Gizlilik Politikası & KVKK Aydınlatma Metni

Yürürlük tarihi / Effective date: 24 Nisan 2026 / 24 April 2026

Version 2.0

1. Giriş ve Kapsam

Bu Gizlilik Politikası (“Politika”), Vidrobe mobil uygulamasını ve www.vidrobe.app web sitesini (birlikte “Hizmet”) kullanan gerçek kişilerin (“Kullanıcı” veya “siz”) kişisel verilerinin hangi amaçlarla, hangi hukuki sebeplere dayanılarak işlendiğini; kimlerle paylaşıldığını; ne kadar saklandığını ve bu verilere ilişkin haklarınızı açıklar.

Bu Politika; 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”), Apple App Store Review Guidelines (madde 5.1.1 – 5.1.2) ve Google Play Developer Program User Data politikaları çerçevesinde hazırlanmıştır.

Hizmeti kullanmakla bu Politika’yı ve Kullanım Şartları’nı okuduğunuzu, anladığınızı ve kabul ettiğinizi beyan etmiş olursunuz. Onaylamadığınız hükümler varsa lütfen Hizmet’i kullanmayınız.

Özet: Verilerinizi size Hizmet sunmak, yapay zeka ile kombin ve sanal deneme oluşturmak ve Hizmet’i geliştirmek için işleriz. Hiçbir şekilde reklam, profilleme veya pazarlama amacıyla üçüncü taraflara satmayız. Fotoğraflarınız diğer kullanıcılarla paylaşılmaz.

2. Veri Sorumlusu

KVKK madde 3/1/ı kapsamında veri sorumlusu, bu Hizmet’i sunan gerçek kişi geliştiricidir:

Unvan: Alperen (gerçek kişi, bağımsız geliştirici)
Türkiye’de adres: Sivas, Türkiye (yazışma adresi için privacy@vidrobe.app)
E-posta (genel): hello@vidrobe.app
E-posta (destek): support@vidrobe.app
E-posta (KVKK & veri koruma): privacy@vidrobe.app

GDPR madde 27 kapsamında AB temsilcisi talebi için yukarıdaki e-posta üzerinden bilgi talep edebilirsiniz. Veri sorumlusu, ileride tüzel kişiliğe dönüşüm halinde bu bilgileri güncelleyeceğini taahhüt eder.

3. Topladığımız Kişisel Veriler

Aşağıdaki veriler, Hizmet’in işlevselliği için minimum gereklilik ilkesi çerçevesinde toplanır:

Veri Kategorisi	Örnekler	Kaynak
Kimlik	Görünen ad (display name)	Siz
İletişim	E-posta adresi	Siz / OAuth sağlayıcı
Hesap	Kullanıcı kimliği (UUID), şifre (tek yönlü hash), oturum anahtarları, hesap türü (ücretsiz / misafir)	Sistem
Görsel içerik	Avatar fotoğrafı (tam boy kullanıcı görseli), kıyafet fotoğrafları (gardıroba eklenen ürünler), sanal deneme çıktıları	Siz (galeri / kamera)
Tercih	Cinsiyet tercihi, stil tercihi (örn. minimal, modest), dil seçimi, tema	Siz
Konum	Yaklaşık konum (coarse) — hava durumuna göre kıyafet önerisi için; koordinatlar sunucuya gönderilmez, sadece şehir / hava kodu kullanılır	Cihaz (izninizle)
Cihaz & Teknik	Cihaz modeli, işletim sistemi sürümü, uygulama sürümü, dil, zaman dilimi, anonim cihaz tanıtıcısı (push token için)	Cihaz
Kullanım	Oturum açma kayıtları, oluşturulan kombin sayısı, API istek logları, hata kayıtları (maks. 48 saat)	Sistem
Birinci-taraf ürün analitiği	Uygulama-içi olay kayıtları (örn. sign_up, login, garment_add, tryon_generate) — yalnızca kullanıcı kimliği + olay adı + teknik özellikler; üçüncü tarafa gönderilmez, yalnızca Supabase veritabanımızda tutulur.	Sistem
Hata raporu (Sentry)	Uygulamada oluşan çökme / hata durumunda: stack trace, cihaz modeli, işletim sistemi sürümü, uygulama sürümü, uygulama içi “breadcrumb” (ekran geçişi) kayıtları. Kullanıcı adı / e-posta varsa gönderilmez (sadece anonim kullanıcı kimliği).	Sistem (Sentry SDK)
Bildirim	Firebase Cloud Messaging push token’ı (yalnızca izninizle)	Firebase / cihaz
İletişim	Destek taleplerinde paylaştığınız mesaj içeriği	Siz
İşlem / Ödeme	Üyelik planı, (gelecekte varsa) fatura bilgisi. Ödeme, Apple / Google tarafından işlenir; kart bilgilerine erişimimiz yoktur.	App Store / Google Play

Toplamadığımız veriler: Tam adres, T.C. kimlik numarası, kredi kartı numarası, tam konum (GPS koordinatları), biyometrik parmak izi, ses kaydı, rehber verileriniz, SMS veya arama kayıtları. Hassas reklam tanıtıcıları (IDFA, AAID) kullanmıyoruz.

