1. Bir bakışta
Thanxful, kişisel bir minnettarlık günlüğü tutmanızı ve tercih ederseniz yazdıklarınız hakkında yapay zekâ destekli içgörüler almanızı sağlayan bir uygulamadır. Günlüğünüz size aittir. Yazdıklarınıza yalnızca Hizmeti işletmek için dokunur, asla satmaz, reklam için kullanmaz ve hiçbir yapay zekâ modelinin eğitiminde kullandırmayız.
| Konu | Kısa cevap |
|---|---|
| Veri Sorumlusu | Kadir Alan — şahıs şirketi, Türkiye. İletişim: [email protected]. |
| Hangi veriler işleniyor? | E-posta, ad, profil fotoğrafı (isteğe bağlı), günlük girişleriniz, ruh hâli, cihaz ve abonelik bilgileri. |
| Neden? | Hizmeti sunmak, abonelik yönetmek, hatırlatma bildirimleri göndermek ve — yalnızca siz açık rıza verdiyseniz — girişlerinizden yapay zekâ destekli içgörüler üretmek. |
| Kimlerle paylaşılıyor? | Hizmet sağlayıcılarımız: Google Firebase (altyapı), OpenAI ve Google Gemini (YZ), RevenueCat (abonelik), Apple (giriş, bildirim, güvenlik). Verileriniz satılmaz ya da kiralanmaz. |
| Nerede saklanıyor? | Hesabınız ve günlüğünüz Avrupa Birliği'nde (Google Cloud europe-west1, Belçika). Günlükleriniz yalnızca siz YZ özelliğini açarsanız ABD'ye aktarılır. |
| Ne kadar süreyle? | Hesabınızı silene kadar. Sildiğinizde, verileriniz aktif sistemlerimizden derhal kaldırılır; yedekler ve kayıtlardan da 30 gün içinde silinir. |
| Haklarınız nelerdir? | Erişim, düzeltme, silme, taşınabilirlik, itiraz ve rıza geri çekme. [email protected] adresine Gizlilik konu başlığıyla yazın; 30 gün içinde yanıtlarız. |
2. Veri Sorumlusu Kimliği
Thanxful uygulaması, Türkiye'de şahıs şirketi (şahıs işletmesi) sıfatıyla faaliyet gösteren Kadir Alan tarafından sunulmaktadır.
| Veri Sorumlusu | Kadir Alan — şahıs şirketi, Türkiye |
| İletişim | [email protected] (konu başlığına Gizlilik yazmanız, talebinizin doğru yönlendirilmesine yardımcı olur) |
Şahıs şirketi olarak, KVKK'nın Veri Sorumluları Sicili (VERBİS) kayıt eşiğinin ve GDPR 37. madde kapsamındaki Veri Koruma Görevlisi atama eşiğinin altında kaldığımızdan VERBİS kaydı ve DPO ataması yükümlülüğümüz bulunmamaktadır. Bu durumun değişmesi hâlinde işbu politika güncellenir. Fiziki tebligat adresi talep etmek için [email protected] üzerinden bize yazabilirsiniz; tebligat adresi talebinize istinaden paylaşılır.
3. Kapsam
İşbu politika aşağıdakileri kapsar:
- Apple App Store'da yayımlanan Thanxful iOS uygulaması (
com.aota.thanxfulve betacom.aota.thanxful.beta). thanxful.appinternet sitesi (tanıtım sayfaları, işbu hukuki metinler ve bağlantılı içerik).
Uygulama veya site içerisinden yönlendirildiğiniz üçüncü taraf hizmetlerin (ör. Apple App Store, OpenAI, RevenueCat) gizlilik uygulamaları, ilgili hizmetin kendi politikalarına tabidir; bu hususlarda Veri Sorumlusu'nun sorumluluğu bulunmamaktadır.
4. İşlenen Kişisel Veri Kategorileri
Yalnızca Hizmet'in sunumu için gerekli olan kişisel veriler işlenir. Veriler altı kategoride toplanır:
4.1 Kimlik verileri
Hesap oluşturduğunuzda aşağıdaki veriler işlenir:
- E-posta adresi (zorunludur).
- Ad/görünen ad (isteğe bağlıdır; dilediğiniz zaman değiştirebilir veya boş bırakabilirsiniz).
- Profil fotoğrafı (isteğe bağlıdır; Firebase Storage üzerinde saklanır).
- Sistem tarafından otomatik olarak üretilen Firebase kullanıcı kimliği.
- Apple ile Oturum Aç seçeneğini kullanırsanız: e-postanız (gerçek ya da Apple'ın takma ileti adresi) ve paylaşmayı tercih ederseniz tam adınız. Apple, Apple ID'nizi bize iletmez.
