Google Play'in Veri Güvenliği bölümü için bilgi sağlama

Bu videoda, Veri Güvenliği Formu'nu doldurmak için gereken tüm kaynaklar ve adımlar ayrıntılı bir şekilde açıklanmaktadır.

"Toplama", uygulamanızdan kullanıcı cihazı dışına veri aktarılması anlamına gelir. Lütfen aşağıdaki kuralları göz önünde bulundurun:

• Kitaplıklar ve SDK'lar: Kullanıcı verilerinin uygulamanızda kullanılan kitaplıklar ve/veya SDK'lar tarafından uygulamanızdan cihaz dışına aktarılması bu kapsama girer. Verilerin size veya üçüncü taraf sunuculara aktarılması fark etmez.
• Web görünümü: İlgili web görünümü üzerinden aktarılan kodun/davranışın uygulamanızın kontrolünde olduğu durumlarda, uygulamanızdan açılan web görünümünden toplanan kullanıcı verileri de bu kapsama girer.
  • Kullanıcıların açık web'de gezindiği web görünümlerinden toplanan verileri beyan etmeniz gerekmez.
• Geçici işleme: Cihaz dışına aktarılıp geçici olarak işlenen kullanıcı verilerini formda belirtmeniz zorunludur. Bununla birlikte, aşağıdaki standarda uygun olması halinde bu veriler uygulamanızın Google Play'deki Veri Güvenliği bölümünde açıklanmaz.
  • Verilerin "kısa süreli" işlenmesi; verilere, yalnızca bellekte depolandıkları ve belirli bir isteğin gerçek zamanlı olarak yerine getirilmesi için gerekli olduğu sürece saklandıkları sırada erişilmesi ve verilerin bu sırada kullanılması anlamına gelir.
  • Örneğin, kullanıcının bulunduğu yerdeki mevcut hava durumunu almak için cihazdan konum bilgisini aktarırken yalnızca bellekteki konum verilerini kullanan ve istek yerine getirildikten sonra bu verileri depolamayan bir hava durumu uygulamasını ele alalım. Bu durumda, uygulamanın geçici konum kullanımı kısa süreli olarak değerlendirilebilir. Ancak, reklam profillerini veya diğer kullanıcı profillerini oluşturmak için veri kullanılması kısa süreli kullanım olarak değerlendirilemez. Bu kullanım, verilerin ilgili amaçlar için toplanması veya paylaşılması olarak beyan edilmelidir.
• Belirsizleştirilen veriler: Belirsizleştirilerek toplanan kullanıcı verilerinin açıklanması zorunludur. Örneğin, bir kullanıcıyla mantıken yeniden ilişkilendirilebilecek verilerin açıklanması zorunludur.

Veri toplama kapsamına girmeyenler

Aşağıdaki kullanım alanlarının toplama olarak açıklanması gerekmez:

• Cihaz üzerinde erişim/işleme: Uygulamanız tarafından erişilip yalnızca kullanıcının cihazında yerel olarak işlenen ve cihaz dışına gönderilmeyen kullanıcı verilerinin açıklanması gerekli değildir.
• Uçtan uca şifreleme: Cihaz dışına gönderilen ancak uçtan uca şifreleme sonucunda gönderici ve alıcı dışında siz dahil hiç kimse tarafından okunması mümkün olmayan kullanıcı verilerinin açıklanması gerekli değildir.
  • Şifrelenen veriler, geliştirici dahil olmak üzere hiçbir aracı tarafından okunamamalıdır. Gerekli anahtarlar yalnızca göndericide ve alıcıda bulunabilir.

"Paylaşım", uygulamanızdan toplanan kullanıcı verilerinin üçüncü taraflara aktarılması anlamına gelir. Aşağıdaki şekillerde aktarılan kullanıcı verileri bu kapsama girer:

• Cihaz dışında (ör. sunucudan sunucuya) aktarım. Örneğin, uygulamanızdan toplanan kullanıcı verilerinin kendi sunucunuzdan üçüncü taraf sunucuya aktarılması.
• Cihaz üzerinde başka uygulamaya aktarım. Kullanıcı verilerinin doğrudan cihaz üzerinde sizin uygulamanızdan başka bir uygulamaya aktarılması. Bu durumda, uygulamanız verileri kullanıcının cihazından dışarı aktarmasa bile Veri Güvenliği bölümündeki açıklamalarınızda veri paylaşımını bildirmeniz gerekir.
• Uygulamanızın kitaplıklarından ve SDK'larından aktarım. Uygulamanızdan toplanan verilerin, uygulamanızın içindeki kitaplıklar ve/veya SDK'lar üzerinden kullanıcı cihazından doğrudan bir üçüncü tarafa aktarılmasıdır.
• Uygulamanız üzerinden açılan web görünümünden aktarım. Uygulamanızdan açılan bir web görünümü üzerinden aktarılan kodun/davranışın uygulamanızın kontrolünde olduğu durumlarda, kullanıcı verilerinin ilgili web görünümü üzerinden üçüncü taraflara aktarılmasıdır.
  • Kullanıcıların açık web'de gezindiği web görünümlerinden gerçekleşen veri paylaşımını beyan etmeniz gerekmez.

Aşağıdaki veri aktarımı türlerinin "paylaşım" olarak açıklanması gerekmez:

• Servis sağlayıcılar. Geliştirici adına verileri işleyen bir "servis sağlayıcıya" kullanıcı verilerinin aktarılması.
  • "Servis sağlayıcı", geliştirici adına ve geliştiricinin talimatları doğrultusunda kullanıcı verilerini işleyen tüzel kişi anlamına gelir.
• Yasal nedenler. Yasal yükümlülükler veya resmi makamların talepleri gibi belirli yasal nedenlerle kullanıcı verilerinin aktarılmasıdır.
• Kullanıcı tarafından başlatılan işlem veya belirgin açıklama ve kullanıcı rızası. Kullanıcının veri paylaşımını makul şekilde öngöreceği durumlarda başlattığı belirli bir işlem sonucunda veya Kullanıcı Verileri Politikamızda açıklanan koşullara uygun bir uygulama içi öne çıkan açıklama ve rıza doğrultusunda kullanıcı verilerinin üçüncü taraflara aktarılmasıdır.
• Anonim veriler. Artık bireysel bir kullanıcıyla ilişkilendirilemeyecek şekilde tamamen anonimleştirilen kullanıcı verilerinin aktarılmasıdır.

