Gizlilik Politikası

Odamigo Turizm Ltd. Şti., kişisel verilerinizin işlenmesinden sorumlu veri sorumlusudur. Şirket: Odamigo Turizm Ltd. Şti. Vergi Dairesi: Mecidiyeköy (İstanbul) VKN: 6340420923 TÜRSAB Belge No: 12754 (A Grubu) Veri koruma soruları için iletişim: privacy@eurotrain.tr Web: https://eurotrain.tr

2.1 Sağladığınız Veriler: a) Kimlik verileri: Ad, soyad, doğum tarihi, uyruk (rezervasyon için gereklidir). b) İletişim verileri: E-posta adresi, telefon numarası. c) Seyahat belgesi verileri: Pasaport veya kimlik numarası (belirli uluslararası güzergahlar için gereklidir). d) Ödeme verileri: Ödeme sağlayıcımız (Payten) tarafından işlenir; tam kart numaralarını saklamayız. e) Hesap verileri: E-posta, şifrelenmiş parola (kayıt olursanız). f) İletişim verileri: Destek ekibimize gönderilen mesajlar. 2.2 Otomatik Olarak Topladığımız Veriler: a) Cihaz ve tarayıcı bilgileri (tür, versiyon, işletim sistemi). b) IP adresi ve yaklaşık konum (ülke düzeyinde). c) Platformda ziyaret edilen sayfalar, kullanılan özellikler ve etkileşim kalıpları. d) Çerezler ve benzer teknolojiler (Bölüm 8'e bakınız). 2.3 Üçüncü Taraflardan Gelen Veriler: a) Demiryolu Operatörlerinden rezervasyon ve bilet verileri (ERA/Rail Europe aracılığıyla). b) Ödeme hizmet sağlayıcımızdan ödeme onayı. c) Google ile giriş yaparsanız kimlik doğrulama verileri (ad, e-posta, profil fotoğrafı).

Verilerinizi aşağıdaki amaçlar ve hukuki dayanaklarla işliyoruz: • Rezervasyonunuzu işleme ve bilet düzenleme GDPR: Md. 6(1)(b) Sözleşme | KVKK: Md. 5(2)(c) Sözleşme • Güvenli ödeme işleme GDPR: Md. 6(1)(b) Sözleşme | KVKK: Md. 5(2)(c) Sözleşme • Rezervasyon onayları ve seyahat güncellemeleri gönderme GDPR: Md. 6(1)(b) Sözleşme | KVKK: Md. 5(2)(c) Sözleşme • Müşteri desteği sağlama GDPR: Md. 6(1)(b) Sözleşme | KVKK: Md. 5(2)(c) Sözleşme • Vergi ve yasal yükümlülüklere uyum GDPR: Md. 6(1)(c) Yasal yükümlülük | KVKK: Md. 5(2)(c)(e) Yasal • Platform performansı ve güvenliğini iyileştirme GDPR: Md. 6(1)(f) Meşru menfaat | KVKK: Md. 5(2)(f) Meşru • Pazarlama iletişimleri gönderme (onay ile) GDPR: Md. 6(1)(a) Açık rıza | KVKK: Md. 5(1) Açık rıza • Dolandırıcılık önleme ve güvenlik GDPR: Md. 6(1)(f) Meşru menfaat | KVKK: Md. 5(2)(f) Meşru

Kişisel verilerinizi yalnızca hizmetlerimizi sağlamak için gerekli olduğu durumlarda paylaşırız: • Demiryolu Operatörleri (ERA aracılığıyla): Ad, doğum tarihi, seyahat belgeleri — bilet düzenleme ve taşıma için • Payten (Ödeme Sağlayıcı): İşlem verileri (tam kart bilgisi değil) — ödeme işleme (PCI DSS) için • Sentry (Hata İzleme): Anonimleştirilmiş teknik veriler — platform kararlılığı için • Vercel (Barındırma): Anonimleştirilmiş erişim günlükleri — içerik dağıtımı için • Neon (Veritabanı): Şifrelenmiş rezervasyon verileri — veri depolama (Frankfurt, AB) için • Resend (E-posta): E-posta adresi, rezervasyon referansı — işlemsel e-postalar için Kişisel verilerinizi üçüncü taraflara satmıyoruz. Verilerinizi hukuki sonuç doğuran profilleme veya otomatik karar verme için kullanmıyoruz.

