GameThereAny'nin GDPR ve KVKK kapsamında verileri nasıl işlediği.
Bu Veri İşleme Sözleşmesi ('VİS'), GameThereAny'nin oyun fiyat karşılaştırma ve keşif hizmetini sunma sürecinde verileri nasıl işlediğini açıklamaktadır. Bu sözleşme, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve Türkiye Kişisel Verilerin Korunması Kanunu (KVKK — 6698 Sayılı Kanun) uyumluluğu amacıyla hazırlanmıştır.
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen taraf olan GameThereAny. Veri İşleyen: GameThereAny adına veri işleyen üçüncü taraf hizmetler (ör. barındırma, analitik sağlayıcılar). İlgili Kişi: Kişisel verisi işlenen gerçek kişi. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (IP adresleri, cihaz tanımlayıcıları, çerezler dahil). Veri İşleme: Kişisel veriler üzerinde gerçekleştirilen her türlü işlem (toplama, saklama, kullanma, aktarma, silme).
GameThereAny, yalnızca oyun fiyat karşılaştırma ve keşif web sitesini işletme amacıyla veri işlemektedir. İşlenen veri kategorileri ve amacı: • Sunucu erişim günlükleri (Railway tarafından): Güvenlik ve altyapı izleme. • Hesap verileri — WishlistItem (oyunId, userId), NewsletterSubscriber (e-posta), TıklamaTelemetrisi (anonim IP: IPv4 son oktet sıfırlanmış, IPv6 son 4 grup sıfırlanmış; userAgent, gameId, mağaza): Sözleşmenin ifası / meşru menfaat. Tıklama kaydı komisyon ilişkilendirmesi içermez. • Hız sınırlama olayları — RateLimitEvent (anonim IP, endpoint, zaman damgası): Kötüye kullanımın önlenmesi (meşru menfaat). • Analitik veriler (PostHog, AB): Yalnızca rıza üzerine — sayfa görüntülemeleri, oturum süresi, cihaz türü. GameThereAny ad, telefon numarası, ödeme bilgisi veya düz metin parola toplamamaktadır.
Her işleme amacı için hukuki dayanak: • Hesap oluşturma ve istek listesi yönetimi: GDPR Mad. 6(1)(b) — Sözleşmenin ifası. • Bülten aboneliği: GDPR Mad. 6(1)(a) — Açık rıza (abonelik onay kutusu ve bağlantılı e-posta yoluyla). Rıza, abonelik e-postasındaki bağlantıya tıklayarak veya buzzicra@gmail.com adresine e-posta göndererek her zaman geri alınabilir. • Analitik (PostHog): GDPR Mad. 6(1)(a) — Açık rıza (çerez banner'ındaki 'Kabul Et' düğmesi). Rıza, alt bilgideki çerez tercihleri düğmesi kullanılarak her zaman geri alınabilir. • Tıklama telemetrisi ve hız sınırlama: GDPR Mad. 6(1)(f) — Meşru menfaat (etkileşim ölçümü, platform güvenliği). • Sunucu erişim günlükleri: GDPR Mad. 6(1)(f) — Meşru menfaat (güvenlik, altyapı izleme).
GameThereAny aşağıdaki alt işlemcileri kullanmaktadır: • Railway (AB, aws-1-eu-central-1) — Uygulama barındırma. Sunucu erişim günlüklerini (IP, zaman damgası, URL) işler. AB altyapısı. • Supabase (AB, eu-central-1) — Kimlik doğrulama ve veritabanı. Kullanıcı kaydı üzerine hesap verilerini (e-posta, bcrypt karma parola), WishlistItem kayıtlarını ve TıklamaTelemetrisi satırlarını işler. • PostHog (AB, eu.i.posthog.com) — Ürün analitiği. Yalnızca kullanıcı çerez banner'ında onay verdiğinde etkin olur; 30 günlük saklama süresi. KİŞİSEL BİLGİ İÇERMEZ. • Resend — Bülten e-posta dağıtımı. Yalnızca kullanıcı abone olduğunda e-posta adresini işler. (Hizmet şu anda devre dışıdır.) • CheapShark API (ABD) — Oyun fiyat verisi. KİŞİSEL BİLGİ AKTARILMAZ; yalnızca oyun tanımlayıcıları gönderilir. • IsThereAnyDeal / ITAD (AB) — Fiyat geçmişi ve tarihi en düşük fiyat verisi. KİŞİSEL BİLGİ AKTARILMAZ; yalnızca oyun tanımlayıcıları gönderilir. • RAWG API (ABD) — Oyun meta verisi. KİŞİSEL BİLGİ AKTARILMAZ; yalnızca oyun tanımlayıcıları gönderilir. • Google Translate API — Açıklama çevirisi. KİŞİSEL BİLGİ AKTARILMAZ; yalnızca oyun açıklama metni gönderilir. GameThereAny, alt işlemcilerdeki değişiklikleri bu sözleşmeyi güncelleyerek kullanıcılara bildirecektir.
