Gizlilik Politikası

DAGI OÜ (bundan böyle "biz", "EestiPOS"), kullanıcılarının gizliliğine saygı duyar ve kişisel verileri GDPR (Genel Veri Koruma Yönetmeliği) ve Estonya Kişisel Veri Koruma Kanunu (Isikuandmete kaitse seadus) çerçevesinde işler. Bu politika, hangi verileri topladığımızı, nasıl kullandığımızı ve haklarınızın neler olduğunu açıklar.

• Hesap verileri: Ad, e-posta adresi, şifre (hash'lenmiş), işletme adı
• İşlem verileri: Satış kayıtları, ürün ve fiyat bilgileri, sipariş geçmişi
• Müşteri verileri: Loyalty kart bilgileri (opsiyonel, işletmenin girdiği)
• Teknik veriler: IP adresi, tarayıcı türü, erişim logları, uygulama crash raporları
• Ödeme verileri: Abonelik ödemeleri Stripe üzerinden işlenir; kart bilgileri EestiPOS sunucularında saklanmaz
• Banka verileri: SaltEdge ile bağlantı kurulursa, okuma yetkisiyle işlem verileri alınır; yazma yetkisi yoktur

• Hizmetin sağlanması ve sürdürülmesi
• Abonelik yönetimi ve faturalandırma
• Müşteri desteği ve iletişim
• Ürün geliştirme ve analitik (anonim, toplu veriler)
• Yasal yükümlülüklerin yerine getirilmesi (vergi, muhasebe)
• Güvenlik ve dolandırıcılık önleme

• Sözleşme ifası (Madde 6/1/b): Hizmet sunumu için zorunlu veriler
• Meşru menfaat (Madde 6/1/f): Güvenlik, hata ayıklama, hizmet iyileştirme
• Açık rıza (Madde 6/1/a): Pazarlama iletişimi (ayrıca onay alınır)
• Yasal zorunluluk (Madde 6/1/c): Muhasebe ve vergi kayıtları (Estonya mevzuatı)

• Hesap verileri: Hesap aktif olduğu sürece + 2 yıl
• İşlem kayıtları: 7 yıl (Estonya vergi ve muhasebe mevzuatı)
• Destek yazışmaları: 3 yıl
• Teknik loglar: 90 gün
• Abonelik iptal sonrası: Veriler 90 gün dışa aktarılabilir, ardından silinir

Verileriniz yalnızca hizmet sunumu için zorunlu olan üçüncü taraflarla paylaşılır:

• Supabase Inc. — veritabanı ve kimlik doğrulama (ABD, Standart Sözleşme Maddeleri ile korunmaktadır)
• Stripe Inc. — ödeme işleme (ABD/AB, SCCs ile korunmaktadır)
• Vercel Inc. — web barındırma (AB bölgesi: Frankfurt)
• SaltEdge Inc. — banka senkronizasyonu (isteğe bağlı)
• Resend Inc. — e-posta gönderimi
• OpenAI Inc. — POSSI AI muhasebe asistanı (anonim özet veriler)

Verileriniz satılmaz veya reklam amacıyla üçüncü taraflarla paylaşılmaz.

• Erişim hakkı: Verilerinizin bir kopyasını talep edebilirsiniz
• Düzeltme hakkı: Yanlış verilerin düzeltilmesini isteyebilirsiniz
• Silme hakkı ("unutulma hakkı"): Belirli koşullarda verilerinizin silinmesini talep edebilirsiniz. Hesap silme talebi →
• İşlemeyi kısıtlama hakkı: Belirli durumlarda işlemeyi durdurabilirsiniz
• Taşınabilirlik hakkı: Verilerinizi makine okunabilir formatta (JSON/CSV) alabilirsiniz
• İtiraz hakkı: Meşru menfaate dayalı işlemelere itiraz edebilirsiniz
• Rızayı geri çekme hakkı: Rızaya dayalı işlemelerde onayı istediğiniz zaman geri çekebilirsiniz

Bu haklarınızı kullanmak için privacy@eestipos.ee adresine yazabilirsiniz. 30 gün içinde yanıt verilir.

EestiPOS web sitesi minimal çerez kullanır: oturum yönetimi için zorunlu çerezler (GDPR muafiyetli) ve anonim ziyaretçi sayımı için isteğe bağlı analitik çerezler. Pazarlama veya üçüncü taraf reklam çerezi kullanılmaz. Tarayıcı ayarlarınızdan çerezleri devre dışı bırakabilirsiniz.

Verileriniz AES-256 şifrelemeyle saklanır ve TLS 1.3 ile iletilir. Supabase Row Level Security (RLS) ile her işletme yalnızca kendi verilerine erişebilir. Güvenlik açıkları için security@eestipos.ee adresine yazabilirsiniz.

Verilerinizin işlenmesiyle ilgili şikâyetinizi Estonya Veri Koruma Denetimine (Andmekaitse Inspektsioon — aki.ee) iletebilirsiniz.

Bu politikayı güncellediğimizde, sayfanın üst kısmındaki tarihi güncelleriz. Önemli değişiklikler için kayıtlı e-posta adresinize en az 14 gün önceden bildirim göndeririz.

EestiPOS includes an optional AI assistant called POSSI AI, powered by GPT-4o-mini (OpenAI). The following applies whenever you interact with this feature:

• When you use POSSI AI, your queries and relevant business context — such as sales summaries, product names, and order totals — may be sent to OpenAI's API for processing.
• We do not send full customer personal data (names, email addresses, phone numbers) to AI providers unless you explicitly include such information in your query.
• AI responses are generated automatically and must be reviewed by the business owner or a qualified accountant before acting on them. EestiPOS accepts no liability for decisions made solely on the basis of AI-generated content.
• OpenAI processes data in accordance with its Data Processing Agreement. See: openai.com/policies/privacy-policy

We engage the following subprocessors to operate our service. Each subprocessor is bound by a data processing agreement and processes data only as instructed by EestiPOS.

Your data is never sold or shared with third parties for advertising purposes.

• Merchants using EestiPOS are independent data controllers for their own customer data (e.g. loyalty card holders, registered customers).
• EestiPOS acts as a data processoron behalf of merchants, processing customer data only according to the merchant's instructions and this policy.
• Merchants are solely responsible for obtaining all necessary consents from their customers before collecting or processing personal data through EestiPOS.
• Merchants must not upload sensitive personal data (health, financial, or special-category data under GDPR Article 9) unless it is strictly required for their service and they have a valid legal basis to do so.

• Active account data: retained for as long as the account remains active.
• Deleted account data: anonymized within 30 days of a verified deletion request. See Delete Account →
• Accounting and transaction records: may be retained for up to 7 years to comply with Estonian legal and tax obligations.
• Marketing consent records: retained for as long as legally required to demonstrate compliance.