Veri Sorumlusu: İsmail Enes Şabanoğlu

[email protected] | +90 542 109 23 26

Yürürlük Tarihi: 9 Nisan 2026

Son Güncelleme: 9 Nisan 2026

1. Genel Bilgiler ve Kapsam

Bu Gizlilik Sözleşmesi, Suitally SEO platformunu (bundan sonra “Platform”) kullanan tüm kullanıcıların kişisel verilerinin nasıl toplandığını, işlendiğini, saklandığını ve aktarıldığını açıklamaktadır.

Platform, Türkiye Cumhuriyeti kanunlarına tabi bir şahıs şirketi olarak İsmail Enes Şabanoğlu tarafından işletilmektedir. İşbu politika; 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), Kaliforniya Tüketici Gizlilik Yasası (CCPA) ve Kaliforniya Çevrimiçi Gizlilik Koruma Yasası (CalOPPA) standartlarına uyumlu olarak hazırlanmıştır.

1.1 Veri Sorumlusu Bilgileri

Ticari Unvan: Suitally

Yasal Yetkili: İsmail Enes Şabanoğlu (Şahıs Şirketi)

Adres: Korkutreis Mahallesi, Necatibey Caddesi 56/12, Ankara, Türkiye

E-posta: [email protected]

Telefon: +90 542 109 23 26

Web Sitesi: https://suitally.com/ , https://app.suitally.com/

1.2 Tanımlar

• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
• Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi (İsmail Enes Şabanoğlu).
• Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
• İlgili Kişi: Kişisel verisi işlenen gerçek kişi (kullanıcı).
• Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
• KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu.
• GDPR: Avrupa Birliği Genel Veri Koruma Tüzüğü (2016/679).
• CCPA: Kaliforniya Tüketici Gizlilik Yasası (California Consumer Privacy Act).
• CalOPPA: Kaliforniya Çevrimiçi Gizlilik Koruma Yasası (California Online Privacy Protection Act).

2. Toplanan Kişisel Veriler

Platform, aşağıda kategorize edilen kişisel verileri toplamakta ve işlemektedir:

2.1 Kimlik ve İletişim Verileri

• Ad ve soyad
• E-posta adresi
• Telefon numarası
• Kullanıcı adı ve şifre (hashlenmiş)

2.2 Fatura ve Finansal Veriler

• TC kimlik numarası veya vergi kimlik numarası
• Fatura adresi
• Şirket adı (kurumsal kullanıcılar için)

Not: Suitally; tam kart numarası, CVV veya son kullanma tarihi bilgilerini hiçbir zaman saklamaz. Ödeme işlemleri tamamen PayTR altyapısı üzerinden gerçekleştirilir.

2.3 Kullanım Verileri

• Araç kullanım logları (feature_usages tablosu)
• Oluşturulan raporlar ve projeler
• Arama sorguları ve analiz sonuçları
• Platform içi tercihler ve ayarlar

2.4 Teknik Veriler

• IP adresi
• User-agent (tarayıcı ve işletim sistemi bilgisi)
• Oturum bilgileri (session token)
• Çerez verileri
• Erişim zaman damgaları

2.5 Üçüncü Taraf OAuth Verileri

Google OAuth / Search Console

• Google Search Console property listesi
• Arama analitik verileri (sorgular, tıklamalar, gösterimler, pozisyon)
• Site performans metrikleri

Bu veriler yalnızca kullanıcının açık yetkilendirmesi sonrasında, Google OAuth 2.0 protokolü aracılığıyla elde edilir.

Meta OAuth

• Reklam hesabı erişimi
• Reklam kampanya verileri
• Sayfa yönetimi bilgileri

Bu veriler yalnızca kullanıcının açık yetkilendirmesi sonrasında, Meta OAuth protokolü aracılığıyla elde edilir.

