Gizlilik Politikası

Veri sorumlusu

Kişisel verilerden sorumlu olan taraf: Oflu & Akyazi GbR. Adres: Straußstr. 7, 33129 Delbrück, Deutschland.

Veri sorumlusu, GDPR anlamında işleme faaliyetlerinin amaçlarını ve araçlarını belirleyen ve bunlarla ilgili kararları veren tüzel veya gerçek kişi veya yapı olarak anlaşılır.

İletişim ve veri koruma ile ilgili talepler

Genel iletişim için info@merhabamap.com adresi kullanılabilir. Veri koruma konuları, hak talepleri ve gizlilikle ilgili şikâyetler için ayrıca privacy@merhabamap.com adresi öngörülmüştür. Taleplerinizi mümkün olduğunca net ve kimlik doğrulamasına imkân verecek şekilde iletmeniz, işleme süresini kısaltır.

İşlenen veri kategorileri

Hesap oluşturma ve oturum açma sırasında e-posta adresi ve kullanıcı adı gibi kimlik verileri işlenir. E-posta/parola kimlik doğrulaması Supabase Auth üzerinden yürütülür; parola düz metin olarak işlenmez ve uygulama veritabanımızda tutulmaz. Google veya Apple ile giriş tercih edilirse ilgili sağlayıcıdan kimlik doğrulama için gerekli temel profil/e-posta verileri Supabase Auth üzerinden işlenebilir. Oturum yönetimi ve güvenlik için tarayıcı çerezleri ve oturumla bağlantılı teknik kayıtlar kullanılabilir.

Hesap güvenliği için Passkey/WebAuthn özelliği kullanıldığında, kimlik doğrulama anahtarına ilişkin teknik kayıtlar (ör. credential kimliği, açık anahtar materyali, sayaç, cihaz tipi, yedekleme bayrağı, etiket ve kullanım zamanları) kimlik doğrulama altyapısında işlenir. Bu veriler hesap güvenliği amacıyla kullanılır.

E-posta adresinizi doğrulamak ve parola sıfırlamak için tek kullanımlık güvenlik bağlantıları (token) e-posta ile gönderilebilir ve sunucuda sınırlı süreyle işlenir; buna e-posta adresi, zaman damgaları ve teknik gönderim üst verileri dahildir.

Platformda raporlama, bildirim, işletme talebi (claim), içerik önerisi veya destek süreçleri kullanıldığında, bu bağlamlarda ilettiğiniz metinler, iletişim verileri ve teknik protokol verileri işlenebilir. Doğrudan e-posta ile iletişim kurduğunuzda, gönderdiğiniz mesajın içeriği ve iletişim meta verileri (gönderim zamanı, konu başlığı vb.) işlenir.

Harita görünümünde tarayıcınızın konum iznini kullanırsanız („Konumumu kullan“ vb.), koordinatlar yalnızca cihazınızda yerel olarak görüntülemeyi desteklemek için işlenir; bu işlev sunucularımıza konumunuzu kaydetmez.

„Kayıtlı“ veya benzeri işlevler kullanıldığında, seçtiğiniz mekân tanımlayıcıları tarayıcınızda yerel olarak (ör. localStorage) saklanabilir; bu veriler sunucuya yalnızca ilgili ürün akışı açıkça böyle tasarlandıysa aktarılır. Web sitesinin güvenli sunumu için sunucu ve ağ katmanında bağlantı verileri, hata günlükleri ve sınırlı teknik analitik bilgiler oluşabilir.

Profil görseli (avatar) yüklediğinizde dosya içeriği, teknik dosya üst verileri ve kullanıcı kimliği ile ilişkili dosya yolu işlenir. Doğrudan mesaj veya grup sohbetlerinde görsel paylaştığınızda, görsel içeriği ve mesaj üst verileri (gönderici, alıcı/grup, zaman damgası) işlenir; erişim kısa süreli imzalı bağlantılarla sınırlandırılabilir.

Google Places kaynaklı mekân görselleri, uygulamanın kendi sunucu uç noktası üzerinden alınır. Bu süreçte ilgili mekân referansı ve teknik istek üst verileri Google Places API’ye aktarılabilir.

