Gizlilik politikası

1. Kim olduğumuz (veri sorumlusu)

Bu web sitesi (ve ilgili hizmetler) ELSOUL LABO B.V. (Amsterdam, Hollanda) ("biz", "bize", "bizim") tarafından işletilmektedir.
Ticaret Odası (KvK) numarası: 80297625
Gizlilik iletişimi: [email protected]
GDPR'nin 37. maddesi uyarınca bir Veri Koruma Görevlisi (DPO) atanmasının zorunlu olduğu kuruluş kategorilerine girmiyoruz. Bu değerlendirmeyi 37(1). madde uyarınca her yıl yeniden gözden geçiriyoruz.

2. Bu politikanın kapsamı

Bu politika, aşağıdaki durumlarda geçerlidir:
  • oturum açmadan herkese açık web sitelerimize göz attığınızda ve
  • kimlik doğrulaması gerektiren yalnızca üyelere özel özellikleri (örneğin, ERPC panoları / hesap özellikleri) kullandığınızda.

3. İşlediğimiz veriler

3.1 Herkese açık sayfalar (oturum açma gerektirmez)

Herkese açık sayfalarda, sitenin nasıl kullanıldığını toplu olarak anlamak ve böylece sitemizi iyileştirmek için Google Analytics 4 (GA4) kullanırız. Analiz yalnızca sizin onayınızla çalışır: Google Consent Mode v2 kapsamında analiz depolaması varsayılan olarak reddedilir, dolayısıyla siz Kabul Et'i seçene kadar hiçbir analiz çerezi veya tanımlayıcısı ayarlanmaz. Reddederseniz (Reddet), hiçbir analiz çerezi ayarlanmaz. Analizi yalnızca ürün iyileştirmesi için kullanırız — reklam yok, reklam hedefleme yok ve verilerinizi asla satmayız — ve IP adresleri anonimleştirilir. Seçiminizi istediğiniz zaman "Çerez ayarları" (Cookie settings) aracılığıyla değiştirebilir veya geri çekebilirsiniz.
Ancak, web sitesini sağlamak için barındırma/CDN sağlayıcıları gibi altyapı sağlayıcıları, güvenlik ve olay müdahalesi amacıyla aşağıdaki gibi teknik erişim günlüklerini işleyebilir:
  • IP adresi ve kullanıcı aracısı (tarayıcı/OS, vb.)
  • zaman damgası, talep edilen URL, yönlendiren
  • yanıt durumu ve güvenlikle ilgili meta veriler
Barındırma ve CDN sağlayıcımız olarak Cloudflare kullanıyoruz, ancak Cloudflare'in davranışsal analiz ürünlerini kullanmıyoruz. Cloudflare'in rolü altyapı operasyonuyla sınırlıdır; davranışsal izleme bu kapsamın bir parçası değildir.

3.2 İletişim

Bizimle e-posta yoluyla iletişime geçerseniz, yanıt vermek için sağladığınız bilgileri (e-posta adresiniz ve mesajınız gibi) işleriz.

3.3 Üye hesapları / oturum açma gerektiren hizmetler

Bir hesap oluşturursanız veya oturum açarsanız (örneğin, Discord aracılığıyla), hizmeti sağlamak için aşağıdakileri işleyebiliriz:
  • hesap tanımlayıcıları (örneğin, e-posta adresi, Discord kullanıcı kimliği, kullanıcı adı)
  • kimlik doğrulama/oturum bilgileri (örneğin, token'lar, API anahtarları)
  • hizmeti sağlamak için gerekli hizmet yapılandırması ve kullanımı (örneğin, plan, abonelik durumu, izin verilen IP'ler, hız sınırı ve kötüye kullanımı önleme günlükleri)
  • destek geçmişi ve iletişimler

Kullanım analizi (müşteri desteği ve hizmet kalitesi)