3. Kişisel Verilerin İşlenme Amaçları

Kişisel verileriniz aşağıdaki amaçlarla işlenmektedir:

• Platform hizmetlerinin sunulması ve sözleşme yükümlülüklerinin yerine getirilmesi
• Kullanıcı hesabı oluşturma ve yönetimi
• Faturalama ve ödeme işlemlerinin gerçekleştirilmesi
• SEO analiz, raporlama ve öneri hizmetlerinin sağlanması
• Google Search Console ve Meta reklam entegrasyonlarının yürütülmesi
• Yapay zekâ destekli içerik üretim hizmetlerinin sunulması
• Platform performansının izlenmesi ve iyileştirilmesi
• Kullanıcı destek taleplerinin karşılanması
• Yasal yükümlülüklerin yerine getirilmesi (vergi, muhasebe, denetim)
• Hileli veya yetkisiz erişimlerin önlenmesi ve platform güvenliğinin sağlanması
• Kullanıcı deneyiminin kişiselleştirilmesi
• İstatistiksel analiz ve anonim raporlama

4. Kişisel Veri İşlemenin Hukuki Dayanakları

4.1 KVKK Kapsamında Hukuki Dayanaklar (Madde 5)

Kişisel verileriniz, KVKK’nın 5. maddesinde belirtilen aşağıdaki hukuki sebeplere dayanarak işlenmektedir:

• Açık Rıza (Md. 5/1): Özellikle pazarlama iletişimleri ve üçüncü taraf entegrasyonlar için.
• Sözleşmenin İfası (Md. 5/2-c): Platformun hizmet sunabilmesi için gerekli veri işleme faaliyetleri.
• Hukuki Yükümlülük (Md. 5/2-ç): Vergi, faturalama ve yasal raporlama yükümlülükleri.
• Meşru Menfaat (Md. 5/2-f): Platform güvenliği, dolandırıcılık önleme ve hizmet iyileştirme.

4.2 GDPR Kapsamında Hukuki Dayanaklar (Madde 6)

Avrupa Birliği vatandaşları ve mukimleri için kişisel veriler aşağıdaki hukuki temellere dayanarak işlenmektedir:

• Rıza (Art. 6(1)(a)): Pazarlama, analitik çerezler ve isteğe bağlı entegrasyonlar.
• Sözleşmenin İfası (Art. 6(1)(b)): Hesap yönetimi, hizmet sunumu ve ödeme işlemleri.
• Hukuki Yükümlülük (Art. 6(1)(c)): Yasal raporlama gereksinimleri.
• Meşru Menfaat (Art. 6(1)(f)): Güvenlik, dolandırıcılık tespiti, hizmet analitiği.

5. Üçüncü Taraf Hizmet Sağlayıcıları ve Veri Aktarımı

Suitally, hizmetlerini sunabilmek için aşağıdaki üçüncü taraf hizmet sağlayıcıları ile çalışmaktadır. Her bir entegrasyonda hangi verilerin, hangi amaçla aktarıldığı aşağıda belirtilmektedir:

Hizmet Sağlayıcı	Amaç	Aktarılan Veriler	Sunucu Konumu	Gizlilik Politikası
PayTR	Ödeme işleme	Fatura bilgileri, tutar, kart metadata	Türkiye	paytr.com
Google OAuth / GSC	Arama konsolu verisi	Site performans metrikleri, arama analiği	AB/ABD	policies.google.com
Meta OAuth	Reklam yönetimi	Reklam hesabı erişimi, kampanya verileri	AB/ABD	facebook.com/privacy
SEO Veri Analiz Sağlayıcıları	SEO veri analizi	Domain/keyword sorguları (kişisel veri içermez)	AB	—
Altyapı ve Ağ Hizmet Sağlayıcıları	Teknik altyapı	Teknik istekler (kişisel veri içermez)	AB/ABD	—
OpenAI (GPT)	İçerik üretimi	Kullanıcı girdileri (anonim)	ABD	openai.com/privacy
Hetzner	Sunucu barındırma	Tüm platform verileri	AB (Almanya/Finlandiya)	hetzner.com
Cloudflare	DNS + güvenlik	Trafik verileri, IP adresleri	Küresel	cloudflare.com/privacy
Google Workspace	E-posta iletişimi	İletişim verileri	AB	policies.google.com

Önemli: Kullanıcı girdileri OpenAI’a iletilirken, doğrudan kişisel tanımlayıcı bilgiler gönderilmemekte; yalnızca içerik üretimi için gerekli metin verileri aktarılmaktadır.

