Is Road to Headliner really free?

Yes, 100% free with no ads or pay-to-win mechanics. All players compete on equal footing. We believe the best game is one where skill and strategy determine success, not your wallet.

How long is a season?

Each season lasts 12 real-world weeks. After a season ends, there's a brief offseason period, then you start fresh with a new band while keeping your awards, prestige, and account history.

Can I play on mobile?

Road to Headliner is designed primarily for PC/desktop browsers. The interface works reasonably on tablets, but the complex management screens are best experienced on a larger screen. A dedicated mobile experience may come in the future.

Yes! You share the game world with other players in real-time. Compete on leaderboards, enter festival brackets, collaborate on features, and declare rivalries with other bands.

What is MT (Management Time)?

MT is your action currency — think of it as your manager's energy. It regenerates 1 per hour up to a maximum of 48. Every action like booking shows, rehearsing, or recording costs MT, so planning your time wisely is key to success.

Gizlilik Politikası | Road to Headliner

1. Biz Kimiz

Road to Headliner, Avrupa Birliği'nde bulunan bağımsız bir geliştirici tarafından işletilen çevrimiçi çok oyunculu bir grup yönetim oyunudur. Bu hizmet aracılığıyla işlenen kişisel verilerin veri denetleyicisiyiz ve bu, 2016/679 sayılı Yönetmelik (EU) (Genel Veri Koruma Yönetmeliği, "GDPR") kapsamında geçerlidir. Oyun sunucularımız ve veritabanımız, Almanya'nın Falkenstein kentindeki Hetzner Cloud'da barındırılmaktadır (EU). Tüm gizlilik talepleri, veri sahibi talepleri veya şikayetler için bizimle [email protected] adresinden iletişime geçin.

2. Hangi Verileri Topluyoruz

Hesap verileri: e-posta adresi, görüntü adı, hashlenmiş şifre
Tercih verileri: dil, saat dilimi
Teknik veriler: IP adresi, kullanıcı ajanı (tarayıcı), oturum tanımlayıcıları
Oyun verileri: grup adı, oyun eylemleri, istatistikler, sezon puanları
İletişim verileri: doğrudan mesajlar, forum gönderileri (kullanıcı tarafından oluşturulan içerik)
Güvenlik verileri: kimlik doğrulama girişimleri, çoklu hesap tespit sinyalleri

3. Verilerinizi Nasıl Kullanıyoruz

Oyun hizmetini sağlama ve işletme
Güvenlik, hile önleme ve dolandırıcılık önleme
Çerez kullanmadan ürün analitiği PostHog EU bulut aracılığıyla (sadece bellek, çerez veya yerel depolama yok).
Kendi barındırdığımız e-posta sunucumuz aracılığıyla gönderilen işlem e-postaları (doğrulama kodları, şifre sıfırlama, güvenlik uyarıları).

4. İşleme İçin Hukuki Temeller (GDPR)

Sözleşme ifası (Madde 6(1)(b)): Hesap yönetimi, oyun verileri, iletişimler
Meşru menfaat (Madde 6(1)(f)): Güvenlik izleme, hile önleme, analitik
Rıza (Madde 6(1)(a)): Sadece belirli gelecekteki özellikler gerektiriyorsa

5. Veri Saklama

Kişisel verileri, toplandığı amaçlar için gerekli olduğu sürece saklıyoruz ve bu, saklama sınırlaması ilkesine (Madde 5(1)(e) GDPR) uygun olarak yapılmaktadır. Aşağıdaki saklama süreleri, günlük planlı temizlik aracılığıyla otomatik olarak uygulanmaktadır:

