Gizlilik Politikası

Amara – H2 Technologies GmbH · Güncelleme tarihi: Haziran 2026

  1. Veri sorumlusu

Genel Veri Koruma Tüzüğü (GDPR) anlamında veri sorumlusu:

H2 Technologies GmbH, Jägerndorfer Zeile 48, 12205 Berlin, Almanya. E-posta: info@amara.app. Web sitesi: www.amara.app

Veri koruma görevlisi:

Veri korumaya ilişkin tüm sorularınız ve haklarınızın kullanılması için dilediğiniz zaman şu adrese başvurabilirsiniz: HeyData GmbH, Schützenstraße 5, 10117 Berlin, Almanya datenschutz@heydata.eu · www.heydata.eu

  1. Konu ve kapsam

Bu gizlilik politikası; AMARA mobil uygulamamızın kullanımı, www.amara.app web sitemizin ziyaret edilmesi, bizimle iletişime geçilmesi ve ücretli hizmetlerimizin (ör. abonelikler, uygulama içi satın almalar) kullanımı sırasında kişisel verilerin işlenmesi hakkında sizi bilgilendirir.

Kişisel veriler, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgidir (ör. ad, iletişim bilgileri, cihaz tanımlayıcıları, kullanım verileri).

  1. Veri işleme faaliyetlerinin ayrıntıları

3.1 Web sitemizin ziyaret edilmesi

Web sitemizi ziyaret ettiğinizde, tarayıcınızın sunucumuza ilettiği teknik bağlantı verilerini (ör. IP adresi, tarayıcı türü, görüntülenen sayfalar, zaman damgası) otomatik olarak topluyoruz. Bu veriler yalnızca web sitesinin işletilmesi, güvenliği ve teknik optimizasyonu için kullanılır ve kural olarak 90 gün sonra silinir.

Hukuki dayanak: GDPR Madde 6(1)(f), TTDSG § 25(2)(2).

3.2 Uygulama mağazalarından indirme

Uygulamanın indirilmesi sırasında bazı veriler (ör. App Store kimliği, e-posta adresi, cihaz numarası) ilgili uygulama mağazası işletmecisine (Apple, Google) iletilir. Bu işleme üzerinde herhangi bir etkimiz yoktur; lütfen ilgili mağazanın gizlilik bildirimlerini dikkate alın.

3.3 Uygulamanın kullanımı

Uygulamanın kullanımı sırasında, uygulamanın istikrarlı ve güvenli bir şekilde işletilmesi için gerekli olan teknik cihaz verilerini, kullanım istatistiklerini ve log verilerini işleriz. Bu kapsamda kullanılan altyapı ve izleme hizmetleri (AWS, Supabase, Sentry, Shorebird) için ekteki hizmet sağlayıcı dizinine bakınız.

Hukuki dayanak: GDPR Madde 6(1)(f).

3.4 Kayıt ve kullanıcı hesabı

Bir kullanıcı hesabı oluşturduğunuzda; temel ve iletişim verilerinizi (ör. ad, e-posta adresi), erişim verilerinizi, hesap ayarlarınızı ve uygulama kullanımı kapsamında girdiğiniz veya oluşturduğunuz tüm içerikleri (ör. konuşma geçmişi, tercihler) işleriz. Bu veriler, aktif sözleşme ilişkisi süresince saklanır ve hesabın silinmesinden sonra yasal saklama sürelerine uygun olarak kaldırılır. Bu, kayıtlı podcast oynatma geçmişini (bölüm kimliği, zaman damgası, oynatma ilerlemesi) de kapsar.

Hukuki dayanak: GDPR Madde 6(1)(b).

3.5 Uygulama içi satın almalar ve abonelikler

Ödeme işlemleri, ilgili uygulama mağazası (Apple, Google) veya RevenueCat üzerinden yürütülür. Biz yalnızca işlemle ilgili onay verilerini (ör. işlem kimliği, abonelik durumu) alırız. Eksiksiz ödeme verilerini (ör. kredi kartı numaraları) işlemeyiz. RevenueCat'e ilişkin ayrıntıları ekte bulabilirsiniz.

Hukuki dayanak: GDPR Madde 6(1)(b) ve (c).

3.6 İletişim ve müşteri desteği

Bizimle iletişime geçtiğinizde — e-posta, iletişim formu veya uygulama içi destek üzerinden — iletişim verilerinizi ve talebinizin içeriğini, talebin işlenmesi ve belgelenmesi amacıyla işleriz. Uygulama içi destek için Intercom kullanıyoruz (ayrıntılar ekte). Salt destek yazışmaları kural olarak 24 ay sonra silinir.