4.2 Günlük içeriği — özel nitelikli kişisel veri niteliğinde olabilir
Her kaydedilen girişiniz için aşağıdaki veriler işlenir:
- Giriş metni (en fazla 3.000 karakter).
- Zengin metin biçimlendirmesi (kalın, italik, liste — en fazla 30.000 karakter, kodlanmış).
- İsteğe bağlı ruh hâli seçimi.
- Yanıtladığınız yönergeye (prompt) ilişkin bilgi (varsa).
- Yerel takvim tarihi.
Günlük içeriği kişisel ve hassastır. KVKK'nın 6. maddesi ve GDPR'ın 9. maddesi uyarınca günlük metinleri; sağlığınıza, dini inancınıza, siyasi görüşünüze, cinsel hayatınıza veya sendikal bağınıza ilişkin özel nitelikli kişisel veri içerebilir. Bu nedenle günlük içeriğinizin yapay zekâ ile işlenmesi, tamamen açık rızanıza bağlıdır (bkz. §6).
4.3 Profil ve tercih verileri
- Seri bilgisi (güncel ve en uzun seri).
- Son aktiflik zamanı ve saat dilimi (cihazınızın IANA saat dilimi, ör.
Europe/Istanbul). - Dil tercihi (30 dillik listeden seçiminiz).
- Tema tercihi (Espresso, Cosmos, Oat vb.).
- Bildirim ayarları: hatırlatmaların açık/kapalı olduğu, hatırlatma saati ve saat dilimi.
- Abonelik durumu: aktif premium aboneliğinizin olup olmadığı (RevenueCat üzerinden; bkz. §7).
- Yapay zekâ açık rıza kaydı — rıza verme, reddetme veya geri alma işlemlerinizin, kaynağının (onboarding, giriş sonrası, satın alma sonrası veya Ayarlar), zaman damgasının ve gösterilen yönerge sayısının yer aldığı, yalnızca ekleme yapılabilen (append-only) bir kayıt. Bu kayıt, Apple App Store İnceleme Yönergesi 5.1.2(i) uyarınca tutulur.
4.4 Cihaz ve kullanım verileri
Uygulamayı kullanırken aşağıdaki veriler otomatik olarak işlenir:
- Cihaz bilgileri: model, işletim sistemi sürümü, uygulama sürümü, yerel ayar, ülke, saat dilimi ve Firebase'in iç uygulama örneği kimliği.
- FCM bildirim belirteci (token) — hatırlatmaları gönderebilmek için Firebase Cloud Messaging tarafından cihazınıza atanan belirteç. Hesabınıza bağlı olarak Firestore'da saklanır; yeniden yükleme veya çıkış sonrasında yenilenir.
- Olay verileri: uygulamada hangi ekranı görüntülediğiniz, bir giriş kaydedip kaydetmediğiniz, bir içgörüyü açıp açmadığınız, satın alma başlatıp başlatmadığınız gibi meta veriler — fakat giriş içeriğiniz bu kayıtlarda yer almaz.
- Çökme raporları Firebase Crashlytics üzerinden (yığın izi, çökme anındaki cihaz durumu). Debug yapılarında Crashlytics kapalıdır; kullanıcılara dağıtılan yapılarda etkindir.
Aşağıdaki veriler işlenmez:
- Uygulama içinde IP adresiniz (Firebase Analytics bu bilgiyi bize göstermemektedir).
- Reklam tanımlayıcınız (IDFA) — Firebase'in AdSupport içermeyen sürümü kullanılır ve reklam kişiselleştirme sinyalleri devre dışıdır.
4.5 Abonelik verileri
Thanxful aboneliği satın aldığınızda:
- İşlem Apple (App Store) tarafından gerçekleştirilir. Ödeme yönteminiz veya kart bilgileriniz tarafımıza aktarılmaz.
- RevenueCat abonelik yaşam döngüsünü adımıza yürütür. RevenueCat ile paylaşılan veri Firebase kullanıcı kimliğinizdir; RevenueCat tarafımıza ürün kimliği, durum, son geçerlilik tarihi ve yenileme tarihi iletir.
4.6 İletişim ve geri bildirim
[email protected]adresine gönderdiğiniz destek e-postaları.- Uygulama içinden gönderdiğiniz özellik istekleri ve hata raporları (kötüye kullanımı önlemek için günlük bazda sınırlıdır). Yazdığınız metin, kullanıcı kimliğiniz ve gönderim zamanı saklanır. Hesabınızı sildiğinizde geri bildirimler anonimleştirilir (kullanıcı kimliği
"deleted_user"olarak değiştirilir); metnin kendisi silinmez, ancak sizinle bağlantısı ortadan kaldırılır.