Aktif hesaplar: hesabınız var olduğu ve aktif olduğu sürece veriler saklanır
Kimlik doğrulama girişimleri: 90 gün sonra otomatik olarak silinir
Oturumlar: maksimum 30 gün, süresi dolmuş oturumlar günlük olarak temizlenir
İstek ve güvenlik günlükleri: 90 gün sonra otomatik olarak silinir
Yönetici denetim günlükleri: düzenleyici uyum için 1 yıl saklanır, ardından silinir
Bildirimler: okunan bildirimler 90 gün sonra silinir, okunmamış olanlar 180 gün sonra silinir
Güvenlik uyarıları: çözülen uyarılar 180 gün sonra silinir, açık uyarılar 365 gün sonra silinir
Oyun sistem günlükleri: 30 gün sonra silinir. Hesaplama izleri ve RNG denetim kayıtları: 90 gün sonra silinir
Doğrudan mesajlar: okunmuş mesajlar 180 gün sonra silinir, okunmamış mesajlar 365 gün sonra silinir
Oyuncu eylem günlükleri: 30 gün sonra silinir
Durum anlık görüntüleri ve haftalık anlık görüntüler: 365 gün sonra silinir
Oyuncu raporları: çözülen veya reddedilen raporlar 180 gün sonra silinir
Süresi dolmuş veya kullanılmış doğrulama ve şifre sıfırlama jetonları: 7 gün sonra silinir
Silinmiş hesaplar: kişisel veriler hesap silinmesi anında anonimleştirilir. Oyun kayıtları (grup sıralamaları, grafik geçmişi) rekabetçi bütünlük için takma adlı biçimde korunur
Yedeklemeler: kişisel veriler silinmeden sonraki 30 gün boyunca şifreli yedeklerde kalabilir. Yedeklemeler dinlenme halinde şifrelenir, erişim kontrolü vardır ve saklama süresi içinde otomatik olarak silinir. Bu, Recital 65 GDPR altında açıklanan kabul edilen bir sınırlamadır

6. Haklarınız

GDPR (Maddeler 15-22) uyarınca, kişisel verilerinizle ilgili aşağıdaki haklara sahipsiniz. Bu haklardan herhangi birini kullanmak için, [email protected] adresine "Veri Sahibi Talebi" konu başlığıyla e-posta gönderin ve kullanmak istediğiniz hakkı belirtin. Talebinizi işlemeye başlamadan önce kimliğinizi doğrulayacağız. Talebinize 30 gün içinde (Madde 12(3) GDPR) yanıt vereceğiz, karmaşık talepler için 60 gün daha uzatılabilir, bu durumda uzatmayı ilk 30 günlük süre içinde size bildireceğiz.

Erişim Hakkı (Madde 15): Hakkınızda sahip olduğumuz tüm kişisel verilerin bir kopyasını talep edin. Ayrıca, ayarlar > Veri Dışa Aktar seçeneği aracılığıyla veya giriş yaparken /api/v1/auth/data-export adresine GET talebi göndererek verilerinizi makine okunabilir JSON formatında istediğiniz zaman indirebilirsiniz. Dışa aktarma, hesap verileri, oyun verileri, mesajlar, forum gönderileri ve işlem geçmişini içerir.
Silme Hakkı (Madde 17): Hesabınızın kalıcı olarak silinmesini ve tüm kişisel verilerin anonimleştirilmesini talep edin. Bunu istediğiniz zaman ayarlar > Hesabı Sil seçeneği aracılığıyla kendiniz yapabilirsiniz (şifre onayı gerektirir). Kişisel verileriniz hemen anonimleştirilir. Oyun kayıtları (grup sıralamaları, grafik girişleri) rekabetçi bütünlük için takma adlı biçimde korunur. Lütfen dikkat: anonimleştirilmiş veriler şifreli yedeklerde 30 güne kadar kalabilir.
Düzeltme Hakkı (Madde 16): Hatalı kişisel verilerin düzeltilmesini talep edin. Profil bilgilerinizi hesap ayarlarınızdan güncelleyebilirsiniz. UI aracılığıyla değiştirilemeyen veriler (örneğin e-posta adresiniz gibi) için [email protected] adresiyle iletişime geçin.
Veri Taşınabilirliği Hakkı (Madde 20): Kişisel verilerinizi yapılandırılmış, yaygın olarak kullanılan, makine okunabilir bir formatta (JSON) alın. Yukarıda açıklanan veri dışa aktarma özelliğini kullanın veya e-posta ile bir kopyasını talep edin.
İtiraz Hakkı (Madde 21): Meşru menfaatlerimize (Madde 6(1)(f)) dayanan işleme itiraz etme hakkı, hile önleme profillemesi ve güvenlik izleme dahil. İtiraz ettiğiniz belirli işleme ile ilgili olarak [email protected] adresine e-posta gönderin. Menfaatlerinizi aşan ikna edici meşru gerekçeler sunmadığımız sürece işlemi durduracağız.
Kısıtlama Hakkı (Madde 18): Verilerinizin doğruluğunu doğrularken, itirazınızı değerlendirirken veya meşru gerekçelerimizin sizin gerekçelerinizi aşıp aşmadığını belirlerken işlemenin geçici olarak kısıtlanmasını talep edin. Kısıtlama süresince ilgili verileri saklayacağız ancak aktif olarak işlemeyeceğiz. Kısıtlama talep etmek için [email protected] adresine e-posta gönderin.
Rızayı Geri Alma Hakkı (Madde 7(3)): İşleme rızaya dayalıysa, istediğiniz zaman geri alabilirsiniz. Geri alma, geri almadan önce gerçekleştirilen işlemenin yasallığını etkilemez. Şu anda tüm işlemler sözleşme ifası veya meşru menfaatlere dayanmaktadır, rızaya değil.
Şikayette Bulunma Hakkı (Madde 77): Bir denetim otoritesine şikayette bulunma hakkına sahipsiniz. Operasyonlarımız için yetkili otorite, Slovakya Cumhuriyeti Kişisel Verilerin Korunması Ofisi (Urad na ochranu osobnych udajov Slovenskej republiky), Hranicna 12, 820 07 Bratislava, Slovakya (https://dataprotection.gov.sk). Ayrıca, ikametgahınızın veya çalışma yerinizin EU Üye Devletindeki denetim otoritesi ile de iletişime geçebilirsiniz.