Hukuki dayanak: GDPR Madde 6(1)(b) ve (f).

3.7 Uygulama izinleri ve özel nitelikli veri kategorileri

Cihaz izinleri: Uygulamanın belirli işlevleri, işletim sistemi düzeyinde izinler gerektirir (ör. sesli girişler için mikrofon, fotoğraf yüklemek için kamera, konuma dayalı hizmetler için konum, anlık bildirimler). Verdiğiniz izinleri dilediğiniz zaman cihazınızın ayarlarından geri alabilirsiniz.

Hukuki dayanak: Sözleşmenin ifası için gerekli izinler bakımından GDPR Madde 6(1)(b); isteğe bağlı izinler bakımından GDPR Madde 6(1)(a) ile bağlantılı olarak TTDSG § 25(1) (rıza).

Sağlık ve fitness verileri: Bunu uygulama ayarlarında açıkça etkinleştirmeniz hâlinde, sağlık ve fitness verilerini (ör. adım sayısı, kalp atış hızı, antrenman aktiviteleri) işleriz. Bu veriler, GDPR Madde 9 anlamında özel nitelikli bir kişisel veri kategorisi oluşturur ve yalnızca açık rızanıza dayanılarak işlenir. Bu rızayı dilediğiniz zaman uygulama ayarlarından geri çekebilirsiniz.

Hukuki dayanak: GDPR Madde 9(2)(a) ile bağlantılı olarak Madde 6(1)(a).

  1. Yapay zekâ hizmetleri ve harici içerik sağlayıcıları

Size akıllı işlevler (ör. sesli konuşmalar, haber arama, medya içerikleri) sunabilmek için uzmanlaşmış üçüncü taraf sağlayıcılarla çalışıyoruz. Bu kapsamda girdiler (metin, ses, meta veriler) ilgili sağlayıcılara iletilir. Tüm sağlayıcılarla GDPR Madde 28 uyarınca veri işleme sözleşmeleri (AVV) imzaladık ve verilerinizin yapay zekâ modellerinin eğitiminde kullanılmamasını sözleşmeyle güvence altına aldık.

Kullanılan hizmetler ekte kategorilere göre gruplandırılarak listelenmiştir: Yapay zekâ & dil (OpenAI, ElevenLabs, LiveKit), Arama & içerik (Perplexity, Tavily, Brave Search, NewsAPI), Analiz & bağlam (Google Gemini, Vertex AI), Bildirimler (OneSignal), Haritalar (Google Maps) ile Eğlence & medya (YouTube, Radio Browser, Podcast Index).

Hukuki dayanak: İşlevler için gerekli hizmetler bakımından GDPR Madde 6(1)(b); kişiselleştirilmiş içerik veya izleme (tracking) içeren hizmetler bakımından GDPR Madde 6(1)(a).

  1. Çerezler, izleme ve reklam ölçümü

Web sitemizde, advertorial'larda ve diğer dijital mecralarımızda çerezler ve benzer teknolojiler kullanıyoruz.

Teknik olarak zorunlu teknolojiler, hizmetlerimizin işletilmesi için mutlaka gerekli oldukları ölçüde rıza alınmaksızın kullanılır (GDPR Madde 6(1)(f), TTDSG § 25(2)(2)).

Analiz ve reklam teknolojileri yalnızca rızanıza dayanılarak kullanılır (GDPR Madde 6(1)(a) ile bağlantılı olarak TTDSG § 25(1)). Rızanızı dilediğiniz zaman çerez ayarları aracımız üzerinden geri çekebilirsiniz.

Ayrıntıları ekte yer alan şu hizmetleri kullanıyoruz: Google Analytics (web sitesi & advertorial'lar), Meta Pixel (web sitesi & advertorial'lar), Taboola Pixel (advertorial'lar), Mixpanel (uygulama analizi), Adjust (uygulama atribüsyonu).

