Raf — Gizlilik Politikası
Son Güncelleme: 30 Nisan 2026
Bu Gizlilik Politikası ("Politika"), Raf adıyla işletilen mobil uygulama
ve internet sitesinin ("Hizmet" veya "Raf") kullanımı sırasında
kullanıcılara ilişkin kişisel verilerin nasıl toplandığını, kullanıldığını,
paylaşıldığını ve korunduğunu açıklar. Politika; 6698 sayılı Kişisel Verilerin
Korunması Kanunu ("KVKK"), Avrupa Birliği Genel Veri Koruma Tüzüğü
("GDPR"), Kaliforniya Tüketici Gizliliği Yasası ("CCPA") ve ABD
Çocukların Çevrimiçi Gizliliğini Koruma Yasası ("COPPA") başta olmak üzere
ilgili mevzuat çerçevesinde hazırlanmıştır.
Hizmet'i kullanarak işbu Politika'yı okuduğunuzu, anladığınızı ve
Kullanım Şartları ile birlikte kabul
ettiğinizi beyan edersiniz.
1. Veri Sorumlusu
KVKK ve GDPR kapsamında veri sorumlusu sıfatıyla hareket eden kişi:
Raf (Mert Günay — şahıs işletmesi)
Vergi Dairesi: Şile / VKN: 4270197158
Adres: Çavuş Mahallesi, Şile / İstanbul, Türkiye
E-posta: [email protected]
Veri sorumlusuna ilişkin değişiklikler bu Politika güncellenerek bildirilir.
2. Topladığımız Kişisel Veriler
Raf, yalnızca Hizmet'i sunmak, geliştirmek ve yasal yükümlülüklerini yerine
getirmek için gerekli olan kişisel verileri toplar. Toplanan veriler aşağıda
kategorize edilmiştir:
2.1 Hesap ve Kimlik Verileri
- Sistem tarafından üretilen tanımlayıcı: Kullanıcı UUID, kullanıcı ID
- Kullanıcı tarafından sağlanan: Kullanıcı adı, ad soyad, e-posta
adresi, şifre (geri döndürülemez biçimde özetlenmiş — "hash"lenmiş — olarak
saklanır), profil fotoğrafı, biyografi, web sitesi, cinsiyet (isteğe bağlı)
- Sosyal giriş ile alınan: Apple ile Giriş veya Google ile Giriş
yöntemini kullandığınızda Apple Inc. veya Google LLC tarafından sağlanan
kullanıcı tanımlayıcısı, e-posta adresi (paylaşmayı seçtiyseniz)
2.2 Cihaz ve Teknik Veriler
- Cihaz tanımlayıcısı: iOS'ta IDFV (Identifier for Vendors) — yalnızca
kimlik doğrulama, oturum yönetimi ve dolandırıcılık tespiti için. IDFA
(reklam tanımlayıcısı) toplanmaz.
- Teknik bilgiler: Cihaz modeli, işletim sistemi sürümü, uygulama
sürümü, dil ayarı, IP adresi, bağlantı türü
- Push bildirim tokeni: Firebase Cloud Messaging (FCM) tarafından
üretilen, bildirim göndermek için kullanılan token
2.3 Kullanım ve Etkileşim Verileri
- Ürün analitiği: Uygulama içi etkileşim olayları (ekran görüntüleme,
tıklama, içerik açma) — kullanıcı deneyimini geliştirmek amacıyla
- Çökme ve performans verileri: Uygulama çökerse otomatik olarak
stack trace, cihaz modeli, OS sürümü gönderilir (Firebase Crashlytics)
2.4 İçerik Verileri
- Paylaştığınız post, yorum, raf, not, fotoğraf, mesaj, klan içeriği, istek
(wish) — yani Hizmet üzerinde oluşturduğunuz tüm İçerik
- Verdiğiniz puanlar, beğeniler, takip ettiğiniz hesaplar, raf eklemeleriniz
2.5 Abonelik ve Ödeme Verileri
- Apple App Store / Google Play Store aracılığıyla işlenen abonelik
işlemleri: işlem ID'si (transaction ID), satın alma tarihi, abonelik durumu,
yenileme bilgisi
- Raf, kredi kartı bilgilerinizi toplamaz, görüntülemez veya saklamaz;
ödeme bilgilerinin tamamı Apple Inc. ve Google LLC tarafından işlenir.
