Gizlilik Politikası

Son Güncelleme: 9 Aralık 2024

1. GİRİŞ VE KAPSAM

Bu Gizlilik Politikası ("Politika"), Nori uygulaması ve ilgili hizmetleri ("Hizmetler") kullanırken kişisel verilerinizin nasıl toplanacağını, işleneceğini, saklanacağını ve korunacağını açıklar.

Hizmetlerimizi kullanarak bu politikayı kabul etmiş sayılırsınız. Kabul etmiyorsanız lütfen Hizmetleri kullanmayın.

İletişim: norisoftwareapp@gmail.com | Adres: İstanbul, Türkiye

2. TOPLADĞIMIZ VERİLER

2.1 Doğrudan Sağlanan Veriler

Hesap oluştururken gönüllü olarak sunduğunuz veriler:

  • E-posta adresi
  • Kullanıcı adı
  • Profil fotoğrafı
  • Şifre (salt ve hash ile şifrelenmiş olarak saklanır)
  • Telefon numarası (opsiyonel)
  • Doğum tarihi (opsiyonel)

2.2 Uygulama Verileri

Aşağıdaki izinleri cihaz ayarlarından isteyebiliriz:

Konum Verisi (GPS): Anılarınızı harita üzerinde göstermek ve "Yakınımdaki Anılar" özelliğini sunmak için gerçek zamanlı konum verisi işleriz. Bu veri cihazınızda şifrelenmiş olarak saklanır. İzni dilediğiniz zaman iptal edebilirsiniz.

Medya Erişimi: Fotoğraf ve videoları anılarınıza ekleyebilmeniz için galeri ve kamera erişim izni isteyebiliriz.

Kontaklar: Arkadaşlarınızı bulabilmeniz için isteğe bağlı olarak kontakt listesine erişim talep edebiliriz.

Bildirimler: Arkadaşlık istekleri, anı hatırlatmaları ve sistem bildirimleri için anlık bildirim izni isteyebiliriz.

Takvim: Anıların tarihi bilgisini işlemek için takvim verilerine erişim talep edebiliriz.

2.3 Otomatik Olarak Toplanan Veriler

Hizmetleri kullanırken aşağıdaki veriler otomatik olarak toplanır:

  • IP Adresi: Bağlantınızın kaynağını belirlemek için
  • Cihaz Bilgileri: Model, üretici, benzersiz tanımlayıcı (IDFA/AAID)
  • İşletim Sistemi: Sürüm, dil, bölge ayarları
  • Uygulama Versiyonu: Güncellemeler ve uyumluluk kontrolü için
  • Kullanım İstatistikleri: Hangi özellikleri kullandığınız, ne kadar süre harcadığınız
  • Kilitlenme ve Hata Raporları: Uygulamanın stabilitesini iyileştirmek için
  • Bağlantı Bilgileri: İnternet türü (WiFi/mobil), bağlantı hızı

2.4 Çerezler ve Benzeri Teknolojiler

Nori'nin web versiyonunda (varsa) şu teknolojileri kullanabiliriz:

  • Oturum Çerezleri: Oturumunuzu aktif tutmak için
  • Tercih Çerezleri: Dil, tema gibi ayarlarınızı hatırlamak için
  • Analitik Çerezleri: Google Analytics 4 aracılığıyla kullanım verilerini toplamak için
  • İzleme Pikselleri: Kampanya etkinliğini ölçmek için

Çerezleri tarayıcı ayarlarından devre dışı bırakabilirsiniz, ancak bu bazı özellikleri etkileyebilir.

2.5 Üçüncü Taraflardan Alınan Veriler

Sosyal Giriş (OAuth): Google veya başka sağlayıcılar üzerinden giriş yaparsanız, sadece temel profil bilgileri (ad, e-posta, profil resmi) alırız. Başka veri talebinde bulunmayız.

Analitik Sağlayıcıları: Google Firebase, bize agregat kullanım verileri sağlar.

