Bu Gizlilik Politikası, Patimet mobil uygulamasını
(Android / iOS) ve patimet.com alan adındaki ilgili web
sitelerini kullandığınızda hangi kişisel verilerinizi işlediğimizi,
bunları neden işlediğimizi ve haklarınızı nasıl kullanabileceğinizi
açıklar.
Patimet, Türkiye'de yerleşik Tajapps tarafından geliştirilmektedir. KVKK kapsamında veri sorumlusu Tajapps'tir. İletişim: destek@patimet.com.
1. Topladığımız veriler
1.1 Hesap bilgileri
- E-posta adresi ve/veya telefon numarası — kayıt ve OTP doğrulama için.
- Şifre — yalnızca bcrypt hash olarak saklanır, sade metin asla saklanmaz.
- Profil adı, kullanıcı adı, profil fotoğrafı, biyografi.
- Hesap türü (kişisel / işletme) ve seçilen iş kategorisi.
- Doğrulama belgeleri (yalnızca işletme veya doğrulama isteyen kullanıcılar için, opsiyonel).
1.2 İçerik verileri
- Yayınladığınız gönderiler, fotoğraflar, videolar, yorumlar, beğeniler, takipler.
- Mesajlar (kullanıcılar arası özel sohbetler).
- Kayıp ilan ve sahiplendirme ilanları ile ekledikleri fotoğraflar.
- Mekan sahiplenme talepleri ve gönderilen iletişim bilgileri.
- Hatırlatıcılar (aşı, mama vb.) — yalnızca cihazınızda ve hesabınıza özel.
1.3 Cihaz ve kullanım verileri
- Push bildirim token'ı (Firebase Cloud Messaging).
- Konum verisi — yalnızca açıkça izin verdiğinizde, "yakındaki yerler" / "yakın gönderiler" özelliklerinde kullanılır. Konumunuz arka planda izlenmez ve haritada başkalarına görünmez (kayıp ilanı oluştururken bilerek paylaşmadığınız sürece).
- Kamera erişimi — fotoğraf çekip gönderi, profil veya kayıp ilanı için yüklemenizi sağlamak amacıyla. Kamerayı yalnızca siz "kameradan çek" düğmesine bastığınızda kullanırız; arka planda kayıt yapmaz, video/ses akışı tutmayız.
- Galeri erişimi — cihazınızdaki fotoğraf/videoları seçip yüklemek için.
- Cihaz bilgileri — işletim sistemi sürümü, uygulama sürümü, dil. Yalnızca hata ayıklama ve sürüm uyumluluk amacıyla.
- IP adresi — sunucu erişim günlüklerinde 30 gün boyunca, kötüye kullanım engelleme amacıyla.
1.4 Toplamadığımız veriler
- Reklam tanımlayıcıları (IDFA / GAID) kullanmıyoruz.
- Üçüncü taraf reklam veya analitik SDK'sı yok.
- Sağlık, biyometrik veya finansal veri toplamıyoruz.
2. Verileri neden işliyoruz (hukuki sebepler)
| Amaç | Hukuki sebep (KVKK m.5 / GDPR m.6) |
|---|---|
| Hesap oluşturma ve kimlik doğrulama | Sözleşmenin ifası |
| İçerik yayınlama ve sosyal etkileşim | Sözleşmenin ifası |
| Kayıp/sahiplendirme yayınları | Açık rıza |
| Push bildirim gönderme | Açık rıza (cihaz izni) |
| Konum tabanlı özellikler | Açık rıza (cihaz izni) |
| Güvenlik, kötüye kullanım engelleme, IP loglama | Meşru menfaat |
| Yasal zorunluluklara uyum | Hukuki yükümlülük |
3. Verileri kimlerle paylaşıyoruz
Verilerinizi satmıyoruz ve reklam amacıyla paylaşmıyoruz. Verilerinize yalnızca aşağıdaki sınırlı altyapı sağlayıcılar erişebilir:
- DigitalOcean (sunucu barındırma — Almanya, AB).
- Google Firebase (push bildirim teslimatı). Token dışında içerik bu hizmette tutulmaz.
- Brevo (e-posta OTP teslimatı). E-posta adresi ve OTP kodu paylaşılır.
- Google Maps Platform (uygulama içi harita gösterimi). Yalnızca tarayıcı/uygulama tarafında çağrılır.
Yetkili merciler tarafından yasal bir karar veya mahkeme kararı sunulması durumunda, gerekli olan asgari veriyi ilgili merciye açıklayabiliriz.
4. Veri saklama süreleri
- Aktif hesap verileri: hesap silinene kadar.
- Hesap silindiğinde: gönderiler, fotoğraflar, mesajlar, takip ilişkileri ve hesap satırı geri dönüşü olmayacak şekilde silinir. Sunucu yedekleri 30 gün içinde döndürülür.
- Kötüye kullanım engellemek için silinen hesabın e-posta/telefonu 30 gün boyunca yeniden kayıt için bloke edilir.
- Web sunucusu erişim günlükleri: 30 gün.
5. Çocukların gizliliği
Patimet 13 yaşın altındaki çocuklara yönelik değildir. Bilerek 13 yaş altı çocuk verisi toplamayız. Bir çocuğun bize veri ilettiğini fark ederseniz lütfen destek@patimet.com adresine bildirin; verileri en kısa sürede sileriz.
6. Haklarınız (KVKK m.11 / GDPR)
- Kişisel verilerinizin işlenip işlenmediğini öğrenme.
- Verilerin bir kopyasını talep etme.
- Düzeltme ve silme talep etme.
- İşlemenin sınırlandırılmasını veya durdurulmasını talep etme.