Birinci ve üçüncü taraflar.

• Uygulama tarafından toplanan verilerin işlenmesinden sorumlu olan birincil kuruluş, "birinci taraf" olarak bilinir. Bu, genellikle uygulamayı Google Play'de yayınlayan ve mağaza girişinde görünen kuruluştur.
  • Birinci taraf, hangi kuruluşun uygulamada toplanan verileri işlemekle birinci derecede yükümlü olduğunun kullanıcılar tarafından makul ölçüde anlaşılır olmasını sağlamak zorundadır.
• Birinci taraf veya birinci tarafın servis sağlayıcıları dışındaki tüm kuruluşlar "üçüncü taraf" olarak tanımlanır.

Ayrıca, uygulamanız tarafından toplanan her veri türünün "isteğe bağlı" mı yoksa "zorunlu" mu olduğunu açıklayabilirsiniz. "İsteğe bağlı" ifadesi, veri toplama kapsamına dahil olmayı veya kapsam dışında kalmayı seçme imkanının sunulduğunu belirtir. Kullanıcının kontrolünde toplanan ve uygulamanın kullanılabilmesi için sağlanması zorunlu olmayan veri türlerini veya kullanıcının manuel olarak sağlayıp sağlamamayı seçebildiği veri türlerini "isteğe bağlı" olarak tanımlayabilirsiniz. Uygulamanızın birincil işlevi açısından zorunlu olan veri türlerini "zorunlu" olarak tanımlamanız gerekir.

Belirli bir veri türünün uygulamanızda isteğe bağlı olarak toplandığını açıklayabilmeniz için, cihaz veya bölge fark etmeksizin tüm kullanıcıların bilgi vermeyi, söz konusu verinin toplanmasını devre dışı bırakmayı ya da etkinleştirmeyi isteğe bağlı olarak seçebilmeleri gerekir.

Aşağıdaki örnekler isteğe bağlı veri toplama kapsamına girer:

• Bir sosyal medya uygulaması, pazarlama iletişimi için kullanıcının doğum gününü sorar ancak bu bilgi zorunlu değildir, kullanıcı bu bilgiyi vermeden de uygulamaya kaydolabilir.
• Kullanıcıların oturum açmadan uygulamayla etkileşime girmesinin mümkün olduğu hallerde yalnızca oturum açıldığında toplanan kullanıcı verileri.

Veri Güvenliği bölümü ayrıca, uygulamanızın gizlilik ve güvenlik yaklaşımlarını kullanıcılarınıza göstermenize fırsat verir. Örneğin, aşağıdaki bilgileri vurgulayabilirsiniz:

• Aktarımda şifreleme: Son kullanıcının cihazından sunucuya kullanıcı verisi akışının güvenliğini sağlamak amacıyla uygulamanız tarafından toplanan veya paylaşılan verilerin aktarımında şifreleme kullanılıyor mu?
  • Bazı uygulamalar, kullanıcıların başka bir siteye veya hizmete veri aktarmasını sağlamak için tasarlanmıştır. Örneğin, bir mesajlaşma uygulaması, kullanıcıların farklı şifreleme yöntemleri kullanan kendi mobil servis sağlayıcıları üzerinden SMS mesajı göndermelerine imkan verebilir. Bu uygulamalar Veri Güvenliği bölümünde verilerin güvenli bir bağlantı üzerinden aktarıldığını beyan edebilir. Bunun için, kullanıcının cihazıyla uygulamanın sunucuları arasında gidip gelen verileri en iyi endüstri standartlarını kullanarak güvenli bir şekilde şifrelemeleri gerekir.
• Silme talebi mekanizması: Uygulamanız, kullanıcıların verilerinin silinmesini talep etmelerine imkan sağlıyor mu?

Hedef kitlesinde çocuklara yer veren uygulamalar, Google Play'in Aile Politikası şartlarına uymak zorundadır. Uygulamanız bu kategorideyse ve uygulamanızın Aile Politikası şartlarına uygunluğunu incelediyseniz Veri Güvenliği bölümünüzde "Play Aile Politikası'na uymayı taahhüt ettiğinizi" belirten bir rozet gösterebilirsiniz.

Rozeti göstermek için Veri Güvenliği Formunuzdaki "Güvenlik uygulamaları"na gidip Hedef kitle ve içerik bölümüne git'i tıklayarak rozeti etkinleştirin

Veri Güvenliği Formunuzda, uygulamanızın küresel bir güvenlik standardına göre bağımsız olarak doğrulandığını beyan etmeyi seçebilirsiniz. Bu, geliştiriciler tarafından üstlenilen ve ödemesi yapılan isteğe bağlı bir incelemedir. Geliştiriciler, MASA (Mobil Uygulama Güvenlik Değerlendirmesi) aracılığıyla Google Yetkili Laboratuvarı ile birlikte çalışarak uygulamalarının, OWASP kuruluşunun MASVS'sine (Mobil Uygulama Güvenlik Doğrulama Standardı) göre değerlendirilmesini sağlayabilir. İncelemeyi yapan üçüncü taraf kuruluşlar bunu geliştiricilerin adına yapar.

Katılmak isterseniz test sürecini başlatmak için doğrudan bir Google Yetkili Laboratuvarı ile iletişime geçebilirsiniz. Laboratuvar, uygulamanızın tüm güvenlik koşullarını karşıladığını onayladıktan sonra, "Bağımsız Güvenlik Değerlendirmesi"ni tamamladığınızı bildiren bir rozeti Veri Güvenliği bölümünüzde gösterebilirsiniz.

Yetkili laboratuvarlar, mobil uygulama güvenliği konusunda özel bir çalışma alanına sahip olmakla birlikte kapsamlı güvenlik testi özellikleri ve deneyimleri sağlar. Bu laboratuvarlar ayrıca ISO 17025 veya sektörde kabul gören eşdeğer bir standartla uyumludur. Bu ölçütleri karşılıyorsanız ve laboratuvar iş ortağı olmak isterseniz lütfen bu formu şirket bilgilerinizi içerecek şekilde doldurup gönderin.

