aktarım için ek bir kısıtı yoktur; ABD merkezli veri işleyenler 1798.140(ag) kapsamında sözleşmesel olarak bağlı service provider olarak ele alınır ve yukarıda açıklanır.
8. Saklama Süreleri
İletişim formu ve Calendly yazışmaları
Son etkileşimden itibaren 24 ay. Gerekçe: takip; tekrar eden talepler; sonra KVKK md. 7 silme.
Sözleşmeli müşteri kayıtları
Sözleşme şartları (tipik olarak proje süresi + 10 yıl, vergi ve ticaret hukuku). Gerekçe: Vergi Usul Kanunu, TTK md. 82 ve eşdeğer AB / ABD eyalet yükümlülükleri.
Google Analytics 4 kullanıcı düzeyi veriler
14 ay. Gerekçe: GA4 maksimum kullanıcı saklaması; toplulaştırılmış raporlar süresiz.
Microsoft Clarity kayıtları (planlandı)
30 gün. Gerekçe: Clarity otomatik silme varsayılanı.
Cookie Script onay günlüğü
36 ay. Gerekçe: KVKK Kurul ispat yükümlülüğü, EDPB consent rehberliği, TBK 10 yıllık genel zamanaşımı.
Sunucu erişim günlükleri
30 gün. Gerekçe: güvenlik ve kötüye kullanım yönetimi, sonra otomatik rotasyon.
Süre sonunda veri silinir veya tamamen anonimleştirilir.
9. KVKK md. 11 Kapsamındaki Haklarınız
Türkiye'de ikamet eden ziyaretçiler bakımından KVKK md. 11 uyarınca: kişisel verilerinizin işlenip işlenmediğini öğrenme; işlenmişse buna ilişkin bilgi talep etme; işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme; yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme; eksik veya yanlış işlenmişse düzeltilmesini isteme; KVKK md. 7 koşulları çerçevesinde silinmesini veya yok edilmesini isteme; düzeltme, silme ve yok etme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme; otomatik sistemlerle analiz edilmesi sonucunda ortaya çıkan sonuçlara itiraz etme; hukuka aykırı işleme nedeniyle uğradığınız zararın giderilmesini talep etme.
Geçerli bir başvuruya KVKK md. 13 ve Veri Sorumlusuna Başvuru Tebliği uyarınca alındığı tarihten itibaren en geç 30 gün içinde yanıt veririz. Takvim yılı içindeki ilk başvuru ücretsizdir; sonraki başvurular için Tebliğ'de belirtilen ücret talep edilebilir.
Şikayetinizi Kişisel Verileri Koruma Kurulu'na (kvkk.gov.tr) iletebilirsiniz. Türkiye'ye özgü başvuru formu /kvkk-basvuru-formu adresinde yer alır.
10. Haklarınızı Kullanma Yöntemi
Başvurunuzu hello@behoovestudio.com adresine iletebilirsiniz. Doğrulama için lütfen sitede kullandığınız e-posta adresini, kullanmak istediğiniz hakkın açık tarifini ve bir silme veya düzeltme talebinde mevcut kayıtla eşleştirme yapmamızı sağlayacak yeterli bilgiyi ekleyin. Yetkili temsilciyle başvuru kabul edilir; temsilcinin yetki belgesi sorulur ve gerektiğinde sizinle ayrıca teyit edilir.
11. Güvenlik
Tüm trafik HTTPS üzerindendir. Form gönderimleri TLS üzerinden veri işleyen uç noktalarına iletilir. Sözleşmeli müşteri kayıtlarına erişim, gizlilik yükümlülüğü altındaki stüdyo personeliyle sınırlıdır. Veri işleyen güvenlik durumunu yıllık olarak gözden geçirir ve esaslı değişiklikte DPA'ları yeniler.
12. Bu Metindeki Değişiklikler
İşleme faaliyetlerimiz değiştiğinde (örneğin Microsoft Clarity yayına alındığında veya GTM / Meta Pixel / LinkedIn Insight Tag eklendiğinde) bu metni güncelleriz. Önemli değişiklikler sayfanın üst kısmında işaretlenir ve bir sonraki ziyaretinizde çerez bandında yansıtılır. Üstteki "Son güncelleme" tarihi yetkili sürüm tarihidir.
