Gizlilik Politikası

MOSA (Mesh Offline Secure Architecture), Avrupa Birliği'nde kayıtlı bir Estonya şirketi olan Talivio Technology OÜ tarafından geliştirilmiş güvenli offline mesh iletişim sistemidir. Bu Gizlilik Politikası, MOSA hizmetlerini kullandığınızda kişisel verilerinizi nasıl topladığımızı, kullandığımızı, sakladığımızı ve koruduğumuzu açıklar. Gizliliğinizi korumaya ve Genel Veri Koruma Yönetmeliği (GDPR) (AB) 2016/679, ePrivacy Direktifi 2002/58/EC ve Estonya veri koruma yasalarına uyum sağlamaya kararlıyız.

Kişisel verilerinizin işlenmesinden sorumlu veri sorumlusu: Talivio Technology OÜ Harju maakond, Tallinn, Kesklinna linnaosa, Ahtri tn 12, 15551, Estonya Sicil No: 16991406 KDV No: EE102744206 E-posta: [email protected] Telefon: +372 8272 1454 Avrupa Birliği içinde faaliyet gösteren bir Estonya şirketi olarak, AB veri koruma düzenlemelerine ve Estonya ulusal yasalarına tabiyiz.

MOSA, Zero-Knowledge (Sıfır Bilgi) mimarisi uygular, bu şu anlama gelir: • Mesaj içeriğinize erişemeyiz, okuyamayız veya görüntüleyemeyiz, istesek bile • Tüm mesajlar askeri düzeyde şifreleme algoritmaları kullanılarak uçtan uca şifrelenir (dijital imzalar için Ed25519, anahtar değişimi için X25519, mesaj şifreleme için ChaCha20-Poly1305) • Gateway operatörleri matematiksel şifreleme garantileri nedeniyle mesaj içeriğine erişemez • Verileriniz SQLCipher (AES-256-GCM şifreleme) kullanılarak cihazınızda yerel olarak saklanır • Mesajlarınızı saklayan merkezi sunucular bulundurmayız • Forward Secrecy (İleriye Dönük Gizlilik), bir oturum anahtarı ele geçirilse bile geçmiş mesajların güvende kalmasını sağlar Bu mimari, standart GDPR gereksinimlerini aşan matematiksel gizlilik garantileri sağlar.

MOSA minimal kişisel veri toplar: 4.1. Mesaj İçeriği: YOK • Mesajlar uçtan uca şifrelenir ve sunucularımızda asla saklanmaz • Mesaj içeriği yalnızca cihazınızda yerel olarak saklanır • Mesaj içeriğine erişme teknik yeteneğimiz yoktur 4.2. Kişisel Tanımlayıcılar: MİNİMAL • Temel mesh iletişimi telefon numarası veya e-posta adresi gerektirmez • İsteğe bağlı özellikler (Bridge hizmetleri) hesap yönetimi için e-posta adresi gerektirebilir • Cihaz tanımlayıcıları (anonimleştirilmiş) ağ yönlendirme amaçları için kullanılabilir 4.3. Teknik Veriler: MİNİMAL • Cihaz tipi ve işletim sistemi (uyumluluk amaçları için) • Ağ topolojisi verileri (mesh yönlendirme için, anonimleştirilmiş) • Uygulama sürümü (güncelleme bildirimleri için) 4.4. İsteğe Bağlı Analitik: YALNIZCA AÇIK ONAY • ConnectLog eklentisini etkinleştirirseniz, anonim kullanım istatistikleri toplanabilir • Analitik tamamen anonimleştirilir ve kimliğinizle ilişkilendirilemez • Analitiği ayarlardan istediğiniz zaman devre dışı bırakabilirsiniz

GDPR Madde 6 uyarınca, kişisel verilerinizi şu temellere dayanarak işliyoruz: • Madde 6(1)(b) - Sözleşme: Hizmet sözleşmesinin yerine getirilmesi için gerekli işleme • Madde 6(1)(f) - Meşru Menfaat: Ağ yönlendirme, güvenlik ve hizmet iyileştirme • Madde 6(1)(a) - Onay: Analitik gibi isteğe bağlı özellikler için (açık onay gerekir) Özel kategorilerdeki kişisel verileri (GDPR Madde 9) açıkça sağlamadığınız sürece işlemiyoruz ve otomatik karar verme veya profil oluşturma kullanmıyoruz.

