Gizlilik Politikası

1. GİRİŞ VE VERİ SORUMLUSU

1.1. İşbu Gizlilik Politikası ("Politika"), Innovarify Teknoloji ve Medya Limited Şirketi ("Şirket", "Eventroy", "biz", "bizim") tarafından sunulan Eventroy mobil uygulaması ("Uygulama") ve ilgili hizmetlerin ("Hizmetler") kullanımı sırasında kişisel verilerinizin nasıl toplandığını, işlendiğini, saklandığını, paylaşıldığını ve korunduğunu açıklamaktadır.

1.2. Veri Sorumlusu: - Unvan: Innovarify Teknoloji ve Medya Limited Şirketi - Adres: İdealtepe Mah. Rıfkı Tongsir Cad. Aris Apt No: 29 B, Maltepe/İstanbul - Vergi Dairesi: Küçükyalı - E-posta: privacy@eventroy.com

1.3. İşbu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK"), Avrupa Birliği Genel Veri Koruma Tüzüğü ("GDPR") ve ilgili ulusal ve uluslararası mevzuat hükümleri çerçevesinde hazırlanmıştır.

1.4. Uygulamayı kullanarak işbu Politikayı okuduğunuzu ve anladığınızı kabul etmiş sayılırsınız.

2. TOPLANAN KİŞİSEL VERİLER

2.1. Doğrudan Sağladığınız Veriler:

a) Kimlik ve İletişim Bilgileri: - Ad ve soyad - E-posta adresi - Telefon numarası - Profil fotoğrafı - Biyografi / hakkında bilgisi

b) Etkinlik Bilgileri: - Etkinlik adı, türü, açıklaması - Etkinlik tarihi, saati ve süresi - Etkinlik konumu / adresi - Etkinlik tercihleri ve ayarları

c) Davetli Bilgileri: - Davetli adı ve soyadı - Davetli telefon numarası ve/veya e-posta adresi - Davetli grubu ve kategorisi - RSVP (katılım onayı) durumu - Check-in bilgisi ve zamanı

d) Medya Dosyaları: - Yüklenen fotoğraflar ve videolar - Medya dosyası meta verileri (yüklenme tarihi, yükleyen kullanıcı)

e) İletişim İçerikleri: - Etkinlik sohbet mesajları - Destek talepleri ve geri bildirimler

f) Hediye Listesi Bilgileri: - Hediye tercihleri ve seçimleri

2.2. Otomatik Olarak Toplanan Veriler:

a) Cihaz Bilgileri: - Cihaz modeli ve üreticisi - İşletim sistemi türü ve versiyonu - Benzersiz cihaz tanımlayıcıları - Uygulama versiyonu

b) Kullanım Verileri: - Özellik kullanım istatistikleri - Uygulama açılma sıklığı ve süresi - Tercih edilen özellikler ve gezinme davranışları

c) Teknik Veriler: - Push notification token'ları (bildirim gönderimi için) - Hata raporları ve çökme logları - Performans verileri

d) Konum Bilgileri: - Etkinlik konumu seçimi sırasında (yalnızca izin verildiğinde) cihaz konum bilgisi

2.3. Üçüncü Taraflardan Alınan Veriler:

a) Kimlik Doğrulama Hizmetleri: - Apple ile giriş yapıldığında: Ad, e-posta (Apple tarafından paylaşılan) - Google ile giriş yapıldığında: Ad, e-posta, profil fotoğrafı

b) Ödeme Bilgileri: - Abonelik durumu ve geçmişi (Apple App Store / Google Play Store üzerinden) - Eventroy, kredi kartı veya banka hesap bilgilerinizi doğrudan toplamaz, saklamaz veya işlemez

3. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

3.1. Toplanan kişisel veriler aşağıdaki amaçlarla işlenmektedir:

a) Hizmet Sunumu: - Hesap oluşturma, kimlik doğrulama ve oturum yönetimi - Etkinlik oluşturma, düzenleme ve yönetimi hizmetlerinin sağlanması - Davetli yönetimi, RSVP takibi ve davetiye gönderimi - QR kod oluşturma ve check-in işlemlerinin gerçekleştirilmesi - Galeri, mesajlaşma ve hediye listesi özelliklerinin sunulması - AI Plan özelliği kapsamında etkinlik planlama önerilerinin oluşturulması

b) İletişim ve Bildirim: - RSVP güncellemeleri, etkinlik hatırlatmaları ve mesaj bildirimlerinin gönderimi - Destek taleplerinin yanıtlanması - Hizmet ile ilgili önemli duyuruların iletilmesi

