Gizlilik Politikası
Yürürlük tarihi: 20 Mart 2026
OweMate ("Uygulama", "Hizmet") olarak kişisel verilerinizin korunmasına büyük önem veriyoruz. Bu Gizlilik Politikası, hangi verilerinizi topladığımızı, nasıl kullandığımızı, kimlerle paylaştığımızı ve haklarınızı açıklar.
Veri Sorumlusu
OweMate uygulaması adına veri sorumlusu:
- Unvan: Sertaç Can (Bireysel Geliştirici)
- Adres: İstanbul, Türkiye
- E-posta: [email protected]
Toplanan Kişisel Veriler
| Veri Kategorisi | Veriler | Toplama Yöntemi |
|---|---|---|
| Kimlik Bilgileri | Ad soyad, e-posta adresi | Kayıt formu |
| Hesap Güvenliği | Şifre (bcrypt ile hash'lenmiş hali) | Kayıt formu |
| Sosyal Giriş Verileri | Google hesap ID, e-posta, ad (Google OAuth); Apple kullanıcı ID, e-posta (Apple Sign-In) | Google ile giriş / Apple ile giriş |
| Finansal Kayıtlar | Borç/alacak tutarları, para birimi, birikim kayıtları, gelir kayıtları, ödeme geçmişi | Kullanıcı girişi |
| Cihaz Bilgileri | Push notification token'ı | Bildirim izni |
| Kullanım Tercihleri | Dil seçimi, temel para birimi | Ayarlar |
| Teknik Veriler | IP adresi, tarayıcı bilgisi, erişim logları | Otomatik |
Verilerin İşlenme Amaçları
- Hesap oluşturma ve kimlik doğrulama
- Borç/alacak ve birikim takibi hizmetinin sunulması
- Vade bildirimi gönderimi (yalnızca Premium kullanıcılar, izin verilmişse)
- Kur verilerinin güncellenmesi ve gösterilmesi
- Abonelik yönetimi ve ödeme süreçlerinin takibi
- Hizmet kalitesinin iyileştirilmesi ve teknik sorunların giderilmesi
- Yasal yükümlülüklerin yerine getirilmesi
Verilerin İşlenme Hukuki Dayanağı
- Sözleşmenin ifası: Hesap oluşturma, hizmet sunumu (KVKK m.5/2-c)
- Meşru menfaat: Güvenlik, hata tespiti, hizmet iyileştirme (KVKK m.5/2-f)
- Açık rıza: Push bildirimler, pazarlama iletişimi (KVKK m.5/1)
- Yasal yükümlülük: Vergi, ticaret hukuku gereklilikleri (KVKK m.5/2-ç)
Üçüncü Taraf Hizmet Sağlayıcılar
Verileriniz aşağıdaki üçüncü taraf hizmetler aracılığıyla işlenebilir:
| Hizmet | Amaç | Veri | Ülke |
|---|---|---|---|
| Google OAuth | Sosyal giriş | E-posta, ad, Google ID | ABD |
| Apple Sign-In | Sosyal giriş | Apple kullanıcı ID, e-posta (opsiyonel) | ABD |
| RevenueCat | Abonelik yönetimi | Kullanıcı ID, abonelik durumu | ABD |
| Resend | E-posta gönderimi | E-posta adresi | ABD |
| Expo Push | Bildirim gönderimi | Push token | ABD |
Üçüncü taraf hizmet sağlayıcılarla yalnızca hizmetin sunulması için gerekli olan minimum veri paylaşılır. Bu sağlayıcılar kendi gizlilik politikalarına tabidir.
Yurt Dışına Veri Aktarımı
Yukarıda belirtilen üçüncü taraf hizmetler ABD merkezli olup, verileriniz hizmetin sunulması amacıyla yurt dışına aktarılabilir. Bu aktarımlar KVKK m.9 kapsamında, açık rızanıza veya yeterli koruma şartlarına dayalı olarak gerçekleştirilir.
Veri Saklama Süreleri
| Veri | Saklama Süresi |
|---|---|
| Hesap bilgileri | Hesap aktif olduğu sürece |
| Hesap silme sonrası (soft delete) | Silme talebinden itibaren 30 gün içinde kalıcı olarak silinir |
| Borç/alacak ve birikim kayıtları | Kullanıcı silene kadar veya hesap silinene kadar |
| Erişim logları | 15 gün (otomatik rotasyon) |
| Şifre sıfırlama token'ları | 1 saat (otomatik geçersiz) |
| Refresh token'lar | 30 gün (çıkış yapılınca iptal edilir) |
Veri Güvenliği
- Şifreler bcrypt algoritması ile hash'lenerek saklanır; düz metin olarak hiçbir yerde tutulmaz
- API iletişimi HTTPS/TLS ile şifrelenir
- JWT tabanlı kimlik doğrulama (access token: 15 dk, refresh token: 30 gün)
- Mobil uygulamada token'lar cihazın güvenli deposunda (Keychain/Keystore) saklanır
- Web'de refresh token httpOnly cookie olarak saklanır
- Rate limiting ile brute force saldırılarına karşı koruma
- Veritabanı dışarıya kapalı internal network'te çalışır
- Token ve şifre bilgileri asla loglanmaz
Kullanıcı Hakları
KVKK m.11 ve GDPR kapsamında aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
- Eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme
- Kişisel verilerinizin silinmesini veya yok edilmesini isteme
- Verilerinizin taşınmasını talep etme (GDPR)
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme
[email protected] adresine e-posta göndererek haklarınızı kullanabilirsiniz. Başvurular en geç 30 gün içinde yanıtlanır.
Hesap Silme
Uygulama içinden veya web üzerinden hesabınızı silebilirsiniz:
- Mobil: Profil → Hesabı Sil
- Web: Profil → Hesabı Sil
Hesap silme işlemi soft delete olarak gerçekleştirilir. Verileriniz 30 gün içinde tüm sistemlerden kalıcı olarak silinir. Bu süre zarfında hesabınızı geri alabilirsiniz.
Çocukların Gizliliği
OweMate 13 yaşın altındaki çocuklara yönelik değildir. 13 yaşın altındaki bireylerden bilerek kişisel veri toplamayız. Böyle bir durumun farkına varırsak ilgili verileri derhal sileriz.
Değişiklikler
Bu Gizlilik Politikası'nda yapılacak değişiklikler uygulama içi bildirim ve/veya e-posta ile duyurulacaktır. Değişiklik sonrası hizmeti kullanmaya devam etmeniz, güncel politikayı kabul ettiğiniz anlamına gelir.