Önemli kapsam notu: Bu içerik yalnızca bilgilendirme amaçlıdır; hukukî tavsiye değildir ve Nimabet’i temsil etmez. Kesin ve güncel bilgiler için her zaman platformun resmî gizlilik politikası ve çerez bildirimini esas alın.

Bu rehber nasıl hazırlandı? Yaygın gizlilik politikası yapıları (toplanan veri türleri, amaçlar, paylaşım, saklama, haklar) ve kamuya açık düzenleyici/kurumsal bilgilendirmelerde yer alan genel iyi uygulamalar temel alınarak, kullanıcıların resmî metni daha hızlı değerlendirebilmesi için bir kontrol listesi olarak derlendi.

Resmî Nimabet gizlilik politikası ve çerez bildirimi nerede bulunur?

Resmî sayfayı bulmanın en güvenli yolu, platformun kendi sitesi veya uygulaması içinde gezinmektir:

• Web sitesinde genellikle sayfanın alt kısmında (footer) “Gizlilik Politikası / Privacy Policy” ve “Çerez Politikası / Cookie Notice” bağlantıları yer alır.
• Mobil uygulama varsa, çoğu zaman Ayarlar menüsü içinde gizlilik/çerez bilgilendirmesi bulunur.
• Arama yapacaksanız, yalnızca resmî alan adı üzerinde yer alan sayfaları tercih edin; doğrulanmamış “erişim linkleri”ni kullanmayın.

Gizlilik politikası neden önemli?

Gizlilik politikası; bir platformun kişisel verileri (ve bazı durumlarda cihaz/veri tanımlayıcılarını) hangi kaynaklardan topladığını, hangi amaçlarla kullandığını, kiminle paylaşabileceğini ve kullanıcıların hangi haklara sahip olduğunu açıklar. Ayrıca güvenlik önlemleri, saklama süreleri ve iletişim kanalları gibi konular da bu metinlerde yer alır.

Özellikle hesap açma, ödeme işlemleri, müşteri desteği ve pazarlama tercihleri gibi süreçlerde hangi verinin gerekli olduğunu bilmek, gereksiz paylaşımı azaltmaya ve riskleri yönetmeye yardımcı olur.

Nimabet gizlilik politikasını okurken nerelere bakmalı?

Resmî gizlilik politikasını okurken aşağıdaki başlıkları özellikle arayın (aşağıdaki maddeler, genel bir kontrol listesi olarak düşünülmelidir):

• Toplanan veri kategorileri (hesap, işlem, cihaz, çerez vb.)
• Veri işleme amaçları (hesap yönetimi, güvenlik, analitik, pazarlama vb.)
• Paylaşım yapılan taraflar (hizmet sağlayıcılar, ödeme altyapıları, analitik araçlar vb.)
• Saklama süreleri ve silme/anonimleştirme yaklaşımı
• Haklar ve tercih yönetimi (erişim, düzeltme, silme, pazarlama tercihleri, çerez kontrolleri)
• Güvenlik önlemleri (hangi önlemlerden genel olarak söz ediliyor?)
• İletişim (veri talepleri için e-posta/kanal; varsa özel gizlilik iletişimi)

Hangi veriler toplanabilir? (Resmî metinde kontrol edilecek genel kategoriler)

Hangi verilerin işlendiğini kesin olarak resmî metin belirler. Bununla birlikte, çevrim içi hesap ve işlem akışı olan platformların gizlilik politikalarında aşağıdaki veri kategorileri sıklıkla yer alır. Siz yine de Nimabet’in resmî metninde hangilerinin gerçekten listelendiğini kontrol edin:

Dikkat: Her platform tüm kategorileri toplamaz. Bu nedenle resmî metindeki “Toplanan veriler” bölümünü satır satır kontrol etmek ve “zorunlu” ile “isteğe bağlı” ayrımlarını yakalamak önemlidir.

Çerezler (cookies) ve takip teknolojileri nasıl yorumlanır?