6. KVKK Kapsamında Kişisel Verilerin Korunması (Türkiye)

Bu bölüm, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında Türkiye’de ikamet eden kullanıcıların haklarını ve veri sorumlusunun yükümlülüklerini düzenlemektedir.

6.1 Veri Sorumlusunun Kimliği

KVKK’nın 10. maddesi uyarınca veri sorumlusu:

Ad Soyad: İsmail Enes Şabanoğlu

Adres: Korkutreis Mahallesi, Necatibey Caddesi 56/12, Ankara, Türkiye

İletişim: [email protected] | +90 542 109 23 26

6.2 Kişisel Veri İşleme Şartları ve Hukuki Sebepler

KVKK’nın 5. maddesi gereği, kişisel verileriniz aşağıdaki hukuki sebeplerden birine dayanarak işlenmektedir:

• Kanunlarda açıkça öngörülmesi (Md. 5/2-a): Vergi ve muhasebe mevzuatı gereği fatura bilgilerinin saklanması.
• Sözleşmenin kurulması veya ifası için zorunlu olması (Md. 5/2-c): Hesap oluşturma, hizmet sunumu, ödeme işlemleri.
• Veri sorumlusunun hukuki yükümlülüğü (Md. 5/2-ç): Yasal saklama sürelerine uyum.
• Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması (Md. 5/2-e): Hukuki süreçlerde delil muhafazası.
• Veri sorumlusunun meşru menfaati (Md. 5/2-f): Platform güvenliği, hizmet kalitesinin artırılması, istatistiksel analiz.
• Açık rıza (Md. 5/1): Yukarıdaki şartların karşılanmadığı durumlarda; pazarlama iletişimleri ve isteğe bağlı üçüncü taraf entegrasyonları.

6.3 Veri Saklama Süreleri

Veri Kategorisi	Saklama Süresi	Hukuki Dayanak
Kimlik ve iletişim verileri	Hesap aktif olduğu sürece + 3 yıl	Sözleşme / meşru menfaat
Fatura ve finansal veriler	Yasal zorunluluk gereği 10 yıl	VUK, TTK yükümlülükleri
Kullanım verileri (loglar)	Hesap aktif olduğu sürece + 1 yıl	Meşru menfaat
Teknik veriler (IP, session)	6 ay	Meşru menfaat / güvenlik
OAuth verileri	Yetkilendirme iptal edilene kadar	Açık rıza
Çerez verileri	Çerez türüne göre 30 gün – 1 yıl	Açık rıza / zorunlu

6.4 İlgili Kişi Hakları (KVKK Madde 11)

KVKK’nın 11. maddesi uyarınca, kişisel verisi işlenen her kişi veri sorumlusuna başvurarak aşağıdaki hakları kullanabilir:

• Kişisel verilerinin işlenip işlenmediğini öğrenme
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
• KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme
• Düzeltme, silme ve yok etme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

6.5 Başvuru Yöntemi

Yukarıda belirtilen haklarınızı kullanmak için [email protected] adresine, kimliğinizi tespit edici belgeler ile birlikte yazılı başvuru yapabilirsiniz. Başvurular, niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandırılacaktır. İşlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücret alınabilir.