c) Hizmet İyileştirme: - Kullanıcı deneyiminin iyileştirilmesi ve kişiselleştirilmesi - Uygulamanın performansının izlenmesi ve optimize edilmesi - Teknik sorunların tespiti, analizi ve giderilmesi - Yeni özellik geliştirme ve mevcut özelliklerin iyileştirilmesi

d) Güvenlik ve Uyum: - Dolandırıcılık ve kötüye kullanımın önlenmesi - Uygulamanın güvenliğinin sağlanması - Yasal yükümlülüklerin yerine getirilmesi - Yasal talep ve denetimlere cevap verilmesi

e) Abonelik Yönetimi: - Abonelik planlarının yönetimi ve faturalandırma süreçlerinin takibi

4. KİŞİSEL VERİ İŞLEMENİN HUKUKİ SEBEPLERİ

4.1. KVKK Madde 5 Kapsamında Hukuki Sebepler:

a) Açık Rıza (Madde 5/1): - AI Plan özelliğinin kullanılması - Pazarlama amaçlı iletişim - Konum bilgisi erişimi

b) Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi (Madde 5/2-c): - Hesap oluşturma ve hizmet sunumu - Etkinlik yönetimi hizmetlerinin sağlanması - Abonelik yönetimi ve faturalandırma

c) Hukuki Yükümlülük (Madde 5/2-ç): - Yasal saklama yükümlülüklerinin yerine getirilmesi - Yetkili kurum ve kuruluşlara bilgi sağlanması - 5651 sayılı Kanun kapsamındaki yükümlülükler

d) Meşru Menfaat (Madde 5/2-f): - Hizmetlerin iyileştirilmesi ve güvenliğinin sağlanması - Teknik sorunların tespiti ve çözülmesi - Dolandırıcılık ve kötüye kullanımın önlenmesi

4.2. GDPR Madde 6 Kapsamında Hukuki Sebepler (AB/AEA Kullanıcıları İçin):

a) Rıza (Madde 6/1-a): AI Plan özelliği, pazarlama iletişimi, konum bilgisi b) Sözleşmenin İfası (Madde 6/1-b): Hizmet sunumu ve hesap yönetimi c) Hukuki Yükümlülük (Madde 6/1-c): Yasal saklama ve raporlama yükümlülükleri d) Meşru Menfaat (Madde 6/1-f): Hizmet güvenliği, iyileştirme ve dolandırıcılık önleme

5. KİŞİSEL VERİLERİN PAYLAŞIMI VE AKTARIMI

5.1. Kişisel verileriniz aşağıdaki durumlarda ve taraflarla paylaşılabilir:

a) Hizmet Sağlayıcılar (Alt Veri İşleyenler): - Google Firebase / Google Cloud Platform: Veritabanı yönetimi, kimlik doğrulama, dosya depolama ve sunucu tarafı işlemler - OpenAI: AI Plan özelliği kapsamında yalnızca anonimleştirilmiş etkinlik verileri - Google Places API: Mekan arama ve öneri hizmeti - Resend: E-posta gönderim hizmeti (davetiye, bildirim e-postaları) - Expo / Apple Push Notification Service / Firebase Cloud Messaging: Push bildirim hizmetleri

b) Diğer Kullanıcılar: - Etkinlik katılımcılarıyla paylaşılmak üzere sağladığınız bilgiler (profil bilgileri, galeri içerikleri, mesajlar)

c) Yasal Gereklilikler: - Mahkeme kararı, yasal zorunluluk veya yetkili makam talebi halinde - Kullanıcı güvenliğinin tehdit altında olduğu acil durumlarda - 5651 sayılı Kanun kapsamındaki yasal yükümlülükler çerçevesinde

5.2. Kişisel verilerinizi hiçbir koşulda üçüncü taraflara reklam veya pazarlama amacıyla satmayız, kiralamayız veya ticari amaçla paylaşmayız.

5.3. Hizmet sağlayıcılarımız ile yapılan sözleşmelerde, kişisel verilerin yalnızca hizmet sunumu amacıyla ve talimatlarımıza uygun olarak işlenmesi şart koşulmaktadır.

6. ULUSLARARASI VERİ AKTARIMI

6.1. Firebase ve diğer bulut hizmet sağlayıcıları nedeniyle kişisel verileriniz Türkiye dışındaki ülkelerde (başta Amerika Birleşik Devletleri ve Avrupa Birliği üye ülkeleri) bulunan sunucularda işlenebilir ve saklanabilir.

