Gizlilik Politikası

1. Veri Sorumlusunun Kimliği

• Şirket: Bardino Technology
• Uygulama: Astro Dozi (paket adı: com.bardino.zodi)
• Web sitesi: astro.dozi.app
• İletişim e-postası: astrodozi@dozi.app

KVKK kapsamındaki başvurular için Veri Sorumlusu, GDPR/UK GDPR kapsamında ise Controller olarak bu adres geçerlidir. AB içinde ayrı bir temsilci atanmış olup ilgili kişiler aynı e-posta adresinden ulaşabilir.

2. Bir Bakışta Özet

• Hesabınızı oluşturmak için Google veya Apple ile giriş yaparsınız; ad, e-posta ve profil görseli alınır.
• Kişiselleştirilmiş astroloji içerikleri için doğum tarihi, doğum saati ve doğum yeri (isteğe bağlı) işlenir.
• Yorumlar Google Gemini AI üzerinden anonimleştirilmiş prompt'lar ile üretilir; ham doğum verileriniz AI sağlayıcısına saklanmak üzere gönderilmez.
• Ödemeler Google Play ve Apple App Store üzerinden yapılır, abonelik durumu RevenueCat üzerinden senkronlanır. Kart bilgilerinizi görmüyor, saklamıyoruz.
• Reklamlar yalnızca ücretsiz sürümde Google AdMob aracılığıyla gösterilir; iOS'ta App Tracking Transparency izni alınır.
• Veri saklama yerimiz Google Cloud / Firebase'dir (AB ve ABD bölgeleri). Uluslararası aktarımlar Standart Sözleşme Hükümleri ile korunur.
• İstediğiniz zaman uygulama içinden hesabınızı silebilir, verilerinizi indirebilir veya rıza geri çekebilirsiniz.

3. İşlenen Kişisel Veriler ve Kategorileri

3.1 Kimlik ve İletişim Verileri

• Google ile giriş: Adınız, soyadınız, Google e-posta adresiniz, profil fotoğrafınız, Google kullanıcı kimliği (UID).
• Apple ile giriş: Apple kullanıcı kimliği, ad ve e-posta (Apple'ın özel-relay e-postasını kullanırsanız relay adresi).
• Firebase kimlik doğrulaması: Şirket içi anonim kullanıcı kimliği (Firebase UID), oturum tokenları.

3.2 Astroloji ve Profil Verileri

• Burç seçimi ve burç tercihleri
• Doğum tarihi (gün, ay, yıl) — isteğe bağlı
• Doğum saati — yükselen burç ve doğum haritası için (isteğe bağlı)
• Doğum yeri (şehir/koordinat) — yalnızca yükselen burç ve harita hesabı için (isteğe bağlı)
• Cinsiyet, ilgi alanları, kişiselleştirme tercihleri (isteğe bağlı)
• Profil avatarı / tema seçimi

3.3 Uygulama İçi Aktivite Verileri

• Yıldız Tozu bakiyesi ve işlem geçmişi (kazanım/harcama)
• Günlük giriş serisi (streak), günlük bonus kayıtları
• Tarot okumaları, burç uyumu sonuçları, aura/çakra/geçmiş yaşam/yaşam yolu sonuçları
• AI sohbet (chatbot) konuşma geçmişi
• Bildirim tercihleri ve okuma durumu
• Üyelik kademesi (Standart / Altın / Elmas / Platinyum)

3.4 Cihaz, Teknik ve Tanılama Verileri

• Cihaz modeli, üretici, işletim sistemi sürümü, dil ve bölge ayarı
• Uygulama sürümü, build numarası, yükleme zamanı
• IP adresi (kısaltılmış olarak), kabaca konum (ülke düzeyi)
• Reklam tanımlayıcısı (GAID/IDFA — yalnızca ücretsiz sürüm ve izin verirseniz)
• Çökme raporları, hata izleri, performans metrikleri (Firebase Crashlytics)
• Push bildirim tokenı (Firebase Cloud Messaging)
• Yükleme kaynağı (Google Play Install Referrer — kampanya atıfları için)

3.5 İzinli Olarak İşlenen Cihaz Sensörleri

Aşağıdaki erişimler yalnızca ilgili özelliği kullandığınızda ve siz izin verdikten sonra çalışır; veriler sunucularımıza gönderilmez:

