Kişisel Verilerin Korunması ve Gizlilik Politikası
1. Giriş ve Amaç
İşbu Kişisel Verilerin Korunması ve Gizlilik Politikası ("Politika"), Futba mobil uygulaması ("Uygulama") aracılığıyla elde edilen kişisel verilerin; 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve Avrupa Birliği 2016/679 sayılı Genel Veri Koruma Tüzüğü ("GDPR") başta olmak üzere ilgili mevzuat çerçevesinde işlenmesine ilişkin usul ve esasları düzenlemek amacıyla hazırlanmıştır.
Uygulama'nın kurulması, kullanıma başlanması veya herhangi bir yolla erişim sağlanması, işbu Politika'nın tüm hükümleriyle birlikte okunmuş, anlaşılmış ve kabul edilmiş olduğu anlamına gelir.
2. Tanımlar
- Kişisel Veri
- Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
- Veri Sahibi / İlgili Kişi
- Kişisel verisi işlenen gerçek kişiyi ifade eder.
- Veri Sorumlusu
- Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulması ve yönetiminden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
- İşleme
- Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
- Açık Rıza
- Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
3. Veri Sorumlusunun Kimliği
KVKK'nın 10. maddesi ve GDPR'ın 13. maddesi uyarınca, Uygulama aracılığıyla işlenen kişisel veriler bakımından veri sorumlusu sıfatına haiz olan taraf, Futba ekibi'dir ("Veri Sorumlusu"). Veri Sorumlusu'na, işbu Politika'nın 13. Maddesi'nde belirtilen iletişim kanalları vasıtasıyla ulaşılması mümkündür.
4. İşlenen Kişisel Veri Kategorileri
Uygulama kapsamında, aşağıda kategorize edilen kişisel veriler işlenmektedir:
4.1. Kimlik ve İletişim Verileri
- E-posta adresi (Firebase Authentication üzerinden Google/Apple hesabı ile giriş yapılması hâlinde otomatik olarak elde edilmektedir)
- Benzersiz kimlik doğrulama kimliği (Firebase UID) — yalnızca sistemsel tanımlama amaçlı kullanılmakta olup, üçüncü şahıslarla paylaşılmamaktadır
- Kullanıcı adı
- Ad ve soyadı (Kullanıcı tarafından girildiği takdirde)
- Telefon numarası (Kullanıcı tarafından girildiği takdirde)
4.2. Profil ve Demografik Veriler
- Yaş, boy, kilo, tercih edilen spor pozisyonu
- Kısa biyografi (bio)
- Şehir ve ilçe bilgisi
- Profil fotoğrafı veya sistem tarafından üretilen avatar
4.3. Konum Verisi
- Cihaz Konumu (GPS): Yakındaki maç ve kullanıcı önerilerinin sunulabilmesi amacıyla, yalnızca Uygulama'nın aktif olarak kullanıldığı esnada işlenmektedir. Arka planda sürekli konum izlemesi yapılmamaktadır.
- Memleket Konumu: Kullanıcı tarafından harita üzerinden manuel olarak seçilen sabit konum verisidir. Cihaz konumu üzerinde önceliklidir.
4.4. İşlem Güvenliği Verileri
- IP adresi
- Cihaz bilgisi (user-agent — işletim sistemi, tarayıcı/uygulama sürümü)
- Oturum açma tarihi ve saati
- Firebase Cloud Messaging (FCM) bildirim tokeni
- Platform bilgisi (Android / iOS)
4.5. Uygulama İçi Etkileşim Verileri
- Oluşturulan ve/veya katılım sağlanan maçlara ilişkin bilgiler, takım atamaları, seçilen saha bilgileri
- Uygulama içi sohbet (maç sohbeti ve birebir sohbet) mesaj içerikleri
- Arkadaşlık ilişkileri ve istek kayıtları
- Tamamlanan maç sayısı ve giriş gün sayısı gibi istatistiksel veriler
- Diğer kullanıcılar hakkında iletilen raporlar (moderasyon kapsamında)
5. Kişisel Verilerin İşlenme Amaçları
Kişisel veriler, KVKK'nın 4. maddesinde belirtilen genel ilkelere ve 5. ile 6. maddelerinde düzenlenen işleme şartlarına uygun olarak, yalnızca aşağıda belirtilen amaçlarla sınırlı şekilde işlenmektedir:
- Kullanıcı hesabının oluşturulması, kimlik doğrulamasının sağlanması ve oturum yönetiminin sürdürülmesi
- Uygulama'nın temel işlevlerinin ifası (yakındaki maçların listelenmesi, maç oluşturma, eşleştirme, sohbet, arkadaşlık bağlantıları)
- Maçlara ilişkin bilgilendirme ve hatırlatma bildirimlerinin iletilmesi (yakındaki maç, maç hatırlatıcısı, arkadaşlık isteği, takımdan çıkarma bildirimi dâhil)
- Topluluk güvenliğinin temini ile istenmeyen içerik, taciz ve kötüye kullanım bildirimlerinin değerlendirilmesi (moderasyon)
- Uygulama performansının ölçülmesi, teknik hata tespiti ve iyileştirme faaliyetlerinin yürütülmesi
- İlgili mevzuat ve yetkili mercilerin talepleri çerçevesinde hukuki yükümlülüklerin yerine getirilmesi
- Olası bir uyuşmazlık hâlinde hukuki taleplerin tesisi, kullanılması veya savunulması
6. Kişisel Verilerin İşlenmesinin Hukuki Sebepleri
Kişisel veriler, aşağıdaki hukuki sebeplere dayanılarak işlenmektedir:
- Sözleşmenin ifası — KVKK m. 5/2 (c); GDPR m. 6/1 (b): Hizmet sunumunun temel bileşenleri.
