Gizlilik Politikası
1. Veri sorumlusu
Simon Kappelmeir – Dienstleistung Weiherbachweg 6 82216 Maisach Almanya E-posta: support@horticum.com Telefon: +49 171 9350369
2. İşlemlere genel bakış
Aşağıdaki genel bakış, işlenen verilerin türlerini ve işleme amaçlarını özetler ve ilgili kişileri belirtir.
3. Toplanan kişisel veriler
Uygulamanın kullanımı kapsamında aşağıdaki kişisel veriler işlenir: • E-posta adresi (kayıt, giriş ve parola kurtarma için) • Görünen ad (hesap yönetimi ve günlük kaydı için) • Parola (sunucu tarafında hash olarak saklanır, açık metin olarak değil) • Çalışma saatleri, devamsızlıklar ve zaman takibi verileri • GPS konum verileri (yalnızca mobil cihazlarda mesai takip saatinin aktif kullanımında, açık rıza ile, yalnızca uygulama açıkken) • İlk yardım kayıtları (yaralı kişinin adı, olayın seyri, ilk yardımcı, firma) • Bitki koruma dokümantasyonu (ürün, uygulama miktarları, alanlar, uygulayıcının adı, işletmeye veya „özele" atama) • Gübreleme verileri (gübreleme önlemleri, toprak analizleri, kendi gübreler) • Müşteri ve tedarikçi verileri (ad, adres, vergi numarası, KDV numarası, IBAN, iletişim bilgileri) • İşletmeye aidiyet ve üyelik durumu • Bilanço fonksiyonundaki finansal veriler (kayıtlar, belge numaraları) • Dokümantasyon (kullanıcı tarafından oluşturulan talimatlar, çalışma yardımcıları, görevlere/kültürlere bağlantılar, gömülü görüntüler ve çizimler) • Etiket şablonları (format, alanlar, ısıl transfer yazıcılar için yazıcı ayarları) • İçe/dışa aktarılan dosyalar (yerel olarak cihazda kalır, sağlayıcıya iletilmez) • Stripe üzerinden abonelik için ödeme verileri (firma adı, KDV numarası, fatura e-postası; kredi kartı/banka verileri yalnızca Stripe tarafından işlenir, sağlayıcı tarafından işlenmez) • Cihaz kimliği (senkronizasyon için rastgele üretilen tanımlayıcı, cihaz verileriyle ilişkilendirilmez) • Son etkinlik (son uygulama başlatma zaman damgası, etkin olmayan hesapları tespit etmek için)
4. Hukuki dayanak
Verilerin işlenmesi aşağıdaki hukuki dayanaklarla gerçekleştirilir: • Madde 6 fıkra 1 (a) GDPR: rıza (GPS konum) • Madde 6 fıkra 1 (b) GDPR: sözleşmenin ifası (hesap yönetimi, temel işlevler) • Madde 6 fıkra 1 (c) GDPR: hukuki yükümlülük (§ 24 DGUV Yönerge 1 uyarınca ilk yardım dokümantasyonu; (AT) No. 1107/2009 ve PflSchG uyarınca bitki koruma dokümantasyonu; DüV uyarınca gübreleme dokümantasyonu) • Madde 6 fıkra 1 (f) GDPR: meşru menfaat (işletme organizasyonu, müşteri/tedarikçi yönetimi)
5. Veri depolama ve barındırma
Veriler aşağıdaki şekilde saklanır: • Cihazda yerel olarak (SharedPreferences, Keychain/Secure Storage) • Cihazlar arası senkronizasyon için Almanya'da kendi işlettiğimiz bir Appwrite sunucusunda (takım izinleri ile erişim kontrolü) • WebSocket bağlantısı üzerinden gerçek zamanlı senkronizasyon (Appwrite Realtime) • Appwrite sunucusu üzerinden e-posta gönderimi (doğrulama ve parola kurtarma için) Sunucu barındırma: Appwrite sunucusu Almanya'da özel bir sunucuda kendi tarafımızca barındırılır. Sunucu konumu: Almanya Harici hizmetlere (Google, Apple, Firebase) hiçbir veri iletilmez. Tüm veri işleme ve senkronizasyon yalnızca kendi sunucumuz üzerinden gerçekleştirilir.
