English

Gizlilik Politikası

Uygulama: Sonder — Özel ilişki günlüğünüz İşletici (Veri Sorumlusu): Oğuz Kurukaya, gerçek kişi tacir, Türkiye İletişim: [email protected] Yürürlük tarihi: 2026-05-02 Son güncelleme: 2026-05-02


1. Giriş

Bu Gizlilik Politikası, Sonder (“biz”, “uygulamamız”, “Uygulama”) iOS ve Android mobil uygulamasını kullandığınızda kişisel verilerinizi nasıl topladığımızı, kullandığımızı, paylaştığımızı ve koruduğumuzu açıklar. Sonder, Oğuz Kurukaya tarafından Türkiye’de gerçek kişi tacir sıfatıyla işletilmekte olup, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında Veri Sorumlusu’dur. Avrupa Birliği vatandaşları için Genel Veri Koruma Tüzüğü (“GDPR”) kapsamında da veri sorumlusu olarak hareket etmekteyiz.

Sonder hesabı oluşturarak veya Uygulamayı kullanarak bu Gizlilik Politikası’nı okuduğunuzu ve aşağıda açıklanan uygulamaları kabul ettiğinizi beyan etmiş olursunuz. Kabul etmiyorsanız lütfen Uygulama’yı kullanmayın.

Bu döküman bilinçli olarak sade bir dille yazılmıştır. Herhangi bir maddenin bölgesel olarak daha katı bir hükümle (KVKK, GDPR, CCPA) çakışması durumunda, ilgili bölgedeki kullanıcılar için daha katı kural geçerlidir.


2. Kapsam

Bu politika şu hizmetler için geçerlidir:

Sonder üzerinden etkileşime girebileceğiniz üçüncü taraf hizmetleri (Apple ID girişi, Google Sign-In, App Store, Google Play vb.) bu politika kapsamında değildir; onlar kendi gizlilik politikalarına tabidir.


3. Topladığımız Bilgiler

Yalnızca Sonder’ın çalışması için gereken bilgileri topluyoruz. Verilerinizi satmıyoruz ve uygulamalar arası takip için reklamverenlerle paylaşmıyoruz.

3.1 Bizzat Sağladığınız Bilgiler

Kategori Örnekler Zorunlu mu?
Hesap kimlik bilgileri E-posta adresi (girişten), görünen ad, dil tercihi Hesap oluşturmak için zorunlu
Kimlik doğrulama tokenları JWT erişim tokenı, yenileme tokenı (cihazınızda yerel olarak saklanır) Uygulamanın çalışması için zorunlu
Günlük içeriği Giriş başlığı, gövde metni, seçilen ruh hali, etiketler, zaman damgaları Opsiyonel — yalnızca giriş oluşturursanız
Ekler Bir girişe eklediğiniz fotoğraflar veya dokümanlar Opsiyonel — yalnızca dosya eklerseniz
Yapay zeka sohbet içeriği Yapay zeka özelliğine gönderdiğiniz mesajlar, yapay zeka cevapları Opsiyonel — yalnızca yapay zeka sohbetini kullanırsanız
Profil tercihleri Bildirim ayarları, günlük hatırlatıcı saati, tema Opsiyonel
Müşteri destek yazışmaları Bize gönderdiğiniz e-postalar, destek talepleri Yalnızca bizimle iletişime geçerseniz

3.2 Otomatik Olarak Toplanan Bilgiler

Kategori Kaynak Amaç
Cihaz bilgisi iOS/Android sürümü, uygulama sürümü, cihaz modeli Hata teşhisi, uyumluluk
Çökme raporları Stack trace’leri, çökme anındaki uygulama durumu Hata düzeltme
Kullanım analitiği Ekran görüntülemeleri, özellik etkileşimleri (~66 adlandırılmış olay; örn: entry_created, ai_message_sent) Ürün iyileştirme
Abonelik durumu Aktif/pasif, plan, yenileme tarihi Premium özelliklerin açılması
Push bildirim tokenları FCM token Onay verdiğiniz hatırlatıcı/bildirimleri göndermek
Reklam tanımlayıcısı (yalnızca ücretsiz katmanda) IDFA (iOS) / GAID (Android) — yalnızca abone değilseniz ve izin verirseniz AdMob aracılığıyla reklam gösterimi

