Kolluk Kuvvetleri Rehberi (Law Enforcement Guidelines)

Son güncelleme: 13.02.2026 · Sürüm: 1.0

Bu rehber; WIN (“Platform”) tarafından işletilen hizmetler kapsamında, kolluk kuvvetleri ve diğer yetkili resmî makamlar (mahkemeler, Cumhuriyet başsavcılıkları, düzenleyici/idarî otoriteler vb.) tarafından iletilen yasal veri taleplerinin nasıl alınacağını, doğrulanacağını, değerlendirileceğini ve yanıtlanacağını açıklar.

Bu rehber, hem:

resmî makamların doğru kanal ve doğru içerikle talep iletebilmesini,
hem de WIN’in talepleri hukuka uygun, ölçülü, güvenli ve kayıt altına alınmış şekilde ele almasını

amaçlayan bir standarttır.

⚠️

WIN, kişisel verileri ve içerikleri kural olarak gizli tutar; yalnızca hukuken zorunlu veya hukuken yetkilendirilmiş durumlarda ve usulüne uygun talepler kapsamında veri paylaşır (bkz. Bölüm 3). - Tüm taleplerde kimlik/yetki doğrulaması yapılır; eksik, belirsiz veya aşırı geniş talepler için ek bilgi istenebilir veya talep reddedilebilir. - Yanıtlar veri minimizasyonu ilkesiyle verilir; gereksiz/ölçüsüz kapsam daraltılır ve mümkünse maskeleme/ayrıştırma uygulanır. - Acil durum (hayati tehlike, yakın/geri döndürülemez zarar riski) hallerinde, gerekli koşullar sağlanırsa, WIN sınırlı veri paylaşabilir (bkz. Bölüm 8). - Bu rehber; WIN’in yürürlükteki mevzuattan doğan yükümlülüklerini ortadan kaldırmaz; ilgili yargı alanında zorunlu hükümler saklıdır.

İlişkili dokümanlar

Bu rehber aşağıdaki WIN dokümanlarıyla birlikte okunmalıdır:

Gizlilik Politikası KVKK Aydınlatma Metni Kullanım Koşulları Topluluk Kuralları 🇪🇺DSA Uyum Sayfası Yasa Dışı İçerik Bildirim Formu Şeffaflık Raporları Biyometrik Veri Rızası Açık Rıza Metinleri

Bölüm 1: Amaç, kapsam ve dayanak

Bu bölümde rehberin (i) amacı, (ii) hangi talep türleri ve makamları kapsadığı, (iii) mevzuat referansları ve coğrafi kapsam yaklaşımı açıklanır.

1.1 Amaç

Bu rehberin temel amaçları:

Resmî makamlardan gelen taleplerin usulüne uygun şekilde alınmasını sağlamak,
Talepleri hukuka uygunluk, gereklilik-orantılılık ve veri minimizasyonu ilkeleriyle değerlendirmek,
Yanıtların güvenli biçimde üretilmesini ve iletilmesini sağlamak,
Süreçlerin kayıt altına alınması ve (uygunsa) şeffaflık raporlamasına girdi oluşturmak,
Sahte/yanıltıcı talepleri, yetkisiz ifşayı ve kötüye kullanımı önlemek.

1.2 Kapsam (hangi talepler / hangi makamlar)

Bu rehber, aşağıdaki talep türlerini kapsar (sınırlı olmamak üzere):

Bilgi/Belge talepleri: Hesap/abonelik bilgileri, trafik verisi/loglar, içerik verileri vb.
Veri koruma (preservation / legal hold) talepleri: Belirli bir hesap veya içerik bakımından verinin silinmemesi/korunması.
Acil durum talepleri: Hayati tehlike veya yakın/geri döndürülemez zarar riski içeren durumlarda sınırlı veri paylaşımı.
İçerik/hesap işlemleri: Yasa dışı içerik iddiası, erişim engeli/kaldırma, hesap dondurma vb. (coğrafi bağlama göre farklı rejimler devreye girebilir).

