Gizlilik Politikası

Uygulama: Sonder — Özel ilişki günlüğünüz İşletici (Veri Sorumlusu): Oğuz Kurukaya, gerçek kişi tacir, Türkiye İletişim: [email protected] Yürürlük tarihi: 2026-05-02 Son güncelleme: 2026-05-02

---

1. Giriş

Bu Gizlilik Politikası, Sonder (“biz”, “uygulamamız”, “Uygulama”) iOS ve Android mobil uygulamasını kullandığınızda kişisel verilerinizi nasıl topladığımızı, kullandığımızı, paylaştığımızı ve koruduğumuzu açıklar. Sonder, Oğuz Kurukaya tarafından Türkiye’de gerçek kişi tacir sıfatıyla işletilmekte olup, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında Veri Sorumlusu’dur. Avrupa Birliği vatandaşları için Genel Veri Koruma Tüzüğü (“GDPR”) kapsamında da veri sorumlusu olarak hareket etmekteyiz.

Sonder hesabı oluşturarak veya Uygulamayı kullanarak bu Gizlilik Politikası’nı okuduğunuzu ve aşağıda açıklanan uygulamaları kabul ettiğinizi beyan etmiş olursunuz. Kabul etmiyorsanız lütfen Uygulama’yı kullanmayın.

Bu döküman bilinçli olarak sade bir dille yazılmıştır. Herhangi bir maddenin bölgesel olarak daha katı bir hükümle (KVKK, GDPR, CCPA) çakışması durumunda, ilgili bölgedeki kullanıcılar için daha katı kural geçerlidir.

---

2. Kapsam

Bu politika şu hizmetler için geçerlidir:

• Sonder iOS uygulaması (com.sonderapp.ios)
• Sonder Android uygulaması (com.sonderapp.android)
• sonder.oguzkurukaya.com adresindeki Sonder backend API
• İlgili tüm public web sayfaları (gizlilik, kullanım şartları, hesap silme)

Sonder üzerinden etkileşime girebileceğiniz üçüncü taraf hizmetleri (Apple ID girişi, Google Sign-In, App Store, Google Play vb.) bu politika kapsamında değildir; onlar kendi gizlilik politikalarına tabidir.

---

3. Topladığımız Bilgiler

Yalnızca Sonder’ın çalışması için gereken bilgileri topluyoruz. Verilerinizi satmıyoruz ve uygulamalar arası takip için reklamverenlerle paylaşmıyoruz.

3.1 Bizzat Sağladığınız Bilgiler

Kategori	Örnekler	Zorunlu mu?
Hesap kimlik bilgileri	E-posta adresi (girişten), görünen ad, dil tercihi	Hesap oluşturmak için zorunlu
Kimlik doğrulama tokenları	JWT erişim tokenı, yenileme tokenı (cihazınızda yerel olarak saklanır)	Uygulamanın çalışması için zorunlu
Günlük içeriği	Giriş başlığı, gövde metni, seçilen ruh hali, etiketler, zaman damgaları	Opsiyonel — yalnızca giriş oluşturursanız
Ekler	Bir girişe eklediğiniz fotoğraflar veya dokümanlar	Opsiyonel — yalnızca dosya eklerseniz
Yapay zeka sohbet içeriği	Yapay zeka özelliğine gönderdiğiniz mesajlar, yapay zeka cevapları	Opsiyonel — yalnızca yapay zeka sohbetini kullanırsanız
Profil tercihleri	Bildirim ayarları, günlük hatırlatıcı saati, tema	Opsiyonel
Müşteri destek yazışmaları	Bize gönderdiğiniz e-postalar, destek talepleri	Yalnızca bizimle iletişime geçerseniz

