GDPR Bildirimi
Avrupa Ekonomik Alanı’ndaki bireylerin veri koruma hakları. PhishDestroy, GDPR’ye uyum konusunda kararlıdır.
Bu bildirim, Avrupa Ekonomik Alanı (AEA) ve Birleşik Krallık’ta bulunan kişiler için geçerlidir. PhishDestroy, gizliliğinize saygı duyar ve kişisel verileri Genel Veri Koruma Yönetmeliği (AB) 2016/679 uyarınca işler.
Veri Sorumlusu
PhishDestroy, bağımsız ve kâr amacı gütmeyen bir kimlik avı ile mücadele projesidir. GDPR kapsamında, PhishDestroy projesi, hizmetlerimiz aracılığıyla işlenen tüm kişisel veriler için veri sorumlusu olarak hareket etmektedir. Veri koruma irtibat noktamızla şu adresten iletişime geçebilirsiniz: privacy@phishdestroy.io.
Hangi Kişisel Verileri İşliyoruz
Kimlik avı ile mücadele misyonumuz için kesinlikle gerekli olanlarla sınırlı olarak, asgari düzeyde kişisel veri topluyor ve işliyoruz:
- Tehdit raporu bildirimleri: Alan adları, URL’ler, cüzdan adresleri ve bir tehdidi bildirirken gönüllü olarak sağladığınız her türlü kanıt.
- Teknik veriler: Güvenlik ve kötüye kullanımın önlenmesi amacıyla otomatik olarak toplanan IP adresleri, kullanıcı ajanı dizeleri ve erişim zaman damgaları.
- Analitik verileri: Hizmetlerimizin nasıl kullanıldığını anlamak amacıyla Google Analytics (Google Tag Manager) aracılığıyla toplanan, kimlik bilgileri gizlenmiş kullanım istatistikleri.
- İletişim bilgileri: Bizimle doğrudan iletişime geçtiğinizde e-posta adreslerinizi veya Telegram kullanıcı adlarınızı belirtin.
Biz yapıyoruz değil mali veriler, kimlik belgeleri veya herhangi bir özel kategorideki kişisel verileri toplamak (GDPR’nin 9. maddesi).
İşlemenin Yasal Dayanağı
Kişisel verileri, GDPR’nin 6. maddesinin (1) numaralı fıkrasında tanımlanan aşağıdaki yasal dayanaklar çerçevesinde işliyoruz:
- Meşru menfaat (6. maddenin 1. fıkrasının (f) bendi): İnternet kullanıcılarını kimlik avı ve dolandırıcılıktan korumak amacıyla tehdit istihbaratı verilerini, IP adreslerini ve teknik meta verileri işliyoruz. Meşru menfaatimiz, siber suçların önlenmesi ve halkın korunmasıdır.
- Rıza (6. Maddenin 1. fıkrasının (a) bendi): Bir tehdit raporunu kendi isteğinizle gönderdiğinizde veya bizimle iletişime geçtiğinizde. Onayınızı istediğiniz zaman geri çekebilirsiniz.
- Yasal yükümlülük (Madde 6(1)(c)): Yetkili makamlardan gelen yasal taleplere veya mahkeme kararlarına uymamız gerektiğinde.
GDPR Kapsamında Haklarınız
Avrupa Ekonomik Alanı (EEA)/Birleşik Krallık’ta bir veri sahibi olarak aşağıdaki haklara sahipsiniz:
- Erişim hakkı (15. madde): Elimizde bulunan kişisel verilerinizin bir kopyasını talep edin.
- Düzeltme hakkı (16. madde): Hatalı kişisel verilerin düzeltilmesini talep edin.
- Silinme hakkı (17. madde): Kişisel verilerinizin silinmesini talep edin (“unutulma hakkı”).
- Kısıtlama hakkı (18. madde): Verilerinizin işlenmesinin sınırlandırılmasını talep edin.
- Veri taşınabilirliği hakkı (20. madde): Verilerinizi yapılandırılmış, makine tarafından okunabilir bir biçimde alın.
- İtiraz hakkı (21. madde): Meşru menfaate dayalı veri işleme faaliyetine itiraz etmek.
- Onayı geri çekme hakkı (7. Maddenin 3. fıkrası): Önceki işleme faaliyetlerinin hukuka uygunluğunu etkilemeden, rızanızı istediğiniz zaman geri çekebilirsiniz.