  1. Alıcılar ve veri işleyenler

GDPR Madde 28 uyarınca harici hizmet sağlayıcıları veri işleyen olarak kullanıyoruz. Bunlar kişisel verileri yalnızca bizim talimatımız doğrultusunda işler. AB/AEA dışında yerleşik hizmet sağlayıcıların kullanılması hâlinde, veri aktarımını AB-ABD Veri Gizliliği Çerçevesi'ne (sağlayıcının sertifikalı olması kaydıyla) veya AB Standart Sözleşme Maddeleri'ne (SCC) dayandırırız. İlgili aktarım dayanaklarına ilişkin ayrıntıları ekteki hizmet sağlayıcı dizininde bulabilirsiniz.

  1. Saklama süresi ve silme

Kişisel verileri yalnızca ilgili amaç için gerekli olduğu sürece işleriz. Bu politikada özel bir saklama süresi belirtilmediği sürece veriler, amacın ortadan kalkmasıyla — veya yasal saklama yükümlülüklerinin (ticaret ve vergi hukuku uyarınca tipik olarak 6 veya 10 yıl) bulunması hâlinde bu sürelerin dolmasından sonra — silinir.

  1. İlgili kişi olarak haklarınız

Bize karşı şu haklara sahipsiniz: Bilgi edinme (Madde 15), düzeltme (Madde 16), silme (Madde 17), işlemenin kısıtlanması (Madde 18), veri taşınabilirliği (Madde 20), itiraz (Madde 21) ve verilmiş rızaların geri çekilmesi (GDPR Madde 7(3)). Haklarınızı kullanmak için 1. bölümde belirtilen iletişim bilgilerine şekle bağlı olmayan bir bildirim göndermeniz yeterlidir.

  1. GDPR Madde 21 uyarınca itiraz hakkı

Verileri GDPR Madde 6(1)(f) (meşru menfaat) temelinde işlediğimiz ölçüde, özel durumunuzdan kaynaklanan nedenlerle dilediğiniz zaman itiraz etme hakkına sahipsiniz. Bu durumda, menfaatlerinize ağır basan zorlayıcı korunmaya değer nedenler ortaya koyamadığımız sürece işlemeyi durdururuz. Doğrudan pazarlama amaçlı işlemeye karşı, herhangi bir gerekçe göstermeksizin dilediğiniz zaman itiraz edebilirsiniz.

  1. Şikâyet hakkı

Bir veri koruma denetim makamına şikâyette bulunma hakkına sahipsiniz (GDPR Madde 77). Şirket merkezimiz için yetkili makam:

Berliner Beauftragte für Datenschutz und Informationsfreiheit Alt-Moabit 59–61, 10555 Berlin · www.datenschutz-berlin.de

  1. Otomatik karar verme

GDPR Madde 22 anlamında, profilleme dâhil otomatik karar verme, münferit durumda açıkça aksi belirtilmedikçe gerçekleşmez. Belirli verilerin (ör. kayıt ve ödeme verileri) sağlanması uygulamanın kullanımı için gereklidir; bu veriler olmadan uygulama kullanılamaz veya yalnızca sınırlı olarak kullanılabilir.

  1. Sosyal medya ve dijital yayınlar

Facebook, Instagram, YouTube, LinkedIn, TikTok ve X'te (eski adıyla Twitter) profiller ile Substack'te bir bülten kanalı işletiyoruz. Bu profilleri ziyaret ettiğinizde, ilgili platform işletmecileri verileri, üzerinde etkimiz olmayan kendi gizlilik hükümlerine göre işler. Bu kanallar üzerinden bize ilettiğiniz kişisel verileri yalnızca iletişim ve taleplerin yanıtlanması amacıyla işleriz.

Hukuki dayanak: GDPR Madde 6(1)(f). Substack bülteni için ek olarak GDPR Madde 6(1)(a) (rıza); bültendeki abonelikten çıkma bağlantısı üzerinden dilediğiniz zaman abonelikten çıkabilirsiniz.

Facebook / Instagram: Meta Platforms Ireland Ltd., Dublin, İrlanda https://www.facebook.com/privacy/policy

YouTube: Google Ireland Limited, Dublin, İrlanda https://policies.google.com/privacy

LinkedIn: LinkedIn Ireland Unlimited Company, Dublin, İrlanda https://de.linkedin.com/legal/privacy-policy

TikTok: TikTok Technology Limited, Dublin, İrlanda https://www.tiktok.com/legal/privacy-policy

X: X Corp., San Francisco, ABD https://x.com/privacy

Substack: Substack, Inc., New York, ABD https://substack.com/privacy

  1. Veri güvenliği

Verilerinizi kayıp, imha, yetkisiz erişim ve kötüye kullanıma karşı korumak için uygun teknik ve organizasyonel önlemler alıyoruz (bunlar arasında TLS/HTTPS şifrelemesi, erişim kısıtlamaları, güvenlik duvarı sistemleri ve düzenli güvenlik denetimleri yer alır).