3.2 Otomatik Olarak Toplanan Bilgiler

Kategori	Kaynak	Amaç
Cihaz bilgisi	iOS/Android sürümü, uygulama sürümü, cihaz modeli	Hata teşhisi, uyumluluk
Çökme raporları	Stack trace’leri, çökme anındaki uygulama durumu	Hata düzeltme
Kullanım analitiği	Ekran görüntülemeleri, özellik etkileşimleri (~66 adlandırılmış olay; örn: entry_created, ai_message_sent)	Ürün iyileştirme
Abonelik durumu	Aktif/pasif, plan, yenileme tarihi	Premium özelliklerin açılması
Push bildirim tokenları	FCM token	Onay verdiğiniz hatırlatıcı/bildirimleri göndermek
Reklam tanımlayıcısı (yalnızca ücretsiz katmanda)	IDFA (iOS) / GAID (Android) — yalnızca abone değilseniz ve izin verirseniz	AdMob aracılığıyla reklam gösterimi

3.3 Üçüncü Taraflardan Alınan Bilgiler

Kaynak	Aldığımız	Neden
Apple Sign-In	Apple yönetimli e-posta veya relay e-posta, ad (yalnızca paylaşmayı seçerseniz)	Hesap oluşturma
Google Sign-In	E-posta, görünen ad, profil fotoğrafı URL’i	Hesap oluşturma
RevenueCat	Abonelik durumu, satın alma olayları	Premium kontrolü
Apple App Store / Google Play	Makbuz doğrulaması, iade olayları	Abonelik yönetimi

3.4 Toplamadığımız Bilgiler

Şeffaflık adına, açıkça belirtelim ki toplamadığımız veriler şunlardır:

• Telefon numaraları
• Yasal gerçek isim (yalnızca verdiğiniz görünen ad)
• Ödeme kartı bilgileri (doğrudan Apple App Store ve Google Play tarafından işlenir — Sonder kart bilgisini asla görmez)
• Kesin konum veya GPS verisi
• Rehber, takvim veya diğer uygulama verileri
• Arka plan fotoğraf kütüphanesi erişimi (yalnızca giriş için seçtiğiniz dosyalara erişiriz)
• Sağlık, biyometrik veya devlet kaynaklı kimlik numaraları
• Çocuk verileri (Uygulama 13+ olarak derecelendirilmiştir — bkz. Bölüm 11)

---

4. Bilgilerinizi Nasıl Kullanıyoruz

Bölüm 3’teki verileri yalnızca aşağıdaki amaçlarla kullanıyoruz:

1. Hizmeti sağlamak — günlük girişlerinizi saklamak ve göstermek; yapay zeka cevapları sunmak; cihazlarınız arasında senkronize etmek
2. Kimliğinizi doğrulamak — JWT tokenı vermek ve yenilemek; girişinizi doğrulamak
3. Abonelikleri işlemek — Apple/Google makbuzlarını RevenueCat aracılığıyla doğrulamak; premium özellikleri açmak
4. Operasyonel iletişim göndermek — magic-link giriş e-postaları, hesap bildirimi, günlük hatırlatıcılar (yalnızca onay verdiyseniz)
5. Reklam göstermek (yalnızca ücretsiz katman) — abone değilseniz AdMob’dan reklam talep etmek
6. Çökme teşhisi ve ürün iyileştirme — Sentry/Crashlytics çökme raporları, Firebase Analytics olayları
7. Müşteri desteği — destek e-postalarınıza yanıt vermek
8. Yasal uyum — geçerli yasalar, mahkeme kararları veya KVKK/düzenleyici talepleri

Yukarıdakilerden materyal olarak farklı yeni bir amaç için verilerinizi kullanmadan önce sizi bilgilendireceğiz ve gerekli olduğu durumlarda açık rıza isteyeceğiz.

---

5. İşleme Hukuki Sebepleri (GDPR Madde 6 / KVKK Madde 5)

Verilerinizi şu hukuki sebeplerle işliyoruz:

Faaliyet	Hukuki sebep
Hesap oluşturma ve işletme	Sözleşmenin ifası (Kullanım Şartları)
Günlük girişlerinizin saklanması	Sözleşmenin ifası + açık rızanız
Yapay zeka sohbeti (içeriğin OpenAI’a gönderilmesi)	Yapay zeka sohbetini başlattığınızda açık rızanız
Abonelik işleme	Sözleşmenin ifası + yasal yükümlülük (vergi, muhasebe)
Çökme teşhisi	Meşru menfaat (kararlı bir ürün işletmek)
Analitik	Meşru menfaat (ürünü iyileştirmek), itiraz hakkıyla birlikte
Reklam (ücretsiz katman)	App Tracking Transparency / Android Reklam Kimliği uyarısıyla açık rızanız
KVKK kapsamındaki özel yükümlülükler	KVKK Madde 5’in ilgili sebepleri (sözleşme, meşru menfaat, özel nitelikli veri için açık rıza)

