Yasal Bilgiler
Gizlilik ve Kişisel Verilerin Korunması Aydınlatma Metni
Son güncelleme: 7 Temmuz 2026
Kutlava (kutlava.com), QR ile fotoğraf, video ve sesli mesaj toplayan bir dijital anı albümü hizmetidir. Bu metin, hem hesap açan etkinlik sahiplerinin hem de albüme içerik ekleyen misafirlerin kişisel verilerini hangi ilkeler doğrultusunda işlediğimizi açıklar.
Kutlava küresel bir hizmettir; verilerinizi genel kabul görmüş uluslararası veri koruma ilkeleri doğrultusunda işleriz. Bulunduğunuz ülkeye göre ek haklarınız olabilir — örneğin Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Avrupa Ekonomik Alanı'nda (AEA) ise GDPR bu tür ek koruma ve haklar sağlar. Aşağıda tanımlanan haklar, bu düzenlemelerdeki veri sahibi haklarıyla uyumludur.
Kutlava gizliliği ürünün merkezine koyar: misafir akışı üyeliksiz ve formsuzdur, içerik denetimi büyük ölçüde misafirin kendi cihazında yapılır ve reddedilen içerik hiçbir zaman misafire duyurulmaz. Aşağıdaki bölümler hangi verileri neden işlediğimizi ayrıntılandırır.
1. Veri Sorumlusu
Kişisel verileriniz, veri sorumlusu (data controller) sıfatıyla aşağıdaki şirket tarafından işlenmektedir:
- Unvan: Eymence LLC
- Kuruluş yeri: Wyoming, ABD (LLC)
- Adres: 30 N Gould St, Ste N, Sheridan, Wyoming, United States
- E-posta: [email protected]
- Telefon: +1 202 773 4550
Eymence LLC, Amerika Birleşik Devletleri'nde kurulu bir şirkettir; bu nedenle kişisel verileriniz ABD'de ve hizmet sağlayıcılarımızın bulunduğu diğer ülkelerde işlenip saklanabilir. Ayrıntılar için aşağıdaki “Kişisel Verilerin Aktarılması ve Uluslararası Aktarım” bölümüne bakınız.
2. İşlediğimiz Kişisel Veriler
Hesap sahibi (etkinlik sahibi) verileri
Bir hesap açtığınızda, kimlik doğrulama altyapımız (Better Auth) aracılığıyla şu verileri işleriz:
- Ad-soyad ve e-posta adresi,
- Şifreniz — yalnızca geri döndürülemez biçimde şifrelenmiş (hash'lenmiş) olarak saklanır; açık halini biz dâhil kimse göremez,
- Tercih ettiğiniz dil (locale) ve hesap planınız (ücretsiz / etkinlik / süresiz arşiv),
- Oturum kayıtları: oturum belirteci, IP adresi ve tarayıcı bilgisi (user agent) ile oturumun oluşturulma ve sona erme zamanları,
- Oluşturduğunuz etkinliklere ait bilgiler (başlık, tarih, kapak görseli, görünürlük modu ve albüm ayarları).
Misafir verileri
Bir etkinliğin QR'ını tarayan misafirler uygulama indirmeden ve üye olmadan içerik ekler. Misafirlere ilişkin işlenen veriler şunlardır:
- Yüklenen medya: fotoğraf, video ve sesli mesajlar ile bunların misafirin tarayıcısında üretilen küçük önizleme (thumbnail) görselleri,
- Yükleme başarıyla tamamlandıktan SONRA isteğe bağlı olarak istenen ad ve iletişim bilgisi (e-posta veya telefon) — bu adım tamamen opsiyoneldir ve yalnızca albüm bağlantısının misafire ulaşması için sunulur,
- Aynı misafirin kendi yüklemelerini görebilmesi için tarayıcıya yerleştirilen anonim bir misafir oturumu çerezi (yaklaşık 13 ay) ve bu oturuma bağlı yükleme sayacı,
- Anı defterine bırakılan yazılı mesajlar ve isteğe bağlı yazar adı.