6. E-posta işleme
E-posta adresi aşağıdaki amaçlarla kullanılır: • Hesabın kaydı ve doğrulanması (e-posta ile onay bağlantısı) • Parola kurtarma (e-posta ile sıfırlama bağlantısı) • Takım davetleri E-posta adresinin kayıt sırasında bir onay bağlantısı aracılığıyla doğrulanması gerekir. Doğrulama yapılmadan giriş mümkün değildir. E-posta gönderimi kendi Appwrite sunucumuz üzerinden gerçekleştirilir. Bülten veya reklam e-postası gönderilmez.
7. Veri güvenliği
Uygulama ile sunucu arasındaki tüm veri aktarımı TLS 1.2 veya üstü ile HTTPS üzerinden gerçekleştirilir. İşletme verilerine erişim Appwrite takım izinleriyle güvence altına alınmıştır: yalnızca bir işletmenin oturum açmış üyeleri ilgili verileri okuyabilir veya değiştirebilir. Sunucu Almanya'da kendi tarafımızca barındırılır. Veritabanı ve dosya sistemi işletim sistemi düzeyinde erişim kontrolü, güvenlik duvarı ve düzenli güvenlik güncellemeleri ile korunur. Yedekler şifrelenmiş olarak ayrı bir konuma aktarılır. Uygulama kodunda erişim verileri, API anahtarları veya sırlar yer almaz — kimlik doğrulama güvenli Appwrite oturumları üzerinden gerçekleştirilir.
8. GPS konum verileri
GPS konum verilerinin toplanması yalnızca: • Mobil cihazlarda (iOS/Android) GPS mesai takip saatinin aktif kullanımında • İşletim sisteminin izin sorgusu üzerinden açık rıza ile • Yalnızca uygulama açıldığında („yalnızca kullanırken" izni yeterlidir) • Kullanıcının kayıtlı bir çalışma konumunda olup olmadığını kontrol etmek için Konum kontrolü, uygulama başlatıldığında veya manuel olarak tetiklendiğinde anlık olarak yapılır. Arka plan takibi yapılmaz, ön plan hizmeti çalıştırılmaz. Konum verileri kalıcı olarak saklanmaz; yalnızca bunlardan türetilen zaman damgası (mesai kaydı) kalıcı hale getirilir. Rıza istediğiniz zaman cihaz ayarlarında geri alınabilir. Masaüstü cihazlarda (macOS, Windows, Linux, web) bu işlev kullanılamaz.
9. İlk yardım defteri
İlk yardım önlemlerinin dokümantasyonu § 24 fıkra 6 DGUV Yönerge 1 uyarınca yapılır. Veriler bütünlük hash'i (SHA-256) ile korunur ve yasal olarak öngörülen 5 yıllık saklama süresi boyunca saklanır. Sonradan eklemeler zaman damgası ve kullanıcı adıyla kaydedilir. Orijinal veriler değiştirilemez kalır. Sürenin sona ermesinden sonra kayıtlar silinebilir.
10. Bitki koruma dokümantasyonu
Bitki koruma önlemlerinin dokümantasyonu (AT) No. 1107/2009 ve PflSchG uyarınca yapılır. Şunlar kaydedilir: tarih, ürün (ad ve ruhsat numarası), kültür, alan, uygulama miktarı, su miktarı, uygulama şekli, zararlı organizma ve uygulayıcının adı. Veriler bütünlük hash'i (SHA-256) ile korunur. Değişiklikler tam olarak kaydedilir (eski ve yeni değer, zaman, kullanıcı). 3 yıllık yasal saklama yükümlülüğü geçerlidir. Kullanıcı tarafından yürütülen bitki koruma önlemleri ek olarak kişisel hesapta saklanır ve bir işletmeden ayrıldıktan sonra da erişilebilir kalır. Uygulayıcının adı, oturum açan hesaptan otomatik olarak alınır.
