ShiftMate Pro — Gizlilik Politikası

Sürüm: v2.0 (Sosyal Ağ Evresi) · Yürürlük: 31 Mayıs 2026 · Standartlar: KVKK (Türkiye), GDPR (AB), CCPA (Kaliforniya), COPPA (Çocuk)

Özet: Vardiya verileriniz cihazınızda hesaplanır, hesabınız ve sosyal ağ verileriniz Supabase (AB) üzerinde TLS 1.3 ile şifreli olarak saklanır. Mesajlarınız ve gönderileriniz reklam veya analiz için kullanılmaz, üçüncü taraflarla paylaşılmaz. Hesabınızı uygulama içinden silebilirsiniz.

ShiftMate Pro ("biz", "uygulama") kullanıcı gizliliğine önem verir. Bu politika; topladığımız verileri, kullanım amaçlarını, paylaşım kurallarını ve haklarınızı açıklar. Uygulamayı kullanarak bu politikayı kabul etmiş olursunuz.

1. Topladığımız Veriler

1.1 Hesap Bilgileri

E-posta adresi (kayıt + giriş)
Görünen ad ve uygulama içi benzersiz kullanıcı kimliği (unique_user_id)
Profil fotoğrafı (opsiyonel)

1.2 Genişletilmiş Profil (v2.0, tamamı opsiyonel)

Kısa hakkımda (bio)
Meslek / pozisyon
Şirket
Yaşadığı şehir
Web sitesi
Profilinizin diğer kullanıcılarca aranabilir olup olmadığını seçeceğiniz is_public bayrağı

1.3 Vardiya & İzin & Mesai Verileri

Vardiya sistemi tercihleri (sistem tipi, başlangıç tarihi, çalışma saatleri)
365 günlük vardiya takvimi (cihazda hesaplanır, sunucuya senkronize edilir)
İzin kayıtları (yıllık izin, raporlu gün, mazeret)
Mesai kayıtları (kategori, süre, çarpan — 4857 sayılı İş Kanunu'na uygun)
Bildirim tercihleri

1.4 Sosyal Ağ Verileri (v2.0)

Arkadaşlık kayıtları: gönderilen ve alınan istekler, kabul edilen arkadaşlıklar, durum (pending/accepted/blocked/declined)
Sohbet mesajları: 1:1 ve grup mesajları, mesaj türü (metin/görsel), gönderici, zaman damgaları, okundu işaretleri
Gönderiler: metin, görsel, anket — görünürlük seviyesi seçilebilir (public / friends / private). Beğeniler, yorumlar, anket oyları, paylaşımlar (alıntı gönderi)
Görseller: profil avatarı, gönderi fotoğrafı, sohbet eki, grup avatarı — Supabase Storage'da public CDN ile saklanır; path tahmin edilemez
Topluluk güvenliği: engellediğiniz kullanıcılar (user_blocks), gönderdiğiniz şikayetler (reports)

Önemli: Mesajlar uçtan uca şifreli (E2E) değildir. Sunucu tarafında erişilebilir; ancak yalnız sohbete üye olan kullanıcılar tarafından (Row-Level Security politikalarıyla). İçeriği reklam veya analiz amacıyla taramayız ve üçüncü taraflarla paylaşmayız.

1.5 Cihaz, Konum, Reklam ve Ödeme

Konum (GPS, opsiyonel): Yalnızca uygulama açıkken hava durumu ve resmi tatil servisleri için. Arka planda izlenmez. Sunucuya gönderilmez, sadece API çağrılarında kullanılıp atılır. Premium kullanıcılar için "vardiya konum uyarısı" opt-in özelliği vardır; bu durumda konum verisi 90 gün saklanır.
Cihaz dili, saat dilimi
Cihaz modeli + işletim sistemi sürümü + IP (güvenlik & kilitlenme raporları)
Push bildirim tokenı (cihaz bazlı, yenilenebilir)
Google AdMob: cihaz reklam kimliği (AAID/IDFA), kullanıcı resetleyebilir
Google Play Billing / Apple App Store: abonelik satın alma jetonları (sunucu doğrulaması için)

1.6 Sistem & Denetim

Kilitlenme raporları (Sentry — anonimleştirilmiş)
API rate-limit kayıtları (7 gün)
Audit logs — hassas eylemler (silme, engelleme, şikayet) — 1 yıl