4.7 Onboarding deneme (hesap açmadan önce)
Hesap açmadan tek bir yapay zekâ içgörüsü denemek isterseniz aşağıdaki veriler işlenir:
- Cihazınızın ürettiği cihaz UUID'si (IDFA değildir).
- SHA-256 ile özetlenmiş IP adresi (ham IP adresi saklanmaz).
- Apple DeviceCheck belirteci (denemenin cihaz başına tekrarlanmasını engellemek için).
Bu veriler yalnızca denemenin sınırlandırılması (cihaz başına günde bir, global IP başına günde 20) ve kötüye kullanımın önlenmesi amacıyla kısa süreli olarak işlenir.
4.8 Güvenlik
- Uygulama kilidi parolanız (etkinleştirmeyi seçerseniz), yalnızca cihazınızdaki iOS Anahtar Zinciri (Keychain) içinde saklanır; telefonunuzdan dışarı çıkmaz. Biyometrik veriniz (Face ID / Touch ID) Apple'ın Güvenli Bölmesi'nde (Secure Enclave) kalır; tarafımıza iletilmez.
5. İşleme Amaçları ve Hukuki Sebepler
Her veri işleme faaliyetinin amacı ve KVKK 5-6. maddeleri ile GDPR 6. maddesi kapsamındaki hukuki sebebi aşağıda tablo hâlinde sunulmuştur:
| İşleme faaliyeti | Amaç | KVKK hukuki sebebi | GDPR hukuki sebebi |
|---|---|---|---|
| Hesap oluşturmak ve girişlerinizi saklamak | Hizmet'in temel sunumu | Md. 5/2(c) — sözleşmenin kurulması ve ifası | Md. 6(1)(b) — sözleşmenin ifası |
| Günlük girişlerinizden YZ içgörüleri üretmek | Yalnızca siz açık rıza verdiyseniz | Md. 6(2) — özel nitelikli veriler için açık rıza | Md. 6(1)(a) + Md. 9(2)(a) — özel nitelikli veriler için açık rıza |
| Günlük minnettarlık hatırlatmaları göndermek | Ayarlar'dan etkinleştirdiğinizde | Md. 5(1) — açık rıza | Md. 6(1)(a) — rıza |
| Apple ve RevenueCat üzerinden abonelik işlemek | Satın aldığınız hizmetin sunumu | Md. 5/2(c) — sözleşmenin ifası | Md. 6(1)(b) — sözleşme |
| Çökme raporlama ve kümülatif ürün analitiği | Güvenilir ve stabil bir uygulama sunmak | Md. 5/2(f) — meşru menfaat | Md. 6(1)(f) — meşru menfaat |
| Kötüye kullanım önlemleri (DeviceCheck, IP özetleme, kota sınırları) | Sahteciliği ve maliyet istismarını engellemek | Md. 5/2(f) — meşru menfaat | Md. 6(1)(f) — meşru menfaat |
| Vergi ve muhasebe için ödeme kayıtlarının saklanması | Yasal yükümlülüğün yerine getirilmesi | Md. 5/2(a) — hukuki yükümlülük | Md. 6(1)(c) — hukuki yükümlülük |
| Yetkili makamların hukuka uygun taleplerine yanıt vermek | Yasal zorunluluk | Md. 5/2(a) — hukuki yükümlülük | Md. 6(1)(c) — hukuki yükümlülük |
Sizi profilleme amacıyla işlemeyiz, hakkınızda önemli sonuç doğurabilecek otomatik karar verme faaliyeti yürütmeyiz ve kişisel verilerinizi satmayız ya da kiralamayız.
6. Günlük İçeriğinizin Yapay Zekâ ile İşlenmesi
İşbu bölüm, hem Apple App Store İnceleme Yönergesi 5.1.2(i) kapsamında hem de günlüğü size ait olan kişi sıfatıyla özel olarak sizin için hazırlanmıştır.
Neler yapılır?
Açık rıza vermeniz hâlinde Thanxful, seçili günlük girişlerinizi üçüncü taraf yapay zekâ sağlayıcılarına iletir; bu sağlayıcılar şunları üretir:
- Anlık içgörü — tek bir giriş için kısa bir yansıma.
- Haftalık özet — son 7 günün özetli analizi.
- Aylık özet — son 30 günün derinlemesine analizi.
Girişleriniz kimler tarafından işlenir?
- OpenAI (birincil sağlayıcı) —
gpt-4o-minivegpt-4omodelleri. Sunucular ABD'dedir. - Google Gemini (yedek sağlayıcı, OpenAI erişilemediğinde) — Google'ın küresel altyapısı üzerinde.
Hangi veriler iletilir?
- Analiz edilen dönemin giriş metinleri.