3. VERİLERİN İŞLENME AMACI

Verilerinizi aşağıdaki amaçlarla işleriz:

3.1 Hizmetin Sunulması

  • Hesap oluşturma ve kimlik doğrulama
  • Anılarınızı kaydetme, şifreleme ve bulutda saklama
  • Konum verilerinize dayanarak harita oluşturma
  • Sosyal özellikler (takipleşme, anı paylaşımı, yorum)
  • Arama ve filtreleme işlevleri

3.2 Hizmetin İyileştirilmesi

  • Kültür analizi ve performans ölçümü
  • Hata tespit ve çözüm
  • Yeni özellik geliştirme
  • Kullanıcı deneyimi optimizasyonu

3.3 İletişim

  • Hesap doğrulaması ve şifre sıfırlama
  • Önemli güvenlik bildirimleri
  • Geri bildirim talepleri (tercih ettiğiniz sürece)
  • Ürün güncellemeleri hakkında bilgilendirme

3.4 Güvenlik ve Dolandırıcılık Önleme

  • Yetkisiz erişim tespiti
  • Kötü amaçlı aktivitelerin engellenmesi
  • Spam ve taciz davranışlarının takibi
  • Veri ihlali araştırması

3.5 Yasal Yükümlülükler

  • KVKK ve GDPR uyumluluğu
  • Mahkeme kararları ve yasal taleplar
  • Vergi ve muhasebe kayıtları
  • İş ve işlem kayıtları

3.6 Yasal Dayanak

Kişisel verilerinizi işlemek için aşağıdaki yasal dayanaklara dayanıyoruz:

  • KVKK Madde 5: Hizmet sözleşmesinin yerine getirilmesi
  • GDPR Madde 6: Meşru menfaat ve sözleşmesel yükümlülük
  • Açık Rıza: Marketing iletişimi için (dilediğiniz zaman iptal edebilirsiniz)

4. VERİ PAYLAŞIMI VE AKTARIMI

4.1 Hizmet Sağlayıcılar (Processorlar)

Verilerinizi aşağıdaki hizmet sağlayıcılarla paylaşılabilir:

SağlayıcıAmaçVeri TürüKonum
Google FirebaseVeritabanı, depolama, authenticationTüm uygulama verisiUSA, EU
Google Maps PlatformHarita hizmetleriKonum verisiUSA, EU
Google Analytics 4Kullanım analitikleriAgregat verilerUSA, EU

Bu sağlayıcılar verilerinizi işler ancak kendi amaçları için kullanamaz. Veri işleme sözleşmeleri (DPA) imzalanmıştır.

4.2 Diğer Kullanıcılar

Paylaştığınız anılar, paylaşım ayarlarınıza bağlı olarak diğer kullanıcılar tarafından görülebilir:

  • Sadece Ben: Sadece sizin göreceğiniz
  • Sadece Arkadaşlar: Takip ettiğiniz kişiler görebilir. ÖNEMLİ: "Günlük" (Daily) paylaşımları, gizlilik odaklı yapımız gereği SADECE arkadaşlarınız tarafından görüntülenebilir.
  • Herkese Açık: Hizmetin tüm kullanıcıları görebilir (Günlük paylaşımları hariç)

Paylaşım ayarlarını dilediğiniz zaman değiştirebilir veya verilen izni geri çekebilirsiniz.

4.3 Yasal Zorunluluklar

Aşağıdaki durumlarda verilerinizi yetkili makamlarla paylaşabiliriz:

  • Geçerli bir mahkeme kararı veya hukuk müşaviri talebi
  • Yasalar veya yönetmelikler tarafından zorunlu kılındığında
  • Kamu güvenliğini veya başkalarının güvenliğini korumak için

Mümkün olan her durumda, ilgili taleptan sizi haberdar etmeye çalışırız.

4.4 İş Devri

Nori satın alınması, birleştirilmesi veya varlık satışı durumunda, verileriniz devir alan şirkete geçebilir. Böyle bir durumda sizi bilgilendireceğiz.

4.5 Uluslararası Veri Aktarımı

Google hizmetleri aracılığıyla verileriniz USA ve AB ülkelerine aktarılabilir. Google, Standard Contractual Clauses (SCC) kapsamında GDPR uyumludur.

5. VERİ SAKLAMA

5.1 Saklama Süreleri

Veri TürüSaklama SüresiGerekçe
Hesap BilgileriÜyelik devam ettiği süreceHizmet sunumu
Anılar ve FotoğraflarÜyelik devam ettiği süreceKullanıcı içeriği
Konum VerisiSon 90 günPerformans ve harita
Analitik Veriler14 ayGoogle Analytics saklama politikası
Sistem Logları6 ayGüvenlik ve hata çözümü
Yedek Kopyalar30 günVeri kurtarma amaçlı

5.2 Hesap Silme Sonrası

Hesabınızı sildiğinizde:

  • Kişisel bilgileriniz hemen silinir
  • Anılarınız ve medya dosyaları 30 gün içinde kalıcı olarak silinir
  • Sistem yedekleri 30 gün sonra temizlenir
  • Üçüncü taraf sağlayıcılara gönderilen veriler onların saklama politikasına göre yönetilir

Unutulma Hakkı: GDPR kapsamında silme talebiniz 30 gün içinde yerine getirilir.

