Gizlilik Politikası

v2.3.1Son güncelleme: 2026-05-24

GİZLİLİK POLİTİKASI

Son Güncelleme Tarihi: 11.05.2026

Huma Yazılım Anonim Şirketi ("Şirket", "Biz", "NUR") olarak gizliliğinize saygı duyuyor ve kişisel verilerinizi koruma altında tutmaya özen gösteriyoruz. İşbu Gizlilik Politikası, NUR mobil uygulamasını ve ilgili web sitelerini ("Hizmet") kullanmanız sırasında topladığımız, kullandığımız, paylaştığımız ve koruduğumuz bilgileri açıklamaktadır.

Bu Politika, GDPR madde 13 ve 14, CCPA, COPPA, Apple App Store Review Guidelines 5.1.1 ve Google Play Data Safety gereksinimlerini karşılayacak şekilde hazırlanmıştır. Türkiye'de yerleşik kullanıcılar için detaylı KVKK Aydınlatma Metni ve Açık Rıza Metni ayrı dokümanlar olarak sunulmaktadır.

1. KAPSAM VE TANIMLAR

"Kişisel Veri": Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

"İşleme": Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

"Veri Sorumlusu": Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

2. VERİ SORUMLUSU

Unvan: Huma Yazılım Anonim Şirketi
Adres: Sarıdemir Mah. Ragıp Gümüşpala Cad. Ahenk Han İş Merkezi No: 29 İç Kapı No: 103 Fatih / İstanbul / Türkiye
Vergi No: 4641985523 — Mersis No: 0464198552300001
E-posta: destek@huma.ist / info@huma.ist

3. TOPLADIĞIMIZ VERİLER

3.1. Sizin Bize Doğrudan Sağladığınız Veriler

Hesap Bilgileri: ad, e-posta, profil fotoğrafı
Kimlik Doğrulama: Google/Apple Sign-in token, oturum bilgileri
Kullanıcı İçeriği: zikir odalarında yarattığınız odalar, beğenileriniz, favori listeleriniz
İletişim İçeriği: destek talepleri ve geri bildirim mesajları

3.2. Hizmet Kullanımı Sırasında Otomatik Toplanan Veriler

Kullanım Verileri: hangi içeriği oynattığınız, oynatma süresi, tamamlama oranı, beğeniler, ekran görüntüleme süreleri
Cihaz Verileri: cihaz türü, işletim sistemi, uygulama sürümü, IDFV (iOS) / Android ID, FCM push token
Bağlantı Verileri: IP adresi, dil ayarı, saat dilimi
Konum (kesin): yalnızca cihaz izniyle, namaz vakitleri/kıble hesaplaması için
Reklam Tanımlayıcıları: IDFA (iOS, ATT izniyle) / AAID (Android)
Kaza ve Performans Verileri: Firebase Crashlytics yığın izleri, performans metrikleri

3.3. Üçüncü Taraflardan Aldığımız Veriler

Google/Apple Sign-in: e-posta, ad, profil fotoğrafı, doğrulanmış e-posta durumu
RevenueCat: mağaza işlem kimliği, abonelik durumu
Davet Sistemi: sizi davet eden bir başka kullanıcının paylaştığı ad/fotoğraf bilgileri (GDPR Art.14 bilgilendirmesi: sizinle ilgili olabilecek davet kayıtları içerebilir)

3.4. Toplamadığımız Veriler

NUR uygulaması aşağıdaki veri kategorilerini toplamamaktadır:

Banka kartı/kredi kartı numarası (ödemeler mağaza tarafından yönetilir)
Biyometrik veri, ses kaydı, mikrofon erişimi
Sağlık verileri, dini görüş eğilimleri (yalnızca kullanım davranışı işlenir, eğilim çıkarımı yapılmaz)
Mesajlaşma içeriği (zikir odalarında metin sohbet yoktur)