4. İşleme Amaçları ve Hukuki Sebepleri

Kişisel verileriniz, KVKK madde 5 ve 6 ile GDPR madde 6 ve 9 kapsamındaki hukuki sebeplere dayanılarak, yalnızca aşağıdaki amaçlarla işlenir:

Amaç	Veri	Hukuki Sebep
Hesap oluşturma ve kimlik doğrulama	E-posta, şifre, kimlik	Sözleşmenin ifası KVKK 5/2-c GDPR 6/1-b
Hizmet’in temel işlevlerini sağlamak (gardırop, kombin, sanal deneme)	Fotoğraflar, tercihler, kullanım	Sözleşmenin ifası KVKK 5/2-c GDPR 6/1-b
Yapay zeka ile kombin önerisi ve sanal deneme (Gemini API)	Fotoğraflar, tercihler	Açık rıza KVKK 5/1 & 9/1 GDPR 6/1-a & 49/1-a
Hava durumuna göre kıyafet önerisi	Yaklaşık konum	Açık rıza (cihaz izin diyaloğu) KVKK 5/1
Push bildirim gönderimi	Push token, tercih	Açık rıza (cihaz izin diyaloğu)
Destek taleplerinin karşılanması	İletişim, kullanım	Meşru menfaat KVKK 5/2-f GDPR 6/1-f
Güvenlik, dolandırıcılık önleme, hata ayıklama	Cihaz, kullanım, log	Meşru menfaat KVKK 5/2-f GDPR 6/1-f
Çökme / hata raporlama (Sentry)	Stack trace, cihaz bilgisi, anonim kullanıcı kimliği	Meşru menfaat (stabilite) KVKK 5/2-f GDPR 6/1-f
Birinci-taraf ürün analitiği (hizmet iyileştirme)	Olay adı + kullanıcı kimliği + teknik özellikler	Meşru menfaat KVKK 5/2-f GDPR 6/1-f
Yasal yükümlülüklere uyum (talepler, mahkeme kararları)	Gerektiği ölçüde	Hukuki yükümlülük KVKK 5/2-ç GDPR 6/1-c

Önemli: “Açık rıza” ile işlenen verilere ilişkin rızanızı her zaman geri çekebilirsiniz. Geri çekme, geri çekmeden önce yapılan işlemeyi etkilemez. Rızanızı geri çekmeniz hâlinde o işlevi kullanamazsınız (örneğin: sanal deneme).

5. Özel Nitelikli Kişisel Veriler

KVKK madde 6 ve GDPR madde 9 uyarınca bazı veri kategorileri “özel nitelikli” (hassas) sayılır. Vidrobe bilinçli olarak özel nitelikli veri toplamaz; ancak aşağıdaki durumlar dolaylı olarak bu kapsama girebilir:

Kılık-kıyafet ve dini inanç çıkarımı: “Modest/Tesettür” stil tercihini seçmeniz veya tesettür kıyafeti yüklemeniz dolaylı olarak dini inançlarınıza ilişkin bir çıkarım doğurabilir. KVKK madde 6 uyarınca bu bilgi özel nitelikli sayılır.
Fotoğraftan sağlık çıkarımı: Tam boy fotoğraflar teorik olarak sağlık durumuna dair çıkarıma yol açabilir. Fotoğraflarınızı bu amaçla analiz etmiyoruz ve üçüncü taraflarla bu amaçla paylaşmıyoruz.

Özel nitelikli sayılabilecek verilerin işlenmesi için uygulamaya ilk girişte ve stil tercihi değişikliğinde ayrı bir açık rıza onayı alırız. Bu rıza; (i) sadece size Hizmet sunmak, (ii) yapay zeka ile kombin üretmek amaçlarıyla sınırlıdır. Her zaman Profil → Gizlilik → Rızaları Yönet altından geri çekilebilir.

Ticari kullanım yoktur: Bu verileri reklam, profilleme veya model eğitimi (model training) amaçlarıyla işlemiyoruz. Yapay zeka sağlayıcılarımızla yapılan işleyici anlaşmaları, sağlayıcıların sizin verilerinizi kendi genel modellerini eğitmek için kullanmasını yasaklar.

