Gizlilik Politikası
i-Will, kasa içeriklerinizi (notlarınız, sesleriniz, dosyalarınız) sunucuya göndermez. Bu veriler cihazınızda şifreli olarak saklanır. Sunucu katmanı yalnızca hizmetin çalışması için zorunlu olan kontrol metadata'sını taşır: hesap durumu, cihaz sahipliği, protokol zamanlaması ve bildirim orkestrasyonu. Bu politika, hangi verinin nerede işlendiğini, neden işlendiğini ve haklarınızı açıklar.
1.Veri Sorumlusu Kimliği
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) Madde 10 ve AB Genel Veri Koruma Tüzüğü (GDPR) Madde 13 kapsamında aydınlatma yükümlülüğü çerçevesinde veri sorumlusu aşağıdaki gibidir:
Nexalent
Web: nexalent.com.tr
E-posta: info@nexalent.com.tr
Konu satırı: KVKK Başvurusu veya GDPR Request
Nexalent, 6698 sayılı KVKK ve Veri Sorumluları Sicili Hakkında Yönetmelik kapsamındaki küçük ölçekli işletme kriterleri çerçevesinde Veri Sorumluları Sicili'ne (VERBİS) kayıt yükümlülüğünden muaf olduğu değerlendirilmektedir. Bu muafiyet, KVKK kapsamındaki diğer yükümlülükleri ortadan kaldırmaz.
2.İşlenen Kişisel Veri Kategorileri
i-Will iki farklı katmanda veri bulundurmaktadır. Aşağıdaki tablolar bu ayrımı netleştirir.
A — Cihazda Yerel Saklanan, Sunucuya İletilmeyen Veriler
| Veri Kategorisi | Açıklama | Saklama Yeri |
|---|---|---|
| Kasa notları | Kullanıcının eklediği metin içerikler | Yalnızca cihaz (kriptografik şifreli) |
| Ses kayıtları | Uygulama içi kaydedilen sesler | Yalnızca cihaz (kriptografik şifreli) |
| Dosya ve fotoğraflar | Kasaya eklenen medya dosyaları | Yalnızca cihaz (kriptografik şifreli) |
| Erişim bilgileri | Şifre, hesap notu gibi yapılandırılmış veriler | Yalnızca cihaz (kriptografik şifreli) |
| Alıcı listesi | Güvenilir kişi adı ve e-posta adresleri | Yalnızca cihaz (kriptografik şifreli) |
| Şifreli yedek dosyası | Kullanıcı tarafından dışa aktarılan yedek | Kullanıcı kontrolünde (cihaz/harici) |
B — Hizmet İşletimi İçin Sunucuda İşlenen Metadata
| Veri | Amaç | Hukuki Dayanak (KVKK) |
|---|---|---|
| E-posta adresi (HMAC formatında) | Hesap eşleme ve kimlik doğrulama. Düz e-posta sunucuda saklanmaz; tek yönlü kriptografik özet kullanılır. | Md. 5/2-c – Sözleşmenin ifası |
| Kurulum kimliği (installation ID) | Tek aktif cihaz kuralının uygulanması, cihaz çakışma yönetimi | Md. 5/2-c – Sözleşmenin ifası |
| Protokol durumu | Safe / Amber / Red / Grace / Suspended durumlarının izlenmesi | Md. 5/2-c – Sözleşmenin ifası |
| Son check-in zamanı | Yaşam belirtisi takibinin doğru çalışması | Md. 5/2-c – Sözleşmenin ifası |
| Push bildirim token'ı | APNs üzerinden kritik bildirimlerin iletilmesi | Md. 5/2-c – Sözleşmenin ifası |
| E-posta sağlayıcı durumu | Gmail / Outlook bağlantı sağlığının izlenmesi | Md. 5/2-c – Sözleşmenin ifası |
| Abonelik planı | Premium özelliklere erişim kontrolü | Md. 5/2-c – Sözleşmenin ifası |
| Uygulama dili tercihi | Türkçe/İngilizce sistem mesajlarının doğru iletilmesi | Md. 5/2-c – Sözleşmenin ifası |
| Grace period metadata | 24 saatlik son pencere akışının yönetimi | Md. 5/2-c – Sözleşmenin ifası |
| Guardian token hash'i | Tek kullanımlık güvenli durdurucu linkin doğrulanması | Md. 5/2-c – Sözleşmenin ifası |
| Kasa ögesi sayısı (aggregate) | Büyüme sinyali ve ölçek planlaması; içerik bilgisi içermez | Md. 5/2-f – Meşru menfaat |
Kasa içerik verisi (notlar, sesler, dosyalar, alıcı bilgileri) hiçbir şekilde Nexalent sunucularında depolanmaz veya Nexalent tarafından okunamaz. Sunucu yalnızca yukarıdaki metadata'yı tutar.
