Verilerinizi nasıl topladığımızı, işlediğimizi ve koruduğumuzu şeffaf bir şekilde paylaşıyoruz.
1. Veri Sorumlusu
Veri Sorumlusu Bilgileri
NormSignal Teknoloji — İstanbul, Türkiye
İletişim: privacy@normsignal.com
İşvereniniz veri sorumlusu, NormSignal veri işleyen (data processor) konumundadır
Aydınlatmanın Amacı
Bu metin, 6698 sayılı KVKK'nın 10. maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında hazırlanmıştır
Kişisel verilerinizin işlenmesine ilişkin sizi bilgilendirmek amacıyla sunulmaktadır
2. İşlenen Kişisel Veriler
Simülasyon Verileri
Karar seçimleri (işbirliği / rekabet)
Karar süreleri (milisaniye cinsinden)
Tur bilgisi ve oturum tamamlanma durumu
Saklama: Pseudonymize (gerçek kimlikten ayrı, takma ID ile)
Kimlik ve İletişim Verileri
Ad, soyad, kurumsal e-posta adresi
Saklama: Şifreli (encrypted at rest)
Teknik Veriler
Oturum bilgisi, cihaz türü, tarayıcı bilgisi
Saklama: Anonim
Rıza Verileri
Rıza tarihi, versiyonu, rıza yöntemi
Saklama: Şifreli
Toplanmayan Veriler
IP adresi oyun verileriyle eşleştirilmez
Kişilik testi, psikolojik profil veya performans notu üretilmez
Bireysel davranışsal etiketler oluşturulmaz
Biyometrik veri toplanmaz
Konum verisi toplanmaz
Cihaz parmak izi alınmaz
3. Hukuki Dayanak
KVKK Kapsamında (Türkiye)
Meşru menfaat (KVKK m. 5/2-f): İşvereninizin organizasyonel gelişim amacıyla takım düzeyinde istatistiksel analiz yapması
İhtiyari açık rıza (KVKK m. 5/1): Meşru menfaate ek güvence olarak alınmaktadır
Rıza verilmemesi veya geri çekilmesi halinde hiçbir olumsuz sonuç doğmaz
Rızanızı herhangi bir zamanda geri çekebilirsiniz
GDPR Kapsamında (AB)
Meşru menfaat (GDPR m. 6(1)(f)): Organizasyonel gelişim amacıyla takım düzeyinde analiz
İşveren-çalışan ilişkisinde rıza serbestçe verilemeyebileceğinden (EDPB kılavuzları), meşru menfaat birincil hukuki dayanak olarak kullanılmaktadır
Katılımınız ek güvence olarak tamamen gönüllüdür
Orantılılık Güvenceleri
Tüm simülasyon verileri toplama anında pseudonymize edilir
Bireysel skor, etiket veya profil üretilmez ve işverene iletilmez
Raporlar yalnızca takım düzeyinde istatistiksel trendler içerir (minimum grup: 5 kişi)
KVKK m. 22 / GDPR m. 22 kapsamında otomatik karar mekanizması bulunmamaktadır
4. Veri İşleme
Pseudonymization
Tüm oyun verileri HMAC-SHA256 ile pseudonymize edilir
Gerçek kimlikler oyun kararlarıyla eşleştirilemez
HR ekipleri yalnızca takım agregasyonlarını görür
Minimum n=5 Kuralı
5 kişiden az katılımcı olan gruplarda metrik üretilmez
Bu kural bireysel çıkarım yapılmasını engeller
İstisna yoktur, teknik olarak zorlanır
5. Verilerin Aktarımı
Aktarım Yapılan Taraflar
İşvereniniz: Yalnızca takım bazlı özet rapor (bireysel veri içermez)
Google Cloud / Firebase: Veri barındırma ve işleme (şifreli + pseudonymize)
Yurt Dışı Veri Aktarımı
Verileriniz Google Cloud altyapısında işlenmektedir
