Uygulama Gizlilik Politikası
Durum: Mart 2026
Önemli Bildirim – Çeviri
Bu metin kolaylığınız için sağlanan bir makine çevirisidir. Yasal olarak bağlayıcı değildir.
Bu Gizlilik Politikasının yasal olarak bağlayıcı versiyonları şurada mevcuttur:
Almanca – uygulama dili Almanca olarak ayarlanmış kullanıcılar için: alma-app.eu/datenschutz
İngilizce – diğer tüm kullanıcılar için: alma-app.eu/privacy
Bu çeviride herhangi bir şey Almanca veya İngilizce versiyondan farklıysa, uygulanabilir bağlayıcı versiyon geçerlidir. Hangi versiyonun sizin için geçerli olduğundan emin değilseniz, İngilizce versiyon geçerlidir.
Önemli Bilgiler Bir Bakışta
Ben kimim: Bastian Matzen / Alma Softwareentwicklung (Münferit İşletme), Kienitzer Str. 113, 12049 Berlin, Almanya. İletişim: privacy@alma-app.eu | www.alma-app.eu
Benim ile verileriniz:
✅ Güvenli: Şifreli depolama yalnızca AB içinde (Frankfurt am Main).
✅ Özel: Üçüncü taraflara veri aktarımı yok (acil durumlarda acil durumda sizin kontaklarınıza hariç).
✅ Gönüllü: Sağlık verileri ve birçok diğer ayrıntı tamamen isteğe bağlıdır.
✅ Kontrollü: İstediğiniz zaman her şeyi görüntüleyebilir, değiştirebilir veya silebilirsiniz.
✅ Şeffaf: Gizli veri kullanımı yok, verileriniz satılmıyor.
Haklarınız: Erişim, düzeltme, silme, veri taşınabilirliği, itiraz, rıza geri çekme – her zaman mümkündür.
Şikayetler bildirilebilir: Berlin Veri Koruma ve Bilgi Özgürlüğü Komisyonu (datenschutz-berlin.de). AEA’daki kullanıcılar, ikamet ettikleri ülkedeki denetim makamına da başvurabilir. Birleşik Krallık’taki kullanıcılar Bilgi Komiseri Ofisine (ico.org.uk) başvurabilir. İsviçre’deki kullanıcılar Federal Veri Koruma ve Bilgi Komisyonu’na (FDPIC) başvurabilir.
1. Veri Sorumlusu ve İletişim
Genel Veri Koruma Yönetmeliği (GDPR), Birleşik Krallık Genel Veri Koruma Yönetmeliği (UK GDPR), İsviçre Federal Veri Koruma Yasası (FADP/DSG) ve diğer uygulanabilir veri koruma yasaları anlamında Alma Uygulaması bağlamında veri işlenmesinden sorumlu denetleyicidir:
Bastian Matzen Alma Softwareentwicklung (Münferit İşletme) Kienitzer Str. 113 12049 Berlin Almanya
İletişim Seçenekleri Gizlilik soruları için (tercih edilen): privacy@alma-app.eu
Teknik destek için: support@alma-app.eu
Web sitesi: www.alma-app.eu
1a. Birleşik Krallık Temsilcisi
UK GDPR’nin 27. Maddesi uyarınca, veri koruma konuları için Birleşik Krallık’ta aşağıdaki temsilciyi atadık:
Aron Harris Flat 7 324 Lewisham High Street SE13 6JZ London United Kingdom
Email: privacy@alma-app.eu
2. Uygulama ve İşlevlerine Genel Bakış
Alma, iki ana işlevli kişisel güvenlik ve iletişim uygulamasıdır:
2.1 Alma Güvenlik Ağı (Yalnızca Connect+ Aboneliği ile)
Tanımlı zaman pencerelerinde otomatik güvenlik kontrolleri.
Bir kontrol kaçırılırsa acil durumda kontaklarınızın otomatik olarak bilgilendirilmesi.
Acil durumlarda konum ve sağlık bilgilerinin isteğe bağlı olarak iletilmesi.
2.2 Alma Anları (Ücretsiz)
30’a kadar bağlantı ile anları paylaşmak için sosyal ağ.
Bir kontrol kaçırılırsa sosyal akışta otomatik gönderi (etkinleştirilmişse).
