Gizlilik Politikası

Bu Gizlilik Politikası, Sooci ("Platform", "biz", "bizim") tarafından işletilen https://sooci.net adresindeki sosyal medya yönetim platformunun kullanıcı verilerini nasıl topladığını, işlediğini, sakladığını ve koruduğunu açıklamaktadır. Platformu kullanarak bu politikayı kabul etmiş sayılırsınız.

1. Veri Sorumlusu

Sooci platformu kapsamında kişisel verilerinizin işlenmesinden sorumlu taraf:

2. Topladığımız Veriler

2.1 Hesap ve Kimlik Bilgileri

• Ad ve soyad
• E-posta adresi
• Şifreli parola (bcrypt ile hashlenerek saklanır — düz metin olarak hiçbir zaman saklanmaz veya iletilmez)
• Hesap oluşturma tarihi, son giriş tarihi ve saat dilimi
• Abonelik planı bilgisi

2.2 Sosyal Medya Bağlantı Verileri

Bir sosyal medya hesabı bağladığınızda, yalnızca hizmeti sunmak için gereken minimum veriler toplanır:

• OAuth 2.0 erişim token'ı (AES-256 şifreleme ile veritabanında saklanır)
• Yenileme token'ı (varsa, aynı şifreleme ile saklanır)
• Token geçerlilik süresi ve son yenileme tarihi
• Sosyal medya hesabının platform kimliği (harici ID)
• Hesap/sayfa/kanal adı ve kullanıcı adı
• Profil fotoğrafı (sunucumuzda önbelleğe alınır, orijinal URL saklanmaz)
• Bağlı sayfa, şirket sayfası veya kanal bilgileri

2.3 İçerik ve Gönderi Verileri

• Oluşturulan, taslak kaydedilen ve planlanan gönderi metinleri
• Yüklenen görsel, video ve döküman dosyaları
• Gönderi zamanlamaları, yayın durumları ve yayın geçmişi
• Platform bazlı meta veriler (hashtag grupları, konum bilgisi, müzik ID'si, etiketler, alt metin vb.)
• Gönderi türü (post, story, reel, carousel, video, döküman, makale)

2.4 Teknik ve Kullanım Verileri

• IP adresi (oturum güvenliği ve kötüye kullanım tespiti için)
• Tarayıcı türü ve sürümü, işletim sistemi
• Oturum bilgileri ve kimlik doğrulama logları
• API istek logları (hata ayıklama ve güvenlik için, 90 gün saklanır)
• Uygulama hata logları

3. Platform Entegrasyonları ve Kullanılan İzinler

Sooci, aşağıdaki sosyal medya platformlarının resmi API'lerini kullanır. Her platform için yalnızca hizmetin çalışması için zorunlu olan minimum izinler talep edilir.

3.1 Meta — Instagram

Kullanılan API: Instagram Graph API (Meta for Developers)

Kullanılan izinler (OAuth scope'lar):

• instagram_business_basic — Hesap bilgilerini ve profil fotoğrafını okuma
• instagram_business_content_publish — Fotoğraf, video, reels, carousel ve story yayınlama
• instagram_business_manage_comments — Yayınlanan gönderiye kullanıcının belirlediği ilk yorumu ekleme

Bu izinlerle yapılan işlemler: Kullanıcının bağladığı Instagram Business hesabına içerik yayınlamak, profil bilgilerini görüntülemek ve isteğe bağlı ilk yorumu göndermek. Doğrudan mesaj (DM) okunmaz veya yanıtlanmaz. Instagram verilerine üçüncü taraflarla erişim sağlanmaz, reklam hedefleme veya analitik amacıyla kullanılmaz.