3.3 Üçüncü Taraflardan Alınan Bilgiler

Kaynak Aldığımız Neden
Apple Sign-In Apple yönetimli e-posta veya relay e-posta, ad (yalnızca paylaşmayı seçerseniz) Hesap oluşturma
Google Sign-In E-posta, görünen ad, profil fotoğrafı URL’i Hesap oluşturma
RevenueCat Abonelik durumu, satın alma olayları Premium kontrolü
Apple App Store / Google Play Makbuz doğrulaması, iade olayları Abonelik yönetimi

3.4 Toplamadığımız Bilgiler

Şeffaflık adına, açıkça belirtelim ki toplamadığımız veriler şunlardır:


4. Bilgilerinizi Nasıl Kullanıyoruz

Bölüm 3’teki verileri yalnızca aşağıdaki amaçlarla kullanıyoruz:

  1. Hizmeti sağlamak — günlük girişlerinizi saklamak ve göstermek; yapay zeka cevapları sunmak; cihazlarınız arasında senkronize etmek
  2. Kimliğinizi doğrulamak — JWT tokenı vermek ve yenilemek; girişinizi doğrulamak
  3. Abonelikleri işlemek — Apple/Google makbuzlarını RevenueCat aracılığıyla doğrulamak; premium özellikleri açmak
  4. Operasyonel iletişim göndermek — magic-link giriş e-postaları, hesap bildirimi, günlük hatırlatıcılar (yalnızca onay verdiyseniz)
  5. Reklam göstermek (yalnızca ücretsiz katman) — abone değilseniz AdMob’dan reklam talep etmek
  6. Çökme teşhisi ve ürün iyileştirme — Sentry/Crashlytics çökme raporları, Firebase Analytics olayları
  7. Müşteri desteği — destek e-postalarınıza yanıt vermek
  8. Yasal uyum — geçerli yasalar, mahkeme kararları veya KVKK/düzenleyici talepleri

Yukarıdakilerden materyal olarak farklı yeni bir amaç için verilerinizi kullanmadan önce sizi bilgilendireceğiz ve gerekli olduğu durumlarda açık rıza isteyeceğiz.


5. İşleme Hukuki Sebepleri (GDPR Madde 6 / KVKK Madde 5)

Verilerinizi şu hukuki sebeplerle işliyoruz:

Faaliyet Hukuki sebep
Hesap oluşturma ve işletme Sözleşmenin ifası (Kullanım Şartları)
Günlük girişlerinizin saklanması Sözleşmenin ifası + açık rızanız
Yapay zeka sohbeti (içeriğin OpenAI’a gönderilmesi) Yapay zeka sohbetini başlattığınızda açık rızanız
Abonelik işleme Sözleşmenin ifası + yasal yükümlülük (vergi, muhasebe)
Çökme teşhisi Meşru menfaat (kararlı bir ürün işletmek)
Analitik Meşru menfaat (ürünü iyileştirmek), itiraz hakkıyla birlikte
Reklam (ücretsiz katman) App Tracking Transparency / Android Reklam Kimliği uyarısıyla açık rızanız
KVKK kapsamındaki özel yükümlülükler KVKK Madde 5’in ilgili sebepleri (sözleşme, meşru menfaat, özel nitelikli veri için açık rıza)

Onayınızı istediğiniz zaman geri çekebilirsiniz. Geri çekme, geri çekme tarihinden önce yasal olarak gerçekleştirilen işlemleri etkilemez.