Dostluğun karşılıklı onayı gereklidir.
2.3 Minimum Yaş
Alma Uygulaması 16 yaş ve üzeri bireyler tarafından kullanılabilir. 16 yaşından küçük bireyler Uygulamayı kullanamazlar. Kaydolarak, en az 16 yaşında olduğunuzu onaylarsınız.
3. Hangi Veriler İşleniyor?
3.1 Kayıt Sırasında Zorunlu Veriler
Uygulamayı kullanmak için aşağıdaki verilere ihtiyacım var (Yasal dayanağı: Md. 6(1)(b) GDPR – Sözleşmenin Yerine Getirilmesi):
E-posta adresi – hesap oluşturma, iletişim ve şifre sıfırlama için.
Parola – şifrelenmiş biçimde depolanır ve hesap güvenliği için kullanılır.
Ad – kişiselleştirme ve kontaklarınıza görüntüleme için.
Soyadı – tam tanımlama için.
3.2 İsteğe Bağlı Profil Verileri
İsteğe bağlı olarak aşağıdaki verileri sağlayabilirsiniz (Yasal dayanağı: Md. 6(1)(a) GDPR – Rıza):
Profil resmi – kişiselleştirme ve sosyal işlevler için.
Doğum tarihi – yaş doğrulaması için.
Telefon numarası – alternatif iletişim yöntemi olarak.
Adres – acil durum bilgileri için.
Biyografi – sosyal işlevler için.
Şehir – sosyal işlevler ve arama için.
3.3 Sağlık Verileri (Yalnızca Connect+, tamamen isteğe bağlı)
GDPR’nin 9. Maddesi uyarınca bu özel veri kategorileri yalnızca açık rızanızla işlenir.
Toplanan veriler: Kan türü, alerjiler, ilaçlar, tıbbi koşullar, evcil hayvanlar, ev anahtarı bilgileri, diğer acil durum bilgileri.
Yasal dayanağı: Md. 9(2)(a) GDPR (Açık rıza).
Güvenlik: Bu veriler AES-256 şifrelemesi kullanılarak depolanır ve acil durumlarda yalnızca onaylanmış acil kontaklarınıza iletilir.
3.4 Konum Verileri (İsteğe Bağlı)
Konum izlemesi tamamen isteğe bağlıdır ve üç modda çalışabilir (Yasal dayanağı: Md. 6(1)(a) GDPR – Rıza):
Kontrol Sırasında Kaydet – Konum yalnızca kontrol sırasında manuel olarak yakalanır.
Her Zaman Gönder – Konum arka planda güncellenir. Teknik olarak, yalnızca son bilinen konum kaydedilir; önceki konum üzerine yazılır.
Devre Dışı – Konum yakalanmaz veya paylaşılmaz.
Not: Konum verileri 30 gün hareketsizlikten sonra otomatik olarak silinir.
3.5 Kontrol Verileri
Kontroller sırasında aşağıdaki veriler yakalanır:
Kontrol süresi – güvenlik izleme için (Saklama: Connect+ için 90 gün).
Cihaz bilgileri – hata analizi için (Saklama: 90 gün).
Son bilinen konum – acil durum bildirimlerine ulaşmak için (Saklama: maks. 30 gün, üzerine yazılır).
3.6 Sosyal Veriler (Alma Anları)
Sosyal işlevler kullanılırken aşağıdaki veriler işlenir: Gönderiler (metin, resimler, videolar), yorumlar, beğeniler, bağlantılar ve ruh halini belirten emojiler.
Yasal dayanağı: Md. 6(1)(b) GDPR (Sosyal işlevleri sağlamak için sözleşmenin yerine getirilmesi) ve Md. 6(1)(a) GDPR (gönüllü içerik için).
3.7 Teknik Veriler
Uygulama çalışması için aşağıdaki teknik veriler işlenir:
Cihaz türü ve İS – uygulama optimizasyonu ve hata analizi için (Yasal dayanağı: Md. 6(1)(f) GDPR).
Uygulama versiyonu – destek ve güncellemeler için (Yasal dayanağı: Md. 6(1)(f) GDPR).
FCM Jetonu – push bildirimleri için (Yasal dayanağı: Md. 6(1)(b) GDPR).
