Kullanıcı Verileri

Yakında bu makalede değişiklikler yapılacak

Bu makale, yakın zamanda duyurulan değişiklikleri yansıtacak şekilde güncellenecek.

Sağlık uygulaması kategorilerine giren uygulamalara yönelik yeni gereklilikleri açıklamak için "Sağlık İçeriği ve Hizmetleri" bölümüne yeni bir Sağlık Uygulamaları Politikası ekliyoruz. Ayrıca politikayı halk sağlığı ile ilgili rehber niteliğindeki mevcut bilgileri yansıtacak şekilde güncelliyoruz. (31 Mayıs 2024'ten itibaren geçerli)

"Kullanıcı Verileri" makalesinin güncellenmiş halini önizlemek için bu sayfayı ziyaret edin.

Kullanıcı verilerini (ör. cihaz bilgileri de dahil bir kullanıcıdan alınan veya kullanıcı hakkında toplanan bilgiler) nasıl kullandığınız konusunda şeffaf olmalısınız. Bu gereklilik, uygulamanızdan kullanıcı verilerine erişim, verileri toplama, kullanma, işleme ve paylaşma süreçlerinin açıklanması ve verilerin yalnızca politikaya uygun olduğu belirtilen amaçlarla kullanılması anlamına gelir. Kişisel ve hassas kullanıcı verilerinin işlenmesinin aşağıdaki "Kişisel ve Hassas Kullanıcı Verileri" bölümünde yer alan ek şartlara da tabi olduğunu unutmayın. Bu Google Play şartları, geçerli gizlilik ve veri koruma yasalarında belirtilen şartlara ek olarak uygulanır.

Uygulamanıza üçüncü taraf kodu (ör. bir SDK) eklerseniz uygulamanızda kullanılan üçüncü taraf kodunun ve bu üçüncü tarafın uygulamanızdaki kullanıcı verileriyle ilgili yaklaşımının, kullanım ve açıklama şartları da dahil olmak üzere Google Play Geliştirici Program Politikaları'na uygun olmasını sağlamanız gerekir. Örneğin, SDK sağlayıcılarınızın uygulamanızdaki kişisel ve hassas kullanıcı verilerini satmamasını sağlamalısınız. Bu şart hem sunucuya gönderildikten sonra aktarılan hem de uygulamanıza üçüncü taraf kodu yerleştirilerek aktarılan kullanıcı verileri için geçerlidir.

TÜMÜNÜ DARALT TÜMÜNÜ GENİŞLET

Kişisel ve Hassas Kullanıcı Verileri

Kişisel ve hassas kullanıcı verileri; kimliği tanımlayabilecek bilgiler, finans ve ödeme bilgileri, kimlik doğrulama bilgileri, telefon rehberi, kişiler, cihaz konumu, SMS ve aramalarla ilgili veriler, sağlık verileri, Health Connect verileri, cihazdaki diğer uygulamaların envanteri, mikrofon, kamera ve diğer hassas cihaz veya kullanım verilerini içerir ancak bunlarla sınırlı değildir. Uygulamanız kişisel ve hassas kullanıcı verilerini işliyorsa şunları yapmalısınız:

Uygulama aracılığıyla edinilen kişisel ve hassas kullanıcı verileriyle ilgili erişim, toplama, kullanım ve paylaşım sürecini, uygulama ve hizmet işleviyle ve makul ölçüde kullanıcıdan beklenebilecek politikaya uygun amaçlarla sınırlandırmalısınız:
- Kişisel ve hassas kullanıcı verilerinin kullanım kapsamını reklam yayınlamak için genişleten uygulamalar, Google Play'in Reklam Politikası'na uygun olmalıdır.
- Ayrıca, gereken durumlarda servis sağlayıcılara da veri aktarabilirsiniz. Buna ek olarak, geçerli bir resmi makam talebine veya yasaya uymak gibi yasal nedenlerle ya da birleşme veya satın alma kapsamında (kullanıcılara yasal olarak uygun şekilde bilgilendirme yaparak) veri aktarabilirsiniz.
Modern kriptografi kullanarak iletme (örneğin, HTTPS üzerinden) de dahil olmak üzere tüm kişisel ve hassas kullanıcı verilerini güvenli bir şekilde işlemelisiniz.
Mümkün olduğunda her zaman, Android izinleriyle korunan verilere erişmeden önce çalışma zamanı izni istemelisiniz.
Kişisel ve hassas kullanıcı verilerini satmamalısınız.
- "Satış", kişisel ve hassas kullanıcı verilerinin para kazanma amacıyla üçüncü taraflara aktarılmasını veya veri alışverişini ifade eder.
  - Kullanıcılar tarafından başlatılan kişisel ve hassas kullanıcı verisi aktarımı (ör. kullanıcı, uygulamanın bir özelliğini kullanarak üçüncü bir tarafa dosya aktardığında veya özel amaca yönelik araştırma uygulaması kullandığında) satış olarak değerlendirilmez.

