Verilerin nasıl korunur
İşbu Aydınlatma Metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında, Outfit Lab platformu üzerinden işlenen kişisel verilere ilişkin Veri Sorumlusu sıfatını haiz tarafımızca düzenlenmiş olup veri sahibi kullanıcıların bilgilendirilmesi amacıyla yayımlanmıştır.
Madde 1 — Tanımlar ve Veri Sorumlusu
(1) İşbu metinde geçen terimler aşağıdaki anlamları haizdir:
- "Platform" veya "Hizmet": Outfit Lab markası altında işletilen mobil uygulama ve web sitesi ile bunlara bağlı tüm hizmetler.
- "Veri Sorumlusu": AI Yapay Zeka Mühendislik Anonim Şirketi, Şehit Muhtar Mahallesi, Mis Sokak, Cube Beyoğlu, 34050 Beyoğlu / İstanbul.
- "Veri Sahibi" veya "Kullanıcı": Platform'a kayıt olan ya da kayıt olmaksızın Hizmet'e erişen gerçek kişi.
- "Kişisel Veri": Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (KVKK m.3/1-d).
- "Özel Nitelikli Kişisel Veri": KVKK m.6 kapsamındaki veriler; başta sağlık ve biyometrik veriler.
- "Açık Rıza": Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza (KVKK m.3/1-a).
- "Çerez (Cookie)": Tarayıcıda saklanan küçük metin dosyaları (yalnızca web platformu için geçerlidir).
(2) Veri Sorumlusu'na KVKK kapsamındaki başvurularını kvkk@outfitlab.com.tr adresine ya da yazılı olarak Şehit Muhtar Mahallesi, Mis Sokak, Cube Beyoğlu, 34050 Beyoğlu / İstanbul tebligat adresine iletebilirsiniz. Başvurularda KVKK m.13 ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'in 5. maddesindeki şekil şartları aranır.
Madde 2 — İşlenen Kişisel Veri Kategorileri
(1) Hizmet'in sunulabilmesi için aşağıdaki veri kategorileri işlenmektedir. Kategori başına gösterilen örnekler tahdidi (sınırlayıcı) nitelikte değildir.
- Kimlik Bilgisi: Görünür ad, kullanıcı adı (handle), doğum tarihi, cinsiyet (opsiyonel).
- İletişim Bilgisi: E-posta adresi, telefon numarası.
- Lokasyon Bilgisi: Şehir bazında yaklaşık konum (kullanıcının manuel girişiyle, hava durumu önerisi amaçlı).
- Müşteri İşlem Bilgisi: Üyelik başlangıç ve sonlanma tarihi, abonelik tier'ı, satın alma kayıtları, fatura bilgileri.
- Müşteri Hareketleri: Hizmet içi etkileşim verileri — beğeni, kaydetme, yorum, takip, mesajlaşma, ürün arama ve görüntüleme, swipe kararları, gardırop içeriği.
- Görsel ve İşitsel Kayıtlar: Kullanıcı tarafından yüklenen fotoğraflar; paylaşılan gönderiler, hikâyeler, gardırop görselleri ve AI sanal kabin (try-on) çıktıları.
- Biyometrik Veri (Özel Nitelikli — KVKK m.6): Kullanıcının sanal kabin ve palet analizi amacıyla yüklediği selfie görsel(ler)i. Bu veriler yalnızca Açık Rıza alınmak suretiyle ve aşağıda Madde 9'da belirtilen koşullar çerçevesinde işlenir.
- Stil Profili ve Tercih Bilgisi: Tarz arketipleri, beden ölçüleri, marka tercihleri, bütçe aralığı, stil etiketleri.
- Davranışsal Takip Verileri: Affiliate link tıklama kayıtları (Madde 4/(4)), creator referans zinciri, kimlik doğrulama (login) olay kayıtları.
- Cihaz ve Teknik Veriler: IP adresinin SHA-256 ile özetlenmiş (hash) hali, cihaz türü, işletim sistemi versiyonu, uygulama sürümü, dil ayarı, push bildirim cihaz belirteci (token).
