6698 Sayılı KVKK

KVKK Aydınlatma Metni

Kişisel Verilerin Korunması Kanunu kapsamında veri işleme süreçlerimiz, haklarınız ve başvuru yöntemleri hakkında kapsamlı bilgilendirme.

Son Güncelleme: 28 Şubat 2026 | Yürürlük Tarihi: 28 Şubat 2026 | Sürüm: 2.0

Içindekiler

1. Veri Sorumlusu 2. Islenen Kisisel Veri Kategorileri 3. Islenme Amacları 4. Hukuki Sebepler (Md. 5) 5. Veri Aktarımı (Yurt Ici / Disi) 6. Saklama Süreleri 7. Özel Nitelikli Veri ve Otomatik Karar 8. Veri Güvenligi Tedbirleri 9. Veri Sahibinin Hakları (Md. 11) 10. Basvuru Usulü (Md. 13) 11. Basvuru Formu 12. Iletisim ve KVKK Kurulu

Giris

6698 Sayılı Kisisel Verilerin Korunması Kanunu ("KVKK") ve ilgili ikincil mevzuat uyarınca veri sorumlusu sıfatını haiz Kodrivo ("Kodrivo", "biz" veya "veri sorumlusu") olarak; TodoZap uygulaması ve todozap.com adresli web sitesi ("Hizmet") aracılıgıyla isledigimiz kisisel verilerinize iliskin sizleri aydınlatmak isteriz.

Bu Aydınlatma Metni; kisisel verilerinizin hangi amaçlarla ve hangi hukuki sebepler çerçevesinde islendigi, yurt ici ve yurt dısındaki üçüncü taraflarla nasıl paylasıldıgı, ne kadar süreyle saklandıgı ve KVKK'nın 11. maddesi kapsamında sahip oldugunuz haklar hakkında bilgi vermek amacıyla hazırlanmıstır.

Bu Aydınlatma Metni, Kullanım Kosulları ve Gizlilik Politikası ile birlikte uygulanmakta olup söz konusu belgelerle çeliski halinde Aydınlatma Metni'ndeki hükümler geçerlidir.

1. Veri Sorumlusu

KVKK'nın 3. maddesi uyarınca veri sorumlusu; kisisel verilerin islenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sistemini kuran ve yöneten gerçek veya tüzel kisiyi ifade etmektedir. TodoZap Hizmeti kapsamında veri sorumlusu asagıda belirtilen Kodrivo'dur.

Unvan

Kodrivo

Adres

Izmir, Türkiye

E-posta (KVKK Basvuru)

info@todozap.com

Web Sitesi

todozap.com

Not: Kodrivo, VKR (Veri Koruma Temsilcisi) ataması zorunlulugu dogduğunda derhal KVK Kurulu'na bildirim yapacaktır. Su itibarıyla zorunlu atama esigine ulasilmamıstır.

2. Islenen Kisisel Veri Kategorileri

TodoZap uygulaması kapsamında asagıdaki kategorilerde kisisel verileriniz islenebilmektedir. Her kategorinin yanında ilgili hizmet baglantısı ve toplanma yöntemi belirtilmistir.

2.1 Kimlik Verileri

Sözlesme
  • Ad, soyad (displayName): Hesap olusturma sırasında kullanıcı tarafından girilir; ekip üyeleri arasında görünür.

2.2 Iletisim Verileri

Sözlesme
  • E-posta adresi: Kayıt, giris, e-posta dogrulaması ve bildirimler için kullanılır.

2.3 Islem Güvenligi Verileri

Mesru Menfaat
  • Sifre (hashlenmis): Firebase Authentication tarafından bcrypt/scrypt ile kriptografik olarak hashlenerek saklanır; düz metin olarak hicbir sistemde bulunmaz.
  • FCM token: Cihaza özgü Firebase Cloud Messaging tokeni; anlık bildirim iletimi için kullanılır.
  • Cihaz parmak izi: Dolandırıcılık ve ücretsiz plan istismarını önlemek amacıyla cihaz kimliği türevidir; sunucuda hashlenip saklanır.
  • IP adresi ve islem logları: Yetkisiz erisim tespit amacıyla Firebase/Google altyapısı tarafından otomatik kaydedilir.
  • Hata ve çökme raporları (Crashlytics): Uygulama kararliliginin saglanması amacıyla anonimlestirilmis hata yigini verisi toplanır.

