Gizlilik Politikası

1. Giriş ve Kapsam

İşbu Gizlilik ve Kişisel Verilerin Korunması Politikası ("Politika"), Concorde Aria Hotel & Casino Girne (GTY Turizm Otelcilik Ltd. ve yetkili lisans sahibi kuruluşları, bundan böyle "Şirket" veya "Veri Sorumlusu" olarak anılacaktır) tarafından sunulan web sitesi ve mobil uygulamalar üzerinden gerçekleştirilen kişisel veri işleme faaliyetlerini açıklamak amacıyla hazırlanmıştır.

Şirketimiz aşağıdaki yasal düzenlemelere tam uyumu taahhüt eder:

  • Türkiye Cumhuriyeti 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)
  • Kuzey Kıbrıs Türk Cumhuriyeti 89/2007 sayılı Kişisel Verilerin Korunması Yasası
  • Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR – 2016/679)
  • KKTC Şans Oyunları Yasası ve ilgili ikincil mevzuat
  • Suç Gelirlerinin Aklanmasının Önlenmesi (AML) mevzuatı
  • Apple App Store (App Tracking Transparency) ve Google Play (Data Safety) standartları

2. Veri Sorumlusu Bilgileri

  • Ünvan: Concorde Aria Hotel & Casino Girne (GTY Turizm Otelcilik Ltd.)
  • Adres: Çatalköy Mahallesi, Deniz Sk. No: 37, Girne, KKTC
  • E-posta: kvkk@concordecasinos.com
  • Telefon: +90 548 810 05 55

Veri sorumlusu sıfatımızla, kişisel verilerinizin hukuka uygun işlenmesinden ve korunmasından sorumluyuz. KVKK m.13 gereği başvurularınız en geç 30 (otuz) gün içinde cevaplanır.

3. Toplanan Kişisel Veri Kategorileri

  • Kimlik Verileri: Ad, soyad, doğum tarihi, T.C. kimlik veya pasaport numarası, uyruk (Şans Oyunları mevzuatı gereği zorunlu).
  • İletişim Verileri: Telefon, e-posta, fiziksel adres.
  • Finansal Veriler: Banka/kart token (PCI-DSS), sadakat puanları, yatırma-çekme işlem geçmişi.
  • İşlem ve Üyelik Verileri: Üyelik geçmişi, oyun geçmişi, bahis kayıtları, oturum süreleri.
  • Konum Verileri: Hassas cihaz konumu (yerel mevzuat gereği coğrafi sınır doğrulaması için).
  • Teknik Veriler ve Cihaz Tanımlayıcıları: IP adresi, çerez, IDFA (Apple), AAID (Google), yasal zorunluluk halinde IMEI/IMSI.
  • Görsel/İşitsel Veriler: Müşteri destek görüşme kayıtları (önceden bilgilendirme ile).

4. Hassas Veriler ve Açık Rıza

KVKK m.6 ve GDPR Md.9 kapsamındaki özel nitelikli (hassas) veriler yalnızca açık rıza ile veya yasal zorunluluk halinde işlenir. Hassas verileriniz pazarlama amacıyla kullanılmaz, üçüncü taraflarla ticari amaçlı paylaşılmaz.

5. Veri İşleme Amaçları

  • Üyelik oluşturma, hesap yönetimi ve oturum sürdürme
  • Sözleşmesel hizmetlerin (oyun, bahis, otel rezervasyonu, sadakat) sunulması
  • Yasal yükümlülüklerin yerine getirilmesi (KKTC Şans Oyunları, AML, vergi)
  • Müşteri destek, şikayet ve geri bildirim yönetimi
  • Hizmet güvenliği, dolandırıcılık önleme
  • Pazarlama ve kişiselleştirilmiş teklifler (yalnızca açık rıza ile)
  • İstatistik, analitik ve ürün geliştirme (anonim/agregat)

6. Hukuki Sebepler (KVKK m.5/m.6, GDPR Md.6/Md.9)

  • Yasal Yükümlülük: KKTC Şans Oyunları, AML, vergi mevzuatı
  • Sözleşme İfası: Üyelik ve hizmet sözleşmesi
  • Meşru Menfaat: Dolandırıcılık önleme, sistem güvenliği
  • Açık Rıza: Pazarlama, hassas veriler, çerez tabanlı izleme

7. Üçüncü Kişilerle Paylaşım

  • KKTC ve T.C. resmi makamları (Maliye, AML denetim, mahkeme)
  • Lisanslı ödeme kuruluşları ve bankalar
  • Bulut altyapı (AWS, Cloudflare) – DPA altında
  • Analitik sağlayıcılar (Google Analytics, Firebase, Adjust)
  • Hukuk büroları, denetim firmaları (gizlilik sözleşmesi)

Kişisel verileriniz hiçbir koşulda ticari amaçla satılmaz, kiralanmaz veya pazarlama listesi olarak devredilmez.

8. Yurt İçi ve Yurt Dışı Veri Aktarımı

Uluslararası aktarımlar şu güvenceler altında yapılır:

  • EU-US Data Privacy Framework sertifikalı sağlayıcılar
  • Standart Sözleşmesel Hükümler (SCC – GDPR Md.46)
  • KVK Kurulu tarafından yeterli koruma sağladığı kabul edilen ülkeler
  • İlgili kişinin açık rızası (KVKK m.9/1)

9. Üçüncü Taraf SDK ve İş Ortakları

  • Google Firebase: Crash raporlama, anlık bildirim, analitik (firebase.google.com/policies)
  • Google Analytics: Web ve uygulama analitik (policies.google.com/privacy)
  • Adjust: Reklam atıf ölçümü (adjust.com/terms/privacy-policy)
  • Meta Pixel: Reklam hedefleme (yalnızca açık rıza ile)
  • AWS: Bulut altyapı (aws.amazon.com/privacy)
  • Cloudflare: Web güvenliği, CDN (cloudflare.com/privacypolicy)

10. Mobil Uygulama Özel Şartları

Apple App Store (ATT): iOS 14.5+ için reklam takibi öncesi sistem aracılığıyla izin talep edilir.