7. Veri Paylaşımı & Alt İşlemciler

Bu hizmeti işletmek için aşağıdaki alt işlemcileri kullanıyoruz. Her alt işlemci, Veri İşleme Sözleşmesi (Madde 28 GDPR) kapsamında çalışmakta ve yalnızca amacına yönelik olarak kesinlikle gerekli verileri işlemektedir:

Hetzner Cloud (Hetzner Online GmbH, Almanya): Altyapı barındırma ve şifreli yedekleme depolama. Veri kategorileri: tüm veritabanı içerikleri (hesap verileri, oyun verileri, iletişimler). Konum: Falkenstein veri merkezi, Almanya -- uluslararası transfer yok. DPA: Hetzner standart DPA, Madde 28 GDPR (https://docs.hetzner.com/general/general-terms-and-conditions/data-privacy-faq/).
Cloudflare (Cloudflare, Inc., US ile EU kenar düğümleri): CDN, DDoS koruması ve web uygulama güvenlik duvarı. Veri kategorileri: IP adresleri, HTTP istek başlıkları, istek URL'leri. Transfer mekanizması: EU-US Veri Gizliliği Çerçevesi (DPF, Madde 45 yeterlilik kararı) ve Standart Sözleşme Hükümleri (SCC'ler, Modül 2: Kontrolcüden İşlemciye, Madde 46(2)(c)). DPA: Cloudflare Müşteri DPA (https://www.cloudflare.com/cloudflare-customer-dpa/).
İşlemelere dayalı e-posta teslimatı: doğrulama e-postaları, şifre sıfırlamaları ve güvenlik bildirimleri şu anda uygulama ile aynı Hetzner barındırma altyapısında kendi barındırdığımız SMTP/Postfix sunucusu üzerinden gönderilmektedir. E-posta adresleri ve görüntüleme adları yalnızca mesaj teslimatı için işlenmektedir.
PostHog Cloud (EU bölgesi): Ürün analitiği ve genel site CTA analitiği. Veri kategorileri: takma ad kullanıcı kimlikleri, grup kimlikleri, sezon kimlikleri, sayfa yolları ve açık olay özellikleri. İstemci depolama devre dışı bırakılmıştır (`persistence: memory`), bu nedenle PostHog tarayıcıda analitik çerezler veya localStorage tanımlayıcıları oluşturmaz. DPA: https://posthog.com/dpa.