  1. Bu politikanın güncelliği

Bu gizlilik politikası Haziran 2026 tarihlidir. Hukuki durumda, hizmetlerimizde veya teknik gelişmelerde değişiklik olması hâlinde politikayı uyarlama hakkımızı saklı tutarız. Güncel sürüm her zaman uygulamada ve web sitemizde erişilebilir durumdadır.

Ek: Hizmet sağlayıcı dizini

Kullanılan tüm üçüncü taraf sağlayıcılar aşağıda tek tip zorunlu alanlarla listelenmiştir. ABD'ye yapılan üçüncü ülke aktarımlarını AB-ABD Veri Gizliliği Çerçevesi'ne (DPF, sertifikalı olduğu ölçüde) veya AB Standart Sözleşme Maddeleri'ne (SCC) dayandırırız.

A. Yapay zekâ & dil hizmetleri

OpenAI

Amaç: Dil anlama, diyalog yönetimi, yanıt üretimi.

İşlenen veriler: Metin girişleri, konuşma geçmişi, meta veriler.

Sağlayıcı: OpenAI Ireland Ltd., İrlanda / OpenAI, L.L.C., ABD.

Hukuki dayanak: GDPR Madde 6(1)(b).

Üçüncü ülke aktarımı: ABD. Dayanak: SCC.

ElevenLabs

Amaç: Metinden sese sentez (yapay zekâ metin yanıtlarının sese dönüştürülmesi).

İşlenen veriler: Yapay zekâ yanıtlarının metin içerikleri.

Sağlayıcı: Eleven Labs Inc., ABD.

Hukuki dayanak: GDPR Madde 6(1)(b).

Üçüncü ülke aktarımı: ABD. Dayanak: SCC.

LiveKit Cloud

Amaç: Uygulamadaki sesli konuşmalar için gerçek zamanlı ses aktarımı (WebRTC taşıma hizmeti).

İşlenen veriler: Aktif sesli oturumlar sırasındaki ses akışları, teknik bağlantı verileri (IP adresi, oturum kimliği, ağ verileri).

Sağlayıcı: LiveKit, Inc., San Francisco, ABD.

Hukuki dayanak: GDPR Madde 6(1)(b).

Üçüncü ülke aktarımı: ABD. Dayanak: SCC.

Not: LiveKit salt taşıma hizmeti olarak hareket eder; ses akışları kalıcı olarak saklanmaz.

B. Arama & gerçek zamanlı bilgiler

Perplexity AI

Amaç: Haberlerin ve arama sorgularının yapay zekâ destekli özetlenmesi (model: sonar-pro).

İşlenen veriler: Metin girişi olarak arama sorguları, meta veriler.

Sağlayıcı: Perplexity AI, Inc., ABD.

Hukuki dayanak: GDPR Madde 6(1)(b).

Üçüncü ülke aktarımı: ABD. Dayanak: SCC.

Tavily

Amaç: Yapay zekâ ajanları için uzmanlaşmış gerçek zamanlı arama motoru.

İşlenen veriler: Metin girişi olarak arama sorguları.

Sağlayıcı: Tavily Ltd., İsrail.

Hukuki dayanak: GDPR Madde 6(1)(b).

Üçüncü ülke aktarımı: İsrail. Dayanak: AB Komisyonu'nun yeterlilik kararı.

Brave Search

Amaç: Yapay zekâ destekli konuşma işlevleri için bağımsız web araması.

İşlenen veriler: Anonimleştirilmiş arama sorguları, IP adresi (sunucu tarafında anonimleştirilir).

Sağlayıcı: Brave Software, Inc., San Francisco, ABD.

Hukuki dayanak: GDPR Madde 6(1)(b).

Üçüncü ülke aktarımı: ABD. Dayanak: SCC.

Not: Brave Search kullanıcıya dayalı arama profilleri oluşturmaz.

NewsAPI / Mediastack

Amaç: Ham haber verilerinin sağlanması (manşetler, haber akışları).

İşlenen veriler: Sorgu parametreleri, IP adresi.

Sağlayıcı: NewsAPI, ABD / apilayer, ABD/AB.

Hukuki dayanak: GDPR Madde 6(1)(b).