Bu rehber, aşağıdaki makam ve yetkili kurumların taleplerini hedefler:

Mahkemeler ve diğer yargı mercileri,
Cumhuriyet başsavcılıkları ve adlî merciler,
Kolluk kuvvetleri (polis/jandarma ve uzman birimler dahil),
Uygulanabilir olduğu ölçüde düzenleyici/idarî otoriteler (örn. belirli ülkelerde dijital hizmet/iletişim/rekabet otoriteleri).

⚠️

Özel kişiler (kullanıcılar, avukatlar, şirketler vb.) tarafından iletilen “bilgi/veri talebi” niteliğindeki başvurular bu rehber kapsamında doğrudan karşılanmaz. Bu kişiler, uygun kanalları (örn. KVKK başvurusu, mahkeme/tebligat süreçleri) kullanmalıdır. - Fikri mülkiyet (telif/marka) bildirimleri için bkz. Fikri Mülkiyet Politikası; bildirim için Fikri Mülkiyet (Telif) İhlal Formu kullanılabilir. - Kullanıcı şikayetleri ve moderasyon bildirimleri için bkz. Topluluk Kuralları ve DSA Uyum Sayfası. İçerik ihlali bildirimi için İçerik İhlal Formu, genel şikayet/ihbar için Şikayet ve İhbar Formu ve moderasyon kararlarına itiraz için İtiraz Formu kullanılabilir.

1.3 Coğrafi bağlam ve uygulanabilir rejimler (özet)

WIN’in hizmet sunduğu ülke/bölgeler ve veri barındırma mimarisi; taleplere uygulanacak usul ve dayanakları etkileyebilir.

Türkiye’de yer sağlayıcı sorumluluğu, trafik verisi/log saklama yükümlülükleri ve içerik aksiyonları bakımından 5651 sayılı Kanun ve ilgili ikincil mevzuat dikkate alınır. İçerik türüne göre TCK hükümleri (örn. müstehcenlik; haberleşmenin/özel hayatın gizliliği; verilerin hukuka aykırı elde edilmesi/ifşası) devreye girebilir.

1.4 Dayanak mevzuat (genel atıf)

WIN’in kolluk taleplerine yaklaşımı, özellikle aşağıdaki düzenlemeler dikkate alınarak kurgulanır:

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK).
KVKK Aydınlatma Yükümlülüğü Tebliği (aydınlatma içeriği/formatı; bildirim/şeffaflık yaklaşımıyla bağlantılı).
Kişisel Verilerin Yurt Dışına Aktarılması Yönetmeliği (sınır ötesi veri aktarımı çerçevesi; özellikle veri barındırma/tedarikçi mimarisi ile bağlantılı).
5651 sayılı Kanun (internet ortamında yapılan yayınlar; yer sağlayıcı sorumluluğu ve trafik verisi/log yükümlülükleri).
5237 sayılı Türk Ceza Kanunu (TCK) — özellikle:
- Md. 226 (Müstehcenlik),
- Md. 132–140 (Özel hayata/haberleşmeye karşı suçlar; kişisel verilerin hukuka aykırı kaydı/ele geçirilmesi/ifşası).
5809 sayılı Elektronik Haberleşme Kanunu (iletişim altyapısı ve güvenliğiyle bağlantılı değerlendirmeler kapsamında).
GDPR (AB kullanıcıları ve sınır ötesi veri aktarımı bağlamında).
Digital Services Act (DSA) (AB’de hizmet sunulması halinde; otoritelerle iletişim ve emir/notice süreçleri).

Not: Bu liste örnek olup, WIN’in faaliyet gösterdiği ülkelere göre ek mevzuat veya farklı usuller uygulanabilir.

Bölüm 2: Tanımlar

Bu bölümde, rehber boyunca kullanılan temel kavramlar tanımlanır.

