Hukuki bilgiler
Bu metin, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve Almanya Federal Veri Koruma Yasası (BDSG) çerçevesinde, MerhabaMap kullanımı sırasında kişisel verilerin hangi kapsamda, hangi amaçlarla ve hangi hukuki dayanaklarla işlendiğini açıklar. Kullanım koşulları, topluluk kuralları ve çerez bilgilendirmesine site altbilgisinden ulaşılabilir. Veri sorumlusu, aşağıda kimlik bilgileri yer alan işletendir. Metin, mevcut ürün ve teknik mimariye göre hazırlanmıştır; işlevler genişledikçe güncellenmelidir. Stand: Haziran 2026.
Kişisel verilerden sorumlu olan taraf: Oflu & Akyazi GbR. Adres: Borchener Str. 2, 33098 Paderborn, Deutschland.
Veri sorumlusu, GDPR anlamında işleme faaliyetlerinin amaçlarını ve araçlarını belirleyen ve bunlarla ilgili kararları veren tüzel veya gerçek kişi veya yapı olarak anlaşılır.
Genel iletişim için info@merhabamap.com adresi kullanılabilir. Veri koruma konuları, hak talepleri ve gizlilikle ilgili şikâyetler için ayrıca privacy@merhabamap.com adresi öngörülmüştür. Taleplerinizi mümkün olduğunca net ve kimlik doğrulamasına imkân verecek şekilde iletmeniz, işleme süresini kısaltır.
Hesap oluşturma ve oturum açma sırasında e-posta adresi ve kullanıcı adı gibi kimlik verileri işlenir. E-posta/parola kimlik doğrulaması Supabase Auth üzerinden yürütülür; parola düz metin olarak işlenmez ve uygulama veritabanımızda tutulmaz. Google veya Apple ile giriş tercih edilirse ilgili sağlayıcıdan kimlik doğrulama için gerekli temel profil/e-posta verileri Supabase Auth üzerinden işlenebilir. Oturum yönetimi ve güvenlik için tarayıcı çerezleri ve oturumla bağlantılı teknik kayıtlar kullanılabilir.
Hesap güvenliği için Passkey/WebAuthn özelliği kullanıldığında, kimlik doğrulama anahtarına ilişkin teknik kayıtlar (ör. credential kimliği, açık anahtar materyali, sayaç, cihaz tipi, yedekleme bayrağı, etiket ve kullanım zamanları) kimlik doğrulama altyapısında işlenir. Bu veriler hesap güvenliği amacıyla kullanılır.
E-posta adresinizi doğrulamak ve parola sıfırlamak için tek kullanımlık güvenlik bağlantıları (token) e-posta ile gönderilebilir ve sunucuda sınırlı süreyle işlenir; buna e-posta adresi, zaman damgaları ve teknik gönderim üst verileri dahildir.
Platformda raporlama, bildirim, işletme talebi (claim), içerik önerisi veya destek süreçleri kullanıldığında, bu bağlamlarda ilettiğiniz metinler, iletişim verileri ve teknik protokol verileri işlenebilir. Doğrudan e-posta ile iletişim kurduğunuzda, gönderdiğiniz mesajın içeriği ve iletişim meta verileri (gönderim zamanı, konu başlığı vb.) işlenir.
Cihazınızın konum işlevini kullanırsanız (ör. „Konumumu kullan“, mobil haritada hızlı erişim veya onboarding sırasında şehir seçimi), tarayıcınız tarafından sağlanan koordinatlar, sunucumuzda en yakın şehri belirleyip size önerebilmemiz için sunucuya iletilir. Bu koordinatları kendi uygulama tablolarımızda saklamayız; ancak diğer sunucu istekleri gibi, ilgili koordinatlar barındırma ve veritabanı altyapı sağlayıcılarımızın teknik günlüklerinde geçici olarak görünebilir ve oradaki saklama süresine göre döner. Tarayıcı veya cihaz izinlerinden konum sorgusunu istediğiniz zaman reddedebilir veya geri alabilirsiniz.
„Kayıtlı“ veya benzeri işlevler kullanıldığında, seçtiğiniz mekân tanımlayıcıları tarayıcınızda yerel olarak (ör. localStorage) saklanabilir; bu veriler sunucuya yalnızca ilgili ürün akışı açıkça böyle tasarlandıysa aktarılır. Web sitesinin güvenli sunumu için sunucu ve ağ katmanında bağlantı verileri, hata günlükleri ve sınırlı teknik analitik bilgiler oluşabilir.
Profil görseli (avatar) yüklediğinizde dosya içeriği, teknik dosya üst verileri ve kullanıcı kimliği ile ilişkili dosya yolu işlenir. Messaging içinde görsel paylaşımı her bağlam için geçerli değildir; desteklenen doğrudan veya grup mesaj bağlamlarında gönderdiğiniz görsellerde görsel içeriği ve mesaj üst verileri (gönderici, alıcı/grup, zaman damgası) işlenir — topluluğa üyelikle ilişkilendirilen mevcut sohbette ise ürün kapsamı şu anda yalnızca metni öngörür. Erişim kısa süreli imzalı bağlantılarla sınırlandırılabilir.
