← Sürüm geçmişi
Arşivlenmiş sürüm v1.0 · 28 Nisan 2026 · kapalı test aşaması. Geçerli sürüme git →

DAMOSTAu Gizlilik Politikası

Sürüm: 1.0 (kapalı test aşaması) Yürürlük tarihi: 28 Nisan 2026 Son güncelleme: 28 Nisan 2026 Veri sorumlusu: DAMOSTA (platform özel geliştirme aşamasındadır; Veri sorumlusunun tüzel kişiliğinin tam bilgileri, tescil ülkesi, tescil numarası ve kayıtlı adresi, platformun kamuya açık lansman tarihinden önce güncellenmiş bir sürümde belirtilecektir) Veri koruma sorgulamaları için iletişim: [email protected]

Belgenin durumu. İşbu sürüm kapalı test aşaması için yayımlanmıştır. Platforma erişim, yetkili kullanıcı listesiyle sınırlıdır. Kamuya açık lansmandan önce şunlar sonlandırılacak ve doğrulanacaktır: Veri sorumlusunun tam bilgileri, AB’de bir temsilci ve/veya Veri Koruma Görevlisi (DPO) atanma gerekliliği, veri işleyenlerin nihai listesi, işleme bölgeleri, veri işleme sözleşmeleri (Data Processing Agreements), uluslararası veri aktarım mekanizmaları ve ödeme modeli. Açık kararların listesi docs/legal/launch_checklist.md, bölüm 3’te yer almaktadır.

Önsöz

İşbu Gizlilik Politikası (bundan böyle — «Politika»), DAMOSTA platformunu (bundan böyle — «Platform») kullanmanız sırasında hangi kişisel verileri topladığımızı, nasıl kullandığımızı, kime aktardığımızı ve nasıl koruduğumuzu açıklar.

Azami şeffaflığa ulaşmaya çalışıyoruz. Politikada size belirsiz gelen herhangi bir şey varsa, [email protected] adresine yazın, açıklarız.

Politika, aşağıdakilerin gerekliliklerini dikkate alarak hazırlanmıştır:

  • (AB) 2016/679 sayılı Tüzük (GDPR) — Avrupa Ekonomik Alanı’ndaki kullanıcılar ve verileri AEA’da işlenen kişiler için;
  • Ukrayna’nın «Kişisel verilerin korunması hakkında» Kanunu — Ukrayna’daki kullanıcılar için;
  • Platformun mevcut olduğu ülkelerdeki kişisel verilerin korunmasına ilişkin diğer ilgili mevzuat.

Platformu kullanarak Politikayı okuduğunuzu ve hangi verilerin ne şekilde işlendiğini anladığınızı onaylarsınız.

1. Verilerinizi kim işler

Veri sorumlusu (controller): DAMOSTA; tüzel kişiliğin tam bilgileri tescilden sonra belirtilecektir — bkz. docs/legal/launch_checklist.md, bölüm 3.1.

«Veri sorumlusu», kişisel verilerin işleme amaçlarını ve araçlarını belirleyen ve bunların işlenmesinden sorumlu olan tüzel kişi veya serbest meslek sahibi gerçek kişidir.

1.1. AB’deki temsilci (GDPR madde 27)

Veri sorumlusunun nihai tescil yapısının ve Platformun Avrupa Ekonomik Alanı’ndaki (AEA) hedeflemesinin analizi sonucunda GDPR’ın 27. maddesine göre bir temsilci gerekli olursa, iletişim bilgileri Platformun AEA kullanıcıları için kamuya açık olarak erişilebilir hale geleceği andan önce burada belirtilecektir.

1.2. Veri Koruma Görevlisi (Data Protection Officer, DPO)

Veri sorumlusu, GDPR’ın 37. maddesinin kriterleri (ana faaliyetin niteliği, işlemenin kapsamı, işlenen veri kategorileri) temelinde DPO atama zorunluluğunu değerlendirecektir. DPO atanırsa, iletişim bilgileri işbu Politikada yayımlanacaktır.

2. Hangi verileri topluyoruz

2.1. Telegram’dan gelen veriler

Telegram Mini App’in başlatılması sırasında Telegram, Telegram ayarlarına, istemci sürümüne ve fiilen mevcut alanlara bağlı olarak Telegram Web App’in standart initData mekanizması aracılığıyla bize aşağıdaki bilgileri iletebilir:

  • Telegram ID — Telegram’daki hesabınızın sayısal tanımlayıcısı;
  • ad;
  • soyad, Telegram’da belirtilmişse;
  • kullanıcı adı, Telegram’da belirtilmişse;
  • dil kodu (language_code) — Telegram ayarlarında belirlenen dil;
  • profil fotoğrafının URL’si, Telegram bunu mevcut alanlarda iletirse;
  • diğer teknik profil veya etkileşim göstergeleri (örneğin, Telegram Premium göstergesi veya bota size özel mesaj göndermesi için izin verdiğinizi belirten bir gösterge), Telegram bunları Mini App çerçevesinde iletirse.

Telegram’dan telefon numaranızı, email adresinizi, parolanızı veya diğer kimlik doğrulama araçlarını almıyoruz. Telegram, verileri Platformun başlatıldığı anda otomatik olarak bize iletir.

2.2. Email ve Sahipler için zorunlu doğrulama

İşletme Kaydı Sahipleri rolündeki Kullanıcılar için ek olarak şunları işleriz:

  • ilk İşletme Kaydının oluşturulması sırasında Kullanıcı tarafından belirtilen email adresi;
  • işlem sağlayıcımız (Resend) tarafından gönderilen doğrulama kodu aracılığıyla email’in onaylanma olgusu ve tarihi;
  • resmi iletişimlerde Kullanıcının kimliğinin tespiti amacıyla email adresinin Telegram ID ile bağlantısı.

Email adresi resmi iletişim kanalı olarak kullanılır ve İşletme Kaydı oluşturmak için zorunludur. Onaylanmış email adresi olmadan İşletme Kaydı oluşturma işlevi mevcut değildir.

Müşteri rolündeki Kullanıcılar için Platformun basit görüntülenmesi sırasında email adresi talep edilmez. Email adresi, kimlik doğrulama gerektiren resmi işlemlerin gerçekleştirilmesinde zorunlu hale gelir.

2.3. Bize sağladığınız veriler

Bize kendi inisiyatifinizle şunları iletebilirsiniz:

  • İşletme Kaydı hakkındaki veriler: ad, açıklama, kategori, satış sektörü, fotoğraflar, adres, çalışma saatleri, iletişim bilgileri (telefon, email, web sitelerine ve sosyal ağlara bağlantılar dahil);
  • ayarlar ve tercihler (örneğin, Telegram’dan farklı bir arayüz dili);
  • destek hizmetine gönderdiğiniz mesajlar;
  • Platformda gönüllü olarak yayımladığınız diğer veriler.

2.4. Teknik veriler

Platformla etkileşiminize ilişkin teknik verileri otomatik olarak topluyoruz:

  • IP adresi — güvenlik, saldırılara karşı koruma, istek frekansının sınırlandırılması, bölgesel kısıtlamaların uygulanmasının doğrulanması amacıyla (Kullanım Şartlarının 3.4 bölümü);
  • cihaz türü, işletim sistemi, Telegram istemcisinin sürümü, Platformun sürümü — uyumluluk ve teşhis için;
  • Platformla etkileşim tarihi ve saati;
  • Platformdaki eylemler (ekranlar arası geçişler, düğme basışları, hatalar, performans) — teknik olarak mümkün olduğu durumlarda anonimleştirilmiş veya takma adlı biçimde;
  • hata günlükleri — Platformun çalışması sırasında ortaya çıkan hatalara ilişkin teknik mesajlar.

Terminolojik açıklama. Platformun kullanımına ilişkin teknik ve ürün olaylarını, ekranlar arası geçişler, düğme basışları, hatalar, performans ve uyumluluk bilgileri dahil olmak üzere, teknik olarak mümkün olduğu durumlarda anonimleştirilmiş veya takma adlı biçimde işleyebiliriz. Bu tür veriler Hesap, Telegram ID, IP adresi, cihaz veya oturum ile ilişkilendirilebiliyorsa, kişisel veri olarak kabul edilir ve işbu Politikaya uygun olarak işlenir.