- Ödeme Verisi: İşlem kimliği (transaction_id), abonelik durumu. Kart numarası ve doğrulama kodu hiçbir koşulda Veri Sorumlusu tarafından alınmaz, görülmez ve saklanmaz; ödeme tahsilatı Apple App Store ve/veya Google Play tarafından PCI-DSS uyumlu olarak yürütülür.
Madde 3 — İşleme Amaçları ve Hukuki Sebepler
(1) Madde 2'de sayılan veriler, KVKK m.5 ve m.6 kapsamındaki hukuki sebeplere dayalı olarak işbu Aydınlatma Metninde tahdidi olarak sayılan amaçlarla işlenir.
- (a) Sözleşmenin İfası (KVKK m.5/2-c): Üyelik hesabının oluşturulması, oturum yönetimi, AI sanal kabin (try-on) hizmeti, kombin önerisi, mesajlaşma, satın alma ve faturalandırma süreçlerinin yürütülmesi.
- (b) Yasal Yükümlülük (KVKK m.5/2-ç): 213 sayılı VUK kapsamında fatura ve satış kayıtlarının asgari 10 yıl saklanması; KVKK m.12 gereği veri ihlali bildirimi.
- (c) Meşru Menfaat (KVKK m.5/2-f): IP/cihaz parmak izi tabanlı temel kötüye kullanım sinyalleri, oturum güvenliği, hata izleme, performans iyileştirme; "Stil İkizleri" özelliğinde anonim stil benzerliği üzerinden görünürlük (kullanıcı opt-out hakkını saklı tutmak şartıyla).
- (d) Açık Rıza (KVKK m.5/1, m.6/2): Yapay zekâ destekli kişiselleştirme (Madde 9), pazarlama bildirimleri, opsiyonel analitik takip, biyometrik veri işleme. Açık rıza her zaman geri alınabilir; geri alma geçmişte yapılan işlemleri etkilemez.
- (e) Hakkın Tesisi, Kullanılması veya Korunması (KVKK m.5/2-e): Hukuki uyuşmazlık halinde delil, mahkeme veya idari makam talebi.
Madde 4 — Yurt İçi ve Yurt Dışına Veri Aktarımı (KVKK m.8 ve m.9)
(1) Hizmet'in teknik altyapısının ve sunum kalitesinin sağlanması amacıyla aşağıdaki üçüncü taraf hizmet sağlayıcılara (alt-işleyiciler) veri aktarımı yapılmaktadır. Bu aktarımların bir kısmı yurt dışına (özellikle ABD'ye) gerçekleşmekte olup, aktarım hukuki sebebi KVKK m.9/(6) kapsamındaki Açık Rıza'dır; kullanıcı uygulama içi consent ekranından bu aktarımları onaylamadıkça AI bağımlı fonksiyonlar devreye girmez.
(2) Yapay zekâ servisleri (selfie ve metin verilerinin aktarımı):
- OpenAI, L.L.C. (Amerika Birleşik Devletleri): Stilist sohbeti, görsel analizi (palet), sanal kabin (try-on) render üretimi, AI suggest fonksiyonları için kullanıcı görseli + metin prompt aktarımı. Aktarım, OpenAI'ın yayımlanmış API Data Usage Policy'sine tabidir. OpenAI bu politikada API ile gönderilen verilerin model eğitiminde kullanılmadığını ve azami 30 günlük operasyonel log retention uygulandığını beyan etmektedir; Veri Sorumlusu OpenAI'ın söz konusu beyanlarına dayanarak işleme yürütmekte olup OpenAI tarafındaki iç süreçlerin doğrulanması Veri Sorumlusu'nun teknik yetkisi dışındadır.
(3) Operasyonel ve altyapı hizmetleri:
- Sentry GmbH (Almanya): Yazılım hatası ve performans izleme. Kişisel veri otomatik filtreleme (PII scrub) uygulanır (
send_default_pii=False). - Apple Push Notification Service (Apple Inc., ABD) — opsiyonel Google Firebase Cloud Messaging (Android için): Push bildirim altyapısı. Yalnızca Expo push token formatındaki cihaz belirteci ve bildirim başlık/içeriği iletilir; bildirim teslim altyapısı şu anda APNS odaklı çalışmakta olup FCM Android sürümü ile birlikte etkinleştirilecektir.
