Gizlilik Politikası

1) Giriş

Esnafız (“Uygulama”), kullanıcıların gizliliğini korumayı taahhüt eder. Bu Gizlilik Politikası; kişisel verilerinizin nasıl toplandığı, işlendiği, paylaşıldığı, saklandığı ve korunduğunu açıklar. Tüm süreçler 6698 sayılı KVKK ve GDPR başta olmak üzere yürürlükteki mevzuata uygun şekilde aşağıdaki işleme ilkeleri çerçevesinde yürütülür:

• Hukuka uygunluk ve şeffaflık (işleme faaliyetleri açık ve anlaşılırdır),
• Belirli, açık ve meşru amaç (amacın dışına çıkılmaz),
• Veri minimizasyonu (gerekli olanla sınırlı),
• Doğruluk ve güncellik,
• Saklama sınırlılığı (gerekli süre kadar),
• Bütünlük ve gizlilik (uygun teknik/organizasyonel tedbirler).

2) Veri Sorumlusu ve Veri Koruma Görevlisi

Uygulama kapsamında işlenen tüm kişisel verilerin veri sorumlusu:

• Yener Cenger – Şahıs Şirketi
• E-posta: info@esnafiz.app
• Veri Koruma Görevlisi (DPO): info@esnafiz.app üzerinden ulaşılabilir.

Resmî başvurularınızı aşağıdaki “Haklarınız ve Başvuru Usulü” bölümünde açıklanan usulle iletebilirsiniz.

3) İşlenen Kişisel Veriler

Uygulamayı kullandığınızda doğrudan veya dolaylı olarak aşağıdaki veri kategorileri işlenebilir:

• Kayıt ve Hesap Bilgileri (zorunlu): ad, soyad, e-posta, telefon.
• Profil Verileri (opsiyonel / açık rıza): profil fotoğrafı, mağaza logosu, kısa açıklama.
• Mağaza/İşletme Bilgileri: mağaza adı, adres, kategori, vergi numarası, çalışan listesi, yetkilendirmeler.
• Ürün/Stok Bilgileri: ürün adı, barkod, fiyat, stok miktarı, görsel(ler).
• Sipariş/Müşteri Verileri: müşteri adı, iletişim bilgileri, sipariş kalemleri, tutarlar, ödeme ve teslimat durumu.
• Toptancı/Tedarikçi Bilgileri: tedarikçi adı, iletişim, fiyatlar, MOQ.
• Topluluk İçerikleri: forum gönderileri, yorumlar, etkinlik katılımları.
• Değerlendirmeler: kullanıcı adı, yorum, puanlama.
• Bildirim Verileri: cihaz FCM token (push bildirim).
• Teknik Veriler: cihaz modeli, OS sürümü, IP adresi, çökme/teşhis logları.
• Kullanım & Analitik: Firebase Analytics olayları (ekran geçişleri, oturum süresi vb.).
• Ödeme Verileri: ödeme sağlayıcılarında işlenir (örn. Stripe, iyzico). Kart verileri Uygulama tarafından saklanmaz.
• Özel Nitelikli Veriler: sağlık, siyasi görüş vb. özel nitelikli veriler toplanmaz; yanlışlıkla paylaşılırsa dikkate alınmaz ve makul olan en kısa sürede silinir.
• Üçüncü Kişi Verileri: Başkalarına ait verileri giriyorsanız (ör. müşterinizin telefonu), bu verileri paylaşmak için gerekli hukuki dayanağa/izne sahip olduğunuzu beyan edersiniz.

3.1) Zorunlu / İsteğe Bağlı Alanlar

İşbu Uygulamanın çalışması için bazı alanlar zorunludur (ör. hesap oluşturma için ad, e-posta; mağaza kurulumu için mağaza adı vb.). Bu veriler sağlanmazsa ilgili hizmetler sunulamaz. Diğer alanlar isteğe bağlıdır ve çoğunlukla açık rızaya dayanır; dilediğiniz an rızanızı geri çekebilirsiniz.

4) Abonelik ve Ödemeler

Uygulamada Premium hesap özellikleri abonelik modeliyle sunulabilir. Tüm abonelik ödemeleri yalnızca Google Play veya App Store ödeme altyapısı üzerinden gerçekleştirilir. Uygulama hiçbir şekilde kart bilgilerini saklamaz; ödeme bilgileri yalnızca ilgili mağazanın güvenli altyapısında işlenir.

