PROFYLEE PERSONAL DATA PROTECTION AND PROCESSING POLICY

1. DEFINITIONS AND SCOPE

  • Data Controller: [Company Name], [Trade Registry No], [Tax No], [Address]
  • EU Representative (GDPR Art. 27): [Name & Contact Information]
  • Contact: info@profylee.com | +90 501 010 93 80
  • Scope: This policy applies to all personal data processing activities of individual and corporate users within Profylee’s digital services.

2. DATA CATEGORIES AND PROCESSING PURPOSES

CategoryExamplesDescription
Identity DataName, national ID, date of birthParental consent required under age 16
Professional DataCV, education, experience, certificatesUsed for candidate-job matching
Financial DataCredit card, IBAN, invoice detailsEncrypted via PCI-DSS compliant systems
Behavioral DataClicks, session logs, IP addressFor AI analysis and security monitoring
Visual DataPhoto, video, screenshotOnly for optional content uploads

Processing Purposes: Membership management, AI-based matching, legal compliance, analytics, fraud prevention, marketing (with consent)

3. LEGAL BASES AND INTERNATIONAL TRANSFERS

PurposeKVKKGDPR
Explicit ConsentArt. 5/1Art. 6/1(a)
Contractual NecessityArt. 5/2(c)Art. 6/1(b)
Legal ObligationArt. 5/2(ç)Art. 6/1(c)
Legitimate InterestsArt. 5/2(f)Art. 6/1(f)

International Transfers:

 Data is transferred outside the EEA only using SCCs (Standard Contractual Clauses) and technical/organizational safeguards. The data protection adequacy of recipients is evaluated in advance.

4. DATA RETENTION

Data TypeRetention PeriodDeletion Process
Account InformationUntil account deletionFully deleted within 90 days
Billing Information10 years (statutory obligation)Stored in encrypted archives
CVs & Content2 years (after inactivity)Auto-tagged and deleted

5. USER RIGHTS

  • Access, correction, deletion, portability
  • Withdrawal of consent, objection to automated decisions
  • Complaint and compensation claims

How to Exercise Rights:

 🔹 Online: [profylee.com/data-rights]

 🔹 Email: privacy@profylee.com

 🔹 Mail: [Address] (with notary approval)

 🕓 Response Time: 30 days (KVKK) / 1 month (GDPR)

6. SECURITY & BREACH MANAGEMENT

  • ISO/IEC 27001, 27701 certified infrastructure
  • AES-256 encryption, TLS, 2FA, IP filtering
  • Monthly penetration testing

Breach Notification:

  • To authorities: within 72 hours
  • To users: within 7 days (if risk is present)

7. CHILDREN’S DATA & SPECIAL CATEGORIES

  • Users under 16 must provide verified parental consent
  • Special categories (health, belief, etc.) processed only with explicit consent
  • Aligned with COPPA and GDPR Art. 8

8. THIRD PARTIES & SUB-PROCESSORS

ProviderServiceData TypeCountry
AWSHostingEncrypted dataEU / USA
Google CloudIntegrationsUser contentEU
StripePaymentsTokenized card dataUSA
Google AnalyticsAnalyticsAnonymized usage dataGlobal
SendGridEmail deliveryEmail addressesUSA
CloudflareSecurityIP & session informationGlobal

9. UPDATES & NOTIFICATION

  • Policy updates will be communicated via email 30 days in advance
  • Latest version available at: [profylee.com/privacy]

10. JURISDICTION & DISPUTE RESOLUTION

User LocationCompetent CourtApplicable Law
TürkiyeIstanbul Çağlayan CourtsTurkish Law
EU / UKLondon Commercial CourtEnglish and Welsh Law
USADelaware State CourtsDelaware Law
Other CountriesICC Arbitration (Paris)UNCITRAL Rules

ANNEXES

  • Annex A: Data Processing Inventory
  • Annex B: AI Transparency Report
  • Annex C: Data Breach Notification Procedure
  • Annex D: Extended Cookie Policy

ANNEXES

ANNEX A: DATA PROCESSING INVENTORY

Data TypePurposeLegal BasisRetention PeriodTransfer Status
Name, SurnameIdentity verification, account creationContract, Legitimate interestUntil account deletionNo
Email, PhoneCommunication, notificationsContract, ConsentUntil account deletionYes (SendGrid)
IP, Browser InfoSecurity, traffic controlLegitimate interest1 yearYes (Cloudflare)
CV, Education, Exp.Matching, profiling, analyticsContract, Legitimate interest2 years (for inactive)Yes (AI infrastructure)
Credit Card DataPayment transactionsConsent, Legal obligationDeleted by Stripe instantlyYes (Stripe)
System LogsLegal evidence, breach analysisLegitimate interest2 yearsUpon request
Profile ImagesProfile and content displayConsentUntil account deletionNo

ANNEX B: AI ALGORITHM TRANSPARENCY REPORT

Application AreaDescription
CV-Position MatchingAI suggests based on tags, skills, experience similarity, and success scores
Profile ScoringCalculated from engagement history, publication quality, feedback signals
Recommendation EnginePersonalized job/content suggestions based on interactions
User Challenge RightsUsers can query decisions at privacy@profylee.com
Training DatasetTrained on anonymized, opt-in user data only
Human OversightAI cannot make binding decisions without human review

ANNEX C: DATA BREACH NOTIFICATION PROCEDURE

1. Definition:

 A personal data breach is unauthorized access, alteration, deletion, loss, or misuse.

2. Detection:

 Technical team detects issues via logs within 24 hours.

3. Notification Timeline:

RecipientDeadline
DPA (KVKK/GDPR)Within 72 hours
Affected UsersWithin 7 days

4. Measures Taken:

  • Immediate access suspension
  • Mandatory password resets
  • Access privileges reviewed
  • Detailed disclosure to affected users

ANNEX D: DETAILED COOKIE POLICY

Cookie NameTypeRetentionPurpose
session_idStrictly necessarySessionSession control, authentication
_ga, _gidAnalytics1 year / 24 hrGoogle Analytics traffic data
language_prefFunctional6 monthsStores UI language choice
consent_cookieEssential12 monthsStores user cookie preference
utm_*Tracking30 daysCampaign tracking (not used by default)

Note: Profylee does not use marketing/tracking cookies.

 All cookies can be managed through user dashboard or browser settings.