VIOVELLA AI — Gizlilik & KVKK

Son güncelleme: 1 Mayıs 2026 • Yürürlük: 1 Mayıs 2026

Bu metin, VIOVELLA AI ("Uygulama", "Hizmet", "biz") tarafından işletilen yapay zekâ destekli dijital stilist hizmeti kapsamında kişisel verilerinizin nasıl toplandığını, işlendiğini, saklandığını ve korunduğunu açıklar. Bu doküman aynı zamanda 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) madde 10 uyarınca aydınlatma yükümlülüğümüzü yerine getirmek, Avrupa Birliği'nde ikamet eden kullanıcılar için GDPR (2016/679) madde 13/14 çerçevesinde bilgi vermek üzere hazırlanmıştır.

1. Veri Sorumlusu Kimliği

Veri Sorumlusu: NexArt Labs (VIOVELLA AI uygulamasını işleten)
İletişim: info@viovella.com
KVKK/GDPR Başvuru: info@viovella.com

2. İşlenen Kişisel Veri Kategorileri

Hizmetin niteliği gereği aşağıdaki veri kategorilerini işleriz:

Kategori	Örnek Veriler	Hukuki Dayanak
Kimlik / İletişim	Ad (opsiyonel), e-posta adresi, Firebase UID	Sözleşmenin ifası (KVKK m.5/2-c, GDPR m.6/1-b)
Hesap / Kullanım	Abonelik durumu, kredi bakiyesi, satın alma geçmişi, son giriş zamanı, cihaz parmak izi (anti-fraud)	Sözleşmenin ifası & meşru menfaat (KVKK m.5/2-c, m.5/2-f)
Görsel / Biyometrik (Özel Nitelikli)	Yüklediğiniz fotoğraflar (yüz, saç, vücut), AI tarafından üretilen çıktı görselleri	Açık rıza (KVKK m.6/2, GDPR m.9/2-a)
Teknik / Loglar	IP adresi (oturum bazlı), tarayıcı/cihaz bilgisi, hata kayıtları, AI istek kayıtları	Meşru menfaat, hukuki yükümlülük (KVKK m.5/2-f, GDPR m.6/1-f)
Ödeme	Abonelik durumu (kart bilgisi VIOVELLA'ya hiç ulaşmaz — Apple/Google/RevenueCat işler)	Sözleşmenin ifası
Butik — Vitrin & Kabin	Ürün görselleri ve kodları, müşteri tam boy fotoğrafı, sanal deneme çıktıları, müşteri adı ve isteğe bağlı telefon (CRM)	Sözleşmenin ifası; özel nitelikli görsellerde açık rıza (KVKK m.6/2, GDPR m.9/2-a)

2.1 Özel Nitelikli (Biyometrik) Veri Uyarısı

Yüklediğiniz yüz, saç ve vücut fotoğrafları KVKK madde 6 kapsamında "özel nitelikli kişisel veri" olabilir. Bu veriler yalnızca sizin açık rızanızla işlenir; reklam, profil oluşturma veya üçüncü kişilerle paylaşma amacıyla kesinlikle kullanılmaz. AI görsel üretimi tamamlandıktan sonra kaynak görseller kendi hesabınızın izole klasöründe saklanır; başka kullanıcıların erişimi yoktur (Firestore + Storage güvenlik kuralları).

2.2 Kurumsal hesap: Vitrin & Kabin

Butik (işletme) paketi kapsamında Vitrin & Kabin özelliğini kullandığınızda, mağaza vitrininize yüklediğiniz ürün görselleri ve ürün kodları, kabinde müşteri denemesi için kullanılan fotoğraflar, yapay zekâ ile üretilen deneme sonuçları ve müşteri kaydına eklediğiniz ad / isteğe bağlı telefon Firebase üzerinde hesabınıza özel güvenlik kuralları ile saklanır. Kabine ilişkin oturum verileri, uygulama içinde size bildirilen gün sayısıyla sınırlı tutulur. Tekrarlayan denemelerde yalnızca sizin tarayıcınızda, kısa süreli IndexedDB önbelleği kullanılabilir; bu önbellek sunucuya aktarılmaz ve tarayıcı verilerini silmek veya kabinde yeni oturum başlatmakla kaldırılabilir. Müşteri verisini işleyen işletme, kendi müşterisine karşı KVKK ve ilgili mevzuattan doğan aydınlatma ve hukuki dayanak yükümlülüklerinden sorumludur.