3.Kişisel Verilerin İşlenme Amaçları
Kişisel veriler yalnızca aşağıdaki meşru amaçlarla, bu amaçlarla sınırlı ve orantılı biçimde işlenmektedir:
- Hesap oluşturma, kimlik doğrulama ve tek aktif cihaz kuralının uygulanması
- Yaşam belirtisi protokolünün doğru çalışması (zamanlama, durum geçişleri, bildirim orkestrasyonu)
- E-posta teslimat akışlarının (sistem mailleri, guardian bildirimleri) çalışabilmesi
- Push bildirimlerinin cihaza iletilmesi
- Abonelik ve voucher doğrulaması
- Teknik hata tespiti ve hizmet güvenilirliğinin sağlanması
- Yasal yükümlülüklerin yerine getirilmesi
4.İşlemenin Hukuki Dayanakları
KVKK Madde 5 ve GDPR Madde 6 kapsamında kişisel veri işleme faaliyetlerimiz aşağıdaki hukuki dayanakları esas almaktadır:
- Sözleşmenin ifası (KVKK Md. 5/2-c / GDPR Md. 6/1-b): Hizmetin temel işlevleri için zorunlu işlemler (hesap bağlama, protokol yönetimi, bildirim iletimi).
- Meşru menfaat (KVKK Md. 5/2-f / GDPR Md. 6/1-f): Hizmet kalitesi ve güvenilirliğinin artırılması amacıyla aggregate teknik veriler; kullanıcı temel haklarına zarar vermeyecek ölçüde sınırlıdır.
- Hukuki yükümlülük (KVKK Md. 5/2-ç / GDPR Md. 6/1-c): Yetkili makamların yasal talepleri karşısında zorunlu olan işlemler.
- Açık rıza (KVKK Md. 5/1 / GDPR Md. 6/1-a): Yukarıdaki dayanakların uygulanamadığı durumlarda kullanıcıdan açık rıza alınabilir. Bu rıza her zaman geri alınabilir.
5.E-posta Sağlayıcı Bağlantıları ve OAuth
Kullanıcı, Google (Gmail) veya Microsoft (Outlook) hesabını i-Will'e bağladığında OAuth 2.0 protokolü üzerinden yetkilendirme yapılır. Bu bağlantı kapsamında:
- Kimlik doğrulama amacıyla kullanıcının doğrulanmış e-posta adresi alınır.
- Yalnızca e-posta gönderme izni talep edilir; gelen kutusu, kişiler veya takvim okunmaz.
- OAuth access token ve refresh token kullanıcının cihazındaki güvenli Keychain alanında saklanır.
- Nexalent, kullanıcının e-posta içeriklerini okuyamaz ve okumaz.
- E-posta sağlayıcısı bağlantısı uygulama içi Ayarlar > E-posta Entegrasyonu bölümünden her zaman kaldırılabilir.
Google ve Microsoft'un altyapı kullanımına ilişkin kendi gizlilik politikaları ayrıca geçerlidir. Bu politikalara ilgili sağlayıcıların resmi web sitelerinden erişilebilir.