Onayınızı istediğiniz zaman geri çekebilirsiniz. Geri çekme, geri çekme tarihinden önce yasal olarak gerçekleştirilen işlemleri etkilemez.

---

6. Bilgilerinizi Nasıl Paylaşıyoruz

Verilerinizi yalnızca aşağıdaki üçüncü taraf veri işleyenleriyle paylaşıyoruz; her biriyle bir veri işleme sözleşmesi (veya eşdeğer sözleşmesel güvence) bulunmaktadır.

İşleyen	Amaç	Paylaşılan veri	Bölge	Güvence
OpenAI, Inc.	Yapay zeka sohbet, eklerde OCR	Yapay zeka mesaj içeriğiniz, OCR resim içeriği	ABD	Standart Sözleşme Maddeleri (SCC); “Modeli iyileştir” / training opt-out devre dışıdır — içeriğiniz OpenAI modellerini eğitmek için kullanılmaz. OpenAI üzerindeki AI sohbet verileri, OpenAI’ın API saklama politikası uyarınca 30 gün içinde otomatik olarak silinir. Bu süreyi fine-tuning veya training opt-in ile uzatmıyoruz.
Google LLC (Firebase Analytics, Crashlytics, FCM, Sign-In)	Analitik, çökme raporları, push bildirim, OAuth	Takma adlı cihaz/olay verisi, çökme izleri, FCM token, OAuth tanımlayıcıları	ABD	SCC; Google Veri İşleme Eki
Google LLC (AdMob)	Yalnızca ücretsiz katman kullanıcılarına reklam göstermek	Reklam tanımlayıcısı (IDFA/GAID) — yalnızca izninizle	ABD	SCC
Apple, Inc. (Apple ID girişi, App Store IAP)	OAuth, uygulama içi satın alma	OAuth tanımlayıcısı, satın alma makbuzu	ABD	Apple gizlilik çerçevesi
RevenueCat, Inc.	Abonelik durumu, makbuz doğrulama	Anonim uygulama kullanıcı kimliği, abonelik olayları	ABD	SCC; DPA
Cloudflare, Inc. (R2 + DNS)	Eklerin saklanması; backend hosting	Ek dosyalar, istek meta-verileri	Global edge — birincil saklama bölgesi: AB	SCC
Resend, Inc.	İşlemsel e-posta gönderimi (magic link, makbuz)	E-posta adresi, e-posta içeriği	ABD	SCC
Functional Software, Inc. (Sentry)	Hata izleme	Stack trace’leri, uygulama durumu	ABD	SCC
Better Stack	Sunucu log toplama	Sunucu logları (operasyonel, günlük içeriği değil)	AB	DPA

Yukarıdaki işleyenler dışında kimseyle günlük içeriğinizi, yapay zeka sohbetlerinizi veya eklerinizi paylaşmıyoruz. Verilerinizi reklamverenlere, veri brokerlerine veya başka herhangi bir üçüncü tarafa satmıyor, kiralamıyor, takas etmiyoruz.

Bilgileri yalnızca yetkili Türk mahkemelerinden geçerli yasal emir veya geçerli olduğunda Karşılıklı Hukuki Yardım çerçevesinde kolluk kuvvetlerine ifşa edebiliriz. Yasal olduğu durumlarda aşırı geniş kapsamlı taleplere itiraz edeceğiz.