İşleme amaçları ve hukuki dayanaklar

Hesabın açılması ve sürdürülmesi, sözleşmenin kurulması ve ifası kapsamında gerekli işlemler GDPR md. 6(1)(b) uyarınca yapılır; buna güvenli hesap için gerekli olduğu ölçüde e-posta doğrulama ve parola sıfırlama da dahildir.

Google/Apple ile sosyal girişte OAuth kimlik doğrulaması için gerekli veri alışverişi, hesap erişiminin sağlanması amacıyla sözleşme ifası/ön sözleşme (GDPR md. 6(1)(b)) temelinde yürütülür; ilgili sağlayıcıların kendi veri işleme sorumlulukları ayrıca geçerlidir.

hCaptcha gibi anti-bot güvenlik önlemleri (aktif edildiği ölçüde), hesap kötüye kullanımını önleme ve platform güvenliğini sağlama amacıyla meşru menfaat (GDPR md. 6(1)(f)) temelinde uygulanır.

Bildirimlerin, taleplerin ve müşteri iletişiminin değerlendirilmesi, duruma göre sözleşmeye hazırlık veya ifa (md. 6(1)(b)) veya meşru menfaat (md. 6(1)(f)) — örneğin dolandırıcılığın önlenmesi veya hukuki iddiaların savunulması — üzerine dayanabilir.

Bilgi güvenliği, kötüye kullanımın tespiti, hizmet istikrarı ve hata giderme, GDPR md. 6(1)(f) kapsamında veri sorumlusunun meşru menfaatine dayanır; bu menfaat, kullanıcıların güvenliği ve platformun sürdürülebilir işletimi ile dengelenir. Yasal saklama veya raporlama yükümlülükleri varsa, işleme GDPR md. 6(1)(c) uyarınca yasal yükümlülüğe dayanır.

Avatar ve sohbet görsellerinin yüklenmesi/erişimi, kullanıcı tarafından talep edilen hesap ve iletişim işlevlerinin sağlanması kapsamında GDPR md. 6(1)(b) temelinde; kötüye kullanım ve güvenlik kontrolleri bakımından ek olarak md. 6(1)(f) temelinde işlenebilir.

Barındırma ve teknik hizmet sağlayıcıları

Uygulama, Netlify üzerinde oluşturulur ve barındırılır; içerik dağıtımı Netlify ağı üzerinden yapılır (ayrıntılar depo dokümantasyonunda). Kamuya açık alan adı için DNS veya CDN katmanında ek bir sağlayıcı (ör. Cloudflare) kullanılıyorsa, bağlantılar önce bu ağ üzerinden yönlendirilir; burada teknik erişim verileri ve güvenlik işlevleri devreye girebilir.

Veri katmanı hibrit olarak işletilebilir: yerler/etkinlikler gibi çekirdek içerik verileri yönetilen PostgreSQL (DigitalOcean) üzerinde, kimlik doğrulama ve sosyal özelliklerin belirli bölümleri (ör. mesajlaşma/sosyal tablolar) Supabase altyapısında işlenebilir.

Harita görünümleri istemci tarafında yüklenir. Tarayıcı, harita karolarını önce aynı alan adı altındaki kendi sunucu uç noktamız üzerinden ister; MapTiler anahtarı yalnızca barındırma ortamında tutulur.

Kimlik doğrulama altyapısı olarak Supabase Auth kullanılmaktadır (e-posta/parola, OAuth sağlayıcıları ve passkey akışları dahil). Profil avatarları Supabase Storage üzerinde tutulabilir; sohbet görselleri için özel (private) medya bucket’ları kullanılabilir. Sohbet görselleri gerektiğinde zamana bağlı imzalı bağlantılarla erişime açılır.

Google Places fotoğrafları, uygulama sunucusu üzerinden proxy edilerek alınır; bu sırada Google’a teknik istek verileri ve ilgili yer referansı iletilir. Doğrudan istemcide Google API anahtarı kullanılmaz.