6. Otomatik Karar Mekanizmaları ve Yapay Zeka

Vidrobe; kombin önerisi, sanal deneme ve kıyafet kategorizasyonu için üçüncü taraf yapay zeka modellerinden (Google Gemini) yararlanır.

Yalnızca destekleyicidir: Yapay zeka çıktıları öneri niteliğindedir ve hukuki veya önemli bir sonuç doğurmaz (GDPR madde 22 anlamında “yalnızca otomatik karara dayalı” karar alınmaz).
İnsan müdahalesi: Her zaman öneriyi kabul etmeme, düzenleme veya silme hakkına sahipsiniz.
Hatalar: Yapay zeka çıktıları (renk, uyum, boyut) hatalı olabilir. Sorumlu kullanım sizdedir. Estetik / stil önerilerinin doğruluğu garanti edilmez.
Yüz koruma: Sanal deneme sırasında yüz özelliklerinizin korunması için prompt sertleştirmesi ve retry mekanizması kullanılır. Yine de yapay zeka modeli yüz özelliklerini ara sıra değiştirebilir.

7. Veri Paylaşımı ve Alıcılar

Kişisel verileriniz, yalnızca Hizmet’in işleyişi için gerekli olduğu ölçüde ve ilgili sözleşme yükümlülükleri altında aşağıdaki veri işleyenlerle paylaşılır. Bunların hiçbiri kendi bağımsız amaçları için verinizi kullanamaz.

Alıcı	Amaç	Aktarılan Veri	Lokasyon
Supabase, Inc.	Kimlik doğrulama, veri tabanı, dosya depolama	E-posta, hesap, fotoğraflar, tercihler	AB (Almanya – Frankfurt)
Google LLC (Gemini API)	Yapay zeka ile sanal deneme ve kategorizasyon	İlgili fotoğraf(lar) ve prompt	ABD
Google LLC (Firebase Cloud Messaging)	Push bildirim	Push token, cihaz bilgisi	ABD / Küresel
Poof AI Ltd. (poof.bg)	Fotoğraf arka plan kaldırma	İlgili fotoğraf (geçici, 24 saatte silinir)	AB (Bulgaristan)
Functional Software, Inc. (Sentry)	Uygulama hata raporlama ve çökme izleme (yalnızca teknik kararlılık amacıyla)	Stack trace, cihaz bilgisi, anonim kullanıcı kimliği, breadcrumb	ABD (veya müşteri seçimine göre AB)
Apple Inc. / Google LLC	Uygulama dağıtımı, ödeme, OAuth kimlik doğrulama	E-posta (paylaşım izniyle), platform kullanım	ABD / Küresel
Hava durumu sağlayıcısı	Lokasyona göre hava durumu	Yaklaşık konum (şehir)	Küresel

Ayrıca resmi makamlarca usulüne uygun biçimde talep edilmesi hâlinde (mahkeme kararı, savcılık talebi, KVKK kararı vb.) yasal yükümlülüklerimiz çerçevesinde veri paylaşılabilir.

Satış yok: Kişisel verilerinizi üçüncü taraflara satmayız, kiralamayız veya reklam / pazarlama amacıyla paylaşmayız.

8. Yurt Dışına Aktarım

KVKK madde 9 uyarınca, kişisel verilerinizin yurt dışına aktarılması için açık rızanız alınır. Bazı veri işleyenlerimiz (özellikle Google / Gemini, Firebase ve Apple) Amerika Birleşik Devletleri’nde (“ABD”) bulunmaktadır. ABD, KVKK madde 9/1 anlamında yeterli korumaya sahip ülkeler listesinde yer almadığından, bu aktarımlar açık rızanıza ve/veya KVKK madde 9/2-b’deki istisnalara dayanır.

GDPR kapsamında ise AB’den ABD’ye yapılan aktarımlar için Standard Contractual Clauses (SCC – Komisyon 2021/914 sayılı Kararı) ve ilgili sağlayıcının ek teknik/organizasyonel tedbirleri uygulanır. Google ve Apple’ın aynı zamanda EU-US Data Privacy Framework kapsamında sertifikası vardır.

Açık rıza: Hesap oluştururken ve sanal deneme izninde bu aktarımlar için ayrı bir onay kutusu göreceksiniz. Onay vermezseniz ilgili işlev (örn. Gemini ile sanal deneme) kullanılamaz. İlk defa aktarım yapmadan önce rıza alınmadıkça, veriniz yurt dışına taşınmayacaktır.