4. NEDEN VE NASIL KULLANIYORUZ (PURPOSE & LEGAL BASIS)

Amaç	Veri Türleri	Hukuki Sebep (GDPR Art.6 / KVKK m.5)
Hesap oluşturma ve kimlik doğrulama	Kimlik, iletişim, cihaz	Sözleşmenin ifası (Art.6/1(b))
Hizmet sunumu (içerik, namaz vakti, zikir)	Tüm temel veriler	Sözleşmenin ifası
Güvenlik ve kötüye kullanım önleme	Cihaz, log, IP	Meşru menfaat (Art.6/1(f))
Yasal yükümlülükler (log saklama, vergi)	Bağlantı, finansal	Yasal yükümlülük (Art.6/1(c))
Ürün geliştirme ve hata analizi	Crashlytics, performans	Meşru menfaat
Analitik ve davranış ölçümü	Kullanım olayları	Açık rıza (Art.6/1(a))
Kişiselleştirilmiş reklam	IDFA/AAID	Açık rıza
Pazarlama iletişimi	İletişim, izin	Açık rıza (6563 sayılı + İYS)
Davet sistemi PII paylaşımı	Ad, e-posta, fotoğraf	Açık rıza

5. VERİLERİ KİMLERLE PAYLAŞIYORUZ

Verileriniz aşağıdaki kategorideki taraflarla, yalnızca belirtilen amaçlarla paylaşılmaktadır:

5.1. Hizmet Sağlayıcılar (Veri İşleyenler)

Google LLC (ABD): Firebase Authentication, Cloud Firestore, Cloud Functions, Firebase Cloud Messaging, Firebase Analytics, Crashlytics, AdMob, Geocoding API
Apple Inc. (ABD): Sign in with Apple, App Attest, App Tracking Transparency
RevenueCat Inc. (ABD): Abonelik ve mağaza işlem yönetimi

5.2. İçerik ve Yayın Hizmetleri

MP3Quran.net (Suudi Arabistan): Kuran tilaveti içerik akışı (yalnızca içerik fetch — kullanıcı PII paylaşılmaz)

5.3. Yasal Talepler

Yetkili adli/idari makamların kanuna uygun talepleri doğrultusunda kişisel verileriniz paylaşılabilir.

5.4. Şirket Devri / Birleşmesi

Bir birleşme, devralma veya varlık devri durumunda, kullanıcı verileri devralan tarafa aktarılabilir; bu durumda size önceden bildirim yapılır.

KİŞİSEL VERİLERİNİZİ ÜÇÜNCÜ TARAFLARA REKLAM AMACIYLA SATMIYORUZ.

6. YURT DIŞINA VERİ AKTARIMI

Yukarıdaki hizmet sağlayıcıların büyük çoğunluğu Amerika Birleşik Devletleri'nde yerleşiktir. Bu nedenle verileriniz yurt dışına aktarılmaktadır. Aktarımların hukuki güvenceleri:

AB Komisyonu Standart Sözleşme Maddeleri (SCC) ile,
10 Temmuz 2024 tarihli Türkiye Yurt Dışına Veri Aktarımı Yönetmeliği kapsamındaki Standart Sözleşmeler ile,
Standart Sözleşmenin yetersiz kaldığı durumlar için açık rızanız (KVKK m.9/6, GDPR Art.49/1(a)) ile

güvence altına alınmaktadır. Detaylar için Yurt Dışı Aktarım Taahhütnamesi belgesini inceleyiniz.

7. VERİ SAKLAMA SÜRELERİ

Verilerinizi yalnızca işleme amaçları için gerekli olan süre boyunca saklarız. Detaylar Veri Saklama ve İmha Politikası dokümanında düzenlenmiştir. Özet:

Veri Türü	Saklama Süresi
Aktif hesap verileri	Hesap aktif olduğu sürece
Silinen hesap pseudonymized logları	3 yıl (ispat yükü)
5651 sayılı Kanun trafik logları	2 yıl
Vergi/abonelik kayıtları (VUK)	10 yıl
Marketing izinleri	İzin geri alınana kadar + 3 yıl ispat
Crashlytics raporları	90 gün
Audit log (rıza geçmişi)	5 yıl

8. HAKLARINIZ

Aşağıdaki haklara sahipsiniz (yargı yeri ve uygulanabilir mevzuata göre kapsamı değişir):

Erişim hakkı: hangi verilerinizi işlediğimizi öğrenme
Düzeltme hakkı: yanlış veya eksik verilerin düzeltilmesini talep etme
Silme hakkı / Unutulma hakkı: verilerinizin silinmesini talep etme
İşlemeyi sınırlama hakkı: belirli koşullarda işlemenin durdurulması
Veri taşınabilirliği: verilerinizi makine okunabilir biçimde alma (Profil > Verilerimi İndir)
İtiraz hakkı: meşru menfaate dayalı işlemeye itiraz etme
Otomatik karar verme/profil oluşturmaya itiraz hakkı
Şikâyet hakkı: KVK Kurulu (Türkiye) veya yerel denetim otoritesine başvurma hakkı
Açık rızayı geri alma hakkı: rızaya dayalı işleme için, geriye dönük olmamak üzere

Haklarınızı kullanmak için: uygulama içinden "Profil > Gizlilik & İzinlerim" menüsü veya destek@huma.ist.