6. Bilgilerinizi Nasıl Paylaşıyoruz

Verilerinizi yalnızca aşağıdaki üçüncü taraf veri işleyenleriyle paylaşıyoruz; her biriyle bir veri işleme sözleşmesi (veya eşdeğer sözleşmesel güvence) bulunmaktadır.

İşleyen Amaç Paylaşılan veri Bölge Güvence
OpenAI, Inc. Yapay zeka sohbet, eklerde OCR Yapay zeka mesaj içeriğiniz, OCR resim içeriği ABD Standart Sözleşme Maddeleri (SCC); “Modeli iyileştir” / training opt-out devre dışıdır — içeriğiniz OpenAI modellerini eğitmek için kullanılmaz. OpenAI üzerindeki AI sohbet verileri, OpenAI’ın API saklama politikası uyarınca 30 gün içinde otomatik olarak silinir. Bu süreyi fine-tuning veya training opt-in ile uzatmıyoruz.
Google LLC (Firebase Analytics, Crashlytics, FCM, Sign-In) Analitik, çökme raporları, push bildirim, OAuth Takma adlı cihaz/olay verisi, çökme izleri, FCM token, OAuth tanımlayıcıları ABD SCC; Google Veri İşleme Eki
Google LLC (AdMob) Yalnızca ücretsiz katman kullanıcılarına reklam göstermek Reklam tanımlayıcısı (IDFA/GAID) — yalnızca izninizle ABD SCC
Apple, Inc. (Apple ID girişi, App Store IAP) OAuth, uygulama içi satın alma OAuth tanımlayıcısı, satın alma makbuzu ABD Apple gizlilik çerçevesi
RevenueCat, Inc. Abonelik durumu, makbuz doğrulama Anonim uygulama kullanıcı kimliği, abonelik olayları ABD SCC; DPA
Cloudflare, Inc. (R2 + DNS) Eklerin saklanması; backend hosting Ek dosyalar, istek meta-verileri Global edge — birincil saklama bölgesi: AB SCC
Resend, Inc. İşlemsel e-posta gönderimi (magic link, makbuz) E-posta adresi, e-posta içeriği ABD SCC
Functional Software, Inc. (Sentry) Hata izleme Stack trace’leri, uygulama durumu ABD SCC
Better Stack Sunucu log toplama Sunucu logları (operasyonel, günlük içeriği değil) AB DPA

Yukarıdaki işleyenler dışında kimseyle günlük içeriğinizi, yapay zeka sohbetlerinizi veya eklerinizi paylaşmıyoruz. Verilerinizi reklamverenlere, veri brokerlerine veya başka herhangi bir üçüncü tarafa satmıyor, kiralamıyor, takas etmiyoruz.

Bilgileri yalnızca yetkili Türk mahkemelerinden geçerli yasal emir veya geçerli olduğunda Karşılıklı Hukuki Yardım çerçevesinde kolluk kuvvetlerine ifşa edebiliriz. Yasal olduğu durumlarda aşırı geniş kapsamlı taleplere itiraz edeceğiz.


7. Uluslararası Veri Aktarımı

Yukarıdaki bazı işleyenler Türkiye ve AEA dışında, özellikle ABD’de bulunmaktadır. AEA, Birleşik Krallık veya Türkiye’deki kullanıcılar için şunlara güveniyoruz:

Kullandığımız SCC’lerin bir kopyasını [email protected] adresinden talep edebilirsiniz.