Terim	Açıklama
Kolluk kuvvetleri	Polis/jandarma ve uzman birimler dahil olmak üzere suçun önlenmesi/soruşturulmasıyla görevli yetkili birimler.
Yetkili resmî makam	Mahkeme, savcılık, kolluk veya ilgili düzenleyici/idarî otorite gibi, talep yöneltmeye kanunen yetkili kurum.
Yasal talep / yasal süreç	Usulüne uygun düzenlenmiş ve yetkili makam tarafından iletilmiş; hukuki dayanağı bulunan yazılı talep/karar/emir.
Trafik verisi / log	Hizmetin sunumu sırasında oluşan teknik kayıtlar (örn. IP, zaman damgası, cihaz/oturum bilgileri gibi) — kapsam, ilgili mevzuata ve teknik mimariye göre değişebilir.
İçerik verisi	Profil içerikleri, fotoğraf/video, mesajlaşma içerikleri, raporlama/şikayet ekleri gibi kullanıcı tarafından üretilen veya hizmet sırasında oluşan içerikler.
Hesap verisi	Hesap kimlik ve profil bilgileri, doğrulama durumları, ayar tercihleri, abonelik/purchase kayıtları gibi hesapla ilişkili veriler.
Koruma (preservation / legal hold)	Belirli verilerin silinmesini/üzerine yazılmasını önlemek üzere geçici süreyle “hukuki koruma” altına alınması.
Acil durum	Bir kişinin hayatı, beden bütünlüğü veya benzeri temel menfaatleri açısından yakın ve ciddi risk içeren durumlar.
Veri minimizasyonu	İstenen amaç için gerekli olmayan verinin paylaşılmaması; kapsamın daraltılması ve mümkünse maskeleme uygulanması.

Bölüm 3: Taleplerin değerlendirilmesinde temel ilkeler

Bu bölüm, WIN’in tüm resmî makam taleplerinde uyguladığı değerlendirme ilkelerini ve karar kriterlerini açıklar.

3.1 Hukuka uygunluk ve usule uygunluk

WIN:

yalnızca yetkili makam tarafından,
usulüne uygun biçimde iletilen,
hukuki dayanağı açık olan

talep/kararlar kapsamında veri paylaşır.

3.2 Gereklilik ve orantılılık (kapsam kontrolü)

Talepler, amaçla bağlantılı olacak şekilde kapsam, süre ve veri kategorisi bakımından değerlendirilir. Aşırı geniş veya belirsiz taleplerde:

kapsam daraltılması istenir,
belirli hesap/olayla ilişkilendirme talep edilir,
gerekirse talep reddedilir veya kısmen karşılanır.

3.3 Veri minimizasyonu ve ayrıştırma

WIN, en az veri ile amaç gerçekleştirme prensibini benimser. Uygulanabilir olduğu ölçüde:

üçüncü kişilere ait veriler ayıklanır,
gereksiz alanlar maskelenir,
yalnızca ilgili zaman aralığı/olay ile sınırlı çıktı üretilir.

3.4 Güvenlik, gizlilik ve bütünlük

Talepler ve yanıtlar:

yetkili ekipler tarafından,
ihtiyaç oldukça erişim prensibiyle,
güvenli iletişim yöntemleri kullanılarak

işlenir/iletilir.

3.5 Şeffaflık ve kullanıcı bilgilendirmesi

Kural olarak WIN, kullanıcıları etkileyen talepler konusunda bildirim yaklaşımını benimser. Ancak:

kanunen yasaklanmışsa,
soruşturmayı tehlikeye düşürme riski varsa,
bir kişinin güvenliğine yönelik risk varsa

bildirim ertelenebilir veya yapılmayabilir (bkz. Bölüm 9).

3.6 Kayıt altına alma ve hesap verebilirlik

WIN, talepleri ve yanıtları:

iç sistemlerde kayıt altına alır,
gerekirse denetim/inceleme için iz bırakır,
uygun olduğu ölçüde şeffaflık raporlamasında istatistiksel olarak kullanır (bkz. Şeffaflık Raporları).

Bölüm 4: Talep iletme kanalları ve kimlik doğrulama

Bu bölüm, resmî makamların talepleri hangi kanallardan iletebileceğini, WIN’in kimlik/yetki doğrulamasını nasıl yaptığını ve kabul edilen formatları açıklar.