Fatura veya belge düzenleme için yalnızca mevzuatın gerektirdiği asgari bilgiler (işletme adı, vergi numarası, iletişim) işlenebilir.

5) Çerezler, SDK’lar ve Analitik Tercihleri

Zorunlu çerez/SDK’lar haricindeki analitik ve benzeri teknolojiler yalnızca açık rızanızla çalıştırılır.

• Web: Çerez banner’ı ve tercihler paneli aracılığıyla analitik/pazarlama tercihinizi yönetebilir, rızanızı dilediğiniz zaman geri çekebilirsiniz.
• Mobil: Uygulama ayarlarında analitik/pazarlama opt-out anahtarları sunulur. Rızanızı geri çektiğinizde ilgili SDK’lar devre dışı bırakılır.
• Anonimleştirme: Analitik kapsamındaki veriler mümkün olan en kısa sürede anonimleştirilir/toplulaştırılır.

6) Tarama Verileri (Log)

Sunucularımız, web ve API güvenliği/işletimi kapsamında aşağıdaki parametreleri işleyebilir: IP adresi, yaklaşık konum (ülke), istemci alan adı, talep edilen kaynağın URI’si, istek zamanı, iletim yöntemi, yanıtın HTTP durum kodu, dönen veri boyutu. Bu veriler, istatistiksel raporlama, hata tespiti, kötüye kullanım/sahtekârlık önleme ve hizmetin güvenli biçimde sunulması için meşru menfaat kapsamında işlenir.

7) İşleme Amaçları ve Hukuki Dayanaklar

• Sözleşmenin ifası: hesap/mağaza oluşturma, yetkilendirme, sipariş/satış süreçleri.
• Yasal yükümlülük: vergi ve ticari kayıt yükümlülükleri (fatura vb.).
• Meşru menfaat: hizmet güvenliği, sahtekârlık/kötüye kullanım önleme, ürün geliştirme ve performans iyileştirme.
• Açık rıza: opsiyonel profil verileri, analitik ve pazarlama iletişimi.
• Uyumluluk: resmî makam taleplerinin yerine getirilmesi.
• Analitik: kullanım ölçümü, deneyim ve performans iyileştirme.
• Kötüye kullanım önleme örnekleri: olağan dışı oturumlar, başarısız giriş denemeleri, şüpheli işlem kalıpları, DDoS benzeri trafik.

7.1) Pazarlama İletileri ve Opt-out

Pazarlama iletileri yalnızca onayınızla gönderilir. Dilediğiniz an: e-postaların altındaki abonelik iptal bağlantısından, uygulama içi bildirim/tercih ekranlarından veya info@esnafiz.app yoluyla pazarlama izninizi geri çekebilirsiniz. Benzer ürün/hizmetlere ilişkin soft opt-in istisnası yürürlükteki hukuk sınırlarında uygulanabilir; bu durumda da her iletide kolay opt-out bulunur.

8) Kişisel Verilerin Alıcıları

Kişisel verileriniz aşağıdaki alıcı kategorileri ile, amaçla sınırlı ve veri minimizasyonu ilkesi çerçevesinde paylaşılabilir:

• Bulut/altyapı ve bakım sağlayıcıları (ör. barındırma, ağ, e-posta servisleri),
• Firebase hizmetleri (Auth, Firestore, Storage, FCM, Analytics, Crashlytics),
• Ödeme kuruluşları (örn. Stripe, iyzico) — kart verileri bu kuruluşlarda işlenir,
• İş ortakları ve hizmet sağlayıcılar (müşteri desteği, pazarlama, analitik),
• Resmî makamlar — yürürlükteki mevzuat gereği zorunlu hallerde.

Not: Bazı üçüncü taraflar (örn. analitik/çerez sağlayıcıları) belirli kapsamda bağımsız veri sorumlusu olabilir; bu tarafların politikaları ayrıca geçerlidir.

Veri satışı yapılmaz.