Teknik ve işlem verileri
- IP adresi: kötüye kullanımı önlemek üzere hız sınırlama (rate-limiting) için anlık olarak ve ülkenize göre para birimi/dil belirlemek üzere Cloudflare'in CF-IPCountry ülke bilgisi olarak kullanılır. Yalnızca ülke koduna indirgenen bu bilgi, fiyatlandırma ve dil tercihinizi belirlemek dışında kalıcı bir profil oluşturmak için kullanılmaz.
- Ödeme işlemi verileri: satın alınan plan, tutar, para birimi, Stripe ödeme oturumu kimliği ve ödeme durumu. Kart numaranız gibi ödeme kartı verileri Kutlava tarafından hiçbir zaman görülmez veya saklanmaz; bunları yalnızca Stripe işler (bkz. Aktarım bölümü).
3. Özel Nitelikli Veri — Yüz ile Fotoğraf Bulma (Biyometrik Veri)
Ücretli planlarda, etkinlik sahibinin etkinlik bazında açıkça etkinleştirmesi hâlinde sunulan “Yüz ile Fotoğraf Bulma” özelliği, misafirlerin kendi fotoğraflarını bir selfie ile bulmasını sağlar. Yüz verileri, GDPR kapsamında açık rıza gerektiren özel nitelikli (special category) kişisel veridir; Türk hukukunda bu, KVKK'nın “özel nitelikli kişisel veri” kavramına karşılık gelir. Bu veriyi yalnızca ilgili kişinin açık ve ayrık rızasıyla işleriz.
Bu özelliğin nasıl çalıştığını ürünün gerçek işleyişine göre şeffafça açıklıyoruz:
- Özellik varsayılan olarak kapalıdır; etkinlik sahibi açmadıkça hiçbir fotoğraf yüz analizine tabi tutulmaz ve misafire hiçbir arayüz gösterilmez.
- Özellik açıkken, albümdeki fotoğraflardan yüz temsilleri (embedding — 512 boyutlu sayısal vektörler) çıkarılır ve yalnızca aynı etkinlik içinde eşleştirme yapmak için saklanır.
- Fotoğrafını aramak için misafirin çektiği selfie HİÇBİR ZAMAN saklanmaz: yalnızca o an bir vektöre dönüştürülür, karşılaştırma yapılır ve hemen atılır.
- Yüz temsilleri, etkinlik arşivi kapandığında (planın saklama süresi dolduğunda) silinir; ihtiyaç kalmadığında tutulmaz.
- Bu işleme için açık rıza verilmemesi, misafirin albüme fotoğraf/video/ses eklemesine engel değildir; yalnızca yüz ile arama özelliği kullanılamaz.
4. Yapay Zekâ ile İçerik Ön Denetimi
Uygunsuz içeriği filtrelemeye yardımcı olmak için görseller yüklenmeden önce hafif bir yapay zekâ ön denetiminden geçer. Bu denetim tamamen misafirin kendi tarayıcısında (cihazında) çalışır — görsel, denetlenmek amacıyla hiçbir sunucuya gönderilmez. Bu, gizlilik açısından bilinçli bir tercihtir.
Denetimin sonucu yalnızca ilgili karenin etkinlik sahibinin onay kuyruğuna düşmesine yol açabilir; hiçbir içeriği otomatik silmez ve sonuç misafire hiçbir zaman gösterilmez (utandırma yoktur). Son karar her zaman etkinlik sahibine aittir.