• Kamera / galeri: Profil fotoğrafı, aura okuma için fotoğraf, QR kod tarama
• Mikrofon: Sesli komut / sesle metin (speech-to-text) özelliği
• İvmeölçer/sensör: "Salla" ile günlük kart çekme gibi etkileşimli özellikler
• Bildirim: Günlük burç, hatırlatıcılar ve önemli güncellemeler için push

3.6 Ödeme ve Abonelik Verileri

Tüm satın alımlar Google Play Billing (Android) ve Apple App Store / StoreKit (iOS) üzerinden gerçekleşir. Abonelik durumu, satın alım kanıtı ve yenileme bilgileri RevenueCat, Inc. aracılığıyla senkronlanır. Şirket; kredi kartı numarası, son kullanma tarihi, CVC veya banka hesap bilgileriniz gibi finansal verileri görmez ve saklamaz. Bizde tutulan ödeme verileri yalnızca anonim ürün kimliği, abonelik durumu, satın alma zamanı ve uygulama içi makbuz/orderId kayıtlarıdır.

3.7 Çocuklara Ait Veriler

Hizmet, 13 yaş ve üzeri (AB/EEA'da 16 yaş ve üzeri) kullanıcılara yöneliktir. Bu yaşın altındaki kişilerden bilerek veri toplanmaz. Bunun fark edilmesi halinde ilgili veriler derhal silinir.

4. İşleme Amaçları, Hukuki Sebepler ve Veriler

KVKK m.5/m.6 ve GDPR Madde 6/9 kapsamındaki hukuki sebeplerimiz aşağıdaki tabloda özetlenmiştir:

4.1 Sözleşmenin Kurulması ve İfası

• Amaç: Hesabınızı oluşturmak, Hizmeti sunmak, abonelik yönetimi.
• Veriler: Kimlik, profil, abonelik, uygulama içi aktivite.
• Hukuki sebep: KVKK m.5/2-c (sözleşmenin ifası); GDPR Md. 6(1)(b).

4.2 Açık Rıza ile Kişiselleştirme

• Amaç: Yükselen burç, doğum haritası, kişiselleştirilmiş AI yorumları, tarot ve aura analizleri.
• Veriler: Doğum tarihi/saati/yeri, kamera/mikrofon ile alınan girdiler.
• Hukuki sebep: KVKK m.5/1 (açık rıza); GDPR Md. 6(1)(a) ve özel nitelikli veri olabilecek hassas tercihler için Md. 9(2)(a).

4.3 Meşru Menfaat

• Amaç: Hata düzeltme, dolandırıcılık önleme, ürün geliştirme, güvenlik, anti-cheat.
• Veriler: Cihaz/teknik veri, çökme raporları, anonim kullanım istatistikleri.
• Hukuki sebep: KVKK m.5/2-f; GDPR Md. 6(1)(f) — menfaat dengesi testi yapılmıştır.

4.4 Yasal Yükümlülük

• Amaç: Vergi, muhasebe, tüketici kanunu yükümlülükleri, yetkili makam talepleri.
• Veriler: Fatura/abonelik kayıtları, gerekli durumlarda iletişim verileri.
• Hukuki sebep: KVKK m.5/2-ç; GDPR Md. 6(1)(c).

4.5 Pazarlama (yalnızca rıza ile)

• Amaç: Kişiselleştirilmiş reklam (AdMob), e-posta kampanyaları, push promosyonları.
• Veriler: Reklam kimliği, ilgi alanı çıkarımları, push tokenı.
• Hukuki sebep: Açık rıza — istediğiniz zaman geri çekebilirsiniz.

5. Otomatik Karar Verme ve Yapay Zeka

Astroloji içerikleri Google'ın Gemini büyük dil modeli kullanılarak üretilir. Doğum tarihi, burç ve serbest metin sorularınızı içeren bir prompt oluşturulup AI'ya gönderilir; ham profil verileriniz AI sağlayıcısının yanında saklanmaz. Üretilen yorumlar yalnızca eğlence ve kişisel gelişim amaçlıdır; sağlık, finans veya hukuk kararı için kullanılmamalıdır. Sizi hukuki veya benzer ölçüde önemli şekilde etkileyen tamamen otomatik bir karar mekanizması işletmiyoruz; GDPR Md. 22 anlamında profil bazlı otomatik karar verme yoktur.