2.6 İletişim Verileri
- Destek talebi gönderdiğinizde paylaştığınız bilgiler (e-posta içeriği,
ekler, şikâyet konusu)
3. Verilerin Toplanma Yöntemleri
Yukarıda listelenen veriler şu yollarla toplanır:
- Doğrudan sizin tarafınızdan — kayıt sırasında, profil oluştururken,
içerik paylaşırken, destek başvurusunda bulunurken;
- Otomatik olarak — Hizmet'i kullanırken cihazınızdan ve uygulama
içerisindeki etkileşimlerinizden;
- Üçüncü taraf hizmet sağlayıcılarından — Apple ile Giriş, Google ile
Giriş, Apple App Store, Google Play Store, Firebase, Cloudflare gibi.
4. Kişisel Verilerin İşlenme Amaçları ve Hukuki Dayanağı
Toplanan veriler aşağıdaki amaçlarla, KVKK madde 5 ve GDPR madde 6 kapsamındaki
hukuki sebeplerden uygun olanı çerçevesinde işlenir:
- Hizmet'in çekirdek işleyişi (sözleşmenin ifası — KVKK m.5/2-c, GDPR
m.6/1-b): hesabın oluşturulması ve sürdürülmesi, içeriğin görüntülenmesi,
mesajlaşma, push bildirim gönderimi, abonelik yönetimi.
- Yasal yükümlülüklerin yerine getirilmesi (KVKK m.5/2-ç, GDPR m.6/1-c):
mali müşavirlik, vergi, tüketici hukukundan doğan kayıt yükümlülükleri.
- Meşru menfaat (KVKK m.5/2-f, GDPR m.6/1-f): Hizmet'in geliştirilmesi,
güvenlik, dolandırıcılık ve istismarın önlenmesi, çökme analizi, içerik
moderasyonu.
- Açık rıza (KVKK m.5/1, GDPR m.6/1-a): Hizmet'i kullanmak için
zorunlu olmayan opsiyonel veriler (pazarlama bildirimleri, isteğe bağlı
profil alanları).
5. Üçüncü Taraf Hizmet Sağlayıcıları
Hizmet'i sunmak için aşağıdaki üçüncü taraf hizmet sağlayıcılarıyla çalışırız.
Bu sağlayıcılar, yalnızca Raf adına ve Raf'ın talimatları doğrultusunda işleme
yetkisine sahiptir:
| Sağlayıcı |
Amaç |
İşlenen Veri |
Lokasyon |
| Apple Inc. |
Apple ile Giriş, App Store abonelik, push notification (APNs) |
Sosyal giriş tokeni, abonelik işlem verisi, push token |
ABD / global |
| Google LLC |
Google ile Giriş, Google Play abonelik |
Sosyal giriş tokeni, abonelik işlem verisi |
ABD / global |
| Firebase / Google LLC |
Crashlytics (çökme analizi), Analytics (kullanım analizi),
FCM (push bildirim altyapısı) |
Cihaz modeli, OS sürümü, app sürümü, çökme stack trace,
anonimleştirilmiş etkileşim olayları, FCM tokeni |
AB (Frankfurt) / ABD |
| Cloudflare, Inc. |
İçerik dağıtım ağı (CDN), R2 nesne depolama (görseller),
bot mitigation |
Görseller (profil, post fotoğrafı), HTTP istek verileri,
IP adresi |
Global edge / ABD |
Bu hizmet sağlayıcılar, kendi GDPR Veri İşleme Sözleşmeleri (DPA), Standart
Sözleşme Hükümleri (SCC) ve uygun olduğu hallerde EU-US Data Privacy Framework
(DPF) çerçevesinde yasal güvence sağlar.