E-posta iletişimi

Otomatik gönderilen işlem e-postaları (e-posta doğrulama, parola sıfırlama ve — öngörüldüğü ölçüde — raporlar ve işletme talepleriyle ilgili bildirimler) üretim ortamında Resend üzerinden iletilir; yapılandırma genelde EMAIL_TRANSPORT=resend şeklindedir. Alıcı ve gönderici adresleri, gönderim üst verileri ve mesaj içeriği işlenir. Geliştirme veya test ortamlarında e-postalar günlüğe yazılabilir veya gönderim kapalı olabilir.

Genel iletişim adreslerimize gelen iletiler, ilgili posta kutusu altyapısı kapsamında işlenir; sağlayıcı ve olası üçüncü ülke boyutu alan adı ve posta yapılandırmasına bağlıdır.

Alıcılar ve üçüncü ülke aktarımları

Kişisel veriler, platformun işletilmesi için gerekli olduğu ölçüde teknik hizmet sağlayıcılarına aktarılır. Buna özellikle barındırma/CDN (Netlify ve varsa Cloudflare), veritabanı (DigitalOcean Managed PostgreSQL), kimlik doğrulama ve medya depolama (Supabase), işlem e-postası iletimi (Resend), harita sağlayıcıları (MapTiler) ve Google Places görsel akışları dahil olabilir.

Google veya Apple ile giriş yapıldığında, ilgili OAuth sağlayıcısı kimlik doğrulama sürecinde bağımsız veri sorumlusu olarak da işlem yapabilir. Aynı şekilde hCaptcha (aktif edildiği ölçüde) bot koruması amacıyla teknik veriler işleyebilir.

Bir sağlayıcının verileri AB/AEA dışında işlemesi hâlinde, aktarım yalnızca GDPR bölüm V koşullarında yapılır (ör. yeterlilik kararı, standart sözleşme maddeleri veya md. 49’daki sıkı istisnalar). Somut işleme lokasyonları, sağlayıcının proje ve barındırma yapılandırmasına bağlıdır ve değişebilir. Makul talep hâlinde hangi güvencelerin geçerli olduğu, yasal sınırlar içinde paylaşılabilir.

Çerezler ve benzeri teknolojiler

Oturum ve kimlik doğrulama için Supabase Auth tarafından yönetilen teknik oturum çerezleri kullanılır. Dil seçici kullanıldığında NEXT_LOCALE çerezi ayarlanabilir. Bu teknolojiler hizmetin talep edilen işlevlerini sağlamak için teknik olarak gereklidir.

Giriş, kayıt, parola sıfırlama veya doğrulama e-postası yeniden gönderme gibi hesap güvenliği akışlarında hCaptcha kullanılabilir. Bu entegrasyon kapsamında hCaptcha tarafından teknik çerezler veya benzeri depolama mekanizmaları kullanılabilir; amaç bot ve kötüye kullanımın azaltılmasıdır.

Kayıtlı mekân listesi gibi veriler tarayıcıda localStorage ile tutulabilir. Ön yüzde, isteğe bağlı çerezlerle davranışsal izleme yapan reklam veya analiz ağı betikleri kullanılmamaktadır; bu değişirse politika ve gerekirse onay mekanizmaları önceden güncellenir.

İletişim kanalları

Şu anda ayrı bir bülten veya genel iletişim formu sunulmamaktadır. İletişim öncelikle e-posta ile yapılır. İleride formlar veya bültenler eklenirse, ilgili veri işleme bu metinde veya ayrı bilgilendirmelerde açıklanır.

Sorunlu içeriklerin bildirilmesi ve platform önlemleri

MerhabaMap, kullanıcı ve üçüncü taraflarca eklenen içerikleri (mekân, etkinlik, metinler) bir araya getirir. Yayındaki mekân ve etkinlikler için arayüzde raporlama işlevleri bulunur; uygun olduğunda işletme talebi (claim) ve benzeri süreçler kullanılabilir. Etkili inceleme için bağlantı veya ad, kısa ve tarafsız özet ve varsa kanıt önerilir.