Önemli: Veri güvenliği açıklamalarınızın tutarlılığının ve eksiksizliğinin doğrulanması, bu bağımsız incelemenin kapsamına girmeyebilir. Uygulamanızın güvenlik kontrollerindeki teşhisler için üçüncü taraf araçlar kullansanız da, uygulamanızın Google Play mağaza girişindeki açıklamaların eksiksiz ve doğru olması yalnızca sizin sorumluluğunuzdadır.

Birleşik Ödeme Arayüzü (UPI), RBI düzenlemelerine tabi bir tüzel kişi olan Hindistan Ulusal Ödeme Kurumu (NPCI) tarafından geliştirilmiş bir anında para transferi sistemidir. Şu anda bu ödeme transferi sistemini kullanıyorsanız Veri Güvenliği Formunuzda bunu beyan edebilirsiniz. Katılmak isterseniz veya sorularınız olursa doğrudan NPCI ile iletişime geçerek uygulamanızın onaylanması için karşılamanız gereken uygunluk ölçütlerini öğrenebilirsiniz. Bu onaya sahip uygulamalar Play Store girişlerinde bir rozet göstermeye hak kazanabilir. Bu rozet, uygulamanın UPI kullanımının NPCI tarafından onaylandığını doğrular. Rozette "UPI ile ödeme imkanı sunar" yazar ve bu rozet, Play Console'daki Veri Güvenliği Formu'nda etkinleştirerek belirtmediğiniz sürece kullanıcılara gösterilmez. Rozet yalnızca Hindistan'daki Google Play kullanıcıları tarafından görülebilir.

Geliştiricilerin, çeşitli kullanıcı verisi türleriyle ilgili toplama ve paylaşma işlemlerinin yanı sıra diğer işlemleri beyan etmeleri, ayrıca bu verilerin kullanım amaçlarını bildirmeleri istenir.

CSV'de her yanıt için bir satır bulunur. Çoktan seçmeli ve tek seçimli soruların yanıtları, sunulan seçeneklerin sayısı kadar satıra yayılır. Soruları yanıtlamak için, "Yanıt değeri" sütununda ilgili soruya denk gelen hücreye DOĞRU veya YANLIŞ değerlerini girin. İsteğe bağlı sorularda veya çoktan seçmeli bir soruya cevap verirken hücreyi boş bırakabilirsiniz. "Yanıt zorunluluğu" sütunu, bir soruyu yanıtlamanın zorunlu olup olmadığını belirtir ve aşağıdaki değerleri içerebilir:

• İSTEĞE BAĞLI: Zorunlu değildir, boş bırakılabilir.
• ZORUNLU: Zorunludur, bir yanıt değeri girmeniz gerekir.
• ÇOKTAN_SEÇMELİ: İlgili soru kimliğine denk gelen yanıt seçeneklerinden en az birine DOĞRU yanıt değerini girebilirsiniz. Diğer yanıtları boş bırakabilirsiniz.
• TEK_SEÇİMLİ: İlgili soru kimliğine denk gelen yanıt seçeneklerinden birine DOĞRU yanıt değerini girebilirsiniz. Diğer yanıtları boş bırakabilirsiniz.
• ZORUNLU_OLABİLİR: Yalnızca belirli koşullar oluştuğunda yanıtlamanız gerekir (ör. önceki yanıtlarınızdan birine bağlı olarak).

Aşağıdaki tabloda Veri Güvenliği Formu'ndaki "Ad" ve "Yaklaşık konum" bölümleriyle ilgili bir örnek verilmiştir. Şunları içerir:

• Çoktan seçmeli bir soru
• Zorunlu bir soru
• İsteğe bağlı bir soru

1. Play Console'u açıp Uygulama içeriği sayfasına (Politika > Uygulama içeriği) gidin.
2. "Veri Güvenliği"nin altında Başla'yı seçin.
3. Sayfanın sağ üst tarafına yakın yerde bulunan CSV'ye aktar'ı seçin.

Önemli: Bir CSV dosyasını içe aktardığınızda, formunuza girilmiş olan yanıtların üzerine yazılır.

1. Play Console'u açıp Uygulama içeriği sayfasına (Politika > Uygulama içeriği) gidin.
2. "Veri Güvenliği"nin altında Başla'yı seçin.
3. Sayfanın sağ üst tarafına yakın yerde bulunan CSV'yi içe aktar'ı seçin.

Play Console'u Veri Güvenliği Formu gönderimine Ekim ayında açtık ve 20 Temmuz 2022'ye kadar ek yayınlama süresi vereceğiz. Bu süre, uyumluluğun sağlanması için yeterli olacaktır. Bu aşamada süreyi uzatmayı planlamıyoruz.

Kısaca yanıt vermek gerekirse evet, mümkündür. Uygulamanızın veri toplama ve işleme yöntemlerini yansıtan doğru bilgiler vermelisiniz. Sağladığınız bilgilerden siz sorumlusunuz. Google Play'de uygulamalar tüm politika koşulları açısından incelenir. Bununla birlikte, kullanıcı verilerini nasıl işlediklerine dair tanımlamaların geliştiriciler adına Google Play tarafından yapılması mümkün değildir. Veri Güvenliği Formu'nu doldurmak için gereken bilgilerin tamamı yalnızca sizde bulunur.

Sağladığınız verilerde yanlış beyanda bulunduğunuzu ve politikayı ihlal ettiğinizi tespit edersek bu durumu düzeltmenizi isteriz. Uyumluluğu sağlamayan uygulamalar; güncellemelerin engellenmesi veya Google Play'den kaldırılma gibi politika yaptırımlarına tabidir.

Play Console hesabınızdan yeni bir uygulama ya da mevcut bir uygulamanın güncellemesini gönderdiğinizde, uygulamanızın Google Play'de standart yayınlama için işlenmesi biraz zaman alabilir. Belirli uygulamalar, daha kapsamlı incelemeye tabi tutulabilir. Bu durum, inceleme işleminin 7 güne kadar (veya istisnai durumlarda daha fazla) sürmesine neden olabilir.