- Görünen adınız (içgörünün size isminizle hitap edebilmesi için).
- Dil tercihiniz (içgörünün sizin dilinizde üretilmesi için).
Hangi veriler iletilmez?
- E-posta adresiniz.
- Seri bilgileri, abonelik durumu veya diğer profil verileri.
- Başka bir kullanıcının hiçbir verisi.
Sağlayıcı tarafında saklama süreleri
- OpenAI, API aracılığıyla gelen istekleri kötüye kullanım tespiti amacıyla en fazla 30 gün saklar ve ardından siler. OpenAI, API verilerini model eğitiminde kullanmaz. (Kaynak: OpenAI API Şartları.)
- Google Gemini, varsayılan olarak API verilerini model eğitiminde kullanmaz. (Kaynak: Google Gemini API Şartları.)
Açık rızanız
- Yapay zekâ'nın ilk devreye girebileceği anda — onboarding'de, bir giriş kaydettikten sonra ya da premium satın alma sonrasında — açık rızanız istenir.
- Rızanız, yalnızca ekleme yapılabilen bir denetim günlüğünde (
users/{uid}/aiConsent) tutulur. - Rızanızı her an geri alabilirsiniz: Ayarlar → YZ Açık Rızası. Geri alma, ileride yapılacak işlemeyi anında durdurur. O ana kadar üretilmiş içgörüler, onları ya da hesabınızı silene kadar geçmişinizde kalır.
- Günlüğünüz KVKK'nın 6. ve GDPR'ın 9. maddesi kapsamında özel nitelikli veri içerebileceğinden, yapay zekâ sağlayıcılarına aktarmanın hukuki sebebi açık rızanızdır.
Yapay zekâ içgörüleri tıbbi/hukuki/terapik tavsiye değildir
İçgörüler otomatik üretilmiş metinlerdir. Yanlış, yanıltıcı ya da bağlamdan kopuk olabilirler. Lisanslı bir terapist, doktor, avukat veya diğer uzmanların yerine geçmezler. Bir sıkıntı içindeyseniz, yetkili bir uzmana ya da acil durumlarda yerel acil servislere başvurmanızı öneririz.
7. Paylaşım ve Üçüncü Taraflar
Kişisel verileriniz yalnızca aşağıdaki hizmet sağlayıcılarıyla, yalnızca belirtilen amaçlar için paylaşılır. Her sağlayıcı, kişisel verilerinizi yalnızca talimatlarımız doğrultusunda işleme ve uygun güvenlik önlemleri alma konusunda sözleşmeyle yükümlüdür.
| Sağlayıcı | Rol | Paylaşılan veri | Bölge | Gizlilik politikası |
|---|---|---|---|---|
| Google LLC (Firebase) | Altyapı: kimlik doğrulama, Firestore, Storage, Cloud Functions, bildirim, analitik, çökme raporu, remote config, App Check | Tüm profil verileri, günlük girişleri, FCM belirteçleri, analitik olayları, çökme raporları | Firestore ve Cloud Functions europe-west1 (Belçika, AB). Analitik ve Crashlytics, Google'ın küresel altyapısı. |
https://policies.google.com/privacy |
| OpenAI, L.L.C. | YZ içgörü üretimi | Günlük metni, görünen ad, dil — yalnızca rıza verdiğinizde | ABD | https://openai.com/policies/privacy-policy |
| Google LLC (Gemini API) | YZ içgörü üretimi (yedek) | OpenAI ile aynı | ABD / küresel | https://policies.google.com/privacy |
| RevenueCat, Inc. | Abonelik yönetimi | Firebase kullanıcı kimliği, ürün kimliği, abonelik durumu, yenileme tarihi | ABD | https://www.revenuecat.com/privacy |
| Apple Inc. | Apple ile Oturum Aç, APNs bildirimleri, DeviceCheck, App Store ödemeleri | Apple ID e-posta, bildirim belirteçleri, cihaz biti, satın alma kaydı | Apple altyapısı | https://www.apple.com/legal/privacy/ |
Meta / Facebook hakkında not: Info.plist dosyamızda yalnızca "Instagram Hikâyeler'e paylaşma" URL şemasını etkinleştirmek için FacebookAppID: 2198469434228743 beyanı bulunmaktadır. Facebook SDK kullanılmamaktadır; Meta'ya hiçbir veri gönderilmemektedir. Paylaşmayı seçtiğinizde — ve yalnızca o durumda — seçtiğiniz görsel, iOS Paylaş Sayfası aracılığıyla Instagram uygulamasına iletilir.