6. Reklam Takibi ve İzleme
Raf, kullanıcılarını uygulama dışında veya başka şirketlerin sahip olduğu
uygulama ya da web sitelerinde takip etmez. Spesifik olarak:
- Apple'ın IDFA (Identifier for Advertisers) tanımlayıcısını
kullanmıyoruz; bu nedenle App Tracking Transparency (ATT) izin
penceresi gösterilmez.
- Üçüncü taraf reklam ağlarına veri satılmaz, paylaşılmaz veya kiralanmaz.
- Davranışsal hedefli reklam (behavioral advertising) sunulmaz.
- Üçüncü taraf izleme pikselleri kullanılmaz.
Apple App Store'daki "App Privacy" etiketlerimiz "Data Not Linked to You"
ve "Data Used to Track You: None" kategorilerini yansıtacak şekilde
yapılandırılmıştır.
7. Veri Saklama Süreleri
- Hesap aktifken: Kişisel veriler hesap aktif olduğu sürece saklanır.
- İnaktif hesaplar: 24 ay boyunca giriş yapılmayan hesaplar
askıya alınabilir; bilgilendirme bildirimine yanıt verilmemesi
durumunda hesap kapatma prosedürüne tabi tutulur.
- Hesap silme talebi sonrası: Kullanıcı verileri 30 gün boyunca
"silme bekleyen" durumda tutulur (kullanıcı bu süre içinde geri dönerse
silme iptal edilir), ardından kalıcı olarak silinir veya
anonimleştirilir.
- Yedekler: Operasyonel yedekler 90 gün içinde temizlenir.
- Loglar: Erişim ve hata logları 30-90 gün arasında saklanır,
sonrasında otomatik olarak silinir.
- Yasal yükümlülükler: Vergi, ödeme, tüketici hukukundan doğan
kayıt yükümlülükleri çerçevesinde gerekli olan veriler ilgili kanuni
sürelere uygun olarak saklanır.
- Topluluk kuralları ihlali nedeniyle kapatılan hesaplar: Aynı
kullanıcının yeniden hesap açmasını önlemek amacıyla bazı ihlal
kayıtları daha uzun süre saklanabilir.
8. Yurt Dışı Veri Aktarımı
Hesap çekirdek verileriniz (kullanıcı adı, profil bilgileri, metin
içerikleri, etkileşim kayıtları) Türkiye'de bulunan sertifikalı veri
merkezindeki sunucularımızda saklanır. Görsel içerikler (profil
fotoğrafları, post fotoğrafları) ise Cloudflare R2 nesne depolama
hizmeti üzerinden global edge ağında dağıtılır. Hizmet'i sunabilmek
için yardımcı altyapı sağlayıcılarına (Apple, Google, Firebase,
Cloudflare) ilgili kapsamda veri aktarımı yapılır.
Yurt dışı aktarımı, 6698 sayılı Kanun'un 7499 sayılı Kanun ile değişik
(R.G. 12.03.2024) ve 01.06.2024 tarihinde yürürlüğe giren 9. maddesi
ile 10.07.2024 tarihli Yurt Dışı Aktarımı Yönetmeliği çerçevesinde,
aşağıdaki sıralamaya göre gerçekleştirilir:
- Yeterlilik kararı: Kişisel Verileri Koruma Kurulu tarafından
yeterli korumaya sahip olduğu ilan edilen ülke, sektör veya
uluslararası kuruluşlara doğrudan aktarım yapılır.
- Uygun güvenceler: Yeterlilik kararı bulunmayan ülkelere
aktarım, KVKK Kurulu'nun onayladığı standart sözleşme,
bağlayıcı şirket kuralları veya taahhütname çerçevesinde
gerçekleştirilir.