Meta Gizlilik Politikası: https://www.facebook.com/privacy/policy/

3.2 Meta — Facebook

Kullanılan API: Facebook Graph API (Meta for Developers)

Kullanılan izinler (OAuth scope'lar):

• pages_show_list — Kullanıcının yönettiği Facebook Sayfalarını listeleme
• pages_read_engagement — Sayfa bilgilerini ve profil fotoğrafını okuma
• pages_manage_posts — Sayfa adına metin, fotoğraf, video ve link paylaşımı yapma

Bu izinlerle yapılan işlemler: Kullanıcının admin olduğu Facebook Sayfalarına içerik yayınlamak. Kişisel profil verilerine erişilmez. Facebook kullanıcı verileri üçüncü taraflarla paylaşılmaz.

Meta Gizlilik Politikası: https://www.facebook.com/privacy/policy/

3.3 LinkedIn

Kullanılan API: LinkedIn Marketing API / LinkedIn OAuth 2.0

Kullanılan izinler (OAuth scope'lar):

• openid — OpenID Connect ile kimlik doğrulama
• profile — Ad, soyad ve profil fotoğrafı okuma
• email — E-posta adresi okuma (hesap eşleştirme için)
• w_member_social — Kişisel LinkedIn profiline gönderi paylaşma
• r_organization_social — Yönetilen şirket sayfalarını listeleme ve okuma
• w_organization_social — Şirket sayfası adına gönderi paylaşma

Bu izinlerle yapılan işlemler: Kullanıcının kişisel LinkedIn profiline veya admin olduğu şirket sayfalarına metin, görsel, video, döküman ve makale paylaşımı yapmak. LinkedIn verilerine üçüncü taraflarla erişim sağlanmaz.

LinkedIn Gizlilik Politikası: https://www.linkedin.com/legal/privacy-policy

3.4 YouTube (Google)

Kullanılan API: YouTube Data API v3 (Google APIs)

Kullanılan izinler (OAuth scope'lar):

• https://www.googleapis.com/auth/youtube.upload — YouTube kanalına video yükleme
• https://www.googleapis.com/auth/youtube.readonly — Kanal bilgilerini ve profil fotoğrafını okuma

Bu izinlerle yapılan işlemler: Kullanıcının YouTube kanalına video yüklemek, kanal bilgilerini görüntülemek ve token yenileme işlemlerini gerçekleştirmek. YouTube/Google verileri üçüncü taraflarla paylaşılmaz.

Google Gizlilik Politikası: https://policies.google.com/privacy

Google API Hizmet Koşulları: https://developers.google.com/terms

3.5 X (Twitter)

Kullanılan API: X API v2 (OAuth 2.0, api.x.com)

Kullanılan izinler (OAuth scope'lar):

• tweet.read — Tweet okuma ve hesap bilgilerini görüntüleme
• tweet.write — Tweet paylaşımı yapma
• users.read — Kullanıcı profil bilgilerini okuma
• media.write — Tweet'e görsel veya video ekleme
• offline.access — Erişim token'ını güvenli yenileme (sürekli bağlantı için)

Bu izinlerle yapılan işlemler: Kullanıcının X hesabına metin ve medya içerikli gönderi paylaşmak, profil bilgilerini görüntülemek. X verileri üçüncü taraflarla paylaşılmaz.

X Gizlilik Politikası: https://x.com/en/privacy

3.6 TikTok

Kullanılan API: TikTok Content Posting API (Login Kit + Content Posting)

Kullanılan izinler (OAuth scope'lar):

• user.info.basic — Temel hesap bilgileri
• user.info.profile — Profil bilgileri ve görüntüleme
• video.upload — Video dosyası yükleme
• video.publish — TikTok hesabına video ve fotoğraf yayınlama

Bu izinlerle yapılan işlemler: Kullanıcının TikTok hesabına video ve fotoğraf içerik yüklemek ve yayınlamak (doğrudan veya uygulama içi taslak akışı). TikTok verileri üçüncü taraflarla paylaşılmaz.

