Gizlilik Politikası & KVKK Aydınlatma Metni ve Açık Rıza Formu

Veri Sorumlusu: BİTE YAZILIM VE BİLİŞİM TEKNOLOJİLERİ SANAYİ TİCARET ANONİM ŞİRKETİ

Adres: Küçükbakkalköy Mh. Albay Sk. No:24 Ataşehir/İstanbul

KVKK İletişim: support@celestiaapp.com

Uygulama: Celestia

1. Kapsam

Bu metin, Celestia uygulaması kapsamında işlenen kişisel verilerin; 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") uyarınca hangi amaçlarla işlendiğini, hukuki sebeplerini, aktarımlarını, saklama sürelerini ve haklarınızı açıklamak amacıyla hazırlanmıştır.

2. İşlenen Kişisel Veriler

• Kimlik/Profil Verileri: Ad, doğum tarihi, doğum saati, doğum yeri
• İletişim Verileri: E-posta adresi
• Hesap/Yetkilendirme Verileri: Şifre hash değeri (şifrenin kendisi saklanmaz)
• İşlem Güvenliği Verileri: IP adresi, oturum/erişim kayıtları, doğrulama ve güvenlik logları
• Kullanım Verileri: Uygulama içi etkileşim kayıtları, özellik kullanım istatistikleri
• İçerik Verileri: Kullanıcı girdileri (astroloji sorguları, tarot okuma talepleri, uyumluluk analizi için girilen kişi bilgileri) ve sorgu geçmişi
• Finansal İşlem Verileri: Uygulama içi satın alma kayıtları (Yıldız kredisi, abonelik) — ödeme bilgileri doğrudan Apple/Google tarafından işlenir, tarafımızca saklanmaz
• Reklam Verileri: Reklam tanımlayıcıları (IDFA/GAID), reklam etkileşim kayıtları

3. Kişisel Verilerin İşlenme Amaçları

• Üyelik kaydı oluşturma, hesabın yönetimi ve kimlik doğrulama işlemlerinin yürütülmesi
• Uygulama hizmetinin sunulması (doğum haritası oluşturma, astroloji yorumları, tarot okuma, uyumluluk analizi, yıldızname hesaplama)
• Yapay zeka destekli içerik üretiminin sağlanması (Anthropic Claude API aracılığıyla)
• Bilgi güvenliği süreçlerinin yürütülmesi, suistimalin önlenmesi, loglama ve denetim
• Uygulama performansının izlenmesi, hata ayıklama ve iyileştirme faaliyetleri
• Uygulama içinde reklam gösteriminin işletilmesi (Google AdMob)
• Yıldız kredisi ve abonelik sisteminin yönetilmesi
• Kullanıcı destek taleplerinin karşılanması, uyuşmazlıkların yönetimi ve yasal yükümlülüklerin yerine getirilmesi

4. Kişisel Verilerin İşlenmesinin Hukuki Sebepleri (KVKK m.5)

• Bir sözleşmenin kurulması veya ifası için gerekli olması
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi
• Bir hakkın tesisi, kullanılması veya korunması
• Veri sorumlusunun meşru menfaati (temel hak ve özgürlüklerinize zarar vermemek kaydıyla)

5. Kişisel Verilerin Aktarılması

• Bulut altyapısı, veri tabanı ve CDN hizmet sağlayıcısı (Cloudflare, Inc.)
• Yapay zeka içerik üretim hizmet sağlayıcıları (Anthropic, PBC — Claude API; OpenAI, LLC — O4-mini)
• Reklam hizmet sağlayıcısı (Google LLC — AdMob)
• Uygulama içi satın alma altyapısı (Apple Inc. / Google LLC)
• Güvenlik, destek, bakım ve operasyonel hizmet sağlayıcıları
• Yasal yükümlülükler kapsamında yetkili kamu kurumları ve yargı mercileri

6. Yurt Dışına Aktarım ve Açık Rıza (KVKK m.9/1)

Uygulama'nın altyapısı kapsamında kişisel verileriniz, yurt dışında bulunan sunucularda saklanabilir ve işlenebilir. Bu kapsamda yurt dışına aktarım, KVKK m.9/1 uyarınca açık rızanız doğrultusunda gerçekleştirilmektedir.

