Gizlilik Politikası
Son Güncelleme: 4 Haziran 2026
Veri Sorumlusu: CKPAY YAZILIM SANAYİ TİCARET ANONİM ŞİRKETİ, Yeşilbağlar Mah. D-100 Bul. Pendik Pera Residence A Blok No:20/56 Pendik/İstanbul, VKN: 1061357643 | destek@mobile.tr
Bu Gizlilik Politikası; mobile.tr web sitesi, iOS/macOS uygulaması (App Store ID: 6761825357) ve Android uygulaması (tr.mobile.app) aracılığıyla kişisel verilerinizin nasıl toplandığını, işlendiğini, paylaşıldığını, saklandığını ve korunduğunu açıklar. 6698 sayılı KVKK, AB GDPR ve 6563 sayılı Elektronik Ticaret Kanunu çerçevesinde hazırlanmıştır.
1. Toplanan Kişisel Veriler
a) Doğrudan Sağladığınız Veriler
- Kimlik: Ad, soyad, isteğe bağlı TC kimlik numarası (kimlik doğrulama süreçleri için).
- İletişim: E-posta adresi (doğrulanmış), cep telefonu (SMS ile doğrulanmış).
- Hesap: Şifre (bcrypt round 12 ile hashlenmiş, açık metin olarak saklanmaz), profil fotoğrafı, 2FA TOTP secret (şifreli), yedek kodlar (hashlenmiş).
- İlan İçeriği: Araç bilgileri (marka, model, yıl, km, fiyat, donanım, hasar durumu), fotoğraflar, videolar, açıklamalar.
- Araç Tanımlayıcılar: Plaka numaraları, VIN/şasi numaraları (garaj ve blockchain kayıt özellikleri için).
- Mesajlar: Alıcı-satıcı arasındaki platform içi mesajlar ve görüntü ekleri (PostgreSQL'de şifreli bağlantı üzerinden saklanır).
b) Otomatik Olarak Toplanan Veriler
- Teknik: IP adresi, tarayıcı türü ve sürümü, işletim sistemi, cihaz modeli, ekran çözünürlüğü.
- Oturum: JWT token bilgileri (httpOnly cookie), oturum açılan cihaz ve tahmini konum (IP bazlı), oturum süresi.
- Kullanım: Görüntülenen ilanlar (Son Gezdikleriniz), arama geçmişi, favoriler, karşılaştırma listesi, kayıtlı aramalar.
- Analitik Olaylar: Sayfa görüntülemeleri, tıklamalar, ilan görüntülemeleri (toplu ve anonim biçimde işlenir).
- Konum: Yalnızca "Yakındaki İlanlar" özelliği için açık rızanızla, anlık konum (kesin GPS). Sürekli takip yapılmaz.
c) Mobil Uygulama Özgü Veriler
- Firebase Analytics ve Crashlytics (Google): Uygulama çöküş raporları, ekran geçişleri, kullanım istatistikleri. Android'de Reklam Kimliği (Advertising ID) kullanılabilir; bu durum Google Play Store'a beyan edilmiştir. Uygulama ayarlarından veya cihaz ayarlarından Reklam Kimliği sıfırlanabilir veya kısıtlanabilir.
- Firebase Cloud Messaging (FCM): Push bildirim token'ı (sunucuya iletilir; bildirim gönderimi için kullanılır).
- Apple Push Notification Service (APNs): iOS/macOS push bildirimleri için Apple'ın cihaz token sistemi kullanılır.
- Satın Alma Bilgileri: Uygulama içi satın alma doğrulaması için Apple/Google tarafından sağlanan orijinal işlem kimliği ve ürün kimliği saklanır. Kredi kartı veya ödeme kartı bilgileri hiçbir zaman mobile.tr tarafından saklanmaz.
2. Kişisel Verilerin İşlenme Amaçları ve Hukuki Dayanaklar
| Amaç | KVKK Hukuki Dayanak |
|---|---|
| Üyelik oluşturma ve hesap yönetimi | Sözleşmenin ifası (m.5/2-c) |
| İlan yayınlama ve arama hizmetleri | Sözleşmenin ifası (m.5/2-c) |
| Gerçek zamanlı mesajlaşma (SSE) | Sözleşmenin ifası (m.5/2-c) |
| Telefon doğrulama (SMS OTP) | Meşru menfaat / Sözleşme güvenliği (m.5/2-f) |
| Uygulama içi satın alma doğrulama | Sözleşmenin ifası (m.5/2-c) |
| Bildirim e-postaları (işlem bildirimleri) | Sözleşmenin ifası (m.5/2-c) |
| Pazarlama e-postaları / push bildirimleri | Açık rıza (m.5/1) |
| Dolandırıcılık tespiti ve güvenlik | Meşru menfaat (m.5/2-f) |
| AI destekli özellikler (fiyat analizi, chatbot) | Açık rıza (m.5/1) / Sözleşme ifası |
| Blockchain araç geçmişi (plaka/VIN) | Açık rıza (m.5/1) |
| Yasal yükümlülükler (vergi, ticaret) | Kanuni yükümlülük (m.5/2-ç) |
| Anonim analitik ve platform geliştirme | Meşru menfaat (m.5/2-f) |
3. Üçüncü Taraf Veri Paylaşımı
Verileriniz aşağıdaki üçüncü taraflarla, yalnızca belirtilen amaçlar dahilinde paylaşılabilir:
- Resend (e-posta): Bildirim, doğrulama ve işlem e-postalarının iletimi için. Sunucular AB'dedir. Yalnızca e-posta adresi ve içerik iletilir.
