Sürüm 2.1 · Yürürlük tarihi: 24 Mayıs 2026
GDPR Madde 4(7) anlamında kişisel verilerin işlenmesinden sorumlu kuruluş:
NEX NEXT EXPERIENCE LLP 5307 Victoria Drive #458 Vancouver, BC, V5P 3V7, Kanada
British Columbia LLP siciline LL03158 numarası ile kayıtlıdır.
Genel iletişim: admin@nex.company Veri koruma talepleri için iletişim: dataprivacy@nex.company
AB temsilciliğine ilişkin bilgi: AB'de yerleşik olmayan bir veri sorumlusu olarak, AB'deki ilgili kişilerin veri koruma taleplerini yukarıda belirtilen e-posta adreslerinden her zaman kabul ediyor ve bunları yasal bir aylık süre içinde yanıtlıyoruz (Art. 12(3) GDPR). Yazılı posta yolunu tercih etmeniz halinde, lütfen Kanada adresimizi „Data Protection / Veri Koruma" notuyla kullanın.
Kullanıcılarımızın kişisel verilerini, prensip olarak yalnızca işlevsel bir web sitesi, uygulama ile içerik ve hizmetlerimizi sağlamak için gerekli olduğu ölçüde işliyoruz. İşleme, kural olarak yalnızca kullanıcının onayı ile gerçekleşir; ön onayın fiili nedenlerle alınamadığı ve yasal hükümlerle işlemenin izinli olduğu durumlar hariç.
Veriler: e-posta adresi, hash'lenmiş şifre (bcrypt), ad, isteğe bağlı telefon numarası, dil ayarı, abonelik seviyesi, oluşturulma tarihi, son giriş, cihaz kimliği, başarısız giriş denemesi sayısı, varsa 2FA gizli anahtarı (Fernet şifrelemesi ile), kurtarma kodları, FCM push token, şirket bağlılığı. Amaç: kullanıcı hesabının sağlanması, kimlik doğrulama, yetkisiz erişime karşı koruma. Hukuki dayanak: Art. 6(1)(b); ayrıca güvenlik günlükleri için Art. 6(1)(f). Saklama süresi: kullanıcı tarafından hesap silinene kadar; ardından veriler 30 gün içinde yedekleme anlık görüntülerinden de kaldırılır.
Veriler: cihazın güncel GPS koordinatı, zaman damgası, hız, doğruluk. Amaç: canlı rota rehberliği, rota geçmişi, SOS acil çağrı, Sürücü Skoru değerlendirmesi. Hukuki dayanak: Art. 6(1)(b); acil durumda Art. 6(1)(d). Saklama süresi: aboneliğe bağlı — Free 30 gün, Lite 60, Pro 90, Solo 180, Business/Enterprise 365; belirlenen günde soft-delete, bunu takiben 30 gün sonra hard-delete.
Veriler: girilen duraklar, optimize edilmiş sıra, tamamlanma durumu, sefer süresi. Amaç: rota optimizasyonu ve geçmişi. Hukuki dayanak: Art. 6(1)(b). Saklama süresi: hesap silinene kadar; GPS temizliği ile birlikte silinir.
Veriler: kargo fotoğrafları, teslim imzaları, ePOD/eCMR belgeleri, gönderi meta verileri. Amaç: teslimat belgelendirmesi, hasar kanıtı, yasal olarak zorunlu saklama. Hukuki dayanak: Art. 6(1)(b) ve Art. 6(1)(c) (HGB §257, AO §147). Saklama süresi: oluşturulduğu takvim yılının sonundan itibaren 10 yıl. Saklama yeri: AB veri ikameti ile Cloudflare R2; erişim yalnızca 60 dakika geçerliliği olan imzalı URL'ler üzerinden.
Veriler: vardiya başına sürücü, araç ve güzergâh meta verileri. Amaç: bordro vergisi ve muhasebe belgelendirmesi. Hukuki dayanak: Art. 6(1)(b) ve Art. 6(1)(c) (R 8.1(9) LStR, GoBD). Saklama süresi: 10 yıl.