- İstisnai durumlar: Yukarıdaki güvencelerin sağlanamadığı
hallerde, yalnızca KVKK m.9/6'da sayılan istisnai koşulların varlığında
aktarım yapılabilir.
Hizmet'in çekirdek işleyişi için zorunlu olan aktarımların hukuki
dayanağı, KVKK m.5/2-c ve GDPR m.6/1-b kapsamında sözleşmenin
ifasıdır; bu işleme açık rızaya dayandırılmamıştır. Üçüncü taraf
sağlayıcılarla GDPR Veri İşleme Sözleşmeleri (DPA), Standart Sözleşme
Hükümleri (SCC) ve uygun olduğu hallerde EU-US Data Privacy Framework
(DPF) çerçevesinde yasal güvence sağlanır.
9. KVKK Kapsamındaki Haklarınız
KVKK madde 11 uyarınca veri sorumlusuna başvurarak şu haklarınızı
kullanabilirsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme;
- İşlenmişse buna ilişkin bilgi talep etme;
- İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme;
- Yurt içinde veya yurt dışında verilerinizin aktarıldığı üçüncü kişileri
bilme;
- Eksik veya yanlış işlenmiş veriler varsa düzeltilmesini isteme;
- KVKK'nın 7. maddesinde öngörülen şartlar çerçevesinde silinmesini veya
yok edilmesini isteme;
- Yapılan düzeltme, silme ve yok etme işlemlerinin verilerin aktarıldığı
üçüncü kişilere bildirilmesini isteme;
- İşlenen verilerin münhasıran otomatik sistemler aracılığıyla
analiz edilmesi suretiyle aleyhinize bir sonuç doğmasına itiraz etme;
- Verilerin kanuna aykırı işlenmesi sebebiyle zarara uğramanız hâlinde
zararın giderilmesini talep etme.
Bu hakları kullanmak için
[email protected] adresine yazılı
başvuruda bulunabilirsiniz. KVKK Kurulu'nun belirlediği başvuru şartları
çerçevesinde başvurunuz en geç 30 gün içinde, kural olarak ücretsiz olarak
sonuçlandırılır.
10. GDPR Kapsamındaki Haklarınız
Avrupa Birliği'nde ikamet eden kullanıcılar için GDPR madde 12-22 kapsamında
şu haklar tanınmıştır:
- Erişim hakkı (m.15) — verilerinize erişim talep edebilirsiniz.
- Düzeltme hakkı (m.16) — yanlış veya eksik verilerin
düzeltilmesini isteyebilirsiniz.
- Silme hakkı / "unutulma hakkı" (m.17) — verilerinizin silinmesini
isteyebilirsiniz.
- Veri işleme kısıtlama hakkı (m.18) — belirli durumlarda işlemenin
kısıtlanmasını talep edebilirsiniz.
- Veri taşınabilirliği hakkı (m.20) — verilerinizi yapılandırılmış,
yaygın kullanılan ve makine tarafından okunabilir bir formatta alma
hakkına sahipsiniz.
- İtiraz hakkı (m.21) — meşru menfaate dayanan işlemeye itiraz
edebilirsiniz.
- Otomatize karar verme süreçlerine itiraz hakkı (m.22).
- Açık rızanın geri çekilmesi hakkı — açık rızaya dayanan işleme
için verdiğiniz rızayı dilediğiniz zaman geri çekebilirsiniz.
- Denetim makamına şikâyet hakkı — bulunduğunuz AB üye devletinin
veri koruma otoritesine şikâyette bulunabilirsiniz.
Bu hakları kullanmak için
[email protected] adresine
başvurabilirsiniz.