- Hostinger International Ltd. (AB veri merkezi): E-posta SMTP servisi. E-posta adresi ve içerik (OTP kodları, bildirim e-postaları) iletilir.
- Cloudflare R2 / Amazon S3 (AB veri merkezi tercihli): Görsel dosya depolama. AES-256 şifreli depolama.
- Open-Meteo (AB): Hava durumu API'si. Sadece şehir kodu iletilir; kullanıcı kimliği veya kişisel veri aktarılmaz.
(4) Affiliate (Üyelik Geçidi) İzleme: "Satın Al" yönlendirmesinde, kullanıcının tıkladığı bağlantıya tarafımızca üretilen tek seferlik bir izleyici (aff_click_id) iliştirilir ve yönlendirme URL'sine UTM parametresi olarak eklenir. Bu izleyici, ilgili markaya yapılan ziyaret üzerinden gerçekleşen satışın platform üzerinden geldiğinin doğrulanması ve creator komisyonunun hesaplanması amacıyla işlenir. Marka tarafına yalnızca tıklama tarihi ve opak izleyici aktarılır; kullanıcının kim olduğu marka tarafından görülemez.
(5) Ödeme Hizmeti: Apple Inc. (App Store, ABD) ve Google LLC (Play Store, ABD) abonelik ve uygulama içi satın alma faturalandırmasını ilgili platformların kendi gizlilik ve sözleşme şartları çerçevesinde yürütür. Veri Sorumlusu kart bilgilerine erişmez; yalnızca işlem kimliği (transaction_id), ürün kodu ve abonelik durumu bilgilerini alır.
(6) Yetkili merciilere yapılan aktarımlar (mahkeme kararı, idari soruşturma, ihbar yükümlülüğü) ilgili mevzuatın gerektirdiği asgari ölçüde yapılır.
Madde 5 — Saklama Süreleri
(1) İşlenen veriler, Veri Sorumlusu'nun saklama ve imha politikasında detaylandırılan asgari sürelerle işlenir. Genel saklama süreleri aşağıdadır:
- Hesap verileri (kimlik + iletişim): Üyelik aktif olduğu süre + hesap silme talebinden itibaren azami 30 gün soft-delete grace süresi sonunda otomatik kalıcı imha cron'u tarafından silinir.
- Sanal kabin (try-on) çıktıları: Kullanıcı tarafından silinmedikçe veya hesap kapatılana kadar saklanır. Hesap kapatma talebinden itibaren azami 30 gün soft-delete grace süresi sonunda otomatik kalıcı imha cron'u tarafından silinir.
- Selfie/biyometrik kaynak görsel: Kullanıcı tarafından silinmedikçe ya da hesap kapatılana kadar Cloudflare R2 (AB veri merkezi) üzerinde özel (private) bucket içinde AES-256 şifreli saklanır. Hesap kapatma talebinden itibaren azami 30 gün soft-delete grace süresi sonunda otomatik kalıcı imha cron'u tarafından silinir.
- Mesajlaşma (DM) içerikleri: Kullanıcı tarafından silinmedikçe veya hesap kapatılana kadar saklanır.
- Fatura ve sipariş kayıtları: 213 sayılı VUK m.253 uyarınca asgari 10 yıl.
- Kimlik doğrulama (login) olay kayıtları: Hesap güvenliği ve şüpheli erişim incelemesi amacıyla kullanıcı silmedikçe ya da hesap kapatılana kadar saklanır; hesap kapatma talebinden sonra genel imha akışına dahil edilir.
- Çerezler (yalnızca web platformu için): Zorunlu çerezler oturum süresi; opt-in çerezler kullanıcı tarafından geri alınmadıkça azami 12 ay. Mobil uygulama çerez kullanmaz; kimlik doğrulama JWT token tabanlıdır.
