Gizlilik Bildirimi

1. Veri Sorumluları (Ortak Sorumluluk, GDPR Madde 26)

Bu web sitesinde kişisel verilerin işlenmesinden, GDPR Madde 26 anlamında iki şirket ortak veri sorumlusu olarak birlikte sorumludur:

Apropos Haare GmbH — Mönchhofstr. 3b (Lutherstraße köşesi), 69120 Heidelberg · Genel Müdürler: Andrea Sladek ve Stefanie Mohr · Amtsgericht Mannheim, HRB 724439

Apropos Haare Mannheim GmbH — Tattersallstraße 41, 68165 Mannheim · Genel Müdür: Mathias Gramlich · Amtsgericht Mannheim, HRB 728061

Apropos Haare GmbH bu web sitesini işletmektedir; her iki şirket de burada toplanan veriler bakımından ortak veri sorumlusu sıfatını taşımakta ve bu verilere erişim hakkına sahip bulunmaktadır. GDPR Madde 26(1) uyarınca akdedilen bir sözleşmeyle, GDPR kapsamındaki yükümlülüklerin hangi şirket tarafından yerine getirileceği düzenlenmiştir. Özü itibarıyla: veri sahiplerinin hakları bakımından birincil muhatap Apropos Haare GmbH'dir; talepler, ortak iletişim adresinden her iki şirkete de iletilebilir. İç görev dağılımı haklarınızı etkilemez — haklarınızı her iki veri sorumlusuna karşı da kullanabilirsiniz.

Ortak veri koruma iletişim adresi: datenschutz@aproposhaare.de

Veri koruma görevlisi atanmamıştır (§ 38 Abs. 1 BDSG [Alman Federal Veri Koruma Kanunu]; GDPR Madde 37 — atama yükümlülüğü doğuracak koşullar mevcut değildir).

2. İşlenen Veri Türleri

GDPR Madde 9 kapsamında özel nitelikli kişisel verileri aktif olarak toplamıyoruz. Bir randevu rezervasyonundaki notlar alanına sağlığa ilişkin bilgiler (örn. alerjiler) gönüllü olarak girilmesi hâlinde bu veriler yalnızca açık rızanıza dayanılarak işlenir (GDPR Madde 9(2)(a)); bu tür bilgileri yalnızca bunu istediğiniz takdirde paylaşınız. Hizmetinizin ödemesi salon içinde gerçekleştirilmekte olup bu çevrimiçi teklifin kapsamı dışındadır.

• Kimlik verileri (örn. ad-soyad)
• İletişim verileri (örn. e-posta adresi, telefon numarası)
• İçerik verileri (örn. formlardaki metin girişleri, profil fotoğrafı, başvuru belgeleri)
• Hizmet verileri (örn. rezerve edilen hizmetler, randevu geçmişi)
• Sözleşme verileri (örn. rezerve edilen hizmet, ilgili salon)
• Kullanım ve erişim verileri (örn. ziyaret edilen sayfalar, IP adresi, zaman damgası)

3. İşleme Amaçları

Çevrimiçi teklifin, içeriklerinin ve işlevlerinin sağlanması · çevrimiçi randevu rezervasyonu ve müşteri hesabı yönetimi · randevu onayı ve hatırlatma mesajlarının gönderilmesi · iletişim ve başvuru taleplerine yanıt verilmesi · güvenlik ve kötüye kullanımın önlenmesi · teklifin iyileştirilmesine yönelik dahili analizler.

4. Hukuki Dayanaklar (Genel Bakış)

Kişisel verileri yalnızca yasal bir dayanağa göre işliyoruz:

• GDPR Madde 6(1)(a) (Rıza, Madde 7 ile birlikte) — örn. push bildirimleri, profil fotoğrafı, pazarlama amaçlı iletişim;
• GDPR Madde 6(1)(b) (Sözleşme / sözleşme öncesi tedbirler) — örn. rezervasyon, müşteri hesabı, bekleme listesi, iş başvurusu;
• GDPR Madde 6(1)(c) (Hukuki yükümlülük) — örn. saklama ve belgeleme yükümlülükleri;
• GDPR Madde 6(1)(f) (Meşru menfaat) — örn. güvenli işletim, erişim ölçümü, dahili analizler, kötüye kullanımın önlenmesi.