6. VERİ GÜVENLİĞİ

6.1 Teknik Güvenlik Önlemleri

  • Şifreleme: AES-256 şifrelemesi kullanılarak şifreli olarak saklanır
  • HTTPS/TLS: Tüm veri iletişimi SSL/TLS 1.2 veya üzeri ile şifrelenmiş
  • Hash Algoritması: Şifreler bcrypt (minimum 12 rounds) ile hash'lenmiş
  • API Güvenliği: OAuth 2.0 ve JWT token-based authentication
  • DDoS Koruması: Google Cloud Infrastructure aracılığıyla

6.2 Operasyonel Güvenlik

  • Çalışan eğitimi: Tüm ekip gizlilik ve güvenlik eğitimi alır
  • Erişim Kontrolü: En az yetki prensibi ile sınırlı erişim
  • Veri İşleme Sözleşmeleri: Tüm sağlayıcılarla imzalı DPA
  • İzin Sistemi: Çalışanlar sadece gerekli veri türlerine erişebilir

6.3 Olay Müdahale Planı

  • Veri ihlali durumunda 72 saat içinde KVKK/GDPR makamlarına bildirilir
  • Etkilenen kullanıcılar hemen haberdar edilir
  • Kök neden analizi yapılır
  • Önleyici tedbirler alınır

6.4 Uyarı

İnternet ve elektronik iletişim tamamen güvenli değildir. Verilerinizi maksimum güvenlikle korumaya çalışsak da, %100 güvenlik garanti edemeyiz.

7. KULLANICı HAKLARI

7.1 KVKK Kapsamında Haklar

Türkiye'de ikamet ediyorsanız, KVKK Kanunu uyarınca:

Erişim Hakkı: Verilerinizin nelerinin işlendiğini öğrenme hakkı Düzeltme Hakkı: Yanlış verilerin düzeltilmesini isteme hakkı Silme Hakkı: Verilerinizin silinmesini isteme hakkı İşlemeye İtiraz Etme Hakkı: Yasal olmayan işlemelere itiraz hakkı Aktarılabilirlik Hakkı: Verilerinizi başka bir sağlayıcıya aktarma hakkı

7.2 GDPR Kapsamında Haklar

AB ülkelerinde ikamet ediyorsanız, GDPR uyarınca ek haklar:

Açık Rıza Geri Çekme: Marketing iletişiminden istediğiniz zaman çıkma Otomatik Karar Almaya İtiraz: Algoritma temelli kararlardan bağışıklık talep etme Veri Taşıyabilirlik: Verilerinizi makine-okunur formatta alma (CSV, JSON)

7.3 Hak Talebini Nasıl Yaparsınız?

norisoftwareapp@gmail.com adresine yazarak aşağıdaki bilgileri sağlayın:

  • Tam adınız ve email adresiniz
  • Kimlik bildirimi kopyası (ID, pasaport vb.)
  • Talep ettiğiniz hak (erişim, düzeltme, silme vb.)
  • Talebin gerekçesi (opsiyonel)

Cevap Süresi: 30 gün içinde cevaplandırılır. Karmaşık talepler 90 güne kadar uzatılabilir.

7.4 Talep Reddedilmesi

Talebiniz reddedilirse, nedenleri açıklanacak ve itiraz etme hakkınız korunur.

8. ÇOCUKLARıN VERİLERİ

Nori 13 yaşın altındaki çocuklara yönelik değildir. 13 yaşından küçük birinin verilerini bilerek toplamayız. Böyle bir durumun farkına varırsak, verilerinizi hemen sileriz.

Ebeveynler/Vasilerin endişesi halinde: norisoftwareapp@gmail.com

9. ÜÇÜNCÜ TARAF LİNKLERİ

Nori, başka web sitelere veya uygulamalara linkler içerebilir. Bu gizlilik politikası sadece Nori'ye uygulanır. Üçüncü taraf hizmetlerinin gizlilik politikalarından siz sorumlusunuz.

