1. Veri Sorumlusu
Bütçe Takip uygulamasını ("Uygulama") geliştiren GitHub butce-takip organizasyonu, KVKK kapsamında veri sorumlusudur. İletişim için takipbutce@gmail.com adresini kullanabilirsin.
2. İşlediğimiz Kişisel Veriler
Uygulama yerel-öncelikli (offline-first) tasarlanmıştır. Verilerinin büyük bölümü yalnızca cihazında saklanır ve internete gönderilmez. Aşağıdaki istisnalar haricinde hiçbir kişisel verin bizim sunucularımıza iletilmez.
2.1. Yerel Veriler (cihazında kalır)
- Hesap bakiyeleri, gelir/gider işlemleri, bütçeler, kategoriler
- Borçlar, hedefler, tekrarlayan kurallar, şablonlar
- Tercihler (tema, bildirimler, dashboard düzeni)
- İşlem fotoğrafları (varsa) — yalnızca cihaz galerisinde
Yerel veriler şifrelenmiş SQLite veritabanında saklanır.
2.2. Pro Abonelik ile Bulut Sync (opsiyonel)
Pro aboneliğine sahip kullanıcı bulut senkronizasyonunu açtığında aşağıdaki veriler Supabase altyapısı üzerinden EU/Frankfurt sunucularında işlenir:
- Email adresi — hesap kimliği (Magic Link auth)
- Yukarıdaki yerel verilerin şifrelenmiş bağlantı (HTTPS) üzerinden eş kopyası
- Son giriş zamanı, oturum token'ı (otomatik yenilenir)
Bulut sync kapatıldığında verilerin Supabase'den kaldırılır (sen "Hesabımı sil" yaptığında).
2.3. Abonelik Yönetimi (RevenueCat)
Pro abonelik satın alındığında ödeme App Store / Google Play üzerinden yapılır. Abonelik durumu RevenueCat aracılığıyla takip edilir. Bu süreçte cihaz tanımlayıcısı (ID for Vendor / Advertising ID) ve satın alma kayıtları RevenueCat'e iletilir. Apple/Google'ın kendi gizlilik politikaları da geçerlidir.
2.4. Reklamlar (Free kullanıcılar için)
Free sürümde Google AdMob banner ve interstitial reklamlar gösterilebilir. Reklam kişiselleştirmesi için cihazın reklam tanımlayıcısı (IDFA/AAID) kullanılabilir. İlk açılışta seçim sorulur:
- Kişiselleştirilmiş reklamlar: IDFA paylaşılır
- Bağlamsal reklamlar: tanımlayıcı paylaşılmaz
Pro abonelik sahiplerinde reklam gösterimi kapatıldığı için bu veri işlenmez.
3. İşlemenin Amacı ve Hukuki Dayanağı
| Amaç | Hukuki Dayanak (KVKK m.5) |
|---|---|
| Yerel uygulama özelliklerinin sağlanması | Sözleşmenin ifası |
| Bulut sync (Pro) | Açık rıza + sözleşmenin ifası |
| Abonelik yönetimi | Sözleşmenin ifası |
| Reklam gösterimi (Free) | Açık rıza (consent banner ile alınır) |
| Hizmet iyileştirme (anonim crash logs) | Meşru menfaat |
4. Verilerin Paylaşıldığı Üçüncü Taraflar
- Supabase Inc. (EU, Frankfurt) — bulut veri depolama ve kimlik doğrulama altyapısı. Pro kullanıcı verilerinin işlendiği yer. Politika
- RevenueCat Inc. (ABD) — abonelik yönetimi. Politika
- Google LLC (AdMob) — Free sürümde reklam gösterimi. Politika
- Apple Inc. / Google LLC — App Store / Google Play aracılığıyla satın alma işlemleri.
- Resend — Pro kullanıcılara giriş linki gönderen email sağlayıcısı. Politika
Hiçbir kişisel veri reklam ve abonelik amacı dışında satılmaz veya ticari amaçla üçüncü taraflara aktarılmaz.
