Kişisel Verilerin Korunması ve Gizlilik Politikası

Yürürlük tarihi: 28 Mart 2026 · Son güncelleme: 28 Mart 2026 · Sürüm 1.0

Revolution Brand Protection ("Şirket" veya "RevBP"), sunduğu marka koruma ve ihlal tespit hizmetleri kapsamında elde ettiği kişisel verileri; Avrupa Birliği Genel Veri Koruma Tüzüğü (AB) 2016/679 ("GDPR") ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") başta olmak üzere yürürlükteki veri koruma mevzuatına tam uyum içinde işlemeyi taahhüt etmektedir. İşbu Politika, söz konusu yükümlülüklerin yerine getirilme biçimini ve ilgili kişilerin haklarını açıklamaktadır.

1. Tanımlar

Terim	Açıklama
Kişisel Veri	Kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi (GDPR m.4/1; KVKK m.3/1-d)
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişi (GDPR m.4/7; KVKK m.3/1-ı)
Veri İşleyen	Veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi (GDPR m.4/8; KVKK m.3/1-ğ)
İşleme	Kişisel veriler üzerinde gerçekleştirilen her türlü işlem: toplama, kaydetme, depolama, aktarma vb. (GDPR m.4/2)
İlgili Kişi	Kişisel verisi işlenen gerçek kişi (GDPR m.4/1; KVKK m.3/1-e)
GDPR	Avrupa Birliği Genel Veri Koruma Tüzüğü (AB) 2016/679
KVKK	6698 sayılı Kişisel Verilerin Korunması Kanunu (Türkiye)
SCC / SCM	GDPR m.46/2-c kapsamındaki AB Standart Sözleşme Maddeleri (Standard Contractual Clauses)

2. Kapsam

İşbu Politika; RevBP'nin yönettiği revbp.com alan adı ve alt alan adları üzerindeki web sitesi ile SaaS platformuna ("Platform") uygulanır. Platform münhasıran ticari müşterilere (B2B) yönelik olup bireysel tüketicilere doğrudan hizmet sunulmamaktadır.

İşbu Politika, Şirket'in bağlantı sağlayabileceği üçüncü taraf web sitesi veya hizmetleri kapsamaz; söz konusu sitelerin gizlilik uygulamalarından Şirket sorumlu tutulamaz.

3. Veri Sorumlusunun Kimliği ve İletişim Bilgileri

Unvan: Revolution Brand Protection

Kısa Ad: RevBP

Veri Koruma İletişim: privacy@revbp.com

Kişisel verilerinizin işlenmesine ilişkin tüm talepler, sorular ve şikâyetler yukarıdaki e-posta adresine iletilmelidir.

4. İşlenen Kişisel Veriler, Amaçlar ve Hukuki Dayanaklar

Şirket, aşağıdaki kategorilerdeki kişisel verileri belirtilen amaçlar doğrultusunda ve hukuki dayanağa istinaden işlemektedir. Hiçbir kişisel veri, öngörülen amaçların gerektirdiğinden fazla süreyle veya kapsamda işlenemez.

Veri Kategorisi	İşlenen Unsurlar	İşleme Amacı	Hukuki Dayanak
Kimlik ve hesap verileri	Ad, soyadı, kurumsal e-posta adresi, şifreli parola özeti (hash)	Kimlik doğrulama, hesap yönetimi ve Platform erişim kontrolü	Sözleşme ifası — GDPR m.6/1-b; KVKK m.5/2-c
Kullanım ve teknik veriler	IP adresi, tarayıcı türü, oturum süresi, erişilen sayfalar	Platform güvenliği, kötüye kullanım tespiti, hizmet kalitesinin iyileştirilmesi	Meşru menfaat — GDPR m.6/1-f; KVKK m.5/2-f
Marka ve izleme verileri	Müşteri tarafından tanımlanan marka adları, logo URL'leri, tarama sonuçları, tespit edilen ihlal kayıtları	Marka ihlali tespiti, takedown yönetimi ve raporlama	Sözleşme ifası — GDPR m.6/1-b; KVKK m.5/2-c
İletişim verileri	E-posta yazışmaları, destek talepleri, bildirim içerikleri	Müşteri desteği, hizmet bildirimleri ve işbirliği yazışmaları	Sözleşme ifası — GDPR m.6/1-b; KVKK m.5/2-c
Fatura ve ödeme verileri	Fatura adresi, vergi kimlik numarası; ödeme kartı bilgileri Şirket tarafından işlenmez	Faturalama, muhasebe ve yasal raporlama yükümlülükleri	Yasal yükümlülük — GDPR m.6/1-c; KVKK m.5/2-ç