2.4 Müsteri Islem Verileri

Sözlesme
  • Abonelik planı: Ücretsiz, Personal Premium, Team veya Enterprise plan bilgisi.
  • Satın alma geçmisi: Apple App Store veya Google Play üzerinden gerceklestirilen uygulama içi satın alma kayıtları.
  • Islem kimlik numaraları (transactionId): Receipt dogrulama ve mükerrer islem kontrolü amacıyla saklanır.
Kredi kartı veya banka bilgileriniz hiçbir sekilde Kodrivo sunucularında saklanmamaktadır. Tüm ödemeler Apple Inc. ve Google LLC'nin güvenli ödeme altyapıları üzerinden islenmektedir.

2.5 Pazarlama Verileri

Açık Rıza
  • Referral kodu ve ödül bilgisi (isteğe baglı): Kullanıcı yalnızca referral programına katılmayı tercih ettiginde toplanır.

2.6 Görsel ve Isitsel Veriler

Açık Rıza
  • Profil fotografı (isteğe baglı): Yalnızca kullanıcı kendi iradesiyle yüklediginde Firebase Storage'da saklanır; ekip üyeleri tarafından görünür.
  • Ses transkripsiyonu (sesli görev özelligi): Kullanıcı talep ettiginde mikrofon izni alınır; ses verisi Gemini API'ye iletilerek metne dönüstürülür ve yalnızca islem süresince saklanır.

2.7 Kullanım Verileri

Mesru Menfaat
  • Görevler ve kategoriler: Kullanıcının olusturup düzenledigi içerik verileri; Firestore'da saklanır.
  • Pomodoro kayıtları ve istatistikler: Üretkenlik analizi amacıyla kullanıcıya özel olarak saklanır.
  • Basarımlar ve XP/seviye verileri: Gamification sistemi çerçevesinde kullanıcı profiline baglı saklanır.
  • Ekip üyeligi bilgileri: Workspace ve takım üyeligi, rol (kurucu/yönetici/üye) bilgileri.

2.8 Teknik Veriler

Mesru Menfaat
  • Cihaz modeli, isletim sistemi, uygulama sürümü: Hata ayıklama ve sürüm uyumlulugunun saglanması amacıyla toplanır.
  • Firebase Analytics verileri: Anonimlestirilmis kullanım istatistikleri; ürün gelistirme amacıyla degerlendirilir.

3. Kisisel Verilerin Islenme Amaçları

Toplanan kisisel verileriniz asagıdaki amaçlar dogrultusunda islenmektedir. Her amaç, ilgili hukuki dayanak ile iliskilendirilmistir:

Hizmet sunumu ve sürdürülmesi

Görev yönetimi, senkronizasyon ve ekip isbirliginin saglanması — Md. 5/2-c

Kimlik dogrulama ve hesap güvenligi

Yetkisiz erisimi önleme, giris dogrulaması — Md. 5/2-c

Abonelik ve ödeme yönetimi

Plan dogrulama, receipt kontrolü, abonelik iptali — Md. 5/2-c ve Md. 5/2-ç

Push bildirim ve hatırlatıcı gönderimi

Görev tarihi bildirimleri, ekip etkinlikleri — Md. 5/2-c

Ekip isbirliginin kolaylastirilması

Görev atama, duyuru ve aktivite akısı — Md. 5/2-c

Uygulama performansının iyilestirilmesi

Crashlytics ve analitik veriler aracılıgıyla hata giderme — Md. 5/2-f

Güvenlik tehdidi ve dolandırıcılık önleme

Cihaz parmak izi ile çoklu hesap istismarı kontrolü — Md. 5/2-f

Yasal yükümlülüklerin yerine getirilmesi

Vergi ve finansal kayıt yükümlülükleri (6102 sayılı TTK, VUK) — Md. 5/2-ç

Reklam gösterimi (yalnızca ücretsiz kullanıcılar)