6. Üçüncü Taraf Servisler ve Veri Alıcıları

Hizmeti sunabilmek için aşağıdaki işleyenler/alıcılar ile sınırlı veri paylaşırız. Hiçbir veri reklam dışı amaçlarla satılmaz.

6.1 Altyapı ve Kimlik

• Google Firebase / Google Cloud (Google LLC, Alphabet): Authentication, Firestore (NoSQL veritabanı), Cloud Functions, Remote Config, Storage, Hosting. Gizlilik politikası.
• Apple, Inc.: Sign in with Apple, push servisleri (APNs), App Store satın alımları.

6.2 Yapay Zeka

• Google Gemini API (Google LLC): Burç, tarot, sohbet ve diğer AI içeriklerin üretimi. Şartlar · Veri kullanımı.

6.3 Ölçümleme ve Tanılama

• Firebase Analytics: Anonim/sahte rastgele kimliklerle kullanım istatistikleri.
• Firebase Crashlytics: Çökme ve hata raporları.
• Firebase Performance Monitoring: Yavaşlık, ağ gecikmesi.

6.4 Push ve Bildirim

• Firebase Cloud Messaging (Android): Push bildirim teslimi.
• Apple Push Notification Service (iOS): Push bildirim teslimi.

6.5 Reklam (yalnızca ücretsiz sürüm)

• Google AdMob (Google LLC): Reklam gösterimi ve ödüllü reklamlar.
• AdMob Mediation ortakları: AppLovin Corporation ve Unity Technologies — bidding/mediation aracılığıyla reklam talebi karşılar.

iOS'ta App Tracking Transparency (ATT) çerçevesinde izleme izniniz alınmadan IDFA paylaşılmaz. Android'de Reklam Kimliği'nizi cihaz ayarlarınızdan sıfırlayabilir veya kişiselleştirilmiş reklamı kapatabilirsiniz.

6.6 Ödeme ve Abonelik

• Google Play Billing (Google LLC): Android satın alımları.
• Apple App Store / StoreKit (Apple, Inc.): iOS satın alımları.
• RevenueCat, Inc.: Abonelik durum senkronizasyonu, satın alım doğrulaması.

6.7 İnceleme ve Güncelleme

• Google Play In-App Review & In-App Update: Mağaza içi puanlama ve sürüm güncellemeleri.
• Google Play Install Referrer: Kampanya atfı (ilk kurulum kaynağı).

Yukarıdaki sağlayıcıların listesi güncellendiğinde bu bölüm yenilenir. Tam alt-işleyen listesi için astrodozi@dozi.app adresinden talep edebilirsiniz.

7. Uluslararası Veri Aktarımı

Verileriniz Google Cloud altyapısında ağırlıklı olarak europe-west ve us bölgelerinde işlenebilir. AB/EEA, Türkiye veya Birleşik Krallık dışına yapılan aktarımlar şu güvencelere tabidir:

• Avrupa Komisyonu'nun yeterlilik kararı bulunan ülkelere doğrudan aktarım,
• Standart Sözleşme Hükümleri (SCC) ve gerekli ek tedbirler (şifreleme, anonimleştirme, denetim hakları),
• UK GDPR için International Data Transfer Agreement (IDTA),
• KVKK kapsamında ise yeterli korumanın bulunmadığı ülkeler için açık rıza veya KVK Kurulu izni alınmaktadır.

8. Veri Saklama Süreleri

• Aktif hesap verileri: Hesap aktif olduğu sürece.
• Pasif hesap: 24 ay boyunca giriş yapılmadığında uyarı sonrası silinir.
• Hesap silme talebi: En geç 30 gün içinde tüm üretim sistemlerinden, en geç 90 gün içinde yedeklerden kaldırılır.
• Çökme/hata kayıtları: 90 gün.
• Analitik kayıtları: 14 ay sonra otomatik anonimleştirilir.
• Ödeme/fatura kayıtları: Vergi mevzuatı gereği 10 yıl.
• Hukuki uyuşmazlık kayıtları: Zamanaşımı süresi boyunca.