Bu haklardan herhangi birini kullanmak için e-posta gönderin privacy@phishdestroy.io konu satırı olarak "GDPR Talebi". Yasa gereği 30 gün içinde yanıt vereceğiz. Makul talepler için herhangi bir ücret talep edilmez.
Veri Saklama Süresi
Kişisel verileri, belirtilen amaçlarımız için gerekli olduğu sürece saklıyoruz:
- Tehdit istihbaratı verileri: Oltalama altyapısına ilişkin kamu kayıtlarının bir parçası olarak süresiz olarak saklanır. Alan adları, URL’ler ve bunlarla ilişkili teknik göstergeler, ihbar eden kişinin kişisel verileri olarak değerlendirilmez.
- Sunucu günlükleri (IP, kullanıcı ajanı): Güvenlik ve kötüye kullanımın önlenmesi amacıyla en fazla 90 gün süreyle saklanır, ardından otomatik olarak silinir.
- İletişim kayıtları: Devam eden yazışmaların daha uzun süre saklanmasını gerektirmedikçe, son etkileşimden sonra en fazla 12 ay süreyle saklanır.
- Analitik verileri: Anonimleştirilmiş ve toplu hale getirilmiştir; bireysel düzeydeki veriler, Google Analytics’in kendi veri saklama ayarları kapsamında işlediği süreden daha uzun süre saklanmaz.
Uluslararası Veri Aktarımları
PhishDestroy altyapısı, birden fazla yargı yetkisi alanına yayılmıştır. Kişisel veriler EEA dışına aktarıldığında, aşağıdaki yasal dayanaklara dayanıyoruz:
- Avrupa Komisyonu tarafından onaylanan Standart Sözleşme Hükümleri (SCC’ler).
- Uygunluk kararları (uygulanabilir olduğu durumlarda; örneğin, veri koruma önlemlerinin yeterli olduğu ülkelere yapılan aktarımlar).
- Sınırlı durumlarda, kamu yararına olan görevimizi yerine getirebilmemiz için gerekli olması (GDPR Madde 49(1)(d)).
Üçüncü Taraf Hizmetleri
Kişisel verileri işleyebilecek aşağıdaki üçüncü taraf hizmetlerini kullanıyoruz:
- Cloudflare: CDN, DDoS koruması ve DNS hizmetleri. Cloudflare Gizlilik Politikası.
- Ahrefs: SEO analitiği ve web sitesi performans izleme. Ahrefs Gizlilik Politikası.
- Google Analytics (GTM aracılığıyla): Anonimleştirilmiş web sitesi analitiği. Google Gizlilik Politikası.
- Telegram Bot API: Tehdit raporlarının iletilmesi için. Telegram Gizlilik Politikası.
Güvenlik Önlemleri
Kişisel verileri korumak amacıyla şifreli bağlantılar (TLS/HTTPS), erişim kontrolleri ve düzenli güvenlik denetimleri dahil olmak üzere uygun teknik ve organizasyonel önlemler alıyoruz. Aşağıdaki sayfaya göz atın: Güvenlik Politikası Ayrıntılar için.
Şikayette Bulunma Hakkı
Veri koruma haklarınızın ihlal edildiğini düşünüyorsanız, olağan ikamet ettiğiniz AB üye devletinde, çalıştığınız yerde veya ihlalin gerçekleştiği yerdeki denetim makamına şikayette bulunma hakkına sahipsiniz. AB Veri Koruma Otoritelerinin listesine şu adresten ulaşabilirsiniz: edpb.europa.eu.
Bu Bildirimde Yapılan Değişiklikler
Uygulamalarımızdaki veya yürürlükteki mevzuattaki değişiklikleri yansıtmak amacıyla bu GDPR bildirimini güncelleyebiliriz. Sayfa meta verilerindeki “Son Güncelleme” tarihi buna göre güncellenecektir. Değişikliklerden sonra hizmetlerimizi kullanmaya devam etmeniz, güncellenen bildirimi kabul ettiğiniz anlamına gelir.
İletişim
Veri koruma ile ilgili tüm sorular, talepler veya şikayetler için:
- E-posta: privacy@phishdestroy.io
- Konu başlığı: GDPR Talebi (resmi talepler için) veya Gizlilik Sorgulaması (genel sorular için)