Google Places kaynaklı mekân görselleri, uygulamanın kendi sunucu uç noktası üzerinden alınır. Bu süreçte ilgili mekân referansı ve teknik istek üst verileri Google Places API’ye aktarılabilir.
Platform üzerinde gönderi (post) oluşturduğunuzda aşağıdaki veriler işlenir: gönderi metni, yüklenen görseller, oluşturulma zamanı ve bağlantılı mekân, etkinlik veya — işlevi kullanıyorsanız — yayımlanmış bir topluluk bağlamı için referans.
Gönderiler, mekân ve etkinlik gönderilerine benzer şekilde platform içinde diğer kullanıcılara görünür olabilir; ilgili gönderi, liste veya akış arayüzünün öngördüğü ölçüde diğer yayımlanmış gönderilerle birlikte yer alabilir. Herkese açık topluluk ayrıntı sayfasında „Gönderiler“ sekmesindeki liste, ürünün orada öngördüğü erişim kurallarına tabidir: tipik olarak yalnızca ilgili topluluğun etkin üyelerine açıktır; oturum açmamış veya etkin üyelik bulunmayan ziyaretçiler bu sekmeyi orada görmez. Tekil gönderilerin altında, sunulduğu yerlerde ve oturum açıkken yorumlar görüntülenebilir ve kullanılabilir.
Gönderilerin işlenmesi, topluluk etkileşimi ve platform hizmetinin sunulması amacıyla GDPR md. 6(1)(b) (sözleşme ifası) kapsamında gerçekleşir. Görseller Supabase Storage üzerinde saklanır. Hesap silindiğinde gönderi görselleri depolamadan best-effort yöntemiyle kaldırılır ve yazar referansı anonimleşmiş profil yer tutucusuna bağlanır; gönderi metninin kendisi, üçüncü kişilerin thread'leri, listeleri ve feed'lerinde boşluk oluşmaması için saklanır.
Mesaj alanları (örn. doğrudan mesajlar, grup sohbetleri ve topluluk üyeliğine bağlı üye sohbetleri — ürün kurallarına tabi) farklı işlevler sunabilir ve Supabase altyapısında tutulur. İşlenen veriler, sunulan modele göre tipik olarak mesaj metni, gönderici kimliği, alıcı/grup bilgisi ve zaman damgasıdır; görsel veya diğer medya dosyaları yalnızca bu işlevin ilgili sohbet türü için fiilen açıldığı yerlerde işlenir; doğrudan ve grup sohbetlerinde isteğe bağlı olarak sesli mesajlar (ses kaydı) da gönderilebilir. Topluluk üye sohbetinin mevcut kapsamı metin mesajlarını kapsar; bu topluluk bağlantılı sohbet için medya ekleri şu anda etkin değildir. Doğrudan mesajlar yalnızca konuşmanın taraflarına; grup ve üye sohbet mesajları ise yetkili üyelere görünür — topluluk sayfasına giren her ziyaretçiye açık genel bir sohbet akışı olarak tasarlanmamıştır.
Mesajlaşma hizmeti, kullanıcılar arası iletişimin sağlanması amacıyla GDPR md. 6(1)(b) kapsamında işlenir. Hesap silindiğinde gönderici kimliği anonimleştirilmiş profil yer tutucusuna bağlanır; mesaj içerikleri kaldırılmaz, çünkü diğer katılımcıların konuşma geçmişinin de parçasıdır ve onların bütüncül bir konuşmaya sahip olma hakkı tek taraflı silmeyle kısıtlanmamalıdır. Tekil mesajlar — hesap silmeden bağımsız olarak — bir bildirim çerçevesinde moderasyon ekibi tarafından nötrleştirilebilir (bir sonraki paragrafa bakın).
Kullanıcılar, kural ihlali şüphesi taşıyan tekil mesajları veya sohbetleri platform içi bildirim işlevi üzerinden moderasyon ekibine iletebilir. Bildirilen bir konuşma kontekstinde moderasyon ekibi gerekli gördüğünde (i) tekil mesajları içerik yerine nötr bir işaretçiyle değiştirerek kaldırabilir, (ii) ilgili grup sohbetini yeni mesajlara kapatabilir (geçmiş okunabilir kalır), (iii) grup üyelerini gruptan çıkarabilir veya (iv) bir kullanıcının tüm sohbet özelliklerini (doğrudan mesajlar ve grup sohbetleri) küresel olarak kısıtlayabilir. Bu tedbirler yalnızca sohbete yöneliktir; uygulamanın diğer işlevlerine erişim ve hesap oturumu aynen sürer. Hukuki dayanak, platform güvenliği, kötüye kullanımın önlenmesi ve diğer kullanıcıların korunmasına ilişkin meşru menfaatimizdir (GDPR md. 6(1)(f)) ve — DSA kapsamında — bu tür tedbirlerin dokümante edilmesi yükümlülüğümüzdür.