9. Saklama Süreleri

Kişisel verilerinizi, toplama amaçlarının gerektirdiği süreden daha uzun tutmayız. Temel saklama süreleri:

Veri Türü	Saklama Süresi	Neden
Hesap (e-posta, tercihler, gardırop, fotoğraflar)	Hesap aktifken tutulur. Hesap silindiğinde anında (genellikle birkaç saniye içinde) cascade silme ile kalıcı olarak imha edilir. Yedeklerden temizlenme için azami 30 gün tamponu vardır.	Silme işlemi geri alınamaz
Try-on önbelleği (cache)	Maks. 90 gün (veya hesap silme ile anında)	Performans; maliyet tasarrufu
API / hata logları	Maks. 48 saat	Güvenlik ve hata ayıklama
Sentry hata raporları	90 gün (Sentry varsayılan saklama)	Stabilite analizi
Birinci-taraf analitik olayları	Hesap aktifken; hesap silindiğinde anında	Hizmet iyileştirme
Destek e-posta yazışmaları	Son etkileşimden 2 yıl	Talep takibi, yasal savunma
Yasal tutulması gereken kayıtlar (örn. ödeme)	5 – 10 yıl	Vergi / ticaret / tüketici mevzuatı
Anonim istatistikler	Süresiz	Anonim, KVKK kapsamı dışı

Hesabınızı Profil → Hesap → Hesabı Sil yolundan kalıcı olarak silebilirsiniz. Silme işlemi geri alınamaz; yedeklerden fiili silinme 30 gün içinde gerçekleşir.

10. Veri Güvenliği

KVKK madde 12 ve GDPR madde 32 kapsamında, verilerinizin güvenliği için endüstri standardında teknik ve idari tedbirler uygulanır:

İletim güvenliği: Tüm trafik TLS 1.2+ ile şifrelenir.
Depolama güvenliği: Supabase veri tabanı AES-256 ile şifrelenir; depolama katmanında Row Level Security (RLS) politikaları uygulanır.
Kimlik doğrulama: Parolalar bcrypt/argon2 ile tek yönlü hash’lenir. Oturum anahtarları flutter_secure_storage ile iOS Keychain / Android Keystore’da şifreli saklanır.
Erişim kontrolü: Minimum yetki prensibi; geliştirici erişimi sadece log / destek amacıyla ve loglanarak.
Rate limiting: Suistimal önleme için saatlik / günlük oran sınırları.
Güvenlik izleme: Anormal oturum açma girişimleri, eksik yetkilendirme hataları izlenir.
Sertifika: Supabase SOC 2 Type II ve HIPAA uyumludur; Google Cloud ISO 27001 & SOC 2 sahibidir.

Mutlak güvenlik vaadi mümkün değildir. Bir veri ihlali tespit ettiğimizde, KVKK madde 12/5 ve GDPR madde 33 – 34 uyarınca en kısa sürede (KVKK’da “en kısa sürede”, GDPR’de 72 saat içinde) ilgili denetim otoritelerini ve risk altındaki kullanıcıları bilgilendiririz.

11. Haklarınız

KVKK madde 11 ve GDPR madde 15 – 22 kapsamında, kişisel verilerinize ilişkin aşağıdaki haklara sahipsiniz:

Bilgi alma hakkı: Verilerinizin işlenip işlenmediğini öğrenme.
Erişim hakkı: İşlenmişse bu verilere ve işleme amaçlarına ilişkin bilgi talep etme; kopyasını makine-okunur formatta alma.
Düzeltme hakkı: Eksik / yanlış verilerin düzeltilmesini isteme.
Silme / Unutulma hakkı: Verilerinizin silinmesini veya yok edilmesini isteme.
İşlemenin kısıtlanması: Bazı koşullarda işlemenin durdurulmasını isteme.
Veri taşınabilirliği: Verilerinizi yapılandırılmış, yaygın ve makine-okunur bir formatta alma (GDPR 20).
İtiraz hakkı: Meşru menfaate dayalı işlemeye itiraz etme (GDPR 21).
Otomatik karara itiraz: Münhasıran otomatik işleme ile sizin aleyhinize bir sonuç doğması hâlinde itiraz etme.
Rıza geri alma: Açık rızaya dayalı işlemede rızayı her zaman geri çekme.
Zararın giderilmesi: Kanuna aykırı işleme sebebiyle zarara uğranması hâlinde tazminat talep etme.
Şikâyet hakkı: Denetim otoritesine (KVKK için Kişisel Verileri Koruma Kurulu / AB için yerel DPA) şikâyette bulunma.

Bu haklarınızı kullanmak için privacy@vidrobe.app adresine başvurabilirsiniz. Başvurunuz, KVKK Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca en geç 30 gün içinde ücretsiz olarak sonuçlandırılır. İşlemin ek bir maliyet gerektirmesi hâlinde, Kurul’un belirlediği tarifedeki ücret alınabilir.