2.5. Ödeme verileri

Platformun ücretli işlevleri için ödeme yapıyorsanız, ödeme harici ödeme sağlayıcıları tarafından işlenir. Somut sağlayıcı, ödeme modelinin sonlandırılmasından sonra işbu Politikanın 4. bölümünde belirtilir (bkz. docs/legal/launch_checklist.md, bölüm 3.5).

Ödeme kartlarının tam numaralarını, CVV kodlarını veya ödeme sürecinde iletilen diğer verileri saklamıyoruz. Ödeme sağlayıcısından, seçilen ödeme modeline bağlı olarak yalnızca ödemenin kayıt altına alınması için gerekli verileri alabiliriz:

  • ödemenin olgusu ve tutarı;
  • işlem tanımlayıcısı;
  • ödemenin durumu;
  • tarife planı ve ödeme dönemi;
  • sağlayıcı tarafından sağlanıyorsa ve Kullanıcıya gösterilmesi veya muhasebe için gerekiyorsa, ödeme aracı hakkında sınırlı bilgiler;
  • muhasebe ve vergi raporlaması için veriler.

2.6. Belge kabul kayıtları

Kullanım Şartlarını, Platform Kurallarını veya işbu Politikayı kabul ettiğinizde Platform şunları kayıt altına alır:

  • kabul edilen belgenin sürümü;
  • kabul tarihi ve saati (UTC);
  • Telegram ID’niz;
  • IP adresi;
  • kabul edilen metnin hash’i (SHA-256);
  • kabulün test amaçlı (kapalı test aşaması sırasında) mı yoksa fiili hukuki kabul mü (kamuya açık lansmandan sonra) olduğunu belirten gösterge.

Kayıtlar, mevzuatın belirlediği süre boyunca, ancak Hesabın sona erdirilmesinden sonra en az 3 (üç) yıl boyunca saklanır. Kayıtlar, GDPR’ın 17. maddesi 3. fıkrası (e) bendi uyarınca silme hakkından bir istisnadır — yasal taleplerin tespiti, kullanılması veya savunulması için gereklidir.

2.7. Bekleme listesinde email adresi ve referral attribution (waitlist)

damosta.com sitesindeki “Bekleme listesi” formunda veya Mini App içindeki kapalı test banner’ında email’inizi bıraktıysanız, aşağıdaki veri kategorilerini işleriz:

  • formda belirttiğiniz email adresi;
  • form ile etkileşim kurduğunuz arayüz dili kodu (locale), — onay email’ini ilgili dilde göndermek için;
  • public launch bildirimi alma rızasının verildiği tarih ve saat — GDPR Madde 7 anlamında rızayı belgelemek için;
  • başvuru kaynağı (site sayfası, Mini App banner’ı, başka bir giriş noktası) — iletişim kanallarının etkinliğini değerlendirmek için;
  • uygulanabilirse, forma geldiğiniz referral kodu — referral programı amaçları için (§ 7.9 Kullanım Şartları);
  • Platform tarafından yalnızca email’inizin iki aşamalı bir prosedür (double opt-in) aracılığıyla § 7.9.2 Kullanım Şartları uyarınca onaylanmasından sonra oluşturulan kişisel referral kodu — referral programına sonraki katılımınız için.

Ayrıca, başvuru formunun otomatik kötüye kullanımını önlemek amacıyla (anti-abuse rate-limiting), Platform başvuru gönderimine ilişkin, IP adresinin hash’ini (kamuya açık olmayan salt ile HMAC-SHA256), form gönderiminin asgari teknik göstergelerini ve zaman damgasını içeren teknik bir kayıt tutar. Bu kayıt, bekleme listesi başvurusundan bağımsız olarak oluşturulur, ondan ayrı olarak saklanır (bkz. § 6) ve formu kötüye kullanımdan korumayla bağlantılı olmayan amaçlar için kullanılmaz.

İşletme Sahibinin email’i ile ayrım. Bekleme listesinde email’in onaylanması; Hesap oluşturma, İşletme kaydı veya § 4.4 Kullanım Şartları anlamında İşletme Sahibinin email’inin onaylanması anlamına gelmez. Bekleme listesinde bırakılan email, İşletme Sahibiyle resmi iletişim kanalı olarak kullanılmaz ve ilgili kişi, bu Politika’nın § 2.2 bölümünde açıklanan prosedür üzerinden aynı email’i onaylayarak İşletme kaydını bağımsız olarak tamamlayana kadar Telegram ID ile bağlantı oluşturmaz.

Bekleme listesine katılım rızanızı istediğiniz zaman [email protected] adresine talep göndererek geri çekme hakkına sahipsiniz. Rızanın geri çekilmesi, email adresinizin ve onunla bağlantılı bekleme listesi verilerinin, referral attribution’ı doğrulamak (§ 7.9 Kullanım Şartları), yasal yükümlülükleri yerine getirmek veya hukuki talepleri savunmak için saklanan asgari kayıtlar hariç olmak üzere, 30 (otuz) takvim gününü aşmayan makul bir süre içinde silinmesini gerektirir.

2.8. Cookies ve yerel depolama

Platform, sınırlı sayıda cookie dosyası ve tarayıcı yerel depolama mekanizması kullanır. Cookies’i reklam tracking’i, siteler arası profilleme, verilerin reklam ağlarına aktarılması veya aşağıda doğrudan açıklanan işlevsel görevlerin ötesine geçen diğer amaçlar için kullanmıyoruz.

Kullanılan cookies ve benzer teknolojilerin mevcut kapsamı:

Teknoloji Amaç Kategori Yaşam süresi Kurulma koşulu
Cookie dps_ref Kullanıcının siteye geldiği referral kodunu saklamak ve sonrasında referral programı katılımcısına bonusun doğru şekilde tahakkuk ettirilmesini sağlamak (§ 7.9 Kullanım Şartları) Functional / referral attribution Referral bağlantısı üzerinden ilk geçiş anından itibaren 30 (otuz) takvim günü Yalnızca referral kodu içeren bağlantı üzerinden siteye girildiğinde gösterilen banner’da kullanıcıdan istenen açık rıza sonrasında kurulur. Rıza yoksa cookie kurulmaz ve referral attribution uygulanmaz. Cookie zaten kurulmuşsa ve süresi dolmamışsa, başka bir referral bağlantısı üzerinden tekrar geçiş mevcut attribution’ın üzerine yazmaz. Kullanıcının rızası kurulu cookie’nin süresi içinde geçerlidir.
Local Storage dps-site-theme Kullanıcının seçtiği site temasını hatırlamak (açık / koyu) Strictly necessary — kullanıcının görüntüleme tercihlerini uygulamak için gerekli Kullanıcı tarafından tarayıcı ayarları üzerinden açıkça silinene kadar saklanır Kullanıcı temayı ilk değiştirdiğinde kurulur. Yalnızca kullanıcı tarafından talep edilen ayarı sağlamak için kullanıldığından, cookies hakkındaki uygulanabilir mevzuatın izin verdiği ölçüde, 2002/58/EC Direktifi’nin Madde 5(3) hükmünü uygulayan gereklilikler dahil olmak üzere, ayrı rıza gerektirmez.
Local Storage dps-cookie-consent Consent banner’ın tekrar gösterilmemesi için kullanıcının dps_ref cookie’sine ilişkin seçimini saklamak (kabul edildi / reddedildi) Strictly necessary — kullanıcının cookies’e ilişkin ifade ettiği seçimi yerine getirmek için gerekli Sitenin alt kısmındaki «Cookies yönetimi» bağlantısı veya tarayıcı ayarları üzerinden kullanıcı tarafından açıkça silinene kadar saklanır Kullanıcının consent banner’daki herhangi bir butona tıkladığı anda kurulur. Yalnızca kullanıcının cookies’e ilişkin seçimini yerine getirmek için kullanıldığından, cookies hakkındaki uygulanabilir mevzuatın izin verdiği ölçüde, 2002/58/EC Direktifi’nin Madde 5(3) hükmünü uygulayan gereklilikler dahil olmak üzere, ayrı rıza gerektirmez.

