Kullanıcı Verileri

Kullanıcı verilerini (ör. cihaz bilgileri de dahil bir kullanıcıdan alınan veya kullanıcı hakkında toplanan bilgiler) nasıl kullandığınız konusunda şeffaf olmalısınız. Bu gereklilik, uygulamanızdan kullanıcı verilerine erişim, verileri toplama, kullanma, işleme ve paylaşma süreçlerinin açıklanması ve verilerin yalnızca politikaya uygun olduğu belirtilen amaçlarla kullanılması anlamına gelir. Kişisel ve hassas kullanıcı verilerinin işlenmesinin aşağıdaki "Kişisel ve Hassas Kullanıcı Verileri" bölümünde yer alan ek şartlara da tabi olduğunu unutmayın. Bu ve diğer Google Play Geliştirici Program Politikaları'na ek olarak ürün ve hizmetlerinizi sunduğunuz yargı alanlarında geçerli olan gizlilik ve veri koruma yasalarına her zaman uymanız gerekir. Örneğin, hizmetlerinizi Avrupa Birliği'ndeki kullanıcılara sunuyorsanız Fransız Veri Koruma Yetkilisi (CNIL) tarafından mobil ortamda kişisel verilerin korunması için benimsenen en iyi uygulamalar rehberine başvurmanız faydalı olabilir.

Uygulamanıza üçüncü taraf kodu (ör. bir SDK) eklerseniz uygulamanızda kullanılan üçüncü taraf kodunun ve bu üçüncü tarafın uygulamanızdaki kullanıcı verileriyle ilgili yaklaşımının, kullanım ve açıklama şartları da dahil olmak üzere Google Play Geliştirici Program Politikaları'na uygun olmasını sağlamanız gerekir. Örneğin, SDK sağlayıcılarınızın uygulamanızdaki kişisel ve hassas kullanıcı verilerini satmamasını sağlamalısınız. Bu şart hem sunucuya gönderildikten sonra aktarılan hem de uygulamanıza üçüncü taraf kodu yerleştirilerek aktarılan kullanıcı verileri için geçerlidir.

TÜMÜNÜ DARALT TÜMÜNÜ GENİŞLET

Kişisel ve Hassas Kullanıcı Verileri

Kişisel ve hassas kullanıcı verileri; kimliği tanımlayabilecek bilgiler, finans ve ödeme bilgileri, kimlik doğrulama bilgileri, telefon rehberi, kişiler, cihaz konumu, SMS ve aramalarla ilgili veriler, sağlık verileri, Health Connect verileri, cihazdaki diğer uygulamaların envanteri, mikrofon, kamera ve diğer hassas cihaz veya kullanım verilerini içerir ancak bunlarla sınırlı değildir. Uygulamanız kişisel ve hassas kullanıcı verilerini işliyorsa şunları yapmalısınız:

Uygulama aracılığıyla edinilen kişisel ve hassas kullanıcı verileriyle ilgili erişim, toplama, kullanım ve paylaşım sürecini, uygulama ve hizmet işleviyle ve makul ölçüde kullanıcıdan beklenebilecek politikaya uygun amaçlarla sınırlandırmalısınız:
- Kişisel ve hassas kullanıcı verilerinin kullanım kapsamını reklam yayınlamak için genişleten uygulamalar, Google Play'in Reklam Politikası'na uygun olmalıdır.
- Ayrıca, gereken durumlarda servis sağlayıcılara da veri aktarabilirsiniz. Buna ek olarak, geçerli bir resmi makam talebine veya yasaya uymak gibi yasal nedenlerle ya da birleşme veya satın alma kapsamında (kullanıcılara yasal olarak uygun şekilde bilgilendirme yaparak) veri aktarabilirsiniz.
Modern kriptografi kullanarak iletme (örneğin, HTTPS üzerinden) de dahil olmak üzere tüm kişisel ve hassas kullanıcı verilerini güvenli bir şekilde işlemelisiniz.
Mümkün olduğunda her zaman, Android izinleriyle korunan verilere erişmeden önce çalışma zamanı izni istemelisiniz.
Kişisel ve hassas kullanıcı verilerini satmamalısınız.
- "Satış", kişisel ve hassas kullanıcı verilerinin para kazanma amacıyla üçüncü taraflara aktarılmasını veya veri alışverişini ifade eder.
  - Kullanıcılar tarafından başlatılan kişisel ve hassas kullanıcı verisi aktarımı (ör. kullanıcı, uygulamanın bir özelliğini kullanarak üçüncü bir tarafa dosya aktardığında veya özel amaca yönelik araştırma uygulaması kullandığında) satış olarak değerlendirilmez.