Google Play (Veri Güvenliği): Android için hassas verilere erişim öncesi uygulama içi bilgilendirme ve aktif rıza alınır.

11. Web Sitesi Çerez Politikası

Web sitemizde KVKK/GDPR uyumlu çerez yönetim sistemi kullanılmaktadır. Zorunlu olmayan tüm çerezler ancak açık rıza ile etkinleştirilir. Ayrıntılar için Çerez Politikası sayfamızı inceleyebilirsiniz.

12. Veri Saklama Süreleri

  • Üyelik: Aktif olduğu sürece + kapatma sonrası yasal saklama
  • Mali/oyun işlem kayıtları: 10 yıl (KKTC Şans Oyunları + AML + vergi)
  • Kimlik/KYC belgeleri: 10 yıl (AML)
  • Pazarlama kayıtları: Rıza geri çekilene kadar + 1 yıl
  • Log kayıtları: En çok 2 yıl
  • Müşteri destek kayıtları: 3 yıl

13. Veri Güvenliği Önlemleri

Teknik: TLS 1.2/1.3 HTTPS, AES-256 veritabanı şifreleme, 2FA, düzenli pentest, WAF/DDoS koruması, SIEM denetim logları, en az yetki erişim kontrolü.

İdari: Personel veri koruma eğitimi, gizlilik sözleşmeleri, DPIA, tedarikçi denetimleri, olay müdahale prosedürleri.

14. Çocuk Koruma ve 18+ Yaş Sınırı

Hizmetlerimiz KKTC Şans Oyunları Yasası gereği yalnızca 18 yaşını doldurmuş kişilere yöneliktir. Kayıt aşamasında doğum tarihi ve resmi kimlik belgesi ile yaş doğrulanır. 18 yaş altı kullanıcı tespit edilirse hesap derhal kapatılır.

15. Veri Sahibi Hakları (KVKK m.11 / GDPR Md.15–22)

  • Bilgi Talep Etme: Verilerinizin işlenip işlenmediğini öğrenme
  • Erişim: İşlenen verilerin bir kopyasını talep etme
  • Düzeltme: Eksik veya hatalı verilerin düzeltilmesi
  • Silme/Unutulma: Yasal saklama saklı, silme talebi
  • İşlemeye İtiraz: Meşru menfaat ve pazarlama için itiraz
  • Veri Taşınabilirlik: Yapılandırılmış formatta veri alma (GDPR Md.20)
  • Otomatik Karar İtirazı: İnsan müdahalesi talep etme (GDPR Md.22)
  • Rızayı Geri Alma: Her zaman geri çekme
  • Şikayet: KVK Kurulu (TR), KKTC DPA, AB DPA başvuru

Başvurularınızı kvkk@concordecasinos.com adresinden iletebilirsiniz. KVKK Tebliğ m.5 gereği e-posta yasal başvuru kanalıdır. Yanıt süresi: 30 gün.

16. Veri İhlali Bildirim Süreci

  • İhlal tespitinden sonra 72 saat içinde KVK Kurulu'na bildirim (KVKK m.12/5)
  • AB vatandaşı etkileniyorsa GDPR Md.33 gereği ilgili DPA'ya bildirim
  • Yüksek riskli ihlallerde etkilenen kullanıcılara doğrudan bildirim
  • Detaylı etki değerlendirmesi raporu
  • Tekrarı önlemek için tedbir alma

17. Hesap Silme ve Veri İmhası

Hesabınızı şu yollarla silebilirsiniz:

Silme talebi sonrası veriler 30 gün (operasyonel sebep varsa en geç 90 gün) içinde imha edilir. Yasal saklama yükümlülükleri saklıdır (mali kayıtlar 10 yıl, KYC 10 yıl).

18. Otomatik Karar Verme ve Profilleme

  • Sadakat/Kampanya Profillemesi: Oyun geçmişi ve tercihler analiz edilerek kişiselleştirilmiş teklifler.
  • Sahtekarlık/AML Risk Skoru: Şüpheli davranış modellerinin otomatik değerlendirilmesi.
  • Sorumlu Oyun Tetikleyicileri: Kumar bağımlılığı riski tespiti ve uyarı sunma.

GDPR Md.22 ve KVKK m.11/g gereği insan müdahalesi ve itiraz hakkınız vardır. kvkk@concordecasinos.com adresinden kullanabilirsiniz.

19. Politika Değişiklikleri ve İletişim

Güncelleme Bildirimi: Önemli değişiklikler kayıtlı e-postaya, uygulama içi banner ve web sitesi banner ile bildirilir.

Üyelik Silme (Girne): Girne lokasyonu hesabınızı doğrudan silmek için: https://concordecasinos.com/girne/delete-user-account/

İletişim ve Şikayet:

  • E-posta: kvkk@concordecasinos.com (KVKK Tebliğ m.5 gereği yasal başvuru kanalı)
  • Adres: Çatalköy Mahallesi, Deniz Sk. No: 37, Girne, KKTC
  • TR – KVK Kurulu: www.kvkk.gov.tr
  • KKTC – Kişisel Verileri Koruma Kurumu: info.kvkk@gov.ct.tr
  • AB Vatandaşları: Yerleşik olduğunuz AB üye devletinin DPA'sı

Yürürlük Tarihi: Haziran 2026 · Versiyon: v1.0 · Belge No: CC-PP-2026-001