TikTok Gizlilik Politikası: https://www.tiktok.com/legal/page/row/privacy-policy/en

4. Verilerin Kullanım Amacı

Topladığımız veriler yalnızca aşağıdaki amaçlarla kullanılır:

• Hizmet sunumu: Bağlı sosyal medya hesaplarına sizin adınıza içerik yayınlamak
• Zamanlama: Planladığınız gönderileri belirlenen tarih ve saatte otomatik olarak yayınlamak
• Token yönetimi: Erişim token'larının geçerliliğini kontrol etmek ve otomatik olarak yenilemek
• Profil senkronizasyonu: Bağlı hesapların profil bilgilerini güncel tutmak
• Güvenlik: Yetkisiz erişimi tespit etmek, hesap güvenliğini sağlamak
• Hizmet iyileştirme: Hataları tespit edip düzeltmek, performansı artırmak
• İletişim: Önemli hizmet bildirimleri, güvenlik uyarıları ve fatura bildirimleri göndermek

5. Veri Güvenliği

Verilerinizin korunması için endüstri standardı güvenlik önlemleri uygulanmaktadır:

• Tüm veri iletimi TLS 1.2+ şifreli bağlantılar (HTTPS) üzerinden gerçekleşir
• Sosyal medya erişim token'ları ve yenileme token'ları AES-256 şifreleme ile veritabanında saklanır
• Parolalar bcrypt algoritması ile hashlenir; düz metin olarak asla saklanmaz veya iletilmez
• Veritabanına erişim yalnızca uygulama sunucusuyla sınırlıdır, dışarıdan doğrudan erişim kapalıdır
• Oturum token'ları HttpOnly ve Secure bayraklı çerezlerde saklanır
• CSRF koruması tüm form işlemlerinde aktiftir
• Düzenli güvenlik güncellemeleri ve bağımlılık yaması uygulanır
• Sunucu erişim logları izlenir ve anormal aktiviteler tespit edilir

6. Veri Paylaşımı

Kişisel verileriniz hiçbir koşulda satılmaz, kiralanmaz veya ticari amaçla üçüncü taraflarla paylaşılmaz. Veriler yalnızca şu durumlarda paylaşılabilir:

• Sosyal medya platformları: Yalnızca sizin adınıza içerik yayınlamak için ilgili platforma minimum düzeyde veri iletilir (token + içerik)
• Altyapı sağlayıcıları: Sunucu barındırma ve veritabanı hizmetleri (veri işleme sözleşmesi kapsamında, verilerinize erişemezler)
• Yasal zorunluluk: Yürürlükteki mevzuat, mahkeme kararı veya yetkili makam talebi halinde

Reklam ağları, analitik şirketler, veri komisyoncuları veya pazarlama şirketleriyle hiçbir veri paylaşılmaz.

7. Veri Saklama Süreleri

• Hesap ve profil verileri: Hesap aktif olduğu sürece
• Gönderi ve içerik verileri: Hesap silinene kadar veya kullanıcı tarafından silinene kadar
• Medya dosyaları: Hesap silinene kadar veya kullanıcı tarafından silinene kadar
• Sosyal medya token'ları: Platform tarafından iptal edilene veya hesap bağlantısı kesilene kadar
• API ve sistem logları: 90 gün
• Fatura ve ödeme kayıtları: Yasal yükümlülük gereği 10 yıl
• Hesap silme sonrası: Tüm kişisel veriler ve medya dosyaları 30 gün içinde kalıcı olarak silinir

8. Kullanıcı Hakları

6698 sayılı KVKK ve AB GDPR kapsamında aşağıdaki haklara sahipsiniz:

• Bilgi edinme hakkı: Hakkınızda hangi verilerin işlendiğini öğrenebilirsiniz
• Erişim hakkı: Sakladığımız verilerinizin bir kopyasını talep edebilirsiniz
• Düzeltme hakkı: Yanlış veya eksik verilerin düzeltilmesini isteyebilirsiniz
• Silme hakkı ("unutulma hakkı"): Hesabınızın ve tüm verilerinizin silinmesini talep edebilirsiniz
• İşlemeyi kısıtlama hakkı: Belirli veri işleme faaliyetlerinin durdurulmasını isteyebilirsiniz
• Taşınabilirlik hakkı: Verilerinizin makine okunabilir (JSON/CSV) formatta teslimini isteyebilirsiniz
• İtiraz hakkı: Meşru menfaate dayalı veri işleme faaliyetlerine itiraz edebilirsiniz
• Bağlantı kesme: Herhangi bir sosyal medya hesabının bağlantısını platform üzerinden istediğiniz zaman kesebilirsiniz; bu işlem ilgili token'ı derhal geçersiz kılar

