Gizlilik Politikası
§ 1 Veri sorumlusu
GVKT anlamında veri sorumlusu:
Jasser Seyam
Spracho – Dolmetscher Vermittlungsplattform
Bireysel girişimci (ticari işletme)
Donnerschweer Str. 158
26123 Oldenburg, Almanya genelinde
E-posta support@spracho.de
Telefon: +49 172 8198349
Yasal gereklilikler (§ 38 BDSG) henüz karşılanmadığı için şu anda bir veri koruma görevlisi atanmamıştır. Veri koruma hukuku ile ilgili sorularınız için lütfen yukarıda belirtilen e-posta adresine başvurun.
§ 2 Amaçlar, hukuki dayanaklar ve meşru menfaatler
| İşleme amacı | Hukuki dayanak | Meşru menfaat (Madde 6 Fıkra 1 bent f durumunda) |
|---|---|---|
| Platformun sağlanması, kayıt, hesap yönetimi | GVKT Madde 6 Fıkra 1 bent b (sözleşmenin ifası / sözleşme öncesi tedbirler) | — |
| Rezervasyon aracılığı, randevu yönetimi, iletişim bilgisi aktarımı | GVKT Madde 6 Fıkra 1 bent b | — |
| Ödeme işleme (platform ücreti, tercüman ücreti, işlem maliyetleri) Stripe üzerinden | GVKT Madde 6 Fıkra 1 bent b | — |
| Twilio üzerinden telefon numarasının SMS-OTP doğrulaması | GVKT Madde 6 Fıkra 1 bent b | — |
| Şifreli uygulama içi iletişim (sohbet) | GVKT Madde 6 Fıkra 1 bent b | — |
| Sistem e-postaları (rezervasyon onayları, hatırlatmalar, faturalar) | GVKT Madde 6 Fıkra 1 bent b | — |
| Telegram bildirimleri (isteğe bağlı, onay sonrası) | GVKT Madde 6 Fıkra 1 bent a (onay); üçüncü ülke aktarımı: GVKT Madde 49 Fıkra 1 bent a | — |
| Değerlendirmeler ve rozetler | GVKT Madde 6 Fıkra 1 bent b/f | Kalite güvencesi, güven oluşturma |
| Güvenlik, suistimal önleme, dolandırıcılık önleme, gelmeme takibi | GVKT Madde 6 Fıkra 1 bent f | Platform ve kullanıcıların dolandırıcılık ve suistimale karşı korunması |
| Faturalandırma, muhasebe, vergisel saklama | GVKT Madde 6 Fıkra 1 bent c (yasal yükümlülük: §§ 147 AO, 257 HGB, 14b UStG) | — |
| PStTG/DAC7 bildirim yükümlülükleri (vergi şeffaflığı) | GVKT Madde 6 Fıkra 1 bent c (yasal yükümlülük: PStTG) | — |
| Günlük kaydı (IP adresleri, zaman damgaları, sunucu günlükleri) | GVKT Madde 6 Fıkra 1 bent f | BT güvenliği, hata analizi, saldırı savunması |
| Özel kategorilerde kişisel verilerin işlenmesi (Madde 9) | GVKT Madde 9 Fıkra 2 bent a (açık onay) | — |
| İsteğe bağlı çerezler (istatistik/pazarlama), etkinleştirilmişse | GVKT Madde 6 Fıkra 1 bent a (onay) | — |
§ 3 Veri kategorileri ve saklama süreleri
| Veri kategorisi | Örnekler | Kaydet |
|---|---|---|
| Temel veriler | Ad, e-posta, telefon numarası, şifre (hash'lenmiş) | Hesap silinene kadar; vergiye ilişkin veriler: 10 yıl (§ 147 AO) |
| Çevirmen bul | Fotoğraf, diller, müsaitlik, saatlik ücret, şehir, doğum tarihi | Hesap silinene kadar; fotoğraf meta verileri yükleme sırasında hemen kaldırılır |
| Rezervasyonu İptal Et | Randevu, süre, buluşma noktası/adres, konu/notlar, durum, fatura verileri | 10 yıl (vergisel saklama, §§ 147 AO, 14b UStG); ticari yazışmalar: 6 yıl (§ 257 HGB) |
| Adım | Müşteri ile tercüman arasında şifreli mesajlar | Randevu bitiminden 2 gün sonra otomatik silme |