5. Kişisel Verilerin Yurt İçi ve Yurt Dışına Aktarılması

Şirket, kişisel verileri hiçbir surette ticari amaçla üçüncü taraflara satmaz veya devretmez. Kişisel veriler, yalnızca aşağıda belirtilen veri işleyenlerle ve münhasıran hizmetin ifası amacıyla paylaşılmaktadır. Her veri işleyen, GDPR m.28 veya KVKK kapsamındaki veri işleme sözleşmesiyle bağlıdır.

Veri İşleyen	Hizmet Kapsamı	Konum	Aktarım Güvencesi
Resend Inc.	E-posta gönderimi (takedown bildirimleri, sistem uyarıları)	ABD	AB Standart Sözleşme Maddeleri (SCC) — GDPR m.46/2-c
OVHcloud SAS	Altyapı barındırma ve sunucu hizmetleri	AB / Fransa (Roubaix, Gravelines)	AB içi işlem; GDPR doğrudan uygulanır
Cloudflare Inc.	DDoS koruması, içerik dağıtım ağı (CDN), DNS yönetimi	ABD	AB Standart Sözleşme Maddeleri (SCC); Cloudflare GDPR Uyum Sertifikası

Yetkili kamu kurum ve kuruluşlarının yazılı talebi veya yargısal zorunluluk hâlinde kişisel veriler ilgili makamlarla paylaşılabilir. Bu durum gerçekleştiğinde mümkün olduğunca ilgili kişiye bildirilir.

6. Kişisel Verilerin Saklanması ve İmhası

Kişisel veriler, işleme amacının gerektirdiği süreyle sınırlı olarak saklanır; bu sürenin dolması veya hukuki dayanağın ortadan kalkması hâlinde geri dönüşü olmayan bir biçimde imha edilir ya da anonim hâle getirilir.

Veri Kategorisi	Saklama Süresi
Hesap ve kimlik verileri	Hesabın aktif olduğu süre boyunca; hesap silinmesini takiben 30 gün içinde imha
Tarama ve tespit kayıtları	Hizmet sözleşmesinin sona ermesinden itibaren azami 2 (iki) yıl
Erişim ve güvenlik günlükleri	Azami 90 (doksan) takvim günü
Fatura ve muhasebe kayıtları	213 sayılı Vergi Usul Kanunu ve ilgili mevzuat gereği 10 (on) yıl
Çerez onayı kayıtları	Onay geri çekilene veya hesap silinene kadar; her hâlükârda azami 3 (üç) yıl
Destek yazışmaları	Son yazışmadan itibaren 2 (iki) yıl

7. Teknik ve İdari Güvenlik Tedbirleri

Şirket, GDPR m.32 ve KVKK m.12 kapsamında kişisel verilerin korunması için uygun teknik ve idari tedbirleri almakla yükümlüdür. Bu kapsamda uygulanan başlıca tedbirler şunlardır:

Tüm veri iletimlerinde TLS 1.2 ve üzeri protokolüyle uçtan uca şifreleme
Parolaların bcrypt algoritmasıyla hashlenmesi; düz metin parola saklanmaması
Kimlik doğrulamanın kısa ömürlü JWT bearer token ile gerçekleştirilmesi; çerez tabanlı oturum yönetiminin kullanılmaması
Veritabanı erişiminin en az yetki ilkesi çerçevesinde yalnızca yetkili servislerle sınırlandırılması
Düzenli sızma testleri (penetrasyon testleri) ve güvenlik açığı taramaları
Çalışanlar için zorunlu veri gizliliği eğitimleri ve gizlilik taahhütnameleri
Erişim günlüklerinin tutulması ve periyodik denetimi

Güvenlik tedbirlerine rağmen gerçekleşebilecek olası bir veri ihlali hâlinde uygulanacak prosedür için Madde 12'ye bakınız.