Doğrudan veya grup sohbetlerinde gönüllü olarak konumunuzu paylaşırsanız (anlık görüntü veya süre sınırlı canlı konum), ilettiğiniz GPS koordinatlarını, isteğe bağlı olarak cihazın bildirdiği doğruluk bilgisini ve mesaj üst verilerini (gönderici, sohbet, zaman damgası) işleriz. Canlı konumlar seçtiğiniz süre sonunda otomatik olarak sona erer; kaydedilen koordinatlar, mesaj olağan sohbet saklama süresi içinde kaldırılana veya anonimleştirilene kadar sohbet geçmişinde kalır. Paylaşım cihaz konum izni gerektirir ve isteğe bağlıdır. Hukuki dayanak GDPR md. 6(1)(b) (iletişim işlevi)'dir.
Doğrudan veya grup sohbetlerinde sesli mesaj kaydedip gönderirseniz, ses dosyasını (kayıt içeriği), teknik üst verileri (ör. süre, dosya biçimi) ve mesaj üst verilerini (gönderici, sohbet, zaman damgası) işleriz. Kayıt cihazınızın mikrofon iznini gerektirir ve isteğe bağlıdır. Ses dosyaları özel depolamada tutulur; yetkili sohbet katılımcılarına erişim kısa ömürlü imzalı bağlantılarla sınırlandırılabilir. Hukuki dayanak GDPR md. 6(1)(b) (iletişim işlevi)'dir.
Bir mekânın sahipliğini talep ettiğinizde, doğrulama amacıyla ad, e-posta adresi, telefon numarası ve açıklama metni gibi iletişim ve kimlik bilgileri işlenir. Bu veriler GDPR md. 6(1)(b) (sözleşme ifası / ön sözleşme) kapsamında, mekân sahipliğinin doğrulanması amacıyla işlenir.
İsteğe bağlı olarak en fazla üç kanıt dosyası (PDF, JPEG veya PNG; her biri 10 MB'a kadar) yükleyebilirsiniz — örneğin işletme kaydı, ticaret sicil örneği veya işletme adresli bir fatura. Bu dosyalar özel (private) depolama alanında tutulur, yalnızca moderasyon ekibine kısa ömürlü imzalı bağlantılarla açılır ve claim kararının (kabul veya red) üzerinden 90 gün geçtikten sonra depolamadan ve veritabanından otomatik olarak silinir. Hesap silinirse, henüz karar verilmemiş taleplere ait dosyalar da kaldırılır.
Onboarding sırasında isteğe bağlı olarak tercihlerinizi (ör. tercih edilen şehir/bölge, ilgilendiğiniz kategoriler, profil görünürlüğü) belirtebilirsiniz. Bu bilgiler size uygun içerik önermek, profil alanlarını anlamlı şekilde önceden doldurmak ve — tercih ederseniz — etkinliklerinizi diğer kullanıcılara göstermek için kullanılır. Hukuki dayanak, talep ettiğiniz profil işlevinin sağlanması için gerekli olduğu ölçüde GDPR md. 6(1)(b) (sözleşme ifası)'dır.
Profil görünürlüğünüzü „herkese açık“ (PUBLIC) ve „özel“ (PRIVATE) arasında değiştirebilirsiniz. Herkese açık profilde profil bilgileri, gönderiler ve takipçi/takip listeleri diğer kullanıcılar tarafından görülebilir. Özel profilde bu bilgiler genellikle herkese açık değildir; belirli teknik üst veriler (ör. kullanıcı kimliği, hesabın varlığı) işletim nedenleriyle işlenmeye devam edebilir. Görünürlüğü ayarlardan istediğiniz zaman değiştirebilirsiniz.
Başkalarını takip ettiğinizde, takip isteği gönderdiğinizde veya başka kişileri engellediğinizde, ilgili ilişki ve durum verilerini (ör. takipçi/takip ettiği ilişkisi, istek durumu, engelleme durumu, eylem zaman damgası) işleriz. Bu veriler talep edilen sosyal işlevlerin sağlanması amacıyla işlenir (GDPR md. 6(1)(b)).
Platform kapsamında sizi güvenlik ve hesap ile ilgili olaylar (ör. Passkey ile giriş, parola sıfırlama, tamamlanan doğrulamalar, işletme talebi durum değişiklikleri, moderasyon kararları) ve platform içi etkinlikler (ör. yeni takipçiler, gönderilere yanıtlar, anılmalar, tepkiler) hakkında bilgilendirebiliriz. Kanallar ve içerik, tetikleyen işleve göre değişebilir; örneğin Community üye sohbetinde sohbet içeriğine ilişkin mobil push veya içerik ön izlemeli bildirim şu an kullanılmıyor. İşleme, kullanım sözleşmesinin ifası (GDPR md. 6(1)(b)) ve — güvenlik ve işletim ile ilgili bildirimlerde — işlevsel ve güvenli bir hizmet sağlamaya yönelik meşru menfaat (GDPR md. 6(1)(f)) çerçevesinde gerçekleşir.
Zorunlu güvenlik veya sözleşmesel bildirimler hariç olmak üzere, hangi bildirim kategorilerini almak istediğinizi ayarlardan belirleyebilirsiniz.
