Gizlilik Politikası
Gleam, kişisel verilerini ciddiye alır. Bu politika; 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile uyumlu olacak şekilde özenle hazırlanmıştır. Bağlayıcı sürüm Türkçe metindir. Bu politika; KVKK Aydınlatma Metni ve Çerez Politikası ile birlikte okunmalıdır.
Temel ilkelerimiz: veri minimizasyonu (sadece gerekli veriyi alırız), amaçla sınırlılık (veriyi yalnızca açıkladığımız amaçlarla kullanırız), şeffaflık ve hesap verebilirlik.
Kısa özet (TL;DR)
- Hesap için e-posta + isim + doğum tarihi alırız.
- Anlarını ve hislerini yalnızca senin seçtiğin görür.
- Reklam yok. Veri satışı yok. Reklam amaçlı profilleme yok.
- Veriler Tokyo, Japonya'daki (Supabase, AWS ap-northeast-1) ve AB Frankfurt'taki (PostHog) sunucularda, şifreli saklanır.
- İstediğin zaman silebilir, dışa aktarabilir, itiraz edebilirsin.
1. Veri sorumlusu
Bilal Uğur Yayla (bireysel proje), İstanbul, Türkiye.
İletişim: legal@yougleam.app · Genel destek: help@yougleam.app
Veri sorumlusu, KVK Kurumu eşik değerinin (yıllık 10.000 kişi) altında olduğundan VERBİS kayıt yükümlülüğü bulunmamaktadır. Bir veri koruma temsilcisi atanması zorunlu eşiklerin altında kalındığından atanmamıştır; tüm talepler doğrudan veri sorumlusuna iletilir.
2. Topladığımız kişisel veriler
Kategoriler ve veri türlerinin tam tablosu KVKK Aydınlatma Metni Madde 2'dedir. Özetle: kimlik (ad, kullanıcı adı, doğum tarihi), iletişim (e-posta), hesap (profil foto, biyografi, tercihler), içerik (anlar, hisler, Glow/Relate etkileşimleri, bağ sohbetleri, kapsüller, manifestler), güvenlik (giriş zamanları, IP), isteğe bağlı (konum, bülten). Özel nitelikli kişisel veri (sağlık, din, biyometrik vb.) talep etmeyiz; kullanıcı serbest metinde paylaşırsa bu içerik kendi beyanıdır.
3. İşleme amaçları ve hukuki sebepler
Her veri işleme faaliyeti aşağıdaki hukuki sebeplerden birine dayanır (KVKK m.5-6 / GDPR m.6):
| Amaç | İşlenen veri | Hukuki sebep |
|---|---|---|
| Hesap oluşturma ve yönetimi | Kimlik, iletişim, hesap | Sözleşmenin kurulması/ifası |
| Bağ sistemi (karşılıklı takip + karşılıklı Glow eşleşmesi) | İçerik, hesap | Sözleşmenin ifası |
| Burca özel günlük mesaj | Doğum tarihi | Sözleşmenin ifası |
| Bildirimler | Cihaz/push belirteci | Açık rıza (kapatılabilir) |
| Bülten / pazarlama | E-posta | Açık rıza (geri alınabilir) |
| Ürün kullanım analitiği | Kullanım olayları (içerik hariç) | Meşru menfaat |
| Konum (şehir/ülke) | Kullanıcının beyan ettiği konum | Açık rıza |
| Güvenlik, dolandırıcılık ve kötüye kullanım önleme | Giriş zamanları, IP, loglar | Meşru menfaat |
| Şikayet ve moderasyon, topluluk kuralları | Şikayet kaydı, ilgili içerik | Hukuki yükümlülük / meşru menfaat |
| Yasal yükümlülükler ve hukuki taleplerin takibi | Gerekli asgari veri | Hukuki yükümlülük |
4. Çerezler
Yalnızca zorunlu çerezler (tema, çerez tercihi) ve çerez kullanmayan anonim ziyaretçi sayımı kullanılır. Üçüncü taraf reklam çerezi, takip pikseli, Facebook Pixel veya Google Analytics yoktur. Ayrıntı: Çerez Politikası.
5. Verilerin paylaşımı ve aktarımı
Diğer kullanıcılar
- Profilin (görünürlük ayarına bağlı)
- Paylaştığın "an"lar (paylaşım ayarına bağlı)
- Bağ kurduğun kişiyle sohbet içeriği
Hizmet sağlayıcılar (veri işleyenler)
- Supabase Inc. — Veritabanı, kimlik doğrulama, depolama (Tokyo, Japonya — AWS ap-northeast-1)
- PostHog Inc. — Ürün kullanım analitiği; sohbet/an içeriği gönderilmez (AB, Frankfurt)
- Functional Software, Inc. (Sentry) — Hata ve çökme izleme (ABD, SCC)
- Google LLC — Push bildirimi / FCM (ABD, SCC)
- Apple Inc. — Apple ile Giriş (ABD, SCC)
- Resend Inc. — Bülten / bekleme listesi e-postası (ABD, SCC)
- Vercel Inc. — Web barındırma ve edge fonksiyonları (AB/Global)
- Zoho Corporation — E-posta alımı ve işlemsel e-posta (AB)
Hizmet sağlayıcılar yalnızca talimatlarımız doğrultusunda ve sözleşmeyle sınırlı olarak veri işler.