8. İlgili Kişi Hakları

GDPR m.15–22 ve KVKK m.11 kapsamında ilgili kişiler aşağıdaki haklara sahiptir:

Erişim hakkı (GDPR m.15 / KVKK m.11-b)İşlenen kişisel verilerinizin bir kopyasını ve işlemeye ilişkin bilgileri talep edebilirsiniz.

Düzeltme hakkı (GDPR m.16 / KVKK m.11-c)Yanlış veya eksik kişisel verilerinizin gecikmeksizin düzeltilmesini talep edebilirsiniz.

Silme hakkı (GDPR m.17 / KVKK m.11-d,e)İşleme amacı ortadan kalktığında ya da rızanızı geri çektiğinizde kişisel verilerinizin silinmesini talep edebilirsiniz.

İşlemenin kısıtlanması (GDPR m.18)Verilerinizin doğruluğuna itiraz ettiğiniz veya işlemenin hukuka aykırı olduğunu düşündüğünüz süre boyunca işlemenin kısıtlanmasını isteyebilirsiniz.

Veri taşınabilirliği (GDPR m.20)Sağladığınız kişisel verilerin yapılandırılmış, yaygın kullanılan ve makine tarafından okunabilir bir biçimde tarafınıza verilmesini talep edebilirsiniz.

İtiraz hakkı (GDPR m.21 / KVKK m.11-f)Meşru menfaate dayanan işleme faaliyetlerine itiraz edebilirsiniz; Şirket zorlayıcı meşru gerekçe bulunmadıkça işlemeyi durdurmakla yükümlüdür.

Onayın geri çekilmesi (GDPR m.7/3)Rızaya dayalı işlemelerde onayınızı her zaman geri çekebilirsiniz. Geri çekim önceki işlemlerin hukuka uygunluğunu etkilemez.

Denetim otoritesine şikâyet (GDPR m.77 / KVKK m.14)Türkiye için KVKK'ya, AB üyesi ülkelerdeki ilgili kişiler için ilgili ulusal denetim otoritesine başvurabilirsiniz.

Haklarınızı kullanmak için kimliğinizi doğrulayan bilgilerle birlikte privacy@revbp.com adresine yazınız. Talepler, GDPR m.12 ve KVKK m.13 gereği otuz (30) takvim günü içinde yanıtlanır; talebin karmaşıklığı hâlinde bu süre gerekçesiyle birlikte altmış (60) güne uzatılabilir.

9. Çerez ve Benzeri Takip Teknolojileri

RevBP Platformu, işbu Politika'nın yürürlük tarihi itibarıyla HTTP çerezi (cookie) kullanmamaktadır. Oturum kimliği, kullanıcının tarayıcısındaki localStorage alanında şifreli JWT formatında saklanmaktadır; bu depolama yöntemi teknik olarak çerez kapsamında değildir ve Direktif 2002/58/EC (e-Gizlilik Direktifi) m.5/3 hükmüne tabi değildir.

Çerez Türü	Mevcut Durum	Hukuki Dayanak	Azami Süre	Sonlandırma
Zorunlu çerezler	Kullanılmıyor	—	—	—
Analitik çerezler	Henüz aktif değil	İleride uygulanırsa: Açık rıza — GDPR m.6/1-a; KVKK m.5/1	Azami 13 (on üç) ay	Rıza geri çekildiğinde derhal
Pazarlama çerezleri	Kullanılmıyor	—	—	—
Üçüncü taraf çerezler	Kullanılmıyor	—	—	—

Çerez uygulamalarında değişiklik yapılması hâlinde işbu Politika güncellenir ve gerektiğinde ilgili kişilerden yeniden açık rıza alınır. Onayınızı sayfanın altındaki "Çerez Ayarları" butonu aracılığıyla dilediğiniz zaman değiştirebilirsiniz.