Kullanıcı, dps_ref cookie’sine ilişkin seçimini sitenin herhangi bir sayfasının alt kısmında bulunan «Cookies yönetimi» bağlantısı üzerinden istediği zaman değiştirebilir. İlgili panelin açılması sayfayı yeniden yüklemez ve kullanıcının açık eyleminden önce yeni cookies kurmaz. dps_ref cookie’sinin devre dışı bırakılması Platform’u kullanma ve bekleme listesine başvuru gönderme imkanını etkilemez, ancak referral attribution’ın kaybına yol açar — kullanıcının siteye geldiği referral daveti referral programında dikkate alınmaz.

Yeni cookies veya diğer benzer teknolojilerin eklenmesi halinde bu bölüm, amaç, kategori, yaşam süresi ve kurulma koşulu belirtilerek tamamlanacaktır.

2.9. Web analitiği

Platform, Avrupa Birliği içindeki kendi altyapımızda dağıtılmış self-hosted web analitiği servisi Umami kullanır. Özellikle minimum özellik setine sahip self-hosted bir çözüm seçtik; çünkü bu çözüm, bireysel profiller oluşturmadan, cookies kullanmadan ve verileri harici analitik sağlayıcılara, reklam ağlarına veya data brokers (veri aracılarına) aktarmadan Platform kullanımının agregasyon düzeyindeki görünümünü anlamamıza olanak tanır.

Ne topluyoruz. Analitik, yalnızca Platformu ziyaret etme olgusu ve sayfalarla etkileşim hakkında agregasyon düzeyinde teknik bilgiler toplar:

  • olay türü (bu sürümün yürürlük tarihi itibarıyla — aşağıdaki kategori listesine bakınız);
  • ülke (ülke düzeyinde, kesin koordinatlar ve geolocation olmadan);
  • cihaz türü (desktop / tablet / mobile);
  • tarayıcı ve işletim sistemi;
  • referrer (ziyaretçinin geldiği önceki sayfa);
  • URL’de mevcutsa UTM etiketleri.

IP adresi, talep sırasında yalnızca ülkeyi ülke düzeyinde belirlemek amacıyla teknik olarak işlenebilir ve olayın bir parçası olarak analitik veritabanında saklanmaz.

Bu sürümün yürürlük tarihi itibarıyla olay kategorileri listesi:

Kategori Ne anlama gelir
Sayfa görüntüleme bir sayfanın açılması olgusu (kişisel veri içerebilecek query parametreleri olmayan URL)
Waitlist formu görüntüleme bekleme listesine katılma formunun bulunduğu sayfa açılmıştır
Waitlist formu gönderimi teknik sonuç: gönderim denemesi, başarı, doğrulama hatası (tam hata kodu açıklanmadan), teslim hatası
Email onayı onay landing page’inin açılması, onay düğmesine tıklanması, başarılı onay sayfasının görüntülenmesi
Arayüz dili değişikliği kullanıcı locale değiştirmiştir
Görünüm teması değişikliği kullanıcı açık/koyu temayı değiştirmiştir
Ana CTA tıklaması ana eylem çağrısı düğmelerine tıklama
Navigasyon bağlantısı tıklaması sitenin footer veya header bölümündeki bağlantılara tıklama
Tarife planı görüntüleme belirli bir tarife bloğu ekranın görünür alanına girmiştir
FAQ sorusu açma kullanıcı sık sorulan sorular listesindeki belirli bir soruyu genişletmiştir

Hiçbir olay kullanıcının adını, email adresini, telegram_id’yi, telefon numarasını, referans kodunu, ödeme durumunu, form alanlarının içeriğini, kişisel veri içerebilecek hata mesajlarının tam metnini veya belirli bir kişiye ait herhangi başka bir tanımlayıcıyı içermez. Bu, iç teknik dokümantasyonumuzda sabitlenmiş analitik mimarisinin değişmez ilkesidir.

Yeni olaylar kişisel veri veya belirli bir kişiye ait tanımlayıcılar içeremez. Analitiğin bileşimindeki esaslı değişiklik bu bölümün güncellenmiş sürümünde yansıtılır.

Ne toplamıyoruz. Analitik aşağıdakileri almaz ve saklamaz:

  • kullanıcıların email adresleri;
  • Telegram ID, telegram username, Telegram profilindeki adlar;
  • telefon numaraları;
  • olayın bir parçası olarak IP adresleri (IP yalnızca ülkeyi belirlemek amacıyla “anlık” olarak işlenebilir);
  • form alanlarının içeriği;
  • kişisel mesajların içeriği;
  • ödeme verileri;
  • biyometrik veriler, sağlık verileri ve diğer özel kategoriler;
  • kişisel tanımlayıcılar (account ID, business ID, referral code);
  • kesin geolocation (şehir, koordinatlar).

Analitiği reklam profillemesi, siteler arası takip, kullanıcı profilleri oluşturma, hukuki veya benzer şekilde önemli sonuçlar doğuran otomatik kararlar alma ya da verileri reklam ağlarına aktarma amacıyla kullanmıyoruz.

Cookies kabulü veya reddiyle ilgili olaylar web analitiğine aktarılmaz; kullanıcının seçimi tarayıcıda yerel olarak saklanır (bkz. § 2.8).

İşlemenin hukuki dayanağı. Web analitiği verilerinin işlenmesinin hukuki dayanağı operatörün meşru menfaatidir (Art. 6(1)(f) GDPR) — Platformun geliştirilmesi ve hizmetin iyileştirilmesi amacıyla Platformun agregasyon düzeyindeki kitlesini anlama menfaati. Bu koşullar altında Operatörün meşru menfaatinin veri sahiplerinin hak ve özgürlükleri tarafından geçersiz kılınmadığını değerlendiriyoruz: veri kapsamı minimize edilmiştir, cookies kullanılmaz, bireysel profiller oluşturulmaz ve veriler harici analitik sağlayıcılara veya reklam ağlarına aktarılmaz.

Cookies ve cihazda bilgi saklamaya yönelik diğer teknolojiler. Web analitiği, analitik amaçlarla kullanıcının cihazından bilgi saklama veya okuma için cookies, local storage ya da diğer mekanizmaları kullanmadığından, bu analitik için 2002/58/EC Direktifi’nin 5(3). maddesi uyarınca ayrı bir rıza talep edilmez.

Saklama süresi. Web analitiği verileri, toplandıkları andan itibaren 180 (yüz seksen) takvim günü boyunca saklanır. Bu sürenin ardından ilgili kayıtlar analitik veritabanından otomatik olarak silinir. Bu süre, Platform kullanımındaki mevsimsel eğilimleri anlamak için asgari yeterli süre olarak ve saklama risklerini aynı anda minimize etmek amacıyla seçilmiştir.

Veri aktarımı. Analitik, Avrupa Birliği sınırları içindeki kendi altyapımızda dağıtılmıştır. Web analitiği verileri harici analitik sağlayıcılara, reklam ağlarına veya data brokers’a aktarılmaz, satılmaz ve davranışsal reklamcılık için kullanılmaz. İşleme, altyapı sağlayıcılarımız tarafından yalnızca bu belgenin § 4 bölümünde açıklanan sınırlar dahilinde gerçekleştirilebilir.

Do Not Track’e saygı. Standart tarayıcı başlığı Do Not Track (DNT)‘e saygı gösteririz. Tarayıcınız DNT: 1 başlığını gönderirse, web analitiği script’i Platform sayfalarında başlatılmaz ve etkileşiminize ilişkin hiçbir veri toplanmaz.

Hizmetin bölgesel erişilebilirliği. Platformun bazı etkileşimli işlevleri, Kullanım Şartları ve Platform Kuralları uyarınca Platformun hizmet verdiği pazarlar arasında yer almayan bölgelerden teknik olarak erişilemez olabilir. Bu tür kısıtlamalar CDN/WAF düzeyinde uygulanabilir. Altyapının korunması amacıyla asgari CDN/WAF security log’ları (timestamp, IP adresi, ülke, firewall kararı) oluşturulabilir. Bu, web analitiğinden ayrı bir katmandır; bu tür log’lar reklam profillemesi veya web analitiği için kullanılmaz.