9. ÇOCUKLARIN GİZLİLİĞİ (COPPA + GDPR-K)

İşbu bölüm COPPA (Children's Online Privacy Protection Act — ABD), GDPR-K madde 8 (AB Genel Veri Koruma Tüzüğü), KVKK ve Apple App Store / Google Play çocuk politikaları uyarınca hazırlanmıştır.

9.1. Yaş Kısıtlaması

NUR uygulaması 13 yaşın altındaki çocukların kullanımına yönelik DEĞİLDİR.

Yargı Yeri	Minimum Yaş
Türkiye Cumhuriyeti	13
Avrupa Birliği (varsayılan, GDPR-K m.8)	16
Amerika Birleşik Devletleri (COPPA)	13
Diğer ülkeler	İlgili yerel mevzuata göre

13 yaşın altındaki kullanıcıların hesap oluşturması yasaktır ve sistem tarafından engellenir.

9.2. Yaş Beyanı

Kayıt sırasında doğum tarihi/yılı istenmez. Hizmet yaş eşiğine uygunluk, kullanıcının Kullanıcı Sözleşmesi'ni kabul etmesi ile kişisel beyan yoluyla sağlanır — endüstri standardı (örn. Spotify, Apple Music) ile uyumlu yaklaşım. Hesap oluşturmak Kullanıcı Sözleşmesi'nin kabulünü gerektirir; sözleşmede minimum yaşın 13 olduğu açıkça belirtilir.

Yaş şartını karşılamadığı fark edilen bir kullanıcı tespit edilirse (kullanıcının kendi beyanı, ebeveyn bildirimi veya destek talebi yoluyla) hesap derhal askıya alınır ve veriler Bölüm 9.3 ile Bölüm 7 (Veri Saklama) uyarınca silinir.

9.3. Ebeveyn / Yasal Vasi Hakları

Eğer bir ebeveyn veya yasal vasi olarak, çocuğunuzun yaş şartını karşılamadığı halde NUR'da hesap oluşturduğundan şüpheleniyorsanız:

E-posta: destek@huma.ist
Konu satırı: "Çocuk Hesabı İhlal Bildirimi"
Belirtmeniz gerekenler: çocuğun hesap e-posta adresi, ilişki türü (ebeveyn/vasi), iletişim bilgileriniz

Şirket yükümlülüğü:

Bildirim 48 saat içinde doğrulanır
Hesap derhal silinir, çocuğa ait tüm kişisel veriler accountDeletion Cloud Function'ı ile geri alınamaz şekilde imha edilir
Yalnızca pseudonymized log (3 yıl) tutulur — denetim için

Ebeveyn hakları (COPPA m.312.5):

Çocuk hakkında topladığımız verileri inceleme hakkı
Verilerin silinmesini talep hakkı
Daha fazla veri toplanmasını durdurma hakkı

9.4. Çocuklara Yönelik Reklam ve Veri Toplama

NUR uygulaması 13 yaş ve üzeri kullanıcılara yöneliktir; yaş eşiği Kullanıcı Sözleşmesi'nin kabulü ile kişisel beyan yoluyla sağlanır (bkz. Bölüm 9.2). Mağaza yaş derecelendirmesi App Store'da 4+, Google Play'de "Herkese Uygun" şeklindedir. Bu derecelendirmelerle uyumlu kalmak ve çocukların korunmasına azami özeni göstermek için:

Reklamlar yalnızca kişiselleştirilmemiş (Non-Personalized Ads — NPA) olarak servis edilir; her AdMob isteği nonPersonalizedAds: true parametresiyle gönderilir.
IDFA, AAID veya herhangi bir reklam tanımlayıcısı toplanmaz; iOS App Tracking Transparency (ATT) izni istenmez.
Davranışsal hedefleme, yeniden pazarlama (remarketing) ve cross-app tracking yapılmaz.
NUR "Made for Kids" / "Kids Category" altında yayınlanmaz; ölçüm/reklam SDK'ları (AdMob, Firebase Analytics, Crashlytics) içerdiği için bu kategoriye uygun değildir.
Google Families Self-Certified Ad SDK programına dahil değildir; çünkü reklam gösterimi yetişkin hedef kitle için tasarlanmıştır.