Amaç: Hizmet kalitesini iyileştirmek ve müşteri desteği sağlamak için, üye hizmetlerinde oturum açtığınız sırada gerçekleştirdiğiniz sayfa gezinme, özellik kullanımı ve etkileşim olaylarının günlüklerini toplayabilir ve bunları dahili olarak analiz edebiliriz.
Yasal dayanak: GDPR Madde 6(1)(f) — güvenilir müşteri desteği sağlama ve hizmeti iyileştirme konusunda tarafımızca güdülen meşru menfaatler. Bu menfaatleri haklarınız ve özgürlüklerinizle dengeleyen bir Meşru Menfaat Değerlendirmesi (LIA) gerçekleştirdik; LIA talep üzerine sunulabilir.
Topladıklarımız:
  • Sayfa geçişleri (pano gezinme yolları, kaynak tanımlayıcılarını kaldırmak için normalleştirilmiştir — örneğin /user/baremetal/<actual-id> değil /user/baremetal/:id)
  • Özellik kullanım kategorileri (kaynak yönetimi, ayar değişiklikleri, kimlik doğrulama, vb. — tam liste bu madde ile birlikte tutulur)
  • Belirli bir kaynak üzerinde bir eylem gerçekleştirdiğinizde dahili kaynak tanımlayıcıları (örneğin baremetal/VPS/RPC örnek kimlikleri), sayfa geçişi olaylarıyla aynı saklama süresi boyunca dahili takma adlar olarak saklanır
  • İşlem zaman damgaları
  • Cihaz ailesi + ana sürüm, tarayıcı ailesi + ana sürüm ve yerel ayar
  • IP adresleri, yalnızca tuzlanmış bir karma olarak saklanır (tuz asla döndürülmez ve birinci kademe bir sır olarak tutulur)
Toplamadıklarımız:
  • İstek gövdeleri
  • Arama sorgu dizeleri
  • API anahtarları veya kimlik doğrulama token'ları
  • Ham IP adresleri
Alıcılar / işlemciler: Cloudflare, Inc. (Amerika Birleşik Devletleri), bir Veri İşleme Sözleşmesi ve AB Standart Sözleşme Hükümleri (SCC'ler) kapsamında bu günlüklerin depolanması ve işlenmesi için veri işleyenimiz olarak hareket eder. Bu aktarım için bir Aktarım Etki Değerlendirmesi (TIA) belgelenmiştir. Uluslararası aktarımlarla ilgili daha fazla ayrıntı için Bölüm 7'ye bakın.
Yasal veya benzer şekilde önemli etkiye sahip otomatik karar verme yoktur: Dahili destek personeli için davranış kalıplarını özetlemek amacıyla AI destekli analiz kullanabiliriz, ancak üzerinizde yasal etkisi olan veya sizi benzer şekilde önemli ölçüde etkileyen otomatik bir karar verilmez (GDPR Madde 22).
Saklama: Bu amaçla toplanan günlükler kural olarak 30 gün içinde silinir (bkz. Bölüm 8).
İtiraz hakkı: GDPR Madde 21 uyarınca, [email protected] adresiyle iletişime geçerek bu işlemeye istediğiniz zaman itiraz edebilirsiniz. Haklarınızı geçersiz kılan zorlayıcı meşru gerekçeler ortaya koymadığımız sürece, verilerinizi bu amaçla işlemeyi durduracağız.
Silme hakkı: Madde 17 kapsamında bir silme talebi üzerine, sizinle ilişkili tüm olayları, oturumları ve mevcudiyet durumunu sileriz. Güvenlik ve hesap verebilirlik amacıyla Madde 6(1)(f) uyarınca denetim günlüğümüzde takma adlaştırılmış bir kayıt (kullanıcı tanımlayıcınızın ayrı bir anahtarla HMAC-SHA256'sı) 12 aya kadar saklarız. Bu takma adlaştırılmış kayıt, GDPR Madde 4(1) anlamında kişisel veri olmaya devam eder.
Veri Koruma Etki Değerlendirmesi (DPIA): Bu işleme için bir DPIA tamamlanmıştır (GDPR Madde 35). [email protected] adresine talep üzerine sunulabilir.
Etkinleştirme durumu: Bu kullanım analizi hattı şu anda yalnızca hazırlık (staging) ortamımızda aktiftir. Üretim ortamında etkinleştirme, Faz 0 dokümantasyonunun (DPIA / LIA / ROPA) tamamlanmasına ve bir özellik bayrağının değiştirilmesine bağlıdır ve bu Gizlilik Politikası'nın yayın tarihinden bağımsız bir zaman çizelgesinde gerçekleşir. Bu Gizlilik Politikası sürümünün yayınlanması, öngörülen işleme için GDPR Madde 13 bilgilendirmemizi oluşturur.