Belirgin Açıklama ve Rıza Şartı

Uygulamanızın, kişisel ve hassas kullanıcı verilerine erişme, verileri toplama, kullanma veya paylaşma süreçleri, söz konusu ürün ya da özelliğin kullanıcısından makul ölçüde beklenebilecek amaçların dışındaysa (ör. uygulamanız kullanılmıyorken arka planda veri toplanıyorsa) aşağıdaki şartları yerine getirmeniz gerekir:

Belirgin açıklama: Verilere erişme, verileri toplama, kullanma ve paylaşma sürecinizle ilgili bir uygulama içi açıklama sağlamanız gerekir. Uygulama içi açıklama:

Yalnızca uygulama açıklamasında veya bir web sitesinde değil, uygulamanın kendi içinde de olmalıdır;
Uygulama normal bir şekilde kullanılırken görüntülenmeli ve kullanıcının bir menüye veya ayarlara gitmesini gerektirmemelidir;
Hangi verilere erişildiği ve hangi verilerin toplandığını açıklamalıdır;
Verilerin nasıl kullanılacağı ve/veya paylaşılacağını açıklamalıdır;
Yalnızca bir gizlilik politikasına veya hizmet şartlarına eklenmemelidir;
Kişisel ve hassas kullanıcı verilerinin toplanmasıyla ilgisi olmayan diğer açıklamalara dahil edilmemelidir.

Rıza ve çalışma zamanında istenen izinler: Uygulama içi kullanıcı rızası isteklerinin ve çalışma zamanında istenen izinlerin hemen öncesinde bu politika şartına uygun bir uygulama içi açıklama görüntülenmelidir. Uygulamanızın izin isteği:

Rıza mesajını açık ve net bir şekilde sunmalıdır;
Kullanıcının onay verdiğini gösteren bir işlem yapmasını (ör. kabul et seçeneğine dokunma, bir onay kutusunu işaretleme) gerektirmelidir;
Açıklamadan çıkılması (başka bir alana dokunma veya geri ya da ana sayfa düğmesine basma) izin olarak yorumlanmamalıdır;
Otomatik kapanan veya süresi dolan mesajları kullanıcıdan izin almak için kullanmamalıdır ve
Uygulamanız kişisel ve hassas kullanıcı verilerini toplamaya veya bu verilere erişmeye başlamadan önce kullanıcı tarafından verilmelidir.

AB GDPR kapsamında meşru menfaat gibi başka yasal gerekçelere dayanarak kişisel ve hassas kullanıcı verilerini izinsiz bir şekilde işleyen uygulamalar geçerli tüm yasal şartlara uymalı ve bu politika uyarınca yapılması zorunlu olan uygulama içi açıklamalar da dahil olmak üzere uygun açıklamaları kullanıcılara sunmalıdır.

Politika şartlarına uymak için zorunlu olduğu durumlarda, belirgin açıklamayı oluştururken aşağıdaki örnek biçimi esas almanız önerilir:

“[Bu uygulama] [şu senaryoda] ["belirtilen özelliği"] sağlayabilmek için [şu türdeki verileri] toplar/aktarır/senkronize eder/depolar.
Örnek: “Fitness Funds uygulaması, kapalıyken veya kullanılmadığında dahi fitness takibini etkinleştirmek için konum verilerini toplar ve ayrıca reklamların sunulmasına yardımcı olmak için kullanılır."
Örnek: "Call Buddy uygulaması, kullanılmadığında dahi kişi bilgilerinin düzenlenmesi için arama kaydı verilerini toplar, okur ve yazar."

Uygulamanıza varsayılan olarak kişisel ve hassas kullanıcı verilerini toplamak üzere tasarlanmış bir üçüncü taraf kodu (ör. bir SDK) entegre edilmişse Google Play'den talep aldıktan sonra iki hafta içinde (ya da Google Play’in talebinde belirtilen süre zarfında) uygulamanızın bu politikanın belirgin açıklama ve rıza şartını (üçüncü taraf kodu aracılığıyla veri paylaşımı, erişimi, toplanması veya kullanımı açısından dahil) yerine getirdiğini gösteren yeterli kanıt sunmanız gerekir.

Sık karşılaşılan ihlal örnekleri

Kişisel ve Hassas Verilere Erişim Kısıtlamaları

Yukarıdaki şartlara ek olarak, aşağıdaki tabloda belirli etkinliklere ilişkin şartlar açıklanmaktadır.