8. Veri Saklama Süreleri

Veri Saklama süresi
Aktif hesap verisi (girişler, yapay zeka mesajları, profil) Hesabınız aktif olduğu süre boyunca
Silinen hesap verileri Talep anında üretim ortamından kalıcı silinme
Veritabanı yedekleri 90 gün, ardından silme yedeklere de yansır
Çökme raporları (Sentry, Crashlytics) 90 gün
Sunucu erişim logları 30 gün
Müşteri destek yazışmaları 2 yıl (yasal kayıt tutma için)
Mali kayıtlar (abonelik, makbuzlar) 10 yıl (Vergi Usul Kanunu gereği)
Pazarlama e-postaları Aboneliği iptal edene kadar

Saklama süresi dolduktan sonra veriler silinir veya tamamen anonimleştirilir. Mali kayıtlar Türk vergi mevzuatı gereği ayrı bir arşivde tutulur ve başka bir amaçla kullanılmaz.


9. Gizlilik Haklarınız

Yargı bölgenize bağlı olarak şu haklara sahipsiniz:

9.1 GDPR Hakları (AEA, Birleşik Krallık)

9.2 KVKK Hakları (Türkiye) — Madde 11

KVKK’nın 11. maddesi uyarınca:

haklarına sahipsiniz.

Şikayet için: Türkiye Kişisel Verileri Koruma Kurumu — https://www.kvkk.gov.tr

9.3 CCPA Hakları (California)

California’da ikamet ediyorsanız bilme, silme, düzeltme ve kişisel bilginizin "satışı/paylaşımı"na karşı çıkma haklarına sahipsiniz. Kişisel bilgilerinizi satmıyoruz.

9.4 Haklarınızı Nasıl Kullanırsınız

[email protected] adresine Sonder hesabınıza kayıtlı e-posta adresinden e-posta gönderin veya uygulama içi Ayarlar → Hesap akışını kullanın. KVKK için 30 gün, GDPR için bir ay içinde yanıt vereceğiz; karmaşık talepler için süreyi iki ay daha uzatabiliriz, bu durumda sizi bilgilendireceğiz.

Bazı talepleri yerine getirmeden önce kimliğinizi doğrulamamız gerekebilir. 12 aylık dönem içindeki ilk talep için asla ücret almayız; tekrarlanan veya açıkça temelsiz talepler için makul bir ücret talep edebiliriz.


10. Hesap ve Veri Silme

Hesabınızı şu yollarla istediğiniz zaman silebilirsiniz:

Hesabınızı sildiğinizde:

  1. Hesabınız ve tüm kişisel verileriniz anında ve geri alınamaz şekilde üretim ortamından kalıcı olarak silinir
  2. 90 gün içinde silme, yedeklere de yansır
  3. Yasal olarak tutmak zorunda olduğumuz kayıtlar (örn: Vergi Usul Kanunu kapsamındaki mali kayıtlar) ayrı bir arşivde tutulur ve başka amaçla kullanılmaz
  4. Kimliğinizle bağlantısı olmayan anonim toplu metrikler, ürün analizi için süresiz saklanır

Detaylar için Hesap Silme Prosedürü sayfasını ziyaret edebilirsiniz.


11. Çocukların Gizliliği

Sonder, App Store ve Google Play’de 13+ olarak derecelendirilmiştir. 13 yaş altındaki çocuklardan bilerek kişisel veri toplamıyoruz. Bu tür bir veri topladığımızı öğrenirsek mümkün olan en kısa sürede silmeyi taahhüt ederiz. Ebeveyn veya vasi iseniz ve çocuğunuzun bize veri sağladığını düşünüyorsanız, lütfen [email protected] adresinden bizimle iletişime geçin.


12. Güvenlik

Verilerinizi sektör standartlarındaki önlemlerle koruyoruz:

Hiçbir sistem mükemmel güvenli değildir. Haklarınız üzerinde yüksek risk yaratan bir veri ihlali oluşursa, KVKK ve GDPR gerektirdiği şekilde 72 saat içinde sizi ve ilgili denetim otoritesini (KVKK Kurumu / yerel veri koruma otoritesi) bilgilendireceğiz.