9) Uluslararası Aktarım

Veriler, hizmetin doğası gereği yurtdışındaki sunuculara (örn. Google Cloud) aktarılabilir. Bu durumda, Avrupa Komisyonu tarafından onaylanmış Standart Sözleşme Maddeleri (SCC) ve eşdeğer uygun koruma tedbirleri (şifreleme, erişim kontrolü, sözleşmesel ve organizasyonel önlemler) uygulanır. İlgili aktarımlarda güncel düzenlemeler ve denetim otoritesi rehberleri dikkate alınır.

10) Saklama Süreleri ve Anonimleştirme

• Hesap/Profil: silme talebinizden itibaren kural olarak 30 gün içinde kalıcı sistemlerden çıkarma.
• Fatura/Ticari kayıtlar: ilgili mevzuata göre 10 yıl.
• Log/teşhis kayıtları: 6–24 ay aralığında, amaçla sınırlı.
• Yedekler: kısa süreli; mümkün olan ilk bakım döngüsünde kalıcı sistemlerden çıkarılır.

Rıza geri çekilince rızaya dayalı işleme durdurulur ve verileriniz silinir/anonimleştirilir. Ancak yasal yükümlülükler sebebiyle saklanması gereken veriler, ilgili süre boyunca muhafaza edilir.

11) Güvenlik

Verileriniz; TLS/SSL şifreleme, rol tabanlı yetkilendirme, Firebase App Check, erişim denetimleri ve güncel teknik/organizasyonel tedbirlerle korunur. %100 güvenlik garanti edilemese de makul ve güncel güvenlik önlemleri uygulanır.

12) Veri İhlali Bildirimi

Kişisel verilerinizi etkileyen bir veri ihlali halinde, yürürlükteki mevzuat uyarınca makul süre içinde ilgili denetim otoritesine bildirim yapılır; risk yüksekse etkilenen kullanıcılara da uygun iletişim kanallarıyla bilgi verilir.

13) Haklarınız ve Başvuru Usulü

KVKK ve GDPR kapsamında şu haklara sahipsiniz: erişim, düzeltme, silme, işlemenin kısıtlanması, veri taşınabilirliği, işlemeye itiraz, açık rızayı geri çekme.

• Başvuru kanalı: info@esnafiz.app
• Kimlik doğrulama: Talebinizi işlemeye başlamadan önce kimliğinizi doğrulamamızı gerektirebilir.
• Yanıt süresi: Başvurulara kural olarak 30 gün içinde yanıt verilir.
• Ücretlendirme: Kural olarak ücretsizdir; açıkça dayanaksız/aşırı tekrarlayan taleplerde makul masraflar yansıtılabilir.
• Şikâyet hakkı: Türkiye’de Kişisel Verileri Koruma Kurumu’na, AB’de ilgili denetim otoritesine şikâyet hakkınız saklıdır.

14) Çocuklara Yönelik Kullanım

Uygulama 13 yaş altı çocukları hedeflemez. Yanlışlıkla böyle bir kayıt tespit edilirse, makul süre içinde hesap kapatılır ve gerekiyorsa veli/vasiler bilgilendirilir.

15) Reklam ve Takip

Uygulamada şu an reklam bulunmamaktadır. İleride reklam veya üçüncü taraf takip teknolojileri eklenirse, bu politika güncellenir ve kullanıcılara uygulama içi pop-up ve/veya e-posta ile bildirim yapılır; tercihler paneli üzerinden yönetilebilir.

16) Güncellemeler

Bu politika zaman zaman güncellenebilir. Değişiklikler web sitesinde yayınlandığı andan itibaren geçerlidir. Önemli değişiklikler, uygulama içi bildirim/pop-up ve/veya e-posta yoluyla ayrıca duyurulur.

Ek: Google Play “Data Safety” Özet Eşlemesi (Bilgi Amaçlı)

• Kişisel bilgiler: ad, e-posta, telefon (hesap yönetimi).
• Uygulama faaliyetleri: topluluk içerikleri, etkinlik katılımları.
• Cihaz tanımlayıcılar: FCM token (bildirim).
• Mali veriler: fatura alanları (kart verisi ödeme sağlayıcıda).
• Performans: çökme ve teşhis verileri (Crashlytics).
• Şifreleme/Silme: aktarımda şifreleme; hesap silme desteklenir.

Resmî beyanlar için Google Play Konsolu’ndaki “Data Safety” formunu bu politikayla uyumlu olacak şekilde doldurun.