Web analitiği verilerine ilişkin haklarınız. Web analitiği bireysel tanımlayıcılar saklamadığından, size kişisel olarak ilişkin belirli kayıtlara erişim hakkının kullanılması teknik olarak imkânsızdır — sistemde bir olay kaydı ile belirli bir kişi arasında bağlantı yoktur. Bununla birlikte, şu haklara sahipsiniz:

  • meşru menfaat kapsamında işlemeye itiraz etmek (madde 21 GDPR) — bu durumda, tarayıcı ayarlarınızda Do Not Track başlığını etkinleştirmenizi öneririz; bu, etkileşiminizi takipten otomatik olarak hariç tutar;
  • işleme hakkında ek açıklamalar almak için destek servisimize şu adresten başvurmak: [email protected];
  • kendi yargı alanınızdaki yetkili kişisel verileri koruma makamına şikâyette bulunmak.

Olay bileşimindeki değişiklikler. Web analitiğinin bileşiminde esaslı değişiklik, yeni olay kategorilerinin eklenmesi veya analitik servis mimarisinde değişiklik yapılması bu bölümün güncellenmiş sürümünde yansıtılır. Yukarıda belirtilen kategori listesi, bu belge sürümünün yürürlük tarihi itibarıyla geçerlidir.

2.10. Toplamadığımız veriler

Şunları toplamıyoruz:

  • GPS aracılığıyla tam konumunuzu (bir İşletme Kaydının adresini elle belirtmediyseniz);
  • Platform dışındaki diğer faaliyetlerinize ilişkin verileri;
  • Telegram’daki kişilerinizi, Telegram’daki yazışmalarınızı, Telegram’ın bize Telegram Mini App çerçevesinde ilettiklerinin ötesindeki diğer verileri;
  • biyometrik verileri;
  • sağlık verilerini;
  • ırksal ve etnik köken, siyasi görüşler, dini veya felsefi inançlar, sendika üyeliği, genetik veriler, cinsel yönelim hakkındaki verileri (bu verileri bir İşletme Kaydı çerçevesinde gönüllü olarak yayımladığınız durumlar hariç — ancak bunu yapmanızı önermiyoruz).

3. Verileri ne için işliyoruz (amaçlar ve hukuki dayanaklar)

GDPR’ın 6. maddesi uyarınca her kişisel veri işleme bir hukuki dayanağa sahip olmalıdır. Aşağıda her işleme amacı için ilgili hukuki dayanağı belirtiyoruz.

3.1. Platform işlevlerinin sağlanması

Ne işliyoruz: Telegram ID, ad, kullanıcı adı, fotoğraf, dil, Sahip email’i, İşletme Kaydının İçeriği, teknik veriler.

Ne için: Hesabınızı oluşturmak, İşletme Kayıtları oluşturma ve yönetme imkanı vermek, İşletme Kaydınızı diğer Kullanıcılara göstermek, email aracılığıyla Sahiplerle resmi iletişim kanalını sağlamak.

Hukuki dayanak (GDPR): madde 6 fıkra 1 bent (b) — bir sözleşmenin ifası (Kullanım Şartları).

3.2. Güvenlik ve kötüye kullanıma karşı koruma

Ne işliyoruz: IP adresi, eylem günlükleri, teknik veriler, şüpheli faaliyet hakkındaki veriler, bölgesel kısıtlamaların doğrulanması için bağlantı meta verileri (Kullanım Şartlarının 3.4 bölümü).

Ne için: dolandırıcılığı, siber saldırıları, Kuralların ihlallerini tespit etmek ve durdurmak, Platformu ve diğer Kullanıcıları korumak; yaptırım mevzuatına ve Rusya Federasyonu/Belarus’a yönelik bölgesel yasağa uyumu kontrol etmek.

Hukuki dayanak: madde 6 fıkra 1 bent (f) — Platformun güvenliğini sağlama ve Kullanıcıları koruma konusundaki meşru menfaatimiz; madde 6 fıkra 1 bent (c) — yaptırım rejimlerine uyuma ilişkin hukuki yükümlülüğün ifası.

3.3. Kullanıcı desteği

Ne işliyoruz: sorgularınızın içeriği, iletişim bilgileriniz.

Ne için: sorularınıza yanıt vermek ve şikayetleri ele almak.

Hukuki dayanak: madde 6 fıkra 1 bent (b) — bir sözleşmenin ifası ve sözleşme öncesi tedbirler.

3.4. Platformun iyileştirilmesi

Ne işliyoruz: Platformdaki eylemler hakkında takma adlı veriler, teknik veriler, hata günlükleri.

Ne için: işlevselliği iyileştirmek, hataları düzeltmek, performansı ölçmek.

Hukuki dayanak: madde 6 fıkra 1 bent (f) — Platformun geliştirilmesi ve işlerliğinin sürdürülmesi konusundaki meşru menfaat.

3.5. Hata ve performans izleme

Arızaları tespit etmek, sorunları teşhis etmek, güvenliği korumak ve Platformun çalışmasını iyileştirmek için hata, kararlılık ve performans izleme hizmetleri kullanabiliriz. Bu tür hizmetler teknik veriler, hata günlükleri, cihaz bilgileri, istemci sürümleri, olay zamanı ve hatanın oluştuğu eylemin sınırlı bir bağlamını alabilir. Somut izleme hizmeti, işbu Politikanın 4. bölümünde belirtilir.

İzleme hizmetleri, GDPR’ın 28. maddesi uyarınca veri işleyen olarak dahil edilir. Kamuya açık lansmandan önce Veri sorumlusu, ilgili veri işleme sözleşmelerini (Data Processing Agreements), işleme bölgelerini ve uluslararası aktarımlar için garantileri, varsa, doğrulayacak ve resmileştirecektir. Bu verileri reklam profilleme için kullanmıyoruz ve veri komisyoncularına aktarmıyoruz.

3.6. Hukuki yükümlülükler

Ne işliyoruz: uygulanacak mevzuat uyarınca saklanması zorunlu veriler (muhasebe ve vergi raporlaması, Şartların kabul kayıtları, ödeme verileri).

Ne için: kanunun zorunlu gerekliliklerine uymak.

Hukuki dayanak: madde 6 fıkra 1 bent (c) — hukuki yükümlülüğün ifası.

3.7. Hakların ve yasal taleplerin korunması

Ne işliyoruz: uyuşmazlıklara, taleplere, davalara ilişkin veriler.

Ne için: meşru haklarımızı tespit etmek, kullanmak veya savunmak; şikayetleri ele almak; devlet otoritelerinin taleplerine yanıt vermek.

Hukuki dayanak: madde 6 fıkra 1 bent (f) — meşru menfaat.

3.8. Hizmet bildirimleri ve pazarlama

Hizmet bildirimleri. Size Platformun çalışması için gerekli bildirimleri gönderebiliriz: Şartların, Politikanın veya Kuralların değişiklikleri, güvenlik bildirimleri, erişimin kurtarılması, müdahale önlemleri, ödemeler ve diğer hukuki veya teknik açıdan önemli bildirimler.

Hukuki dayanak: GDPR madde 6 fıkra 1 bent (b) — bir sözleşmenin ifası; GDPR madde 6 fıkra 1 bent (c) — hukuki yükümlülüğün ifası; GDPR madde 6 fıkra 1 bent (f) — Platformun güvenliğinin ve gerektiği gibi çalışmasının sürdürülmesi konusundaki meşru menfaat.

Pazarlama bildirimleri. Size Platformun yeni işlevleri, güncellemeleri veya teklifleri hakkında bilgileri yalnızca uygulanacak mevzuat tarafından izin verilen ölçüde ve bu tür bildirimlere itiraz etme imkanı ile gönderebiliriz.

Hukuki dayanak: GDPR madde 6 fıkra 1 bent (a) — gerekiyorsa rıza; veya GDPR madde 6 fıkra 1 bent (f) — bu tür bilgilendirmenin kanunen izin verildiği durumlarda mevcut kullanıcıların Platformun ilgili işlevleri hakkında bilgilendirilmesi konusundaki meşru menfaat.

