🃏

CollectVaultr

Gizlilik Politikası & KVKK Aydınlatma Metni

Son güncelleme: 22 Mayıs 2026 · Yürürlük: 22 Mayıs 2026

CollectVaultr olarak gizliliğine değer veriyoruz. Bu doküman 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) Madde 10 ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında aydınlatma yükümlülüğümüzü yerine getirir.

Kısaca: Senin verin sana ait, biz sadece servisi sağlamak için tutarız ve istediğin an silebilirsin.

1. Veri Sorumlusunun Kimliği

• Hizmet: CollectVaultr (PWA — Progressive Web App)
• Web sitesi: collectvaultr.com
• Veri sorumlusu: Cansın Çetinkaya (bireysel geliştirici / şahıs hesabı)
• Veri sorumlusu statüsü: Türkiye Cumhuriyeti vatandaşı, bireysel/şahsi geliştirme — VERBİS kayıt eşiklerinin altında (yıllık ciro < 25 milyon TL, çalışan sayısı < 50). Ticari/kurumsal kayıt olmaksızın faaliyet gösteren bireysel geliştiriciler için KVKK Madde 16/2 muafiyeti uygulanır.

1.1. KVKK Başvuru Kanalları (Madde 13)

KVKK Madde 11 kapsamındaki haklarını kullanmak (veri silme, düzeltme, taşıma, vs.) için aşağıdaki kanallardan başvurabilirsin:

• 📧 Doğrudan e-posta (önerilen, en hızlı): [email protected] — konu satırına "KVKK Başvurusu" yaz. 30 gün içinde yazılı yanıt verilir (KVKK Madde 13/2).
• ⚡ Self-service (en hızlı, anında): Uygulama içi Hesabım → Hesabımı Sil butonu — verilerin 30 dakika içinde tamamen silinir (Madde 7).
• 📂 Veri ihracı (Madde 11/d - taşıma hakkı): Hesabım → Verilerimi İndir — JSON formatında tüm kişisel verilerinin export'u, anında.
• 💬 Uygulama içi form: Her sayfanın altındaki "Geri Bildirim" butonu (genel sorular için).
• 📝 GitHub Issues (alternatif, kamuya açık): github.com/CilekliNesquik/tcg-vault/issues — kişisel veri içermeyen başvurular için.

⚠️ Önemli: KEP (Kayıtlı E-posta) adresimiz yok (bireysel kullanım için zorunlu değil). Resmi yazışma talep edersen GitHub Issues'da bildir, ek bilgi paylaşılır. KVKK Kuruluna şikâyet hakkı (Madde 14) her zaman saklıdır: kvkk.gov.tr.

2. İşlenen Kişisel Veri Kategorileri

• Kimlik Bilgisi: Kullanıcı adı (sen seçersin, opsiyonel)
• İletişim Bilgisi: E-posta adresi (yalnızca magic-link girişi için)
• Kullanıcı İşlem Bilgisi: Eklediğin kartlar, koleksiyon, takaslar, klasörler, notlar, fiyat geçmişi
• Görsel Veri: Kart tarama için yüklediğin fotoğraflar (yüzünü/kimliğini içeren içerik YOKTUR — yalnızca kart görseli kabul edilir)
• İşlem Güvenliği Bilgisi: IP adresi (rate-limit + güvenlik logları için), user-agent (cihaz tipi), session token (Supabase Auth)
• Teknik Veri (opsiyonel): Uygulama hatası oluştuğunda Sentry'e gönderilen anonim stack trace (PII içermez)

İşlenmeyen veri kategorileri: Konum, finansal veri (kredi kartı/hesap), sağlık verisi, biyometrik veri, ırk/etnik köken, dini inanç, siyasi görüş, cinsel tercih.

3. Verilerin İşlenme Amacı & Hukuki Sebep

Kişisel verilerin KVKK Madde 5/2-c (sözleşmenin kurulması/ifası), 5/2-ç (hukuki yükümlülük), 5/2-e (hakkın tesisi/korunması) ve 5/2-f (meşru menfaat) hukuki sebeplerine dayanarak işlenir:

• Hesabını oluşturma ve kimlik doğrulama (e-posta magic-link)
• Koleksiyonunu sana göstermek ve düzenlemene izin vermek
• Kart tanıma için fotoğrafı AI servisine (Anthropic Claude Vision) iletmek
• Fiyat verisi için 3. parti API'lara kart kodunu sorgulamak (PriceCharting, Scryfall, vb.)
• Servis güvenliği için işlem kayıtları (audit log) tutmak
• Yasal yükümlülüklere uyum sağlamak (KVKK, GDPR talepleri)

Verilerini ÜÇÜNCÜ TARAFLARA SATMIYORUZ. REKLAM AMAÇLI KULLANMIYORUZ. PROFİLLEME yaparak senin için karar VERMİYORUZ.

4. Otomatik Sistemlerle Veri İşleme (AI)

Uygulama bazı işlemleri otomatik (AI) sistemlerle gerçekleştirir:

• Kart tanıma: Yüklediğin fotoğraf Anthropic Claude Vision API'ye gönderilir; set kodu, isim, nadirlik tespit edilir. Bu işlem aleyhine sonuç doğurmaz — yalnızca bilgi çıkarımıdır.
• Akıllı içgörüler ("AI Insights"): Koleksiyon özetin (kart adetleri, değerleri) Claude'a gönderilir, tavsiye metni üretir. Hiçbir karar verme yetkisi YOKTUR.
• Otomatik etiketleme: Kart isimlerinden anahtar kelime önerir, sen onaylarsın.