6.6 Yurt Dışına Veri Aktarımı

KVKK’nın 9. maddesi uyarınca, kişisel verileriniz aşağıdaki ülke ve bölgelere aktarılabilmektedir:

• Avrupa Birliği (Hetzner — Almanya/Finlandiya; Cloudflare): Sunucu barındırma, SEO veri analizi ve güvenlik hizmetleri.
• Amerika Birleşik Devletleri (OpenAI, Meta, Google, Cloudflare): İçerik üretimi, reklam yönetimi, analitik ve DNS hizmetleri.

Bu aktarımlar, KVKK’nın 9. maddesi kapsamında; ilgili hizmet sağlayıcıları ile yapılan standart sözleşmeler ve/veya kullanıcının açık rızası doğrultusunda gerçekleştirilmektedir. Kurul tarafından yeterlilik kararı yayımlanması hâlinde, ilgili ülkelere yapılacak aktarımlarda bu karara uyum sağlanacaktır.

7. GDPR Kapsamında Veri Koruma (Avrupa Birliği)

Bu bölüm, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR — Regulation 2016/679) kapsamında AB/AEA mukimi kullanıcıların haklarını düzenlemektedir.

7.1 Veri İşlemenin Hukuki Temeli (Lawful Basis)

AB/AEA mukimi kullanıcıların kişisel verileri, GDPR’ın 6. maddesi kapsamında aşağıdaki hukuki temellere dayanarak işlenmektedir:

• Rıza / Consent (Art. 6(1)(a)): Pazarlama iletişimleri, analitik çerezler, isteğe bağlı OAuth entegrasyonları.
• Sözleşmenin İfası / Contract (Art. 6(1)(b)): Hesap yönetimi, hizmet sunumu, ödeme işlemleri.
• Hukuki Yükümlülük / Legal Obligation (Art. 6(1)(c)): Vergi ve muhasebe yükümlülükleri.
• Meşru Menfaat / Legitimate Interest (Art. 6(1)(f)): Platform güvenliği, dolandırıcılık tespiti, hizmet iyileştirme, istatistiksel analiz.

7.2 Veri Sahibi Hakları (Data Subject Rights)

GDPR’ın 15–22. maddeleri uyarınca aşağıdaki haklara sahipsiniz:

• Erişim Hakkı (Art. 15): Kişisel verilerinize erişim ve bunların bir kopyasını alma.
• Düzeltme Hakkı (Art. 16): Yanlış veya eksik verilerin düzeltilmesini talep etme.
• Silme Hakkı / Unutulma Hakkı (Art. 17): Belirli koşullar altında kişisel verilerinizin silinmesini isteme.
• İşlemenin Kısıtlanması Hakkı (Art. 18): Belirli durumlarda veri işlemenin kısıtlanmasını talep etme.
• Veri Taşınabilirliği Hakkı (Art. 20): Verilerinizi yapılandırılmış, yaygın kullanılan ve makine tarafından okunabilir bir formatta alma.
• İtiraz Hakkı (Art. 21): Meşru menfaate dayanan veri işleme faaliyetlerine itiraz etme.
• Otomatik Karar Almaya İtiraz (Art. 22): Tamamen otomatik işlemeye dayalı kararlarla bağlı olmama.

7.3 Sınır Ötesi Veri Aktarımı (Cross-Border Transfers)

Kişisel verileriniz, AB/AEA dışına (Türkiye ve ABD dahil) aktarılabilmektedir. Bu aktarımlar için aşağıdaki güvenceler uygulanmaktadır:

• Standart Sözleşme Hükümleri (Standard Contractual Clauses — SCC): Avrupa Komisyonu tarafından onaylanmış standart sözleşmeler.
• Açık Rıza: Kullanıcının bilgilendirilmiş açık rızası.
• Sözleşmenin İfası İçin Gereklilik: Hizmetin sunulabilmesi için zorunlu aktarımlar.

7.4 Veri Koruma İletişim Bilgileri (DPA Contact)

Veri koruma konusundaki tüm talepeleriniz için: [email protected] adresine başvurabilirsiniz. Ayrıca, ikamet ettiğiniz AB ülkesindeki veri koruma otoritesine şikâyette bulunma hakkınız saklıdır.