13. Çerezler, Takip ve Mobil Tanımlayıcılar

Sonder uygulaması geleneksel anlamda çerez kullanmaz. Şunları kullanıyoruz:

sonder.oguzkurukaya.com/privacy, /terms ve /delete-my-account sayfaları yalnızca teslimat için kesinlikle gerekli çerezleri kullanır ve reklam veya analitik takipçi içermez.


14. Bu Politikadaki Değişiklikler

Bu Gizlilik Politikası’nı zaman zaman güncelleyebiliriz. Bu durumda:

Bir değişiklik yürürlüğe girdikten sonra Sonder’ı kullanmaya devam etmeniz, güncellenmiş politikayı kabul ettiğiniz anlamına gelir.


15. İletişim

Veri Sorumlusu: Oğuz Kurukaya (gerçek kişi tacir), Türkiye Gizlilik iletişim: [email protected] Posta adresi: Talep üzerine e-posta yoluyla sağlanır KVKK Veri Sorumlusu: Oğuz Kurukaya (gerçek kişi)

Tarafımızdan yeterli bir yanıt alamazsanız, Türkiye Kişisel Verileri Koruma Kurumuna (https://www.kvkk.gov.tr) veya AEA/Birleşik Krallık’taki yerel veri koruma denetim otoritenize şikayette bulunma hakkınız vardır.


🇹🇷 EK A — KVKK MADDE 10 AYDINLATMA METNİ

Aşağıdaki bölüm, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 10’uncu maddesi gereğince Türk kullanıcılarına özgü olarak hazırlanmıştır.

Veri Sorumlusunun Kimliği

İşlenen Kişisel Veri Kategorileri

Veri Kategorisi Veri Türü
Kimlik bilgisi Görünen ad, OAuth tanımlayıcısı
İletişim bilgisi E-posta adresi
Müşteri işlem bilgisi Abonelik durumu, satın alma makbuzları
İşlem güvenliği bilgisi JWT/refresh tokenları, FCM cihaz tokenı
Pazarlama bilgisi Reklam tanımlayıcısı (yalnızca izinle)
Müşteri/kullanıcı işlem bilgisi Günlük girişleri, ruh hali verileri, etiketler, ekler
Görsel ve işitsel kayıt Yalnızca girişe iliştirdiğiniz fotoğraf/dosya

Kişisel Verilerin İşlenme Amaçları (KVKK Madde 4)

Kişisel Verilerin Aktarıldığı Yerler

Verileriniz, yurt içi olarak hiçbir yere aktarılmamaktadır. Yurt dışı olarak yalnızca aşağıdaki hizmet sağlayıcı/işleyenlerle paylaşılmaktadır (detay için Bölüm 6’ya bakınız):

Yurt dışına aktarımlar, KVKK Madde 9 uyarınca Standart Sözleşme Maddeleri (SCC) ile güvence altına alınmıştır.

Kişisel Veri Toplama Yöntemi ve Hukuki Sebebi

Yöntem Hukuki Sebep
Mobil uygulama içinden doğrudan veri girişi KVKK Md. 5/2© sözleşmenin ifası, Md. 5/1 açık rıza
OAuth (Google, Apple Sign-In) Md. 5/2© sözleşmenin ifası
Otomatik analiz/ölçüm araçları (Firebase, Sentry) Md. 5/2(f) meşru menfaat
Yapay zeka etkileşimi Md. 5/1 açık rıza
Reklam (ücretsiz katmanda) Md. 5/1 açık rıza

Madde 11 Hakları

Bölüm 9.2’de detaylı listelenen haklarınıza KVKK Madde 11 kapsamında sahipsiniz. Başvurunuz hakkında 30 gün içinde yanıt verilecektir.

Başvuru kanalları:


Bu Gizlilik Politikası Türkçe ve İngilizce olarak sunulmaktadır. Dil sürümleri arasında çelişki olması durumunda, Türkiye’de ikamet eden kullanıcılar için Türkçe sürüm; diğer tüm kullanıcılar için İngilizce sürüm geçerli olacaktır.