İstediğiniz zaman pazarlama bildirimlerine itiraz etme hakkına sahipsiniz (bkz. bölüm 7). Pazarlamaya itiraz, hizmet, güvenlik veya hukuki açıdan önemli bildirimlerin alınmasını etkilemez.

3.9. Verilerinizi NEYİN İÇİN kullanmıyoruz

  • kişisel verilerinizi üçüncü şahıslara satmıyoruz;
  • verilerinizi Platform dışında hedeflenmiş reklam için kullanmıyoruz;
  • verilerinizi veri komisyoncularına, reklam ağlarına veya profilleme hizmetlerine aktarmıyoruz;
  • hukuki sonuçları olan otomatik kararların alınması için sizi profillemiyoruz (bkz. bölüm 9).

3.10. Platformun public launch’u hakkında bilgilendirme (bekleme listesi)

Ne işliyoruz: email adresi, locale, rıza tarihi, başvuru kaynağı, referral kodu, kişisel referral kodu, ayrıca email’in iki aşamalı prosedürle onaylanma olgusu ve tarihi.

Ayrıca, anti-abuse kaydı kapsamında, — IP adresi hash’i ve form gönderiminin asgari teknik göstergeleri.

Neden:

(a) size DAMOSTA’un public launch’u hakkında belirttiğiniz email adresine tek seferlik bildirim göndermek;

(b) email’inizi iki aşamalı prosedürle onayladıysanız, § 7.9 Kullanım Şartları uyarınca referral programına katılım için size kişisel referral kodu sağlamak;

(c) başkasının referral bağlantısı üzerinden bekleme listesine geldiyseniz ve dps_ref cookie’sinin kurulmasına rıza verdiyseniz referral attribution’ı doğru şekilde dikkate almak;

(d) veri minimizasyonu ve teknik göstergeler için sınırlı saklama süresi uygulayarak, başvuru formunu toplu başvurular ve email kanalının teslim edilebilirliğine yönelik saldırılar dahil olmak üzere otomatik kötüye kullanımdan korumak.

Hukuki dayanak:

GDPR Madde 6(1)(a) — email adresi, locale, rıza olgusu, başvuru kaynağı ve referral attribution’ın işlenmesi bakımından, sizin açıkça belirtilmiş amaçlı bir formda email adresinizi girmeniz ve ilgili butona basmanız şeklindeki aktif eyleminizle ifade edilen açık rızanız;

GDPR Madde 6(1)(f) — IP adresi hash’i ve başvuru gönderiminin teknik metadatası bakımından, Platformun başvuru formunun güvenliğini sağlama, toplu otomatik kötüye kullanımı önleme ve email kanalının teslim edilebilirliğini koruma yönündeki meşru menfaati. Uygulanan önlemler — IP adresinin kamuya açık olmayan salt ile HMAC-SHA256 aracılığıyla pseudonymization’ı, bekleme listesi başvurusundan ayrı saklama, sınırlı saklama süresi, anti-abuse rate-limiting ile bağlantılı olmayan amaçlar için kullanmama — işleme faaliyetinin belirtilen amaca göre orantılılığını ve Platformun menfaatleri ile veri sahibinin hakları arasındaki dengeyi sağlar.

Bekleme listesine katılım rızanızı bu Politika’nın § 2.7 bölümünde açıklanan usulde, gerekçe göstermeksizin ve gelecekte Platformu kullanma imkanı üzerinde olumsuz sonuçlar olmaksızın istediğiniz zaman geri çekme hakkına sahipsiniz.

4. Verileri kime aktarıyoruz

4.1. Bizim adımıza hareket eden veri işleyenler

Verileri yalnızca talimatlarımıza göre ve menfaatimize işleyen üçüncü taraf hizmet sağlayıcılarına (GDPR terminolojisinde veri işleyenler) başvuruyoruz.

Kapalı test aşaması için aşağıda mevcut teknik altyapı ve veri işleyenlerin beklenen kategorileri belirtilmiştir. Kamuya açık lansmandan önce Veri sorumlusu, veri işleyenlerin nihai bilgilerini, işleme bölgelerini, veri işleme sözleşmelerinin, SCC’lerin veya uluslararası aktarımlar için diğer gerekli garantilerin varlığını doğrulayacak ve resmileştirecektir.

Veri işleyenlerin mevcut bileşimi (Politikanın son güncelleme tarihi itibarıyla):

Kategori Sağlayıcı Yargı yetkisi ülkesi / sunucuların konumu Veri işleme sözleşmesi / garantiler
DNS, proxy, gelen email yönlendirme, kamuya açık web sayfasının barındırılması Cloudflare, Inc. ABD (genel merkez); küresel ağ, AB merkezleri mevcut Kamuya açık lansmandan önce doğrulama ve resmileştirmeye tabidir
Backend ve veritabanlarının barındırılması DigitalOcean, LLC ABD (genel merkez); Frankfurt’ta sunucular (FRA1, Almanya) Kamuya açık lansmandan önce doğrulama ve resmileştirmeye tabidir
İşlem email’i ve etki alanı adına SMTP gönderimi Resend (Resend, Inc.) ABD (genel merkez); işleme bölgesi eu-west-1 (İrlanda) Kamuya açık lansmandan önce doğrulama ve resmileştirmeye tabidir
Hata ve performans izleme Sentry (Functional Software, Inc., d/b/a Sentry) ABD (genel merkez); bölge sentry.io/eu (İrlanda/Almanya) Kamuya açık lansmandan önce doğrulama ve resmileştirmeye tabidir
Ödeme işlemleri (ücretli planlarda) Ödeme modelinin sonlandırılmasından sonra belirtilecektir — bkz. docs/legal/launch_checklist.md, bölüm 3.5 TBD TBD
Hukuk, muhasebe ve denetim danışmanları Gerektiğinde Danışmanın yargı yetkisine göre Gizlilik anlaşmaları

Kamuya açık lansmandan önce tüm sürekli veri işleyenlerle GDPR standartlarına uymalarını gerektiren kişisel veri işleme sözleşmeleri (Data Processing Agreement, DPA) imzalanacaktır.

4.2. Telegram

Telegram Messenger Inc., kendi gizlilik politikasına uygun olarak bot ve Mini App ile etkileşiminiz hakkında belirli verileri kendi başına toplar. Telegram bizim veri işleyenimiz değildir — Telegram, kendi verilerinin bağımsız bir veri sorumlusudur. Telegram’ın ne topladığını öğrenmek isterseniz, Telegram Gizlilik Politikası‘na başvurunuz.

4.3. Hukuki talep üzerine ifşa

Kişisel verileri şu durumlarda ifşa ederiz:

  • yetkili bir devlet otoritesinin (mahkeme, savcılık, polis, vergi otoriteleri ve diğerleri) zorunlu talebi üzerine — uygulanacak hukuk tarafından açıkça öngörülen ölçüde;
  • acil durumlarda kişilerin yaşamını ve sağlığını korumak için;
  • suçların önlenmesi ve durdurulması için;
  • meşru haklarımızı yargı, idari ve diğer prosedürlerde savunmak için;
  • yaptırım mevzuatına, kara para aklamayla ve terörizmin finansmanıyla mücadele mevzuatına uymak için.

Bu tür durumlarda asgari gerekli veri hacmini ifşa etmeye çalışırız ve kanunen kabul edildiği durumlarda etkilenen Kullanıcıyı bilgilendiririz.

4.4. Yeniden yapılanma durumunda aktarım

Birleşme, devralma, işletme satışı, yeniden yapılanma veya iflas durumunda kişisel verileri yeni sahibe veya hukuki halefe aktarabiliriz. Bu durumda Kullanıcıları önceden bilgilendireceğiz ve yeni sahip işbu Politika tarafından belirlenenden daha düşük olmayan bir koruma seviyesini sağlamakla yükümlü olacaktır.

4.5. Herkese aktarmıyoruz

Verilerinizi şunlara aktarmıyoruz:

  • reklamverenlere;
  • veri komisyoncularına;
  • ticari amaçlarla diğer platformlara;
  • Kullanıcıların kendileri verileri bir İşletme Kaydı çerçevesinde gönüllü olarak yayımladıkları durumlar hariç olmak üzere diğer Kullanıcılara.