Kişisel verilerinizi pazarlama, reklam veya profil oluşturma amaçları için üçüncü şahıslarla satmıyor, kiralamıyor, takas etmiyor veya paylaşmıyoruz. Veriler yalnızca yukarıda listelenen alt işleyicilerle, yalnızca belirtilen amaçlar için paylaşılmaktadır.

8. Uluslararası Veri Aktarımları

Verileriniz esasen Almanya'da (Hetzner Cloud, Falkenstein veri merkezi) saklanmaktadır. Cloudflare, HTTP istek verilerini EU kenar düğümlerinde işler; herhangi bir non-EU işleme için Cloudflare, EU-US Veri Gizliliği Çerçevesi'ne (DPF, Madde 45 yeterlilik kararı) katılmakta ve Ek Güvence olarak Standart Sözleşme Hükümleri (SCC'ler, Modül 2, Madde 46(2)(c)) sunmaktadır. Ürün analitiği, PostHog'un EU bulut bölgesinde çerezsiz bellek modunda işlenmektedir. İşlemelere dayalı e-posta teslimatı şu anda Hetzner barındırma altyapısında kendi barındırdığımız SMTP/Postfix sunucusunu kullanmaktadır, bu nedenle üretimde ayrı bir üçüncü ülke e-posta işleyicisi aktif değildir. Taşıma halindeki tüm veriler TLS 1.2+ üzerinden şifrelenmektedir. Hiçbir kişisel veri, EU yeterlilik kararı veya uygun güvenlik önlemleri (Madde 46 GDPR) olmayan ülkelere aktarılmamaktadır.

9. Güvenlik Önlemleri

Taşıma sırasında şifreleme (TLS 1.2+)
Şifreler Argon2id ile hashlenmiştir (sektörde lider algoritma)
CSRF koruması ile HttpOnly oturum çerezleri
Rol tabanlı erişim kontrolleri ve kapsamlı denetim kaydı

10. Çerezler & Yerel Depolama

Yalnızca ePrivacy Direktifi'nde tanımlandığı gibi kesinlikle gerekli ve işlevsel çerezler kullanıyoruz (Madde 5(3), Direktif 2002/58/EC). Bu çerezler, talep ettiğiniz hizmeti sağlamak için gerekli olduğundan, bu çerezler için onay gerekmemektedir. İzleme, reklam veya üçüncü taraf analitik çerezleri kullanmıyoruz:

access_token (httpOnly, Güvenli, SameSite=Strict, 1 saat): Kimlik doğrulama oturum çerezi. Giriş oturumunuzu sürdürmek için kesinlikle gereklidir.
refresh_token (httpOnly, Güvenli, SameSite=Strict, 30 gün): Oturum yenileme çerezi. Kesinlikle sorunsuz yeniden kimlik doğrulama için gereklidir.
rth-lang (fonksiyonel): Dil tercihinizi saklar. Fonksiyonel çerez, seçtiğiniz dilde hizmet sağlamak için gerekli olduğundan ePrivacy Madde 5(3) kapsamında muaf tutulur.
__cf_bm (Cloudflare, üçüncü taraf, oturum süresi): Bot yönetim çerezi. DDoS koruması ve güvenlik için kesinlikle gereklidir.
Analitik: Ürün ve genel site analitiği için PostHog'u yalnızca bellek modunda kullanıyoruz. Bu yapılandırmada PostHog analitik çerezleri veya tarayıcıda localStorage tanımlayıcıları ayarlamaz.
Yerel depolama: Tarayıcınızın yerel depolamasında kişisel olmayan UI tercihlerini (çerez bildirimi kapatma, eğitim ilerlemesi, UI ipuçları) saklıyoruz. Bunlar kişisel veri içermez.

