Gizlilik Politikası

Djambar AI FZCO Dubai Silicon Oasis, Dubai, Birleşik Arap Emirlikleri E-posta: privacy@myumrah.ai Hacı verileri için müşteri seyahat acentesi veri sorumlusudur ve Djambar AI FZCO veri işleyici olarak görev yapar.

Acente verileri: ad, adres, ticari sicil, e-posta, telefon, banka bilgileri, topluluk içi KDV numarası. Hacı verileri (acente tarafından platform aracılığıyla toplanır): • Kimlik: ad, doğum tarihi, uyruk • Belgeler: pasaport numarası, vize (AES-256 şifreli) • Sağlık: seyahat için gerekli tıbbi bilgiler (AES-256 şifreli) • İletişim: e-posta, telefon, acil durum irtibat kişisi • Seyahat: tarihler, paket, tercihler Ödeme verileri: banka kartı türü (Visa, Mastercard, Amex), kartın son dört hanesi, Stripe işlem tanımlayıcısı. Tam kart numaraları, güvenlik kodları (CVV/CVC) ve son kullanma tarihleri MyUmrah.ai tarafından hiçbir zaman toplanmaz, işlenmez veya saklanmaz. Bu veriler yalnızca PCI DSS Seviye 1 sertifikalı sağlayıcı Stripe tarafından işlenir. Gezinme verileri: ziyaret edilen sayfalar, oturum süresi (Umami Analytics ile, çerez yok, kişisel veri yok).

• Acentelerle ticari ilişkinin yönetimi • Platform hizmetlerinin sağlanması (paket yönetimi, CRM, mesajlaşma) • Mevzuat uyumluluğu (GDPR, PDPL) vDPO modülü aracılığıyla • Platform iyileştirme (anonimleştirilmiş analizler) • Platform güvenliği (dolandırıcılık tespiti, denetim izi)

• Sözleşmenin ifası (Md. 6.1.b GDPR): abone olunan hizmetlerin sağlanması • Meşru menfaat (Md. 6.1.f GDPR): güvenlik, hizmet iyileştirme • Yasal yükümlülük (Md. 6.1.c GDPR): vergisel ve düzenleyici uyumluluk • Açık rıza (Md. 9 GDPR): sağlık verileri ve dini inançlar

Verilere yalnızca aşağıdakiler erişebilir: • İlgili seyahat acentesi (RLS izolasyonu aracılığıyla) • Djambar AI FZCO teknik ekibi (destek, bakım) • Teknik alt işlemcilerimiz: Supabase (barındırma), Vercel (CDN), Stripe (ödeme), Anthropic (AI) Her alt işlemci, GDPR'nin 28. Maddesine uygun bir Veri İşleme Sözleşmesi ile bağlıdır.

Veriler aşağıdaki ülkelerde işlenebilir: • Avrupa Birliği (Supabase EU) • Amerika Birleşik Devletleri (Vercel, Stripe, Anthropic) - Standart Sözleşme Maddeleri (SCC) yürürlükte • Birleşik Arap Emirlikleri (Djambar AI genel merkezi) Tüm aktarımlar, GDPR'nin V. Bölümü ve PDPL gereksinimleri uyarınca uygun güvencelerle korunmaktadır.

• Kritik veriler (pasaport, sağlık): seyahatten 6 ay sonra otomatik silme • Hassas veriler (mali, acil durum irtibat kişileri): en fazla 3 yıl • Standart veriler (kimlik, tercihler): sözleşme süresi + 1 yıl • Faturalama verileri: 10 yıl (yasal yükümlülük) • Analizler: sürekli anonimleştirilir, kişisel veri saklanmaz

GDPR (15 ila 22. Maddeler) ve PDPL kapsamında aşağıdaki haklara sahipsiniz: • Erişim hakkı • Düzeltme hakkı • Silme hakkı ("unutulma hakkı") • İşlemenin kısıtlanmasını talep etme hakkı • Veri taşınabilirliği hakkı • İtiraz hakkı Bu hakları kullanmak için: privacy@myumrah.ai Yanıt süresi: en fazla 30 gün. Ayrıca CNIL (Fransa), SDAIA (Suudi Arabistan) veya yetkili herhangi bir veri koruma otoritesine şikayette bulunabilirsiniz.

MyUmrah.ai, çerez kullanmayan ve kişisel veri toplamayan gizlilik dostu bir analiz çözümü olan Umami Analytics kullanır. Ödeme sağlayıcımız Stripe, ödeme işlemi sırasında dolandırıcılığı önleme ve işlem güvenliği için kesinlikle gerekli çerezler kullanabilir. Bu çerezler, 2002/58/AT Direktifi'nin (eGizlilik Direktifi) 5(3). maddesi uyarınca onay gerekliliğinden muaftır. Bu işlevsel çerezler dışında, onay banner'ı gerekli değildir.

Aşağıdaki önlemleri uyguluyoruz: • Durağan hassas verilerin AES-256 şifrelemesi • Tüm iletişimler için TLS 1.3 • Acente başına veri izolasyonu için Row Level Security (RLS) • MFA kimlik doğrulaması mevcut • Hassas verilere tüm erişimlerin denetim izi • Düzenli güvenlik testleri • NIST Siber Güvenlik Çerçevesi ve CIS Benchmarks Level 1 uyumluluğu

Kişisel Verilerin Korunması Kanunu (PDPL) uyarınca: • SDAIA kaydı: önceden doldurulmuş dokümantasyon mevcut • Hassas veriler için çift onay (sağlık, din) • Küçüklerin verileri için ebeveyn onayı gerekli • 72 saat içinde SDAIA'ya ihlal bildirimi • PDPL'nin 18. Maddesi uyarınca sınırlı saklama süresi

Bu politikayı değiştirme hakkımızı saklı tutarız. Herhangi bir önemli değişiklik, yürürlüğe girmeden en az 30 gün önce Müşterilere e-posta ile bildirilecektir.

Bu politika hakkında sorularınız için: Djambar AI FZCO E-posta: privacy@myumrah.ai Adres: Dubai Silicon Oasis, Dubai, BAE