| Rezervasyonu İptal Et | Stripe işlem kimlikleri, yetkilendirme durumu (Spracho'da kart numarası saklanmaz) | 10 yıl (vergi saklama) |
| Doğrulama verileri | SMS-OTP kodları, e-posta doğrulama kodları | 5 veya 15 dakika geçerlilik; kullanımdan veya süreden sonra silinir |
| Rezervasyonu İptal Et | Yıldız değerlendirmesi (1–5), yorum, anonimlik işareti | Hesap silinene veya değerlendirme kaldırılana kadar |
| Telegram verileri | Telegram sohbet kimliği, bağlantı tokeni | Bağlantı kaldırılana kadar |
| Günlük verileri | IP adresi, tarayıcı/User-Agent, zaman damgası, ziyaret edilen sayfalar | 90 gün (sunucu günlükleri); güvenlik olaylarında daha uzun |
| Onay verileri | GK/gizlilik politikası/Madde 9 onayının zaman damgası, anonimleştirilmiş IP, User-Agent | Hesap silindikten 3 yıl sonra (GDPR Madde 7 Paragraf 1 ispat yükümlülüğü) |
| PStTG bildirim verileri | Vergi kimlik numarası, adres, doğum tarihi, banka bilgileri, ciro | 10 yıl (vergi saklama) |
§ 4 Özel kategorilerde kişisel veriler (GVKT Madde 9)
Tercümanlık hizmetlerinin doğası gereği (örn. doktor randevuları, resmi kurum randevuları, mahkeme duruşmaları, terapi seansları), platform kullanımı kapsamında, özellikle rezervasyon notlarında ve şifreli sohbette, GVKT Madde 9 Fıkra 1 anlamında özel kategorilerde kişisel veriler işlenebilir. Bunlar özellikle sağlık verileri, dini inançlara, etnik kökene veya siyasi görüşlere ilişkin verileri kapsar.
Hukuki dayanak: İşleme, kayıt sırasında ayrı bir onay kutusunu aktif olarak işaretleyerek verdiğiniz GVKT Madde 9 Fıkra 2 bent a uyarınca açık onayınıza dayanmaktadır.
Geri çekme: Bu onayı, support@spracho.de adresinden bize ulaşarak gelecek için geçerli olacak şekilde istediğiniz zaman geri çekebilirsiniz. Geri çekme, geri çekmeye kadar gerçekleştirilen işlemenin hukuka uygunluğunu etkilemez. Tercümanlık hizmetlerinde bu tür verilerin işlenmesi sistem gereği dışlanamayacağından, geri çekme platformun artık kullanılamaması sonucunu doğurur.
Koruma önlemleri: Rezervasyon notları yalnızca ilgili taraflar tarafından görülebilir. Sohbet mesajları Fernet şifreli olarak saklanır ve randevu bitiminden 2 gün sonra otomatik ve geri dönüşümsüz olarak silinir. Tercümanlar sözleşmesel bir gizlilik yükümlülüğüne tabidir (GK § 13).
§ 5 Uygulama içi sohbet (şifreleme ve otomatik silme)
Platform, bir rezervasyonun kabulünden sonra müşteri ile tercüman arasında şifreli bir sohbet fonksiyonu sunar.
- Şifreleme: Tüm sohbet mesajları saklanmadan önce simetrik Fernet şifreleme (AES-128-CBC ve HMAC-SHA256 tabanlı) ile şifrelenir. Spracho'nun saklanan mesajların düz metnine erişimi yoktur.
- Aktarım: Tarayıcınız ile sunucumuz arasındaki iletişim HTTPS/TLS üzerinden gerçekleşir.
- Otomatik silme: Veri minimizasyonu ilkesi (GVKT Madde 5 Fıkra 1 bent c) uyarınca tüm sohbet mesajları, rezerve edilen randevunun sona ermesinden 2 gün sonra otomatik ve geri dönüşümsüz olarak kalıcı olarak silinir. Kurtarma mümkün değildir.
- Hukuki dayanak: GVKT Madde 6 Fıkra 1 bent b (sözleşmenin ifası, tercümanlık randevusunun koordinasyonu).