KVKK Başvuru Formu için bizimle iletişime geçin.

12. Çocuklara İlişkin Veriler

Vidrobe 18 yaşın altındaki kullanıcılara yönelik değildir. 18 yaşın altındaysanız lütfen hesap oluşturmayın ve Hizmet’i kullanmayın. 18 yaşın altında bir kullanıcının veri girdiğini tespit edersek hesabı derhal kapatır ve verileri sileriz.

ABD mukimi kullanıcılar için COPPA (13 yaş altı), AB için GDPR madde 8 (16 yaş altı için ebeveyn rızası), Türkiye’de ise Türk Medeni Kanunu anlamında tam ehliyetsizlik nedeniyle velinin yazılı onayı aranır. Hâlen bu onay mekanizmasını sunmadığımızdan Hizmet 18+ içindir.

13. Çerezler

Mobil uygulamada çerez kullanılmaz. vidrobe.app web sitesinde yalnızca zorunlu (fonksiyonel) tarayıcı depolaması kullanılır: dil tercihi ve tema. Reklam, izleme veya üçüncü taraf analitik çerezi yoktur.

Ayrıntılar için Çerez Politikası’nı inceleyin.

14. Değişiklikler

Bu Politika’da değişiklik yaptığımızda güncellenmiş sürümü bu sayfada yayınlarız ve “Yürürlük tarihi”ni günceller, esaslı değişikliklerde e-posta veya uygulama içi bildirimle size haber veririz. Esaslı değişiklik yürürlüğe girmeden önce en az 30 gün öncesinde bilgilendirme yapılır.

Esaslı olmayan değişikliklerde (dilbilgisi düzeltmesi, bağlantı düzenlemesi vb.) bildirim yapılmaksızın güncellenebilir.

15. İletişim

Bu Politika veya kişisel verilerinize ilişkin her türlü soru için aşağıdaki iletişim kanallarını kullanabilirsiniz:

Veri koruma & KVKK: privacy@vidrobe.app
Teknik destek: support@vidrobe.app
Genel: hello@vidrobe.app

Türkiye’de denetim otoritesi: Kişisel Verileri Koruma Kurumu (KVKK) — www.kvkk.gov.tr. AB kullanıcıları için ilgili ülke Veri Koruma Otoritesi (DPA) yetkilidir.

16. Yetkili Hukuk ve Mahkeme

Bu Politika, Türkiye Cumhuriyeti hukukuna tabidir. Politika’dan kaynaklanan uyuşmazlıklarda Sivas Mahkemeleri ve İcra Daireleri yetkilidir. Ancak tüketici sıfatına sahip kullanıcıların 6502 sayılı Tüketicinin Korunması Hakkında Kanun kapsamındaki (tüketici hakem heyetleri ve tüketici mahkemelerine başvurma dahil) hakları saklıdır.

Türkiye dışında mukim kullanıcılar için yerel zorunlu hukuk kurallarından (özellikle tüketici hakları ve veri koruma hakları) kaynaklanan haklar bu Politika ile sınırlandırılamaz.

17. KVKK Aydınlatma Metni

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca, veri sorumlusu sıfatıyla sizleri bilgilendirmek isteriz.

a) Veri Sorumlusunun Kimliği

Alperen (gerçek kişi, bağımsız geliştirici), Sivas/Türkiye.
İletişim: privacy@vidrobe.app

b) İşlenen Kişisel Veri Kategorileri

Kimlik (görünen ad), iletişim (e-posta), görsel kayıt (avatar ve kıyafet fotoğrafları), müşteri işlem (hesap, tercih, kullanım kayıtları), işlem güvenliği (log, şifre hash), konum (yaklaşık), müşteri uygulama bilgisi (cihaz modeli, uygulama sürümü).

c) Kişisel Verilerin İşlenme Amaçları

Hizmet’in temel işlevlerinin sunulması (gardırop yönetimi, kombin önerisi, sanal deneme)
Kimlik doğrulama ve hesap güvenliği
Kullanıcı destek taleplerinin karşılanması
Hizmet’in iyileştirilmesi (anonim kullanım analizi)
Yasal yükümlülüklerin yerine getirilmesi
Push bildirim gönderimi (açık rızaya bağlı)
Hava durumuna bağlı stil önerisi (açık rızaya bağlı)

ç) Verilerin Aktarıldığı Taraflar ve Aktarım Amacı

Kişisel verileriniz, hizmet sunumunun zorunlu kıldığı ölçüde ve ilgili sözleşmeler çerçevesinde Supabase, Inc. (AB – Almanya, veritabanı ve depolama), Google LLC (ABD, Gemini yapay zeka işlemesi ve Firebase push), Poof AI Ltd. (AB – Bulgaristan, arka plan kaldırma), Apple Inc. ve Google LLC (uygulama dağıtımı) ile paylaşılır.