7.5 Çerez Politikası Entegrasyonu

AB/AEA mukimi kullanıcılar için, zorunlu olmayan çerezler yalnızca açık rıza alındıktan sonra etkinleştirilmektedir. Detaylı çerez politikası için Bölüm 9’a bakınız.

8. CCPA / CalOPPA Kapsamında Gizlilik Hakları (ABD / Kaliforniya)

Bu bölüm, Kaliforniya’da ikamet eden kullanıcıların Kaliforniya Tüketici Gizlilik Yasası (CCPA) ve Kaliforniya Çevrimiçi Gizlilik Koruma Yasası (CalOPPA) kapsamındaki haklarını düzenlemektedir.

8.1 Kaliforniya Sakinlerinin Hakları (CCPA)

CCPA kapsamında Kaliforniya mukimi kullanıcılar aşağıdaki haklara sahiptir:

• Bilgi Edinme Hakkı (Right to Know): Hangi kişisel bilgilerin toplandığını, kullanıldığını ve paylaşıldığını öğrenme.
• Silme Hakkı (Right to Delete): Toplanan kişisel bilgilerin silinmesini talep etme.
• Ayrımcılık Yasağı (Right to Non-Discrimination): Gizlilik haklarını kullanan kullanıcılara karşı ayrımcılık yapılmaması.
• Satıştan Çıkma Hakkı (Right to Opt-Out): Kişisel bilgilerin satışını reddetme.

8.2 Kişisel Bilgilerin Satışı (Do Not Sell My Personal Information)

Suitally, kullanıcıların kişisel bilgilerini üçüncü taraflara SATMAZ. CCPA’nın “satış” tanımı kapsamında herhangi bir kişisel veri satış faaliyetimiz bulunmamaktadır.

Buna rağmen, hizmet sunumu için gerekli üçüncü taraf hizmet sağlayıcıları ile “iş amaçlı” veri paylaşımı gerçekleştirilebilir (bkz. Bölüm 5).

8.3 Opt-Out Mekanizmaları

Kaliforniya mukimi kullanıcılar aşağıdaki yöntemlerle gizlilik tercihlerini yönetebilir:

• E-posta ile başvuru: [email protected] adresine “Califonia Privacy Request” konulu e-posta göndererek.
• Hesap ayarları: Platform içi gizlilik ayarları panelinden.
• Çerez tercihleri: Tarayıcı çerez ayarları veya platformdaki çerez yönetim aracı üzerinden.

Talepler, alındıktan sonra en geç 45 gün içinde sonuçlandırılır.

8.4 CalOPPA Uyumluluk Bildirimi

CalOPPA uyarınca:

• Bu Gizlilik Sözleşmesi, Suitally ana sayfasından kolayca erişilebilir bir şekilde yayımlanmaktadır.
• Politikada yapılacak önemli değişiklikler en az 30 gün öncesinden kullanıcılara bildirilir.
• Kullanıcılar, Do Not Track (DNT) sinyali gönderebilir; ancak platform şu anda DNT sinyallerini otomatik olarak işlememektedir.

9. Çerez Politikası (Cookie Policy)

Suitally, platform deneyimini iyileştirmek için çerezler (cookies) kullanmaktadır.

9.1 Çerez Türleri

Çerez Türü	Amaç	Süre	Rıza Gerekli mi?
Zorunlu (Çekirdek)	Oturum yönetimi, güvenlik, CSRF koruma	Oturum süresi	Hayır
İşlevsel	Dil tercihi, tema ayarları	1 yıl	Evet
Analitik	Kullanım istatistikleri, performans ölçümü	1 yıl	Evet

9.2 Çerez Yönetimi

Kullanıcılar, zorunlu çerezler dışındaki tüm çerezleri platformdaki çerez yönetim paneli üzerinden kabul edebilir veya reddedebilir. Ayrıca tarayıcı ayarlarından çerez tercihlerinizi yönetebilirsiniz.