Etkinlik	Gereksinim
Uygulamanız finans veya ödeme bilgilerini ya da resmi kimlik numaralarını işliyor	Uygulamanız finansal işlemler, ödeme işlemleri veya resmi kimlik numaralarıyla ilgili kişisel ve hassas kullanıcı verilerini hiçbir zaman herkese açık bir şekilde açıklamamalıdır.
Uygulamanız özel telefon rehberi veya iletişim bilgilerini işliyor	Kişilerin rehberinde bulunan özel iletişim bilgilerinin izinsiz şekilde yayınlanmasına veya ifşa edilmesine izin verilmez.
Uygulamanız virüsten korunma veya güvenlik işlevlerine (ör. virüslerden, kötü amaçlı yazılımlardan korunma ya da güvenlikle ilgili özellikler) sahip	Uygulamanız, uygulama içi açıklamalarla birlikte bir gizlilik politikası yayınlayıp kullanıcıya ait hangi verileri topladığını ve ilettiğini, bunları nasıl kullandığını ve kiminle paylaştığını açıklamalıdır.
Uygulamanız çocukları hedefliyor	Uygulamanız, çocuklara yönelik hizmetlerde kullanımı onaylanmamış SDK'lar içermemelidir. Politika dilinin tamamı ve şartları için Çocuklar ve Aileler için Uygulama Tasarlama başlığını inceleyin.
Uygulamanız kalıcı cihaz tanımlayıcıları topluyor veya bunlara bağlantı veriyor (ör. IMEI, IMSI, SIM Seri Numarası vb.)	Kalıcı cihaz tanımlayıcıları, aşağıdaki amaçlar dışında diğer kişisel ve hassas kullanıcı verilerine veya sıfırlanabilir cihaz tanımlayıcılarına bağlanamaz: SIM kimliğine (ör. operatörün hesabına bağlı kablosuz arama) bağlı telefon işlevleri ve Cihaz sahibi modunu kullanan kurumsal cihaz yönetim uygulamaları. Bu kullanımlar, Kullanıcı Verileri Politikası'nda belirtildiği gibi kullanıcılara belirgin bir şekilde açıklanmalıdır. Alternatif benzersiz tanımlayıcılar için lütfen bu kaynağa bakın. Android Reklam Kimliği ile ilgili ek yönergeler hakkında bilgi edinmek için lütfen Reklam politikasını okuyun.

Veri güvenliği bölümü

Tüm geliştiriciler, her uygulama için kullanıcı verilerinin nasıl toplandığını, kullanıldığını ve paylaşıldığını açıklayan Veri Güvenliği bölümü hazırlamalıdır. Bu açıklamadaki bilgilerin kolay anlaşılabilir ve doğru olması gerekir. Etiketin doğruluğu ve bu bilgilerin güncel tutulması geliştiricinin sorumluluğundadır. Veri Güvenliği bölümü, uygulamanın gizlilik politikasında yapılan açıklamaların ilgili kısımlarıyla tutarlı olmalıdır.

Veri Güvenliği bölümünü tamamlamayla ilgili daha fazla bilgi için lütfen bu makaleye bakın.

Gizlilik Politikası

Tüm uygulamalar Play Console'da belirtilen alanda bir gizlilik politikası bağlantısı, uygulamanın kendi içinde de bir gizlilik politikası bağlantısı veya metni yayınlamalıdır. Gizlilik politikası, uygulama içi açıklamalarla birlikte uygulamanızın kullanıcı verilerine nasıl eriştiğini, bu verileri nasıl topladığını, kullandığını ve paylaştığını eksiksiz bir şekilde açıklamalıdır. Bu tür kullanıcı verilerine Veri Gizliliği bölümünde açıklanan veriler dahildir ancak bunlarla sınırlı değildir. Açıklama şunları içermelidir:

Geliştirici bilgileri ve gizlilikle ilgili konularda irtibat kişisi veya sorguları göndermek için kullanılabilen bir mekanizma
Uygulamanızın ne tür kişisel veya hassas kullanıcı verilerini topladığı, kullandığı, paylaştığı; ayrıca kişisel veya hassas kullanıcı verilerinin paylaşıldığı tüm tarafların açıklaması
Kişisel ve hassas kullanıcı verileri için güvenli veri işleme süreçleri
Geliştiricinin veri saklama ve silme politikası
Anlaşılır bir gizlilik politikası ibaresi (örneğin, başlıkta "gizlilik politikası" ifadesi)

Uygulamanın Google Play girişinde adı geçen tüzel kişi (örneğin geliştirici, şirket), gizlilik politikasında yer almalı veya uygulamanın adı gizlilik politikasında belirtilmelidir. Hiçbir kişisel ve hassas kullanıcı verisine erişmeyen uygulamalar yine de gizlilik politikası sağlamalıdır.

Lütfen gizlilik politikanızın çalışan, herkesin erişimine açık ve coğrafi sınıra tabi olmayan bir URL'de bulunduğundan (PDF kabul edilmez.) ve düzenlenebilir olmadığından emin olun.

