wheretf — Gizlilik Politikası (Privacy Policy)
Versiyon: 2.2
Yürürlük: 23 / 05 / 2026
Geçerli Hukuk: 6698 sayılı KVKK; AB GDPR (Tüzük 2016/679); 5651 sayılı Kanun; 6563 sayılı ETK; Apple App Store / Google Play yayın gereklilikleri.
Dil: Türkçe (asıl) — İngilizce çevirisi referans amaçlıdır.
1. Kim Olduğumuz
wheretf, araba kültürü topluluğu için tasarlanmış, gerçek zamanlı konum tabanlı bir sosyal mobil uygulamadır. Veri sorumlusu Fikret Dara Aktaş'tır (gerçek kişi). İletişim: kvkk@wheretf.app.
Bu politika; uygulamayı (iOS, ileride Android) ve wheretf.app web sitesini kullandığında kişisel verilerinin nasıl toplandığını, işlendiğini, paylaşıldığını ve korunduğunu açıklar.
2. Topladığımız Veriler
2.1 Sen Doğrudan Verdiğin Bilgiler
- Hesap: ad, kullanıcı adı, e-posta, doğum yılı (18+ doğrulaması)
- Profil: profil fotoğrafı, biyografi, araç bilgileri (model, yıl — opsiyonel)
- İçerik: Highlights fotoğrafları, açıklamalar, Voice Room mesajları
- İletişim: destek talepleri, başvuru ve şikayet kayıtları
2.2 Cihaz/Otomatik Toplanan Veriler
- Konum: GPS koordinatları, hız, hareket yönü (yalnızca açık rıza ile; 24 saat saklama)
- Cihaz: model, OS sürümü, uygulama sürümü, dil, zaman dilimi, IP, User-Agent
- Kullanım: ekran görüntüleme, açma süresi, hata kayıtları (Firebase Crashlytics — opsiyonel)
- Push: FCM push token
- Sensörler: accelerometer (yalnızca Performans Kronometresi çalışırken ve Bump sarsma tespiti için — ham veri saklanmaz)
- Bluetooth (BLE): kullanılmaz. Bump özelliği GPS yakınlığı + accelerometer ile çalışır.
2.3 Toplamadıklarımız
- Sürekli ses kaydı yapmayız. Voice Room yalnızca anlık (kayıtsız) akış kullanır.
- Cihaz rehberini, takvimini, mesajlarını okumayız.
- Reklam/üçüncü taraf takip SDK'sı kullanmayız. (Eklendiğinde bu politika güncellenir.)
- OpenAI / üretken yapay zekâ sağlayıcılarına kişisel veri göndermeyiz.
- Bluetooth (BLE) ile çevre cihazları taramayız — Bump GPS + accelerometer ile çalışır.
2.4 Pazarlama Bildirimi — v1 Sürümünde YOK
v1 (launch) sürümünde yalnızca işlemsel ve güvenlik bildirimleri gönderiyoruz (yeni mesaj, davet, güvenlik uyarısı, hesap bildirimi). Pazarlama push'u, e-postası veya SMS'i göndermiyoruz. İleride pazarlama iletişimi yapmak istersek:
- Ayrı açık rıza alırız (Açık Rıza Beyanları §RIZA 5),
- İYS (İleti Yönetim Sistemi) kaydımızı kurar ve süreci yönetiriz,
- Bu Politika ilgili bölümler güncellenir ve sana bildirilir.
3. Verileri Niçin İşliyoruz (Amaçlar ve Yasal Dayanaklar)
| Amaç | Yasal Dayanak (KVKK / GDPR) |
|---|---|
| Hesap, oturum, temel uygulama içi işlevler | md.5/2-c sözleşme / Art. 6(1)(b) |
| Konum paylaşımı, Voice Room, Bump (GPS+accelerometer), Fotoğraf paylaşımı, Pazarlama, Yurt dışı aktarım | md.5/1 açık rıza / Art. 6(1)(a) |
| 5651 IP/log saklama, mali kayıt, kolluk talebi | md.5/2-ç yasal yükümlülük / Art. 6(1)(c) |
| Hata izleme, güvenlik, abuse tespiti | md.5/2-f meşru menfaat / Art. 6(1)(f) (denge testi yapıldı) |
| Hukuki taleplerin tesisi/savunması | md.5/2-e / Art. 6(1)(f), Art. 9(2)(f) |
4. Verileri Kiminle Paylaşırız
4.1 Diğer wheretf Kullanıcıları
Profil bilgilerin (kullanıcı adı, fotoğraf, paylaşım kapsamı seçimine göre konum/içerik) uygulama içinde diğer kullanıcılara gösterilir.
4.2 Veri İşleyiciler (alt-işleyenler)
| Sağlayıcı | Konum | Hangi Veri | Amaç |
|---|---|---|---|
| Supabase Inc. | AB (Frankfurt — eu-central-1) | Auth + PostgreSQL + Storage + Realtime — tüm kullanıcı verisi | Backend |
| Mapbox Inc. | ABD | Konum koordinatları, geocoding sorguları | Harita + geocoding |
| Google LLC / Firebase FCM | ABD/global | FCM token, push payload | Push bildirimi |
| Google LLC / Firebase Crashlytics | ABD | Çökme stack trace, cihaz/uygulama metadata | Çökme/hata takibi (opsiyonel — kullanıcı izniyle) |
| LiveKit Inc. | AB (eu-west) | Anlık ses akışı (kayıtsız), oda metadata | Voice Room WebRTC |
Bu sağlayıcılar wheretf adına, sözleşmeyle bağlı (KVKK md.12, GDPR Art. 28 DPA) veri işleyici olarak çalışır. Kendi amaçları için veri kullanamazlar.