11. Gübreleme dokümantasyonu
Gübreleme önlemlerinin dokümantasyonu Alman Gübre Yönetmeliği (DüV) uyarınca yapılır. Şunlar kaydedilir: tarih, gübre, uygulama miktarı, işlem gören alan, kültür ve tarh. Toprak analizleri (pH, fosfor, potasyum, magnezyum, hümüs içeriği) besin planlaması için saklanır. Bireysel besin içerikleriyle kendi gübreler oluşturulabilir. Veriler sunucuda saklanır ve işletme ile senkronize edilir.
12. Müşteri ve tedarikçi verileri
İletişim yönetiminde müşteri ve tedarikçi verileri saklanabilir, bunların arasında: ad/firma, iletişim kişisi, adres, telefon, e-posta, web sitesi, vergi numarası, KDV numarası, IBAN, BIC, banka adı ve ödeme vadesi. Bu veriler sunucuda saklanır ve yalnızca ilgili işletmenin yetkili üyeleri tarafından erişilebilir.
13. Gerçek zamanlı senkronizasyon
Cihazlar arası senkronizasyon için kendi Appwrite sunucumuza bir WebSocket bağlantısı kullanılır (Appwrite Realtime). Üçüncü taraflara hiçbir veri iletilmez. Senkronizasyon, değişiklikler yapıldığı anda gerçek zamanlı olarak gerçekleştirilir. Harici hizmetler (Google, Apple) üzerinden push bildirim gönderilmez. Çift senkronizasyonu önlemek için gönderici tanımlayıcısı olarak rastgele oluşturulmuş bir cihaz kimliği gönderilir. Bu, cihazla veya kişiyle ilişkilendirilemez.
14. Veri içe ve dışa aktarma
Uygulama, kendi dosyalarınızdan (Excel, CSV, JSON, SQLite) kültür, tarh ve görev içe aktarmaya ve tüm işletme verilerini Excel veya JSON olarak dışa aktarmaya olanak tanır. Ücretsiz sürümde (deneme süresi dahil) içe aktarılan veriler yalnızca geçici olarak 15 dakika boyunca sağlanır ve ardından otomatik olarak silinir. Ücretli abonelik kademelerinde (Basic, Pro, Pro+) içe aktarmalar kalıcıdır. Kullanıcı deneme süresi sırasında bir abonelik satın alırsa, geçici olarak içe aktarılan veriler korunur. Veri dışa aktarma yalnızca ücretli abonelik kademelerinde mevcuttur. GDPR Madde 20 uyarınca veri taşınabilirliği hakkı bundan etkilenmez ve istendiği zaman support@horticum.com adresine e-posta ile kullanılabilir. İçe ve dışa aktarılan dosyalar yalnızca kullanıcının cihazında kalır ve sağlayıcıya veya üçüncü taraflara iletilmez. Kullanıcı, içe aktarılan verilerin üçüncü tarafların haklarını ihlal etmemesinden bizzat sorumludur.
15. Etiket baskısı, yerel ağ ve Bluetooth
Pro+ aboneliğinde bir etiket düzenleyicisi ve ısıl transfer etiket yazıcılara (Zebra, Bixolon, TSC, Godex, CAB vb.) doğrudan baskı kullanılabilir. Bağlantı isteğe bağlı olarak şu yollardan biriyle yapılır: • yerel ağ (ZPL/TSPL/EPL/JScript ile 9100 numaralı TCP portu) • menzildeki yazıcılara Bluetooth Low Energy (BLE) Yazıcı arama: ağda mDNS/Bonjour veya alt ağ taraması ile; Bluetooth üzerinden ulaşılabilir cihazların BLE taraması ile. Bu sırada hiçbir kişisel veri toplanmaz ve üçüncü taraflara iletilmez. Baskı işlerinin içeriği yalnızca doğrudan cihazdan yazıcıya gönderilir, harici sunucular üzerinden dolaşmaz. iOS ve macOS'ta ağ yazıcı araması için „Yerel Ağ" izni gereklidir; Bluetooth yazıcılar için Bluetooth izni gereklidir. Her ikisi de istendiği zaman sistem ayarlarında geri alınabilir.