3.4 Ödemeler (Stripe)

Ücretli planlar için ödemeler Stripe tarafından işlenir. Ödeme kartı bilgilerini saklamıyoruz.
Stripe, ödemeyle ilgili kişisel verileri bağımsız bir veri sorumlusu olarak işler. Faturalandırma ve sözleşme yönetimi için gerekli olduğu ölçüde, Stripe'tan müşteri kimlikleri, abonelik durumu, faturalar/makbuzlar ve ödeme meta verileri gibi bilgileri alabiliriz.

4. Amaçlar ve yasal dayanaklar (GDPR)

Kişisel verileri yalnızca yürürlükteki yasalar (GDPR dahil) kapsamında aşağıdaki gibi bir yasal dayanağımız olduğunda işleriz:
  • Sözleşme: üye hizmetleri sağlama, hesap yönetimi ve destek
  • Meşru menfaatler: web sitelerimizi/hizmetlerimizi işletme ve sürdürme, güvenlik, dolandırıcılık/kötüye kullanım önleme, sorun giderme
  • Yasal yükümlülük: muhasebe ve vergi uyumu ve diğer yasal gereklilikler
  • Onay: geçerli olduğu durumlarda isteğe bağlı iletişimler (örneğin, pazarlama) ve analiz/ölçüm çerezleri (Google Analytics 4) (onayınızı istediğiniz zaman geri çekebilirsiniz; analiz için "Çerez ayarları" (Cookie settings) aracılığıyla)

5. Çerezler ve benzer teknolojiler

  • Analiz (isteğe bağlı, onaya dayalı): GA4, analiz çerezlerini (örneğin _ga, _ga_<id>) yalnızca onayınızdan sonra ayarlar; varsayılan olarak kapalıdır (Consent Mode v2). Reddet seçeneği, Kabul Et ile eşit derecede belirgin biçimde sunulur. Onayınızı istediğiniz zaman "Çerez ayarları" (Cookie settings) aracılığıyla geri çekebilirsiniz. Veriler toplu olup IP adresleri anonimleştirilir; asla reklam için kullanılmaz veya satılmaz.
  • Üye özellikleri: oturumunuzu açık tutmak için kesinlikle gerekli çerezleri (örneğin, oturumlar) kullanırız. Bunları devre dışı bırakmak bazı işlevleri bozabilir.
  • Üçüncü taraf hizmetleri: Stripe ve Discord kendi çerezlerini/teknolojilerini kullanabilir (bizim kontrolümüz dışında).

6. Paylaşım ve işleyenler

Kişisel verileri satmıyoruz.
Gerekli olduğu ölçüde kişisel verileri hizmet sağlayıcılarla (örneğin, barındırma/altyapı (Cloudflare, Inc.), e-posta teslimatı, ödemeler (Stripe), kimlik doğrulama (Discord), analiz (Google)) paylaşabiliriz. Bu tür sağlayıcılarla yürürlükteki yasalara uygun olarak veri işleme sözleşmeleri (DPA'lar) yaparız.