Yetkili makam talepleri
Kişisel verileriniz, yalnızca Türkiye'deki geçerli bir hukuki süreç veya tarafımız üzerinde yargı yetkisi bulunan bir ülkenin geçerli hukuki süreci kapsamında yetkili makamlara açıklanır. Hukuken izin verildiği ölçüde bu tür talepler hakkında size bilgi verilir.
Veri satışı yoktur
Kişisel verileriniz satılmamaktadır. CCPA/CPRA tanımlarıyla, bağlam-dışı davranışsal reklamcılık amacıyla "paylaşılmamaktadır".
8. Yurt Dışına Aktarım
Hesabınız ve günlüğünüz Avrupa Birliği (Google Cloud europe-west1, Belçika) içinde saklanır.
Bazı hizmet sağlayıcılarımız Amerika Birleşik Devletleri'nde bulunmaktadır:
- OpenAI ve Google Gemini, günlük girişlerinizi (yalnızca rıza verdiğinizde) yapay zekâ işleme amacıyla alır.
- RevenueCat abonelik durumunuzu işler.
- Bazı Apple ve Firebase hizmetleri küresel altyapıda çalışır.
Bu aktarımlar için dayanılan hukuki mekanizmalar:
- GDPR kapsamında: Her bir sağlayıcı ile imzalanan veri işleme sözleşmelerine dâhil edilen AB Komisyonu 2021/914 sayılı Standart Sözleşme Maddeleri (SCC'ler); aktarım sırasında ve sonrasında uygulanan teknik tedbirler (şifreleme, erişim kontrolü). EU–US Data Privacy Framework sertifikası olan sağlayıcılar için ayrıca bu adequacy kararı da temel alınır.
- Birleşik Krallık GDPR kapsamında: Aynı SCC'lere eklenen UK International Data Transfer Addendum (IDTA).
- KVKK kapsamında: Aşağıdaki çoklu güvence setine dayanılır:
- Yapay zekâ özelliğini açmanız hâlinde günlük içeriğinizin ABD'ye aktarımı için KVKK 9. madde kapsamında açık rızanız;
- Her bir sağlayıcı ile akdedilmiş olan veri işleme sözleşmeleri (DPA'lar) — özellikle Google Cloud / Firebase DPA (SCC'leri içerir), OpenAI API Veri İşleme Ek Protokolü ve RevenueCat DPA — sözleşmesel güvence olarak;
- §11'de sayılan teknik tedbirler (şifreleme, App Check, kaydetmede kişisel veri minimizasyonu).
Kişisel Verileri Koruma Kurumu tarafından yayımlanan Standart Sözleşme şablonunu imzalamayı kabul eden her sağlayıcıyla bu şablonu imzalamak ve imza tarihinden itibaren 5 iş günü içinde Kurum'a bildirimde bulunmak hedefimizdir. Sağlayıcının Kurul şablonunu kabul etmediği ve kendi DPA'sını kullandığı durumlarda yukarıda sayılan güvence seti uygulanır.
Aktarım güvencelerinin bir kopyasını [email protected] adresine yazarak talep edebilirsiniz.
9. Saklama Süresi
Kişisel veriler yalnızca gerekli olduğu süre boyunca saklanır.
| Veri | Saklama süresi |
|---|---|
| Hesap verileri (e-posta, ad, profil, tercihler) | Hesabınızı silene kadar. |
| Günlük girişleri, ruh hâli, seri bilgileri | Kendiniz sildikçe, İçerik Sıfırlama'yı kullandıkça veya hesabınızı silene kadar. |
| YZ açık rıza günlüğü | Hesap süresince, yalnızca ekleme yapılabilir biçimde (App Store 5.1.2(i) gereği). Hesapla birlikte silinir. |
| Üretilen YZ içgörüleri (anlık, haftalık, aylık) | Kendiniz silene veya hesabınızı silene kadar. |
| FCM bildirim belirteçleri | Cihazınız kaydını iptal edene, çıkış yapana veya hesap silinene kadar. |
| Crashlytics çökme raporları | 90 gün (Google varsayılanı). |
| Firebase Analytics olay verileri | 14 ay (Google asgari varsayılanı). |
| Sunucu kayıtları (Cloud Logging) | 400 gün (giriş içeriği kayda girmez; bkz. §11). |
| İzlenebilirlik kayıtları (Cloud Trace) | 15 gün. |
| Özellik istekleri / hata raporları | Ürün geliştirmek amacıyla saklanır; hesap silindiğinde kullanıcı kimliği kaldırılarak anonimleştirilir. |
| Ödeme kayıtları (Apple ve RevenueCat üzerinden) | Türk vergi ve ticaret mevzuatının öngördüğü süre — tipik olarak 10 yıl. |
Hesabınızı sildiğinizde (Ayarlar → Gelişmiş → Hesabı Sil veya e-posta ile), profiliniz, girişleriniz, içgörüleriniz, başarımlarınız, YZ rıza günlüğünüz ve FCM belirteçleriniz aktif sistemlerimizden anında kaldırılır. Hizmet sağlayıcı önbellekleri, yedekler ve kayıtlar bakımından silmenin tamamlanması 30 güne kadar sürebilir.