Üçüncü ülke aktarımı: ABD. Dayanak: SCC.

C. Yapay zekâ analizi & bağlam

Google Gemini

Amaç: Haber içeriklerinin analizi, özetlerin oluşturulması, bağlam yönetimi.

İşlenen veriler: Metin girişleri, konuşma bağlamı, meta veriler.

Sağlayıcı: Google Ireland Limited, Dublin, İrlanda / Google LLC, ABD.

Hukuki dayanak: GDPR Madde 6(1)(b).

Üçüncü ülke aktarımı: ABD. Dayanak: DPF / SCC.

Google Vertex AI

Amaç: Yapay zekâ modellerinin barındırılması ve çıkarımı (metin işleme, gömme (embedding) üretimi, bağlamsal analiz).

İşlenen veriler: Metin girişleri, gömme vektörleri, meta veriler.

Sağlayıcı: Google Ireland Limited, Dublin, İrlanda / Google LLC, ABD.

Hukuki dayanak: GDPR Madde 6(1)(b).

Üçüncü ülke aktarımı: ABD. Dayanak: DPF / SCC.

Not: Vertex AI ve Google Gemini aynı Google Cloud altyapısı üzerinde işletilir; aynı veri işleme sözleşmesi (AVV) geçerlidir.

D. Anlık bildirimler & e-posta

OneSignal

Amaç: Anlık bildirimlerin ve işlemsel e-postaların gönderimi; isteğe bağlı pazarlama iletişimi.

İşlenen veriler: Push token, cihaz ve işletim sistemi verileri, gönderim ve açılma zaman damgaları, etkileşim verileri.

Sağlayıcı: OneSignal, Inc., San Mateo, ABD.

Hukuki dayanak: İşlemsel mesajlar için GDPR Madde 6(1)(b); pazarlama bildirimleri için GDPR Madde 6(1)(a) ile bağlantılı olarak TTDSG § 25(1) (rıza).

Üçüncü ülke aktarımı: ABD. Dayanak: SCC.

E. Haritalar & konum

Google Maps

Amaç: Uygulama içinde haritaların gösterimi ve konuma dayalı işlevler.

İşlenen veriler: Sorgu parametreleri (adres, koordinatlar), IP adresi, konum verileri (izin verilmişse).

Sağlayıcı: Google Ireland Limited, Dublin, İrlanda / Google LLC, ABD.

Hukuki dayanak: Harita tabanlı işlevler için GDPR Madde 6(1)(b); konum verileri için GDPR Madde 6(1)(a) (rıza).

Üçüncü ülke aktarımı: ABD. Dayanak: DPF / SCC.

F. Eğlence & medya içerikleri

YouTube

Amaç: Uygulamada video içeriklerinin yerleştirilmesi ve oynatılması.

İşlenen veriler: IP adresi, cihaz bilgileri, görüntülenen video kimlikleri, zaman damgaları, etkileşim verileri.

Sağlayıcı: Google Ireland Limited, Dublin, İrlanda / Google LLC, ABD.

Hukuki dayanak: GDPR Madde 6(1)(a) ile bağlantılı olarak TTDSG § 25(1) (rıza). İçerikler ancak kullanıcının aktif eylemi sonrasında yüklenir.

Üçüncü ülke aktarımı: ABD. Dayanak: DPF / SCC.

Radio Browser

Amaç: İstasyon seçimi ve oynatma için açık bir internet radyosu dizininin sorgulanması.

İşlenen veriler: IP adresi, arama sorgusu parametreleri (ülke, tür), zaman damgası.

Sağlayıcı: Topluluk tarafından işletilen açık kaynak projesi (api.radio-browser.info), merkezî ticari bir işletmecisi yoktur.

Hukuki dayanak: GDPR Madde 6(1)(b).

Üçüncü ülke aktarımı: Ağırlıklı olarak AB sunucuları; merkezî olmayan işletmeci modeli nedeniyle üçüncü ülkeye aktarım tamamen dışlanamaz.

Not: Oynatma sırasında uygulama, ilgili podcast sağlayıcısının barındırma sunucusuna doğrudan bağlanır. Bu sağlayıcılar bu sırada IP adresini, cihaz bilgilerini, zaman damgasını ve erişilen bölümü alır. Bu kapsamda GDPR Madde 4(7) anlamında bağımsız veri sorumlusu olarak hareket ederler. Onların veri işlemesi üzerinde herhangi bir etkimiz yoktur.