13. AB ve Birleşik Krallık Ziyaretçileri için Ek Haklar (GDPR / UK GDPR)
AB / AEA ve Birleşik Krallık'ta ikamet eden ziyaretçilerin GDPR md. 15-22 ve UK GDPR'ın eşdeğer hükümleri uyarınca aşağıdaki ek hakları vardır: erişim (md. 15) ve veri kopyası alma; düzeltme (md. 16); silme / unutulma (md. 17), yasal istisnalar saklı; işlemenin kısıtlanması (md. 18); veri taşınabilirliği (md. 20); itiraz (md. 21), dahil doğrudan pazarlama; otomatik karara tabi olmama (md. 22) - bizde uygulanan böyle bir işleme yoktur; rıza geri çekme.
Geçerli bir başvuruya GDPR md. 12(3) / UK GDPR md. 12(3) uyarınca bir ay içinde yanıt veririz; karmaşık veya çok sayıda başvuruda iki ay daha uzatılabilir, uzatma ilk ay içinde size bildirilir.
Şikayet için: AEA ziyaretçileri ikamet ettikleri ülkenin veri koruma otoritesine başvurabilir. Birleşik Krallık ziyaretçileri için yetkili otorite Information Commissioner's Office (ICO), ico.org.uk.
14. California Sakinleri için Ek Haklar (CCPA / CPRA)
California'da ikamet eden ziyaretçilerin California Civil Code 1798.100 vd. (Ocak 2023 değişiklikleriyle) kapsamında aşağıdaki ek hakları vardır: bilme hakkı (1798.100, 1798.110, 1798.115); silme hakkı (1798.105) - 1798.105(d) istisnaları saklı; düzeltme hakkı (1798.106); satış / paylaşımdan vazgeçme hakkı (1798.120) - kişisel bilgi satmıyoruz ve çapraz-bağlamlı davranışsal reklam için paylaşmıyoruz; bu durum değişirse "Do Not Sell or Share My Personal Information" bağlantısını siteye ekleriz; Global Privacy Control sinyalini (Sec-GPC) geçerli vazgeçme talebi olarak işleriz; hassas kişisel bilgilerin kullanımını sınırlama hakkı (1798.121) - hassas kişisel bilgi toplamadığımız için bugün uygulanmaz; ayrımcılık yasağı (1798.125) - hak kullanımı nedeniyle hizmet reddedilmez, fiyat değiştirilmez, hizmet kalitesi düşürülmez.
Doğrulanabilir tüketici talebine 45 gün içinde yanıt veririz; 1798.130(a)(2) uyarınca bir 45 gün daha uzatılabilir, uzatma ilk 45 gün içinde size bildirilir. Ücret alınmaz, ancak 1798.130(a)(2) izin verdiği durumlar saklı.
Şikayet için: California Attorney General (oag.ca.gov) veya California Privacy Protection Agency (cppa.ca.gov). 16 yaş altı tüketicilerin kişisel bilgisini sattığımıza veya paylaştığımıza dair fiili bilgimiz yoktur (1798.120(c)); CCPA 16 yaş altı opt-in hükmü bugün için uygulanmaz.
15. İletişim
hello@behoovestudio.com. Türkiye'ye özgü KVKK talepleri için lütfen /kvkk-basvuru-formu adresindeki formu kullanın. AB / Birleşik Krallık veya California ziyaretçileri yerel haklarını kullanmak için aynı e-posta adresine yazabilir; başvurunuzun hangi rejim altında olduğunu belirtmeniz yanıt süresinin doğru hesaplanmasını sağlar.
Türkiye dışı ziyaretçiler için açıklayıcı not: Bu metin Türkiye'de KVKK kapsamında bir aydınlatma metni olarak hazırlanmıştır. AB / AEA ziyaretçileri GDPR, Birleşik Krallık ziyaretçileri UK GDPR, California sakinleri CCPA / CPRA kapsamında ek haklara sahiptir. Bu hakları kullanmak için Bölüm 13 ve 14'e bakınız ve aynı e-posta adresine yazınız: hello@behoovestudio.com.