CCPA Notice at Collection

1. Topladığımız Kişisel Bilgi Kategorileri

CCPA §1798.140(o) tanımına göre toplanan kişisel bilgi kategorileri:

CCPA Kategorisi	Toplanan Veri	Toplama Amacı
A. Identifiers	Ad, e-posta, telefon, IP, hesap kullanıcı adı	Hesap yönetimi, kimlik doğrulama
B. CA Customer Records	Adres, fatura bilgileri, ödeme geçmişi	Faturalama, müşteri kayıtları
C. Protected Classifications	Yaş (doğum tarihi)	Yasal yaş kontrolü (18+)
D. Commercial Info	Satın alınan paket, kullanım istatistikleri	Hizmet sunumu, fiyatlandırma
E. Biometric (CPRA Sensitive)	Yüz tarama vektörü, NFC, el yazısı dinamiği — açık rıza ile	Kimlik doğrulama, imza dinamiği
F. Internet Activity	Sayfa görüntülemeleri, tıklama, oturum süreleri	Site iyileştirme (consent ile)
G. Geolocation	İl/ülke seviyesi (anonim) + opsiyonel detay coğrafi konum	Audit trail, fraud önleme
H. Sensory (Audio/Visual)	Yüz fotoğrafı (biyometrik doğrulama, açık rıza)	Kimlik doğrulama
I. Professional	İş unvanı, şirket adı (kurumsal kullanıcılar)	Kurumsal hesap yönetimi
K. Inferences	Tercihler, davranış geçmişi (UserActivity)	Kişiselleştirme, fraud önleme

Toplanmayan kategoriler: J (sınıf bazlı eğitim verisi). FERPA gerekli olan eğitim kurumlarımız içinse FERPA Statement.

2. Hassas Kişisel Bilgi (CPRA — Sensitive PI)

CPRA kapsamında "Sensitive Personal Information" tanımına giren veriler:

• Biyometrik veriler (yüz tarama vektörü, NFC kart bilgisi, el yazısı dinamiği)
• Tam coğrafi konum (opsiyonel, açık rıza)
• Hesap login bilgileri (e-posta + şifre kombinasyonu)

CPRA §1798.121 hakkı: Bu hassas verilerin kullanımını sınırlandırma hakkınız vardır. Talebinizi [email protected] adresine iletebilirsiniz.

3. Kişisel Bilgilerin "Satışı" / "Paylaşımı"

4. Kişisel Bilgilerin Aktarıldığı Üçüncü Taraflar

Kişisel bilgiler yalnızca hizmet ifası için aşağıdaki kategorilerle paylaşılır:

• Altyapı sağlayıcılar: Hetzner (Almanya), Cloudflare (ABD/EU)
• İletişim: Mailgun (Almanya — EU sunucu), Twilio (ABD — uluslararası SMS)
• Ödeme: PayTR (Türkiye)
• Belge servisleri: TÜBİTAK KAMU SM (Türkiye — zaman damgası)
• Analitik (consent ile): Google Analytics, Microsoft Clarity, Meta Pixel, Google Ads
• Yetkili kamu kurumları: Yasal zorunluluk halinde (mahkeme emri, FBI request, IRS, vb.)

Tam liste: Alt İşleyenler

5. Kaliforniya Sakinlerinin Hakları

5.1 Right to Know (§1798.110, §1798.115)

Hakkınızda topladığımız kişisel bilgilerin kategorileri, kaynakları, toplama amaçları, paylaşıldığı üçüncü tarafları ve son 12 ayda toplanan spesifik veri parçalarını öğrenme hakkınız vardır.

5.2 Right to Delete (§1798.105)

Hakkınızda topladığımız kişisel bilgilerin silinmesini talep edebilirsiniz. Bazı yasal istisnalar olabilir (örn. ödeme kayıtları VUK m.253 gereği 10 yıl saklanır).

5.3 Right to Correct (CPRA §1798.106)

Yanlış kişisel bilgilerin düzeltilmesini talep edebilirsiniz.