- Affiliate tıklama kayıtları: Komisyon mutabakatı ve operasyonel raporlama için kullanıcı silmedikçe veya hesap kapatılana kadar saklanır.
- Pending takip istekleri: Karşı taraf manuel olarak kabul veya reddedene ya da gönderen tarafından geri çekilene kadar saklanır.
Madde 6 — Veri Güvenliği ve İhlal Bildirimi
(1) Veri Sorumlusu, KVKK m.12 kapsamında işlediği kişisel verilerin hukuka aykırı işlenmesini ve verilere hukuka aykırı erişilmesini önlemek ile verilerin muhafazasını sağlamak için aşağıdaki teknik ve idari tedbirleri almıştır:
- Uygulama ile sunucu arasındaki iletişim şifreli kanal (HTTPS/TLS) üzerinden iletilir.
- Parolalar kriptografik özet (bcrypt, cost factor 12) algoritması ile saklanır; düz metin parola hiçbir koşulda saklanmaz veya iletilmez.
- Creator Programı kapsamındaki ödeme bilgileri (IBAN, TC/VKN, fatura bilgisi) sunucuda Fernet (AES-128-CBC + HMAC-SHA256) simetrik şifreleme ile saklanır.
- Kart ve ödeme bilgileri Apple App Store ve Google Play tarafından işlenir; Veri Sorumlusu kart numarası veya CVV gibi ödeme bilgilerini saklamaz.
- Çalışan erişimi rol bazlı olarak sınırlandırılır (
is_adminayrıcalık modeli); veriye yalnızca görev gereği erişim mümkündür. - Üçüncü taraf alt-işleyicilerin yayımlanmış kullanım ve gizlilik politikaları takip edilmekte olup alt-işleyici listesi Madde 4'te şeffaflıkla açıklanmıştır. Alt-işleyiciler için özel Veri İşleme Anlaşması (DPA) imzalanmamış olup, Veri Sorumlusu söz konusu işleyicilerin kendi yayımlanmış kullanım koşullarına dayanarak işleme yürütür.
(2) Veri ihlali yaşanması durumunda KVKK m.12/5 uyarınca en geç 72 saat içinde Kişisel Verileri Koruma Kurumu'na ve etkilenen veri sahiplerine bildirim yapılır.
Madde 7 — Çerez ve Eşdeğer Teknoloji Politikası
(1) İşbu Madde yalnızca outfitlab.com.tr web platformunda kullanılan çerezler için geçerlidir. Mobil uygulama çerez kullanmaz; kimlik doğrulama JWT access/refresh token tabanlıdır ve cihaz keychain'i (iOS) / EncryptedSharedPreferences (Android) içinde saklanır.
(2) Web platformunda kullanılan çerezler dört kategoriye ayrılmıştır:
- Zorunlu (Strictly Necessary): Oturum, kimlik doğrulama, CSRF, sepet. Bu kategori Hizmet'in sunulması için zorunlu olup devre dışı bırakılamaz.
- Performans (Opt-in): Hata ve crash izleme (Sentry), sayfa hız ölçümü. Yalnızca açık rıza ile aktif olur.
- Analitik (Opt-in): Anonim davranış metriklerinin ölçümü.
- Kişiselleştirme (Opt-in): Etkileşim geçmişine göre öneri üretimi.
(3) Çerez tercihleri web platformunda ilk ziyarette gösterilen onay ekranından değiştirilebilir; mobil uygulamada ise muadil "KVKK Onayları" tercihleri Profil → Ayarlar → KVKK Onayları menüsünden yönetilir.
Madde 8 — Veri Sahibi Hakları (KVKK m.11)
(1) Veri Sahibi olarak, KVKK m.11 kapsamında aşağıdaki haklara sahipsiniz:
- (a) Kişisel verinizin işlenip işlenmediğini öğrenme.
- (b) İşlenmişse buna ilişkin bilgi talep etme.
- (c) İşleme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme.
- (ç) Yurt içinde veya yurt dışında aktarılan üçüncü tarafları bilme.
- (d) Eksik veya yanlış işlenen verinin düzeltilmesini talep etme.
- (e) KVKK m.7 çerçevesinde silme veya yok edilme talep etme.
