RYSTAT Hukuk Merkezi

Tüm belgelerGizlilik Politikası

Gizlilik Politikası

Kişisel verilerin işlenmesine ilişkin kamuya açık açıklama — GDPR Madde 13/14 uyumlu

Yürürlük tarihi: Mart 2026 · Son güncelleme: Mart 2026 · Bu politika AB Genel Veri Koruma Tüzüğü (GDPR — Tüzük 2016/679) Madde 13 ve 14 kapsamındaki aydınlatma yükümlülüğünü yerine getirmektedir.

1. Veri Sorumlusu ve İletişim Bilgileri

1.1 Veri Sorumlusu

Bu Gizlilik Politikası kapsamındaki kişisel verilerin işlenmesinden sorumlu veri sorumlusu:

Ticaret unvanı	Unifics Limited
Marka	RYSTAT
Kayıtlı adres	Hong Kong Özel İdari Bölgesi
E-posta	privacy@rystat.com
Web sitesi	rystat.com

1.2 İletişim

Veri koruma, gizlilik ve yasal konulardaki her türlü başvuru için:

Gizlilik: privacy@rystat.com
Yasal yazışmalar / DSA bildirimleri: legal@rystat.com
Güvenlik bildirimleri: security@rystat.com
Kullanılabilir diller: Türkçe, İngilizce, Almanca

2. Kapsam ve Roller

Bu Gizlilik Politikası, RYSTAT markası altında sunulan web sitesi, müşteri paneli, sipariş akışları, destek süreçleri ve ilişkili tüm hizmetler kapsamında işlenen kişisel verileri açıklar.

RYSTAT, hizmet türüne bağlı olarak farklı roller üstlenmektedir:

İşleme bağlamı	RYSTAT rolü	Müşteri rolü
Müşteri hesabı, faturalama, destek	Veri Sorumlusu	Veri sahibi
Müşterinin barındırdığı içerikler ve son kullanıcı verileri	Veri İşleyen veya Alt İşleyen	Veri Sorumlusu
Web sitesi analitik ve çerezler	Veri Sorumlusu	Veri sahibi (ziyaretçi)

RYSTAT'ın veri işleyen veya alt işleyen konumunda olduğu durumlarda, işlenen verilerin veri sorumlusu olarak tüm yasal yükümlülükler müşteriye aittir. RYSTAT bu verileri yalnızca müşterinin belgelenmiş talimatları doğrultusunda işler.

3. Toplanan Veri Kategorileri

3.1 Doğrudan sağladığınız veriler

Ad, soyad, şirket unvanı, yetkili ve temsilci bilgileri
E-posta adresi, telefon numarası
Fatura adresi, ülke, vergi numarası (kurumsal)
Hesap oluşturma, kimlik doğrulama ve güvenlik bilgileri
Destek talepleri ve yazışma içerikleri
Vergisel, ticari veya mevzuat gereği alınan belgeler

3.2 Otomatik toplanan veriler

IP adresi, erişim logları, oturum kayıtları ve güvenlik logları
Tarayıcı, cihaz, işletim sistemi ve istemci bilgileri
Panel kullanım geçmişi ve hata kayıtları
Çerezler ve benzeri izleme teknolojileri aracılığıyla toplanan tercih ve kullanım verileri (bkz. Çerez Politikası)

3.3 Ödeme verileri

Ödeme işlemleri, PCI-DSS sertifikalı üçüncü taraf ödeme kuruluşları aracılığıyla gerçekleştirilir. RYSTAT tam kart numarası, CVV veya PIN bilgilerini depolamaz; yalnızca son 4 hane, işlem referansı ve ödeme durumu gibi sınırlı bilgiler saklanabilir.

3.4 Hizmet içeriği ve müşteri verileri

Hosting, sanal sunucu, e-posta ve ilişkili altyapı hizmetlerinde müşteriler kendi sistem ve veri kümeleri üzerinde esasen kontrol sahibidir. Bu veriler; hizmeti sunmak, güvenliği sağlamak, olay analizi yapmak ve teknik destek vermek amacıyla sınırlı ölçüde işlenebilir. Müşteri, bu verilerin işlenmesi için gerekli tüm hukuki dayanakları ve üçüncü şahısların rızasını almakla yükümlüdür.