Yurt dışına aktarım
Birincil veritabanı saklaması Tokyo, Japonya'dadır (Supabase, AWS ap-northeast-1). Analitik AB Frankfurt'tadır (PostHog). Türkiye dışı tüm aktarımlar (Tokyo, ABD, AB) KVKK Madde 9 ve GDPR Madde 46 kapsamında Standart Sözleşme Hükümleri (SCC) + kullanıcı açık rızası ile gerçekleştirilir.
Yasal makamlar
Yalnızca geçerli mahkeme kararı veya bağlayıcı yasal zorunluluk halinde, talep edilen asgari veriyle sınırlı olarak.
Reklamcılar
Hiçbir zaman. Verilerin satılmaz, kiralanmaz, reklam amaçlı profillenmez.
6. Verilerin saklandığı yer
Birincil saklama: Tokyo, Japonya (Supabase). Analitik: AB Frankfurt (PostHog). Yedekler şifreli olarak tutulur. Türkiye dışı aktarımlar SCC ile korunur.
7. Saklama süreleri ve imha
- Hesap bilgileri: hesap silinene kadar + en fazla 30 gün yedek
- Anlar: hesap silinene kadar
- Bağ sohbetleri: konuşma penceresi 24 saat sonra kapanır; mesajlar hesap silinene kadar saklanır
- IP / kimlik doğrulama logları: en fazla 30 gün (giriş denemeleri 7 gün)
- Şikayet kayıtları: hesap silinene kadar (kötüye kullanımın önlenmesi)
- Pazarlama izni: geri alınana kadar
Saklama süresi dolan veriler periyodik imha (azami 6 ayda bir) veya talep üzerine 30 gün içinde silinir, yok edilir veya anonim hale getirilir. Hesap silindiğinde tüm veriler 30 gün içinde kalıcı olarak silinir (yasal saklama yükümlülüğü olan veriler hariç).
8. Veri güvenliği (KVKK m.12)
Uygun teknik ve idari tedbirleri uygularız:
- Aktarımda TLS/HTTPS şifrelemesi; depolamada şifreli veritabanı (Supabase/PostgreSQL).
- Satır düzeyi güvenlik (Row Level Security) ile kullanıcı verisi izolasyonu.
- Parolalar geri döndürülemez biçimde özetlenir (Supabase Auth); düz metin parola saklanmaz.
- En az yetki ilkesi, erişim kontrolü ve erişim loglama.
- Düzenli yedekleme ve güncel bağımlılık/yama yönetimi.
Hiçbir sistem %100 güvenli değildir; makul ölçüde en yüksek koruma hedeflenir.
9. Veri ihlali bildirimi
Kişisel veri ihlali halinde, KVKK ve GDPR uyarınca Kurul'a/yetkili denetim makamına ve etkilenen kullanıcılara gecikmeksizin (GDPR'da kural olarak 72 saat içinde) bildirim yaparız.
10. Otomatik karar verme ve profilleme
Kullanıcı üzerinde hukuki sonuç doğuran veya benzer biçimde önemli etki yaratan, yalnızca otomatik işlemeye dayalı bir karar vermeyiz. Burç mesajı, Düello ve Bağ eşleşmesi yalnızca uygulama işlevidir; reklam veya kredi/işe alım benzeri profilleme yapılmaz.
11. Haklarınız
KVKK Madde 11 ve GDPR kapsamında: bilgi/erişim, düzeltme, silme ("unutulma"), işlemenin kısıtlanması, itiraz, veri taşınabilirliği, açık rızanın geri alınması ve otomatik karara itiraz haklarına sahipsin.
Kullanım: legal@yougleam.app adresine, konuya "KVKK Başvurusu — [hak]" yazarak. Kimlik doğrulaması talep edilebilir. Talepler en geç 30 gün içinde ücretsiz yanıtlanır (orantısız maliyet halinde Kurul tarifesi uygulanabilir). Memnun kalmazsan Kişisel Verileri Koruma Kurumu'na başvurabilirsin: kvkk.gov.tr.
12. Pazarlama ve açık rızanın geri alınması
Bülten / bekleme listesi kaydı yalnızca açık rıza ile yapılır. Kaydının silinmesini ve e-posta almamayı dilediğin zaman legal@yougleam.app üzerinden talep edebilirsin. Geri alma, önceki işlemenin hukukiliğini etkilemez.
13. Çocukların verileri
Gleam 13 yaş ve üzeri içindir. Kayıt sırasında doğum tarihi alınır ve 13 yaşından küçük olanların kaydı engellenir. 13 yaşından küçük bir kullanıcı tespit edilirse hesap kapatılır ve verileri silinir.
14. Üçüncü taraf bağlantıları
Sitede/uygulamada üçüncü taraf bağlantıları bulunabilir. Bu sitelerin gizlilik uygulamalarından sorumlu değiliz; ilgili politikalarını incelemeni öneririz.
15. Değişiklikler
Önemli değişiklikleri uygulama içi bildirim + e-posta ile, yürürlükten önce makul süre vererek duyururuz. Güncel sürüm her zaman bu sayfadadır; tarih yukarıda belirtilir.
16. İletişim ve şikayet
- Veri/gizlilik soruları ve KVKK başvuruları: legal@yougleam.app
- Genel destek: help@yougleam.app
- Denetim makamı: Kişisel Verileri Koruma Kurumu — kvkk.gov.tr
Veri sorumlusu: Bilal Uğur Yayla (bireysel proje), İstanbul, Türkiye. Ayrıntılı kategori, hukuki sebep ve başvuru usulü için KVKK Aydınlatma Metni.