İzlenebilirlik ve platform güvenliğinin kanıtlanması amacıyla bazı yönetimsel işlemleri dahili olarak günlüğe kaydederiz (ör. rol değişiklikleri, bir Business-Owner'ın tarife değişikliği, Featured/doğrulama durum değişiklikleri, askıya alma ve askıdan kaldırma işlemleri). Bu denetim kayıtları genellikle teknik işlem adı, ilgili hesap veya nesne kimlikleri, zaman damgaları ve işlemi yapan birim (ör. bir admin kimliği) içerir. Yalnızca yetkili dahili kullanım amaçlıdır.
İşleme, bütünlük, güvenlik, kötüye kullanımın önlenmesi ve hukuki savunma kapsamında meşru menfaat (GDPR md. 6(1)(f)) ve — uygulanabildiği ölçüde — yasal yükümlülüklerin yerine getirilmesi (GDPR md. 6(1)(c)) çerçevesinde yapılır. Denetim verileri yalnızca ilgili amaç için gerekli olduğu veya yasal olarak zorunlu olduğu sürece saklanır.
Yukarıda özetlenen tipik günlük alanlarının ötesinde, güvenlik, kural gereği süreçler ve raporların işlenmesi sırasında içerikle bağlantılı sınırlı ek teknik kayıtlar da oluşabilir; böyle içerik bağlantılarının zaman zaman bulunması, tüm süreçlerin her zaman yalın teknik özetsiz kayıtlarla veya bağlamdan kopuk kayıtlarla kısıtlandığı anlamına gelmez. Rapor gönderimi, yapılandırmaya bağlı olarak işlem/onay için otomatik işlem e-postalarını tetikleyebilir — bunlar sohbet uyarısı değildir.
Moderasyonu desteklemek amacıyla, kullanıcılar tarafından yüklenen içeriklere yapay zekâ destekli bir ön denetim uygulanabilir. Bu özellikle yüklenen görselleri (profil resmi/avatar, gönderi görselleri ve isteğe bağlı claim kanıtları) ve belirli serbest metinleri (ör. claim mesajları ve gönderi metinleri) kapsar. Amaç, NSFW içerik, şiddet tasvirleri, nefret sembolleri veya spam gibi açıkça kurallara aykırı içerikleri erken tespit ederek hem kullanıcıları hem de platformu korumaktır.
Görsel denetimi için Avrupa Birliği içinde bir bölgedeki Google Vertex AI hizmeti (şu anda „europe-west4“, Hollanda) kullanılır. Metin denetiminde yapılandırmaya bağlı olarak yine Vertex AI veya alternatif bir yapay zekâ modeli (OpenAI) kullanılabilir. Yalnızca içerik (bayt dizisi veya metin) sınıflandırma amacıyla iletilir; prompt'ta teknik bir bağlam etiketi (ör. „avatar“, „post_image“, „claim_evidence“) dışında doğrudan kişisel tanımlayıcılar (ör. ad veya e-posta) gönderilmez.
Yapay zekâ yalnızca ön değerlendirme üretir (ör. „uygun“, „incele“, „reddet“) ve birlikte bir skor ve kaba kategori verir. İçeriklerin görünürlüğü, sınırlandırılması veya kaldırılması ve hesaplara yönelik önlemler konusundaki nihai kararlar insan moderatörler tarafından verilir; yapay zekâ yalnızca bir yardımcı araçtır. Yüklenen claim kanıtlarında, ön denetim münferit durumlarda tek bir dosyanın teknik olarak reddedilmesine ve saklanmamasına yol açabilir; bu durumda sonuç size doğrudan formda bildirilir ve başka bir dosya yükleyebilirsiniz. GDPR md. 22 anlamında hukuki etki doğuran veya benzer şekilde önemli sonuç doğuran tam otomatik bir karar bu yolla verilmez.
Yapay zekâ destekli moderasyonun hukuki dayanağı, güvenlik, bütünlük ve kötüye kullanımın önlenmesine yönelik meşru menfaat (GDPR md. 6(1)(f)) ile Verordnung (EU) 2022/2065 (DSA) kapsamındaki şeffaflık ve özen yükümlülükleridir. Bir işletme talebinin incelenmesi için gerekli olduğu ölçüde, ek olarak GDPR md. 6(1)(b) de uygulanır. Belirli bir içeriğe ilişkin yapay zekâ ön denetimine itiraz etmek isterseniz, e-posta yoluyla moderasyon ekibimize ulaşabilirsiniz; ilgili durumu manuel olarak inceleriz.
Denetim sonuçları (durum, skor, kaba kategori, kullanılan model/arka uç, zaman damgası) ilgili içerikle birlikte saklanır ve aynı saklama süresine tabidir. İçerik silindiğinde (ör. bir gönderi görselinin kaldırılması veya claim saklama süresinin dolması), denetim sonuçları da silinir.
Hesabın açılması ve sürdürülmesi, sözleşmenin kurulması ve ifası kapsamında gerekli işlemler GDPR md. 6(1)(b) uyarınca yapılır; buna güvenli hesap için gerekli olduğu ölçüde e-posta doğrulama ve parola sıfırlama da dahildir.