6.1. Yerel Saklama: • Tüm mesaj verileri SQLCipher şifreleme kullanılarak cihazınızda yerel olarak saklanır • Yerel olarak saklanan verilere erişimimiz yoktur • Uygulamayı kaldırarak tüm yerel verileri silebilirsiniz 6.2. Sunucu Saklama: • Mesajlarınızı saklayan merkezi sunucular bulundurmayız • İsteğe bağlı Bridge hizmetleri minimal metadata saklayabilir (mesaj yönlendirme bilgisi, içerik değil) • Sunucu logları güvenlik amaçları için 90 gün saklanır, ardından otomatik olarak silinir 6.3. Saklama Süreleri: • Mesaj içeriği: Siz silene veya uygulamayı kaldırana kadar yerel olarak saklanır • Hesap verileri: Hesabınız aktifken saklanır, hesap kapatıldıktan sonra 30 gün içinde silinir • Analitik veriler: Anonimleştirilir ve hizmet iyileştirme için 2 yıla kadar saklanır • Yasal yükümlülükler: Yasa gereği bazı veriler daha uzun süre saklanabilir

7.1. Mesaj İçeriği Paylaşımı Yok: • Mesaj içeriğinizi üçüncü taraflarla asla paylaşmayız • Gateway operatörleri mesaj içeriğine erişemez 7.2. Hizmet Sağlayıcılar: • Altyapı için üçüncü taraf hizmet sağlayıcıları kullanabiliriz (hosting, CDN) • Tüm hizmet sağlayıcılar GDPR uyumludur ve veri işleme sözleşmeleriyle bağlıdır • Hizmet sağlayıcılar AB/AEA içinde bulunur veya yeterli güvencelere sahiptir (Standart Sözleşme Hükümleri) 7.3. Yasal Gereklilikler: • Yasa veya mahkeme kararı gereği veri açıklayabiliriz • Yasal olarak yasaklanmadığı sürece bu tür talepleri size bildiririz • Estonya ve AB yasal gerekliliklerine uyarız

Veri öznesi olarak aşağıdaki haklara sahipsiniz: • Erişim Hakkı (Madde 15): Kişisel verilerinizin bir kopyasını talep edin • Düzeltme Hakkı (Madde 16): Yanlış veya eksik verileri düzeltin • Silme Hakkı / 'Unutulma Hakkı' (Madde 17): Kişisel verilerinizin silinmesini talep edin • İşlemeyi Kısıtlama Hakkı (Madde 18): Verilerinizi nasıl kullandığımızı sınırlayın • Veri Taşınabilirliği Hakkı (Madde 20): Verilerinizi yapılandırılmış, makine tarafından okunabilir formatta dışa aktarın • İtiraz Hakkı (Madde 21): Meşru menfaatlere dayalı işlemeye itiraz edin • Onayı Geri Çekme Hakkı (Madde 7): İsteğe bağlı özellikler için onayı istediğiniz zaman geri çekin • Şikayet Hakkı (Madde 77): Estonya Veri Koruma Müfettişliği'ne (Andmekaitse Inspektsioon) şikayet başvurusu yapın Bu hakları kullanmak için [email protected] adresinden bizimle iletişime geçin. GDPR gereği 30 gün içinde yanıt vereceğiz.

Endüstri standardı güvenlik önlemleri uygularız: • Uçtan uca şifreleme (Ed25519, X25519, ChaCha20-Poly1305) • Yerel veritabanı şifreleme (SQLCipher, AES-256-GCM) • Güvenli anahtar değişim protokolleri • Düzenli güvenlik denetimleri ve penetrasyon testleri • Erişim kontrolleri ve kimlik doğrulama • Ağ güvenlik önlemleri • Olay müdahale prosedürleri Ancak, iletim veya saklama yöntemi %100 güvenli değildir. Mutlak güvenliği garanti edemeyiz ancak verilerinizi korumak için en iyi uygulamaları kullanırız.