Google AdMob aracılıgıyla kisilestirilmis reklam — Md. 5/1 Açık Rıza

Sesli komut isleme

Mikrofon izni alınarak sesli görev olusturma — Md. 5/1 Açık Rıza

4. Kisisel Verilerin Islenme Hukuki Sebepleri

KVKK'nın 5. maddesi uyarınca kisisel veriler ancak Kanun'da öngörülen hukuki sebeplere dayanılarak islenebilir. TodoZap, asagıdaki dört hukuki sebepten birini veya birkaçını esas alarak islem yapmaktadır:

KVKK Md. 5/2-c

Sözlesmenin Kurulması ve Ifası

Kullanıcının TodoZap hizmetinden yararlanabilmesi için zorunlu olan temel islemler bu kapsamda yürütülür: hesap olusturma, görev/kategori senkronizasyonu, abonelik planı dogrulama, ekip üyeligi, push bildirim iletimi ve müsteri destegi bu hukuki sebebe dayanır.

KVKK Md. 5/2-f

Mesru Menfaat

Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Kodrivo'nun mesru menfaatleri için zorunlu olan islemler bu kapsamdadır: güvenlik ve dolandırıcılık önleme, hata ayıklama (Crashlytics), uygulama performans analizleri ve anonimlestirilmis kullanım istatistikleri.

KVKK Md. 5/2-ç

Hukuki Yükümlülük

Türk vergi mevzuatı (213 sayılı VUK), Türk Ticaret Kanunu (6102 sayılı TTK) ve ilgili mali düzenlemeler gereğince satın alma kayıtları ve finansal islem verileri yasal saklama süresi boyunca muhafaza edilir.

KVKK Md. 5/1

Açık Rıza

Açık rızaya dayanan islemler yalnızca kullanıcının bilgilendirilip onayladıgı hallerde gerçeklestirilir ve rıza her zaman geri alınabilir. Bu kapsama giren islemler: kisilestirilmis reklam gösterimi (AdMob), sesli komut isleme (Gemini AI), referral programına katılım, isteğe baglı profil fotografı yükleme.

Rızanızı Geri Alma: Açık rıza gerektiren özellikler (reklam, ses isleme vb.) uygulama içi Ayarlar menüsünden veya info@todozap.com adresine e-posta göndererek devre dısı bırakılabilir.

5. Kisisel Verilerin Aktarıldıgı Taraflar

5.1 Yurt Ici Aktarım

Kisisel verileriniz herhangi bir yurt ici üçüncü tarafla paylasilmamaktadır. Ekip özelligi kapsamında ekip arkadaşlarınıza yalnızca sizin bilginiz dahilinde paylaştıgınız veriler (ad, görev içerikleri vb.) görünür hale gelir; bu durum sözlesmenin ifası kapsamında degerlendirilir.

5.2 Yurt Dısı Aktarım (KVKK Md. 9)

TodoZap, altyapı olarak ABD merkezli üçüncü taraf hizmet saglayıcılar kullanmaktadır. Bu aktarımlar KVKK'nın 9. maddesi kapsamında degerlendirilerek asagıdaki tedbirler çerçevesinde gerçeklestirilmektedir. Her bir aktarımın hukuki dayanagı açıkça belirtilmistir.

Google LLC — Firebase (ABD)
Sözlesme + Açık Rıza

Hizmetler: Firebase Auth, Firestore, Cloud Storage, FCM, Analytics, Crashlytics, App Check

Aktarılan Veri: Kimlik, iletisim, kullanım, güvenlik ve teknik veriler

Koruma Mekanizması: Google, GDPR uyumlu Standart Sözlesme Maddeleri (SCCs) uygulamaktadır. Firestore verileri AES-256 ile sifrelenmektedir.

Referans: Google Cloud DPA

Google LLC — AdMob (ABD)
Açık Rıza

Hizmetler: Uygulama içi reklam gösterimi (yalnızca ücretsiz kullanıcılar)

Aktarılan Veri: Reklam kimlimleri (IDFA/GAID), anonimlestirilmis kullanım verileri

Koruma Mekanizması: GDPR uyumlu SCCs; kullanıcı onayı alinmadan kisisellestirme yapılmaz.

Rızanızı Geri Alma: Uygulama Ayarları menüsünden kisisellestirmeyi kapatabilirsiniz.