5. Verileri nerede saklıyoruz

5.1. Ana saklama

Kullanıcı verilerinin barındırıldığı sunucular Almanya’da (Frankfurt, DigitalOcean FRA1 veri merkezi) bulunmaktadır. Saklama yerini seçerken kişisel verilerin güvenilir korunmasına ve AB standartlarına uygun yargı yetkilerine öncelik veririz.

Ayrıca belirli veri kategorileri aşağıdaki altyapı üzerinden geçebilir:

  • Cloudflare (AB merkezleri aracılığıyla yönlendirme imkanı olan küresel proxy ve DNS ağı);
  • Resend (eu-west-1 bölgesi, İrlanda) — işlem email’leri için;
  • Sentry (AB bölgesi, İrlanda / Almanya) — hata günlükleri için.

5.2. Uluslararası aktarım

Platformun çalışması sırasında veriler yargı yetkinizin dışındaki bir ülkeye aktarılırsa (örneğin, AEA kullanıcıları için — küresel mevcudiyete sahip altyapı ortakları aracılığıyla AEA dışına), uygun garantileri sağlarız:

  • AB tarafından yeterli koruma seviyesi sağladığı kabul edilen ülkelere aktarım (yeterlilik kararı);
  • Avrupa Komisyonu tarafından onaylanmış standart sözleşme şartları (Standard Contractual Clauses, SCC);
  • GDPR’ın V. bölümü tarafından öngörülen diğer mekanizmalar.

Bir sağlayıcının genel merkezi veya şirket grubu AEA dışında bulunuyorsa, ana saklama bölgesi AB’de seçilmiş olsa bile, belirli durumlarda verilere erişim veya teknik bakım AEA dışından gerçekleştirilebilir. Bu tür durumlarda GDPR’ın V. bölümü tarafından öngörülen ilgili garantileri, SCC’ler ve gerekirse ek teknik ve organizasyonel önlemler dahil olmak üzere uygularız.

Mevcut uluslararası aktarımların ve uygulanabilir garantilerin listesi [email protected] adresinden talep üzerine sunulur.

6. Verileri ne kadar süre saklıyoruz

Aşağıda belirtilen süreler kapalı test aşaması için temel saklama süreleridir ve seçilen Veri sorumlusu yargı yetkisine, ödeme modeline, vergi ve muhasebe gerekliliklerine bağlı olarak kamuya açık lansmandan önce belirlenebilir. Kanun daha uzun bir saklama süresi gerektirirse veya veriler bir uyuşmazlık, soruşturma veya hakların savunulması için gerekiyorsa, bunları gerekli süre boyunca saklarız.

Veri kategorisi Saklama süresi
Hesabın temel verileri (Telegram ID, ad, dil) Hesap aktif olduğu sürece; silindikten sonra — ana veritabanında 30 güne kadar, yedekleme kopyalarında 90 güne kadar
Sahibin email’i ve Telegram ID ile bağlantı Hesap aktif olduğu sürece; silindikten sonra — 30 güne kadar (email belge kabul kayıtlarında yer alıyorsa istisnalar saklı kalmak kaydıyla)
İşletme Kaydının içeriği İşletme Kaydı aktif olduğu sürece; silindikten sonra — 30 güne kadar (sonra — anonimleştirme veya silme)
Eylem günlükleri ve teknik loglar 12 aya kadar (güvenlik ve teşhis amaçlı)
Şartların, Kuralların ve Politikanın kabul kayıtları Hesabın sona erdirilmesinden sonra en az 3 yıl (olası uyuşmazlıklarda savunma için)
Ödeme verileri ve mali raporlama Uygulanacak vergi ve muhasebe mevzuatı tarafından öngörülen sürelerde (genellikle 3-7 yıl)
Destekle yazışma Sorgunun kapatılmasından itibaren 2 yıla kadar
Olay soruşturmaları veya aktif uyuşmazlıkla ilgili veriler İlgili prosedürlerin sonuna ve itiraz sürelerinin dolmasına kadar

Sürelerin dolmasından sonra veriler silinir veya anonimleştirilir (belirli bir kişiyle özdeşleştirmeye izin vermeyecek bir biçime getirilir).

6.1. Bekleme listesi (waitlist) verileri ve ilgili teknik kayıtlar

Onaylanmamış başvurular (email’inizi belirtmiş, ancak email içindeki bağlantı üzerinden onay tamamlamadıysanız): başvuru anından itibaren 24 (yirmi dört) saat boyunca saklanır, ardından otomatik olarak silinir. Teknik onay token’ı hash formunda saklanır ve başvuruyla birlikte silinir.

Email adresi bakımından onaylanmış başvurular: Platformun public launch tarihine kadar ve launch bildiriminin tek seferlik gönderilmesinden sonra 30 (otuz) takvim günü boyunca saklanır. Bu sürenin sonunda email adresi ve bekleme listesinin ilgili tanımlayıcı verileri silinir. Silme anına kadar ilgili kişi, bu Politika’nın § 2.2 bölümü ve § 4.4 Kullanım Şartları’nda açıklanan prosedür kapsamında aynı email adresini onaylayarak İşletme kaydını bağımsız olarak tamamlamışsa, email adresi İşletme Sahibi Hesabının yaşam döngüsü kapsamında işlenir. Bekleme listesinin diğer verileri bu bölüme uygun olarak silinir.

Asgari referral attribution kayıtları: kişisel referral kodunuz, davet ettiğiniz kullanıcılara ilişkin bilgiler ve kendi bekleme listesine geldiğiniz referral attribution bilgileri, ilgili referral bonuslarının geçerlilik süresi ve tahakkuklarının doğruluğunu kontrol etmek için gerekli dönem boyunca, § 7.9 Kullanım Şartları’nda, özellikle § 7.9.9’da belirtilen sürelere uygun olarak ayrı saklanır — ancak bonusların aktif aboneliğe uygulanmasından aksi sonuç çıkmadıkça, email’inizin onaylanmasından itibaren en fazla 12 (on iki) takvim ayı.

Başvuru gönderimine ilişkin anti-abuse kaydı (IP adresi hash’i ve asgari teknik göstergeler): bekleme listesi başvurusundan ayrı olarak başvuru anından itibaren 30 (otuz) takvim günü boyunca saklanır, ardından otomatik olarak silinir. Sistem, ilk IP adresini waitlist başvurusunun veya anti-abuse kaydının parçası olarak saklamaz; hash yalnızca belirtilen saklama süresi içinde tekrarlanan başvuruları rate-limiting amacıyla karşılaştırmak için kullanılır.

Ziyaretçinin cihazındaki Cookie dps_ref: kurulum anından itibaren 30 (otuz) takvim günü. Local Storage dps-cookie-consent ve dps-site-theme: kullanıcı tarafından «Cookies yönetimi» bağlantısı veya tarayıcı ayarları üzerinden açıkça silinene kadar.

Rıza geri çekme talepleri: alındığı andan itibaren en fazla 30 (otuz) takvim günü içinde işlenir; geri çekme anında bu kayıtlar, üçüncü kişiler — referral programı katılımcıları — lehine halihazırda tahakkuk ettirilmiş veya tahakkuk ettirilecek bonusları doğrulamak için gerekliyse, yukarıda asgari referral attribution kayıtlarına ilişkin belirtilen istisnalar dikkate alınır.

6.2. Abonelik yaşam döngüsü ve verilerin silinmesi

Deneme süresinin ücretli abonelik ödenmeden sona ermesi, ücretli aboneliğin iptal edilmesi veya yenilenmemesi halinde İşletme sahibinin kişisel verilerinin, İşletme kaydı içeriğinin ve bunlarla bağlantılı müşteri verilerinin saklama süreleri ve silinme usulü Kullanım Şartlarının § 7.4 maddesinde, özellikle dondurulmuş mod, arşiv modu, 90 günlük saklama süresi, veri silme, hukuken gerekli kayıtlar için istisnalar ve yalnızca İşletme sahibine açık hassas işlemlerle ilgili hükümlerinde açıklanmıştır.