Uygulama güncellemeleri ve yeni gönderilen uygulamalar Google Play'in Geliştirici Program Politikaları ile uyumlu olmalıdır. Gönderdiğiniz uygulamanın henüz inceleme bekleme aşamasında olup olmadığını görmek için Play Console'da Yayınlama özeti sayfasına gidebilirsiniz.

Sonuncu güncellemeniz hazır olduğu halde Google Play'de Veri Güvenliği bölümü formunu henüz görmüyorsanız, Play Console'da yönetilen yayınlama özelliğinin açık olup olmadığını kontrol edebilirsiniz. Yönetilen yayınlama açıksa sürümünüz, siz yayınlamadan önce kullanıma sunulmaz. Yayınlama özeti sayfasından sürümünüzü kullanıma sunabilirsiniz. Onaylanan gönderiminiz bu adımı takiben yayınlanır ve kısa süre içinde Google Play'de kullanıma sunulur.

Veri Güvenliği bölümünün içeriğini güncellediğiniz halde Google Play'de güncel bilgileri görmüyorsanız uygulama sayfasını yenilemeyi deneyin. Cihaz bağlantısına ve sunucu yükündeki değişkenliklere bağlı olarak, uygulama güncellemelerinin tüm cihazlara ulaşmasının birkaç gün (bazı durumlarda 7 güne kadar) sürebileceğini hatırlatmak isteriz. Uygulama güncellemeniz Google Play tarafından kaydedilip kullanıma sunulurken beklemenizi rica ederiz.

Uygulamanızın veri uygulamalarına hakim olmanız çok güzel. Veri Güvenliği Formu'nda, daha önce kullanmadığınız farklı bilgiler istenebilir. Dolayısıyla ekibinizin formu doldururken çaba harcaması gerekecektir. Google Play'deki Veri Güvenliği bölümünün sınıflandırması ve çerçevesi ile diğer uygulama mağazalarında kullanılanlar arasında ciddi farklılıklar olabilir.

Gizlilik politikalarına veya ekran görüntüsü ve açıklamalar gibi uygulama ayrıntılarına benzer şekilde, Veri Güvenliği bölümünde verilen bilgilerin sorumluluğu da geliştiricilere aittir. Google Play'in Kullanıcı Verileri Politikası uyarınca geliştiriciler doğru bilgi vermekle yükümlüdür. Bir geliştiricinin sağladığı verilerde yanlış beyan olduğunu ve politika ihlali yapıldığını tespit edersek geliştiricinin bu durumu düzeltmesini zorunlu kılarız. Uyumluluğu sağlamayan uygulamalar, politika yaptırımlarına tabidir.

Google Play kullanıcılarının, verilerinin güvende olduğundan emin olmaları gerekir. Kullanıcı gizliliğini korumak ve Google Play'in herkes için güvenilir bir yer olmasını sağlamak amacıyla yeni özellikleri ve politikaları ara vermeden kullanıma sunmaya devam ediyoruz. Google Play'in yeni özellik ve politikalarından bazıları, kullanıcı denetimlerini ve şeffaflığı iyileştiriyor. Diğerleri, geliştiricilerin yalnızca uygulamanın birincil kullanım amacı için gerekli olduğunda kişisel verilere erişebilmelerini sağlıyor. Bu gibi mevcut Google Play Geliştirici Program Politikaları, veri şeffaflığına ve denetime dair birçok koşul içeriyor. Google Play Geliştirici Program Politikaları ile uyumlu olmayan uygulamalar, politika yaptırımlarına tabidir.

Uygulamanızın veri uygulamalarında ilgili değişiklikler olduğunda Veri Güvenliği bölümünüzü güncellemeniz gerekir. Veri Güvenliği Formu'ndaki yanıtlarınızın her zaman doğru ve eksiksiz olması zorunludur.

Veri Güvenliği bölümü, kullanıcıların indirilecek uygulamalar konusunda kendileri açısından doğru kararlar vermelerine yardımcı olabilir. Ayrıca, geliştiricilerin güven kazanmalarına yardımcı olarak, verilerinin sorumluluk anlayışıyla işleneceğine inanan ve daha fazla etkileşimde bulunan kullanıcılara erişmelerini sağlar. Veri uygulamalarının kullanıcılara daha net bir şekilde açıklanabileceği yöntemler, geliştiriciler tarafından talep edilmiştir.

Google Play'de her paket adı için kullanım, uygulama sürümü, bölge ve kullanıcı yaşından bağımsız bir adet genel Veri Güvenliği Formu ve Google Play mağaza girişi Veri Güvenliği bölümü bulunur. Başka bir deyişle, uygulamanın Google Play'de dünyanın herhangi bir yerinde dağıtılan sürümlerinden birinde herhangi bir toplama, kullanım veya bağlantının mevcut olması halinde bu durumu formda belirtmeniz zorunludur. Bu nedenle Veri Güvenliği bölümünüzde, uygulamanızın halihazırda Google Play'de dağıtılan tüm sürümlerindeki veri toplama ve paylaşım yöntemleri bir bütün olarak açıklanır. Sürüme özgü bilgileri kullanıcılarınızla paylaşmak için "Bu uygulama hakkında" bölümünü kullanabilirsiniz.

Bu aşamada, veri uygulamalarınızın genel bir açıklamasını uygulama bazında yansıtıyoruz. Veri Güvenliği bölümünüzde, uygulamanızın halihazırda Google Play'de dağıtılan tüm sürümlerindeki veri toplama ve paylaşım yöntemleri bir bütün olarak açıklanır. Sürüme özgü bilgileri kullanıcılarınızla paylaşmak için "Bu uygulama hakkında" bölümünü kullanabilirsiniz. Google Play kullanıcıları, bir uygulamanın dağıtıldığı bölge gibi çeşitli unsurlara bağlı olarak veri toplama ve güvenlik yöntemlerinin farklılık gösterebileceğine dair açıklamayı Veri Güvenliği bölümünde bulabilirler.