Belirgin Açıklama ve Rıza Şartı

Uygulamanızın, kişisel ve hassas kullanıcı verilerine erişme, verileri toplama, kullanma veya paylaşma süreçleri, söz konusu ürün ya da özelliğin kullanıcısından makul ölçüde beklenebilecek amaçların dışındaysa (ör. uygulamanız kullanılmıyorken arka planda veri toplanıyorsa) aşağıdaki şartları yerine getirmeniz gerekir:

Belirgin açıklama: Verilere erişme, verileri toplama, kullanma ve paylaşma sürecinizle ilgili bir uygulama içi açıklama sağlamanız gerekir. Uygulama içi açıklama:

Yalnızca uygulama açıklamasında veya bir web sitesinde değil, uygulamanın kendi içinde de olmalıdır;
Uygulama normal bir şekilde kullanılırken görüntülenmeli ve kullanıcının bir menüye veya ayarlara gitmesini gerektirmemelidir;
Hangi verilere erişildiği ve hangi verilerin toplandığını açıklamalıdır;
Verilerin nasıl kullanılacağı ve/veya paylaşılacağını açıklamalıdır;
Yalnızca bir gizlilik politikasına veya hizmet şartlarına eklenmemelidir;
Kişisel ve hassas kullanıcı verilerinin toplanmasıyla ilgisi olmayan diğer açıklamalara dahil edilmemelidir.

Rıza ve çalışma zamanında istenen izinler: Uygulama içi kullanıcı rızası isteklerinin ve çalışma zamanında istenen izinlerin hemen öncesinde bu politika şartına uygun bir uygulama içi açıklama görüntülenmelidir. Uygulamanızın izin isteği:

Rıza mesajını açık ve net bir şekilde sunmalıdır;
Kullanıcının onay verdiğini gösteren bir işlem yapmasını (ör. kabul et seçeneğine dokunma, bir onay kutusunu işaretleme) gerektirmelidir;
Açıklamadan çıkılması (başka bir alana dokunma veya geri ya da ana sayfa düğmesine basma) izin olarak yorumlanmamalıdır;
Otomatik kapanan veya süresi dolan mesajları kullanıcıdan izin almak için kullanmamalıdır ve
Uygulamanız kişisel ve hassas kullanıcı verilerini toplamaya veya bu verilere erişmeye başlamadan önce kullanıcı tarafından verilmelidir.

AB GDPR kapsamında meşru menfaat gibi başka yasal gerekçelere dayanarak kişisel ve hassas kullanıcı verilerini izinsiz bir şekilde işleyen uygulamalar geçerli tüm yasal şartlara uymalı ve bu politika uyarınca yapılması zorunlu olan uygulama içi açıklamalar da dahil olmak üzere uygun açıklamaları kullanıcılara sunmalıdır.

Politika şartlarına uymak için zorunlu olduğu durumlarda, belirgin açıklamayı oluştururken aşağıdaki örnek biçimi esas almanız önerilir:

“[Bu uygulama] [şu senaryoda] ["belirtilen özelliği"] sağlayabilmek için [şu türdeki verileri] toplar/aktarır/senkronize eder/depolar.
Örnek: “Fitness Funds uygulaması, kapalıyken veya kullanılmadığında dahi fitness takibini etkinleştirmek için konum verilerini toplar ve ayrıca reklamların sunulmasına yardımcı olmak için kullanılır."
Örnek: "Call Buddy uygulaması, kullanılmadığında dahi kişi bilgilerinin düzenlenmesi için arama kaydı verilerini toplar, okur ve yazar."