Veriler: işlem kimliği, tarih, tutar, kartın son dört hanesi, sürücü/araç ataması. Tam kart numarası saklanmaz. Amaç: masraf hesaplaması, maliyet kontrolü. Hukuki dayanak: Art. 6(1)(b) ve (c). Saklama süresi: 10 yıl.
Veriler: sürücü ile şirket yöneticisi arasındaki ve sürücü ile NexStops desteği arasındaki mesajlar. Amaç: sözleşmenin yürütülmesi, destek, sipariş iletişimi. Hukuki dayanak: Art. 6(1)(b). Saklama süresi: son aktiviteden 12 ay sonra.
Veriler: acil durum tetikleme zaman damgası, GPS koordinatı, ciddiyet derecesi, bildirim durumu, acil durum kişileri (ad, telefon, e-posta). Amaç: hayat kurtarma, kayıtlı kişilerin ve yöneticilerin hızlı bildirimi. Hukuki dayanak: Art. 6(1)(d) ve Art. 6(1)(b). Saklama süresi: denetim izi olarak 24 ay, sonrasında anonimleştirme.
Veriler: Stripe müşteri kimliği, abonelik durumu, fatura verileri, kartın son dört hanesi. Tam kart numaraları tarafımızca asla saklanmaz — doğrudan Stripe tarafından kaydedilir. Amaç: abonelik faturalandırma, faturalama. Hukuki dayanak: Art. 6(1)(b) ve Art. 6(1)(c). Saklama süresi: faturalar 10 yıl (HGB §257).
Veriler: kullanıcı tarafından yayınlanan kargo/araç ilanları, fiyatlar, konumlar, iletişim bilgileri. Amaç: kargo ve araç tekliflerinin yayınlanması ve aracılığı. Hukuki dayanak: Art. 6(1)(a) (açık rıza — kullanıcı tarafından aktif yayınlama). Saklama süresi: kullanıcı tarafından silinene kadar veya 90 günlük hareketsizlikten sonra.
Veriler: Firebase Cloud Messaging'ten anonim cihaz tokeni. Amaç: kritik sistem ve acil durum bildirimlerinin iletilmesi; istek üzerine pazarlama push bildirimleri. Hukuki dayanak: sistem açısından kritik bildirimler için Art. 6(1)(f); pazarlama push bildirimleri için Art. 6(1)(a). Saklama süresi: push bildirimleri devre dışı bırakılana veya hesap silinene kadar.
Veriler: hızlanma, frenleme, hız uyumu, dakiklik (yukarıdaki GPS verilerinden toplanır). Amaç: şirket yöneticisi tarafından eğitim ihtiyacının tespiti ve güvenlik izleme. Art. 22 GDPR uyarınca bildirim: değerlendirme yalnızca dahili olarak kullanılır. Sürücü üzerinde otomatik hukuki etkisi yoktur. Bir gerçek kişi (şirket yöneticisi), değerlendirmeye dayanarak her türlü önlem hakkında karar verir. İnsan tarafından inceleme hakkı: Skorunuzun manuel olarak incelenmesini, görüşünüzü ifade etmeyi ve değerlendirmeye itiraz etmeyi her zaman talep etme hakkına sahipsiniz (Art. 21 GDPR). Hukuki dayanak: Art. 6(1)(f). Saklama süresi: 24 ay, sonrasında anonimleştirme.
Algoritma, optimize edilmiş bir durak sırası önerir. Bu işlev tamamen tavsiye niteliğinde ve bağlayıcı değildir — sürücü her zaman bundan sapabilir. Art. 22 GDPR anlamında hukuki etkili otomatik bir karar söz konusu değildir.
Veriler: istek kimlikleri, anonimleştirilmiş kullanıcı kimlikleri, hata yığın izleri. PII verileri Sentry'ye iletilmeden önce filtrelenir. Amaç: işletim güvenliği, hata teşhisi, yönetici havuzuna SOS yükseltme. Hukuki dayanak: Art. 6(1)(f). Saklama süresi: 30 gün ham veri, 90 gün toplulaştırılmış.
