KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK) AYDINLATMA METNİ
Son Güncelleme Tarihi: 11.05.2026
İşbu Aydınlatma Metni, Huma Yazılım Anonim Şirketi ("Şirket", "Veri Sorumlusu") tarafından NUR mobil uygulaması ("Uygulama") aracılığıyla işlenen kişisel verilere ilişkin olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") madde 10 ve "Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ" uyarınca ilgili kişileri aydınlatmak amacıyla hazırlanmıştır.
Bu metin Açık Rıza Metni'nden ayrı ve bağımsız bir doküman olup, KVK Kurulu'nun 26/07/2018 tarihli 2018/90 sayılı ve 2026/347 sayılı ilke kararlarına uygun şekilde düzenlenmiştir.
1. VERİ SORUMLUSUNUN KİMLİĞİ
| Bilgi | Detay |
|---|---|
| Unvan | Huma Yazılım Anonim Şirketi |
| Adres | Sarıdemir Mah. Ragıp Gümüşpala Cad. Ahenk Han İş Merkezi No: 29 İç Kapı No: 103 Fatih / İstanbul |
| Vergi Kimlik No | 4641985523 |
| Mersis No | 0464198552300001 |
| E-posta | destek@huma.ist / info@huma.ist |
2. İŞLENEN KİŞİSEL VERİ KATEGORİLERİ
NUR uygulaması kapsamında aşağıdaki kişisel veri kategorileri işlenmektedir:
2.1. Kimlik Verileri
- Ad, soyad, kullanıcı adı, profil fotoğrafı, doğum yılı, Firebase kullanıcı kimliği (UID)
2.2. İletişim Verileri
- E-posta adresi (Google/Apple Sign-in veya manuel kayıt yoluyla)
2.3. Cihaz ve Bağlantı Verileri
- Cihaz kimliği (IDFV — iOS / Android ID), IDFA/AAID (açık rıza ile), FCM token (push bildirim için), platform (iOS/Android), uygulama sürümü, işletim sistemi sürümü, IP adresi, dil ve saat dilimi ayarları
2.4. Konum Verileri
- Cihazın izin verdiği ölçüde kesin konum (enlem, boylam) — namaz vakitleri ve kıble yönü hesaplaması için. Ters geocoding ile ülke ve şehir bilgisi türetilir.
2.5. Kullanım ve İçerik Etkileşim Verileri
- Oynatma olayları (
play_events): dinlediğiniz içerik, süre, tamamlama oranı, oynatma zamanı - Zikir oturumları (
dhikr_sessions,dhikr_daily): tarih, oturum süresi, sayaç - Beğeniler (
inspirations/likes), favoriler, oluşturulan/katıldığınız zikir odaları - Uygulama içi navigasyon olayları, ekran görüntüleme süreleri
2.6. Finansal ve Abonelik Verileri
- Mağaza işlem kimlikleri (App Store / Play Store), abonelik durumu (
isPremium,premiumUntil), satın alma geçmişi (RevenueCat üzerinden), abonelik iptali nedenleri
2.7. Sosyal ve Davet Verileri
- Davet kodu (
inviteCode), başarılı davet sayısı (successfulInvites), davet ettiğiniz veya sizi davet edenlerin ad/e-posta/fotoğraf bilgisi (açık rıza ile)
2.8. Güvenlik ve Bütünlük Verileri
- Cihaz bütünlük raporları (FreeRASP — jailbreak/root tespiti, kötüye kullanım önleme)
- Firebase App Check tokenları (Play Integrity / App Attest)
- Oturum logları, başarısız giriş denemeleri
2.9. Kaza ve Performans Verileri
- Firebase Crashlytics kaza raporları, performans metrikleri, hata yığınları (anonim cihaz kimliği ile)
2.10. Pazarlama ve İletişim Verileri
- Ticari iletişim tercihleri (push/e-posta/SMS), İYS kayıt durumu
3. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Yukarıdaki veriler aşağıdaki amaçlarla işlenmektedir:
- Hesap oluşturma ve kimlik doğrulama (m.5/2(c) — sözleşmenin ifası)
- Hizmetlerin sunulması: ilahi/dua/Kuran içeriği akışı, namaz vakitleri, zikir sayacı, offline indirme
- Kişiselleştirme: önerilen içerik, favori listeleri, zikir hedefleri
- Sosyal etkileşim: zikir odaları, davet sistemi, beğeniler
- Ödeme ve abonelik yönetimi: Premium üyelik, otomatik yenileme, satın alma doğrulaması
- Güvenlik ve kötüye kullanım önleme: cihaz bütünlüğü, oturum kontrolü, abuse tespiti, AppCheck