Podcast Index

Amaç: Podcast içeriklerinin gösterimi ve oynatılması için açık bir podcast dizininin sorgulanması.

İşlenen veriler: IP adresi, API sorgu parametreleri (arama terimi, kategori, podcast kimliği), zaman damgası.

Sağlayıcı: Podcast Index LLC, ABD.

Hukuki dayanak: GDPR Madde 6(1)(b).

Üçüncü ülke aktarımı: ABD. Dayanak: SCC.

Not: Oynatma sırasında uygulama, podcast sağlayıcısının barındırma sunucusuna doğrudan bağlanır. Bu veri işleme üzerinde herhangi bir etkimiz yoktur.

G. Destek & müşteri iletişimi

Intercom

Amaç: Uygulama içi sohbet ve destek sistemi, destek taleplerinin yönetimi, uygulama içi bildirimler.

İşlenen veriler: Ad, e-posta adresi, destek konuşma içerikleri, zaman damgaları, kullanıcı kimliği, cihaz bilgileri, uygulama sürümü, IP adresi.

Sağlayıcı: Intercom R&D Unlimited Company, Dublin, İrlanda / Intercom, Inc., San Francisco, ABD.

Hukuki dayanak: GDPR Madde 6(1)(b).

Üçüncü ülke aktarımı: ABD. Dayanak: SCC.

H. Abonelikler & ödeme işlemleri

RevenueCat

Amaç: Uygulama içi aboneliklerin yönetimi, işlemlerin doğrulanması, abonelik durumunun platformlar arası senkronizasyonu.

İşlenen veriler: İşlem kimliği, App Store makbuzu (receipt), abonelik durumu, anonim kullanıcı kimliği, cihaz türü, işletim sistemi.

Sağlayıcı: RevenueCat, Inc., San Leandro, ABD.

Hukuki dayanak: GDPR Madde 6(1)(b).

Üçüncü ülke aktarımı: ABD. Dayanak: SCC.

Not: RevenueCat eksiksiz ödeme verilerini almaz; ödeme işlemleri yalnızca ilgili uygulama mağazası tarafından gerçekleştirilir.

I. Analiz & atribüsyon

Mixpanel

Amaç: Uygulama kullanım analizi (ör. kullanılan işlevler, tamamlanma oranları, kullanım sıklığı), kullanım kohortlarının oluşturulması.

İşlenen veriler: Takma adlı kullanıcı kimliği (Distinct ID), olay verileri, cihaz bilgileri, IP adresi (coğrafi konumlandırmadan sonra silinir).

Sağlayıcı: Mixpanel, Inc., San Francisco, ABD.

Hukuki dayanak: GDPR Madde 6(1)(a) ile bağlantılı olarak TTDSG § 25(1) (rıza).

Üçüncü ülke aktarımı: ABD. Dayanak: DPF (Mixpanel sertifikalıdır).

Adjust

Amaç: Uygulama yüklemelerinin ve uygulama içi olayların ölçümü, pazarlama kanallarıyla eşleştirme (atribüsyon), dolandırıcılık önleme.

İşlenen veriler: Cihaz tanımlayıcıları (rıza verilmişse IDFA/GAID), IP adresi, zaman damgası, uygulama sürümü, kampanya parametreleri.

Sağlayıcı: Adjust GmbH, Berlin, Almanya (AppLovin Corporation'ın (ABD) bağlı kuruluşu).

Hukuki dayanak: GDPR Madde 6(1)(a) ile bağlantılı olarak TTDSG § 25(1) (rıza). Apple cihazlarında yalnızca ATT rızası sonrasında.

Üçüncü ülke aktarımı: Öncelikle Almanya; gerektiğinde ABD (AppLovin). Dayanak: SCC.

J. İzleme & reklam ölçümü

Google Analytics

Amaç: Web sitemizin, advertorial'larımızın ve diğer dijital mecralarımızın kullanımının analizi; içeriklerin ve reklam faaliyetlerinin optimizasyonu.

İşlenen veriler: Görüntülenen sayfalar, kullanım davranışı (sayfada kalma süresi, tıklamalar), yaklaşık konum, IP adresi, teknik cihaz verileri, rastgele oluşturulmuş kullanıcı kimliği.

Sağlayıcı: Google Ireland Limited, Dublin, İrlanda / Google LLC, ABD.