4. İşleme Amaçları, Hukuki Dayanak ve Saklama Süreleri (GDPR Madde 6 ve 13)

Aşağıdaki tablo, GDPR Madde 13(1)(c) ve 13(2)(a) uyarınca her işleme faaliyetinin amacını, hukuki dayanağını ve tahmini saklama süresini göstermektedir.

İşleme amacı	Hukuki dayanak (GDPR Madde 6)	Tahmini saklama süresi
Hesap oluşturma, kimlik doğrulama ve erişim yönetimi	Madde 6(1)(b) — Sözleşmenin ifası	Hesap aktif olduğu sürece + sözleşme sona erdikten sonra 3 yıl
Hizmet aktivasyonu, sunumu ve teknik destek	Madde 6(1)(b) — Sözleşmenin ifası	Hizmet süresi + 2 yıl
Faturalama, tahsilat ve muhasebe kayıtları	Madde 6(1)(c) — Yasal yükümlülük (vergi ve ticaret mevzuatı)	İşlem tarihinden itibaren 10 yıl (ülkeye göre değişir)
Güvenlik izleme, log analizi ve olay müdahalesi	Madde 6(1)(f) — Meşru menfaat (altyapı güvenliği ve dolandırıcılık önleme)	Log türüne göre 30 gün – 12 ay
Yasal yükümlülüklerin yerine getirilmesi (düzenleyici talepler, mahkeme kararları)	Madde 6(1)(c) — Yasal yükümlülük	Yasal zorunluluk süresi boyunca
Pazarlama iletişimi ve ürün duyuruları (mevcut müşteriler)	Madde 6(1)(f) — Meşru menfaat (ilgili hizmet bildirimi) veya Madde 6(1)(a) — Rıza	Rıza geri alınana veya itiraz edilene kadar; hesap kapatılmasından sonra 2 yıl
Web sitesi analitik ve performans ölçümü	Madde 6(1)(a) — Rıza (çerez onayı)	Çerez ömrüne göre; bkz. Çerez Politikası
Uyuşmazlık yönetimi ve hukuki taleplerin savunulması	Madde 6(1)(f) — Meşru menfaat	Uyuşmazlığın çözümüne kadar + 5 yıl

Meşru menfaat dengesi: RYSTAT, meşru menfaat dayanaklarına yalnızca ilgili kişilerin temel hak ve özgürlükleri ile meşru menfaatler arasındaki denge değerlendirmesi yapıldıktan sonra başvurmaktadır. Bu değerlendirmeye ilişkin ayrıntılı bilgi talep halinde paylaşılabilir.

5. Verilerin Aktarıldığı Alıcılar

Kişisel veriler, hizmetin sunulması için gerekli olduğu ölçüde aşağıdaki alıcı kategorileriyle paylaşılabilir:

Alıcı kategorisi	Paylaşım amacı
Altyapı ve veri merkezi sağlayıcıları	Sunucu barındırma (Almanya dahil)
Ağ, CDN ve DDoS koruma sağlayıcıları	Bant genişliği, güvenlik, içerik dağıtımı
Ödeme ve faturalandırma hizmetleri	Tahsilat ve faturalama
Destek ve iletişim platformları	Müşteri destek yönetimi
İzleme ve güvenlik araçları	Altyapı izleme, olay tespiti
Yetkili kamu kurumları ve mahkemeler	Yasal yükümlülük ve resmi talepler

Güncel ve ayrıntılı alt işleyen listesi için bkz. Alt İşleyen Çerçevesi.

RYSTAT, kişisel verileri ticari amaçlarla üçüncü taraflara satmamaktadır.

6. Uluslararası Veri Aktarımları (GDPR Bölüm V — Maddeler 44–49)

Unifics Limited, Hong Kong Özel İdari Bölgesi'nde kayıtlıdır. Avrupa Komisyonu, Hong Kong için bir yeterlilik kararı vermemiştir (GDPR Madde 45). Bu nedenle AEA'dan Hong Kong'a yapılan veri aktarımları, GDPR Madde 46 kapsamındaki uygun güvencelerle desteklenmektedir.

