Gizlilik Politikası

📋 Hakkında

Bu Gizlilik Politikası, OTÜ Cep uygulamasının (Android, iOS ve Web platformlarında dev.akpinar.otucep uygulama kimliğiyle yayımlanan) hangi kişisel verileri topladığını, bu verilerin nasıl kullanıldığını, saklandığını ve korunduğunu açıklamaktadır.

Uygulamayı kullanarak bu politikayı kabul etmiş sayılırsınız. Politikayı kabul etmiyorsanız uygulamayı kullanmayı bırakmanızı ve hesabınızı silmenizi öneririz.

İçindekiler

1. Toplanan Veriler 2. Cihaz İzinleri 3. Verilerin Kullanımı 4. Üçüncü Taraf Hizmetler 5. Veri Saklama ve Güvenlik 6. Veri Paylaşımı 7. Çocukların Gizliliği 8. Haklarınız 9. Çerezler ve Önbellekleme 10. Politika Değişiklikleri 11. İletişim

📦 1. Toplanan Veriler

Uygulama aşağıdaki kategorilerde veri toplamaktadır:

1.1 Kimlik ve İletişim Bilgileri

Veri	Kaynak	Zorunlu?
Ad — Soyad	Google / Microsoft OAuth	Evet
E-posta adresi	Google / Microsoft OAuth	Evet
Telefon numarası	Kullanıcı girer (profil)	Evet
Öğrenci / Personel kimlik no	Kullanıcı girer (profil)	Evet
Fakülte ve bölüm	Kullanıcı girer (profil)	Evet
Araç plaka numarası	Kullanıcı girer (otopark)	İsteğe bağlı
Ofis odası (personel/öğretmen)	Kullanıcı girer (profil)	İsteğe bağlı
Profil fotoğrafı	Kullanıcı yükler	İsteğe bağlı

1.2 Konum Verileri

Veri	Nasıl?	Sürekli mi?
Hassas konum (GPS)	OtuFix sorun bildirimi — yalnızca izin verildiğinde, tek seferlik	Hayır
Kabaca konum (WiFi BSSID)	Kütüphane doluluk tespiti — arka planda 30 dk'da bir	Evet (aktifken)

⚠️ WiFi BSSID verisi yalnızca hangi erişim noktasına bağlı olduğunuzu (bina içi konum) tespit etmek amacıyla kullanılır; fiziksel GPS konumunuz değildir. Konum servisi kapalıysa bu özellik devre dışı kalır.

1.3 Kullanıcı İçeriği

Fotoğraf / Video: OtuFix sorun fotoğrafı, OtüSocial gönderileri, Pazar ilan görselleri, profil fotoğrafı
Metin içerikleri: OtüSocial gönderileri ve yorumları, Pazar ilanları, kayıp eşya bildirimleri, geri bildirim formları
Destek verileri: OtuFix sorun açıklamaları ve kategorileri

1.4 Finansal ve İşlem Verileri

Sipariş geçmişi: Yemekhane siparişleri (içerik, tutar, tarih)
Cüzdan işlemleri: Para yükleme ve harcama geçmişi, bakiye bilgisi
Ödeme referansı: EsnekPos işlem numarası (kart/banka bilgisi asla saklanmaz)

1.5 Teknik ve Kullanım Verileri

Kullanıcı kimlik numarası (user_id)
Giriş tarihi ve saati, JWT token geçerlilik süresi
API erişim logları (IP adresi, istek zamanı, endpoint) — sunucu güvenliği amaçlı
Spor salonu giriş/çıkış zamanları ve seans süreleri
Kütüphane çalışma odası rezervasyon kayıtları

📱 2. Cihaz İzinleri

📷

Kamera android.permission.CAMERA

QR kod tarama (spor salonu giriş/çıkış, yemekhane sipariş teslimi) ve OtuFix / OtüSocial / Pazar için fotoğraf çekimi. Kamera yalnızca siz açtığınızda etkinleşir; arka planda asla çalışmaz. Görüntüler yalnızca siz onayladıktan sonra sunucuya gönderilir.

📍

Konum ACCESS_FINE_LOCATION

OtuFix sorun bildirimi için konumunuzu otomatik doldurmak amacıyla yalnızca siz izin verdiğinizde ve tek seferlik alınır. Arka planda sürekli konum takibi yapılmaz. Kütüphane WiFi doluluk özelliği için Android'de konum servisi açık olmalıdır (BSSID okuma gerekliliği).