10. POLİTİKA DEĞİŞİKLİKLERİ

Bu politikayı zaman zaman güncelleyebiliriz. Önemli değişiklikler durumunda email ile bilgilendirilirsiniz. Uygulamayı kullanmaya devam etmek, yeni politikayı kabul etmek anlamına gelir.

Güncelleme Tarihleri: Sayfanın üst kısmında bulunur.

11. PAZARLAMA VE REKLAMLAR

11.1 İzin Temelli İletişim

Marketing iletişimi sadece açık rızanızla yapılır:

  • Yeni özellikler hakkında bildirimler
  • Promosyon ve özel teklifler
  • Ürün güncellemeleri
  • Araştırma ve geri bildirim talepleri

Hesap ayarlarından veya gelen maillerdeki "Abonelikten Çık" linki aracılığıyla istediğiniz zaman iptal edebilirsiniz.

11.2 Reklam Platformları

Nori, şu anda reklamlar içermez. Gelecekte reklam entegrasyonu yapılacaksa:

  • Google AdMob aracılığıyla (kişi belirleyici olmayan reklamlar)
  • Kişisel verilerin ticari amaçla satılmayacağı

12. PRIVACY BY DESIGN VE VERİ KORUMASI ETKİ DEĞERLENDİRMESİ

12.1 Privacy by Design İlkesi

Nori uygulaması, gizlilikten yana tasarım ilkelerine göre geliştirilmiştir:

  • Veriler minimum seviyede toplanır (data minimization)
  • Varsayılan ayarlar en güvenli seçeneği içerir
  • Kullanıcılara kontrol seçenekleri sunulur
  • Veri işleme şeffaf yapılır

12.2 Veri Koruma Etki Değerlendirmesi (DPIA)

Yüksek riskli veri işlemeleri için DPIA yapılır:

  • Konum verisi işlemesi: Risk analizi tamamlandı
  • Sosyal ilişki veri tabanı: Güvenlik değerlendirmesi yapıldı
  • Veri paylaşım özellikleri: Gizlilik etkileri incelendi

Değerlendirme sonuçları gizlilik ekibinde saklanır ve talep üzerine paylaşılabilir.

13. VERİ İŞLEME KONTROLLERI

13.1 Otomatik Karar Alma ve Profil Oluşturma

Nori, tamamen otomatik karar alma yapmaz. Ancak:

  • Spam tespit algoritması: Uyarı gönderir, hesap otomatik kapatmaz
  • Akademik içerik tavsiyesi: Tavsiye sistemi kullanılır, zorunlu değildir
  • Anlamlılık skoru: Kullanıcı deneyimi iyileştirmek için (ticari amaç değil)

Bu işlemler GDPR Madde 22 kapsamında değerlendirilmiştir ve insan müdahalesinin sağlanacağı garanti edilir.

13.2 Açıklama Hakkı

Otomatik kararlar hakkında açıklama istemeniz halinde, makine öğrenmesi modelleri tanımlanacak ve etkinliği açıklanacaktır.

14. VERİ SORUMLUSU TEMSİLCİSİ

14.1 AB'de Faaliyet

Nori, AB'de kullanıcıların gizlilik haklarını korumak için veri sorumlusu temsilcisine sahiptir:

Temsilci Adı: [Temsilci Adı Belirtilecek] E-posta: [Temsilci E-posta] Telefon: [Telefon Numarası]

AB'de ikamet ediyorsanız, GDPR Madde 27 kapsamında temsilciye başvurabilirsiniz.

14.2 KVKK'da Temsilci

KVKK Madde 13 uyarınca, Türkiye dışında ikamet edenlerin başvuruları temsilcimize yapılabilir.

15. VERİ İŞLEME SÖZLEŞMELERI

15.1 Üçüncü Taraf Sözleşmeleri

Tüm veri işlemcileriyle aşağıdaki konuları içeren sözleşmeler imzalanmıştır:

  • Veri İşleme Yönergeleri (DPA): GDPR Madde 28 uyumlu
  • Alt İşlemci Bildirimi: İkinci seviye sağlayıcılar izin alır
  • Denetim Hakkı: Nori tarafından denetim ve audit yapılabilir
  • Veri Taşıyıcılığı: Sözleşme sona ererse veriler iade edilir
  • Gizlilik Yükümlülükleri: Çalışan gizlilik sözleşmeleri var

15.2 Alt İşlemciler (Subprocessors)

Alt İşlemciHizmetGDPR Uyumu
Google LLCCloud HostingEvet
Stripe (Ödeme)Ödeme İşlemeEvet
SendGrid (E-posta)E-posta GönderimiEvet

Alt işlemcilere ve güncellemelere norisoftwareapp@gmail.com adresinden ulaşabilirsiniz.