5. Kişisel Verileri İşleme Amaçlarımız
- Hesap oluşturma, kimlik doğrulama ve hesabınızı güvenli biçimde yönetme,
- Etkinlik albümünüzü oluşturma, misafir içeriklerini toplama, onay kuyruğunu ve görünürlük kurallarını işletme,
- Misafirlerin kendi yüklemelerini görebilmesini ve isteğe bağlı albüm bağlantısının kendilerine ulaşmasını sağlama,
- Ücretli planlarda satın alma, faturalandırma ve iade süreçlerini yürütme,
- Bulunduğunuz ülkeye göre uygun para birimi ve dil sunma,
- Hizmetin güvenliğini sağlama, kötüye kullanımı ve uygunsuz içeriği önleme,
- Yasal yükümlülüklerimizi yerine getirme ve hukuki taleplere yanıt verme.
6. İşlemenin Hukuki Sebepleri
Kişisel verilerinizi yalnızca geçerli bir hukuki sebep bulunduğunda işleriz. Dayandığımız başlıca sebepler şunlardır:
- Sizinle kurulan sözleşmenin ifası için gerekli olması (hesap ve etkinlik hizmetinin sunulması, ödemenin alınması),
- Tabi olduğumuz hukuki yükümlülüklere uymak için zorunlu olması (mali ve yasal saklama yükümlülükleri),
- Temel hak ve özgürlüklerinize zarar vermeyen meşru menfaatlerimiz için gerekli olması (hizmet güvenliği, kötüye kullanımın önlenmesi),
- Özel nitelikli veriler (yüz ile fotoğraf bulma özelliğindeki biyometrik veriler) bakımından yalnızca açık rızanız.
Bu sebepler, KVKK ve GDPR gibi düzenlemelerdeki hukuki işleme sebepleriyle örtüşür.
7. Kişisel Verilerin Aktarılması ve Uluslararası Aktarım
Hizmeti sunabilmek için sınırlı sayıda hizmet sağlayıcı (veri işleyen) ile çalışırız. Küresel bir hizmet olduğumuzdan, verileriniz bu sağlayıcıların sunucularının bulunduğu farklı ülkelerde — Amerika Birleşik Devletleri ve Avrupa dâhil — işlenebilir. Uluslararası aktarım, bulut tabanlı hizmetlerin bir istisnası değil olağan işleyişidir; bu aktarımları yaparken sözleşmesel güvenceler dâhil gerekli teknik ve idari tedbirleri alırız.
| Hizmet sağlayıcı | Amaç | Aktarılan veri | Konum |
|---|---|---|---|
| Cloudflare R2 | Medya (fotoğraf/video/ses) depolama ve dağıtımı | Yüklenen medya ve önizlemeleri | Küresel (ABD dâhil) |
| Stripe | Ödeme alma ve işleme | Ödeme kartı verileri, ödeme işlemi bilgileri | ABD / küresel |
| Barındırma sağlayıcısı (Hetzner) | Uygulama ve veritabanı sunucusu | Hesap, etkinlik, misafir ve işlem verileri | Almanya (AB) |
Yüz ile Fotoğraf Bulma özelliği açıkken, yüz temsili çıkarımı için fotoğraflar ayrıca bir yüz analiz mikro-servisine iletilir; bu işleme yalnızca ilgili özellik etkin ve açık rıza mevcutken gerçekleşir.
8. Saklama Süreleri
- Etkinlik albümleri ve misafir içerikleri, seçilen plana bağlı olarak saklanır: ücretsiz ve etkinlik planlarında belirlenen saklama süresi (etkinliğin sona erme tarihi) sonunda erişime kapanır; süresiz arşiv planında ise siz silene kadar saklanır.
- Anonim misafir oturumu çerezi yaklaşık 13 ay boyunca saklanır.
- Yüz temsilleri (biyometrik veri) yalnızca etkinlik arşivi açık kaldığı sürece tutulur ve arşiv kapandığında silinir.
- Ödeme ve fatura kayıtları, ilgili mali ve yasal mevzuatın gerektirdiği zorunlu saklama süreleri boyunca tutulur.
- Süre sonunda kişisel veriler silinir, yok edilir veya anonim hâle getirilir.