Saat dilimi – doğru kontrol zamanları için (Yasal dayanağı: Md. 6(1)(b) GDPR).
Sunucu Günlük Dosyaları – altyapı güvenliği ve saldırılara karşı savunma için (Yasal dayanağı: Md. 6(1)(f) GDPR).
3.8 Pazarlama İletişimi (İsteğe Bağlı)
Yalnızca kayıt sırasında veya daha sonra kutuyu işaretleyerek ayarlarda onay verirseniz, ipuçları, uygulama haberleri ve güncellemeler (Haber Bülteni) göndermek için e-posta adresinizi ve adınızı işleyeceğim.
Yasal dayanağı: Md. 6(1)(a) GDPR (Rıza).
Abonelikten çıkma: Her e-postadaki abonelikten çıkma bağlantısı veya Uygulamanın bildirim ayarlarında istediğiniz zaman aboneliği kaldırabilirsiniz. Rızanın geri çekilmesi, geri çekilmeden önce rızaya dayalı işlemenin yasal geçerliliğini etkilemez.
4. Veri İşleme Amaçları
Verilerinizi aşağıdaki amaçlar için işlerim:
Sözleşmenin Yerine Getirilmesi (Md. 6(1)(b) GDPR): Uygulamayı sağlama, kontroller, uyarılar, abonelik yönetimi.
Rıza (Md. 6(1)(a) GDPR): Sağlık verileri, konum paylaşımı, isteğe bağlı profil bilgileri, pazarlama.
Meşru Menfaatler (Md. 6(1)(f) GDPR): Dolandırıcılık önleme, teknik güvenlik, sorun giderme.
Yasal Yükümlülükler (Md. 6(1)(c) GDPR): Saklama yükümlülükleri, otoritelerden gelen istekler.
Otomatik Karar Alma Hakkında Not: GDPR’nin 22. Maddesi anlamında size hukuki etkiler doğuran otomatik karar alma veya profil oluşturma yapılmaz. Alarmların tetiklenmesi, tamamen sizin tarafınızdan tanımlanan zaman pencerelerine ve kurallara (If-Then mantığı) dayanır.
5. Veri Alıcıları ve İşlemciler
5.1 Hizmet Sağlayıcılar
Uygulamayı işletmek için aşağıdaki hizmet sağlayıcılarla çalışıyorum:
Google Firebase (Google Ireland Ltd.) – barındırma, veritabanı ve kimlik doğrulama için. Konum: Frankfurt am Main (europe-west3). Veri koruma garantisi: EU-US Data Privacy Framework (DPF), Google Cloud DPA.
RevenueCat – abonelik yönetimi için (işlenen veriler: abonelik durumu, satın alma zamanı, takma ad Uygulaması Kullanıcı Kimliği, işlem meta verileri). Konum: USA (AWS). Veri koruma garantisi: EU Standard Contractual Clauses (SCCs), DPA. Birleşik Krallık’tan aktarımları için: UK International Data Transfer Agreement (IDTA) veya UK Addendum’u EU SCCs’lerine. İsviçre’den aktarımları için: FADP/DSG gereksinimlerine uygunluk.
Mailgun (Sinch) – e-posta teslimi için. Konum: AB. Veri koruma garantisi: DPA, GDPR uyumlu.
Algolia – kullanıcı araması için. Konum: AB. Veri koruma garantisi: DPA, GDPR uyumlu.
5.2 Koşullu Veri Aktarımı (Bildirim Kanalları)
Bu hizmetlere aktarım, yalnızca acil durumda kontağınız bu kanalları açıkça seçerse gerçekleşir:
Meta (WhatsApp Cloud API) – yalnızca kontağınız tarafından WhatsApp seçilirse. Meta, EU-US Data Privacy Framework altında sertifikadır. Birleşik Krallık’tan aktarımları için, EU-US DPF’e UK Ek uygulaması ek olarak geçerlidir.
Telegram – Telegram’ın kullanımı, yalnızca acil durumda kontağınız bu kanalı aktif olarak seçerse gerçekleşir. Bu durumda, kontağınız doğrudan Telegram tarafından veri işlenmesine rıza verir (potansiyel olarak AB dışındaki sunucularda).