10. Haklarınız
Bulunduğunuz ülkeye göre aşağıdaki hakların tamamına veya bir kısmına sahipsiniz:
KVKK Madde 11 (Türkiye'de ikamet edenler):
- Kişisel verilerinizin işlenip işlenmediğini öğrenme.
- İşlenmişse buna ilişkin bilgi talep etme.
- İşleme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme.
- Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme.
- Eksik veya yanlış işlenmişse düzeltilmesini isteme.
- KVKK 7. madde kapsamında silinmesini veya yok edilmesini isteme.
- Düzeltme, silme, yok etme taleplerinin aktarıldığı üçüncü kişilere bildirilmesini isteme.
- Otomatik sistemlerle analiz sonucu aleyhinize bir sonuç çıkmasına itiraz etme.
- Hukuka aykırı işleme sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.
GDPR (AB/AEA ve BK'da ikamet edenler):
- Erişim (Md. 15), düzeltme (Md. 16), silme (Md. 17), işlemenin kısıtlanması (Md. 18), veri taşınabilirliği (Md. 20), itiraz (Md. 21), açık rızanızın geri çekilmesi (Md. 7). Self-servis dışa aktarım ekranımız henüz hazır değildir; e-posta ile talep etmeniz hâlinde girişlerinizi ve profil verinizi yapılandırılmış JSON biçiminde 30 gün içinde size iletiriz.
CCPA / CPRA (California sakinleri):
- Hangi kişisel bilgilerin toplandığını, kaynaklarını, amaçlarını ve üçüncü taraflarını öğrenme hakkı.
- Silme ve düzeltme hakkı.
- Kişisel bilgilerin satılmasına/paylaşılmasına itiraz hakkı — veri satmıyor veya paylaşmıyoruz; itiraz edilecek bir durum bulunmamaktadır.
- Hassas kişisel bilgilerin kullanımını sınırlama hakkı — hassas bilgiler (günlük içeriğiniz) §5'te belirtilen amaçlar dışında kullanılmamaktadır.
- Haklarınızı kullanmanız sebebiyle ayrımcılığa uğramama hakkı.
Haklarınızı nasıl kullanabilirsiniz?
[email protected] adresine Gizlilik Talebi konu başlığıyla e-posta gönderin ve hangi hakkınızı kullanmak istediğinizi belirtin. Kimliğinizi doğrulamak için (genellikle hesabınıza kayıtlı e-postadan yanıt vermenizi isteyerek) ek bilgi talep edebiliriz. KVKK 13. maddesi ve GDPR 12. maddesi uyarınca, talebiniz en geç 30 gün içinde sonuçlandırılır. Ek süre gerekirse nedenini ve beklenen yanıt zamanını size bildiririz.
CCPA kapsamında bir aracı aracılığıyla talepte bulunmak isterseniz, aracının yetki belgesini yine de sizden doğrulamak için tarafınızla iletişime geçebiliriz.
Talebiniz açıkça asılsız ya da aşırı olmadıkça, bu hakların kullanımı ücretsizdir.
Şikayet başvuru mercileri
- Türkiye: Kişisel Verileri Koruma Kurumu (KVKK) — https://www.kvkk.gov.tr/
- AB/AEA: Bulunduğunuz ülkenin veri koruma otoritesi — https://edpb.europa.eu/about-edpb/about-edpb/members_en
- Birleşik Krallık: Information Commissioner's Office — https://ico.org.uk/
- California: California Privacy Protection Agency — https://cppa.ca.gov/
11. Veri Güvenliği Tedbirleri
Veri güvenliği, tasarım aşamasından itibaren göz önünde bulundurulmaktadır. Uygulanan teknik ve idari tedbirler şunları içerir:
- Aktarım hâlinde şifreleme — tüm ağ trafiği TLS 1.2+ ile şifrelenir.
- Saklamada şifreleme — Google Cloud sunucu tarafı AES-256 şifrelemesi.
- Kimlik doğrulama — Firebase Auth; parolalar hiçbir zaman düz metin olarak saklanmaz.
- App Check — üretim yapısında Apple App Attest; güvensiz kaynaklardan gelen istekler reddedilir.
- Apple DeviceCheck — onboarding denemelerinde istismarı engeller.
- Sıkı Firestore güvenlik kuralları — her kullanıcı yalnızca kendi verilerini okur ve yazar.