Uygulamanıza varsayılan olarak kişisel ve hassas kullanıcı verilerini toplamak üzere tasarlanmış bir üçüncü taraf kodu (ör. bir SDK) entegre edilmişse Google Play'den talep aldıktan sonra iki hafta içinde (ya da Google Play’in talebinde belirtilen süre zarfında) uygulamanızın bu politikanın belirgin açıklama ve rıza şartını (üçüncü taraf kodu aracılığıyla veri paylaşımı, erişimi, toplanması veya kullanımı açısından dahil) yerine getirdiğini gösteren yeterli kanıt sunmanız gerekir.

Sık karşılaşılan ihlal örnekleri

Cihaz konumu bilgilerini toplayan ancak hangi özelliğin bu verileri kullandığı hakkında bilgi veren ve/veya uygulamanın arka planda kullanıldığını gösteren bir öne çıkan açıklaması olmayan uygulama.
Verilerin ne için kullanıldığının belirtildiği belirgin açıklamadan önce verilere erişmek isteyen ve çalışma zamanında istenen izne sahip uygulama.
Bir kullanıcının yüklü uygulama envanterine erişen ve bu verileri yukarıdaki Gizlilik Politikası, veri işleme, belirgin açıklama ve rıza şartlarına tabi kişisel veya hassas veri olarak ele almayan bir uygulama.
Kullanıcının telefon veya rehber verilerine erişen ve bu verileri yukarıdaki Gizlilik Politikası, veri işleme, Öne Çıkan Açıklama ve Rıza şartlarına tabi kişisel veya hassas veri olarak ele almayan bir uygulama.
Kullanıcının ekranını kaydeden ve bu verileri bu politikaya tabi kişisel veya hassas veri olarak ele almayan bir uygulama.
Cihaz konumu bilgilerini toplayan ve yukarıdaki şartlara uygun şekilde kullanımını açık bir şekilde paylaşmayan ve kullanıcının rızasını almayan bir uygulama.
Takip etme, araştırma veya pazarlama gibi amaçlarla uygulamanın arka planında kısıtlı izinleri kullanan ve yukarıdaki şartlara uygun şekilde kullanımını açık bir şekilde paylaşmayan ve kullanıcının rızasını almayan bir uygulama.
Kişisel ve hassas kullanıcı verilerini toplayan bir SDK içeren ancak bu verileri bu Kullanıcı Verileri Politikası'na, erişim, veri işlemenin yanı sıra (izin verilmeyen satış dahil) belirgin açıklama ve rıza şartlarına tabi olarak değerlendirmeyen bir uygulama.

Belirgin açıklama ve rıza şartı hakkında daha fazla bilgi için bu makaleyi inceleyin.

Kişisel ve Hassas Verilere Erişim Kısıtlamaları

Yukarıdaki şartlara ek olarak, aşağıdaki tabloda belirli etkinliklere ilişkin şartlar açıklanmaktadır.

Etkinlik	Gereksinim
Uygulamanız finans veya ödeme bilgilerini ya da resmi kimlik numaralarını işliyor	Uygulamanız finansal işlemler, ödeme işlemleri veya resmi kimlik numaralarıyla ilgili kişisel ve hassas kullanıcı verilerini hiçbir zaman herkese açık bir şekilde açıklamamalıdır.
Uygulamanız özel telefon rehberi veya iletişim bilgilerini işliyor	Kişilerin rehberinde bulunan özel iletişim bilgilerinin izinsiz şekilde yayınlanmasına veya ifşa edilmesine izin verilmez.
Uygulamanız virüsten korunma veya güvenlik işlevlerine (ör. virüslerden, kötü amaçlı yazılımlardan korunma ya da güvenlikle ilgili özellikler) sahip	Uygulamanız, uygulama içi açıklamalarla birlikte bir gizlilik politikası yayınlayıp kullanıcıya ait hangi verileri topladığını ve ilettiğini, bunları nasıl kullandığını ve kiminle paylaştığını açıklamalıdır.
Uygulamanız çocukları hedefliyor	Uygulamanız, çocuklara yönelik hizmetlerde kullanımı onaylanmamış SDK'lar içermemelidir. Politika dilinin tamamı ve şartları için Çocuklar ve Aileler için Uygulama Tasarlama başlığını inceleyin.
Uygulamanız kalıcı cihaz tanımlayıcıları topluyor veya bunlara bağlantı veriyor (ör. IMEI, IMSI, SIM Seri Numarası vb.)	Kalıcı cihaz tanımlayıcıları, aşağıdaki amaçlar dışında diğer kişisel ve hassas kullanıcı verilerine veya sıfırlanabilir cihaz tanımlayıcılarına bağlanamaz: SIM kimliğine (ör. operatörün hesabına bağlı kablosuz arama) bağlı telefon işlevleri ve Cihaz sahibi modunu kullanan kurumsal cihaz yönetim uygulamaları. Bu kullanımlar, Kullanıcı Verileri Politikası'nda belirtildiği gibi kullanıcılara belirgin bir şekilde açıklanmalıdır. Alternatif benzersiz tanımlayıcılar için lütfen bu kaynağa bakın. Android Reklam Kimliği ile ilgili ek yönergeler hakkında bilgi edinmek için lütfen Reklam politikasını okuyun.