4.1 Resmî iletişim kanalları

Resmî talep e-postası: support@whoisnextapp.com (Şu aşamada tüm kurumsal ve yasal talepler için tek kanal olarak belirlenmiştir.) - Acil durum (7/24): WIN, şu aşamada resmî makamlar için ayrı bir 7/24 acil telefon veya nöbetçi sistem işletmemektedir; acil talepler de resmî e-posta üzerinden iletilmelidir. Bu konudaki operasyonel sorumluluk ilgili kolluk birimlerine aittir. - KEP / UETS: Şu an için aktif bir KEP veya UETS adresi bulunmamaktadır. Resmî tebligatlar ve yasal talepler şirket adresi veya kurumsal e-posta kanalları üzerinden kabul edilmektedir. - Posta adresi / tebligat adresi: WIN TECH Bilişim Organizasyon ve Ticaret A.Ş. (Adres detayları için lütfen Kullanım Koşulları Bölüm 16.4’e bakınız.)

Not: AB otoriteleri için DSA Art. 11 iletişim noktası, yayımlanmışsa DSA Uyum Sayfası üzerinden takip edilmelidir.

4.2 Talep formatı ve kabul edilen belgeler

Taleplerin aşağıdaki nitelikleri taşıması beklenir:

Yazılı ve resmî nitelikte olması (ıslak imza / güvenli elektronik imza / resmî sistem üzerinden),
Talep eden makam/personelin kimlik ve yetkisinin anlaşılır olması,
Dosya/evrak numarası, tarih ve hukuki dayanak içermesi,
Talebin kapsamının (hesap/olay, veri kategorisi, zaman aralığı) belirli olması.

WIN, yalnızca telefonla yapılan “sözlü” talepleri veya resmî kimliği doğrulanamayan başvuruları işleme almaz.

4.3 Kimlik ve yetki doğrulaması (WIN’in yaptığı kontroller)

WIN, talepleri değerlendirirken (uygulanabilir olduğu ölçüde) aşağıdaki kontrolleri yapabilir:

Talep eden kişinin kurum e-posta alan adı / resmî iletişim bilgisi doğrulaması,
İmza/kaşe/e-imza doğrulaması,
Kurumun resmî kanalları üzerinden geri arama ile teyit,
Talep içeriğinin usul ve kapsam açısından kontrolü.

Sahte veya kimliği belirsiz talepler, kullanıcı güvenliği ve veri güvenliği açısından yüksek risk taşır. Bu nedenle WIN; doğrulama adımlarını tamamlamadan veri paylaşmayabilir.

4.4 Yanıt süreleri (hedef yaklaşım)

Yanıt süreleri; talebin kapsamına, teknik elde edilebilirliğe ve talebin eksiksizliğine göre değişebilir. Genel hedef yaklaşım:

Eksiksiz standart talepler: 5 iş günü içinde ilk değerlendirmenin yapılması ve yanıta başlanması hedeflenir.
Koruma (preservation) talepleri: doğrulama sonrası mümkün olan en kısa sürede işleme alınır.
Acil durum talepleri: doğrulama ve aciliyet kriterleri sağlanırsa, öncelikli olarak yanıtlanır.

Not: Eksik/belirsiz taleplerde ek bilgi istenmesi, yanıt süresini uzatabilir.

Bölüm 5: Talepte bulunması gereken asgari bilgiler

Bu bölüm, talebin işleme alınabilmesi için gerekli asgari alanları ve iyi uygulama önerilerini listeler.

5.1 Asgari alanlar (checklist)

Alan	Neden gerekli?
Talep eden kurum/otorite ve birim	Yetki/doğrulama için.
Talep eden kişinin adı-soyadı, unvanı	İletişim ve yetki teyidi için.
Resmî iletişim bilgileri (telefon/e-posta)	Doğrulama ve geri dönüş için.
Dosya/evrak numarası ve tarih	Kayıt ve izlenebilirlik için.
Hukuki dayanak (kanun maddesi/karar türü vb.)	Hukuka uygunluk değerlendirmesi için.
Talebin amacı (özet)	Kapsam/orantılılık değerlendirmesi için.
İstenen veri kategorileri	Veri minimizasyonu ve doğru çıktı için.
Zaman aralığı	Aşırı geniş kapsamı önlemek ve doğru filtreleme için.
Hesap/İçerik tanımlayıcıları	Doğru hesabı tespit için.
Gizlilik/bildirim yasağı	Kullanıcı bilgilendirmesi değerlendirmesi için.
Teslim yöntemi (tercih)	Güvenli iletim planı için.