Hayır, Veri Güvenliği bölümü yalnızca uygulamanızın Google Play'deki mağaza girişinde gösterilir. Kullanıcıların uygulama yükleme sürecinde yeni bir açıklama ve bu özellikle ilgili yeni bir kullanıcı izni söz konusu değildir. Kişisel ve hassas kullanıcı verilerini toplayan geliştiricilerin, mevcut Google Play Kullanıcı Verileri Politikası uyarınca gereken yerlerde uygulama içi açıklama ve izin öğelerini kullanıma sunması zorunludur.

Veri Güvenliği bölümünüzde, uygulamanızın halihazırda Google Play'de dağıtılan tüm sürümlerindeki veri toplama ve paylaşım yöntemleri bir bütün olarak açıklanır. Uygulamanızın herhangi bir sürümünde belirli bir veri türünün toplanması gerekiyorsa bu veri türünün toplanması, Veri Güvenliği bölümünde zorunlu olarak tanımlanmalıdır. Uygulamanızın kullanıcılarından herhangi biri için zorunlu olan toplama işlemlerini isteğe bağlı olarak tanımlamamanız gerekir. Sürüme özgü bilgileri kullanıcılarınızla paylaşmak için "Bu uygulama hakkında" bölümünü kullanabilirsiniz.

Veri gerçekten toplanmadığı ve/veya paylaşılmadığı sürece toplama ya da paylaşım beyanı yapmanız gerekmez. Uygulamanız, Hassas Bilgilere Erişen İzinler ve API'ler konulu politikamız da dahil olmak üzere Google Play Geliştirici Program Politikaları'nın tamamıyla uyumlu olmalıdır.

Bir veri türünün toplanması sırasında başka bir veri türünü kasıtlı olarak topluyorsanız iki veri türünü de beyan etmeniz gerekir. Örneğin, kullanıcı fotoğraflarını toplayıp kullanıcının karakteristik özelliklerini (etnik köken veya ırk gibi) belirlemek için kullanıyorsanız etnik köken ve ırk verilerini topladığınızı da beyan etmeniz gerekir.

Kullanıcılarınızın veri silme taleplerini iletebilecekleri bir mekanizma sağlayıp sağlamadığınızı Veri Güvenliği bölümünde açıklayabilirsiniz. Veri Güvenliği Formu'nu doldururken, böyle bir mekanizma sağlayıp sağlamadığınızı belirtmeniz istenir.

Belirli bir mekanizma yok ancak kullanıcıların kolayca keşfedip erişebilecekleri bir talep mekanizması sağlamak en iyi uygulamadır. Uygulama içi özellikler, iletişim formları veya ilgili işleve özel e-posta takma adları; veri silme talebi iletilebilecek yolları kullanıcılara anlaşılır bir şekilde gösteren yaygın mekanizma örneklerinden bazılarıdır.

Aşağıdaki koşulları sağlıyorsanız Veri Güvenliği Formu'nda silme talebi mekanizması rozetini seçebilirsiniz:

• Kullanıcıların veri silme talebi iletebilecekleri bir mekanizma sağlama ya da
• Verilerin toplanmasının ardından 90 gün içinde, toplanan verilerin silinmesini veya anonimleştirilmesini otomatik olarak başlatma.

Yasalara uygunluk veya kötüye kullanımın engellenmesi gibi geçerli nedenlerle belirli verileri saklamanız gerekse bile veri silme talebi mekanizmasının rozetini seçebilirsiniz.

Google Play'de her paket adı için tüm kullanım türlerine, uygulama sürümlerine, bölgelere ve kullanıcı yaşlarına göre veri uygulamalarını kapsayan bir adet genel Veri Güvenliği Formu ve Google Play mağaza girişi Veri Güvenliği bölümü bulunur. Başka bir deyişle, uygulamanın Google Play'de dünyanın herhangi bir yerinde dağıtılan sürümlerinden birinde mevcut olan veri uygulamaları formda belirtilmelidir. Bu nedenle Veri Güvenliği bölümünüzde, uygulamanızın halihazırda Google Play'de dağıtılan tüm sürümlerindeki veri toplama ve paylaşım yöntemleri bir bütün olarak açıklanır.

Verileri tekil bir kullanıcıyla ilişkilendirilemeyecek şekilde anonimleştirmek için kullanılabilecek çeşitli yöntemler vardır. Kullanım alanınıza uygun yöntemleri belirlemek için kendi gizlilik ve güvenlik uzmanlarınıza danışmanız gerekir. Örneğin bu sayfada, diferansiyel gizlilik gibi Google tarafından kullanılan bazı veri anonimleştirme yöntemleri hakkında bilgiler yer almaktadır.

Diğer veri türlerinde olduğu gibi IP adreslerinin toplanması, kullanılması ve paylaşılması, geliştiricinin kendi kullanım ve yaklaşımları doğrultusunda beyan edilmelidir. Örneğin, IP adresleri, geliştirici tarafından konum belirlemek için kullanılıyorsa bu veri türünün beyan edilmesi gerekir.

Diğer veri türlerinde olduğu gibi, farklı tanımlayıcı türlerinin toplanması, kullanılması ve paylaşılması, kendi kullanım ve yaklaşımlarınız doğrultusunda beyan edilmelidir. Örneğin, tanımlanabilen bir kişiyle ilişkili bir hesap adının toplanması "Kişisel tanımlayıcı" olarak tanımlanmalı, kullanıcının Android reklam kimliğinin toplanması ise "Cihaz veya diğer tanımlayıcılar" olarak tanımlanmalıdır. Başka bir örnek olarak, belirli bir uygulama içi etkinlikle alakalı olduğu halde tekil bir cihazla, tarayıcıyla ya da uygulamayla makul ölçüde ilişkilendirilmeyen bir tanımlayıcının "Cihaz veya diğer tanımlayıcılar" olarak beyan edilmesi gerekmez.

Yukarıda belirtildiği gibi, verilerin belirsizleştirilerek toplanması, formunuzda ilgili veri türünün başlığı altında beyan edilmelidir. Örneğin, teşhis bilgilerini bir cihaz tanımlayıcıyla birlikte toplasanız da, "Teşhisler"in toplandığını Veri Güvenliği Formunuzda beyan etmeniz gerekir.