Google/Apple ile sosyal girişte OAuth kimlik doğrulaması için gerekli veri alışverişi, hesap erişiminin sağlanması amacıyla sözleşme ifası/ön sözleşme (GDPR md. 6(1)(b)) temelinde yürütülür; ilgili sağlayıcıların kendi veri işleme sorumlulukları ayrıca geçerlidir.
Cloudflare Turnstile gibi anti-bot güvenlik önlemleri (aktif edildiği ölçüde), hesap kötüye kullanımını önleme ve platform güvenliğini sağlama amacıyla meşru menfaat (GDPR md. 6(1)(f)) temelinde uygulanır.
Bildirimlerin, taleplerin ve müşteri iletişiminin değerlendirilmesi, duruma göre sözleşmeye hazırlık veya ifa (md. 6(1)(b)) veya meşru menfaat (md. 6(1)(f)) — örneğin dolandırıcılığın önlenmesi veya hukuki iddiaların savunulması — üzerine dayanabilir.
Bilgi güvenliği, kötüye kullanımın tespiti, hizmet istikrarı ve hata giderme, GDPR md. 6(1)(f) kapsamında veri sorumlusunun meşru menfaatine dayanır; bu menfaat, kullanıcıların güvenliği ve platformun sürdürülebilir işletimi ile dengelenir. Yasal saklama veya raporlama yükümlülükleri varsa, işleme GDPR md. 6(1)(c) uyarınca yasal yükümlülüğe dayanır.
Avatar ve sohbet görsellerinin yüklenmesi/erişimi, kullanıcı tarafından talep edilen hesap ve iletişim işlevlerinin sağlanması kapsamında GDPR md. 6(1)(b) temelinde; kötüye kullanım ve güvenlik kontrolleri bakımından ek olarak md. 6(1)(f) temelinde işlenebilir.
Uygulama, Vercel üzerinde oluşturulur ve barındırılır; içerik dağıtımı Vercel’in küresel uç (Edge) ağı üzerinden, sunucu işlevleri için tercihen Frankfurt (fra1) AB bölgesi seçilerek yapılır (ayrıntılar depo dokümantasyonunda). Kamuya açık alan adı için DNS veya CDN katmanında ek bir sağlayıcı (ör. Cloudflare) kullanılıyorsa, bağlantılar önce bu ağ üzerinden yönlendirilir; burada teknik erişim verileri ve güvenlik işlevleri devreye girebilir.
Veri katmanı tek bir yönetilen PostgreSQL veritabanı üzerinde işletilir; bu veritabanı Supabase altyapısında barındırılır ve hem çekirdek içerik verilerini (örn. yerler, etkinlikler) hem de kimlik doğrulama ile sosyal özelliklere ait verileri (örn. mesajlaşma/sosyal tablolar) içerir.
Harita görünümleri istemci tarafında yüklenir. Tarayıcı, harita karolarını önce aynı alan adı altındaki kendi sunucu uç noktamız üzerinden ister; MapTiler anahtarı yalnızca barındırma ortamında tutulur.
Kimlik doğrulama altyapısı olarak Supabase Auth kullanılmaktadır (e-posta/parola, OAuth sağlayıcıları ve passkey akışları dahil). Profil avatarları Supabase Storage üzerinde tutulabilir; sohbet görselleri için özel (private) medya bucket’ları kullanılabilir. Sohbet görselleri gerektiğinde zamana bağlı imzalı bağlantılarla erişime açılır.
Google Places fotoğrafları, uygulama sunucusu üzerinden proxy edilerek alınır; bu sırada Google’a teknik istek verileri ve ilgili yer referansı iletilir. Doğrudan istemcide Google API anahtarı kullanılmaz.
Otomatik gönderilen işlem e-postaları (e-posta doğrulama, parola sıfırlama ve — öngörüldüğü ölçüde — raporlar ve işletme talepleriyle ilgili bildirimler) üretim ortamında Resend üzerinden iletilir; yapılandırma genelde EMAIL_TRANSPORT=resend şeklindedir. Alıcı ve gönderici adresleri, gönderim üst verileri ve mesaj içeriği işlenir. Geliştirme veya test ortamlarında e-postalar günlüğe yazılabilir veya gönderim kapalı olabilir.
Genel iletişim adreslerimize gelen iletiler, ilgili posta kutusu altyapısı kapsamında işlenir; sağlayıcı ve olası üçüncü ülke boyutu alan adı ve posta yapılandırmasına bağlıdır.
Ücretli Business işlevlerini (özellikle PRO veya ENTERPRISE tarifelerini) satın aldığınızda veya tek seferlik bir destek bağışı yaptığınızda, ödeme işlemi yalnızca Stripe sağlayıcısı (Stripe Payments Europe, Limited, North Wall Quay 1, Dublin 1, İrlanda; Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, ABD ile birlikte „Stripe“) üzerinden gerçekleştirilir. MerhabaMap, kart numaralarını, banka hesap bilgilerini veya benzer ödeme araçlarını saklamaz; bu veriler yalnızca Stripe'in PCI-DSS sertifikalı altyapısında işlenir.
