🔒 Gizlilik Politikası

1. Veri Sorumlusu

Ödexi mobil uygulaması, Ali Rıza Yüksektepe (Türkiye/Ankara) tarafından şahıs olarak işletilmektedir. KVKK kapsamında veri sorumlusu sıfatıyla hareket eden kişi Ali Rıza Yüksektepe'dir.

İletişim: support@odexi.app

2. Toplanan Kişisel Veriler

(a) Hesap Bilgileri (Supabase Auth)

• E-posta adresi
• Şifre (bcrypt hash, plain saklanmaz)
• Hesap oluşturma tarihi
• Son giriş tarihi

(b) Profil Bilgileri (opsiyonel)

• Görünen ad (display name)
• Tercih edilen dil (locale: tr/en/es/de/pt/ja)
• Tercih edilen para birimi (currency: TRY/USD/EUR/GBP/JPY)

(c) Ödeme Takip Verileri (Supabase PostgreSQL)

• Ödeme adları, tutarları ve tarihleri (kullanıcı tarafından girilen)
• Ödeme tipi (abonelik / taksit / fatura / tek seferlik)
• Kategori ve para birimi
• Ödeme geçmişi (manuel "ödedim" işaretleri)
• Bildirim tercihleri

(d) Push Bildirim Tokeni (Firebase Cloud Messaging)

• FCM Token (cihaz başına benzersiz, bildirim gönderimi için)

(e) Ödeme/Abonelik Verileri (RevenueCat)

• Premium abonelik durumu
• Satın alma geçmişi (App Store / Google Play tarafından yönetilir, finansal bilgi RevenueCat aracılığıyla işlenir, biz kart bilgisi GÖRMÜYORUZ)

(f) Analitik ve Tanılama Verileri (PostHog + Sentry + Firebase Crashlytics)

• Anonim kullanıcı kimliği (UUID, kişisel bilgi içermez)
• Uygulama içi etkileşim olayları (sayfa ziyaretleri, buton tıklamaları)
• Crash raporları (sürüm, cihaz modeli, OS sürümü, stack trace)
• Performans metrikleri

Bu veriler opsiyoneldir. Onboarding sırasında izin istenir, reddedebilirsiniz.

3. Verilerin İşlenme Amacı ve Hukuki Dayanağı

KVKK m.5 ve GDPR m.6 uyumlu olarak veri işleme amaçlarımız ve hukuki dayanaklarımız:

4. Üçüncü Taraf Hizmet Sağlayıcılar

• Supabase (PostgreSQL backend) — Hesap, profil, ödeme verileri saklanır. Sunucular ABD/AB'dedir. supabase.com/privacy
• Firebase Cloud Messaging (Google) — Push bildirim teslimi. FCM token gönderilir, içerik (bildirim metni) Firebase üzerinden iletilir. firebase.google.com/support/privacy
• Firebase Crashlytics (Google) — Crash raporları (opsiyonel, opt-in). Stack trace + cihaz model bilgisi.
• Sentry — Hata izleme (opsiyonel, opt-in). sentry.io/privacy
• PostHog — Ürün analitiği (opsiyonel, opt-in). Anonim kullanım olayları. posthog.com/privacy
• RevenueCat — Premium abonelik durumu yönetimi. App Store ve Google Play satın almalarını anonim kullanıcı kimliği ile takip eder. Kart bilgisi RevenueCat'e GÖNDERİLMEZ — bu işlem doğrudan Apple / Google tarafından yapılır. revenuecat.com/privacy
• Apple App Store / Google Play — Uygulama dağıtımı ve in-app satın alma. Kart bilgisi mağazalar tarafından işlenir. apple.com/legal/privacy  ·  policies.google.com/privacy

5. Veri Aktarımı

Verileriniz Türkiye sınırları dışındaki sunucularda (ABD, AB) saklanabilir. Üçüncü taraf hizmet sağlayıcılarımız (Supabase, Firebase, Sentry, PostHog, RevenueCat) verileri kendi sunucularında işleyebilir. Bu aktarımlar standart sözleşme hükümleri (SCC) ve GDPR-uyumlu çerçeveler altında yapılmaktadır.

KVKK m.9 kapsamında yurt dışına aktarım için açık rızanız onboarding sırasında alınmaktadır.

6. Verilerin Saklama Süreleri

• Hesap aktif olduğu sürece: Hesap bilgileri ve ödeme verileri saklanır.
• Hesap silme talebinden sonra: Anında ve geri alınamaz şekilde silinir (delete-account.html).
• Crash raporları: 90 gün.
• Analitik olayları: 12 ay.
• Yasal saklama yükümlülükleri (vergi/muhasebe): İlgili yasal süreler geçerlidir.

7. Veri Güvenliği

Verileriniz endüstri standardı şifreleme ile korunur:

• Aktarım sırasında: TLS 1.3 (HTTPS bağlantıları)
• Saklama sırasında: AES-256 şifreleme (Supabase PostgreSQL)
• Şifreler: bcrypt one-way hash (orijinal şifre saklanmaz)
• API erişim kontrolü: Supabase Row-Level Security (RLS) ile her kullanıcı sadece kendi verisini görür
• Cihaz seviyesinde: iOS Keychain ve Android Keystore üzerinden token saklama
• Root/jailbreak tespiti: Güvensiz cihazlarda uygulama açılmaz

8. Kullanıcı Hakları

KVKK m.11 ve GDPR Art. 15-22 çerçevesinde haklarınız:

• (a) Erişim hakkı: Hangi verilerinizin işlendiğini öğrenme
• (b) Düzeltme hakkı: Yanlış/eksik verileri düzeltme (uygulama içinden)
• (c) Silme hakkı: Verilerinizin silinmesini talep etme (uygulama içi "Hesabımı Sil" butonu veya support@odexi.app)
• (d) İşlemeyi kısıtlama hakkı
• (e) Veri taşınabilirliği: Verilerinizi makine okunabilir formatta alma (CSV/PDF rapor — uygulama içinde)
• (f) İtiraz hakkı: Otomatik kararlara itiraz etme
• (g) Açık rızayı geri alma hakkı: Onboarding'de verdiğiniz rızaları Ayarlar'dan geri alabilirsiniz

Bu haklarınızı kullanmak için: support@odexi.app

9. Çerez Politikası

Ödexi mobil uygulaması çerez kullanmaz. odexi.app web sitesi sadece zorunlu teknik amaçlar için (Tailwind CSS yüklemesi) Cloudflare CDN kullanır. Reklam veya izleme çerezi YOK.

10. Çocukların Gizliliği

Ödexi 13 yaşın altındaki çocukların kullanımı için tasarlanmamıştır. 13 yaşın altındaki bir kullanıcının verilerini bilerek toplamayız. Bu durumun tespiti halinde veriler derhal silinir.

11. Bildirim Zorunluluğu

Veri ihlali durumunda KVKK m.12/5 ve GDPR m.33 uyarınca, ihlal tespit edildikten sonra en geç 72 saat içinde KVKK Kurumu'na ve etkilenen kullanıcılara bildirim yapılacaktır.

12. Değişiklikler

Bu Gizlilik Politikası güncellenirse, "Son Güncelleme" tarihi yenilenir ve önemli değişiklikler uygulama içi bildirim ile duyurulur.

13. İletişim

Bu Gizlilik Politikası ile ilgili sorularınız için:

E-posta: support@odexi.app

Veri Sorumlusu: Ali Rıza Yüksektepe (Türkiye/Ankara)