Bir servis sağlayıcı, kullanıcı verilerini yalnızca sizin adınıza işleyebilir. Örneğin, uygulamanızdan toplanan kullanıcı verilerini yalnızca sizin adınıza işleyen bir analiz sağlayıcı veya sizin kullanımınız için uygulamanızdan toplanan kullanıcı verilerini barındıran bir bulut sağlayıcı genellikle "servis sağlayıcı" olarak nitelendirilir. Öte yandan, uygulama verilerinize dayanarak birden çok müşteriyi kapsayan reklam profilleri oluşturan bir SDK sağlayıcının yaptığı bu işlem, Veri Güvenliği bölümünün amaçları uyarınca "servis sağlayıcı" etkinliği sayılmadığından Veri Güvenliği Formunuzda "paylaşım" olarak beyan edilmelidir.

Bu durum, ödeme hizmetiyle olan entegrasyon yapınıza bağlıdır. Uygulamanız ödeme işlemlerini tamamlamak için PayPal, Google Pay, Google Play'in faturalandırma sistemi gibi bir ödeme hizmeti ya da benzer hizmetler kullanıyor olabilir. Bu durumda, aşağıdaki koşullar karşılanıyorsa kredi kartı numarası gibi finansal işlemlerin gerçekleştirilmesiyle ilgili olarak ödeme hizmetinin veri topladığını beyan etmenize gerek yoktur:

• Uygulamanız bu bilgilere hiçbir zaman erişmiyorsa ve
• Ödeme hizmeti bu bilgileri doğrudan kullanıcıdan topluyorsa ve veri toplama işlemi bu hizmetin şartlarına tabiyse.

Bu koşulları karşılamayan tüm ilgili veri toplama ve paylaşım işlemlerinin, uygulamanızın Veri Güvenliği bölümünde beyan edildiğinden emin olmak için ödeme hizmetiyle olan entegrasyonunuzu dikkatlice incelemeniz gerekir. Uygulamanızın, işlem geçmişi gibi diğer finansal bilgileri toplayıp toplamadığını, ayrıca risk ve sahtekarlığı önleme gibi amaçlarla ödeme hizmetinden ilgili verileri alıp almadığını da göz önünde bulundurmanız gerekir.

Bu durum, konu özelindeki uygulamaya göre değişir. Kullanıcı, verilerini doğrudan kendi harici sürücüsüne veya bulut depolama alanı hesabına (ör. Google Drive, Dropbox veya benzer hizmetler) yüklemeyi tercih ediyorsa ve bu yükleme işlemi, harici sürücü ya da bulut depolama alanı sağlayıcının hizmet şartları ile gizlilik politikasına tabiyse, ayrıca uygulamanız söz konusu verileri hiçbir zaman toplamıyor veya bunlara erişmiyorsa verilerin toplandığını beyan etmeniz gerekmez.

Uygulamanızın geçiş halindeki verilerini güvenli bir şekilde şifrelemek için en iyi endüstri standartlarına uymanız gerekir. Yaygın şifreleme protokolleri arasında TLS (Taşıma Katmanı Güvenliği) ve HTTPS yer alır.

Bu verilerin toplanmasını hesap yönetimi kapsamında beyan etmeniz ve (geçerli olduğu durumlarda) toplama işleminin kullanıcının isteğine bağlı olduğu yerleri belirtmeniz gerekir.

Buna ek olarak, uygulamanızın topladığı tüm veri türlerinde olduğu gibi, bu verileri de uygulamanızın kullandığı amaçlara göre açıklamanız gerekir. Örneğin uygulamanız, kullanıcıların hesaplarına doğum günü eklemelerine izin veriyor ve zamana bağlı push bildirimlerini göndermek için bu verileri kullanıyorsa uygulamanızın, hesap yönetiminin yanı sıra bu amacı da beyan etmesi gerekir.

Hesap yönetimi, belirli bir uygulamaya özgü olmayan hesap verilerinin genel kullanımlarını kapsamak için kullanılabilir. Örneğin, hizmetlerinizde sahtekarlık önleme, reklam, pazarlama veya geliştirici iletişimleri için hesap bilgilerini kullanıyor olabilirsiniz ve bu kullanım, uygulamanıza ya da uygulamanızdaki etkinliklere özgü olmayabilir. Bu durumda, söz konusu genel kullanımları Veri Güvenliği bölümünüze dahil etmek için bu hesap verilerinin toplanma amacının “hesap yönetimi” olarak beyan edilmesi yeterli olacaktır. Ancak uygulamanız, verileri hangi amaçlarla kullanıyorsa bunların hepsini her zaman beyan etmelidir. En iyi yaklaşım olarak, uygulamanızda hesap hizmetleri için kullanıcı verilerinin nasıl işlendiğini, hesap düzeyi dokümanlarınız ve kayıt süreciniz kapsamında açıklamanızı öneririz.

Sistem hizmetleri, temel sistem işlevini destekleyen önceden yüklenmiş yazılımlardır. Sistem hizmetleri Veri Güvenliği Formu'nun tamamlanmasından muaf olmak için başvurabilir.

Gönderiminizin durumunu Play Console'daki Uygulama içeriği sayfasından (Politika > Uygulama içeriği) kontrol edebilirsiniz. Gönderiminiz uygunsa "Veri Güvenliği" bölümünde yeşil renkli bir onay işareti görürsünüz.

Not: Politika yaptırımlarımızı uygularken kullandığımız sistemleri ve süreçleri iyileştirmeye her zaman devam ediyoruz. Ayrıca politikalarımızda yapılan değişiklikler ve güncellemeler nedeniyle, ilk gönderimden sonra uyumlu bulunmamaları halinde daha önce onaylanan uygulamalara yaptırım uygulanabilir.

Tüm güncellemelerde geliştiriciler Google Play tarafından bilgilendirilir. En güncel bilgilerden haberdar olmak için Kullanıcı Verileri Politikamıza ve bu Yardım Merkezi makalesine göz atabilirsiniz.