Ödeme işlemi sırasında Stripe özellikle adınızı ve e-posta adresinizi, ödeme verilerinizi (örn. kart bilgileri, IBAN, SEPA mandatı veya cüzdan tokenı), vergiler dahil fatura tutarını, doğru KDV oranının belirlenmesi için ülkenizi veya fatura adresinizi (Stripe Tax) ve dolandırıcılık tespiti amacıyla teknik oturum/cihaz verilerini (Stripe Radar) işler. Bir işlemin tamamlanmasının ardından Stripe'tan yalnızca kendi yönetimimiz için gerekli bilgileri alırız — özellikle Stripe müşteri referansı, abonelik veya ödeme referansı, satın alınan tarife, fatura aralığı, durum ve dönem sonu ile — destek bağışlarında — kayıtlı tutar ve para birimi.
İşlemenin hukuki dayanağı, sipariş sürecinin yürütülmesi için GDPR md. 6(1)(b) (sözleşme ifası ve ön sözleşme önlemleri) ve dolandırıcılık tespiti ile ödeme güvenliğinin sağlanması için GDPR md. 6(1)(f)'dir. Ticaret veya vergi hukuku saklama yükümlülükleri (özellikle § 147 AO ve § 257 HGB) söz konusu olduğunda, saklama GDPR md. 6(1)(c) kapsamındadır.
Stripe, kişisel verileri kendi veri koruma sorumluluğunda ortak veri sorumlusu olarak veya — bizim adımıza talimata bağlı çalıştığı ölçüde — GDPR md. 28 anlamında veri işleyen olarak işler. Stripe ile bir veri işleme sözleşmesi (Stripe Data Processing Agreement) mevcuttur. Stripe belirli verileri Amerika Birleşik Devletleri'nde işler; bu üçüncü ülke aktarımı için uygun güvenceler olarak EU Standart Sözleşme Maddeleri (Modül 1 veya Modül 2; Implementing Decision (EU) 2021/914) ile tamamlayıcı teknik ve organizasyonel önlemler kararlaştırılmıştır. Ayrıntılar için Stripe gizlilik politikasına `https://stripe.com/de/privacy` ve Stripe DPA'ya `https://stripe.com/de/legal/dpa` bakınız.
Ödeme ve fatura verileri, ticaret ve vergi hukuku saklama yükümlülükleri çerçevesinde yasal süre boyunca tutulur (genellikle faturanın düzenlendiği takvim yılının sonundan itibaren on yıl). Bu süreden sonra, başka bir saklama nedeni yoksa kişisel bağlantılar silinir veya anonimleştirilir. Aboneliğinizi her zaman Stripe müşteri panelinden yönetebilirsiniz (ödeme yöntemi değiştirme, plan değiştirme, iptal). Müşteri paneline „Hesap > Ödemeler“ alanından veya fatura e-postalarımızdaki bağlantıdan ulaşabilirsiniz.
Kişisel veriler, platformun işletilmesi için gerekli olduğu ölçüde teknik hizmet sağlayıcılarına aktarılır. Buna özellikle barındırma/CDN (Vercel ve varsa Cloudflare), veritabanı, kimlik doğrulama ve medya depolama (Supabase), işlem e-postası iletimi (Resend), Business abonelikleri ve destek bağışları için ödeme işleme (Stripe), harita sağlayıcıları (MapTiler), Google Places görsel akışları ve Google Vertex AI üzerinden yürütülen yapay zekâ destekli içerik denetimi dahil olabilir. Görsel denetimi için Vertex AI, Avrupa Ekonomik Alanı içinde kalan bir bölgede (şu anda „europe-west4“, Hollanda) çalışacak biçimde kullanılır.
Google veya Apple ile giriş yapıldığında, ilgili OAuth sağlayıcısı kimlik doğrulama sürecinde bağımsız veri sorumlusu olarak da işlem yapabilir. Aynı şekilde Cloudflare Turnstile (aktif edildiği ölçüde) bot koruması amacıyla teknik veriler işleyebilir; hizmet, Cloudflare, Inc. (ABD) tarafından sağlanır ve aktarımlar GDPR bölüm V kapsamında standart sözleşme maddeleri ile güvence altına alınır.
Mobil uygulamadaki push bildirimleri Google Firebase Cloud Messaging (FCM) ve — iOS cihazlarda — Apple Push Notification Service (APNs) üzerinden iletilir; sunucu tarafında Firebase (Google LLC, ABD) kullanılır. Mobil push etkin olduğu bildirim türleri için iletilen veri kümesine cihaza özgü push tokeni, platform (iOS/Android), cihaz modeli ve bildirimin yapısına uygun olarak genellikle başlık, kısa ön izleme ve derin bağlantı dahil olabilir; kapsam, tetikleyen işleve göre değişebilir veya bazı süreçlerde bulunmayabilir. Topluluk üye sohbeti için şu anda sohbet mesajına özel push ya da içerik e-postası gönderilmez (bu kanallarda sohbet metninin içerik ön izlemesi yoktur); oturumu açık web veya uygulama içinde nötr bildirimler yine çıkabilir. Rapor bildirimi gibi bağlamlarda otomatik gönderilen işlem e-postaları farklı amaçlara sahiptir ve sohbet uyarısı değildir. Reklam tanımlayıcıları (IDFA, Werbe-ID) okunmaz ve iletilmez. ABD'ye yapılan aktarım AB standart sözleşme maddeleri ile güvence altına alınmıştır; push bildirimlerini cihazınızın sistem ayarlarından her zaman kapatabilir veya uygulamadan çıkış yaparak token'ınızı sunucu tarafında kaldırabilirsiniz.
