Gizlilik Politikası
Bu Gizlilik Politikası, FreelanceFlow ("Uygulama", "Hizmet") kullanıcılarının kişisel verilerinin işlenmesine ilişkin esasları, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve Avrupa Birliği Genel Veri Koruma Tüzüğü ("GDPR") çerçevesinde açıklar.
FreelanceFlow, düzensiz gelirli serbest çalışanlar (freelancer'lar) için bir nakit akışı ve bütçe yönetimi uygulamasıdır.
1. Veri Sorumlusu
| Veri Sorumlusu | FreelanceFlow (bireysel geliştirici) |
|---|---|
| E-posta | efeyapiyor@gmail.com |
| İletişim | Tüm başvuru ve talepler yukarıdaki e-posta adresi üzerinden yürütülür. |
GDPR kapsamına giren AB'de yerleşik kullanıcılar için veri sorumlusu (data controller) yukarıda belirtilen gerçek kişidir.
2. Topladığımız Veri Kategorileri
Yalnızca Hizmeti sunmak için gerekli olan verileri toplarız. Banka şifresi, kart numarası veya benzeri ödeme aracı bilgileri ASLA istenmez ve saklanmaz. Uygulamanın açık bankacılık (open banking) entegrasyonu yoktur; hesaplarınıza otomatik bağlanmaz.
2.1. Hesap / Kimlik Doğrulama Verileri
- E-posta adresi
- Parola (yalnızca Argon2id algoritması ile karma/hash olarak saklanır; düz metin parola hiçbir zaman tutulmaz)
- Oturum/kimlik doğrulama jetonları (JWT erişim jetonu ve döngüsel/rotating yenileme jetonu)
2.2. Kullanıcının Girdiği Finansal Veriler
Tamamı kullanıcı tarafından manuel olarak girilir:
- Hesaplar ve bakiyeler (her satırda para birimi: TRY / USD / EUR)
- Müşteriler (clients) ve projeler
- Gelir ve gider hareketleri (transactions)
- Faturalar / alacaklar ve ödeme olasılığı (payment probability) bilgisi
- Düzenli/tekrarlayan yükümlülükler (kira, abonelik vb.)
- Vergi profili bilgileri (vergi rezervi tahmini için)
- Üretilen tahminler (forecast) ve "güvenli harcama" hesaplama çıktıları
2.3. Teknik / Otomatik Veriler
- Hata teşhisi (crash/hata raporlama) opsiyoneldir ve şu an etkin değildir. İleride etkinleştirilirse, yalnızca anonimleştirilmiş veya sınırlı teknik tanı verileri hata teşhisi amacıyla kullanılabilir (bkz. Madde 5).
- Üçüncü taraf reklam SDK'sı kullanılmaz; reklam kimliği toplanmaz.
3. İşleme Amaçları ve Hukuki Dayanak
| Amaç | İşlenen Veri | KVKK (m.5) | GDPR (Art. 6) |
|---|---|---|---|
| Hesap oluşturma, kimlik doğrulama, oturum yönetimi | E-posta, hash parola, jetonlar | Sözleşmenin ifası (m.5/2-c) | Art. 6/1-b |
| Nakit akışı, güvenli harcama ve vergi rezervi hesaplamaları | Girdiğiniz finansal veriler | Sözleşmenin ifası (m.5/2-c) | Art. 6/1-b |
| Monte Carlo nakit akışı tahmini üretimi | Finansal veriler | Sözleşmenin ifası (m.5/2-c) | Art. 6/1-b |
| Hizmet güvenliği, kötüye kullanımın önlenmesi | Teknik/oturum verileri | Meşru menfaat / hukuki yükümlülük (m.5/2-ç, e, f) | Art. 6/1-f |
| Yasal yükümlülüklere uyum | İlgili veriler | Hukuki yükümlülük (m.5/2-ç) | Art. 6/1-c |
Vergi ve finansal hesaplamalar yalnızca tahmin üretir; mali müşavir / profesyonel finansal tavsiye yerine geçmez (Uygulama içinde zorunlu uyarı gösterilir).
4. Saklama Süreleri
- Hesap ve finansal veriler: Hesabınız aktif olduğu sürece saklanır. Hesabınızı sildiğinizde tüm verileriniz kalıcı olarak silinir (bkz. Madde 7).
- Yenileme jetonları: Geçerlilik süresi sonunda veya çıkış/iptal hâlinde geçersiz kılınır.
- Hata teşhisi verileri (etkinse): Sağlayıcının saklama politikası uyarınca sınırlı süre (örn. 90 gün).
- Yasal saklama yükümlülüğü: İlgili mevzuatın gerektirdiği hâllerde belirtilen asgari süreler boyunca saklanabilir; süre sonunda silinir, yok edilir veya anonim hâle getirilir.