11. CCPA / CPRA Kapsamındaki Haklarınız
Kaliforniya eyaletinde ikamet eden kullanıcılar için, 1 Ocak 2023'ten
itibaren yürürlükte olan CPRA değişiklikleri ile genişletilen CCPA
kapsamında şu haklar tanınmıştır:
- Hangi kategoride kişisel verilerin toplandığını bilme hakkı
(right to know);
- Belirli kişisel verilerin silinmesini talep etme hakkı
(right to delete);
- Yanlış kişisel verilerin düzeltilmesini talep etme hakkı
(right to correct — CPRA);
- Kişisel verilerin satılmasını veya paylaşılmasını reddetme
hakkı (right to opt-out of sale or sharing — CPRA);
- Hassas kişisel verilerin kullanım ve ifşasını sınırlama
hakkı (right to limit use of sensitive personal information — CPRA);
- Verilerin toplandığı anda bilgilendirilme hakkı (Notice at
Collection);
- Bu hakların kullanılmasından dolayı ayrımcılığa uğramama
hakkı.
Raf, kişisel verileri satmaz veya cross-context behavioral
advertising kapsamında paylaşmaz; CCPA/CPRA'nın "satış" ve
"paylaşım" tanımlarına giren bir veri akışı yoktur. Reklam ağlarına
veya veri brokerlarına herhangi bir kişisel veri aktarmıyoruz.
12. Çocukların Gizliliği (COPPA)
Hizmet, 13 yaşın altındaki çocuklara yönelik değildir. 13 yaşın altındaki
çocuklardan bilerek kişisel veri toplamayız. 13 yaşın altındaki bir çocuğun
kişisel verisini topladığımızı tespit edersek, ilgili veriyi mümkün olan en
kısa sürede sileriz.
13 yaşın altında bir çocuğunuzun Hizmet'e kayıt olduğunu düşünüyorsanız
[email protected] adresine
ulaşabilirsiniz.
13-18 yaş aralığındaki kullanıcılar için: Bu yaş grubu Hizmet'in temel
özelliklerini kullanabilir; ancak Premium aboneliğe yalnızca 18 yaş ve
üzerindeki kullanıcılar başlayabilir. Bu yaş grubundaki kullanıcıların
Hizmet'i kullanması, velinin bilgisi ve onayı dahilinde olmalıdır.
13. Çerez Politikası
Web sitesi (appraf.com) sınırlı sayıda çerez kullanır:
- Zorunlu çerezler: Oturum yönetimi, dil tercihi (örneğin
site_lang), CSRF güvenliği — bu çerezler Hizmet'in temel
işleyişi için gereklidir ve devre dışı bırakılamaz.
- Analitik çerezler: Şu anda kullanılmamaktadır. İlerleyen
dönemde kullanıma alınması durumunda bu Politika güncellenecektir.
Tarayıcı ayarlarınızdan çerezleri yönetebilir veya silebilirsiniz.
14. Bildirimler ve İletişim Tercihleri
Hizmet, cihazınıza push bildirimleri gönderebilir (yeni takipçi, beğeni,
mesaj, sistem duyurusu vb.). Bu bildirimleri istediğiniz zaman:
- Uygulama içerisinden Ayarlar → Bildirimler menüsünden;
- Cihazınızın işletim sistemi ayarlarından (iOS / Android Bildirim
Ayarları) kapatabilirsiniz.
15. Veri Güvenliği
Verilerinizi yetkisiz erişime, ifşaya, değişikliğe veya imhaya karşı
korumak için makul teknik ve idari önlemler alıyoruz. Bunlar arasında
aşağıdakiler yer alır:
- Veri aktarımında uçtan uca TLS şifreleme;
- Sunucu tarafında verilerin şifrelenmiş olarak saklanması (encryption at rest);
- Şifrelerin güçlü algoritmalarla geri döndürülemez biçimde özetlenmiş
olarak (hash) saklanması — Raf personeli dahil hiç kimse şifrenizi düz
metin olarak göremez;
- Kimlik doğrulama tokenlarının sunucu tarafında hash'lenmiş şekilde
saklanması ve aktif kullanım ile süresinin otomatik yenilenmesi
(sliding expiry);
- Cihaz oturumlarının izlenmesi ve kullanıcı başına maksimum 10 aktif
oturum sınırı; bu sınıra ulaşıldığında yeni cihazdan giriş yapıldığında
en eski oturum otomatik olarak sonlandırılır;
- Personelin verilere erişiminin "ihtiyaç duyulan kadar" (least privilege)
ilkesine göre kısıtlanması ve denetlenmesi.
