Color the Picture LogoColor the Picture

Gizlilik ve KVKK Politikası

Son güncelleme: 21 Haziran 2026

Color The Picture (“biz”, “platform”, “site”), kişisel verilerinizin korunmasını en üst düzeyde önemser. Bu Gizlilik Politikası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve ABD Çocuk Çevrimiçi Gizlilik Koruma Kanunu (COPPA) uyarınca hangi verileri topladığımızı, nasıl kullandığımızı ve haklarınızı açıklar.

1. Veri Sorumlusu

Color The Picture platformu, hizmet sunumu sırasında işlenen kişisel verilerin veri sorumlusu sıfatıyla hareket eder. İletişim bilgileri sayfanın altında belirtilmiştir.

2. İşlenen Veri Kategorileri

2.1. Ebeveyn Hesap Verileri

  • E-posta adresi (kayıt, giriş, iletişim)
  • Ad ve soyad (opsiyonel — Google ile giriş’te otomatik alınır)
  • Şifrelenmiş parola (bcrypt hash — düz metin saklanmaz)
  • Hesap oluşturma tarihi, son giriş zamanı
  • IP adresi (oturum güvenliği + audit log)
  • Tarayıcı bilgisi / cihaz tipi
  • Abonelik durumu (Free / Premium tier’ları) ve ödeme sağlayıcı kimliği

2.2. Çocuk Profil Verileri

Önemli: Çocuk profilleri ebeveyn hesabı altında oluşturulur. Çocuktan doğrudan veri toplanmaz.

  • Takma ad (nickname — gerçek isim gerekli değildir)
  • Avatar (emoji veya yüklenen küçük resim)
  • Boyama puanları (CP — Color Points)
  • Seviye, kazanılan rozetler
  • Boyanmış eserler (galeride paylaşılanlar)
  • Yarım kalan taslaklar

2.3. Otomatik Toplanan Sistem Verileri

  • IP adresi (güvenlik + KVKK Madde 12 audit log)
  • Tarayıcı, işletim sistemi, dil tercihi
  • Sayfa görüntüleme, oturum süresi (Google Analytics — çerez onayına bağlı)
  • AI üretim kullanım istatistikleri (hangi tema, hangi tarih)

3. İşlenme Amaçları

Kişisel verilerinizi şu amaçlarla işleriz:

  1. Hizmet sunumu: Hesap oluşturma, giriş, çocuk profilleri yönetimi, boyama deneyimi, galeri paylaşımı.
  2. Abonelik yönetimi: Premium üyelik durumu, ödeme takibi, AI kredi bakiyesi.
  3. AI üretim: Photo-to-coloring + text-to-coloring özellikleri için Gemini API entegrasyonu (üçüncü taraf paylaşım — Bölüm 5).
  4. Güvenlik: Şüpheli aktivite tespiti, rate limit, brute-force koruması.
  5. Yasal yükümlülük: KVKK Madde 12 audit log, veri silme talepleri kayıt.
  6. Hizmet iyileştirme: Toplu (anonim) analitik, hata teşhisi.

4. Hukuki Sebepler

  • Açık rıza (KVKK Madde 5/1): Kayıt sırasında onayladığınız Açık Rıza Metni.
  • Sözleşmenin ifası (KVKK Madde 5/2-c): Premium aboneliği için ödeme ve hizmet sunumu.
  • Yasal yükümlülük (KVKK Madde 5/2-ç): Audit log saklama, vergi mevzuatı.
  • Meşru menfaat (KVKK Madde 5/2-f): Güvenlik ve sahtekarlık önleme.

5. Üçüncü Taraf Veri Aktarımı

Verileriniz şu üçüncü taraflara aktarılabilir (yurtdışı dahil):

Taraf Amaç Konum Veri Türü
Google Cloud (Gemini API) AI içerik üretimi (photo-to-coloring + tema önerisi + kalite kontrolü) ABD/AB Yüklenen fotoğraf (geçici, diske kaydedilmez — Bölüm 7) + tema metni
Google OAuth Hesap doğrulama (Google ile Giriş) ABD/AB E-posta, ad, profil resmi (silinmiş)
Google Analytics Site trafik analizi (çerez onayına bağlı) ABD/AB Anonim ziyaret istatistikleri
Lemon Squeezy Ödeme işlemleri + abonelik yönetimi ABD E-posta, ödeme bilgisi, fatura
Hetzner Cloud Sunucu altyapısı Almanya (AB) Tüm uygulama verisi

Tüm üçüncü taraflar GDPR uyumlu data processing agreement ile çalışır.