5.2 Hesap/İçerik tanımlayıcıları (örnekler)

Taleplerin hızlı ve doğru şekilde karşılanabilmesi için, mümkünse aşağıdakilerden en az biri sağlanmalıdır:

Uygulama içi kullanıcı ID / hesap numarası: 12345678 (Örnek)
Kullanıcının kayıtlı telefon numarası veya e-posta
Profil kullanıcı adı (handle) veya profilin uygulama içi link/ekran görüntüsü
İlgili içerik için içerik ID / mesaj ID / rapor ID

⚠️

Kişinin tespiti için zorunlu olan tüm unsurlarla (ID, GSM, e-posta vb.) sorgulama yapılabilmekte olup, bu konuda bir sınırlama bulunmamaktadır. Ancak spesifik tanımlayıcılar (ID/URL) yanlış eşleştirme riskini azaltır.

5.3 Talep şablonu (öneri)

Önerilen talep şablonu (kopyala‑yapıştır)

Kurum/Otorite: …
Birim: …
Talep Eden (Ad‑Soyad / Unvan): …
İletişim (telefon / resmî e‑posta): …
Dosya/Evrak No: …
Tarih: …
Hukuki Dayanak: …
Talebin Amacı (özet): …
Talep Türü: (bilgi talebi / preservation / acil durum / içerik kaldırma vb.)
Hesap Tanımlayıcıları: (user ID / telefon / e‑posta / handle / içerik ID)
İstenen Veri Kategorileri: (hesap bilgisi / log / içerik / ödeme vb.)
Zaman Aralığı: …
Gizlilik/Bildirim Kısıtı: …
Teslim Tercihi (şifreli e‑posta / güvenli link / KEP vb.): …

Bölüm 6: WIN’in talep değerlendirme ve yanıt süreci (uçtan uca)

Bu bölüm, WIN’in bir resmî talebi aldıktan sonra izlediği operasyonel ve hukuki adımları (kayıt → doğrulama → kapsam → çıktı → güvenli iletim → kapanış) adım adım açıklar.

Adım 1: Talebin alınması ve kayıt altına alınması

Talep, resmî kanaldan alındığında benzersiz bir “talep kaydı” oluşturulur; dosya/evrak numarası, tarih, talep eden kurum ve kapsam not edilir.

Adım 2: Kimlik ve yetki doğrulaması

Talep eden kişinin kurumsal kimliği ve yetkisi doğrulanır. Gerekirse resmî kanallardan geri dönüş/teyit yapılır.

Adım 3: Hukuki dayanak ve kapsam değerlendirmesi

Talebin hukuki dayanağı, veri kategorileri, zaman aralığı ve hesap tanımlayıcıları kontrol edilir. Aşırı geniş/belirsiz taleplerde ek bilgi istenir veya kapsam daraltılır.

Adım 4: Veri çıkarımı ve minimizasyon

Sadece talep kapsamına giren veriler çıkarılır. Üçüncü kişilere ait veriler ve gereksiz alanlar mümkünse ayıklanır/maskeleme yapılır.

Adım 5: Güvenli iletim

Yanıt, talep eden makama güvenli yöntemle iletilir (örn. şifreli dosya, güvenli link, KEP vb.). İletim kanalı ve teslim teyidi kaydedilir.

Adım 6: Kapanış, saklama ve raporlama

Talep kaydı kapatılır; yanıt dosyaları ve işlem logları ilgili saklama politikalarına uygun biçimde saklanır. Uygunsa şeffaflık raporlaması için istatistiksel veri üretilir.