Google LLC — Gemini AI (ABD)
Açık Rıza

Hizmetler: Sesli görev olusturmada ses-metin dönüstürme (speech-to-task parsing)

Aktarılan Veri: Yalnızca islem sırasında ses transkripsiyonu; kalıcı olarak saklanmaz.

Koruma Mekanizması: GDPR uyumlu SCCs; kullanıcı mikrofon iznini vermedikçe hiçbir ses verisi iletilmez.

Apple Inc. (ABD)
Sözlesme

Hizmetler: Apple Sign-In (kimlik dogrulama), App Store IAP (uygulama içi satın alma), APNs (bildirim)

Aktarılan Veri: Apple kimlik tokeni, receipt verileri, APNs cihaz tokeni

Koruma Mekanizması: Apple'ın GDPR uyumlu veri isleme anlasmalarına tabidir; Apple, receipt verilerini Kodrivo adına dogrular.

Referans: Apple Gizlilik Politikası

6. Kisisel Verilerin Saklama Süreleri

KVKK'nın 7. maddesi uyarınca kisisel veriler, islenmelerini gerektiren sebep ortadan kalktıgında silinmekte, yok edilmekte veya anonim hale getirilmektedir. Asagıdaki tabloda saklama süreleri ve hukuki dayanakları belirtilmistir:

Veri Türü Saklama Süresi Dayanak
Aktif hesap verileri Hesap aktif olduğu sürece Md. 5/2-c
Hesap silme sonrası 30 gün geri alma süresi, ardından kalıcı silme KVKK Md. 7
Pasif cihaz kayıtları (FCM) 30 gün Md. 5/2-f
Satın alma kayıtları 10 yıl VUK, TTK — Md. 5/2-ç
Crashlytics (hata logları) 30 gün Md. 5/2-f
Analytics verileri 14 ay Md. 5/2-f
Güvenlik ve denetim logları 1 yıl Md. 5/2-f
Ses transkripsiyonu (sesli görev özelligi) islem anında Gemini API'ye iletilir ve oturum tamamlandıktan sonra saklanmaz. Kodrivo sunucularında ses dosyası tutulmaz.

7. Özel Nitelikli Kisisel Veri ve Otomatik Karar

7.1 Özel Nitelikli Kisisel Veri (KVKK Md. 6)

KVKK'nın 6. maddesi kapsamında irk, etnik köken, siyasi düsünce, felsefi inanç, din, mezhep, kılık-kıyafet, dernek/vakıf/sendika üyeligi, saglık, cinsel hayat, ceza mahkumiyeti, biyometrik ve genetik veri niteliğindeki özel nitelikli kisisel veri TodoZap tarafından islenmemektedir.

Istisna — iOS Face ID / Touch ID: Biyometrik kimlik dogrulama özelligi kullanılırsa, bu islem tamamen cihaz üzerinde iOS'un Secure Enclave donanımı tarafından yürütülür. Biyometrik veri hicbir sekilde Kodrivo sunucularına veya Firebase'e iletilmez.

7.2 Otomatik Karar Alma ve Profil Olusturma

KVKK'nın 11/1-g maddesi kapsamında otomatik karar alma ve profil olusturma faaliyetleri asagıda açıkça belirtilmistir:

Abonelik limit kontrolleri

Görev/kategori/workspace limitlerinin asılıp asılmadıgına iliskin kontroller tamamen otomatik olarak yapılır. Bu karar dogrudan sözlesme geregine dayanır (Md. 5/2-c) ve plana uygun limit asiminda kullanıcıya uygulama içi bildirim gösterilir. Itiraz yöntemi: info@todozap.com

Kisisellestirilen reklam (AdMob)

Yalnızca açık rıza verilmis ücretsiz kullanıcılar için Google AdMob, kullanım verilerine dayalı profil olusturabilir. Bu profilleme münhasıran Google sistemleri tarafından yapılır; Kodrivo profillere dogrudan erisemez. Rızanızı geri çekerek profillemeyi durdurabilirsiniz.