5. Üçüncü Taraflara Aktarım, Veri İşleyenler ve Üçüncü Ülkelere Aktarım

Aktarım yalnızca yasal bir dayanağa göre gerçekleştirilir (sözleşmenin ifası, rıza, hukuki yükümlülük veya meşru menfaat). Veri işleyenler, GDPR Madde 28 uyarınca akdedilen bir sözleşme çerçevesinde görevlendirilmektedir:

Üçüncü ülkelere aktarım: Cloudflare için AB-ABD Veri Gizliliği Çerçevesi (EU-US Data Privacy Framework) ve ek olarak Standart Sözleşme Hükümleri (AB) 2021/914 esas alınmaktadır; Resend için Standart Sözleşme Hükümleri (AB) 2021/914 (ABD) esas alınmaktadır. Belbo aracılığıyla e-posta gönderiminde kullanılan posta hizmet sağlayıcısı (ABD), Belbo'nun veri işleme sözleşmesi/SCC zinciri kapsamında güvence altındadır. OpenStreetMap harita karoları, Birleşik Krallık'taki OpenStreetMap Foundation tarafından sağlanmaktadır; aktarım, Birleşik Krallık için AB yeterlilik kararına dayanmaktadır. Belbo aracılığıyla SMS gönderiminde kullanılan hizmet sağlayıcı (Hollanda) AEA içinde işlem yapmaktadır.

• Cloudflare, Inc. — Barındırma, veritabanı, dosya depolama, erişim ölçümü, bot koruması — Merkez: ABD
• Belbo Business Software GmbH — Rezervasyon sistemi — Merkez: Berlin
• Posta hizmet sağlayıcısı (Belbo'nun alt veri işleyeni) — E-posta gönderimi (onay/hatırlatma) — Merkez: ABD
• SMS hizmet sağlayıcısı (Belbo'nun alt veri işleyeni) — SMS gönderimi — Merkez: Hollanda (AB)
• Resend — Formlarımızın işlemsel e-postaları — Merkez: ABD
• OpenStreetMap Foundation — Harita karoları — Merkez: Birleşik Krallık (üçüncü ülke)

6. Sözleşmeden Doğan Hizmetlerin İfası — Rezervasyon ve Müşteri Hesabı

Çevrimiçi randevu rezervasyonu (Belbo): Rezervasyon sırasında, randevunun gerçekleştirilmesi amacıyla kimlik, iletişim, hizmet ve sözleşme verilerini işliyoruz (GDPR Madde 6(1)(b)). Bu amaçla Belbo Business Software GmbH (Berlin) veri işleyen sıfatıyla görevlendirilmiştir; Belbo'nun gizlilik bildirimi de ayrıca geçerlidir. Belbo, verilerinizi yalnızca hizmetin sağlanması amacıyla işler ve size kendi ticari amaçlarıyla iletişim kurmaz.

Müşteri hesabı: Hesap oluşturabilirsiniz. Giriş şifresiz yapılmaktadır — kimlik doğrulama, rezervasyon sistemi Belbo aracılığıyla gerçekleştirilmekte olup şifre saklamıyoruz. Hesaplar kamuya açık değildir ve arama motorları tarafından dizine eklenemez. Hesabın kapatılması hâlinde hesap verileri, yasal saklama yükümlülüklerinin (Bölüm 14) aksini gerektirmediği sürece silinir. Kayıt sırasında kötüye kullanıma karşı koruma ve rıza kanıtı olarak IP adresinizin ve tarayıcı kimliğinizin bir karma değerini (hash) ile zaman damgasını saklarız; giriş yapıldığında son giriş zamanını saklarız, IP adresiniz ise yalnızca kısa süreliğine ve kalıcı olmaksızın işlenir (GDPR Madde 6(1)(f)).

Profil ve profil fotoğrafı: İsteğe bağlı olarak yüklenen bir profil fotoğrafı, rızanıza dayanılarak (GDPR Madde 6(1)(a)) barındırma hizmet sağlayıcımızda saklanır (Bölüm 5). Fotoğrafı istediğiniz zaman kendiniz kaldırabilirsiniz; belirtilen amaç için gerekli olmaktan çıktığında da artık saklanmaz.

Bekleme listesi: Ad ve iletişim bilgileri, müsait olan randevular hakkında bildirim yapılabilmesi amacıyla işlenir (GDPR Madde 6(1)(b)); bu işlem, eşleşme gerçekleşene, rızanızı geri alana veya kaydın silinmesi talebinde bulunana kadar sürer; ilgili kayıt her hâlükârda en geç 12 ay sonra silinir.