Telegram tanımlayıcısı ve email adresi temelinde oluşturulan koruyucu tanımlayıcılar, deneme süresinin kötüye kullanılmasını önlemek ve Operatörün meşru menfaatlerini korumak için gerekli süre boyunca saklanabilir. Email adresi açık biçimde saklanmaz; kriptografik hash olarak işlenir. Bu saklama, Art. 6(1)(f) GDPR uyarınca Operatörün meşru menfaatine dayanır ve email adresinin hashlenmesi Art. 4(5) GDPR anlamında bir takma adlandırma tedbiridir.

7. Haklarınız

GDPR (madde 12-22) ve uygulanacak mevzuatın benzer normları uyarınca kişisel verilerinize ilişkin aşağıdaki haklara sahipsiniz:

7.1. Erişim hakkı (GDPR madde 15)

Verilerinizin işlenip işlenmediğine dair onay almak ve eğer işleniyorsa — işlenen verilerin bir kopyasını ve amaçlar, kategoriler, alıcılar, saklama süreleri, kaynaklar ve otomatik karar verme varlığı hakkında bilgi alma hakkına sahipsiniz.

7.2. Düzeltme hakkı (GDPR madde 16)

Yanlış veya eksik verilerin düzeltilmesini talep etme hakkına sahipsiniz. Verilerin çoğunu Platformun arayüzü aracılığıyla kendiniz düzeltebilirsiniz.

7.3. Silme hakkı («unutulma hakkı», GDPR madde 17)

Aşağıdaki durumlarda verilerinizin silinmesini talep etme hakkına sahipsiniz:

  • veriler artık toplandığı amaçlar için gerekli değildir;
  • işlemenin dayandığı rızayı geri alıyorsunuz ve başka bir dayanak yoktur;
  • işlemeye itiraz ediyorsunuz ve üstün gelen meşru gerekçeler yoktur;
  • veriler hukuka aykırı olarak işlenmiştir;
  • veriler zorunlu kanun gereği silinmelidir.

Silme hakkı, saklamanın aşağıdakiler için gerekli olduğu durumlarda uygulanmaz:

  • hukuki yükümlülüğün yerine getirilmesi (örneğin, vergi raporlaması);
  • yasal taleplerin tespiti, kullanılması veya savunulması (belge kabul kayıtları dahil — bölüm 2.6);
  • halk sağlığı alanındaki kamu yararı;
  • uygun garantilerle arşiv, bilimsel, araştırma veya istatistiksel amaçlar;
  • ifade ve bilgi özgürlüğü.

7.4. İşlemenin sınırlandırılması hakkı (GDPR madde 18)

Verilerin doğruluğuna itiraz ettiğiniz, işlemeyi hukuka aykırı saydığınız veya işlemenin artık bizim için gerekli olmadığı ancak hakların savunulması için sizin için gerekli olduğu durumlarda işlemenin sınırlandırılmasını talep etme hakkına sahipsiniz.

7.5. Veri taşınabilirliği hakkı (GDPR madde 20)

Verilerinizi yapılandırılmış, yaygın olarak kullanılan, makine tarafından okunabilir bir biçimde (örneğin, JSON veya CSV) alma ve başka bir veri sorumlusuna iletme hakkına sahipsiniz.

7.6. İtiraz hakkı (GDPR madde 21)

Meşru menfaatlerimize dayanan işlemeye itiraz etme hakkına sahipsiniz (bkz. bölüm 3). Üstün gelen meşru gerekçelerin varlığını veya işlemenin yasal taleplerin savunulması için gerekli olduğunu kanıtlamadığımız sürece işlemeyi durduracağız.

Doğrudan pazarlama söz konusu olduğunda, herhangi bir gerekçe sunmaksızın itiraz etme hakkına sahipsiniz ve bu amaçlarla işlemeyi derhal durduracağız.

7.7. Rızayı geri alma hakkı (GDPR madde 7)

İşleme rızanıza dayanıyorsa, istediğiniz zaman geri alma hakkına sahipsiniz. Rızanın geri alınması, geri almadan önce gerçekleştirilen işlemenin hukuka uygunluğunu etkilemez.

7.8. Otomatik karar vermeye tabi olmama hakkı (GDPR madde 22)

Bu tür kararlar size karşı hukuki sonuçlar doğuruyor veya benzer şekilde önemli ölçüde etkiliyor ise, yalnızca otomatik işlemeye dayanan kararlara tabi olmama hakkına sahipsiniz. Bkz. bölüm 9.

7.9. Bir denetim otoritesine şikayette bulunma hakkı (GDPR madde 77)

Veri koruma denetim otoritesine, öncelikle olağan ikamet ettiğiniz, çalıştığınız veya iddia edilen ihlalin gerçekleştiği ülkenin otoritesine şikayette bulunma hakkına sahipsiniz.

AEA denetim otoritelerinin listesi: https://edpb.europa.eu/about-edpb/about-edpb/members_en.

Ukrayna’da — Ukrayna Yüksek Konseyi İnsan Hakları Komiseri: https://www.ombudsman.gov.ua.

7.10. Haklarınızı nasıl kullanırsınız

Listelenen haklardan herhangi birini kullanmak için bir talep gönderin:

  • Platformun arayüzü aracılığıyla (belirli işlevler için — Hesabın silinmesi, veri ihracı);
  • [email protected] adresine.

Taleplere 30 (otuz) takvim günü içinde yanıt veririz. Karmaşık durumlarda bu süre, uzatma nedenleri size bildirilerek ek 60 gün uzatılabilir.

Hakların kullanımı, açıkça temelsiz veya aşırı taleplerin durumları (örneğin, tekrarlayan) hariç olmak üzere ücretsizdir, bu durumlarda makul bir ücret talep etme veya gerekçe ile yerine getirmeyi reddetme hakkına sahibiz.

Talebin işlenmesinden önce kimliğinizi doğrulamak için ek veriler talep edebiliriz. Talep, Hesaba bağlı doğrulanmış bir email’den gönderildiğinde, bu kimlik doğrulamanın faktörlerinden biri olarak dikkate alınabilir, ancak talep silme, ihraç veya kritik verilerin değişimine ilişkinse veya yetkisiz erişim riski varsa ek doğrulama talep edebiliriz.

8. Çerezler ve benzer teknolojiler

8.1. Ne kullanıyoruz

Platform esas olarak Telegram Mini App olarak çalıştığından, geleneksel «çerezler» sınırlı şekilde kullanılır. Cihazınızda veri saklamak için aşağıdaki teknolojileri kullanırız:

  • Telegram Mini App’te localStorage ve sessionStorage — dil ayarlarının, Şartların kabul göstergesinin ve arayüz önbelleğinin saklanması için;
  • teknik oturum tanımlayıcıları — yalnızca yetkilendirme için, farklı hizmetler arasında reklam izleme olmaksızın.

Diğer uygulamalarda ve web sitelerinde sizi izlemek için çerezleri kullanmıyoruz ve çerezleri reklam amaçlarıyla üçüncü şahıslara aktarmıyoruz.

8.2. Yönetim

Tarayıcı veya Telegram ayarları aracılığıyla yerel depolamayı temizleyebilirsiniz. Temizleme, bir sonraki başlatmada dili yeniden seçme ve Şartları yeniden kabul etme gerekliliğine yol açacaktır.

9. Otomatik karar verme ve profilleme

9.1. Ne yapıyoruz

Şunlar için otomatik işleme uyguluyoruz:

  • Platformun teknik çalışması (örneğin, seçilen kategori ve dile bağlı olarak İşletme Kayıtlarının gösterilmesi);
  • kötüye kullanımın tespiti (örneğin, manipülasyon, spam, dolandırıcılık göstergeleri);
  • saldırılara karşı koruma için istek frekansının sınırlandırılması (rate limiting);
  • bölgesel kısıtlamaların uygulanmasının doğrulanması (Kullanım Şartlarının 3.4 bölümü).

9.2. Ne yapmıyoruz

Yalnızca otomatik işlemeye dayalı olarak size karşı hukuki sonuçlar doğuran veya sizi benzer şekilde önemli ölçüde etkileyen otomatik kararlar almıyoruz.