6.1 Uygulanan aktarım mekanizmaları

Standart Sözleşme Hükümleri (SCCs): Avrupa Komisyonu'nun 4 Haziran 2021 tarih ve 2021/914/EU sayılı Uygulama Kararı kapsamındaki standart sözleşme hükümleri uygulanmaktadır. Kurumsal müşterilerle akdedilen Veri İşleme Sözleşmeleri (DPA), hizmet ilişkisine uygun modül kapsamında (öncelikle Modül 2: Controller → Processor) SCCs'i içermektedir.
Aktarım Etki Değerlendirmesi (TIA): RYSTAT, Hong Kong hukukunun SCCs ile sağlanan korumaları zedeleyip zedelemediğini EDPB 01/2020 tavsiye kararı çerçevesinde değerlendirir ve gerektiğinde teknik ile idari destekleyici önlemler uygular.
Ek teknik önlemler: Aktarım güvenliğini artırmak amacıyla uçtan uca şifreleme (uygulanabilir olduğu hâllerde), veri minimizasyonu ve ayrıcalıklı erişim kontrolü uygulanmaktadır.

6.2 Almanya'daki sunucu altyapısı

AB üye devletlerinde konumlanan sunucularda depolanan veriler GDPR güvencesi altındadır ve ek aktarım mekanizması gerektirmez.

6.3 Diğer üçüncü ülkelere aktarım

Hizmetin sunulması için kullanılan bazı alt işleyenler, Avrupa Ekonomik Alanı dışında faaliyet gösterebilir. Bu aktarımlar; yeterlilik kararı bulunan ülkeler, SCCs veya diğer GDPR uyumlu mekanizmalar aracılığıyla gerçekleştirilmektedir.

7. Veri Sahibi Hakları (GDPR Maddeler 15–22)

AB/AEA'da yerleşik veri sahipleri GDPR kapsamında aşağıdaki haklara sahiptir. Bu haklar yalnızca RYSTAT'ın veri sorumlusu sıfatıyla hareket ettiği veriler bakımından doğrudan uygulanır.

Hak	İçerik	GDPR maddesi
Erişim hakkı	İşlenen verilerinizin bir kopyasını talep etme	Madde 15
Düzeltme hakkı	Yanlış veya eksik verilerin düzeltilmesini isteme	Madde 16
Silme hakkı ("unutulma hakkı")	Belirli koşullarda verilerinizin silinmesini talep etme	Madde 17
İşlemeyi kısıtlama hakkı	İşlemenin sınırlandırılmasını talep etme	Madde 18
Veri taşınabilirliği hakkı	Verilerinizi yapılandırılmış, makine okunabilir formatta alma	Madde 20
İtiraz hakkı	Meşru menfaat veya kamu yararı dayanaklı işlemeye itiraz etme; doğrudan pazarlamaya itiraz (mutlak hak)	Madde 21
Otomatik karar almaya itiraz	Yalnızca otomatik işlemeye dayalı kararlara itiraz etme	Madde 22
Rızayı geri alma	Rızaya dayalı işlemelerde rızanızı istediğiniz zaman geri çekme	Madde 7(3)

Başvuru: privacy@rystat.com | Kimlik doğrulaması gerektiren başvurularda ek bilgi talep edilebilir. RYSTAT, yasal sürelere (genel kural: 1 ay, uzatmalı: 3 aya kadar) uygun biçimde yanıt verecektir.

7.1 Denetim makamına şikâyet hakkı (GDPR Madde 77)

AB/AEA'daki veri sahipleri, kişisel verilerinin işlenmesine ilişkin şikâyetlerini kendi üye devletlerindeki yetkili veri koruma otoritesine iletme hakkına sahiptir. Her AB üye devletinin bağımsız bir denetim otoritesi bulunmaktadır; ikamet ettiğiniz ülkedeki otoriteye başvurabilirsiniz.

AB denetim otoriteleri listesi: edpb.europa.eu/about-edpb/board/members_en

Denetim makamına başvurmadan önce RYSTAT ile doğrudan iletişime geçmenizi öneririz; pek çok sorunu daha hızlı çözebiliriz.