• Altyapı: Cloudflare, Inc. — Bölge: Dağıtık küresel ağ (öncelikli olarak Avrupa veri merkezleri)
• Yapay Zeka (1): Anthropic, PBC (Claude API) — Bölge: Amerika Birleşik Devletleri
• Yapay Zeka (2): OpenAI, LLC (O4-mini) — Bölge: Amerika Birleşik Devletleri

Açık Rıza Metni: Gizlilik Politikası ve KVKK Aydınlatma Metni'nde detayları belirtildiği üzere; Uygulama'nın teknik altyapısının ve yapay zeka hizmetlerinin yurt dışında bulunması sebebiyle; kimlik, iletişim, içerik ve işlem güvenliği verilerimin, hizmetin sağlanabilmesi ve sürekliliği amacıyla sınırlı olmak kaydıyla Cloudflare, Anthropic ve OpenAI altyapıları dahil yurt dışına aktarılmasına, yurt dışındaki sunucularda saklanmasına ve işlenmesine, konu hakkında tarafıma yapılan aydınlatmayı okuyup anladığımı beyan ederek özgür irademle açık rıza veriyorum.

7. Saklama Süreleri

• Hesap ve profil verileri (doğum bilgileri dahil): Üyelik aktif olduğu sürece; hesap silinmesi sonrası uyuşmazlık/denetim amaçlarıyla 2 yıl
• İşlem güvenliği logları (IP, erişim kayıtları): Güvenlik ve suistimal önleme amaçlarıyla 2 yıl
• Kullanıcı girdileri ve sorgu geçmişi: Hesap aktifken saklanır; hesap silinmesi halinde 30 gün içinde anonimleştirilerek istatistiksel hale getirilir veya teknik olarak mümkünse imha edilir
• Finansal işlem kayıtları: Vergi ve muhasebe mevzuatı gereğince 10 yıl

8. Veri Güvenliği

Veri sorumlusu; kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamak amacıyla makul teknik ve idari tedbirleri alır. Şifrelerin kendisi saklanmaz; kimlik doğrulama süreçlerinde güvenlik amaçlı hash'lenmiş değerler kullanılır. Tüm veri iletimi HTTPS/TLS şifrelemesi ile korunmaktadır.

9. Çerez Benzeri Teknolojiler, SDK'lar ve Yerel Depolama

Uygulamamız web tarayıcılarındaki klasik çerezleri kullanmamakla birlikte; oturum yönetimi, güvenlik, performans ve reklam gösterimi amacıyla SDK'lar ve yerel depolama gibi benzer teknolojiler kullanabilir.

• 9.1. Zorunlu Oturum Yönetimi: Cihazın güvenli alanında oturum belirteçleri (token) saklanabilir.
• 9.2. Güvenlik ve Loglama: IP adresi ve oturum/kullanım logları işlenebilir.
• 9.3. Reklam Tanımlayıcıları (IDFA/GAID): Google AdMob SDK'sı aracılığıyla reklam kimlikleri kullanılabilir.
• 9.4. Tercih/İzin Yönetimi: Takip ve reklam izinleri cihaz işletim sistemi ayarları üzerinden yönetilebilir.

10. KVKK m.11 Kapsamındaki Haklarınız

• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• İşlenmişse buna ilişkin bilgi talep etme
• İşlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde/yurt dışında aktarıldığı üçüncü kişileri bilme
• Eksik/yanlış işlenmişse düzeltilmesini isteme
• KVKK'da öngörülen şartlarla silinmesini/yok edilmesini isteme
• Düzeltme/silme/yok etme işlemlerinin aktarılan üçüncü kişilere bildirilmesini isteme
• İşlenen verilerin münhasıran otomatik sistemler ile analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme
• Kanuna aykırı işleme sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme

11. Başvuru Usulü

KVKK kapsamındaki taleplerinizi support@celestiaapp.com adresine e-posta göndererek iletebilirsiniz. Başvurular, mevzuatta öngörülen süreler içinde sonuçlandırılır.

Data Controller: BİTE YAZILIM VE BİLİŞİM TEKNOLOJİLERİ SANAYİ TİCARET ANONİM ŞİRKETİ

Address: Küçükbakkalköy Mh. Albay Sk. No:24 Ataşehir/İstanbul

KVKK Contact: support@celestiaapp.com

Application: Celestia

1. Scope

This document has been prepared to explain the purposes for which personal data processed within the scope of the Celestia application is processed, the legal grounds, transfers, retention periods, and your rights pursuant to Law No. 6698 on the Protection of Personal Data ("KVKK").