9. Veri Güvenliği
Kişisel verilerinizi korumak için makul teknik ve idari tedbirler alırız: şifreler geri döndürülemez biçimde hash'lenir, veri aktarımı şifreli bağlantılar (HTTPS/TLS) üzerinden yapılır, medya dosyaları tarayıcıdan doğrudan depolamaya güvenli imzalı bağlantılarla yüklenir ve sunucularımızdan geçmez, erişim yetkileri sınırlandırılır. Görünürlük kuralları tek bir merkezi denetim noktasından işletilir; reddedilen içerik paylaşımdan düşer ancak misafirin kendi görünümünde kalır.
10. Veri Sahibi Olarak Haklarınız
Bize başvurarak kişisel verilerinizle ilgili şu haklara sahipsiniz:
- Verilerinizin işlenip işlenmediğini öğrenme ve işleniyorsa bunlara ve bir kopyasına erişme (erişim hakkı),
- Eksik veya yanlış verilerin düzeltilmesini isteme (düzeltme hakkı),
- Verilerinizin silinmesini isteme (silme / unutulma hakkı),
- Belirli hâllerde işlemenin kısıtlanmasını isteme,
- Bize sağladığınız verileri yapılandırılmış, yaygın kullanılan ve makinece okunabilir bir biçimde alma ya da mümkün olduğunda başka bir sorumluya aktarılmasını isteme (veri taşınabilirliği),
- Meşru menfaate dayanan işlemeye itiraz etme,
- Yalnızca otomatik işlemeye dayanan ve sizi önemli ölçüde etkileyen kararlara itiraz etme,
- Verdiğiniz açık rızayı dilediğiniz zaman geri çekme — geri çekme, öncesindeki işlemenin hukukiliğini etkilemez,
- Hukuka aykırı işlenme nedeniyle zarara uğramanız hâlinde zararınızın giderilmesini talep etme,
- Bulunduğunuz ülkedeki yetkili veri koruma otoritesine şikâyette bulunma (Türkiye'de Kişisel Verileri Koruma Kurulu; AEA'da ilgili denetim makamı).
Bulunduğunuz ülkenin mevzuatı size ek haklar tanıyabilir; bu hakları da kullanabilirsiniz.
11. Başvuru Yöntemi
Yukarıdaki haklarınıza ilişkin taleplerinizi, kimliğinizi doğrulayan bilgilerle birlikte [email protected] adresine e-posta göndererek veya 30 N Gould St, Ste N, Sheridan, Wyoming, United States adresine yazılı olarak iletebilirsiniz. Talepleriniz kural olarak ücretsiz ve makul bir süre içinde sonuçlandırılır; süre, talebin niteliğine ve yürürlükteki mevzuatın öngördüğü sürelere (örneğin KVKK'da 30 gün, GDPR'da bir ay) göre belirlenir.
12. Çerezler
Kutlava yalnızca hizmetin çalışması ve tercihlerinizin hatırlanması için gerekli çerezleri kullanır; reklam veya üçüncü taraf takip amaçlı çerez kullanmaz. Ayrıntılar için Çerez Politikası'na bakabilirsiniz.
13. Çocukların Verileri
Kutlava, 18 yaşından küçük kişilere yönelik bir hizmet değildir ve bilerek reşit olmayanlardan kişisel veri toplamaz. Bir etkinlik albümüne çocuklara ait görüntüler ekleyen etkinlik sahibi ve misafirler, gerekli izinleri almaktan kendileri sorumludur.
14. Değişiklikler
Bu aydınlatma metnini zaman zaman güncelleyebiliriz. Güncel sürüm her zaman bu sayfada yayımlanır; sayfanın başındaki güncelleme tarihi son değişikliği gösterir.
15. İletişim
Kişisel verilerinizin işlenmesine ilişkin her türlü soru ve talebiniz için [email protected] adresinden bize ulaşabilirsiniz.