5. Veri Aktarımı ve Hizmet Sağlayıcılar
Verileriniz pazarlama amacıyla satılmaz. Hizmetin sunulması için sınırlı sayıda işleyene (data processor) aktarım yapılabilir:
| Sağlayıcı / Amaç | Aktarılan Veri | Konum |
|---|---|---|
| Barındırma / uygulama sunucusu (Render) | Tüm uygulama verileri (şifrelenmiş iletişim) | ABD / AB bölgeleri |
| Veritabanı — PostgreSQL (Supabase) | Finansal ve hesap verileri | AB (Frankfurt, eu-central-1) |
| Abonelik altyapısı (Apple App Store / RevenueCat) | Abonelik durumu ve anonim kullanıcı kimliği (ödeme bilgisi Apple'da işlenir, bizde tutulmaz) | ABD / AB |
| Hata teşhisi (opsiyonel — şu an etkin değil) | Sınırlı teknik tanı verileri | — |
Yurt dışına aktarım söz konusu olduğunda KVKK m.9 kapsamındaki şartlar (yeterli koruma / taahhütname / açık rıza) ve GDPR Bölüm V (Standart Sözleşme Maddeleri — SCC vb.) sağlanır.
6. İlgili Kişi / Veri Sahibi Hakları
KVKK m.11 ve GDPR (Art. 15–22) uyarınca aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme ve buna ilişkin bilgi talep etme,
- İşleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde/dışında aktarıldığı üçüncü kişileri bilme,
- Eksik/yanlış işlenen verilerin düzeltilmesini isteme,
- Verilerin silinmesini/yok edilmesini isteme ("unutulma" hakkı),
- İşlemenin kısıtlanmasını isteme ve işlemeye itiraz etme,
- Verilerinizin taşınabilirliğini talep etme (data portability),
- Açık rızaya dayalı işlemede rızayı geri çekme,
- Hukuka aykırı işleme nedeniyle zararın giderilmesini talep etme.
Başvurularınızı efeyapiyor@gmail.com adresine iletebilirsiniz. Talepler KVKK'da öngörülen en geç 30 gün içinde, GDPR kapsamında ise gecikmeksizin (en geç 1 ay) yanıtlanır. AB kullanıcıları ilgili denetim makamına, Türkiye'de ise Kişisel Verileri Koruma Kurumu'na şikâyette bulunabilir.
7. Hesap ve Veri Silme
Verileriniz üzerinde tam kontrole sahipsiniz.
- Uygulama içinden: Ayarlar → "Hesabımı sil" adımını izleyerek hesabınızı silebilirsiniz. Bu işlem teknik olarak
DELETE /api/users/meucunu çağırır ve hesabınıza bağlı tüm verileri kalıcı olarak siler (hesaplar, müşteriler, projeler, hareketler, faturalar, yükümlülükler, vergi profili, tahminler ve kimlik bilgileri). - E-posta ile: Uygulamaya erişiminiz yoksa efeyapiyor@gmail.com adresine silme talebinde bulunabilirsiniz. Kimlik doğrulamasının ardından talebiniz 30 gün içinde yerine getirilir.
8. Güvenlik Önlemleri
- Parolalar Argon2id (OWASP'ın önerdiği algoritma) ile karma hâlinde saklanır; düz metin parola tutulmaz.
- Tüm iletişim TLS/HTTPS üzerinden şifrelenir.
- Kimlik doğrulama kısa ömürlü JWT erişim jetonu + döngüsel yenileme jetonu ile sağlanır.
- Tüm kayıtlar kullanıcıya izoledir; bir kullanıcı başka bir kullanıcının verisine erişemez.
- Hassas veriler URL/sorgu dizgisinde taşınmaz.
Hiçbir yöntem %100 güvenlik garanti edemez; ancak verilerinizi korumak için makul teknik ve idari tedbirleri alırız.
9. Çocukların Gizliliği
Hizmet 18 yaşından küçükler için tasarlanmamıştır ve onlara yönelik değildir. Bilerek 18 yaş altı kullanıcılardan veri toplamayız. Bir çocuğa ait veri toplandığını fark edersek sileriz.
10. Politikadaki Değişiklikler
Bu politikayı zaman zaman güncelleyebiliriz. Önemli değişikliklerde uygulama içinde veya e-posta ile bilgilendirme yaparız. Güncel sürüm her zaman bu sayfada yayımlanır; "Son güncelleme" tarihi değişikliği yansıtır.
11. İletişim
FreelanceFlow — efeyapiyor@gmail.com
English Summary (non-binding translation)
FreelanceFlow is a cash-flow / budgeting app for freelancers. Data controller: an individual developer, contact efeyapiyor@gmail.com. In case of conflict, the Turkish text prevails.
What we collect: account email, password (stored only as an Argon2id hash — never in plaintext), and the financial data you enter yourself (accounts/balances, clients, projects, income/expense transactions, invoices/receivables with payment probability, recurring obligations, tax profile, forecasts). Each monetary row has its own currency (TRY/USD/EUR). We never ask for or store bank credentials or card numbers, and there is no open-banking integration. No third-party advertising SDKs are used. Optional error-diagnostics are currently disabled.
Legal basis (GDPR Art. 6): performance of contract for account and core features; legitimate interest for security; legal obligation where applicable.
Your rights (GDPR Art. 15–22 / KVKK Art. 11): access, rectification, erasure, restriction, objection, and data portability. Contact efeyapiyor@gmail.com.
Deletion: delete your account in-app via Settings → "Hesabımı sil" (Delete my account), which calls DELETE /api/users/me and permanently erases all your data. See the data deletion page.
Security: Argon2id password hashing, TLS in transit, short-lived JWT access tokens + rotating refresh tokens, per-user data isolation. Children: the service is not intended for users under 18.