Bölüm 7: Talep türleri ve yanıt kapsamı

Bu bölüm, sık görülen talep türlerini ve her tür bakımından WIN’in (i) beklediği asgari koşulları, (ii) tipik veri çıktılarını ve (iii) sınırlamalarını açıklar.

7.1 Standart bilgi talepleri (hesap/veri/işlem kayıtları)

WIN, usulüne uygun ve hukuken geçerli talepler kapsamında, sistemlerinde mevcut olan verileri paylaşabilir. Örnek veri türleri:

Hesap bilgileri: kayıt tarihi, doğrulama durumu, profil/ayar bilgileri, Cihaz ID (Device ID) ve oturum (giriş/last seen) kayıtları,
İçerik verileri: profil görselleri/metinleri, rapor ekleri; Google Firebase üzerinde saklanan mesaj içerikleri (mesajlar uçtan uca şifreli değildir),
Teknik veriler: giriş/çıkış zamanları, IP/oturum bilgileri, Firebase gibi otomatik altyapı hizmetleri üzerinden alınan hata/aktivite logları,
Satın alma/abonelik: App Store / Google Play işlem kayıtları ve abonelik durum bilgileri.

Not: WIN, yalnızca kendi sistemlerinde bulunan (sunucu taraflı login/last seen vb.) ve teknik olarak erişilebilir verileri sağlayabilir.

7.2 Trafik verisi / log talepleri (5651 bağlamı)

WIN; hizmetin sunumu sırasında oluşan trafik verisi/log kayıtlarını, 5651 sayılı Kanun ve ilgili ikincil düzenlemelerde öngörülen yükümlülükler çerçevesinde ele alır.

Talep, mümkünse belirli bir hesap/oturum veya belirli bir zaman aralığı ile sınırlanmalıdır. - Amaç ve kapsam net olmalıdır (örn. “X tarih aralığında Y kullanıcı ID’sine ait giriş IP kayıtları”).

7.3 Koruma (preservation / legal hold) talepleri

WIN, usulüne uygun bir “koruma” talebi alması halinde:

ilgili hesap/içerik bakımından verinin silinmesini önlemek üzere geçici koruma uygulayabilir,
bu koruma süresince veriyi normal saklama akışından ayırabilir.

Dosya/evrak no, tarih ve hukuki dayanak - Hesap/İçerik tanımlayıcıları (user ID, telefon/e‑posta, içerik ID vb.) - Korunması istenen veri kategorileri (örn. log, mesaj, profil içerikleri) - Zaman aralığı (mümkünse) - Talebin amacı (özet) ve varsa gizlilik/bildirim kısıtı - Koruma süresi ve uzatma talimatı/şekli

⚠️

Koruma (preservation) talebi, verinin “muhafaza edilmesi” anlamına gelir; verinin “paylaşılması” için ayrıca hukuken geçerli bir ifşa/teslim talebi gerekir.

Koruma süresi: Standart koruma süresi minimum 90 gün olarak uygulanır. Uzatma talepleri, sürenin sona ermesinden önce resmî yazı ile iletilmelidir.

7.4 Acil durum talepleri (hayati tehlike / yakın zarar riski)

WIN, istisnai olarak; bir kişinin güvenliğini korumak veya hayati tehlikeyi azaltmak amacıyla, hukuken izin verilen hallerde ve gerekli doğrulama yapıldıktan sonra, sınırlı veri paylaşabilir.

⚠️

Acil durum talepleri, “acil” ibaresi taşısa dahi otomatik olarak kabul edilmez. Talebin: - somut ve yakın bir risk içerdiğinin, - gecikmenin ciddi zarara yol açabileceğinin, - talep edenin yetkili makam olduğunun makul şekilde ortaya konması beklenir.