Bunlardan ABD’de bulunan alıcılara yapılan aktarım, KVKK madde 9/1 kapsamında açık rızanıza dayanılarak gerçekleştirilir; rızanız yoksa Gemini ile sanal deneme gibi işlevler kullanıma kapatılır.

d) Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi

Kişisel verileriniz; uygulama üzerinden doğrudan sizden (form girişi, fotoğraf yükleme), OAuth sağlayıcıları (Apple / Google) aracılığıyla kimlik doğrulama sırasında, cihazınızdan (teknik veriler) ve kullanım sırasında otomatik olarak (log) toplanır.

İşleme faaliyetinin hukuki sebebi KVKK madde 5/2-c (sözleşmenin kurulması / ifası), 5/2-ç (hukuki yükümlülük), 5/2-f (veri sorumlusunun meşru menfaati) ve uygun olduğunda madde 5/1 / 6/2 (açık rıza)’dir. Yurt dışı aktarım KVKK madde 9 kapsamında açık rızaya dayanır.

e) İlgili Kişinin Hakları (KVKK Madde 11)

Yukarıda “Haklarınız” bölümünde sayılan tüm haklara sahipsiniz. Başvurunuzu Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun biçimde yazılı olarak veya privacy@vidrobe.app e-posta adresimize, güvenli elektronik imzalı veya kimliğinizi ispatlayan belgeler ile iletebilirsiniz.

Son güncelleme: 24 Nisan 2026

1. Introduction & Scope

This Privacy Policy (“Policy”) explains how Vidrobe (“we”, “us”) collects, uses, discloses, and safeguards the personal data of natural persons (“you”) who use the Vidrobe mobile application and vidrobe.app (together the “Service”).

This Policy is drafted to comply with the Turkish Personal Data Protection Law No. 6698 (“KVKK”), the EU General Data Protection Regulation (“GDPR”), the California Consumer Privacy Act (as amended by CPRA) for applicable California residents, Apple’s App Store Review Guidelines (sections 5.1.1–5.1.2), and Google Play’s User Data policy.

By using the Service, you acknowledge that you have read and understood this Policy and our Terms of Service. If you disagree, please do not use the Service.

Summary: We process your data to provide the Service, to generate AI outfit recommendations and virtual try-ons, and to improve the Service. We never sell your data or use it for advertising. Your photos are not shared with other users.

2. Data Controller

Under KVKK Art. 3(1)(ı) and GDPR Art. 4(7), the data controller is:

Name: Alperen (natural person, independent developer)
Location: Sivas, Türkiye
Email (general): hello@vidrobe.app
Email (support): support@vidrobe.app
Email (data protection & KVKK): privacy@vidrobe.app

For inquiries about an EU representative under GDPR Art. 27, please contact us at the email above.

3. Data We Collect

We collect only what is necessary to operate the Service (“data minimisation”):

Category	Examples	Source
Identity	Display name	You
Contact	Email address	You / OAuth provider
Account	User ID (UUID), password (hashed, one-way), session tokens, account type (free / guest)	System
Visual content	Avatar photo (full-body), garment photos, virtual try-on outputs	You (gallery / camera)
Preferences	Gender preference, style preference (e.g., minimal, modest), language, theme	You
Location	Coarse location for weather-based recommendations; coordinates are not persisted, only city / weather code	Device (with consent)
Device & technical	Device model, OS version, app version, locale, time zone, anonymous device identifier (for push)	Device
Usage	Sign-in events, number of outfits generated, API request logs, error logs (max 48 hours)	System
First-party product analytics	In-app event logs (e.g., sign_up, login, garment_add, tryon_generate) — user ID + event name + technical properties. Stored only in our Supabase database; never sent to third-party analytics providers.	System
Crash reports (Sentry)	On crash/error: stack trace, device model, OS version, app version, in-app breadcrumbs (screen transitions). No email/name; only an anonymous user identifier.	System (Sentry SDK)
Notification	Firebase Cloud Messaging push token (only with your consent)	Firebase / device
Communications	Messages you send to support	You
Transactional	Subscription tier, billing (future). Payments are processed by Apple / Google; we do not access card data.	App Store / Google Play

What we do not collect: full address, national ID, credit card number, precise GPS coordinates, biometric fingerprint, audio recordings, contacts, SMS, or call logs. We do not use sensitive advertising identifiers (IDFA, AAID).

