Gizlilik Politikası

• Hesap bilgileri: ad-soyad, e-posta, parola (kriptografik özet olarak), profil fotoğrafı.

• Telefon: doğrulama amacıyla; doğrulanan numara hesabına bağlanır.

• Dans profili: ev şehri, dans rolü, seviye, çalıştığın stiller, sosyal medya kullanıcı adları (Instagram/TikTok/YouTube — opsiyonel).

• Bilet & ödeme: satın aldığın bilet, ödeme metaverisi (tutar, durum), Iyzico üzerinden tahsil edilen ödemenin işlem kimliği. Kart bilgisi BİZE iletilmez, doğrudan Iyzico'da saklanır.

• Kayıt & yoklama: dans okulu kayıtları, seans katılım durumu, eğitmen tarafından girilen yoklama.

• İletişim & sosyal: mesajlaşma içerikleri, partner aramalar, takip ettiğin organizatör/persona, yıldız değerlendirmeleri.

• Cihaz bilgileri: işletim sistemi sürümü, push notification token'ı, IP adresi (oturum logları için), dil tercihi.

• Hesabını oluşturmak ve giriş yapabilmen.

• Etkinlik / kurs satışlarını yürütmek, biletleri vermek, QR doğrulama yapmak.

• Dans okulu üyelikleri için Iyzico aracılığıyla aylık tahsilat ve fatura kesimi (Merchant of Record).

• İçerik moderasyonu, hesap güvenliği, suistimal tespiti.

• Yasal yükümlülüklerin (vergi, e-Arşiv fatura, denetim) yerine getirilmesi.

• Aboneliğin/biletinin durumu, partner eşleşmesi, festival hatırlatması gibi push & e-posta bildirimleri.

• Sadece açık rızanla pazarlama / duyuru iletişimi.

• Sözleşmenin kurulması ve ifası: bilet/kayıt akışları, üyelik.

• Hukuki yükümlülük: fatura, KVKK / GDPR aydınlatma & saklama.

• Meşru menfaat: güvenlik, suistimal tespiti, hizmet iyileştirme.

• Açık rıza: pazarlama iletişimi, hassas veri (telefon ile doğrulama).

• Iyzico (Iyzi Ödeme A.Ş.) — ödeme tahsilatı, kart saklama. iyzico.com

• NetGSM — SMS doğrulama kodları gönderimi. netgsm.com.tr

• Cloudflare Inc. — sunucu altyapısı (Workers + R2 medya depolama).

• Neon — veritabanı barındırma (AB veri merkezi).

• Apple, Inc. ve Google LLC — uygulama dağıtımı + push (APNs / FCM).

• e-Arşiv hizmet sağlayıcı (Paraşüt veya benzeri) — yasal fatura.

Tüm işleyenlerle veri işleme sözleşmesi yapılmıştır. Veriler yalnızca hizmet sağlama amacıyla paylaşılır.

Cloudflare ve Apple/Google altyapısı bazı verilerin yurtdışında işlenmesini gerektirir. Aktarımlar KVKK m. 9 kapsamında yapılır; AB için Standart Sözleşme Maddeleri (SCCs) uygulanır.

• Hesap verileri: hesap silinene kadar.

• Bilet & ödeme: vergi mevzuatı gereği 10 yıl.

• Mesajlaşma: hesap silinene kadar; her iki taraf hesabı silinirse otomatik anonimleştirilir.

• Loglar (oturum, hata, audit): 90 gün.

• Hesap silindikten sonra, yasal saklama yükümlülüğü olmayan veriler 30 gün içinde silinir.

Her kullanıcının; kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse bilgi talep etme, amacına uygun kullanılıp kullanılmadığını öğrenme, yurtiçi/yurtdışı aktarıldığı tarafları bilme, eksik/yanlış verilerin düzeltilmesini ve kanun şartlarında silinmesini isteme, bu işlemlerin aktarıldığı taraflara bildirilmesini isteme, otomatik sistemlerle yapılan analizlere itiraz etme, ve kanuna aykırı işleme sonucunda zarar gördüyse tazmin isteme hakkı vardır.

GDPR kapsamı: ek olarak veri taşıma (Art. 20) ve denetleyici otoriteye (KVKK Kurumu / yerel veri koruma otoritesi) şikayet hakkı.

Talepleriniz için: privacy@lativa.app

Mobil uygulama çerez kullanmaz. Admin paneli yalnızca oturum çerezi (`session`) kullanır — KVKK m. 5(2)(c) sözleşmenin ifası için zorunlu.

Verileriniz TLS 1.3 ile iletilir, veritabanı şifrelenmiş diskte tutulur, parolalar PBKDF2-SHA256 (100k iterasyon) ile özetlenir, telefon doğrulama kodları SHA-256 ile hashlenir.

Lativa 16 yaş altı kullanıcılar için tasarlanmamıştır. 16 yaş altı bir kullanıcının veri verdiğini fark edersek hesabı silip verileri kaldırırız.

Bu politikada önemli bir değişiklik yapıldığında uygulama içinde bildirim göstereceğiz. Yeni sürüm için tekrar açık rıza isteyebiliriz.

Veri sorumlusu: Lativa Teknoloji [tüzel kişilik bilgileri taslak — lansman öncesi tamamlanacak]

E-posta: privacy@lativa.app

KVKK / aydınlatma metni soruları için: kvkk@lativa.app