- Yasal yükümlülüklerin yerine getirilmesi: 5651 sayılı Kanun gereği log saklama, KVKK m.7 imha politikası, vergi yükümlülükleri
- Analitik ve ürün geliştirme: kullanım istatistikleri, A/B testleri (açık rıza ile)
- Reklam gösterimi: ücretsiz tier kullanıcılarına AdMob reklamları (kişiselleştirme açık rıza ile)
- Ticari elektronik ileti gönderimi: kampanyalar, duyurular (açık rıza ile, 6563 sayılı Kanun + İYS)
4. KİŞİSEL VERİLERİN İŞLENMESİNİN HUKUKİ SEBEPLERİ (KVKK m.5)
| Hukuki Sebep | Uygulanan Veri Kategorileri |
|---|---|
| m.5/2(a) — Kanunlarda açıkça öngörülmesi | Güvenlik logları (5651 sayılı Kanun) |
| m.5/2(c) — Sözleşmenin kurulması veya ifası | Kimlik, iletişim, finansal/abonelik verileri |
| m.5/2(ç) — Hukuki yükümlülük | Log kayıtları, vergi kayıtları, denetim kayıtları |
| m.5/2(e) — Hakkın tesisi, kullanılması veya korunması | Adli/idari taleplere yanıt |
| m.5/2(f) — Meşru menfaat | Crashlytics, cihaz bütünlüğü, dolandırıcılık önleme |
| m.5/1 — Açık rıza | Reklam kişiselleştirme, analitik, davet PII paylaşımı, yurt dışı aktarım, ticari iletişim |
5. KİŞİSEL VERİLERİN AKTARILMASI
5.1. Yurt İçi Aktarım
Kişisel verileriniz aşağıdaki taraflara aktarılabilir:
- Yetkili kamu kurum ve kuruluşları ile adli/idari makamlar: yasal yükümlülük gereği talep edilmesi halinde
- Vergi danışmanları ve denetçiler: yasal denetim süreçleri için
- Hizmet sağlayıcılar: ileti yönetim sistemi (İYS — ticari iletişim için), hukuk büroları
5.2. Yurt Dışı Aktarım (KVKK m.9 + 10.07.2024 Yönetmeliği)
İşbu bölüm, KVKK madde 9 ve 10 Temmuz 2024 tarihli "Yurt Dışına Kişisel Verilerin Aktarılması Hakkında Yönetmelik" uyarınca, NUR uygulaması kapsamında işlenen kişisel verilerin yurt dışındaki veri işleyenlere aktarımının hukuki dayanaklarını ve uygulanan güvenceleri açıklamaktadır.
Aktarımın Hukuki Dayanakları (KVKK m.9):
- Birinci sırada tercih: Standart Sözleşme (KVKK m.9/4/b) — Veri sorumlusu ile veri işleyen arasında imzalanmış, KVK Kurulu tarafından ilan edilen standart sözleşme
- Tamamlayıcı dayanak: Açık rıza (KVKK m.9/6) — Standart Sözleşmenin yetersiz veya uygulanamadığı durumlar için
5.2.1. Google LLC (Amerika Birleşik Devletleri)
| Bilgi | Detay |
|---|---|
| Adres | 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA |
| Sözleşme | Google Cloud Data Processing Addendum + KVKK Standart Sözleşme |
| Durum | İmzalı ve yürürlükte |
| Hizmetler | Firebase Auth, Cloud Firestore, Cloud Functions, FCM, Firebase Analytics, Crashlytics, Google AdMob, Geocoding/Maps API, AppCheck (Play Integrity) |
| Aktarılan veri | Kimlik, iletişim, cihaz, konum (kesin), kullanım, IDFA/AAID (açık rıza ile), kaza/performans |
| Güvenlik | TLS 1.2+ transit, Google Cloud KMS at-rest, ISO 27001/27017/27018, SOC 2 Type II |
5.2.2. Apple Inc. (Amerika Birleşik Devletleri)
| Bilgi | Detay |
|---|---|
| Adres | One Apple Park Way, Cupertino, CA 95014, USA |
| Sözleşme | Apple Developer Program Agreement + KVKK Standart Sözleşme |
| Durum | İmzalı ve yürürlükte |
| Hizmetler | Sign in with Apple, App Attest, App Tracking Transparency (IDFA) |
| Aktarılan veri | Kimlik (e-posta, ad), cihaz, IDFA (açık rıza ile) |
| Güvenlik | TLS 1.2+, Apple Hardware Security Module, ISO 27001 |
5.2.3. RevenueCat Inc. (Amerika Birleşik Devletleri)
| Bilgi | Detay |
|---|---|
| Adres | 870 Market St, San Francisco, CA 94102, USA |
| Sözleşme | RevenueCat DPA + KVKK Standart Sözleşme |
| Durum | İmzalı ve yürürlükte |