9.5. Çocuk Güvenliği Kapsamında Ek Önlemler

NUR'da metin sohbet özelliği bulunmaz; zikir odalarında ad/profil fotoğrafı dışında kişisel iletişim bilgisi paylaşılamaz ve yaş eşiği altındaki kullanıcı davet edilemez.

9.6. Apple / Google Platform Politikaları

NUR App Store'da 4+ ve Google Play'de "Herkese Uygun" derecelendirmesi ile listelenir. Bu derecelendirme:

Uygulamanın içerik açısından her yaş için uygun olduğunu gösterir (şiddet, müstehcen içerik vb. yoktur).
Hesap oluşturma yaşının 13 olması ile çelişmez: derecelendirme içerik uygunluğunu, hesap yaşı ise veri toplama eşiğini ifade eder (KVKK m.5 ve COPPA m.312 ile uyumlu).
Reklamların NPA-only servis edilmesini ve hiçbir reklam tanımlayıcısının toplanmamasını gerektirir; Bölüm 9.4 ve Bölüm 11.2 bu çerçeveyi tanımlar.

10. GÜVENLİK

Verilerinizi korumak için endüstri standardı önlemler uygulamaktayız:

TLS 1.2+ ile uçtan uca şifrelenmiş iletişim
Firestore güvenlik kuralları ile rol bazlı erişim kontrolü
App Attest / Play Integrity ile cihaz bütünlük doğrulaması
FreeRASP ile çalışma zamanı uygulama bütünlük denetimi
Düzenli güvenlik denetimleri ve penetrasyon testleri

İnternet üzerinden hiçbir veri iletiminin veya elektronik depolama yönteminin %100 güvenli olduğu garanti edilemez; en üst düzeyde özen göstersek de mutlak güvenlik garanti edilemez.

11. ÇEREZLER VE BENZERİ TEKNOLOJİLER

İşbu bölüm ePrivacy Yönetmeliği (AB), KVK Kurulu'nun 2022/229 sayılı Çerez Uygulamaları Hakkında Rehberi ve Apple App Tracking Transparency gereksinimlerine uygundur.

11.1. Çerez Nedir?

Çerez (Cookie), web sitelerinin kullanıcı cihazlarına depoladığı küçük metin dosyalarıdır. Mobil uygulamalarda ise çerez yerine yerel depolama mekanizmaları (SharedPreferences — Android, NSUserDefaults — iOS) ve SDK depolaması kullanılır.

11.2. Mobil Uygulamada Kullanılan Teknolojiler

NUR mobil uygulamasında geleneksel HTTP çerezleri kullanılmaz. Bunun yerine aşağıdaki yerel depolama mekanizmaları kullanılır:

Zorunlu Yerel Depolama (Strictly Necessary):

Anahtar	Amaç	Saklama Süresi
`auth_token`	Oturum yönetimi	Oturum süresince
`consent_cache`	Açık rıza durumu (offline)	Hesap silinene kadar
`download_settings`	İndirme tercihleri	Kullanıcı değiştirene kadar
`theme_preference`	Açık/koyu tema	Kullanıcı değiştirene kadar
`language_preference`	Uygulama dili	Kullanıcı değiştirene kadar

İşlevsel (Functional):

Anahtar	Amaç	Saklama Süresi
`offline_tracks_key`	İndirilen içerik listesi	Kullanıcı silene kadar
`prayer_notification_state`	Namaz bildirimi tercihleri	Kullanıcı değiştirene kadar
`dhikr_counter_local`	Çevrimdışı zikir sayacı	Sunucu sync olana kadar

Analitik (Açık Rıza ile):

SDK	Veri	Saklama Süresi
Firebase Analytics	Olay logları, oturum verileri	14 ay
Firebase Crashlytics	Kaza yığın izleri	90 gün

Reklam (Yalnızca Kişiselleştirilmemiş Reklamlar — NPA):

NUR yalnızca kişiselleştirilmemiş (Non-Personalized Ads — NPA) servis eder. Her AdMob isteği nonPersonalizedAds: true parametresiyle gönderilir. Bu, reklamların kullanıcı davranışına/ilgi alanına göre hedeflenmediği, yalnızca bağlamsal (uygulama kategorisi, ülke, dil) verilere göre seçildiği anlamına gelir.