Gizlilik politikası çoğu zaman ayrı bir “Çerez Politikası / Cookie Notice” ile desteklenir. Burada şu ayrımlara bakın:

• Zorunlu çerezler: Temel işlevler için gerekli olabilir.
• Tercih çerezleri: Dil/arayüz gibi seçimleri hatırlayabilir.
• Analitik çerezler: Kullanım istatistikleri üretmeye yarar.
• Pazarlama çerezleri: Kampanya ölçümü ve ilgi alanına göre iletişim için kullanılabilir.

Pratik kontrol: Çerez ayarlarında analitik/pazarlama seçeneklerini kapattığınızda hangi özelliklerin etkilenebileceği resmî bildirimde açıklanıyor mu?

Veriler hangi amaçlarla işlenebilir?

Resmî metindeki “işleme amaçları” bölümü, verinin neden toplandığını açıklar. Sık görülen amaçlar şunlardır (kesin kapsam için resmî metni kontrol edin):

• Hizmetin sunulması: Hesap oluşturma, oturum yönetimi, işlem takibi.
• Güvenlik ve risk yönetimi: Hesap güvenliği, suistimal tespiti, erişim kontrolü.
• Müşteri desteği: Talep yönetimi, sorun çözümü.
• Analitik ve iyileştirme: Hata ayıklama, performans izleme, kullanıcı deneyimi geliştirme.
• Pazarlama iletişimi: Kullanıcı onayı/tercihine bağlı kampanya ve bilgilendirmeler.
• Uyum yükümlülükleri: Uygulanabilir yasal/denetimsel gerekliliklere yanıt.

Metinde “meşru menfaat”, “sözleşmenin ifası”, “rıza/onay” gibi dayanaklar geçebilir. Bunlar, hangi işlemlerin zorunlu olabileceğini ve hangilerinin tercihe bağlı olduğunu anlamanıza yardımcı olur.

Veriler kimlerle paylaşılabilir?

Birçok dijital hizmet, bazı süreçler için üçüncü taraf altyapılardan yararlanır. Resmî metinde şu gruplar geçiyorsa, hangi veriyle sınırlı paylaşım yapıldığı ve amacın ne olduğu açıkça yazıyor mu kontrol edin:

• Hizmet sağlayıcılar: Barındırma, müşteri destek yazılımları, e-posta/SMS araçları vb.
• Ödeme/işlem altyapısı: İşlemleri yürütmek veya hataları gidermek için.
• Analitik ve ölçümleme: Trafik ölçümü ve performans analizi için.
• Grup şirketleri/iş ortakları: Varsa, kapsam ve amaç net mi?
• Yetkili kurumlar: Uygulanabilir taleplere yanıt kapsamında.

İki pratik soru: (1) Paylaşım “gerekli olanla sınırlı” görünüyor mu? (2) Üçüncü taraflar için gizlilik/güvenlik yükümlülüklerinden bahsediliyor mu?

Veriler ne kadar süre saklanır?

Resmî metinde “saklama süresi / retention” başlığı bulunabilir. Süreler platforma göre değişir. Metinde şunları arayın:

• Hesap aktif olduğu sürece ve/veya kapatıldıktan sonra belirli bir süre saklama.
• Yasal yükümlülükler nedeniyle daha uzun saklama (metinde gerekçe açıklanmalı).
• Güvenlik/uyuşmazlık için sınırlı ek süre.
• Anonimleştirme/toplulaştırma sonrası analitik amaçlı saklama (varsa).

Net süre verilmiyorsa, saklamanın hangi kriterlere göre belirlendiği anlatılıyor mu kontrol edin.

Veriler nasıl korunur? (Metinde arayacağınız yaygın güvenlik ifadeleri)

Gizlilik politikaları genellikle ayrıntılı teknik mimari paylaşmaz; ancak güvenlik yaklaşımını özetleyebilir. Metinde şu tür önlemlerden bahsediliyor mu kontrol edin:

• Şifreleme: Aktarım sırasında (örn. HTTPS/TLS) ve/veya depolamada şifreleme gibi genel ifadeler.
• Erişim kontrolü: Rol bazlı erişim, yetkilendirme, kayıt tutma.
• İzleme ve olay yönetimi: Şüpheli hareket tespiti, güvenlik olaylarına yanıt süreçleri.
• Güncelleme/zafiyet yönetimi: Bakım, yamalar, testler gibi süreçler.
• Veri minimizasyonu: Gereksiz veriyi toplamama veya uzun süre tutmama yaklaşımı.