7. İletişim ve Başvuru Formları

İletişim kurmanız veya başvuruda bulunmanız hâlinde talebinizin işleme alınabilmesi amacıyla ad-soyad, e-posta adresi, mesaj içeriği ve varsa yüklenen başvuru belgeleri (PDF/JPEG/PNG) işlenmektedir (GDPR Madde 6(1)(b) veya (f)). Gönderim, işlemsel e-posta hizmeti Resend aracılığıyla gerçekleştirilmektedir; başvuru belgeleri ayrıca barındırma hizmet sağlayıcımızda saklanmakta (Bölüm 5) ve başvuru süreci tamamlanana kadar muhafaza edilmektedir.

8. Sunucu Günlük Dosyaları

Web sitesine erişildiğinde sunucu günlük dosyalarında erişim verileri işlenmektedir (ziyaret edilen sayfa/dosya, tarih/saat, aktarılan veri miktarı, tarayıcı türü ve sürümü, işletim sistemi, referans URL, IP adresi); bu işlem, güvenlik ve kararlılık alanındaki meşru menfaatimize dayanmaktadır (GDPR Madde 6(1)(f)). Veriler yalnızca içerik iletimi ve kötüye kullanımın önlenmesi amacıyla kısa süreliğine saklanır; olay aydınlatılana kadar delil amaçlı gerekli olan veriler silme işleminin dışında tutulur.

9. Çerezler, Cihaz Depolama (§ 25 TDDDG) ve Erişim Ölçümü

• Teknik olarak zorunlu (rıza gerekmez): Oturum açma için "apropos_session" tanımlayıcısı altında bir oturum belirteci hem teknik açıdan zorunlu bir HttpOnly çerezi olarak (azami 1 saat geçerliliğiyle) hem de alan adları arası oturum açmanın belgelenebilmesi için tarayıcınızın yerel depolama alanında (localStorage) saklanmaktadır. Rezervasyon işlemi sırasında ek teknik zorunluluk içeren oturum çerezleri yerleştirilebilir. Bu veriler, oturumun sona ermesiyle veya çıkış yapılmasıyla birlikte silinir.
• Erişim ölçümü: Cloudflare Web Analytics kullanıyoruz — çerezsiz ve kişisel veri içermeksizin. Bu nedenle § 25 TDDDG kapsamında rıza gerekmemektedir (GDPR Madde 6(1)(f)). Reklam veya izleme çerezi kullanmıyoruz.
• Rıza gerektiren: Push bildirimlerinin etkinleştirilmesi (Bölüm 10), bir Service Worker aracılığıyla cihaz depolaması gerektirmekte olup yalnızca rızanıza dayanılarak gerçekleştirilmektedir.

10. Randevu Onayları, Hatırlatmalar ve Push Bildirimleri

Onay ve hatırlatma mesajları (Belbo aracılığıyla): Rezervasyonunuzla bağlantılı olarak randevu onayları ve hatırlatmaları e-posta ve/veya SMS ile gönderilmektedir. Gönderim, Belbo'nun alt veri işleyenleri aracılığıyla gerçekleştirilmektedir: e-posta için bir posta hizmet sağlayıcısı (ABD), SMS için bir SMS hizmet sağlayıcısı (Hollanda/AB). Hukuki dayanak, rezervasyon ilişkisinin ifasıdır (GDPR Madde 6(1)(b)). Bunun ötesinde ticari amaçlı iletişim (teklifler, kampanyalar) yalnızca rezervasyon sırasında açıkça rıza göstermeniz hâlinde gerçekleştirilir (GDPR Madde 6(1)(a)); bu rızayı her zaman ileriye dönük olarak geri alabilirsiniz.

Push bildirimleri (Web Push): Push bildirimlerini etkinleştirdiğinizde, hesabınızla ilişkilendirilmiş teknik bir push aboneliği (tarayıcınızın uç noktası ve şifreleme anahtarları) saklarız. Hukuki dayanak: GDPR Madde 6(1)(a) ve § 25 Abs. 1 TDDDG; rızanızı tarayıcınızın bildirim izni üzerinden verirsiniz. Teknik iletim, tarayıcı üreticinizin push hizmeti aracılığıyla gerçekleştirilmekte olup bu süreçte veriler üçüncü ülkelere (ABD dahil) aktarılabilir. Rızanızı her zaman abonelikten çıkarak veya tarayıcı iznini iptal ederek geri alabilirsiniz. Veriler, rızanızın geri alınmasına veya hesabın silinmesine kadar saklanır.