3. İşleme Amaçları

Hizmetin sunulması: AI kombinleme, saç/makyaj simülasyonu, düğün provası gibi modüllerin çalıştırılması.
Hesap yönetimi, oturum güvenliği, App Check ile bot/sahtekârlık koruması.
Abonelik ve kredi yönetimi (RevenueCat entegrasyonu).
Performans ve hata izleme (anonimleştirilmiş Sentry log'ları).
Yasal yükümlülüklerin yerine getirilmesi (mali, vergisel, resmi makam talepleri).
Kurumsal paketlerde: vitrin yönetimi, mağazada sanal deneme (try-on), müşteri CRM kayıtlarının saklanması ve gösterilmesi.

4. Yapay Zekâ İşleme ve Otomatik Karar Verme

VIOVELLA, Google Gemini modelini kullanarak yüklediğiniz görseller üzerinde otomatik görsel üretim gerçekleştirir. Bu, otomatik karar verme (GDPR m.22) kapsamında hukuki veya benzer şekilde önemli etki yaratmaz — üretilen çıktılar yalnızca dijital stil önerisidir. İşleme sadece yüklediğiniz görseller üzerinde çalışır; AI modelinin eğitiminde veriniz kullanılmaz (Google Gemini API "no data retention for training" politikası).

5. Veri Aktarımı ve Üçüncü Taraf Hizmet Sağlayıcılar

Aşağıdaki sağlayıcılar yalnızca kendi hizmetlerini sunmak amacıyla sınırlı veri alır. Hiçbiri pazarlama amacıyla veri satmaz veya paylaşmaz:

Sağlayıcı	Amaç	Konum
Google Firebase (Auth, Firestore, Storage, Functions, App Check, Remote Config)	Kimlik doğrulama, veritabanı, görsel depolama, sunucu işlemleri	AB/ABD (GDPR SCC)
Google Gemini API	AI görsel üretimi	ABD (yalnızca inference, eğitim için saklanmaz)
RevenueCat	Abonelik yönetimi	ABD
Sentry	Hata izleme (PII temizlenmiş)	AB/ABD
Apple App Store / Google Play	Ödeme işleme, tahsilat	Apple/Google politikaları uygulanır
FingerprintJS	Cihaz parmak izi (anti-fraud — yalnızca misafir hesap tekrarını engellemek için)	AB

Yurt dışına aktarım: Yukarıdaki sağlayıcıların büyük kısmı ABD merkezlidir. Aktarımlar KVKK madde 9 ve GDPR madde 46 (Standard Contractual Clauses) çerçevesinde yapılır.

6. Saklama Süreleri

Hesap verileri: Hesap aktif olduğu sürece; silme talebinden sonra 30 gün içinde kalıcı silme.
Yüklenen görseller: Siz silene kadar veya hesap silme talebinizle birlikte.
Vitrin & Kabin (butik): Vitrin ürün görselleri, kabin müşteri fotoğrafları, deneme sonuçları ve CRM kayıtları hesap aktif olduğu sürece; kabin oturum verileri uygulamada bildirilen süreyle (ör. gün bazlı üst sınır) sınırlıdır.
Tarayıcı önbelleği (Kabin): Yalnızca cihazınızda, sanal deneme sonuçları için kısa süreli IndexedDB; sunucu kaydı değildir.
AI çıktıları: Sunucu önbelleğinde 10 gün saklanır; sonrasında otomatik temizlenir. Koleksiyona kaydettiğiniz tasarımlar hesabınız aktif olduğu sürece kalıcıdır.
Ödeme/abonelik kayıtları: Vergi mevzuatı uyarınca 10 yıl (Türk Vergi Usul Kanunu).
Loglar: 90 gün.