- (f) Düzeltme veya silme işlemlerinin verilerin aktarıldığı üçüncü taraflara bildirilmesini isteme.
- (g) İşlenen verilerin otomatik sistemlerle analiz edilmesi sonucu aleyhinize bir karar oluşmasına itiraz etme.
- (ğ) Kanuna aykırı işleme sebebiyle uğradığınız zararın giderilmesini talep etme.
- (h) Verilerinizin makul biçimde taşınabilir formatta tarafınıza iletilmesini talep etme.
- (ı) Açık rızaya dayalı işleme için rızayı geri çekme.
(2) Taleplerinizi Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca aşağıdaki kanallar üzerinden iletebilirsiniz:
- Uygulama içi: Profil → Ayarlar → Hesap Bilgileri → "Hesabımı sil" (hesap silme + Madde 5/(1) imha akışı). Verilerin makul biçimde taşınabilir formatta dışa aktarımı için kvkk@outfitlab.com.tr adresine talep iletilmesi yeterlidir; talep, KVKK m.13 kapsamındaki azami 30 günlük sürede karşılanır.
- E-posta: kvkk@outfitlab.com.tr (kayıtlı e-posta adresinizden gönderim tercih edilir).
- Yazılı: Şehit Muhtar Mahallesi, Mis Sokak, Cube Beyoğlu, 34050 Beyoğlu / İstanbul tebligat adresine ıslak imzalı dilekçe ile.
(3) Başvurularınız KVKK m.13 uyarınca azami 30 (otuz) gün içinde ücretsiz sonuçlandırılır; ancak işlem ayrıca bir maliyet gerektiriyorsa Kurum'un belirlediği tarifedeki ücret talep edilebilir.
Madde 9 — Yapay Zekâ ile İşleme ve Biyometrik Veri Açık Rızası
(1) Hizmet'in sanal kabin (try-on), stilist sohbeti, palet analizi ve kombin önerisi gibi yapay zekâ destekli fonksiyonları, Madde 4'te belirtilen alt-işleyiciler aracılığıyla (OpenAI başta olmak üzere) yurt dışındaki sunuculara veri aktarımı içerir. Aktarılan veri, kullanıcı tarafından yüklenen selfie görseli ile metin ve etiket tabanlı tercih bilgileridir.
(2) Selfie görseli KVKK m.6 kapsamında özel nitelikli (biyometrik) kişisel veri olarak değerlendirilmekte olup, işleme yalnızca Açık Rıza (Profil → Ayarlar → KVKK Onayları → "Yapay Zeka Kişiselleştirme") alınmak suretiyle gerçekleştirilir. Rızanın verilmemesi halinde sanal kabin ve diğer AI bağımlı özellikler kullanıcı için devre dışı kalır; bu durumun Hizmet'in sunulamamasına yol açmadığı, kullanıcının katalog gezme ve standart fonksiyonlardan yararlanmaya devam edebileceği beyan edilir.
(3) Açık rıza her zaman ilgili menüden geri alınabilir. Geri alma anından itibaren ileriye dönük olarak işleme durur; geri alma öncesi hukuka uygun işleme etkilenmez.
(4) Kullanıcı, sanal kabin (try-on) ve palet analizi fonksiyonlarına yalnızca KENDİSİNE AİT selfie görsel(ler)i yükleme hakkını haizdir. Üçüncü kişiye ait fotoğrafın, ilgili kişinin açık rızası bulunmaksızın yüklenmesi KVKK m.6 kapsamında özel nitelikli kişisel veriyi hukuka aykırı işleme niteliği taşır ve aşağıdaki sonuçları doğurur:
- (a) Yükleme tespit edilirse hesap derhal askıya alınır veya kalıcı olarak kapatılır (Kullanım Koşulları m.7 ve m.12).
- (b) Söz konusu işleme nedeniyle Veri Sorumlusu'nun KVKK m.12, idari para cezası, tazminat veya benzeri yaptırımlara muhatap olması halinde tüm sorumluluk Kullanıcı'ya aittir; Veri Sorumlusu, Kullanım Koşulları çerçevesinde Kullanıcı'ya rücu hakkını saklı tutar.