16. Kamera ve fotoğraf kitaplığı
Dokümantasyon işlevinde fotoğraf kitaplığından kendi görüntüleriniz seçilebilir veya kamera ile yenisi çekilebilir (yalnızca iOS/Android). Çizimler doğrudan uygulamada yapılabilir. Kamera ve fotoğraf kitaplığına erişim yalnızca işletim sisteminin izin sorgusu üzerinden açık rıza ile ve yalnızca seçim/çekim anında gerçekleştirilir. Uygulama fotoğraf kitaplığını otomatik olarak okumaz. Seçilen/çekilen görüntüler kaydedilmeden önce uygulamada yerel olarak azami 1200 piksel kenar uzunluğuna ölçeklenir, JPEG olarak sıkıştırılır ve dokümantasyonun bir parçası olarak kendi sunucumuza senkronize edilir (diğer tüm dokümantasyon içerikleri gibi). Orijinal dosyalar fotoğraf kitaplığında değişmeden kalır.
17. Stripe üzerinden ödeme işlemleri
Pro ve Pro+ aboneliklerinin faturalandırılması için ödeme hizmeti sağlayıcısı Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, ABD) kullanılır. Bir abonelik satın alındığında Stripe'a aşağıdaki veriler iletilir: • E-posta adresi • Firma adı ve KDV numarası (belirtilmişse) Kredi kartı ve banka verileri yalnızca Stripe tarafından işlenir ve sunucularımızda saklanmaz. İşleme Madde 6 fıkra 1 (b) GDPR (sözleşmenin ifası) dayanağında gerçekleştirilir. Stripe gizlilik politikası: https://stripe.com/privacy
18. Verilerin üçüncü taraflara aktarılması
Kişisel verilerin üçüncü taraflara aktarılması, Stripe üzerinden ödeme işlemleri (bkz. bölüm 17) ve isteğe bağlı banka/firma sorgulamaları (bkz. bölüm 18a) hariç gerçekleştirilmez. Diğer tüm veriler yalnızca kendi sunucumuzda işlenir. Bir işletme içinde, sahibinin uygun izinleri vermesi durumunda veriler aynı işletmenin diğer üyeleri tarafından görüntülenebilir. Çalışma saatleri ve devamsızlıklar, yalnızca ilgili kullanıcının ayarlarında bunu etkinleştirmesi durumunda takımda gösterilir.
18a. Banka ve firma sorgulaması (IBAN, KDV numarası)
Bir müşteri veya tedarikçi iletişim kişisi oluşturulurken veya düzenlenirken girilen IBAN'lar ve KDV kimlik numaraları BIC, banka adı veya firma adı ve adresi belirlemek ve giriş alanını önceden doldurmak için otomatik olarak harici hizmetlere iletilir. Alıcılar: • openiban.com (fintectura GmbH, Berlin) — IBAN doğrulama ve BIC/banka adı sorgulaması. Gizlilik politikası: https://openiban.com • EU-VIES (Avrupa Komisyonu, DG TAXUD) — resmi firma verileri dahil KDV numarası doğrulaması. Gizlilik bilgisi: https://ec.europa.eu/taxation_customs/vies/ VIES isteği teknik olarak kendi sunucu proxymiz (horticum.com/app/api/vies-check.php) üzerinden yönlendirilir, çünkü EU-VIES tarayıcı tarafı isteklere izin vermez. Bu proxy üzerinde Avrupa Komisyonu yanıtları azami 30 dakika boyunca önbelleğe alınır (dosya tabanlı önbellek), aynı KDV numarasının tekrarlanan sorgulamalarını önlemek ve erişilebilirliği artırmak için. 30 dakika dolduktan sonra önbellek girdisi otomatik olarak üzerine yazılır veya silinir. Yalnızca ilgili IBAN veya KDV numarası iletilir. Sağlayıcılarda kalıcı depolama yapılmaz; sorgulamalar yalnızca makullük kontrolü için yapılır. İşleme, Madde 6 fıkra 1 (f) GDPR dayanağında (verimli ana veri yönetimi için meşru menfaat) gerçekleştirilir.