Kullanıcı için pratik kontrol: “Mutlak güvenlik garantisi” gibi kesin vaatler yerine, “uygun/makul güvenlik önlemleri” gibi daha gerçekçi ifadeler tercih edilir.

Kendi hesabınızı korumak için hızlı kontrol listesi

• Güçlü ve benzersiz şifre kullanın.
• Varsa iki adımlı doğrulama seçeneğini etkinleştirin.
• Ortak cihazlarda oturumu kapatın; varsa oturum/cihaz geçmişini kontrol edin.
• Şüpheli giriş uyarılarını ciddiye alın.
• Tarayıcı/uygulamada çerez ve izin ayarlarını gözden geçirin.

Haklarınız ve tercih yönetimi: pratik adımlar

Haklar ülkeye göre değişebilir. Resmî metinde genellikle veri taleplerinin (erişim, düzeltme, silme vb.) nasıl yapılacağı anlatılır. Bulabildiğiniz bölümlerde şunları arayın:

• Erişim: Hakkınızda hangi verilerin işlendiğini öğrenme.
• Düzeltme: Yanlış/eksik verileri güncelleme.
• Silme: Belirli koşullarda silme talebi (saklama yükümlülükleri istisna olabilir).
• İtiraz/tercihler: Bazı işleme faaliyetlerine itiraz ve pazarlama tercihlerini yönetme.
• Çerez tercihleri: Analitik/pazarlama çerezlerini yönetme.

Türkiye ve AB/AEA kullanıcıları için (KVKK/GDPR tarzı) nelere bakmalı?

Türkiye’de kişisel verilerle ilgili çerçeve (KVKK) ve AB/AEA’da GDPR benzeri yaklaşım, resmî metinde bazı başlıkların daha açık yazılmasını bekler. Hukukî değerlendirme yapmadan, okurken şu noktaları kontrol edebilirsiniz:

• Veri sorumlusu/iletişim: Şirket unvanı, iletişim kanalı ve başvuru yöntemi net mi?
• Haklar: Erişim, düzeltme, silme, işlemeye itiraz gibi hakların nasıl kullanılacağı anlatılıyor mu?
• Yurt dışına aktarım / cross-border transfer: Verilerin başka ülkelere aktarılıp aktarılmadığı; aktarımın kapsamı, gerekçesi ve mümkünse koruma mekanizmaları metinde yer alıyor mu?
• Çerez/onay yönetimi: Tercihlerin nasıl değiştirileceği (banner/ayar paneli) açık mı?
• Gizlilik iletişimi / DPO: Metinde bir veri koruma iletişim kişisi/ekibi (bazı metinlerde “DPO”) geçiyorsa, bu kanalın nasıl kullanılacağı belirtiliyor mu?

Not: Bu bölüm, “Nimabet bu gereklilikleri sağlar” anlamına gelmez; yalnızca resmî metinde kontrol edilecek başlıkları listeler.

Veri talebi (erişim/silme/düzeltme) için örnek yaklaşım

1. Resmî gizlilik politikasındaki iletişim kanalını bulun.
2. Talebinizi net yazın: “Erişim talebi”, “Düzeltme talebi”, “Silme talebi” gibi.
3. İstenirse kimlik doğrulama adımlarını takip edin (kötüye kullanımı önlemek için istenebilir).
4. Yanıt süresi ve kapsam için resmî metindeki açıklamaları kontrol edin.

Pazarlama iletişimi ve bildirimler nasıl yönetilir?

Resmî metinde e-posta/SMS gibi tanıtım mesajları için “abonelikten çıkma” veya hesap içi tercih yönetimi anlatılabilir. Pratik adımlar:

• E-posta mesajlarında abonelikten çık bağlantısını kullanın (varsa).
• Hesap ayarlarında bildirim tercihleri bölümünü kontrol edin.
• Tarayıcınızın bildirim izinlerini (push notifications) gözden geçirin.