Bildirimler, örgütsel ve teknik imkânlar çerçevesinde önceliklendirilerek incelenir; yanıt için sabit süre taahhüt edilmez. Hukuka veya kullanım ve topluluk kurallarına aykırı içerikler düzenlenebilir, kısıtlanabilir veya kaldırılabilir; hesaplara yönelik önlemler (ör. askıya alma) ağırlık ve tekrara göre orantılı olabilir. Belirli usuller için yasal süreler varsa bunlara uyulur.

Veri koruma başvuruları yalnızca privacy@merhabamap.com adresine iletilmelidir. Diğer hukuki veya editoryal başvurular, iletişim sayfası ve bu metinde yer alan e-posta adresleri üzerinden yapılabilir.

Saklama süreleri

Kişisel veriler, ilgili işleme amacının gerektirdiği süre boyunca ve yasal saklama süreleri (örneğin ticaret veya vergi hukuku) çerçevesinde tutulur. Hesap silindiğinde, silme yükümlülükleri ile çakışmayan veriler genellikle silinir veya anonimleştirilir; yasal olarak saklanması gereken kayıtlar istisna oluşturabilir.

Avatar dosyaları, kullanıcı tarafından değiştirildiğinde veya kaldırıldığında teknik olarak makul süre içinde depolamadan temizlenir; sohbet görselleri ve mesaj içerikleri ise ilgili sohbet/veri kaydı silinmediği sürece veya yasal saklama gereği bulunduğu sürece tutulabilir. Kısa ömürlü imzalı erişim bağlantıları kalıcı depolama yerine geçmez.

Tarayıcıda yerel saklanan veriler, yalnızca kullanıcının cihazında kalır ve tarayıcı ayarlarından veya önbelleği temizleyerek kaldırılabilir.

Hesap silme ve veri dışa aktarma

Hesabınızı profil ayarları üzerinden kalıcı olarak silebilirsiniz. Bu işlem sırasında kimlik doğrulama hesabınız silinir ve profil verileriniz (ad, e-posta, kullanıcı adı, biyografi, profil resmi) geri döndürülemez biçimde anonimleştirilir. Yasal saklama yükümlülüklerine tabi veriler (ör. moderasyon kayıtları) anonim biçimde saklanabilir.

Hesabınız kısıtlanmış olsa bile silme ve dışa aktarma haklarınızı kullanabilirsiniz.

Verilerinizi JSON formatında dışa aktarabilirsiniz. Dışa aktarma, profilinizi, takip listelerinizi, koleksiyonlarınızı, kaydedilmiş öğelerinizi, yorumlarınızı, taleplerinizi ve bildirdiğiniz meldungları kapsar.

Haklarınız

GDPR kapsamında, kişisel verilerinizin işlenip işlenmediğini öğrenme, işleniyorsa buna ilişkin bilgi talep etme, yanlış veya eksik verilerin düzeltilmesini isteme, belirli koşullarda silinmesini veya işlenmesinin kısıtlanmasını talep etme, meşru menfaate dayalı işlemeye itiraz etme ve — sözleşmeye dayalı veya otomatik işlenen verilerde — veri taşınabilirliği hakkına sahipsiniz.

İtiraz, silme veya erişim taleplerinde hesabın güvenliği için makul kimlik doğrulaması istenebilir. Yalnızca teknik olarak gerekli çerezlere dayanan işlemlerde rıza geri alma mekanizması her zaman uygulanmayabilir; ancak tarayıcı ayarlarınız üzerinden yerel depolamaları yönetebilirsiniz.

Bu hakların kullanımı ücretsizdir; ancak açıkça temelsiz veya aşırı tekrarlayan taleplerde, GDPR md. 12 uyarınca makul bir ücret veya talebin reddi söz konusu olabilir.

Şikâyet hakkı

Veri işlemesinden şikâyet etme hakkına sahipsiniz. Şikâyet, ikamet ettiğiniz üye devletin, çalıştığınız yerin veya iddia edilen ihlalin gerçekleştiği yerin denetim otoritesine yapılabilir. Veri sorumlusunun bulunduğu eyaletteki denetim otoritesi de yetkili olabilir.