11. Çocukların Gizliliği ve Yaş Doğrulama

Road to Headliner, kullanıcıların en az 16 yaşında olmalarını gerektirir; bu, GDPR Madde 8'e (bilgi toplumu hizmetleri ile ilgili bir çocuğun rızasına uygulanabilir koşullar) uygundur. Kayıt sırasında, tüm kullanıcılar zorunlu yaş doğrulama onay kutusunu işaretleyerek en az 16 yaşında olduklarını onaylamalıdır. Bu onay, denetlenebilir bir kanıt olarak kaydedilir. 16 yaşından küçük çocuklardan kişisel veri toplamadığımızı veya işlemediğimizi bilerek kabul ediyoruz. Eğer bir kullanıcının 16 yaşından küçük olduğunu öğrenirsek, hesaplarını ve tüm ilişkili kişisel verilerini derhal sileceğiz. Eğer 16 yaşından küçük birinin hesap oluşturduğunu düşünüyorsanız, lütfen [email protected] adresiyle bizimle iletişime geçin.

12. Hile Önleme ve Otomatik Profil Oluşturma

Adil oyunu sürdürmek için, potansiyel çoklu hesap kullanımını tespit etmek amacıyla otomatik IP tabanlı korelasyon kullanıyoruz. Bu sistem, hesaplar arasında IP adreslerini ve giriş desenlerini karşılaştırır. Tespit uyarıları, herhangi bir işlem yapılmadan önce bir insan yöneticisi tarafından gözden geçirilir -- hiçbir hesap yalnızca otomatik tespit temelinde otomatik olarak yasaklanmaz veya ceza verilmez. Bu işlem, oyun bütünlüğünü koruma konusundaki meşru menfaatimize dayanmaktadır (Madde 6(1)(f) GDPR). Bu işleme itiraz etmek isterseniz, [email protected] adresiyle bizimle iletişime geçebilirsiniz.

13. Veri İhlali Bildirimi

Haklarınıza ve özgürlüklerinize risk oluşturan bir kişisel veri ihlali durumunda, ihlali öğrendikten sonra 72 saat içinde yetkili denetim otoritesine bildireceğiz (Madde 33 GDPR). İhlalin sizin için yüksek bir risk oluşturması muhtemel ise, size de gecikmeksizin e-posta veya oyun içi bildirim yoluyla bildireceğiz (Madde 34 GDPR).

14. Veri Koruma Görevlisi ve Denetim Otoritesi

Küçük ölçekli bir veri kontrolörü olarak, özel veri kategorilerinin büyük ölçekli işlenmesini veya büyük ölçekli sistematik izlemeyi gerçekleştirmediğimiz için, 37(1) GDPR maddesi uyarınca Veri Koruma Görevlisi atama yükümlülüğünden muafız. Tüm gizlilik talepleri, veri sahibi talepleri veya şikayetler için doğrudan [email protected] adresiyle bizimle iletişime geçin. Bu hizmet için yetkili denetim otoritesi, Slovakya Cumhuriyeti Kişisel Verilerin Korunması Ofisi (Urad na ochranu osobnych udajov Slovenskej republiky), Hranicna 12, 820 07 Bratislava, Slovakya, web sitesi: https://dataprotection.gov.sk.. Ayrıca, ikametgahınızın veya çalışma yerinizin EU Üye Devletindeki denetim otoritesine şikayette bulunma hakkına sahipsiniz (Art. 77 GDPR).

15. Bu Politika Üzerine Değişiklikler

Bu Gizlilik Politikasını zaman zaman güncelleyebiliriz. Maddi değişiklikler, oyun içi bildirim veya e-posta ile iletilecektir. Değişikliklerden sonra hizmetin devamlı kullanımı, güncellenmiş politikayı kabul ettiğiniz anlamına gelir.

16. İletişim

Gizlilik talepleri, veri sahibi erişim talepleri (SAR), veri silme talepleri, düzeltme talepleri veya şikayetler için bizimle [email protected] adresinden iletişime geçin. Daha hızlı işlem için konu satırında "Veri Sahibi Talebi" ifadesini ekleyin. Alındığını 5 iş günü içinde onaylamayı ve tüm veri sahibi taleplerine 30 gün içinde maddi olarak yanıt vermeyi hedefliyoruz (Art. 12(3) GDPR). Eğer bir talep karmaşık ise veya yüksek hacimde talep alırsak, yanıt süresini 60 güne kadar uzatabiliriz; bu durumda, ilk 30 günlük süre içinde sizi bilgilendireceğiz.