16. UYUMLULUK VE SERTIFIKASYONLAR

16.1 KVKK Uyumluluğu

Nori, Kişisel Verileri Koruma Kanunu (KVKK) ile uyumlu olarak hizmet vermeyi taahhüt eder:

  • Veri sahibinin onayı alınır
  • Veri işleme amaçları belirlenir
  • Güvenlik tedbirleri uygulanır
  • Denetim ve müdahale hakkı sağlanır

16.2 GDPR Uyumluluğu

AB'de faaliyet gösteren Nori, GDPR'a tam uyum sağlamaktadır:

  • Yasal dayanak açıkça belirtilir
  • Kullanıcı haklarına saygı gösterilir
  • Veri ihlali 72 saat içinde bildirilir
  • Veri koruma etkileri değerlendirilir

16.3 ISO 27001 Hazırlığı

Nori, bilgi güvenliği yönetim sistemi ISO 27001 standartlarına uygun hale getirilmektedir.

17. VERİ İHLALİ ve OLAYSALLıKLAR

17.1 Veri İhlali Bildirimi

Veri ihlali (hacking, yetkisiz erişim, vb.) durumunda:

  • Hızlı Müdahale: Sistem hemen kapatılabilir
  • Soruşturma: Kök neden analizi 24 saat içinde başlar
  • Kullanıcı Bildirimi: Etkilenen kullanıcılar hemen bilgilendirilir
  • Makam Bildirimi: KVKK ve GDPR makamları 72 saat içinde haberdar edilir
  • Basın Bildirimi: Kamuoyuna duyurulabilir (gerekirse)

17.2 Olayın Tanımı

"Veri ihlali," kişisel verilerin yetkisiz olarak işlenmesi, açığa çıkması veya kaybı anlamına gelir.

17.3 Sorumluluğunuz

  • Hesap bilgilerinizi gizli tutun
  • Şüpheli aktiviteleri bildirin
  • Cihazınız kaybedilirse haber verin
  • Güçlü şifreler kullanın

18. SÖZLEŞME DİŞİ HALKLAR (MONİTORİNG VE TRACKING)

18.1 Harici Takip

Nori, harici takip servisleri (pixel, beacon) kullanabilir:

  • Google Analytics 4: Agregat kullanım verilerini ölçmek için
  • Firebase Analytics: Uygulamanın performansını izlemek için

18.2 Do Not Track (DNT) İsteği

Tarayıcınızda "Do Not Track" ayarı varsa ve etkinse, bunu saygı ile karşılayacağız. Ancak, yasal yükümlülük gereği minimum takip devam edebilir.

18.3 Hedefleme (Targeting)

Nori, kişisel profil oluşturmak için tercih tabanlı hedefleme yapmaz. Sadece agregat metrikleri kullanırız.

19. KURUMLARARASI VERİ AKTARIM POLİTİKALARI

19.1 Atipik Veri Akışları

Nori, kişisel verilerinizi şu durumlar dışında aktarmaz:

  • Hizmet sağlayıcılarına (teknik nedenlerle)
  • Kullanıcı tarafından paylaşılan verilere (sosyal)
  • Yasal zorunluluk gereği

19.2 Gizlilik Kontratları

Tüm taraflar, veri paylaşımından önce gizlilik sözleşmesi imzalar.

20. SON HÜKÜMLER

20.1 Bilgilendirme Hakkı

Bu politika hakkında sorularınız varsa, norisoftwareapp@gmail.com adresine yazabilirsiniz.

20.2 Uyuşmazlık Çözümü

Gizlilik sorunları çözmek için:

  1. Nori ile iletişime geçin (30 gün)
  2. KVKK makamına başvurun
  3. Mahkemeye gidilse, Türkiye yasaları uygulanır

20.3 Başvuru Yolları

Politika Tarihi: 28 Kasım 2024 Sonraki Gözden Geçirme: 28 Kasım 2025