- (c) İhlale konu görsel(ler) ve türevleri, Veri Sorumlusu tarafından tespit anından itibaren imha edilir; üçüncü kişi veri sahibinin bilgi talep etmesi halinde KVKK m.13 başvurusu öncelikli olarak değerlendirilir.
(5) Kullanıcı tarafından verilen her açık rıza beyanı, geri çekme bildirimi ve KVKK Onayları menüsünden yapılan her değişiklik; tarih, saat, IP adresi, cihaz (user-agent) ve doküman versiyonu bilgileri ile birlikte ayrı bir kayıt (append-only audit trail) olarak işlenir. İşbu kayıtlar KVKK m.8/(2) uyarınca açık rızanın ispatı amacıyla tutulmakta olup 6100 sayılı HMK m.193 kapsamında Veri Sorumlusu lehine delil niteliği taşır. Veri Sahibi, Madde 8/(1)-(a) ve (b) çerçevesinde işbu kayıtların bir kopyasını her zaman talep edebilir.
(6) İşbu Hizmet kapsamında gerçekleştirilen selfie işleme yalnızca renk paleti çıkarımı (saç/göz/cilt rengi) ve sanal kabin (try-on) render üretimi amacıyla yapılmakta olup, KİŞİ TANIMA (face recognition), kimlik doğrulama (FaceID benzeri authentication) veya farklı kullanıcılarla yüz eşleştirme amaçlarıyla KULLANILMAZ. Yüz çekirdek noktaları (landmark) yalnızca renk analizinin uygulanacağı piksel bölgelerini (saç hattı, göz merkezi, dudak merkezi) tespit etmek için anlık olarak hesaplanır; bu noktalardan türetilen yüz şablonu (face template) veya yüz vektörü (face embedding) Veri Sorumlusu nezdinde saklanmaz. Selfie ham görseli yalnızca Madde 5/(1) kapsamındaki sürelerle saklanır; süre sonunda imha edilir.
Madde 10 — Otomatik Karar ve Profilleme
(1) Platform, kullanıcıya öneri sunmak ve "Stil İkizleri" eşleştirmesi gibi fonksiyonlar için davranışsal verilerden otomatik profilleme yapmaktadır. Söz konusu profilleme, kullanıcı aleyhine hukuki sonuç doğuran veya benzeri etkide bulunan kararlar üretmez; salt öneri (recommendation) niteliği taşır.
(2) Kullanıcı, profilleme sonucunu Profil → Stil Profilim ekranından her zaman görüntüleyebilir; itiraz hakkı ve manuel inceleme talep etme hakkı saklıdır.
Madde 11 — Yaş Sınırı (18+)
(1) Hizmet, yalnızca 18 yaşını doldurmuş gerçek kişilere yönelik olarak sunulmaktadır. Kayıt aşamasında doğum tarihi sorgulanır ve sistemsel olarak 18 yaş altı kullanıcıların üyelik başlatması engellenir.
(2) Veri Sorumlusu, 18 yaş altı olduğu sonradan tespit edilen hesapları önceden bildirimsiz olarak askıya alma, kullanıcı verilerini KVKK m.7 çerçevesinde silme veya anonim hâle getirme hakkını saklı tutar.
Madde 12 — Değişiklikler ve Yürürlük
(1) İşbu Aydınlatma Metni, mevzuat ve Hizmet kapsamındaki değişikliklere bağlı olarak güncellenebilir. Güncel versiyon her zaman outfitlab.com.tr/gizlilik.html adresinde yayımlanır.
(2) Esaslı değişiklik halinde uygulama içi bildirim ve "son güncelleme" tarihi ile ilgili kişiler bilgilendirilir; biyometrik veri veya yurt dışı aktarım kapsamına ilişkin esaslı değişikliklerde yeni açık rıza talep edilir.
(3) İşbu metin 27 Mayıs 2026 (Versiyon 2026-05-27-v4) tarihinde yayımlanmış ve aynı tarihte yürürlüğe girmiştir.