6. Veri Saklama Süreleri

Veri Saklama Süresi
Aktif hesap (ebeveyn + çocuk profilleri) Hesap silinene kadar
Çocuk profili silindiğinde Anında silinir (DB satırları + fiziksel eserler/taslaklar)
Hesap silindiğinde Anında silinir (tüm child profilleri + UGC + ödeme kayıtları)
Silme audit log (parent_data_deletions) 5 yıl (KVKK Madde 12 + vergi mevzuatı)
Veri indirme audit log (parent_data_exports) 5 yıl
Sistem logları (hata, güvenlik) 90 gün
Çerez bilgileri (analitik) Çerez politikasına bakınız

7. AI Üretim ve Fotoğraf İşleme

Photo-to-coloring özelliği için yüklediğiniz fotoğraflar:

  1. Sunucumuza yüklenmez — base64 inline olarak doğrudan Gemini API’a iletilir.
  2. Diske kaydedilmez — RAM içinde işlenir ve atılır.
  3. AI üretimden sonra silinir — Gemini API yanıtı geldikten sonra hiçbir kopya tutulmaz.
  4. Üretilen line-art — admin onayından sonra /uploads/images/ klasöründe site içeriği olarak saklanır.

Tema önerisi (AI Tema Üret) ve kalite kontrolü (Vision API) için gönderilen metin/resim de aynı şekilde geçici olarak işlenir.

8. Veri Sahibinin Hakları (KVKK Madde 11)

KVKK Madde 11 uyarınca aşağıdaki haklara sahipsiniz:

(a) Kişisel verilerinizin işlenip işlenmediğini öğrenme

İşleniyor — bu metin tüm işleme faaliyetlerini açıklar. Detay için /profile → “Ayarlar” → “Verilerimi İndir” ile JSON formatında tüm verilerinizi inceleyebilirsiniz.

(b) Hangi verilerin işlendiğini öğrenme

“Verilerimi İndir (JSON)” özelliği (GDPR Article 20 veri taşınabilirliği uyumlu): /profile → Ayarlar tab → “JSON Olarak İndir”. Hesabınıza ve tüm çocuk profillerinize ait tüm veri (eserler, taslaklar, rozetler) tek bir JSON dosyası olarak iner.

© İşlenme amacını öğrenme ve amaç dışı kullanılmadığını doğrulama

Bölüm 3’te detaylı listelendi. Bu liste dışında kullanım YAPILMAZ.

(d) Yurtiçinde veya yurtdışında aktarıldığı üçüncü kişileri öğrenme

Bölüm 5’te detaylı listelendi.

(e) Eksik veya yanlış işlenmişse düzeltme

/profile sayfasından profil bilgilerinizi (nickname, avatar) düzenleyebilirsiniz. E-posta veya parola değişikliği için bizimle iletişime geçin.

(f) KVKK 7. madde çerçevesinde silinmesini isteme — “Unutulma Hakkı”

İki seviye silme seçeneği:

  1. Tek çocuk profili sil: /profile → Ayarlar tab → “Çocuk Profilleri” → ilgili child’ın “Sil” butonu. O child’ın tüm eserleri, taslakları, rozetleri kalıcı olarak silinir.

  2. Tüm hesabı sil: /profile → Ayarlar tab → “Hesabımı Tamamen Sil” → parola onayı. Hesabınız, tüm çocuk profilleri ve hesabınıza bağlı tüm veriler kalıcı olarak silinir. Bu işlem geri alınamaz.

Silme işleminden önce “Verilerimi İndir” ile yedek almanızı öneririz.

(g) (e) ve (f) bentleri uyarınca yapılan işlemlerin aktarıldığı üçüncü kişilere bildirilmesini isteme

Hesap silinince Lemon Squeezy aboneliği otomatik iptal edilir (webhook üzerinden). Diğer üçüncü taraflara veri silme bildirimi anında yapılır.