---

7. Uluslararası Veri Aktarımı

Yukarıdaki bazı işleyenler Türkiye ve AEA dışında, özellikle ABD’de bulunmaktadır. AEA, Birleşik Krallık veya Türkiye’deki kullanıcılar için şunlara güveniyoruz:

• Avrupa Komisyonu tarafından onaylanmış Standart Sözleşme Maddeleri (SCC) — ABD ve diğerlerine yapılan transferler için
• Yeterlilik kararları — geçerli olduğunda
• Açık rıza — KVKK’nın yeterli koruma içermeyen ülkelere transfer için talep ettiği durumlarda

Kullandığımız SCC’lerin bir kopyasını [email protected] adresinden talep edebilirsiniz.

---

8. Veri Saklama Süreleri

Veri	Saklama süresi
Aktif hesap verisi (girişler, yapay zeka mesajları, profil)	Hesabınız aktif olduğu süre boyunca
Silinen hesap verileri	Talep anında üretim ortamından kalıcı silinme
Veritabanı yedekleri	90 gün, ardından silme yedeklere de yansır
Çökme raporları (Sentry, Crashlytics)	90 gün
Sunucu erişim logları	30 gün
Müşteri destek yazışmaları	2 yıl (yasal kayıt tutma için)
Mali kayıtlar (abonelik, makbuzlar)	10 yıl (Vergi Usul Kanunu gereği)
Pazarlama e-postaları	Aboneliği iptal edene kadar

Saklama süresi dolduktan sonra veriler silinir veya tamamen anonimleştirilir. Mali kayıtlar Türk vergi mevzuatı gereği ayrı bir arşivde tutulur ve başka bir amaçla kullanılmaz.

---

9. Gizlilik Haklarınız

Yargı bölgenize bağlı olarak şu haklara sahipsiniz:

9.1 GDPR Hakları (AEA, Birleşik Krallık)

• Erişim hakkı — verilerinizin bir kopyasını alma
• Düzeltme hakkı — yanlış verileri düzeltme
• Silme hakkı (“unutulma hakkı”) — verilerinizi silme
• İşlemeyi kısıtlama hakkı
• Veri taşınabilirliği hakkı — verilerinizi makine tarafından okunabilir formatta alma
• İtiraz hakkı — meşru menfaate dayalı işlemeye
• Onayı geri çekme hakkı — istediğiniz zaman
• Şikayet hakkı — yerel denetim otoritesine

9.2 KVKK Hakları (Türkiye) — Madde 11

KVKK’nın 11. maddesi uyarınca:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme,
• Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
• KVKK Madde 7 çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
• Düzeltme, silme veya yok etme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonuç ortaya çıkmasına itiraz etme,
• Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme

haklarına sahipsiniz.

Şikayet için: Türkiye Kişisel Verileri Koruma Kurumu — https://www.kvkk.gov.tr

9.3 CCPA Hakları (California)

California’da ikamet ediyorsanız bilme, silme, düzeltme ve kişisel bilginizin "satışı/paylaşımı"na karşı çıkma haklarına sahipsiniz. Kişisel bilgilerinizi satmıyoruz.

9.4 Haklarınızı Nasıl Kullanırsınız

[email protected] adresine Sonder hesabınıza kayıtlı e-posta adresinden e-posta gönderin veya uygulama içi Ayarlar → Hesap akışını kullanın. KVKK için 30 gün, GDPR için bir ay içinde yanıt vereceğiz; karmaşık talepler için süreyi iki ay daha uzatabiliriz, bu durumda sizi bilgilendireceğiz.

Bazı talepleri yerine getirmeden önce kimliğinizi doğrulamamız gerekebilir. 12 aylık dönem içindeki ilk talep için asla ücret almayız; tekrarlanan veya açıkça temelsiz talepler için makul bir ücret talep edebiliriz.

---

10. Hesap ve Veri Silme

Hesabınızı şu yollarla istediğiniz zaman silebilirsiniz:

• Uygulama içi: Ayarlar → Hesap → Hesabı Sil (Apple App Store Yönergesi 5.1.1(v) gereğince zorunludur)
• Web: https://sonder.oguzkurukaya.com/delete-my-account

Hesabınızı sildiğinizde:

1. Hesabınız ve tüm kişisel verileriniz anında ve geri alınamaz şekilde üretim ortamından kalıcı olarak silinir
2. 90 gün içinde silme, yedeklere de yansır
3. Yasal olarak tutmak zorunda olduğumuz kayıtlar (örn: Vergi Usul Kanunu kapsamındaki mali kayıtlar) ayrı bir arşivde tutulur ve başka amaçla kullanılmaz
4. Kimliğinizle bağlantısı olmayan anonim toplu metrikler, ürün analizi için süresiz saklanır

Detaylar için Hesap Silme Prosedürü sayfasını ziyaret edebilirsiniz.