§ 6 Müşteri ve tercüman arasında veri aktarımı
Rezervasyonun gerçekleştirilmesi için gerekli verileri aşamalı olarak aktarırız (çok aşamalı görünürlük modeli):
| Aşama | Çevirmenler için | Müşteri için görünür |
|---|---|---|
| Arama sonuçları | — | Ad + baş harf (örn. "Anna M."), diller, şehir, saatlik ücret, fotoğraf |
| Başvurularınız | Randevu detayları (tarih, şehir, kurum, konu); müşteri adı gizli ("Gizli") | Çevirmenler için |
| Kabul edilen rezervasyon | Ad + baş harf, e-posta, telefon, kesin adres | Ad + baş harf, e-posta, telefon, kesin adres |
Bu aşamalı ifşa veri minimizasyonuna hizmet eder. Kabul edilen rezervasyonda veri aktarımı olmadan sözleşmenin ifası mümkün değildir (GVKT Madde 6 Fıkra 1 bent b).
§ 7 Alıcılar, veri işleyenler ve üçüncü taraf sağlayıcılar
Kişisel verileri yalnızca belirtilen amaçlar için gerekli olduğu ölçüde aktarırız. Tüm veri işleyenlerle GVKT Madde 28 uyarınca veri işleme sözleşmeleri (VİS) akdetmiş bulunmaktayız.
| Hizmet | Sağlayıcı | Merkez / Sunucu konumu | Amaç | Aktarılan veriler | Üçüncü ülke aktarım koruması |
|---|---|---|---|---|---|
| Stripe | Stripe, Inc. | ABD; işleme kısmen AB'de (Stripe Payments Europe, Ltd., İrlanda) | Ödeme işleme (Auth & Hold, Capture, Refund) | Ad, e-posta, ödeme bilgileri, rezervasyon tutarı, IP adresi | AB-ABD Veri Gizliliği Çerçevesi (DPF); Stripe ile VİS |
| Twilio | Twilio, Inc. | ABD | Telefon numarasının SMS-OTP doğrulaması | Telefon numarası, doğrulama kodu, SMS teslim durumu | AB-ABD Veri Gizliliği Çerçevesi (DPF); Standart Sözleşme Maddeleri (SCC'ler); Twilio ile VİS |
| Telegram | Telegram FZ-LLC | Dubai, BAE (yeterlilik kararı yok) | İsteğe bağlı rezervasyon bildirimleri ve kabul/ret | Telegram sohbet kimliği, rezervasyon detayları (tarih, saat, yer, durum) | GVKT Madde 49 Fıkra 1 bent a uyarınca açık onay; isteğe bağlı |
| E-posta gönderimi (SMTP) | Strato AG | Almanya (sunucu konumu: DE) | Sistem e-postaları (onaylar, hatırlatmalar, faturalar) | E-posta adresi, ad, rezervasyon detayları | Üçüncü ülke aktarımı yok; Strato AG ile VİS |
| Web barındırma | Barındırma sağlayıcısı | AB / AEA | Sunucu altyapısı, veritabanı barındırma, yedekleme | Platformda işlenen tüm veriler | Barındırma sağlayıcısı ile VİS; sunucu konumu AB |
Bunun ötesinde veriler, yasal olarak gerekli olduğu ölçüde aşağıdaki alıcılara aktarılabilir:
- Mali idare / Federal Vergi Dairesi (PStTG bildirimleri, vergi denetimleri)
- Ceza soruşturma makamları (yasal yükümlülük durumunda)
- Mali müşavir (muhasebe için, meslek sırrı kapsamında)
§ 8 Üçüncü ülkelere aktarım (GVKT Madde 44–49)
Kişisel verilerin Avrupa Ekonomik Alanı (AEA) dışındaki ülkelere aktarımı yalnızca GVKT Madde 44–49'da belirtilen koşullar altında gerçekleşir:
| Almanya genelinde | İlgili hizmet | Koruma garantisi |
|---|---|---|
