VelNotes Gizlilik Politikası
Son güncelleme: 9 Mart 2026
Bu Gizlilik Politikası, VelNotes mobil uygulaması ve velnotes.com web sitesi kapsamında hangi kişisel verilerin işlendiğini, bu verilerin hangi amaçlarla kullanıldığını, hangi altyapılar üzerinden saklanabildiğini veya aktarılabildiğini ve kullanıcıların hangi haklara sahip olduğunu açıklar. Politika; not oluşturma, ses kaydı ve transkript, bulut senkronizasyonu, manuel yedekleme ve defter paylaşımı gibi ürün akışlarının veri koruma çerçevesini birlikte ele alır.
1. Veri Sorumlusu ve Kapsam
Veri sorumlusu VelNotes'tir. Bu politika; mobil uygulama, pazarlama ve destek amaçlı web sayfaları, Firebase tabanlı uygulama altyapısı, Google Drive manuel yedekleme akışı ve Apple StoreKit abonelik doğrulama süreci dahil VelNotes hizmetiyle bağlantılı tüm temel veri işleme faaliyetlerini kapsar.
2. İşlenen Veri Kategorileri
2.1 Hesap ve profil verileri
Kullanıcı kimliği (UID), e-posta adresi, görünen ad, profil fotoğraf bağlantısı, giriş sağlayıcısı bilgisi, son giriş zamanı ve hesap durum alanları işlenebilir.
2.2 Cihaz ve oturum güvenliği verileri
Kalıcı cihaz kimliği, aktif cihaz listesi (premium çoklu cihaz kuralı için), FCM bildirim tokeni, App Check doğrulama verileri, güvenlik olay kayıtları, istek zaman damgası, IP adresi ve user-agent dahil kötüye kullanım tespiti için gerekli teknik loglar işlenebilir. Web analitiği kapsamında ülke/bölge dağılımı ölçümü için istek başlıklarından (ve gerektiğinde Accept-Language bilgisinden) türetilen ülke kodu işlenebilir. Ayrıca web sitesinde seçilen arayüz dilini (Türkçe/İngilizce) korumak amacıyla URL'deki dil bilgisi ve, tercih çerezlerine izin verilmişse, cihazdaki yerel tercih kaydı okunabilir; bu işlem sunucu tarafında ayrı bir dil profili oluşturmaz. Face ID / Touch ID veya cihaz parolası yedeği ile çalışan biyometrik kilit doğrulaması cihaz işletim sistemi tarafından yerel olarak yürütülür; VelNotes biyometrik şablon verilerine erişmez, bunları sunucularına kaydetmez veya aktarma konusu yapmaz.
2.3 Not ve içerik verileri
Defter/sayfa başlıkları, metinler, çizim verileri, shape/sticker/sticky note/text box öğeleri, PDF arka planı, tema/kapak bilgileri, favori/şifreli alanları, silinme işaretleri ve tarih damgaları işlenebilir. Defter paylaşımı/iş birliği akışlarında davet metadata'sı (gönderen/alıcı e-posta, rol, opsiyonel erişim süresi, davet durumu), paylaşılan erişim listeleri ve plan bazlı erişim-limit durumları da işlenebilir. Premium bulut senkronizasyonunda ilgili metadata Firestore'a; ağır içerik dosyaları Firebase Storage'a yazılabilir. Parmakla Yazma Modu gibi giriş/çizim tercihleri varsayılan olarak cihaz içi ayar alanlarında saklanır. Ses kaydı özelliğinde oluşturulan transkript metinleri ilgili not içeriğine kullanıcı işlemiyle eklenebilir. Kamera/belge tarama akışıyla çekilen sayfalar, fotoğraf kitaplığından içe aktarılan görseller ve kullanıcı talebiyle fotoğraf kitaplığına kaydedilen görsel/video çıktıları da ilgili içerik verisi kapsamında işlenebilir.