4.3 Yetkili Kamu Kurum/Kuruluşları
Mahkeme, savcılık, kolluk, BTK, KVKK Kurumu / yetkili DPA — yalnızca yasal talep çerçevesinde.
4.4 Kurumsal Devir (varsa)
İşletme satışı, birleşmesi durumunda alıcıya devir; 30 gün önceden kullanıcıya bildirilir ve çıkma hakkı tanınır.
4.5 Veri Satışı
wheretf, kişisel verilerini üçüncü kişilere satmaz. Reklam profilleme amacıyla paylaşmaz.
5. Uluslararası Aktarımlar (GDPR Chapter V — Türkiye dışı kullanıcılar için)
AB/AEA kullanıcılarının verisi ABD'ye aktarılabilir. Aktarımlar Standard Contractual Clauses (Commission Decision 2021/914, Module 2) ile güvence altına alınır. AB Komisyonu yeterlilik kararı bulunan ülkelerde (örn. ABD — DPF kapsamında sertifikalı alıcı) bu mekanizma kullanılabilir. Aktarım mekanizmalarının güncel durumu talep üzerine paylaşılır (kvkk@wheretf.app).
6. Saklama (özet)
Saklama ve imha sürelerinin tam dökümü talep üzerine sağlanır (kvkk@wheretf.app).
| Veri | Saklama |
|---|---|
| Anlık konum | 24 saat |
| Voice Room ses | Kaydedilmez |
| Accelerometer ham veri (Bump/Performans) | Kaydedilmez (yalnızca türetilmiş sonuç) |
| Bump olayları | Hesap silinene kadar (streak için) |
| Status (24h TTL metin) | 24 saat |
| Reactions, Sync Memory fotoğrafları | Hesap silinene kadar |
| Performans Kronometresi sonuçları | 1 yıl (yetkili merci ispat süresi) |
| Hesap, profil, içerik | Hesap silinene kadar; sonra 72 saatte imha (soft → cascade hard) |
| 5651 trafik/IP/oturum log | 1 yıl |
| Açık rıza kayıtları | 10 yıl (ispat); hesap silinince user_id MD5 hash ile anonimleştirilir |
| Veri ihlal kayıtları | 5 yıl |
| Mali belgeler (varsa) | 10 yıl |
7. Senin Hakların
KVKK md.11
Bilgi alma, düzeltme, silme, aktarım bilgisi, otomatik karara itiraz, zararın tazmini.
GDPR (AB'li kullanıcılar için ek)
Erişim (Art. 15), düzeltme (Art. 16), silme/unutulma (Art. 17), kısıtlama (Art. 18), veri taşınabilirliği (Art. 20 — JSON export), itiraz (Art. 21), otomatik karar/profilleme dışında kalma (Art. 22), denetim makamına şikayet (Art. 77).
Nasıl Kullanırsın
- Uygulama içi: Settings → Verilerim → Talep
- Hesap silme (Apple 5.1.1(v) gereği uygulama içi): Settings → Hesap → Hesabımı Sil (web üzerinden de mümkün)
- Veri indirme (taşınabilirlik): Settings → Verilerim → JSON İndir
- E-posta: kvkk@wheretf.app
Yanıt: KVKK 30 gün; GDPR 1 ay (gerekirse +2 ay).
8. Güvenlik
- TLS 1.2+ aktarım şifrelemesi, depolama şifrelemesi
- Row-Level Security (Supabase RLS) ile hücre düzeyinde yetkilendirme
- Yönetici erişiminde MFA
- Periyodik güvenlik denetimi, en az yetki ilkesi
- 72 saat içinde Kurul/DPA veri ihlali bildirim prosedürü
100% güvenlik garantisi imkânsızdır; potansiyel risk olduğunda bildirim yapılır.
9. Çocuklar
wheretf yalnızca 18 yaş ve üzeri içindir. 18 yaş altı kayıtlar tespit edildiğinde derhal kapatılır ve veri imha edilir. Çocuğunun wheretf kullandığını düşünüyorsan kvkk@wheretf.app.
10. Değişiklikler
Bu politika güncellendiğinde versiyon numarası artırılır, 15 gün önceden uygulama içi ve e-posta ile bildirilir. Mevcut açık rızaları etkileyen değişikliklerde yeniden onay alınır.
11. İletişim ve Şikayet
| Kanal | Adres |
|---|---|
| Veri Sorumlusu | Fikret Dara Aktaş |
| KVKK | kvkk@wheretf.app |
| Genel destek | support@wheretf.app |
| Şikayet (TR) | Kişisel Verileri Koruma Kurumu — kvkk.gov.tr |
| Şikayet (AB) | Üye devletteki yetkili DPA (örn. IT: Garante, FR: CNIL) |
Versiyon Geçmişi
- v2.2 — 2026-05-23 — Truth-sync: BLE değil, Firebase Crashlytics, LiveKit AB eu-west, 5651 1 yıl, Status/Reactions/Bump detay
- v2.1 — 2026-05-23 — §2.4 v1'de pazarlama bildirimi yok (İYS muafiyet); VERBİS muafiyet referansı
- v2.0 — Mayıs 2026 — GDPR uyumu, hesap silme akışı, alt-işleyici listesi
- v1.0 — Mayıs 2026 — İlk taslak
Hazırlayan: Fikret Dara Aktaş (Veri Sorumlusu) — Avukat incelemesi planlanmaktadır.