| Hizmetler | Abonelik yönetimi, mağaza entegrasyonu, satın alma doğrulama |
| Aktarılan veri | App User ID, Apple/Google işlem ID, ürün ID, abonelik durumu |
| Güvenlik | TLS 1.2+, AES-256 encryption at-rest, SOC 2 Type II |
5.2.4. MP3Quran.net (Suudi Arabistan)
- Hizmet: Kuran tilaveti içerik akışı (yalnızca HTTP GET)
- Aktarılan veri: HİÇBİR KİŞİSEL VERİ AKTARILMAZ — yalnızca anonim içerik isteği. Kullanıcı IP'si CDN-edge üzerinden anonimize edilir
- Hukuki Dayanak: Aktarım yoktur; KVKK m.9 kapsamı dışındadır
5.2.5. Standart Sözleşmenin Yetersiz Kaldığı Durumlar
Bazı işleme faaliyetlerinde (örn. ABD'deki devlet erişim talepleri — FISA 702, CLOUD Act) standart sözleşme tek başına yeterli güvence sağlamayabilir. Bu durumlarda:
- Tamamlayıcı önlemler: Şifreleme (TLS), pseudonymization, veri minimizasyonu
- Açık Rıza Dayanağı (KVKK m.9/6): Yukarıdaki önlemler yetersiz görülürse açık rızanız ek hukuki dayanak olarak alınır. Açık Rıza Metni'nin onayı bu kapsamda değerlendirilir.
5.2.6. Aktarımın İlave Güvenceleri
- Standart Sözleşmeler 5 yıl süreli, otomatik yenilenmektedir
- Veri işleyenler ile yıllık denetim hakkımız saklıdır
- Şirket içi Yurt Dışı Aktarım Komisyonu, 6 ayda bir aktarım envanteri ve risk değerlendirmesi yapar
6. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ
Veriler aşağıdaki kanallardan toplanmaktadır:
- Doğrudan kullanıcıdan: kayıt formu, profil ayarları, kullanıcı eylemleri
- Otomatik olarak: uygulama içi telemetri, çerez/local storage benzeri SDK depolaması, sistem logları
- Üçüncü taraf entegrasyonları: Google/Apple Sign-in (e-posta/ad doğrulaması), RevenueCat (mağaza işlemleri), FCM (push token)
- Davet sistemi aracılığıyla: sizi davet eden başka bir kullanıcının paylaştığı verilerle (KVKK m.10 Art.14 GDPR muadili)
7. KİŞİSEL VERİLERİN SAKLAMA VE İMHA POLİTİKASI
İşbu bölüm KVKK madde 7 ve "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik" uyarınca, işlenen kişisel verilerin saklama sürelerini, imha tetikleyicilerini ve imha yöntemlerini düzenlemektedir.
7.1. Saklama Süreleri Tablosu
| # | Veri Kategorisi | Hukuki Dayanak | Saklama Süresi |
|---|---|---|---|
| 1 | Aktif kullanıcı verileri | Sözleşmenin ifası | Hesap aktif olduğu sürece |
| 2 | Silinen hesap logları (pseudonymized) | İspat yükü | 3 yıl |
| 3 | Vergi/finansal kayıtlar (mağaza işlem ID, abonelik) | VUK m.253 | 10 yıl |
| 4 | Trafik logları (IP, oturum, erişim) | 5651 sayılı Kanun | 2 yıl |
| 5 | Pazarlama izinleri (İYS) | 6563 sayılı Kanun + İYS | İzin geri alınana kadar + 3 yıl ispat |
| 6 | Açık rıza audit log | KVKK ispat yükü | 5 yıl |
| 7 | Crashlytics kaza raporları | Meşru menfaat | 90 gün |
| 8 | Firebase Analytics olayları | Açık rıza | 14 ay |
| 9 | Kesin konum verileri | Sözleşmenin ifası (namaz vakti) | İşleme amacı sonrası 24 saat içinde silme |
| 10 | FCM push token | Sözleşmenin ifası | Hesap aktif olduğu sürece + 30 gün |
| 11 | Davet kayıtları | Sözleşmenin ifası | Hesap silinene kadar |
| 12 | Play events | Açık rıza (analitik) | 12 ay sonra anonimleştirme |
| 13 | Zikir sayaç verileri | Sözleşmenin ifası | Hesap silinene kadar |
| 14 | Cihaz bütünlük logları (FreeRASP, AppCheck) | Meşru menfaat | 90 gün |
| 15 | Şikayet ve moderasyon logları | Meşru menfaat + ispat | 3 yıl |
7.2. Hesap Silme Süreçleri
Ertelemeli silme (72 saat geri sayım): Kullanıcı "Profil > Hesabımı Sil" ile silme talebi başlatır. isMarkedForDeletion=true flag set edilir. 72 saat içinde iptal edilebilir; süre sonunda processAccountDeletions Cloud Function'ı çalışır.