Bir sağlayıcının verileri AB/AEA dışında işlemesi hâlinde, aktarım yalnızca GDPR bölüm V koşullarında yapılır (ör. yeterlilik kararı, standart sözleşme maddeleri veya md. 49’daki sıkı istisnalar). Somut işleme lokasyonları, sağlayıcının proje ve barındırma yapılandırmasına bağlıdır ve değişebilir. Makul talep hâlinde hangi güvencelerin geçerli olduğu, yasal sınırlar içinde paylaşılabilir.
Oturum ve kimlik doğrulama için Supabase Auth tarafından yönetilen teknik oturum çerezleri kullanılır. Dil seçici kullanıldığında NEXT_LOCALE çerezi ayarlanabilir. Çerez onay tercihiniz mm_consent çerezinde saklanır (yalnızca kategori seçimi, kişisel veri içermez). Bu teknolojiler hizmetin talep edilen işlevlerini sağlamak için teknik olarak gereklidir.
Giriş, kayıt, parola sıfırlama veya doğrulama e-postası yeniden gönderme gibi hesap güvenliği akışlarında Cloudflare Turnstile kullanılır. Turnstile, klasik CAPTCHA'lardan farklı olarak takip amaçlı çerezler kullanmaz; sadece bot ve kötüye kullanım tespiti için sınırlı teknik göstergeler değerlendirir.
Kayıtlı mekân listesi gibi veriler tarayıcıda localStorage ile tutulabilir. MerhabaMap isteğe bağlı olarak istemci tarafında hata tespiti (Sentry) ve dahili kullanım analizi (Product Insights) hizmetlerini kullanabilir; bu hizmetler yalnızca onay banner’ı üzerinden açık onayınız sonrasında etkinleştirilir. Ön yüzde davranışsal profilleme yapan reklam veya analiz ağı betikleri kullanılmamaktadır.
Şu anda ayrı bir bülten veya genel iletişim formu sunulmamaktadır. İletişim öncelikle e-posta ile yapılır. İleride formlar veya bültenler eklenirse, ilgili veri işleme bu metinde veya ayrı bilgilendirmelerde açıklanır.
MerhabaMap, kullanıcı ve üçüncü taraflarca eklenen içerikleri (mekân, etkinlik, metinler) bir araya getirir. Yayındaki mekân ve etkinlikler için arayüzde raporlama işlevleri bulunur; uygun olduğunda işletme talebi (claim) ve benzeri süreçler kullanılabilir. Etkili inceleme için bağlantı veya ad, kısa ve tarafsız özet ve varsa kanıt önerilir.
Bildirimler, örgütsel ve teknik imkânlar çerçevesinde önceliklendirilerek incelenir. İncelemelerde paylaştığınız açıklamalar güvenlik ve doğrulama nedeniyle işlenebilir; yapı uygun ise rapor bildirimi sonrasında otomatik onay işlem e-postası alabilirsiniz — bunlar yeni gelen bir sohbet mesajına dair istemsiz bildirim değildir. Yanıt için sabit süre taahhüt edilmez. Hukuka veya kullanım ve topluluk kurallarına aykırı içerikler düzenlenebilir, kısıtlanabilir veya kaldırılabilir; hesaplara yönelik önlemler (ör. askıya alma) ağırlık ve tekrara göre orantılı olabilir. Belirli usuller için yasal süreler varsa bunlara uyulur.
Veri koruma başvuruları yalnızca privacy@merhabamap.com adresine iletilmelidir. Diğer hukuki veya editoryal başvurular, iletişim sayfası ve bu metinde yer alan e-posta adresleri üzerinden yapılabilir.
Kişisel veriler, ilgili işleme amacının gerektirdiği süre boyunca ve yasal saklama süreleri (örneğin ticaret veya vergi hukuku) çerçevesinde tutulur. Hesap silindiğinde, silme yükümlülükleri ile çakışmayan veriler genellikle silinir veya anonimleştirilir; yasal olarak saklanması gereken kayıtlar istisna oluşturabilir.
Avatar dosyaları, kullanıcı tarafından değiştirildiğinde veya kaldırıldığında teknik olarak makul süre içinde depolamadan temizlenir; sohbet görselleri ve mesaj içerikleri ise ilgili sohbet/veri kaydı silinmediği sürece veya yasal saklama gereği bulunduğu sürece tutulabilir. Kısa ömürlü imzalı erişim bağlantıları kalıcı depolama yerine geçmez.