Hukuki dayanak: GDPR Madde 6(1)(a) ile bağlantılı olarak TTDSG § 25(1) (rıza).

Üçüncü ülke aktarımı: ABD. Dayanak: DPF / SCC.

Meta Pixel

Amaç: Facebook ve Instagram reklam kampanyalarının başarı ölçümü, yeniden hedefleme (retargeting), kampanya optimizasyonu.

İşlenen veriler: Görüntülenen sayfalar, IP adresi, teknik cihaz verileri, takma adlı kullanıcı kimliği, reklam tıklama kimliği.

Sağlayıcı: Meta Platforms Ireland Limited, Dublin, İrlanda.

Hukuki dayanak: GDPR Madde 6(1)(a) ile bağlantılı olarak TTDSG § 25(1) (rıza).

Üçüncü ülke aktarımı: ABD. Dayanak: SCC.

Taboola Pixel

Amaç: Native reklam kampanyaları (özellikle advertorial'lar) için dönüşüm takibi ve yeniden hedefleme, kampanya optimizasyonu.

İşlenen veriler: IP adresi, görüntülenen sayfalar ve dönüşüm olayları, takma adlı kullanıcı kimliği (Click-ID), zaman damgası, teknik cihaz verileri.

Sağlayıcı: Taboola.com Ltd., New York, ABD / Taboola Europe Limited, Londra, Birleşik Krallık.

Hukuki dayanak: GDPR Madde 6(1)(a) ile bağlantılı olarak TTDSG § 25(1) (rıza).

Üçüncü ülke aktarımı: ABD. Dayanak: SCC.

K. Altyapı & izleme

Amazon Web Services (AWS)

Amaç: Backend sistemleri için bulut altyapısı ve barındırma platformu (işlem kapasitesi, depolama, ağ hizmetleri).

İşlenen veriler: AWS üzerinde barındırılan sistemlerde işlenen tüm kişisel veriler (§§ 3.3 ve 3.4 uyarınca).

Sağlayıcı: Amazon Web Services EMEA SARL, Lüksemburg / Amazon Web Services, Inc., ABD.

Hukuki dayanak: GDPR Madde 6(1)(b) ve (f).

Üçüncü ülke aktarımı: Birincil bölge: eu-central-1 (Frankfurt, Almanya). Veriler AB içinde tutulur. AB dışından destek erişimlerinde: SCC.

Not: AWS, ISO 27001 ve SOC 2 sertifikalarına sahiptir ve AB-ABD Veri Gizliliği Çerçevesi'nde listelidir.

Supabase

Amaç: Veritabanı barındırma, kullanıcı kimlik doğrulaması, sunucu tarafı veri depolama, dosya saklama.

İşlenen veriler: Kullanıcı hesabında saklanan tüm kişisel veriler (§§ 3.3 ve 3.4 uyarınca).

Sağlayıcı: Supabase, Inc., ABD (işletim: AWS eu-central-1, Frankfurt).

Hukuki dayanak: GDPR Madde 6(1)(b) ve (f).

Üçüncü ülke aktarımı: Öncelikle AB (Frankfurt). ABD'ye aktarım hâlinde: SCC.

Sentry

Amaç: Gerçek zamanlı hata tespiti (crash reporting), performans izleme, teknik sorunların teşhisi.

İşlenen veriler: Hata mesajları, stack trace'ler, cihaz bilgileri, uygulama sürümü, anonimleştirilmiş kullanıcı kimliği, IP adresi (sunucu tarafında kısaltılır).

Sağlayıcı: Functional Software, Inc. dba Sentry, San Francisco, ABD.

Hukuki dayanak: GDPR Madde 6(1)(f).

Üçüncü ülke aktarımı: ABD. Dayanak: SCC.

Not: Sentry, hata raporlarına kullanıcı içeriklerinin (ör. sohbet mesajları) girmeyeceği ve IP adreslerinin anonimleştirileceği şekilde yapılandırılmıştır.

Shorebird

Amaç: Uygulama güncellemelerinin App Store incelemesi olmaksızın doğrudan son cihazlara iletilmesi (OTA / code push).

İşlenen veriler: Uygulama sürümü, cihaz türü, işletim sistemi, anonim cihaz kimliği, zaman damgası.

Sağlayıcı: Shorebird, Inc., ABD.

Hukuki dayanak: GDPR Madde 6(1)(b) ve (f).

Üçüncü ülke aktarımı: ABD. Dayanak: SCC.