(h) Münhasıran otomatik sistemlerle analiz edilmesine itiraz etme

AI üretim limit hesaplamaları (Free 5 deneme kredisi, Premium tier limitleri) otomatik karar mekanizmasıdır. Bu limitlere itiraz etmek için bizimle iletişime geçin.

(i) Hukuka aykırı işleme zararının giderilmesini talep etme

KVKK Madde 14 uyarınca veri sorumlusuna başvuru hakkına sahipsiniz.

Açık Rıza Geri Çekme — KVKK Madde 11(d) + GDPR Article 7(3)

Verilerinizin işlenmesi için verdiğiniz açık rızayı her zaman geri çekebilirsiniz:

/profile → Ayarlar tab → “Açık Rızamı Geri Çek” butonu (parola onayı gerekir).

Bu işlem:

  • Hesabınızı ve tüm verilerinizi kalıcı olarak siler (geri alınamaz)
  • Audit log’a consent_revoked olarak kaydedilir (KVKK Madde 12 zorunluluğu)
  • Aktif Premium aboneliğiniz varsa, önce Lemon Squeezy panelinden iptal etmeniz önerilir (otomatik webhook iptali ile çakışmamak için)

9. Veri Güvenliği (KVKK Madde 12)

Verilerinizi korumak için aldığımız teknik ve idari tedbirler:

  • Şifreleme: Parolalar bcrypt ile hash’lenir (12 round). İletim HTTPS/TLS üzerinden.
  • Erişim kontrolü: Veritabanına yalnız yetkili sistem yöneticileri erişebilir. Role-Based Access Control (RBAC) uygulanır.
  • Audit log: Tüm veri silme ve veri indirme işlemleri parent_data_deletions ve parent_data_exports tablolarında kayıt altına alınır (IP adresi, tarayıcı, tarih, kullanıcı snapshot). KVKK denetim için 5 yıl saklanır.
  • Güvenlik testleri: SQL Injection regression test paketi (tests/security/) ile her deployment öncesi otomatik kontrol.
  • Yedekleme: Sunucu verisi günlük yedeklenir (Hetzner Storage). Yedekler 30 gün saklanır, sonra silinir.
  • 3. taraf güvenliği: Tüm entegrasyonlar GDPR/KVKK uyumlu data processing agreement ile çalışır.

10. Çocuk Gizliliği (COPPA Uyumu)

Color The Picture COPPA (Children’s Online Privacy Protection Act §312) ve KVKK Madde 8 (çocuk verisi) uyumlu çalışır:

  • Hesaplar yalnız ebeveyn/yasal vasi (18+) tarafından açılır. Çocuk doğrudan hesap açamaz.
  • Çocuk profilleri ebeveyn hesabı altında oluşturulur (parent-child model).
  • Çocuğa doğrudan veri toplama yapılmaz — nickname ebeveyn tarafından seçilir.
  • Çocuk profillerinde e-mail, telefon, gerçek isim toplanmaz.
  • COPPA §312.6 kapsamında ebeveynin çocuk verilerini görme, silme hakkı vardır (bu metin Bölüm 8(b) + 8(f) referansları).

11. Çerezler

Çerez kullanımı için ayrı bir Çerez Politikası hazırlanmıştır.

12. Politika Değişiklikleri

Bu politikada yapılan önemli değişiklikler kayıtlı e-posta adresinize bildirilir. Değişiklik tarihi metnin başında ve sonunda belirtilir.

13. İletişim ve Şikayet

Verilerinizle ilgili sorularınız veya KVKK Madde 13 kapsamında başvurularınız için bizimle iletişime geçin. Veri Sorumlusuna başvuru:

  • E-posta: [iletişim e-postası]
  • Web: /iletisim (yakında)

Şikayetiniz çözülemezse Kişisel Verileri Koruma Kurumu’na (KVK Kurumu) başvurabilirsiniz.

Son güncelleme: 21 Haziran 2026
Yürürlük: 21 Haziran 2026

Color the Picture

© 2026 Tüm hakları saklıdır.

İletişim