📶

WiFi Bilgisi ACCESS_WIFI_STATE

Bağlı olduğunuz WiFi erişim noktasının BSSID değeri okunarak kütüphane doluluk tahmini yapılır. Bu veri yalnızca kütüphane içinde olup olmadığınızı anlamak için kullanılır; kimseyle paylaşılmaz.

🖼️

Galeri / Medya READ_MEDIA_IMAGES

Profil fotoğrafı, OtuFix sorun görseli, Pazar ilanı ve OtüSocial gönderisi için galeriden fotoğraf seçimi. Yalnızca siz seçtiğiniz fotoğraflar sunucuya yüklenir.

🔔

Bildirimler POST_NOTIFICATIONS

Sınav hatırlatıcıları, yemekhane fırsatları, OtuFix güncellemeleri, duyurular ve randevu hatırlatmaları için yerel bildirim gösterimi. Kategori bazlı uygulama içi tercihlerden kapatılabilir.

🎯 3. Verilerin Kullanımı

Toplanan veriler yalnızca aşağıdaki amaçlarla kullanılır:

Üniversite kimliğini doğrulamak ve hesap oluşturmak
Yemekhane, otopark, kütüphane, spor salonu gibi kampüs hizmetlerine erişim sağlamak
Sınav, ders programı ve akademik takvim bilgilerini kişiselleştirmek
OtüSocial ve Pazar gibi kullanıcı içerik platformlarını işletmek
Dijital cüzdan ve ödeme işlemlerini gerçekleştirmek
Push bildirimlerini kişiselleştirmek (yalnızca tercih ettiğiniz kategoriler)
Kütüphane doluluk tahminleri oluşturmak (toplu ve anonim analiz)
OtuFix sorun bildirimlerini ilgili birimlere iletmek
Sunucu güvenliğini ve hizmet sürekliliğini sağlamak

Verileriniz reklam amacıyla kullanılmaz, profil oluşturmada kullanılmaz, üçüncü taraflara satılmaz.

🔗 4. Üçüncü Taraf Hizmetler

Uygulama aşağıdaki üçüncü taraf hizmetleri kullanmaktadır. Bu hizmetlerin kendi gizlilik politikaları geçerlidir:

Google Sign-In (Google LLC)

Google hesabıyla giriş için kullanılır. Google, kimlik doğrulama sürecinde ad, e-posta ve profil fotoğrafı bilgilerinizi bize iletir. Google'ın veri işleme şartları Google'ın politikasına tabidir.

Google Gizlilik Politikası →

Microsoft Azure Active Directory (Microsoft Corporation)

OSTİM Teknik Üniversitesi Microsoft kurumsal hesabıyla giriş için kullanılır. PKCE + HMAC-SHA256 güvenlik protokolleriyle OAuth2 akışı gerçekleştirilir. Microsoft, kimlik doğrulama verilerini kendi politikasına göre işler.

Microsoft Gizlilik Politikası →

EsnekPos (Ödeme Altyapısı)

Dijital cüzdan para yükleme işlemleri için kullanılır. Kart ve banka bilgileri tamamen EsnekPos altyapısında işlenir; uygulamamızın sunucularına hiçbir ödeme kartı verisi ulaşmaz. Apple App Store açıklamasında belirtildiği üzere bu veriler "collected" kapsamı dışındadır.

EsnekPos →

EGO Genel Müdürlüğü

Otobüs varış bilgileri EGO'nun herkese açık web sitesinden anlık olarak çekilir. Bu işlemde kullanıcıya ait hiçbir veri EGO'ya iletilmez.

ego.gov.tr →

Uygulama; reklam ağı, analitik SDK (Firebase, Mixpanel vb.) veya veri satıcısı içermemektedir. Push bildirimleri Firebase'siz, kendi altyapımızla çalışmaktadır.

🛡️ 5. Veri Saklama ve Güvenlik

Nerede Saklanıyor?

Tüm veriler, Türkiye'de bulunan Kubernetes altyapısında (206.168.213.206) PostgreSQL veritabanında saklanmaktadır. Cloudflare Tunnel üzerinden TLS 1.3 şifreli bağlantı zorunlu tutulmaktadır.

