CollectVaultr

Gizlilik Politikası & KVKK Aydınlatma Metni

Son güncelleme: 30 Mayıs 2026 · Yürürlük: 30 Mayıs 2026

CollectVaultr olarak gizliliğine değer veriyoruz. Bu doküman 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) Madde 10 ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında aydınlatma yükümlülüğümüzü yerine getirir.

Kısaca: Senin verin sana ait, biz sadece servisi sağlamak için tutarız ve istediğin an silebilirsin.

1. Veri Sorumlusunun Kimliği

• Hizmet: CollectVaultr (PWA — Progressive Web App)
• Web sitesi: collectvaultr.com
• Veri sorumlusu: Cansın Çetinkaya (bireysel geliştirici / şahıs hesabı)
• Veri sorumlusu statüsü: Türkiye Cumhuriyeti vatandaşı, bireysel/şahsi geliştirme — VERBİS (Veri Sorumluları Sicili) kayıt eşiklerinin altında (yıllık çalışan sayısı < 50 ve yıllık mali bilanço, Kurul kararıyla belirlenen eşiğin altında). Bu nedenle VERBİS'e kayıt yükümlülüğünden muaftır. Bu muafiyet yalnızca sicile kayıt içindir; aydınlatma, veri güvenliği ve ilgili kişi hakları dâhil diğer tüm KVKK yükümlülükleri eksiksiz uygulanır.

1.1. KVKK Başvuru Kanalları (Madde 13)

KVKK Madde 11 kapsamındaki haklarını kullanmak (veri silme, düzeltme, taşıma, vs.) için aşağıdaki kanallardan başvurabilirsin:

• 📧 Doğrudan e-posta (önerilen, en hızlı): [email protected] — konu satırına "KVKK Başvurusu" yaz. 30 gün içinde yazılı yanıt verilir (KVKK Madde 13/2).
• ⚡ Self-service (en hızlı, anında): Uygulama içi Hesabım → Hesabımı Sil butonu — verilerin anında ve geri dönüşsüz şekilde silinir (Madde 7).
• 📂 Veri ihracı (Madde 11/d - taşıma hakkı): Hesabım → Verilerimi İndir — JSON formatında tüm kişisel verilerinin export'u, anında.
• 💬 Uygulama içi form: Her sayfanın altındaki "Geri Bildirim" butonu (genel sorular için).
• 📝 GitHub Issues (alternatif, kamuya açık): github.com/CilekliNesquik/tcg-vault/issues — kişisel veri içermeyen başvurular için.

⚠️ Önemli: KEP (Kayıtlı E-posta) adresimiz yok (bireysel kullanım için zorunlu değil). Resmi yazışma talep edersen GitHub Issues'da bildir, ek bilgi paylaşılır. KVKK Kuruluna şikâyet hakkı (Madde 14) her zaman saklıdır: kvkk.gov.tr.

2. İşlenen Kişisel Veri Kategorileri

• Kimlik Bilgisi: Kullanıcı adı (sen seçersin, opsiyonel)
• İletişim Bilgisi: E-posta adresi (giriş/kimlik doğrulama ve işlemsel e-postalar için)
• Kullanıcı İşlem Bilgisi: Eklediğin kartlar, koleksiyon (TCG kartları + Hot Wheels/diecast araba koleksiyonu dâhil), takaslar, klasörler, notlar, fiyat geçmişi
• Görsel Veri: Kart tarama için yüklediğin fotoğraflar (yüzünü/kimliğini içeren içerik YOKTUR — yalnızca kart görseli kabul edilir)
• İşlem Güvenliği Bilgisi: IP adresi (yalnızca hash'lenmiş biçimde — düz IP saklanmaz — rate-limit + güvenlik logları için), user-agent (yalnızca tarayıcı ailesi, ör. "Safari/iOS"; tam string saklanmaz), session token (Supabase Auth)
• Teknik Veri (opsiyonel): Uygulama hatası oluştuğunda Sentry'e gönderilen anonim stack trace (PII içermez)

İşlenmeyen veri kategorileri: Konum, finansal veri (kredi kartı/hesap), sağlık verisi, biyometrik veri, ırk/etnik köken, dini inanç, siyasi görüş, cinsel tercih.

