Son güncelleme: 1 Mayıs 2026
Bu Gizlilik Politikası, Onur Ökten ("biz" veya "veri sorumlusu") tarafından sunulan Arkanda! uygulaması (https://arkanda.app) aracılığıyla toplanan kişisel verilerin nasıl işlendiğini açıklar. Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), AB Genel Veri Koruma Tüzüğü (GDPR) ve California Consumer Privacy Act (CCPA) kapsamında hazırlanmıştır.
Arkanda'yı kullanarak bu politikayı okuduğunuzu ve verilerinizin burada açıklandığı şekilde işlenmesini kabul etmiş sayılırsınız.
Veri sorumlusu Onur Ökten'dir (şahıs, bireysel girişimci). İletişim: info@arkanda.kitchen. Uygulamaya https://arkanda.app adresinden, marka sitesine https://arkanda.kitchen adresinden ulaşabilirsiniz.
KVKK kapsamındaki haklarınızı kullanmak veya gizlilik soruları için yukarıdaki email adresine yazabilirsiniz. Talebinize 30 gün içinde yanıt veririz (KVKK md. 13).
Hesap ve kimlik verileri. Arkanda'ya kaydolduğunuzda veya Google ile giriş yaptığınızda email adresinizi (zorunlu), şifrenizi (yalnızca bcrypt ile hash'lenmiş halde, hiçbir zaman düz metin saklanmaz), ad soyadınızı (Google ile giriş yapıyorsanız profil adı), profil resmi URL'inizi (Google ile giriş yapıyorsanız) ve Google sub ID'nizi (Google'ın size atadığı tekil kullanıcı kimliği) toplarız.
Uygulama kullanım verileri. Uygulamayı kullanırken oluşturduğunuz restoran bilgileri (isim, adres, profil), reçeteler ve menüler (içerik, fiyat, malzemeler), malzeme ve maliyet bilgileri, ekip üyeleri (davet ettiğiniz kişilerin email adresleri ve rolleri), davet token'ları (geçici, kabul veya red sonrası silinir) ve aktivite kayıtları (uygulama içi işlemleriniz).
Teknik veriler. Hizmetin güvenli ve düzgün çalışması için IP adresi (kimlik doğrulama logları, bot koruması için), tarayıcı ve cihaz bilgileri (User-Agent header), erişim zamanı ve süresi, JWT oturum token'ları (cihazınızda localStorage'da saklanır) otomatik olarak toplanır.
Verilerinizi hesap oluşturma ve kimlik doğrulama, uygulama hizmetlerinin sunulması, ekip yönetimi ve davet sistemi (sözleşmenin kurulması ve ifası kapsamında), hata izleme ve teknik destek ile bot ve istismar koruması (meşru menfaat kapsamında), ve yasal yükümlülüklere uyum (hukuki yükümlülük kapsamında) için işliyoruz.
Verilerinizi reklam, pazarlama, profilleme veya üçüncü taraflara satış için kullanmıyoruz.
Arkanda'nın çalışması için aşağıdaki hizmet sağlayıcıların altyapısını kullanıyoruz. Bu sağlayıcılar veri işleyen (KVKK md. 3, GDPR processor) statüsündedir.
Supabase. Backend altyapısı (veritabanı, kimlik doğrulama, dosya saklama). Sağlayıcı Supabase Inc. (ABD merkezli, AWS altyapısı). Verileriniz AWS eu-west-1 (İrlanda) bölgesinde, Avrupa Birliği içinde saklanır. Gizlilik politikası: https://supabase.com/privacy.
Vercel. Web uygulamasının sunumu ve CDN. Sağlayıcı Vercel Inc. (ABD). IP adresi, User-Agent ve request log'larını kısa süreli olarak işler. Gizlilik politikası: https://vercel.com/legal/privacy-policy.
Google. Sadece "Google ile Giriş" özelliğini kullananlar için kimlik doğrulama. Sağlayıcı Google LLC (ABD). Email, profil adı, profil resmi ve Google sub ID toplanır. İstenen kapsamlar yalnızca email, profile ve openid'dir; Drive, Gmail veya Calendar erişimi istenmez. Gizlilik politikası: https://policies.google.com/privacy.
hCaptcha. Kayıt ve giriş formlarında bot koruması. Sağlayıcı Intuition Machines, Inc. (ABD). IP adresi, tarayıcı bilgileri, kullanıcı davranış desenleri ve anti-bot çerezleri işler. Yalnızca kayıt ve giriş ekranlarında tetiklenir. Gizlilik politikası: https://www.hcaptcha.com/privacy.
ImprovMX. info@arkanda.kitchen ve onur@arkanda.kitchen adreslerine gelen email'lerin yönlendirilmesi. Sağlayıcı ImprovMX (Fransa). Bu servis uygulamadaki kullanıcı işlemleri sırasında kullanılmaz; yalnızca bizimle yazışmak istediğinizde devreye girer.