10. Veri Güvenliği Önlemleri

Suitally, kişisel verilerinizin güvenliğini sağlamak için aşağıdaki teknik ve idari tedbirleri uygulamaktadır:

10.1 Teknik Önlemler

• Bcrypt ile şifre hashleme
• SSL/TLS şifreleme ile veri aktarım güvenliği
• Laravel Sanctum ile API token yönetimi
• CSRF (Cross-Site Request Forgery) koruma
• Rate limiting ve brute-force saldırı önleme
• Düzenli güvenlik yamaları ve bağımlılık güncellemeleri
• Cloudflare WAF (Web Application Firewall)
• CSP (Content Security Policy) başlıkları
• Redis ile güvenli oturum yönetimi

10.2 İdari Önlemler

• Erişim kontrolu ve yetkilendirme politikaları
• Düzenli güvenlik denetimleri
• Üçüncü taraf hizmet sağlayıcıları ile veri işleme sözleşmeleri
• Veri minimizasyonu ilkesine uyum (yalnızca gerekli veriler toplanır)

11. Veri İhlali Bildirim Prosedürü

Kişisel verilerde herhangi bir güvenlik ihlali tespit edilmesi hâlinde:

• KVKK: Kişisel Verileri Koruma Kurulu’na en kısa sürede ve en geç 72 saat içinde bildirim yapılır. İlgili kişiler de makul sürede bilgilendirilir.
• GDPR: Denetim makamına 72 saat içinde bildirim yapılır. Yüksek risk içeren ihlallerde veri sahiplerine de doğrudan bilgi verilir.
• CCPA: Kaliforniya mukimi kullanıcılar, ihlalden etkilenen kişiler olarak derhal bilgilendirilir.

Bildirim içeriği: İhlalin niteliği, etkilenen veri kategorileri, tahmini etki, alınan ve önerilen önlemler.

12. Çocukların Gizliliği

Suitally, 18 yaşın altındaki bireylere yönelik hizmet sunmamaktadır. KVKK ve GDPR kapsamında 18 yaş altı, CCPA/COPPA kapsamında ise 16 yaş altı bireylerin kişisel verileri bilerek toplanmaz.

Eğer bir çocuğun kişisel verisinin toplandığı tespit edilirse, bu veriler derhal silinir. Ebeveynler veya yasal vasiler, bu konudaki endişelerini [email protected] adresine iletebilir.

13. Politika Güncellemeleri

9 Nisan 2026 tarihinde yürürlüğe giren sözleşme, yasal düzenlemelerdeki değişiklikler veya platform özelliklerindeki gelişmeler doğrultusunda zaman zaman güncellenebilir.

• Önemli değişiklikler en az 30 gün öncesinden e-posta ve/veya platform içi bildirim ile duyurulur.
• Küçük düzeltmeler (dil, biçim) için ayrıca bildirim yapılmayabilir.
• Güncel politikanın yürürlük tarihi her zaman belgenin başında belirtilir.
• Platformu kullanmaya devam etmeniz, güncellenmiş politikayı kabul ettiğiniz anlamına gelir.

14. İletişim

Sözleşmesi hakkındaki sorularınız veya kişisel verilerinize ilişkin talepleriniz için:

E-posta: [email protected]

Telefon: +90 542 109 23 26

Adres: Korkutreis Mahallesi, Necatibey Caddesi 56/12, Ankara, Türkiye

KVKK kapsamındaki başvurularınız için Kişisel Verileri Koruma Kurumu’na da başvurabilirsiniz: www.kvkk.gov.tr

GDPR kapsamındaki başvurularınız için ikamet ettiğiniz ülkedeki veri koruma otoritesine başvurabilirsiniz.

Son güncelleme: 9 Nisan 2026