- Hassas verilerin izolasyonu — uygulama kilidi parolası yalnızca iOS Anahtar Zinciri'nde tutulur; biyometrik veriler Apple Secure Enclave'de kalır.
- PII minimize edilmiş loglar — günlük içeriği sunucu kayıtlarına dâhil edilmez; yalnızca işletim ve hata ayıklama için gerekli meta veriler (kullanıcı kimliği, olay türü, durum) kaydedilir.
- Gizli anahtar yönetimi — API anahtarları (OpenAI, RevenueCat, Apple DeviceCheck) Firebase Secret Manager üzerinde saklanır; kodda yer almaz.
Hiçbir sistem tamamen güvenli olmadığından, kişisel veri ihlali tespit edilmesi hâlinde:
- KVKK 12. madde 5. fıkrası uyarınca Kişisel Verileri Koruma Kurumu'na 72 saat içinde bildirim yapılır;
- GDPR 33-34. maddeleri uyarınca AB/AEA sakinlerine doğrudan ve ilgili otoritelere gerekli bildirimler yapılır.
12. Çocuklar
Thanxful, 13 yaşın altındaki çocuklara yönelik değildir. Hizmet'i kullanabilmek için en az 13 yaşında olmanız gerekir (bkz. Kullanım Koşulları §3). 13 ila 16 yaş arasındaysanız (bazı AB üye devletlerinde sayısal rıza yaşı), bulunduğunuz ülkedeki yasalar ebeveyn veya vasinizin rızasını gerektirebilir. Türk Medeni Kanunu'nun (TMK) 15. maddesi uyarınca 18 yaş altındaki küçüklerin tam sözleşme ehliyeti bulunmamakta olup, 18 yaşın altındaki bir kullanıcı için ebeveyn veya vasinin onayı aranır.
13 yaşın altındaki bir çocuktan bilerek kişisel veri toplanmaz. Ebeveyn veya vasi sıfatıyla çocuğunuzun bilginiz dışında bilgi paylaştığını düşünüyorsanız, [email protected] adresine yazın; bilgiler silinecektir.
Uygulamanın App Store yaş derecesi (4+), uygulamanın içerik olarak tüm yaşlara uygun olduğunu (şiddet, cinsel içerik, argo içermediğini) gösterir. Bu içerik derecelendirmesi, 13 yaş altı sözleşme yasağını değiştirmez.
Onboarding'de kullanıcılar için ayrı bir yaş kapısı (age gate) bulunmamakta olup minimum yaş yazılı sözleşme yoluyla uygulanmaktadır — bu yaklaşım günlük/iyilik hâli uygulamalarında yaygın bir uygulamadır.
13. California (CCPA / CPRA) Açıklamaları
California sakini iseniz, işbu politikanın geri kalanına ek olarak bu bölüm size uygulanır.
Toplanan kişisel bilgi kategorileri (son 12 ay)
| CCPA kategorisi | Toplanıyor mu? | Kaynak | Amaç | Paylaşılan taraf |
|---|---|---|---|---|
| Tanımlayıcılar (e-posta, kullanıcı kimliği, cihaz kimliği) | Evet | Siz; cihazınız | Hesap, güvenlik, analitik | Firebase, RevenueCat |
| California Müşteri Kayıtları (Cal. Civ. Code §1798.80) | Evet (ad) | Siz | Hesap | Firebase |
| Korunan sınıflandırmalar | Hayır | — | — | — |
| Ticari bilgiler (abonelik geçmişi) | Evet | Apple, RevenueCat | Abonelik sunumu | RevenueCat |
| Biyometrik bilgiler | Hayır (Face ID cihazda kalır) | — | — | — |
| İnternet / ağ etkinliği | Sınırlı (uygulama olayları, çökme raporları) | Cihazınız | Analitik, güvenilirlik | Firebase |
| Konum | Yalnızca kaba düzey (ülke / saat dilimi) | Cihazınız | İçerik yerelleştirme | Firebase |
| Ses / görüntü | Profil fotoğrafı (isteğe bağlı) | Siz | Profil | Firebase Storage |
| Mesleki veya istihdam | Hayır | — | — | — |
| Eğitim | Hayır | — | — | — |
| Çıkarımlar | Hayır | — | — | — |
| Hassas kişisel bilgiler | Günlük içeriği hassas kabul edilir | Siz | YZ içgörüleri (yalnızca rıza ile) | OpenAI, Google Gemini |
California haklarınız
- Bilme / erişim — bkz. §10.
- Silme / düzeltme — bkz. §10.
- Satış / paylaşıma itiraz — kişisel bilgilerinizi satmıyor veya paylaşmıyoruz; itiraz edilecek bir durum bulunmamaktadır.