- Veri sorumlusunun hukuki yükümlülüğünün yerine getirilmesi — KVKK m. 5/2 (ç); GDPR m. 6/1 (c): Mevzuattan kaynaklanan bildirim, saklama ve tedbir yükümlülükleri.
- Bir hakkın tesisi, kullanılması veya korunması — KVKK m. 5/2 (e); GDPR m. 6/1 (f) kapsamında meşru menfaat.
- Veri sorumlusunun meşru menfaati — KVKK m. 5/2 (f); GDPR m. 6/1 (f): Hizmet güvenliği, dolandırıcılığın önlenmesi, performans iyileştirmesi.
- Açık rıza — KVKK m. 5/1; GDPR m. 6/1 (a): Yukarıdaki sebeplerden hiçbirinin uygulanabilir olmadığı durumlarda, İlgili Kişi'nin açık rızasına dayanılmaktadır.
7. Kişisel Verilerin Aktarılması
7.1. Diğer Kullanıcılara Aktarım
Uygulama'nın sosyal özellikleri gereği, aşağıdaki veriler diğer Uygulama kullanıcılarına görünür kılınmaktadır: kullanıcı adı, ad, profil fotoğrafı, şehir ve ilçe, pozisyon, tamamlanan maç sayısı, oluşturulan/katılınan maçlar ve iletişime geçilen kullanıcılar ile yapılan yazışmalar. E-posta adresi, telefon numarası, kesin GPS koordinatları ve Firebase UID gibi veriler diğer kullanıcılara hiçbir surette aktarılmamaktadır.
7.2. Hizmet Sağlayıcılara Aktarım
Uygulama'nın teknik altyapısının sürdürülebilmesi amacıyla, aşağıda belirtilen hizmet sağlayıcılar ile veri işleyen sıfatıyla veri paylaşımı gerçekleştirilmektedir:
| Hizmet Sağlayıcı | İşleme Amacı | Veri Lokasyonu |
|---|---|---|
| Firebase Authentication (Google LLC) | Kimlik doğrulama | ABD / AB |
| Firebase Cloud Messaging (Google LLC) | Bildirim iletimi | ABD / AB |
| Google Maps / Places API (Google LLC) | Harita ve konum hizmetleri | ABD / AB |
| Supabase Inc. | Veritabanı barındırma (PostgreSQL) | Avrupa Birliği |
| Fly.io (Fly.io, Inc.) | Sunucu barındırma | Frankfurt, Almanya |
| Cloudflare, Inc. | İçerik dağıtım ağı (CDN), DNS, güvenlik | Global |
Yurt dışı aktarımı gerçekleştirilen hâllerde, KVKK'nın 9. maddesi ve GDPR'ın 44 ilâ 49. maddeleri çerçevesinde gerekli güvencelerin sağlanmasına azami özen gösterilmektedir. Kişisel veriler, Veri Sorumlusu tarafından pazarlama amacıyla üçüncü kişilere satılmamaktadır.
7.3. Yetkili Kamu Kurum ve Kuruluşlarına Aktarım
Mahkeme kararı, savcılık veya kolluk kuvvetleri talebi ya da ilgili mevzuat gereği veri aktarımı zorunluluğunun doğduğu hâllerde, yalnızca talep kapsamındaki veriler, gerekli hukuki denetim sağlandıktan sonra yetkili makamlara aktarılmaktadır.
8. Kişisel Verilerin Saklanma Süreleri
Kişisel veriler, işleme amaçlarının gerektirdiği süre boyunca ve ilgili mevzuatta öngörülen asgari saklama süreleri dikkate alınmak suretiyle muhafaza edilmektedir:
- Hesap verileri: Hesap silme talebi gerçekleşene dek muhafaza edilmektedir.
- Tamamlanmış maçlar: Tamamlanma tarihinden itibaren 90 (doksan) gün sonunda otomatik olarak silinmektedir.
- İptal edilmiş maçlar: İptal tarihinden itibaren 7 (yedi) gün sonunda otomatik olarak silinmektedir.
- Oturum açma geçmişi: En fazla 12 (on iki) ay süreyle saklanmaktadır.