Güvenlik Önlemleri

JWT Token: Cihazınızda iOS Keychain / Android Keystore içinde şifreli saklanır
Şifre: Uygulama kendi şifre sistemi kullanmaz; yalnızca OAuth2 ile giriş yapılır
TLS 1.3: Tüm API trafiği Cloudflare üzerinden şifreli taşınır
SQL Injection: SQLAlchemy ORM ile parametrik sorgular; ham SQL kullanılmaz
Rate Limiting: Tüm endpoint'lerde DDoS ve brute-force koruma
PKCE + HMAC: OAuth2 akışlarında CSRF koruması
Kubernetes Secrets: Tüm kimlik bilgileri (DB şifresi, API key vb.) şifreli inject edilir; kaynak kodunda yoktur

Ne Kadar Süre Saklanıyor?

Veri Türü	Saklama Süresi
Hesap bilgileri (ad, e-posta, telefon)	Hesap silinene kadar
OtüSocial gönderiler ve yorumlar	Hesap silinene kadar (soft-delete)
Sipariş ve cüzdan geçmişi	Hesap silinene kadar
OtuFix bildirimleri	Çözümlendikten sonra 1 yıl (soft-delete)
Sunucu erişim logları	90 gün
JWT token (cihaz)	7 gün (otomatik geçersizleşir)

🚫 6. Veri Paylaşımı

Kişisel verileriniz aşağıdaki durumlar dışında hiçbir üçüncü tarafla paylaşılmaz:

Zorunlu hukuki yükümlülük: Türk hukuku veya mahkeme kararı gereği talep edilmesi halinde
Üniversite birimleri: OtuFix bildirimleri ilgili teknik birimlere iletilir (ad-soyad içerebilir)
OAuth sağlayıcıları: Giriş akışında Google / Microsoft ile minimum düzeyde kimlik verisi paylaşılır
Ödeme işlemcisi: EsnekPos ile yalnızca işlem referans numarası paylaşılır (kart verisi değil)

Verileriniz reklam şirketlerine, veri komisyoncularına veya analitik platformlara hiçbir şekilde iletilmez.

👶 7. Çocukların Gizliliği

OTÜ Cep yalnızca üniversite öğrencileri, öğretim üyeleri ve personeline yönelik olup 18 yaşından küçük bireylere yönelik değildir. 18 yaş altı kullanıcılara ait verilerin toplanmadığına inanıyoruz. Eğer böyle bir durum tespit ederseniz lütfen bizimle iletişime geçin; söz konusu veriler derhal silinecektir.

⚖️ 8. Haklarınız

KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında aşağıdaki haklara sahipsiniz:

📋

Bilgi Edinme

Hakkınızda hangi verilerin toplandığını öğrenme hakkı

✏️

Düzeltme

Yanlış veya eksik verilerin düzeltilmesini talep etme

🗑️

Silme

Hesabınızı ve tüm verilerinizi kalıcı olarak silme

📤

Veri Taşıma

Verilerinizin taşınabilir formatta kopyasını alma

🚫

İtiraz

Veri işleme faaliyetlerine itiraz etme hakkı

⏸️

Kısıtlama

Belirli veri işleme faaliyetlerinin kısıtlanmasını talep etme

Haklarınızı kullanmak için [email protected] adresine yazabilir ya da hesap silme sayfasını kullanabilirsiniz. Talepler en geç 30 gün içinde yanıtlanır.

🍪 9. Çerezler ve Önbellekleme

Mobil uygulama çerez kullanmaz. Uygulama içi önbellekleme şu teknolojilerle yapılır:

SharedPreferences / UserDefaults: Dil tercihi, tema, TTL önbelleği (menü, duyurular vb.)
flutter_secure_storage: Yalnızca JWT token — iOS Keychain / Android Keystore ile şifreli

Web uygulaması (otucep.akpinar.dev) için standart tarayıcı önbelleği kullanılır; izleme çerezi bulunmaz.

🔄 10. Politika Değişiklikleri

Bu politikada önemli değişiklik yapıldığında uygulama içi bildirim veya e-posta yoluyla bilgilendirilirsiniz. Güncel politika her zaman otucep.akpinar.dev/privacy adresinde yayımlanır.

Politika değişikliklerinin yürürlük tarihi sayfa başındaki "Son Güncelleme" alanında belirtilir.

📬 11. İletişim

Gizlilik politikamız veya kişisel verilerinizle ilgili her türlü soru ve talep için:

Geliştirici: Anıl Akpınar
E-posta: [email protected]
Destek sayfası: otucep.akpinar.dev/destek
Hesap silme: otucep.akpinar.dev/hesap-silme
Uygulama: otucep.akpinar.dev

KVKK kapsamındaki başvurularınız için yazılı taleplerinizi yukarıdaki e-posta adresine iletebilirsiniz.