10. Üçüncü Taraf Kaynaklar ve Dış İçerik Yükleme

Platform, üçüncü taraf yazı tipi hizmetleri (Google Fonts) gibi dış kaynakları yalnızca ilgili kişinin açık çerez onayını vermesinin ardından yükler. Onay alınmadan önce ziyaretçinin IP adresi dahil hiçbir kişisel verisi dış sunuculara iletilmez. Bu uygulama, AB Yerel Mahkemesi Münih'in (Landgericht München) 20 Ocak 2022 tarihli ve 3 O 17493/20 sayılı kararına ve GDPR m.44 vd. hükümlerine uygundur.

11. Otomatik Karar Alma ve Profilleme

RevBP, GDPR m.22 anlamında bireyler üzerinde hukuki sonuç doğuran veya onları önemli ölçüde etkileyen otomatik karar alma veya profilleme faaliyeti yürütmemektedir. Platform tarafından gerçekleştirilen marka ihlali tarama ve risk skoru hesaplamaları, insan gözetimi altında değerlendirilen yardımcı nitelikte analitik çıktılardır; doğrudan hukuki veya benzer nitelikte sonuç doğurmaz.

12. Çocuklara İlişkin Veriler

Platform münhasıran kurumsal müşterilere ve işletme temsilcilerine yönelik olup 18 yaşın altındaki bireylere hizmet sunmamaktadır. Şirket, reşit olmayan kişilere ait kişisel verileri bilerek toplamamaktadır. Reşit olmayan bir kişiye ait kişisel verinin Platform üzerinde işlendiğinin tespit edilmesi hâlinde söz konusu veriler derhal silinir.

13. Kişisel Veri İhlali Bildirimi

Kişisel veri güvenliğinin ihlal edilmesi hâlinde Şirket, GDPR m.33 kapsamında ihlalin öğrenilmesinden itibaren 72 (yetmiş iki) saat içinde yetkili denetim otoritesine bildirimde bulunur. İhlalin ilgili kişiler için yüksek risk taşıması hâlinde GDPR m.34 ve KVKK m.12/5 çerçevesinde etkilenen kişiler de gecikmeksizin bilgilendirilir.

Olası bir güvenlik açığını fark ettiğinizde lütfen privacy@revbp.com adresine sorumlu açıklama (responsible disclosure) ilkesiyle bildirin.

14. Politika Değişiklikleri

Şirket, işbu Politika'yı yürürlükteki mevzuat değişikliklerine veya hizmet kapsamındaki güncellemelere paralel olarak revize etme hakkını saklı tutar. Maddi nitelikteki değişiklikler, yürürlük tarihinden en az otuz (30) gün önce kayıtlı e-posta adresleri aracılığıyla ilgili kişilere duyurulur. Değişiklikler çerez onayına ilişkinse yeni onay mekanizması devreye alınır. Güncel Politika her zaman revbp.com/gizlilik adresinde erişilebilir olup sayfanın üst kısmındaki "Son güncelleme" tarihi esas alınır.

15. Uygulanacak Hukuk ve Yetkili Makamlar

İşbu Politika'dan doğan uyuşmazlıklarda Türk hukuku uygulanır ve Türkiye mahkemeleri yetkilidir. Bununla birlikte AB veri sahipleri, ikamet ettikleri üye ülkedeki yetkili veri koruma otoritesine başvurma haklarını saklı tutar.

Türkiye: Kişisel Verileri Koruma Kurumu (KVKK) — kvkk.gov.tr

Almanya: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)

Fransa: Commission Nationale de l'Informatique et des Libertés (CNIL)

Diğer AB ülkeleri: İkamet edilen ülkenin ulusal veri koruma otoritesi