6.2. Uluslararası veri aktarımı, KVKK Madde 9 ve GDPR Madde 46 kapsamında aşağıdaki güvenceler çerçevesinde gerçekleştirilir: a) Standart Sözleşme Hükümleri (SCC / Standard Contractual Clauses) b) Hizmet sağlayıcıların veri koruma taahhütleri ve sertifikaları c) Google'ın AB-ABD Veri Gizlilik Çerçevesi (EU-US Data Privacy Framework) kapsamındaki taahhütleri d) Kişisel Verileri Koruma Kurulu'nun yeterli koruma sağladığına karar verdiği ülkelere aktarım

6.3. Uluslararası veri aktarımı hakkında daha fazla bilgi almak için privacy@eventroy.com adresinden bizimle iletişime geçebilirsiniz.

7. VERİ GÜVENLİĞİ ÖNLEMLERİ

7.1. Teknik Güvenlik Önlemleri: a) Aktarım halindeki veriler için TLS 1.2/1.3 şifreleme b) Bekleyen (depolanan) veriler için AES-256 şifreleme (Firebase altyapısı) c) Firebase Authentication ile güvenli kimlik doğrulama d) Firestore Security Rules ile granüler veri erişim kontrolü e) Firebase Storage Security Rules ile medya dosyası erişim kontrolü f) Firebase App Check ile uygulama doğrulama g) Düzenli güvenlik taramaları ve sızma testleri h) Otomatik yedekleme sistemleri

7.2. Organizasyonel Güvenlik Önlemleri: a) Çalışanlar için gizlilik sözleşmeleri ve veri koruma eğitimleri b) Erişim kontrolü ve yetkilendirme politikaları (en az ayrıcalık ilkesi) c) Veri işleme faaliyetlerinin kayıt altına alınması d) Olay müdahale ve veri ihlali prosedürleri e) Düzenli güvenlik değerlendirmeleri ve denetimleri

7.3. Hiçbir güvenlik sistemi yüzde yüz güvenli olmamakla birlikte, kişisel verilerinizi korumak için endüstri standartlarına uygun ve makul tüm önlemleri almaktayız.

8. VERİ SAKLAMA SÜRESİ

8.1. Kişisel verileriniz, işlenme amaçlarının gerektirdiği süre boyunca ve aşağıda belirtilen saklama süreleri çerçevesinde muhafaza edilir:

a) Hesap Verileri: Hesabınız aktif olduğu sürece saklanır. Hesap silinmesinden itibaren 30 gün içinde kalıcı olarak kaldırılır.

b) Etkinlik Verileri: Etkinlik sahibi tarafından silinene veya Hesap kapatılana kadar saklanır.

c) Medya Dosyaları: Etkinlik sahibi veya yükleyen Kullanıcı tarafından silinene veya ilgili Hesap kapatılana kadar saklanır.

d) Mesajlaşma Verileri: İlgili etkinlik silinene veya Hesap kapatılana kadar saklanır.

e) Teknik Loglar ve Hata Raporları: 90 gün boyunca saklanır, ardından otomatik olarak silinir.

f) Yasal Zorunluluk Kapsamındaki Veriler: İlgili mevzuatın öngördüğü süre boyunca saklanır (örn. 6102 sayılı Türk Ticaret Kanunu uyarınca ticari defterler ve kayıtlar 10 yıl; 213 sayılı Vergi Usul Kanunu kapsamında vergisel kayıtlar 5 yıl).

8.2. Saklama süresinin sona ermesiyle birlikte kişisel veriler, KVKK ve GDPR hükümleri doğrultusunda silinir, yok edilir veya anonim hale getirilir.

9. ÇEREZLER VE İZLEME TEKNOLOJİLERİ

9.1. Eventroy bir mobil uygulama olarak geleneksel web çerezlerini (cookie) kullanmamaktadır.

9.2. Uygulama, oturum bilgileri ve kullanıcı tercihlerini cihazınızda güvenli bir şekilde saklamak için yerel depolama (AsyncStorage / SecureStore) teknolojisini kullanmaktadır.

9.3. Uygulama performansını izlemek ve teknik sorunları tespit etmek amacıyla anonim kullanım istatistikleri toplanabilir.

9.4. Push notification token'ları, yalnızca bildirim hizmeti sunmak amacıyla cihazınızda saklanır ve sunucularımıza iletilir.

10. ÇOCUKLARIN GİZLİLİĞİ

10.1. Eventroy, 13 yaşın altındaki çocuklara yönelik değildir. 13 yaşın altındaki kişilerden bilerek kişisel veri toplamayız.