6.Üçüncü Taraflara ve Yurt Dışına Veri Aktarımı
i-Will'in çalışması için aşağıdaki üçüncü taraf altyapılar kullanılmaktadır. Bu altyapılara yalnızca hizmetin gerektirdiği minimum veri aktarılır; kasa içeriği aktarılmaz.
| Sağlayıcı | Kullanım Amacı | Veri Merkezi / Ülke | KVKK / GDPR Güvencesi |
|---|---|---|---|
| Google Firebase (Firestore, Functions, App Check) | Kontrol düzlemi metadata, cloud functions, push token yönetimi | europe-west1 (Belçika) — Google LLC (ABD tüzel kişisi) | Google, AB Standart Sözleşme Maddeleri (SCCs) ve Google Cloud Data Processing Addendum kapsamında işlem yapar. GDPR uyumlu. |
| Apple (APNs) | iOS push bildirimleri | Apple Inc. altyapısı (ABD) | Apple'ın kendi gizlilik politikası ve Apple Developer Agreement kapsamında. Yalnızca bildirim token'ı ve mesaj yükü iletilir. |
| Google (OAuth / Gmail API) | Google hesabı bağlama ve e-posta gönderimi | Google LLC (ABD) | Google OAuth ve API hizmet koşulları kapsamında. SCCs uygulanır. |
| Microsoft (OAuth / Graph API) | Outlook hesabı bağlama ve e-posta gönderimi | Microsoft Corporation (ABD) | Microsoft Hizmet Koşulları ve Veri Koruma Eki kapsamında. SCCs uygulanır. |
| Apple (App Store / StoreKit) | Abonelik ve ödeme işlemleri | Apple Inc. (ABD) | Apple'ın App Store gizlilik politikası. Ödeme verisi Nexalent tarafından görülmez. |
Yukarıdaki sağlayıcıların tamamı ABD merkezli şirketler olup veriyi yurt dışında işlemektedir. KVKK Madde 9 kapsamında yeterli koruma bulunmayan ülkelere aktarım, kullanıcının açık rızası ve/veya ilgili sağlayıcının Türkiye'de veri koruma taahhütleri çerçevesinde gerçekleştirilmektedir. Söz konusu aktarım, hizmetin teknik olarak işletilebilmesi için zorunludur.
7.Ölüm Sonrası Veri ve Teslimat
i-Will, kullanıcının önceden belirlediği koşullar gerçekleştiğinde kasa içeriklerini belirtilen alıcılara iletebilen bir protokol hizmeti sunar. Bu kapsamda:
- Kasa içerikleri kullanıcı tarafından belirlenen alıcılara iletilir. Bu teslimat önceden verilen açık kullanıcı talimatına dayanır.
- Nexalent, iletilen içeriklerin GDPR veya KVKK kapsamında "miras" niteliğinde değerlendirilip değerlendirilemeyeceğini tek başına belirleyemez. Bu durum hukuki belirsizlik içerdiğinden, kullanıcının aile hukuku veya miras konusunda profesyonel hukuki danışmanlık alması önerilir.
- Teslimat gerçekleştikten sonra alıcılar tarafından iletilen verilerle yapılan işlemler Nexalent'in kontrolü ve sorumluluğu dışındadır.
8.Veri Saklama Süreleri
| Veri | Saklama Süresi | Silme Tetikçisi |
|---|---|---|
| Cihazda yerel kasa verisi | Kullanıcı silene veya "Her Şeyi Sil" yapılana kadar | Kullanıcı talebi veya uygulama kaldırma |
| Sunucu kontrol metadata'sı | Hesap aktif olduğu sürece + hesap silme sonrası 30 gün | "Hesabı ve Tüm Verileri Sil" işlemi |
| Push bildirim token'ı | Cihaz değişimine veya hesap silinmesine kadar | Cihaz takeover veya hesap silme |
| Grace period kaydı | Grace tamamlandıktan sonra 90 gün (operasyonel log) | Otomatik temizlik |
| OAuth token'ları | Bağlantı kesilene veya hesap silinene kadar | Kullanıcı bağlantıyı kestiğinde veya hesap silindiğinde |
| Şifreli yedek dosyası | Kullanıcı kontrolünde; Nexalent saklamaz | Kullanıcı kendi tercihine göre yönetir |
9.Veri Güvenliği Önlemleri
Nexalent, kişisel verilerin güvenliğini sağlamak için aşağıdaki teknik ve idari tedbirleri uygulamaktadır:
- Kasa içerikleri AES-256-GCM ile cihaz üzerinde şifrelenir. Şifreleme anahtarı yalnızca kullanıcının cihazında (iOS Keychain) saklanır.
- Kullanıcı tarafından ek koruma etkinleştirildiğinde vault anahtarı userPresence kısıtlamasıyla korunur: Face ID, Touch ID veya cihaz parolası olmadan açılamaz.
