VIOVELLA AI — Gizlilik & KVKK

Ana Sayfa

Son güncelleme: 17 Nisan 2026 • Yürürlük: 17 Nisan 2026

Bu metin, VIOVELLA AI ("Uygulama", "Hizmet", "biz") tarafından işletilen yapay zekâ destekli dijital stilist hizmeti kapsamında kişisel verilerinizin nasıl toplandığını, işlendiğini, saklandığını ve korunduğunu açıklar. Bu doküman aynı zamanda 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) madde 10 uyarınca aydınlatma yükümlülüğümüzü yerine getirmek, Avrupa Birliği'nde ikamet eden kullanıcılar için GDPR (2016/679) madde 13/14 çerçevesinde bilgi vermek üzere hazırlanmıştır.

1. Veri Sorumlusu Kimliği

Veri Sorumlusu: NexArt Labs (VIOVELLA AI uygulamasını işleten)
İletişim: info@viovella.com
KVKK/GDPR Başvuru: info@viovella.com

2. İşlenen Kişisel Veri Kategorileri

Hizmetin niteliği gereği aşağıdaki veri kategorilerini işleriz:

Kategori	Örnek Veriler	Hukuki Dayanak
Kimlik / İletişim	Ad (opsiyonel), e-posta adresi, Firebase UID	Sözleşmenin ifası (KVKK m.5/2-c, GDPR m.6/1-b)
Hesap / Kullanım	Abonelik durumu, kredi bakiyesi, satın alma geçmişi, son giriş zamanı, cihaz parmak izi (anti-fraud)	Sözleşmenin ifası & meşru menfaat (KVKK m.5/2-c, m.5/2-f)
Görsel / Biyometrik (Özel Nitelikli)	Yüklediğiniz fotoğraflar (yüz, saç, vücut), AI tarafından üretilen çıktı görselleri	Açık rıza (KVKK m.6/2, GDPR m.9/2-a)
Teknik / Loglar	IP adresi (oturum bazlı), tarayıcı/cihaz bilgisi, hata kayıtları, AI istek kayıtları	Meşru menfaat, hukuki yükümlülük (KVKK m.5/2-f, GDPR m.6/1-f)
Ödeme	Abonelik durumu (kart bilgisi VIOVELLA'ya hiç ulaşmaz — Apple/Google/RevenueCat işler)	Sözleşmenin ifası

2.1 Özel Nitelikli (Biyometrik) Veri Uyarısı

Yüklediğiniz yüz, saç ve vücut fotoğrafları KVKK madde 6 kapsamında "özel nitelikli kişisel veri" olabilir. Bu veriler yalnızca sizin açık rızanızla işlenir; reklam, profil oluşturma veya üçüncü kişilerle paylaşma amacıyla kesinlikle kullanılmaz. AI görsel üretimi tamamlandıktan sonra kaynak görseller kendi hesabınızın izole klasöründe saklanır; başka kullanıcıların erişimi yoktur (Firestore + Storage güvenlik kuralları).

3. İşleme Amaçları

Hizmetin sunulması: AI kombinleme, saç/makyaj simülasyonu, düğün provası gibi modüllerin çalıştırılması.
Hesap yönetimi, oturum güvenliği, App Check ile bot/sahtekârlık koruması.
Abonelik ve kredi yönetimi (RevenueCat entegrasyonu).
Performans ve hata izleme (anonimleştirilmiş Sentry log'ları).
Yasal yükümlülüklerin yerine getirilmesi (mali, vergisel, resmi makam talepleri).

4. Yapay Zekâ İşleme ve Otomatik Karar Verme

VIOVELLA, Google Gemini modelini kullanarak yüklediğiniz görseller üzerinde otomatik görsel üretim gerçekleştirir. Bu, otomatik karar verme (GDPR m.22) kapsamında hukuki veya benzer şekilde önemli etki yaratmaz — üretilen çıktılar yalnızca dijital stil önerisidir. İşleme sadece yüklediğiniz görseller üzerinde çalışır; AI modelinin eğitiminde veriniz kullanılmaz (Google Gemini API "no data retention for training" politikası).