5.3 Üçüncü Taraflara Veri Aktarımı Yok
Verileriniz satılmaz.
Üçüncü taraf reklam amacıyla aktarım yok.
Veri aracılarına aktarım yok.
İstisna: Acil durumda açığa çıkarmaya yetkili olduğunuz bilgiler acil kontaklarınız tarafından alınır.
6. Veri Depolaması ve Silme
6.1 Depolama Konumu
Tüm veriler öncelikle Avrupa Birliği’nde (Frankfurt am Main, Google Cloud bölgesi europe-west3) depolanır.
6.2 Depolama Süresi ve Otomatik Silme
Kontrol Geçmişi: 90 gün sonra otomatik olarak silinir.
Konum Verileri: 30 gün hareketsizlikten sonra otomatik olarak silinir (veya sürekli üzerine yazılır).
Sunucu Günlük Dosyaları: 90 gün sonra otomatik olarak silinir (hata analizi/saldırılara karşı savunma için).
Davet Bağlantıları: 7 gün sonra otomatik olarak silinir.
Sağlık Verileri: 12 ay hareketsizlikten sonra silme.
Hesap Verileri: 24 ay hareketsizlikten sonra silme.
Hareketsizlik Silmeden Önceki Anımsatıcılar:
12 ay oturum açma olmadan: Sağlık verilerinin otomatik olarak silinmesi; anımsatıcı e-postası gönderilir.
13 ay cevap olmadan: Başka bir anımsatıcı.
23 ay hareketsizlikten sonra: Son uyarı e-postası.
24 ay cevap olmadan: Tam hesap silme.
Etkin Abonelikler İçin İstisna: Ödenen bir Connect+ aboneliği etkin olduğu sürece, otomatik hareketsizlik silmesi yapılmaz.
Fatura Verileri: Fatura verileri (ad, adres, işlem bilgileri) vergi saklama yükümlülüklerine uygun olarak 10 yıl boyunca depolanır (§ 147 AO). Bu veriler kullanım verilerinden ayrı olarak tutulur.
Silinen Hesaplar, 30 günlük yetkisiz kullanım süresinden sonra kalıcı olarak ve geri dönülemez şekilde kaldırılır.
Önemli: Hesap silme talebinden sonra, kullanım hemen sona erer. Bu noktadan itibaren, ne size ne de acil durumda kontaklarınıza kontrol anımsatıcıları, alarmlar veya diğer bildirimler tetiklenmeyecektir. Ayrıca, Alma Anları’ndaki profiliniz artık görünür olmayacaktır. Tüm verilerin son fiziksel olarak silinmesi, 30 günlük yetkisiz kullanım süresinden sonra gerçekleşir.
7. Veri Güvenliği
Modern güvenlik standartlarını kullanıyorum:
Şifreleme: Veri iletimi (Transit) için TLS 1.2+ ve hassas veriler için AES-256 şifrelenmiş sunucularda depolama (At Rest).
Erişim Kontrolü: Firebase Güvenlik Kuralları, katı kimlik doğrulama.
Uygulama Güvenliği: Firebase Uygulama Kontrolü, isteğe bağlı biyometrik koruma (Connect+), ayrı ayarlar kilidi.
8. Haklarınız
İstediğiniz zaman aşağıdaki haklara sahipsiniz (Md. 15-21 GDPR’ye göre):
Erişim ve Veri Dışa Aktarımı: Uygulamada Ayarlar → Gizlilik altında.
Düzeltme: Uygulamada kendi başınıza tüm profil ve sağlık verilerini düzenleyebilirsiniz.
Silme: Uygulamada doğrudan bireysel veri veya tüm hesabınızı silebilirsiniz.
İşlemenin Kısıtlanması (Md. 18 GDPR): İşlemenin kısıtlanmasını talep edebilirsiniz, örneğin verilerinizin doğruluğunu itiraz ederseniz veya işlem yasa dışıysa.
Rızanın Geri Çekilmesi: Rızayı (ör. konum, sağlık verileri, pazarlama) istediğiniz zaman ayarlarda geri çekebilirsiniz. Geri çekilme, geri çekilmeden önce gerçekleşen işlemenin yasal geçerliliğini etkilemez.