Veriler: IP adresi, zaman damgası, çağrılan URL, HTTP durum kodu, User-Agent, Referrer. Amaç: işletim güvenliği, kötüye kullanım ve saldırı tespiti. Hukuki dayanak: Art. 6(1)(f). Saklama süresi: 30 gün.
Verilerinizi aşağıdaki veri işleyenlere, her biri için bir veri işleme sözleşmesi (Art. 28 GDPR) temelinde aktarıyoruz:
| Alıcı | İşlev | Konum | Aktarım garantisi |
|---|---|---|---|
| Stripe Inc. / Stripe Payments Europe Ltd. | Ödeme işleme | US / IE | EU-US Data Privacy Framework + SCC |
| Sendinblue SAS (Brevo) | İşlemsel e-posta | FR | AB içi işleme |
| Mailgun Technologies Inc. | İkincil e-posta ağ geçidi | US | SCC |
| Twilio Inc. / Twilio Ireland Ltd. | SMS gönderimi (acil durum, izleme) | US / IE | SCC + AB alt yüklenicisi |
| Google LLC (Firebase Cloud Messaging) | Push bildirimleri | US | EU-US Data Privacy Framework |
| Functional Software Inc. (Sentry) / Sentry GmbH | Hata izleme | US / AT | SCC + AB alt yüklenicisi |
| Cloudflare, Inc. (R2) | Dosya depolama | Global Edge (AB veri ikameti) | SCC + AB veri ikameti |
| Contabo GmbH | Sunucu barındırma | Veri merkezi: Lauterbourg, Fransa (AB) | AB içi işleme |
Yasal olarak zorunda olmadığımız sürece (örn. resmi karar), başka üçüncü taraflara aktarım yapılmaz.
Veri işleyenlerimizin bir kısmı ABD'de bulunmaktadır (Stripe, Mailgun, Twilio Inc., Google/Firebase, Sentry Inc., Cloudflare). Aktarım, aşağıdaki dayanaklardan birine göre gerçekleşir: - EU-US Data Privacy Framework (Stripe, Google/Firebase): sertifikalı alıcılar, AB ile karşılaştırılabilir bir koruma düzeyi sağlar. - AB Komisyonu Standart Sözleşme Maddeleri (SCC) (Mailgun, Twilio, Sentry, Cloudflare): Avrupa veri koruma standartlarına uyma yönündeki sözleşmesel yükümlülük.
Veri işleyenlerin ve garantilerinin güncel listesini talep üzerine sağlıyoruz (dataprivacy@nex.company).
| Veri kategorisi | Saklama süresi |
|---|---|
| Hesap verileri | Silinene kadar + 30 gün yedek |
| GPS konumları | 30/60/90/180/365 gün (tier bağımlı) + 30 gün kalıcı silme |
| Rota verileri | Hesap silinene kadar |
| Kargo belgeleri (ePOD/eCMR) | 10 yıl (HGB §257, AO §147) |
| Sefer defteri | 10 yıl (GoBD) |
| Yakıt kartı verileri | 10 yıl (muhasebe) |
| Sohbet mesajları | Son aktiviteden 12 ay sonra |
| SOS olayları | 24 ay, sonrasında anonimleştirme |
| Ödeme/fatura verileri | 10 yıl (HGB §257) |
| Marketplace ilanları | Silinene kadar veya 90 gün hareketsizlik |
| Push token | Devre dışı bırakılana kadar |
| Sürücü Skoru | 24 ay |
| İzleme/hata günlükleri | 30 gün ham, 90 gün toplulaştırılmış |
| Sunucu günlükleri | 30 gün |
Veri sorumlusu olarak bize karşı aşağıdaki haklara sahipsiniz: - Bilgi edinme hakkı (Art. 15 GDPR) - Düzeltme hakkı (Art. 16 GDPR) - Silinme hakkı (Art. 17 GDPR) — yasal saklama yükümlülüğü engel teşkil etmediği ölçüde - İşlemenin kısıtlanması hakkı (Art. 18 GDPR) - Veri taşınabilirliği hakkı (Art. 20 GDPR) — JSON dışa aktarımı mevcuttur - İtiraz hakkı (Art. 21 GDPR) — Sürücü Skoru dahil - Onayı geri çekme hakkı (Art. 7(3) GDPR) — herhangi bir zamanda, gelecek için geçerli; o zamana kadar yapılan işlemenin hukuka uygunluğu etkilenmez - Denetleyici makama şikâyet hakkı (Art. 77 GDPR). Almanya'da yetkili makam Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Graurheindorfer Straße 153, 53117 Bonn. AB diğer üye devletlerindeki kullanıcılar yerel denetim makamlarına başvurabilir. Türkiye'de ikamet eden kullanıcılar ayrıca Kişisel Verileri Koruma Kurumu (KVKK), Nasuh Akar Mah. Ziyabey Cad. 1407. Sok. No: 4 06520 Balgat-Çankaya/ANKARA adresine başvurabilir.
