Harcio
EN

Gizlilik Politikası

Yürürlük tarihi: 2026-05-03

Bu Gizlilik Politikası, Harcio (“Harcio”, “biz”) tarafından sunulan seyahat masrafı paylaşım hizmetinin kullanılmasıyla işlenen kişisel verilerin nasıl toplandığını, kullanıldığını, saklandığını ve paylaşıldığını açıklar. Politika; 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) çerçevesinde hazırlanmıştır.

1. Veri Sorumlusu

Veri sorumlusu sıfatıyla Harcio, Türkiye merkezli bir yazılım hizmetidir. Gizlilik konularındaki tüm soru, talep ve şikayetler için aşağıdaki e-posta adresi üzerinden bizimle iletişime geçebilirsiniz: [email protected].

2. Topladığımız Veriler

Hesabınızı oluşturduğunuzda ve hizmeti kullandığınızda aşağıdaki verileri toplarız:

  • Hesap bilgileri: e-posta adresi, parola özeti (hash), ad ve - Google ile giriş yapıldığında - profil resmi bağlantısı.
  • Gezi içeriği: oluşturduğunuz veya katıldığınız gezilere ait isim, açıklama, para birimi, katılımcı listesi, masraflar (tutar, açıklama, kategori, tarih), bölüşüm ayarları, fiş fotoğrafı ve isteğe bağlı IBAN bilgisi.
  • Bildirim verileri: push bildirim aboneliği için tarayıcı veya cihaz tarafından üretilen endpoint, anahtar (web push için p256dh ve auth) veya native push token (iOS/Android).
  • Teknik kayıtlar: oturum açma denemeleri ve API çağrıları sırasında toplanan IP adresi, kullanıcı aracısı (User Agent) bilgisi ve zaman damgası. Bu kayıtlar yalnızca güvenlik, kötüye kullanım önleme (abuse prevention) ve denetim (audit) amacıyla işlenir.

3. İşleme Amaçları ve Hukuki Sebepler

Verileriniz aşağıdaki amaçlarla işlenir:

  • Hizmetin sunulması, hesabınızın oluşturulması ve sürdürülmesi.
  • Kimlik doğrulama ve oturum yönetimi.
  • Bildirim gönderimi (push, e-posta) - tercihlerinize uygun olarak.
  • Güvenlik, hile ve kötüye kullanımın tespiti ile yasal yükümlülüklerin yerine getirilmesi.
  • Hizmet kalitesinin geliştirilmesi ve hata ayıklaması.

İşleme; sözleşmenin ifası, meşru menfaat ve - bildirim tercihi gibi opsiyonel hallerde - açık rıza hukuki sebeplerine dayanır.

4. Verilerin Saklandığı Yer

Tüm kişisel veriler, Türkiye'de barındırılan kendi sunucularımız üzerinde çalışan self-hosted Supabase (PostgreSQL + Storage) altyapısında saklanır. Veriler üçüncü taraf bir bulut sağlayıcıda tutulmaz; yalnızca Cloudflare Tunnel üzerinden Next.js uygulamamız internete açıktır.

5. Üçüncü Taraf Hizmetler

Hizmetin işleyişi için aşağıdaki üçüncü taraflarla sınırlı veri paylaşımı yapılabilir:

  • Google OAuth: “Google ile devam et” seçeneği kullanıldığında kimlik doğrulama amacıyla.
  • Apple Sign-In: “Apple ile devam et” seçeneği kullanıldığında kimlik doğrulama amacıyla.
  • Yahoo Finance API: çoklu para birimi destekli masraflar için döviz kurlarının çekilmesi amacıyla. Kişisel veri paylaşılmaz.
  • VAPID Web Push servisleri: tarayıcının push servis sağlayıcısı (örn. Mozilla, Google) üzerinden bildirim iletimi için.
  • Apple Push Notification service (APNs) ve Firebase Cloud Messaging (FCM): mobil uygulama bildirimleri için.

6. Saklama Süreleri

Hesabınız aktif olduğu sürece verileriniz saklanır. Hesabınızı silmeniz halinde kişisel olarak tanımlanabilir bilgiler (e-posta, ad, profil resmi, IBAN) anında temizlenir. Kalan operasyonel veriler (ör. bağlı olduğunuz gezilerin tarihçesi) en geç 30 gün içerisinde otomatik bir cron işiyle kalıcı olarak silinir.

7. KVKK ve GDPR Kapsamındaki Haklarınız

İlgili kişi sıfatıyla aşağıdaki haklara sahipsiniz:

  • Verilerinize erişim talep etme.
  • Yanlış veya eksik verilerin düzeltilmesini isteme.
  • Verilerinizin silinmesini talep etme. Hesap silme akışını Ayarlar › Hesap › Hesabı Sil üzerinden başlatabilirsiniz.
  • İşleme faaliyetine itiraz etme.
  • Verilerinizin taşınabilirliğini talep etme.
  • Açık rızaya dayanan işlemelerde rızanızı her zaman geri çekme.

Talepleriniz için [email protected] adresine e-posta gönderebilirsiniz; en geç 30 gün içinde cevaplandırırız.

8. Çocukların Gizliliği

Harcio, 13 yaşın altındaki kullanıcılar için tasarlanmamıştır. 13 yaş altı bir kullanıcının veri sağladığını fark edersek hesabı kapatır ve ilgili verileri sileriz.

9. Çerezler ve Yerel Depolama

  • NextAuth oturum çerezi: oturum yönetimi için gerekli; HttpOnly, Secure ve SameSite=Lax bayraklarıyla ayarlanır.
  • Tema tercihi: “Açık / Koyu / Sistem” seçimi tarayıcının localStorage alanında saklanır; sunucuya gönderilmez.

10. Politika Değişiklikleri

Bu politikayı zaman zaman güncelleyebiliriz. Önemli değişiklikleri kayıtlı e-posta adresinize bildirim olarak göndeririz ve uygulama içinde bir banner ile duyururuz. “Yürürlük tarihi” alanı her güncellemede yenilenir.

11. İletişim

Bu politika veya kişisel verileriniz hakkındaki tüm soru ve talepler için bize ulaşın: [email protected].