İtiraz Hakkı (Md. 21 GDPR): Veri işleme meşru menfaatlere dayanıyorsa (Md. 6(1)(f) GDPR), sizin özel durumunuzdan kaynaklanan nedenlerle istediğiniz zaman itiraz etme hakkınız vardır.
Şikayet Hakkı: Yetkili veri koruma denetim makamına başvurabilirsiniz. Almanya’daki kullanıcılar için bu, Berlin Veri Koruma ve Bilgi Özgürlüğü Komisyonudur (datenschutz-berlin.de). Avrupa Ekonomik Alanı’ndaki (AEA) kullanıcılar, ikamet ettikleri, çalıştıkları veya iddia edilen ihlâlin bulunduğu ülkenin denetim makamına başvurabilir. Denetim makamlarının listesi edpb.europa.eu adresinde mevcuttur. Birleşik Krallık’taki kullanıcılar Bilgi Komiseri Ofisine (ICO) başvurabilir: ico.org.uk. İsviçre’deki kullanıcılar Federal Veri Koruma ve Bilgi Komisyonu’na (FDPIC) başvurabilir: edoeb.admin.ch.
9. Özel İşleme Durumları
9.1 Acil Durum Bildirimi (Yalnızca Connect+)
Kaçırılan bir kontrol olması durumunda, acil durumda kontaklarınız bilgilendirilecektir. Yalnızca profilinizde depoladığınız ve açığa çıkarılması için yetkilendirdiğiniz veriler (ör. konum, sağlık bilgileri) iletilecektir. Yasal dayanağı:
Md. 6(1)(b) GDPR (Sözleşmenin Yerine Getirilmesi)
Md. 9(2)(a) GDPR (Sağlık verileri için açık rıza)
Ek olarak Md. 9(2)(c) GDPR (Hayati Menfaatlerin Korunması), acil durumlarda fiziksel bütünlüğü sağlamak için.
9.2 Acil Durumda Kontaklara Davet
Üçüncü tarafların gizliliğini korumak için, diğer kişilerin iletişim bilgilerini doğrudan Uygulamaya girmezsiniz.
Bağlantı Oluşturma: Uygulamada kişisel bir davet bağlantısı oluşturursunuz.
Gönderme: Bu bağlantıyı seçtiğiniz bir kanal aracılığıyla güvenilir kişinize gönderirsiniz (ör. WhatsApp, E-posta).
Kayıt: Güvenilir kişiniz bağlantıyı açar ve bağımsız olarak iletişim bilgilerini ve istenen bildirim kanalını girer. Bağlantı kullanılmadığı sürece, kontaklarınızın hiçbir veri depolanmaz. Kullanılmayan bağlantılar 7 gün sonra sona erer.
9.3 Acil Durumda Kontağı Olarak Siz
Daveti kabul ederseniz, sağlanan iletişim bilgilerinizin (Ad, E-posta/Telefon/Handle) acil durum bildirim amacıyla depolanmasına rıza verirsiniz. Mesajlardaki bir opt-out bağlantısı aracılığıyla istediğiniz zaman abonelikten çıkabilirsiniz.
9.4 Uzaktan Kurulum (Connect+)
Güvenilir bir kişiye (oluşturulan bir kod aracılığıyla) Uygulamayı sizin için kurmak ve ayarları yönetmek için geçici erişim verebilirsiniz. Başarıyla bağlandıktan sonra, bu erişim Uygulamada iptal edene kadar kalır. Güvenliğiniz için, güvenilir kişi tarafından yapılan tüm değişiklikler günlüğe kaydedilir (Denetim Günlüğü).
Yasal dayanağı: Md. 6(1)(b) GDPR (Sözleşmenin Yerine Getirilmesi, kullanıcı tarafından başlatılan işlev).
10. Üçüncü Taraf Kimlik Doğrulaması
Google Sign-In: İletilen veriler e-posta, ad, profil resmini içerir. (Gizlilik: policies.google.com/privacy)
Apple Sign-In: İletilen veriler e-posta (veya rölesiş adresi) ve adı içerir. (Gizlilik: apple.com/legal/privacy)
11. Push Bildirimleri
Kontrol anımsatıcıları, alarmlar ve sosyal etkileşimler için push bildirimlerini kullanıyorum.