AI sistemlerinin sonucundan memnun değilsen reddedebilir, manuel düzeltebilir veya AI feature'ları kapatabilirsin.

5. Verilerini Nerede ve Kimle Paylaşıyoruz?

Verilerin yalnızca hizmet kalitesi için aşağıdaki veri işleyenlere aktarılır:

• Supabase Inc. (ABD) — Veritabanı + Auth + Storage. Veriler AB ve ABD sunucularında tutulur. supabase.com/privacy
• Render Inc. (ABD) — Backend hosting. render.com/privacy
• Anthropic PBC (ABD) — AI kart tanıma + içgörü. Anthropic veriyi 30 gün sonra silmeyi taahhüt eder ve eğitime kullanmaz. anthropic.com/legal/privacy
• Cloudflare Inc. (ABD) — CDN + DDoS koruması. cloudflare.com/privacypolicy
• PriceCharting / Scryfall / Pokemon TCG API / Lorcast / YGOPRODeck / Digimon API / Limitless — Fiyat & meta veri sorgulaması. Yalnızca kart set kodu & ismi gönderilir, kişisel bilgi göndermeyiz.
• Sentry.io (opsiyonel, ABD) — Anonim hata raporları. sentry.io/privacy

Yurt dışı aktarım: KVKK Madde 9 kapsamında, hizmetin doğası gereği veriler ABD/AB sunucularına aktarılır. Hesap oluştururken bu aktarıma açık rıza vermiş sayılırsın. Rıza vermek istemiyorsan servisi kullanmamalısın.

6. Veri Saklama Süresi

• Hesap aktif olduğu sürece veriler tutulur
• Sildiğin kartlar 30 gün çöp kutusunda kalır (geri alınabilir), sonra otomatik kalıcı silinir
• Hesabını sildiğinde tüm verilerin derhal ve kalıcı silinir (KVKK Madde 7 — silme/yok etme/anonim hale getirme)
• Audit log (güvenlik kaydı) yasal yükümlülük gereği 1 yıl tutulur, sonra silinir

7. Veri Sahibinin Hakları (KVKK Madde 11 / GDPR)

Aşağıdaki haklara sahipsin:

• Bilgi alma: Hangi verinin işlendiğini öğrenebilirsin
• Erişim: Ayarlar → "JSON İndir" ile tüm verini indir (data portability)
• Düzeltme: Yanlış veriyi her zaman düzenleyebilirsin
• Silme ("unutulma hakkı"): Ayarlar → "Hesabımı Sil" — tek tık, geri dönüşsüz
• İşlemeye itiraz: AI feature'ları kapatabilirsin; tüm işlemeye itiraz edersen servisi kapatmalısın
• İşlemenin sınırlanması: Belirli işlemleri durdurma talebi
• Zararın giderilmesi: Verilerin hukuka aykırı işlendiğinde tazminat talep etme
• Şikayet: Kişisel Verileri Koruma Kurumu'na (KVKK) başvurabilirsin

Başvuru kanalı: Uygulama içi "Geri Bildirim" formundan veya GitHub Issues üzerinden talebini bildir. 30 gün içinde ücretsiz yanıt veririz (KVKK Madde 13).

8. Çerezler ve Yerel Depolama

CollectVaultr üçüncü taraf reklam/izleme çerezleri KULLANMAZ. Yalnızca aşağıdakileri kullanırız:

• localStorage / IndexedDB: Cihazında saklanır, sunucuya gönderilmez. İçerik: tema tercihi, kısa süreli cache, offline destek.
• Session token (Supabase Auth): Giriş yaptıktan sonra cihazına atılır, sadece sen erişebilirsin (HttpOnly, SameSite).
• Referral cookie: Davet linkiyle gelirsen 30 gün tutulur, sonra silinir. Reklam değil.

Tarayıcı ayarlarından bu verileri istediğin an silebilirsin (Settings → Privacy → Clear Site Data).

9. Veri Güvenliği

Verilerinin güvenliği için şunları yapıyoruz:

• HTTPS (TLS 1.3) zorunlu — Strict-Transport-Security (1 yıl)
• Content Security Policy (CSP), X-Frame-Options DENY, COOP/CORP başlıkları
• Veritabanı erişimi Row Level Security (RLS) ile her satır kullanıcı bazlı korumalı
• 2FA (TOTP) opsiyonel destek
• Düzenli güvenlik denetimleri (advisor + dependency security scan)
• Magic-link kimlik doğrulama (şifre depolanmaz)

10. Çocukların Gizliliği

13 yaş altı kullanıcılardan bilerek veri toplamıyoruz (COPPA / GDPR Madde 8). Eğer bir ebeveynsen ve çocuğunun veri yüklediğini düşünüyorsan iletişime geç, derhal silelim.

11. Bu Politikadaki Değişiklikler

Önemli değişiklikleri uygulamadaki bildirim sistemi ile yürürlüğe girmeden 7 gün önce duyururuz. Tarih bu sayfanın üstünde güncellenir. Değişikliği kabul etmiyorsan hesabını silebilirsin.

12. İletişim & Başvuru

KVKK / GDPR kapsamındaki tüm talepler için:

• Uygulama içi "Geri Bildirim" butonundan mesaj at (yanıt: 30 gün)
• GitHub Issues üzerinden ticket aç
• Hesap silme: Ayarlar → "Hesabımı Sil" (anlık)