3. Verilerin İşlenme Amacı & Hukuki Sebep

Kişisel verilerin KVKK Madde 5/2-c (sözleşmenin kurulması/ifası), 5/2-ç (hukuki yükümlülük), 5/2-e (hakkın tesisi/korunması) ve 5/2-f (meşru menfaat) hukuki sebeplerine dayanarak işlenir:

• Hesabını oluşturma ve kimlik doğrulama (e-posta/şifre, e-posta magic-link veya Google ile giriş)
• Koleksiyonunu sana göstermek ve düzenlemene izin vermek
• Kart tanıma için fotoğrafı AI servisine (Anthropic Claude Vision) iletmek
• Fiyat verisi için 3. parti API'lara kart/ürün kodunu sorgulamak (PriceCharting, Scryfall, eBay, vb.)
• Servis güvenliği için işlem kayıtları (audit log) tutmak
• Yasal yükümlülüklere uyum sağlamak (KVKK, GDPR talepleri)

Verilerini ÜÇÜNCÜ TARAFLARA SATMIYORUZ. REKLAM AMAÇLI KULLANMIYORUZ. PROFİLLEME yaparak senin için karar VERMİYORUZ.

4. Otomatik Sistemlerle Veri İşleme (AI)

Uygulama bazı işlemleri otomatik (AI) sistemlerle gerçekleştirir:

• Kart tanıma: Yüklediğin fotoğraf Anthropic Claude Vision API'ye gönderilir; set kodu, isim, nadirlik tespit edilir. Bu işlem aleyhine sonuç doğurmaz — yalnızca bilgi çıkarımıdır.
• Akıllı içgörüler ("AI Insights"): Koleksiyon özetin (kart adetleri, değerleri) Claude'a gönderilir, tavsiye metni üretir. Hiçbir karar verme yetkisi YOKTUR.
• Otomatik etiketleme: Kart isimlerinden anahtar kelime önerir, sen onaylarsın.

AI sistemlerinin sonucundan memnun değilsen reddedebilir, manuel düzeltebilir veya AI feature'ları kapatabilirsin.

5. Verilerini Nerede ve Kimle Paylaşıyoruz?

Verilerin yalnızca hizmet kalitesi için aşağıdaki veri işleyenlere aktarılır:

• Supabase Inc. (ABD) — Veritabanı + Auth + Storage. Veriler AB ve ABD sunucularında tutulur. supabase.com/privacy
• Render Inc. (ABD) — Backend hosting. render.com/privacy
• Google LLC (ABD) — opsiyonel "Google ile giriş" (OAuth) kimlik doğrulama. Yalnızca bu yöntemi seçersen e-posta adresin Google üzerinden alınır. policies.google.com/privacy
• Resend, Inc. (ABD / AB-İrlanda) — işlemsel e-posta gönderimi (giriş bağlantısı, e-posta doğrulama, fiyat alarmı). Yalnızca e-posta adresin iletilir. resend.com/legal/privacy-policy
• eBay Inc. (ABD) — satılan/aktif ilan fiyatı sorgusu (Browse API). Yalnızca kart/ürün adı & set kodu gönderilir, kişisel bilgi göndermeyiz.
• Anthropic PBC (ABD) — AI kart tanıma + içgörü. Anthropic, API verini model eğitiminde kullanmaz; saklama süreleri Anthropic'in güncel ticari sözleşmesine tabidir. anthropic.com/legal/privacy
• Cloudflare Inc. (ABD) — CDN + DDoS koruması. cloudflare.com/privacypolicy
• PriceCharting / Scryfall / Pokemon TCG API / Lorcast / YGOPRODeck / Digimon API / Limitless — Fiyat & meta veri sorgulaması. Yalnızca kart set kodu & ismi gönderilir, kişisel bilgi göndermeyiz.
• Sentry.io (opsiyonel, ABD) — Anonim hata raporları. sentry.io/privacy

Yurt dışı aktarım: Hizmetin doğası gereği (yukarıdaki veri işleyenler ABD/AB merkezlidir) verilerin yurt dışına aktarılır. E-posta/şifre ile kayıt olurken bu aktarım için KVKK Madde 9 uyarınca ayrı ve açık rızanı kayıt formundaki onay kutusuyla alırız; onay vermezsen bu yöntemle kayıt tamamlanamaz. Google ile giriş veya e-posta bağlantısı (magic-link) yöntemini seçersen, sağlayıcıya yönlendirilmeden önce bu Gizlilik Politikası'na erişebilir ve devam ederek burada açıklanan yurt dışı aktarımı kabul etmiş olursun. Hangi yöntemle kaydolursan ol, dilediğin an Hesabım → Hesabımı Sil ile rızanı geri çekip verini sildirebilirsin.