5. Veri Aktarımı ve Üçüncü Taraf Hizmet Sağlayıcılar

Aşağıdaki sağlayıcılar yalnızca kendi hizmetlerini sunmak amacıyla sınırlı veri alır. Hiçbiri pazarlama amacıyla veri satmaz veya paylaşmaz:

Sağlayıcı	Amaç	Konum
Google Firebase (Auth, Firestore, Storage, Functions, App Check, Remote Config)	Kimlik doğrulama, veritabanı, görsel depolama, sunucu işlemleri	AB/ABD (GDPR SCC)
Google Gemini API	AI görsel üretimi	ABD (yalnızca inference, eğitim için saklanmaz)
RevenueCat	Abonelik yönetimi	ABD
Sentry	Hata izleme (PII temizlenmiş)	AB/ABD
Apple App Store / Google Play	Ödeme işleme, tahsilat	Apple/Google politikaları uygulanır
FingerprintJS	Cihaz parmak izi (anti-fraud — yalnızca misafir hesap tekrarını engellemek için)	AB

Yurt dışına aktarım: Yukarıdaki sağlayıcıların büyük kısmı ABD merkezlidir. Aktarımlar KVKK madde 9 ve GDPR madde 46 (Standard Contractual Clauses) çerçevesinde yapılır.

6. Saklama Süreleri

Hesap verileri: Hesap aktif olduğu sürece; silme talebinden sonra 30 gün içinde kalıcı silme.
Yüklenen görseller: Siz silene kadar veya hesap silme talebinizle birlikte.
AI çıktıları: Cache süresi 30 gün; sonrasında otomatik silinir.
Ödeme/abonelik kayıtları: Vergi mevzuatı uyarınca 10 yıl (Türk Vergi Usul Kanunu).
Loglar: 90 gün.

7. Haklarınız (KVKK m.11 / GDPR m.15-22)

Dilediğiniz zaman aşağıdaki haklarınızı kullanabilirsiniz:

Kişisel verilerinizin işlenip işlenmediğini öğrenme;
İşlenen veriler hakkında bilgi talep etme;
Yanlış işlenen veriler için düzeltme talep etme;
Silme veya yok etme talep etme ("unutulma hakkı");
Rıza geri çekme (geleceğe yönelik);
Veri taşınabilirliği (GDPR) — verilerinizi taşınabilir formatta isteme;
Otomatik karar verme kararlarına itiraz (GDPR m.22).

Başvuruları info@viovella.com adresine yapabilirsiniz. 30 gün içinde cevaplanır (KVKK m.13). Uygulama içinden "Hesabımı Sil" butonu ile tek tıkla tüm verileriniz silinir.

8. Veri Güvenliği

Tüm iletişim TLS 1.2+ üzerinden şifrelidir (HSTS preload).
Firestore / Storage güvenlik kuralları: her kullanıcı yalnızca kendi verisine erişebilir (default-deny).
Cloud Functions: App Check + reCAPTCHA v3 + rate limiting + input validation.
API anahtarları: Google Secret Manager'da saklanır, istemci bundle'ına gömülmez.
Sentry PII scrubber: e-posta, token, telefon, kart alanları otomatik redakte edilir.
Düzenli güvenlik denetimleri ve güncellemeler.

9. Çerezler ve Yerel Depolama

VIOVELLA teknik olarak gerekli çerezler ve localStorage kullanır (dil tercihi, oturum, abonelik durumu, PWA cache). Üçüncü taraf pazarlama/reklam çerezi kullanmıyoruz. EU/EEA kullanıcıları için uygulamada ilk açılışta çerez onay bildirimi gösterilir.

10. Reşit Olmayanlar

VIOVELLA 13 yaş altı çocukların kişisel verilerini bilerek işlemez. 13-18 yaş arası kullanıcıların veli/vasi onayı alması gerekir. Reşit olmayan birinin veri yüklediğini fark edersek, veriler derhal silinir.

11. Değişiklikler

Bu politika ihtiyaç halinde güncellenebilir. Önemli değişiklikler uygulama içinde duyurulur ve yukarıdaki "Son güncelleme" tarihi revize edilir.

12. Şikayet Hakkı

Haklarınızın ihlal edildiğini düşünüyorsanız Kişisel Verileri Koruma Kurumu'na (kvkk.gov.tr) başvurabilir; EU vatandaşları yerel veri koruma otoritesine şikâyette bulunabilir.