8. Kisisel Verilerin Güvenligi (KVKK Md. 12)

KVKK'nın 12. maddesi uyarınca kisisel verilerinizin hukuka aykırı olarak islenmesini ve erisimini önlemek, verilerinizin güvenligini saglamak amacıyla asagıdaki teknik ve idari tedbirler alınmaktadır:

Tasıma Katmanı Sifrelemesi

Tüm Kodrivo-Firebase ve istemci-sunucu iletisimi TLS 1.2+ ile sifrelenir.

Duragan Veri Sifrelemesi

Firestore, Cloud Storage ve Firebase Auth verileri Google altyapısında AES-256 ile sifrelenerek saklanır.

Firebase Security Rules

Her Firestore koleksiyonuna erisim; kullanıcı kimlik dogrulaması ve rol dogrulaması ile kısıtlanmıstır.

Firebase App Check

Otomatik bot ve API istismarını önlemek amacıyla DeviceCheck / Play Integrity entegrasyonu aktiftir.

Minimum Yetki Ilkesi

Tüm Cloud Functions ve yönetici erisimi "en az yetki" prensibine uygun olarak yapılandırılmıstır.

Hashlenmis Kimlik Bilgileri

Kullanıcı sifresi Firebase Auth tarafından bcrypt/scrypt algoritmasıyla hashlenerek saklanır; düz metin asla tutulmaz.

Crashlytics Anonimizasyon

Hata logları görev iceriklerini veya kullanıcı verilerini içermeyecek sekilde filtrelenerek Firebase'e iletilir.

Ihlal Bildirimi

Kisisel veri ihlali tespitinde KVKK Md. 12/5 kapsamında en geç 72 saat içinde Kurul'a ve ilgili kisisel veri sahiplerine bildirim yapılır.

9. Veri Sahibinin Hakları (KVKK Madde 11)

KVKK'nın 11. maddesi uyarınca ilgili kisi sıfatıyla sahip oldugunuz haklar asagıda detaylı biçimde açıklanmıstır. Bu haklarınızı kullanmak için "10. Basvuru Usulü" bölümündeki kanalları kullanabilirsiniz.

a

Isleme Durumunu Öğrenme

Kisisel verilerinizin islenip islenmedigini öğrenme hakkı. Basit bir talep mektubu ile hangi kategorilerde veri tutuldugu öğrenilebilir.

b

Islenirse Bilgi Talep Etme

Islenmisse buna iliskin bilgi talep etme hakkı. Hangi verinin, ne zaman, hangi kaynaktan toplandıgına dair bilgi edinebilirsiniz.

c

Islenme Amacı ve Amaca Uygunlugu Öğrenme

Kisisel verilerin isleme amacını ve amacına uygun kullanılıp kullanılmadıgını öğrenme hakkı.

ç

Aktarılan Üçüncü Kisisel Öğrenme

Yurt içinde veya yurt dısında kisisel verilerin aktarıldıgı üçüncü kisileri öğrenme hakkı.

d

Düzeltme Talep Etme

Eksik veya yanlış islenmis kisisel verilerin düzeltilmesini isteme hakkı. Ad/soyad ve e-posta gibi veriler uygulama içi profil sayfasından da güncellenebilir.

e

Silme veya Yok Etme Talep Etme

KVKK'nın 7. maddesinde öngörülen sartlar çerçevesinde kisisel verilerin silinmesini veya yok edilmesini isteme hakkı. Tam hesap silme islemi uygulama içi "Hesabı Sil" seçenegiyle de yapılabilir.

f

Isleme Bildirimine Iliskin Üçüncü Kisi Bildirimi

Düzeltme ve silme islemlerinin kisisel verilerin aktarıldıgı üçüncü kisilere bildirilmesini isteme hakkı.

g

Otomatik Karar Sonucuna Itiraz

Münhasıran otomatik sistemlerle analiz sonucunda aleyhine bir sonuç dogması halinde itiraz etme hakkı. Konu: abonelik limit kararları veya AdMob profilleme. Itiraz adresi: info@todozap.com

h

Zarar Halinde Tazminat Talep Etme

KVKK'ya aykırı islenme nedeniyle zarara ugrama halinde zararın giderilmesini talep etme hakkı.