11. Entegre Edilen Üçüncü Taraf Hizmetleri ve İçerikleri

• Harita gösterimi — OpenStreetMap: Bir harita yüklendiğinde, tarayıcınız harita karolarını doğrudan OpenStreetMap Foundation'dan (Birleşik Krallık, üçüncü ülke) alır; bu sırada IP adresiniz iletilir (GDPR Madde 6(1)(f); aktarım, Birleşik Krallık için AB yeterlilik kararına dayanmaktadır). Google Maps kullanmıyoruz.
• Yazı tipleri: Kullanılan yazı tipleri sunucumuzdan yerel olarak sunulmaktadır; Google Fonts veya üçüncü taraflara herhangi bir dış istek yapılmamaktadır.
• Bot koruması — Cloudflare Turnstile: Güvenlik açısından kritik işlevlerde (örn. "şifremi unuttum") bir Turnstile belirteci işlenmektedir; çerez yerleştirilmemekte ve Cloudflare'e kişisel veri aktarılmamaktadır (GDPR Madde 6(1)(f)).

12. Dahili Analizler ve Rıza Kanıtı

Dahili analizler / profil oluşturma: Rezervasyon ve kullanım verilerinden dahili işletim yönetimi amacıyla göstergeler türetilmektedir (örn. ziyaret sıklığı, müşteri sadakati, yaşam boyu değer, posta kodu/yaşa göre demografik dağılım) (GDPR Madde 6(1)(f)). Özel durumunuza dayanarak bu işlemeye her zaman itiraz edebilirsiniz (GDPR Madde 21(1)). Hukuki sonuç doğuran veya benzer şekilde önemli bir etki yaratan otomatik karar alma (GDPR Madde 22) söz konusu değildir. Saklama süresi: rezervasyon ve analiz verileri, randevudan itibaren en geç 12 ay içinde anonimleştirilir; dahili analiz, müşteri kazanımı ve günlük verileri en geç 24 ay içinde anonimleştirilir veya silinir.

Rıza kanıtı: Formlarımız aracılığıyla (özellikle kayıt sırasında) verilen rızalar, GDPR Madde 7(1) uyarınca ispat yükümlülüğünü karşılayabilmek amacıyla e-posta adresi karması ve IP/tarayıcı bilgileriyle birlikte (amaç, zaman, sürüm olarak) kayıt altına alınmaktadır (GDPR Madde 6(1)(f)). IP, tarayıcı ve e-posta karma verileri, ispat amacı için artık gerekli olmadığında (kural olarak 12 ay sonra) silinir; yalnızca anonimleştirilmiş rıza kaydı ispat amacıyla muhafaza edilir. Rızaya dayalı işlemeler (push bildirimleri, profil fotoğrafı) için rıza kaydı, rızanızı geri alana kadar eksiksiz olarak muhafaza edilir.

13. Haklarınız

Erişim (GDPR Madde 15), düzeltme (Madde 16), silme (Madde 17), işlemenin kısıtlanması (Madde 18), veri taşınabilirliği (Madde 20) ve itiraz (Madde 21) haklarına sahipsiniz. Verilen rızaları, daha önce gerçekleştirilen işlemin hukuka uygunluğunu etkilemeksizin, ileriye dönük olarak her zaman geri alabilirsiniz (GDPR Madde 7(3)). Haklarınızı kullanmak için lütfen datenschutz@aproposhaare.de adresine başvurunuz.

14. Verilerin Silinmesi

Veriler, amaçları için artık gerekli olmadığında ve yasal saklama yükümlülükleri engel teşkil etmediğinde silinir; aksi hâlde işlemeleri saklama amacıyla sınırlandırılır. Yasal saklama süreleri: § 257 HGB (Alman Ticaret Kanunu) uyarınca 6 yıl, § 147 AO (Alman Vergi Usul Kanunu) uyarınca 10 yıl (GDPR Madde 6(1)(c)). Veri koruma talepleri 36 ay süreyle saklandıktan sonra silinir. Otomatik temizleme günlük olarak çalışmaktadır; yalnızca kişisel veriler içeren alanlar kaldırılır — istatistiksel amaçlarla anonimleştirilmiş kayıtlar korunmaya devam eder.

15. Şikâyet ve İtiraz Hakkı

Verilerinizin gelecekteki işlenmesine, özellikle doğrudan pazarlama amaçlı işlemeye her zaman itiraz edebilirsiniz. Bunun yanı sıra bir denetim makamına şikâyette bulunma hakkına sahipsiniz; yetkili makam özellikle Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg'dir (www.baden-wuerttemberg.datenschutz.de).

16. Güncellik ve Değişiklikler

Son güncelleme: 23 Haziran 2026 (Sürüm 2). Veri işleme uygulamalarımız veya yasal çerçeve değiştiğinde bu bildirimi güncelleriz. Değişikliklerin rıza gerektirmesi veya sözleşme ilişkisine ilişkin hükümler içermesi hâlinde, değişiklikler yalnızca onayınızla yürürlüğe girer.