Verilerinizin büyük çoğunluğu AB/AEA altyapısında (Railway AB, Supabase AB, PostHog AB) işlenmektedir. CheapShark ve RAWG API'lerine yalnızca kişisel bilgi içermeyen oyun tanımlayıcıları gönderilmektedir. Google Translate'e yalnızca oyun açıklama metni gönderilmektedir. Bu hizmetler ABD merkezlidir; ancak aktarılan içerik kişisel veri niteliği taşımamaktadır. Kişisel veri içeren tüm aktarımlar AB sınırları içinde kalmaktadır. AB dışına herhangi bir kişisel veri aktarılması gerektiğinde, bu aktarımlar Standart Sözleşme Maddeleri (SSM) ve KVKK Madde 9 kapsamındaki eşdeğer güvenceler çerçevesinde gerçekleştirilmektedir.
GameThereAny, kişisel verileri korumak için aşağıdaki teknik ve idari tedbirleri uygulamaktadır: • Aktarım halindeki tüm veriler için HTTPS/TLS şifreleme. • Supabase Auth tarafından bcrypt karma kullanılarak güvenli parola depolama. • IP anonimleştirme: IPv4 adreslerinde son oktet sıfırlanmakta, IPv6 adreslerinde son 4 grup sıfırlanmaktadır. • Veri azaltma: Hizmet için kesinlikle gerekli olmayan kişisel veriler toplanmamaktadır. • Erişim kontrolü: Barındırma ve analitik panellerine erişim kısıtlanmıştır. • Üçüncü taraf hizmetlerin güvenlik uygulamaları düzenli olarak gözden geçirilmektedir.
GDPR (Madde 15–22) ve KVKK (Madde 11) uyarınca ilgili kişiler şu haklara sahiptir: erişim, düzeltme, silme ('unutulma hakkı'), işlemenin kısıtlanması, veri taşınabilirliği ve işlemeye itiraz. GDPR Madde 17 uyarınca hesap silme talebi için uygulanan tam silme kademesi: 1. Tüm WishlistItem kayıtları Supabase veritabanından silinir. 2. E-posta adresi Resend listesinden kaldırılır (bülten aboneliği iptal edilir). 3. PostHog kişi profili PostHog API aracılığıyla silinir. 4. Tarayıcı tarafında PostHog izleme sıfırlanır (posthog.reset()). 5. Supabase Auth kullanıcı kaydı (e-posta, karma parola) silinir. Kayıtlı bir hesabınız varsa bu işlemi Profil ayarlarından başlatabilirsiniz. Diğer veri talepleri için buzzicra@gmail.com adresinden bizimle iletişime geçin. Tüm talepler 30 gün içinde yanıtlanacaktır.
Saklama süreleri tabloya göre şöyledir: • WishlistItem: Hesap silinene kadar saklanır. • NewsletterSubscriber: Abonelik iptal edilene veya hesap silinene kadar. • TıklamaTelemetrisi (anonim IP): Operasyonel ihtiyaç süresince; planlanan TTL 90 gündür. • RateLimitEvent: Operasyonel ihtiyaç süresince; kötüye kullanım tespiti için kısa süre. • PostHog analitik olayları: 30 gün (PostHog AB projesinde yapılandırılmış saklama süresi). • Supabase Auth (e-posta, karma parola): Hesap silinene kadar. • Railway sunucu günlükleri: Railway'in standart günlük saklama politikasına uygun olarak. GameThereAny, belirtilen amaçlar için kesinlikle gerekli olanın ötesinde kişisel veri saklamamaktadır.
Bu Veri İşleme Sözleşmesi hakkındaki sorularınız veya ilgili kişi haklarınızı kullanmak için lütfen şu adresle iletişime geçin: GameThereAny, GDPR Madde 37 kapsamında Veri Koruma Görevlisi (DPO) atanmasından muaf tutulmaktadır (Madde 37(1) kapsamına giren büyük ölçekli veri işleme bulunmamaktadır). İletişim için: buzzicra@gmail.com