Verileriniz aşağıdaki yerlere aktarılabilir ve işlenebilir: a) Türkiye (birincil işleme, Odamigo merkezi). b) Avrupa Birliği / AEA (veritabanı Frankfurt, Almanya'da barındırılmaktadır; ERA/Rail Europe Fransa ve İsviçre'de işleme yapmaktadır). c) Amerika Birleşik Devletleri (Vercel barındırma, Sentry izleme) — aktarımlar Standart Sözleşme Hükümleri (SCC) ve/veya yeterlilik kararları ile korunmaktadır. KVKK uyumu: Sınır ötesi aktarımlar, 6698 sayılı Kanun'un 9. Maddesi uyarınca, onaylanmış standart sözleşme hükümleri ve KVKK Kurulu'nun yeterlilik tespitleri kullanılarak yapılmaktadır. GDPR uyumu: AEA dışına yapılan aktarımlar Standart Sözleşme Hükümleri (Md. 46(2)(c) GDPR) veya yeterlilik kararları (Md. 45 GDPR) ile korunmaktadır.

• Rezervasyon kayıtları: 10 yıl (Türk Vergi Kanunu, TTK Md. 82) • Ödeme kayıtları: 10 yıl (Vergi ve PCI uyumu) • Hesap verileri: Hesap silme + 30 gün • Destek iletişimleri: Son iletişimden itibaren 3 yıl • Teknik günlükler: 90 gün (döner) • Çerez verileri: Çerez Politikasına bakınız (Bölüm 8) • Pazarlama onay kayıtları: Onay süresi + 3 yıl

Hem KVKK hem de GDPR kapsamında aşağıdaki haklara sahipsiniz: a) Erişim hakkı: Kişisel verilerinizin bir kopyasını talep etme. b) Düzeltme hakkı: Yanlış veya eksik verileri düzeltme. c) Silme hakkı: Verilerinizin silinmesini talep etme (yasal saklama yükümlülüklerine tabidir). d) Kısıtlama hakkı: Verilerinizin işlenmesini sınırlandırma. e) Veri taşınabilirliği hakkı: Verilerinizi yapılandırılmış, makine tarafından okunabilir formatta alma. f) İtiraz hakkı: Meşru menfaat veya doğrudan pazarlama amaçlı işlemeye itiraz etme. g) Onay geri çekme hakkı: Önceki işlemeyi etkilemeksizin onayınızı istediğiniz zaman geri çekme. Haklarınızı kullanmak için privacy@eurotrain.tr adresine başvurunuz. 30 gün içinde yanıt vereceğiz. Yanıtımızdan memnun kalmazsanız, KVKK Kurulu'na (kvkk.gov.tr) veya AB'deki yerel veri koruma otoritenize şikayette bulunabilirsiniz.

• Zorunlu Çerezler: Oturum, kimlik doğrulama, güvenlik — Süre: Oturum — Onay gerekmez • İşlevsel Çerezler: Dil, para birimi tercihleri — Süre: 1 yıl — Onay gereklidir • Analitik Çerezler: Platform iyileştirme — Süre: 2 yıl — Onay gereklidir • Performans Çerezleri: Hata izleme (Sentry) — Süre: Oturum — Meşru menfaat Çerez tercihlerinizi çerez bannerımız veya tarayıcı ayarlarınız aracılığıyla yönetebilirsiniz. Zorunlu çerezlerin devre dışı bırakılması Platform işlevselliğini etkileyebilir.

Platformumuz 16 yaşın altındaki çocuklara yönelik değildir. Ebeveyn onayı olmaksızın 16 yaşın altındaki çocuklardan bilerek kişisel veri toplamıyoruz. 16 yaşın altındaki bir çocuğun bize kişisel veri sağladığını düşünüyorsanız, lütfen derhal privacy@eurotrain.tr adresine başvurunuz.

Kişisel verilerinizi korumak için uygun teknik ve organizasyonel önlemler uyguluyoruz: a) Aktarım halindeki tüm veriler için TLS/SSL şifrelemesi (her yerde HTTPS). b) Veritabanımızdaki hassas veriler için durağan şifreleme. c) PCI DSS uyumlu ödeme işleme (kart verileri sunucularımıza asla ulaşmaz). d) Rol tabanlı erişim kontrolü ve denetim günlüğü. e) Sentry aracılığıyla düzenli güvenlik değerlendirmeleri ve izleme. f) Tüm uç noktalarda hız sınırlama ve DDoS koruması. Veri ihlali durumunda, hem KVKK hem de GDPR'ın gerektirdiği şekilde, 72 saat içinde KVKK Kurulu'na ve etkilenen bireylere bildirimde bulunacağız.

Bu Gizlilik Politikasını periyodik olarak güncelleyebiliriz. Önemli değişiklikler, yürürlüğe girmeden en az 30 gün önce e-posta ile bildirilecek ve Platformda yayınlanacaktır. Sayfanın üstündeki "Son Güncelleme" tarihi en son revizyonu yansıtmaktadır.

Genel sorular: support@eurotrain.tr Gizlilik/veri koruma: privacy@eurotrain.tr KVKK Kurulu: https://kvkk.gov.tr AB ODR Platformu: https://ec.europa.eu/consumers/odr