18b. Adres otomatik tamamlama (posta kodu → şehir, sokak önerileri)
Bir iletişim kişisi oluşturulurken veya düzenlenirken adres girdileri girişi hızlandırmak için otomatik olarak şehir, ülke ve sokak önerileriyle tamamlanır. Alıcılar: • zippopotam.us — ücretsiz posta kodu veritabanı. Bir posta kodu girildiğinde ülke önekiyle iletilir; şehir ve ülke döndürülür. Gizlilik: https://zippopotam.us • Photon (komoot.io, Karlsruhe) — OpenStreetMap verilerine dayalı sokak otomatik tamamlama. Sokak alanında 3 karakterden itibaren arama terimi iletilir; eşleşen sokaklar, posta kodu, şehir ve semt döndürülür. Gizlilik: https://www.komoot.com/privacy Yalnızca ilgili girilen arama bileşenleri (posta kodu veya sokak adı) iletilir. Sağlayıcı bu verileri kalıcı olarak saklamaz. İşleme, Madde 6 fıkra 1 (f) GDPR dayanağında (verimli ana veri yönetimi için meşru menfaat) gerçekleştirilir.
19. Saklama süresi ve silme
• Hesap verileri: kullanıcı tarafından hesabın silinmesine kadar • İşletme verileri: sahibi tarafından silinene kadar • İlk yardım kayıtları: 5 yıl (yasal saklama süresi, DGUV) • Bitki koruma kayıtları: 3 yıl (yasal saklama süresi, PflSchG) • Gübreleme verileri: kullanıcı tarafından silinene kadar • Müşteri/tedarikçi verileri: kullanıcı tarafından silinene kadar • Davet kodları: 48 saat sonra geçersiz olur • Geçici içe aktarmalar (ücretsiz sürüm): 15 dakika sonra otomatik silme • Deneme süresi: başlama zamanı her hesap için sunucu tarafında saklanır (30 gün) • Stripe ödeme verileri: Stripe gizlilik politikasına uygun olarak Hesabın silinmesi durumunda tüm kişisel veriler sunucudan geri dönülemez şekilde kaldırılır. Silme işlemi anında ve tamamen gerçekleştirilir. Aktif aboneliği olmayan ücretsiz hesaplar 2 yıl etkinlik göstermediği takdirde otomatik olarak silinir. Silmeden 30 gün önce e-posta ile bir uyarı gönderilir. Uygulamaya yeniden giriş yapmak süreyi sıfırlar. Mevcut abonelik modelinin sınırını aşan işletmeler kilitlenir. Veriler korunur, erişim yükseltmeye veya düşürmeye kadar kısıtlanır. Kilitli durumda kişisel veriler (zaman takibi, bitki koruma, ilk yardım defteri) erişilebilir kalır.
20. İlgili kişilerin hakları
Aşağıdaki haklara sahipsiniz: • Bilgi edinme hakkı (Madde 15 GDPR) • Düzeltme hakkı (Madde 16 GDPR) • Silme hakkı (Madde 17 GDPR) • İşlemenin kısıtlanması hakkı (Madde 18 GDPR) • Veri taşınabilirliği hakkı (Madde 20 GDPR) • İtiraz hakkı (Madde 21 GDPR) • Rızayı geri alma hakkı (Madde 7 fıkra 3 GDPR) Haklarınızı kullanmak için: support@horticum.com Hesabınızı istediğiniz zaman uygulama ayarlarında silebilirsiniz. Bu sırada tüm kişisel veriler geri dönülemez şekilde kaldırılır.
21. Şikayet hakkı
Bir veri koruma denetim otoritesine şikayette bulunma hakkına sahipsiniz. Yetkili denetim otoritesi: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Promenade 18 91522 Ansbach Almanya https://www.lda.bayern.de
22. Değişiklikler
Bu gizlilik politikası gerektiğinde güncellenebilir. Güncel sürüm istediğiniz zaman uygulamada görüntülenebilir.