Kısa süreliyse bu kullanımı form yanıtınıza eklemeniz gerekmez. Ancak, günlüğe kaydettiğiniz kullanıcı verilerini kullanma amaçlarınız da dahil olmak üzere bu kullanıcı verilerinin kısa süreli işleme dışındaki tüm kullanımlarını beyan etmeniz gerekir. Lütfen yukarıdaki Veri toplama bölümüne giderek kısa süreli işlemenin tanımını inceleyin.

Google, izin listesindeki bilgileri bir uygulamanın manifest dosyasında beyan ettiği yükleme süresi izinlerine göre toplar.

Veri Güvenliği bölümü, uygulamanın hangi verileri topladığını ve üçüncü taraflarla paylaştığını gösterir.

Geliştiricilerin Veri Güvenliği Formu'nda açıklaması gerekenler bölümüne yeni bir başlık (Birleştirilmiş Ödeme Arayüzü Rozeti (UPI)) ekledik.

Hangi geliştiricilerin Play Console'daki Veri Güvenliği Formu'nu doldurmaları gerekir? bölümünü, dahili test ve Veri Güvenliği bölümü koşulları hakkında güncel bilgiler sağlayacak şekilde güncelledik. Ayrıca, söz konusu bilgiler artık geçerli olmadığı ve bu konuyla ilgili bilgi arayan geliştiricilerin kafasını karıştırmak istemediğimiz için konuyla ilgili bir metin parçasını da 24 Ağustos 2022 tarihli değişiklik günlüğü girişinden kaldırdık.

Belirli tarihlerle ilgili referansları kaldırmak için makaleyi baştan sona düzenledik. Bu referanslar başlangıçta geliştiricilerin mevcut koşulları anlamalarına yardımcı olmak için Play Console'daki Veri Güvenliği bölümünün kullanıma sunulmasından önce, kullanıma sunulurken ve sonrasında eklenmiş, düzenli olarak da güncellenmişti. Veri Güvenliği bölümü artık Google Play'de kullanıma sunulduğundan, orijinal zaman çizelgesini ve belirli tarihlerle ilgili referansları kaldırdık.

"Uygulama etkileşimleri" (artık "alınan ekran görüntüleri" de dahildir) veri türü hakkında daha fazla bilgi ekledik.

Hangi geliştiricilerin Play Console'daki Veri Güvenliği Formu'nu doldurmaları gerekir? bölümünü, dahili test kanallarında etkin olan kanalların, 24 Ekim 2022'den itibaren geçerli olmak üzere Veri Güvenliği bölümüne dahil edilmekten muaf olduğunu belirtecek şekilde güncelledik. Yalnızca bu kanalda etkin olan uygulamaların, beyanı doldurması gerekmez.

"Bilgilerinizi hazırlama" bölümündeki Zaman çizelgesi bilgilerini güncelleyerek, uygunsuz bulunan yeni uygulama gönderimlerinin ve uygulama güncellemelerinin uyarı alacağını açıkladık. Söz konusu uyarılarda, formda düzeltilmemiş sorunlar olması halinde gönderimlerin ve uygulama güncellemelerinin Play Console'da reddedileceği bilgisi iletilecektir. Ayrıca bu bölüme, 22 Ağustos 2022'de söz konusu uyarı dönemi bittikten sonra neler olacağına dair ayrıntılar ekledik.

Geliştiricilerin Veri Güvenliği Formu'nda açıklaması gerekenler bölümündeki Bağımsız güvenlik değerlendirmesi (artık tüm uygulamalar tarafından kullanılabilir) alt bölümünde aşağıdaki değişiklikleri yaptık:

• Bu özelliğin tüm uygulamaların kullanımına sunulmasını takiben "Bağımsız güvenlik değerlendirmesi (Beta sürümü Mart 2022'den itibaren kullanılabilecek ve yakında da genel kullanıma sunulacak)" olan bölüm başlığını "Bağımsız güvenlik değerlendirmesi (artık tüm geliştiriciler tarafından kullanılabilir)" olarak değiştirdik.
• Alt bölümü güncelleyerek, bağımsız bir güvenlik değerlendirmesine katılmak isteyecek geliştiricilere yönelik bilgiler ekledik.

Sık Sorulan Sorular bölümünde aşağıdaki değişiklikleri yaptık:

• "Silme mekanizması sağlamam gerekir mi? Bu mekanizmanın tüm kullanıcı verilerini kapsaması gerekir mi?" sorusunun cevabını güncelledik.
• Bu sorunun tam altına eklediğimiz üç yeni soru ve cevapları üzerinden veri silme mekanizmaları ile Veri Güvenliği Formu hakkında daha ayrıntılı bilgiler aktardık.
• İzin listesi ve uygulamanın Veri Güvenliği bölümü arasındaki fark hakkında yeni bir soru ekledik. Android'in eski sürümlerini hedefleyen uygulamalarla ilgili bir soruyu kaldırdık.

Genel Bakış bölümüne, geliştiricilere Google Play SDK Index'i inceleyerek sağlayıcılarının kılavuz bağlantısı ekleyip eklemediğini kontrol etmelerini öneren bir satır ekledik. Daha fazla bilgi için Yardım Merkezi'ndeki Google Play SDK Index ile bilinçli tercihler yapın başlıklı makaleyi okuyabilirsiniz.

Bilgilerinizi hazırlama bölümüne, Google Play PolicyBytes adım adım açıklamalı Veri Güvenliği Formu videosunu izlemeniz için öneri ekledik. Bu videoda, Veri Güvenliği Formu'nu doldurmak için gereken tüm kaynaklar ve adımlar ayrıntılı bir şekilde açıklanmaktadır.

Genel Bakış bölümüne, belirli geliştiriciler için, kullandıkları SDK'ların sağlayıcıları (Firebase ve AdMob gibi) tarafından yayınlanan veri güvenliği bilgilerini incelemelerini teşvik eden bir satır ekledik.