9. Veri Güvenliği

• Tüm istemci-sunucu trafiği TLS 1.2+ ile şifrelenir; HSTS uygulanır.
• Firestore Security Rules ile satır düzeyinde erişim kontrolü; bir kullanıcı yalnızca kendi belgelerine erişebilir.
• Cloud Functions üzerinden çağrılan tüm yetkili işlemler Firebase Auth tokenı ile doğrulanır.
• API anahtarları sunucu tarafında saklanır; istemcide yalnızca scope'u kısıtlı public anahtarlar bulunur.
• Olağan dışı erişim, anormal harcama desenleri için sürekli izleme.
• Düzenli bağımlılık güncellemesi, statik analiz, güvenlik incelemeleri.
• Personel erişimi ihtiyaç temeline (least privilege) bağlıdır ve loglanır.

10. Kullanıcı Haklarınız

Mevcut mevzuat (KVKK m.11, GDPR Md. 15-22, CCPA/CPRA) çerçevesinde aşağıdaki haklara sahipsiniz:

• Bilgi alma ve erişim: Kişisel verilerinizin işlenip işlenmediğini, kategorilerini ve alıcılarını öğrenme.
• Düzeltme: Eksik veya yanlış verinin düzeltilmesini talep etme.
• Silme / unutulma hakkı: Yasal saklama yükümlülükleri haricinde verilerinizin silinmesini isteme.
• İşlemenin kısıtlanması: Belirli durumlarda işlemenin durdurulmasını talep etme.
• Veri taşınabilirliği: Verilerinizi yapılandırılmış, makine tarafından okunabilir formatta alma.
• İtiraz: Meşru menfaate dayalı işlemeye veya doğrudan pazarlamaya itiraz etme.
• Açık rızayı geri çekme: Rıza ile başlatılan işlemenin durdurulmasını isteme.
• Otomatik kararlara itiraz: Önemli etki yaratan otomatik kararlara karşı çıkma (uygulamada böyle bir karar verme yoktur).
• Şikayet: KVK Kurumu (Türkiye) ya da yetkili AB üye devleti veri koruma otoritesine şikayet etme.
• CCPA "Do Not Sell or Share": Kalifornia sakinleri kişisel bilgilerinin satışına/paylaşımına itiraz edebilir; biz veri satmıyoruz, ancak reklam amaçlı paylaşımdan çıkmak için aşağıdaki kanalı kullanabilirsiniz.

Talebinizi astrodozi@dozi.app adresine gönderin; en geç 30 gün içinde yanıt veririz. Kimlik doğrulaması için kayıtlı e-postanızdan iletişim kurmanız gerekir.

11. Hesap ve Veri Silme

Hesabınızı uygulama içinden veya e-posta ile silebilirsiniz. Detaylı adımlar için Hesap Silme sayfasına bakın. Aktif aboneliğiniz varsa Google Play / Apple App Store üzerinden ayrıca iptal etmeniz gerekir; hesap silme aboneliği otomatik kapatmaz.

12. Çerezler ve Yerel Depolama

Mobil uygulamada klasik tarayıcı çerezleri kullanılmaz; tercih ve önbellek bilgileri cihazda shared_preferences ile saklanır. Web sitesinde yalnızca temel işlevsel localStorage kullanılır; izleyici çerez kullanılmaz. Reklam ve ölçümleme yalnızca uygulama içinde, ilgili izinler verildiyse çalışır.

13. Veri İhlali Bildirimi

• Yüksek riskli bir ihlal halinde etkilenen kullanıcılar gecikmeksizin, en geç 72 saat içinde uygulama içi bildirim ve/veya e-posta ile bilgilendirilir.
• KVK Kurumu ve ilgili AB denetim otoritesine yasal süreler içinde ihbar yapılır.
• Olay sonrası kök neden analizi yapılır, telafi edici önlemler alınır.

14. Politikadaki Değişiklikler

Bu politika, mevzuat değişikliği veya hizmet güncellemeleri nedeniyle revize edilebilir. Önemli değişikliklerde uygulama içi bildirim ve "Son Güncelleme" tarihi ile haber verilir; gerekli hallerde yeniden açık rıza istenir.

15. İletişim ve Başvuru Kanalları