Acil durumun niteliği (örn. kayıp kişi, intihar riski, ağır şiddet tehdidi) ve neden “zaman kritik” olduğu - Talep eden makam/personel bilgileri (kimlik, unvan, birim) + geri arama için resmî iletişim - Dosya/evrak no ve hukuki dayanak/çerçeve (mümkünse) - Hesap/olay tanımlayıcıları (user ID, telefon/e‑posta, içerik ID vb.) - İstenen veri kategorileri ve zaman aralığı - Varsa gizlilik/bildirim kısıtı veya “tehlike” gerekçesi

⚠️

Acil durum kapsamında yapılan sınırlı paylaşım, mümkün olan en kısa sürede, usulüne uygun resmî yazı/kararla desteklenmelidir. WIN, acil yanıtın ardından ek bilgi veya resmî belge talep edebilir.

7.5 İçerik kaldırma / erişim engeli / hesap işlemleri

Yasa dışı içerik veya güvenlik riski içeren durumlarda:

WIN, kendi sözleşmesel kuralları (bkz. Topluluk Kuralları ve Kullanım Koşulları) uyarınca içerik/hesap kısıtlamaları uygulayabilir,
coğrafi bağlama göre, yetkili otorite emirleri (örn. AB’de DSA kapsamındaki emirler) ayrıca değerlendirilir.

Resmî makamlar, yasa dışı içerik bildirimini standart ve izlenebilir biçimde iletmek için Yasa Dışı İçerik Bildirim Formu sayfasındaki formu kullanabilir; form 5651, TCK ve DSA ile uyumlu alanlar içerir.

Bölüm 8: Paylaşılabilecek veri kategorileri (örnek envanter)

Bu bölüm, kolluk taleplerinde gündeme gelebilecek veri kategorilerini ve paylaşımda izlenen genel sınırları örnekli biçimde listeler.

Veri kategorisi	Örnek içerik	Notlar / hassasiyet
Hesap tanımlayıcıları	Kullanıcı ID, kayıt tarihi, doğrulama durumu	Talep kapsamına göre.
Profil verileri	Profil fotoğrafı, profil metni, tercih alanları	UGC niteliğinde olabilir.
Mesajlaşma verileri	Mesaj içerikleri, ekler	Google Firebase'de saklanır; uçtan uca şifreleme yoktur.
Rapor/şikayet verileri	Kullanıcı raporları, ekran görüntüleri	Üçüncü kişilere ait veri içerebilir; minimizasyon önemli.
Teknik/oturum verileri	Device ID, IP, oturum giriş/last seen zamanı, hata logları	Last seen verileri serverda; teknik hata logları Firebase/SDK altyapısında saklanır.
Konum verileri	Yaklaşık veya kesin (GPS) konum bilgileri	Uygulama konum tabanlıdır (en yakındaki kullanıcıyı bulma). Mevzuatta öngörülen yasal saklama süreleri boyunca muhafaza edilir.
Ödeme/abonelik	İşlem kimliği, paket türü, dönem	Mağaza kayıtları ve ticari delil saklama süreleri (10 yıl) geçerlidir.
Doğrulama verileri	Selfie fotoğrafları, doğrulama sonucu (success/fail)	Google Gemini 2.5 Flash ile fotoğraf doğrulama yapılır. Ham selfie/profil fotoğrafları Firebase üzerinde saklanır. WIN, doğrulama sonucuna (success/fail) bu süreç üzerinden erişir.

⚠️

Kullanıcı parolaları, gizli anahtarlar veya kimlik doğrulama sırları. - Teknik olarak WIN’de bulunmayan, üçüncü taraflarda tutulan ham veriler (yalnızca WIN’in erişebildiği/veri sorumlusu/işleyen rolleri kapsamında). - Gerçek zamanlı dinleme/izleme gibi, WIN’in hizmeti kapsamında bulunmayan veya hukuken/teknik olarak desteklenmeyen talepler.

Bölüm 9: Kullanıcı bilgilendirmesi ve şeffaflık

Bu bölüm, WIN’in kullanıcı bilgilendirmesi yaklaşımını ve şeffaflık raporlaması ile bağlantısını açıklar.

9.1 Kullanıcı bilgilendirmesi ve sorumluluk

Devlet/kolluk talepleri kapsamında kullanıcıya bildirim yapılması WIN'in sorumluluğunda veya yükümlülüğünde değildir. Savcılık ve kolluk soruşturmaları kural olarak gizlidir. Bu nedenle, usulüne uygun talepler uyarınca yapılan veri paylaşımları hakkında kullanıcıya bildirim zorunluluğu bulunmamaktadır.