4. Purposes & Legal Bases

We process your data on the legal bases set out in KVKK Arts. 5–6 and GDPR Arts. 6 & 9, for the purposes below:

Purpose	Data	Legal basis
Account creation & authentication	Email, password, identity	Contract GDPR 6/1-b KVKK 5/2-c
Providing core Service features (wardrobe, outfits, virtual try-on)	Photos, preferences, usage	Contract GDPR 6/1-b KVKK 5/2-c
AI outfit recommendation & virtual try-on (Gemini API)	Photos, preferences	Consent GDPR 6/1-a & 49/1-a KVKK 5/1 & 9/1
Weather-based outfit suggestions	Coarse location	Consent (device prompt)
Push notifications	Push token, preferences	Consent (device prompt)
Responding to support requests	Contact, usage	Legitimate interest GDPR 6/1-f KVKK 5/2-f
Security, fraud prevention, debugging	Device, usage, logs	Legitimate interest GDPR 6/1-f KVKK 5/2-f
Crash / error reporting (Sentry)	Stack trace, device info, anonymous user ID	Legitimate interest (stability) GDPR 6/1-f KVKK 5/2-f
First-party product analytics (service improvement)	Event name + user ID + technical properties	Legitimate interest GDPR 6/1-f KVKK 5/2-f
Legal compliance (requests, court orders)	As required	Legal obligation GDPR 6/1-c KVKK 5/2-ç

Important: You can withdraw consent at any time. Withdrawal does not affect the lawfulness of processing before withdrawal. If you withdraw consent, the relevant feature (e.g., virtual try-on) becomes unavailable.

5. Sensitive (Special Category) Data

Under KVKK Art. 6 and GDPR Art. 9, certain categories are considered “special” (sensitive). We do not intentionally collect sensitive data, but the following situations may indirectly fall within that scope:

Inference of religious belief from dress: Choosing the “modest/hijab” style preference or uploading modest garments may indirectly reveal your religious beliefs. Under KVKK Art. 6 this constitutes sensitive personal data.
Health inference from photographs: Full-body photos could theoretically reveal health information. We do not analyse photos for this purpose and do not share them with third parties for this purpose.

For any processing that may touch on sensitive categories, we obtain a separate explicit consent on first launch and upon changing your style preference. This consent is limited to (i) providing the Service to you, and (ii) generating AI outfits. You can withdraw it at any time via Profile → Privacy → Manage consents.

No commercial use: We do not process this data for advertising, profiling, or model training. Our processor contracts prohibit providers from using your data to train their own general models.

6. Automated Decisions & AI

Vidrobe uses third-party AI models (Google Gemini) for outfit recommendations, virtual try-on, and garment categorisation.

Assistive only: AI outputs are suggestions and do not produce legal or significant effects. We do not make decisions “solely based on automated processing” within the meaning of GDPR Art. 22.
Human in the loop: You can always reject, edit or delete the suggestion.
Errors: AI outputs (colour, fit, proportions) may be inaccurate. Style/aesthetic suggestions are not guaranteed.
Face preservation: During virtual try-on, prompt hardening and retries preserve facial features. Despite safeguards, the model may occasionally alter facial features.

7. Data Sharing & Recipients

We share personal data only to the extent necessary to operate the Service, and only under data processing agreements. None of these recipients may use your data for their own independent purposes.

Recipient	Purpose	Data transferred	Location
Supabase, Inc.	Authentication, database, file storage	Email, account, photos, preferences	EU (Germany – Frankfurt)
Google LLC (Gemini API)	AI virtual try-on and categorisation	Relevant photo(s) and prompts	USA
Google LLC (Firebase Cloud Messaging)	Push notifications	Push token, device info	USA / global
Poof AI Ltd. (poof.bg)	Photo background removal	Relevant photo (ephemeral, deleted within 24 h)	EU (Bulgaria)
Functional Software, Inc. (Sentry)	Application error reporting and crash telemetry (stability only)	Stack trace, device info, anonymous user ID, breadcrumbs	USA (or EU region depending on account)
Apple Inc. / Google LLC	App distribution, payments, OAuth	Email (if shared), platform usage	USA / global
Weather provider	Weather by location	Coarse location (city)	Global

We may also disclose data to authorities when legally required (court order, prosecutorial request, regulator decision).

No sale: We do not sell, rent, or share your personal data for advertising or marketing.

8. International Transfers

Under KVKK Art. 9, transfers of personal data abroad require your explicit consent unless an adequacy or specific exception applies. Some of our processors (notably Google / Gemini, Firebase, Apple) operate in the United States, which is not currently on KVKK’s adequacy list. Transfers are therefore made on the basis of your explicit consent and the exceptions in KVKK Art. 9(2)(b).

For GDPR transfers to the USA, we rely on the EU Commission’s Standard Contractual Clauses (Decision 2021/914) together with supplementary technical and organisational measures. Google and Apple are also certified under the EU-US Data Privacy Framework.