5.4 Right to Opt-Out of Sale / Sharing (§1798.120)

imzala.org kişisel veri satışı yapmadığı için bu hak otomatik korunur. Davranışsal reklam paylaşımı için çerez consent banner üzerinden opt-out yapabilirsiniz.

"Do Not Sell or Share My Personal Information" talebi için: [email protected]

5.5 Right to Limit Use of Sensitive PI (CPRA §1798.121)

Hassas kişisel bilginizin (biyometrik, kesin coğrafi konum) kullanımını yalnızca temel hizmet ifası için sınırlandırmamızı isteyebilirsiniz.

5.6 Right to Non-Discrimination (§1798.125)

CCPA haklarınızı kullanmanız nedeniyle hizmette ayrımcılık yapmayız (fiyat farkı, hizmet reddi vb.).

5.7 Right to Data Portability (§1798.130)

Kişisel bilgilerinizi yapılandırılmış, yaygın kullanılan ve makine okunabilir formatta alma hakkınız vardır. Hesap ayarlarınızdan tek tıkla: app.imzala.org/account/privacy

6. Hak Talebi Nasıl Yapılır?

CCPA / CPRA haklarınızı aşağıdaki kanallardan kullanabilirsiniz:

1. Hesap üzerinden tek tık: app.imzala.org/account/privacy → "Verilerimi indir" / "Hesabımı sil"
2. E-posta: [email protected] (subject: "CCPA Request")
3. Toll-free aranabilir telefon hattı: Şu an Türkiye'de bulunduğumuz için ABD toll-free hattımız yok; e-posta tercih edilir

6.1 Doğrulama Süreci

CCPA §1798.140(f) gereği kimlik doğrulaması yapılır. Hesabınız üzerinden talep yaparsanız otomatik doğrulanır; e-posta talebi için ek bilgi (hesap e-posta + ad-soyad) istenebilir.

6.2 Yanıt Süresi

CCPA §1798.130(a)(2) gereği 45 gün içinde yanıt verilir (gerektiğinde ek 45 günlük uzatma bildirimle yapılabilir).

6.3 Yetkili Temsilci (Authorized Agent)

CCPA §1798.135 gereği yetkili temsilcinizi atayabilirsiniz. Temsilcinin imzalı vekaletname + kimlik kanıtı sunması gerekir.

7. Son 12 Ayda Toplanan Veri Türleri (CCPA §1798.130(a)(5))

• Identifiers (toplanmış)
• CA Customer Records (toplanmış)
• Protected Classifications — Yaş (toplanmış)
• Commercial Info (toplanmış)
• Biometric (yalnızca açık rıza ile, kimlik doğrulama amaçlı)
• Internet Activity (consent ile)
• Geolocation (il/ülke seviyesi otomatik, detaylı opsiyonel)
• Sensory (yalnızca açık rıza ile)
• Professional (kurumsal kullanıcılardan)
• Inferences (UserActivity ve UserPreferences tablolarından)

8. Veri Saklama Süreleri

Detaylı tablo: KVKK Aydınlatma Metni Madde 9. Özet:

• Sözleşme PDF + audit: 10 yıl (TTK m.82, ABD UETA Section 12 ile uyumlu)
• Biyometrik veri: 1 yıl (sonra otomatik anonimleştirme)
• Kullanıcı hesabı: hesap silimine kadar (30 gün grace period)
• Audit log: 5 yıl
• Pazarlama/çerez: maks 2 yıl

9. Çocukların Kişisel Bilgileri (COPPA + CPRA Minor)

Hizmetimiz 13 yaş altı çocuklara yönelik değildir (COPPA) ve 16 yaş altı bireylerin kişisel bilgilerini bilerek toplamayız. Tespit edilen veriler derhal silinir. Yasal yaş 18+ olarak hesap kayıt sırasında doğrulanır.

10. Bu Bildirimde Değişiklikler

Bu bildirim önemli değişiklikler olduğunda güncellenir. Güncel versiyon her zaman bu sayfadadır. Önemli değişiklikler kayıtlı kullanıcılara e-posta ile bildirilir.

11. İletişim — Codeck Yazılım A.Ş. (operating imzala.org)