- Hassas bilgi kullanımını sınırlama — hassas bilgiler (günlük içeriğiniz) yalnızca §6'da açıklanan amaçlarla ve açık rızanızla kullanılır.
- Ayrımcılığa uğramama — bu hakları kullandığınızda Hizmet'e erişiminiz kısıtlanmaz, farklı fiyat uygulanmaz veya farklı kalite sunulmaz.
Talep için [email protected] adresine California Privacy Request konu başlığıyla yazın. Kimliğinizi hesaba kayıtlı e-postadan doğrularız.
Kişisel bilgi karşılığında finansal teşvik sunulmamaktadır.
14. Çerezler ve Benzer Teknolojiler
iOS uygulaması içinde: web çerezi kullanılmaz. Uygulama, yalnızca cihazınızda UserDefaults içinde küçük tercihler (tema, dil, bildirim tercihi gibi) ve iOS Anahtar Zinciri içinde uygulama kilidi parolasını saklar. Bu veriler tarafımızla veya üçüncü taraflarla paylaşılmaz.
thanxful.app üzerinde: İşbu politikanın yürürlük tarihi itibarıyla tanıtım sitesi çerez, web-beacon veya üçüncü taraf analitik izleyici kullanmamaktadır. İlerleyen dönemlerde eklenmesi hâlinde işbu bölüm güncellenir, sitede bir çerez rızası kutusu (cookie banner) gösterilir ve değişiklik §15'e göre önemli değişiklik olarak işlem görür.
15. Politika Değişiklikleri
İşbu politika zaman zaman güncellenebilir. Önemli değişiklikler (haklarınızı veya verilerinizin işlenme biçimini etkileyen değişiklikler) için değişiklik yürürlüğe girmeden en az 30 gün önce e-posta ile ve uygulama içi bildirimle haberdar edilirsiniz. Önemli olmayan değişikliklerde (yazım düzeltmeleri, açıklamalar) belge güncellenir ve en üstteki Yürürlük Tarihi güncellenir.
Yeni sürümü kabul etmezseniz, yürürlük tarihinden önce Hizmet'i kullanmayı bırakıp hesabınızı silebilirsiniz.
16. İletişim
Gizlilikle ilgili her türlü soru, talep veya şikayet için:
- E-posta:
[email protected](konu:Gizlilik) - Veri Sorumlusu: Kadir Alan — şahıs şirketi, Türkiye
Fiziki tebligat adresi gerekirse önce [email protected] adresinden bize yazın; adres talebinize istinaden paylaşılır.
Şikayet başvurabileceğiniz denetim otoriteleri §10'da sıralanmıştır.
Lansman öncesi e-posta listesi
Uygulamanın herkese açık lansmanından önce, lansmanda günlüğüne dair özel ve kişiselleştirilmiş bir yapay zekâ analizi almak için lansman öncesi e-posta listemize katılmayı seçebilirsin. Bu isteğe bağlıdır ve uygulamayı kullanmaktan ayrıdır.
- Neyi topluyoruz: gönderdiğin e-posta adresi ve asgari kötüye kullanım önleme verisi (IP adresinin tek yönlü karması; ham IP asla saklanmaz).
- Onay: tek aşamalı onay: onay kutusunu işaretleyip formu gönderdiğinde abone olursun; ayrı bir doğrulama e-postası yoktur.
- Nasıl kullanıyoruz: vaat edilen lansman analizini ve ara sıra lansmanla ilgili güncellemeleri göndermek için. E-postanı asla üçüncü taraflara satmaz veya paylaşmayız.
- Çıkış: her e-postada abonelikten çıkış bağlantısı bulunur; istediğin zaman bizimle iletişime geçerek de çıkabilirsin.
- Saklama: e-postanı yalnızca bu amaç için gerekli olduğu sürece saklar, talep üzerine sileriz.
17. Sözlük
- KVKK — 6698 sayılı Kişisel Verilerin Korunması Kanunu (Türkiye).
- GDPR — 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü.
- CCPA / CPRA — California Consumer Privacy Act, California Privacy Rights Act ile değişik hâliyle.
- COPPA — Children's Online Privacy Protection Act (ABD, 13 yaş altı).
- FCM — Firebase Cloud Messaging (bildirim altyapısı).
- Özel nitelikli kişisel veri / hassas veri — sağlık, din, siyasi görüş, cinsel hayat vb. KVKK 6. madde ve GDPR 9. madde kapsamında artırılmış koruma gerektiren veri türleri.
- Veri sorumlusu — kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi (burada: Kadir Alan).
- Açık rıza — belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Minnettarlık yolculuğunuzda bize güvendiğiniz için teşekkürler.
— Thanxful