ABD'ye veri aktarımı, Avrupa Komisyonu onaylı Standart Sözleşme Hükümleri (SCC 2021/914) çerçevesinde gerçekleştirilmektedir
KVKK m. 9 kapsamında yurt dışına veri aktarımı için açık rızanız alınmaktadır
Başka hiçbir üçüncü taraf kişisel verilerinizi almaz
6. Veri Saklama Süreleri
Saklama Politikası
Kimlik ve iletişim verileri: Demo bitiminden itibaren 90 gün, ardından silinir
Pseudonymize simülasyon verileri: Demo bitiminden itibaren 12 ay (istatistiksel analiz)
Rıza kayıtları: 3 yıl (yasal yükümlülük)
Sözleşme sona erdiğinde tüm veriler otomatik silinir
Silme Talebi Üzerine
Kimlik verileri 30 gün içinde kalıcı olarak silinir
Pseudonymize veriler 90 gün içinde kalıcı olarak silinir
7. Haklarınız
KVKK m. 11 Kapsamında
Kişisel verilerinizin işlenip işlenmediğini öğrenme
İşlenmişse buna ilişkin bilgi talep etme
İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
Eksik veya yanlış işlenmiş olması halinde düzeltilmesini isteme
KVKK m. 7 çerçevesinde silinmesini veya yok edilmesini isteme
Düzeltme/silme işlemlerinin aktarılan üçüncü kişilere bildirilmesini isteme
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme
Kanuna aykırı işleme sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme
GDPR Kapsamında (AB)
Erişim hakkı (m. 15)
Düzeltme hakkı (m. 16)
Silme hakkı — unutulma hakkı (m. 17)
İşlemeyi kısıtlama hakkı (m. 18)
Veri taşınabilirliği hakkı (m. 20)
Meşru menfaate dayalı işlemeye itiraz hakkı (m. 21)
Rızayı geri çekme hakkı (m. 7/3)
Ulusal denetim makamına şikayette bulunma hakkı
Talep Süreci
privacy@normsignal.com adresine yazılı başvuruda bulunabilirsiniz
Başvurunuz en geç 30 gün içinde yanıtlanacaktır
Kimlik doğrulaması gerekebilir
Otomatik Karar
NormSignal platformu bireysel karar, skor veya etiket üretmez ve işverene iletmez
İşlenen veriler yalnızca takım düzeyinde istatistiksel etkileşimli trendlerdir
Herhangi bir otomatik karar mekanizması (KVKK m. 22 / GDPR m. 22) bulunmamaktadır
8. Gönüllü Katılım ve Çekilme
Gönüllü Katılım
Bu programa katılım tamamen gönüllüdür
Katılmama veya herhangi bir aşamada çekilme hakkınız saklıdır
Katılmama veya çekilme durumunda hiçbir olumsuz iş sonucu doğmaz
Çekilme talebinizi platform üzerinden veya privacy@normsignal.com adresine ileterek yapabilirsiniz
9. Güvenlik Önlemleri
Teknik Önlemler
Uçtan uca şifreleme (TLS 1.3)
Veritabanı düzeyinde şifreleme (AES-256)
Düzenli güvenlik denetimleri
Erişim logları ve denetim izi
Organizasyonel Önlemler
Minimum yetki ilkesi (principle of least privilege)
Çalışan gizlilik eğitimleri
Veri ihlali müdahale planı
Yıllık güvenlik değerlendirmesi
10. Çerez Politikası
Kullanılan Çerezler
Zorunlu çerezler: Oturum yönetimi ve güvenlik
Analitik çerezler: Anonim kullanım istatistikleri (onay ile)
Üçüncü taraf çerezler kullanılmaz
Reklam çerezleri kullanılmaz
Son güncelleme: Şubat 2026 | 6698 sayılı KVKK m.10 ve GDPR m.13-14 uyarınca hazırlanmıştır. Sorularınız için: privacy@normsignal.com