- Sunucu tarafındaki metadata Firebase güvenlik kuralları ve Cloud Functions aracılığıyla korunur; doğrudan istemci erişimi engellenir.
- E-posta adresi düz metin olarak saklanmaz; sunucu tarafında HMAC kriptografik özeti kullanılır.
- Guardian stop token'ı tek kullanımlık olarak üretilir ve yalnızca hash'i sunucuda saklanır.
- OAuth token'ları kullanıcı cihazının güvenli Keychain alanında saklanır.
- Tüm sunucu iletişimleri TLS üzerinden gerçekleştirilir.
Kişisel verileri etkileyen bir güvenlik ihlali tespit edilmesi hâlinde, KVKK Madde 12/5 ve GDPR Madde 33 kapsamında ilgili kişiler ve yetkili kurumlar mevzuatın öngördüğü süre içinde bilgilendirilir.
10.18 Yaş Altı Bireylerin Verileri
i-Will yalnızca 18 yaşını doldurmuş bireyler tarafından kullanılabilir. 18 yaşından küçük bireylere ait kişisel verileri bilerek toplamayız. 18 yaşından küçük bir kullanıcıya ait hesap tespit edilmesi hâlinde söz konusu hesap ve ilgili veriler derhal silinir.
18 yaşından küçük bir bireyin uygulamayı kullandığını fark ederseniz lütfen info@nexalent.com.tr adresinden bildiriminizi iletin.
11.İlgili Kişi Hakları (KVKK Madde 11 / GDPR Madde 15–22)
Aşağıdaki haklara sahipsiniz. Bu haklardan herhangi birini kullanmak için aşağıdaki iletişim bilgileriyle başvurabilirsiniz:
Kişisel verilerinizin işlenip işlenmediğini ve nasıl işlendiğini öğrenme hakkı. (KVKK Md. 11/a / GDPR Md. 15)
İşlenen kişisel verilerinize erişim ve kopyalarını talep etme hakkı. (KVKK Md. 11/b / GDPR Md. 15)
Eksik veya yanlış işlenen verilerinizin düzeltilmesini talep etme hakkı. (KVKK Md. 11/c / GDPR Md. 16)
İşleme koşullarının ortadan kalktığı durumlarda verilerinizin silinmesini talep etme hakkı. (KVKK Md. 11/d / GDPR Md. 17)
Belirli koşullarda verilerinizin işlenmesinin durdurulmasını talep etme hakkı. (GDPR Md. 18)
Sağladığınız verileri yapılandırılmış, makine tarafından okunabilir formatta alma hakkı. (GDPR Md. 20)
Meşru menfaat dayanaklı işlemelere itiraz etme hakkı. (KVKK Md. 11/e / GDPR Md. 21)
Hukuka aykırı veri işleme nedeniyle doğan zararın tazmin edilmesini talep etme hakkı. (KVKK Md. 11/g)
Kişisel Verileri Koruma Kurulu'na şikâyette bulunma hakkı: kvkk.gov.tr
Başvurularınızı konu satırına "KVKK Başvurusu" veya "GDPR Request" yazarak info@nexalent.com.tr adresine iletebilirsiniz. Başvurular KVKK kapsamında 30 gün, GDPR kapsamında 1 ay içinde yanıtlanır. Kimlik doğrulaması amacıyla ek bilgi talep edilebilir.
12.Çerez, SDK ve Analitik
i-Will bir mobil uygulamadır ve tarayıcı çerezi kullanmaz. Uygulama içi analitik ya da üçüncü taraf reklam SDK'ları bulunmamaktadır. Firebase SDK'sı yalnızca fonksiyon çağrıları, push bildirimi ve App Check işlevleri için kullanılmakta olup davranışsal kullanıcı profili oluşturulmaz.
13.Politika Güncellemeleri
Bu Gizlilik Politikası zaman içinde güncellenebilir. Önemli değişiklikler yapıldığında kullanıcılar uygulama içi bildirim veya e-posta aracılığıyla bilgilendirilir. Güncel politika her zaman uygulamanın ilgili bölümünde yayımlanır. Uygulamayı kullanmaya devam etmek, güncellenmiş politikayı kabul ettiğiniz anlamına gelir.