| ABD | Stripe, Twilio | AB-ABD Veri Gizliliği Çerçevesi (DPF) kapsamında sertifikalı şirketler için yeterlilik kararı (GVKT Madde 45); ek olarak Standart Sözleşme Maddeleri (SCC'ler, GVKT Madde 46 Fıkra 2 bent c) |
| BAE (Dubai) | Telegram | Yeterlilik kararı yok. Aktarım yalnızca GVKT Madde 49 Fıkra 1 bent a uyarınca açık onayınıza dayanmaktadır. Risk: BAE'de AB hukukuyla karşılaştırılabilir bir veri koruma düzeyi bulunmamaktadır. İlgili kişi hakları aynı ölçüde uygulanabilir olmayabilir. Bağlantı isteğe bağlıdır ve profil ayarlarından istediğiniz zaman geri çekilebilir. |
§ 9 Güvenlik önlemleri (GVKT Madde 32)
Verilerinizin korunması için uygun teknik ve organizasyonel önlemler (TOÖ'ler) alıyoruz, özellikle:
- Tüm veri aktarımları için HTTPS/TLS şifreleme ve güvenli bağlantı zorlama (HSTS);
- Saklanan sohbet mesajları için Fernet şifreleme (AES-128-CBC + HMAC-SHA256);
- Şifreler için PBKDF2 hash (düz metin saklama yok);
- Tüm formlar için CSRF koruması;
- SMS pumping'ini önlemek için SMS gönderimi hız sınırlaması (numara başına saatte en fazla 3, IP başına saatte en fazla 5);
- Manipülasyonu önlemek için HMAC-SHA256 imzalı Telegram geri çağırma verileri;
- Stripe webhook imza doğrulaması;
- Profil fotoğraflarında EXIF meta verilerinin otomatik kaldırılması;
- Erişim kısıtlamaları ve rol tabanlı yetkiler;
- 2 gün sonra sohbet mesajlarının otomatik silinmesi (veri minimizasyonu);
- Süre dolumundan sonra doğrulama kodlarının otomatik silinmesi/geçersiz kılınması;
- Onay kanıtlarının saklanmasında IP adreslerinin anonimleştirilmesi.
§ 10 Çerezler ve benzer teknolojiler
Teknik olarak gerekli çerezler kullanıyoruz. İsteğe bağlı çerezler (örn. istatistik veya pazarlama için) yalnızca açık onayınızla yerleştirilir. Onay olmadan isteğe bağlı çerez yerleştirilmez. İsteğe bağlı komut dosyaları ancak onayınızdan sonra yüklenir (komut dosyası engelleme).
10.1 Teknik olarak gerekli çerezler
| Ad | Amaç | Sağlayıcı | Kaydet | Kategori |
|---|---|---|---|---|
| sessionid | Oturum yönetimi (giriş, durum) | Spracho | Oturum (maks. yakl. 2 hafta) | Gerekli |
| csrftoken | Formlarda CSRF koruması | Spracho | 1 yıla kadar | Gerekli |
| django_language | Seçilen dili kaydeder | Spracho | 1 yıla kadar | Gerekli |
| cookie_consent | Çerez Ayarları | Spracho | 6 ay | Gerekli |
Stripe.js hakkında bilgilendirme: Ödeme sayfasında ödeme hizmet sağlayıcısı Stripe'ın komut dosyası (js.stripe.com) yüklenir. Bu, güvenli ödeme işlemi (PCI-DSS uyumluluğu) için teknik olarak gereklidir ve yalnızca ödeme sayfasında kullanılır, platformun diğer sayfalarında değil.
Çerez Ayarları
İlk ziyaretinizde bir çerez bildirimi gösteririz. Orada isteğe bağlı çerezleri kabul edebilir veya reddedebilirsiniz. Seçiminizi istediğiniz zaman alt bilgideki "Çerez ayarları" bağlantısından değiştirebilirsiniz.