- Hesap silme sonrası: Ad, biyografi, avatar görseli ve sohbet geçmişi derhal silinmekte; istatistiksel nitelikteki sayısal veriler (toplam maç sayısı, yaş grubu vb.) anonim hâle getirilmek suretiyle saklanmaktadır.
9. Veri Sahibinin Hakları
Veri Sahibi, KVKK'nın 11. maddesi ve GDPR'ın 15 ilâ 22. maddeleri kapsamında aşağıdaki haklara sahiptir:
- Kişisel verilerinin işlenip işlenmediğini öğrenme
- İşlendiği takdirde buna ilişkin bilgi talep etme
- İşleme amaçlarını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme
- Eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini talep etme
- İşleme sebeplerinin ortadan kalkması hâlinde silinmesini veya yok edilmesini talep etme
- Düzeltme, silme veya yok etme işlemlerinin aktarım yapılan üçüncü kişilere bildirilmesini isteme
- Münhasıran otomatik sistemlerle yapılan analizler sonucu aleyhine bir sonuç ortaya çıkmasına itiraz etme
- Hukuka aykırı işleme sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
- Veri taşınabilirliği hakkı (GDPR m. 20)
- İşlemeye itiraz hakkı (GDPR m. 21)
Belirtilen haklara ilişkin başvuruların, 13. Madde'de yer alan iletişim adreslerine, Türkçe veya İngilizce dilinde, kimlik tespitine elverişli bilgiler ile birlikte yazılı olarak iletilmesi gerekmektedir. Başvurular, Veri Sorumluları'na Başvuru Usul ve Esasları Hakkında Tebliğ'de öngörülen süreler çerçevesinde, en geç 30 (otuz) gün içerisinde sonuçlandırılacaktır.
Başvurunun usulüne uygun reddedilmesi, cevap verilmemesi veya yetersiz bulunması durumunda Veri Sahibi; Türkiye'de Kişisel Verileri Koruma Kurulu'na, Avrupa Birliği üyesi ülkelerde ise yerleşim yerindeki denetim otoritesine şikâyet yolunu kullanabilir.
10. Veri Güvenliği
KVKK'nın 12. maddesi ve GDPR'ın 32. maddesi kapsamında, kişisel verilerin hukuka aykırı işlenmesini ve bu verilere hukuka aykırı erişimi önlemek, verilerin muhafazasını sağlamak amacıyla, teknik ve idari imkânlar dâhilinde makul ölçüde tedbir alınmaktadır. Bu kapsamda:
- Uygulama ile sunucu arasındaki tüm iletişim, TLS 1.2 ve üzeri standartlarda şifrelenmiş HTTPS bağlantısı üzerinden gerçekleştirilmektedir.
- Parola bilgileri Veri Sorumlusu tarafından saklanmamakta; kimlik doğrulama işlemleri Firebase Authentication altyapısı vasıtasıyla yürütülmektedir.
- Sunucu ve veritabanı erişimi, yetkilendirilmiş servis hesapları ile sınırlandırılmıştır.
- Hassas konfigürasyon değerleri kaynak kod içerisinde tutulmamakta; güvenli ortam değişkenleri ve sır yöneticileri kullanılmaktadır.
- Tüm API uç noktalarında giriş doğrulaması ve hız sınırlandırması (rate limiting) uygulanmaktadır.
Alınan tüm teknik ve idari tedbirlere karşın, hiçbir bilişim sisteminin mutlak güvenliği garanti altına alınamamaktadır. Veri Sahibi'nin bir güvenlik açığı tespit etmesi hâlinde, derhal support@futba.net adresine bildirim yapması tavsiye edilmektedir.
11. Çocukların Gizliliği
Uygulama, 13 yaşın altındaki çocuklara yönelik olarak sunulmamaktadır. Veri Sorumlusu'nun bilgisi dışında 13 yaşının altındaki bir İlgili Kişi'ye ait verilerin işlendiğinin tespit edilmesi hâlinde, ilgili hesap ve veriler gecikmeksizin silinecektir. Ebeveyn veya yasal temsilcilerin konuya ilişkin şüphelerini support@futba.net adresi üzerinden bildirmesi rica olunur.
12. Politikada Yapılacak Değişiklikler
İşbu Politika, Veri Sorumlusu tarafından gerekli görüldüğü takdirde güncellenebilir. Esasa ilişkin nitelikte değişiklik yapılması hâlinde, İlgili Kişi'ler Uygulama içi bildirim veya e-posta yoluyla önceden bilgilendirilecektir. Güncel metne daima işbu URL üzerinden erişilmesi mümkündür. "Yürürlük Tarihi" alanı her güncellemede yenilenmektedir.
13. İletişim ve Başvuru
İşbu Politika'ya ilişkin soru, görüş veya haklarının kullanılmasına yönelik başvurular için aşağıdaki iletişim kanalları kullanılabilir:
- E-posta: support@futba.net
- İnternet Sitesi: https://futba.net