Arkanda yalnızca uygulamanın işlevini sağlayan teknik depolama kullanır. Reklam veya takip çerezi yoktur. Google Analytics, Facebook Pixel veya cross-site tracking kullanmıyoruz.
Kullandığımız teknolojiler şunlardır: Kimlik doğrulama token'ı için localStorage (çıkış yapana kadar saklanır), karanlık veya aydınlık mod tercihi için localStorage (manuel silmeye kadar saklanır) ve hCaptcha bot koruması için anti-bot çerezleri (yalnızca kayıt ve giriş sayfalarında, hCaptcha kuralları gereği).
Verileriniz Avrupa Birliği (İrlanda, Supabase birincil veritabanı), Amerika Birleşik Devletleri (Vercel hosting, Google OAuth ve hCaptcha) ve Fransa (ImprovMX email yönlendirme) ülkelerinde işlenmektedir.
KVKK md. 9 kapsamında Türkiye dışına yapılan veri aktarımları için aşağıdaki güvenceler uygulanır: AB transferleri için GDPR Adequacy Decision kapsamında işlem yapılır. ABD transferleri için sağlayıcılar EU-US Data Privacy Framework sertifikalıdır (Supabase, Vercel, Google). Aktarımlar yalnızca hizmetin sunulması için gerekli minimum seviyede gerçekleşir.
Genel saklama süreleri. Hesap bilgileri, hesap aktif olduğu sürece ve hesap silme talebinden sonra 30 gün boyunca (yedek silinmesi için) saklanır. Uygulama verisi (reçete, menü, restoran ve benzerleri) hesap aktif olduğu sürece saklanır; otomatik silinmez, kullanıcı tarafından manuel yönetilir. Auth log'ları 7 gün boyunca tutulur (Supabase varsayılanı). hCaptcha çerezleri hCaptcha politikasına göre oturum bazlıdır. Yedekler 30 gün boyunca saklanır (Supabase otomatik). E-posta arama denetim kayıtları 90 gün sonra otomatik fiziksel olarak silinir.
Aktivite kayıtları. Aktivite günlükleri abonelik planınıza göre farklı sürelerle görüntülenebilir tutulur. Şef Free planında aktivite günlüğü kullanılamaz. Şef Premium ve Pro planlarında 90 gün, Restoran Free planında 30 gün, Restoran Business planında 90 gün, Restoran Enterprise planında 5 yıl (1825 gün) görüntülenebilir.
Görüntüleme süresi, kayıtların hesabınızdan erişilebilir olduğu süredir. Bu süre içinde kayıtlara hesabınızdan erişebilirsiniz. Süre dolduğunda veya plan değişikliği olduğunda kayıtlar erişiminize kapatılır, ancak veritabanında saklanmaya devam edebilir. Tüm aktivite kayıtları, plan farkı olmaksızın 5 yıl sonra fiziksel olarak silinir (otomatik günlük temizleme; KVKK md. 7 ve GDPR md. 17 uyumu).
Plan değişikliklerinde davranış. Aboneliğinizi düşürdüğünüzde (örneğin Enterprise'tan Business'a) yeni planın görüntüleme süresinin ötesindeki kayıtlar erişiminize kapatılır. Bu kayıtlar fiziksel olarak silinmez, sadece görüntülenmez. Tekrar üst plana geçerseniz kayıtlar yeniden görüntülenebilir hale gelir. 5 yıl üst sınırı korunur ve daha eski kayıtlar otomatik silinir.
Tam silme hakkı. KVKK md. 7 ve GDPR md. 17 kapsamında verilerinizin tamamen silinmesini talep edebilirsiniz. Bunun için Hesap Silme özelliğini kullanabilir (Ayarlar, Hesabımı Sil) veya info@arkanda.kitchen adresine yazabilirsiniz. Talebiniz üzerine 30 gün içinde tüm verileriniz, aktivite kayıtları ve yedekler dahil, silinir.
KVKK md. 11, GDPR md. 15 ila 22 ve CCPA kapsamında bilgi alma, erişim, düzeltme, silme (unutulma hakkı), işlemeyi sınırlama, itiraz, veri taşınabilirliği, otomatik karar reddi ve şikayet haklarına sahipsiniz.
California sakinleri CCPA kapsamında verilerinin satılmasını reddetme hakkına sahiptir; ancak Arkanda zaten kişisel veri satmamaktadır.
Haklarınızı kullanmak için info@arkanda.kitchen adresine email atın. Hangi hakkınızı kullanmak istediğinizi, hesabınızla ilişkili email adresinizi (kimlik doğrulaması için) ve varsa detayları belirtin. Talebiniz 30 gün içinde yanıtlanır (KVKK md. 13). Acil veya karmaşık durumlarda bu süre uzatılabilir; uzatma durumunda size bilgi veririz.