10.2. 13-18 yaş arasındaki kullanıcılar, Uygulamayı yalnızca ebeveyn veya yasal vasilerinin onayı ve gözetimi altında kullanabilir.

10.3. 13 yaşın altındaki bir kişinin kişisel veri sağladığını tespit etmemiz halinde, söz konusu verileri derhal ve kalıcı olarak sileriz.

10.4. Çocuğunuzun bize kişisel veri sağladığını düşünüyorsanız, lütfen derhal privacy@eventroy.com adresinden bize ulaşın.

11. KULLANICI HAKLARI

11.1. KVKK Madde 11 Kapsamındaki Haklarınız:

a) Kişisel verilerinizin işlenip işlenmediğini öğrenme b) Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme c) Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme d) Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme e) Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme f) KVKK Madde 7'deki şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme g) (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme h) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme i) Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme

11.2. GDPR Kapsamındaki Ek Haklarınız (AB/AEA Kullanıcıları İçin):

a) Veri Taşınabilirliği Hakkı: Kişisel verilerinizi yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta alma ve başka bir veri sorumlusuna aktarma hakkı b) İşlemenin Kısıtlanmasını İsteme Hakkı: Belirli koşullarda kişisel verilerinizin işlenmesinin sınırlandırılmasını talep etme hakkı c) Unutulma Hakkı: Belirli koşullarda kişisel verilerinizin silinmesini isteme hakkı d) Rızanızı Geri Çekme Hakkı: Rızaya dayalı veri işleme faaliyetleri için verdiğiniz rızayı herhangi bir zamanda geri çekme hakkı e) Denetim Makamına Başvuru Hakkı: İlgili veri koruma otoritesine şikayette bulunma hakkı

12. HAKLARIN KULLANILMASI

12.1. KVKK kapsamındaki haklarınızı kullanmak için aşağıdaki yollarla başvuruda bulunabilirsiniz:

a) E-posta: privacy@eventroy.com adresine kimliğinizi doğrulayıcı bilgiler ile birlikte yazılı başvuru b) Posta: Innovarify Teknoloji ve Medya Limited Şirketi, İdealtepe Mah. Rıfkı Tongsir Cad. Aris Apt No: 29 B, Maltepe/İstanbul adresine noter aracılığıyla veya iadeli taahhütlü posta ile başvuru c) Uygulama İçi: Profil > Geri Bildirim Gönder bölümünden başvuru

12.2. Başvurular en geç 30 (otuz) gün içinde ücretsiz olarak yanıtlanır. İşlemin ayrıca bir maliyeti gerektirmesi halinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifeye göre ücret alınabilir.

12.3. Başvurunuzda aşağıdaki bilgilerin yer alması gerekmektedir: a) Ad, soyad ve imza (fiziksel başvurularda) b) T.C. kimlik numarası (yabancılar için pasaport numarası) c) Tebligata esas adres veya e-posta adresi d) Talep konusu

12.4. Kişisel Verileri Koruma Kurulu'na Başvuru: Eventroy'a yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde yanıt verilmemesi halinde, Kişisel Verileri Koruma Kurulu'na şikayette bulunma hakkınız saklıdır.

13. POLİTİKA DEĞİŞİKLİKLERİ

13.1. İşbu Politikayı zaman zaman güncelleyebiliriz. Yapılan değişiklikler, güncellenmiş Politikanın Uygulama üzerinde yayınlanmasıyla birlikte yürürlüğe girer.

13.2. Önemli değişiklikler, yürürlüğe girmeden önce Uygulama içi bildirim ve/veya e-posta yoluyla Kullanıcılara bildirilir.

13.3. Güncel Politikayı her zaman Uygulama içindeki "Yasal Belgeler" bölümünden görüntüleyebilirsiniz.

13.4. Değişikliklerin yayınlanmasından sonra Uygulamayı kullanmaya devam etmeniz, güncellenmiş Politikayı kabul ettiğiniz anlamına gelir.

14. İLETİŞİM

Gizlilik ile ilgili her türlü soru, talep ve geri bildirimleriniz için:

Veri Sorumlusu: Innovarify Teknoloji ve Medya Limited Şirketi Adres: İdealtepe Mah. Rıfkı Tongsir Cad. Aris Apt No: 29 B, Maltepe/İstanbul Gizlilik E-posta: privacy@eventroy.com Genel İletişim: info@innovarify.com Uygulama İçi: Profil > Geri Bildirim Gönder