9.2 Bildirim yapılmayan/ertelenen haller

WIN aşağıdaki hallerde bildirim yapmayabilir veya erteleyebilir:

Yasal gizlilik yükümlülüğü veya bildirim yasağı varsa,
Bildirimin soruşturmayı tehlikeye düşürme ihtimali varsa,
Bir kişinin güvenliği bakımından risk yaratacaksa.

9.3 Şeffaflık raporları

WIN, uygun olduğu ölçüde, resmî makam talepleri ve içerik aksiyonlarına ilişkin istatistikleri periyodik olarak yayımlamayı hedefler. Bkz. Şeffaflık Raporları.

Bölüm 10: Uluslararası talepler ve sınır ötesi veri

Bu bölüm, yabancı otoritelerden gelen taleplerin genel yaklaşımını ve sınır ötesi veri aktarımı bağlamını açıklar.

10.1 Yabancı otoritelerden gelen talepler

WIN, Türkiye dışındaki yabancı otoritelerden gelen talepleri değerlendirirken, talebin ilgili ülkenin Cumhuriyet Savcılığı veya ona eş bir resmî/adlî kurumu kanalıyla usulüne uygun şekilde iletilmiş olmasını gözetir. Bu tür başvurulara yalnızca yetkili resmî kanallar üzerinden karşılık verilir.

10.2 AB (DSA) kapsamında emirler

AB’de hizmet sunulması halinde; AB otoritelerinin emirleri ve iletişim noktaları için bkz. DSA Uyum Sayfası.

10.3 Sınır ötesi veri aktarımı ve barındırma

WIN’in teknik altyapısında, verilerin hangi ülkelerde barındırıldığı ve hangi tedarikçilerin kullanıldığı; aktarım ve yanıt süreçlerini etkileyebilir. Türkiye’de, sınır ötesi aktarım senaryoları bakımından KVKK ve Kişisel Verilerin Yurt Dışına Aktarılması Yönetmeliği çerçevesi de dikkate alınır. Bu hususlara ilişkin genel yaklaşım için bkz. Gizlilik Politikası.

Bölüm 11: Güvenlik, kayıt tutma ve denetim

Bu bölüm, taleplerin ve yanıtların güvenli şekilde yönetilmesi, kayıt altına alınması ve denetime hazır tutulması yaklaşımını açıklar.

11.1 Erişim ve yetkilendirme

Kolluk talepleri; yalnızca bu konuda yetkilendirilmiş hukuk/uyum ve güvenlik ekiplerinin kontrolünde işlenir. Erişimler kayıt altına alınır.

11.2 Güvenli aktarım

Yanıtların iletim yöntemi henüz kesinleşmiş bir teknik standartta olmamakla birlikte; şifreli dosyalar, güvenli linkler veya tebligat sistemleri üzerinden gerekli güvenlik önlemleri alınarak iletilmesi esas alınır.

11.3 Kayıt saklama (talep kayıtları)

Talep kayıtları ve yanıt meta verileri (örn. tarih, kapsam, teslim yöntemi), hesap verebilirlik ve denetim amaçlarıyla, ilgili saklama politikalarına uygun süre boyunca saklanır.

Bölüm 12: Değişiklikler ve iletişim

Bu bölüm, rehberin güncellenmesi ve resmî makamların iletişim için izlemesi gereken yolu açıklar.

WIN; mevzuat değişiklikleri, teknik mimari değişiklikleri veya operasyonel ihtiyaçlar nedeniyle bu rehberi güncelleyebilir. Güncel sürüm, uygulama içi "Yasal" alanında ve whoisnextapp.com (opens in a new tab) adresinde yayımlanır.

Resmî makamlar, taleplerini Bölüm 4’te belirtilen resmî kanallardan iletmelidir.

Fikri Mülkiyet Politikası Güvenlik Açığı Bildirimi