Önemli sonuçları olan müdahale önlemlerinin uygulanmasına ilişkin kararlar (Hesabın kalıcı engellenmesi, bir İşletme Kaydının silinmesi) insan müdahalesiyle alınır veya talebiniz üzerine insan müdahalesiyle yeniden incelemeye tabidir. Hakkınızda yalnızca otomatik işlemeye dayalı bir karar alındığını düşünüyorsanız ve yeniden incelenmesini istiyorsanız, [email protected] adresine yazın.

10. Veri güvenliği

İşleme risklerine makul ölçüde uyan teknik ve organizasyonel önlemler uygularız:

  • iletilen verilerin şifrelenmesi (HTTPS/TLS);
  • altyapı sağlayıcısı için teknik olarak erişilebilir olan kısımda bekleyen verilerin şifrelenmesi;
  • en az yetki ilkesi uyarınca çalışanlar ve yüklenicilerin erişim sınırlandırması;
  • hassas verilere erişim günlükleri;
  • bütünlüğün düzenli olarak doğrulanması ile yedekleme kopyaları;
  • bağımlılıkların güncellenmesi ve güvenlik açıklarının denetimi;
  • yönetim hesapları için iki faktörlü kimlik doğrulama;
  • bu bölge mevcut ve yapılandırılmışsa AB bölgesinin kullanım önceliği ile uzman bir hizmet aracılığıyla hata ve olayların izlenmesi;
  • ekibin büyümesiyle birlikte kişisel veri işleme kuralları konusunda çalışan eğitimi.

10.1. Kişisel veri güvenliği ihlali bildirimi (Data Breach)

Kullanıcıların hak ve özgürlükleri için risk oluşturabilecek kişisel veri güvenliği ihlali durumunda:

  • yetkili denetim otoritesini tespit anından itibaren 72 saat içinde bilgilendiririz (GDPR madde 33);
  • ihlal yüksek bir risk oluşturuyorsa, etkilenen Kullanıcılara doğrudan ve gereksiz gecikme olmaksızın doğrulanmış email adreslerine bildirim yaparız (GDPR madde 34);
  • nedenlerini araştırır ve tekrarını önlemek için önlemler alırız.

11. Çocuklar

Platform 18 yaşın altındaki kişilere yönelik değildir. Çocuklar hakkında bilerek veri toplamıyoruz. 18 yaşın altındaki bir kişinin verilerinin Platformun kullanılması yoluyla toplandığını öğrenirsek, güvenlik nedenleriyle, kötüye kullanımın önlenmesi veya hukuki yükümlülüğün ifası için geçici olarak saklanması gereken veriler hariç olmak üzere bu tür verileri en kısa sürede sileriz.

Bir ebeveyn veya yasal temsilci iseniz ve çocuğunuzun Platforma erişim sağladığını ve bize veri ilettiğini düşünüyorsanız, [email protected] adresine yazın, verileri sileriz.

12. Politika değişiklikleri

Politikada değişiklik yapma hakkına sahibiz. Esaslı değişiklikleri, yürürlüğe girmelerinden en az 14 takvim günü önce İşletme Kaydı Sahiplerine doğrulanmış email adreslerine bildiririz. Ayrıca değişiklikler Platformda yayımlanır. Son güncelleme tarihi belgenin başında belirtilir.

Sürüm geçmişi. Politikanın güncel sürümü https://damosta.com/privacy sayfasında yayımlanır. Önceki tüm sürümler saklanır ve https://damosta.com/privacy/history sayfasındaki sürüm arşivinde kalıcı bağlantılar aracılığıyla erişilebilir. Talep üzerine size Politikanın önceki sürümleri sunulur.

13. Yargı yetkisi açıklamaları

13.1. Avrupa Birliği’ndeki kullanıcılar için

Uygulanacak veri koruma mevzuatı: GDPR ((AB) 2016/679 sayılı Tüzük) ve AEA üye devletlerinin ulusal kanunları. Denetim otoritesi: bölüm 7.9’da belirtilmiştir.

13.2. Ukrayna’daki kullanıcılar için

Uygulanacak mevzuat: Ukrayna’nın «Kişisel verilerin korunması hakkında» Kanunu. Denetim otoritesi: Ukrayna Yüksek Konseyi İnsan Hakları Komiseri.

13.3. Birleşik Krallık’taki kullanıcılar için

Uygulanacak mevzuat: UK GDPR ve Data Protection Act 2018. Denetim otoritesi: Information Commissioner’s Office (ICO).

13.4. Diğer ülkelerdeki kullanıcılar için

İkamet ettiğiniz ülkenin uygulanacak veri koruma mevzuatı, emredici normlarının uygulanabilir olduğu ölçüde.

14. Diller

Politika birden fazla dilde yayımlanmaktadır. Hukuken bağlayıcı sürüm Ukraynaca sürümdür. Çeviriler Kullanıcıların kolaylığı için sunulmuştur ve bağlayıcı sürüme üstün gelmez. Tüketici-Kullanıcının ikamet ettiği ülkenin uygulanacak emredici mevzuatı, belgenin söz konusu ülkenin resmi dilinde sunulmasını gerektiriyorsa veya seçilen dilden bağımsız olarak tüketiciye koruma sağlıyorsa, bu tür gereklilikler zorunlu kısımda yürürlükte kalır.

15. İletişim

Kişisel veri işleme sorguları için: [email protected] Veri sahibinin haklarının kullanılması: [email protected] Güvenlik olaylarına ilişkin bildirimler: [email protected] AB’deki temsilci (varsa, GDPR madde 27): gerekliliğin değerlendirilmesinden sonra belirtilecektir — bkz. bölüm 1.1 DPO (varsa): gerekliliğin değerlendirilmesinden sonra belirtilecektir — bkz. bölüm 1.2

Veri sorumlusunun hukuki bilgileri: tüzel kişiliğin tescilinden sonra belirtilecektir — bkz. docs/legal/launch_checklist.md, bölüm 3.1.

Ek A: Kısa özet (TL;DR)

Her şeyi okumaya zamanınız yoksa — en önemlisi:

  1. Telegram’dan yalnızca Telegram’ın Mini App aracılığıyla ilettiği temel verileri alıyoruz: ID, ad, kullanıcı adı, dil ve ayrıca profil fotoğrafı veya diğer teknik göstergeler — Telegram bu tür alanları iletirse.
  2. İşletme Kaydı Sahipleri için ayrıca doğrulanmış bir email adresi gereklidir — bu, resmi iletişim kanalıdır ve bir İşletme Kaydı oluşturmak için zorunludur.
  3. Bir İşletme Kaydı çerçevesinde kendi yayımladıklarınızı saklarız (metinler, fotoğraflar, kişiler).
  4. Verilerinizi satmıyoruz.
  5. Size üçüncü şahıs reklamı göstermiyoruz.
  6. Verileri reklam ağlarına aktarmıyoruz.
  7. Verileri Almanya’daki sunucularda (Frankfurt, DigitalOcean) saklıyoruz.
  8. Hizmet sağlayıcıları kullanıyoruz (Cloudflare, DigitalOcean, Resend, Sentry). Kamuya açık lansmandan önce sağlayıcıların nihai listesi, işleme bölgeleri ve veri işleme sözleşmeleri doğrulanacak ve resmileştirilecektir.
  9. Verilerinizi görme, düzeltme, silme ve bir dosyada alma hakkına sahipsiniz. [email protected] adresine yazın, talebinizi işbu Politikaya uygun olarak inceleyeceğiz.
  10. Bir şey yolunda gitmezse, [email protected] adresine yazın veya ikamet ettiğiniz ülkenin denetim otoritesine şikayette bulunun.
  11. 18 yaşın altındaysanız, Platform sizin için değildir, kullanmayın.

«DAMOSTAu Gizlilik Politikası» belgesinin sonu, sürüm 1.0 (kapalı test aşaması).

Kamuya açık lansmandan önce kapatılması gereken tüm açık kararlar docs/legal/launch_checklist.md, bölüm 3’te listelenmiştir.