Verilerinizi korumak için aldığımız teknik ve idari önlemler şunlardır: Tüm veri trafiği HTTPS ve TLS 1.3 ile şifrelenir. Şifreler bcrypt algoritmasıyla hash'lenir, düz metin olarak saklanmaz. Veritabanı seviyesinde Row-Level Security (RLS) uygulanır ve kullanıcılar sadece kendi verilerine erişebilir. Yetkilendirme JWT tabanlı oturum yönetimi ile sağlanır. hCaptcha bot koruması kullanılır. Yedekleme otomatik ve şifrelenmiş şekilde yapılır (Supabase). Eski kayıtlar belirlenen süreler sonunda otomatik silinir (bkz. Bölüm 7).
Bir veri ihlali yaşanması durumunda 72 saat içinde size ve ilgili otoritelere bildirimde bulunuruz (KVKK md. 12, GDPR md. 33).
Arkanda profesyonel mutfaklar için tasarlanmıştır ve 18 yaş altı kullanıcıları hedeflemez. 18 yaş altı bir kişinin verilerini bilerek toplamayız. Bir velinin veya vasinin çocuğunun verilerinin Arkanda'da olduğundan haberdar olursanız lütfen info@arkanda.kitchen adresine yazın; verileri derhal sileriz.
Bu politikayı zaman zaman güncelleyebiliriz. Önemli değişiklikler uygulama içinde bildirim olarak gösterilir, kayıtlı kullanıcılara email yoluyla bildirilir ve bu sayfadaki "Son güncelleme" tarihi yenilenir. Önemli değişiklikler için 30 gün önceden bildirim verilir. Değişikliği kabul etmiyorsanız hesabınızı silebilirsiniz.
Gizlilik veya bu politika ile ilgili sorularınız için info@arkanda.kitchen adresine yazabilirsiniz. Veri sorumlusu Onur Ökten'dir.
KVKK Kurumu ile iletişim için https://www.kvkk.gov.tr adresini ziyaret edebilirsiniz.
Last updated: May 1, 2026
This Privacy Policy explains how Onur Ökten ("we" or "data controller") processes personal data collected through the Arkanda! application (https://arkanda.app). This policy is written to comply with the EU General Data Protection Regulation (GDPR), the California Consumer Privacy Act (CCPA), and Türkiye's Personal Data Protection Law (KVKK No. 6698).
By using Arkanda, you acknowledge that you have read this policy and agree to your data being processed as described herein.
The data controller is Onur Ökten (sole proprietor, individual). Contact: info@arkanda.kitchen. The application is at https://arkanda.app and the brand site at https://arkanda.kitchen.
For privacy questions or to exercise your rights, please email the address above. We respond within 30 days (GDPR Art. 12.3).
Account and identity data. When you sign up or sign in with Google we collect your email address (required), password (stored only as bcrypt hash, never in plaintext), full name (profile name from Google if signing in with Google), profile picture URL (if signing in with Google) and Google sub ID (Google's unique user identifier).
Application usage data. Restaurant information (name, address, profile), recipes and menus (contents, prices, ingredients), ingredient and cost data, team members (email addresses and roles of people you invite), invitation tokens (temporary, deleted after acceptance or rejection) and activity logs (your in-app actions).
Technical data. IP address (in authentication logs and bot protection), browser and device information (User-Agent header), access time and duration, and JWT session tokens (stored in your browser's localStorage) are automatically collected for service security and functionality.
We process your data for account creation and authentication, provision of application services, team management and invitation system (under performance of contract), error tracking and technical support, bot and abuse protection (under legitimate interest), and compliance with legal obligations (under legal obligation).
We do not use your data for advertising, marketing, profiling or sale to third parties.
Arkanda relies on the following infrastructure providers. These providers are considered data processors under GDPR and KVKK.
Supabase. Backend infrastructure (database, authentication, file storage). Provider: Supabase Inc. (US-based, AWS infrastructure). Your data is stored in AWS eu-west-1 (Ireland), within the European Union. Privacy policy: https://supabase.com/privacy.
Vercel. Web application hosting and CDN. Provider: Vercel Inc. (USA). Processes IP address, User-Agent and request logs (short-term). Privacy policy: https://vercel.com/legal/privacy-policy.
Google. Authentication only for users who choose "Sign in with Google". Provider: Google LLC (USA). Email, profile name, profile picture and Google sub ID are processed. The only requested scopes are email, profile and openid; we do not request access to Drive, Gmail or Calendar. Privacy policy: https://policies.google.com/privacy.
hCaptcha. Bot protection on registration and login forms. Provider: Intuition Machines, Inc. (USA). Processes IP address, browser information, user behavior patterns and anti-bot cookies. Triggered only on signup and login screens. Privacy policy: https://www.hcaptcha.com/privacy.