7. Uluslararası aktarımlar

Avrupa Ekonomik Alanı (AEA) merkezliyiz, ancak hizmet sağlayıcılarımız (örneğin, Stripe, Discord, Google) ve altyapı konumlarımız AEA dışında (örneğin, Amerika Birleşik Devletleri) işleme yapılmasını içerebilir.
Bu gibi durumlarda, Standart Sözleşme Hükümleri (SCC'ler) gibi uygun güvenceler kullanır ve aktarılan verileri en aza indiririz. Yüksek riskli kabul edilen yargı bölgelerinde kişisel verileri kasıtlı olarak aktarma veya saklama amacıyla hizmet sağlayıcıları kullanmayız.
Bölüm 3.3'te açıklanan yeni kullanım analizi işlemesi için işleyenimiz Cloudflare, Inc.'tir (merkezi Amerika Birleşik Devletleri'nde). Cloudflare AB bölgesi edge altyapısı sağlasa da, yürürlükteki ABD yasaları (örneğin CLOUD Act) kapsamında ABD ana şirketinin erişimi uluslararası bir aktarım olarak değerlendirilir.
Bazı işlemeler Amerika Birleşik Devletleri'ne aktarımı içerir (Cloudflare). Bu tür aktarımlar AB-ABD Veri Gizliliği Çerçevesi yeterlilik kararı (10 Temmuz 2023 tarihli Komisyon Uygulama Kararı (AB) 2023/1795) kapsamındadır ve ayrıca Standart Sözleşme Hükümleri ile korunmaktadır. Bu aktarım için birincil mekanizma olarak Cloudflare Veri İşleme Eki kapsamında dahil edilen Avrupa Komisyonu'nun 2021/914 Standart Sözleşme Hükümleri, Modül 2'ye (veri sorumlusundan veri işleyene) ve ikincil bir güvenlik ağı olarak 2023 AB-ABD Veri Gizliliği Çerçevesi yeterlilik kararına dayanıyoruz. Ek teknik önlemleri (beklemede ve aktarımda şifreleme, erişim denetimi, herkese açık bucket erişimi yok) belgeleyen bir Aktarım Etki Değerlendirmesi (TIA) gerçekleştirdik.

8. Saklama

Kişisel verileri yalnızca yukarıda açıklanan amaçlar için gerekli olduğu sürece saklarız:
  • teknik günlükler: güvenlik/sorun giderme için sınırlı bir süre saklanır
  • analiz verileri: Google Analytics tarafından sınırlı bir süre boyunca (GA4 saklama ayarımıza göre) saklanır ve yalnızca toplu olarak kullanılır
  • hesap verileri: hesabınız aktif olduğu sürece saklanır; kapatma sonrasında uygun olduğunda silinir veya anonimleştirilir
  • muhasebe/faturalandırma: Hollanda yasalarının gerektirdiği süre boyunca saklanır (genellikle 7 yıl), vb.
  • Kullanım analizi günlükleri (Bölüm 3.3): kural olarak 30 gün içinde silinir.
  • Günlük toplu kullanım özetleri (Bölüm 3.3): dahili trend analizi için kullanılarak 90 güne kadar saklanır.
  • Denetim günlükleri (silme taleplerinin ve erişim denetiminin kayıtları; kullanıcı tanımlayıcıları HMAC takma adları olarak saklanır — takma adlı kişisel veriler, anonim değil): 12 aya kadar saklanır (GDPR Madde 6(1)(f) kapsamında meşru menfaat).
  • Ölü mektup kuyruğu (dead-letter queue) inceleme bucket'ı (Bölüm 3.3): 7 güne kadar saklanır, erişim belirlenmiş yöneticilerle sınırlıdır.

9. Haklarınız

Konumunuza ve yürürlükteki yasalara (GDPR dahil) bağlı olarak, aşağıdakileri talep etme hakkına sahip olabilirsiniz:
  • erişim, düzeltme, silme
  • işlemenin kısıtlanması, itiraz
  • veri taşınabilirliği
  • onayın geri çekilmesi (işlemenin onaya dayalı olduğu durumlarda)
Haklarınızı kullanmak için [email protected] adresinden bizimle iletişime geçin. Ayrıca Hollanda denetim makamına (Autoriteit Persoonsgegevens) veya yerel makamınıza şikayette bulunma hakkına da sahipsiniz.
Üzerinizde yasal veya benzer şekilde önemli etkiler doğuran otomatik karar verme veya profilleme yapmıyoruz.

10. Değişiklikler

Bu politikayı zaman zaman bu sayfada yeni bir sürüm yayınlayarak güncelleyebiliriz.
Son güncelleme: 2026-06-24