2. Toplamadığımız Veriler

❌ Telefon rehberi / kontaklar
❌ SMS / e-posta okuma
❌ Fotoğraf galerisi (sadece sizin seçtiğiniz görsel yüklenir, magic-byte ile doğrulanır)
❌ Sağlık verileri
❌ Finansal kart bilgileri (App Store/Play Store yönetir)
❌ Tarayıcı geçmişi / yüklü uygulama listesi
❌ Mikrofon / kamera (yalnız fotoğraf çekmeyi seçtiğinizde kullanılır, kayıt yapılmaz)

3. Verileri Nasıl Kullanırız

Amaç	Veri
Vardiya hesaplama ve takvim gösterimi	Sistem tercihleri, başlangıç tarihi
Cihazlar arası senkronizasyon	Hesap + uygulama verileri
Hava durumu	GPS konumu (anlık, Open-Meteo API)
Resmi tatil takvimi	Ülke kodu (Nager.Date API)
Vardiya hatırlatmaları	Yerel bildirim — sunucuya gönderilmez
İnsan arama (v2.0)	display_name, unique_user_id, company_name, job_title (yalnız `is_public=true` olan profillerde)
Akış ve sohbet (v2.0)	Gönderi içeriği, yorumlar, mesajlar, arkadaşlık grafiği
Topluluk moderasyonu (v2.0)	Şikayetler, engeller, audit logs
Reklamlar (ücretsiz sürüm)	Google AdMob reklam kimliği
Abonelik doğrulama	Google Play / App Store satın alma jetonu
Güvenlik & dolandırıcılık önleme	Cihaz bilgisi, IP, audit logs

Mesaj ve gönderi içeriği üçüncü taraflarla paylaşılmaz, reklam veya analiz için kullanılmaz. Bu içerikler yalnız uygulamanın çalışması için işlenir.

4. İçerik Görünürlüğü ve Sosyal Ağ Davranışı

4.1 Gönderi görünürlük seviyeleri

public — Uygulamadaki tüm kullanıcılar görür
friends — Yalnız kabul edilmiş arkadaşlarınız görür (varsayılan)
private — Yalnız siz görürsünüz

4.2 Engelleme (v2.0)

Bir kullanıcıyı engellediğinizde, ona ait gönderi, yorum ve mesajlar veritabanı seviyesinde sizden gizlenir (RLS). Engellenen kullanıcı sizinle yeni mesaj başlatamaz ve mevcut direkt sohbette mesaj atamaz. Engellediğiniz kullanıcıları Ayarlar → Gizlilik → Engelliler menüsünden yönetebilirsiniz.

4.3 Şikayet (v2.0)

Herhangi bir kullanıcı, gönderi, yorum, mesaj veya sohbet için şikayet (rapor) gönderebilirsiniz. Kategoriler: spam, taciz, nefret söylemi, müstehcen içerik, şiddet, kendine zarar, sahte hesap, yasa dışı içerik, diğer. Şikayetleriniz moderasyon ekibine düşer ve genellikle 72 saat içinde incelenir.

5. Üçüncü Taraf Servisler

Servis	Rol	Veri akışı
Supabase	Auth, veritabanı, Storage, Realtime	AB veri merkezi, TLS 1.3
Google Sign-In	OAuth kimlik doğrulama	E-posta, ad
Sign in with Apple (iOS)	OAuth kimlik doğrulama	Apple ID token (relay e-posta destekli)
Google AdMob	Reklam (yalnız ücretsiz sürüm)	AdId, IP
Google Play Billing	Abonelik ödemesi	Receipt token
Sentry	Kilitlenme raporu	Stack trace, anonim user id
Open-Meteo	Hava durumu	Kişisel veri toplamaz
Nager.Date	Resmi tatil takvimi	Kişisel veri toplamaz

6. Veri Saklama ve Silme Süreleri

Veri Tipi	Saklama Süresi
Hesap, profil, vardiya, izin, mesai, arkadaşlık, sohbet, gönderi	Hesap silinene kadar
Görseller (Storage)	İçerik silinene kadar
Engel kayıtları (`user_blocks`)	Siz kaldırana kadar
Şikayet kayıtları (`reports`)	1 yıl
GPS konum logları (Premium)	90 gün
Kilitlenme logları	90 gün
API logları	7 gün
Audit logları	1 yıl
Satın alma kayıtları	5 yıl (yasal)