Acil silme (anlık): "Hemen Sil" seçeneği → deleteAccountImmediately callable (AppCheck korumalı).
Silinen veriler: users/{uid} ana belge + alt koleksiyonlar (favorites, dhikr_stats, dhikr_daily, dhikr_sessions, personal_notifications, recommendations, stats), ilişkili veriler (playlists, play_events, subscription_events, invites), Firebase Auth kullanıcı kaydı.
Silme sonrası tutulan veriler: deletion_logs (pseudonymized, 3 yıl), consent_audit_logs (5 yıl, anonim referansla), vergi kayıtları (10 yıl), trafik logları (2 yıl).
7.3. İmha Yöntemleri
- Silme (deletion): Firestore'dan belge ve alt koleksiyonların
delete()ile kaldırılması; Storage'daki dosyaların silinmesi - Yok etme (destruction): Yedek (backup) ortamlarda periyodik backup rotasyonu (en geç 30 gün) ile yok edilir
- Anonimleştirme: Kullanıcı kimliği ile bağlantısı kesilen veriler (örn. play_events 12 ay sonra) — SHA-256 hash + tarih ay-yıl düzeyine indirgeme
7.4. Periyodik İmha Süreci
Şirket, 6 ayda bir kişisel veri envanteri ve imha denetimi yapar:
- Saklama süresi dolmuş veriler tespit edilir
- İlgili imha yöntemi uygulanır
- İmha tutanağı oluşturulur
- İmha tutanakları 3 yıl saklanır
7.5. Silme Bekleme Süresi İstisnaları
Aşağıdaki durumlarda hesap silme talebi olsa dahi belirli veriler korunabilir:
- Yasal zorunluluk: 5651, VUK, KVKK m.7/3 (silme yasağı)
- Devam eden hukuki süreç: davaya konu olan veriler için sürecin sonuna kadar
- Şirket meşru menfaati: çoklu kötüye kullanım önleme için fraud hash kayıtları
Bu durumlarda kullanıcıya bilgilendirme yapılır.
8. İLGİLİ KİŞİNİN HAKLARI (KVKK m.11)
KVKK madde 11 ve GDPR madde 15-22 uyarınca aşağıdaki haklara sahipsiniz:
a) Kişisel verilerinizin işlenip işlenmediğini öğrenme b) Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme c) Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme ç) Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme d) Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme e) Unutulma Hakkı: KVKK m.7'de öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme ğ) Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme
Ek olarak GDPR uyarınca veri taşınabilirliği hakkı (Art.20) — verilerinizi makine tarafından okunabilir biçimde indirme — "Profil > Gizlilik & İzinlerim > Verilerimi İndir" menüsünden kullanılabilir.
9. BAŞVURU KANALLARI
Haklarınızı kullanmak için aşağıdaki kanallardan başvurabilirsiniz:
- Uygulama içi: "Profil > Gizlilik & İzinlerim" menüsü (rıza geçmişi, veri indirme, hesap silme)
- E-posta:
destek@huma.istveyainfo@huma.ist - Posta: Yukarıda belirtilen şirket adresine yazılı başvuru
Başvurularınız, "Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ" uyarınca en geç 30 (otuz) gün içinde ve ücretsiz olarak sonuçlandırılır. İşlemin ayrıca bir maliyet gerektirmesi halinde Kurul tarafından belirlenen tarifedeki ücret talep edilebilir.
Başvurunuzu reddetmemiz, talebinize verdiğimiz cevabı yetersiz bulmanız ya da süresinde başvurumuza cevap verilmemesi hallerinde, Kişisel Verileri Koruma Kurulu'na (KVKK m.14) şikâyette bulunabilirsiniz.
10. AYDINLATMA METNİ GÜNCELLEMELERİ
Bu Aydınlatma Metni, mevzuat değişiklikleri veya hizmet kapsamındaki güncellemeler nedeniyle revize edilebilir. Önemli değişikliklerde sizi uygulama içi modal ile ayrıca bilgilendiririz. Güncel sürüme her zaman uygulama içerisindeki "Profil > Yasal Dokümanlar" menüsünden veya https://nurapp.web.app/legal/kvkk adresinden erişebilirsiniz.
Yürürlük Tarihi: 11.05.2026 Sürüm: 2.0.0