6. Veri Saklama Süresi

• Hesap aktif olduğu sürece veriler tutulur
• Sildiğin kartlar 30 gün çöp kutusunda kalır (geri alınabilir), sonra otomatik kalıcı silinir
• Hesabını sildiğinde tüm verilerin derhal ve kalıcı silinir (KVKK Madde 7 — silme/yok etme/anonim hale getirme)
• Audit log (güvenlik kaydı) yasal yükümlülük gereği 1 yıl tutulur, sonra silinir
• Kart tanıma önbelleği (Vision sonucu — set kodu/isim/nadirlik çıkarımı) en fazla 90 gün tutulur, sonra otomatik silinir

7. Veri Sahibinin Hakları (KVKK Madde 11 / GDPR)

Aşağıdaki haklara sahipsin:

• Bilgi alma: Hangi verinin işlendiğini öğrenebilirsin
• Erişim: Ayarlar → "JSON İndir" ile tüm verini indir (data portability)
• Düzeltme: Yanlış veriyi her zaman düzenleyebilirsin
• Silme ("unutulma hakkı"): Ayarlar → "Hesabımı Sil" — tek tık, geri dönüşsüz
• İşlemeye itiraz: AI feature'ları kapatabilirsin; tüm işlemeye itiraz edersen servisi kapatmalısın
• İşlemenin sınırlanması: Belirli işlemleri durdurma talebi
• Zararın giderilmesi: Verilerin hukuka aykırı işlendiğinde tazminat talep etme
• Şikayet: Kişisel Verileri Koruma Kurumu'na (KVKK) başvurabilirsin

Başvuru kanalı: Uygulama içi "Geri Bildirim" formundan veya GitHub Issues üzerinden talebini bildir. 30 gün içinde ücretsiz yanıt veririz (KVKK Madde 13).

8. Çerezler ve Yerel Depolama

CollectVaultr üçüncü taraf reklam/izleme çerezleri KULLANMAZ. Yalnızca aşağıdakileri kullanırız:

• localStorage / IndexedDB: Cihazında saklanır, sunucuya gönderilmez. İçerik: tema tercihi, kısa süreli cache, offline destek.
• Session token (Supabase Auth): Giriş yaptıktan sonra cihazına atılır, sadece sen erişebilirsin (HttpOnly, SameSite).
• Referral cookie: Davet linkiyle gelirsen 30 gün tutulur, sonra silinir. Reklam değil.

Tarayıcı ayarlarından bu verileri istediğin an silebilirsin (Settings → Privacy → Clear Site Data).

9. Veri Güvenliği

Verilerinin güvenliği için şunları yapıyoruz:

• HTTPS (TLS 1.3) zorunlu — Strict-Transport-Security (1 yıl)
• Content Security Policy (CSP), X-Frame-Options DENY, COOP/CORP başlıkları
• Veritabanı erişimi Row Level Security (RLS) ile her satır kullanıcı bazlı korumalı
• 2FA (TOTP) opsiyonel destek
• Düzenli güvenlik denetimleri (advisor + dependency security scan)
• Giriş yöntemleri: e-posta/şifre, e-posta magic-link ve Google ile giriş. Şifreler Supabase Auth tarafından güçlü hash (bcrypt) ile saklanır — düz metin asla tutulmaz.

10. Çocukların Gizliliği

13 yaş altı kullanıcılardan bilerek veri toplamıyoruz (COPPA / GDPR Madde 8). Eğer bir ebeveynsen ve çocuğunun veri yüklediğini düşünüyorsan iletişime geç, derhal silelim.

11. Bu Politikadaki Değişiklikler

Önemli değişiklikleri uygulamadaki bildirim sistemi ile yürürlüğe girmeden 7 gün önce duyururuz. Tarih bu sayfanın üstünde güncellenir. Değişikliği kabul etmiyorsan hesabını silebilirsin.

12. İletişim & Başvuru

KVKK / GDPR kapsamındaki tüm talepler için:

• Uygulama içi "Geri Bildirim" butonundan mesaj at (yanıt: 30 gün)
• GitHub Issues üzerinden ticket aç
• Hesap silme: Ayarlar → "Hesabımı Sil" (anlık)