2.4 Özellik kullanım ve limit verileri
Not oluşturma, düzenleme, dışa aktarma, yedekleme/geri yükleme ve plan limit denetimleri kapsamında özellik kullanım sayaçları, işlem zaman damgaları ve teknik durum kayıtları işlenebilir. Bu kayıtlar hizmet sürekliliği, kötüye kullanım önleme ve limit yönetimi amacıyla tutulur.
2.5 Abonelik ve ödeme doğrulama verileri
İşlem kimliği, ürün kimliği, orijinal işlem kimliği, satın alma tarihi, abonelik bitiş tarihi, doğrulama ortamı (production/sandbox), abonelik durumu alanları ve doğrulama logları işlenebilir.
2.6 Google Drive yedekleme verileri
Kullanıcı manuel yedekleme başlattığında Google Drive'da VelNotes_Backup.json dosyası oluşturulabilir. Bu içerik defter/sayfa verilerini ve sahiplik doğrulaması için sınırlı metadata'yı (ör. Google hesap e-postası) içerir. Güvenlik tasarımı gereği yedek içinde Firebase UID ve premium statü alanları tutulmaz; yedekleme sırasında şifreleme destekleniyorsa veri şifrelenmiş yazılabilir.
2.7 Destek ve iletişim verileri
Web sitesi iletişim formu ve destek/hata bildirimi akışları üzerinden gönderilen ad-soyad, e-posta, opsiyonel telefon numarası, mesaj içeriği ve talep durum alanları destek süreçleri için işlenebilir. Web formundan iletilen mesajlar Firestore'da contact_messages koleksiyonunda saklanabilir. Talep açık/işlemde durumundayken bu kayıtlar operasyonel olarak tutulur; talep çözümlendiğinde ve teknik süreç tamamlandığında iletişim verileri operasyonel kuyruktan silinebilir.
2.8 Ses kaydı ve deşifre verileri
Ses kaydı başlatıldığında kayıt dosyası uygulamanın cihaz içi kayıt alanında (VoiceRecordings klasörü, ör. velnotes_recording_*.m4a) oluşturulabilir. Bu dosyalar kullanıcı tarafından uygulama içinden silinene kadar kayıt kütüphanesinde tutulabilir; temizleme akışları veya teknik bakım işlemleri kapsamında kaldırılabilir. Free kullanıcılar için tek ses kaydı oturumu en fazla 15 dakika ile sınırlandırılır; Premium/Ultra planlarda bu sınır uygulanmaz. Kullanıcı "Dosyalara Kaydet" ile dışa aktarırsa dosya seçtiği konumun saklama politikalarına tabidir. Ses deşifre işlemi, cihazın desteklediği durumlarda işletim sistemi tarafından sağlanan cihaz içi konuşma tanıma ile gerçekleştirilir; destek olmayan cihazlarda bu özellik kullanılamaz. Deşifre çıktısı otomatik üretilir ve doğruluk garanti edilmez; kullanıcı sonuçları kullanmadan önce kontrol etmelidir. Varsayılan akışta ham ses dosyaları Firestore/Storage veritabanlarına yüklenmez.
3. Verilerin İşlenme Amaçları
Veriler; hesap oluşturma ve giriş işlemlerini yürütmek, not oluşturma/düzenleme ve içerik kurtarma akışlarını sunmak, paylaşım davetlerini yönetmek, plan limitlerini denetlemek, bulut senkronizasyonu ve manuel yedekleme işlemlerini gerçekleştirmek, abonelik doğrulamasını yapmak, bildirim altyapısını işletmek, suistimal ve güvenlik olaylarını önlemek, destek taleplerini sonuçlandırmak ve hizmet kalitesini ölçmek amacıyla işlenir.
4. Plan Bazlı Bulut İşleme Ayrımı
Free planda not içerikleri varsayılan olarak cihazda yerel tutulur; Firebase tabanlı bulut senkronizasyonu/otomatik bulut yedekleme sunulmaz. Premium/Ultra planlarda, hizmetin sunumu için gerekli not metadata ve içerik dosyaları Firestore/Storage üzerinde işlenebilir. Her iki planda da Google Drive yedekleme yalnızca kullanıcı tarafından manuel olarak başlatılır.