8. Güvenlik Tedbirleri (GDPR Madde 32)

RYSTAT, GDPR Madde 32 uyarınca işlemenin niteliğine, kapsamına ve risklerine göre uygun teknik ve idari güvenlik tedbirlerini uygulamaktadır:

Erişim kontrolü, kimlik doğrulama ve ayrıcalıklı erişim yönetimi
Aktarım ve depolama sırasında şifreleme (uygulanabilir olduğu hâllerde)
Güvenlik olay izleme, loglama ve alarm süreçleri
Ağ segmentasyonu, güvenlik açığı yönetimi ve düzenli güncellemeler
Yedekleme ve iş sürekliliği planları
Veri işleme personeli için veri koruma eğitimleri

İnternet üzerinden hiçbir veri aktarımı veya elektronik depolama yöntemi mutlak güvenlik sağlayamaz. Kullanıcılar hesap güvenliği, güçlü parola kullanımı ve iki faktörlü kimlik doğrulama konusunda birincil sorumluluk taşımaktadır.

8.1 Kişisel veri ihlali bildirimi (GDPR Madde 33–34)

RYSTAT, öğrendiği tarihten itibaren 72 saat içinde yetkili denetim makamına kişisel veri ihlalini bildirmekle yükümlüdür; ihlalin ilgili kişiler bakımından yüksek risk doğurduğu hâllerde, makul gecikmeksizin ilgili kişilere de doğrudan bildirim yapılır.

9. Çerezler ve İzleme Teknolojileri

RYSTAT, web sitesinde ve müşteri panelinde çerezler ile benzer izleme teknolojileri kullanmaktadır. Alman sunucu altyapımız nedeniyle Alman TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) ve AB ePrivacy Direktifi (2002/58/AT) kapsamındaki yükümlülükler uygulanmaktadır.

Kullanılan çerez kategorileri, saklama süreleri, üçüncü taraf sağlayıcılar ve opt-out seçeneklerine ilişkin ayrıntılı bilgi için bkz. Çerez Politikası.

10. Politika Güncellemeleri

RYSTAT bu politikayı zaman zaman güncelleyebilir. Esaslı değişiklikler, yürürlük tarihinden en az 30 gün önce web sitesi üzerinden veya kayıtlı e-posta adresiniz aracılığıyla duyurulacaktır. Güncellenmiş politikanın yayımlanmasının ardından hizmetlerin kullanılmaya devam edilmesi, değişikliklerin kabul edildiği anlamına gelir. GDPR kapsamındaki haklarınızı etkileyen önemli değişikliklerde, mevcut mevzuat gerektiriyorsa ayrıca onayınız alınacaktır.

11. Öncelik ve Çatışma

Bu Gizlilik Politikası ile başka bir sözleşme belgesi arasında çelişki olması hâlinde öncelik sırası şöyledir:

İmzalı kurumsal sözleşme, sipariş formu veya teklif eki
Ürüne özel hizmet şartları
Acceptable Use Policy (AUP)
Hizmet Seviyesi Taahhüdü (SLA)
Data Processing Agreement / DPA (yalnızca veri işleme konularında)
Kullanım Koşulları
Bu Gizlilik Politikası
İade Politikası
Alt İşleyen Çerçevesi ve diğer kamusal açıklama metinleri

İmzalı kurumsal sözleşmeler ve sipariş formları her zaman önceliklidir. Çelişki hâlinde en spesifik ve güncel imzalı belge geçerli olacaktır. Zorunlu tüketici ve veri koruma mevzuatından doğan haklar her hâlükârda saklıdır.

12. Küresel Uyum Yaklaşımı

Unifics Limited, Hong Kong'da kayıtlı küresel bir hizmet sağlayıcısıdır. Hizmetlerimiz farklı ülkelerdeki kullanıcılara sunulmakta olup kişisel verilerin korunmasına ilişkin yerel mevzuatların varlığını ve önemini kabul etmekteyiz.

AB/AEA'daki kullanıcılar için GDPR'dan doğan veri koruma ilkelerine (Madde 5) uyum göstermeye özen gösteririz.
Türkiye'deki kullanıcılar için kişisel verilerin korunmasına ilişkin makul teknik ve idari tedbirler uygulanmaktadır.
Herhangi bir ülkedeki veri koruma otoritesinden resmi bir talep ulaşması hâlinde RYSTAT, yasal süreç çerçevesinde yanıt vermeye hazırdır. İletişim: privacy@rystat.com

RYSTAT, belirli yargı bölgelerinde yerel veri koruma otoritelerine kayıtlı olmayabilir. Bu durum, kişisel verilerin sorumlu biçimde işlenmesine ilişkin taahhüdümüzü etkilemez.