7. Haklarınız (KVKK m.11 / GDPR m.15-22)

Dilediğiniz zaman aşağıdaki haklarınızı kullanabilirsiniz:

Kişisel verilerinizin işlenip işlenmediğini öğrenme;
İşlenen veriler hakkında bilgi talep etme;
Yanlış işlenen veriler için düzeltme talep etme;
Silme veya yok etme talep etme ("unutulma hakkı");
Rıza geri çekme (geleceğe yönelik);
Veri taşınabilirliği (GDPR) — verilerinizi taşınabilir formatta isteme;
Otomatik karar verme kararlarına itiraz (GDPR m.22).

Başvuruları info@viovella.com adresine yapabilirsiniz. 30 gün içinde cevaplanır (KVKK m.13). Uygulama içinden "Hesabımı Sil" butonu ile tek tıkla tüm verileriniz silinir.

8. Veri Güvenliği

Tüm iletişim TLS 1.2+ üzerinden şifrelidir (HSTS preload).
Firestore / Storage güvenlik kuralları: her kullanıcı yalnızca kendi verisine erişebilir (default-deny).
Cloud Functions: App Check + reCAPTCHA v3 + rate limiting + input validation.
API anahtarları: Google Secret Manager'da saklanır, istemci bundle'ına gömülmez.
Sentry PII scrubber: e-posta, token, telefon, kart alanları otomatik redakte edilir.
Düzenli güvenlik denetimleri ve güncellemeler.

9. Çerezler ve Yerel Depolama

VIOVELLA teknik olarak gerekli çerezler, localStorage ve (webde Kabin için) cihazınıza özgü IndexedDB kullanabilir (dil tercihi, oturum, abonelik durumu, PWA cache, sınırlı süreli kabin deneme önbelleği). Üçüncü taraf pazarlama/reklam çerezi kullanmıyoruz. EU/EEA kullanıcıları için uygulamada ilk açılışta çerez onay bildirimi gösterilir.

10. Yaş Sınırı

VIOVELLA yalnızca 18 yaş ve üzerindeki kullanıcılar içindir. Kayıt sırasında kullanıcı, 18 yaşından büyük olduğunu beyan eder. 18 yaşından küçük bir kişinin hesap oluşturduğunu veya veri yüklediğini fark edersek, ilgili hesap ve veriler derhal silinir.

11. Değişiklikler

Bu politika ihtiyaç halinde güncellenebilir. Önemli değişiklikler uygulama içinde duyurulur ve yukarıdaki "Son güncelleme" tarihi revize edilir.

12. Şikayet Hakkı

Haklarınızın ihlal edildiğini düşünüyorsanız Kişisel Verileri Koruma Kurumu'na (kvkk.gov.tr) başvurabilir; EU vatandaşları yerel veri koruma otoritesine şikâyette bulunabilir.

Last updated: May 1, 2026 • Effective: May 1, 2026

This Privacy Policy explains how VIOVELLA AI ("Service", "we", "us") — an AI-powered digital stylist application — collects, processes, stores and protects your personal data. It complies with the EU General Data Protection Regulation (GDPR 2016/679) and the Turkish Personal Data Protection Law (KVKK No. 6698).

1. Data Controller

Controller: NexArt Labs (operating the VIOVELLA AI app)
Contact: info@viovella.com
Privacy requests: info@viovella.com

2. Categories of Personal Data

Category	Examples	Legal Basis
Identity / Contact	Name (optional), email, Firebase UID	Contract (Art. 6(1)(b) GDPR)
Account / Usage	Subscription tier, credit balance, purchase history, last login, device fingerprint (anti-fraud)	Contract + legitimate interest (Art. 6(1)(b,f))
Visual / Biometric (Special Category)	Photos you upload (face, hair, body), AI-generated outputs	Explicit consent (Art. 9(2)(a) GDPR)
Technical / Logs	IP (session), device/browser info, error logs, AI request logs	Legitimate interest (Art. 6(1)(f))
Payment	Subscription status only — card data never touches VIOVELLA servers (Apple/Google/RevenueCat process it)	Contract
Boutique — Showcase & Fitting Room	Product images and codes, customer full-length photo, virtual try-on outputs, customer name and optional phone (CRM)	Contract; explicit consent for special-category imagery (GDPR Art. 9(2)(a))

2.1 Biometric Data Notice

Face / hair / body photos you upload may qualify as special category data under GDPR Art. 9. They are processed only with your explicit consent, stored in your own isolated folder, and never used for advertising, profiling, or shared with third parties.