- İletiMerkezi / Twilio (SMS): Telefon doğrulama OTP kodları için. Yalnızca telefon numarası ve OTP kodu iletilir.
- OpenAI (ABD) / Anthropic (ABD) — ULUSLARARASI AKTARIM: Akıllı arama, chatbot, ilan analizи ve otomatik açıklama özellikleri için. Sorgulara yalnızca ilan içeriği (araç özellikleri, fiyat, açıklama) ve kullanıcı tarafından girilen metin iletilir; ad, e-posta, telefon veya TC kimlik numarası gibi kişisel tanımlayıcılar gönderilmez. Bu aktarım KVKK madde 9 kapsamında açık rızanıza dayanmaktadır.
- Google Firebase (Analytics, Crashlytics, FCM) — ULUSLARARASI AKTARIM: Uygulama kullanım analizi, çökme raporları ve push bildirim hizmeti için. Google LLC, ABD'de mukim olup SCCs (Standart Sözleşme Maddeleri) kapsamında veri aktarımı yapmaktadır. Android cihazlarda Reklam Kimliği kullanılır.
- Apple App Store: iOS/macOS In-App Purchase doğrulaması için JWS token doğrulaması Apple sunucularına yapılır.
- Google Play: Android satın alma doğrulaması için Google Play Developer API kullanılır.
- Cloudflare R2 (img.mobile.tr): Görsel depolama altyapısı. Yüklenen fotoğraflar Cloudflare R2 üzerinde saklanır. Cloudflare ABD merkezlidir ancak veriler Avrupa bölgesinde saklanabilir.
- Resmi Makamlar: Mahkeme kararı veya yasal zorunluluk halinde ilgili kamu kurumlarıyla.
Uluslararası Veri Aktarımı Hakkında: KVKK Madde 9 uyarınca, OpenAI/Anthropic ve Google Firebase'e yapılan yurt dışı veri aktarımları için açık rızanız alınmaktadır. Kayıt sırasında veya uygulama ayarlarından AI özelliklerini devre dışı bırakarak bu aktarımı kısıtlayabilirsiniz. Firebase Crashlytics'i cihaz ayarlarından (Google → Veri ve Gizlilik) devre dışı bırakabilirsiniz.
4. Veri Güvenliği
- Şifreleme: Tüm bağlantılar TLS 1.2+ ile şifrelenir. Şifreler bcrypt (round 12) ile hashlenir, asla açık metin olarak saklanmaz.
- Kimlik Doğrulama: JWT (HS256, 24 saatlik ömür), httpOnly cookie, isteğe bağlı 2FA (TOTP).
- Erişim Kontrolü: Veri tabanına doğrudan erişim kısıtlıdır; yalnızca uygulama katmanı üzerinden Prisma ORM aracılığıyla erişilir.
- Rate Limiting: Auth işlemleri dakikada 20, yükleme dakikada 10 istek ile sınırlıdır.
- Güvenlik Denetimi: Düzenli güvenlik taramaları yapılmaktadır.
5. Veri Saklama Süreleri
- Hesap verileri: Aktif üyelik boyunca + hesap silinmesinden 30 gün sonrasına kadar.
- İlanlar ve mesajlar: İlan kapanmasından / hesap silinmesinden itibaren 2 yıl (uyuşmazlık çözümü).
- Oturum kayıtları (UserSession): 90 gün.
- Aktivite logları: 1 yıl.
- SMS doğrulama kodları: 10 dakika (doğrulanmamışsa otomatik silinir).
- Finansal kayıtlar (satın alma işlemleri): 5 yıl (213 sayılı VUK ve 6762 sayılı TTK).
- Blockchain araç geçmişi: Niteliği gereği kalıcıdır; silme talebi durumunda yalnızca kişisel tanımlayıcılar anonimleştirilir.
6. KVKK Kapsamındaki Haklarınız (Madde 11)
Veri sahibi olarak aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme.
- İşlenen verilerinize erişim ve kopyasını alma (Panel → Hesap Ayarları → Verilerimi İndir ile JSON formatında).
- Eksik veya yanlış verilerin düzeltilmesini isteme.
- Verilerin silinmesini veya yok edilmesini isteme (Panel → Hesap Ayarları → Hesabımı Sil).
- İşlemeye itiraz etme.
- Otomatik sistemler aracılığıyla aleyhinize bir kararın çıkmasına itiraz etme.
- Zararın giderilmesini talep etme.
Bu haklarınızı destek@mobile.tr adresine e-posta göndererek veya Yeşilbağlar Mah. D-100 Bul. Pendik Pera Residence A Blok No:20/56 Pendik/İstanbul adresine yazılı başvuru yaparak kullanabilirsiniz. Başvurunuz en geç 30 gün içinde yanıtlanır. Kimlik doğrulama gerekebilir.
KVKK Kurulu'na şikâyet hakkınız saklıdır: www.kvkk.gov.tr
7. Çocukların Gizliliği
Platform 18 yaş altı bireylere yönelik değildir ve bu kişilerden bilerek kişisel veri toplanmaz. 18 yaş altı bir kullanıcının hesabı tespit edilmesi halinde hesap kapatılır ve veriler silinir.
8. Bu Politikadaki Değişiklikler
Gizlilik Politikası önemli değişikliklerinde platform üzerinden bildirim yapılır ve "Son Güncelleme" tarihi güncellenir. Değişiklik sonrası Platform'u kullanmaya devam etmek güncel politikayı kabul anlamına gelir.