Bu haklarınızı kullanmak için privacy@sooci.net adresine yazabilirsiniz. Talepler 30 gün içinde yanıtlanır. Kimlik doğrulama amacıyla hesabınıza kayıtlı e-posta adresinden göndermeniz gerekmektedir.

9. Çerezler

Sooci yalnızca hizmetin çalışması için zorunlu olan çerezleri kullanır:

• Oturum çerezi (sooci_session): Giriş durumunuzu korumak için. HttpOnly ve Secure bayraklıdır, JavaScript ile erişilemez.
• CSRF token çerezi: Siteler arası istek sahteciliği saldırılarını önlemek için

Reklam çerezleri, üçüncü taraf izleme araçları (Google Analytics, Facebook Pixel, Hotjar vb.), davranışsal profilleme veya yeniden hedefleme çerezleri kullanılmaz.

10. Çocukların Gizliliği

Sooci, 18 yaşın altındaki bireylere yönelik değildir. 18 yaşın altındaki kişilerden bilerek kişisel veri toplamayız. 18 yaşın altında olduğunu düşündüğümüz bir kullanıcıya ait veri tespit edilirse, söz konusu veriler ve hesap derhal silinir. Ebeveyn veya vasi iseniz ve çocuğunuzun hesap oluşturduğunu düşünüyorsanız lütfen privacy@sooci.net adresine bildirin.

11. Uluslararası Veri Transferleri

Verileriniz Türkiye'deki sunucularda işlenir ve saklanır. Sosyal medya API'leri aracılığıyla gerçekleştirilen yayınlama işlemleri, ilgili platformların (Meta, LinkedIn, Google, X, TikTok) kendi sunucularını kapsar. Bu transferler, söz konusu platformların kendi gizlilik politikaları ve standart sözleşme maddeleri kapsamında gerçekleşir.

12. Üçüncü Taraf Bağlantıları

Platformumuz, üçüncü taraf web sitelerine bağlantılar içerebilir. Bu sitelerin gizlilik uygulamalarından sorumlu değiliz. Bağlantıya tıklamadan önce ilgili sitenin gizlilik politikasını incelemenizi öneririz.

13. Politika Değişiklikleri

Bu politika zaman zaman güncellenebilir. Yapılan değişiklikler bu sayfada yayınlanır ve "Son güncelleme" tarihi güncellenir. Kullanıcı haklarını önemli ölçüde etkileyen değişiklikler, yürürlük tarihinden en az 30 gün önce kayıtlı e-posta adresinize bildirilir. Güncel politikaya her zaman https://sooci.net/privacy adresinden ulaşabilirsiniz.

14. Veri Silme (Meta ve Sooci)

Meta uygulama iznini kaldırdığınızda veya verilerinizin silinmesini talep ettiğinizde izlenecek adımlar:

• Veri Silme Talimatları — bağlantı kesme, Meta ayarları, onay kodu ile durum sorgulama
• Otomatik Meta callback: https://sooci.net/webhooks/meta/data-deletion
• E-posta ile tam hesap silme: privacy@sooci.net

15. İletişim ve Şikayetler

Gizlilik politikamıza ilişkin soru, talep veya şikayetleriniz için:

Talebiniz yanıtlanmazsa veya tatmin edici bir yanıt alamazsanız, Kişisel Verileri Koruma Kurumu'na (kvkk.gov.tr) şikayette bulunma hakkınız saklıdır.