Last updated: April 17, 2026 • Effective: April 17, 2026

This Privacy Policy explains how VIOVELLA AI ("Service", "we", "us") — an AI-powered digital stylist application — collects, processes, stores and protects your personal data. It complies with the EU General Data Protection Regulation (GDPR 2016/679) and the Turkish Personal Data Protection Law (KVKK No. 6698).

1. Data Controller

Controller: NexArt Labs (operating the VIOVELLA AI app)
Contact: info@viovella.com
Privacy requests: info@viovella.com

2. Categories of Personal Data

Category	Examples	Legal Basis
Identity / Contact	Name (optional), email, Firebase UID	Contract (Art. 6(1)(b) GDPR)
Account / Usage	Subscription tier, credit balance, purchase history, last login, device fingerprint (anti-fraud)	Contract + legitimate interest (Art. 6(1)(b,f))
Visual / Biometric (Special Category)	Photos you upload (face, hair, body), AI-generated outputs	Explicit consent (Art. 9(2)(a) GDPR)
Technical / Logs	IP (session), device/browser info, error logs, AI request logs	Legitimate interest (Art. 6(1)(f))
Payment	Subscription status only — card data never touches VIOVELLA servers (Apple/Google/RevenueCat process it)	Contract

2.1 Biometric Data Notice

Face / hair / body photos you upload may qualify as special category data under GDPR Art. 9. They are processed only with your explicit consent, stored in your own isolated folder, and never used for advertising, profiling, or shared with third parties.

3. Processing Purposes

Providing the Service: AI outfit, hair/makeup, wedding try-on modules.
Account management, session security, App Check bot protection.
Subscription and credit management (RevenueCat).
Error and performance monitoring (anonymised Sentry).
Legal compliance (tax, financial, authority requests).

4. AI Processing & Automated Decisions

VIOVELLA uses Google's Gemini model to generate images from your uploads. This does not produce legal or similarly significant effects on you (GDPR Art. 22) — outputs are style suggestions only. Your data is NOT used to train the AI model (Gemini API "no training retention" policy).

5. Third-Party Service Providers

Provider	Purpose	Location
Google Firebase	Auth, database, storage, functions, App Check, Remote Config	EU/US (GDPR SCC)
Google Gemini API	AI image generation	US (inference only)
RevenueCat	Subscription management	US
Sentry	Error monitoring (PII-scrubbed)	EU/US
Apple App Store / Google Play	Payment processing	Apple/Google policies apply
FingerprintJS	Anti-fraud device ID (guest account limit)	EU

International transfers rely on GDPR Art. 46 Standard Contractual Clauses where applicable.

6. Retention

Account data: while account is active; 30-day grace on deletion request.
Uploaded images: until you delete them or delete the account.
AI outputs: 30-day cache TTL, then auto-deleted.
Payment/subscription records: 10 years (Turkish Tax Law).
Logs: 90 days.

7. Your Rights (GDPR Art. 15–22 / KVKK Art. 11)

Access, rectification, erasure ("right to be forgotten");
Restriction of processing;
Withdraw consent (for the future);
Data portability;
Object to automated decisions (Art. 22).

Email info@viovella.com. We respond within 30 days. In-app "Delete My Account" button erases all data instantly.

8. Security

TLS 1.2+ everywhere (HSTS preload).
Per-user Firestore / Storage rules (default-deny).
Cloud Functions: App Check, reCAPTCHA v3, rate limiting, input validation.
API keys live only in Google Secret Manager, never in the client bundle.
Sentry PII scrubber for emails, tokens, phone, card fields.

9. Cookies & Local Storage

We use strictly necessary cookies and localStorage (language, session, subscription state, PWA cache). No marketing / advertising cookies. EU/EEA users see a consent banner on first visit.

10. Minors

VIOVELLA does not knowingly process data of children under 13. Users aged 13–18 require parental consent. Data of minors will be deleted promptly on discovery.

11. Changes

We may update this Policy. Material changes are announced in-app and "Last updated" is revised.

12. Complaints

EU residents may lodge a complaint with their local supervisory authority. Turkish residents may contact the KVKK authority.