Yasal dayanağı: Md. 6(1)(b) GDPR (alarmlar gibi sözleşmeli işlevler için) ve Md. 6(1)(f) GDPR (sosyal bildirimler için).
Kontrol: Uygulama ayarlarından çoğu bildirim türünü yönetebilirsiniz. Kritik güvenlik bildirimleri temel hizmetin bir parçasıdır.
12. Analiz ve Sorun Giderme
12.1 Firebase Analitikleri
Uygulama kararlılığını sağlamak ve hataları düzeltmek için veri-minimize edilmiş yapılandırmada Firebase Analytics’ı kullanıyorum.
Gizlilik Ölçüleri: Reklam kimlikleri (IDFA/AAID) toplanmaz. IP anonimleştirmesi etkindir.
Amaç: Teknik optimizasyon için anonimleştirilmiş kilitlenme ve kullanım istatistikleri.
Yasal dayanağı: Md. 6(1)(f) GDPR (Uygulamanın hatasız çalışması ve güvenliğinde meşru menfaat).
12.2 Firebase Crashlytics
Uygulama kilitlenme durumunda, hata gidermek için teknik ayrıntılar (stack trace, cihaz bilgisi) gönderilir. Kilitlenme raporunda doğrudan tanımlayıcı veri saklanmaz.
12.3 ePrivacy ve Elektronik İletişimler
Belirli cihaz işlevlerine erişim ve cihazda teknik bilgilerin depolanması (ör. FCM belirteçleri), ePrivacy Direktifini (2002/58/EC) uygulayan ulusal yasalara tabi olabilir. Birleşik Krallık’ta, 2003 Gizlilik ve Elektronik İletişimler Düzenlemeleri (PECR) geçerlidir. İsviçre’de, Telekomünikasyon Yasasının (TCA/FMG) hükümleri geçerlidir. İlgili yasada gerekli olduğu durumlarda, rıza ilgili erişimden önce alınır.
13. Bu Gizlilik Politikasında Değişiklikler
Bu Gizlilik Politikasını değiştirme hakkını saklı tutarım. Önemli değişiklikleri yapmanız durumunda, Uygulama veya e-posta yoluyla bilgilendirileceksiniz. Güncel versiyonu her zaman Uygulamada ve web sitesinde bulabilirsiniz.
14. Uluslararası Veri Aktarımları
Birincil veri depolaması Avrupa Birliği’nde (Frankfurt am Main) gerçekleşir. Veriler AEA dışındaki hizmet sağlayıcılara aktarıldığında (Bölüm 5’e bakın), aşağıdaki garantilere güveniyorum:
EU-US Data Privacy Framework (DPF): DPF altında sertifikalı ABD merkezli şirketlere aktarımlar için (ör. Google, Meta).
EU Standard Contractual Clauses (SCCs): DPF altında sertifikalı olmayan şirketlere aktarımlar için (ör. RevenueCat).
Birleşik Krallık’tan aktarımları için: UK International Data Transfer Agreement (IDTA) veya EU SCCs’lerine UK Addendum’u, ilgili olduğu durumlarda EU-US DPF’e UK Ek’ini kullanıyorum.
İsviçre’yi içeren aktarımlar için: Başlıca Kurulu ve standart sözleşmeli şartların gerekli olduğu durumlarda kullanılmasıyla yeterlik kararlarının tanınması da dahil olmak üzere, İsviçre Federal Veri Koruma Yasasının (FADP/DSG) gereksinimlerine uyuyorum.
Bireysel hizmet sağlayıcılarla ilgili daha fazla ayrıntı için Bölüm 5’e bakın.
15. AB/AEA, Birleşik Krallık ve İsviçre Dışındaki Kullanıcılar
GDPR, UK GDPR veya İsviçre FADP kapsamında olmayan ülkelerdeki kullanıcılar için, Sağlayıcı GDPR kapsamındaki kullanıcılar için aynı teknik ve organizasyonel ölçüleri uygular. Kullanıcının ikamet ettiği ülkenin zorunlu veri koruma hükümleri etkilenmeden kalır.
16. İletişim
Bastian Matzen Alma Softwareentwicklung Kienitzer Str. 113 12049 Berlin
Email: privacy@alma-app.eu
Web sitesi: www.alma-app.eu