§ 11 Haklarınız (GVKT Madde 15–22)
Veri sorumlusuna karşı kişisel verilerinizle ilgili aşağıdaki haklara sahipsiniz:
| Hak | Buluşma yeri (adres) | Hukuki dayanak |
|---|---|---|
| Bilgi alma | Tarafımızca işlenen veriler hakkında bilgi talep edebilirsiniz. | Art. 15 DSGVO |
| Düzeltme | Yanlış verilerin düzeltilmesini veya eksik verilerin tamamlanmasını talep edebilirsiniz. | Art. 16 DSGVO |
| Silme | Yasal saklama yükümlülükleri aksi gerektirmedikçe verilerinizin silinmesini talep edebilirsiniz. | Art. 17 DSGVO |
| Kısıtlama | Verilerinizin işlenmesinin kısıtlanmasını talep edebilirsiniz. | Art. 18 DSGVO |
| Veri taşınabilirliği | Verilerinizin yapılandırılmış, yaygın, makine tarafından okunabilir bir formatta (JSON) teslimini talep edebilirsiniz. | Art. 20 DSGVO |
| İtiraz | Meşru menfaatlere dayalı işlemeye (Madde 6 Fıkra 1 bent f) itiraz edebilirsiniz. | Art. 21 DSGVO |
| Onayın geri çekilmesi | Verdiğiniz onayları gelecek için geçerli olacak şekilde istediğiniz zaman geri çekebilirsiniz. | Art. 7 Abs. 3 DSGVO |
Haklarınızı kullanmak için lütfen support@spracho.de adresinden bize ulaşın. 30 gün içinde yanıt veririz (GVKT Madde 12 Fıkra 3).
Denetim makamına şikayet hakkı:
Bir veri koruma denetim makamına şikayette bulunma hakkınız vardır (GVKT Madde 77). Bizim için yetkili denetim makamı:
Aşağı Saksonya Eyalet Veri Koruma Sorumlusu (LfD Niedersachsen)
Prinzenstr. 5, 30159 Hannover
Telefon: +49 511 120-4500
E-posta poststelle@lfd.niedersachsen.de
Web: www.lfd.niedersachsen.de
§ 12 Otomatik karar alma ve profilleme (GVKT Madde 22)
Sizin üzerinizde hukuki etki doğuran veya sizi benzer şekilde önemli ölçüde etkileyen münhasıran otomatik karar alma (profilleme dahil) gerçekleşmemektedir. Tercümanlara rozet verilmesi objektif kriterlere dayanmaktadır (örn. tamamlanan görev sayısı, uzmanlık alanı) ve haklarınız üzerinde olumsuz bir etkisi yoktur.
§ 13 Hesap silme
Hesabınızın silinmesini istediğiniz zaman support@spracho.de adresine e-posta göndererek sağlayabilirsiniz. Silme sonrasında verileriniz, yasal saklama yükümlülükleri (özellikle §§ 147 AO, 257 HGB uyarınca vergisel yükümlülükler, 10 yıla kadar saklama süresi) aksi gerektirmedikçe derhal kaldırılır. Saklama yükümlülüğüne tabi veriler engellenir ve süre dolumundan sonra kesin olarak silinir.
§ 14 Platform işletmecisi olarak yükümlülükler (DAC7/PStTG)
Platformlar Vergi Şeffaflığı Yasası (PStTG) uyarınca platformda hizmet sunan tercümanlar hakkında belirli verileri (örn. ad, adres, vergi kimlik numarası, doğum tarihi, banka bilgileri, ciro) toplamak ve yıllık olarak Federal Vergi Dairesi'ne (BZSt) bildirmekle yükümlüyüz. Hukuki dayanak GVKT Madde 6 Fıkra 1 bent c ile PStTG'dir. Ayrıntılar ve veri kapsamı katılım sürecinde bulunabilir.
§ 15 Veri koruma etki değerlendirmesi (GVKT Madde 35)
Özel kategorilerde kişisel verilerin (GVKT Madde 9) ve koruma altındaki kişilerin verilerinin işlenmesi nedeniyle Spracho, GVKT Madde 35 uyarınca bir veri koruma etki değerlendirmesi (VKED) gerçekleştirmektedir. VKED düzenli olarak gözden geçirilir ve işleme faaliyetlerindeki önemli değişikliklerde güncellenir. Sonuçlar dahili olarak belgelenir ve talep üzerine denetim makamına sunulur.
Gizlilik Politikası
Bu gizlilik politikasını yeni fonksiyonlar, işleme faaliyetlerindeki değişiklikler veya yasal değişiklikler durumunda güncelleriz. Burada yayınlanan sürüm geçerlidir. Önemli değişiklikler hakkında uygun şekilde (örn. e-posta ile veya platformda bildirim yoluyla) bilgilendiririz.