SDK / Veri Tipi	Toplanan	Saklama
IDFA / AAID (reklam tanımlayıcısı)	❌ Toplanmaz — iOS ATT prompt'u gösterilmez	—
Google Mobile Ads SDK (AdMob)	IP adresi (yaklaşık konum tahmini için), cihaz dili/zaman dilimi, uygulama versiyonu, reklam gösterim/etkileşim sayıları	14 ay
Davranışsal hedefleme / Remarketing / Cross-app tracking	❌ Yapılmaz	—

Google'ın reklam ortakları: AdMob, Google'ın reklam ağıdır. NPA modunda servis edilen reklamlar Google'ın anlaşmalı üçüncü taraf reklamverenlerinden gelebilir ancak bu taraflar kullanıcıyı tanımlayıcı bilgilere erişemez. Detay: https://policies.google.com/technologies/partner-sites

AB / EEA kullanıcıları için ek bilgi: GDPR ve ePrivacy uyumu için, uygulama açıldığında Google User Messaging Platform (UMP) üzerinden bir izin/yapılandırma ekranı gösterilir. NPA-only modunda olunsa bile EEA ülkelerinde bu izin alınır; rıza yoksa reklam servisi durdurulur.

Daha Az Reklam Görmek İçin:

Aşağıdaki bağlantılardan Google'ın ve diğer reklam ağlarının izleme/profil mekanizmalarından genel olarak çıkış yapabilirsiniz. NUR zaten kullanıcı kimliği bazlı reklam göstermediği için bu seçimler NUR'un reklam servisini değiştirmez, ancak diğer uygulamalarda etki eder.

Google Reklam Ayarları (tüm Google ürünleri): https://adssettings.google.com/
AB / EEA — IAB TCF kapsamında: uygulamadaki Profil → "Reklam Onayını Yönet" menüsünden UMP form'unu yeniden açabilirsiniz
DAA (ABD/Kanada): https://optout.aboutads.info/
NAI: https://www.networkadvertising.org/choices/
EDAA (Avrupa — Web tabanlı): https://www.youronlinechoices.eu/

11.3. Web Sitelerimizde Kullanılan Çerezler

nurapp.web.app ve huma.ist web sitelerimizde yalnızca aşağıdaki zorunlu çerezler kullanılır:

Çerez Adı	Sağlayıcı	Amaç	Süre
`__session`	Firebase Hosting	Hosting oturum bilgisi	Oturum
`locale_pref`	nurapp.web.app	Dil tercihi	1 yıl

Web sitelerimizde şu an analitik veya reklam çerezleri kullanılmamaktadır.

11.4. Çerezleri Nasıl Yönetebilirsiniz?

Mobil Uygulama Yerel Depolaması:

Uygulamayı silmek tüm yerel depolanmış verileri temizler
iOS Settings → NUR → Reset cache
Android Settings → Apps → NUR → Storage → Clear data

NUR İçin Reklam İzleme:

NUR herhangi bir reklam tanımlayıcısı (IDFA, AAID) toplamadığı için cihaz düzeyinde ek bir ATT/izleme ayarı yapmanıza gerek yoktur — Bölüm 11.2'deki NPA-only modu varsayılan olarak aktiftir.

Reklam Tanımlayıcılarını Diğer Uygulamalarda Sıfırlama (Genel):

iOS: Settings → Privacy & Security → Apple Advertising → "Personalized Ads" kapatılabilir
Android: Settings → Privacy → Ads → "Delete advertising ID" (Android 12+) veya "Opt out of Ads Personalization"

Web Tarayıcı Çerezleri: Chrome / Safari / Firefox ayarlarından yönetilebilir.

12. POLİTİKA DEĞİŞİKLİKLERİ

Bu Politika zaman zaman güncellenebilir. Önemli değişikliklerde:

Uygulama açılışında yeniden onay (re-consent) modalı gösterilir;
Kayıtlı e-posta adresinize bildirim gönderilir (uygunsa);
https://nurapp.web.app/legal/privacy adresinde güncel sürüm yayınlanır.

13. İLETİŞİM

Bu Politika veya kişisel verilerinizle ilgili sorularınız için:

E-posta: destek@huma.ist
Posta: yukarıda belirtilen şirket adresi

Yürürlük Tarihi: 11.05.2026 Sürüm: 2.0.0