Hesap Silme Şartı

Kullanıcılarınıza uygulamanızın içinde hesap oluşturma hakkı tanıyorsanız hesaplarını silme isteğinde bulunma hakkı da tanımanız gerekir. Kullanıcılar, uygulama hesabı silme işlemini uygulamanızın içinden ve dışından (ör. web sitenizden) kolayca başlatabilmelidir. Bu web kaynağının bağlantısı, Play Console'da belirtilen URL form alanına girilmelidir.

Bir kullanıcının isteği üzerine uygulama hesabını sildiğinizde, o uygulama hesabıyla ilişkilendirilen kullanıcı verilerini de silmeniz gerekir. Uygulama hesabının geçici olarak devre dışı bırakılması veya "dondurulması", hesabın silinmesi olarak kabul edilmez. Güvenlik, sahtekarlık önleme veya tüzüklere uygunluk gibi meşru gerekçelerle belirli verileri saklamanız gerekiyorsa kullanıcıları veri saklama yöntemleriniz hakkında açıkça bilgilendirmeniz (ör. gizlilik politikanızda) gerekir.

Hesap silmeyle ilgili politika şartları hakkında daha fazla bilgi için bu Yardım Merkezi makalesini inceleyebilirsiniz. Veri Güvenliği Formunuzu güncelleme hakkında ek bilgi için bu makaleyi okuyabilirsiniz.

Uygulama Grubu Kimliğinin Kullanımı

Android'de, analizler ve sahtekarlığı önleme gibi önemli kullanım alanlarını desteklemek üzere yeni bir kimlik kullanımı başlatılacak. Bu kimliğin kullanımıyla ilgili şartlar aşağıdadır.

Kullanım: Uygulama grubu kimliği, reklam kişiselleştirme ve reklam ölçümü gibi amaçlarla kullanılamaz.
Kimliği tanımlayabilecek bilgiler veya diğer tanımlayıcılarla olan ilişki: Uygulama grubu kimliği, herhangi bir Android kimliğine (ör. AAID) veya reklam amacıyla herhangi bir kişisel ve hassas veriye bağlanamaz.
Şeffaflık ve kullanıcı izni: Uygulama grubu kimliğinin toplanması, kullanılması ve bu şartlara bağlılık, gizlilik politikanız da dahil olmak üzere yasal anlamda yeterli düzeyde bir gizlilik bildirimi aracılığıyla kullanıcılara açıklanmalıdır. Gerektiğinde kullanıcılardan yasal olarak geçerli izin almanız gerekir. Gizlilik standartlarımız hakkında daha fazla bilgi edinmek için lütfen Kullanıcı Verileri politikamıza bakın.

AB-ABD, Birleşik Krallık ve İsviçre Veri Gizliliği Çerçeveleri

Avrupa Ekonomik Alanı, Birleşik Krallık veya İsviçre kaynaklı olup bir bireyin kimliğini doğrudan ya da dolaylı olarak belli eden ve Google'ın kullanılabilir hale getirdiği kişisel bilgilere ("AB Kişisel Bilgileri") erişmeniz, bu bilgileri kullanmanız veya işlemeniz halinde şunları yapmanız gerekir:

Tüm geçerli gizlilik, veri güvenliği ve veri koruma kanunları, yönergeleri, yönetmelikleri ve kurallarına uyma;
AB Kişisel Bilgilerini yalnızca AB Kişisel Bilgilerinin ait olduğu bireyin izin verdiği amaçlara yönelik olarak kullanma, işleme veya söz konusu bilgilere bu amaçla erişme;
AB Kişisel Bilgilerini kaybolmaya, suistimale ve yetkisiz ya da yasa dışı erişime, ifşa edilmeye, değiştirilmeye ve yok edilmeye karşı korumak için gereken düzenlemeleri ve teknik önlemleri uygulama; ve
Veri Gizliliği Çerçevesi İlkeleri'nin gerektirdiği koruma seviyesine eşdeğer bir koruma sağlama veya Google Denetleyici-Denetleyici Veri Koruma Şartları'nda açıklandığı gibi geçerli aktarım mekanizması sunma.

Bu koşullara uygunluğunuzu düzenli olarak izlemelisiniz. Bu şartları yerine getiremezseniz (ya da bu şartları yerine getiremeyeceğinize dair önemli bir risk varsa) hemen data-protection-office@google.com adresine e-posta göndererek durumu bize bildirmeniz ve derhal ya AB Kişisel Bilgilerini işlemeyi durdurmanız ya da yeterli koruma seviyesini sağlamak için makul ve uygun adımları atmanız gerekir.

Geri bildirim sağlamak için bir bölüm seçin

Bu size yardımcı oldu mu?

Bunu nasıl iyileştirebiliriz?