2.2 Business accounts: Showcase & Fitting Room

When you use Showcase & Fitting Room on a business (boutique) plan, product images and codes you add to the showcase, photos used for in-store customer try-on, AI-generated try-on results, and customer name / optional phone you save to CRM are stored in Firebase under your account with strict security rules. Fitting-room session data is retained only for the number of days communicated in the app. For repeated try-ons, a short-lived IndexedDB cache may exist only in your browser; it is not uploaded to our servers and can be cleared by browser data removal or starting a new fitting-room session. The business that processes end-customer data remains responsible for transparency, legal basis, and other obligations towards its own customers under applicable law.

3. Processing Purposes

Providing the Service: AI outfit, hair/makeup, wedding try-on modules.
Account management, session security, App Check bot protection.
Subscription and credit management (RevenueCat).
Error and performance monitoring (anonymised Sentry).
Legal compliance (tax, financial, authority requests).
Business plans: showcase management, in-store virtual try-on, storing and displaying customer CRM records.

4. AI Processing & Automated Decisions

VIOVELLA uses Google's Gemini model to generate images from your uploads. This does not produce legal or similarly significant effects on you (GDPR Art. 22) — outputs are style suggestions only. Your data is NOT used to train the AI model (Gemini API "no training retention" policy).

5. Third-Party Service Providers

Provider	Purpose	Location
Google Firebase	Auth, database, storage, functions, App Check, Remote Config	EU/US (GDPR SCC)
Google Gemini API	AI image generation	US (inference only)
RevenueCat	Subscription management	US
Sentry	Error monitoring (PII-scrubbed)	EU/US
Apple App Store / Google Play	Payment processing	Apple/Google policies apply
FingerprintJS	Anti-fraud device ID (guest account limit)	EU

International transfers rely on GDPR Art. 46 Standard Contractual Clauses where applicable.

6. Retention

Account data: while account is active; 30-day grace on deletion request.
Uploaded images: until you delete them or delete the account.
Showcase & Fitting Room (boutique): product images, customer photos, try-on results and CRM records while the account is active; fitting-room session data is capped by the period stated in the app (e.g. day limit).
Browser cache (Fitting Room): short-lived IndexedDB on your device only for try-on results; not a server-side record.
AI outputs: Cached on server for 10 days, then auto-deleted. Designs you save to your Collection are retained while your account is active.
Payment/subscription records: 10 years (Turkish Tax Law).
Logs: 90 days.

7. Your Rights (GDPR Art. 15–22 / KVKK Art. 11)

Access, rectification, erasure ("right to be forgotten");
Restriction of processing;
Withdraw consent (for the future);
Data portability;
Object to automated decisions (Art. 22).

Email info@viovella.com. We respond within 30 days. In-app "Delete My Account" button erases all data instantly.

8. Security

TLS 1.2+ everywhere (HSTS preload).
Per-user Firestore / Storage rules (default-deny).
Cloud Functions: App Check, reCAPTCHA v3, rate limiting, input validation.
API keys live only in Google Secret Manager, never in the client bundle.
Sentry PII scrubber for emails, tokens, phone, card fields.

9. Cookies & Local Storage

We use strictly necessary cookies, localStorage, and (for Fitting Room on the web) device-local IndexedDB (language, session, subscription state, PWA cache, short-lived try-on cache). No marketing / advertising cookies. EU/EEA users see a consent banner on first visit.

10. Age Restriction

VIOVELLA is intended only for users who are 18 years of age or older. During registration, users confirm that they are over 18. If we discover that a person under 18 has created an account or uploaded data, the related account and data will be deleted promptly.

11. Changes

We may update this Policy. Material changes are announced in-app and "Last updated" is revised.

12. Complaints

EU residents may lodge a complaint with their local supervisory authority. Turkish residents may contact the KVKK authority.