5. Hukuki Sebepler (KVKK m.5)
Kişisel veriler; sözleşmenin kurulması/ifası için gerekli olması (m.5/2-c), veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi (m.5/2-ç), bir hakkın tesisi/kullanılması/korunması (m.5/2-e), meşru menfaatin zorunlu kıldığı haller (m.5/2-f) ve gerektiğinde açık rıza (özellikle opsiyonel çerez tercihleri) hukuki sebeplerine dayanılarak işlenir.
6. Üçüncü Taraf Servisler, Alt İşleyiciler ve Veri Aktarımı
VelNotes; Apple (StoreKit, Auth ekosistemi), Google/Firebase (Auth, Firestore, Storage, Functions, Messaging, App Check), Google Drive API servislerini kullanır. Ses deşifre akışı için ayrı bir üçüncü taraf ses sağlayıcısına aktarım yapılmaz; işlem cihaz içi yeteneklerle yürütülür. Bu kapsamda veriler, ilgili hizmet sağlayıcıların altyapılarına teknik olarak aktarılabilir ve yurt dışı veri aktarımı doğabilir.
6.1 Alt İşleyici (Sub-processor) Listesi
Aşağıdaki hizmet sağlayıcılar, VelNotes adına kişisel veri işleyebilir:
Google LLC (Firebase) — Kimlik doğrulama, veritabanı (Firestore), dosya depolama (Storage), sunucusuz işlevler (Cloud Functions), bildirimler (FCM), uygulama güvenliği (App Check). Konum: ABD. Google Cloud Veri İşleme Ek Sözleşmesi (DPA) kapsamında işlenir.
Google LLC (Google Drive API) — Kullanıcı tarafından manuel başlatılan yedekleme/geri yükleme. Konum: ABD. Kullanıcının Google hesap koşullarına tabidir.
Apple Inc. — Kimlik doğrulama (Apple Sign-In), abonelik doğrulama (StoreKit 2), cihaz içi konuşma tanıma (Speech.framework). Konum: ABD. Apple Geliştirici Programı Lisans Sözleşmesi kapsamında işlenir.
6.2 Yurt Dışı Veri Aktarımı
Yukarıda belirtilen hizmet sağlayıcılarının altyapıları ABD ve diğer ülkelerde bulunabilir. Bu nedenle kişisel verileriniz, hizmetin sunulması amacıyla yurt dışına aktarılabilir. Bu aktarımlar; KVKK m.9 kapsamında açık rıza veya yeterli koruma sağlayan ülkelere aktarım ve GDPR madde 46 kapsamında Standart Sözleşme Maddeleri (SCC) ile güvence altına alınır. Google ve Apple, AB Standart Sözleşme Maddelerini (SCC) uygular ve kendi Veri İşleme Ek Sözleşmeleri (DPA) çerçevesinde hizmet sunar.
7. Saklama Süreleri ve Silme
Veriler, hizmetin kurulması ve güvenli biçimde işletilmesi için gerekli süre boyunca saklanır; saklama ihtiyacı ortadan kalktığında teknik silme, anonimleştirme veya erişimden kaldırma süreçleri uygulanır. Hesap silme sonrasında kullanıcıya ait Firestore ve Storage verileri backend temizleme akışına alınır. Çöp kutusuna taşınan içerikler, kullanıcı tarafından daha erken kalıcı olarak silinmediği sürece en fazla 30 gün tutulur; bu sürenin sonunda otomatik temizleme akışlarıyla kalıcı olarak kaldırılır. Güvenlik ve suistimal önleme logları (IP adresi ve user-agent dahil), ilgili amaç ve hukuki yükümlülüklerle sınırlı sürelerde saklanabilir. Destek kayıtları, çözüm süreci tamamlandıktan ve operasyonel ihtiyaç sona erdikten sonra silinir; e-posta teslim veya sistem doğrulama hatası gibi tekrar işleme gerektiren durumlarda kayıt geçici olarak tutulabilir. Ses kayıt dosyaları varsayılan olarak uygulama içi cihaz depolamasındaki kayıt kütüphanesinde bulunur; kullanıcı bu kayıtları silebilir veya bakım/temizleme akışlarıyla kaldırılabilir. Kullanıcı bir dosyayı dışa aktardıysa, ilgili dosyanın sonraki saklama koşulları seçilen hedef depolama hizmetine tabidir. Free plan yerel not verileri, cihazın kaybı, sıfırlanması veya uygulamanın kaldırılması halinde yalnızca mevcut yedek kadar korunabilir. Google Drive üzerindeki yedek dosyalarının nihai kontrolü kullanıcı hesabındadır ve kullanıcı bunları dilediği zaman manuel olarak silebilir.