---

11. Çocukların Gizliliği

Sonder, App Store ve Google Play’de 13+ olarak derecelendirilmiştir. 13 yaş altındaki çocuklardan bilerek kişisel veri toplamıyoruz. Bu tür bir veri topladığımızı öğrenirsek mümkün olan en kısa sürede silmeyi taahhüt ederiz. Ebeveyn veya vasi iseniz ve çocuğunuzun bize veri sağladığını düşünüyorsanız, lütfen [email protected] adresinden bizimle iletişime geçin.

---

12. Güvenlik

Verilerinizi sektör standartlarındaki önlemlerle koruyoruz:

• Aktarımda: Uygulama ve sunucularımız arasında TLS 1.3
• Saklamada: Şifrelenmiş veritabanı (disk şifrelemeli PostgreSQL); şifrelenmiş ek dosya saklama (Cloudflare R2)
• Cihazınızda: Kimlik doğrulama tokenları flutter_secure_storage aracılığıyla Keychain (iOS) / Keystore (Android)'de; hassas tercihler şifrelenmiş yerel depolamada
• Erişim kontrolü: Backend erişimi yalnızca Sonder işleticisine açık ve çok faktörlü kimlik doğrulama kullanıyor
• Denetim: Kullanıcı verisi erişimini logluyoruz; loglar mümkün olduğunca anonimleştiriliyor

Hiçbir sistem mükemmel güvenli değildir. Haklarınız üzerinde yüksek risk yaratan bir veri ihlali oluşursa, KVKK ve GDPR gerektirdiği şekilde 72 saat içinde sizi ve ilgili denetim otoritesini (KVKK Kurumu / yerel veri koruma otoritesi) bilgilendireceğiz.

---

13. Çerezler, Takip ve Mobil Tanımlayıcılar

Sonder uygulaması geleneksel anlamda çerez kullanmaz. Şunları kullanıyoruz:

• App Tracking Transparency (iOS): AdMob takibinden önce iOS standart ATT uyarısını gösterir; yalnızca izin verirseniz ilerleyeceğiz
• Android Reklam Kimliği: yalnızca AdMob için, izninizle
• Birinci taraf yerel depolama: kimlik doğrulama ve tercihlerinizi hatırlamak için

sonder.oguzkurukaya.com/privacy, /terms ve /delete-my-account sayfaları yalnızca teslimat için kesinlikle gerekli çerezleri kullanır ve reklam veya analitik takipçi içermez.

---

14. Bu Politikadaki Değişiklikler

Bu Gizlilik Politikası’nı zaman zaman güncelleyebiliriz. Bu durumda:

• Üstteki “Son güncelleme” tarihini güncelleriz
• Materyal değişikliklerde aktif kullanıcıları, değişiklik yürürlüğe girmeden en az 14 gün önce e-posta ve/veya uygulama içi bildirim ile bilgilendiririz
• Materyal olmayan değişikliklerde (yazım hataları, iletişim güncellemesi) basitçe dökümanı güncelleriz

Bir değişiklik yürürlüğe girdikten sonra Sonder’ı kullanmaya devam etmeniz, güncellenmiş politikayı kabul ettiğiniz anlamına gelir.

---

15. İletişim

Veri Sorumlusu: Oğuz Kurukaya (gerçek kişi tacir), Türkiye Gizlilik iletişim: [email protected] Posta adresi: Talep üzerine e-posta yoluyla sağlanır KVKK Veri Sorumlusu: Oğuz Kurukaya (gerçek kişi)

Tarafımızdan yeterli bir yanıt alamazsanız, Türkiye Kişisel Verileri Koruma Kurumuna (https://www.kvkk.gov.tr) veya AEA/Birleşik Krallık’taki yerel veri koruma denetim otoritenize şikayette bulunma hakkınız vardır.