Veri güvenliği bölümü

Tüm geliştiriciler, her uygulama için kullanıcı verilerinin nasıl toplandığını, kullanıldığını ve paylaşıldığını açıklayan Veri Güvenliği bölümü hazırlamalıdır. Bu açıklamadaki bilgilerin kolay anlaşılabilir ve doğru olması gerekir. Etiketin doğruluğu ve bu bilgilerin güncel tutulması geliştiricinin sorumluluğundadır. Veri Güvenliği bölümü, uygulamanın gizlilik politikasında yapılan açıklamaların ilgili kısımlarıyla tutarlı olmalıdır.

Veri Güvenliği bölümünü tamamlamayla ilgili daha fazla bilgi için lütfen bu makaleye bakın.

Gizlilik Politikası

Tüm uygulamalar Play Console'da belirtilen alanda bir gizlilik politikası bağlantısı, uygulamanın kendi içinde de bir gizlilik politikası bağlantısı veya metni yayınlamalıdır. Gizlilik politikası, uygulama içi açıklamalarla birlikte uygulamanızın kullanıcı verilerine nasıl eriştiğini, bu verileri nasıl topladığını, kullandığını ve paylaştığını eksiksiz bir şekilde açıklamalıdır. Bu tür kullanıcı verilerine Veri Gizliliği bölümünde açıklanan veriler dahildir ancak bunlarla sınırlı değildir. Açıklama şunları içermelidir:

Geliştirici bilgileri ve gizlilikle ilgili konularda irtibat kişisi veya sorguları göndermek için kullanılabilen bir mekanizma
Uygulamanızın ne tür kişisel veya hassas kullanıcı verilerini topladığı, kullandığı, paylaştığı; ayrıca kişisel veya hassas kullanıcı verilerinin paylaşıldığı tüm tarafların açıklaması
Kişisel ve hassas kullanıcı verileri için güvenli veri işleme süreçleri
Geliştiricinin veri saklama ve silme politikası
Anlaşılır bir gizlilik politikası ibaresi (örneğin, başlıkta "gizlilik politikası" ifadesi)

Uygulamanın Google Play girişinde adı geçen tüzel kişi (örneğin geliştirici, şirket), gizlilik politikasında yer almalı veya uygulamanın adı gizlilik politikasında belirtilmelidir. Hiçbir kişisel ve hassas kullanıcı verisine erişmeyen uygulamalar yine de gizlilik politikası sağlamalıdır.

Lütfen gizlilik politikanızın çalışan, herkesin erişimine açık ve coğrafi sınıra tabi olmayan bir URL'de bulunduğundan (PDF kabul edilmez.) ve düzenlenebilir olmadığından emin olun.

Hesap Silme Şartı

Kullanıcılarınıza uygulamanızın içinde hesap oluşturma hakkı tanıyorsanız hesaplarını silme isteğinde bulunma hakkı da tanımanız gerekir. Kullanıcılar, uygulama hesabı silme işlemini uygulamanızın içinden ve dışından (ör. web sitenizden) kolayca başlatabilmelidir. Bu web kaynağının bağlantısı, Play Console'da belirtilen URL form alanına girilmelidir.