"Bilgilerinizi hazırlama" bölümündeki Zaman çizelgesi bilgilerini güncelledik. Kullanıcıların Google Play'de göreceği mesajla ilgili olarak Temmuz 2022 maddesinde daha önce "Veri yok" şeklinde yer alan ifadeyi "Bilgi yok" olarak değiştirdik.

SSS bölümünde aşağıdaki değişiklikleri yaptık:

• Sistem hizmetleri hakkında yeni bir soru ve cevap ekledik.
• Google Play'de en son Veri Güvenliği güncellemelerinizi görememeniz halinde başvurabileceğiniz sorun giderme adımları hakkında yeni bir soru ve cevap ekledik.
• Veri Güvenliği güncellemelerinin Google Play'de ve hesap yönetiminde görünmesi için geçen süreyle ilgili mevcut cevapları güncelledik.

8 Nisan 2022'de, "Fotoğraflar ve videolar" olan veri türünün adını düzelttik (bu daha önce "Fotoğraflar veya videolar" olarak belirtiliyordu).

24 Şubat 2022 tarihinde bu makalede yaptığımız bir dizi değişiklik aşağıda açıklanmıştır.

Zaman çizelgesi bilgileriyle ilgili değişiklikler

"Bilgilerinizi hazırlama" bölümündeki Zaman çizelgesi bilgileri ayrıntılarını aşağıdaki şekilde güncelledik:

• Daha önceki duyurumuzda, Şubat 2022'den itibaren Veri Güvenliği bölümünün, Google Play'de tüm kullanıcıların kullanımına sunulacağını belirtmiştik. Bu tarih, Nisan 2022'nin sonu olarak güncellenmişti.
• Daha önceki duyurumuzda, Nisan 2022'den itibaren anketle ilgili çözülmemiş sorunlar olması halinde Play Console'da yeni uygulama gönderimlerinin ve uygulama güncellemelerinin reddedileceğini belirtmiştik. Bu tarih, 20 Temmuz 2022 olarak güncellendi.
• Daha önceki duyurumuzda Nisan 2022'den itibaren uyumlu olmayan uygulamalar hakkında ilerleyen tarihlerde ek yaptırım işlemleri gerçekleştirilebileceğini belirtmiştik. Bu tarih, 20 Temmuz 2022 sonrası olacak şekilde güncellendi.

Makaledeki diğer tarih referansları da yukarıda bahsedilen yeni tarihlerle tutarlı olacak şekilde güncellendi.

Geliştiricilerin, veri türleri genelinde açıklaması gerekenlerle ilgili bilgiler

"Geliştiricilerin Veri Güvenliği Formu'nda açıklaması gerekenler" bölümündeki "Geliştiricilerin, veri türleri genelinde açıklaması gerekenler" alt bölümünde aşağıdaki değişiklikleri yaptık:

• Aile Politikası'na uymayı taahhüt eden uygulamalara sahip geliştiricilerin, 1 Mart 2022'den itibaren Aile rozetini göstermeyi nasıl etkinleştirebileceklerini açıklayan talimatlar ekledik.  
• Diğer uygulama ve veri açıklamaları bölümündeki "Silme mekanizması", "Silme talebi mekanizması" olarak yeniden adlandırıldı.
• Ayrıca, Bağımsız güvenlik değerlendirmesi bölümünü bu özellikle ilgili daha ayrıntılı bilgi içerecek şekilde güncelledik.

Veri türleri ve amaçlarıyla ilgili güncellemeler

Veri türlerimizde küçük adlandırma değişiklikleri yaptık:

• "Kişisel tanımlayıcılar" veri türü, "Kullanıcı Kimlikleri" olarak yeniden adlandırıldı.
• "Kredi kartı, banka kartı veya banka hesap numarası" veri türü, "Kullanıcı ödeme bilgileri" olarak yeniden adlandırıldı.
• "Kredi bilgileri" veri türü, "Kredi puanı" olarak yeniden adlandırıldı.
• "Diğer finansal bilgiler" veri türüne kullanıcı maaşı veya borçlarıyla ilgili örneği ekledik.
• "Sağlık bilgileri" veri türü, "Sağlık bilgisi" olarak yeniden adlandırıldı.
• "Fitness bilgileri" veri türü, "Fitness bilgisi" olarak yeniden adlandırıldı.
• "SMS veya MMS mesajları" veri türü, "SMS veya MMS" olarak yeniden adlandırıldı.
• "Uygulamada yapılan sayfa görüntüleme ve dokunma işlemleri" veri türü, "Uygulama etkileşimleri" olarak yeniden adlandırılıp veri türünün açıklaması güncellendi.
• "Kullanıcı tarafından oluşturulan diğer içerikler" ve "Diğer işlemler" veri türlerinin açıklamaları güncellendi.
• "Diğer kişisel bilgiler" veri türü, "Diğer bilgiler" olarak yeniden adlandırıldı.
• "Cihaz veya diğer tanımlayıcılar" kategorisi, "Cihaz veya diğer kimlikler" olarak yeniden adlandırıldı.

Veri amaçlarımızla ilgili açıklamalar ekledik:

• "Geliştirici iletişimleri" örneği güncellendi.
• "Reklam veya pazarlama" örneği güncellendi.
• "Hesap yönetimi" örneği güncellendi.

Diğer değişiklikler

Genel Bakış bölümüne, uygulamanız herhangi bir kullanıcı verisi paylaşmıyorsa kullanıcıların göreceklerini gösteren ek resimler ekledik.

Hesap yönetimi, kullanıcı tarafından başlatılan işlemler, ödeme platformlarının kullanımı ve şifreleme ile ilgili konuları da içeren yeni SSS'ler ekledik.

Veri toplama bölümündeki kısa süreli işlemenin tanımını güncelledik ve bu konuyla ilgili yeni bir SSS ekledik.

14 Aralık 2021'de, başlangıçta "Cinsel yönelim ve cinsel kimlik" olarak adlandırılan veri türünü güncelledik. Adı "Cinsel yönelim" olarak değiştirilen bu veri türü yalnızca cinsel yönelimi ifade ediyor.

Ayrıca, "Diğer kişisel bilgiler" veri türünü, diğer kişisel bilgilere örnek olarak cinsel kimliği içerecek şekilde güncelledik.