- Açık rızanızı her zaman geri alma.
- Kişisel Verileri Koruma Kurulu'na şikayet hakkı.
Bu hakları kullanmak için destek@patimet.com adresine yazabilirsiniz. Ayrıca uygulama içinden Ayarlar → Hesabımı Kalıcı Olarak Sil seçeneği ile hesabınızı kendiniz silebilirsiniz.
7. Güvenlik
- Tüm trafik HTTPS (TLS 1.2+) üzerinden iletilir.
- Şifreler bcrypt ile hash'lenerek saklanır, sade metin asla.
- Oturum jetonları cihazda iOS Keychain / Android EncryptedSharedPreferences üzerinde saklanır.
- Veritabanı yalnızca yerel ağdan erişilebilir; sunucu firewall'u dışarıdan PostgreSQL bağlantılarını engeller.
- SSH erişimi yalnızca bizim VPN IP'mize sınırlıdır; brute-force koruması (fail2ban) etkindir.
8. Politika güncellemeleri
Bu metni gerektiğinde güncelleyebiliriz. Önemli değişikliklerde uygulama içinden veya e-posta ile bilgilendirme yaparız. Bu sayfada "Yürürlük tarihi" alanını her zaman güncel tutarız.
9. İletişim
Patimet — Privacy Policy
This Privacy Policy describes what personal data is processed when
you use the Patimet mobile application (Android / iOS)
and the related web pages on patimet.com, why we process
it, and how you can exercise your rights.
Patimet is developed by Tajapps, a sole developer based in Türkiye. Tajapps is the data controller under GDPR and the Turkish KVKK. Contact: destek@patimet.com.
1. Data we collect
1.1 Account data
- Email address and/or phone number — for sign-up and OTP login.
- Password — stored only as a bcrypt hash; never in plaintext.
- Display name, username, profile picture, bio.
- Account type (personal / business) and chosen business category.
- Verification documents (only for business accounts or users who request verification — optional).
1.2 Content data
- Your posts, photos, videos, comments, likes and follow relationships.
- Messages (private chats between users).
- Lost-pet and adoption-pet listings and their photos.
- Place-claim requests and the contact information you submit with them.
- Reminders (vaccinations, food, etc.) — visible only on your account.
1.3 Device & usage data
- Push notification token (Firebase Cloud Messaging).
- Location — only when you explicitly grant the permission, used for "nearby places" / "nearby posts". We do not track your location in the background and we do not display it on a map for other users (unless you intentionally share it in a lost-pet listing).
- Camera access — used to take a photo for posts, profile, lost-pet listings, etc. The camera is only opened when you tap a "take photo" button; we do not record in the background and we do not stream video or audio.
- Photo library access — to let you select existing photos/videos to upload.
- Device info — OS version, app version, language. Used for debugging and version compatibility only.
- IP address — kept in server access logs for 30 days for abuse prevention.
1.4 What we do NOT collect
- We do not use advertising identifiers (IDFA / GAID).
- We do not embed third-party advertising or analytics SDKs.
- We do not collect health, biometric or financial data.
2. Why we process this data (legal bases)
| Purpose | Legal basis (GDPR Art. 6 / KVKK Art. 5) |
|---|---|
| Account creation and authentication | Performance of contract |
| Posting content and social interaction | Performance of contract |
| Lost-pet / adoption listings | Explicit consent |
| Push notifications | Explicit consent (device permission) |
| Location-based features | Explicit consent (device permission) |
| Security, abuse prevention, IP logging | Legitimate interest |
| Compliance with legal obligations | Legal obligation |
3. Who we share data with
We do not sell your data and we do not share it for advertising. Only the following infrastructure providers can access limited portions of your data on our behalf:
- DigitalOcean (server hosting — Frankfurt, EU).
- Google Firebase (push notification delivery). Only the device token is stored in this service, not message contents.
- Brevo (transactional email for OTP). Receives your email address and the OTP code.
- Google Maps Platform (in-app map display). Only invoked client-side.
If we receive a valid legal order from a competent authority, we may disclose the minimum data required by that order.
4. Data retention
- Active account data: kept until you delete the account.
- When you delete your account: posts, photos, messages, follow relationships and the user record itself are permanently and irrecoverably deleted. Server backups are rotated within 30 days.
- To prevent abuse, the email/phone of a deleted account is blocked from re-registration for 30 days.
- Web server access logs: 30 days.
5. Children's privacy
Patimet is not directed to children under 13. We do not knowingly collect data from children under 13. If you believe a child has provided us data, please contact destek@patimet.com and we will delete it as soon as possible.
6. Your rights
- Right to know whether your personal data is being processed.
- Right to obtain a copy of your data.
- Right to correction and erasure.
- Right to restrict or stop processing.
- Right to withdraw consent at any time.
- Right to lodge a complaint with the Turkish Personal Data Protection Authority (KVKK Kurulu) or your local supervisory authority.
To exercise these rights, write to destek@patimet.com. You can also delete your account yourself at any time from inside the app: Settings → Permanently delete my account.
7. Security
- All traffic is transmitted over HTTPS (TLS 1.2+).
- Passwords are stored as bcrypt hashes — never in plaintext.
- Authentication tokens are stored on-device in iOS Keychain / Android EncryptedSharedPreferences.
- The database is reachable only from localhost; the server firewall blocks all external PostgreSQL connections.
- SSH access is restricted to our VPN IP only; brute-force protection (fail2ban) is enabled.
8. Changes to this policy
We may update this policy when needed. For material changes we will notify you in-app or by email. The "Effective date" at the top of this page is always kept current.