2. Personal Data Processed

• Identity/Profile Data: Name, date of birth, time of birth, place of birth
• Contact Data: Email address
• Account/Authorization Data: Password hash value (the password itself is not stored)
• Transaction Security Data: IP address, session/access records, authentication and security logs
• Usage Data: In-app interaction records, feature usage statistics
• Content Data: User inputs (astrology queries, tarot reading requests, personal information entered for compatibility analysis) and query history
• Financial Transaction Data: In-app purchase records (Star credits, subscriptions) — payment information is processed directly by Apple/Google and is not stored by us
• Advertising Data: Advertising identifiers (IDFA/GAID), advertising interaction records

3. Purposes of Processing Personal Data

• Creating membership records, managing accounts, and conducting authentication processes
• Providing the application service (birth chart creation, astrology interpretations, tarot readings, compatibility analysis, yıldızname calculation)
• Enabling AI-powered content generation (via Anthropic Claude API)
• Conducting information security processes, preventing misuse, logging, and auditing
• Monitoring application performance, debugging, and improvement activities
• Operating in-app advertising (Google AdMob)
• Managing the Star credit and subscription system
• Responding to user support requests, managing disputes, and fulfilling legal obligations

4. Legal Grounds for Processing Personal Data (KVKK Art. 5)

• Necessity for the establishment or performance of a contract
• Fulfillment of the data controller's legal obligations
• Establishment, exercise, or protection of a right
• Legitimate interests of the data controller (provided that your fundamental rights and freedoms are not harmed)

5. Transfer of Personal Data

• Cloud infrastructure, database, and CDN service provider (Cloudflare, Inc.)
• AI content generation service providers (Anthropic, PBC — Claude API; OpenAI, LLC — O4-mini)
• Advertising service provider (Google LLC — AdMob)
• In-app purchase infrastructure (Apple Inc. / Google LLC)
• Security, support, maintenance, and operational service providers
• Authorized public institutions and judicial authorities under legal obligations

6. Cross-Border Transfer and Explicit Consent (KVKK Art. 9/1)

As part of the Application's infrastructure, your personal data may be stored and processed on servers located abroad. Such cross-border transfers are carried out based on your explicit consent pursuant to KVKK Art. 9/1.

• Infrastructure: Cloudflare, Inc. — Region: Distributed global network (primarily European data centers)
• Artificial Intelligence (1): Anthropic, PBC (Claude API) — Region: United States of America
• Artificial Intelligence (2): OpenAI, LLC (O4-mini) — Region: United States of America

Explicit Consent Statement: As detailed in the Privacy Policy and KVKK Disclosure; due to the Application's technical infrastructure and AI services being located abroad; I hereby declare that I have read and understood the disclosure made to me, and with my free will I grant explicit consent to the transfer of my identity, contact, content, and transaction security data abroad, including to Cloudflare, Anthropic, and OpenAI infrastructures, and to its storage and processing on servers located abroad, solely for the purposes of providing and maintaining the service.

7. Retention Periods

• Account and profile data (including birth information): For as long as the membership is active; 2 years after account deletion for dispute/audit purposes
• Transaction security logs (IP, access records): 2 years for security and abuse prevention purposes
• User inputs and query history: Stored while the account is active; upon account deletion, anonymized into statistical form within 30 days, or destroyed if technically possible
• Financial transaction records: 10 years in accordance with tax and accounting legislation

8. Data Security

The data controller takes reasonable technical and administrative measures to prevent the unlawful processing of and access to personal data, and to ensure its preservation. Passwords themselves are not stored; hashed values are used for security purposes in authentication processes. All data transmission is protected with HTTPS/TLS encryption.

9. Cookie-Like Technologies, SDKs, and Local Storage

While our application does not use classic cookies as found in web browsers, it may use SDKs and similar technologies such as local storage for session management, security, performance, and advertising purposes.

• 9.1. Mandatory Session Management: Session tokens may be stored in the device's secure area.
• 9.2. Security and Logging: IP address and session/usage logs may be processed.
• 9.3. Advertising Identifiers (IDFA/GAID): Advertising IDs may be used via the Google AdMob SDK.
• 9.4. Preference/Permission Management: Tracking and advertising permissions can be managed through device operating system settings.

10. Your Rights Under KVKK Art. 11

• To learn whether your personal data is processed
• To request information if it has been processed
• To learn the purpose of processing and whether it is used in accordance with that purpose
• To know the third parties to whom data is transferred domestically or abroad
• To request correction if it has been processed incompletely/inaccurately
• To request deletion/destruction under the conditions set forth in the KVKK
• To request that correction/deletion/destruction operations be notified to third parties to whom data has been transferred
• To object to the occurrence of a result against you through the analysis of processed data exclusively by automated systems
• To request compensation for damages incurred due to unlawful processing

11. Application Procedure

You may submit your KVKK-related requests by sending an email to support@celestiaapp.com. Applications are resolved within the periods provided by the legislation.