Not: Güvenlik uyarıları ve işlem bildirimleri, pazarlama mesajlarından ayrı değerlendirilebilir.

Gizlilik politikasında dikkat edilmesi gereken “kırmızı bayraklar”

• Belirsiz veri tanımları: “Gerekli tüm veriler” gibi muğlak ifadeler.
• Saklama belirsizliği: Süre veya kriter hiç belirtilmiyorsa.
• Aşırı geniş paylaşım: Hangi taraflarla, hangi amaçla paylaşıldığı net değilse.
• Tercih yönetimi yokluğu: Çerez/pazarlama tercihlerini yönetmeye dair seçenekler belirsizse.
• Güvenlikte kesin vaatler: Mutlak garanti veren cümleler.

Hızlı özet: Resmî metni okuma kontrol listesi

1. Toplanan veri kategorilerini işaretleyin (hesap, işlem, cihaz, çerez).
2. İşleme amaçlarını veri kategorileriyle eşleştirin (gerekli mi, tercihe bağlı mı?).
3. Paylaşım taraflarını ve gerekçelerini kontrol edin.
4. Saklama ve silme yaklaşımını okuyun.
5. Haklarınızı ve talep kanalını not alın.
6. Çerez/pazarlama tercihlerinizin nereden değiştiğini bulun.
7. Yurt dışına aktarım bölümü varsa, kapsam ve dayanakları gözden geçirin.

Sık sorulan sorular

Gizlilik politikasında saklama süresi (retention) nasıl yorumlanır?

Resmî metinde süreler “hesap aktif olduğu sürece” veya “kapatıldıktan sonra X süre” gibi yazılabilir. Süre yoksa, saklamanın hangi kriterlere göre belirlendiğini arayın (yasal zorunluluk, güvenlik, uyuşmazlık gibi).

Pazarlama mesajlarını (e-posta/SMS) nasıl kapatabilirim?

Resmî politikanın pazarlama/iletişim bölümünde “abonelikten çıkma” yöntemi veya hesap içi tercih ekranı anlatılır. E-postalardaki “abonelikten çık” bağlantısı ve hesap ayarları genellikle ilk kontrol noktalarıdır.

Çerez tercihlerini nereden yönetebilirim?

Çoğu platform çerez banner’ı veya “Cookie Settings/Çerez Ayarları” paneli sunar. Resmî çerez bildiriminde, zorunlu çerezlerin kapsamı ve analitik/pazarlama çerezlerinin nasıl açılıp kapatılacağı belirtilmiş olmalıdır.

Verilerimin bir ülke dışına aktarılması ne anlama gelir; neye bakmalıyım?

“Yurt dışına aktarım/cross-border transfer” bölümü, verilerin başka ülkelerdeki hizmet sağlayıcılara (ör. barındırma/analitik) iletilip iletilmediğini açıklayabilir. Metinde aktarımın amacı, kapsamı ve mümkünse koruma mekanizmaları (sözleşmesel önlemler vb.) yazıyor mu kontrol edin.

Veri erişim/silme talebini nasıl iletebilirim?

Resmî metindeki gizlilik iletişim kanalını kullanın ve talebinizi açıkça belirtin. Platform, güvenlik için kimlik doğrulama isteyebilir; yanıt süreleri ve istisnalar da metinde açıklanabilir.

Sonuç

Nimabet gizlilik politikası; hangi verilerin toplandığı, hangi amaçlarla işlendiği, kimlerle paylaşılabileceği ve kullanıcı haklarının nasıl kullanılacağı konusunda ana referanstır. Bu rehber, resmî metni daha hızlı ve eleştirel okumanız için pratik bir çerçeve sunar. Emin olmadığınız bir ifade varsa, en güvenilir adım resmî metni tekrar kontrol etmek ve gizlilik iletişim kanalından açıklama istemektir.

Genel çevrim içi gizlilik ve güvenlik iyi uygulamaları için şu kaynaklar faydalı olabilir:

• FTC: Online gizliliği koruma önerileri
• California Attorney General: CCPA bilgilendirmesi
• NIST Cybersecurity Framework