İsteğe bağlı claim kanıt dosyaları (PDF, JPEG, PNG), ilgili işletme talebi hakkındaki kararın (kabul veya red) üzerinden 90 gün geçtikten sonra depolamadan ve veritabanından otomatik olarak silinir. Yapay zekâ destekli içerik denetimi sonuçları ilgili içerikle birlikte saklanır ve aynı saklama süresine tabidir.
Tarayıcıda yerel saklanan veriler, yalnızca kullanıcının cihazında kalır ve tarayıcı ayarlarından veya önbelleği temizleyerek kaldırılabilir.
Hesabınızı profil ayarları üzerinden kalıcı olarak silebilirsiniz. Bu işlem sırasında kimlik doğrulama hesabınız silinir ve profil verileriniz (ad, e-posta, kullanıcı adı, biyografi, profil resmi) ile Stripe ödeme profili referansı geri döndürülemez biçimde anonimleştirilir. Push bildirimi kayıtları (web ve mobil), kaydedilmiş mekânlar ve etkinlikler, kendi koleksiyonlarınız, koleksiyon üyelikleri, etkinlik katılımları, şehir abonelikleri, yorum reaksiyonları, takip/engelleme/sessize alma bağlantılarınız ve sizinle ilgili uygulama-içi bildirimler silinir. Yayımlanmış gönderi ve yorumlar ile doğrudan mesaj ve grup sohbeti içerikleri ise yazar/gönderici referansı anonimleştirilmiş olarak saklanır — aksi halde diğer katılımcıların thread'lerinde, listelerinde ve konuşmalarında okunurluğu zorlaştıran boşluklar oluşurdu. Yasal saklama yükümlülüklerine tabi veriler (ör. moderasyon kayıtları, Stripe faturaları) anonim biçimde saklanabilir. Ayrıntılı döküm için hesap silme rehberine bakın.
Hesabınız kısıtlanmış olsa bile silme ve dışa aktarma haklarınızı kullanabilirsiniz.
Verilerinizi JSON formatında dışa aktarabilirsiniz. Dışa aktarma; profilinizi, takip listelerinizi, koleksiyonlarınızı, kaydedilmiş öğelerinizi, gönderilerinizi ve gönderi görsellerini, yorumlarınızı, gönderdiğiniz bildirimleri, gelmek istediğiniz etkinlikleri ve şehir aboneliklerinizi kapsar. Mesajlaşma içerikleri (özel ve grup sohbetleri) karşı tarafın gizliliği gereği dışa aktarmaya dahil edilmez. Aynı gerekçeyle hesap silme sırasında da mesaj içerikleri kaldırılmaz; bunun yerine gönderici kimliğiniz anonimleştirilir.
GDPR kapsamında, kişisel verilerinizin işlenip işlenmediğini öğrenme, işleniyorsa buna ilişkin bilgi talep etme, yanlış veya eksik verilerin düzeltilmesini isteme, belirli koşullarda silinmesini veya işlenmesinin kısıtlanmasını talep etme, meşru menfaate dayalı işlemeye itiraz etme ve — sözleşmeye dayalı veya otomatik işlenen verilerde — veri taşınabilirliği hakkına sahipsiniz.
Veri taşınabilirliği (GDPR md. 20) için profil ayarlarındaki „Verileri indir“ üzerinden makine tarafından okunabilir JSON dışa aktarım sunuyoruz. Dışa aktarım özellikle profilinizi, yayımladığınız gönderileri, yorumları, koleksiyonları ve girişlerini, kayıtlı mekân ve etkinlikleri, şehir aboneliklerini, etkinlik katılımlarını, ilettiğiniz raporları, işletme sahiplenme başvurularını ve takipçi/takip bağlantılarınızı içerir. Özel iletiler ve grup sohbetleri dahil mesaj içerikleri, diğer tarafın gizliliği nedeniyle dışa aktarıma dahil edilmez. Hesap silinirken de bu nedenle mesaj içerikleri kaldırılmaz; bunun yerine gönderici kimliği anonimleştirilir. Yapay zekâ ile desteklenen moderasyonun iç çıktıları (ör. skorlar, neden kodları) ile sunucu denetim (audit) günlükleri dışa aktarıma dahil değildir; e-postayla yapılan talepler doğrultusunda sizi ilgilendiren girişler hakkında açıklama yapılabilir.
İtiraz, silme veya erişim taleplerinde hesabın güvenliği için makul kimlik doğrulaması istenebilir. Yalnızca teknik olarak gerekli çerezlere dayanan işlemlerde rıza geri alma mekanizması her zaman uygulanmayabilir; ancak tarayıcı ayarlarınız üzerinden yerel depolamaları yönetebilirsiniz.
Bu hakların kullanımı ücretsizdir; ancak açıkça temelsiz veya aşırı tekrarlayan taleplerde, GDPR md. 12 uyarınca makul bir ücret veya talebin reddi söz konusu olabilir.
Veri işlemesinden şikâyet etme hakkına sahipsiniz. Şikâyet, ikamet ettiğiniz üye devletin, çalıştığınız yerin veya iddia edilen ihlalin gerçekleştiği yerin denetim otoritesine yapılabilir. Veri sorumlusunun bulunduğu eyaletteki denetim otoritesi de yetkili olabilir.