10.1. AB/AEA Operasyonları: • Birincil operasyonlarımız AB/AEA içindedir (Estonya) • Veri işleme AB/AEA içinde gerçekleşir 10.2. Üçüncü Taraf Transferleri: • AB/AEA dışına veri transfer edersek, yeterli güvenceler sağlarız: - Avrupa Komisyonu tarafından onaylanmış Standart Sözleşme Hükümleri (SCCs) - Avrupa Komisyonu yeterlilik kararları - Bağlayıcı Kurumsal Kurallar (uygulanabilir olduğunda) 10.3. Onayınız: • Uluslararası transferler hakkında sizi bilgilendireceğiz • Bu tür transferlere itiraz etme hakkınız vardır

MOSA 16 yaşın altındaki çocuklar için tasarlanmamıştır. 16 yaşın altındaki çocuklardan bilerek kişisel veri toplamıyoruz. Eğer bir ebeveyn veya vasisiniz ve çocuğunuzun bize kişisel veri sağladığına inanıyorsanız, lütfen derhal bizimle iletişime geçin. 16 yaşın altındaki bir çocuktan veri topladığımızı fark edersek, bu tür verileri derhal sileceğiz.

Bu Gizlilik Politikasını zaman zaman güncelleyebiliriz. Önemli değişiklikleri şu şekilde bildireceğiz: • Güncellenmiş politikayı web sitemizde yayınlayarak • E-posta bildirimi göndererek (e-posta adresi sağladıysanız) • Uygulama içi bildirim Üstteki 'Son güncelleme' tarihi, bu politikanın son revize edildiği zamanı gösterir. Değişikliklerden sonra MOSA'yı kullanmaya devam etmek, güncellenmiş politikayı kabul ettiğiniz anlamına gelir.

Gizlilikle ilgili sorular, veri öznesi talepleri veya GDPR haklarınızı kullanmak için: E-posta: [email protected] Telefon: +372 8272 1454 Adres: Talivio Technology OÜ, Harju maakond, Tallinn, Kesklinna linnaosa, Ahtri tn 12, 15551, Estonya Veri Koruma Sorumlusu: [email protected] Estonya Veri Koruma Müfettişliği: Andmekaitse Inspektsioon Tatari 39, 10134 Tallinn, Estonya E-posta: [email protected] Web sitesi: https://www.aki.ee

14.1. Kabul: Bu Gizlilik Politikası siz ve MOSA arasındadır, Apple veya Google ile değil. Hizmet ve içeriğinden yalnızca MOSA sorumludur. 14.2. Bakım ve Destek: Uygulama ile ilgili bakım ve destek hizmetlerini sağlamaktan yalnızca MOSA sorumludur. Apple ve Google'ın uygulama ile ilgili herhangi bir bakım ve destek hizmeti sağlama yükümlülüğü yoktur. 14.3. Garanti: Yasalarca açık veya zımni her türlü ürün garantisinden yalnızca MOSA sorumludur. Apple ve Google'ın uygulama ile ilgili hiçbir garanti yükümlülüğü yoktur. 14.4. Ürün Talepleri: Uygulama veya uygulamaya sahip olmanız ve/veya kullanmanızla ilgili sizin veya üçüncü tarafların taleplerini ele almaktan MOSA sorumludur; bunlarla sınırlı olmamak üzere: (i) ürün sorumluluğu talepleri; (ii) uygulamanın geçerli yasal veya düzenleyici gerekliliklere uymadığı iddiası; ve (iii) tüketici koruma veya benzer mevzuat kapsamındaki talepler. 14.5. Fikri Mülkiyet Hakları: Uygulamanın veya uygulamaya sahip olmanız ve kullanmanızın üçüncü bir tarafın fikri mülkiyet haklarını ihlal ettiği iddiası durumunda, bu tür bir fikri mülkiyet ihlali iddiasının araştırılması, savunulması, çözüme kavuşturulması ve ifasından Apple veya Google değil, yalnızca MOSA sorumlu olacaktır.