8. Çerezler ve Benzeri Teknolojiler
velnotes.com üzerinde zorunlu teknik kayıtlar ile tercih yönetimi amaçlı yerel depolama kullanılabilir. Web analitiğinde ziyaret edilen sayfa ve ülke/bölge dağılımı ölçümleri uygulanabilir; ülke/bölge bilgisi istemci konum erişimi olmadan, istek başlıklarından türetilen ülke kodu ile değerlendirilir. Zorunlu olmayan kategoriler (tercih/analitik/pazarlama) kullanıcı onayına bağlıdır. Ayrıntılar için Çerez Politikası metnini inceleyin.
9. Veri Güvenliği
Kimlik doğrulama ve yetkilendirme kontrolleri, Firebase güvenlik kuralları, App Check doğrulaması, oran sınırlama (rate limit), kötüye kullanım izleme, işlem doğrulama kayıtları, paylaşım erişim kontrolü ve cihaz tarafında Keychain kullanımı gibi teknik ve idari tedbirler uygulanır. Bununla birlikte, internet üzerinden iletilen veriler bakımından mutlak güvenlik garantisi verilemez.
10. Kullanıcı Hakları
Kullanıcı; kişisel verilerine erişim talep etme, eksik veya yanlış kayıtların düzeltilmesini isteme, silme talebinde bulunma, işleme faaliyetlerine itiraz etme, izin tercihlerini yönetme, Google Drive bağlantısını kesme, hesabını kapatma, bildirim izinlerini işletim sistemi ayarlarından düzenleme ve destek talebi oluşturma haklarına sahiptir. KVKK kapsamındaki başvurular için support@velnotes.com adresine kimlik doğrulayıcı bilgilerle başvuru yapılabilir.
11. Veri İhlali Bildirim Prosedürü
Kişisel veri ihlali tespit edilmesi halinde, VelNotes aşağıdaki prosedürü uygular:
72 saat kuralı: KVKK m.12/5 ve GDPR madde 33 uyarınca, kişisel verilerin hukuka aykırı olarak işlendiğinin veya erişildiğinin tespit edilmesi halinde, en kısa sürede ve en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na (ve uygulanabilir olduğunda ilgili AB Veri Koruma Otoritesine) bildirim yapılır.
Kullanıcı bildirimi: İhlal, kullanıcıların hak ve özgürlükleri açısından yüksek risk oluşturuyorsa, etkilenen kullanıcılara makul sürede e-posta ile bilgilendirilir. Bildirim; ihlalin niteliği, etkilenen veri kategorileri, olası sonuçları ve alınan/alınacak tedbirleri içerir.
İletişim: Bir veri ihlali şüphesi durumunda support@velnotes.com adresine başvurabilirsiniz.
12. Politika Güncellemeleri
VelNotes, ürün özellikleri, altyapı sağlayıcıları veya mevzuattaki değişiklikler doğrultusunda bu politikayı güncelleyebilir. Güncel metin yayımlandığı tarihte yürürlüğe girer ve web sitesinde erişilebilir biçimde ilan edilir.