Bu hakları kullanmak için lütfen dataprivacy@nex.company adresine başvurun.
| Çerez | Amaç | Saklama süresi | Hukuki dayanak |
|---|---|---|---|
| Oturum çerezi | Oturum açma durumu | Oturum sonu | Art. 6(1)(b) — gerekli |
_ga, _gid, _gat (Google Analytics 4) |
Erişim ölçümü | 24 aya kadar | Art. 6(1)(a) — açık rıza |
| Stripe.js | Güvenli ödeme işleme | Yalnızca ödeme sırasında aktif | Art. 6(1)(b) |
| Onay çerezi | Çerez tercihinizi saklar | 12 ay | TTDSG §25(2) Nr. 2 |
Analiz çerezleri yalnızca çerez banner'ımız aracılığıyla verdiğiniz açık onay ile yüklenir. Tercihinizi her zaman sayfa altındaki „Çerez ayarları" bağlantısı üzerinden değiştirebilir veya geri çekebilirsiniz.
Sunucularımız barındırma sağlayıcımız Contabo GmbH'nin Lauterbourg, Grand Est, Fransa (Posta Kodu 67630) veri merkezinde bulunmaktadır. Bu nedenle işleme Avrupa Birliği içinde gerçekleşir. 4. ve 5. maddelerde belirtilen spesifik veri işleyenler hariç olmak üzere, hesap, rota veya kargo verilerinizin üçüncü ülkelere aktarımı yapılmaz.
Hizmetimiz 16 yaşın altındaki çocuklara yönelik değildir. Çocuklardan bilerek kişisel veri toplamıyoruz. 16 yaşın altındaki kişilerden onay gerektiği durumlarda, bu onay Art. 8 GDPR uyarınca velayet sahibinin verilmesi veya yetkilendirmesiyle alınmalıdır.
Üzerinizde hukuki etkisi olan otomatik kararlar almıyoruz. Rota optimizasyonu tamamen tavsiye niteliğindedir; Sürücü Skoru yalnızca dahili olarak eğitim ihtiyacının tespiti ve güvenlik izleme için kullanılır — somut önlemler hakkındaki kararı her zaman gerçek bir kişi olan şirket yöneticisi verir. Ayrıntılar için bkz. 3.12 ve 3.13.
Bu Gizlilik Politikasını, değişen yasal durumlara veya işleme uygulamalarımızdaki değişikliklere uyarlamak için değiştirme hakkımızı saklı tutuyoruz. Her zaman geçerli sürüm https://nexstops.com/privacy adresinde mevcuttur. Önemli değişiklikleri yürürlüğe girmeden en az 30 gün önce size e-posta ve uygulama bildirimi yoluyla bildireceğiz.
E-posta: dataprivacy@nex.company Posta: NEX NEXT EXPERIENCE LLP, Data Protection, 5307 Victoria Drive #458, Vancouver, BC, V5P 3V7, Kanada