---

🇹🇷 EK A — KVKK MADDE 10 AYDINLATMA METNİ

Aşağıdaki bölüm, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 10’uncu maddesi gereğince Türk kullanıcılarına özgü olarak hazırlanmıştır.

Veri Sorumlusunun Kimliği

• Adı Soyadı: Oğuz Kurukaya
• Sıfatı: Gerçek kişi tacir, Türkiye Cumhuriyeti
• İletişim: [email protected]
• Web: sonder.oguzkurukaya.com

İşlenen Kişisel Veri Kategorileri

Veri Kategorisi	Veri Türü
Kimlik bilgisi	Görünen ad, OAuth tanımlayıcısı
İletişim bilgisi	E-posta adresi
Müşteri işlem bilgisi	Abonelik durumu, satın alma makbuzları
İşlem güvenliği bilgisi	JWT/refresh tokenları, FCM cihaz tokenı
Pazarlama bilgisi	Reklam tanımlayıcısı (yalnızca izinle)
Müşteri/kullanıcı işlem bilgisi	Günlük girişleri, ruh hali verileri, etiketler, ekler
Görsel ve işitsel kayıt	Yalnızca girişe iliştirdiğiniz fotoğraf/dosya

Kişisel Verilerin İşlenme Amaçları (KVKK Madde 4)

• Sözleşmenin kurulması ve ifası: hesap oluşturma, hizmet sunma
• Yasal yükümlülüklerin yerine getirilmesi: vergi mevzuatı, KVKK
• İletişim faaliyetlerinin yürütülmesi: destek, bildirim
• Mal/hizmet satın alım süreçlerinin yönetimi: abonelik
• Bilgi güvenliği süreçlerinin yürütülmesi: kimlik doğrulama, ihlal tespiti
• Faaliyetlerin mevzuata uygun yürütülmesi
• Saklama ve arşiv faaliyetlerinin yürütülmesi

Kişisel Verilerin Aktarıldığı Yerler

Verileriniz, yurt içi olarak hiçbir yere aktarılmamaktadır. Yurt dışı olarak yalnızca aşağıdaki hizmet sağlayıcı/işleyenlerle paylaşılmaktadır (detay için Bölüm 6’ya bakınız):

• ABD: OpenAI, Google (Firebase, AdMob, FCM), Apple, RevenueCat, Resend, Sentry
• AB / Global: Cloudflare, Better Stack

Yurt dışına aktarımlar, KVKK Madde 9 uyarınca Standart Sözleşme Maddeleri (SCC) ile güvence altına alınmıştır.

Kişisel Veri Toplama Yöntemi ve Hukuki Sebebi

Yöntem	Hukuki Sebep
Mobil uygulama içinden doğrudan veri girişi	KVKK Md. 5/2© sözleşmenin ifası, Md. 5/1 açık rıza
OAuth (Google, Apple Sign-In)	Md. 5/2© sözleşmenin ifası
Otomatik analiz/ölçüm araçları (Firebase, Sentry)	Md. 5/2(f) meşru menfaat
Yapay zeka etkileşimi	Md. 5/1 açık rıza
Reklam (ücretsiz katmanda)	Md. 5/1 açık rıza

Madde 11 Hakları

Bölüm 9.2’de detaylı listelenen haklarınıza KVKK Madde 11 kapsamında sahipsiniz. Başvurunuz hakkında 30 gün içinde yanıt verilecektir.

Başvuru kanalları:

• E-posta: [email protected] (kayıtlı e-posta adresinizden)
• Uygulama içi: Ayarlar → Hesap

---

Bu Gizlilik Politikası Türkçe ve İngilizce olarak sunulmaktadır. Dil sürümleri arasında çelişki olması durumunda, Türkiye’de ikamet eden kullanıcılar için Türkçe sürüm; diğer tüm kullanıcılar için İngilizce sürüm geçerli olacaktır.