Bir kullanıcının isteği üzerine uygulama hesabını sildiğinizde, o uygulama hesabıyla ilişkilendirilen kullanıcı verilerini de silmeniz gerekir. Uygulama hesabının geçici olarak devre dışı bırakılması veya "dondurulması", hesabın silinmesi olarak kabul edilmez. Güvenlik, sahtekarlık önleme veya tüzüklere uygunluk gibi meşru gerekçelerle belirli verileri saklamanız gerekiyorsa kullanıcıları veri saklama yöntemleriniz hakkında açıkça bilgilendirmeniz (ör. gizlilik politikanızda) gerekir.

Hesap silmeyle ilgili politika şartları hakkında daha fazla bilgi için bu Yardım Merkezi makalesini inceleyebilirsiniz. Veri Güvenliği Formunuzu güncelleme hakkında ek bilgi için bu makaleyi okuyabilirsiniz.

Uygulama Grubu Kimliğinin Kullanımı

Android'de, analizler ve sahtekarlığı önleme gibi önemli kullanım alanlarını desteklemek üzere yeni bir kimlik kullanımı başlatılacak. Bu kimliğin kullanımıyla ilgili şartlar aşağıdadır.

Kullanım: Uygulama grubu kimliği, reklam kişiselleştirme ve reklam ölçümü gibi amaçlarla kullanılamaz.
Kimliği tanımlayabilecek bilgiler veya diğer tanımlayıcılarla olan ilişki: Uygulama grubu kimliği, herhangi bir Android kimliğine (ör. AAID) veya reklam amacıyla herhangi bir kişisel ve hassas veriye bağlanamaz.
Şeffaflık ve kullanıcı izni: Uygulama grubu kimliğinin toplanması, kullanılması ve bu şartlara bağlılık, gizlilik politikanız da dahil olmak üzere yasal anlamda yeterli düzeyde bir gizlilik bildirimi aracılığıyla kullanıcılara açıklanmalıdır. Gerektiğinde kullanıcılardan yasal olarak geçerli izin almanız gerekir. Gizlilik standartlarımız hakkında daha fazla bilgi edinmek için lütfen Kullanıcı Verileri politikamıza bakın.

EU-U.S., Swiss Privacy Shield (AB-ABD, İsviçre Gizlilik Kalkanı)

Avrupa Birliği veya İsviçre kaynaklı olup bir bireyin kimliğini doğrudan ya da dolaylı olarak belli eden ve Google'ın kullanılabilir hale getirdiği kişisel bilgilere ("AB Kişisel Bilgileri") erişmeniz, bu bilgileri kullanmanız veya işlemeniz halinde şunları yapmanız gerekir:

Tüm geçerli gizlilik, veri güvenliği ve veri koruma kanunları, yönergeleri, yönetmelikleri ve kurallarına uyma;
AB Kişisel Bilgilerini yalnızca AB Kişisel Bilgilerinin ait olduğu bireyin izin verdiği amaçlara yönelik olarak kullanma, işleme veya söz konusu bilgilere bu amaçla erişme;
AB Kişisel Bilgilerini kaybolmaya, suistimale ve yetkisiz ya da yasa dışı erişime, ifşa edilmeye, değiştirilmeye ve yok edilmeye karşı korumak için gereken düzenlemeleri ve teknik önlemleri uygulama; ve
Privacy Shield (Gizlilik Kalkanı) İlkeleri'nin gerektirdiği ile aynı koruma seviyesini sunma.

Bu koşullara uygunluğunuzu düzenli olarak izlemelisiniz. Bu şartları yerine getiremezseniz (ya da bu şartları yerine getiremeyeceğinize dair önemli bir risk varsa) hemen data-protection-office@google.com adresine e-posta göndererek durumu bize bildirmeniz ve derhal ya AB Kişisel Bilgilerini işlemeyi durdurmanız ya da yeterli koruma seviyesini sağlamak için makul ve uygun adımları atmanız gerekir.

16 Temmuz 2020 tarihinden itibaren artık Avrupa Ekonomik Alanı veya Birleşik Krallık'tan ABD'ye veri aktarımında EU-U.S. Privacy Shield'e (AB-ABD Gizlilik Kalkanı) itimat etmiyoruz. (Daha Fazla Bilgi.) Daha fazla bilgi için DDA'nın 9. Bölümüne bakın.

Bu size yardımcı oldu mu?

Bunu nasıl iyileştirebiliriz?