6.1 Hesap silme

Uygulama içi: Ayarlar → Gizlilik → Hesabımı Sil. 30 günlük "soğuma" süresi içinde fikrinizi değiştirebilirsiniz. Süre sonunda:

Profil, vardiya, izin, mesai, arkadaşlık, beğeni, anket oyu kayıtlarınız kalıcı olarak silinir
Gönderi ve yorumlarınız silinir (siz hariç kimsenin görmediği private içerikler dahil)
Sohbet mesajlarınız anonimleştirilir ("silinmiş kullanıcı") — diğer üyelerin sohbet bütünlüğü korunur
Storage'daki görselleriniz silinir
Engel ve şikayet kayıtlarınız silinir
Cihaz bildirim tokenları iptal edilir

Doğrudan link: https://orjinal63.github.io/shiftmate-public/account_deletion.html

7. Güvenlik

Tüm ağ trafiği TLS 1.3 ile şifrelenir; production sürümünde Certificate Pinning aktif
Yerel hassas veriler AES-256 ile şifrelenir (Hive secure storage)
Token depolama: Android Keystore / iOS Keychain
Veritabanı, Postgres Row-Level Security (RLS) politikalarıyla satır seviyesinde korunur
Premium ekranlarda FLAG_SECURE: ekran görüntüsü ve ekran kaydı engellenir
Hesap aktivitesinde anormallik tespiti, rate limiting (7 günlük pencere)
Görsel yüklemelerde magic-byte doğrulaması, 8 MB sınırı, sadece izinli MIME türleri
Yıllık (planlı) üçüncü taraf güvenlik denetimi — OWASP MASVS L1+

8. Çocukların Gizliliği

Uygulama 13 yaşın altındaki çocuklara yönelik değildir. COPPA kapsamında bilinçli olarak veri toplamayız. 13–18 yaş arası kullanıcılar yasal veli onayı gerektirebilir; sosyal özelliklere erişim yaş kapısı arkasında olabilir.

9. Haklarınız (KVKK / GDPR / CCPA)

Aşağıdaki haklarınızı kullanabilirsiniz:

Erişim: Hakkınızda tutulan veriyi görmek
Düzeltme: Yanlış veriyi düzeltmek
Silme: "Unutulma hakkı"
Taşınabilirlik: Verinizi JSON/CSV olarak indirmek
İtiraz: Belirli işleme amaçlarına itiraz etmek
Kısıtlama: İşlemeyi geçici durdurmak
Onayı geri çekme: Verdiğiniz açık rızayı her an iptal etmek
CCPA özel: "Do Not Sell My Info" — biz hiçbir veriyi satmayız

Talep için: bahri9954@gmail.com. Yanıt süresi 30 gün.

10. Reklam ve İzleme

Ücretsiz sürümde Google AdMob banner ve ödüllü reklam gösterilir
Kişiselleştirilmiş reklam yalnız siz Google UMP (Avrupa) onayı verirseniz gösterilir
"Sınırlı reklam takibi" (Limit Ad Tracking) ayarınız onurlandırılır
Üçüncü taraf reklam ağlarına yönlendirme yoktur; reklamlar yalnız AdMob üzerinden
Çocuklara yönelik reklam gösterilmez (uygulama 18+ hedefi)

11. Uluslararası Veri Transferi

Sunucular AB (Frankfurt) bölgesindedir. Türkiye dışında veri işlenmesi durumunda KVKK aydınlatma yükümlülüğümüzü yerine getiririz. GDPR çerçevesinde uygun garantiler (Standard Contractual Clauses) altında transfer gerçekleştirilir.

12. Politika Değişiklikleri

Bu politikayı zaman zaman güncelleyebiliriz. Önemli değişiklikler:

Uygulama içi bildirim banner'ı ile duyurulur
30 gün önceden e-posta ile bilgilendirme yapılır (önemli değişiklikler için)
Eski sürümler GitHub'da arşivlenir

13. İletişim

Genel destek: bahri9954@gmail.com
Veri Sorumlusu (DPO): bahri9954@gmail.com
Geliştirici: bahri9954@gmail.com
Kullanım koşulları: https://orjinal63.github.io/shiftmate-public/terms_of_use.html
Hesap silme: https://orjinal63.github.io/shiftmate-public/account_deletion.html