ImprovMX. Forwarding of emails sent to info@arkanda.kitchen and onur@arkanda.kitchen. Provider: ImprovMX (France). This service is not used during in-app interactions; it is involved only when you choose to email us.
Arkanda uses only the technical storage required for the application to function. There are no advertising or tracking cookies. We do not use Google Analytics, Facebook Pixel or cross-site tracking.
The technologies we use are: localStorage for the authentication token (kept until logout), localStorage for dark or light mode preference (kept until manually cleared) and hCaptcha anti-bot cookies (only on signup and login pages, per hCaptcha policy).
Your data is processed in the European Union (Ireland, Supabase primary database), the United States (Vercel hosting, Google OAuth and hCaptcha) and France (ImprovMX email forwarding).
For transfers outside the EU/EEA the following safeguards apply (GDPR Art. 44 to 49): US providers are certified under the EU-US Data Privacy Framework (Supabase, Vercel, Google). Transfers occur only at the minimum level necessary for service provision. Standard Contractual Clauses (SCCs) apply where required. For users in Türkiye, transfers comply with KVKK Art. 9.
General retention periods. Account information is retained while the account is active and for 30 days after a deletion request (for backup purges). Application data (recipes, menus, restaurants and similar) is retained while the account is active; it is not auto-deleted and is manually managed by the user. Auth logs are retained for 7 days (Supabase default). hCaptcha cookies are session-based per hCaptcha policy. Backups are retained for 30 days (Supabase automatic). Email lookup audit records are physically deleted automatically after 90 days.
Activity logs. Activity logs have viewing periods that depend on your subscription plan. Activity logs are not available on Chef Free. Chef Premium and Pro have a 90-day viewing period. Restaurant Free has 30 days, Restaurant Business has 90 days and Restaurant Enterprise has 5 years (1825 days).
The viewing period is how long records remain accessible from your account. Within this period you can access the records from your account. When the period elapses or your plan changes, the records are closed to your access but may remain in the database. All activity records are physically deleted after 5 years, regardless of plan, by an automatic daily cleanup process (for compliance with GDPR Art. 17 and KVKK Art. 7).
Behavior on plan changes. If you downgrade your subscription (for example Enterprise to Business), records beyond the new plan's viewing period become inaccessible to you. These records are not physically deleted, only hidden from view. Upgrading to a higher plan restores visibility. The 5-year upper limit applies and older records are auto-deleted.
Right to full erasure. Under GDPR Art. 17 and KVKK Art. 7 you may request complete deletion of your data. To do so, use the Delete Account feature (Settings, Delete My Account) or email info@arkanda.kitchen. Upon your request, all your data, including activity logs and backups, will be deleted within 30 days.
Under GDPR Articles 15 to 22, CCPA and KVKK Art. 11 you have the rights to information, access, rectification, erasure (right to be forgotten), restriction of processing, objection, data portability, refusal of automated decisions and complaint.
California residents have the CCPA right to opt out of sale; however Arkanda does not sell personal data, so this right is preserved by default.
To exercise your rights, email info@arkanda.kitchen with the right you wish to exercise, the email address associated with your account (for identity verification) and any relevant details. We respond within 30 days. In urgent or complex cases this period may be extended; if so, we will notify you accordingly.
The technical and organizational measures we take to protect your data are: All data in transit is encrypted with HTTPS and TLS 1.3. Passwords are hashed with bcrypt and never stored in plaintext. Database-level Row-Level Security (RLS) is applied; users can access only their own data. Authorization is provided by JWT-based session management. hCaptcha bot protection is used. Backups are automatic and encrypted (Supabase). Old records are automatically deleted after defined retention periods (see Section 7).
In the event of a data breach, we will notify you and the relevant authorities within 72 hours (GDPR Art. 33 to 34, KVKK Art. 12).
Arkanda is designed for professional kitchens and is not intended for users under the age of 18. We do not knowingly collect data from minors. If a parent or guardian becomes aware that a minor's data has been collected through Arkanda, please contact info@arkanda.kitchen and we will delete it immediately.
We may update this policy from time to time. Material changes will be notified within the application, sent via email to registered users and reflected in the "Last updated" date at the top of this page. Material changes provide 30 days' notice. If you do not agree with the changes you may delete your account.
For privacy questions or this policy, email info@arkanda.kitchen. The data controller is Onur Ökten.
You may also contact your local data protection authority. EU: https://edpb.europa.eu/about-edpb/about-edpb/members_en. California: https://oag.ca.gov/privacy. Türkiye: https://www.kvkk.gov.tr.
Gizlilik Politikası · Kullanım Şartları · Arkanda · info@arkanda.kitchen