Hiçbir sistem mutlak güvenlik garantisi sağlayamaz. Ciddi bir veri ihlali
tespit edildiğinde, KVKK Kurulu'nun 24.01.2019 tarih ve 2019/10 sayılı
kararı uyarınca en geç 72 saat içinde Kurul'a, etkilenen
kullanıcılara ise makul olan en kısa süre içinde bildirim yapılır
(GDPR m.33-34 ile uyumlu).
16. Hesap Silme
Hesabınızı istediğiniz zaman uygulama içerisinden Ayarlar → Hesap →
Hesabımı Sil adımlarıyla kapatabilirsiniz. Hesap silme talebinin
ardından:
- 30 günlük geri alma süresi: Bu süre içinde tekrar giriş yaparsanız
silme işlemi iptal edilir ve hesabınız aktif hale döner.
- 30 gün sonunda: Hesabınız ve ilişkili kişisel verileriniz kalıcı
olarak silinir veya anonimleştirilir.
- Operasyonel yedekler: 90 gün içinde temizlenir.
- Yasal kayıt yükümlülükleri: Kanunen saklanması zorunlu olan
veriler (örneğin ödeme kayıtları, vergi düzenlemeleri) ilgili sürelere
uygun olarak saklanır.
Hesap silme prosedürü hakkında destek almak için
[email protected] adresine
ulaşabilirsiniz.
17. Apple App Store Privacy Etiketleri
Apple App Store'daki Raf uygulama sayfasında, App Store'un "App Privacy"
bölümünde verilerin nasıl toplandığı ve kullanıldığı özetlenmektedir.
App Privacy etiketleri bu Politika'nın özeti niteliğindedir; herhangi bir
çelişki halinde işbu Politika geçerlidir.
18. KVKK Veri Sorumluları Sicili (VERBİS)
Raf; Veri Sorumluları Sicili Hakkında Yönetmelik madde 5 ve Kişisel
Verileri Koruma Kurulu'nun 2018/87, 06.07.2023 tarih ve 2023/1154 sayılı
ile 04.09.2025 tarih ve 2025/1572 sayılı güncel kararları kapsamında
VERBİS'e kayıt yükümlülüğünden muaftır. Bu muafiyet; çalışan
sayısı 50'nin ve yıllık mali bilanço toplamı 100 milyon Türk Lirası'nın
altında olan, ana faaliyet alanı özel nitelikli kişisel veri işleme
olmayan veri sorumluları için geçerlidir.
Muaf olmamız KVKK kapsamındaki diğer yükümlülüklerimizi (aydınlatma yükümlülüğü,
veri güvenliği önlemleri, ilgili kişi başvurularını yanıtlama, veri minimizasyonu)
ortadan kaldırmaz; işbu Politika söz konusu yükümlülükleri yerine getirmek üzere
hazırlanmıştır.
19. Politikadaki Değişiklikler
Raf, mevzuat değişiklikleri, yeni özellikler veya iş ihtiyaçları
doğrultusunda işbu Politika'yı zaman zaman güncelleyebilir. Önemli
değişiklikler yürürlüğe girmeden en az 30 gün önce uygulama içerisinden
ve/veya kayıtlı e-posta adresiniz üzerinden bildirilir. Politika'nın güncel
sürümü her zaman bu sayfada yayınlanır.
20. Bize Ulaşın
Bu Politika veya kişisel verilerinizin işlenmesine ilişkin sorularınız ve
talepleriniz için iletişim bilgileri:
Raf (Mert Günay — şahıs işletmesi)
Çavuş Mahallesi, Şile / İstanbul, Türkiye
E-posta: [email protected]
Önceki Sürümler