Explicit consent: During account creation and the first virtual try-on, you will see a separate checkbox authorising these transfers. Without consent, the relevant features are unavailable. No transfer occurs before consent is collected.

9. Retention Periods

We keep your data no longer than necessary for the purposes collected:

Data type	Retention	Reason
Account (email, preferences, wardrobe, photos)	Kept while the account is active. On deletion, cascaded and permanently erased immediately (typically within seconds); backup purge window up to 30 days.	Deletion is irreversible
Try-on cache	Max 90 days (or immediate on account deletion)	Performance, cost savings
API / error logs	Max 48 hours	Security, debugging
Sentry crash reports	90 days (Sentry default retention)	Stability analysis
First-party analytics events	While account is active; immediate on deletion	Service improvement
Support correspondence	2 years from last contact	Case tracking, legal defence
Records required by law (e.g., payment)	5–10 years	Tax, commercial, consumer law
Anonymous statistics	Indefinite	Anonymous, outside scope of KVKK / GDPR

You can permanently delete your account via Profile → Account → Delete account. Deletion is irreversible; actual erasure from backups occurs within 30 days.

10. Data Security

Under KVKK Art. 12 and GDPR Art. 32, we implement industry-standard technical and organisational measures:

In transit: All traffic is encrypted with TLS 1.2+.
At rest: Supabase database is encrypted with AES-256; storage enforces Row Level Security (RLS) policies.
Authentication: Passwords are one-way hashed with bcrypt/argon2. Session tokens are stored encrypted in iOS Keychain / Android Keystore via flutter_secure_storage.
Access control: Principle of least privilege; developer access is logged and limited to support / debugging.
Rate limiting: Hourly/daily limits to prevent abuse.
Monitoring: Anomalous sign-ins and authorisation failures are monitored.
Vendor certifications: Supabase holds SOC 2 Type II and HIPAA compliance; Google Cloud holds ISO 27001 and SOC 2.

No system is perfectly secure. If a data breach occurs, we will notify affected users and authorities as required by KVKK Art. 12(5) and GDPR Arts. 33–34 (within 72 hours for GDPR).

11. Your Rights

Under KVKK Art. 11 and GDPR Arts. 15–22, you have the following rights:

Information: Whether your data is being processed.
Access: Details of processing; a copy of your data in a machine-readable format.
Rectification: Correction of incomplete or inaccurate data.
Erasure (“right to be forgotten”): Deletion of your data.
Restriction: Limit processing in certain circumstances.
Portability: Receive your data in a structured, commonly used, machine-readable format (GDPR 20).
Objection: Object to processing based on legitimate interest (GDPR 21).
Automated decisions: Object to results produced solely by automated processing.
Withdraw consent: Withdraw consent at any time.
Compensation: Claim damages for unlawful processing.
Complaint: Lodge a complaint with a supervisory authority.

To exercise these rights, contact privacy@vidrobe.app. We will respond within 30 days at no charge (KVKK Regulation on Application Procedures and Principles). If an extra cost is incurred, the tariff set by the KVKK Board may apply.

12. Children’s Data

Vidrobe is not directed to users under 18. If you are under 18, please do not create an account or use the Service. If we discover data from a user under 18, we will delete the account and its data immediately.

For US residents, we comply with COPPA (under 13); for EU users, with GDPR Art. 8 (parental consent under 16). As we do not currently implement parental consent flows, the Service is for users 18 and over.

13. Cookies

The mobile app does not use cookies. On vidrobe.app we only use strictly necessary browser storage for language preference and theme. No advertising, tracking, or third-party analytics cookies.

See the Cookie Policy for details.

14. Changes

When we update this Policy, we publish the new version here and update the “Effective date”. For material changes, we will notify you via email or in-app at least 30 days before the change takes effect. Non-material changes (typos, link updates) may be made without notice.

15. Contact

Data protection & KVKK: privacy@vidrobe.app
Technical support: support@vidrobe.app
General: hello@vidrobe.app

Turkish supervisory authority: Personal Data Protection Authority (KVKK) — kvkk.gov.tr. For EU users, your local Data Protection Authority is competent.

16. Governing Law

This Policy is governed by the laws of the Republic of Türkiye. Disputes arising from this Policy shall be subject to the exclusive jurisdiction of the Courts and Enforcement Offices of Sivas, without prejudice to the non-waivable consumer rights of users under Turkish Consumer Protection Law No. 6502 (including consumer arbitration committees and consumer courts).

Users resident outside Türkiye retain any mandatory local rights (particularly consumer and data protection rights) that cannot be limited by this Policy.