10. Basvuru Usulü (KVKK Madde 13)

KVKK'nın 13. maddesi ile Veri Sahiplerinin Basvuru Usul ve Esasları Hakkında Teblig uyarınca yukarıdaki haklarınızı kullanmak amacıyla Kodrivo'ya asagıdaki yöntemle basvurabilirsiniz:

E-posta ile Basvuru

E-posta: info@todozap.com

Konu satırı: "KVKK Basvurusu — [Talep Türü]"

Basvuruda Bulunması Zorunlu Bilgiler

1. Ad ve soyad
2. T.C. kimlik numarası (yabancı uyruklu ise pasaport veya kimlik belgesi numarası)
3. Tebligata esas yerlesim yeri veya is yeri adresi
4. TodoZap hesabınıza kayıtlı e-posta adresi
5. Varsa telefon ve faks numarası
6. Talep konusu (hangi hakkı kullanmak istediginiz)
Kimlik Dogrulama: Basvurunuzu alan Kodrivo, güvenliginizi saglamak amacıyla kimlik dogrulaması yapabilir. Bu dogrulama; e-posta adresi eslesme kontrolü, kayıtlı hesap verileriyle karsilastırma veya gerekli hallerde kimlik belgesi talebi seklinde gerçeklesebilir.
Yanıt Süresi: Basvurunuz en geç 30 (otuz) takvim günü içinde sonuçlandırılacaktır. Basvurunun ayrıca bir maliyet gerektirmesi halinde Kisisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret alınabilir. Basit basvurular ücretsizdir.
Basvurunun Reddi veya Yetersiz Yanıt: Basvurunuzun reddedilmesi, verilen yanıtın yetersiz bulunması veya süresinde yanıt verilmemesi hallerinde; yanıtın tebliginden itibaren 30 gün ve her halükarda basvuru tarihinden itibaren 60 gün içinde Kisisel Verileri Koruma Kurulu'na sikayet hakkınız saklıdır.

11. KVKK Basvuru Taslağı

Asagıdaki e-posta taslağını kopyalayıp info@todozap.com adresine göndererek basvurunuzu iletebilirsiniz. Köse parantez içindeki alanları kendi bilgilerinizle doldurunuz.

Konu: KVKK Basvurusu — [Talep Türü, örn: Veri Silme / Bilgi Talep Etme]

Sayın Kodrivo,


6698 sayılı KVKK'nın 11. maddesi kapsamında asagıdaki basvuruyu yapmaktayım:


Ad Soyad: [Ad Soyad]

T.C. Kimlik No / Pasaport No: [Numara]

Adres: [Adres]

TodoZap E-posta: [Hesabınızdaki e-posta]

Telefon (isteğe baglı): [Telefon]


Talep: [Açıklama — örn: Md. 11/e kapsamında kisisel verilerimin silinmesini talep ediyorum.]


Gereğini arz ederim.

[Tarih]

[Ad Soyad ve Imza]

E-posta Basvurusu Gönder Hesabımı Sil

12. Iletisim ve KVKK Kurulu

KVKK kapsamındaki haklarınızı kullanmak veya veri isleme faaliyetlerimiz hakkında sorularınız için öncelikle Kodrivo ile iletisime geçmenizi tavsiye ederiz:

Veri Sorumlusu Kodrivo
Adres Izmir, Türkiye
E-posta info@todozap.com
Web todozap.com

Kisisel Verileri Koruma Kurulu'na Sikayet

Basvurunuzun yanıtsız kalması, reddedilmesi veya yetersiz bulunması halinde Kisisel Verileri Koruma Kurulu'na sikayet hakkına sahipsiniz:

Web: www.kvkk.gov.tr

Adres: Nasuh Akar Mahallesi, Ziyabey Cad. 1407. Sok. No:4, 06520 Çankaya / Ankara

Bu Aydınlatma Metni en son 28 Subat 2026 tarihinde güncellenimstir. Uygulamada veya hizmetlerimizde gerçeklestirilecek degisiklikler nedeniyle bu metin periyodik olarak revize edilebilir. Güncelleme durumunda yeni metin todozap.com/kvkk.html adresinde yayımlanır ve önemli degisiklikler için kullanıcılar e-posta veya uygulama içi bildirimle bilgilendirilir.