5. Yurt Dışına Veri Aktarımı
Supabase verileri Frankfurt (Almanya) AB veri merkezinde işler. RevenueCat ve Google ABD merkezlidir. Veri aktarımı KVKK m.9 kapsamında açık rıza ve uygun güvenlik önlemleri (TLS şifreleme, sözleşmesel hükümler) ile gerçekleştirilir.
6. Verilerin Saklanma Süresi
- Yerel veriler: kullanıcı silene veya uygulamayı kaldırana kadar saklanır.
- Bulut verileri: Pro aboneliğin aktif olduğu süre boyunca + abonelik bitimi sonrası 30 gün (bu süre içinde tekrar aktive edebilirsin).
- Email adresi: hesabını silene kadar.
- Satın alma kayıtları: yasal yükümlülükler gereği 10 yıl (vergi mevzuatı).
- İletişim email'leri: amaç ortadan kalkana kadar.
7. Veri Sahibinin Hakları (KVKK m.11)
Her zaman aşağıdaki haklara sahipsin:
- Kişisel verilerinin işlenip işlenmediğini öğrenme
- İşlenen verilerine erişim ve kopya alma (uygulama içi "Yedek Al")
- Verilerinin düzeltilmesini isteme
- Verilerinin silinmesini isteme (uygulama içi "Hesabımı sil")
- İşlemeye itiraz etme
- Veri taşınabilirliği — JSON formatında yedek alabilirsin
- Otomatik karar verme süreçlerine itiraz
Hakkını kullanmak için takipbutce@gmail.com adresine email gönderebilirsin. KVKK m.13 uyarınca başvurun en geç 30 gün içinde cevaplanır.
8. Çoklu Cihaz Silme — Kullanıcı Sorumluluğu
"Hesabımı sil" işlemini gerçekleştirdiğinde:
- O cihazdaki tüm yerel veriler kalıcı olarak silinir.
- Pro hesabına bağlı bulut verilerin Supabase'den silinir.
- Auth hesabın (email) Supabase'ten kaldırılır.
- Diğer cihazlarındaki uygulama, foreground'a geldiğinde otomatik olarak yerel verileri silip oturumu sonlandırır.
Önemli: Bir cihaz internete bağlanamaz durumdaysa (kapalı, çalmazsa vb.) o cihazdaki yerel veriler kullanıcının açıkça silmesine kadar saklanabilir. Bu durumdaki cihazlardan veri silmek kullanıcının sorumluluğundadır. Cihazın aktive olduğunda otomatik silme tetiklenir.
Yedekleme yaparken (JSON/CSV export) bu dosyaların güvenliğinden kullanıcı sorumludur. Yedek dosyaları cihaz galerisinde veya bulut depolamada düz metin (şifresiz) olarak yer alır.
9. Çocukların Verisi
Bütçe Takip 13 yaşından küçüklere yönelik değildir. 13 yaş altı kullanıcıdan veri toplamayız. Çocuğunun verilerinin işlendiğinden şüpheleniyorsan iletişime geç.
10. Güvenlik Önlemleri
- Tüm bulut iletişim TLS 1.2+ ile şifrelenir
- Supabase Row Level Security (RLS) ile her kullanıcı yalnızca kendi verisine erişebilir
- JWT bazlı kimlik doğrulama, kısa süreli token + otomatik yenileme
- Yerel veritabanı cihazın işletim sistemi şifrelemesi ile korunur
- Hassas anahtarlar (Supabase, RevenueCat) build-time secret olarak saklanır
11. Politika Değişiklikleri
Bu politikayı güncellersek "Son güncelleme" tarihi yenilenir ve önemli değişiklikler uygulama içinde duyurulur. Politikanın güncel hâlini bu sayfada bulabilirsin.
12. Veri Sorumlusuna Başvuru ve KVK Kuruluna Şikayet
KVKK m.13 kapsamında öncelikle veri sorumlusuna başvurmalısın (takipbutce@gmail.com). Başvurunun 30 gün içinde sonuçlandırılmaması veya cevabın yetersiz bulunması durumunda 60 gün içinde Kişisel Verileri Koruma Kurulu'na şikayette bulunabilirsin: kvkk.gov.tr